前言：

　　目前很多企業(yè)為了提高信息發(fā)布的性能和可靠性，向多個電信運營商同時租用互聯(lián)網(wǎng)線路，所以擁有兩條或兩條以上的互聯(lián)網(wǎng)連接鏈路，這些用戶希望分別通過多條鏈路使用網(wǎng)絡(luò)平臺和資源，但是這樣的網(wǎng)絡(luò)出口建設(shè)形式，暴露出以下問題，并亟待解決。

　　企業(yè)廣域網(wǎng)鏈路絡(luò)存在的問題：

　　1、鏈路的單點失效性：

　　采用單一Internet連接鏈路存在單點失效性，一旦該鏈路出現(xiàn)故障將造成整個企業(yè)網(wǎng)絡(luò)的癱瘓。

　　2、鏈路性能的瓶頸：

　　單一Internet連接鏈路的帶寬資源是有限的，無法滿足企業(yè)內(nèi)部全體用戶對Internet訪問時所需的帶寬，同時也無法滿足大量的Internet上的用戶對企業(yè)的訪問。

　　3、網(wǎng)絡(luò)安全防護能力弱：

　　目前Internet上的各種各樣的網(wǎng)絡(luò)攻擊層出不窮，路由器自身對網(wǎng)絡(luò)攻擊的防護能力非常有限，DOS/DDOS 網(wǎng)絡(luò)攻擊會對廣域網(wǎng)絡(luò)由器產(chǎn)生嚴重的影響。

　　現(xiàn)有的多條鏈路，互相之間沒有聯(lián)系，這就導致了兩條鏈路的完全獨立，不能互為所用；兩條或多條鏈路分別獨立接入，鏈路的占用可能不平均，帶寬不能得到充分的利用；任一條鏈路的中斷都會影響正常的上網(wǎng)工作，缺乏容錯機制。

　　解決方案：

　　面對以上問題，應該在企業(yè)網(wǎng)絡(luò)出口處部署一臺梭子魚LinkBalancer 330鏈路負載均衡器，如下圖所示：

　　LB330鏈路負載均衡器部署在出口路由器和防火墻之間，這樣可以實現(xiàn)對多條internet接入鏈路的負載均衡，可以同時實現(xiàn)outbound流量（內(nèi)部辦公用戶訪問internet）和inbound流量（internet用戶訪問內(nèi)部服務(wù)器）雙向的負載均衡，并且可以根據(jù)智能算法選擇最優(yōu)路徑，以達到最佳訪問速度。如果當一個ISP1出現(xiàn)故障，負載均衡器可以及時地檢測到，并將內(nèi)外網(wǎng)流量轉(zhuǎn)到ISP2上，網(wǎng)絡(luò)仍然可以正常運行。LB330鏈路負載均衡器支持多達3條外接鏈路。此外，LB330鏈路負載均衡器具備抵御DoS/DDoS的功能，有效地保護內(nèi)網(wǎng)的服務(wù)器免遭攻擊。

　　方案特點：

　　1.增加企業(yè)出口帶寬，并提供了廣域網(wǎng)鏈路的冗余。

　　2.通過智能算法，可通過最優(yōu)路徑實現(xiàn)內(nèi)外網(wǎng)訪問。

　　3.可以抵御DoS和 DDoS攻擊有效的保護內(nèi)網(wǎng)服務(wù)器。

　　為什么選擇梭子魚：

　　1、 聚合鏈路帶寬

　　梭子魚鏈路均衡機能自動聚合多個接入的帶寬，管理員可以選擇性價比最好的一家或多家接入商的多個較低帶寬的接入，以最優(yōu)的投資獲得最好的帶寬保障。。

　　2、 鏈路冗余

　　如果一條鏈路發(fā)生故障，梭子魚鏈路均衡機能自動的將流量切換到別的正常的鏈路上，而不需要人工操作。在鏈路故障時，梭子魚能自動周期性的進行檢測，一旦檢測到這條鏈路恢復正常，將再次啟用此鏈路。正因為梭子魚具備鏈路健康檢測功能，因此能確保鏈路冗余。

　　3、 帶寬管理和QoS

　　梭子魚鏈路均衡機提供了帶寬管理功能，對于不同的應用可以設(shè)置不同的優(yōu)先級，例如：Web瀏覽和郵件設(shè)置為高優(yōu)先級保障其帶寬而流媒體及一些點到點（p2p）的應用則可配置成低優(yōu)先級。優(yōu)先級設(shè)置的靈活性確保帶寬低優(yōu)先級的應用不會干擾正常的商務(wù)應用。

　　4、 傳統(tǒng)防火墻（作為一款邊界設(shè)備，梭子魚鏈路均衡機也具備防火墻的一些功能）：

　　a） 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），該功能使得梭子魚鏈路均衡機可以隔絕外網(wǎng)到內(nèi)網(wǎng)的某種流量。

　　b） 一對一的地址映射，一對一的地址映射允許梭子魚將公網(wǎng)的IP直接分配給某個內(nèi)網(wǎng)的設(shè)備上，一邊外網(wǎng)能訪問內(nèi)部的應用，如SMTP應用。

　　c） 端口轉(zhuǎn)換，同一個外部地址可以根據(jù)端口轉(zhuǎn)換到不同的內(nèi)部服務(wù)器上；多個鏈路的同一個端口也可以轉(zhuǎn)換到同一臺內(nèi)部設(shè)備上，這將方便外部到內(nèi)部服務(wù)器的訪問。

　　d） IP 訪問列表，可幫助管理員允許或阻止某個inbound或outbound流量。

　　5、梭子魚鏈路均衡機還提供下列網(wǎng)絡(luò)服務(wù)需求：

　　a） DHCP server，梭子魚鏈路均衡機根據(jù)DHCP協(xié)議自動分配IP地址，和傳統(tǒng)DHCP服務(wù)器一樣，梭子魚上隨時可以查看或管理的地址分配表。

　　b） DNS caching server，梭子魚鏈路均衡機可以配置成DNS查詢服務(wù)器，在開啟了DNS緩存功能后，內(nèi)部網(wǎng)絡(luò)通過梭子魚可以進行解析，如果緩存中沒有解析，梭子魚將代理想ISP的DNS進行查詢，并將結(jié)果發(fā)回給內(nèi)部網(wǎng)絡(luò)，這樣，常用的DNS查詢將在梭子魚上完成。SSL卸載和加速：避免SSL加解密運算對服務(wù)器造成的額外壓力，提高服務(wù)器的處理能力， 保證HTTPS訪問的高效、安全、可靠。

文章作者：國脈電子政務(wù)網(wǎng)