基于IPSecVPN和SDWAN双路负载切换的数据互联

陈伟

摘  要：项目为某药企核心业务系统迁移，目标是将信息迁移到阿里云上，形成云系统与本地数据中心混合使用的模式。在项目实施期间面临的主要问题是保证大数据传输安全性与低时延性，并且在数据迁移完成后，需要确保数据一致且业务连续、清除期间产生的冗余数据。为解决上述问题，在主链路采用了IPSecVPN技术，备用链路则使用SDWAN技术，以满足双路负载切换要求。同时，利用阿里云动态迁移工具，对windows与Linux系统参数进行匹配，使得全链路数据参数一致。以上技术手段应用后，核心系统完成了云端化迁移，符合项目预期要求。

关键词：SDWAN技术;IPSecVPN技术;数据互联;负载切换

新时期，数据云存储的方式越来越受到重视，通过云端备份加密，对企业核心数据进行保存成为数据管理的主要内容。在传统模式下，企业核心系统数据均为本地存储，存在安全风险，鉴于此，对最新的系统迁移项目进行研究变得尤为关键。本项目拟将核心业务系统迁移到阿里云端，形成高效且安全的云上系统。为确保数据信息稳健性、安全性，降低服务成本，有关人员需要结合项目具体内容，做好数据的云端传输，使得项目中的难点问题被及时解决。

1 项目概况

先声药业（江苏）计划将业务系统向阿里云进行迁移。本项目所制定目标如下：将数据机房内现有信息系统迁移到阿里云，确保核心业务的云化率能够达到70%，通过对信息系统所具有稳定性、安全性以及健壮性进行增强的方式，达到降本增效的最终目标[1]。迁移期间不会给业务造成负面影响，同时不存在数据丢失的情况，最终获得以云上系统为主、数据中心为辅的全新架构。

2 项目技术难点

本项目所研究对象为阿里云杭州节点，对其进行迁移期间，通常需要联合当地数据中心对大量数据进行交互，加之核心业务在时延方面所提要求极为严格，使得项目开发期间主要面临以下难点：一是随着数据量的增多，访问所产生流量传输压力有所增加，有关人员既要确保跨省传输数据的过程安全且具有时效性，还要解决数据跨库交互期间的备份问题，同时保证读取本地报表的速度符合要求[2]。二是迁移工作告一段落后，应保证业务连续且数据完全一致，杜绝切换、启动业务期间出现数据冗余清除或是报错异常的情况。

3 技术解决方案

3.1 双路负载切换

导致跨省传输时延性、安全性难以达到预期的原因，主要是对信息系统、阿里云进行互联的方式存在不足。鉴于此，有关人员指出应引入SDWAN、IPSecVPN，通过双路负载切换的方式，赋予传输过程更符合预期的安全性。其中，主链路所采取方式为IPSecVPN，强调以数据中心现有防火墙、阿里云所提供ESC服务器为依托，对加密隧道进行建立，同时凭借静态指向路由，对网段数据进行定向传输，事实证明，对该技术加以使用，可保证时延不超过100ms，同时保证对时延具有较高敏感度的业务能够维持正常运行[3]。而备用链路所采取技术为SDWAN，简单来说，就是通过串联的方式，对就近节点、全球SDWAN进行结合，确保备份链路能够顺利接入主网，在主链路因故停止运行后，可第一时间切换到备用链路，由备用链路接替主链路运行。

3.2 迁移模板参数控制

关于如何保证迁移结束后，业务连续且数据完全一致，有关人员指出应以不同业务系统所提出需求为切入点，借助阿里云所提供的迁移工具进行模板迁移，同时保证所迁移模板与Linux参数、Windows参数相匹配，以免由于数据存在出入，导致业务无法得到连续开展。具体做法如下：第一步，生成全新模板，保证新旧模板内容相同。第二步，凭借主链路对镜像模板进行传输，确保其能够顺利进入阿里云模板库。第三步，由模板库负责自动生成相应虚拟机，保证虚拟机环境、参数还有全链路数据均与实际情况相符，真正做到切换期间不会给用户使用产生影响。虽然该方法需要生成较多数据，但能够最大程度规避业务不连续或是数据不符的情况出现，其效果有目共睹。

4 双路负载技术优势

4.1 IPSecVPN技术

IPSecVPN是指网络层VPN，由于该项技术能够利用自身所具有的封包对IP信息进行封装，因此，具备对应用协议相关信息进行隐藏的功能。通常只需基于IPSec对加密隧道进行建立，便可对VoIP、Web等主体进行连接，确保传输通道与相关服务器直接连接。另外，考虑到该技术和应用的关联并不紧密，使得其客户端对IP层协议所提出要求相对宽松，可在极大程度上保障客户端的透明性[4]。

当然，由于该技术问世的时间较短，尚有亟待解决的问题存在，具体表现在以下方面：首先是对其进行配置的流程较为复杂，通常需要有相应的客户端作为载体，同时各提供商所使用设备的兼容性仍有极大改进空间。其次是在网络适应性方面的表现并不理想，作为IP层协议的IPSecVPN，通常难以做到对防火墙和其他控制设备完全透明，另外，在Proxy和NAT等方面，同样存在穿透性较差的问题。最后是应用层所具有安全性难以得到保障，该技术主要被用来对传输层端口还有IP地址的访问行为进行控制，在应用层方面的表现尚未达到预期。未来，有关人员应将研究重心转移到以上方面，尽快对IPSecVPN所存在不足加以弥补，使该技术拥有更加多样的适用场景。

4.2 SDWAN技術

信息时代的到来，加快了移动应用和云计算推广的速度，包括支付交易以及异地办公在内的多款实时应用，均需要在不同节点间进行实时传递，以往使用网络极易出现访问慢或是断线等问题，导致用户需求无法得到满足。在此背景下，SDWAN应运而生，SDWAN被提出的初衷，主要是控制用户在广域网领域的开支，同时使网络连接变得更加灵活。作为由软件所定义的广域网络，SDWAN可通过对互联网应用、企业网络还有数据中心等主体进行连接的方式，使WAN拓扑得到简化，同时为日后的部署还有管理工作提供便利[5]。对 SDWAN进行部署前，企业需要考虑以下几个问题：首先是明确是否需要对各分支机构进行集中管理，是否需要对数据进行接入或是回传;其次是部署工作所涉及应用的种类，应用访问所具有的安全性及SLA;最后是企业现有链路和云连接的适配性，是否需要提前对链路进行备份。

对该技术加以使用的优势，通常体现在以下方面：一是可使WAN的连接效能得到提升。边缘网络设备可在加入互联网的前提下，對互联网还有MPLS进行管理，真正做到以实际情况为依据，综合考虑吞吐、延迟还有抖动情况，对链路进行准确选择。二是可使连接所具有可靠性得到强化。SDWAN企业内部所运行私网，通常具备多路由优化还有冗余的特点，只要保证对两端进行连接的任一路径处于正常运行状态，就不会出现流量中断的情况。事实证明，冗余机制的存在使得连接可靠性得到了极大程度的强化。三是具有极强的灵活性。企业启动项目后，该技术能在第一时间对可靠且安全的网络连接进行建立，并在项目结束的同时关闭相关服务。而企业只需凭借互联网，便能够在任何时间、地点接入该运营网络。

4.3 双路负载切换技术效益

通过测试可知，新方案所取得效果较为理想，可将时间控制在约60ms，确保跨省数据交互所提出需求得到充分满足，在经过一段时间的调试后，该企业已对70%的核心系统进行了云化迁移，与管理层所提出要求相符。事实证明，使用IPSecVPN和SDWAN+ SDWAN的双路负载切换技术，可确保企业即使不具备独立维护IT的能力，仍然能够做到快速部署以及统一管理，并保证所打造专用网络能够最大程度满足企业的诉求。

5 结论

总结了某药企核心业务系统的迁移方案，通过对IPSecVPN与SDWAN的应用，构建了双路负载切换方案，使得数据传输更加安全、快速。上述技术手段应用后，也保证了数据的一致性与业务开展连续性，并及时清除了启动与切换业务中产生的冗余数据。综上所述，项目研究取得了显著成果，以双链路切换的方式，确保了数据可靠交互，同时保证了数据一致性，最终企业核心系统的70%数据完成云端迁移，获得了委托方高度认可。

参考文献：

[1] 刘航， 罗建国， 许兴民， 等. 考虑约束参数切换的小蜂窝LTE移动负载自适应均衡[J]. 计算机应用研究， 2021， 38（3）： 5.

[2] 郭敏， 肖静， 吴宁， 等. 一种电动汽车动态无线充电的负载检测方法及导轨切换策略[J]. 电网技术， 2021， 45（3）： 7.

[3] 罗宏等， 蓝耿， 聂良刚， 等. 利用多粒度粗糙集属性约简和TOPSIS的IPv6负载均衡机制[J]. 计算机应用研究， 2021， 47（12）： 1-9.

[4] 蔡杰， 孙毅， 王宇航， 等. 乌东德水电站监控系统负载均衡功能的设计与实现[J]. 水电能源科学， 2020， 38（12）： 5.

[5] 程林祥， 王彪， 张瑞， 等. DSP主控型CO和CH_（4）双路激光气体检测数据采集系统研制[J]. 激光杂志， 2021， 42（12）： 4.