某互联网出口负载均衡和流量分析总体方案方针.docx

上传人:b****5 文档编号:7372138 上传时间:2023-01-23 格式:DOCX 页数:27 大小:1.29MB
下载 相关 举报
某互联网出口负载均衡和流量分析总体方案方针.docx_第1页
第1页 / 共27页
某互联网出口负载均衡和流量分析总体方案方针.docx_第2页
第2页 / 共27页
某互联网出口负载均衡和流量分析总体方案方针.docx_第3页
第3页 / 共27页
某互联网出口负载均衡和流量分析总体方案方针.docx_第4页
第4页 / 共27页
某互联网出口负载均衡和流量分析总体方案方针.docx_第5页
第5页 / 共27页
点击查看更多>>
下载资源
资源描述

某互联网出口负载均衡和流量分析总体方案方针.docx

《某互联网出口负载均衡和流量分析总体方案方针.docx》由会员分享,可在线阅读,更多相关《某互联网出口负载均衡和流量分析总体方案方针.docx(27页珍藏版)》请在冰豆网上搜索。

某互联网出口负载均衡和流量分析总体方案方针.docx

某互联网出口负载均衡和流量分析总体方案方针

xxx互联网出口负载均衡和流量分析

巴州浩展网络有限责任公司

2012年3月

1

项目背景

目前xxx的互联网出口是电信、联通双线接入,办公网、公共信息网分别建有互联网出口系统;中石油互联网出口接入到办公网边界区域;用户群体庞大,约有3万终端。

油田中心机房现有油田办公网互联网出口负载均衡设备、流量整形设备,且各只有一台,没有备份,当出现软硬件问题设备不能正常运行时将导致相关网络瘫痪。

通过本项目购置负载均衡设备和流量整形设备各1台,为互联网正常运行做好保障。

2项目目标

根据油田互联网出口现状,设计原有的互联出口设备和新购的F5负载均衡、ALLOT流量整形设备的实施方案。

根据方案进行油田互联网出口整体实施,包括原有设备和新购设备等的安装实施。

在原有的互联网出口系统基础上,使之更加稳定、安全、可靠。

3项目原则

⏹先进性原则

⏹可靠性原则

⏹维护性原则

⏹扩展性原则

⏹安全性原则

⏹易用性原则

4总体方案设计

4.1现状分析

办公网互联网出口设备有F5-6400、Allot-1010、ISG2000和边界路由器3750G,公共信息网互联网出口设备有F5-3400、QQSG和边界路由器3750G。

4.2方案论证

根据xxx办公网与公共信息网两网分离的网络实际情况,结合现有设备,从以下几个方面分析论证:

1、流量分析:

设备

OUT

IN

策略

备注

F5-6400

50M/s

400M/s

Web/邮件

办公网

F5-3400

500M/s

600M/s

公共信息网

结论:

1、互联网出口峰值流量公共信息网大于办公网;

2、互联网出口设备压力公共信息网高于办公网。

2、设备性能分析:

公共信息网

F5-3400

年限较长,硬件性能不足。

设备(理论值)并发会话数为400万,活动用户数峰值为1万,内存为1G。

当用户峰值访问时,设备会话保持使用不够,易出现间断性断网,释放内存后网络恢复。

不能满足公共信息网的应用需求

办公网

F5-6400

并发会话数800万,活动用户数峰值为2.5万,内存为2G。

可以满足办公网的应用需求,但不能满足公共信息网的应用需求。

QQSG

协议特征库长时间没有更新,不能对新的应用做到识别,已经不能满足现有流量分析的需求;报表的时间戳不能同步,报表的时间不对,无法修正。

不能满足公共信息网的需求

Allot-1010

能够识别现有办公网(Web/Ftp/Mail)需求产生的应用流量分析,硬件设备运行稳定。

由于没有续保服务,特征库无法更新,软件版本低。

可以满足办公网现有功能要求,但不能满足公共信息网复杂应用分析的需求。

4.3总体方案

基于上述分析,办公网的互联网出口系统保持现状,公共信息网的F5-3400和QQSG更换为F5-6900和Allot-3040,F5-3400和QQSG关机,作为互联网出口体系的备用设备。

5

设计方案

5.1技术关键点

5.1.1F5-6900

多链路的负载均衡:

LinkController可以智能的解决多条ISP接入链路以保证网络服务的质量,分为OUTBOUND流量的负载均衡、INBOUND流量的负载均衡。

多链路的冗余:

可以检测每条链路的运行状态和可用性,做到链路和ISP故障的实时检测。

高度的安全性:

采用防火墙的设计原理,是缺省拒绝设备,防御普通网络攻击。

能够拆除空闲连接防止拒绝服务攻击;能够执行源路由跟踪防止IP欺骗;拒绝没有ACK缓冲确认的SYN防止SYN攻击;拒绝teartop和land攻击;保护自己和内网免受ICMP攻击;不运行SMTP、FTP、TELNET或其它易受攻击的后台程序。

DynamicReaping特性可以高效删除各类网络DoS攻击中的空闲连接,这可以保护BIG-IP不会因流量过多而瘫痪。

DelayBinding技术可以为部署在BIG-IP后面的服务器提供全面地SYNFlood保护。

5.1.2Allot-3040

确保关键业务应用、控制广域网成本:

检测网络与带宽的使用情况,自动发现网络中的应用,判断网络中哪些协议可能对网络造成影响而需要对其进行管理。

对所有经过Allot设备的所有流量进行检查,并持续监测资源的使用情况以保证对网络的控制与应用服务的性能,定义的策略将业务优先级与用户的需求相结合。

强健策略驱动的网络架构:

为网络中的每一种应用精确地分配带宽,保证那些对网络延迟敏感的应用的质量不会因为网络中的其他流量而下降。

实现网络智能:

借助NetXplorer管理平台实现逐层深入的网络分析,以实现智能的网络管理,包括信息收集与分析、找出网络瓶颈、以及集中管理策略配置。

抵制恶意网络攻击:

侦测已知类型的DDOS网络攻击,监测、记录并阻止不良的网络流量,对即将发生的网络攻击提出早期告警,并且使用专用的带外管理端口以保证即使发生DDOS攻击的情况下也能够对设备进行管理,从而对攻击流量进行管控。

保证最大的网络可靠性:

通过两个层面的容错特性保证网络的100%正常运行时间,首先是基于硬件的旁路单元(Bypass)可以再设备发生软硬件故障的情况下将数据透明的进行传输,不会导致网络中断。

5.2方案设计

5.2.1设计内容

F5-6900流量处理能力是6Gbps,64位的TMOS硬件架构,4核8进程CPU处理能力,8G内存,24个千兆接口(含光口)。

并发数是800万,活动用户数峰值为4万,背板带宽68G。

Allot-3040有8个千兆接口,可扩展至4Gbps的全双工吞吐率,实时监测和QoS策略执行多达400万个并发IP流,支持Allot的DART(动态可操作的识别)技术,广泛的特征库,能够准确地识别数以百计的互联网应用和协议,可自动更新特征库。

为了更好地使用F5-6900和Allot-3040,公共信息网互联网出口在边界路由器C3750G和F5-6900之间采用链路聚合的方式,增加链路带宽,使互联网访问能够快速、有效地通过,充分发挥性能。

5.2.2网络资源规划

设备

接口

IP地址

子网掩码

F5-6900

2.1/2.2

172.16.250.110

255.255.255.0

1.1

61.13.220.17

255.255.255.224

1.2

216.31.220.102

255.255.255.224

Allot-3040

Mgnt

172.16.250.102

255.255.255.0

Allot管理服务器

Eth1

172.16.250.100

255.255.255.0

5.2.3SNAT-List

设备

SNAT地址

备注

F56900

216.31.220.103

电信

61.13.220.18

联通

5.2.4设备互联规划

设备

端口

对端设备

端口

备注

F5-6900

1.1

Internet3750G

G1/0/4

电信

1.2

Internet3750G

G1/0/28

联通

2.1

Allot3040

Bypassexternal1

2.2

Allot3040

Bypassexternal2

Allot-3040

Bypassinternal1

C3750G

Gi1/0/27

Bypassinternal2

C3750G

Gi1/0/28

Bypassexternal1

F5-6900

2.1

Bypassexternal2

F5-6900

2.2

Mgnt

C3750

Gi1/0/25

Allot

服务器

Eth1

C3750

Gi1/0/26

5.2.5静态路由规划

依据边界设备采用静态路由的原则,公共信息网的互联网出口系统采用静态路由的方式与内网和各运营商互指。

设备

路由

下一跳

备注

F5-6900

0.0.0.0

60.13.219.17

联通

0.0.0.0

218.31.123.102

电信

172.16.0.0

172.16.250.1

回程

Allot-3040

172.16.250.0

172.16.250.1

管理

Allot管理服务器

172.16.250.0

172.16.250.1

管理

公共信息网C3750

0.0.0.0

172.16.250.110

默认路由

5.2.6F5-6900策略设计

参考现在运行的F5-3400目前配置,按照总体设计的链路聚合方式,针对F5-6900进行配置策略设计,内容包含一下部分:

✧电信、联通链路对应公共信息网F5-6900的接口、管理IP、接口IP及路由

✧PortChannel(链路聚合)

✧VirtualServerList

✧PoolList

✧MonitorList

✧iRule

✧SNAT-List

✧SNAT

5.2.7Allot-3040策略设计

参考现在运行的QQSG目前配置,针对Allot-3040进行配置策略设计,内容包含一下部分:

✧管理服务器安装(NX服务器)

✧配置管理IP及路由

✧Line

✧Pipe

✧VirtualChannel

✧QOS

✧IPHost

5.2.8C3750G

总体设计

✧PortChannel(链路聚合)

✧路由

6

实施方案

6.1设备安装调试

F5-6900安装调试详细配置见附件中《F5-6900配置手册》

Allot管理服务器安装调试:

✧Allot管理服务器安装在Wndowsserver2003英文版(建议)或中文版32位包括SP2,虚拟内存设置成4G;

✧管理员需要安装JAVASDK和NetXplorer才能管理Allot;

✧详细配置见附件中《Allot管理服务器配置手册》

Allot-3040安装调试详细配置见附件中《Allot-3040配置手册》

C3750G详细配置见附件中《C3750G配置手册》

6.2设备上架、加电测试

按照机房要求,将新设备F5-6900和Allot-3040上架,并加电测试。

6.3业务平滑迁移

Ø公共信息网F5-3400更换为F5-6900:

将业务数据流量从F5-3400迁移至F5-6900,观察业务数据流量是否正常,若出现异常情况立即将业务数据流量恢复至F5-3400,优先保证用户正常使用公共信息网资源,迅速排查原因后重新实施。

Ø公共信息网QQSG更换为Allot-3040;

将业务数据流量从QQSG迁移至Allot-3040,观察业务数据流量是否正常,若出现异常情况立即将业务数据流量恢复至QQSG,优先保证用户正常使用公共信息网资源,迅速排查原因后重新实施。

Ø公共信息网边界路由器C3750G配置调整:

将业务数据流量从原接口迁移至PortChannel接口,观察业务数据流量是否正常,若出现异常情况立即将业务数据流量恢复至原接口,优先保证用户正常使用公共信息网资源,迅速排查原因后重新实施。

6.4链路跳接

✧公共信息网边界路由C3750G至Allot-3040新增1条多模光跳线(FC-FC);

✧Allot-3040至F5-6900新增1条多模光跳线;

✧F5-6900至互联网3750G新增1条多模光跳线。

6.5策略调整、优化配置

经过1个月的使用,通过数据分析、结合F5-6900和Allot-3040的技术特点、油田互联网出口情况和用户使用习惯,对原有配置进行优化,提升、改善用户网络体验效果。

6.6设备关机

F5-6900和Allot-3040运行稳定后,将F5-3400和QQSG关机,作为备用。

7

项目组织管理

7.1项目实施总体布署

本项目实施要求对xxx正常访问互联网的影响降到最低,本项目的实施可分为以下大部分:

1、设备拆封、设备硬件货物验收

2、设备上架、系统安装

3、软件安装、预调试

4、割接实施,实地测试

5、用户培训

7.2项目实施准备工作

在项目实施前,已对xxx网络部署的环境、方案等作了认真充分的论证,准备工作包括:

7.2.1进场前准备工作

Ø与相关部门协调,确认进场时间及人员

项目组成员名单

序号

工程类别

人数

联系人

1

项目负责

1人

2

现场负责兼方案设计人员

1人

3

安装、调试

1人

4

厂商工程师远程支持

2人

5

硬件上架、设备供电

2人

7.2.2项目实施所需工具及测量仪

Ø十字、一字螺丝刀各2把

Ø开线刀,打线钳,电源地拖各1套

Ø网络测试仪、光纤测试仪各1套

Ø笔记本电脑1台,交叉线4条

以上工具和设备,由项目负责人在进场前检查相关设备工具的到位情况。

7.2.3工作计划

1、与xxx负责人员确定设备上架时间,协调/配合xxx负责人员发布维护通知

2、上架前的准备工作,包括确定从设备到主干交换机的网线长度、尾纤长度、接头类型、光纤模块安装。

3、规划实施时间,设备上架演习,文档、标签整理

4、软件安装,预调试

7.3项目实施关键步骤说明

实施的关键工序如下:

(1)线缆布放;

(2)设备上架,电源线固定;

(3)启动设备,确定各进程已正常工作,确定管理页面可正常打开,确保设备工作正常。

(4)设备及网线贴标签,等待通知时间,准备串接

任务

负责人

实施场地

备注

设备的上架

实施工程师

xxx勘探开发综合楼信息管理部机房网络机房

电源线固定,连接网线

实施工程师

设备上电测试

实施工程师

贴标签

实施工程师

等待通知时间,实施

实施工程师

甲方人员

设备网络测试

实施工程师

厂商工程师

设备运行测试

实施工程师

厂商工程师

管理页面测试

实施工程师

厂商工程师

检查,收尾

所有人员

7.4项目文档管理

1、工程指定1人负责内外文档的规范、整理

2、规范整理的文档必须经过项目经理的严格审核并签字

3、项目资料的填写与制作应与项目进度同步进行,并按表格规定,由项目实施人员会签后存档

8

项目实施进度计划

在施实前由项目经理与各方负责人召开现场会议,根据技术方案以及合同内容等制定项目实施进度计划,项目实施总时间为四天。

9应急预案

此次实施关系到油田用户访问互联网业务,要求尽可能在短时间内完成设备线路切换和策略部署,因此实施过程中出现其他情况时;立即启动“信息管理部相关应急预案”,恢复原有网络线路或配置,排查问题原因后准备下一次实施。

10

培训计划

10.1F5培训内容

10:

30–12:

00

将设备对用户端进行交付,让用户了解设备,并学会如何查看各类参数。

12:

00–13:

00

进行策略添加、修改,让用户了解策略,规则的意义,学会如何定制策略。

13:

00–14:

00

实际操作,让用户有能力去分析流量情况,并学会管理设备。

10.2Allot培训内容

10:

30–11:

30

介绍NetXplorer.什么是NetXplorer?

我们将学习如何安装NetXplorer服务器和使用图形化界面的客户端,并且稍后可以看到如何开始通过图形化客户端实现工作。

11:

45–12:

15

监控与报告.如何通过使用NetXplorer获得对您的网络全面可视化?

在此部分,我们将学习如何使用NetXplorer实时监控和长期监控的功能。

我们将检查不同类型的可用图形和了解每个图形它的典型用途和如何生成的。

在了解如何预定义和定期报告以及如何使用组特性将不同的设备集成到一个报告里,我们也将关注一些其他的高级的监控特性。

12:

15–13:

30

监控动手练习

16:

00–16:

30

条件选项.如何定义不同的条件选项来等级化您的网络中各种流量。

这部分给出了十分清晰的解释,包括主机、时间、服务、TOS和VLAN等选项。

16:

45–17:

15

执行选项.如何为你在网络种已经定义的不同的流量设置定义不同的执行动作选项。

这个部分包括关于QoS,ToS和DoS选项的详细说明,以及很好的阐述了NetEnforcer的工作机制。

17:

15–18:

30

建立策略.如何建立将你定义的各种选项组合成一个有效的策略来满足你的业务需求。

这部分将通过案例来解释如何创建规则,如何使用Lines,Pipes,VCs和Templates。

18:

30–19:

00

事件和告警.如何确认对于网络状态变化的预设提示。

这个部分将概括如何定义告警和告警行为以及如何费培不同的项目种。

此外,我们将看到如何配置事件和如何在多种日志中看事件和告警。

最后会举几个案例。

19:

00–19.30

动手练习,总结和回顾

11

附件

11.1《F5-6400配置手册》

备份原F5-3400策略配置,根据F5-3400策略配置调试F5-6900:

将Console线连接工作站COM口和F5的console口,网线连接工作站网口和F5的MGMT网口:

登录F5设备进行激活:

设备激活后,进行管理地址、主机名称、口令的配置更改:

在F5-6900接口上配置内网链路IP:

(配置地址后,注意关联相应VLAN)

在F5-6900接口上配置互联网链路IP:

配置方法如上图,配置好后,在selfIP中查看,如下图:

在F5-6900上配置PortChannel(链路聚合):

将需要做链路聚合的连个端口绑到一个trunk中,并将此trunk应用到内网的接口上即可

在F5-6900上配置缺省路由及回指路由:

将建立好的default_gateway_pool关联到缺省路由上,并按照用户提供的地址段,填入正确的回指路由

在F5-6900上配置VirtualServerList;

进入LTM模块中的VirtualServer

创建缺省VS向外指出,所有访问互联网的用户将默认匹配此VS,并触发相应规则:

进入LTM模块中的pool:

建立运营商的首选pool,并使用ICMP进行链路活动探测:

在F5-6900上配置MonitorList;

进入LTM中的monitor,建立自定义的monitor内容,如无特殊要求,使用默认monitor即可

11.2《Allot管理服务器配置手册》

(1)将Allot管理服务器安装在Wndowsserver2003英文版或中文版32位包括SP2,虚拟内存设置成4G;

(2)在服务器上安装jdk-6u2-windows-i586-p(NX10),然后安装NetXplorer软件,在安装时请关闭一切实时病毒防护软件,在安装NetXplorer软件时必须联网激活,如果不激活的话数据库在生成的时候会出错;

(3)在客户端上安装java-jdk,使用浏览器登录NetXplorer服务器

(4)使用缺省的用户名admin和密码allot登录

11.3《Allot-3040配置手册》

Allot-3040配置策略调试

(1)在服务器上安装NX服务器,配置NX服务器IP地址,并在NX上添加管理许可

(2)在Allot-3040上配置管理IP;例如:

(3)通过管理IP将NX与Allot-3040关联起来

(4)NX上添加设备的使用许可

(5)升级特征库

(6)在NX上配置Allot-3040的HOSTlist;

所需定义的主机列表,如:

家属区IP列表、重要领导IP列表、办公区IP列表、

信息管理部IP列表

(7)在NX上配置QoS

配置常用规则,如:

1Mbps、2Mbps、10Mbps、100Mbps、200Mbps

(8)配置Line,pipe和VC

Line,Pipe和VC的结构如下

具体的Line,pipe和VC的规则如下:

Line

Pipe

VC

流量属性定义(IP、应用)

规则

特定应用

NetworkOperation

默认

DNS

DNS

默认

允许的

允许的IP

默认

阻拦的

阻拦的IP

阻拦

ICMP

ICMP

默认

允许的

允许的IP

默认

阻拦的

阻拦的IP

阻拦

默认

默认

特定人群

重要领导的IP

默认

服务器区

服务器区IP

默认

家属区

家属区IP地址段

默认

每用户

默认

2M最大

P2P

P2P应用

1M最大

UDP

UDP应用

1M最大

浏览

HTTP浏览

默认

默认

默认

默认

默认

默认

办公区

办公区IP地址段

默认

每用户

默认

2M最大

P2P

P2P应用

1M最大

UDP

UDP应用

1M最大

浏览

HTTP浏览

默认

默认

默认

默认

默认

默认

(9)将所有的元素组成规则写入设备。

11.4C3750G配置手册

Interfacerangegi1/0/x-x

Channel-group1auto

Noswitchport

Ipaddressx.x.x.xx.x.x.x

Exit

Iproute0.0.0.00.0.0.0x.x.x.x

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 高等教育 > 其它

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1