實現(xiàn)負載均衡，是很多企業(yè)關注的問題，

多途徑可打造負載均衡

。隨著IT業(yè)務的激增，這種均衡方案也越來越多的受到重視。那么，根據(jù)負載平衡技術而來的網(wǎng)站規(guī)劃方案成為企業(yè)眼中的精囊妙計。那么，現(xiàn)在就讓我們一起來看看如何將路由，路徑等問題用負載均衡的手段處理得當。

　　ECMP

　　ScreenOS支持ECMP (Equal Cost Multi-Path /等值多路徑) 功能，即支持將流量在多條等cost值的路徑上進行負載分擔；

　　假如用戶有兩條鏈路接入互聯(lián)網(wǎng)，則可設置兩條靜態(tài)默認路由 (ScreenO中靜態(tài)路由cost值默認都為1) 分別指向兩個不同的下一跳地址，并打開ECMP功能，同時指定需要負載均衡的鏈路條數(shù)；另外可在防火墻連接兩條鏈路的接口上都打開NAT功能，這樣所有流量都會在兩條鏈路上進行負載分擔并轉換成公網(wǎng)IP去往互聯(lián)網(wǎng)；

　　Network -> Routing -> Virtual Router -> Edit

　　或通過命令行 ” set max-ecmp-routes 2 ” 來啟用ECMP功能，由于ScreenOS最多支持四條鏈路的負載均衡，因此還可使用” set max-ecmp-routes 3 ” 或” set max-ecmp-routes 4 ”。

　　由于防火墻是狀態(tài)檢測設備，因此流量會基于會話以輪詢的方式實現(xiàn)負載均衡；舉個例子，假如共有10000個會話，如果在兩條鏈路上打開ECMP功能的話，則其中約5000個會話從鏈路一出去，約5000個會話會從鏈路二出去；

　　ECMP功能的好處是配置簡單，但其缺點也是顯而異見的，即它不能智能地依據(jù)路由遠近去分配流量，而是絕對平均地以輪詢的方式分配所有會話到不同鏈路，這樣有可能導致某些流量不能從最佳路由出去；比如用戶同時租用了電信和網(wǎng)通的兩條鏈路，ECMP打開的后果可能會導致去往電信區(qū)域的數(shù)據(jù)從網(wǎng)通鏈路出去，而去往網(wǎng)通區(qū)域的數(shù)據(jù)從電信鏈路出去。因此ECMP功能最適用于租用同一個運營商若干條鏈路的用戶，或租用若干個互聯(lián)互通情況較好的運營商鏈路的用戶。

　　另外ECMP還有一個缺點是跟某些應用不兼容；比如某些多連接的應用，且該應用還要求每個連接都來自同一個IP地址，而打開ECMP的情況下，很可能同一個用戶發(fā)起的兩個連接中的一個從鏈路一出去，第二個連接從鏈路兒出去，導致這些應用運行不正常，最常見的例子是工商銀行的網(wǎng)上銀行業(yè)務，中國移動網(wǎng)上營業(yè)廳以及聯(lián)眾的網(wǎng)絡游戲系統(tǒng)。解決方案是打開ScreenOS的nat stick功能“set dip sticky”，即保證來自同一個源IP的不同會話始終被翻譯成同一個IP地址,這樣就可解決應用兼容性問題；

　　基于目標地址的路由

　　為了使流量能夠選擇最佳路由，最直接的手段就是通過基于目標地址路由的選路方式，比如將所有去往某運營商域內的流量手工的指到到通往該運營商的下一跳路由器上，再另外用一條默認路由將其余流量指向到另外一條鏈路；如果是電信和網(wǎng)通的兩條鏈路我習慣將具體路由指向網(wǎng)通路由器，默認路由指向電信路由器，原因是因為網(wǎng)通的路由條目較少而電信的資源較多；

　　比較常見的基于目標地址路由來實現(xiàn)負載均衡的場合是大學的校園網(wǎng)，由于大學校園網(wǎng)一般都有若干條鏈路接入internet，比如一條連接電信，一條連接網(wǎng)通，一條連接教育科研網(wǎng)(Cernet)，而這三個網(wǎng)絡之間的互聯(lián)互通做得并不好，比如從電信鏈路出去訪問Cernet的資源，會發(fā)現(xiàn)延時很大，速度很慢，

電腦資料

《多途徑可打造負載均衡》(http://www.lotusphilosophies.com)。這時使用基于目標地址的路由可以最大程度保證流量選擇最佳路由出去。

　　基于源地址的路由 (PBR)

　　實現(xiàn)流量復雜均衡還有一個手段就是采用源地址路由的方式。一般的三層轉發(fā)設備都是通過查詢路由表 (存放基于目標地址的路由) 來實現(xiàn)路由選路，而源地址路由(PBR)方式提供了另外一個手段，即防火墻會先查詢某預先定義的特殊路由表(PBR 路由表)來進行路由查詢，當PBR路由表中沒有命中的路由條目時再去查詢默認的路由表；也就是說，PBR路由表的優(yōu)先級比默認路由表高；

　　而PBR路由表中存放的路由都不是按照目標地址來進行選路的，而是基于別的一些因素；比如源地址，源端口，目標地址，目標端口以及IP包頭的COS字段這5者的任意組合。因此用戶可以利用該特性按照內網(wǎng)用戶的源地址屬性進行選錄；

　　舉個例子，加入用戶租用了兩條鏈路，一條帶寬為2M，另一條帶寬為10M，則可把內網(wǎng)的用戶劃分為12個網(wǎng)段，通過PBR將2個網(wǎng)段從2M鏈路送出去，另外10個網(wǎng)段從10M鏈路送出去以實現(xiàn)靜態(tài)的負載均衡；

　　入方向的負載均衡

　　前面講的三種方式其實都是出方向的負載均衡，即連接由內向外發(fā)起，適合大多數(shù)企業(yè)的環(huán)境；但可能有的用戶，比如提供互聯(lián)網(wǎng)服務的企業(yè)，需要同時實現(xiàn)入方向的負載均衡，即要求當互聯(lián)網(wǎng)用戶發(fā)起請求內網(wǎng)的服務器數(shù)據(jù)的連接時，選擇就近的鏈路接入；

　　熟悉運營商路由策略的人都了解，每個運營商都只發(fā)布自己的域內路由；因此當用戶連接的目標地址屬于運營商A的地址范圍的時候，該連接一定會進入運營商A的路由域并傳輸?shù)竭_最終目的地址。

　　因此對于入方向的流量，其實并沒有什么好的實現(xiàn)負載均衡手段，除非你有自己的獨立于運營商的地址范圍(自己的AS域)并通過BGP路由協(xié)議將自己的地址通告給所有的peer運管商，但這種條件很難達成。

　　幸好互聯(lián)網(wǎng)的尋址系統(tǒng)還包括有一個DNS協(xié)議，如果DNS服務器能夠將某服務器的域名解析成若干個分別對應不同運營商的地址，則連接就可以在連接這些運營商的鏈路上平均分攤以實現(xiàn)負載均衡；這個功能實現(xiàn)起來很簡單，只需在DNS服務器上添加多條A記錄即可(www.163.com就是這么做的)；但由于DNS服務器不會檢查鏈路故障，因此當某條鏈路斷掉后，DNS服務器依然會將域名隨機的解析到該鏈路所屬運營商的地址上，因此可能導致這部分流量服務不可用；

　　商業(yè)化的負載均衡設備(比如F5的Linkcontroller和Radware的LinkProof)都內置一個小DNS服務器，該DNS服務器可監(jiān)控鏈路狀態(tài)的變化，當發(fā)現(xiàn)某條鏈路故障時，就不會將域名解析到該鏈路所屬運營商的地址，以實現(xiàn)服務的高可用性。當然，這類設備的價格要比防火墻貴很多很多。