本文通过以下案例简单介绍多链路动态负载均衡方案：

一、案例需求：

本案例公司中现有两条与外部网络（包括Internet）的线路，分别由中国电信（Telecom）和吉通（JITONG）提供。

目前两条线路分别承担OA、e-business和e-Mail数据的传递。由于系统中缺乏必要的链路管理机制，两条链路的资源不能合理有效地进行分配，并且在线路出现故障时，不能够自动在两条线路上进行切换。

在这两条线路上，实际存在着3种不同的数据连接请求，因此通过对这3种请求进行必要的引导，数据流便可以有效地在两条链路上进行传递。这三种数据连接包括：

• DNS 解析请求
• Inbound数据流
• Outbound数据流

下面我们将结合建议方案对这三种数据连接进行分析，阐述A公司多链路负载均衡的原理和应用。

二、方案设计：

Figure 2.1 总体设计

Figure 2.2 实现原理

如总体设计图中所示，Load Balance Controller承担起了对两条ISP连接的负载均衡工作。它作为数据传递的中间枢纽将所有设备连接在了一起。因此，为避免单点故障的发生，在未来的应用中，我们建议采用两台Load Balance Controller提供高可靠性的连接方式。

每台防火墙与Load Balance Controller的两条连接在逻辑上分别与DMZ和Intranet相连。即，两个区域的数据通信和连接仍然保持在原有防火墙的安全策略保护下。

在"实现原理"图中，我们可以比较清楚地看到Load Balance Controller的配置。对于访问DMZ区的数据连接，包括DNS解析请求，都将从Vlan 1 和 Vlan 2流入和流出，这两个Vlan简称V1、V2。它们分别与两个防火墙，即两个ISP连接对应。

对于访问或与Intranet连接的数据，都将从Vlan 3 和 Vlan 4流入和流出，这两个Vlan简称V3、V4。它们分别与两个防火墙，即两个ISP连接对应。

DMZ区内的设备连接在Load Balance Controller上的Vlan 5中，Intranet中的用户连接在Load Balance Controller上的Vlan 6中。这两个Vlan简称V5、V6。

在目前的应用中，有三种数据流组成了日常的数据通讯连接。它们是:

• DNS 解析请求
• Inbound数据流
• Outbound数据流

DNS解析请求

当外部用户需要对WWW、e-business和e-mail服务器进行访问时，首先进行的便是必要的DNS解析。接下来，我们以WWW域名为例来描述用户如何通过Load Balance Controller得到恰当的IP地址。

假设WWW域名为www.digitalchina.com:

• Client向其本地DNS（LDNS）发出域名解析请求，探求域名www.digitalchina.com的IP地址。
• LDNS向ROOT服务器查询digitalchina.com的地址，得到211.152.31.1和159.226.50.1，它们分别对应与两个ISP，Telecom和JITONG。

LDNS将以第一个得到的IP地址为目的，向它发出对www.digitalchina.com的查询。如果这第一个地址在允许的连接条件下，无法连接到或得到解析结果，则LDNS将启用第二个地址进行查询连接。

•  
• 这时，请求由LDNS到达Load Balance Controller。在Load Balance Controller 上，对于后面的两台DNS服务器事先已设置好虚拟服务器VDNS，且对应与两个不同的ISP 连接，172.17.1.168和172.17.2.168。172.17.1.168与211.152.31.1通过防火墙1的NAT对应，172.17.2.168与159.226.50.1通过防火墙1的NAT对应。这样，通过任何一个ISP连接到达的域名解析请求都可转发至后面的两个DNS服务器，并在它们之间完成负载均衡。
• 在后面的两个DNS服务器上，需是先进行"匿名"的配置。
  www.digitalchina.com. IN CNAME www.wip.digitalchina.com
  在Load Balance Controller上，对应这个匿名，事先已配置好wide IP，www.wip.digitalchina.com与之对应：并且包括事先配置的两个虚拟服务器地址，211.152.31.3和159.225.50.3。这两个地址都指向后面的WWW服务器，并与两个ISP连接对应。
• 这时，Load Balance Controller会依据已经设置好的wide IP均衡规则，向LDNS提供www.digitalchina.com所对应的IP地址。即依据两个不同的ISP连接情况，选择与ISP连接向对应的地址。
• LDNS得到这个地址后，将它返回到Client端。
• Client利用这个地址进行与www.digitalchina.com的连接。

Inbound数据流

这部分数据流主要流向经DNS解析请求后得到的地址。我们仍以对www.digitalchina.com为例。假设Client得到的地址是211.152.31.3，那么当它的数据连接到达防火墙后会被翻译成内部地址，172.17.1.3。这个地址也是Load Balance Controller上设置的虚拟服务器地址，对应于后台的WWW服务器。当Load Balance Controller 收到对这个地址的访问后，它会根据对服务器设置的负载均衡算法，将用户数据转发到相应的服务器。

Outbound数据流

这部分数据主要从端口V6流向与防火墙相连的另外两个端口，即V3和V4。在V6上，我们需要将来自Intranet的数据连接全部接受，这样，在Load Balance Controller上需要设置Wild Card 地址：0.0.0.0:0。这个地址对应于两个防火墙连接，10.1.1.1和10.1.2.1。当Load Balance Controller 收到由Intranet发来的数据连接后，就会依据相应的负载均衡算法，将数据流转发到恰当的防火墙。并且在数据出入V6，V3和V4端口时，Load Balance Controller 会对数据流的源IP地址进行翻译。翻译工作依据于SNAT设置。