F5链路负载均衡解决方案LC.docx
《F5链路负载均衡解决方案LC.docx》由会员分享,可在线阅读,更多相关《F5链路负载均衡解决方案LC.docx(27页珍藏版)》请在冰豆网上搜索。
F5链路负载均衡解决方案LC
F5LinkController多链路负载均衡
解决方案
1.问题的提出
通常用户系统结构设计图如下:
这样的结构存在以下问题
链路单点故障
在系统原有系统结构中,采用单条链路接入,一个或多个DNS服务器,这些服务器对于同一个域名均解析为同一个地址。
在该种网络结构之中,无论主机系统、网络系统的规划有多么完美,完全的排除了应用瓶颈和单点故障,都还存在一个非常明显的单点故障,就是国际网络接入部分的方案不够完整,一旦国际网络接入部分出现中断就直接意味着所有应用的中断。
Internet用户访问快慢差异
随着国最大的Internet接入提供商Chinanet被拆分为北方ChinaNetcom和南方ChinaTelecom之后,两方资源的互访受到了很大程度的影响。
其出现的根本原因为南北网络的互通互联接点拥塞,造成用户丢包、延迟较大,从而导致访问缓慢,甚至对于一些应用根本无法访问。
以下是一在真实环境下的实测数据表:
测试项目
网通ADSL用户访问12月2日凌晨1时
电信用户访问,宽带用户,带宽未知,12月2日16:
30
网通ADSL用户访问,12月2日16:
00
ADSL宽带用户访问,12月2日20:
00
DNSResult
202.xxx.xxx.209
219.xxx.xxx.11
202.xxx.xxx.209
219.xxx.xxx.11
网通
电信
网通
电信
网通
电信
网通
电信
Numberofhits:
72
69
4
76
52
47
19
35
RequestsperSecond
1.20
1.15
0.07
1.27
0.87
0.78
0.32
0.58
SocketConnects
73
70
5
77
53
48
20
36
TotalBytesSent(inKB)
14.19
13.47
0.96
14.96
13.61
12.23
3.87
7.03
BytesSentRate(inKB/s)
0.24
0.22
0.02
0.25
0.23
0.20
0.06
0.12
TotalBytesRecv(inKB)
4148.24
4001.90
256.58
4388.54
3019.94
2703.26
21.73
39.83
BytesRecvRate(inKB/s)
69.12
66.68
4.28
73.12
50.32
45.05
0.36
0.66
表中可以看出,对于同一个站点,一个用户分别从两条线路进行访问,得出的访问速度差异是非常大的。
最大的差值在电信分别访问站点的两条线路,其速度差异接近20倍。
关键应用的带宽保证
由于TCP通讯协议的大突发量,在网络上的各种应用互相抢占广域网资源,个别用户的应用可以轻易地占用大量资源,网络经常有阻塞发生。
这就威胁到各种关键应用的运行,造成直接经济损失或影响企业工作的正常进行。
如企业部人员对网络资源的使用要求很不相同,视频流、HTTP、FTP下载、MP3下载、ICQ聊天等的访问将很大程度的影响人们对有用的网络资源的访问。
由于TCP通讯协议的大突发量,通讯管道可以被少数量的通讯流严重堵塞
而使实际使用效率降低。
如下图所示,蓝色部分资源被浪费:
如果没有带宽管理设备,企业网络的管理人员将不能够确定某一时间自己网络的广域网出口处是否有足够的保证关键应用的带宽,也不能够确定某一时间自己网络的广域网出口处都有什么样的应用存在。
因此,网络需要有效、温和的手段以控制各种应用对广域网资源的占用,但同时不希望引起这些应用的中断。
目前很多企业只是通过循环采购和不断加大广域网带宽资源来对付以上问题。
这种办法给用户的预算带来沉重负担,而且阻塞问题不一定就能得到解决,因为网络的阻塞是由于TCP的瞬时突发引起,网络的带宽很容易就让几台不受控制的机器所吞噬。
企业为加大广域网带宽所投入的资金得不到很好回报。
同时企业各级人员和应用对网络的需不同的,对于那些有特殊要求的人员或应用需要提供分等级的服务,供应额外的资源以满足各种需求。
由此可见,有效解决链路单点故障及为南北不同用户提供相同服务质量,以及保证各级关键应用的带宽使用的需求与日俱增。
2.F5提供的最佳解决方案
设计结构图:
在多ISP接入时,各个ISP接入的线路通过防火墙连接到F5LinkController上,F5LinkController工作在3层模式下,可划分为多个VLAN,分别连接各个ISP线路和网核心交换机。
核心交换机的默认路由指向F5LinkController;F5LinkController可设置多个缺省网关,指向各个ISP的对端ip地址,来确保多链路之间的高可用性和各ISP用户的就近性访问。
实现原理
在企业使用了多条链路后,F5LinkController主要负责出入站连接的高可用性和智能链路选择:
出站访问
对于部办公用户由向外的出站访问,F5linkcontroller可检测到整个链路中出现的错误,从而能够提供可靠的端到端WAN连接。
它可以监视每个连接的运行状态和可用性,实时检测链路或ISP的损耗情况。
一旦某条链路出现故障,流量将被动态地传递给其它可用链路,从而确保部用户对外的访问继续保持连接。
F5linkcontroller可设置多个缺省网关ip地址,构成defaultgatewaypool。
然后根据所设定的负载均衡算法来为每个出站连接智能的选择某个缺省网关,从而实现出站流量的链路负载均衡。
F5linkcontroller包括基于静态IP地址段或基于响应时间和线路质量计算等多种负载均衡算法,可探测哪条链路可以为用户提供最佳服务,然后将该用户引导至此链路,确保他们能得到最快服务及最高质量的连接。
完整的数据连接包括client向server发起的请求数据和server向client返回的响应数据。
在出站的请求数据根据lc的负载均衡算法选择了某条链路后,为了保证远端被访问的服务器的响应数据也能够从该链路返回,F5LinkController使用了SNATAutomap技术。
此技术保证了请求数据在选择了某个ISP链路后离开LC时,会被NAT成该ISP的ip地址,对外发送出去,这样远端被访问的服务器自然就会把响应数据从该ISP线路发送回来,实现了出站连接进出数据包都使用最优链路。
利用LC的智能流量管理功能,可替代防火墙的NAT功能,并保证流量可以通过与互联网的最佳连接往返发送。
入站访问
对于外部用户对企业部应用的入站访问,F5LinkController可以通过智能DNS解析功能,动态选择最佳链路,将外部用户导向到部站点中的资源。
同时LC会随时监测每条链路的状况,当发现任何一条ISP链路故障时,都不会再把该ISP的ip地址解析给用户,从而保证用户可以24*7的访问到企业部应用并且提高各地区用户的访问速度。
F5LinkController中的DNS功能模块将分别绑定两个ISP服务商的公网ip地址,解析来自互联网用户的地址解析请求。
后台服务器则由BIGIPLinkController做成集群并虚拟化成针对ISPA的虚拟服务器VirtualServer1和ISPB的虚拟服务器VirtualServer2,这样对于每个用户到来的请求,BIGIPLinkController都会分别检测后台服务器的状态并选择最佳的链路提供服务,达到用户的就近性访问及服务器的负载均衡。
同时LC还具备lasthop技术,保证了服务器的响应数据会从请求数据的进入链路返回。
LinkController在回应客户的DNS解析请求时,可以采用15种动态或者静态的负载均衡算法,从而达到入站流量的多链路动态负载均衡的效果。
系统切换时间
在采用DNS实现链路切换时,系统的切换时间主要取决于每个域名的TTL时间设置。
在LinkControl系统里,每个域名如均可设置对应的TTL生存时间。
在用户的LocalDNS得到域名解析纪录后,将在本地在TTL设定时间将该域名解析对应纪录进行Cache,在Cache期间所有到该LocalDNS上进行域名解析的用户均将获得该纪录。
在TTL时间timeout之后,如果有用户到LocalDNS上请求解析,则此LocalDNS将重新发起一次请求到LinkController上获得相应纪录。
因此,当单条线路出现故障时,LinkController将在系统定义的检查间隔(该时间可自行定义)检查到线路的故障,并只解析正常的线路侧地址。
但此时在LocalDNS上可能还有未过时的Cache纪录。
在TTL时间timeout之后,该LocalDNS重新发起请求的时候就将从LinkController上获得正确的解析,从而引导用户通过正常的线路进行访问。
系统检测间隔加上TTL时间之和则为系统切换的最长时间。
通常,系统检测间隔设置为60秒,而TTL时间设置为300秒,所以系统切换的最长时间为6分钟。
DNS迁移
在使用LinkController后,需在上一级DNS服务器中添加一些记录来保证用户的dns解析请求会最终被发送到LC上,具体容为
.a..INCNAME.wideip.a..
wideip.a..INNSlc1.wideip.a..
INNSlc2.wideip.a..
lc1.wideip.a..INA100.1.1.2(LCISPA_VLAN的端口ip地址)
lc2.wideip.a..INA200.1.1.2(LCISPB_VLAN的端口ip地址)
3.解决方案功能介绍
高可用性
LinkController可检测到整个链路中出现的错误,从而能够提供可靠的端到端WAN连接。
它可以监视每个连接的运行状态和可用性,实时检测链路或ISP的损耗情况。
一旦出现故障,流量将被动态地传递给其它可用链路,从而确保用户及外部客户继续保持连接。
全面的链路监控能力
如何有效地确定链路,服务器、应用、容的状态,是提高系统可靠性的关键。
LC利用其独到的、高效的“健康检测”手段,识别链路,服务器、应用、容的状态。
它们包括:
多种服务器状态监测手段
•服务器(Node)-Ping(ICMP)
•服务(Port)-Connect
•扩展的应用验证(EAV)
•扩展的内容验证(ECV)
•频度,e.g.10seconds
•响应,e.g.5seconds
∙服务器逻辑连接状态检测ICMP
∙应用类型状态检测TCP/UDP
∙扩展容查证(ECV:
ExtendedContentVerification)--ECV是一种非常复杂的服务检查,主要用于确认应用程序能否对请求返回对应的数据。
如果一个应用对该服务检查作出响应并返回对应的数据,则BIGIP控制器将该服务器标识为工作良好。
如果服务器不能返回相应的数据,则将该服务器标识为宕机。
宕机一旦修复,BIGIP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。
该功能使BIGIP可以将保护延伸到后端应用如Web容及数据库。
BIGIP的ECV功能允许您向Web服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询,然后检查返回的响应。
这将有助于确认您为客户提供的容正是其所需要的。
∙扩展应用查证(EAV:
ExtendedApplicationVerification)EAV是另一种服务检查,用于确认运行在某个服务器上的应用能否对客户请求作出响应。
为完成这种检查,BIGIP控制器使用一个被称作外部服务检查者的客户程序,该程序为BIGIP提供完全客户化的服务检查功能,但它位于BIGIP控制器的外部。
例如,该外部服务检查者可以查证一个从后台数据库中取出数据的应用能否正常工作。
EAV是BIGIP提供的非常独特的功能,它提供管理者将BIGIP客户化后访问各种各样应用的能力,该功能使BIGIP在提供标准的可用性查证之外能获得服务器、应用及容可用性等最重要的反馈。
该功能对于提高系统可靠性至关重要,它用于从客户的角度测试您的站点。
例如,您可以模拟客户完成交易所需的所有步骤-连接到前置服务器或中间件服务器、从目录中选择项目以及验证交易使用的信用卡。
一旦BIGIP掌握了该“可用性”信息,即可利用负载平衡使资源达到最高的可用性。
BIGIP已经为测试多种服务的健康情况和状态,预定义了扩展应用验证(EAV),如:
FTP、NNTP、SMTP、POP3和MSSQL等,用户还可依据实际应用,自行编辑EAV脚本。
∙Transparent检测方式。
--Transparent检测方式保证了LC的健康检查可以通过被检察对象而不只是到达被检察对象。
这种方式在链路负载均衡中极为重要,它保证了整条链路的可用性而不只是对端路由器的可用性。
集合多个监视器
多个监视器共同工作,能够迅速准确地确定链路的状态及可用性。
例如用户可以设置透过某ISP的路由器同时去检查sina,工行等各类企业的多个web。
只有当所有这些都无法检测通过时,LC才会认为该链路已经DOWN掉,然后LinkController可以重新为流量选择路径,传递到其它可用链路,从而继续保持客户连接,避免出现停机影响。
最大带宽和投资回报
可节省WAN链路成本的压缩模块(需购买模块)
BIG-IPLinkController的可选压缩模块使您可以智能压缩http流量,将Http的响应数据以标准的压缩算法Deflate或Gzip方式进行压缩,一般的情况可以减少40%-80%的数据流量,降低数据流对WAN带宽的要求以节省ISP成本,同时解决带宽瓶颈以加快应用交付速度。
标准浏览器都可提供支持(IE5.0+,Netscape4.0+)解压缩功能。
通过对面向不同连接类型的链路带宽实行精细控制,将可以有效提升客户体验,并能够实现更高效的WAN链路管理和改进的生产效率。
您可以基于文档类型、流量类型和其它网络条件(如往返时间)配置灵活且可调整的压缩引擎。
带宽可扩展性
LinkController支持portchannel技术,因此不论您使用何种链路类型或哪一家服务提供商的服务,BIG-IPLinkController都能够支持将小型经济型线路进行高效的整合,以提供成本更低的带宽冗余,同时将花在安装光纤或闲置备用线路上的费用降至最低。
强大的流量分配负载均衡算法
BIG-IPLinkController提供了业最先进的链路流量分配能力,能够满足最繁忙站点的需求:
-轮循-往返时间
-全局可用性-中继
-静态持续性-数据包完成率
-拓扑-用户定义的服务质量(QoS)
-虚拟服务器容量-动态比率
-最少连接-随机
-包速率-比率
-传输速率
链路带宽控制
BIG-IPLinkController可根据所有网络2到7层的方法,对网络上的应用流量进行分类控制。
随着与网络流量有关的复杂性不断增加,因此应运而生的高级分类技术变得非常重要。
而简单的IP地址或静态端口方案便相形见绌了。
LC可检测动态或变动式端口分配的变化,区别使用同一端口的应用,并采用第七层应用标识来识别不同应用,从而对不同应用进行动态控制。
可允许您根据实时的流量与吞吐率来确定和控制流量在链路上的分配方式。
这将可以提高性能和增加包含线路冗余在的可用带宽,同时消除链路饱和的风险。
当某条链路接近其容量极限时,流量将被转至相对宽松的链路上去,从而提高站点的整体性能。
链路成本负载平衡
BIG-IPLinkController能够支持您为通往数据中心的所有流量选择最低成本连接:
∙将流量导入花费最低的链路,从而将带宽投资降至最低
∙最大限度地提高不同连接的带宽,包括可变成本线路,以消除带宽瓶颈,同时最大限度地减少低效带宽利用情况和相关成本。
∙支持ISP计费模式,包括一次性付费、零散计费和突发性计费
∙支持单向或双向计费
高级WAN链路管理
最佳性能链路
BIG-IPLinkController通过使用往返时间和线路质量计算,可测试哪条链路可以为用户提供最佳服务,然后将该用户引导至此链路,确保他们能得到最快服务及最高质量的连接。
另外LC还可以根据用户端的静态ip地址来为用户选择对应的ISP线路,从而实现最安全和最稳定的链路选择。
针对压缩技术的目标流量控制
如果不在具体用户类型(宽带用户、拨号用户等)的基础上控制流量压缩工作,将会对应用性能及客户体验产生负面影响。
通过使用使用往返时间及线路质量计算,BIG-IPLinkController能够动态计算出用户延迟和带宽吞吐率,为能够从中受益最大的用户提供更多的压缩资源。
优化的TCP性能
TCP协议的低效会产生不必要的干扰,进而对链路的带宽利用产生不利影响。
BIG-IPLinkController利用TCPExpress来克服TCP协议的低效情况,同时提供了以下功能:
∙WAN链路的有效带宽利用
∙以较低的带宽费用覆盖长距离的通道
∙为关键任务应用安排可用带宽优先级
∙通过WAN为拨号和宽带用户提高端对端性能
∙在部署全新应用时更为灵活
∙无需部署多台设备,降低了总拥有成本
可编程链路路由――iRule
BIG-IPLinkController使您能够根据诸如源IP地址、目标IP地址和端口等TCP/IP参数,在多条WAN链路上智能路由流量。
借助iRule,您可在根据应用类型、服务质量和客户类型制定策略,以在最佳链路上分配流量,进而提高应用性能和提升客户体验。
流量优先级安排:
服务质量(QoS)和配置服务类型(ToS)
BIG-IPLinkController支持各种流量优先级安排特性。
企业可根据QoS和ToS对其关键流量或应用做出定义,进而对上游路由器进行特殊处理。
这就确保了具有较高优先级的流量可以优先路由。
配置和管理
消除BGP多归属部署障碍
BIG-IPLinkController可借助边界网关协议(BGP)消除部署障碍,并降低多归属网络的部署成本。
借助BIG-IPLinkController,您无需再购买大型路由器、与ISP进行协作或安排专门的人员和IP地址来运行BGP,同时仍能够将流量导向至最佳路由路径。
BIG-IPLinkController可显著改善多归属环境的流量引导性能,并可提供:
∙面向企业外用户的双向流量控制
∙自动、即时ISP响应及链路故障切换――无需等待部署路由变动
∙流量将被路由至最佳路径,从而优化了带宽利用率
∙基于线路容量的流量分配,带来了更高的带宽可扩展性
BIG/IP的业界最快双机冗余切换
两台BIG/IP能工作在HA方式下,支持Active—Active、Active---Standby工作方式。
当BIG/IP产生从当前活动的BIG/ip控制器到备用BIG/IP控制器的自动故障切换时,镜像连接为当前的连接提供无缝故障恢复保护。
例如,如果客户正在使用FTP传输较大的文件过程中,BIG/IP发生从当前活动设备到备用设备的故障恢复,则FTP文件传输将继续进行,不会中断。
BIG/IP除了基于硬件连线故障恢复之外,BIG/ip还提供基于网络的故障恢复功能,从而允许不在同一位置的一对BIG/ip控制器实现冗余功能,进一步强化了管理。
BIG/IP基于硬连线的故障切换时间:
200毫秒
BIG/IP基于网络的故障切换时间:
3秒
IPv6网关(需购买模块)
如果企业欲移植至IPv6,BIG-IPLinkController是进行叉车式升级(forkliftupgrade)的经济高效的选择。
通过采用BIG-IPLinkController和可选的IPv6模块,您可在提供IPv4服务的同时访问IPv6客户,并在不增加网络负载的情况下实现两者之间的转换。
统计与报告
实时报告和历史记录报告可评估站点流量模式、相对ISP性能、以及预计的带宽计费周期,从而使您能够轻松监控带宽资源,作出明智的业务决策。
强化的安全性能
智能SNAT
借助BIG-IPLinkController的iSNAT功能,您可以保存端口资源和转换部地址。
通过使用iSNAT,您可以基于诸如客户机地址和目标服务器端口编号等TCP/IP参数从众多转换地址中灵活选择,从而确保服务器地址不会暴露给外部环境。
BIG-IPLinkController能够通过屏蔽部地址保留端口资源和保护站点资源,同时还可通过更高的流量类型透明度来改进运营效率。
网络安全
BIG-IPLinkController是缺省拒绝设备,它可增加额外的安全保护层,从而杜绝普通网络攻击。
BIG-IPLinkController能够:
∙在面向命令行的SecureShell安全外壳(SSH)或面向浏览器管理的SSL的基础上,进行安全远程管理
∙消除闲置连接,防止拒绝服务攻击
∙执行源路由跟踪,防止IP欺骗
∙拒绝没有ACK缓冲的未确认SYN,防止SYNFloods(溢满攻击)攻击
∙防止诸如WinNuke、Sub7和BackOrifice等片段储存攻击
∙保护自己和服务器免受ICMP攻击
∙不运行SMTPd、FTPd、Telnetd或其它任何易受攻击的进程
∙检测任意受到非法访问尝试的服务和端口,包括:
-频率:
-尝试次数
-端口:
被攻击的端口
-IP地址:
攻击者的源IP地址
简单、安全的管理
BIG-IPLinkController提供了一个直观的用户界面,支持通过一个界面浏览全部链路资源,进而高效管理WAN链路。
排序和搜索功能使您能够更快地访问链路对象,从而进行精确控制。
唯一的链路对象名称可减少管理时间,并帮助您围绕业务策略构建基础设施。
集成流量管理可扩展性
扩展的各类安全设备负载均衡
您可以进一步扩展BIG-IPLinkController,以满足DMZ广泛的流量管理需求。
凭借强大的集成功能和可升级平台,BIG-IPLinkController是市场上唯一一款能够提供可扩展解决方案的产品,其特性包括:
∙集成防火墙负载平衡,为冗余防火墙部署提供了更高的可用性
∙集成第4层和基础服务器负载平衡,能够在服务器阵列中高效地分配流量
∙集成安全性,能够帮助站点有效抵御普通攻击
∙可升级至增强的第4-7层本地流量管理服务器套件(完整的F5BIG-IP应用流量管理产品能力)和高级安全过滤功能。
考虑到绝大多数的防火墙只能达到线速的30%吞吐能力,故要使系统达到设计要求的线速处理能力,必须添加多台防火墙,以满足系统要求。
然而,防火墙必须要求数据同进同出,否则数据将被拒绝。
如何解决防火墙的负载均衡问题,是关系到整个系统的稳定性的关键问题。
F5的防火墙负载均衡方案,能够为用户提供异构防火墙的负载均衡与故障自动排除能力。
方案的特色:
∙提供多台防火墙的负载均衡能力
∙提