xxxxx出口安全解决汇报解决方案.ppt

xxxx链路负载均衡 2*10GE 链路1 链路2 FW+LB 链路1 链路2 FW LB 链路1 链路2 链路3 内部流量均分至LB 联通 CRN 电信 2*S7610+6* FW+10*LB xxxx数据网安全出口NAT网关全局拓扑 安全出口NAT资源池 CMNET安全出口NAT资源池 Internet xx H3C16K xx xx xx xx xx xx xx xx 各地市 H3C16K xxxx部署模式分析 部署描述 分别在两台出口路由气上旁挂部署NAT资源池，每 部署分析 资源池中的虚拟化防火墙采用N：1的横向虚拟化技术，池内统一NAT表项，池中的所有安全设备均能负载均衡的分担工作， 资源池中所有安全设备负载均衡的工作，即使任意一台出现故障，业务会迅速切换到其他安全设备上，打破了传统的一主一备低利用率部署模式。 安全业务的高扩展性 安全出口NAT资源池 CMNET安全出口NAT资源池 Internet H3C16K H3C16K 电信 联通 GE GE IRF FW LB 在出口部署一体式的网关。 FW实现大容量NAT功能 LB实现链路负载均衡功能 根据用户目的地址进行自动选路，无须配置静态策略 用户上网速度感知优于静态策略方式 链路故障，自动将用户流量切换至可用链路。 流控与审计ACG业务模块 在高峰时段对P2P流量进行限速； 记录用户上网记录，满足公安等法规要求。 流控与审计 万兆链路 千兆链路 xxxx出口NAT项目 * * 杭州华三通信技术有限公司 * xxxx产品方案汇报 日期： 密级： 解决方案 部分宽带运营商网络现状及问题 出口链路负载均衡方案 应用案例 部分宽带运营商网络现状 电信 联通 省干网关 地市节点 运营商通过租赁电信和联通线路进行宽带运营。 通过在出口路由器上配置ACL策略路由方式将互联网宽带用户静态的指向不同的出口链路。 问题一：部分互联网宽带用户上网慢 电信 联通 省干网关 地市节点 被静态策略至某联通链路 出口网关无法根据用户访问的目的IP选路，导致部分用户上网速度慢、体验差。 问题二：维护工作量繁琐 电信 联通 省干网关 地市节点 需在出口网关路由器上经常性的为新增宽带用户添加静态策略，维护工作量大。 天天加策略 问题三：链路故障探测及处理 电信 联通 省干网关 地市节点 链路故障后，手工调整策略期间，宽带用户无法上网，会投诉或传播负面信息。 xxxx解决方案 部分宽带运营商网络现状及问题 xxxx链路综合方案 应用案例 广电出口链路改造建议 电信 联通 GE GE IRF FW LB 在出口部署一体式的网关。 FW实现大容量NAT功能 LB实现链路负载均衡功能 根据用户目的地址进行自动选路，无须配置静态策略 用户上网速度感知优于静态策略方式 链路故障，自动将用户流量切换至可用链路。 流控与审计ACG业务模块 在高峰时段对P2P流量进行限速； 记录用户上网记录，满足公安等法规要求。 流控与审计 电信 联通 电信 联通 出链路负载均衡 路由器静态策略模式 ISP匹配流 未知流 轮询 加权轮询 源地址Hash 最小连接 就近性探测 ISP匹配流 未知流 默认路由 提升1—丰富的出口流量分发算法 提升1—分发算法比较 静态分发 轮询/随机、加权轮询/随机 源IP/Port Hash 动态分发 （加权）最小连接、最大剩余带宽 就近性探测（生成就近性表项） 链路可用带宽、链路延迟时间（RTT） 链路成本、路由跳数（TTL） ISP表项匹配 内置电信、联通等ISP地址表项 静态策略路由 动态路由 路由器 负载均衡 来源于APNIC（亚太互联网络信息中心） 目标2---设置链路带宽阈值，保护链路拥塞 链路阈值保护功能： 对出口链路设置流量阈值并将超出阈值流量进行二次调度 ，避免出现链路拥塞，影响用户上网。 阈值为950M。 电信 联通 GE GE FW LB SR66 SR66 电信-1G 联通-500M 目的IP为电信的流量 950M 150M 1.1G 保护阈值950M 电信-1G 联通-500M 目的IP为电信的流量 1G 100M 1.1G X 负载均衡链路阈值保护 路由器静态策略模式 每条ISP设置阈值，链路数据流达到阈值后，LB不再向该链路发送数据流。 提升2—出口链路流量阈值保护 目标3---链路故障探测及自动流量切换 链路故障探测及自动流量切换 链路故障后流量智能调度，无须人工干预，自动将用户流量切换至可用链路，宽带用户对故障无感知，避免用户投诉或负面信息传播。 电信 联通 GE GE FW LB SR66 SR66 不仅对下一跳探测，还可以对指定IP进行探测 提升3—出口故障或拥塞后流量牵引 电信-1