| 原创:empireroad (adetion@hotmail.com) 转帖必须署名 ===================================== empireroad特别说明:Adetion为empireroad另一英文名称。 [调侃篇] 这个问题的确比较麻烦:) 不过,只要有问题存在,就必然有它的解决办法。 首先,我们来看一下是什么问题? 一、什么问题: 网通用户访问电信网站速度奇慢; 电信用户访问网通网站速度奇慢。 呵呵,这个问题比较有趣。 二、问题的根源: 垄断+恶性竞争。 目前大陆最具影响力的两大ISP运营商:北方网通、南方电信。 两家都够黑的。对用户而言:没进门就磨刀霍霍……对双方而言:黑吃黑…… 下面我们用专业一点的词语予以阐明: 网通和电信分别架设有自己的网络干线网,神经状放射分布。但为了遏制对手发展,双方的主干线没有进行很好的对接,仅进行了局部小范围的子干线路互联。所以,问题就产生了。网通和电信之间的带宽狭小,一旦流量加大,势必造成堵塞。 几个小胡同,大家都来挤。通行速度可想而知。 Ok!我知道你想到了投诉:)那么告诉你吧,目前信产部收到的关于两大ISP运营商的投诉中,95%的都是关于双方互联互通瓶颈给网民造成的粗离愤怒。问题很严重,网民很生气。哦,对了,据说信产部也很生气。恩,但只是生气。于是,弱势群体开始不只一天地等待,光明总是很遥远…… 等是没有用的,靠人不如靠己,我们似乎可以先做点什么:) 三、问题的对策: 不是只有我们倒霉。太多的企业、个人碰到了同样头疼的问题。 1) 没钱的、懒的、菜鸟级网民: “众里寻她千百度,蓦然回首,伊人正在灯火阑珊处……”。 不会方法,给个软件就好。OK了。现在确实有解决这个问题的软件。 a> 统一网关:http://www.tywg.com b> 千度:http://www.1000du.net c> 凤凰网关:http://www.pubgates.com 有关这三个网关软件这里不作阐述。为什么呢?做个广告,百度一下喽:) (啊啊啊,百度拿钱来~~~) 不过,我在这里还是给出其对应的官方网站。或许您有兴趣去看一看呢,对吧。 那么,类似网关的技术实现原理是什么呢?这才是我要说的:很简单,首先,它问你或自动检查你是哪一类宽带用户,也就是先知道你是用的什么类型的网络接入方式。然后将你对网络的访问请求发送给网关服务器,而网关服务器同时联通了网通和电信乃至更多ISP运营商,那么,它会把你的请求直接通过最佳线路发送出去,再把得到的回馈信号转发给你。这些都是在瞬间完成的哦:)呵呵,比如你是网通宽带用户,原来访问电信线路上的网站很慢,这下通过中转立刻感觉速度提高了。很神奇吧,不过原理就这么简单。什么?你还想知道这个网关软件运行环境的详细原理?切!你问题可真多。不过,可以告诉你的:) 知道VPN吧?瞧,一提VPN你就恍然大悟了。虽然,网关软件实现技术并非简单的软件VPN,不过其机制还是大同小异的。不讲了,我还是卖个关子吧。这样的话我一不会万一讲错让人贻笑大方,二可以避免我又钻入程序员的思维定势把你绕晕。留作探讨性话题吧:) 2) 有钱的、勤快的、高手级网民: 好,你们竞争我不管。不管谁搞宽带接入,我统统拉一条过来(真有钱)。 哇,一堆线哦。怎么办? 容易。我多买几块网卡,反正就多花几十大毛。每个网卡上接根网线。什么网通的、电信的、铁通的、联通的……管它呢,有什么接什么。乱了……看看“网络连接”里面:本地连接1、本地连接2、本地连接3…… 全部选中!点鼠标右键“桥接”。呵呵,多了个“网络桥”。这样就OK啦,不管哪个通,我都能上网正常了,电信的走电信,网通的走网通…… 那叫一个爽啊。而且其他好处多多,带宽拓展了,网速提高了…… 要这么多网卡啊?太麻烦了吧!有没有简单点的?有!当然有! 买个双(多)线路智能选择路由器吧,市面上应该有卖的了,把那一堆线都接上去(支持多链路),具体设置翻看路由器的说明书吧,不是本文所该讨论的哦:)简单来说呢,就相当于多进1出+1进多出的中转站(双向)。这样,你同样可以获得上面的效果喽~~~ 3) 企业: 发觉没有?不管你在何处访问百度、Google、新浪等网站速度都是不错的。为什么呢?难道它们就有特权?呵呵,当然没有。不过,这背后肯定有些道道儿(晕,又开始卖关子了)。什么道道儿呢?下面我们就直接分析其原理: 谈到原理我在这里不得不培训一下基础知识。 a> DNS轮巡: 啊,DNS你都不知道是什么?……算你狠! DNS=Domain Name System,就是域名(解析)系统啦。域名解析的机理就是将某一个域名解析为一个确定的IP地址。 那么,DNS轮巡就是指:将某一个域名解析为多个IP地址,而每一个确定的IP地址就可能代表了一台服务器。当用户访问这个域名的时候,用户可能会被导向不同的服务器。这样做的目的是什么呢?很明显,就是为了应付大量用户访问可能造成一台服务器负担过重,出现超载的状况。将用户合理分流,即达到了负载均衡的效果。 b> DNS智能轮巡解析: Hoho,到了关键点了!睁大眼睛喽,看清楚下面的解释: 当一个网站面对大量访客的时候,即便采取了轮巡机制也难以确保所有的服务器都能够均衡地负载,也就是流量被相对平均分担,同时也不能够保证用户访问到的服务器能给其带来高速访问的效果。试想一下,一个北京的访客访问Google网站,却被带到了菲律宾的服务器上,我想,他的感觉一定不会很爽。这好比本来你从北京搭乘了去上海的飞机,而载你的飞机却把你带到了飞往巴格达空中,你不停地问递给你咖啡的美丽姐姐,怎么还看不到外滩的景色…… 不错!我们的目的就是让北京网通的用户访问到放在北京网通机房的服务器,而让南宁电信的用户访问到放在南宁电信机房的服务器,并且这些服务器都是Google的。即我们让DNS解析Google域名的时候,可以根据来访者客户端的源IP地址将访问请求智能导向到最佳并且距离最近的IP地址(服务器)上。这个过程,我们称其为:DNS智能轮巡解析。 经过了简单培训之后,我相信您的心里一定豁然开朗了。就算我在这里不再继续唠叨了,估计您对我下面还将要继续讲述的也能猜出个八九不离十了。不过,我还是要继续写下去,因为,我的手还不累,我的困意还没上来,而且,下面的会更加精彩(……梦想中国节目里选手在给自己拉票的时候都会这么说:给我投票吧,把我留在台上,我还有更精彩的才艺献给大家,你们想不想看啊?!给我投票吧!……)…… c> 内容分发式网站: 这一类网站特指静态页面的网站才可考虑应用的技术手段。对于动态网站(也就是绝大多数采用动态脚本程序写成并展现内容的网站)就不用考虑了。 比如:新浪。一堆一堆的新闻,基本上全生成了静态HTML页面。 这种技术流行的说法叫做:CDN。CDN=Content Delivery Network(内容分发网络)。采用此技术的网站我们称其为内容分发式网站。 什么叫做内容分发呢?呵呵,你肯定听说过Cache Server。对,就是在Internet的基础上,新建了一种网络架构,核心设备的就是Cache Server。它们可以分布在各地,缓存访客对于主站的访问数据,再有别的访客访问主站的时候,首先从Cache Server上查找,找到即返回给访客,否则从主站拿数据,新数据又会被缓存到Cache Server堆栈中。这样一来,访问速度看起来提高了不少哦:)你一点感觉不到你本来追求一个上海的漂亮MM,最后追来的却是她济南的克隆,而这个克隆MM因为离你最近所以才被你那么快追到(同情你)。用技术语言阐述的话就是将网站的内容发布到离访客最近的网络边缘,让用户就近获取信息。 当然,我在这里举新浪的例子并不是说新浪采用了或只采用了这种技术。我要说明的是技术原理本身而已。 你可以想象,搞那么多Cache Server一定挺费钱的。所以,我建议有钱没处花的企业可以考虑该方式。 d> 镜像网站: 首先,在这里我要向发明“镜像网站”的兄弟致以崇高的敬意! 然后,我就开始号召大家准备好烂西红柿、臭鸡蛋之类的了…… 为什么呢?听我细细道来。 顾名思义,企业可以选择在网通机房放一台服务器,把企业网站挂上去;同时,也在电信机房放一台服务器,也把企业网站放上去。两个网站从数学逻辑上可以假设为两个常量X=www.qiye.com和Y=www1.qiye.com,且要保证X=Y,则,两个网站互为镜像网站。这下,可苦了网站维护人员了,既要保持X的更新,又要保持Y的更新,更要保证X和Y的同步。嗯,这的确是一个非常有效的权宜之计。但是!我要说“但是”了,请准备好烂西红柿、臭鸡蛋……别瞄准我啊,瞄准那位发明“镜像网站”的兄弟。 采用“镜像网站”将导致如下尴尬: 1、 数据同步麻烦:静态页面还好说。如果是动态页面,绝大多数都是采用数据库保存数据的,不管是否采用前后端分离技术。数据库如何保持同步呢?虽然从技术上也是可以实现,但这种实现的代价过高 2、 流量分散:几乎所有网站都是由后台流量统计分析的,很多还是做了来访用户分析辅助决策管理的。难道还要做个特别的跨站点流量统计分析系统吗?这显然是自找麻烦 3、 爬网混乱:象Google、百度、Yahoo等众多搜索引擎都利用了蜘蛛引擎进行爬网检索各网站内容进行索引。本来应该是同一网站的资料却被人为地分散到两个独立的网站上。在一定程度上,降低了被索引的几率,通过搜索引擎检索到的位置也难以靠前。就算做了竞价排名,以哪个索引(URL地址)为基准呢?很明显,这不利于网络营销中的网络传媒推广。而且,很多来访者是通过搜索引擎检索到的地址进行直接页面级访问的,企业还能保证网通的用户一定就访问到网通镜像站吗?对,不能。 好了,各位手里的东西可以丢出去了…… 名词解释就先这些了,培训到此告一段落。那么,企业该何去何从呢?(……说了半天了,越看越迷糊了,培训成绩给0分!)呵呵,别着急。关于此节,需要啰嗦很多,我们就单列一章进行详尽的阐述。 四、企业应对策略: 恩!不错,通过以上的各种方法对照分析。DNS智能轮巡解析的技术手段还是上上选。然而,问题又来了。因为采取这种技术会面临如下两种抉择: 1) 需要用很多台服务器分别放置在全国各地的网通、电信机房里(自己在各地建IDC也可以,前提是口袋里有花不完的钱。可惜,不是所有的企业都是银行。禁止出这种馊主意!); 2) 如果采取自有集团集中式IDC机房双线接入(即同时接入网通、电信线路),该如何建设? 首先,第一种情况我们排除了。 对于集团企业来说,优选的方式开始采取自有集中式IDC机房双线接入。 企业自建的双线路IDC机房,除了一方面需要满足来自外部的访问,另一方面还要满足内部的请求。所谓内部请求即内网用户访问网通线路上的外部网站和访问电信线路上的外部网站该如何智能判断出口。 看来,我们又陷入了内外需求是否需要同时兼顾的怪圈。实施起来似乎难度又增大了。 所以,这个问题我再来进行分开讨论,以便使您不至于看着看着就睡着了:) 1) 满足来自外部的请求: 即让网通用户可以访问到我们的网通站,而让电信用户可以访问到我们的电信站。并且我们企业的网通站和电信站应该是同一个站。嗯,我知道你又迷糊了。呵呵,品口咖啡,然后伸个懒腰,我们继续。实质上,我只需要用一台服务器,同时配置网通和电信两个IP就可以了(双网卡)。假设我们的服务器操作系统采用了Windows 2003 Server(即NT内核OS),那么在WEB服务IIS上可以设定同一个网站使用两个不同的IP。在DNS解析时,再把企业一个确定的域名同时指向这两个IP即可。然后,来自网通用户的访问请求将其自动导向到网通IP,而来自电信用户的访问请求将自动导向至电信IP。呵呵,听上去很简单嘛。具体建设思路如下: a> DNS智能轮巡解析: 假设企业原本的域名解析是由网络运营商或域名注册服务商提供的,就要考虑询问其是否支持该技术了,否则,就要将域名转移到支持该技术的服务商进行智能解析设置。而如果企业原本的域名解析就是自己接管的,那就好办多了。 哦,我知道你有疑问了。你一定采用了微软操作系统自带的DNS组件解析,而且你查阅了大量资料才搞清楚,这个组件虽然也可以实现智能解析,但设置起来超级麻烦。微软的工程师都不能给你完美的解决方案。OK,现在咱们就说个简单的办法吧。BIND9!对!就是BIND9!玩过Linux的朋友对它一定非常熟悉。但你有没有想过它也可以安装到NT内核的操作系统上呢?答案是肯定的。 所以用BIND9实现DNS智能轮巡解析,目的很明确。就是要得到来访者的IP源地址,分析其属于网通网段还是电信网断,然后自动将其引向网通或者电信的IP地址上(即设定有该IP地址的服务器上)。至于如何实现,可能涉及到的技术较为繁琐,我假定您有足够的耐心讲下面一段解释看完:) 目前我所知道的BIND9版本是BIND9.3.2(http://www.isc.org/index.pl?/sw/bind/)。有兴趣的朋友可以下载下来安装上(别跟我说你不会安装,否则我会抓狂的~~~)。该域名解析组件将会自动安装到\winnt\system32\dns目录下,并会自动生成如同Linux下的etc子目录。当然,这些我还是假定你相当熟悉。我只简要讲一下配置过程,需要具体的方法可直接问我啦。 第一:将named.conf文件中的域名修改成企业自身的,配置上网通和电信的IP; 第二:再次编辑named.confg,这里类似于编程哦:)简单来说就是让来自网通或电信的IP列表(取自列表文件)分别指向对应服务器的IP; 第三:配置电信和网通网段列表,就是把目前大陆网通和电信所有对外提供接入服务的IP段进行汇总,形成两个列表文件; 最关键的工作就是以上三步。那么,现在,请重新启动一下BIND9吧。Hoho,DNS智能轮巡解析成功! b> 服务器的准备工作: 这个服务器当然是指企业网站服务器了。要拥有两块网卡(专业服务器缺省都是两块网卡,别担心了,不用多花钱再买一块的,平时都是闲置了一块没用而已),一个网卡上配置网通IP,两一个配置电信IP。然后在IIS上(这里只举例NT内核操作系统)配置网站同时拥有两块网卡上设定的两个不同的IP。难道不能只占用1个网卡并配置1个IP地址吗?从技术角度也是可以的。如果你对这种技术感兴趣。那么,下面也会有所介绍。 c> 网络环境的准备工作: 在企业自建的IDC机房拥有来自网通和电信的两条光纤链路(废话)。我这里假定您的机房原本就接入了网通并已经搭建好了完整的网络环境且正在正常运转当中,而您现在所做的工作只是再拉一条电信的光纤进来。那么,你有两种解决方案可供选择: 第一:双链路双IP(这种双路IDC流行于南方,比如杭州); 第二:双链路单IP(这种双路IDC流行于北方,比如北京)。 这两种解决方案目前好像有个流行的叫法称为“双线路技术”。有兴趣的请自行百度一下:)关于单/双IP模式各自优劣对比也可以检索到,我就不多作解释喽。就从网上抄一段下来看看:“双线路技术就是指在一个互联网数据中心(IDC),通过特殊的技术手段。把不同的网络接入商(ISP)服务接入到一台服务器或一个服务器集群上面,来使其所提供的网络服务访问用户能尽可能以同一个ISP或互访速度较快的ISP连接来进行访问,从而解决或者减轻跨ISP用户访问网站的缓慢延迟(网络瓶颈)问题”。 写到此处,忽然想起个很重要的话题。我想,您或许早就想到了,只是一直没说出来。Oh,Sorry,很抱歉这篇文章本身无法具有交互性。不过,咱们恰恰想到一块儿去了。 别急,这个话题就是:双路IDC机房的二次投资。 本身企业就建设好了网通线路机房,什么路由器交换机弄了一大堆花了不少钱了。如果再接入一条电信线路,能不能在原有技术上重新配置一下就可以直接用呢?答案让您失望了……不能。这就意味着必须新添置路由器、交换机以满足双路IDC的基本需求。还好,我们建设双路IDC的目的性非常明确,我们只是为了解决我们的一个或多个网站满足不同宽带接入用户的访问速度提升需求。故而,我们不需要采购多么豪华配置的网络设备来挤瘪我们的钱袋。从另一方面说,所要采购设备负载并不多,背宽要求不高,满足基本需求就可以。嗯,您可以松口气了。因为我知道这遵循了您办事的一贯原则:花最少的钱办最好的事:)不过,毕竟添置新设备还是要花点钱,同时,相应的运维成本也会有适当的增加。这都是没办法的事了。可是,如果你从另一个角度去想呢,若企业不采取这种方式,而采用建设镜像网站,势必要添置镜像服务器,那也是钱啊,而且你还要把服务器托管到电信机房去,电信可不会给你免费(难道电信是你家亲戚?)。 2) 满足来自内部的请求: 关于此项,这里我只做简单的说明。对于企业内部用户(设为网通宽带用户),如果访问外网电信线路上的网站,一般来说,不推荐使用企业接入的电信线路。因为这样会加大电信线路上的负载,负载一旦大了,所需的网络设备配置要求就会升高,这会给企业造成附加投资,从而造成没必要的浪费。除非必要,一般不予考虑。除非确有需求。 回头看看,没想到打了这么多文字,着实吓了一跳:)那么就此收笔了。再有未尽事宜,就改日再聊吧。困了~~~休息ING…… [运营商忽悠篇] 双线访问实现方式: 说明:正常的PIX535和525都是两个接口。 硬件设施准备:在PIX535和525的上联交换机上接入电信和网通的专线,实现双线。然后需要从交换机到PIX535和PIX525分别有两条网线连接,分别是电信和网通路由。 详细步骤: 1、 网络层面: 在路由器上配置静态路由,将目的地址为中国电信地址网段的下一跳指向电信出口网关,另外配置一条默认路由下一跳指向网通出口网关即可。 2、 域名解析层面: 1)、在防火墙上将服务器地址分别映射成一个网通IP和一个电信IP。 2)、在DNS上分别建立两个view文件(即控制文件),利用访问控制列表实现中国电信的用户解析网站域名得到的是电信地址,其余用户解析域名得到的是网通地址。 完成以上两个层面的工作后即可实现中国电信用户访问网站走电信线路,其余用户访问网站走网通线路;同时也可以实现局域网访问所有电信网站走电信线路,访问其余运营商区域内网站走网通线路。 [最终实施方案] XX集团双线接入实施方案 XX集团各园区和分公司遍布全国各地,总部目前使用网通一家运营商互联网出口。由于电信南北拆分造成网络互通瓶颈的事实,应保留原运营商网络出口的基础上增加电信的互联网出口。并且通过路由策略和相应的智能域名解析实现如下功能: 1、 总部访问外网,如果服务器在电信网内,则通过电信的互联网线路 2、 外部公众用户或者分支机构是电信接入的通过电信的线路访问应用服务,是其他运营商接入的使用网通的互联网线路 基于此拟定如下实施方案: 步骤一 申请电信的互联网专线一条 步骤二 1) 当出口流量小于15M时,新增一台三层的交换机(推荐使用Cisco 3550或者华为3528G),将电信的线路接入此交换机,再将交换机互联至内部网的6509设备,保持原有网络结构不变,并在此交换机和6509上做路由。 网络拓扑图如下: (贴图麻烦,省掉了……) 配置脚本如下: 交换机(以华为3528为例): vlan 10(与电信互联) int vlan 10 ip address 电信分配的互联地址1 子网掩码 vlan 20(与6509互联) int vlan 20 ip address 电信分配的互联地址 子网掩码 ip route 0.0.0.0 0.0.0.0 电信分配的互联地址1 ip route 电信分配给XX集团用户服务器的应用的公网地址 子网掩码 电信分配的互联地址(6509端) 在6509新增配置: ip route 58.30.0.0/15电信分配的互联地址 ip route 58.32.0.0/11电信分配的互联地址 ip route 58.64.0.0/14电信分配的互联地址 ip route 58.82.0.0/15电信分配的互联地址 ip route 58.208.0.0/12电信分配的互联地址 ip route 59.32.0.0/11电信分配的互联地址 ip route 59.107.0.0/17电信分配的互联地址 ip route 59.191.0.0/17电信分配的互联地址 ip route 60.55.0.0/16电信分配的互联地址 ip route 60.160.0.0/11电信分配的互联地址 ip route 60.200.0.0/14电信分配的互联地址 ip route 60.204.0.0/16电信分配的互联地址 ip route 61.29.128.0/17电信分配的互联地址 ip route 61.128.0.0/10电信分配的互联地址 ip route 202.75.216.0/21电信分配的互联地址 ip route 202.85.208.0/20电信分配的互联地址 ip route 202.90.0.0/21电信分配的互联地址 ip route 202.93.0.0/20电信分配的互联地址 ip route 202.96.0.0/15电信分配的互联地址 ip route 203.84.0.0/14电信分配的互联地址 ip route 203.88.0.0/15电信分配的互联地址 ip route 210.72.0.0/14电信分配的互联地址 ip route 211.152.0.0/13电信分配的互联地址 ip route 218.14.0.0/15电信分配的互联地址 ip route 218.16.0.0/13电信分配的互联地址 ip route 218.30.0.0/15电信分配的互联地址 ip route 218.62.0.0/15电信分配的互联地址 ip route 218.64.0.0/14电信分配的互联地址 ip route 218.70.0.0/15电信分配的互联地址 ip route 218.72.0.0/13电信分配的互联地址 ip route 218.80.0.0/12电信分配的互联地址 ip route 219.128.0.0/12电信分配的互联地址 ip route 219.144.0.0/13电信分配的互联地址 ip route 220.160.0.0/11电信分配的互联地址 ip route 221.224.0.0/12电信分配的互联地址 ip route 222.32.0.0/12电信分配的互联地址 ip route 222.74.0.0/15电信分配的互联地址 ip route 222.76.0.0/14电信分配的互联地址 ip route 222.80.0.0/12电信分配的互联地址 ip route 222.168.0.0/13电信分配的互联地址 ip route 222.176.0.0/12电信分配的互联地址 ip route 222.208.0.0/12电信分配的互联地址 ip route 222.240.0.0/13电信分配的互联地址 2) 当出口流量大于15M时,新增一台性能较好的路由器(推荐使用Cisco3700或者华为NE05),将电信的线路接入此路由器,再将路由器互联至内部网的6509设备,保持原有网络结构不变,并在此交换机和6509上做路由。 路由器的配置与交换机基本相同(略) 3) 在防火墙PIX535上做相应地址映射,将服务器地址分别映射成一个网通IP和一个电信IP。 具体配置如下: static (inside,outside) 10.1.1.5(内部服务器地址) 219.168.12.100(电信分配的公网地址) netmask 255.255.255.255 0 0 static (inside,outside) 10.1.1.3(内部服务器地址) 128.168.2.4(网通分配的公网地址) netmask 255.255.255.255 0 0 4) 在电信DNS上做地址解析,同时需要在XX集团自己的DNS服务器上做相应的配置(在XX集团DNS上分别建立两个view文件即控制文件,利用访问控制列表实现中国电信的用户解析XX集团网站域名得到的是电信地址,其余用户解析域名得到的是网通地址),以保证电信和网通的客户均能快速访问XX集团的网上应用。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-29 11:23 , Processed in 0.232441 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
