摘要：局域網邊緣的互聯網接入點在接入互聯網時，受接入方式的不同或成本的限制，有可能開通的帶寬各不相同，如何才能保證各出口的流量不會超過出口的接入帶寬。為解決這一難點，在智能負載均衡設備上，配置每條出口時指定最大帶寬，限制了智能負載均衡設備將數據轉發到每個出口的最大值，保證小帶寬出口不會因為流量過大造成擁塞。文章發表：《中國高校科技》是由中華人民共和國教育部主管、教育部科技發展中心主辦，面向全國高等學校的教育、科技工作的大型理論與實踐結合的權威性、指導性、學術性綜合期刊。《中國高校科技》的前身是《中國高校技術市場》，2002年更名為《中國高校科技與產業化》，2011年5月，經國家新聞出版署批準，更名為《中國高校科技》。本刊為CSSCI(2014-2015)來源期刊擴展版、08版全國中文核心期刊、CNKI中國學術期刊全文數據收錄期刊。

　　大型局域網是指有多臺路由器組成，彼此之間通過動態路由協議交互路由信息，每臺設備均維護各自的路由表項。在這種網絡環境下，訪問互聯網的流量途徑任意一臺路由器時，都有可能被路由器轉發到錯誤接口上。為了解決這一難點，必須在局域網邊緣的互聯網接入點和核心機房之間建立端到端的連接，保證流量能被準確的送到互聯網接入點。經過研究比對，推薦由互聯網接入點的寬帶路由器和核心機房內的防火墻使用IPsec來建立VPN通道解決這一難點，同時為簡化后期維護壓力，建議由互聯網接入點的小型寬帶路由器主動發起IPSec建立請求。

　　僅以電信20Mb/s大小帶寬比對相關費用，目前電信大帶寬為2000元/月，一年費用為2.4萬元/年，而家庭寬帶20Mb/s費用為0.2萬元/年，加上每個接入點的路由器0.2萬元，每個20Mb/s總計需費用為0.4萬元，兩者寬帶租用費用相差6倍。使用該方案可以大大減少集團用戶互聯網費用的支出。

　　本研究針對傳統的互聯網接入方式提出的接入方案，可以顯著降低用戶的網絡接入成本和使用成本，大大提高用戶網絡的安全性和穩定性。最大限度地保障用戶業務正常使用。

　　到目前為止，互聯網接入點和核心機房的VPN通道已經建立，每個出口的流量也由負載均衡器做了限制，但現在VPN通道僅僅是防火墻和邊緣路由器之間建立，如果智能負載均衡設備不知道目前已接通的VPN通道，那就無法正確地將流量指向各個出口，無法實現將大流量分散到各個出口上。為解決這個難題，我們通過IPSec中保護數據流的方式來實現，為每一個小出口定義一個需保護的數據流。我們單獨規劃一段私網地址，每個出口一一對應一個私網地址，在邊緣路由器配置時，通過創建ACL(訪問控制列表)來定義保護的數據流，即該ACL中匹配該出口對應的私網地址，同時在IPSec的安全策略中引用該ACL。這樣當邊緣路由器和核心防火墻建立IPSec的VPN通道時，防火墻就能得知每個出口需保護的數據流，即數據流的地址是規劃的私網地址時，就把數據流送到對應的VPN通道中。在負載均衡器上配置每個出口數據，同時對每個出口的做源地址NAT(網絡地址轉換)，將原有數據包的源地址轉換成每個出口定義的私網地址，再將該數據包送到防火墻上。防火墻根據每個數據包的私網地址送入不同的VPN通道，經過加密傳輸到邊緣路由器上，從而實現了訪問外網的數據分散到多個出口之上。同時一般的負載均衡器都能配制線路的健康檢測，針對每個出口都配置一個健康檢測，都是以私網地址為源地址去做每個出口的健康檢測，實現對每個出口業務情況的掌控。