F5链路负载均衡解决方案
F5 Link Controller多链路负载均衡
解决方案
目录
1. 问题的提出................................... 错误!未定义书签。
链路单点故障............................... 错误!未定义书签。
Internet用户访问快慢差异................... 错误!未定义书签。
关键应用的带宽保证......................... 错误!未定义书签。
2. F5提供的最佳解决方案......................... 错误!未定义书签。
设计结构图:............................... 错误!未定义书签。
实现原理................................... 错误!未定义书签。
出站访问............................. 错误!未定义书签。
入站访问............................. 错误!未定义书签。
系统切换时间............................ 错误!未定义书签。
DNS迁移................................. 错误!未定义书签。
3. 解决方案功能介绍............................. 错误!未定义书签。
高可用性................................... 错误!未定义书签。
全面的链路监控能力...................... 错误!未定义书签。
集合多个监视器.......................... 错误!未定义书签。
最大带宽和投资回报......................... 错误!未定义书签。
可节省 WAN 链路成本的压缩模块(需购买模块)错误!未定义书签。
带宽可扩展性............................ 错误!未定义书签。
强大的流量分配负载均衡算法.............. 错误!未定义书签。
链路带宽控制............................ 错误!未定义书签。
链路成本负载平衡........................ 错误!未定义书签。
高级 WAN 链路管理.......................... 错误!未定义书签。
最佳性能链路............................ 错误!未定义书签。
针对压缩技术的目标流量控制.............. 错误!未定义书签。
优化的 TCP 性能......................... 错误!未定义书签。
可编程链路路由――iRule................. 错误!未定义书签。
流量优先级安排:服务质量 (QoS) 和配置服务类型 (ToS)错误!
未定义书签。
配置和管理................................. 错误!未定义书签。
消除 BGP 多归属部署障碍................. 错误!未定义书签。
BIG/IP的业界最快双机冗余切换............ 错误!未定义书签。
IPv6 网关(需购买模块)................. 错误!未定义书签。
统计与报告.............................. 错误!未定义书签。
强化的安全性能............................. 错误!未定义书签。
智能 SNAT ............................... 错误!未定义书签。
网络安全................................ 错误!未定义书签。
简单、安全的管理........................ 错误!未定义书签。
集成流量管理可扩展性....................... 错误!未定义书签。
扩展的各类安全设备负载均衡.............. 错误!未定义书签。
扩展的SSL加速适用于电子商务............. 错误!未定义书签。
4. 相关产品介绍................................. 错误!未定义书签。
5. 成功案例..................................... 错误!未定义书签。
1.问题的提出
通常用户系统结构设计图如下:
这样的结构存在以下问题
1.1链路单点故障
在系统原有系统结构中,采用单条链路接入,一个或多个DNS服务器,这些服务器对于同一个域名均解析为同一个地址。
在该种网络结构之中,无论主机系统、网络系统的规划有多么完美, 完全的排除了应用瓶颈和单点故障, 都还存在一个非常明显的单点故障, 就是国际网络接入部分的方案不够完整, 一旦国际网络接入部分出现中断就直接意味着所有应用的中断。
1.2Internet用户访问快慢差异
随着国内最大的Internet接入提供商Chinanet被拆分为北方China Netcom 和南方China Telecom之后,两方资源的互访受到了很大程度的影响。其出现的根本原因为南北网络的互通互联接点拥塞,造成用户丢包、延迟较大,从而导致访问缓慢,甚至对于一些应用根本无法访问。
以下是一张在真实环境下的实测数据表:
表中可以看出,对于同一个站点,一个用户分别从两条线路进行访问,得出的访问速度差异是非常大的。最大的差值在广东电信分别访问站点的两条线路,其速度差异接近20倍。
1.3关键应用的带宽保证
由于TCP通讯协议的大突发量,在网络上的各种应用互相抢占广域网资源,个别用户的应用可以轻易地占用大量资源,网络经常有阻塞发生。这就威胁到各种关键应用的运行,造成直接经济损失或影响企业工作的正常进行。如企业内部人员对网络资源的使用要求很不相同,视频流、HTTP、FTP下载、MP3下载、ICQ 聊天等的访问将很大程度的影响人们对有用的网络资源的访问。
由于TCP通讯协议的大突发量,通讯管道可以被少数量的通讯流严重堵塞
而使实际使用效率降低。如下图所示,蓝色部分资源被浪费:
如果没有带宽管理设备,企业网络的管理人员将不能够确定某一时间自己网络的广域网出口处是否有足够的保证关键应用的带宽,也不能够确定某一时间自己网络的广域网出口处都有什么样的应用存在。因此,网络需要有效、温和的手段以控制各种应用对广域网资源的占用,但同时不希望引起这些应用的中断。
目前很多企业只是通过循环采购和不断加大广域网带宽资源来对付以上问题。这种办法给用户的预算带来沉重负担,而且阻塞问题不一定就能得到解决,
因为网络的阻塞是由于TCP的瞬时突发引起,网络的带宽很容易就让几台不受控制的机器所吞噬。企业为加大广域网带宽所投入的资金得不到很好回报。
同时企业各级人员和应用对网络的需求是不同的,对于那些有特殊要求的人员或应用需要提供分等级的服务,供应额外的资源以满足各种需求。
由此可见,有效解决链路单点故障及为南北不同用户提供相同服务质量,以及保证各级关键应用的带宽使用的需求与日俱增。
2.F5提供的最佳解决方案
2.1设计结构图:
在多ISP接入时,各个ISP接入的线路通过防火墙连接到F5 Link Controller上, F5 Link Controller工作在3层模式下,可划分为多个VLAN,分别连接各个ISP线路和内网核心交换机。核心交换机的默认路由指向F5 Link Controller; F5 Link Controller可设置多个缺省网关,指向各个ISP的对端ip地址,来确保多链路之间的高可用性和各ISP用户的就近性访问。
2.2实现原理
在企业使用了多条链路后,F5 Link Controller主要负责出入站连接的高可用性和智能链路选择:
2.2.1出站访问
对于内部办公用户由内向外的出站访问,F5 link controller可检测到整个链路中出现的错误,从而能够提供可靠的端到端 WAN 连接。它可以监视每个连接的运行状态和可用性,实时检测链路或 ISP 的损耗情况。一旦某条链路出现故障,流量将被动态地传递给其它可用链路,从而确保内部用户对外的访问继续保持连接。
F5 link controller可设置多个缺省网关ip地址,构成default gateway pool。然后根据所设定的负载均衡算法来为每个出站连接智能的选择某个缺省网关,从而实现出站流量的链路负载均衡。F5 link controller包括基于静态IP 地址段或基于响应时间和线路质量计算等多种负载均衡算法,可探测哪条链路可以为用户提供最佳服务,然后将该用户引导至此链路,确保他们能得到最快服务及最高质量的连接。
完整的数据连接包括client向server发起的请求数据和server向client 返回的响应数据。在出站的请求数据根据lc的负载均衡算法选择了某条链路后,为了保证远端被访问的服务器的响应数据也能够从该链路返回,F5 LinkController使用了SNAT Automap技术。此技术保证了请求数据在选择了某个ISP链路后离开LC时,会被NAT成该ISP的ip地址,对外发送出去,这样远端被访问的服务器自然就会把响应数据从该ISP线路发送回来,实现了出站连接进出数据包都使用最优链路。利用LC的智能流量管理功能,可替代防火墙的NAT 功能,并保证流量可以通过与互联网的最佳连接往返发送。
2.2.2入站访问
对于外部用户对企业内部应用的入站访问,F5 LinkController可以通过智能DNS解析功能,动态选择最佳链路,将外部用户导向到内部站点中的资源。同时LC会随时监测每条链路的状况,当发现任何一条ISP链路故障时,都不会再把该ISP的ip地址解析给用户,从而保证用户可以24*7的访问到企业内部应用并且提高各地区用户的访问速度。
F5 Link Controller 中的DNS功能模块将分别绑定两个ISP 服务商的公网ip地址,解析来自互联网用户的地址解析请求。后台服务器则由BIG IP Link Controller做成集群并虚拟化成针对ISP A的虚拟服务器Virtual Server 1 和ISP B的虚拟服务器Virtual Server 2 ,这样对于每个用户到来的请求, BIG IP Link Controller都会分别检测后台服务器的状态并选择最佳的链路提供服务,达到用户的就近性访问及服务器的负载均衡。同时LC还具备lasthop技术,保证了服务器的响应数据会从请求数据的进入链路返回。 Link Controller 在回应客户的DNS解析请求时, 可以采用15种动态或者静态的负载均衡算法,从而
达到入站流量的多链路动态负载均衡的效果。
2.2.3系统切换时间
在采用DNS实现链路切换时,系统的切换时间主要取决于每个域名的TTL
时间设置。在LinkControl系统里,每个域名如均可设置对应的TTL生存时间。
在用户的LocalDNS得到域名解析纪录后,将在本地在TTL设定时间内将该域名
解析对应纪录进行Cache,在Cache期间所有到该LocalDNS上进行域名解析的
用户均将获得该纪录。在TTL时间timeout之后,如果有用户到LocalDNS上请
求解析,则此LocalDNS将重新发起一次请求到LinkController上获得相应纪录。
因此,当单条线路出现故障时,LinkController将在系统定义的检查间隔
(该时间可自行定义)内检查到线路的故障,并只解析正常的线路侧地址。但此
时在LocalDNS上可能还有未过时的Cache纪录。在TTL时间timeout之后,该LocalDNS重新发起请求的时候就将从LinkController上获得正确的解析,从而
引导用户通过正常的线路进行访问。系统检测间隔加上TTL时间之和则为系统切
换的最长时间。通常,系统检测间隔设置为60秒,而TTL时间设置为300秒,
所以系统切换的最长时间为6分钟。
2.2.4DNS迁移
在使用LinkController后,需在上一级DNS服务器中添加一些记录来保证
用户的dns解析请求会最终被发送到LC上,具体内容为
IN CNAME IN NS IN NS IN A (LC ISP A_VLAN的端口ip地址)
IN A (LC ISP B_VLAN的端口ip地址)
3.解决方案功能介绍
3.1高可用性
Link Controller可检测到整个链路中出现的错误,从而能够提供可靠的端
到端 WAN 连接。它可以监视每个连接的运行状态和可用性,实时检测链路或 ISP
的损耗情况。一旦出现故障,流量将被动态地传递给其它可用链路,从而确保用
户及外部客户继续保持连接。
3.1.1 全面的链路监控能力
如何有效地确定链路,服务器、应用、内容的状态,是提高系统可靠性的关键。LC 利用其独到的、高效的“健康检测”手段,识别链路,服务器、应用、内容的状态。它们包括:
服务器逻辑连接状态检测ICMP 应用类型状态检测TCP/UDP
扩展内容查证(ECV: Extended Content Verification)--ECV 是一种非常复杂的服务检查,主要用于确认应用程序能否对请求返回对应的数据。如果一个应用对该服务检查作出响应并返回对应的数据,则BIGIP 控制器将该服务器标识为工作良好。如果服务器不能返回相应的数据,则将该服务器标识为宕机。宕机一旦修复,BIGIP 就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。该功能使BIGIP 可以将保护延伸到后端应用如Web 内容及数据库。BIGIP 的ECV 功能允许您向Web 服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询,然后检查返回的响应。这将有助于确认您为客户提供的内容正是其所需要的。
扩展应用查证(EAV: Extended Application Verification)EAV 是另一种服务检查,用于确认运行在某个服务器上的应用能否对客户请求作出响应。为完成这种检查,BIGIP 控制器使用一个被称作外部服务检查者的客户程序,该程序为BIGIP 提供完全客户化的服务检查功能,但它位于BIGIP 控制器的外部。例如,该外部服务检查者可以查证一个从后台数据库中取出数据的应用能否正常工作。EAV 是BIGIP 提供的非常独特的功能,它提供管理者将BIGIP 客户化后访问各种各样应用的能力,该功能使BIGIP 在提供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要的反馈。该功能对于提高系统可靠性至关重要,它用于从客户的角度测试您的站点。例如,您可以模拟客户完成交易所需的所有步骤-连接到前置服务器或中间件服务器、从目录中选择项目以及验证交易使用的信用卡。
多种服务器状态监测手段 ?服务器(Node)-Ping(ICMP) ?服务(Port)-Connect ?扩展的应用验证(EAV)
?扩展的内容验证(ECV)?频度,响应,
一旦BIGIP掌握了该“可用性”信息,即可利用负载平衡使资源达到最高的可用性。BIGIP已经为测试多种服务的健康情况和状态,预定义了扩展应用验证(EAV),如:FTP、NNTP、SMTP、POP3和MSSQL等,用户还可依据实际应用,自行编辑EAV脚本。
Transparent检测方式。-- Transparent检测方式保证了LC的健康检查可以通过被检察对象而不只是到达被检察对象。这种方式在链路负载均衡中极为重要,它保证了整条链路的可用性而不只是对端路由器的可用性。
3.1.2集合多个监视器
多个监视器共同工作,能够迅速准确地确定链路的状态及可用性。例如用户可以设置透过某ISP的路由器同时去检查sina,工行等各类企业的多个web网站。只有当所有这些网站都无法检测通过时,LC才会认为该链路已经DOWN掉,然后Link Controller可以重新为流量选择路径,传递到其它可用链路,从而继续保持客户连接,避免出现停机影响。
3.2最大带宽和投资回报
3.2.1可节省 WAN 链路成本的压缩模块(需购买模块)
BIG-IP Link Controller的可选压缩模块使您可以智能压缩http流量,将Http的响应数据以标准的压缩算法Deflate或Gzip方式进行压缩,一般的情况可以减少40%-80%的数据流量,降低数据流对WAN带宽的要求以节省 ISP 成本,同时解决带宽瓶颈以加快应用交付速度。标准浏览器都可提供支持(IE +,Netscape +)解压缩功能。通过对面向不同连接类型的链路带宽实行精细控制,将可以有效提升客户体验,并能够实现更高效的 WAN 链路管理和改进的生产效率。您可以基于文档类型、流量类型和其它网络条件(如往返时间)配置灵活且可调整的压缩引擎。
3.2.2带宽可扩展性
Link Controller支持port channel技术,因此不论您使用何种链路类型或
哪一家服务提供商的服务,BIG-IP Link Controller都能够支持将小型经济型线路进行高效的整合,以提供成本更低的带宽冗余,同时将花在安装光纤或闲置备用线路上的费用降至最低。
3.2.3强大的流量分配负载均衡算法
BIG-IP Link Controller提供了业内最先进的链路流量分配能力,能够满足最繁忙站点的需求:
轮循- 往返时间
全局可用性- 中继
静态持续性- 数据包完成率
拓扑- 用户定义的服务质量 (QoS)
虚拟服务器容量- 动态比率
最少连接- 随机
包速率- 比率
- 传输速率
3.2.4链路带宽控制
BIG-IP Link Controller可根据所有网络2到7层的方法,对网络上的应用流量进行分类控制。随着与网络流量有关的复杂性不断增加,因此应运而生的高级分类技术变得非常重要。而简单的 IP 地址或静态端口方案便相形见绌了。LC 可检测动态或变动式端口分配的变化,区别使用同一端口的应用,并采用第七层应用标识来识别不同应用,从而对不同应用进行动态控制。可允许您根据实时的流量与吞吐率来确定和控制流量在链路上的分配方式。这将可以提高性能和增加包含线路冗余在内的可用带宽,同时消除链路饱和的风险。当某条链路接近其容量极限时,流量将被转至相对宽松的链路上去,从而提高站点的整体性能。
3.2.5链路成本负载平衡
BIG-IP Link Controller能够支持您为通往数据中心的所有流量选择最低成本连接:
将流量导入花费最低的链路,从而将带宽投资降至最低
最大限度地提高不同连接的带宽,包括可变成本线路,以消除带宽瓶颈,
同时最大限度地减少低效带宽利用情况和相关成本。
支持 ISP 计费模式,包括一次性付费、零散计费和突发性计费
支持单向或双向计费
3.3高级 WAN 链路管理
3.3.1最佳性能链路
BIG-IP Link Controller通过使用往返时间和线路质量计算,可测试哪条链路可以为用户提供最佳服务,然后将该用户引导至此链路,确保他们能得到最快服务及最高质量的连接。另外LC还可以根据用户端的静态ip地址来为用户选择对应的ISP线路,从而实现最安全和最稳定的链路选择。
3.3.2针对压缩技术的目标流量控制
如果不在具体用户类型(宽带用户、拨号用户等)的基础上控制流量压缩工作,将会对应用性能及客户体验产生负面影响。通过使用使用往返时间及线路质量计算,BIG-IP Link Controller能够动态计算出用户延迟和带宽吞吐率,为能够从中受益最大的用户提供更多的压缩资源。
3.3.3优化的 TCP 性能
TCP 协议的低效会产生不必要的干扰,进而对链路的带宽利用产生不利影响。BIG-IP Link Controller利用 TCP Express 来克服 TCP 协议的低效情况,
同时提供了以下功能:
WAN 链路的有效带宽利用
以较低的带宽费用覆盖长距离的通道
为关键任务应用安排可用带宽优先级
通过 WAN 为拨号和宽带用户提高端对端性能
在部署全新应用时更为灵活
无需部署多台设备,降低了总拥有成本
3.3.4可编程链路路由――iRule
BIG-IP Link Controller使您能够根据诸如源 IP 地址、目标 IP 地址和端口等 TCP/IP 参数,在多条 WAN 链路上智能路由流量。借助 iRule,您可在根据应用类型、服务质量和客户类型制定策略,以在最佳链路上分配流量,进而提高应用性能和提升客户体验。
3.3.5流量优先级安排:服务质量 (QoS) 和配置服务类型 (ToS)
BIG-IP Link Controller支持各种流量优先级安排特性。企业可根据 QoS 和ToS 对其关键流量或应用做出定义,进而对上游路由器进行特殊处理。这就确保了具有较高优先级的流量可以优先路由。
3.4配置和管理
3.4.1消除 BGP 多归属部署障碍
BIG-IP Link Controller可借助边界网关协议 (BGP) 消除部署障碍,并降低多归属网络的部署成本。借助 BIG-IP Link Controller,您无需再购买大型路由器、与 ISP 进行协作或安排专门的人员和 IP 地址来运行 BGP,同时仍能
够将流量导向至最佳路由路径。BIG-IP Link Controller可显著改善多归属环境的流量引导性能,并可提供:
面向企业内外用户的双向流量控制
自动、即时 ISP 响应及链路故障切换――无需等待部署路由变动
流量将被路由至最佳路径,从而优化了带宽利用率
基于线路容量的流量分配,带来了更高的带宽可扩展性
3.4.2BIG/IP的业界最快双机冗余切换
两台BIG/IP能工作在HA方式下,支持Active—Active、Active---Standby 工作方式。
当BIG/IP产生从当前活动的BIG/ip控制器到备用BIG/IP控制器的自动故障切换时,镜像连接为当前的连接提供无缝故障恢复保护。例如,如果客户正在使用FTP传输较大的文件过程中,BIG/IP发生从当前活动设备到备用设备的故障恢复,则FTP文件传输将继续进行,不会中断。
BIG/IP除了基于硬件连线故障恢复之外,BIG/ip还提供基于网络的故障恢复功能,从而允许不在同一位置的一对BIG/ip控制器实现冗余功能,进一步强化了管理。
BIG/IP基于硬连线的故障切换时间:200毫秒
BIG/IP基于网络的故障切换时间:3秒
3.4.3IPv6 网关(需购买模块)
如果企业欲移植至 IPv6,BIG-IP Link Controller是进行叉车式升级(forklift upgrade) 的经济高效的选择。通过采用 BIG-IP Link Controller 和可选的 IPv6 模块,您可在提供 IPv4 服务的同时访问 IPv6 客户,并在不增加网络负载的情况下实现两者之间的转换。
3.4.4统计与报告
实时报告和历史记录报告可评估站点流量模式、相对 ISP 性能、以及预计的带宽计费周期,从而使您能够轻松监控带宽资源,作出明智的业务决策。
3.5强化的安全性能
3.5.1智能 SNAT
借助 BIG-IP Link Controller的 iSNAT 功能,您可以保存端口资源和转换内部地址。通过使用 iSNAT,您可以基于诸如客户机地址和目标服务器端口编号等 TCP/IP 参数从众多转换地址中灵活选择,从而确保服务器地址不会暴露给外部环境。BIG-IP Link Controller能够通过屏蔽内部地址保留端口资源和保护站点资源,同时还可通过更高的流量类型透明度来改进运营效率。
3.5.2网络安全
BIG-IP Link Controller是缺省拒绝设备,它可增加额外的安全保护层,从而杜绝普通网络攻击。BIG-IP Link Controller能够:
在面向命令行的 Secure Shell 安全外壳 (SSH) 或面向浏览器管理的
SSL 的基础上,进行安全远程管理
消除闲置连接,防止拒绝服务攻击
执行源路由跟踪,防止 IP 欺骗
拒绝没有 ACK 缓冲的未确认 SYN,防止 SYN Floods(溢满攻击)攻击
防止诸如 WinNuke、Sub7 和 Back Orifice 等片段储存攻击
保护自己和服务器免受 ICMP 攻击
不运行 SMTPd、FTPd、Telnetd 或其它任何易受攻击的进程
检测任意受到非法访问尝试的服务和端口,包括:
频率:尝试次数
端口:被攻击的端口
IP 地址:攻击者的源 IP 地址
3.5.3简单、安全的管理
BIG-IP Link Controller提供了一个直观的用户界面,支持通过一个界面浏览全部链路资源,进而高效管理 WAN 链路。排序和搜索功能使您能够更快地访问链路对象,从而进行精确控制。唯一的链路对象名称可减少管理时间,并帮助您围绕业务策略构建基础设施。
3.6集成流量管理可扩展性
3.6.1扩展的各类安全设备负载均衡
您可以进一步扩展 BIG-IP Link Controller,以满足 DMZ 内广泛的流量管理需求。凭借强大的集成功能和可升级平台,BIG-IP Link Controller是市场上唯一一款能够提供可扩展解决方案的产品,其特性包括:
集成防火墙负载平衡,为冗余防火墙部署提供了更高的可用性
集成第 4 层和基础服务器负载平衡,能够在服务器阵列中高效地分配
流量
集成安全性,能够帮助站点有效抵御普通攻击
可升级至增强的第 4-7 层本地流量管理服务器套件(完整的 F5 BIG-IP
应用流量管理产品能力)和高级安全过滤功能。
考虑到绝大多数的防火墙只能达到线速的30%吞吐能力,故要使系统达到设计要求的线速处理能力,必须添加多台防火墙,以满足系统要求。然而,防火墙必须要求数据同进同出,否则数据将被拒绝。如何解决防火墙的负载均衡问题,是关系到整个系统的稳定性的关键问题。F5的防火墙负载均衡方案,能够为用户提供异构防火墙的负载均衡与故障自动排除能力。
方案的特色:
提供多台防火墙的负载均衡能力
提供在线维护防火墙的方法
解决了单台防火墙的处理能力瓶颈问题,提供了系统的扩展能力
同时对于实现了链路负载均衡和服务器负载均衡的企业来说,防火墙负载均衡相当于免费赠送,提高了用户投资回报率。
3.6.2扩展的SSL加速适用于电子商务
加密套接(SecureSocket)层交易的广泛采用和总体网络负载减缓了服务器
电子商务业务是基于互联网进行的。每笔进入数据中心的交易均进行了SSL 加密处理。由于每秒可执行多达2000个新的安全连接。BIG/IP内置的SSL加速芯片,可把CPU从繁重的加密与解密处理负荷中解放出来,从而将宝贵的资源归还给服务器群。它可与任何操作系统或互联网服务器互操作,而不会出现服务器
硬件、软件安装或兼容性问题。以后各个阶段通过从在这些阶段安装的高速缓存中检索静态且加过密的数据而受益。
4.相关产品介绍
BIG-IP?v9 系列
BIG-IP 链路控制器数据表
主要优势:
构建可靠的广域网 (WAN) 连接,提供企业级互联网连接能力
借助速率调整 (Rate Shaping) 使 WAN 链路带宽的使用更为高效
采用压缩技术减少 WAN 链路带宽的消耗
通过基于 TCP Express 的 TCP/IP 优化,显著改善 WAN 链路性能
确保将流量导向最佳链路和 ISP,为用户提供最高质量的服务和速度
通过整合经济型链路最大限度地提高公司在连接能力方面的投资回报。
通过边界网关协议 (BGP) 消除部署障碍,显著降低多归属网络的部署成本
BIG-IP 链路控制器
用于最大限度提升链路性能与可用性的下一代广域网链路流量管理
随着企业开始更多地使用互联网来交付其应用,只保持一条到公共网络的连
接链路存在着单点故障风险和脆弱的网络安全性。BIG-IP 链路控制器可以无缝地监控多条 WAN ISP 连接的可用性与性能,以智能地管理到某一站点的双向流量,从而提供出色的容错性和优化的互联网访问。
BIG-IP 链路控制器充分利用了 F5 的 TMOS 构架,可带来改进的链路性能与出色的可用性,同时还可提供灵活强大的状态检查功能、完善的安全性以及改进的易用性。
图解F5 链路负载均衡详细配置方法
WAN广域网链路负载均衡测试项目测试项目背景:
测试环境描述 1.1 需求描述 XX股份领导反应:通过互联网采用SSL VPN方式,访问青岛总部内网的OA系统速度慢。为了解决此问题,目前采用三种测试方案: 1、CITRIX; 2、新增加一台JUNIPER SA4000; 3、增加一台F5 BIGIP LC设备和两条分别为青岛联通、青岛移动的100M 链路结合进行WAN链路负载均衡测试。 第二种测试方案目前已做完,效果不理想,当前准备执行第三套测试方案。 F5 BIGIP LC以及如何在使用GTM一张静态的表单(https://www.360docs.net/doc/8419105128.html,er)来实现Topology计算。 由于LC只能解析A记录,无法解析SOA 、MX、PTR记录,所以LC只能做一台DNS的子域,无法取代客户的DNS服务器(https://www.360docs.net/doc/8419105128.html,)。 测试要求:解决电信和网通的南北互连互通问题,用户有二条链路,(一条网通线路,一条电信线路)。 测试规则如下: 1.访问CNC网站走CNC线路 2.访问CT网站走CT的线路 3.访问本地域名(https://www.360docs.net/doc/8419105128.html,)CNC用户从CNC线路过来访问 4.访问本地域名(https://www.360docs.net/doc/8419105128.html,)CT用户从CT线路访问
测试环境描述
2测试设备配置步骤 2.1 基础配置 2.1.1进入管理界面,激活license。 注意事项:激活LC设备的license后,一定要完全重新启动一次
(Full_box_reboot)。系统会自动生成相关的文件和启动相应的服务。
2.1.2Platform相关设置 由于是部分授权,所以LC将作为https://www.360docs.net/doc/8419105128.html,的子域的Nameserver Hostname:使用NS 的https://www.360docs.net/doc/8419105128.html, 提醒:上线测试Root和admin密码一定要修改,不可以使用默认的。
中小企业多链路负载均衡的解决方案
中小企业多链路负载均衡的解决方案前言: 目前很多企业为了提高信息发布的性能和可靠性,向多个电信运营商同时租用互联网线路,所以拥有两条或两条以上的互联网连接链路,这些用户希望分别通过多条链路使用网络平台和资源,但是这样的网络出口建设形式,暴露出以下问题,并亟待解决。 企业广域网链路络存在的问题: 1、链路的单点失效性: 采用单一Internet连接链路存在单点失效性,一旦该链路出现故障将造成整个企业网络的瘫痪。 2、链路性能的瓶颈: 单一Internet连接链路的带宽资源是有限的,无法满足企业内部全体用户对Internet 访问时所需的带宽,同时也无法满足大量的Internet上的用户对企业的访问。 3、网络安全防护能力弱: 目前Internet上的各种各样的网络攻击层出不穷,路由器自身对网络攻击的防护能力非常有限,DOS/DDOS 网络攻击会对广域网络由器产生严重的影响。 现有的多条链路,互相之间没有联系,这就导致了两条链路的完全独立,不能互为所用;两条或多条链路分别独立接入,链路的占用可能不平均,带宽不能得到充分的利用;任一条链路的中断都会影响正常的上网工作,缺乏容错机制。 解决方案: 面对以上问题,应该在企业网络出口处部署一台梭子鱼LinkBalancer 330链路负载均衡器,如下图所示:
LB330链路负载均衡器部署在出口路由器和防火墙之间,这样可以实现对多条internet 接入链路的负载均衡,可以同时实现outbound流量(内部办公用户访问internet)和inbound 流量(internet用户访问内部服务器)双向的负载均衡,并且可以根据智能算法选择最优路径,以达到最佳访问速度。如果当一个ISP1出现故障,负载均衡器可以及时地检测到,并将内外网流量转到ISP2上,网络仍然可以正常运行。LB330链路负载均衡器支持多达3条外接链路。此外,LB330链路负载均衡器具备抵御DoS/DDoS的功能,有效地保护内网的服务器免遭攻击。 方案特点: 1.增加企业出口带宽,并提供了广域网链路的冗余。 2.通过智能算法,可通过最优路径实现内外网访问。 3.可以抵御DoS和 DDoS攻击有效的保护内网服务器。 为什么选择梭子鱼: 1、聚合链路带宽
F5链路负载均衡解决方案实例
南京财经大学 F5 Link Controller多链路负载均衡 解决方案
目录 1. 项目背景分析 (4) 1.1 南京财经大学的现状 (4) 1.2 链路改造后的预期设想 (4) 2. F5提供的最佳解决方案 (6) 2.1 设计结构图: (6) 2.2 实现原理 (7) 2.2.1 出站访问 (7) 2.2.2 入站访问 (8) 2.2.3 系统切换时间 (10) 3. 解决方案功能介绍 (11) 3.1 高可用性 (11) 3.1.1 全面的链路监控能力 (11) 3.1.2 集合多个监视器 (12) 3.2 最大带宽和投资回报 (13) 3.2.1 可节省WAN 链路成本的压缩模块 (13) 3.2.2 带宽可扩展性 (13) 3.2.3 强大的流量分配负载均衡算法 (14) 3.2.4 链路带宽控制 (14) 3.2.5 链路成本负载平衡 (15) 3.3 高级WAN 链路管理 (15) 3.3.1 最佳性能链路 (15) 3.3.2 针对压缩技术的目标流量控制 (16) 3.3.3 优化的TCP 性能 (16) 3.3.4 可编程链路路由――iRule (16)
3.3.5 流量优先级安排:服务质量(QoS) 和配置服务类型(ToS) . 17 3.4 配置和管理 (17) 3.4.1 消除BGP 多归属部署障碍 (17) 3.4.2 BIG/IP的业界最快双机冗余切换 (17) 3.4.3 IPv6 网关 (18) 3.4.4 统计与报告 (18) 3.5 强化的安全性能 (18) 3.5.1 智能SNAT (18) 3.5.2 网络安全 (19) 3.5.3 简单、安全的管理 (19) 3.6 集成流量管理可扩展性 (20) 3.6.1 扩展的各类安全设备负载均衡 (20) 3.6.2 扩展的SSL加速适用于校园一卡通等 (21) 4. 相关产品介绍 (22)
链路负载均衡解决方案
Array Networks 链路负载均衡解决方案 -Array APV系列、AppVelocity应用于企业网络优化
目录 1. 多链路接入背景介绍 (3) 1.1 单链路接入单点故障 (3) 1.2 运营商之间互访 (4) 1.3 双链路解决方案的产生以及其衍生的问题 (4) 2. Array 提供最佳的解决方案 (6) 2.1 方案介绍 (6) 2.2 流出(Outbound)流量处理 (7) 2.3 其它重要功能设置: (8) 2.4 流入(Inbound)流量处理 (8) 3. 解决方案功能特点介绍 (10) 3.1. 全面的链路监控能力 (10) 3.2. 全路经健康检查 (10) 3.3. 策略路由 (11) 3.4. APV-LLB的链路负载均衡解决方案具有以下功能和优点: (11) 3.5. 链路优化功能与其他应用性能提高功能 (11) 3.5.1. Http 压缩功能 (11) 3.5.2. Cache 功能 (11) 3.5.3. Connection Multiplexing(连接复用)技术 (12) 3.5.4. Connection Pooling(连接池)技术 (12) 3.5.5. Array SpeedStack?技术 (12) 3.6. 安全防护功能 (13) 3.7. Cluster技术 (13) 3.8. Array APV 配置管理 (14) 3.9. 可扩展性 (14) 3.9.1. 服务器负载均衡与广域网负载均衡 (14) 3.9.2. 扩展的SSL加速适用于电子商务 (14) 4. 链路负载均衡对企业的价值 (14)
A10服务器负载均衡解决方案解读
*****单位 A10负载均衡解决方案A10 Networks Inc.
目录 1.项目概述 (1) 2.需求分析及讨论 (1) 2.1应用系统所面临的共性问题 (1) 2.2需求分析 (2) 3.A10公司负载均衡解决方案 (3) 3.1网络结构图 (3) 3.2A10负载均衡解决方案 (3) 3.2.1APP Server负载均衡的实现 (4) 3.2.2应用优化的实现 (4) 3.3解决方案说明 (5) 3.4方案的优点 (6) 4.A10 AX的优点及各型号指标总结 (7) 5.A10公司简介 (7) 6.AX介绍 (8) 6.1A10公司AX简介 (8) AX系列功能 (8)
1.项目概述 2.需求分析及讨论 2.1应用系统所面临的共性问题 随着用户量增大及业务的发展,一个应用系统往往会出现各种问题。瓶颈可能出现在服务器、存储、网络设备,带宽等的性能不足,而运行一旦出现故障给业务带来的影响范围是巨大的,服务器可能出现的问题表现为如下几点: ◆高可用问题 关健性应用要求7*24稳定运行不被中断,高可用性问题被放在首要位置。 ◆利用“不平衡”现象 数据的大集中使得服务器的访问压力日益增大,服务器性能往往会成为一个系统的瓶 颈,随着性能问题的产生,单点故障的发生也将比较频繁,为了解决这些问题,传统的方式多为采取更换更好的服务器并且采用双机备份系统提供服务的方式,这样必然存在 一半的资源浪费的情况,而在压力不断上升的情况下,这种动作讲不断的重复,不但服 务器的利用率不平衡,而且持续引起投资的浪费。 ◆“峰值”问题 服务器的处理多存在“波峰”和“波谷”的变化。而且“波峰”时,业务量大小的变化又不规律,这就使服务器不得不面对“峰值堵塞”问题。原有解决方法为增加服务器或主机数量,提高处理能力。但仍存在性能不平衡问题,且这样做,投资成本大。 ◆多米诺”现象 单台服务器的设置,不可避免会出现“单点故障”,需要进行服务器“容错”。为实现容错,往往在主服务器旁安置一台或多台备份服务器。但这样做,平时只有一台服务器工作,其它服务器处于空闲状态,无法完全利用所有服务器的处理资源,当出现“峰值堵塞”时,“多米诺”效应往往会发生,即所有服务器连续被“堵”至“死”。最终的结果将导致系统的瘫痪。 ◆“扩展”不便
多链路负载均衡标准结构及阐述
多链路负载均衡标准结构及阐述 F5 Networks Inc. Owen Yu 2004-12-1
目录 一、F5多链路负载均衡标准结构 (3) 1.1 标准结构拓扑图 (3) 1.2 技术阐述 (3) 二、域名解析方式 (10) 2.1 Root DNS Server直接与F5多链路负载均衡器配合 (10) 2.1.1 CNAME方式 (10) 2.1.2 NS委派方式 (11) 2.2 Root DNS Server通过第三方DNS Server与F5多链路负载 均衡器配合 (12) 2.2.1 CNAME方式 (12) 2.2.2 NS方式 (13) 三、F5多链路负载均衡其它结构及阐述 (14) 3.1冗余结构 (14) 3.2与防火墙配合的结构 (15) 3.2.1后置防火墙 (15) 3.2.2前置防火墙 (16)
一、F5多链路负载均衡标准结构 1.1 标准结构拓扑图 下图是F5多出口链路负载均衡解决方案的标准结构(单台设备)。 1.2 技术阐述 网络环境描述 上图中F5 多链路负载均衡设备通过ISP1和ISP2接入Internet。每个ISP 都分配给该网络一个IP地址网段,假设ISP1分配的地址段为100.1.1.0/24,ISP2
分配的地址段为200.1.1.0/24(此处的200.1.1.0/24表示网络IP地址段为:200.1.1.0,子网掩码为24位,即255.255.255.0)。同样,Internet知道通过ISP1访问100.1.1.0/24,通过ISP2访问200.1.1.0/24。网络中的主机和服务器都属于私有网段192.168.1.0/24。 F5多链路负载均衡设备解决方案就是在内部交换机和连接ISP的路由器之间,跨接一台多链路负载均衡设备应用交换机,所有的地址翻译和Internet链路优化全部由多链路负载均衡设备来完成。 Outbound技术实现 ?Default Gateway Pool For Example: pool default_gateway_pool { lb_method dynamic_ratio member 100.1.1.1:0 member 200.1.1.1:0 } Default Gateway Pool中的Nodes为若干个下一跳路由器(Next Hop Router)的地址,用作Outbound负载均衡,可以通过三种方式生成。 1、 Setup Utility中配置多个Gateway IP,用空格分开; 2、在Configuration Utility中Link Configuration下增加多个links; 3、在Pool中定义一个Default Gateway Pool。 For Example:default_gateway use pool default_gateway_pool 将Default Gateway Pool中的Nodes配置为F5多链路负载均衡器的Default Gateway,可以通过netstat –rn命令查看路由表。 Destination Gateway Flags MTU If default 100.1.1.1 UGS 1500 vlan2 default 200.1.1.1 UGS 1500 vlan3 ? Monitor
F5多出口链路负载均衡解决方案(LC)1127
F5多出口链路负载均衡解决方案(L C)1127 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
F5 Networks 多出口链路负载均衡解决方案建议
目录 一.多出口链路负载均衡需求分析 ................................................................ 错误!未定义书签。 二.多出口链路负载均衡解决方案概述......................................................... 错误!未定义书签。 多出口链路负载均衡网络拓朴设计 ................................................................. 错误!未定义书签。方案描述 ............................................................................................................. 错误!未定义书签。方案优点 ............................................................................................................. 错误!未定义书签。 拓扑结构方面.................................................................................................. 错误!未定义书签。 安全机制方面................................................................................................... 错误!未定义书签。 三.技术实现 ................................................................................................. 错误!未定义书签。 F5多出口链路负载均衡(产品选型:B IGIP LC) ............................................ 错误!未定义书签。O UTBOUND流量负载均衡实现原理 .................................................................... 错误!未定义书签。 I NBOUND流量负载均衡实现原理........................................................................ 错误!未定义书签。 在链路负载均衡环境中的DNS设计和域名解析方式.................................... 错误!未定义书签。 Root DNS(注册DNS)直接与F5多链路负载均衡器配合......................... 错误!未定义书签。 Root DNS(注册DNS)通过第三方DNS Server与F5多链路负载均衡器配合(我们建议这种方式)........................................................................................................... 错误!未定义书签。F5设备双机冗余----毫秒级切换原理............................................................... 错误!未定义书签。S TATEFUL F AIL O VER 技术(与F5设备双机冗余有关) ........................................ 错误!未定义书签。四.产品介绍 ................................................................................................. 错误!未定义书签。 F5B IGIP ................................................................................................................ 错误!未定义书签。
F5多出口链路负载均衡解决方案
F5 Networks 多出口链路负载均衡解决方案建议
目录 一.多出口链路负载均衡需求分析 (3) 二.多出口链路负载均衡解决方案概述 (4) 2.1多出口链路负载均衡网络拓朴设计 (4) 2.2方案描述 (5) 2.3方案优点 (7) 2.3.1 拓扑结构方面 (7) 2.3.2安全机制方面 (7) 三.技术实现 (8) 3.1F5多出口链路负载均衡(产品选型:B IGIP LC) (8) 3.2O UTBOUND流量负载均衡实现原理 (10) 3.3I NBOUND流量负载均衡实现原理 (11) 3.4在链路负载均衡环境中的DNS设计和域名解析方式 (13) 3.4.1 Root DNS(注册DNS)直接与F5多链路负载均衡器配合 (13) 3.4.2 Root DNS(注册DNS)通过第三方DNS Server与F5多链路负载均衡器配合(我们 建议这种方式) (14) 3.5F5设备双机冗余----毫秒级切换原理 (16) 3.6S TATEFUL F AIL O VER 技术(与F5设备双机冗余有关) (17) 四.产品介绍 (18) 4.1F5B IGIP (18)
一.多出口链路负载均衡需求分析 为了保证XXXX出口链路的高可用性和访问效率,计划拥有两条线路:一条中国网通链路,一条中国电信链路。F5公司的多链路负载均衡设备(Bigip)能够提供独具特色的解决方案,不但能够充分利用这两条链路(双向流量按照预设的算法分担到不同的链路上,一旦一条链路不通的情况下,能够无缝切换到另外一条可用链路上);而且可以根据对不同链路的侦测结果,将最快速的链路提供给外部用户进行响应,从而解决目前广泛存在的多个ISP之间的互联互通问题。具体解决方案特色如下: ?提供网至internet流量的负载均衡(Outbound) ?实现从Internet对服务器访问流量的负载均衡(Inbound) ?支持自动检测和屏蔽故障Internet链路 ?支持多种静态和动态算法智能均衡多个ISP链路的流量 ?支持多出口链路动态冗余,流量比率和切换 ?支持多种DNS解析和规划方式,适合各种用户网络环境 ?支持Layer2-7交换和流量管理控制功能 ?完全支持各种应用服务器负载均衡,防火墙负载均衡 ?多层安全增强防护,抵挡黑客攻击 ?业界领先的双机冗余切换机制,能够做到毫秒级切换 ?详细的链路监控报表,提供给网络管理员直观详细的图形界面 ?对于用户完全透明 ?对所有应用无缝支持
RADWARE之链路负载均衡配置解析汇报汇报
RADWARE之链路负载均衡配置解析 网络描述: 网络出口共有3条公网线路接入,一台RADWARE直接连接三个出口ISP做链路负载均衡,来实现对内部服务器访问和内部对外访问流量的多链路负载均衡。 设计方案: 1、RADWARE LINKPROOF设备部署在防火墙外面,直接连接出口ISP 2、防火墙全部修改为私有IP地址,用RADWARE LINKPROOF负责将私有IP 地址转换成公网IP地址; 3、防火墙的DMZ区跑路由模式,保证DMZ区服务器的正常访问; 4、RADWARE LINKPROOF利用SmartNAT技术,分别在每链路上配置NAT 地址,保证内部服务器的联网。 网络拓扑:
实施过程(关键步骤): 1、配置公网接口地址 G-1 :218.28.63.163/255.255.255.240 联通 G-2 :211.98.192.12/255.255.255.128 铁通 G-3 :222.88.11.82/255.255.255.240 电信 G-4 :3.3.3.2/255.255.255.0 内联接口地址,连接防火墙2、配置默认路由
现网共有3条ISP链路,要将每条链路的网关进行添加,具体如下: 命令行配置 LP-Master# Lp route add 0.0.0.0 0.0.0.0 218.28.63.161 Lp route add 0.0.0.0 0.0.0.0 211.98.192.11 Lp route add 0.0.0.0 0.0.0.0 222.88.11.81 3、配置内网回指路由 net route table create 192.168.5.0 255.255.255.0 3.3.3.1 -i 14 net route table create 192.168.6.0 255.255.255.0 3.3.3.1 -i 14 net route table create 192.168.7.0 255.255.255.0 3.3.3.1 -i 14 net route table create 192.168.8.0 255.255.255.0 3.3.3.1 -i 14 net route table create 192.168.9.0 255.255.255.0 3.3.3.1 -i 14 4、配置地址转换 地址转换主要包括内部用户的联网和服务器被访问两部分,这两部分在负载均衡上面分别采用Dynamic NAT和Static PAT这两种NAT来实现,把内部的IP地址 和服务器的IP地址分别对应每条ISP都转换成相应的公网IP地址。 Dynamic NAT是多对一的映射,并且改变用户的源端口,而且是单向的,只能出,不能进。 LinkProof > Smart NAT > Dynamic NAT Table > Create
双链路网络安全解决方案
双链路网络安全解决方案 一、需求分析: 为业务提供所承诺的 的可靠服务是至关重要的。一个提供 接入和网站访问的服务商不仅需要保证链路和网站内所有的 服务器、应用服务器和数据库服务器的高可用性,还必须保证链路和站点本身的高可用性。 保证 接入的稳定性对于 服务商来说是非常重要的。现在的服务商采用一条 接入,也就是说使用一个 的链路。显然,一个 无法保证它提供的 链路的持续可用性,从而可能导致 访问和网站 接入的中断,而 接入的中断则意味着高额的损失。 一个企业可以采用多链路( )和集群 的解决方案来避免 接入中断所造成的损失。在这里所提及的 通常指同时使用不同 提供的多条 接入链路; 集群 是指在接入点利用同品牌通型号的两个或者多个防火墙形成互为备份 冗余的功能。由于多链路解决方案能够提供更好的可用性和性能,它正在被越来越多的 服务商和企业所采用。可用性的提高来自于多条链路的使用,而性能提高则是因为同时使用多条链路增加了带宽,而加入集群的同时更加保护网络不受因单点故障而导致网络中断的风险。 二、方案描述 多链路冗余起到在多个运营商之间故障的转移,但是防火墙作为内外网的接入点,当设备出现故障便会导致内外网之间的网络业务的全部中断 引起单点故障 影响业务正常运行。因此在网络接入点部署多台设备形成备份 冗余是非常必要的,其中一台设备发生故障时,数据便会切换到另外一台设备上继续传输 而且还可以做设备性能的叠加增强。下面是网络拓扑图:
三、功能实现 双链路功能 对于外向型连接 多重连接将以速度为目标对外向型互联网连接进行优化。多重连接使用来自于各个 的源 地址检测与服务器的连接情况。反馈速度最快的连接可以继续进行工作。因此,每个连接都必定是速度最快的连接,其结果是,综合数据吞吐率将远远超过一个服务性能不稳定的单个连接。经过累加,暂时性工作性能高峰将为整个系统的工作带来优势,还可以避免延迟现象的发生。 对于内向型连接 多重连接技术中将对内向型连接进行负载均衡,并以获得最高水平的可用性为目标而进行优化,因此,用户在访问您的站点时将不会出现延迟现象或服务中断。通过对服务器使用特殊 地址,多重连接技术将可以实现这一目标;此时,服务器上将被
F5链路负载均衡解决方案
F5 Link Controller多链路负载均衡 解决方案
目录 1. 问题的提出................................... 错误!未定义书签。 链路单点故障............................... 错误!未定义书签。 Internet用户访问快慢差异................... 错误!未定义书签。 关键应用的带宽保证......................... 错误!未定义书签。 2. F5提供的最佳解决方案......................... 错误!未定义书签。 设计结构图:............................... 错误!未定义书签。 实现原理................................... 错误!未定义书签。 出站访问............................. 错误!未定义书签。 入站访问............................. 错误!未定义书签。 系统切换时间............................ 错误!未定义书签。 DNS迁移................................. 错误!未定义书签。 3. 解决方案功能介绍............................. 错误!未定义书签。 高可用性................................... 错误!未定义书签。 全面的链路监控能力...................... 错误!未定义书签。 集合多个监视器.......................... 错误!未定义书签。 最大带宽和投资回报......................... 错误!未定义书签。 可节省 WAN 链路成本的压缩模块(需购买模块)错误!未定义书签。 带宽可扩展性............................ 错误!未定义书签。 强大的流量分配负载均衡算法.............. 错误!未定义书签。 链路带宽控制............................ 错误!未定义书签。 链路成本负载平衡........................ 错误!未定义书签。 高级 WAN 链路管理.......................... 错误!未定义书签。 最佳性能链路............................ 错误!未定义书签。
链路负载均衡方案模板
1. 方案建议 1.1 系统总体设计 在Internet入口,我们建议部署一台BIGIP LC 1500,直接连接多条ISP 链路,实现多链路的负载均衡。 在1500之后,建议部署防火墙,负责网络的安全过滤和防护工作。 网络结构图如下: 下面,我们就对系统中的每个部分进行详细分析。
1.2 Inbound/Outbound双向链路负载均衡 Inbound链路负载均衡 18种链路负载均衡算法又可以分成静态负载均衡算法和动态负载均衡算法两大类,算法的详细介绍如下: 静态负载均衡算法: 全局可用性(Global Availability):LC将所有提供某种特定应用的链路放在一个队列中,把用户访问请求的流量导向该队列中第一个可用的链路,当该链路到达连接限制或者出现故障部可用时,将流量导向下一个可用链路。当使用这种算法的时候,处在队列中第一个链路将接受到大部分的流量,队列中的最后一个链路接收到非常少的流量。 无(None):LC针对某一种应用可以定义三种负载均衡算法,优先采用第一种算法,当第一种算法失效时,启用第二种算法,第二种算法也失效时启用第三种算法。假定第二种算法使用None,当第一种算法失效时直接启用第三种算法。 随机(Random):随机返回给用户某一个链路的IP地址。 比率(Ratio):预先给每个链路定义一个权值,按照这个比率返回给用户某一个链路的IP地址。 返回给LDNS(Return to DNS):立即将连接请求返回给LDNS处理。 轮询(Round Robin):将提供某种应用的所有链路放在一个队列当中,按顺序依次返回给用户队列中下一个链路的IP地址。 静态会话保持(Static Persist):这种算法将维护一个LDNS到某一个链路的映射表,同一个LDNS的查询请求在预定的时间过期之前会返回同一个IP地址。 拓扑(Topology):可以地理位置、IP划分预先定义一些规则,按照这些规则返回给用户相应得IP地址。例如:预先定义所有南方省份IP地址范围,并规定所有南方省份的请求都访问上海的链路。当有符合条件的LDNS发起查询请求的时候,都会返回上海链路的IP地址。 丢弃请求数据包(Drop Packet):当使用此种负载均衡算法的时候,LC不做任何事,直接将数据包丢弃。 外部IP(Explicit IP):当使用此种负载均衡算法的时候,LC返回给LDNS一
A10-链路负载均衡(LLB)解决方案-YL
A10 链路负载均衡解决方案 1. 概述 由于国内各运营商之间的互联互通一直存在很大的问题,采用运营商自身单条互联网出口,在为用户提供IDC主机托管服务和大客户专线接入服务时,会遇到用户抱怨访问速度差的问题。同时,单条链路本身存在单点故障问题。因此,通过在多个数据中心分别拉不同运营商的线路或者同一数据中心或公司网络出口采用多条互联网链路并使用专门的负载均衡设备智能选择最佳链路成为提高服务水平和用户满意度的一种有效方式,我们把多数据中心负载均衡和多链路负载均衡统称为全局负载均衡或者广域网负载均衡。 2. 需求描述 对于全局和链路负载均衡,需要解决两种流量类型的负载均衡以及容灾问题: 入向流量(Inbound Traffic):从Internet上的客户端发起,到数据中心内部的应用服务的流量。如:Internet上用户访问企业Web网站。对于入向流量,需要根据当前网络延时、就近性等因素,来判断哪一条链路可以对外部用户提供最佳的访问服务。 出向流量(Outbound Traffic):从内部网络发起的,对Internet上应用资源的访问。如:内部局域网用户访问Internet上Web网站应用。对于出向流量,需要根据当前链路的就近行、负载情况、和应用服务的重要性等选择最佳的链路。 容灾:多数据中心除了可以提高服务质量之外,另外一个重要的目的就是容灾,当一个数据中心出现故障,将所有用户访问由灾备数据中心来处理。
3. A10 LLB负载均衡解决方案 3.1. 出向流量链路负载均衡(Outbound LLB) 相对于入向流量的链路负载均衡,出向流量的链路负载均衡则比较简单。当内部用户发起对外界的访问请求时,链路负载均衡控制器根据链路选择算法选择合适的链路,并对内部用户的IP地址进行NAT转换。出向负载均衡是对每个数据中心内部的机器来而言的,通过放置在每个数据中心出口位置的AX来实现。 Web Client
中小企业多链路负载均衡解决方案
中小企业多链路负载均衡解决方案 目前很多企业为了提高信息发布的性能和可靠性,向多个电信运营商同时租用互联网线路,所以拥有两条或两条以上的互联网连接链路,这些用户希望分别通过多条链路使用网络平台和资源,但是这样的网络出口建设形式,暴露出以下问题,并亟待解决。 企业广域网链路络存在的问题: 1、链路的单点失效性: 采用单一Internet连接链路存在单点失效性,一旦该链路出现故障将造成整个企业网络的瘫痪。 2、链路性能的瓶颈: 单一Internet连接链路的带宽资源是有限的,无法满足企业内部全体用户对Internet访问时所需的带宽,同时也无法满足大量的Internet上的用户对企业的访问。 3、网络安全防护能力弱: 目前Internet上的各种各样的网络攻击层出不穷,路由器自身对网络攻击的防护能力非常有限, DOS/DDOS网络攻击会对广域网络由器产生严重的影响。 现有的多条链路,互相之间没有联系,这就导致了两条链路的完全独立,不能互为所用;两条或多条链路分别独立接入,链路的占用可能不平均,带宽不能得到充分的利用;任一条链路的中断都会影响正常的上网工作,缺乏容错机制。 解决方案: 面对以上问题,应该在企业网络出口处部署一台梭子鱼LinkBalancer 330链路负载均衡器,如下图所示: 图1
LB330链路负载均衡器部署在出口路由器和防火墙之间,这样可以实现对多条internet接入链路的负载均衡,可以同时实现outbound流量(内部办公用户访问internet)和inbound流量(internet用户访问内部服务器)双向的负载均衡,并且可以根据智能算法选择最优路径,以达到最佳访问速度。如果当一个ISP1出现故障,负载均衡器可以及时地检测到,并将内外网流量转到ISP2上,网络仍然可以正常运行。LB330链路负载均衡器支持多达3条外接链路。此外,LB330链路负载均衡器具备抵御DoS/DDoS的功能,有效地保护内网的服务器免遭攻击。 方案特点: 1.增加企业出口带宽,并提供了广域网链路的冗余。 2.通过智能算法,可通过最优路径实现内外网访问。 3.可以抵御DoS和DDoS攻击有效的保护内网服务器。 为什么选择梭子鱼: 1、聚合链路带宽 梭子鱼链路均衡机能自动聚合多个接入的带宽,管理员可以选择性价比最好的一家或多家接入商的多个较低带宽的接入,以最优的投资获得最好的带宽保障。. 2、链路冗余 如果一条链路发生故障,梭子鱼链路均衡机能自动的将流量切换到别的正常的链路上,而不需要人工操作。在链路故障时,梭子鱼能自动周期性的进行检测,一旦检测到这条链路恢复正常,将再次启用此链路。正因为梭子鱼具备链路健康检测功能,因此能确保链路冗余。 3、带宽管理和QoS 梭子鱼链路均衡机提供了带宽管理功能,对于不同的应用可以设置不同的优先级,例如:Web浏览和邮件设置为高优先级保障其带宽而流媒体及一些点到点(p2p)的应用则可配置成低优先级。优先级设置的灵活性确保带宽低优先级的应用不会干扰正常的商务应用。 4、传统防火墙(作为一款边界设备,梭子鱼链路均衡机也具备防火墙的一些功能): a) 网络地址转换(NAT),该功能使得梭子鱼链路均衡机可以隔绝外网到内网的某种流量。 b)一对一的地址映射,一对一的地址映射允许梭子鱼将公网的IP直接分配给某个内网的设备上,一边外网能访问内部的应用,如SMTP应用。 c)端口转换,同一个外部地址可以根据端口转换到不同的内部服务器上;多个链路的同一个端口也可以转换到同一台内部设备上,这将方便外部到内部服务器的访问。 d) IP 访问列表,可帮助管理员允许或阻止某个inbound或outbound流量。 5、梭子鱼链路均衡机还提供下列网络服务需求: a)DHCPserver,梭子鱼链路均衡机根据DHCP协议自动分配IP地址,和传统DHCP服务器一样,梭子鱼上随时可以查看或管理的地址分配表。 b) DNScachingserver,梭子鱼链路均衡机可以配置成DNS查询服务器,在开启了DNS缓存功能后,内部网络通过梭子鱼可以进行解析,如果缓存中没有解析,梭子鱼将代理想ISP的DNS进行查询,并将结果发回给内部网络,这样,常用的DNS查询将在梭子鱼上完成。SSL卸载和加速:避免SSL加解密运算对服务器造成的额外压力,提高服务器的处理能力,保证HTTPS访问的高效、安全、可靠。
多链路部署完美解决方案
负载均衡建立在现有网络结构之上,扩展了网络设备和服务器的带宽、增加了吞吐量,同时提升了网络的数据处理能力、灵活性和可用性,具有低成本且有效透明的优点。负载均衡在应用模式上可分为服务器负载均衡和链路负载均衡(含全局负载均衡),继上期介绍服务器负载均衡之后,本文重点谈链路负载均衡。 1 多链路部署后引发的问题 许多企业都意识到单条互联网出口链路带来的问题:链路一旦中断,内部员工将无法访问互联网,分支机构VPN中断,网站邮箱均无法对外服务。因此许多企业会部署多条运营商链路来解决单出口的不可靠。在单链路时代,出口一般会部署路由器或防火墙,部署多链路后,将多链路直接连接到路由器或防火墙上是否可以? 这种组网情况,一般在路由器或防火墙上将内网用户outbound(注:outbound一般指的是内网访问互联网,inbound指的是互联网用户访问内网的业务系统,下同。)流量通过策略路由方式发送到指定链路,这是种静态的方式,如在高校网络出口,ISP1分配给教师用户使用,ISP2分配给学生使用,到晚上学生上网高峰期ISP2成为流量瓶颈时,ISP1却是空闲的。 出口的设备在outbound方向,要将内部访问外网报文送到健康可用的链路上,健康可用不仅仅是端口UP或下一条路由可达,还需要对指定的IP 地址做动态探测。 当部署多条链路后,对外提供的业务系统(如网站等)会对不同的ISP 发布不同的公网IP地址。当外网用户首次访问网站系统时,如何响应外部用户的DNS域名请求,也是路由器或防火墙遇到的新问题。 当外网用户访问内部的业务系统时,需保证响应报文从原路返回,否则可能会出现访问速度奇慢甚至无法访问。 以上这些是当前出口路由器或防火墙遇到的新问题,可通过出口链路负载均衡来解决上述问题。 2 链路负载均衡核心功能介绍 1) 出口链路健康探测 所谓健康检测,就是负载均衡设备定期对链路服务状态进行探测,收集相应信息,及时隔离工作异常的链路。健康检测的结果除标识链路能否工作外,还可以统计出链路的响应时间,作为选择链路的依据。负载均衡技术支持丰富的健康性检测方法,可以有效地探测和检查链路的运行状态。 ICMP方式:向链路上的节点发送ICMP Echo报文,若收到ICMP Reply,
链路负载均衡 方面的描述
1.1宽带接入安全技术措施 1.1.1多出口链路负载均衡 山石安全网关取代原NAT设备以后,单台的网关设备将同时连接多条链路,山石安全网关通过ECMP(等价路由)技术,将自动平衡多条链路的负载;或者通过加权路由技术,根据链路的质量,以及访问数据包的优先级,在多条链路上进行负载分担,从而实现更智能的路由选择。 实现多出口链路负载均衡措施后,能够有效解决单条链路故障而造成的部分用户无法上网问题,当单条链路出现故障,山石安全网关可实现自动切换,将原本通过该链路访问互联网的数据包,自动切换到其他可用的链路上,从而提升了宽带接入业务的持续性。 1.1.2端口复用提升NAT能力 山石安全网关支持的端口复用技术,将大大提升NAT的能力。 在P2P泛滥的今天,经常可以看到某个内网用户连接互联网的会话数高达上万条,而根据NAT 功能的原理,每个公网IP只能最多映射出64512个端口。按此推理,内网有6个会话数达到一万的用户就会占用1个公网IP的所有资源,导致其他用户无法正常上网。传统的解决方式是扩充更多的公网IP来解决问题,而现实中即使地址充裕的运营商和政府也经常出现NAT资源耗尽问题。山石网科专利技术“端口复用”通过优化NAT功能可使之前每个公网地址64512个端口映射扩充到882432,容量达到之前的十几倍。由此可充分满足用户在公网地址并不宽裕的情况下容纳更多用户不受限制的访问互联网。
1.1.3会话限制防范中毒电脑的大并发访问 山石安全网关能够针对单个IP地址配置并发会话限制数量,这样当某一台电脑因感染病毒而大量发送数据包时,网关对超过阀值的会话都将丢弃处理,从而防范中毒电脑发送大量的访问请求,而拥塞了NAT的资源,影响其他人员正常使用互联网资源。 1.1.4更灵活的策略路由保障关键应用使用优质链路 山石安全网关可根据源、目标地址配置策略路由,也可以在此基础上对应用配置策略路由,采用该技术措施,对于广电宽带接入业务,可以将重要客户的重要应用,路由到优质链路上转发,从而提升重要客户的满意度,保障重要应用的连续性。 1.1.5基于应用的路由实现P2P引流 对于P2P,由于其采取了动态端口协议技术,因此仅仅在网络层配置路由,是无法实现将此类应用引流到低质量链路上。 山石网科支持的深度应用识别,在传统通过协议和端口来分辨应用的基础上,通过应用层的数据特征,对应用进行了进一步的分析,从而能够有效识别出P2P、网游、IM、网上视频等应用,对于广电宽带运营商,通过该技术可以将P2P的相关业务数据包引流到低质量链路上,从而减少对高质量链路的占用。 采用该技术后,可以大大节约高质量链路带宽资源,从而减少广电宽带运营商的链路成本;另外节约出来的高质量链路带宽也有助于广电开发新的优质客户,增加广电宽带运营商的收入。
多链路负载均衡实现原理
多链路负载均衡实现原理 F5 Networks Inc. Owen Yu 2004-12-1
目录 一、F5多链路负载均衡产品 (3) 二、BIGIP/Linkcontroller/BIGIP Combo LC区别 (4) 三、多链路负载均衡实现原理 (8) 3.1 Outbound流量负载均衡实现原理 (9) 3.2 Inbound流量负载均衡实现原理 (10) 四、F5技术特色 (12)
一、F5多链路负载均衡产品 F5公司的应用交换机BIGIP(1000、2400、5100),链路控制器Linkcontroller (1000、2400),以及BIGIP(1000、2400、5100)Combo LC Module(就是BIGIP应用交换机上加载Linkcontroller软件功能模块),这三类产品可以实现单向或双向多链路负载均衡的功能,匹配不同的客户需求,应该根据具体情况确定适用的产品。需要指出的是,这三类产品都运行目前的PTF4.5.10或4.6.X软件版本。 在F5新的V9产品体系架构中,目前不支持双向多链路负载均衡功能。 F5多链路负载均衡产品体系架构:
二、BIGIP/Linkcontroller/BIGIP Combo LC区别 F5公司提供三种多链路负载均衡解决方案的产品: ●BIGIP ●Linkcontroller ●BIGIP Combo LC Module 采用F5公司的BIGIP ,可以实现由内向外的单向多链路负载均衡;Linkcontroller 或者BIGIP Combo LC module都可以实现双向的链路负载均衡,其中后者能够实现最为复杂的链路负载均衡需求,并包含BIGIP的所有功能,例如:SSL Proxy,iRules,IP Filter等等。 ?BIGIP 特色: 提供Outbound流量的多链路负载均衡(单向) 对于Inbound流量,能够保证从哪条链路进来,从哪条链路返回 支持自动检测和屏蔽故障多出口链路 支持多种静态和动态算法智能均衡多个ISP链路的Outbound流量 支持多链路动态冗余,流量比率和智能切换 支持Layer2-7交换和流量管理控制功能 灵活的iRules,可以保证客户对链路选择的复杂要求 完全支持各种应用服务器负载均衡,防火墙负载均衡 多层安全增强防护,抵挡黑客攻击 免费附送100TPS的SSL加速功能 业界领先的双机冗余切换机制 对于用户完全透明 对所有应用无缝支持 业界优异的硬件平台和性能 稳定,安全的设备运行记录