互联网的开展使上网成为企业越来越重要的需求，企业上网现已不只仅是为了建一个网站对企业进行宣扬或满意职工对互联网的拜访。跟着运用水平的进步，企业对互联网的运用早已扩大到电子商务、移动作业人员的VPN拨入、体系的长途保护等关系到企业日常运转的运用。因此在网络建设中不只要考虑企业上网的安全性，其可靠性和可用性也是必需要考虑的部分。

在咱们企业，原有的局域网选用一台PIX525防火墙衔接到外部网络，经过防火墙上的四个以太网端口衔接与企业网络相关的四个不同安全等级的区域：Inside端口衔接企业局域网，Outside端口衔接互联网，DMZ1端口衔接企业互联网事务服务器集群区域，DMZ2端口衔接职业网。从可靠性上看，网络结构存在单点毛病。作为网络出口的中心设备，一台防火墙承载着避实就虚运用，不只负载较大并且没有冗余，一旦呈现毛病将影响到避实就虚运用。选用一条互联网接入链路也存在着单点毛病，ISP网络的衔接失效以及互联网接入运营商调整线路、保护等问题都会影响到企业互联网运用的正常运转。从可用性上看，10M的互联网带宽已无法满意企业日益增长的运用需求，并且运用一个ISP的网络会因为各大ISP网间的互联互通问题构成在不同ISP网络之间的运用缓慢或不稳定。针对以上问题，咱们挑选了负载均衡技能改造网络出口，保证企业上网运用的需求。

需求剖析

针对现在存在的问题，并充分考虑企业的实践运用需求，网络出口的负载均衡计划要求完成如下方针：

1.关键设备及链路的负载均衡和毛病冗余，并要求网络具有灵敏的扩展空间，将来能依据实践运用需求的增长在充分使用现有网络设备和网络拓扑的情况下对网络出口进行扩展。

2.互联网接入的负载均衡和毛病冗余，选用两条不同ISP链路，为企业供给服务。两条链路之间要求树立起必定的流量办理机制，可以合理有效地分配两条链路的资源，并在某链路产生毛病时主动将其流量切换到别的的链路，主动完成通明容错。当链路康复时主动将其加入到负载均衡组中，完成VPN拨入的容错功用。

3.智能办理不同ISP供给的网络服务，优化避实就虚的ISP链路。对外拜访要求到ISP1的数据由ISP1链路出，回来的数据仍然由ISP1的链路回;相同到ISP2的数据也相同。对内拜访要求服务器的内网地址能一起映射两个ISP的公网地址，一致域名，长途拜访经过动态的DNS来找出现在最合适的ISP衔接拜访服务器。

技能分化

依据需求剖析，咱们选用了防火墙集群和多链路负载均衡两个技能计划来完成企业上网的负载均衡。

咱们运用两台SG-1000防火墙设置成集群，在防火墙上完成负载均衡和毛病冗余。集群节点负载的分配首要依据防火墙CPU的使用率来决议，使用防火墙集群的多链路技能完成了互联网链路的负载均衡和毛病冗余(如图1) 。互联网接入选用移动(ISP1)和电信(ISP2)两条当地首要互联网运营商的10M链路，每个ISP都分配给企业网络一个IP地址段。多链路技能供给了高可靠性的ISP衔接，处理了ISP单点失效及Internet服务不可靠和反响缓慢等问题.，并一起在流出流量和流入流量间完成两条ISP链路的负载均衡和毛病冗余。在正常情况下两条链路上的流量是均衡的，并依据拜访的IP地址主动挑选最优途径。

关于在防火墙集群DMZ区的对外服务器，每一台服务器界说了一个服务器地址池，一个内网IP映射两个公网的IP，两个IP地址一致域名。防火墙集群守时检测链路，进行DDNS更新。长途拜访将经过动态的DNS来找出现在最合适的ISP衔接，将数据包发到服务器相应的IP地址上。

移动用户VPN的拨入默许经过ISP1线路进入认证服务器，当ISP1的线路呈现问题的时分，VPN客户端主动经过ISP2线路拨入，在双链路之间完成了VPN接入的容错。

在网络鸿沟，咱们装备了两台相同装备类型的PIX防火墙(PIX-A和PIX-B)加强安全防护。为了均衡PIX防火墙的负载，进步网络功用，咱们改动传统的两台设备之间一主一备的作业形式，完成防火墙之间的Active/Active冗余作业形式。每一台物理防火墙都虚拟出两个逻辑防火墙Fw-a和Fw-b，Fw-a衔接ISP1网络，Fw-b衔接ISP2网络。PIX-A的Fw-a与PIX-B的Fw-a构成Active/Standby形式，PIX-B的Fw-b与PIX-A的Fw-b构成Active/Standby形式。

把PIX525的IOS晋级到7.21以及晋级ASDM到5.21，把防火墙设成多容器状况，启用Failover功用。为了Active/Active形式树立两个Failover Group，然后界说虚拟防火墙Fw-a和Fw-b。

以下是引证片段：

wr erase start-config 

mode multiple

Failover

failover link link Ethernet0

failover interface ip link 10.0.4.1 255.255.255.0 standby 10.0.4.11

failover group 1

primary

failover group 2

secondary

wr erase start-config 0

wr erase start-config 1

wr erase start-config 2

wr erase start-config 3

运用作用

负载均衡在网络出口运用之后，进步了企业衔接互联网的带宽，完成了设备和链路的冗余，并对网络的流量进行了智能化的办理，然后有效地保证了企业上网的可靠性和可用性。为查验作用，咱们以局域网拜访互联网为例进行测验，以ISP1本地网站movie.mccly.com和ISP2本地网站为方针进行Tracert测验。图2为两条ISP链路一起衔接，负载均衡启用的测验成果显现：抵达两个网站的途径都是5hops，推迟小于10ms。图3为断开ISP2链路，独自衔接ISP1网络的测验成果：抵达ISP1网站的途径和推迟不变，但抵达ISP2的途径增加到14hops，推迟为13ms。由两个成果比照可看出，负载均衡为每一个数据包挑选了一条最优的路由途径，拜访速度得到了优化，进步了网络出口的可用性。　　

图1 改造后的网络拓扑图　　

图2 断开ISP2链路，独自衔接ISP1网络的测验成果　

图3 两条ISP链路一起衔接，负载均衡启用的测验成果

【修改引荐】

1. 不同网络层面上的网络负载均衡技能
2. VRRP技能完成网络的路由冗余和负载均衡