H3C LB設(shè)備功能概述

1、1 鏈路負(fù)載均衡核心功能介紹1) 出口鏈路健康探測所謂健康檢測，就是負(fù)載均衡設(shè)備定期對鏈路服務(wù)狀態(tài)進(jìn)行探測，收集相應(yīng)信息，及時隔離工作異常的鏈路。健康檢測的結(jié)果除標(biāo)識鏈路能否工作外，還可以統(tǒng)計出鏈路的響應(yīng)時間，作為選擇鏈路的依據(jù)。負(fù)載均衡技術(shù)支持豐富的健康性檢測方法，可以有效地探測和檢查鏈路的運(yùn)行狀態(tài)。ICMP方式：向鏈路上的節(jié)點(diǎn)發(fā)送ICMP Echo報文，若收到ICMP Reply，則鏈路正常。TCP Half Open方式：向鏈路上節(jié)點(diǎn)的某端口發(fā)起TCP連接建立請求，若成功建立TCP半開連接，則鏈路正常。DNS方式：向鏈路上的DNS服務(wù)器發(fā)送DNS請求，若收到正確的DNS應(yīng)答，則鏈路正常。

2、圖1負(fù)載均衡鏈路故障探測功能2) Outbound方向鏈路負(fù)載均衡最理想的outbound鏈路負(fù)載均衡算法是就近性探測，即將將數(shù)據(jù)流分發(fā)到響應(yīng)最快的出鏈路上， Outbound鏈路負(fù)載均衡是以報文的目的地址為目的進(jìn)行檢測，Inbound鏈路負(fù)載均衡是以DNS請求的源地址為目的進(jìn)行檢測。根據(jù)檢測結(jié)果計算出最優(yōu)鏈路，并通過最優(yōu)鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量。就近性檢測根據(jù)以下幾個參數(shù)進(jìn)行加權(quán)計算，得出鏈路加權(quán)數(shù)，并根據(jù)鏈路加權(quán)數(shù)的大小判斷鏈路的優(yōu)劣： 鏈路物理帶寬：即鏈路的可用帶寬值。 鏈路成本：取決于每條鏈路的成本值，比如租用聯(lián)通10M鏈路每月1萬元，租用電信10M鏈路每月1.5萬元，則兩

3、條鏈路的成本比例為2：3，兩條鏈路成本的取值應(yīng)該滿足該比例。 鏈路延遲時間（即RTT）：通過鏈路健康性檢測獲得。 路由跳數(shù)（即TTL）：通過鏈路健康性檢測獲得。 ISP表項：負(fù)載均衡內(nèi)置各運(yùn)營商IP地址列表，outbound方向報文的目的IP地址如果與某ISP表項匹配，則將報文從匹配的ISP鏈路送出去。 鏈路靜態(tài)調(diào)度算法：對每條鏈路輪詢（加權(quán)輪詢）分發(fā)數(shù)據(jù)流、根據(jù)報文的源IP/Port Hash、選擇鏈路中并發(fā)連接數(shù)最少、鏈路中最大剩余帶寬等方式。 持續(xù)性（會話保持）表項：針對網(wǎng)上銀行、電子購物等應(yīng)用，某一用戶的一次交易過程中的多個連接從同一個

4、鏈路送出去（做NAT時保證源IP不變，否則網(wǎng)銀或電子購物服務(wù)器會將源IP漂移的報文視為攻擊），就是持續(xù)性功能。負(fù)載均衡設(shè)備會將首次出方向報文的選路結(jié)果記錄下來形成持續(xù)性表項，某數(shù)據(jù)流后續(xù)報文均根據(jù)持續(xù)性表項進(jìn)行轉(zhuǎn)發(fā)。圖2 Outbound鏈路負(fù)載均衡選路示意圖負(fù)載均衡設(shè)備對出方向的每一個數(shù)據(jù)流的目的IP進(jìn)行探測，選出最優(yōu)鏈路進(jìn)行分發(fā)。在實際應(yīng)用中，尤其是在大型網(wǎng)絡(luò)中如高校出口、運(yùn)營商出口，其用戶群訪問的目的IP以數(shù)十萬甚至上百萬來計，如果負(fù)載均衡設(shè)備本身同時探測每個目的IP的響應(yīng)時間，對負(fù)載均衡設(shè)備性能消耗較大，因此就近性探測方法一般針對小型網(wǎng)絡(luò)或?qū)SP表項無法匹配的數(shù)據(jù)流。如圖2所示，對出

5、方向數(shù)據(jù)流首先進(jìn)行ISP表項匹配，對于目的IP未匹配的報文可采用靜態(tài)分發(fā)算法如輪詢或加權(quán)輪詢、動態(tài)算法如鏈路最小并發(fā)連接等以及就近性探測均可。3) Inbound方向鏈路負(fù)載均衡內(nèi)網(wǎng)和外網(wǎng)之間存在多條鏈路時，通過Inbound鏈路負(fù)載均衡可以實現(xiàn)在多條鏈路上分擔(dān)外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器的流量。Inbound鏈路負(fù)載均衡的典型組網(wǎng)如圖3所示。圖3Inbound鏈路負(fù)載均衡組網(wǎng)圖Inbound鏈路負(fù)載均衡中，負(fù)載均衡設(shè)備作為權(quán)威名稱服務(wù)器記錄域名與內(nèi)網(wǎng)服務(wù)器IP地址的映射關(guān)系。一個域名可以映射為多個IP地址，其中每個IP地址對應(yīng)一條物理鏈路。外網(wǎng)用戶通過域名方式訪問內(nèi)網(wǎng)服務(wù)器時，本地DNS服務(wù)器將域

6、名解析請求轉(zhuǎn)發(fā)給權(quán)威名稱服務(wù)器負(fù)載均衡設(shè)備，負(fù)載均衡設(shè)備依次根據(jù)就近性算法、ISP表選擇最佳的物理鏈路，并將通過該鏈路與外網(wǎng)連接的接口IP地址作為DNS域名解析結(jié)果反饋給外網(wǎng)用戶，外網(wǎng)用戶通過該鏈路訪問內(nèi)網(wǎng)服務(wù)器。這里提及的就近性算法、ISP表項匹配原理與Outbound同，只是探測的是入方向報文的源IP而已。詳細(xì)的實現(xiàn)機(jī)制見圖4。圖4 Inbound鏈路負(fù)載均衡實現(xiàn)示意圖（智能DNS功能）4) 來回路徑一致在多ISP出口的應(yīng)用場景中，用戶對互聯(lián)網(wǎng)提供公眾服務(wù)（如WEB、郵件系統(tǒng)）中，由于出口路由器一般配置靜態(tài)策略居多，容易出現(xiàn)用戶請求報文與服務(wù)器響應(yīng)報文來回路徑不一致的情況。如圖5所示。圖5

7、 鏈路負(fù)載均衡來回路徑一致功能這將會導(dǎo)致兩個問題：1、 用戶訪問業(yè)務(wù)速度極慢，請求報文從電信進(jìn)來，響應(yīng)報文從移動出去，并跨網(wǎng)回送到電信，容易受到運(yùn)營商跨網(wǎng)轉(zhuǎn)發(fā)的速度瓶頸。2、 用戶無法正常訪問業(yè)務(wù)：如果運(yùn)營商的設(shè)備開啟URPF(反向單播逆向路徑檢測)功能，那么響應(yīng)報文可能會被其他運(yùn)營商丟棄。為此，H3C的解決方法是特有的記錄上一跳功能來保證用戶的請求報文和響應(yīng)報文來回路徑一致。其實現(xiàn)原理是：負(fù)載均衡設(shè)備依據(jù)用戶請求報文的五元組生成會話表，并把該會話表與入端口（物理或邏輯）對應(yīng)關(guān)系記錄成上一跳表項；但服務(wù)器響應(yīng)報文會匹配到會話表，負(fù)載均衡設(shè)備會不再經(jīng)路由查詢、自動選路等處理直接將響應(yīng)報文從入接口

8、轉(zhuǎn)發(fā)出去。5) 防鏈路擁塞功能在多家ISP鏈路情況下，無論Outbound方向采用何種負(fù)載均衡算法，都要防止鏈路出現(xiàn)流量過載。H3C負(fù)載均衡提供防鏈路擁塞功能來避免流量過載情況，負(fù)載均衡設(shè)備針對每條鏈路設(shè)置流量閾值，一般閾值略低于鏈路物理帶寬值，當(dāng)該鏈路的實際流量達(dá)到閾值后，后續(xù)按策略應(yīng)由該鏈路轉(zhuǎn)發(fā)的新的數(shù)據(jù)流會分發(fā)到其他低負(fù)載鏈路上。2 Inbound鏈路負(fù)載均衡工作機(jī)制 Inbound 鏈路負(fù)載均衡包括以下幾個基本元素： 集群：提供網(wǎng)絡(luò)流量負(fù)載均衡的群體，包括 LB product、物理鏈路、本地 DNS 服務(wù)器。 LB product：作為待解析域名的權(quán)威服務(wù)器，負(fù)責(zé)指導(dǎo)外網(wǎng)到內(nèi)網(wǎng)流量的

9、路徑。 物理鏈路：運(yùn)營商提供的實際鏈路。 本地 DNS 服務(wù)器：負(fù)責(zé)解析 Host 發(fā)送的 DNS 請求的本地 DNS 服務(wù)器。 Inbound 鏈路負(fù)載均衡的工作流程如下圖所示。 圖1-13 Inbound 鏈路負(fù)載均衡流程圖 Local DNS server(1) DNS request HostLB product DNS request (2) DNS response (4) DNS response (5) Scheduler (3) Resource access (6) 流程簡述如下： 1. 外部用戶進(jìn)行資源訪問前先進(jìn)行 DNS 解析，向其本地 DNS 服務(wù)器發(fā)送 DNS 請求

10、。 2. 本地 DNS 服務(wù)器將 DNS 請求的源 IP 地址替換為自己的 IP 地址，并轉(zhuǎn)發(fā)給域名對應(yīng)的權(quán)威服務(wù)器LB product。 3. LB product 根據(jù) DNS 請求的域名和配置的 Inbound 鏈路負(fù)載均衡規(guī)則進(jìn)行域名解析。 4. LB product 按照域名解析的結(jié)果，將 DNS 應(yīng)答發(fā)送給本地 DNS 服務(wù)器。 5. 本地 DNS 服務(wù)器將解析結(jié)果轉(zhuǎn)發(fā)給用戶。 6. 用戶使用解析結(jié)果選擇的鏈路，直接對 LB product 進(jìn)行資源訪問。 3 配置DNS重定向功能和DNS TTL 1. 在導(dǎo)航欄中選擇“負(fù)載均衡 > 鏈路負(fù)載均衡 > Inbound”，

11、進(jìn)入如下圖所示的頁面。 圖1-59 使能 DNS 重定向 2. 設(shè)置是否使能 DNS 重定向功能。只有使能了 DNS 重定向功能，Inbound 鏈路負(fù)載均衡才會生效。 3. 設(shè)置是否使能 ISP 選路功能。 4. 設(shè)置 DNS 應(yīng)答報文中的 TTL（Time to Live，生存時間），以決定域名解析結(jié)果可以被客戶端緩存的時間。 5. 單擊<確定>按鈕完成操作。 4 配置DNS表項 1. 配置DNS A記錄 1. 在導(dǎo)航欄中選擇“負(fù)載均衡 > 鏈路負(fù)載均衡 > Inbound”，進(jìn)入如圖 1-59 所示的頁面。 2. 在“DNS 表項”中，類型單選按鈕選擇“A”，頁面

12、顯示 DNS A 記錄的信息。 (3) 單擊<新建>按鈕，進(jìn)入新建 DNS A 記錄的配置頁面，如下圖所示。 圖1-60 新建 DNS A 記錄 3. (4) 配置 DNS A 記錄的參數(shù)，詳細(xì)配置如下表所示。 (5) 單擊<確定>按鈕完成操作。 表1-24 新建 DNS A 記錄的詳細(xì)配置 配置項 說明 域名 供外部訪問的域名 IP地址 域名對應(yīng)的IP地址，即外網(wǎng)用戶訪問時終使用的IP地址 物理鏈路 域名對應(yīng)的物理鏈路 ACL DNS A記錄的ACL ACL的具體規(guī)則在“安全特性 > ACL”中配置 2. 配置DNS MX記錄 1. 在導(dǎo)航欄中選擇“負(fù)載均衡 &

13、gt; 鏈路負(fù)載均衡 > Inbound”，進(jìn)入如圖 1-59 所示的頁面。 2. 在“DNS 表項”中，類型單選按鈕選擇“MX”，頁面顯示 DNS A 記錄的信息。 3. 單擊<新建>按鈕，進(jìn)入新建 DNS MX 記錄的配置頁面，如下圖所示。 圖1-61 新建 DNS MX 記錄 配置 DNS MX 記錄的參數(shù)，詳細(xì)配置如下表所示。 (5) 單擊<確定>按鈕完成操作。 表1-25 新建 DNS MX 記錄的詳細(xì)配置 配置項 說明 域名 供外部訪問的域名 郵件服務(wù)器名稱 域名對應(yīng)的郵件服務(wù)器名稱 優(yōu)先級 該條記錄的優(yōu)先級，數(shù)值越小優(yōu)先級越高 5 鏈路負(fù)載均衡應(yīng)用場

14、景分析1) 同一家運(yùn)營商，多條鏈路圖6 多條相同運(yùn)營商鏈路此種情況多為備份+帶寬擴(kuò)容，各鏈路的質(zhì)量（除帶寬外）大致相同，因此建議直接采用基于各條鏈路帶寬值的加權(quán)輪詢方式進(jìn)行負(fù)載均衡（如圖6建議按1:1:2的權(quán)值進(jìn)行輪詢分發(fā)），無需鏈路就近性探測，并建議開啟會話保持功能，保證同一條數(shù)據(jù)流的后續(xù)報文從同一鏈路出去，以便出方向的NAT地址轉(zhuǎn)換使用相同的IP地址，避免訪問網(wǎng)銀業(yè)務(wù)、電子購物等應(yīng)用時被誤認(rèn)為攻擊而導(dǎo)致無法正常交易。2) 2、不同運(yùn)營商，多條鏈路（1）圖7 多條不同運(yùn)營商鏈路（一）大型的網(wǎng)絡(luò)中較多使用此方式，在實現(xiàn)鏈路備份+鏈路帶寬擴(kuò)容的同時，將對外提供的業(yè)務(wù)系統(tǒng)同時發(fā)布到多家運(yùn)營商（每個

15、運(yùn)營商內(nèi)的用戶訪問速度均較快），如圖7所示。由于目的IP是ISP1的報文可能被輪詢到ISP2的鏈路上，訪問速度會不理想，按照outbound訪問最快的原則，網(wǎng)絡(luò)規(guī)模較小的情況，可采用就近性探測+會話保持+鏈路保護(hù)機(jī)制，對于規(guī)模較大的網(wǎng)絡(luò)建議采用根據(jù)ISP地址匹配進(jìn)行分流，對于目的IP與ISP表項不匹配的數(shù)據(jù)流，可采用就近性探測或按照鏈路帶寬的加權(quán)輪詢的方式，并開啟基于源IP的會話保持功能。3) 不同運(yùn)營商，多條鏈路（2）圖8 多條不同運(yùn)營商鏈路（二）在多家運(yùn)營商、多條運(yùn)營商鏈路的用戶，某些業(yè)務(wù)需要獨(dú)享一定的帶寬，比如高校出口網(wǎng)絡(luò)，教師辦公需要一定的帶寬保證。如圖8所示，H3C負(fù)載均衡提供在一條

16、物理鏈路上配置多條邏輯鏈路功能，在一條鏈路上給教師分配一定帶寬的邏輯鏈路，教師的教學(xué)辦公的流量從優(yōu)先保障的鏈路轉(zhuǎn)發(fā)，學(xué)生的流量從剩余的邏輯鏈路和其他物理鏈路按照上述“不同運(yùn)營商，多條鏈路之一”進(jìn)行轉(zhuǎn)發(fā)。4) 廣域網(wǎng)多鏈路在廣域網(wǎng)鏈路中，常常會采用雙鏈路方式，負(fù)載均衡可較好的對廣域網(wǎng)流量進(jìn)行負(fù)載均衡并提供高可靠性和特定業(yè)務(wù)流的帶寬保障，如圖9所示。圖9 廣域網(wǎng)鏈路負(fù)載均組網(wǎng)說明 LB將出方向的流量按照加權(quán)輪詢方式將流量分擔(dān)到兩條廣域網(wǎng)鏈路上。  LB實現(xiàn)鏈路保護(hù)機(jī)制：針對每條鏈路設(shè)置流量閾值，流量超過閾值，新數(shù)據(jù)流將分發(fā)到另一條鏈路。  鏈路故障檢測：LB通過ICM

17、P或TCP half open探測鏈路故障，并將數(shù)據(jù)流分發(fā)到健康的鏈路上。  視頻數(shù)據(jù)流的Qos，LB為視頻數(shù)據(jù)流創(chuàng)建一條獨(dú)享的邏輯鏈路（最小帶寬保障），其他辦公流量走剩下的帶寬。  來回路徑一致：LB記錄廣域網(wǎng)來的數(shù)據(jù)流的上一跳接口，保證數(shù)據(jù)流來回路徑一致。6 鏈路負(fù)載均衡組網(wǎng)方案圖10 典型出口鏈路負(fù)載均衡組網(wǎng)方案出口鏈路負(fù)載均衡根據(jù)不同算法進(jìn)行選路，選路之后需要做NAT。NAT對出口設(shè)備而言是非常專業(yè)的功能，但對一般負(fù)載均衡廠家的設(shè)備而言，卻非其核心功能。因為NAT要具備豐富完善的ALG功能（應(yīng)用層網(wǎng)關(guān)，滿足各種不同應(yīng)用穿越NAT）。并且單IP做NAT地址轉(zhuǎn)換要不受限6萬個并發(fā)連接的限制。