實現(xiàn)出站鏈路負(fù)載均衡

實驗環(huán)境

這里使用深信服的某款A(yù)D設(shè)備，通過簡單的實驗來說明如何實現(xiàn)出站鏈路的負(fù)載均衡。

對于該AD設(shè)備，存在一個網(wǎng)絡(luò)管理接口，默認(rèn)IP包括10.254.254.254和10.252.252.252。該設(shè)備提供了多個G口，可連接不同的網(wǎng)絡(luò)設(shè)備。在本實驗環(huán)境中，該AD設(shè)備的NET1接口配置的IP為200.150.60.0/24網(wǎng)段，連接電信鏈路。將NE2和NET3接口聚合綁定，配置的IP為100.68.30.0/24網(wǎng)段，連接聯(lián)通鏈路。

使用上述接口連接到運營商提供的路由器上，在該路由器上連接了IP為200.150.6.0/24網(wǎng)段的服務(wù)器，表示從內(nèi)網(wǎng)訪問的電信鏈路上的目標(biāo)設(shè)備。在該路由器上還連接了IP為100.68.3.0/24網(wǎng)段的服務(wù)器，表示從內(nèi)網(wǎng)訪問的聯(lián)通鏈路上的目標(biāo)設(shè)備。在該路由上還連接了IP為150.99.1.0/24網(wǎng)段的服務(wù)器，表示需要從內(nèi)網(wǎng)訪問的其他ISP網(wǎng)絡(luò)上的目標(biāo)設(shè)備。在該路由器上又連接了四臺DNS服務(wù)器，分別表示電信、聯(lián)通、其他ISP網(wǎng)絡(luò)DNS服務(wù)器以及根DNS服務(wù)器。

因為AD設(shè)備接口數(shù)量有限，為此可以為NET4接口創(chuàng)建兩個子接口，分別對應(yīng)內(nèi)網(wǎng)中VLAN 10和VLAN 20網(wǎng)段。對于前者來說，對應(yīng)的是內(nèi)網(wǎng)中的10.1.1.0/24網(wǎng)段。對于后者來說，對應(yīng)的是內(nèi)網(wǎng)中的192.168.1.0/24網(wǎng)段。

當(dāng)然，該接口所連接的交換機端口必須啟用Trunk鏈路，并配置對應(yīng)的VALN，將內(nèi)網(wǎng)主機等設(shè)備劃入對應(yīng)的VLAN中。這里在AD上啟用了端口聚合功能，在對端外網(wǎng)路由器上也需要啟用端口聚合功能。

在AD上配置WAN接口

在瀏覽中訪問“https://10.254.254.254”地 址，輸入賬戶和密碼（默認(rèn)均為“admin”），在 該 AD設(shè) 備管理界面左側(cè)選擇“系統(tǒng)配置”、“設(shè)備管理”項，在右側(cè)的“WebConsole”面板中可以執(zhí)行各種Linux網(wǎng)絡(luò)操作命令。在左側(cè)選擇“網(wǎng)絡(luò)配置”、“網(wǎng)絡(luò)接口”項，在右側(cè)點擊“新建”按鈕，選擇“WAN”項，點擊“下一步”按鈕，在接口設(shè)置界面中輸入其名稱（例如“電信接口”），在“網(wǎng)絡(luò)接口”列表中選擇“NET1”項，在“起始IP”欄中輸入“200.150.60.1”，在“掩碼 /前綴”欄輸入“24”，點擊“添加”按鈕，為NET1接口配置電信鏈路IP范圍。

在“網(wǎng)關(guān)”欄中輸入“200.150.60.254”，如果上述地址列表配置的是內(nèi)網(wǎng)地址，就需要在“對應(yīng)互聯(lián)網(wǎng)IP”欄中設(shè)置在防火墻所對應(yīng)的外網(wǎng)實際地址。在“線路帶寬”欄中輸入實際的上行和下行網(wǎng)絡(luò)帶寬，并合理設(shè)置帶寬比例（默認(rèn)為80%）。在“健康檢查”欄中選擇啟“用狀態(tài)檢查”，啟用網(wǎng)關(guān)ARP檢查，設(shè)置有效監(jiān)視器方式（包括 ping、HTTP等），設(shè)置監(jiān)視的目標(biāo)主機等，點擊“完成”按鈕，保存針對NET1接口的配置信息。

按照同樣的方法，針對NET2和NET3接口進(jìn)行設(shè)置，在“端口聚合”面板中點擊“新建”按鈕，輸入其名稱（例如“聚合端口1”），在“綁定策略”列表中提供了哈希、輪詢、802.3ad和冗余雙網(wǎng)卡等，這里選擇“802.3ad”方式。

在“待選”列表中分別選擇“NET2”和“NET3”接口，點擊“<”按鈕，將其添加到聚合列表中。點擊“完成”按鈕，創(chuàng)建該聚合端口。

在“網(wǎng)絡(luò)接口”面板中點擊“新建”按鈕，選擇“WAN”項，點擊“下一步”按鈕，在接口設(shè)置界面中輸入其名稱（例如“網(wǎng)通接口”），在“網(wǎng)絡(luò)接口”列表中選擇上述聚合口（例如“聚合端口1”），在“起始 IP”欄中輸入“100.68.30.1”，在“掩 碼 /前綴”欄輸入“24”，區(qū)域設(shè)置與上述基本相同，點擊“完成”按鈕保存該端口配置信息。

配置子接口，連接內(nèi)部網(wǎng)絡(luò)

在NET4接口創(chuàng)建兩個子接口，所以在“網(wǎng)絡(luò)接口”界面中打開“VLAN子接口”面板，點擊“新建”按鈕，并輸入某個子接口名稱（例如“ziport1”），在“網(wǎng)絡(luò)接口”列表中選擇“NET4”接口，在“VLAN ID”欄中輸入“10”，最后點擊“完成”按鈕保存配置。

按照同樣的方法，創(chuàng)建名為“ziport2”的子接口，其對應(yīng)VLAN 20。在“網(wǎng)絡(luò)接口”面板中點擊“新建”按鈕，選擇“LAN”項，點擊“下一步”按鈕，在接口設(shè)置界面中輸入其名稱（例如“內(nèi)網(wǎng)接口1”），在“網(wǎng)絡(luò)接口”列表中選擇某個子接口名稱（例如“ziport1”），在“起始 IP”欄中輸入“10.1.1.1.254”，在“掩碼/前綴”欄輸入“24”，其余設(shè)置與上述操作完全相同，最后點擊“完成”按鈕保存配置。

點擊“新建”按鈕，選擇“LAN”項，點擊“下一步”按鈕，在接口設(shè)置界面中輸入其名稱（例如“內(nèi)部接口2”），在“網(wǎng)絡(luò)接口”列表中選擇某個子接口名稱（例如“ziport2”），在“起始 IP”欄中輸入“192.168.1.254”，在“掩碼/前綴”欄輸入“24”，其余設(shè)置與上述操作完全相同。

值得說明的是，在AD管理界面中可以對其他網(wǎng)路設(shè)備進(jìn)行ping探測。但是在默認(rèn)情況下，其他的網(wǎng)絡(luò)設(shè)備無法對AD設(shè)備進(jìn)行探測。

解決的方法是AD設(shè)備管理界面左側(cè)依次點擊“網(wǎng)絡(luò)配置”、“網(wǎng)絡(luò)安全”項，在右側(cè)的“高級配置”面板中的“WAN口入站路由轉(zhuǎn)發(fā)”欄中選擇“啟用”項，即可擺脫該限制。

出站鏈路均衡的原理

在本例中，對于內(nèi)網(wǎng)中名為WinServer1的服務(wù)器來說，將其DNS服務(wù)器地址指向AD設(shè)備的內(nèi)部接口“ziport1”，該接口地址為10.1.1.254。并在AD設(shè)備上配置DNS代理技術(shù)，結(jié)合AD的智能路由技術(shù)，當(dāng)內(nèi)網(wǎng)主機訪問的外部網(wǎng)絡(luò)設(shè)備屬于電信網(wǎng)絡(luò)時（例如其IP屬于200.150.6.0/24網(wǎng)段），則內(nèi)網(wǎng)數(shù)據(jù)流量從AD設(shè)備的NET1接口發(fā)出，該接口使用的鏈路IP為200.150.60.0/24。AD將 內(nèi)部的網(wǎng)絡(luò)IP連接通過NAT轉(zhuǎn)換為與上述電信相符的網(wǎng)段。

當(dāng)內(nèi)網(wǎng)主機訪問的外網(wǎng)主機屬于網(wǎng)通網(wǎng)絡(luò)時（例如其IP屬于100.68.3.0/24網(wǎng)段），則內(nèi)網(wǎng)數(shù)據(jù)流量從AD設(shè)備的經(jīng)過NET2和NET3聚合后的端口發(fā)出，該端口對應(yīng)的是IP為100.68.30.0/24的鏈路，同時AD將內(nèi)部的網(wǎng)絡(luò)IP連接通過NAT轉(zhuǎn)換為與上述網(wǎng)通相符的網(wǎng)段。當(dāng)內(nèi)網(wǎng)主機訪問的外網(wǎng)設(shè)備不屬于電信或者網(wǎng)通的網(wǎng)段，則使用輪詢的方法，分別通過AD設(shè)備的上述兩條鏈路進(jìn)行外部訪問。

組建簡單的DNS架構(gòu)

在本實驗環(huán)境中，使用名為dxServer的服務(wù)器表示使用電信網(wǎng)絡(luò)的服務(wù)器（其IP為 200.150.6.10），與 之對應(yīng)的是名為“sqServer1”的授權(quán)DNS服務(wù)器（其IP為 200.150.2.1）。使用名為wtServer的服務(wù)器表示使用網(wǎng)通線路的服務(wù)器（其IP為 100.68.3.10），與 之對應(yīng)的是名為“sqServer2”的授權(quán)DNS服務(wù)器（其IP為 100.68.2.1）。使用名為“othServer”的服務(wù)器表示使用其他網(wǎng)絡(luò)提供商線路的服務(wù)器（其IP為150.99.1.10），與之對應(yīng)的是 名為“sqServer3”的授 權(quán)DNS服務(wù)器（其IP為 150.99.2.1）。將名為“ComServer”的服務(wù)器作為“.COM”根記錄服務(wù)器，其IP為139.37.1.1。這些服務(wù)器上安裝的都是Windows Server 2008系統(tǒng)。

在名為dxServer的服務(wù)器上打開DNS管理控制臺，在其中創(chuàng)建名為“dxkd.com”的主要區(qū)域，之后在其中添加名稱為“srv”，IP為200.150.6.10的A記錄，其中在這里的IP為該機的實際IP。

為了便于其找到本例中“.COM”根記錄服務(wù)器，在DNS服務(wù)器屬性窗口中打開“轉(zhuǎn)發(fā)器”面板，點擊其中的“編輯”按鈕，輸入“.COM”根記錄服務(wù)器的IP，這里為139.37.1.1。針對名為wtServer的服務(wù)器創(chuàng)建名為“wtkd.com”的區(qū)域，并為其添加名稱為“srv”，IP為100.68.3.10的A記 錄，這里的IP為該機的實際IP。針對名為othServer的服務(wù)器創(chuàng)建名為“othkd.com”的區(qū)域，并為其添加名稱為“srv”，IP為 100.68.3.1的A記錄，這里的IP為該機的實際IP。

同時，分別為其配置轉(zhuǎn)發(fā)器，使其可以定位“.COM”根記錄服務(wù)器。

配置DNS委派域

在名為“ComServer”的服務(wù)器上打開DNS管理器，在其中創(chuàng)建一個正向查找區(qū)域，其類型為主要區(qū)域，名稱為“com”。

之后選擇“com”區(qū)域，在其右鍵菜單上點擊“新建委派”項，在向?qū)Ы缑嬷械摹拔傻挠颉睓谥休斎搿癲xkd”，在下一步窗口中點擊“添加”按鈕，在新建名稱服務(wù)器記錄窗口中輸入“dxkd.com”，設(shè)置其IP為“200.150.2.1”。點擊“確定”按鈕，完成委派操作。

按照同樣的方法，針對域名為“wtkd.com”的域進(jìn)行委派，為其設(shè)置的IP為100.68.2.1。針對域名為“othkd.com”的域進(jìn)行委派，IP為 150.99.2.1。

接下來需要針對AD設(shè)備，配置DNS委派操作。方法與上述操作完全一樣，針對域名為“xxx.com”的域進(jìn)行委派，所不同的是，為其配置了200.150.60.1和100.68.30.1兩個 IP，這樣便于實現(xiàn)出入站的負(fù)載均衡操作。

在“ComServer”的服務(wù)器的DNS管理器中打開DNS屬性窗口，在“高級”面板中選擇“禁用遞歸”項，讓其在處理DNS請求時，只返回對應(yīng)的DNS記錄信息，告訴其對應(yīng)的授權(quán)DNS服務(wù)器信息，讓其再去通過該授權(quán)DNS服務(wù)器進(jìn)行解析。

在AD上配置源地址NAT轉(zhuǎn)換

因為內(nèi)網(wǎng)主機要通過AD設(shè)備實現(xiàn)出站負(fù)載均衡，所以需要在AD設(shè)備上進(jìn)行源地址NAT轉(zhuǎn)換。這樣，就可以讓訪問電信/網(wǎng)通/服務(wù)器的流量分別走電信/網(wǎng)通寬帶鏈路，在AD管理界面左側(cè)選擇“網(wǎng)絡(luò)配置”、“源地址轉(zhuǎn)換”項，點擊“新建”按鈕，新建一個轉(zhuǎn)換項目，輸入其名稱（例如“dxnat”），在“出接口”列表中選擇上述配置好的接口，例如“電信接口”項目，選擇“代理所有的IPV4地址”、“使用網(wǎng)口地址”、“源IP和目的IP哈希”項，點擊“完成”按鈕保存該轉(zhuǎn)換項目。

同理，針對網(wǎng)通創(chuàng)建源NAT轉(zhuǎn)換項目，其名稱為“wtnat”，選擇的出接口為上述配置好的“網(wǎng)通接口”項。之后需要啟用AD設(shè)備的DNS代理功能，解析來自不同外網(wǎng)主機發(fā)來的DNS解析請求。在AD管理界面左側(cè)選擇“網(wǎng)絡(luò)配置”、“DNS代理”項，在右側(cè)的“網(wǎng)口”列表中選擇“電信接口”項，并設(shè)置其DNS服務(wù)器IP為200.150.2.1。點擊“添加”按鈕，將其添加到DNS服務(wù)器列表中。

之后繼續(xù)在“網(wǎng)口”列表中點擊“網(wǎng)通接口”項，輸入其DNS服務(wù)器IP為100.68.2.1。這樣，AD設(shè)備就可以將不同WAN接口傳來的DNS請求分別發(fā)送不同的DNS服務(wù)器。

在AD上配置IP地址集

在“啟用DNS代理”欄中選擇“啟用”項，就可以針對內(nèi)網(wǎng)主機啟用透明DNS代理功能。在“IPv4監(jiān)聽地址”欄中輸入“10.1.1.254”，即內(nèi)網(wǎng)主機使用的DNS服務(wù)器地址。在“并發(fā)查詢”欄中選擇“啟用”項，提高查詢速度。可以根據(jù)需要，輸入所需的監(jiān)視域名，這樣可以判斷DNS服務(wù)運行是否正常。其余設(shè)置保持默認(rèn)，點擊“更新”按鈕即可。在左側(cè)選擇“公共對象”、“IP地址集”項，在右側(cè)可以看到該AD設(shè)備預(yù)設(shè)的IP地址集。這里為了便于說明，創(chuàng)建自己的地址集。

點擊“新建”按鈕，在新建地址集界面中輸入其名 稱（例 如“dxdizhiji”），輸入實驗測試用電信地址集，范圍從200.150.0.0到200.150.255.255。點擊“添加”按鈕，將其導(dǎo)入地址集列表，點擊“完成”按鈕保存配置信息。對應(yīng)的，新建實驗測試用電信地址集，其名稱為“wtdizhiji”，地址范圍從100.68.0.0到100.68.255.255。根據(jù)這些信息，當(dāng)訪問電信/網(wǎng)通/服務(wù)器時，分別走電信/網(wǎng)通寬帶鏈路，對于其他的訪問流量，則實現(xiàn)在上述兩條鏈路的負(fù)載均衡。

實現(xiàn)靜態(tài)就近訪問功能

在AD管理界面左側(cè)選擇“路由配置”、“智能路由”項，在右側(cè)點擊“新建”按鈕，來創(chuàng)建新建路由項目。在“智能路由”面板中輸入名稱（如“dxroute”），在“目的IP地址”列表中選擇“ISP地址段”項，在“ISP地址段”列表中選擇上述地址集“dxdizhiji”項，在“待選”列表中選擇“電信接口”項，點擊“<”按鈕添加進(jìn)來。

在“鏈路選擇策略”列表中選擇“加權(quán)最小流量”項，點擊“完成”按鈕保存配置，這樣即實現(xiàn)靜態(tài)就近訪問功能，讓訪問電信的流量直接從NET1接口發(fā)出。對應(yīng)的，創(chuàng)建針對網(wǎng)通的路由南項目，其名稱為“wtroute”，在“ISP地址段”列表中選擇上述地址集“wtdizhiji”項，并選中“網(wǎng)通接口”項，讓訪問電信的流量直接從上述聚合端口接口發(fā)出。在智能路由列表中雙擊默認(rèn)的路由項目，在其屬性窗口的“鏈路選擇策略”列表選擇“輪詢”項，這樣可以讓其余的訪問流量按照輪詢的方式，在上述兩條鏈路上實現(xiàn)負(fù)載均衡。

當(dāng)然，利用AD設(shè)備，不僅可以實現(xiàn)出站鏈路的負(fù)載均衡，還可以實現(xiàn)入站的負(fù)載均衡。這里限于篇幅就不再贅述了。