负载均衡技术白皮书

第一章应用交付产品的概念及核心价值 (4)

1.1ADN应用交付网络的概念 (4)

1.2应用交付产品的核心价值 (5)

第二章天清ADC应用交付解决方案总体介绍 (6)

2.1方案构成 (6)

服务器负载均衡 (7)

全局负载均衡 (8)

链路负载均衡 (9)

2.2部署方式 (11)

串行部署三层接入 (11)

串行透明部署 (11)

旁路部署三层接入 (12)

旁路部署透明接入 (12)

旁路部署之三角传输 (13)

第三章服务器负载分担 (13)

3.1服务器负载分担 (13)

3.1.1负载分担算法 (14)

3.1.2健康检查策略 (15)

3.1.3会话保持策略 (16)

3.2七层内容交换 (19)

3.3HA高可靠性与设备集群 (20)

3.3.1HA高可靠性 (20)

3.3.2设备集群 (22)

第四章应用优化与加速 (23)

4.1SSL硬件加速和卸载 (24)

4.2本地RAM Cache (24)

4.3内容压缩 (25)

4.4TCP连接复用 (25)

4.5TCP单边加速 (26)

4.6HTTP管线（Pipelining） (27)

4.7窄带用户应用加速 (29)

4.8重写Rewrite (29)

第五章链路负载分担 (30)

5.1出站流量负载均衡（Outbound方向） (30)

负载分担算法 (30)

链路健康检查 (32)

出站流量会话保持和NAT (32)

5.2入站流量负载均衡(Inbound方向) (33)

智能DNS解析流程 (34)

第六章全局负载分担 (35)

6.1全局负载分担策略 (36)

6.2动态就近性 (36)

6.3静态就近性策略 (39)

6.4IP Anycast技术 (39)

6.5基于HTTP重定向的全局负载均衡 (40)

第七章应用安全防护 (41)

7.1应用安全防护 (41)

7.2启明星辰应用交付解决思路 (42)

7.3主要安全功能 (43)

第一章应用交付产品的概念及核心价值

1.1ADN应用交付网络的概念

Internet本质上是一种端到端（end-to-end）的技术，任何一个复杂的应用，最终都会归根于在Client和Server之间的数据交互，而其所经过Internet的环节却纷繁复杂，对于应用的运营者来说，其中的任何一个环节处理不好，都会导致业务的无法正常提供或者效率低下。比如：

?应用系统的性能瓶颈，稳定性，可扩展性的问题；

?跨运营商访问时因路由瓶颈而导致的网络延迟问题；

?宽带用户和窄带用户（移动终端）并存时的合理分发和访问效率问题；

?应用系统所面临的网络攻击等安全性等问题；

?应用系统的整体运行效率和改善用户体验问题等等。

Application Delivery Networks（ADN），正是面向于保障Client和Server之间稳定且高效的数据交互而提出的一套技术体系，其主要是面向基于浏览器（Web-Based）并借助于Internet向用户提供服务的业务模式。ADN产品按照国际著名资讯机构Gartner 的阐述，主要是包含广域网优化WAN Optimization Controller（WOC）和应用交付控制

器Application Delivery Controller（ADC）两个领域。广域网优化产品，主要是用于在多个数据中心，或者总部和分支机构之间进行数据的压缩以提升传输效率，节约带宽成本。

ADC产品是从负载分担（Load Balance）产品演进而来，负载分担产品通过对外提供唯一的访问IP地址（虚拟服务VS），对内通过地址池（Pool）关联多个提供相同服务的节点（Server），这样就可以把进入的流量按照事先定义好的策略分发给这些服务器，同时监控这些服务器的状态，当某个节点失效时，可以把流量重新分配到其他正常的服务器上。运营者可以随时增加或者减小这组服务器的数目，以满足业务变化的需要。这样就实现了WEB 服务器侧的可用性和弹性扩展。

ADC除了具备负载分担的功能外，更关注的是整个应用交付的各个环节，包括Client 侧，Server侧及数据交互经过网络节点的整体效率。ADC可以根据用户访问的内容做更精细化的流量分担，可以根据用户自身的信息如浏览器类型，Cookie等七层信息做内容交换。ADC能够识别出应用，并且进行加速和优化处理。同时，ADC设备可以对服务器的压力进行卸载（Off-Load）--包括SSL协议，内容压缩，Cache，TCP链接等，让服务器资源重点服务自身的业务系统，从而提升整个系统的效率。

1.2应用交付产品的核心价值

应用交付产品关注整个应用交付的环节，核心价值是为了保障应用的：

高性能---满足业务发展的需要，并具备足够的弹性扩展。

高效率---服务器压力卸载，提升整个业务系统效率。

高可用---业务的备份和冗余。保障业务的不间断稳定运行，并提升用户体验。

安全性---保障业务安全，防止入侵和数据泄漏。

第二章天清ADC应用交付解决方案总体介绍启明星辰基于深厚的技术积累，不断探索专业有效的ADC解决方案以保障用户应用连续可靠运行的同时，节约用户的投资效率，并带来更好的用户体验。

2.1方案构成

为了满足IT应用有效、快速、安全交付的需求，启明星辰推出天清ADC应用交付平台的整体解决方案，包括：服务器负载均衡，应用优化与加速，链路负载均衡，全局负载均衡，

广域网优化，安全防护等全系列产品。

服务器负载均衡

服务器负载均衡主要是对访问服务器和服务器返回的流量进行管理，天清ADC应用交付平台通过多种静态和动态负载分担算法，把访问服务器的流量智能的分发给最佳的服务器。同时，天清ADC应用交付平台利用自身的多核高性能硬件平台和VBOS软件系统的优势，对流量进行实时压缩，缓存，硬件加解密等处理，把原本需要耗费服务器大量性能的计算接管过来，使服务器系统只进行业务相关的处理，以实现整个业务系统的加速和效率提升。

天清ADC服务器负载均衡方案包括：负载分担，应用加速，服务器卸载等几个部分。

与此同时，天清ADC应用交付平台还提供专业的抗拒绝服务攻击、状态防火墙及Web 应用防火墙功能，进一步提升应用的安全性和可靠性。

全局负载均衡

全局负载均衡-GSLB（Global Server Load Balance）是通过在全球部署多个数据中心来保护业务站点不受访问中断的影响，并且提升整体业务系统响应能力的一种解决方案。通过部署天清ADC应用交付平台，可以在多个数据中心之间进行流量分担，并进行数据中心间的冗余和灾备。同时天清ADC应用交付平台可以根据智能算法，把某个用户的访问引导到距离他最近，延迟最小的数据中心，即实现了整个业务系统的可扩展性，也有效的提升了用户体验。

天清ADC应用交付平台内置智能DNS系统和IP地理位置信息库，企业可以把ADC 设备作为域名授权发布服务器，配置多个数据中心的IP地址对应该域名DNS A记录。当接收到某个用户的DNS请求时，通过判断该用户所处地域，并结合动态探测算法或者静态

策略返回该域名对应的最佳数据中心地址。

天清ADC应用交付平台除了具备动态智能解析方式外，还提供静态就近性策略，HTTP 重定向和IP AnyCast技术等多种全局负载分担解决方案。可以为企业提供最灵活的选择方式，并能够和其他全局负载分担产品实现网络兼容。

链路负载均衡

根据中国的运营商接入现状，企业往往选择同时租用多条运营商线路以实现企业接入Internet时的链路备份和带宽叠加。天清ADC应用交付平台可以动态监控链路的实时状态，提供多种静态和动态流量分担方法，可以有效提升多链路接入的效率和整体性能。

当企业部署对外提供服务的应用服务器时，天清ADC应用交付平台可以根据用户所处的运营商网络，或者地域的远近，或者当前链路的带宽质量进行智能DNS解析，帮助用户选择最优的链路进行访问，有效避免跨运营商访问时造成的带宽瓶颈和延迟增大等问题，提供最佳的用户体验。

?Outbound出站方向访问

内网用户向外发起连接请求时，天清ADC应用交付平台产品提供多种静态和动态链路分担算法，选择当前最合适的链路分配流量。静态算法包括：轮询，比率，加权等。

动态算法包括：最小连接，最小流量，最小延迟等等。

天清ADC应用交付平台支持运营商路由选择，根据用户请求地址所出运营商来选择和其匹配的运营商链路出口，这样就避免了跨运营商访问的效率低下问题。

?Inbound入站方向访问

当企业内部提供对外的服务的业务系统时，如ERP系统，邮件系统或者其他在线业务交易系统时，可以把天清ADC应用交付平台作为授权域名发布服务器，把多个运营商链路接入IP地址绑定到同一个域名A记录上。这样，结合运营商IP位置信息库和静态配置策略，ADC能够智能的处理外部用户DNS请求，返回最佳的链路接入地址。

2.2部署方式

天清ADC应用交付平台支持串行接入，并行接入，三层接入，透明模式接入，DSR模式等多种接入方式，企业可以根据当前的网络运行状况和业务规划选择最合适的接入方式。串行部署三层接入

这种模式下，天清ADC应用交付平台串行接入到网络中，所有流量都先经过ADC设备处理，通常情况下，ADC设备上的虚拟服务（VS）配置为公网IP地址，内部的服务器则配置为私有IP地址。典型的串行网络结构如下，天清ADC应用交付平台采用HA方式，和上下层交换机采用双链路交叉连接，网络结构清晰，并且具备很强的冗余性和可靠性。

串行透明部署

这种部署模式可以不改变用户的现有IP地址结构，ADC设备的虚拟服务地址（VS）和服务器处在一个网段，当ADC设备出现单点故障，或者性能无法满足时，可以临时采用

Bypass策略绕过ADC设备。串行接入透明部署的工作原理类似于正常的串行接入。

旁路部署三层接入

旁路方式部署ADC产品，不需要对现有运行着网络结构进行改变，可以方便快速的把ADC部署到网络中，ADC的工作模式和串行部署比较相近，ADC的虚拟服务配置为公有地址，内部服务器配置为私有IP地址。ADC设备和服务器分别属于交换机不同的VLAN，ADC在分发数据给服务器时，进行源IP地址转换，把发给服务器的报文源IP地址改为ADC 设备自身的IP地址，以保证服务器返回的流量也经过天清ADC应用交付平台。

旁路部署透明接入

原理类似旁路部署三层接入，不同是天清ADC和服务器划分到一个VLAN里面，天清ADC的VS地址和服务器配置为同一个IP网段，这种情况下可以把服务器的网关地址指向ADC设备的IP地址，ADC设备使用真实的客户端地址和服务器建立连接，而不需进行NAT 源地址转换。

旁路部署之三角传输

三角传输,也叫Direct Server Return(DSR)模式，是旁路部署的一个特例，这种模式下只有入站方向流量进入到ADC设备，由ADC设备根据预先配置好的负载分担策略进行流量分发，而服务器返回的流量不经过ADC设备。由于互联网的流量具有典型的非对称性，即请求方向上的流量比较小，绝大多数流量集中在服务器响应的方向上，所以如果让ADC 设备只处理请求方向的流量，服务器返回的流量直接返回给客户端不经过ADC设备，就大大提升了ADC的处理能力。

三角传输模式无法支持一些需要修改服务器返回数据的功能，如基于Cookie的会话保持，响应重写等七层功能。也无法实现缓存和内容压缩等功能。

第三章服务器负载分担

3.1服务器负载分担

ADC在设备上建立一个或多个虚拟服务VS（IP：Port），来映射内部的服务器组来对外提供的一种或者多种应用。内部服务器被加入到地址池中（Pool），当有外部流量访问VS

时，ADC通过预先配置好的负载分担算法，从地址池中选择一台可用的服务器作为应用提供者。同时ADC实时对每个服务器节点进行健康检查，当某一台出现故障无法正常提供服务时，把该服务器从Pool中的可用列表移出，不再向其分发流量。

3.1.1负载分担算法

天清ADC应用交付平台支持丰富的负载分担策略，即可以根据预先配置的静态算法，也可以根据当前的运行状态进行动态算法的负载分担。

静态算法包括：

?轮询（Round Robin）-依次按照顺序把流量分配给每台服务器。

?比率（Ratio）-根据服务器的性能为每个服务器指定一个权值，按照这个比率给服务器分配流量。

?优先级（Priority）-当使用多组服务器时，为每个服务器组指定一个优先级，默认情况下优先向高优先级的服务器组分配流量，当该组服务器失效时选择备

份服务器组。

动态算法包括：

?最小连接（Least Connection）-ADC优先把流量分配给当前连接数最少的

?最快模式（Fastest）-ADC通过比对服务器返回数据包的延迟情况，选择一个当前响应最快的服务器来分配流量。

?SNMP监控-设备上通过SNMP客户端来读取服务器的实时运行状态，包括CPU，内存和I/O信息，为每种实时信息配置门限值，当超过这个门限值时

不再向这台服务器分配报文。

?观察模式（Observed）-结合最小连接和最快模式两种结果，选择最佳平衡为依据为新的请求选择服务器。

服务器平滑接入和退出：

当有新的服务器接入或者服务器重新启动时，ADC系统可以把流量逐步分配给新接入的服务器，避免服务器的某些进程还没有加载完成而导致系统资源占用过

高，或者应用响应缓慢的情况，实现服务器的平滑接入。管理员也可以手工方式操

作把某台服务器退出流量分担机制，此时ADC系统不再分配新的流量给该服务器，

该服务器的现有连接继续保持，直至连接结束。

3.1.2健康检查策略

健康检查是指对服务器的运行状态定期进行实时检测，一旦发现服务器故障，将把该服务器移出流量分担的队列。天清ADC应用交付平台提供丰富的健康检查策略，和负载分担算法组合到一起，就可以实现非常灵活的负载分担策略。

?TCP SYN-向目标服务器发送TCP SYN报文，如果得到正确的回复表示服务器工作正常。

?Ping-向目标服务器发送ICMP请求报文，如果得到正确回复表示服务器工作

?HTTP/HTTPS Get-向目标系统发送HTTP或HTTPS协议的Get报文，请求一个指定的URL，如果得到正确回复表示服务器工作正常。

3.1.3会话保持策略

会话保持是指流量一旦按照负载分担策略分配给某个服务器后，后续的相关请求报文同样分配给同一台服务器，以保障业务的连续性。比如，很多电子商务相关的应用系统或者需要用户身份认证的系统，用户和服务器间会进行多次的数据交互才能完成一笔交易或者身份认证过程，必须把这个过程的交互报文分配给同一个服务器。

天清ADC应用交付平台支持6类共8种会话保持的方法，即可以根据源IP地址，ServerID等静态信息来做会话保持，也可以通过Cookie插入和重写来实现更高级的会话保持方法。每种会话保持的效率，粒度和应用场景有所不同，对应用服务器的配置要求也不一样。基于源IP的会话保持只需要处理数据包的四层信息，所以效率最高，也不需要服务器做任何配置，但粒度比较粗。如果客户端存在普遍的NAT转换，或者某些IP段的业务请求量比较大，那么这些流量被保持发送给固定一台服务器，就会造成流量负载的不均衡。

基于Cookie插入，Cookie重写，ServerID等七层信息的会话保持方式，使保持策略和浏览器的信息相互关联，可以做到细粒度和更均衡的流量分配，基于七层信息的会话保持方式，工作效率不如源IP会话保持。除Cookie插入方式以外，其他如serverid，sessionid, Cookie重写等方式一般需要应用程序做相应的配置。

天清ADC支持的会话保持方式：

?基于源地址-来自同一个源IP地址的相关报文，分配给同一个服务器。

?基于ServerID-记录服务器返回的serverid信息，然后从请求报文的URL或

Cookie信息中查找serverid，进行解码得到后台服务器的信息，保证带有固定serverid信息的请求被分别到固定的服务器。Serverid需要在web服务器上进行人工配置。ADC不需要对数据包进行修改

?基于SessionID-类似于ServerID的方式，记录从服务器返回的SessionID信息，然后从请求报文的URL或Cookie信息中查找SessionID，进行解码得到后台服务器的信息，保证带有固定SessionID信息的请求被分别到固定的服务器。

SessionID是服务器自动生成的，ADC产品不需要对数据包进行修改。

?基于Cookie插入-这种方式通过修改服务器返回的报文，向其插入一个固定的Cookie信息返回给客户的浏览器，客户端后续的报文请求中都携带了这个Cookie 信息，ADC根据这个信息发送给指定的服务器。这种保持方式修改了数据包的长度，但不需要应用服务器端做任何的配置改动就可以实现。

?基于Cookie重写-服务器端接收到HTTP请求后，响应报文中会增加一个空白的Cookie返回给ADC设备，ADC在这个空白的Cookie里面写入会话保持的数值，返回给客户端。后续的过程和Cookie插入类似，客户端后续的请求报文会携带这个重写的Cookie，ADC根据这个信息来选择指定的服务器。Cookie重写和Cookie插入的区别是，Cookie重写不需要修改报文的长度，效率会高一些。

?基于自定义头部-应用服务自身定义了一个URL Header信息，并希望ADC以此来做负载分担。这种方式下ADC设备记录服务器返回的Header信息，并在客户端的后续请求中进行匹配，匹配成功则转发给指定的服务器。这种方式允许应用服务程序定制自己的会话保持策略。

?基于SSL SessionID-当第一次请求到来时，按负载均衡算法分配一台后台服务器。

在服务器的响应中，按照SSL协议，取出SSL SessionID，并把SSL SessionID 分配的后台服务器信息、所配置的超时时间存在一张表中。当后续请求到来，根据

请求中的SSL SessionID在表中查找后台服务器的信息，若找到并且时间在超时

时间之内，则取出后台服务器信息，并更新超时时间，把请求发往那台服务器。3.2七层内容交换

四层交换主要是依赖IP和TCP/UDP层的信息进行流量的分配，而随着应用自身的复杂性和不断改善用户体验的需求，有时候需要为不同的用户类型返回不同的呈现内容，例如：

?把移动用户的手机/pad浏览器请求分发给专门经针对性过优化的服务器。

?把请求图片，文档，视频等静态内容分发给缓存服务器。

?根据浏览器自身的语言设置，为不同语言区域的用户返回相应的页面

?可以根据HTTP请求的方法实现读写分离，HTTP读（get）请求分配给缓存服务器，HTTP写（post）请求分配给处理动态内容的服务器。

天清ADC应用交付平台的七层内容交换可以识别用户请求报文的内容，如URL 信息，应用数据类型，Cookie信息，浏览器类型，HTTP方法等内容，将流量分配给相应的应用服务器。

天清ADC应用交付平台通过http-class来标识一个业务分类，http-class根据主机地址，URI路径，头信息和Cookie来定义，每个http-class可以关联一个服务器地址池，然后再虚拟服务（VS）的配置中，引用一个或者多个http-class。当客户端请求访问虚拟服务时，ADC设备进行http-class匹配，匹配成功的请求被分配给对应的地址池。

3.3HA高可靠性与设备集群

3.3.1HA高可靠性

天清ADC支持双机Active-Standby（主-备）和Active-Active（主-主）两种工作模式，HA在运行过程中，通过专用“心跳线”来实时监控对端设备的运行状态，当心跳监控失败，或者发生其他触发切换的条件时，工作异常设备上的流量将被接管，以保证应用的不间断运行。天清ADC的HA模块支持配置同步和连接信息同步。

主备模式：两台ADC设备中只有一台处于Active状态，另外一台处于Standby状态，所有流量由处于Active状态的设备进行流量转发。处于Standby状态的备用设备通过”

心跳线“实时监控主设备的运行状态，当监控不到正常的心跳报文时，备用设备切换为Active状态，并通过免费ARP更新上下游设备的ARP缓存以实现流量接管。

多链路负载均衡及冗余

目录 1.目的 (3) 2.环境拓扑 (3) 3.链路负载均衡 (3) 3.1 基于源IP的负载均衡 (4) 3.2基于权重的负载均衡 (6) 3.3基于出口流量阀值的负载均衡 (6) 3.4 其他负载均衡 (7) 3.5 策略路由 (7) 4.链路冗余 (8) 4.1 检测服务器 (8) 4.2管理距离与优先级 (8) 5.负载均衡与冗余 (9) 6.参考 (9)

1.目的本文档针对FortiG ate在具有两条或两条以上出口时的负载均衡及链路冗余配置进行说明。Fortigate在多链路可以支持不同方式的负载均衡,在链路负载均衡的同时,也可以实现链路的冗余。 2.环境拓扑本文使用FortiGate-VM 做演示。本文支持的系统版本为FortiOS v4.0MR3 Patch2及更高。该配置中使用FortiGate-VM1 模拟两条WAN线路，通过FortiGate-VM2连接至外网,实际环境可以据此参考。 3.链路负载均衡链路负载均衡功能需要为2个不同的出网接口分别配置一条默认路由,如果实现负载均衡,需要2条或多条静态路由的管理距离以及优先级保持一致。同时也需要保证配置内网去往2条出口的策略。如果使用静态路由的话可以把出网路由的管理距离配置成相等的，也就是等价路由。如果是ADSL、DHCP等动态获取的网关的话可以把“从服务器中重新得到网关”选中同时将动态获取的路由的管理距离配置即可。在默认路由已经配置完成的情况下，如果仍然有某些特定的数据流需要从指定的出口出网的话，可

以使用策略路由功能来完成这样的需求。策略路由的优先级高于动态和静态路由，按照从上到下的次序来匹配的。负载均衡包括三种模式: 1.基于源IP的负载均衡; 2.基于权重的负载均衡; 3.基于出口流量阀值的负载均衡。 3.1 基于源IP的负载均衡基于源IP的负载均衡, 当路由表中有多个出网路由时，FortiGate设备会按内置的算法实现负载均衡，这个算法不能被修改。这个算法是：假设路由表中有n条出网路由，则防火墙会将内网源IP地址的最后一组数值除n取余，余1走第一条出网路由，余n-1走第n-1条出网路由，余0走第n条出网路由。本例的出网规则是：,如果想让某些IP走特定的接口需要策略路由来实现。

服务器负载均衡的设计与实现

服务器负载均衡的设计与实现在该架构中OpenFlow控制器可以获取每个服务器的运行状态，并根据运行状态分发用户请求，最大程度地利用每台服务器的计算资源，并且可以在系统运行期间动态地添加或删除服务器，使系统具备很高的灵活性。 1、动态负载均衡架构的整体设计负载均衡架构是在一个非结构化的网络中使用集中式的控制器实现多台服务器共同对外提供服务。OpenFlow网络中的所有交换机都连接在一个控制器上，每台服务器有两块网卡，一块网卡连接到OpenFlow网络对用户提供网络服务，另一块通过以太网交换机和控制器相连，以便控制器通过SNMP协议获取服务器的运行状态，具体架构如图所示。在上述负载均衡架构中控制器是网络的核心，其主要功能有四个，分别为：保证网络正常的通信、获取服务器的运行状态、通过负载均衡算法计算服务器的综合负载、向交换机下发流表项以转发用户请求；控制器的模块设计如图所示。本文阐述的负载均衡架构可以工作在任意openflow网络中，而不是专门为某个服务器

所设计的负载均衡，控制器的首要任务就是保证网络可以提供正常的数据转发服务，为了保证网络既可以为其他服务提供基础支持又保证负载均衡能够正常工作，在控制器的转发控制中有两个模块，第一个模块负责负载均衡服务，第二个模块负责网络的基本通信。当一个数据包到达Openflow交换机后，如果交换机找不到可以匹配的流表项，就会向控制发送packet-in消息，控制器收到packet-in消息之后首先交给负载均衡模块，由负载均衡模块处理该消息，如果该数据包的目的IP 不是负载均衡所负责的网络服务，如果该数据包的目的IP不是负载均衡所负责的网络服务，负载均衡模块就不会做任何处理而是直接packet-in 消息传递给网络通信模块，以保证其它业务正常通信。如果该数据包的目的IP是负载均衡所负责的网络服务，负载均衡模块就向交换机下发流表项让交换机完成负载均衡服务。为了有效地利用计算资源，控制器还需要根据服务器的运行状态转发用户请求，因此控制器还要完成这方面的工作。在此架构中每台服务器都有一块通过以太网交换机和控制器相连的网卡，控制器通过以太网交换机和服务器通信，利用SNMP协议获取服务器的运行状态。在此架构中就算没有和服务器相连的网卡，控制器也可以通过Openflow网络和服务器通信，本文之所以没有这么做是因为控制器直接和连接在openflow网络中的服务器通信需要交换机把所有服务器所发送的消息封装成packet-in消息发送给交换机，控制器也必须通过向交换机发送packet-out消息才能把数据发送给服务器，这样做会给交换机和控制器同时带来很大的压力。因为服务器的运行状态必须由多条信息才能描述清楚，所以就算得到服务器的运行状态之后，也无法根据多条信息判断哪台服务器的负载最低。因此本文在控制器中运行了一个负载均衡算法，控制器会把服务的运行状态作为负载均衡算法的参数代入到服务器综合负载的运算中，计算出服务器的综合负载，并根据综合负载得到负载最小的服务器。负载均衡的核心内容就是让交换机分发用户的请求，用户请求的第一个数据包到达交换级之后，交换机会通过packet-in消息把数据包发送给控制器，控制器中的负载均衡模块会通过SNMP协议获取所有服务器的运行状态，并根据运行状态计算服务器的综合负载，之后把用户的请求转发给综合负载最小的服务器。 2、动态负载均衡架构的设计与实现负载均衡常用的算法有随机、轮训和最小连接数，原因是这三种算法很容易用硬件实现，这三种算法中最小连接数算法的效果是最理想的，但是如果集群中的服务器在CPU、内存、网络带宽上的配置不相同，这三个算法都不能充分地发挥服务器集群的计算能力。在openflow网络中，网络的控制层由软件制定，负载均衡算法也可以集成在控制器中，使用软件完成，这样可以更准确地评估服务器的负载情况。本文阐述的负载均衡方案中就设计了一个负载均衡算法，根据服务器的运行状态计算服务器的综合负载，并返回综合负载最小的服务器。该算法可以在服务器性能差距较大的集群中充分发挥每一台服务器的计算能力，算法的具体实现过程如下： 1）动态反馈当前服务器负载量主要收集每台服务器CPU和内存的使用率，这些信息并不能直接表示一台服务器的负载情况，所以使用公式1把CPU和内存信息转换为服务器的负载量，其中LC为第i台服务器CPU的使用率，LM为第i台内存的使用率，r1和r2为权值，用于强调该服务类型对各个部分的不同影响程度，r1+r2=1,LS为计算得出的第i台服务器负载量 LS=r1LC+r2*LM 2）服务器处理能力计算；集群中服务器的性能也可能不同，在计算服务器负载的时候还要考虑服务器的处理能力，第i台服务器的处理能力使用C(i)表示，C的计算方法如公式所示，其中P为第i台服务器CPU的个数，M为第i台服务器内存的大小，r1和r2为权值，r1+r2=1。

图解F5 链路负载均衡详细配置方法

WAN广域网链路负载均衡测试项目测试项目背景：

测试环境描述 1.1 需求描述 XX股份领导反应：通过互联网采用SSL VPN方式，访问青岛总部内网的OA系统速度慢。为了解决此问题，目前采用三种测试方案： 1、CITRIX； 2、新增加一台JUNIPER SA4000； 3、增加一台F5 BIGIP LC设备和两条分别为青岛联通、青岛移动的100M 链路结合进行WAN链路负载均衡测试。第二种测试方案目前已做完，效果不理想，当前准备执行第三套测试方案。 F5 BIGIP LC以及如何在使用GTM一张静态的表单（https://www.360docs.net/doc/928095023.html,er）来实现Topology计算。由于LC只能解析A记录，无法解析SOA 、MX、PTR记录，所以LC只能做一台DNS的子域，无法取代客户的DNS服务器（https://www.360docs.net/doc/928095023.html,）。测试要求：解决电信和网通的南北互连互通问题，用户有二条链路，（一条网通线路，一条电信线路）。测试规则如下： 1.访问CNC网站走CNC线路 2.访问CT网站走CT的线路 3.访问本地域名（https://www.360docs.net/doc/928095023.html,）CNC用户从CNC线路过来访问 4.访问本地域名（https://www.360docs.net/doc/928095023.html,）CT用户从CT线路访问

测试环境描述

2测试设备配置步骤 2.1 基础配置 2.1.1进入管理界面，激活license。注意事项：激活LC设备的license后，一定要完全重新启动一次

(Full_box_reboot)。系统会自动生成相关的文件和启动相应的服务。

2.1.2Platform相关设置由于是部分授权，所以LC将作为https://www.360docs.net/doc/928095023.html,的子域的Nameserver Hostname：使用NS 的https://www.360docs.net/doc/928095023.html, 提醒：上线测试Root和admin密码一定要修改，不可以使用默认的。

SureHA 技术白皮书

SureHA100G2 技术白皮书摘要本白皮书论述Lenovo SureHA 100G2高可用软件的功能以及实现原理。 Lenovo 确信本出版物在发布之日内容准确无误。如有更新，恕不另行通知。 Lenovo 对本出版物的内容不提供任何形式的陈述或担保，明确拒绝对有特定目的适销性或适用性进行默示担保。使用、复制或分发本出版物所描述的任何SureHA 100G2软件都要有相应的软件许可证。

第 1 章 SureHA100G2集群系统概览 2 目录 SureHA100G2 技术白皮书 .................................................................................................. 1 第 1 章何谓集群系统 ..................................................................................................... 4 集群系统的概要 ................................................................................................................................... 4 HA (High Availability)集群 ................................................................................................................ 4 共享磁盘型 ....................................................................................................................................................... 5 镜像磁盘型 ....................................................................................................................................................... 7 系统构成 .............................................................................................................................................. 7 故障保护原理 ..................................................................................................................................... 10 共享磁盘的互斥控制 ....................................................................................................................................... 11 网络分区症状 (Split-brain-syndrome) ......................................................................................................... 11 集群资源的交接 ................................................................................................................................. 11 数据的交接 ..................................................................................................................................................... 11 IP 地址的交接 .................................................................................................................................................. 12 应用程序的交接 .............................................................................................................................................. 12 失效切换总结 .................................................................................................................................................. 14 Single Point of Failure 的排除 ......................................................................................................... 14 共享磁盘 ......................................................................................................................................................... 15 共享磁盘的访问路径 ....................................................................................................................................... 16 LAN ................................................................................................................................................................ 16 支持可用性的操作 ............................................................................................................................. 17 操作前测试 ..................................................................................................................................................... 17 故障的监视 ..................................................................................................................................................... 17 第 2 章关于SureHA100G2......................................................................................... 19 SureHA100G2的产品结构 ................................................................................................................ 19 SureHA100G2的软件配置 ................................................................................................................ 19 SureHA100G2 的故障监视原理 ....................................................................................................... 20 何谓服务器监视 .............................................................................................................................................. 20 何谓业务监视 .................................................................................................................................................. 20 何谓内部监视 .................................................................................................................................................. 21 可监视的故障和无法监视的故障 ........................................................................................................ 21 通过服务器监视可以查出的故障和无法查出的故障 ........................................................................................ 21 通过业务监视可以查出的故障和无法查出的故障 ............................................................................................ 21 网络分区解析 ..................................................................................................................................... 22 失效切换的原理 ................................................................................................................................. 22 由SureHA100G2构建的共享磁盘型集群的硬件配置 ...................................................................................... 23 用SureHA100G2构建的镜像磁盘型集群的硬件配置 .. (24)

中小企业多链路负载均衡的解决方案

中小企业多链路负载均衡的解决方案前言：目前很多企业为了提高信息发布的性能和可靠性，向多个电信运营商同时租用互联网线路，所以拥有两条或两条以上的互联网连接链路，这些用户希望分别通过多条链路使用网络平台和资源，但是这样的网络出口建设形式，暴露出以下问题，并亟待解决。企业广域网链路络存在的问题： 1、链路的单点失效性：采用单一Internet连接链路存在单点失效性，一旦该链路出现故障将造成整个企业网络的瘫痪。 2、链路性能的瓶颈：单一Internet连接链路的带宽资源是有限的，无法满足企业内部全体用户对Internet 访问时所需的带宽，同时也无法满足大量的Internet上的用户对企业的访问。 3、网络安全防护能力弱：目前Internet上的各种各样的网络攻击层出不穷，路由器自身对网络攻击的防护能力非常有限，DOS/DDOS 网络攻击会对广域网络由器产生严重的影响。现有的多条链路，互相之间没有联系，这就导致了两条链路的完全独立，不能互为所用；两条或多条链路分别独立接入，链路的占用可能不平均，带宽不能得到充分的利用；任一条链路的中断都会影响正常的上网工作，缺乏容错机制。解决方案：面对以上问题，应该在企业网络出口处部署一台梭子鱼LinkBalancer 330链路负载均衡器，如下图所示：

LB330链路负载均衡器部署在出口路由器和防火墙之间，这样可以实现对多条internet 接入链路的负载均衡，可以同时实现outbound流量（内部办公用户访问internet）和inbound 流量（internet用户访问内部服务器）双向的负载均衡，并且可以根据智能算法选择最优路径，以达到最佳访问速度。如果当一个ISP1出现故障，负载均衡器可以及时地检测到，并将内外网流量转到ISP2上，网络仍然可以正常运行。LB330链路负载均衡器支持多达3条外接链路。此外，LB330链路负载均衡器具备抵御DoS/DDoS的功能，有效地保护内网的服务器免遭攻击。方案特点： 1.增加企业出口带宽，并提供了广域网链路的冗余。 2.通过智能算法，可通过最优路径实现内外网访问。 3.可以抵御DoS和 DDoS攻击有效的保护内网服务器。为什么选择梭子鱼： 1、聚合链路带宽

负载均衡技术的三种实现方法

目前，网络应用正全面向纵深发展，企业上网和政府上网初见成效。随着网络技术的发展，教育信息网络和远程教学网络等也得到普及，各地都相继建起了教育信息网络，带动了网络应用的发展。一个面向社会的网站，尤其是金融、电信、教育和零售等方面的网站，每天上网的用户不计其数，并且可能都同时并发访问同一个服务器或同一个文件，这样就很容易产生信息传输阻塞现象；加上Internet线路的质量问题，也容易引起出现数据堵塞的现象，使得人们不得不花很长时间去访问一个站点，还可能屡次看到某个站点“服务器太忙”，或频繁遭遇系统故障。因此，如何优化信息系统的性能，以提高整个信息系统的处理能力是人们普遍关心的问题。一、负载均衡技术的引入信息系统的各个核心部分随着业务量的提高、访问量和数据流量的快速增长，其处理能力和计算强度也相应增大，使得单一设备根本无法承担，必须采用多台服务器协同工作，提高计算机系统的处理能力和计算强度，以满足当前业务量的需求。而如何在完成同样功能的多个网络设备之间实现合理的业务量分配，使之不会出现一台设备过忙、而其他的设备却没有充分发挥处理能力的情况。要解决这一问题，可以采用负载均衡的方法。负载均衡有两个方面的含义：首先，把大量的并发访问或数据流量分担到多台节点设备上分别处理，减少用户等待响应的时间；其次，单个重负载的运算分担到多台节点设备上做并行处理，每个节点设备处理结束后，将结果汇总，再返回给用户，使得信息系统处理能力可以得到大幅度提高。对一个网络的负载均衡应用，可以从网络的不同层次入手，具体情况要看对网络瓶颈所在之处的具体情况进行分析。一般来说，企业信息系统的负载均衡大体上都从传输链路聚合、采用更高层网络交换技术和设置服务器集群策略三个角度实现。二、链路聚合——低成本的解决方案为了支持与日俱增的高带宽应用，越来越多的PC机使用更加快速的方法连入网络。而网络中的业务量分布是不平衡的，一般表现为网络核心的业务量高，而边缘比较低，关键部门的业务量高，而普通部门低。伴随计算机处理能力的大幅度提高，人们对工作组局域网的处理能力有了更高的要求。当企业内部对高带宽应用需求不断增大时（例如Web访问、文档传输及内部网连接），局域网核心部位的数据接口将产生瓶颈问题，因此延长了客户应用请求的响应时间。并且局域网具有分散特性，网络本身并没有针对服务器的保护措施，一个无意的动作，像不小心踢掉网线的插头，就会让服务器与网络断开。通常，解决瓶颈问题采用的对策是提高服务器链路的容量，使其满足目前的需求。例如可以由快速以太网升级到千兆以太网。对于大型网络来说，采用网络系统升级技术是一种长远的、有前景的解决方案。然而对于许多企业，当需求还没有大到非得花费大量的金钱和时间进行升级时，使用升级的解决方案就显得有些浪费

服务器负载均衡技术

HUAWEI USG6000V系列NFV防火墙技术白皮书之---服务器负载均衡技术白皮书华为技术有限公司 Huawei Technologies Co., Ltd.

目录 1背景和概述 (2) 2全局服务器负载均衡（GSLB） (3) 3本地服务器负载均衡（LSLB） (4) 3.1使用目的MAC地址转换的服务器负载均衡（DR） (4) 3.2使用网络地址转换实现的服务器负载均衡（L4 SLB） (5) 3.3使用轻量代理和网络地址转换的服务器负载均衡（L4 lwProxy SLB） (7) 3.4使用全量Socket 代理的服务器负载均衡（L7 Socket Proxy SLB） (9) 3.4.1socket代理加业务会话关联保持 (9) 3.4.2根据URL类型不同的分担，静态资源访问和动态计算访问分开多种服务器10 3.4.3SSL卸载 (10) 3.4.4链路优化：压缩、协议优化、本地cache、多路复用 (11) 3.5业务保持技术 (13) 4华为USG防火墙支持的SLB功能列表 (14)

1 背景和概述随着互联网的快速发展，用户访问量的快速增长，使得单一的服务器性能已经无法满足大量用户的访问，企业开始通过部署多台服务器来解决性能的问题，由此就产生了服务器负载均衡的相关技术方案。在实际的服务器负载均衡应用中，由于需要均衡的业务种类以及实际服务器部署场景的不同（比如是否跨地域、跨ISP数据中心等），存在多种负载均衡的技术。如下典型的组网方式如图所示：服务提供方为了支撑大批量的用户访问，以及跨不同地域、不同接入ISP的用户都能够获得高质量的业务访问体验，其已经在不同地域、不同ISP数据中心搭建了服务器，这样就带来一个需求，也就是客户的访问能够就近、优先选择同一个ISP数据中心的服务器，从而获得高质量的业务访问体验。同时，基于单台服务器能够提供的业务访问并发是有限的，那么就自然想到使用多台服务器来形成一个“集群”，对外展现出一个业务访问服务器，以满足大量用户访问、而且可以根据业务访问量的上升可以动态的进行业务能力扩容的需要。

负载均衡器部署方式和工作原理

负载均衡器部署方式和工作原理 2011/12/16 小柯信息安全在现阶段企业网中，只要部署WEB应用防火墙，一般能够遇到负载均衡设备，较常见是f5、redware的负载均衡，在负载均衡方面f5、redware的确做得很不错，但是对于我们安全厂家来说，有时候带来了一些小麻烦。昨日的一次割接中，就遇到了国内厂家华夏创新的负载均衡设备，导致昨日割接失败。在本篇博客中，主要对负载均衡设备做一个介绍，针对其部署方式和工作原理进行总结。概述负载均衡（Load Balance）由于目前现有网络的各个核心部分随着业务量的提高，访问量和数据流量的快速增长，其处理能力和计算强度也相应地增大，使得单一的服务器设备根本无法承担。在此情况下，如果扔掉现有设备去做大量的硬件升级，这样将造成现有资源的浪费，而且如果再面临下一次业务量的提升时，这又将导致再一次硬件升级的高额成本投入，甚至性能再卓越的设备也不能满足当前业务量增长的需求。负载均衡实现方式分类 1：软件负载均衡技术该技术适用于一些中小型网站系统，可以满足一般的均衡负载需求。软件负载均衡技术是在一个或多个交互的网络系统中的多台服务器上安装一个或多个相应的负载均衡软件来实现的一种均衡负载技术。软件可以很方便的安装在服务器上，并且实现一定的均衡负载功能。软件负载均衡技术配置简单、操作也方便，最重要的是成本很低。 2：硬件负载均衡技术由于硬件负载均衡技术需要额外的增加负载均衡器，成本比较高，所以适用于流量高的大型网站系统。不过在现在较有规模的企业网、政府网站，一般来说都会部署有硬件负载均衡设备（原因1.硬件设备更稳定，2.也是合规性达标的目的）硬件负载均衡技术是在多台服务器间安装相应的负载均衡设备，也就是负载均衡器来完成均衡负载技术，与软件负载均衡技术相比，能达到更好的负载均衡效果。 3：本地负载均衡技术

链路负载均衡解决方案

Array Networks 链路负载均衡解决方案－Array APV系列、AppVelocity应用于企业网络优化

目录 1. 多链路接入背景介绍 (3) 1.1 单链路接入单点故障 (3) 1.2 运营商之间互访 (4) 1.3 双链路解决方案的产生以及其衍生的问题 (4) 2. Array 提供最佳的解决方案 (6) 2.1 方案介绍 (6) 2.2 流出（Outbound）流量处理 (7) 2.3 其它重要功能设置: (8) 2.4 流入（Inbound）流量处理 (8) 3. 解决方案功能特点介绍 (10) 3.1. 全面的链路监控能力 (10) 3.2. 全路经健康检查 (10) 3.3. 策略路由 (11) 3.4. APV-LLB的链路负载均衡解决方案具有以下功能和优点： (11) 3.5. 链路优化功能与其他应用性能提高功能 (11) 3.5.1. Http 压缩功能 (11) 3.5.2. Cache 功能 (11) 3.5.3. Connection Multiplexing（连接复用）技术 (12) 3.5.4. Connection Pooling（连接池）技术 (12) 3.5.5. Array SpeedStack?技术 (12) 3.6. 安全防护功能 (13) 3.7. Cluster技术 (13) 3.8. Array APV 配置管理 (14) 3.9. 可扩展性 (14) 3.9.1. 服务器负载均衡与广域网负载均衡 (14) 3.9.2. 扩展的SSL加速适用于电子商务 (14) 4. 链路负载均衡对企业的价值 (14)

静脉输血技术操作规范评分表流程

静脉输血技术操作规范评分表流程静脉输血技术操作规程一、目的补充血容量、纠正贫血、补充血浆蛋白、补充血小板和各种凝血因子、补充抗体、补体、排除有害物质二、准备: 1、个人准备:着装整齐、戴口罩、洗手 2、用物准备:治疗盘、输血器、0.9%生理盐水100ml、0.5%碘伏或洗必泰、棉签、污物杯、手消毒凝胶、无静脉通路需备止血带、垫巾、输液贴～ 3、环境准备:洁净、光线适宜、或有足够的照明三、评估评估病情对输血知识的了解程度～血管情况～输血史～解释告知输血的注意事项、目的、方法四、操作程序 1、取血:根据输血医嘱～护士凭输血申请单到血库取血 2、查对:三查(血液的有效期、血液的质量、血袋完整性) 八对:与血库人员共同查对,患者姓名、床号、住院号、血型、血袋号、交叉配血试验结果血液的种类、血量,～签字取血。 3、再查对:回病房后与另一个护士再次三查八对～并记录在输血登记本上 4、血袋在室温下复温15-20分钟 5、按静脉输液法建立静脉通路～连接0.9%生理盐水100ml与输血器～输入少量生理盐水～ 6、再次查对:八对

7、接血袋:以手腕旋转动作轻轻摇匀血袋内血液～常规消毒血袋口～血袋缓慢挂与输液架上 8、调滴数:开始滴入速度不宜超过20滴/分～观察15分钟无不良反应再根据病情调节滴速,成人一般为40-60滴/分, 9、操作后查对:八对 10、协助舒适卧位～整理用物～洗手～记录,输血时间、种类、血量、血型、血袋号、有无输血反应, 11、续血时的处理:如果输两袋以上的血液时～应在上一袋血液即将滴尽时～常规消毒生理盐水瓶塞～接生理盐水输入～然后再接着输入另一袋血液 12、停止输血:输血结束后～继续滴入生理盐水～直到输血器内血液全部输完再拔针,同静脉输液法, 13、输血袋的处理:输血空袋注明输血开始时间和结束时间及执行者～送输血科放置冰箱内存放24小时后做医疗废物处理 14、洗手～记录五、注意事项 1、在取血和输血过程中～严格执行无菌操作及查对制度～在输血前一定要有两名护士,或一名护士和一名医生,进行三查八对 2、输入两瓶以上血液时～两瓶之间需输入少量的生理盐水 3、输血时～血袋内不得随意加入药品～如含钙、碱性药品、高渗、或低渗液～以防血凝集或溶血。 4、血液不能过早取回。取出血液后～必须在30min内输注。 5、输血开始要缓慢滴入～速度不超过20滴/min,10，15min后再按所需的速度滴入。

Radware LinkProof多链路负载均衡解决方案技术白皮书

Radware－LinkProof 多链路解决方案 Radware China

目录 1需求分析 (3) 1.1 单一链路导致单点故障和访问迟缓 (3) 1.2 传统解决方案无法完全发挥多链路优势 (4) 2Radware LinkProof（LP）解决方案 (5) 2.1 方案拓扑图 (5) 2.2 链路优选方案 (6) 2.2.1 链路健康检测 (6) 2.2.2 流入（Inbound）流量处理 (7) 2.2.3 流出（Outbound）流量处理 (8) 2.3 独特优势 (9) 2.4 增值功能 (9) 2.4.1 流量（P2P）控制和管理 (9) 2.4.2 应用安全 (10) 2.5 接入方式 (10) 3设备管理 (11) 4总结 (12)

1 需求分析近年来，Internet 作为一种重要的交流工具在各种规模的商业机构和各个行业中得到了普遍应用。在机构借以执行日常业务活动的各种网络化应用中，目前已包括从供应链管理到销售门户、数据管理、软件开发工具和资源管理等一系列的应用。这些不断增长的网络化应用对企业通讯的效率和可用性也提出了较高要求。 1.1 单一链路导致单点故障和访问迟缓用户的网络结构通常如下：单一链路实现内部网络和Internet之间的连接。而在Internet接入的稳定性对于一个用户来说日见重要的今天，一个ISP显然无法保证它提供的Internet链路的持续可用性，从而可能导致用户Internet接入的中断，带来无法预计的损失。而且由于历史原因，不同ISP的互连互通一直存在着很大的问题，在南方电信建立的应用服务器，如果是南方电信用户访问正常，Ping的延时只有几十甚至十几毫秒，对用户的正常访问几乎不会造成影响；但如果是北方网通的远程用户访问，Ping的延时只有几百甚至上千毫秒，访问应用时则会出现没有响应设置无法访问的问题。如果用户采用单条接入链路，无论是采用电信（或则网通），势必会造成相应的网通（或则电信）用户访问非常慢。因此，采用多条链路已成为用户实现Internet接入的稳定性的必然选择。

般固ADC 技术白皮书

般固 ADC 多链路技术白皮书
般固 ADC 多链路技术白皮书
■ 文档编号 ■ 版本编号 Banggoo-PE-008 0.1 ■ 密级 ■ 日期限制分发 2012/05/06
? 2015 般固（北京）科技股份有限公司
? 2015 般固（北京）科技股份有限公司
-1-
密级：公开

般固 ADC 多链路技术白皮书
■ 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属般固（北京）所有，受到有关产权及版权法保护。任何个人、机构未经般固（北京）的书面授权许可，不得以任何方式复制或引用本文的任何片断。
■ 适用性声明本模板用于撰写般固（北京）内外各种正式文件，包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。
? 2015 般固（北京）科技股份有限公司
-2-
密级：公开

般固 ADC 多链路技术白皮书
目录
一. 概述?.......................................................................................................................................................?4 二. 需求分析?...............................................................................................................................................?4 三.?BANGGOO?ADC 技术?.............................................................................................................................. 6 3.1?BANGGOO?ADC 部署位置?..................................................................................................................... 6 3.2 方案设计?...........................................................................................................................................?7 3.3 流入（INBOUND）流量处理?.............................................................................................................. 7 3.4 流出（OUTBOUND）流量处理?........................................................................................................... 9 3.4.1 智能负载均衡 ............................................................................................................................ 9 3.4.2 就近性算法 .............................................................................................................................. 10 3.4.3 健康检查机制 .......................................................................................................................... 10 四. 产品优势?.............................................................................................................................................?11 4.1.1?DNS 透明代理?........................................................................................................................... 11 4.1.2 链路繁忙控制 .......................................................................................................................... 12 4.1.3 与流控设备完成基于应用协议选路?...................................................................................... 12 4.1.4 高性能?.....................................................................................................................................?12 4.1.5 易管理?.......................................................................................................................................?1 五. 方案优势?...............................................................................................................................................?2 5.1 丰富的均衡方式与灵活的均衡算法?............................................................................................... 3 5.2 高可用性?...........................................................................................................................................?3 5.3 安全性?...............................................................................................................................................?3 5.4 可扩展性?...........................................................................................................................................?3 5.5 更加的用户体验?............................................................................................................................... 3?
? 2015 般固（北京）科技股份有限公司
-3-
密级：公开