XX大学链路负载均衡实施方案ver1.docx

XX大学链路负载均衡实施方案ver1.docx

《XX大学链路负载均衡实施方案ver1.docx》由会员分享，可在线阅读，更多相关《XX大学链路负载均衡实施方案ver1.docx（24页珍藏版）》请在冰豆网上搜索。

XX大学链路负载均衡实施方案ver1

XX大学

F5LinkController

多链路接入解决方案

2006年6月

1

双出口链路负载均衡需求分析

1.1XX大学当前网络拓朴

目前XX大学互联网出口主要是通过电信internet运营商提供Internet的接入和Cernet网络两条线路提供网络访问服务，域名解析由用户内部DNS服务器提供，目前XX大学互联网出口的拓扑图如下：

1.2双出口链路负载均衡网络拓扑设计

为了保证XX大学出口链路的高可用性和访问效率，不但能够充分利用这两条链路（按照预设的算法分担到不同的链路上，一旦一条链路不通的情况下，能够无缝切换到另外一条可用链路上）；而且可以根据对不同链路的侦测结果，将最快速的链路提供给外部用户进行响应，从而解决目前广泛存在的多个ISP之间的互联互通问题。

具体解决方案特色如下：

Ø提供内网至internet流量的负载均衡（Outbound）

Ø实现从Internet对服务器访问流量的负载均衡（Inbound）

Ø支持自动检测和屏蔽故障Internet链路

Ø支持多种静态和动态算法智能均衡多个ISP链路的流量，可方便扩展到多出口（2个ISP以上）

Ø支持双出口链路动态冗余，流量比率和切换

Ø支持多种DNS解析和规划方式，适合各种用户网络环境

Ø完全支持各种应用服务器负载均衡

Ø多层安全增强防护，抵挡黑客攻击

Ø业界领先的双机冗余切换机制，能够做到毫秒级切换

Ø详细的链路监控报表，提供给网络管理员直观详细的图形界面

Ø对于用户完全透明

Ø对所有应用无缝支持

Ø业界优异的硬件平台和性能

Ø稳定，安全的设备运行记录

2双出口链路负载均衡解决方案概述

2.1双出口链路负载均衡网络拓扑设计

根据双方的项目需求讨论分析，F5专门为XX大学公司设计的双出口链路负载均衡网络拓扑图（双机冗余）如下。

2.2方案描述

此方案中，采用F5的BIG-IP3400Linkcontroller一台,提供两条出口链路（中国电信，中国Cernet）的链路负载均衡，其中两条Internet出口链路通过两台二层交换机做端口拓展与BIG-IP3400连接。

BIG-IP1500与防火墙通过网络端口连接，防火墙的建议使用透明模式。

由于原有的校园网中的应用服务器使用的Cernet地址，为了能够让整条连路中的outbound和inbound的数据流得到均衡，即电信地址从电信链路走，Cernet地址从Cernet链路走，所以我们建议应用服务器使用私网地址，并且访问外网的NAT作用在F5LC设备上。

同时为了让广域网使用域名解析向内访问服务器的数据流得到inbound的负载均衡，我们必须通过在原有的DNS的A记录转发到F53400LC设备，由F5通过动态＆静态两种方式对域名解析访问的数据流负载均衡，但是由于目前XX大学的域名解析是通过火速来解析，所以我们需要让火速把现有的域名解析转发到F53400LC。

通过这样的优化升级后，系统具有以下特征：

结构合理：

整个网络结构布局合理，层次分明，便于管理与维护。

可用性高:

本设计可动态检查各条出口链路的健康状态，并将下一个请求分配给最有效率的链路，任何一条链路发生故障时，即刻将请求分配给其他的链路，从而达到99.999%系统有效性。

安全性高:

本设计支持地址翻译技术和安全地址翻译，这样一来客户不可能知道真正提供服务的服务器的IP地址与端口，链路负载均衡设备采用SSH和SSL技术，可以防止来自内部或互联网上的黑客攻击。

效率高:

可以智能寻找最佳的出口链路，从而保证客户得到最快的上网访问速度。

可扩展性高:

可以支持动态增加或删除其负载均衡的链路群组的任何数量的链路，而不需要对客户端或后台做任何改变从而使得系统扩展轻松方便。

可管理性高:

可以实时监控整个链路群组的流量状态，并分析发展趋势帮助客户及时根据流量增长增加出口带宽。

保护投资：

还免费带有服务器负载均衡和防火墙负载均衡的功能。

3多链路负载均衡实施方案

3.1双出口链路负载均衡

链路负载均衡设备解决方案就是在内部交换机和连接ISP的路由器之间，跨接两台多链路负载均衡设备应用交换机，所有的地址翻译和Internet链路优化全部由多链路负载均衡设备来完成。

如果网络中有防火墙，也可以选择由防火墙来做地址翻译。

3.2Outbound流量负载均衡实现原理

本设计主要采用以下几种技术来处理Outbound流出流量。

DefaultGatewayPool

在DefaultGatewayPool中，定义相应的ISP对端路由器地址，作为负载均衡的对象，并且可以捆绑健康检查，负载均衡算法以及会话保持等属性。

WildcardVirtualServer

WildcardVirtualServer－0.0.0.0:

0/internal，WildcardVirtualServer是指0.0.0.0这个特殊的虚拟服务器，一般用于捆绑DefaultGatewayPool。

SNAT/SNATAutomap

对于Outbound流量的地址翻译，该多链路负载均衡设备使用了称为SNAT的方法。

当选定一个路由器（某一个ISP）传送Outbound流量时，多链路负载均衡设备将选择该ISP提供的地址。

即：

如果多链路负载均衡设备选择ISP1作为Outbound流量的路径，则它将把内部的主机地址*.*.*.A翻译为ISP1提供的地址，并作为Outbound数据包的源地址。

同样，如果多链路负载均衡设备选择ISP2作为Outbound流量的路径，则它将把内部的主机地址*.*.*.A翻译为ISP2提供的地址，并作为Outbound数据包的源地址。

3.3Inbound流量负载均衡实现原理

DNS解析器（WideIP）

Inbound流量负载均衡的核心技术是DNS解析的问题。

外部用户访问在DNS请求时，就通过多链路负载均衡设备获知了链路的健康状况和链路优先选择，这样多链路负载均衡设备必须承担部分DNS的功能，以便返回给用户相应的访问IP地址。

F5多链路负载均衡设备支持A记录和*记录解析。

VirtualServer

由于该多链路负载均衡设备可以兼做服务器负载均衡，因此返回给用户DNS解析是VirtualServer。

NAT

对于直接通过IP地址进行访问的Inbound流量，并且内部主机需要Outbound访问，需要配置相应的NAT记录，来保证从多条链路都能访问内部服务器，与VirtualServer加上SNAT功能相当（细节有所不同）。

3.4RootDNS（注册DNS）通过第三方DNSServer与F5多链路负载均衡器配合

（建议方式）

✧NS方式（举例）

上级DNS

.INNSns1..

INNSns2..

.INAxx.xx.xx.xx（XX大学DNS地址1，电信地址）

.INAxx.xx.xx.xx（XX大学DNS地址2，网通地址）

第三方DNS（XX大学DNS服务器）

www.wankeINCNAMEwww.sub.

INCNAME

……

.INNSf__.G!

INNS

f5a..INAxx.xx.xx.xx（F5设备电信地址）

.INAxx.xx.xx.xx（F5设备网通地址）

3.5用户访问流程分析（以电信用户为例）

为了更好的分析F5的BIG-IP3400是如何实现对不同ISP用户访问提供不同的访问链路的，以一个电信用户的访问过程来详细讲解一下。

首先，在LC上将会有两条ISP的链路连接，可以在其上层的交换机上通过VLAN来划分开两条链路，然后接入到不同ISP的路由器上。

同时在LC上不同的ISP接口上配置上不同ISP的连接IP。

然后，在域名解析的DNS上做一个别名的DNS解析条目，如下：

INCNAME

……

.INNS。

INNS。

.INAxx.xx.xx.xx（F5设备电信地址）

.INAxx.xx.xx.xx（F5设备网通地址）

F5：

配置：

.INAxx.xx.xx.xx

INAxx.xx.xx.xx

其中SUB是一个在LC上配置的虚拟域名，可以自己来定义。

通过一个DNS的别名和NS域名解析指向，就可以让用户本地的DNS去LC上取相应的域名解析结果，而LC通过对不同链路状态的检测，回复最优路径的访问IP，这样就可以实现访问速度的提高了。

具体流程如下：

1、电信用户在IE浏览器上访问这个域名，本地机器会向其本地DNS服务器查询该域名的解析IP。

2、如果本地DNS上没有该域名的条目，它会向根询问该条目；如果已经有，则马上回应一个解析条目。

3、由于在根DNS上已经做了一个别名的DNS解析条目，当本地DNS向根DNS询问解析的时候，根DNS会通知该本地DNS向LC获取这个域名的解析条目。

4、本地DNS联系LC询问解析，这时LC会动态检测两条通往不同ISP路道，测试那条到达该本地DNS相对较优，然后选择相对较优的链路的地址去回应本地DNS，在本例中会使用中国电信的IP对这个域名做解析。

5、本地DNS会根据从LC收到的域名解析条目回应提出要求的中国电信访问用户。

6、中国电信的访问用户使用中国电信的地址去访问这个域名。

从上面的过程可见，通过LC的链路检测功能，可以为用户提供最优的访问链路，同时解决不同ISP接入速度慢的影响。

LC可以选择多种测试方法判断对localDNS的RTT时间,包括:

DNS_Dot:

向localDNS发起一个包含”.”的测试,也就是向目标LocalDNS请求root清单，该解析一般默认配置的DNS服务器均提供支持。

DNS_REV:

向localDNS发起LocalDNS本机IP的PTR请求

UDP:

发起一个UDP的包,看是否回应

TCP:

发起一个TCP的包看是否回应

ICMP:

发起一个ICMP的ping包,看是否回应

在采用DNS实现链路切换时，系统的切换时间主要取决于每个域名的TTL时间设置。

在LC系统里，每个域名如均可设置对应的TTL生存时间。

在用户的LocalDNS得到域名解析纪录后，将在本地在TTL设定时间内将该域名解析对应纪录进行Cache，在Cache期间所有到该LocalDNS上进行域名解析的用户均将获得该纪录。

在TTL时间timeout之后，如果有用户到LocalDNS上请求解析，则此LocalDNS将重新发起一次请求到LC上获得相应纪录。

因此，当单条线路出现故障时，LC将在系统定义的检查间隔（该时间可自行定义）内检查到线路的故障，并只解析正常的线路侧地址。

但此时在LocalDNS上可能还有未过时的Cache纪录。

在T_L时间timeout之后，该LocalDNS重新发起请求的时候就将从LC上获得正确的解析，从而引导用户通过正常的线路进行访问。

系统检测间隔加上TTL时间之和则为系统切换的朐长时间。

通常，系统检测间隔设置为60秒，而TTL时间设置为30秒，所以系统切换的整体时间小于2分钟。

（当然可以根据需要更改）

3.6网络᐀_輀换㈀略

F5BigIP可以灵活根据需要进行地址转换-SNAT&NAT

4服务器负载均衡（应用服务器负载均衡）

在本次负载均衡网络改造中，重点是先考虑多链路负载均衡。

但考虑到负载均衡是个整体方案，要提高运营服务的高可用，高效率，必须同时考虑服务器负载均衡。

本方案建议使用F5BigIP3400LTM（实现服务器负载均衡）+LC模块（实现多链路负载均衡）.

在本次网络改造中，同时把将来的服务器负载均衡规划一并考虑，减少将来的投资及资源浪费，减少业务改造的难度及对业务的影响，加快投资回报率。

典型的服务器负载均衡图例：

BIG/IP利用虚拟IP地址（VIP由IP地址和TCP/UDP应用的端口组成，它是一个地址）来为用户的一个或多个目标服务器（称为节点：

目标服务器的IP地址和TCP/UDP应用的端口组成，它可以是internet的私网地址）提供服务。

因此，它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。

BIG/IP连续地对目标服务器进行L4到L7合理性检查，当用户通过VIP请求目标服务器服务时，BIG/IP根椐目标服务器之间性能和网络健康情况，选择性能最佳的服务器响应用户的请求。

如果能够充分利用所有的服务器资源，将所有流量均衡的分配到各个服务器，我们就可以有效地避免“不平衡”现象的发生。

BIGIP是一台对流量和内容进行管理分配的设备。

它提供12种灵活的算法将数据流有效地转发到它所连接的服务器群。

而面对用户，只是一台虚拟服务器。

用户此时只须记住一台服务器，即虚拟服务器。

但他们的数据流却被BIGIP灵活地均衡到所有的服务器。

这12种算法包括：

Ø轮询（RoundRobin）：

顺序循环将请求一次顺序循环地连接每个服务器。

当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。

Ø比率（Ratio）：

给每个服务器分配一个加权值为比例，根椐这个比例，把用户的请求分配到每个服务器。

当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。

Ø优先权（Priority）：

给所有服务器分组，给每个组定义优先权，BIG/IP用户的请求，分配给优先级最高的服务器组（在同一组内，采用轮询或比率算法，分配用户的请求）；当最高优先级中所有服务器出现故障，BIG/IP才将请求送给次优先级的服务器组。

这种方式，实际为用户提供一种热备份的方式。

Ø最少的连接方式（LeastConnection）：

传递新的连接给那些进行最少连接处理的服务器。

当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。

Ø最快模式（Fastest）：

传递连接给那些响应最快的服务器。

当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。

Ø观察模式（Observed）：

连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。

当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。

Ø预测模式（Predictive）：

BIG/IP利用收集到的服务器当前的性能指标，进行预测分析，选择一台服务器在下一个时间片内，其性能将达到最佳的服务器相应用户的请求。

（被big/ip进行检测）

Ø动态性能分配（DynamicRatio-APM）:

BIG/IP收集到的应用程序和应用服务器的各项性能参数，动态调整流量分配。

Ø动态服务器补充（DynamicServerAct.）:

当主服务器群中因故障导致数量减少时，动态地将备份服务器补充至主服务器群。

Ø服务质量（QoS）：

按不同的优先级对数据流进行分配。

Ø服务类型（ToS）：

按不同的服务类型（在TypeofField中标识）对数据流进行分配。

Ø规则模式：

针对不同的数据流设置导向规则，用户可自行编辑流量分配规则，BIG/IP利用这些规则对通过的数据流实施导向控制。

2）当出现流量“峰值”时，如果能调配所有服务器的资源同时提供服务，所谓的“峰值堵塞”压力就会由于系统性能的大大提高而明显减弱。

由于BIGIP优秀的负载均衡能力，所有流量会被均衡的转发到各个服务器，即组织所有服务器提供服务。

这时，系统性能等于所有服务器性能的总和，远大于流量“峰值”。

这样，即缓解了“峰值堵塞”的压力，又降低了为调整系统性能而增加的投资。

方案的特色：

∙实时监控服务器应用系统的状态，并智能屏蔽故障应用系统

∙实现多台服务器的负载均衡，提升系统的可靠性

∙可以监控和同步服务器提供的内容，确保客户获取到准确可靠的内容

∙提供服务器唨碿维⊤咄调誕犄手段

5附件：

5.1BigIP3400产品介绍及技术参数

F5BIGIP3400是业内唯一一款包含整套统一应用基础设施服务的系统，将总体控制、可见性以及灵活性出色地融合到应用安全、性能和交付中，从而带来更高的业务适应性，并有效控制的成本。

主要的技术参数如下：

技术参数

指标和性能

备注

*端口

>=8个10/100/1000MRJ45以太网端口

>=2个千兆位光纤端口

CPU

Hyper-Threaded2.8GHz

*内存

配置：

1G，可升级至：

2G

存储介质

>=512MB闪存

ASIC

配备PacketVelocityASIC2专用4层加速芯片

最大并发会话数

>=4,000,000

交换背板

>=22Gb/s

*HTTP压缩率

>=500Mb/s

VLAN个数

>=4096

IP路由表项

无限制

四层处理能力

>=110,000新建会话数/秒

七层处理能力

>=50，000新建会话数/秒

支持的虚拟服务器数量VIP

>=40,000

RealServer

无限制

*SSL支持

内置SSL芯片加速，最大支持5000TPS

在线会话数：

200，000

*SSL支持

对称加密流量〉=1G

API接口

提供全面的网络编程端口，支持关键任务应用、第三方解决方案和网络流量管理技术高效地结合起来，企业可以实现劳动密集型功能的自动化，降低维护管理以及解决方案开发的相关成本；并扩展网络环境，以确保与其所支持的应用更协调地运作，提供SDK开发包。

高可用

支持双机热备：

专有Wacthdog芯片、failover线缆及时发现设备故障，可以实现内存同步，双机切换时间少于200ms

支持的网络协议

支持所有基于TCP/IP的协议：

SpanningTree（IEEE802.1d）

VLAN（IEEE802.1q）

Trunk（IEEE802.3ad）

10BASE-T/100BASE-TX（IEEE802.3,802.3u）

RMON（RFC1757）

SNMP（1213MIB-II,1643Ethernet,1493Bridge）

1000BASE-SX（IEEE802.3z）

IP

RIPv1/v2

OSPF

BGP

TFTP（RFC783）

BootP（RFC1542）

BootP（RFC951）

Telnet（RFC854）

VLAN与VLANTAG

支持802.1q标准封装协议，

链路聚合故障切换

支持工业标准802.3ad链路聚合，支持MSTP

光纤千兆端口

支持全双工MiniGigabitEthernetSCfiberconnectors

10/100/1000M端口

10/100/1000fullorhalf-duplex（auto-negotiation）withRJ-45connectionsforUTPports

IPVersion

支持ipv4和ipv6，

防止Dos攻击

防止Dos攻击,SYNC攻击以及Slasmmer蠕虫入侵

安全的管理

可以通过HTTPS、SSH进行安全的远程管理，本地可以通过CONSOLE终端进行管理

RS-232C控制口

DB-9serialconnection,femaleDCEinterfaceforout-of-bandmanagement

尺寸

17.5”宽x25.0”（OAL）/23.5”

（安装把手后面）x1.75”（1U）

重量

22英镑（每单位，不包括发运包装）

环境

操作环境：

温度：

41°至104°F（5°至40°C）

湿度：

40°C时为10%至90%，TelcordiaGR-63-CORE5.1.1和5.1.2标准

电源

300W1U

认证标准

安全标准：

UL60950（UL1950-3）CSA-C22.2标准第60950-00号（双边国家标准UL60950）CB测试认证标准IEC950EN60950

电磁辐射认证：

EN550221998ClassA

EN550241998ClassA

FCCPart15BClassA

最大功耗

300W

5.2F5BigIPlinkcontroller简介

F5的BIG-IPLinkController消除了部署多ISP链路网络的障碍，为数据中心提供了可靠、可扩充的站点连接。

它密切监视线路可用性和性能，智能管理流入/流出站点的IP流量－－提供了独立于连接类型或提供商的容错互联网接入。

BIG-IPLinkController建立在F5屡获殊荣的流量管理产品基础上，为数据中心的入站和出站流量提供了全面的智能流量交换（参见下图）。

1）出站连接

为了向企业用户和其他与互联网连接的资源提供高可用性，BIG-IPLinkController使用SNAT（安全网络地址转换）将流量动态导向最佳链路。

SNAT提供了一个安全机制，可将不能路由的内部地址转换为可路由的地址，并将流量导向合适的上游网关路由器。

利用BIG-IP的智能流量管理功能，流量可以通过与WAN或互联网的最佳连接往返发送。

2）入站连接

为了向连接互联网的Web服务和应用提供高可用性，BIG-IPLinkController可以通过智能DNS动态选择最佳链路，将外部用户导向驻留在站点中的资源。

BIG-IPLinkController监视每个连接的状态，将外部互联网和外联网用户导向最佳可用链路。

3）投资回报率（ROI）－－降低部署和管理成本

挑战：

目前，安装和维护一个多ISP链路网络面临着多个重大部署障碍，其中的核心问题就是BGP。

BGP引发多个严重的部署问题，并只为希望部署冗余链路的用户提供了有限的控制权。

客户只能选择一个昂贵而不完善的解决方案。

当出现性能或技术问题时，客户只能等待两个相互竞争的ISP提供商去解决问题。

解决方案：

灵活、透明的交换－－“链路负载平衡”，BIG-IPLinkController为企业提供了一个简单、可经济高效部署的完美解决方案。

与BGP相比，它提供了更卓越的功能，同时无需ISP之间的协作。

所有流量管理对于用户和ISP都是透明的，从而使解决方案能够轻松部署到任何网络中。

4