多Internet互联网出口解决方案

校园网单链路Internet接入弊端与解决方法作者：王玮赵杨龙来源：《电脑知识与技术》2012年第08期摘要：校园网单链路Internet接入，在日常使用过程中存在一定的弊端，如出现链路故障，将影响到校园网日常办公效率。

该文以本院校园网为例，就目前校园网存在的这种问题进行分析总结，并给出解决此类网络问题的解决方法。

关键词：校园网；单链路；多链路中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)08-1779-03新世纪的到来，教育领域也已迎来新的发展和挑战，目前教育正向信息技术和多媒体应用为主，以尖端的信息技术来补充传统课程和教学方式的不足。

校园网作为连接学生、老师、科研人员和管理人员的中枢神经，在实际的教学和日常工作中已经成为必不可少的学习工作平台，校园网网络稳定性和高效性将直接影响学校日常办公。

1本校区校园网说明1.1目前，本校区网络结构为树状结构1）校园网互联网出口为单链路出口，广电光线接入，共享百兆带宽；2）局域网网络设备共三台交换机，1台核心交换机，负责校园网数据转发，另外两台交换机分别负责办公区与电教室网络接入；3）网络拓扑如下图：1.2业务功能办公区主要进行日常办公活动使用；教学区主要为电教机房为主，主要从事网络教学和省图书馆电子图书阅览使用。

1.3数据类型办公区日常办公业务，如高考报名、学生学籍管理、申请贫困生国家资助等；阿帕比电子图书阅读系统客户端，用于浏览省图书馆电子图书。

1.4单链路出口的弊端由于本校区为单互联网出口，网络链路质量不太稳定有线掉线现象，如此链路出现故障将直接影响到学校的工作效率。

1.5单链路弊端解决方案目前主流校园网均采用多条链路互联网出口，所以多链路是解决单链路较为实用和理想的方法。

增加互联网出口网络设备。

网络设备的增加，也可使内网数据定向流出，合理分担网络链路压力，从而避免网络拥塞、延迟过大等问题。

2多链路及数据分流实现机制由于本校区目前设备无法满足多链路的要求，需增加网络设备（防火墙或路由设备），安全考虑建议采用防火墙。

双网接入的种类与设置方法一、双IP双线路实现方式双IP双线路实现方式是指在一台服务器上安装2块网卡，分别配置电信、网通不同的IP地址，这样一台服务器上就有了两个IP地址，在服务器上配置路由表，实现服务器访问电信和网通各自不同的IP的时候，分别走不同的通道。

另一方面，用户通过唯一的域名来访问服务器，而域名解析的时候，通过实施对不同的IP地址请求返回不同的服务器IP的方法来实现，网通用户请求域名时返回网通的IP，电信用户请求域名时返回电信的IP，这也就是所谓的智能dns解析。

双IP双线路在一定程度上提高了网通与电信用户访问网站的速度，但缺点是由于服务器接入的是双网卡必须在服务器上进行路由表设置，这给普通用户增加了维护难度，并且所有的数据包都需要在服务器上进行路由判断然后再发往不同的网卡，当访问量较大时服务器资源占用很大。

此方案是最简单的双线解决方案，一般限于规模较小的IDC提供商使用。

二、单IP双线路普通的单IP双线路是指在服务器上设置一个IP，此IP是网通IP或是电信IP，通过路由设备设置数据包是通过是电信网络或是网通网络发出来实现的双线技术。

此方案也可以提高网通用户与电信用户的访问速度，解决了双IP双线需要在服务器上设置路由的问题，但由于IP地址采用的是网通或电信的IP，访问用户在发送请求数据包时不会自动判别最好的路由。

所以这种解决方案只能说是半双线的技术方案、是一种过渡形式的解决方案。

此方案一般为单线IDC 服务商往双线IDC服务商转型期所采用的临时方案。

三、 CDN方式实现双线路CDN（Content Delivery Network）互联网内容分发网络,就是多服务器分网托管加智能域名DNS，即服务器是CDN 服务商提供，放在不同网络节点上，通过缓冲程序自动抓取用户源服务器的数据，然后缓存在不同网段节点的服务器上。

再配合智能DNS服务器的分网解析功能，实现不同网络用户都能访问到离自己最近网段上的网站，从而避免因为网络问题而影响网站访问速度的目的。

多 Internet互联网出口解决方案美国A10 NETWORKS在INTERNET出口链路负载均衡方面的优势 (3)经过验证的优异性能和可靠性表现.................................................................................................................................................................................3..出类拔萃的性能指标 ........................................................................................................................................................................................ 3.较强的防DD O S能力/灵活的流量控制手段 (3)多功能的灵活实现可以满足客户定制化的功能需求................................................................................................................................................3..无模块/L ICENSE限制，一体化的全功能/最高性能架构................................................................................................................................ 3. INTERNET出口需求描述.. (4)亏连亏通带来的访问延时 (4)多I NTERNET链路出口用户流量的引入问题 (4)多I NTERNET链路出口带来的链路使用率丌均衡问题..................................................................................................................................................5..多I NTERNET链路出口NAT转换的问题............................................................................................................................................................ 5.多I NTERNET链路出口可用性和冗余备份的问题..........................................................................................................................................................5...多I NTERNET链路出口静态地址表维护/劢态探测算法................................................................................................................................................5..美国A10 NETWORKS链路负载均衡技术方案 (6)美国A10N ETWORKS解决方案总结.....................................................................................................................................................................................6..链路负载均衡的两种流量类型..........................................................................................................................................................................................6...美国A10N ETWORKS入吐流量链路负载均衡（I NBOUND LLB/GSLB）......................................................................................................................7...基亍DNS解析的常见WEB访问流程.................................................................................................................................................. 7.智能DNS解析的实现........................................................................................................................................................................... 8.出吐流量链路负载均衡（O UTBOUND LLB） (9)常见的出吐解决方案........................................................................................................................................................................... 9.结合出吐DNS智能解析的解决方案........................................................................................................................................... 1. 0 出吐流量负载的其他功能................................................................................................................................................................. 1.1 美国A10 NETWOR KS系列设备链路功能的具体实现 .. (14)出吐流量链路负载均衡（O UTBOUND LLB）的具体实现 (14)入吐流量链路负载均衡（I NBOUND LLB）的具体实现 ........................................................................................................................ 1. 6 健康检查（H EALTH M ONITOR）的具体实现. (17)美国A10 NETWORKS INTERNT E出口负载均衡具体实施建议方案 (18)美国A10 NETWORKS链路负载均衡各功能的实现 (19)出吐负载均衡........................................................................................................................................................................................................................1 9 NAT地址映射........................................................................................................................................................................................................................1 9 入吐负载均衡........................................................................................................................................................................................................................1 9 公网内网映射以及服务器负载均衡 ................................................................................................................................................... 1. 9 双机HA 热备份.....................................................................................................................................................................................................................1 9 防DD O S攻击功能................................................................................................................................................................................ 1.9 美国A10 NETWORKS部分成功案例. (20)AX2500 实际案例............................................................................................................................................................................................ 2.0 AX3000 实际案例............................................................................................................................................................................................ 2.1 AX3030 实际案例............................................................................................................................................................................................ 2.2 DD O S防护实际案例............................................................................................................................................................................. 2. 2 链路带宽均衡分配的实际案例........................................................................................................................................................................................2 3 系统高幵发数的实际案例 ................................................................................................................................................................... 2. 3美国A10 NETWORKS在INTERNET出口链路负载均衡方面的优势Internet 出口作为用户戒者数据中心的出口，其重要性丌言而喻。

下一代出口产品解决方案Inline & Passive Solution目录•Niagara Networks 公司介绍•下一代互联网出口架构及解决方案•Niagara Networks 产品介绍•Niagara Networks 实际案例Niagara Networks 公司介绍创始人 Ben Askarinam•20+年网络设备职业经理人。

2007年创办Interface Masters Technology公司并发展成为一流的网络及通信设备制造商销售网络•全球化的销售网络，覆盖北美，欧洲及亚洲市场客户分布•金融服务、互联网、运营商、医疗、高科技产业等等，+200家企业产品支持•专业的工程师团队•7X24X365服务响应North America EuropeAsia•下一代互联网出口架构及解决方案互联网出口网络安全防护现状网络基础架构外网路由器DMZ防火墙电信/联通早期外网路由器DMZ防火墙电信/联通WEB/Email 网关IPS 网络基础架构外网路由器DMZ下一代防火墙电信/联通WEB/Email 网关IDS/IPS 内网DDOS 防御上网行为管理外网DDOS 防御/数据丢失保护网络基础架构中期现在目前安全保护方式的问题现在单点故障扩展困难安全防护效率低管理维护成本高用户的困扰及解决方案安全设备部署、工作模式趋势 IWSA 透明桥接模式网康透明桥接模式DDOS 攻击防护设备透明桥接模式流量带宽管理设备透明桥接模式趋势IWSA 透明桥接模式流量统计分析旁路监测具体需求•网络安全设备旁路（Bypass ）•网络链路旁路（Bypass）•流量筛选和智能导向•流量负载均衡分流出现的困扰•现有网络安全设备可靠性低、存在单点故障风险•现有网络安全设备处理性能问题，降低了互联网出口的整体性能•无法对现有网络安全设备进行有效扩展•运维管理复杂且存在风险传统方式向在线安全方式转变OptimizeVoIP SMTP 10Gig Network PipeSSL VIDEOHTTP/S IGMP Noise10G NGFW / IPS10G Sec Email GW 10G Sec Web GW 10G VoIP AnalyzerOTHERInternet10Gig Network Pipe4Gig HTTP 1GigSMTP/POP32Gig VoIP1Gig SSL 基于硬件的智能过滤10G NGFW/IPS 1G Sec Email GW 4G Sec Web GW 2G VoIP AnalyzerInternetBYPASS引流的工作方式IPS重定向网络流量给在线安全工具进行安全处理网络Bypass工具Bypass冗余Web GW流量分析工具Web GWEmail GWDDOS一台WAF上线面对的实际问题一台WAF 上线面对的实际问题服务器群WAF 外网路由器交换机问题1问题2服务器群WAF 外网路由器交换机一次维护需要两次断网割接！问题3服务器群WAF 外网路由器交换机无法利旧造成投资浪费！单点故障只需一台BYPASS 交换机服务器群WAF外网路由器交换机Bypass switchBYPASS 解决方案服务器群外网路由器交换机WAFBypass switch服务器群外网路由器交换机WAF维护安全设备过程无须断网！Bypass switch单点故障无断网风险！BYPASS 解决方案多场景应用服务器群WAF1外网路由器交换机WAF2Bypass switch 主备部署两台设备服务链服务器群IPS 外网路由器交换机WAFBypass switch服务器群外网路由器交换机WAFWAFNPBBypass switch1.消除单点故障风险2.维护安全设备过程无须断网服务器群外网路由器交换机WAFWAF NPBWAFBypass switch3.实现安全设备平滑扩容，充分利旧，保护投资服务器群外网路由器交换机WAFWAF NPB Web 业务数据包其它数据包Bypass switch 4.实现流量过滤流量经筛选后送交安全设备处理，避免不必要的资源浪费。

xxx互联网出口负载均衡和流量分析项目方案巴州浩展网络有限责任公司2012年3月目录1项目背景 (3)2项目目标 (3)3项目原则 (3)4总体方案设计 (4)4.1现状分析 (4)4.2方案论证 (4)4.3总体方案 (5)5设计方案 (6)5.1技术关键点 (6)5.2方案设计 (7)6实施方案 (11)6.1设备安装调试 (11)6.2设备上架、加电测试 (11)6.3业务平滑迁移 (11)6.4链路跳接 (12)6.5策略调整、优化配置 (12)6.6设备关机 (12)7项目组织管理 (13)7.1项目实施总体布署 (13)7.2项目实施准备工作 (13)7.3项目实施关键步骤说明 (14)7.4项目文档管理 (15)8项目实施进度计划 (16)9应急预案 (16)10培训计划 (17)10.1F5培训内容 (17)10.2Allot 培训内容 (17)11附件 (19)11.1《F5-6400配置手册》 (19)11.2《Allot管理服务器配置手册》 (26)11.3《Allot-3040配置手册》 (28)11.4C3750G配置手册 (32)1项目背景目前xxx的互联网出口是电信、联通双线接入，办公网、公共信息网分别建有互联网出口系统；中石油互联网出口接入到办公网边界区域；用户群体庞大，约有3万终端。

油田中心机房现有油田办公网互联网出口负载均衡设备、流量整形设备，且各只有一台，没有备份，当出现软硬件问题设备不能正常运行时将导致相关网络瘫痪。

通过本项目购置负载均衡设备和流量整形设备各1台，为互联网正常运行做好保障。

2项目目标根据油田互联网出口现状，设计原有的互联出口设备和新购的F5负载均衡、ALLOT流量整形设备的实施方案。

根据方案进行油田互联网出口整体实施，包括原有设备和新购设备等的安装实施。

在原有的互联网出口系统基础上，使之更加稳定、安全、可靠。

3项目原则⏹先进性原则⏹可靠性原则⏹维护性原则⏹扩展性原则⏹安全性原则⏹易用性原则4总体方案设计4.1现状分析办公网互联网出口设备有F5-6400、Allot-1010、ISG2000和边界路由器3750G，公共信息网互联网出口设备有F5-3400、QQSG和边界路由器3750G。

H3C 双互联网接入负载分担及备份【解决方案及配置实例】#version 5.20, Alpha 1011#sysname H3C#bfd echo-source-ip 1.1.1.1#acl number 3000rule 0 permit ip source 192.168.1.0 0.0.0.255acl number 3001rule 0 permit ip source 192.168.2.0 0.0.0.255#interface Ethernet0/1/0port link-mode routeip address 192.168.100.254 255.255.255.0ip policy-based-route internet#interface Ethernet0/1/1port link-mode routeip address 10.10.10.1 255.255.255.0#interface Ethernet0/1/2port link-mode routeip address 10.10.20.1 255.255.255.0#policy-based-route internet permit node 1if-match acl 3000apply ip-address next-hop 10.10.10.254 track 1policy-based-route internet permit node 2if-match acl 3001apply ip-address next-hop 10.10.20.254 track 2#ip route-static 0.0.0.0 0.0.0.0 10.10.10.254 track 1ip route-static 0.0.0.0 0.0.0.0 10.10.20.254 track 2ip route-static 192.168.0.0 255.255.0.0 192.168.100.1#track 1 bfd echo interface Ethernet0/1/1 remote ip 10.10.10.254 local ip 10.10.10.1track 2 bfd echo interface Ethernet0/1/2 remote ip 10.10.20.254 local ip 10.10.20.1配置案例1.10 双WAN接入路由配置目前越来越多的企业和网吧采用双WAN上行接入的方式，这种组网方式既可以实现链路的负载分担又可以实现链路的动态备份，受到用户的普遍欢迎。

东北财经大学校园网网络安全及出口优化解决案例作者：孙剑颖邹鹏来源：《中国教育信息化·高教职教》2010年第01期摘要:校园网已成为教学和科研的重要平台,但大量增长的网络用户也给网络的管理带来了一系列的问题,其中最突出的是网络安全和网络出口问题。

本文简单介绍了东北财经大学校园网网络安全及出口优化的解决方案。

关键词:校园网网络安全网络出口中图分类号:TP393.08 文献标识码:B 文章编号:1673-8454(2010)01-0023-02一、东北财经大学校园网现状东北财经大学已先后启动三期校园网建设工程,现已建成的万兆校园计算机网络系统已覆盖校内全部的办公楼、教学楼、学生宿舍,以及部分教工宿舍,入网计算机达15000余台(包括实验室)。

随着网络的广泛应用,校园网已经成为全校师生学习和科研的必要工具,校园网用户与日俱增。

但在用户增长的同时,东北财经大学校园网的出口线路并没有变化,这就造成对校外站点的访问出现瓶颈。

另外,大量增长的网络用户也给网络的安全管理带来了一系列的问题,例如:病毒与木马的监控防治,用户网络行为的监控与管理等。

二、现阶段校园网存在的主要问题1.网络安全方面存在严重问题问题1:无统一的网络防病毒系统东北财经大学过去因无统一的网络防病毒系统,网络病毒的防治只能靠使用者的计算机操作水平和安全意识来保证。

不少用户的计算机系统不安装杀毒软件,有的用户虽然安装了杀毒软件,但不及时更新病毒代码库或者不及时安装系统补丁,结果大量的计算机上网带毒运行,这不仅严重地影响了网络的运行效率,同时也会造成网络中病毒的快速传播和泛滥,导致网络瘫痪。

另外,部分用户使用U盘前不做任何安全防护措施,将文件中的病毒通过网络感染给其他计算机,这也是病毒泛滥的一个重要的原因。

问题2:无入侵检测系统和防火墙网络是一个开放的系统,只要连通互联网就会存在被不法分子攻击的危险。

针对系统的安全漏洞进行扫描,发现防护存在漏洞的计算机后实施攻击是黑客常用的网络攻击手段。

电子政务网络 MPLS VPN 建设方案及说明网络功能描述各职能部门网络安全互通随着政府信息化工程的实施，政府各部门基本都有了自己的内部网，但因为没有统一的政务网平台，相同职能部门的各节点还基本处于信息孤岛状态，信息的交互只能通过经过Internet的电子邮件方式，办公自动化等内部系统无法连通,给政府办公带来了极大的不便。

政务网建成后，可使各职能部门的网络互通，方便了信息交流和共享，提高了办公效率，密切了上级的关系。

互通后的网络受到VPN的保护，保障了内部信息的保密、安全。

统一的网络平台，避免重复建设采用统一的网络平台为所有政府部门服务，无需每部门单独建设城域网,节省了投资。

通过MPLS VPN技术，实现各部门网络逻辑隔离，保证了各部门信息的安全性。

通过灵活的策略实现VPN之间的可控访问,实现协调业务工作。

统一的Internet出口，节省上网支出采用本方案设计的政务网，可实现统一的Innternet出口，结束了原来每个孤立节点都要为访问Internet单独付费的局面，节省了上网支出。

为政府开源节流,节省资金做出了贡献。

采用高带宽的统一出口，可以提高各部门Internet的访问质量。

采用本方案设计无需每部门甚至每节点单独购置防火墙和网络安全设备，同样节省了政府开支.统一的对外公共信息平台，使网上政府的理想得以实现采用该方案设计的政务网，实现统一的对外公共信息平台，扫除了政府各部门共享数据资源的技术障碍，可实现网上政务一站式办公，大大提高了政府部门对公众的服务能力，并树立政府部门统一良好的公众形象。

数据资源的安全可以集中考虑，通过集中部署防火墙、入侵检测系统、等保障数据安全，增强了数据安全保障的可实施性。

可通过灵活设置VPN等功能,可控制政府内部人员对公共平台上敏感数据的访问权限，进一步保障网上政府实施的安全性。

统一的对内公共信息平台，实现各部门间的内部交流采用该方案设计的政务网，实现统一的对内公共信息平台，使政府各部门间的联合办公,统一的内部Emai系统,统一的内部信息发布平台等功能得以实施，进一步提高政府办公效率。

互联网专线业务解决方案一、总体思路和说明互联网专线接入服务（Dedicated Internet Access，DIA），通过高速宽带互联网CNCnet及各地城域网，利用多种专线接入方式，为用户提供2Mbps~1000Mbps各规格Internet高速接入端口，帮助用户真正实现高速可靠上网。

联通公司提供的互联网专线电路采取光纤直入的接入方式，双方直接通过FE及GE的光口对接，在深圳传输城域网端侧，提供电路1+1备份，分别上联在深圳联通机房不同调备，不同的光口上，充分保障电路的稳定性。

同时，深圳联通互联网专线做为贵司现有互联网出口的一个扩容及备份作用，保障在互联网电路正常的情况下，可以与原有中国电信的互联网出口电路做到负载分担的作用，在任意电路出现互联网故障的时候，保障互联网不中断。

二、技术方案中国联通互联网专线接入产品示意图与国内其它宽带服务商比较，联通DIA具有独特的优势。

首先，联通高速宽带互联网CNCnet是国内率先采用IP over DWDM和MPLS技术的全国性IP骨干网，拥有高达40G的带宽和服务质量（QoS）保证，从基础设施层面能充分支持各种宽带应用和爆炸性增长的数据流量。

其次，联通拥有超大容量独立国际出口，且即将会再一次扩容，有效保障了联通用户对全球信息资源的快速访问。

再次，中国联通目前已经与国内外著名运营商及ISP实现了高速对等互联，如CHINANET、CHINAGBN、CERNET等，并在北京、上海、广州三地与CHINANET分别实现多个大带宽私有互联，确保国内外信息畅通无阻。

另外，联通在根据用户差异化需求提供SDH、DDN、ATM等多种接入方式的基础上，正在大力推广光纤到边（FTTx）接入方式，FTTx实现了全程光纤的接入，使用户可以充分利用应用最广泛、价格低廉的局域网设备，得到几乎不受限制的带宽。

产品特性和优势1、服务质量保证联通严格依据客户需求提供各种档次的服务，充分保障客户的服务质量，专业化的大客户保护措施和机制可以保证大客户获得优先的照顾和资源支持。