F5多出口鏈路負載均衡解決方案計劃(LC)1127

PAGE20F5Networks多出口鏈路負載均衡解決方案建議

目錄TOC\o"1-3"\h\z一．多出口鏈路負載均衡需求分析 4二．多出口鏈路負載均衡解決方案概述 5多出口鏈路負載均衡網(wǎng)絡(luò)拓樸設(shè)計 5方案描述 6方案優(yōu)點 7拓撲結(jié)構(gòu)方面 7安全機制方面 7三．技術(shù)實現(xiàn) 8F5多出口鏈路負載均衡（產(chǎn)品選型：BigipLC） 8Outbound流量負載均衡實現(xiàn)原理 9Inbound流量負載均衡實現(xiàn)原理 10在鏈路負載均衡環(huán)境中的DNS設(shè)計和域名解析方式 12RootDNS（注冊DNS）直接與F5多鏈路負載均衡器配合 12RootDNS（注冊DNS）通過第三方DNSServer與F5多鏈路負載均衡器配合（我們建議這種方式） 13F5設(shè)備雙機冗余毫秒級切換原理 15StatefulFailOver技術(shù)（與F5設(shè)備雙機冗余有關(guān)） 16四．產(chǎn)品介紹 17F5Bigip 17

一．多出口鏈路負載均衡需求分析為了保證XXXX出口鏈路的高可用性和訪問效率，計劃擁有兩條線路：一條中國網(wǎng)通鏈路，一條中國電信鏈路。F5公司的多鏈路負載均衡設(shè)備（Bigip）能夠提供獨具特色的解決方案，不但能夠充分利用這兩條鏈路（雙向流量按照預(yù)設(shè)的算法分擔(dān)到不同的鏈路上，一旦一條鏈路不通的情況下，能夠無縫切換到另外一條可用鏈路上）；而且可以根據(jù)對不同鏈路的偵測結(jié)果，將最快速的鏈路提供給外部用戶進行響應(yīng)，從而解決目前廣泛存在的多個ISP之間的互聯(lián)互通問題。具體解決方案特色如下：提供內(nèi)網(wǎng)至internet流量的負載均衡（Outbound）實現(xiàn)從Internet對服務(wù)器訪問流量的負載均衡（Inbound）支持自動檢測和屏蔽故障Internet鏈路支持多種靜態(tài)和動態(tài)算法智能均衡多個ISP鏈路的流量支持多出口鏈路動態(tài)冗余，流量比率和切換支持多種DNS解析和規(guī)劃方式，適合各種用戶網(wǎng)絡(luò)環(huán)境支持Layer2－7交換和流量管理控制功能完全支持各種應(yīng)用服務(wù)器負載均衡，防火墻負載均衡多層安全增強防護，抵擋黑客攻擊業(yè)界領(lǐng)先的雙機冗余切換機制，能夠做到毫秒級切換詳細的鏈路監(jiān)控報表，提供給網(wǎng)絡(luò)管理員直觀詳細的圖形界面對于用戶完全透明對所有應(yīng)用無縫支持業(yè)界優(yōu)異的硬件平臺和性能穩(wěn)定，安全的設(shè)備運行記錄二．多出口鏈路負載均衡解決方案概述多出口鏈路負載均衡網(wǎng)絡(luò)拓樸設(shè)計下面是專門為XXXX設(shè)計的多出口鏈路負載均衡網(wǎng)絡(luò)拓撲圖（單機版）。下面是專門為XXXX設(shè)計的多出口鏈路負載均衡網(wǎng)絡(luò)拓撲圖（雙機冗余版）。方案描述此方案中，分別設(shè)計單臺鏈路負載均衡和雙機冗余鏈路負載均衡兩種網(wǎng)絡(luò)拓撲，供杭州政府信息中心選擇。考慮到鏈路負載均衡在網(wǎng)絡(luò)構(gòu)架中的位置，以及今后的擴展性，建議采用F5公司的BigipLC兩臺,提供兩條出口鏈路（中國網(wǎng)通和中國電信）的負載均衡，其中兩條Internet出口鏈路都通過普通網(wǎng)線或光電轉(zhuǎn)換器與BigipLC連接（如果雙機冗余，需要從每個ISP引進兩根進線，可以在BigipLC前面放置一臺二層交換機做端口拓展），BigipLC與兩臺冗余的防火墻通過網(wǎng)絡(luò)端口連接。兩臺BigipLC互為冗余。通過這樣的優(yōu)化后，系統(tǒng)具有以下特征：結(jié)構(gòu)合理：整個網(wǎng)絡(luò)結(jié)構(gòu)布局合理，層次分明，便于管理與維護?？捎眯愿?Bigip動態(tài)檢查各條出口鏈路的健康狀態(tài)，并將下一個請求分配給最有效率的鏈路，任何一條鏈路發(fā)生故障時，BIGIP即刻將請求分配給其他的鏈路，從而達到%系統(tǒng)有效性。安全性高:BIGIP支持地址翻譯技術(shù)和安全地址翻譯，這樣一來客戶不可能知道真正提供服務(wù)的服務(wù)器的IP地址與端口，BIGIP采用SSH和SSL技術(shù)，可以防止來自內(nèi)部或互聯(lián)網(wǎng)上的黑客攻擊。效率高:BIGIP可以智能尋找最佳的出口鏈路，從而保證客戶得到最快的上網(wǎng)訪問速度。可擴展性高:BIGIP可以支持動態(tài)增加或刪除其負載均衡的鏈路群組的任何數(shù)量的鏈路，而不需要對客戶端或后臺做任何改變從而使得系統(tǒng)擴展輕松方便。可管理性高:BIGIP可以實時監(jiān)控整個鏈路群組的流量狀態(tài)，并分析發(fā)展趨勢幫助客戶及時根據(jù)流量增長增加出口帶寬。保護投資：BIGIP還免費帶有服務(wù)器負載均衡和防火墻負載均衡的功能。

方案優(yōu)點2.3.1拓撲結(jié)構(gòu)方面可以輕松形成全冗余連接方法,保證網(wǎng)絡(luò)沒有單點故障的存在。提供多出口鏈路的負載均衡，今后，通過免費無縫拓展，可以對各種應(yīng)用服務(wù)器，防火墻/VPN/IDS等網(wǎng)絡(luò)設(shè)備全部可以采用負載均衡方式處理網(wǎng)絡(luò)流量,提高網(wǎng)絡(luò)服務(wù)能力和投資回報率。比較少的網(wǎng)絡(luò)層次,較少網(wǎng)絡(luò)延遲，避免運行維護時面對大量網(wǎng)絡(luò)設(shè)備。靈活的擴展空間,用戶可以根據(jù)實際的網(wǎng)絡(luò)流量和壓力增加帶寬，增加鏈路,添加防火墻或增加服務(wù)器來提高整體的服務(wù)水平。2.3.2安全機制方面HTTPS,SSH等加密的網(wǎng)絡(luò)管理,避免明碼通訊對網(wǎng)絡(luò)設(shè)備控制時的安全隱患。F5的VIP一旦配置成功,服務(wù)的TCP/UDP端口也就同時確認,除特定服務(wù)外,其他的端口就全部被封閉了,保護服務(wù)器避免被端口掃描.在防止DOS攻擊方面,F5提供免費的防護,特別對于PingofDeath,F5的VIP一旦規(guī)定成功就對Ping包做中繼處理,避免攻擊對服務(wù)器的壓力.并且，F(xiàn)5具備攻擊回收技術(shù)，同時可以設(shè)置在資源消耗在97%（可設(shè)）時重啟，切換到備份設(shè)備工作。

三．技術(shù)實現(xiàn)3.1F5多出口鏈路負載均衡（產(chǎn)品選型：BigipLC）BigipLC的特色：提供內(nèi)網(wǎng)至internet流量的負載均衡（Outbound）實現(xiàn)從Internet對服務(wù)器訪問流量的負載均衡（Inbound）支持自動檢測和屏蔽故障Internet鏈路支持多種靜態(tài)和動態(tài)算法智能均衡多個ISP鏈路的流量支持多出口鏈路動態(tài)冗余，流量比率和切換支持多種DNS解析和規(guī)劃方式，適合各種用戶網(wǎng)絡(luò)環(huán)境支持Layer2－7交換和流量管理控制功能完全支持各種應(yīng)用服務(wù)器負載均衡，防火墻負載均衡多層安全增強防護，抵擋黑客攻擊業(yè)界領(lǐng)先的雙機冗余切換機制，能夠做到毫秒級切換詳細的鏈路監(jiān)控報表，提供給網(wǎng)絡(luò)管理員直觀詳細的圖形界面對于用戶完全透明對所有應(yīng)用無縫支持業(yè)界優(yōu)異的硬件平臺和性能穩(wěn)定，安全的設(shè)備運行記錄[技術(shù)實現(xiàn)原理]：下圖是一個典型的F5多出口鏈路負載均衡解決方案的應(yīng)用案例。圖中F5多鏈路負載均衡設(shè)備通過ISP1和ISP2接入Internet。每個ISP都分配給該網(wǎng)絡(luò)一個IP地址網(wǎng)段，假設(shè)ISP1分配的地址段為/24，ISP2分配的地址段為/24（此處的/24表示網(wǎng)絡(luò)IP地址段為：，子網(wǎng)掩碼為24位，即）。同樣，Internet知道通過ISP1訪問/24，通過ISP2訪問/24。網(wǎng)絡(luò)中的主機和服務(wù)器都屬于私有網(wǎng)段/24。多鏈路負載均衡設(shè)備解決方案就是在內(nèi)部交換機和連接ISP的路由器之間，跨接一臺多鏈路負載均衡設(shè)備應(yīng)用交換機，所有的地址翻譯和Internet鏈路優(yōu)化全部由多鏈路負載均衡設(shè)備來完成。如果網(wǎng)絡(luò)中有防火墻，也可以選擇由防火墻來做地址翻譯。Outbound流量負載均衡實現(xiàn)原理F5多鏈路負載均衡設(shè)備主要采用以下幾種技術(shù)來處理Outbound流出流量。DefaultGatewayPool在DefaultGatewayPool中，定義相應(yīng)的ISP對端路由器地址，作為負載均衡的對象，并且可以捆綁健康檢查，負載均衡算法以及會話保持等屬性。DefaultGatewayPool中的Nodes定義為多個F5多鏈路負載均衡設(shè)備的缺省路由。IRules對于復(fù)雜的鏈路選擇需求，可以使用F5獨有的irules來定義。WildcartVirtualServerWildcartVirtualServer－:0/internal，WildcartVirtualServer是指這個特殊的虛擬服務(wù)器，一般用于捆綁DefaultGatewayPool。SNAT/SNATAutomap對于Outbound流量的地址翻譯，F(xiàn)5多鏈路負載均衡設(shè)備使用了稱為SNAT的方法。當(dāng)選定一個路由器（某一個ISP）傳送Outbound流量時，多鏈路負載均衡設(shè)備將選擇該ISP提供的地址。在上圖中，如果多鏈路負載均衡設(shè)備選擇ISP1作為Outbound流量的路徑，則它將把內(nèi)部的主機地址翻譯為，并作為Outbound數(shù)據(jù)包的源地址。同樣，如果多鏈路負載均衡設(shè)備選擇ISP2作為Outbound流量的路徑，則它將把內(nèi)部的主機地址翻譯為，并作為Outbound數(shù)據(jù)包的源地址。當(dāng)F5多鏈路負載均衡設(shè)備定義：將內(nèi)部的主機地址翻譯為VlanSelf-IP時，即，時，稱為SNATAutomap。Inbound流量負載均衡實現(xiàn)原理F5多鏈路負載均衡設(shè)備主要采用以下幾種技術(shù)來處理Inbound流入流量。DNS解析器（WideIP）Inbound流量負載均衡的核心技術(shù)是DNS解析的問題。外部用戶訪問在DNS請求時，就通過F5多鏈路負載均衡設(shè)備獲知了鏈路的健康狀況和鏈路優(yōu)先選擇，這樣多鏈路負載均衡設(shè)備必須承擔(dān)部分DNS的功能，以便返回給用戶相應(yīng)的訪問IP地址。F5多鏈路負載均衡設(shè)備支持A記錄和*記錄解析。WideIP可以捆綁各種Inbound負載均衡算法：CompletionRate，GlobalAvailability，hops，kilobytes/second，leastconnections，PacketRate，QualityofService，Random，Ratio，RoundRobin，RoundTripTime，StaticPersist，VSCapacity。VirtualServer/NetworkVirtualServer/TransparentVirtualServer由于所有的F5多鏈路負載均衡設(shè)備可以兼做服務(wù)器負載均衡，因此F5返回給用戶DNS解析是VirtualServer；對于一些特殊的場合，需要配置一些特殊的VirtualServer，例如：NetworkVirtualServer以及TransparentVirtualServer。ForwardingPool有的情況下，既不需要地址翻譯，有不需要服務(wù)器負載均衡，但是又需要pool的一些特性時（例如：AutoLasthop），必須配置ForwardingPool。Lasthoppool/AutoLasthopF5的Lasthop功能，稱為基于連接的路由，用在F5處理數(shù)據(jù)包回應(yīng)時，會根據(jù)上一跳路由設(shè)備的MAC地址，確定返回路徑，以便正確返回給最初發(fā)起訪問數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備。NAT對于直接通過IP地址進行訪問的Inbound流量，并且內(nèi)部主機需要Outbound訪問，需要配置相應(yīng)的NAT記錄，來保證從多條鏈路都能訪問內(nèi)部服務(wù)器，與VirtualServer加上SNAT功能相當(dāng)（細節(jié)有所不同）。對于Email而言，由于外部Email服務(wù)器需要進行地址反向解析，因此使用VirtualServer+SNAT方式。

·t???÷?óáDWeb?÷1ü·t???÷?óáDWeb?÷1ü在鏈路負載均衡環(huán)境中的DNS設(shè)計和域名解析方式Issue：1、多鏈路負載均衡設(shè)備只能做A記錄和*記錄解析；2、有的RootDNSServer（注冊DNS）不支持二級子域的NS委派，例如：新網(wǎng)3、用戶LocalDNSServer的Cache問題所以，產(chǎn)生出以下多種域名解析方式。RootDNS（注冊DNS）直接與F5多鏈路負載均衡器配合CNAME方式 IN CNAME INNS。 INNS。 IN A（F5設(shè)備地址） IN A（F5設(shè)備地址）在Inbound負載均衡中，普遍使用的一種域名解析方法。NS委派方式 IN NS。 INNS。 IN A（F5設(shè)備地址） IN A（F5設(shè)備地址）這種方式因為F5多鏈路負載均衡器不支持全記錄解析，在客戶有MX記錄時，一般不使用。RootDNS（注冊DNS）通過第三方DNSServer與F5多鏈路負載均衡器配合（我們建議這種方式）CNAME方式RootDNSCNAME第三方DNS INNS INNS IN A（F5設(shè)備地址） IN A（F5設(shè)備地址）有的RootDNS（注冊DNS）不支持二級子域的NS委派（例如：新網(wǎng)），需要第三方DNSServer的配合，是前面方式的變體。NS方式RootDNS. IN NS。 IN NS。 IN A（第三方DNS地址） IN A（第三方DNS地址）第三方DNS IN CNAME INNS。 INNS。 IN A（F5設(shè)備地址） IN A（F5設(shè)備地址）我們建議采用這種方式。F5設(shè)備雙機冗余毫秒級切換原理F5Networks公司的BIGIP產(chǎn)品是業(yè)界唯一的可以達到ms級切換的產(chǎn)品,而且設(shè)計極為合理,所有會話通過Active的BIGIP的同時,會把會話信息通過同步數(shù)據(jù)線同步到Standby的BIGIP,由設(shè)備中的watchdog芯片通過心跳線監(jiān)控設(shè)備的電頻,當(dāng)ActiveBIGIP故障時,watchdog會首先發(fā)現(xiàn),并通知StandbyBIGIP接管SharedIP,VIP,NAT,SNAT等,保持訪問的暢通和在線會話的數(shù)據(jù).在用戶端的表現(xiàn)是在ping包上會有1~2個中斷，而應(yīng)用上不會中斷，可以持續(xù)運行，對于關(guān)鍵的應(yīng)用系統(tǒng)是非常重要的。另外，BIGIP還可以允許手工切換Active/Standby的狀態(tài)，來配合系統(tǒng)維護。

StatefulFailOver技術(shù)（與F5設(shè)備雙機冗余有關(guān)）通過SessionMirror以及PersistenceMirror技術(shù)，保證F5設(shè)備在發(fā)生切換時，不影響在線業(yè)務(wù)的連續(xù)訪問。

四．產(chǎn)品介紹F5BigipLC關(guān)鍵特性與優(yōu)勢為擁有多條鏈路和多家ISP提供商的站點提供高可用性%)；全方位鏈路監(jiān)視，提供實時的鏈路狀況和容量信息；消除帶有BGP的多歸屬的部署障礙；采用高級分組交換技術(shù)；對用戶和ISP提供商透明；把用戶導(dǎo)向速度最快的鏈路；平衡流量以最大限度地利用鏈路資源和吞吐量；鏈接成本負載平衡功能把流量導(dǎo)向花費最低的鏈路，以實現(xiàn)最低的帶寬成本；提供無縫的鏈路歸并，以實現(xiàn)靈活的帶寬可擴充性和降低成本；服務(wù)質(zhì)量（QoS）為滿足各種業(yè)務(wù)需求提供個性化的流量控制；提供安全網(wǎng)絡(luò)地址轉(zhuǎn)換（SNAT）和智能DNS，從而實現(xiàn)雙向流量控制；實時性能監(jiān)視和數(shù)據(jù)統(tǒng)計以評估鏈路性能；可同時支持各種應(yīng)用服務(wù)器負載平衡；可同時支持防火墻三明治負載平衡；為所有基于TCP和UDP的流量及其它IP流量提供鏈路負載平衡；通過Web瀏覽器和CLI提供安全與遠程管理增設(shè)鏈路控制器（LinkController）提供完全冗余，以進行二級故障切換保護；支持iControl－為F5的IP流量和內(nèi)容管理產(chǎn)品系列提供的業(yè)界首款開放應(yīng)用編程接口（API）。BIG-IP?LinkController多歸屬網(wǎng)絡(luò)的高可用性和鏈路控制隨著企業(yè)逐漸采用互聯(lián)網(wǎng)傳送關(guān)鍵任務(wù)應(yīng)用，只與公共網(wǎng)絡(luò)保持一個鏈路就意味著單點故障和嚴重的網(wǎng)絡(luò)隱患。F5BIG-IPLinkController：提供可靠的網(wǎng)絡(luò)連接管理多個鏈路上的入站/出站流量通過最佳性能鏈路發(fā)送流量提高鏈接的可擴充性和吞吐量實現(xiàn)最大的企業(yè)連接投資回報率消除帶有BGP的多歸屬的部署障礙和成本確?？煽康木W(wǎng)絡(luò)連接高可用性BIG-IPLinkController可檢測整個鏈路所出現(xiàn)的錯誤，從而提供可靠的端到端連接。它負責(zé)監(jiān)視每個連接的狀況和可用性以及檢測鏈路或ISP是否發(fā)生故障。如果出現(xiàn)故障，流量將被動態(tài)透明地導(dǎo)向其它可用鏈路，以確保可靠的數(shù)據(jù)中心連接。全方位鏈路監(jiān)視BIG-IP通過網(wǎng)關(guān)路由器提供鏈路工作狀況和吞吐量的全景圖，確保鏈路的可用性并提供關(guān)于任何指定鏈路帶寬及容量的詳細信息。LinkController也可檢測出由ISP配置錯誤或其它手工操作錯誤引起的故障。最大限度地擴大帶寬和提高投資回報鏈接成本負載平衡鏈接成本負載平衡功能可幫助您為所有的通向數(shù)據(jù)中心的流量選擇最低成本的連接方式。流量被導(dǎo)向花費最低的鏈路，從而將帶寬投資降至最低限度；消除過量供應(yīng)的情況；為不同連接和不同成本的線路提供靈活性，以擴大帶寬，消除帶寬瓶頸，同時減少對低效率帶寬的使用和相關(guān)成本的開銷。帶寬的可擴充性無論對于何種鏈路或提供商，LinkController都可幫助您歸并花費較低且較窄的線路，以提供低成本的帶寬冗余，同時減少浪費在閑置光纖或備用線路上的成本。可擴充性BIG-IP鏈路控制器為企業(yè)提供了一個可擴充平臺：集成防火墻負載平衡，為冗余防火墻部署提供高可用性；可通過升級增強服務(wù)器和高速緩存的本地負載平衡；可通過升級支持全面、多站點的全局負載平衡和災(zāi)難恢復(fù)；可隨企業(yè)發(fā)展而擴展的高性能端口密集型平臺；支持數(shù)千兆位吞吐量以及任何數(shù)量的ISP。全方位流量控制區(qū)組控制BIG-IPLinkController為用戶提供了所需的最佳流量控制和靈活性，以最大限度地提高可用性、性能和降低公司連接成本。LinkController提供透明的流量分配循環(huán)負載平衡；對于希望擴充鏈路的用戶，LinkController可在規(guī)模相近的連接上均勻分配流量，從而擴大帶寬。比率負載平衡對于購買具有不同吞吐容量的鏈路的用戶，比率負載平衡可根據(jù)不同鏈路帶寬（DSL、T1和T3）均勻分布負載。鏈接容量和吞吐量BIG-IPLinkController可允許您根據(jù)實時的流量與吞吐量來確定和控制流量在鏈路上的分布方式。這可以提高性能和增加可用的帶寬（含線路冗余），同時消除鏈路的擁塞情況。當(dāng)某個鏈