H3C LB设备功能概述Word文档格式.docx
《H3C LB设备功能概述Word文档格式.docx》由会员分享,可在线阅读,更多相关《H3C LB设备功能概述Word文档格式.docx(10页珍藏版)》请在冰豆网上搜索。
链路物理带宽:
即链路的可用带宽值。
链路成本:
取决于每条链路的成本值,比如租用联通10M链路每月1万元,租用电信10M链路每月1.5万元,则两条链路的成本比例为2:
3,两条链路成本的取值应该满足该比例。
链路延迟时间(即RTT):
通过链路健康性检测获得。
路由跳数(即TTL):
ISP表项:
负载均衡内置各运营商IP地址列表,outbound方向报文的目的IP地址如果与某ISP表项匹配,则将报文从匹配的ISP链路送出去。
链路静态调度算法:
对每条链路轮询(加权轮询)分发数据流、根据报文的源IP/Port
Hash、选择链路中并发连接数最少、链路中最大剩余带宽等方式。
持续性(会话保持)表项:
针对网上银行、电子购物等应用,某一用户的一次交易过程中的多个连接从同一个链路送出去(做NAT时保证源IP不变,否则网银或电子购物服务器会将源IP漂移的报文视为攻击),就是持续性功能。
负载均衡设备会将首次出方向报文的选路结果记录下来形成持续性表项,某数据流后续报文均根据持续性表项进行转发。
.
链路负载均衡选路示意图图2Outbound进行探测,选出最优链路进行分发。
在实IP负载均衡设备对出方向的每一个数据流的目的以数十IP际应用中,尤其是在大型网络中如高校出口、运营商出口,其用户群访问的目的的响应时间,对负载均衡IP万甚至上百万来计,如果负载均衡设备本身同时探测每个目的表项无法匹配的数据设备性能消耗较大,因此就近性探测方法一般针对小型网络或对ISP未匹配的报文可采IP表项匹配,对于目的2所示,对出方向数据流首先进行ISP流。
如图用静态分发算法如轮询或加权轮询、动态算法如链路最小并发连接等以及就近性探测均可。
方向链路负载均衡3)Inbound链路负载均衡可以实现在多条链路上分内网和外网之间存在多条链路时,通过Inbound所示。
Inbound链路负载均衡的典型组网如图3担外网用户访问内网服务器的流量。
链路负载均衡组网图3Inbound图
Inbound链路负载均衡中,负载均衡设备作为权威名称服务器记录域名与内网服务器IP地址的映射关系。
一个域名可以映射为多个IP地址,其中每个IP地址对应一条物理链路。
外网用户通过域名方式访问内网服务器时,本地DNS服务器将域名解析请求转发给权威名称服务器——负载均衡设备,负载均衡设备依次根据就近性算法、ISP表选择最佳的物理链路,并将通过该链路与外网连接的接口IP地址作为DNS域名解析结果反馈给外网用户,外网用户通过该链路访问内网服务器。
这里提及的就近性算法、ISP表项匹配原理与Outbound同,只是探测的是入方向报文的源IP而已。
详细的实现机制见图4。
DNS链路负载均衡实现示意图(智能功能)图4Inbound4)来回路径一致、邮件系统)中,由于出口的应用场景中,用户对互联网提供公众服务(如ISPWEB在多出口路由器一般配置静态策略居多,容易出现用户请求报文与服务器响应报文来回路径不所示。
5一致的情况。
如图
链路负载均衡来回路径一致功能图5
这将会导致两个问题:
用户访问业务速度极慢,请求报文从电信进来,响应报文从移动出去,并跨网回送到1、电信,容易受到运营商跨网转发的速度瓶颈。
功能,反向单播逆向路径检测)、用户无法正常访问业务:
如果运营商的设备开启URPF(2那么响应报文可能会被其他运营商丢弃。
的解决方法是特有的记录上一跳功能来保证用户的请求报文和响应报文来回路H3C为此,径一致。
其实现原理是:
负载均衡设备依据用户请求报文的五元组生成会话表,并把该会话表与入端口(物理或逻辑)对应关系记录成上一跳表项;
但服务器响应报文会匹配到会话表,负载均衡设备会不再经路由查询、自动选路等处理直接将响应报文从入接口转发出去。
5)防链路拥塞功能方向采用何种负载均衡算法,都要防止链路出现Outbound在多家ISP链路情况下,无论负载均衡提供防链路拥塞功能来避免流量过载情况,负载均衡设备针对每H3C流量过载。
条链路设置流量阈值,一般阈值略低于链路物理带宽值,当该链路的实际流量达到阈值后,后续按策略应由该链路转发的新的数据流会分发到其他低负载链路上。
2Inbound链路负载均衡工作机制
链路负载均衡包括以下几个基本元素:
Inbound
服DNSLBproduct、物理链路、本地集群:
提供网络流量负载均衡的群体,包括?
务器。
LBproduct:
作为待解析域名的权威服务器,负责指导外网到内网流量的路径。
?
物理链路:
运营商提供的实际链路。
?
服务器。
DNS发送的DNS请求的本地Host服务器:
负责解析本地DNS?
链路负载均衡流1-13Inbound图链路负载均衡的工作流程如下图所示。
Inbound
程图
LBproductHostLocalDNSserverDNSrequest
(1)
DNSrequest
(2)
Scheduler(3)
DNSresponse(4)
DNSresponse(5)
Resourceaccess(6)
流程简述如下:
请DNSDNS服务器发送DNS1.外部用户进行资源访问前先进行解析,向其本地
求。
地址,并转发给域名IP地址替换为自己的DNS请求的源IP服务器将2.本地DNS
LBproduct。
对应的权威服务器——链路负载均衡规则进行域名Inbound根据DNS请求的域名和配置的3.LBproduct
解析。
DNS服务器。
4.LBproduct按照域名解析的结果,将DNS应答发送给本地DNS服务器将解析结果转发给用户。
5.本地
进行资源访问。
用户使用解析结果选择的链路,直接对LBproduct6.DNSTTL配置DNS重定向功能和3
>
Inbound”,进入如下图所示的页链路负载均衡在导航栏中选择“负载均衡1.>
重定向DNS使能1-59图面。
链路负重定向功能,InboundDNSDNS重定向功能。
只有使能了2.设置是否使能载均衡才会生效。
选路功能。
设置是否使能ISP3.,生存时间),以决定域名解析结果可TimetoLiveTTL(4.设置DNS应答报文中的以被客户端缓存的时间。
按钮完成操作。
<
单击确定>
5.DNS4配置表项DNSA记录1.配置所示的1-59>
在导航栏中选择“负载均衡1.链路负载均衡>
Inbound”,进入如图页面。
2.在“DNS表项”中,类型单选按钮选择“A”,页面显示DNSA记录的信息。
(3)
单击<
新建>
按钮,进入新建DNSA记录的配置页面,如下图所示。
图1-60新建DNSA记录
按钮完成操确定>
(5)单击<
DNSA3.(4)配置记录的参数,详细配置如下表所示。
记录的详细配置新建DNSA作。
表1-24
说明配置项供外部访问的域名域名地址IP地址IP地址,即外网用户访问时终使用的IP域名对应的域名对应的物理链路物理链路
ACLDNSA记录的ACL>
ACL”中配置ACL的具体规则在“安全特性2.配置DNSMX记录
1.在导航栏中选择“负载均衡>
链路负载均衡>
Inbound”,进入如图1-59所示的页面。
2.在“DNS表项”中,类型单选按钮选择“MX”,页面显示DNSA记录的信息。
3.单击<
按钮,进入新建DNSMX记录的配置页面,如下图所示。
记录DNSMX新建1-61图
DNSMX记录的参数,详细配置如下表所示。
配置记录的详细配置新建DNSMX>
确定按钮完成操作。
表1-25(5)
说明配置域供外部访问的域
邮件服务器名域名对应的邮件服务器名
优先该条记录的优先级,数值越小优先级越
5链路负载均衡应用场景分析
1)同一家运营商,多条链路
图6多条相同运营商链路
此种情况多为备份+带宽扩容,各链路的质量(除带宽外)大致相同,因此建议直接采用的权值进行轮询1:
1:
2建议按6基于各条链路带宽值的加权轮询方式进行负载均衡(如图
分发),无需链路就近性探测,并建议开启会话保持功能,保证同一条数据流的后续报文从同一链路出去,以便出方向的NAT地址转换使用相同的IP地址,避免访问网银业务、电子购物等应用时被误认为攻击而导致无法正常交易。
2)2、不同运营商,多条链路
(1)
多条不同运营商链路
(一)图7
链路带宽扩容的同时,将对外提供的业+大型的网络中较多使用此方式,在实现链路备份所示。
由务系统同时发布到多家运营商(每个运营商内的用户访问速度均较快),如图7的链路上,访问速度会不理想,按照的报文可能被轮询到ISP2于目的IP是ISP1链路保+访问最快的原则,网络规模较小的情况,可采用就近性探测+会话保持outbound表ISP与护机制,对于规模较大的网络建议采用根据ISP地址匹配进行分流,对于目的IP项不匹配的数据流,可采用就近性探测或按照链路带宽的加权轮询的方式,并开启基于源IP的会话保持功能。
)2不同运营商,多条链路(3)
8多条不同运营商链路
(二)图在多家运营商、多条运营商链路的用户,某些业务需要独享一定的带宽,比如高校出口网负载均衡提供在一条物理链路上配H3C络,教师办公需要一定的带宽保证。
如图8所示,置多条逻辑链路功能,在一条链路上给教师分配一定带宽的逻辑链路,教师的教学办公的流量从优先保障的链路转发,学生的流量从剩余的逻辑链路和其他物理链路按照上述“不同运营商,多条链路之一”进行转发。
4)广域网多链路在广域网链路中,常常会采用双链路方式,负载均衡可较好的对广域网流量进行负载均衡所示。
并提供高可靠性和特定业务流的带宽保障,如图9
广域网链路负载均组网说明9图
LB将出方向的流量按照加权轮询方式将流量分担到两条广域网链路上。
LB实现链路保护机制:
针对每条链路设置流量阈值,流量超过阈值,新数据流将分发到另一条链路。
链路故障检测:
LB通过ICMP或TCPhalfopen探测链路故障,并将数据流分发到健康的链路上。
视频数据流的Qos,LB为视频数据流创建一条独享的逻辑链路(最小带宽保障),其他办公流量走剩下的带宽。
来回路径一致:
LB记录广域网来的数据流的上一跳接口,保证数据流来回路径一致。
6链路负载均衡组网方案
典型出口链路负载均衡组网方案图10
对出口设备而言NATNAT。
出口链路负载均衡根据不同算法进行选路,选路之后需要做要是非常专业的功能,但对一般负载均衡厂家的设备而言,却非其核心功能。
因为NAT做IPNATALG功能(应用层网关,满足各种不同应用穿越)。
并且单具备丰富完善的日志需号令,出口NAT82NAT地址转换要不受限6万个并发连接的限制。
根据公安部日志,会造成负载均衡性能大幅下NAT要保留至少60天,如果负载均衡负责输出大流量由专业的设备如路由器NATNAT降。
基于以上原因,并不推荐负载均衡承担功能。
建议或防火墙来实现。
7结束语
在多链路的出口环境下,通过部署负载均衡设备,一方面克服了传统出口路由器防火墙静态策略转发数据流的不灵活性,其次提供的智能DNS功能(Inbound链路负载均衡)提升了对外业务系统的访问体验。
H3C在湖南某高校出口部署链路负载均衡设备后,带宽利,可见,链路负载均衡让网络出口更高效、更可靠和更智能。
50%用率提升了近.