某互联网出口负载均衡和流量分析总体方案方针.docx
《某互联网出口负载均衡和流量分析总体方案方针.docx》由会员分享,可在线阅读,更多相关《某互联网出口负载均衡和流量分析总体方案方针.docx(27页珍藏版)》请在冰豆网上搜索。
某互联网出口负载均衡和流量分析总体方案方针
xxx互联网出口负载均衡和流量分析
项
目
方
案
巴州浩展网络有限责任公司
2012年3月
1
项目背景
目前xxx的互联网出口是电信、联通双线接入,办公网、公共信息网分别建有互联网出口系统;中石油互联网出口接入到办公网边界区域;用户群体庞大,约有3万终端。
油田中心机房现有油田办公网互联网出口负载均衡设备、流量整形设备,且各只有一台,没有备份,当出现软硬件问题设备不能正常运行时将导致相关网络瘫痪。
通过本项目购置负载均衡设备和流量整形设备各1台,为互联网正常运行做好保障。
2项目目标
根据油田互联网出口现状,设计原有的互联出口设备和新购的F5负载均衡、ALLOT流量整形设备的实施方案。
根据方案进行油田互联网出口整体实施,包括原有设备和新购设备等的安装实施。
在原有的互联网出口系统基础上,使之更加稳定、安全、可靠。
3项目原则
⏹先进性原则
⏹可靠性原则
⏹维护性原则
⏹扩展性原则
⏹安全性原则
⏹易用性原则
4总体方案设计
4.1现状分析
办公网互联网出口设备有F5-6400、Allot-1010、ISG2000和边界路由器3750G,公共信息网互联网出口设备有F5-3400、QQSG和边界路由器3750G。
4.2方案论证
根据xxx办公网与公共信息网两网分离的网络实际情况,结合现有设备,从以下几个方面分析论证:
1、流量分析:
设备
OUT
IN
策略
备注
F5-6400
50M/s
400M/s
Web/邮件
办公网
F5-3400
500M/s
600M/s
无
公共信息网
结论:
1、互联网出口峰值流量公共信息网大于办公网;
2、互联网出口设备压力公共信息网高于办公网。
2、设备性能分析:
公共信息网
F5-3400
年限较长,硬件性能不足。
设备(理论值)并发会话数为400万,活动用户数峰值为1万,内存为1G。
当用户峰值访问时,设备会话保持使用不够,易出现间断性断网,释放内存后网络恢复。
不能满足公共信息网的应用需求
办公网
F5-6400
并发会话数800万,活动用户数峰值为2.5万,内存为2G。
可以满足办公网的应用需求,但不能满足公共信息网的应用需求。
QQSG
协议特征库长时间没有更新,不能对新的应用做到识别,已经不能满足现有流量分析的需求;报表的时间戳不能同步,报表的时间不对,无法修正。
不能满足公共信息网的需求
Allot-1010
能够识别现有办公网(Web/Ftp/Mail)需求产生的应用流量分析,硬件设备运行稳定。
由于没有续保服务,特征库无法更新,软件版本低。
可以满足办公网现有功能要求,但不能满足公共信息网复杂应用分析的需求。
4.3总体方案
基于上述分析,办公网的互联网出口系统保持现状,公共信息网的F5-3400和QQSG更换为F5-6900和Allot-3040,F5-3400和QQSG关机,作为互联网出口体系的备用设备。
5
设计方案
5.1技术关键点
5.1.1F5-6900
多链路的负载均衡:
LinkController可以智能的解决多条ISP接入链路以保证网络服务的质量,分为OUTBOUND流量的负载均衡、INBOUND流量的负载均衡。
多链路的冗余:
可以检测每条链路的运行状态和可用性,做到链路和ISP故障的实时检测。
高度的安全性:
采用防火墙的设计原理,是缺省拒绝设备,防御普通网络攻击。
能够拆除空闲连接防止拒绝服务攻击;能够执行源路由跟踪防止IP欺骗;拒绝没有ACK缓冲确认的SYN防止SYN攻击;拒绝teartop和land攻击;保护自己和内网免受ICMP攻击;不运行SMTP、FTP、TELNET或其它易受攻击的后台程序。
DynamicReaping特性可以高效删除各类网络DoS攻击中的空闲连接,这可以保护BIG-IP不会因流量过多而瘫痪。
DelayBinding技术可以为部署在BIG-IP后面的服务器提供全面地SYNFlood保护。
5.1.2Allot-3040
确保关键业务应用、控制广域网成本:
检测网络与带宽的使用情况,自动发现网络中的应用,判断网络中哪些协议可能对网络造成影响而需要对其进行管理。
对所有经过Allot设备的所有流量进行检查,并持续监测资源的使用情况以保证对网络的控制与应用服务的性能,定义的策略将业务优先级与用户的需求相结合。
强健策略驱动的网络架构:
为网络中的每一种应用精确地分配带宽,保证那些对网络延迟敏感的应用的质量不会因为网络中的其他流量而下降。
实现网络智能:
借助NetXplorer管理平台实现逐层深入的网络分析,以实现智能的网络管理,包括信息收集与分析、找出网络瓶颈、以及集中管理策略配置。
抵制恶意网络攻击:
侦测已知类型的DDOS网络攻击,监测、记录并阻止不良的网络流量,对即将发生的网络攻击提出早期告警,并且使用专用的带外管理端口以保证即使发生DDOS攻击的情况下也能够对设备进行管理,从而对攻击流量进行管控。
保证最大的网络可靠性:
通过两个层面的容错特性保证网络的100%正常运行时间,首先是基于硬件的旁路单元(Bypass)可以再设备发生软硬件故障的情况下将数据透明的进行传输,不会导致网络中断。
5.2方案设计
5.2.1设计内容
F5-6900流量处理能力是6Gbps,64位的TMOS硬件架构,4核8进程CPU处理能力,8G内存,24个千兆接口(含光口)。
并发数是800万,活动用户数峰值为4万,背板带宽68G。
Allot-3040有8个千兆接口,可扩展至4Gbps的全双工吞吐率,实时监测和QoS策略执行多达400万个并发IP流,支持Allot的DART(动态可操作的识别)技术,广泛的特征库,能够准确地识别数以百计的互联网应用和协议,可自动更新特征库。
为了更好地使用F5-6900和Allot-3040,公共信息网互联网出口在边界路由器C3750G和F5-6900之间采用链路聚合的方式,增加链路带宽,使互联网访问能够快速、有效地通过,充分发挥性能。
5.2.2网络资源规划
设备
接口
IP地址
子网掩码
F5-6900
2.1/2.2
172.16.250.110
255.255.255.0
1.1
61.13.220.17
255.255.255.224
1.2
216.31.220.102
255.255.255.224
Allot-3040
Mgnt
172.16.250.102
255.255.255.0
Allot管理服务器
Eth1
172.16.250.100
255.255.255.0
5.2.3SNAT-List
设备
SNAT地址
备注
F56900
216.31.220.103
电信
61.13.220.18
联通
5.2.4设备互联规划
设备
端口
对端设备
端口
备注
F5-6900
1.1
Internet3750G
G1/0/4
电信
1.2
Internet3750G
G1/0/28
联通
2.1
Allot3040
Bypassexternal1
2.2
Allot3040
Bypassexternal2
Allot-3040
Bypassinternal1
C3750G
Gi1/0/27
Bypassinternal2
C3750G
Gi1/0/28
Bypassexternal1
F5-6900
2.1
Bypassexternal2
F5-6900
2.2
Mgnt
C3750
Gi1/0/25
Allot
服务器
Eth1
C3750
Gi1/0/26
5.2.5静态路由规划
依据边界设备采用静态路由的原则,公共信息网的互联网出口系统采用静态路由的方式与内网和各运营商互指。
设备
路由
下一跳
备注
F5-6900
0.0.0.0
60.13.219.17
联通
0.0.0.0
218.31.123.102
电信
172.16.0.0
172.16.250.1
回程
Allot-3040
172.16.250.0
172.16.250.1
管理
Allot管理服务器
172.16.250.0
172.16.250.1
管理
公共信息网C3750
0.0.0.0
172.16.250.110
默认路由
5.2.6F5-6900策略设计
参考现在运行的F5-3400目前配置,按照总体设计的链路聚合方式,针对F5-6900进行配置策略设计,内容包含一下部分:
✧电信、联通链路对应公共信息网F5-6900的接口、管理IP、接口IP及路由
✧PortChannel(链路聚合)
✧VirtualServerList
✧PoolList
✧MonitorList
✧iRule
✧SNAT-List
✧SNAT
5.2.7Allot-3040策略设计
参考现在运行的QQSG目前配置,针对Allot-3040进行配置策略设计,内容包含一下部分:
✧管理服务器安装(NX服务器)
✧配置管理IP及路由
✧Line
✧Pipe
✧VirtualChannel
✧QOS
✧IPHost
5.2.8C3750G
总体设计
✧PortChannel(链路聚合)
✧路由
6
实施方案
6.1设备安装调试
F5-6900安装调试详细配置见附件中《F5-6900配置手册》
Allot管理服务器安装调试:
✧Allot管理服务器安装在Wndowsserver2003英文版(建议)或中文版32位包括SP2,虚拟内存设置成4G;
✧管理员需要安装JAVASDK和NetXplorer才能管理Allot;
✧详细配置见附件中《Allot管理服务器配置手册》
Allot-3040安装调试详细配置见附件中《Allot-3040配置手册》
C3750G详细配置见附件中《C3750G配置手册》
6.2设备上架、加电测试
按照机房要求,将新设备F5-6900和Allot-3040上架,并加电测试。
6.3业务平滑迁移
Ø公共信息网F5-3400更换为F5-6900:
将业务数据流量从F5-3400迁移至F5-6900,观察业务数据流量是否正常,若出现异常情况立即将业务数据流量恢复至F5-3400,优先保证用户正常使用公共信息网资源,迅速排查原因后重新实施。
Ø公共信息网QQSG更换为Allot-3040;
将业务数据流量从QQSG迁移至Allot-3040,观察业务数据流量是否正常,若出现异常情况立即将业务数据流量恢复至QQSG,优先保证用户正常使用公共信息网资源,迅速排查原因后重新实施。
Ø公共信息网边界路由器C3750G配置调整:
将业务数据流量从原接口迁移至PortChannel接口,观察业务数据流量是否正常,若出现异常情况立即将业务数据流量恢复至原接口,优先保证用户正常使用公共信息网资源,迅速排查原因后重新实施。
6.4链路跳接
✧公共信息网边界路由C3750G至Allot-3040新增1条多模光跳线(FC-FC);
✧Allot-3040至F5-6900新增1条多模光跳线;
✧F5-6900至互联网3750G新增1条多模光跳线。
6.5策略调整、优化配置
经过1个月的使用,通过数据分析、结合F5-6900和Allot-3040的技术特点、油田互联网出口情况和用户使用习惯,对原有配置进行优化,提升、改善用户网络体验效果。
6.6设备关机
F5-6900和Allot-3040运行稳定后,将F5-3400和QQSG关机,作为备用。
7
项目组织管理
7.1项目实施总体布署
本项目实施要求对xxx正常访问互联网的影响降到最低,本项目的实施可分为以下大部分:
1、设备拆封、设备硬件货物验收
2、设备上架、系统安装
3、软件安装、预调试
4、割接实施,实地测试
5、用户培训
7.2项目实施准备工作
在项目实施前,已对xxx网络部署的环境、方案等作了认真充分的论证,准备工作包括:
7.2.1进场前准备工作
Ø与相关部门协调,确认进场时间及人员
项目组成员名单
序号
工程类别
人数
联系人
1
项目负责
1人
2
现场负责兼方案设计人员
1人
3
安装、调试
1人
4
厂商工程师远程支持
2人
5
硬件上架、设备供电
2人
7.2.2项目实施所需工具及测量仪
Ø十字、一字螺丝刀各2把
Ø开线刀,打线钳,电源地拖各1套
Ø网络测试仪、光纤测试仪各1套
Ø笔记本电脑1台,交叉线4条
以上工具和设备,由项目负责人在进场前检查相关设备工具的到位情况。
7.2.3工作计划
1、与xxx负责人员确定设备上架时间,协调/配合xxx负责人员发布维护通知
2、上架前的准备工作,包括确定从设备到主干交换机的网线长度、尾纤长度、接头类型、光纤模块安装。
3、规划实施时间,设备上架演习,文档、标签整理
4、软件安装,预调试
7.3项目实施关键步骤说明
实施的关键工序如下:
(1)线缆布放;
(2)设备上架,电源线固定;
(3)启动设备,确定各进程已正常工作,确定管理页面可正常打开,确保设备工作正常。
(4)设备及网线贴标签,等待通知时间,准备串接
任务
负责人
实施场地
备注
设备的上架
实施工程师
xxx勘探开发综合楼信息管理部机房网络机房
电源线固定,连接网线
实施工程师
设备上电测试
实施工程师
贴标签
实施工程师
等待通知时间,实施
实施工程师
甲方人员
设备网络测试
实施工程师
厂商工程师
设备运行测试
实施工程师
厂商工程师
管理页面测试
实施工程师
厂商工程师
检查,收尾
所有人员
7.4项目文档管理
1、工程指定1人负责内外文档的规范、整理
2、规范整理的文档必须经过项目经理的严格审核并签字
3、项目资料的填写与制作应与项目进度同步进行,并按表格规定,由项目实施人员会签后存档
8
项目实施进度计划
在施实前由项目经理与各方负责人召开现场会议,根据技术方案以及合同内容等制定项目实施进度计划,项目实施总时间为四天。
9应急预案
此次实施关系到油田用户访问互联网业务,要求尽可能在短时间内完成设备线路切换和策略部署,因此实施过程中出现其他情况时;立即启动“信息管理部相关应急预案”,恢复原有网络线路或配置,排查问题原因后准备下一次实施。
10
培训计划
10.1F5培训内容
10:
30–12:
00
将设备对用户端进行交付,让用户了解设备,并学会如何查看各类参数。
12:
00–13:
00
进行策略添加、修改,让用户了解策略,规则的意义,学会如何定制策略。
13:
00–14:
00
实际操作,让用户有能力去分析流量情况,并学会管理设备。
10.2Allot培训内容
10:
30–11:
30
介绍NetXplorer.什么是NetXplorer?
我们将学习如何安装NetXplorer服务器和使用图形化界面的客户端,并且稍后可以看到如何开始通过图形化客户端实现工作。
11:
45–12:
15
监控与报告.如何通过使用NetXplorer获得对您的网络全面可视化?
在此部分,我们将学习如何使用NetXplorer实时监控和长期监控的功能。
我们将检查不同类型的可用图形和了解每个图形它的典型用途和如何生成的。
在了解如何预定义和定期报告以及如何使用组特性将不同的设备集成到一个报告里,我们也将关注一些其他的高级的监控特性。
12:
15–13:
30
监控动手练习
16:
00–16:
30
条件选项.如何定义不同的条件选项来等级化您的网络中各种流量。
这部分给出了十分清晰的解释,包括主机、时间、服务、TOS和VLAN等选项。
16:
45–17:
15
执行选项.如何为你在网络种已经定义的不同的流量设置定义不同的执行动作选项。
这个部分包括关于QoS,ToS和DoS选项的详细说明,以及很好的阐述了NetEnforcer的工作机制。
17:
15–18:
30
建立策略.如何建立将你定义的各种选项组合成一个有效的策略来满足你的业务需求。
这部分将通过案例来解释如何创建规则,如何使用Lines,Pipes,VCs和Templates。
18:
30–19:
00
事件和告警.如何确认对于网络状态变化的预设提示。
这个部分将概括如何定义告警和告警行为以及如何费培不同的项目种。
此外,我们将看到如何配置事件和如何在多种日志中看事件和告警。
最后会举几个案例。
19:
00–19.30
动手练习,总结和回顾
11
附件
11.1《F5-6400配置手册》
备份原F5-3400策略配置,根据F5-3400策略配置调试F5-6900:
将Console线连接工作站COM口和F5的console口,网线连接工作站网口和F5的MGMT网口:
登录F5设备进行激活:
设备激活后,进行管理地址、主机名称、口令的配置更改:
在F5-6900接口上配置内网链路IP:
(配置地址后,注意关联相应VLAN)
在F5-6900接口上配置互联网链路IP:
配置方法如上图,配置好后,在selfIP中查看,如下图:
在F5-6900上配置PortChannel(链路聚合):
将需要做链路聚合的连个端口绑到一个trunk中,并将此trunk应用到内网的接口上即可
在F5-6900上配置缺省路由及回指路由:
将建立好的default_gateway_pool关联到缺省路由上,并按照用户提供的地址段,填入正确的回指路由
在F5-6900上配置VirtualServerList;
进入LTM模块中的VirtualServer
创建缺省VS向外指出,所有访问互联网的用户将默认匹配此VS,并触发相应规则:
进入LTM模块中的pool:
建立运营商的首选pool,并使用ICMP进行链路活动探测:
在F5-6900上配置MonitorList;
进入LTM中的monitor,建立自定义的monitor内容,如无特殊要求,使用默认monitor即可
11.2《Allot管理服务器配置手册》
(1)将Allot管理服务器安装在Wndowsserver2003英文版或中文版32位包括SP2,虚拟内存设置成4G;
(2)在服务器上安装jdk-6u2-windows-i586-p(NX10),然后安装NetXplorer软件,在安装时请关闭一切实时病毒防护软件,在安装NetXplorer软件时必须联网激活,如果不激活的话数据库在生成的时候会出错;
(3)在客户端上安装java-jdk,使用浏览器登录NetXplorer服务器
(4)使用缺省的用户名admin和密码allot登录
11.3《Allot-3040配置手册》
Allot-3040配置策略调试
(1)在服务器上安装NX服务器,配置NX服务器IP地址,并在NX上添加管理许可
(2)在Allot-3040上配置管理IP;例如:
(3)通过管理IP将NX与Allot-3040关联起来
(4)NX上添加设备的使用许可
(5)升级特征库
(6)在NX上配置Allot-3040的HOSTlist;
所需定义的主机列表,如:
家属区IP列表、重要领导IP列表、办公区IP列表、
信息管理部IP列表
(7)在NX上配置QoS
配置常用规则,如:
1Mbps、2Mbps、10Mbps、100Mbps、200Mbps
(8)配置Line,pipe和VC
Line,Pipe和VC的结构如下
具体的Line,pipe和VC的规则如下:
Line
Pipe
VC
流量属性定义(IP、应用)
规则
特定应用
NetworkOperation
默认
DNS
DNS
默认
允许的
允许的IP
默认
阻拦的
阻拦的IP
阻拦
ICMP
ICMP
默认
允许的
允许的IP
默认
阻拦的
阻拦的IP
阻拦
默认
默认
特定人群
重要领导的IP
默认
服务器区
服务器区IP
默认
家属区
家属区IP地址段
默认
每用户
默认
2M最大
P2P
P2P应用
1M最大
UDP
UDP应用
1M最大
浏览
HTTP浏览
默认
默认
默认
默认
默认
默认
办公区
办公区IP地址段
默认
每用户
默认
2M最大
P2P
P2P应用
1M最大
UDP
UDP应用
1M最大
浏览
HTTP浏览
默认
默认
默认
默认
默认
默认
(9)将所有的元素组成规则写入设备。
11.4C3750G配置手册
Interfacerangegi1/0/x-x
Channel-group1auto
Noswitchport
Ipaddressx.x.x.xx.x.x.x
Exit
Iproute0.0.0.00.0.0.0x.x.x.x