隨著計算機和互聯網設備硬件性能的不斷攀升,互聯網應用的爆發式增長,對互聯網帶寬也提出更高的要求。即使是只為內網用戶提供互聯網接入服務的網絡,只要具備一定的規模,一般也會選擇多運營商鏈路實現互聯網接入。選擇多鏈路出口是為了提高網絡的整體帶寬和網絡的可靠性;選擇多運營商則是為了解決國內跨運營商訪問速度不佳的問題。在這樣的網絡環境,要求出口網關設備,無論是路由器、防火墻,還是專業的鏈路負載設備都要具備以下功能:
1、準確的鏈路健康監控,及時地發現故障鏈路并停止該鏈路的數據轉發,提高網絡的可靠性。
2、鏈路流量的負載均衡,只有各鏈路流量均衡分擔,才能充分利用出口鏈路帶寬,避免因流量分配不均衡造成個別鏈路擁塞。
3、良好的用戶上網感受,讓用戶選擇最快速的網絡鏈路完成互聯網訪問,提高網絡的訪問速度。
但在實際的網絡環境中,作為出向流量(Outbound)的鏈路負載均衡設備,滿足上述第1項,各類產品基本都沒有問題,但第2項與第3項也同時滿足卻十分困難。我們先看看當前常見的鏈路負載方法。
A、源路由和策略路由,作為路由器和防火墻類設備最常見的實現鏈路負載的方法,配置簡單,在穩定的網絡環境中,能夠輕松的實現各鏈路流量的負載均衡,但卻無法提高用戶上網感受,用戶固定的綁定到特定的出口鏈路,依然存在跨運營商訪問慢的問題。
B、輪詢和加權輪詢,效果與A相似,且用戶從不同的鏈路去訪問互聯網,如果出口設備不具備會話保持功能,或會話保持配置不當,會出現網銀、網游等應用訪問異常的問題。
C、ISP地址精確匹配,用戶訪問的目的地址與ISP地址池匹配,做到訪問電信地址的流量走電信鏈路,訪問聯通地址的流量走聯通鏈路。可以提高了用戶的訪問速度,但常常出現鏈路流量分配不均衡,在高峰期有的鏈路帶寬被占滿,有的鏈路則十分空閑,高峰期用戶的上網感受也會由于鏈路被占滿而變差。
D、鏈路反應速度探測,針對用戶訪問的目的地址,檢測各鏈路的反應速度,選擇反應最快的鏈路轉發流量。效果與C相似,高峰期用戶的上網感受及鏈路負載情況都會更好一些。但在特定的環境下效果欠佳,比如高校網絡中,學生某一時間段集中觀看體育賽事直播時,可能出現某條鏈路帶寬快速被占滿,使鏈路變得擁塞,而出現直播視頻傳輸不暢。這是因為鏈路速度探測不是針對每一次訪問進行的,如果針對每次訪問都進行探測,探測本身的時間消耗一定大于網絡自身延遲;而周期性探測往往會導致周期時間內,網絡環境變化與最初探測結果不同,周期內如果觀看賽事直播的應用集中出現,某條鏈路流量會快速增加,導致流量分配不均衡,甚至應用本身的訪問速度也受到影響。
為突破上述解決方案的局限性,A10提供一個新的出向流量(Outbound)鏈路負載解決方案,方案通過ISP地址精確匹配與DNS服務器負載相結合實現出向流量鏈路負載均衡。我們知道ISP地址精確匹配是提高用戶感受的最直接方式,它的問題是鏈路流量負載不均衡,而造成流量分配不均衡的原因則是由于DNS解析造成的。
原因之一是國內的大型數據中心和大型站點,采用多運營商鏈路方式接入互聯網,或在不同運營商建立獨立的數據中心。因此相同的域名,用戶使用不同運營商的DNS服務器,解析出的IP地址可能完全不同。
而對鏈路流量分配不均影響更大的是P2P軟件,下面提供一組分析數據充分說明運營商DNS對于P2P流量選路的影響。下表是通過對迅雷軟件在不同運營商網絡中下載同一資源獲得的抓包信息提取的分析數據。
#p#副標題#e#
PC機運行迅雷軟件,迅雷發起包括plugin.x17.xunlei.com會員登陸域名在內的與迅雷相關的域名解析請求超過30個,而返回的域名解析IP地址則與用戶所配置DNS的運營商保持一致。當開啟下載任務時,表現更為明顯,在提供P2P下載數據量最多的20個IP地址中,幾乎看不到其他運營商的IP地址。這就導致了在多運營商鏈路的環境中,P2P流量幾乎完全從用戶使用的DNS運營商鏈路轉發,造成鏈路流量分配不均,可見用戶選擇的DNS服務器對于出向鏈路的流量負載影響極大。
既然DNS解析能夠影響鏈路流量的分配,我們也可以利用這點來實現鏈路流量的均衡分配。在ISP地址精確匹配基礎之上,我們通過A10的負載均衡設備針對用戶的DNS服務配置服務器負載均衡,將用戶的DNS請求以加權輪詢的方式分配到各鏈路對應的DNS服務器,通過權值比例來控制各鏈路的流量分配。這樣可以通過ISP地址精確匹配來提高用戶的上網感受,也避免了鏈路探測所面臨時間周期內流量分配不均衡的問題。
這樣的解決方案對于用戶來說也是十分方便,用戶可以繼續使用原有的DNS配置,不需要做任何配置更改;如果在DHCP環境下,甚至可以為用戶分配一個像100.100.100.100這樣的虛擬DNS服務器地址。
下面為大家提供一個測試實例,介紹一下方案中AX系列設備DNS解析加權輪詢的配置,以及在實際環境中所達到的效果。先介紹一下測試環境:測試網絡有100M聯通鏈路和200M電信鏈路兩條出口,高峰期在線用戶1500人左右。
用戶采用ISP地址精確匹配,由于電信鏈路帶寬大一些,用戶最早將電信DNS通過DHCP分配給網內用戶,發現流量分配不均衡后將電信DNS替換成聯通的DNS,問題依然存在。
下圖是AX設備上線后用戶配置聯通DNS,AX沒做DNS請求輪詢分配時的抓圖。
截圖期間用戶網絡有近300人使用電信DNS,但電信鏈路在高峰期依然存在大量空閑,而聯通的鏈路在21點后完全被占滿。
我們在AX設備上配置DNS輪詢查詢:
配置電信與聯通的真實DNS服務器,使用默認的udp端口健康監測。
slb server ctc_dns 1.1.1.1
port 53 udp
slb server cuc_dns 2.2.2.2
port 53 udp
配置DNS服務器組,選擇加權輪詢方法。
slb service-group dns_group udp
method weighted-rr
member ctc_dns:53
member cuc_dns:53
配置到100.100.100.100的UDP 53端口請求分配給dns_group處理,并作源地址轉換,snat_group內包括電信和聯通的nat地址池。
slb virtual-server to_dns 100.100.100.100
port 53 udp
source-nat pool snat_group
service-group dns_group
no-dest-nat
這里加兩條精確的靜態路由,目的地址為運營商dns服務器,下一跳為dns對應鏈路的網關,我們這樣配置的目的是讓dns請求本身能夠快速訪問。
ip route 1.1.1.1/32 a1.b1.c1.d1
ip route 2.2.2.2/32 a2.b2.c2.d2
完成以上配置,我們將用戶網絡的dhcp服務器中dns地址改為100.100.100.100后,觀察用戶網絡流量分配,基本實現鏈路負載均衡,當天截圖如下:
上圖可以看到在高峰期兩條鏈路基本都被占滿,聯通鏈路負載稍重的原因是由于配置當天有少部分用戶dns沒有更新,且沒有做細致的權重比例調整。
通過將dns解析請求輪詢分配給不同運營商dns服務器來控制鏈路流量分配,雖然不是完美的解決方案,但卻可以稱得上是當前最適合國內的網絡環境的出向鏈路負載解決方案,具有原理簡單、配置容易、設備本身資源消耗低的特點,且能夠全面滿足開篇提到的鏈路負載解決方案的3個要求。
