局域網(wǎng)智能負(fù)載平衡系統(tǒng)的研究與應(yīng)用

局域網(wǎng)智能負(fù)載平衡系統(tǒng)的研究與應(yīng)用

關(guān)鍵詞：智能負(fù)載平衡BGP路由1.引言隨著學(xué)校信息化的進(jìn)一步加強(qiáng)，局域網(wǎng)與Internet的聯(lián)系也越來越密切。從現(xiàn)有的網(wǎng)絡(luò)狀況看，局域網(wǎng)現(xiàn)在已擁有了2條連接Internet的鏈路，分別為：100MBps鏈路連接到中國網(wǎng)通；100MBps鏈路連接到大慶油田通信。這兩條鏈路不但提供整個局域網(wǎng)用戶訪問Internet的通道，同時也確保局域網(wǎng)的Web站點(diǎn)和Email系統(tǒng)的Internet通路。由于我校非ISP運(yùn)營商，無法提供BGP路由，故無法充分利用現(xiàn)有兩條鏈路的帶寬；同時對外服務(wù)的Web和Email無法在某條Internet鏈路發(fā)生故障的時候自動切換到其余的鏈路上，必須手工設(shè)置切換。然而，由于無法及時發(fā)現(xiàn)故障，常常導(dǎo)致故障持續(xù)較長時間才得到修復(fù)，作為我校對外宣傳服務(wù)的窗口，Web站點(diǎn)和Email服務(wù)的穩(wěn)定性將直接影響到我校的形象。針對以上問題，同時基于目前7層網(wǎng)絡(luò)交換技術(shù)的成熟應(yīng)用，提出了一個從系統(tǒng)架構(gòu)高度出發(fā)的解決方案，不但能夠解決以上問題，而且能夠進(jìn)一步加強(qiáng)我校網(wǎng)絡(luò)的穩(wěn)定性，并提供系統(tǒng)充分的擴(kuò)展手段。2.負(fù)載平衡負(fù)載均衡通過實(shí)時地分析數(shù)據(jù)包，將大量的并發(fā)訪問或數(shù)據(jù)流動態(tài)地分發(fā)到多臺節(jié)點(diǎn)設(shè)備上分別處理，以提高響應(yīng)速度，也可以把單個重負(fù)載的運(yùn)算分發(fā)到多臺節(jié)點(diǎn)設(shè)備上并行處理。處理結(jié)束后，將結(jié)果匯總返回給用戶，從而提高系統(tǒng)的處理能力。2.1基本原理負(fù)載均衡的實(shí)現(xiàn)通常有軟件和硬件設(shè)備兩種。軟件負(fù)載均衡的實(shí)現(xiàn)方式是指在一臺或多臺服務(wù)器相應(yīng)的操作系統(tǒng)上安裝附加軟件來實(shí)現(xiàn)負(fù)載均衡，如DNSLoadBalance等。雖然軟成本低，操作簡便，但是系統(tǒng)開銷大，可擴(kuò)展性差，又受制于操作系統(tǒng)，不適于大型網(wǎng)絡(luò)。硬件負(fù)載均衡的實(shí)現(xiàn)是直接在服務(wù)器和外部網(wǎng)絡(luò)間安裝負(fù)載均衡設(shè)備，由于它獨(dú)立于操作系統(tǒng)，使得整體性能得到大幅度提高，再加上多元化的策略，智能化的管理，可達(dá)到最佳的負(fù)載均衡需求。負(fù)載均衡技術(shù)通常操作于網(wǎng)絡(luò)的第四層或第七層。第四層為傳輸層，它負(fù)責(zé)在數(shù)據(jù)源和目的系統(tǒng)之間協(xié)調(diào)通信。該協(xié)議層包括傳輸控制協(xié)議（TCP）和用戶數(shù)據(jù)報協(xié)議（UDP）；第七層為應(yīng)用層，它控制應(yīng)用層服務(wù)的內(nèi)容，提供了一種對訪問流量的高層控制方式，適合對HTTP服務(wù)器群的應(yīng)用。第四層的負(fù)載均衡是將一個外部IP地址映射為多個內(nèi)部服務(wù)器的IP地址，對每次TCP鏈接請求動態(tài)使用其中一個內(nèi)部IP地址（內(nèi)部IP地址采用虛擬IP-VirtualIP）來達(dá)到負(fù)載均衡的目的。負(fù)載均衡交換機(jī)根據(jù)源端口和目的端口的IP地址、TCP或UDP端口和一定的策率，在服務(wù)器IP和虛擬IP間進(jìn)行映射，選取服務(wù)器群中最好的服務(wù)器來處理鏈接請求。第七號層負(fù)載均衡技術(shù)則是通過對訪問流量的高層控制來實(shí)現(xiàn)負(fù)載均衡的，它檢查流經(jīng)負(fù)載均衡交換機(jī)的HTTP報頭，根據(jù)報頭內(nèi)的信息來執(zhí)行負(fù)載均衡的策略。這就是我們所說的七層交換技術(shù)或Web內(nèi)容交換技術(shù)。負(fù)載均衡使用哈希（HASH）算法來將鏈接的用戶映射到基于IP地址、端口和其他信息服務(wù)器群主機(jī)上。在檢查收到的數(shù)據(jù)包時，所有主機(jī)均同步執(zhí)行這種映射以迅速決定哪個主機(jī)應(yīng)處理該數(shù)據(jù)包。除非服務(wù)器群主機(jī)數(shù)量發(fā)生變化，否則該映射會保持不變。在負(fù)載均衡的設(shè)計(jì)方案上，首先要滿足當(dāng)前和將來的應(yīng)用需要，同時必須對現(xiàn)有投資進(jìn)行保護(hù)；第一性能要高；第二要有高可靠性；第三擴(kuò)展性要好，第四要有充分的靈活性；第五要易于管理。3.局域網(wǎng)智能負(fù)載平衡系統(tǒng)的實(shí)現(xiàn)3.1局域網(wǎng)負(fù)載均衡需求分析及目的根據(jù)局域網(wǎng)建設(shè)的總體設(shè)計(jì)方案要求，我們總結(jié)出網(wǎng)絡(luò)流量管理的具體需求如下：國際網(wǎng)絡(luò)連接的負(fù)載均衡，其中包括內(nèi)部用戶對外的訪問流量和外部用戶對內(nèi)部服務(wù)器的訪問，要求在正常情況下兩條鏈路上的流量是均衡的，在某鏈路故障時自動將其流量切換到另外的鏈路，自動的透明容錯，當(dāng)鏈路恢復(fù)時自動將其加入到負(fù)載均衡中來。學(xué)校內(nèi)部用戶通過代理服務(wù)器的負(fù)載均衡機(jī)制來實(shí)現(xiàn)對互聯(lián)網(wǎng)的的訪問，多臺代理服務(wù)器同時并行工作，某臺服務(wù)器發(fā)生故障時由負(fù)載均衡產(chǎn)品自動檢查到，并且將其從服務(wù)器群組中排除，透明的容錯，避免單臺代理服務(wù)器的性能瓶頸問題。對兩臺NS500防火墻的負(fù)載均衡，包括External，Internal，DMZ的端口的負(fù)載均衡；要求在正常情況下兩臺防火墻上的流量是均衡的，在某臺防火墻故障時自動將其流量切換到另外的防火墻，自動的透明容錯，當(dāng)故障的防火墻恢復(fù)時自動將其加入到負(fù)載均衡中來。均衡系統(tǒng)具備靈活的擴(kuò)展空間，根據(jù)實(shí)際應(yīng)用的需求靈活投資，提高整體服務(wù)能力。3.2學(xué)校Internet鏈路負(fù)載均衡方案針對以上提出的需求分析，我們充分分析目前局域網(wǎng)的實(shí)際狀況，結(jié)合4～7層網(wǎng)絡(luò)交換機(jī)在國際上網(wǎng)絡(luò)優(yōu)化案例的經(jīng)驗(yàn)，總結(jié)出以下流量管理和均衡解決方案。方案采用兩臺7層IP應(yīng)用交換機(jī)LCCatalyst2400分別提供防火墻和服務(wù)器的負(fù)載均衡服務(wù)。7層IP應(yīng)用交換機(jī)之間的容錯可以通過FailOverCable實(shí)現(xiàn)，同時7層IP應(yīng)用交換機(jī)可以通過FailOverCable檢查對方的運(yùn)行狀態(tài)，復(fù)制對方的所有的Session和狀態(tài)信息。LCCatalyst2400對ISP國際網(wǎng)絡(luò)接入流量的負(fù)載均衡實(shí)現(xiàn)方法如下：在雙ISP接入時，每個ISP接入都單獨(dú)采用一臺接入路由器，緊跟路由器的后面連接兩臺LCCatalyst2400，兩臺LCCatalyst2400做冗余備份，兩臺LinkController之間有專用的心跳線檢測檢測備份的激活設(shè)備的狀態(tài)，其后連接兩臺防火墻，對兩臺防火墻采用冗余連接方式。防火墻外網(wǎng)的默認(rèn)路由指向LCCatalyst2400；接入路由器的默認(rèn)路由指向ISP端的路由器。這樣確保在一臺防火墻出現(xiàn)故障時可以通過另外一個訪問Internet。從內(nèi)網(wǎng)至Internet流量的負(fù)載均衡(1)LinkControl上為兩個默認(rèn)路由端建立路由組VIP=0．0．0．0；(2)LinkControl依據(jù)預(yù)先設(shè)定的策略以及當(dāng)時線路狀況動態(tài)智能選擇外出流量通過的路由；(3)若有必要LinkControl可以作相應(yīng)的地址轉(zhuǎn)換工作，將用戶的地址依其將通過的ISP轉(zhuǎn)換成相應(yīng)網(wǎng)段的地址，以確保返回的數(shù)據(jù)包從同一鏈路返回。從Internet進(jìn)入的訪問流量負(fù)載均衡(1)相應(yīng)二條路由建立2個對應(yīng)的虛擬服務(wù)器，各自的地址分別屬于2個ISP的網(wǎng)段；(2)LinkControl內(nèi)置了3DNS功能完全替代了傳統(tǒng)的DNS功能，同時又增加了對各個虛擬服務(wù)器的狀態(tài)和可達(dá)鏈路的狀態(tài)的監(jiān)控，確保提供給用戶真正能夠提供服務(wù)的服務(wù)器；(3)用戶請求petrodaqing．com均由LinkControl進(jìn)行解析，LinkControl可依據(jù)用戶在27種策略中選定的方案分配用戶通過哪條鏈路訪問，或者完全由LinkControl實(shí)現(xiàn)動態(tài)分配；(4)LinkControl可同時監(jiān)控服務(wù)器的狀態(tài)和鏈路狀態(tài)，并且監(jiān)控鏈路狀態(tài)時可以看該鏈路上的多個HOP。3.4方案特點(diǎn)提供多臺防火墻的負(fù)載均衡能力；提供在線維護(hù)防火墻的方法；解決了單臺防火墻的處理能力瓶頸問題；提供了系統(tǒng)的擴(kuò)展能力。4.局域網(wǎng)代理服務(wù)器機(jī)群負(fù)載均衡我校局域網(wǎng)通過代理服務(wù)方式訪問Internet的結(jié)點(diǎn)有1萬臺，由于受到單臺代理服務(wù)器的性能瓶頸和系統(tǒng)故障等問題，影響了訪問Internet的穩(wěn)定性。為此我們采用代理服務(wù)器的負(fù)載均衡機(jī)制解決這一問題。我們在七層交換機(jī)設(shè)置虛擬IP地址（VIP由IP地址和TCP/UDP應(yīng)用的端口組成，它是一個地址）來為用戶的一個或多個目標(biāo)服務(wù)器。因此，它能夠?yàn)榇罅康幕赥CP/IP的網(wǎng)絡(luò)應(yīng)用提供服務(wù)器負(fù)載均衡服務(wù)。七層交換機(jī)連續(xù)地對目標(biāo)服務(wù)器進(jìn)行L4到L7合理性檢查，當(dāng)用戶通過VIP請求目標(biāo)服務(wù)器服務(wù)時，BIG/IP根椐目標(biāo)服務(wù)器之間性能和網(wǎng)絡(luò)健康情況，選擇性能最佳的服務(wù)器響應(yīng)用戶的請求。如果能夠充分利用所有的服務(wù)器資源，將所有流量均衡的分配到各個服務(wù)器，這樣就可以有效地避免“不平衡”現(xiàn)象的發(fā)生。七層交換機(jī)是一臺對流量和內(nèi)容進(jìn)行管理分配的設(shè)備。它提供12種靈活的算法將數(shù)據(jù)流有效地轉(zhuǎn)發(fā)到它所連接的服務(wù)器群。而面對用戶，只是一臺虛擬服務(wù)器。用戶此時只須記住一臺服務(wù)器，即虛擬服務(wù)器。但他們的數(shù)據(jù)流卻被L7靈活地均衡到所有的服務(wù)器。這12種算法主要包括：·輪詢（RoundRobin）：順序循環(huán)將請求一次順序循環(huán)地連接每個服務(wù)器。當(dāng)其中某個服務(wù)器發(fā)生第二到第7層的故障，BIG/IP就把其從順序循環(huán)隊(duì)列中拿出，不參加下一次的輪詢，直到其恢復(fù)正常。·比率（Ratio）：給每個服務(wù)器分配一個加權(quán)值為比例，根椐這個比例，把用戶的請求分配到每個服務(wù)器。當(dāng)其中某個服務(wù)器發(fā)生第二到第7層的故障，BIG/IP就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶請求的分配，直到其恢復(fù)正常。·優(yōu)先權(quán)（Priority）：給所有服務(wù)器分組，給每個組定義優(yōu)先權(quán)，BIG/IP用戶的請求，分配給優(yōu)先級最高的服務(wù)器組（在同一組內(nèi)，采用輪詢或比率算法，分配用戶的請求）；當(dāng)最高優(yōu)先級中所有服務(wù)器出現(xiàn)故障，BIG/IP才將請求送給次優(yōu)先級的服務(wù)器組。這種方式，實(shí)際為用戶提供一種熱備份的方式?！ぷ钌俚倪B接方式（LeastConnection）；·最快模式（Fastest）；·觀察模式（Observed）；·預(yù)測模式（Predictive）；·動態(tài)性能分配（DynamicRatio-APM）；·動態(tài)服務(wù)器補(bǔ)充（DynamicServerAct．）；·服務(wù)質(zhì)量（QoS）；·服務(wù)類型（ToS）；·規(guī)則模式。4.1方案特點(diǎn)實(shí)時監(jiān)控服務(wù)器應(yīng)用系統(tǒng)的狀態(tài)，并智能屏蔽故障應(yīng)用系統(tǒng)；實(shí)現(xiàn)多臺服務(wù)器的負(fù)載均衡，提升系統(tǒng)的可靠性；可以監(jiān)控