大中型企業Internet連接的最佳實踐

領測軟件測試網

　　 

    ■中國聯通湖北分公司省網管中心 薛 剛

    互聯網發展到今天，緊密結合各大中型企業與Internet的日常商業通信應用已經是一項非常緊迫的任務。電子郵件、網頁瀏覽、電子商務等通信手段已經與世界經濟關聯的商業模式緊密地結合在一起了。經過我們多年大客戶、大企業互聯網接入經驗的總結，現對大中企業Internet連接的優化進行分析總結，供業界同仁參考。

    一、大中企業典型的Internet連接方式

    各企業連接Internet主要考慮網絡的可靠性、可用性，隨著企業間的競爭加劇，企業對網絡的快速反應也提出了相當的要求，下面我們就各種情況下的網絡接入作出分析。

    1.簡單的單宿主末端網絡

    簡單的單宿主網絡結構最簡單，接入成本最低，在早期確實是中小型企業接入Internet網絡的主流方式，這種方式通常幾乎提供不了冗余性，就算有也很少。當Internet的連接性對于商業操作并非至關重要的時候，該設計的選擇確實不愧為一種低成本的解決方案。

    單宿主末端網絡在一般情況下不需要使用BGP路由協議，ISP提供商可以向企業用戶網絡發布一條指向用戶前綴的靜態路由，企業向Internet網絡回指一條靜態缺省路由。

    如果ISP提供商路由器與企業路由器之間使用了多條鏈路，那么就需要使用多條靜態路由。假定在這一設計中使用的多條連接都終結在企業網內同一臺路由器上，則該設計所提供的冗余程度是最小的，并且只能保護鏈路失效。ISP接入路由器失效將導致連接性的完全丟失。

    2.企業怎樣接收BGP路由信息

    中型企業通常使用多宿主末端網絡設計。雖然企業連接到單個上游提供商，但卻不是連接到ISP的某一點上，而是連接到同一ISP的多個接入點，這樣的冗余增強了，它不僅保護了單臺提供商路由器的失效，而且保護了鏈路的失效。

    當末端網絡有多個宿主時，一般情況下建議使用BGP。一旦企業網絡與上游ISP提供商之間采用BGP相連時，一方面能夠給企業網絡帶來更大的靈活性、可用性，增加靈活控制出口流量，選擇策略路由的技術手段；但是，另一方面采用BGP路由后，對企業接入路由器的處理能力，維護人員的技術水平也有了更高的要求。所以，各企業在選擇是否采用BGP前，很有必要對BGP路由的相關特性有相當的了解。首先，當企業選擇BGP路由與上游ISP聯網時，必須確定從上游ISP那里接受什么路由信息，這個問題是非常重要的，當企業在做路由選擇決定的時候，可用的更詳細的路由信息使得企業有機會更優化地確定應該采用那條最佳的路徑到達目的地。一般情況下，有如下三種路由信息可接收。

    (1)選擇缺省路由

    當企業網絡只需要上游ISP提供缺省路由時，可以和BGP一起使用。缺省路由既可以被靜態定義，也可以從提供商那里通過BGP接收。被注入IGP的缺省路由指示流量流向最近的邊界路由器，使用缺省路由所需要的系統資源最少，但可能會導致次優化路由選擇等問題，這種情況發生在企業BGP路由與多個ISP相連時，該問題尤為重要，需上游ISP做精確的路由策略控制，若控制不當，可能會給ISP和企業都帶來一些嚴重的路由選擇上的問題。

    (2)選擇缺省路由加部分路由

    當企業連接Internet時，采用了多宿主的方式，最常見的情況是使用部分路由。它提供了相當數量的詳細路由信息，這樣就允許路由選擇優化，但又比獲得完全的路由選擇所需要更少的資源。部分路由可以由提供商發送，也可以被企業所定義。如果企業定義了部分路由選擇表，那么就需要向提供商請求完全路由選擇表，并需要企業路由器應用入境過濾措施；如果提供商發送了部分路由，那么它通常是ISP的本地路由和客戶路由，并已經過濾了從其他對等體或上游穿透提供商接收到的路由。最后還有一點也特別重要，就是企業BGP路由器在使用部分路由的時候，也需要使用缺省路由以確保完整的Internet連接性。

    (3)Internet全路由表

    當企業從上游提供商那里接收Internet全路由信息表時，這種路由方法可以給企業提供更多的詳細路由信息，但這需要企業接入路由器具備更多的資源。實踐表明，利用CISCO7500檔次的路由器，在配置至少128M內存的情況下是可以接收Internet全路由信息的，因此必須在兩者之間作出權衡。一旦企業路由器接收到了Internet全路由表后，企業達到全球任何一條可達前綴的可用詳細路由信息允許了最大限度的路由選擇優化，企業可以利用這個特性，靈活地調整自己的出口和入口，可以最大限度地使企業內部用戶與Internet中的任一用戶之間相互通信總是在走最佳路由選擇路徑。因為任何詳細路由的目的地都是可達的，所以如果使用完全路由選擇表，就不需要使用缺省路由了。

    3.多宿主末端網絡

    所謂多宿主(multihoming)，就是說和Internet連接有多于一條路徑，有多條路徑到達一個ISP或多個ISP。企業選擇多宿主主要基于如下兩個主要原因。

    可靠性——為企業重要的網絡商業環境提供不間斷的Internet服務已經成為一種緊迫的任務。多宿主的連接方式可以提供所需要的冗余以確�？煽康姆�務。

    選擇路由——通過多宿主可以增強Internet連接性能。通常情況下可以通過使用不同的ISP提供商來完成，這些提供商能夠提供更多相異的路徑選擇以到達目的地。

    在采用多宿主的網絡環境，主要有如下幾種典型的接入模式。

    (1)單臺邊界路由器

    如圖1所示，企業通常使用單臺路由器設備與同一個ISP提供商有多條連接，并且這些連接終結點在同一個提供商的不同地方。

圖1 單邊路由器多宿主末端網絡連接

    企業在部署這一設計方案時，應該使用BGP來為可能的負載分擔提供額外的控制，同時上游ISP可以允許企業使用自定義的私有AS。這意味著企業不需要從AS注冊機構那兒獲得惟一公用的、且能被外界看到的ASN。上游ISP提供商可以從接收到的更新信息中清除企業私自定義的ASN。

    在這種設計中使用BGP路由的相關屬性可以靈活地控制出入企業網流量的模式和路徑選擇方式，在鏈路不相等的情況下，這特別有用，因為可以使用路由選擇策略根據鏈路的帶寬容量來按比例地分擔流量。

    (2)多臺邊界路由器

    使用單臺企業邊界路由器可能會產生網絡單點故障。再增加一臺邊界路由器就可以消除最后的故障單點。這種設計選擇在企業網絡中有多臺邊界路由器，每一臺路由器有連接到上游ISP提供商的一條或多條連接。在該設計中，仍然使用單個ISP上游提供商。網絡連接如圖2所示。

圖2 多邊路由器多宿主末端網絡連接

    在這種網絡中，還是建議使用BGP，雖然ISP和企業可能會使用靜態路由，但是，這不能讓企業影響流量模式和路徑選擇模式以及諸多路由策略控制手段。如果連接到上游提供商的多條鏈路具有不相等的帶寬容量，或者這些鏈路分別終結到不同的省份和城市，那么BGP的這種多點控制和靈活平衡流量的能力就顯得特別重要了。

    在這種設計中，企業仍然可以使用私有AS，運行私有AS的主要好處是不需要企業花費較大的精力去申請一個新的AS號碼。運行BGP的目的在于它能夠為企業定義出入境路由選擇策略提供額外的支持。除了與上游ISP提供商建立EBGP會話外，企業還應該在邊界路由器之間和涉及到可能有邊界路由器提供穿越服務的所有第三層設備之間建立IBGP全連接會話。這一要求可以確保流量不會被發送到沒有去往目的路由選擇信息的設備上。企業還應該從每一臺邊界路由器上發起缺省路由。在邊界路由器的上行鏈路失效的情況下，為了防止流量沿著缺省路由回流到邊界路由，形成流量惡性循環，必須在鏈路連接起來并激活的條件下發布缺省路由。這種條件性路由通告可以是基于接口的靜態路由來完成，或者把從BGP接收到的缺省路由重分布到IGP中，由此可見這種條件性的通告并不是BGP的條件通告特性。如果從上游ISP接收到其他前綴信息，不要把它們重分布入邊界路由器上運行的任何IGP進程中。

    4.標準多宿主網絡

    所謂的標準多宿主網絡相比多宿主網絡而言，就是企業連接了多個ISP提供商，那些跨地域的超大型企業通常有這種需求。當企業采用這種方式組網時，需要企業從區域注冊機構獲得自己的ASN，同時也需要獲得一塊IP地址空間，并且該IP地址空間還應該足夠大，以至于可以順利通過互聯網上標準的對等體過濾器。

    (1)單臺邊界路由器

    使用單臺邊界路由器的標準宿主網絡設計到多個上游提供商，所有的連接都終結到單個企業邊界路由器上，如圖3所示。

圖3 多邊路由器宿主

    這種組網結構為保護鏈路失效提供了冗余，并能避免某個ISP的網絡全面發生故障所帶來的影響。同時，這種網絡連接也為優化出境流量提供了額外的支持。

    在這種設計下，企業邊界路由器和兩個或多個ISP都建立了EBGP的關系，企業邊界路由器從ISP接收到的信息可能為零，也可能一直到完全的路由選擇信息。同時在這一設計情形下，需要EBGP對等關系來使得企業的IP地址空間可以被一致地發布，若不使用BGP，那么上游ISP看起來都在發送相同的前綴，這沒有任何意義。多個始發自治系統通過相同的前綴叫做非一致通告，非一致的前綴通告工作在通常的情況下會工作得良好，但是因為前綴的始發點的不明確，因此并不贊成這種方式。

    配置路由選擇信息的第一種方法就是讓企業邊界路由器拒絕所有的前綴而配置指向出站接口的靜態路由。如果鏈路宕掉了，那么企業的地址空間就不會被通告給那個ISP。指向失效鏈路的缺省路由也會從企業本地路由選擇表中被自動清除。假設鏈路的帶寬容量都是相等的情況，那么就可能會為出境流量提供相當均勻的負載分擔。但在這種情況下，問題在于以ISPA為目的的流量可能會被發送到連接提供商B的鏈路上。除非在本地BGP路由器做相當精細的路由策略控制，因此該種路由方式應該謹慎使用。

    第二種方式就是接收部分路由選擇信息，企業可以請求上游提供商只發送他們本地發起的前綴和他們用戶的前綴。這使得企業可以正確地路由以某一個提供商為目的地的流量。同時，企業仍然需要指向每一個提供商的缺省路由以到達上游提供商和它們用戶范圍之外的任何網絡前綴。該種方式最為常見。

    最后，企業當然還可以從多個ISP提供商那里接收完全的路由選擇表。這使得企業的邊界路由器可以向在邏輯上距離目的地最近的上游提供商發送流量，這一邏輯距離可以從BGP路由的AS-PATH屬性中導出。如果AS-PATH路徑是相等的，那么流量就會沿著具有最低的ROUTER-ID的路徑被發送給上游的ISP提供商。

    (2)多臺邊界路由器

    如圖4所示，對于大型企業來說，使用多臺邊界路由器來設計的標準多宿主網絡最為常見，這種設計通過多個ISP、多條鏈路以及多臺企業邊界路由器提供了最高程度的冗余。在這種設計下，企業邊界路由器和它們的上游提供商建立EBGP對等關系。所有的邊界路由器之間和可能為企業邊界路由器提供穿越服務的任何其他的第三層設備之間也有IBGP全連接會話。它接收到的前綴信息量可能的狀況和使用單臺邊界的狀況是相同的。

圖4 多邊路由器多宿主網絡連接

    最常見的機制涉及到使用部分路由選擇信息，這可能意味著企業從上游提供商請求部分路由選擇信息并和缺省路由一起使用，或者請求完全路由選擇表并修改入境過濾策略而獲得合理的負載分擔。最后，使用的方法依賴于企業特定的目標。最簡單的方法就是把一條鏈路用作主要連接，而把其他鏈路純粹用作備份連接。最困難的任務就是在多條鏈路上達到相當均衡的負載分擔。

    二、企業BGP路由優化

    當涉及到有關企業BGP路由優化的問題時，一般情況下，企業路由器只需注意路由過濾和流量負載平衡這兩個最主要的問題就行了。下面分別作簡要說明。

    1.路由過濾

    路由選擇信息正確過濾的重要性無論怎樣強調都不過分，企業應該在邊界路由器和上游ISP之間使用路由過濾機制。

    (1)入境過濾

    一般情況下，企業網絡應該在從上游ISP提供商接收到的前綴信息中過濾掉如下私用地址、特殊地址前綴和自身的前綴信息。

    下面的一些私有地址和特殊的地址是不應該被通告到Internet路由表中的。

    RFC1918地址空間：RFC1918規定了10.0.0.0/8，172.16.0.0/12和192.168.0.0/16這些地址空間都不能在全球被通告。

    系統本地地址：127.0.0.0/8地址空間被保留為系統內部所使用。

    終端節點自動配置地址塊：169.254.0.0/16網絡塊是為自動地址分配而保留的，它用于DHCP服務不可用的條件下。

    0.0.0.0/8：這段地址空間被一些系統內部使用，它們沒有被分配出來。

    測試網絡地址：192.0.2.0/24地址空間被保留作網絡測試。

    D類和E類地址：D類地址不是真正的主機地址，它們代表IP多播組，這些組播地址不能被單播路由協議所通告，也不應該通過BGP被接收到。D類地址空間為224.0.0.0/4。E類地址空間為240.0.0.0/4，它們都是被保留的，也不應該被前綴通告所使用。

    除了上面幾類特殊的地址空間外，另外還有一些地址是企業在邊界路由器上不應該接收其通告的，這些地址就是企業自己的地址空間，特別是企業網絡核心路由器的LOOPBACK地址等。這包括等于或長于企業網絡地址塊的前綴通告，而不包括短于企業網絡地址塊的前綴通告，因為這也許代表了一個地址聚合，而企業網絡地址塊是其中的一個組成部分。

    (2)出境過濾

    企業網絡應該仔細過濾發送給上游ISP提供商的前綴信息，以保證只向上游通告企業網絡地址塊。如果企業網絡多宿主到不同的提供商，并且沒有應用出境過濾策略，那么企業網絡就有為兩個提供商提供穿越服務的可能，這當然是企業最不愿意看到的。

    通常建議企業使用多層的處境過濾措施以防止誤配置，第一層建議采用前綴過濾機制，具體做法是靈活地使用前綴列表或分布列表；第二層過濾機制就是使用過慮列表，并根據AS-PATH屬性來過濾，使得只有源于企業AS的前綴才能被發送到上游提供商。

    2.負載平衡

    Internet連接性的最大挑戰就在于最大程度地使用有效的帶寬，與IGP路由一樣，BGP總是選擇單條路徑而不是負載平衡流量，這一事實的存在導致很多不平衡的流量。并且我們在BGP環境下平衡流量時，一定要明白入境流量和出境流量在邏輯上是相互獨立的，用來控制每一個方向上的流量的機制也是相互獨立的。下面分別討論出入方向上的流量平衡。

    (1)入境流量負載平衡

    下面有一些方法可以較好地控制入境流量，可用的方法依賴于多宿主的形式。

    如果企業多宿主到同一個提供商，控制入境流量的辦法有很多種，當然最為常見的就是充分利用MED屬性等措施。

    如果到上游提供商有兩個連接點，最簡單的方法就是把地址空間分成兩半，分別向外通告。例如：企業網絡有一個由提供商分配的/21的地址塊，那么它可以把該地址塊分成兩個/22的網絡，并在一條鏈路上通告一個/22，在另一條鏈路上通告另一個/22。另外，在兩條鏈路上都通告/21。如果這還不能提供所期望的負載平衡，就把網絡進一步拆分，并在每一條鏈路上通告不同的網絡前綴直到獲得期望的流量模式為止。同樣重要的是，若兩條鏈路的帶寬容量不等，那么把前綴劈成兩半的方法也許就不合適了。

    平衡流量真正的困難在于企業網絡多宿主連接到兩個不同的ISP提供商的時候，要想獲得均衡流量的過程是個反復嘗試的過程。其常見的做法就是密切監視鏈路的利用率，這里有一點需要說明一下，那種絕對的、完美的均衡流量并不是明智的目標，實際情況告訴我們：相當接近的負載分擔才是目標，并且這個過程永遠是動態的。如果流量嚴重偏愛其中一條鏈路，可以在高利用率的路徑前面添加企業的ASN，然后繼續監視這條鏈路的利用率，如果利用率仍然較高，再添加一次ASN，直至將流量平移到理想的狀態。在這里需要進一步說明的是，一旦使用了AS_PATH前置的方法來把流量盡可能地分攤到兩條鏈路上以后，幾乎就沒有什么進一步平衡流量的方法了，這時，惟一剩下的方法就是利用上游ISP提供商分配的團體屬性來進一步平衡流量。

    (2)出境流量平衡

    企業在平衡出方向的流量有更多的控制方法，這是因為有可能接受12萬多條Internet全路由信息或者定義遠端目的地的前綴，而在平衡入流量時，只通告了一些前綴。這里有一個重要的原則必須明白，就是BGP在路由的過程中，控制路由選擇信息的出入方向與其對應流量出入剛好是反向的，同時流量被操縱的粒度是以使用的前綴空間為基礎的。

    當企業的網絡不是連接多個ISP的時候，平衡流量最簡單的方法就是使用缺省路由，它可以提供均衡的流量，不過，它所產生的次優化路由的可能性非常大，如果企業多宿主到同一個ISP提供商，那么使用缺省路由很可能就是最簡單的解決辦法。

    當企業多宿主到不同的ISP上游提供商的時候，這時想獲得足夠的負載分擔就需要更多的創造性，最簡單的方法就是向上游提供商請求部分最優路由，利用這些最優路由加上一條靜態缺省路由組合在一起以提供完全的可達性。這種方法本省也許能提供可接受的負載均衡，也能提供合理程度的路由選擇優化。

    如果缺省路由和提供商通過的部分路由一并被使用的方法不能達到良好的負載平衡，下一步就是向上游提供商請求完全的Internet路由選擇表，然后，企業應該執行入境過濾策略生成自己的部分路由選擇表。最好的過濾形式就是AS-PATH過濾，只要保證不阻斷直接上游的AS就行了，同時，缺省路由和企業專門創建的部分路由選擇表需要一起被使用，否則企業網絡就只有部分路由可達。對這種方法所做的細微修改就是降低非優選前綴的本地優先屬性值而不是過濾它們。這樣就把流量轉移到具有更高優先屬性值的前綴上而又保住了具有更低優先屬性值的備份路由。還有更重要的一點，就是當鏈路發生故障的情況下，缺省路由的存在可以維護網絡的可達性，而這種方法消除了這一需要，由此可見，該方法確實是行之有效的。

    三、總結

    企業Internet接入，從技術的角度上講，有很多種可以選擇的方案，采用BGP路由連接只不過是其中的一種，選用這種方式，是最靈活而又復雜的，它可以為企業提供更靈活的接入路由、流量控制的手段、端到端高效率的透明通信服務。國外那些跨國公司在這方面都作出了很多有益的嘗試，力爭它們網絡在全球范圍內能夠快速響應他們客戶的訪問，目前在國內，采用BGP路由上聯多家ISP運營商的企業為數不多，多半是鑒于成本的因素、技術管理、網絡復雜性等諸多因素而放棄了BGP連接，而去采用那種最簡單的默認靜態路由的連接，同時在上聯接口還采用PAT、NAT轉換、ACL訪問控制、Map_route策略路由選路等技術手段，然而采用這些方式，在目前上游ISP網絡不平等，結構不合理這個大環境下，或多或少地存在某種通信服務上的局限性，最終網絡不能為企業提供全透明的、高效的、快捷的端到端的透明通信承載服務。因此，從長遠的眼光觀察，大型企業采用BGP路由與Internet相連是未來企業信息網絡發展的必然趨勢。

文章來源于領測軟件測試網 http://www.kjueaiud.com/