互联网出口负载均衡和流量分析总体方案.docx
《互联网出口负载均衡和流量分析总体方案.docx》由会员分享,可在线阅读,更多相关《互联网出口负载均衡和流量分析总体方案.docx(17页珍藏版)》请在冰豆网上搜索。
互联网出口负载均衡和流量分析总体方案
xxx互联网出口负载均衡和流量分析
项
目
方
案
巴州浩展网络有限责任公司
2012年3月
1项目背景3
2项目目标3
3项目原则3
4总体方案设计4
4.1现状分析4
4.2方案论证4
4.3总体方案5
5设计方案6
5.1技术关键点6
5.2方案设计7
6实施方案11
6.1设备安装调试11
6.2设备上架、加电测试11
6.3业务平滑迁移11
6.4链路跳接12
6.5策略调整、优化配置12
6.6设备关机12
7项目组织管理13
7.1项目实施总体布署13
7.2项目实施准备工作13
7.3项目实施关键步骤说明14
7.4项目文档管理15
8项目实施进度计划16
9应急预案16
10培训计划17
10.1F5培训内容17
10.2Allot培训内容17
11附件19
11.1《F5-6400配置手册》19
11.2《Allot管理服务器配置手册》26
11.3《Allot-3040配置手册》28
11.4C3750G配置手册32
1
项目背景
目前xxx的互联网出口是电信、联通双线接入,办公网、公共信息网分别建有互联网出口系统;中石油互联网出口接入到办公网边界区域;用户群体庞大,约有3万终端。
油田中心机房现有油田办公网互联网出口负载均衡设备、流量整形设备,且各只有一台,没有备份,当出现软硬件问题设备不能正常运行时将导致相关网络瘫痪。
通过本项目购置负载均衡设备和流量整形设备各1台,为互联网正常运行做好保障。
2项目目标
根据油田互联网出口现状,设计原有的互联出口设备和新购的F5负载均衡、ALLOT流量整形设备的实施方案。
根据方案进行油田互联网出口整体实施,包括原有设备和新购设备等的安装实施。
在原有的互联网出口系统基础上,使之更加稳定、安全、可靠。
3项目原则
⏹先进性原则
⏹可靠性原则
⏹维护性原则
⏹扩展性原则
⏹安全性原则
⏹易用性原则
4总体方案设计
4.1现状分析
办公网互联网出口设备有F5-6400、Allot-1010、ISG2000和边界路由器3750G,公共信息网互联网出口设备有F5-3400、QQSG和边界路由器3750G。
4.2方案论证
根据xxx办公网与公共信息网两网分离的网络实际情况,结合现有设备,从以下几个方面分析论证:
1、流量分析:
设备
OUT
IN
策略
备注
F5-6400
50M/s
400M/s
Web/邮件
办公网
F5-3400
500M/s
600M/s
无
公共信息网
结论:
1、互联网出口峰值流量公共信息网大于办公网;
2、互联网出口设备压力公共信息网高于办公网。
2、设备性能分析:
公共信息网
F5-3400
年限较长,硬件性能不足。
设备(理论值)并发会话数为400万,活动用户数峰值为1万,内存为1G。
当用户峰值访问时,设备会话保持使用不够,易出现间断性断网,释放内存后网络恢复。
不能满足公共信息网的应用需求
办公网
F5-6400
并发会话数800万,活动用户数峰值为2.5万,内存为2G。
可以满足办公网的应用需求,但不能满足公共信息网的应用需求。
QQSG
协议特征库长时间没有更新,不能对新的应用做到识别,已经不能满足现有流量分析的需求;报表的时间戳不能同步,报表的时间不对,无法修正。
不能满足公共信息网的需求
Allot-1010
能够识别现有办公网(Web/Ftp/Mail)需求产生的应用流量分析,硬件设备运行稳定。
由于没有续保服务,特征库无法更新,软件版本低。
可以满足办公网现有功能要求,但不能满足公共信息网复杂应用分析的需求。
4.3总体方案
基于上述分析,办公网的互联网出口系统保持现状,公共信息网的F5-3400和QQSG更换为F5-6900和Allot-3040,F5-3400和QQSG关机,作为互联网出口体系的备用设备。
5
设计方案
5.1技术关键点
5.1.1F5-6900
多链路的负载均衡:
LinkController可以智能的解决多条ISP接入链路以保证网络服务的质量,分为OUTBOUND流量的负载均衡、INBOUND流量的负载均衡。
多链路的冗余:
可以检测每条链路的运行状态和可用性,做到链路和ISP故障的实时检测。
高度的安全性:
采用防火墙的设计原理,是缺省拒绝设备,防御普通网络攻击。
能够拆除空闲连接防止拒绝服务攻击;能够执行源路由跟踪防止IP欺骗;拒绝没有ACK缓冲确认的SYN防止SYN攻击;拒绝teartop和land攻击;保护自己和内网免受ICMP攻击;不运行SMTP、FTP、TELNET或其它易受攻击的后台程序。
DynamicReaping特性可以高效删除各类网络DoS攻击中的空闲连接,这可以保护BIG-IP不会因流量过多而瘫痪。
DelayBinding技术可以为部署在BIG-IP后面的服务器提供全面地SYNFlood保护。
5.1.2Allot-3040
确保关键业务应用、控制广域网成本:
检测网络与带宽的使用情况,自动发现网络中的应用,判断网络中哪些协议可能对网络造成影响而需要对其进行管理。
对所有经过Allot设备的所有流量进行检查,并持续监测资源的使用情况以保证对网络的控制与应用服务的性能,定义的策略将业务优先级与用户的需求相结合。
强健策略驱动的网络架构:
为网络中的每一种应用精确地分配带宽,保证那些对网络延迟敏感的应用的质量不会因为网络中的其他流量而下降。
实现网络智能:
借助NetXplorer管理平台实现逐层深入的网络分析,以实现智能的网络管理,包括信息收集与分析、找出网络瓶颈、以及集中管理策略配置。
抵制恶意网络攻击:
侦测已知类型的DDOS网络攻击,监测、记录并阻止不良的网络流量,对即将发生的网络攻击提出早期告警,并且使用专用的带外管理端口以保证即使发生DDOS攻击的情况下也能够对设备进行管理,从而对攻击流量进行管控。
保证最大的网络可靠性:
通过两个层面的容错特性保证网络的100%正常运行时间,首先是基于硬件的旁路单元(Bypass)可以再设备发生软硬件故障的情况下将数据透明的进行传输,不会导致网络中断。
5.2方案设计
5.2.1设计内容
F5-6900流量处理能力是6Gbps,64位的TMOS硬件架构,4核8进程CPU处理能力,8G内存,24个千兆接口(含光口)。
并发数是800万,活动用户数峰值为4万,背板带宽68G。
Allot-3040有8个千兆接口,可扩展至4Gbps的全双工吞吐率,实时监测和QoS策略执行多达400万个并发IP流,支持Allot的DART(动态可操作的识别)技术,广泛的特征库,能够准确地识别数以百计的互联网应用和协议,可自动更新特征库。
为了更好地使用F5-6900和Allot-3040,公共信息网互联网出口在边界路由器C3750G和F5-6900之间采用链路聚合的方式,增加链路带宽,使互联网访问能够快速、有效地通过,充分发挥性能。
5.2.2网络资源规划
设备
接口
IP地址
子网掩码
F5-6900
2.1/2.2
1.1
61.13.220.17
1.2
216.31.220.102
Allot-3040
Mgnt
2
Allot管理服务器
Eth1
172.16.250.100
5.2.3SNAT-List
设备
SNAT地址
备注
F56900
.103
电信
.18
联通
5.2.4设备互联规划
设备
端口
对端设备
端口
备注
F5-6900
1.1
Internet3750G
G1/0/4
电信
1.2
Internet3750G
G1/0/28
联通
2.1
Allot3040
Bypassexternal1
2.2
Allot3040
Bypassexternal2
Allot-3040
Bypassinternal1
C3750G
Gi1/0/27
Bypassinternal2
C3750G
Gi1/0/28
Bypassexternal1
F5-6900
2.1
Bypassexternal2
F5-6900
2.2
Mgnt
C3750
Gi1/0/25
Allot
服务器
Eth1
C3750
Gi1/0/26
5.2.5静态路由规划
依据边界设备采用静态路由的原则,公共信息网的互联网出口系统采用静态路由的方式与内网和各运营商互指。
设备
路由
下一跳
备注
F5-6900
联通
电信
回程
Allot-3040
管理
Allot管理服务器
管理
公共信息网C3750
默认路由
5.2.6F5-6900策略设计
参考现在运行的F5-3400目前配置,按照总体设计的链路聚合方式,针对F5-6900进行配置策略设计,内容包含一下部分:
✧电信、联通链路对应公共信息网F5-6900的接口、管理IP、接口IP及路由
✧PortChannel(链路聚合)
✧VirtualServerList
✧PoolList
✧MonitorList
✧iRule
✧SNAT-List
✧SNAT
5.2.7Allot-3040策略设计
参考现在运行的QQSG目前配置,针对Allot-3040进行配置策略设计,内容包含一下部分:
✧管理服务器安装(NX服务器)
✧配置管理IP及路由
✧Line
✧Pipe
✧VirtualChannel
✧QOS
✧IPHost
5.2.8C3750G
总体设计
✧PortChannel(链路聚合)
✧路由
6
实施方案
6.1设备安装调试
F5-6900安装调试详细配置见附件中《F5-6900配置手册》
Allot管理服务器安装调试:
✧Allot管理服务器安装在Wndowsserver2003英文版(建议)或中文版32位包括SP2,虚拟内存设置成4G;
✧管理员需要安装JAVASDK和NetXplorer才能管理Allot;
✧详细配置见附件中《Allot管理服务器配置手册》
Allot-3040安装调试详细配置见附件中《Allot-3040配置手册》
C3750G详细配置见附件中《C3750G配置手册》
6.2设备上架、加电测试
按照机房要求,将新设备F5-6900和Allot-3040上架,并加电测试。
6.3业务平滑迁移
Ø公共信息网F5-3400更换为F5-6900:
将业务数据流量从F5-3400迁移至F5-6900,观察业务数据流量是否正常,若出现异常情况立即将业务数据流量恢复至F5-3400,优先保证用户正常使用公共信息网资源,迅速排查原因后重新实施。
Ø公共信息网QQSG更换为Allot-3040;
将业务数据流量从QQSG迁移至Allot-3040,观察业务数据流量是否正常,若出现异常情况立即将业务数据流量恢复至QQSG,优先保证用户正常使用公共信息网资源,迅速排查原因后重新实施。
Ø公共信息网边界路由器C3750G配置调整:
将业务数据流量从原接口迁移至PortChannel接口,观察业务数据流量是否正常,若出现异常情况立即将业务数据流量恢复至原接口,优先保证用户正常使用公共信息网资
升级会员 