互联网链路负载控制系统的制作方法

本发明实施例涉及互联网技术，尤其涉及一种互联网链路负载控制系统。

背景技术：

企业园区通过接入电信运营商实现互联网访问，单条电信运营商链路已不能很好满足使用需求。

当采取接入两个或两个以上的电信运营商时，会涉及到多路运营商链路负载均衡问题。现有技术中，直接使用运营商提供的域名系统(Domain Name System，DNS)，链路负载均衡上设定不同运营商链路的选路比例，从而实现流量负载均衡。

由于现有技术的方案中直接配置使用公网DNS，获得的A记录偏向与公网DNS所属的运营商。控制流量方面依赖于链路负载均衡的权重控制。这样往往会出现链路带宽利用率不高，带来访问部分互联网资源效果不佳的问题。

技术实现要素：

本发明实施例提供一种互联网链路负载控制系统，以实现多电信运营商链路负载均衡，提高流量选路的准确性。

本发明实施例提供了一种互联网链路负载控制系统，包括：

域名系统DNS服务器，部署在内网，网络层面与内网服务器网络可达，与内网交换机连接，用于控制内网终端访问互联网时的DNS的解析环节；

防火墙，与所述内网交换机连接，用于控制内网与互联网之间的访问；

链路负载均衡组件，与所述防火墙连接，用于内网去向互联网的出向流量选路及网络地址转换(Network Address Translation，NAT)；

至少两个出口路由器，与所述链路负载均衡组件连接，用于与至少两个预设运营商的互联网线路一一对应连接。

本发明实施例通过DNS服务器完成DNS解析，链路负载均衡组件控制选路，解决链路带宽利用率不高的问题，实现多电信运营商链路负载均衡，提高流量选路的准确性的效果。

附图说明

图1是本发明实施例一中的互联网链路负载控制系统的结构示意图；

图2是本发明实施例一中的互联网链路负载控制系统的结构示意图；

图3是本发明实施例二中的内网设备进行域名解析的过程示意图；

图4是本发明实施例二中的DNS选路策略的过程示意图；

图5是本发明实施例二中的出向业务流量进行策略选路的过程示意图；

图6是本发明实施例二中的内网流量选路控制示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

实施例一

图1为本发明实施例一提供的互联网链路负载控制系统的结构示意图，本实施例可适用于企业园区接入两条或两条以上的运营商链路，访问互联网的情况，该系统具体包括：

域名系统DNS服务器110，部署在内网，网络层面与内网服务器150网络可达，控制内网所有终端访问互联网时的DNS的解析环节；

防火墙120，与内网交换机160连接，用于控制内网与互联网之间的访问；

链路负载均衡组件130，与防火墙120连接，用于内网去向互联网的出向流量选路及网络地址转换NAT；

至少两个出口路由器140，与链路负载均衡组件130连接，用于与至少两个预设运营商的互联网线路一一对应连接。

其中，如图1中所示，企业网有二个出口路由器140，有二条互联网线路接入，不同运营商带宽不同，示例的，第一运营商和第二运营商的带宽分别为200M和400M，带宽比例为1:2。运营商向用户提供各自的DNS服务地址。示例的，图2中示出了接入三个运营商提供的互联网线路的互联网链路负载控制系统。第一运营商、第二运营商和第三运营商的带宽分别为200M、400M和600M，带宽比例为1:2:3。

可选的，链路负载均衡组件130，包括：第一二层交换机组131、链路负载均衡设备132和第二二层交换机组133；

链路负载均衡设备132，向外通过第一二层交换机组131连接出口路由器140，向内通过第二二层交换机组133连接防火墙120，用于出向流量选路及网络地址转换NAT。链路负载均衡设备主要功能为出向流量选路。防火墙负责内网与互联网的访问控制，实现基本的安全需求。

可选的，内网服务器150包括：隔离区(demilitarized zone，DMZ)应用服务器151，用于在DNS服务器的策略控制下，直接以NAT方式访问互联网；代理服务器集群152，用于为办公内网提供代理上网服务。

其中，内网在拓扑中展现两个区域：办公内网区域及隔离区(demilitarized zone，DMZ)区域。DMZ区域逻辑直接连接防火墙，通过策略控制可以直接以NAT方式访问互联网。DMZ区域部署企业的对外发布应用，例如邮箱和门户网站等业务。办公内网需要通过代理设备才可以访问互联网，属于代理服务器区，该区域由多台代理服务器组成集群提供代理上网服务。DMZ应用服务器及代理服务器集群使用的DNS服务器为专用的DNS服务器。该DNS服务器控制去往两个运营商DNS的解析，实现内网访问互联网流量中域名解析层面的控制。重点通过专业的DNS设备控制域名解析的权重控制，再由链路负载均衡方案设计更优化的选路策略，使得数据流量使用的出口链路更精确有效，从而访问目标业务更快速高效。

本实施例的技术方案，通过DNS服务器完成DNS解析，链路负载均衡组件控制选路，解决链路带宽利用率不高的问题，实现多电信运营商链路负载均衡，提高流量选路的准确性的效果。

其中，本实施例着重展示关于内网DNS以及链路负载均衡的技术方案，所以在拓扑中着重展示一个企业网互联网出口的拓扑样例，内网环境不做过多描述。并且具备多个互联网出口，并且带宽均不相同。需要说明的是在实际场景中，在企业选择运营商链路时，受地点、资费和业务等诸多因素影响，企业互联网出口的各链路带宽不平均属于普遍现象。此外，本实施例的技术方案设计关注从内网访问互联网的出向流量，对于入向流量，链路负载均衡组件130只需要保证来自某一运营商的请求，回复的流量也使用之前的运营商链路即可。

实施例二

本实施例在上述技术方案的基础上进一步细化，其中，DNS服务器，具体用于：当接收到内网服务器发送的内网请求互联网域名的DNS请求，将DNS请求按照预设权重比值以轮询的方式转发至预设运营商的公网DNS。

其中，DNS服务器为代理服务器集群和DMZ应用服务器提供DNS解析服务，将内网请求互联网域名的DNS请求经过策略调度转发至运营商DNS。具体配置上：需要启用智能负载功能，在转发区配置所有运营商的DNS视图，并在智能负载对所有运营商的视图填写权重比值，例如，当接入三个运营商的链路，第一运营商、第二运营商和第三运营商的带宽比值为1:2:3，则以此作为所有运营商的视图填写权重比值，以实现域名解析选择运营商DNS时按照带宽权重进行解析。可选的，DNS服务器，还用于在接收到内网服务器发送的内网请求互联网域名的DNS请求之前，根据至少两个预设运营商的带宽确定预设权重比值；在转发区配置至少两个预设运营商的DNS视图，并对至少两个预设运营商的DNS视图填写预设权重比值。

如图3所示，内网设备进行域名解析的过程，首先内网中的DMZ应用服务器和代理服务器集群中需要域名解析的设备，会将请求消息传递给内网的DNS服务器，DNS服务器再将DNS请求按照权重比值轮询的方式给对应运营商的公网DNS，该权重比值以带宽的比值为参考而定，返回的解析结果会优选为对应所属的运营商，达到域名解析这一层面的控制需求。

该系统中链路负载均衡功能主要实现选择企业内部流量去往互联网时多条运营商出口的选路以及公网地址的映射，其中选路部分较为重要，直接影响流量及最终的业务访问效果。将出向流量的DNS解析独立分出来做控制，使得DNS查询所使用的策略更为精简高效。其余流量按照目标地址进行选路的方式，在实际配置中会有不同运营商的IP地址库，出向流量中的目标IP需要在这个环节判断属于在哪一个IP的集合中，命中则选择对应的链路进行访问。

链路负载均衡组件，具体用于：

当接收到内网DNS域名查询的数据包时，获取数据包中的目标地址；将目标地址与至少两个第一预设目标地址库进行匹配，其中，第一预设目标地址库与预设运营商一一对应，包括对应预设运营商提供的运营商公网DNS；若匹配成功，则将数据包发送至对应预设运营商的出口路由器。

其中，如图4所示，在DNS选路策略的过程中，当内网DNS域名查询的数据包到达链路负载均衡组件时，会命中该策略，该策略会将数据包与第一预设目标地址库进行匹配，也就是将运营商提供的运营商公网DNS形成第一预设目标地址库，按照已经定义好的目标地址进行比对。第一预设目标地址库中，若命中则链路负载均衡组件将内网DNS域名查询传递给对应的出口路由器，从而正确传递给对应的网关。示例的，互联网链路负载控制系统接入三个运营商，那么需要配置三个为DNS选路所使用的网关池，网关池与运营商一一对应，每个网关池仅有对应运营商链路的网关地址。该三个网关池中各自对应三个运营商网关地址，但不进行冗余备选，也就是没有对应运营商以外的其他运营商的网关地址，原因是DNS流量跨运营商访问效果在实际场景中会受限或者效果很差。

可选的，链路负载均衡组件，还用于：

当接收到的出向流量请求为非DNS的出向流量请求时，获取出向流量请求对应的内网地址；当内网地址为预设内网地址，根据预设内网地址与预设运营商的对应关系，将出向流量请求发送至对应预设运营商的出口路由器。

对于内网地址非预设内网地址，获取出向流量请求对应的目标地址；将目标地址与至少两个第二预设目标地址库进行匹配，其中，每个第二预设目标地址库包括按照预设优先级排列的至少两个预设运营商提供的运营商公网DNS，且每个第二预设目标地址库中最高优先级的预设运营商提供的运营商公网DNS均不相同；若匹配成功，则将出向流量请求发送至对应预设运营商的出口路由器。

对于内网地址非预设内网地址，且出向流量请求缺省目标地址，调用第三预设目标地址库，按照预设权重比值确定出向流量请求对应的预设运营商，其中，第三预设目标地址库包括至少两个预设运营商提供的运营商公网DNS；将出向流量请求发送至对应预设运营商的出口路由器。

其中，如图5所示，出向业务流量进行策略选路的过程，非DNS的所有出向流量会命中该策略，整个选路逻辑分为三个方向，以接入三个运营商为例。第一个方向优先判断内网地址，根据内网地址进行选路。通常企业内网都有特定的业务需求，那么当特定的内网设备需要访问互联网时，就需要使用特定的运营商链路。预设内网地址就是预先设定的内网地址的IP段，当内网地址与预设内网地址匹配，就选择与该预设内网地址对应的运营商链路。第二个方向是按照第二预设目标地址库进行判断，也就是第二预设目标地址库为预先设定好的运营商IP地址库。绝大多数流量将命中该策略后选择运营商链路，在实际应用中，优先选择的运营链路将放在该部分第一条位置优先匹配。第三个方向为缺省判断条件，在前两个方向均不匹配的剩余出向流量将会执行该策略，即按照权重直接选择特定的运营商网关。其中第二个方向和第三个方向的策略执行中，会调用对应的预设目标地址库，也就是预先配置好的网关池，网关池中均包含优选运营商和其它运营商，但其它运营商的优先级较低，正常情况下不会选择。只有当配置的健康检查判断失效后才会选择同一网关池中的其它运营商网关。示例的，互联网链路负载控制系统接入三个运营商，那么需要配置四个网关池，其中有一个为缺省资源池，另外三个网关池与运营商一一对应。与运营商对应的网关池分别将对应运营商链路的网关地址作为优选地址，其余两个运营商链路的网关地址作为备选。为一个运营商对应的网关池添加其它运营商的网关是冗余备份配置，当首选的网关地址失效时，可以保证流量选择其它网关访问互联网。通常会对各个网关池的池成员进行健康检查，判定健康检查失败，即可让网关池判断优先级，选择优先级低的其它网关。

可选的，链路负载均衡组件，还用于：

接收并存储第一预设目标地址库，和/或第二预设目标地址库，和/或第三预设目标地址库。

其中，可以将IP网段按照格式预先整理编辑好，进行批量导入，再被负载均衡设备所调用。关于运营商的IP地址库，在实际情况中运营商及链路负载厂商会提供运营商IP地址库，经过收集、整理和测试验证后，最终使用的运营商的IP地址库更准确。只需将整理好的IP地址库导入链路负载均衡，并在出向流量的策略中调用即可。

关于以上提到的测试，由于收集到的IP地址库本身的准确性不是百分之百，可以在实际环境中借助第三方流量分析的设备监控来判断测试的IP地址库是否作为优选，在本实施例中，加入对于第一运营商制作的IP地址库样本可能有多个，可以全部上传至负载均衡设备，示例的，命名为“ISP1_class_v1、ISP1_class_v2、ISP1_class_v3”，分别在出向策略中调用并测试，借助第三方的流量分析软件或硬件进行流量统计和关键网络参数指标分析对比，关注带宽、传输控制协议(Transmission Control Protocol，TCP)建立时间和平均延时等参数。其中带宽作为衡量命中IP地址库的命中率参考，TCP建立时间和平均延时来判断流量是否优选，通常TCP建立时间和平均延时越低越好。最终按照测试结果选出优选的IP地址库作为最终使用的IP地址库。

运营商IP地址库经过了筛选测试，所以流量在匹配IP地址库上命中率高，流量访问更精确。批量导入IP地址库，可以实现快速地批量IP段修改，或者整个IP地址库的替换。

如图6所示，本发明实施例的提供的互联网链路负载控制系统中，将内网流量中的DNS查询流量和出向业务流量分开处理，其中，内网流量的DNS解析独立出来进行控制，使得DNS查询所使用的策略更为精简高效。出向业务流量按照内网IP地址，或者目标地址进行选路的方式，在实际配置中会有不同运营商的IP地址库，出向流量中的目标IP需要在这个环节判断属于在哪一个IP的集合中，命中则选择对应的链路进行访问。而对于没有不属于根据内网IP地址和目标地址进行选路的内网流量，按照预设权重比值分配出向流量。实现一套新型高效的多电信运营商链路负载均衡系统，从而更好地实现多电信运营商链路自动冗余切换，实现链路动态负载均衡，提高流量选路方式的准确性。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。