企業(yè)網多出口的情況有如下:
1掘殴,單運營商多出口線路
2爹耗,多運營商多出口線路
3森逮,某些特殊部門需要獨立的出口,不與其他部門共享
單運營商多出口線路
單運營商多出口線路可分為兩種情況:
1)這兩條/多條線路的帶寬都是一樣的(對于第一種情況窿锉,可以采用等價路由的方式實現)
2)這兩條/多條線路的帶寬不是一樣的(可以采購H3C ER這種類型的企業(yè)路由器,可以設置出口的權重來解決)
說明:如果兩/多條線路的帶寬不一致窖维。那么總帶寬取決于最慢的那條帶寬榆综。例如現有兩天線路分別為10mbps和20mbps,那么總帶寬是“10*2mbps”铸史。
多運營商多出口線路
多運營商多出口線路的方式是最復雜的情況鼻疮。同時可用性也是最高的。
這種情況使用網絡層的負載均衡是不能解決的琳轿。例子如下:
假設LAN指向的DNS是202.96.128.166(廣東電信DNS服務器)判沟。假設要訪問taobao.com耿芹,那么整個公司訪問淘寶都會走電信的線路。達不到負載均衡的效果挪哄。所以該種情況的解決方案要使用網絡層+應用層的負載均衡方式:運營商地址塊靜態(tài)路由+LVS(多DNS負載均衡)吧秕。
這個時候,不同的主機訪問taobao.com時迹炼,會隨機訪問到不同的Local DNS(LVS輪詢的效果)砸彬。然后再通過出口的靜態(tài)路由走不同的線路以達到效果。例如用戶1訪問百度時會解析到電信的IP斯入、用戶2訪問百度時會解析到聯通的IP砂碉、用戶3訪問百度時會解析到移動的IP。
DNS部署架構如下:
說明:
LVS設置為DR模式刻两。3臺企業(yè)辦公網Local DNS部署在同一個VLAN內增蹭,為一個DNS集群,對于客戶端來說僅顯示為一臺DNS服務器磅摹。DHCP服務器在給用戶分配TCP/IP參數時滋迈,僅把LVS的VIP作為DNS分配給用戶即可。
LVS之間用keepalived確保高可用(原理是VRRP)户誓。
3臺DNS的上級DNS設置為各自運營商的本地Local DNS饼灿。例如“DNS cache only(電信)”這臺服務器可以把DNS請求轉發(fā)給202.96.128.86(廣東電信Local DNS)。
如果要節(jié)約成本厅克,可以使用兩臺PC機+KVM的方式搭建赔退,成本極低。
網絡架構如下:
部門獨立出口
對于某些部門/員工無休止的帶寬需求证舟,在不違背信息安全策略的前提下可以讓其申請獨立的出口帶寬硕旗。
(這個解決方案可能會帶來安全問題,例如上網行為管理女责、審計漆枚、數據泄漏等)
網絡拓撲圖如下:
說明:
這個方案的前提是需要為特殊需要的部門或者主機劃分一個獨立的IP網段(建議)。以在策略路由交換機上做策略路由抵知。把出口指向獨享的寬帶線路墙基。
為了降低成本∷⑾玻可以使用一臺普通PC残制,采購一塊性能較好的千兆網卡。然后在上面部署KVM平臺掖疮。在KVM上安裝多臺pfense防火墻初茶。成本極低。
該方案需要另外考慮安全問題浊闪。(例如上網行為審計等恼布。)
