多鏈路及服務(wù)器負(fù)載均衡

-z.多鏈路及效勞器負(fù)載均衡方案建議書目錄TOC\o"1-2"\h\z\u一．概述3二．用戶需求32.1系統(tǒng)總體目標(biāo)32.2系統(tǒng)功能需求42.3系統(tǒng)性能需求52.4系統(tǒng)平安性需求52.5可管理性需求52.6網(wǎng)絡(luò)平安需求6三需求分析63.1多鏈路的負(fù)載均衡和冗余63.2系統(tǒng)高可用性73.3高度的平安性73.4系統(tǒng)管理83.5其它9四．方案設(shè)計(jì)94.1網(wǎng)絡(luò)拓?fù)鋱D94.2方案設(shè)計(jì)描述10五．關(guān)鍵技術(shù)介紹125.1鏈路負(fù)載均衡技術(shù)特點(diǎn)125.1.1LinkController工作原理125.1.2鏈路負(fù)載均衡算法125.1.3鏈路安康檢查135.1.4UIE+iRules145.1.5帶寬管理155.1.6流量壓縮155.1.7設(shè)備自身冗余機(jī)制165.1.8API接口--iControl介紹175.2CiscoASA5500系列防火墻技術(shù)特點(diǎn)21六．新購設(shè)備226.1F5BIG-IPLTM1600參數(shù)236.2CISCOASA5520-DC-K8參數(shù)24七．F5專業(yè)效勞條款24八．設(shè)備清單及報(bào)價(jià)25一．概述隨著企業(yè)開場更多地使用互聯(lián)網(wǎng)來交付其關(guān)鍵業(yè)務(wù)應(yīng)用，只保持一條到公共網(wǎng)絡(luò)的連接鏈路則意味著頻繁的單點(diǎn)故障和脆弱的網(wǎng)絡(luò)平安性。BIG-IP鏈路控制器可以無縫地監(jiān)控多條WAN連接的可用性與性能，以智能地管理到*一站點(diǎn)的雙向流量，從而提供出色的容錯(cuò)性和優(yōu)化的互聯(lián)網(wǎng)訪問，保證關(guān)鍵業(yè)務(wù)的穩(wěn)定運(yùn)行。二．用戶需求2.1系統(tǒng)總體目標(biāo)系統(tǒng)建立的總體目標(biāo)為：1．高性能：采用豐富的負(fù)載均衡算法對(duì)多鏈路、防火墻、效勞器進(jìn)展負(fù)載均衡，使流量得以合理分配，從而保證系統(tǒng)的整體性能得以大幅度提升。2．高可靠性：保證系統(tǒng)運(yùn)行穩(wěn)定，單一設(shè)備故障不能影響系統(tǒng)的正常運(yùn)行。3．高平安性：構(gòu)**全防預(yù)體系，防御網(wǎng)絡(luò)攻擊。4．良好的系統(tǒng)擴(kuò)大能力，隨著訪問量的增加能夠滿足系統(tǒng)不斷擴(kuò)大的需求。5．系統(tǒng)具有良好的可管理性。6．豐富的會(huì)話保持策略能夠滿足靈活多樣的動(dòng)態(tài)調(diào)整。7．通過中文的監(jiān)視平臺(tái)，方便直觀地管理與監(jiān)視應(yīng)用的狀態(tài)及安康狀況。2.2系統(tǒng)功能需求作為效勞系統(tǒng)的核心，負(fù)載均衡系統(tǒng)必須滿足以下業(yè)務(wù)需求：1．冗余的系統(tǒng)實(shí)施方案，任何單點(diǎn)故障不影響系統(tǒng)的正常運(yùn)營在接入系統(tǒng)的設(shè)計(jì)中，對(duì)于所有的設(shè)備，均采用冗余設(shè)計(jì)和實(shí)施，充分考慮到各種設(shè)備和線路的中斷或故障情況，在發(fā)生故障時(shí)系統(tǒng)能迅速切換，保證系統(tǒng)的正常運(yùn)營。2．鏈路的負(fù)載均衡和冗余：要求在正常情況下將用戶對(duì)外的訪問流量負(fù)載均衡到多條鏈路上，在*鏈路故障時(shí)自動(dòng)將其流量切換到另外的鏈路，自動(dòng)的透明容錯(cuò)，當(dāng)鏈路恢復(fù)時(shí)自動(dòng)將其參加到負(fù)載均衡中來。3．防火墻的負(fù)載均衡：對(duì)兩臺(tái)防火墻進(jìn)展負(fù)載均衡，包括E*ternal、Internal、DMZ區(qū)的負(fù)載均衡。要求在正常情況下兩臺(tái)防火墻上的流量是均衡的，在*臺(tái)防火墻故障時(shí)自動(dòng)將其流量切換到另外的防火墻，自動(dòng)的透明容錯(cuò)，當(dāng)故障的防火墻恢復(fù)時(shí)自動(dòng)將其參加到負(fù)載均衡中來。4．設(shè)備自身的高可用性設(shè)備自身需要具備高可用性，能夠在雙機(jī)冗余模式下工作，冗余切換迅速。5．帶寬管理提供基于IP地址或特定應(yīng)用的帶寬控制功能，針對(duì)*一IP地址或特定應(yīng)用限制或者保證一定的網(wǎng)絡(luò)帶寬，保證關(guān)鍵應(yīng)用的穩(wěn)定運(yùn)行。6．升級(jí)能力負(fù)載均衡產(chǎn)品應(yīng)當(dāng)具有良好的系統(tǒng)和軟件升級(jí)能力。7．SSL加速集中處理SSL加解密的工作，減輕效勞器處理SSL的負(fù)擔(dān)，搭建高性能的電子商務(wù)平臺(tái)。效勞器狀態(tài)監(jiān)測，動(dòng)態(tài)監(jiān)測效勞器狀態(tài)。2.3系統(tǒng)性能需求系統(tǒng)的整體系統(tǒng)響應(yīng)時(shí)間、整體系統(tǒng)性能和故障切換能力應(yīng)到達(dá)或高于以下要求：1．能夠在一定的訪問壓力下提供正常效勞；2．單臺(tái)設(shè)備出現(xiàn)故障后，冗余設(shè)備能到達(dá)毫秒級(jí)切換；3．系統(tǒng)穩(wěn)定性強(qiáng)，系統(tǒng)響應(yīng)時(shí)間〔例如效勞器故障后負(fù)載均衡對(duì)故障的反映〕短〔幾秒鐘之內(nèi)〕。2.4系統(tǒng)平安性需求1．負(fù)載均衡產(chǎn)品本身具有良好的系統(tǒng)平安性，不存在平安漏洞；2．產(chǎn)品提供平安的訪問管理環(huán)境；3．具有一定的平安防護(hù)能力，協(xié)助防火墻和其他IDS設(shè)備構(gòu)建動(dòng)態(tài)防御體系，防御網(wǎng)絡(luò)常見攻擊，提高系統(tǒng)整體的平安防護(hù)能力。2.5可管理性需求在可管理性方面，需要具備以下幾點(diǎn)：1．機(jī)架式機(jī)箱；2．客戶端中文管理軟件能夠方便地安裝到流行的操作系統(tǒng)上〔如Win*P，Win2K等〕；3．提供有效的關(guān)于用戶、流量等的報(bào)表、統(tǒng)計(jì)工具；4．提供有效的備份恢復(fù)手段；5．提供有效的故障報(bào)警手段；6．提供有效的系統(tǒng)監(jiān)控手段并為通用的監(jiān)控工具〔如OpenView，Tivoli〕提供接口；7．系統(tǒng)的配置管理方便，系統(tǒng)報(bào)告的可用性強(qiáng)，能提供完善的訪問統(tǒng)計(jì)和流量管理；8．能夠提供GUI的良好的維護(hù)界面和日常維護(hù)方案；9．加密通訊，保證平安的設(shè)備管理。2.6網(wǎng)絡(luò)平安需求網(wǎng)絡(luò)平安可以分為數(shù)據(jù)平安和效勞平安兩個(gè)層次。數(shù)據(jù)平安是防止信息被非法探聽；效勞平安是使網(wǎng)絡(luò)系統(tǒng)提供不連續(xù)的通暢的對(duì)外效勞。從嚴(yán)格的意義上講，只有物理上完全隔離的網(wǎng)絡(luò)系統(tǒng)才是平安的。但為了實(shí)際生產(chǎn)以及信息交換的需要，采用完全隔離手段保障網(wǎng)絡(luò)平安很少被采用。在有了對(duì)外的聯(lián)系之后，網(wǎng)絡(luò)平安的目的就是使不良用心的人竊聽數(shù)據(jù)、破壞效勞的本錢提高到他們不能承受的程度。三需求分析3.1多鏈路的負(fù)載均衡和冗余與互聯(lián)網(wǎng)絡(luò)相關(guān)的關(guān)鍵業(yè)務(wù)都需要安排和配置多條ISP接入鏈路以保證網(wǎng)絡(luò)效勞的質(zhì)量，消除單點(diǎn)故障，減少停機(jī)時(shí)間。多條ISP接入的方案并不是簡單的多條不同的廣域網(wǎng)絡(luò)的路由問題，因?yàn)椴煌腎SP有不同自治域，所以必須考慮到兩種情況下如何實(shí)現(xiàn)多條鏈路的負(fù)載均衡：內(nèi)部的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)工作站在訪問互聯(lián)網(wǎng)絡(luò)的效勞和網(wǎng)站時(shí)如何能夠在多條不同的鏈路中動(dòng)態(tài)分配和負(fù)載均衡，這也被稱為OUTBOUND流量的負(fù)載均衡?；ヂ?lián)網(wǎng)絡(luò)的外部用戶如何在外部訪問內(nèi)部的網(wǎng)站和應(yīng)用系統(tǒng)時(shí)也能夠動(dòng)態(tài)的在多條鏈路上平衡分配，并在一條鏈路中斷的時(shí)候能夠智能地自動(dòng)切換到另外一條鏈路到達(dá)效勞器和應(yīng)用系統(tǒng)，這也被稱作為INBOUND流量的負(fù)載均衡。F5的LinkController可以智能的解決以上兩個(gè)問題：對(duì)于OUTBOUND流量，LinkController接收到流量以后，可以智能的將OUTBOUND流量分配到不同的INTERNET接口，并做源地址的NAT，可以指定*一合法IP地址進(jìn)展源地址的NAT，也可以用LinkController的接口地址自動(dòng)映射，保證數(shù)據(jù)包返回時(shí)能夠正確接收。對(duì)于INBOUND流量，LinkController分別綁定兩個(gè)ISP效勞商的公網(wǎng)地址，解析來自兩個(gè)ISP效勞商的DNS解析請求。LinkController不僅可以根據(jù)效勞器的安康狀況和響應(yīng)速度回應(yīng)LDNS相應(yīng)的IP地址，還可以通過兩條鏈路分別與LDNS建立連接，根據(jù)RTT時(shí)間判斷鏈路的好壞，并且綜合以上兩個(gè)參數(shù)回應(yīng)LDNS相應(yīng)的IP地址。3.2系統(tǒng)高可用性系統(tǒng)高可用性主要可以從以下幾個(gè)方面考慮：1．設(shè)備自身的高可用性：F5BIG-IP專門優(yōu)化的體系構(gòu)造和卓越的處理能力保證99.999%的正常運(yùn)行時(shí)間，在雙機(jī)冗余模式下工作時(shí)可以實(shí)現(xiàn)毫秒級(jí)切換，保證系統(tǒng)穩(wěn)定運(yùn)行，另外還有冗余電源模塊可選。在采用雙機(jī)備份方式時(shí)，備機(jī)切換時(shí)間最快會(huì)在200ms之內(nèi)進(jìn)展切換。BIG-IP產(chǎn)品是業(yè)界唯一的可以到達(dá)毫秒級(jí)切換的產(chǎn)品,而且設(shè)計(jì)極為合理，所有會(huì)話通過Active的BIG-IP的同時(shí)，會(huì)把會(huì)話信息通過同步數(shù)據(jù)線同步到Backup的BIG-IP，保證在BackupBIG-IP內(nèi)也有所有的用戶訪問會(huì)話信息；另外每臺(tái)設(shè)備中的watchdog芯片通過心跳線監(jiān)控對(duì)方設(shè)備的電頻，當(dāng)ActiveBIG-IP故障時(shí)，watchdog會(huì)首先發(fā)現(xiàn)，并通知BackupBIG-IP接收SharedIP，VIP等，完成切換過程，因?yàn)锽ackupBIG-IP中有事先同步好的會(huì)話信息，所以可以保證訪問的暢通無阻。2．鏈路冗余：BIG-IP可以檢測每條鏈路的運(yùn)行狀態(tài)和可用性，做到鏈路和ISP故障的實(shí)時(shí)檢測。一旦出現(xiàn)故障，流量將被透明動(dòng)態(tài)的引導(dǎo)至其它可用鏈路。通過監(jiān)控和管理出入數(shù)據(jù)中心的雙向流量，內(nèi)部和外部用戶均可保持網(wǎng)絡(luò)的全時(shí)連接。3．效勞器冗余，多臺(tái)效勞器同時(shí)提供效勞，當(dāng)*一臺(tái)效勞器故障不能提供效勞時(shí)，用戶的訪問不會(huì)中斷。BIG-IP可以在OSI七層模型中的不同層面上對(duì)效勞器進(jìn)展安康檢查，實(shí)時(shí)監(jiān)測效勞器安康狀況，如果*臺(tái)效勞器出現(xiàn)故障，BIG-IP確定它無法提供效勞后，就會(huì)將其在效勞隊(duì)列中去除，保證用戶正常的訪問應(yīng)用，確?；貞?yīng)內(nèi)容的正確性。3.3高度的平安性BIG-IP采用防火墻的設(shè)計(jì)原理，是缺省拒絕設(shè)備，它可以為任何站點(diǎn)增加額外的平安保護(hù)，防御普通網(wǎng)絡(luò)攻擊?？梢酝ㄟ^支持命令行的SSH或支持瀏覽器管理的SSL方便、平安的進(jìn)展遠(yuǎn)程管理，提高設(shè)備自身的平安性；能夠撤除空閑連接防止拒絕效勞攻擊；能夠執(zhí)行源路由跟蹤防止IP欺騙；拒絕沒有ACK緩沖確認(rèn)的SYN防止SYN攻擊；拒絕teartop和land攻擊；保護(hù)自己和效勞器免受ICMP攻擊；不運(yùn)行SMTP、FTP、TELNET或其它易受攻擊的后臺(tái)程序。BIG-IP的DynamicReaping特性可以高效刪除各類網(wǎng)絡(luò)DoS攻擊中的空閑連接，這可以保護(hù)BIG-IP不會(huì)因流量過多而癱瘓。BIG-IP可以隨著攻擊量的增加而加快連接切斷速率，從而提供一種具有極強(qiáng)適應(yīng)能力、能夠防御最大攻擊量的解決方案。BIG-IP的DelayBinding技術(shù)可以為部署在BIG-IP后面的效勞器提供全面地SYNFlood保護(hù)。此時(shí)，BIG-IP設(shè)備作為平安代理來有效保護(hù)整個(gè)網(wǎng)絡(luò)。BIG-IP可以和其它平安設(shè)備配合，構(gòu)建動(dòng)態(tài)平安防御體系。BIG-IP可以根據(jù)用戶單位時(shí)間內(nèi)的連接數(shù)生成控制訪問列表，將該列表加載到其它平安設(shè)備上，有效控制攻擊流量。3.4系統(tǒng)管理BIG-IP提供S、SSH、Telnet、SNMP等多種管理方式，用戶客戶端只需操作系統(tǒng)自帶的瀏覽器軟件即可，不需安裝其它軟件?？梢酝ㄟ^支持命令行的SSH或支持瀏覽器管理的SSL方便、平安的進(jìn)展遠(yuǎn)程管理。直觀易用的Web圖形用戶界面大效勞降低了多歸屬根底設(shè)施的實(shí)施本錢和日常維護(hù)費(fèi)用。BIG-IP包含詳盡的實(shí)時(shí)報(bào)告和歷史紀(jì)錄報(bào)告，可供評(píng)測站點(diǎn)流量、相關(guān)ISP性能和預(yù)計(jì)帶寬計(jì)費(fèi)周期。管理員可以通過全面地報(bào)告功能充分掌握帶寬資源的利用狀況。另外，通過F5的i-Control開發(fā)包，目前國內(nèi)已有基于i-Control開發(fā)的網(wǎng)管軟件*-control,可以定制針對(duì)系統(tǒng)效勞特點(diǎn)的監(jiān)控系統(tǒng),比方效勞的流量情況、各種效勞連接數(shù)、訪問情況、節(jié)點(diǎn)的安康狀況等等，進(jìn)展可視化顯示。告警方式可以提供syslog、snmptrap、mail等方式。3.5其它BIG-IP內(nèi)置i-ControlSDK二次開發(fā)包，可以通過API接口方便的取得各種流量統(tǒng)計(jì)信息，作為計(jì)費(fèi)的依據(jù)。在Web用戶界面上面也可以方便的查看各種流量統(tǒng)計(jì)信息，如果需要按照流量計(jì)費(fèi)，可以使用以上兩種方式取得流量的統(tǒng)計(jì)信息。F5NETWORKS免費(fèi)提供安裝在效勞器端、動(dòng)態(tài)獲取效勞器信息的agent軟件，將其安裝在效勞器端以后，就可以動(dòng)態(tài)獲取效勞器當(dāng)前運(yùn)行狀態(tài)。內(nèi)存擴(kuò)大能力：F5BIG-IP3400以上單機(jī)最大可擴(kuò)大到4GB內(nèi)存，此時(shí)可支持800萬并發(fā)回話；BIG-IP3400以及BIG-IP1500單機(jī)最大可擴(kuò)大至2GB內(nèi)存，此時(shí)可支持400萬并發(fā)會(huì)話數(shù)。升級(jí)能力：F5所有設(shè)備均可通過軟件方式升級(jí)，在效勞有效期內(nèi)，升級(jí)軟件包由F5公司提供。IP地址過濾和帶寬控制：BIG-IP可以根據(jù)訪問控制列表對(duì)數(shù)據(jù)包進(jìn)展過濾，并且針對(duì)*一關(guān)鍵應(yīng)用進(jìn)展帶寬控制，確保關(guān)鍵應(yīng)用的穩(wěn)定運(yùn)行。配置管理及系統(tǒng)報(bào)告：F5BIG-IP提供WEB界面配置方式和命令行方式進(jìn)展配置管理，并在其中提供了豐富的系統(tǒng)報(bào)告，更可通過i-Control自行開發(fā)復(fù)雜的配置及報(bào)告生成。效勞：在F5的體系中，擁有代理商、廠商等多級(jí)效勞與支持體系，可以保證用戶購置的產(chǎn)品得到優(yōu)異的售后效勞支持，提供24小時(shí)熱線效勞。四．方案設(shè)計(jì)4.1網(wǎng)絡(luò)拓?fù)鋱D此方案設(shè)計(jì)中采用的拓?fù)鋱D如下所示：鏈路負(fù)載均衡網(wǎng)絡(luò)拓?fù)鋱D4.2方案設(shè)計(jì)描述4.2.1方案設(shè)計(jì)總體描述本方案設(shè)計(jì)采用F5Networks公司鏈路負(fù)載均衡設(shè)備BIG-IPLTM1600來實(shí)現(xiàn)網(wǎng)絡(luò)中多條鏈路Outbound〔內(nèi)部客戶端發(fā)起對(duì)Internet的訪問〕方向負(fù)載均衡；采用CISCOASA5520-AIP40-K9防火墻對(duì)企業(yè)網(wǎng)進(jìn)展防護(hù)，并開啟sslvpn功能，實(shí)現(xiàn)外網(wǎng)用戶對(duì)公司內(nèi)網(wǎng)的平安訪問。整個(gè)系統(tǒng)采用全冗余網(wǎng)絡(luò)連接方式設(shè)計(jì)，來保證系統(tǒng)的高可用性和高可靠性。方案具體實(shí)現(xiàn)方式如下：1.交換機(jī)實(shí)現(xiàn)多鏈路聚合，采用2臺(tái)使ISP鏈路連入不同設(shè)備，實(shí)現(xiàn)ISP鏈路冗余，不會(huì)因設(shè)備故障導(dǎo)致網(wǎng)絡(luò)中斷。2.對(duì)于Outbound流量，LinkController接收到流量以后，可以智能的將訪問ISP1的資源的Outbound流量分配到ISP1的接口，并做源地址的NAT，〔可以指定*一合法IP地址進(jìn)展源地址的NAT，也可以用LinkController的接口地址自動(dòng)映射〕，保證數(shù)據(jù)包返回時(shí)能夠正確接收，其他的流量走ISP2的線路。3.防護(hù)墻的接入對(duì)與來自外網(wǎng)流量進(jìn)展檢測和防護(hù)；開啟sslvpn功能，實(shí)現(xiàn)外網(wǎng)客戶端平安接入。4.2.2鏈路負(fù)載均衡及冗余兩臺(tái)LinkController以Active-Backup方式實(shí)現(xiàn)網(wǎng)絡(luò)中兩條鏈路的負(fù)載均衡及冗余。LinkController可以根據(jù)相應(yīng)的鏈路負(fù)載均衡算法和iRules規(guī)則來實(shí)現(xiàn)快速訪問的智能引導(dǎo)，比方將訪問電信的用戶引導(dǎo)至電信鏈路，訪問網(wǎng)通的用戶引導(dǎo)至網(wǎng)通鏈路，解決了不同ISP之間的互連互通問題，保證了最好的訪問速度和最高的訪問效率。同時(shí)，LinkController的安康檢查機(jī)制實(shí)現(xiàn)對(duì)鏈路安康狀況的實(shí)時(shí)監(jiān)控，當(dāng)有鏈路出現(xiàn)故障時(shí)LinkController會(huì)屏蔽故障鏈路，并自動(dòng)將流量切向其它正常工作的備份鏈路，實(shí)現(xiàn)了鏈路的高可用性。4.2.3設(shè)備自身冗余性BIGIP設(shè)備以Active-Backup的冗余方式方連接，處于Backup的設(shè)備采用“心跳線〞監(jiān)測Active的設(shè)備的狀態(tài)，當(dāng)檢測出設(shè)備故障時(shí)，兩臺(tái)設(shè)備就會(huì)產(chǎn)生ms級(jí)切換，Backup設(shè)備會(huì)切換為Active，為用戶提供效勞，保證了系統(tǒng)的高可用性。4.2.4易于管理性BIGIP產(chǎn)品不僅提供s的平安Web界面管理，本地基于SerialConsole的管理和SSH平安遠(yuǎn)程命令行管理，還有基于中文網(wǎng)管軟件*Control的管理，靈活多樣的管理方式使日常的維護(hù)和Troubleshooting更加方便快捷。*Control是北京信諾瑞得信息技術(shù)基于F5開放API接口iControl和SDK開發(fā)包開發(fā)出來的，針對(duì)F5設(shè)備進(jìn)展監(jiān)控管理的軟件產(chǎn)品。五．關(guān)鍵技術(shù)介紹5.1鏈路負(fù)載均衡技術(shù)特點(diǎn)5.1.1LinkController工作原理LinkController的工作原理可以分成兩局部介紹：Inbound流量(Internet用戶訪問內(nèi)網(wǎng)效勞器及DNS查詢的流量)和Outbound流量(內(nèi)網(wǎng)用戶主動(dòng)發(fā)起的訪問Internet效勞器的流量)，下面從這兩方面介紹LinkController的工作原理。Outbound流量這局部流量主要是內(nèi)部用戶和效勞器主動(dòng)發(fā)起的對(duì)公網(wǎng)的訪問，當(dāng)這局部流量到達(dá)LinkController時(shí)，LinkController會(huì)判斷兩條鏈路的安康狀況并決定將流量負(fù)載均衡到哪條鏈路，判斷好將流量分配到哪條鏈路之后將數(shù)據(jù)包的源地址轉(zhuǎn)換成相應(yīng)ISP網(wǎng)段的公網(wǎng)地址(SNAT)后將該數(shù)據(jù)包發(fā)出；響應(yīng)數(shù)據(jù)包返回到LinkController時(shí)，LinkController將目的地址進(jìn)展轉(zhuǎn)換之后將數(shù)據(jù)包發(fā)給內(nèi)部的用戶或效勞器。5.1.2鏈路負(fù)載均衡算法隨機(jī)〔Random〕：隨機(jī)返回給用戶*一條鏈路的IP地址。比率〔Ratio〕：預(yù)先給每條鏈路定義一個(gè)權(quán)值，按照這個(gè)比率返回給用戶*一條鏈路對(duì)應(yīng)的IP地址。返回給LDNS〔ReturntoDNS〕：立即將連接請求返回給LDNS處理。輪詢〔RoundRobin〕：將提供*種應(yīng)用的所有站點(diǎn)放在一個(gè)隊(duì)列當(dāng)中，按順序依次返回給用戶隊(duì)列中下一個(gè)站點(diǎn)的IP地址。靜態(tài)會(huì)話保持〔StaticPersist〕：這種算法將維護(hù)一個(gè)LDNS到*一個(gè)站點(diǎn)的映射表，同一個(gè)LDNS的查詢請求在預(yù)定的時(shí)間過期之前會(huì)返回同一個(gè)IP地址。完成比例(CompletionRate)：當(dāng)接收到LDNS的查詢請求的時(shí)候，LinkController會(huì)返回給用戶丟包或超時(shí)數(shù)據(jù)包最少的鏈路對(duì)應(yīng)的IP地址。跳數(shù)(Hops)：當(dāng)接收到LDNS的查詢請求的時(shí)候，LinkController會(huì)發(fā)起查詢請求的LDNS之間的路由跳數(shù)。BIG-IPLC根據(jù)返回的跳數(shù)解析給LDNS跳數(shù)最少的站點(diǎn)的IP地址。千字節(jié)/秒(Kilobyte/second)：LinkController會(huì)選擇一個(gè)當(dāng)前處理的Kbyte/Sec數(shù)值最小的一個(gè)站點(diǎn)返回給發(fā)起查詢請求的LDNS。最小連接數(shù)(LeastConnection)：LinkController會(huì)選擇一個(gè)當(dāng)前處理連接最少的站點(diǎn)返回給發(fā)起查詢請求的LDNS。包比例(PacketRate)：LinkController會(huì)選擇一個(gè)當(dāng)前每秒鐘處理數(shù)據(jù)包最少的一個(gè)站點(diǎn)返回給發(fā)起訪問請求的LDNS?；谕?fù)涞穆酚伞睺opology〕：采用拓?fù)鋽?shù)據(jù)庫，LinkController鏈路控制器可準(zhǔn)確確定用戶的位置，并根據(jù)預(yù)定義的策略通過所需鏈路路由流量。RTT(RoundTripTimes)：當(dāng)收到LDNS查詢請求的時(shí)候，LinkController會(huì)反向探測發(fā)起查詢請求的LDNS，并且計(jì)算從發(fā)起反向探測到承受到響應(yīng)得時(shí)間間隔。LinkController根據(jù)這個(gè)時(shí)間間隔返回給LDNS一個(gè)間隔最短的鏈路對(duì)應(yīng)的IP地址。效勞質(zhì)量(QoS)：LinkController通過收集每條鏈路中心RTT時(shí)間、跳數(shù)、完成比率、包比率、地理拓?fù)?、鏈路容量、VS(VirtualServer)容量、Kbyte/Sec的數(shù)值進(jìn)展綜合計(jì)算，計(jì)算之后每個(gè)數(shù)據(jù)中心都會(huì)有一個(gè)權(quán)值，然后根據(jù)這個(gè)權(quán)值返回給LDNS相應(yīng)的站點(diǎn)的IP地址。VS容量(VSCapacity)：當(dāng)使用這種算法的時(shí)候，LinkController將所有的VirtualServer放在一個(gè)隊(duì)列當(dāng)中，并把每個(gè)VirtualServer的容量作為他們的權(quán)重，按照這個(gè)權(quán)重返回給LDNS相應(yīng)的站點(diǎn)VirtualServer的IP地址。5.1.3鏈路安康檢查在Layer2安康檢查涉及到用來對(duì)給定的IP地址尋找MAC地址的地址分辨協(xié)議(ARP)請求。因?yàn)锽IGIP設(shè)置了真實(shí)網(wǎng)絡(luò)設(shè)備〔鏈路對(duì)端網(wǎng)關(guān)〕的IP地址，它會(huì)發(fā)送針對(duì)每一個(gè)真實(shí)網(wǎng)絡(luò)設(shè)備〔鏈路對(duì)端網(wǎng)關(guān)〕的IP地址的ARP請求以找到相應(yīng)的MAC地址，網(wǎng)絡(luò)設(shè)備〔鏈路對(duì)端網(wǎng)關(guān)〕會(huì)響應(yīng)這個(gè)ARP請求，除非它已經(jīng)停機(jī)。在Layer3安康檢查涉及到對(duì)真實(shí)路由器發(fā)送〞ping〞命令?！皃ing〞是常用的程序來確認(rèn)一個(gè)IP地址是否在網(wǎng)絡(luò)中存在，或者用來確認(rèn)鏈路是否正常工作。在Layer4，BIGIP會(huì)試圖聯(lián)接到一個(gè)特定應(yīng)用在運(yùn)行的TCP或UDP端口。舉例來說，如果VIP是被綁定在端口80做Web應(yīng)用的話，BIGIP試圖建立一個(gè)聯(lián)接到真實(shí)效勞器的80端口。BIGIP發(fā)送一個(gè)TCPSYN請求包到每個(gè)真實(shí)效勞器的80端口，并檢查回應(yīng)的TCPSYNACK數(shù)據(jù)包是否收到，如果哪一個(gè)沒有收到，BIGIP就確認(rèn)那臺(tái)效勞器不能正常提供效勞，BIGIP單獨(dú)針對(duì)效勞器的每個(gè)應(yīng)用端口做安康檢查并單獨(dú)做關(guān)于其效勞器的診斷結(jié)果是非常重要的。這樣一來真實(shí)效勞器的80效勞可能停機(jī)，但是端口21可能正常工作，BIGIP可以繼續(xù)利用這個(gè)效勞器的21端口提供FTP效勞，同時(shí)確認(rèn)這個(gè)效勞器的Web應(yīng)用已經(jīng)停機(jī)，這樣一來就提供了一個(gè)高效率的負(fù)載均衡解決方案，細(xì)分安康檢查的做法有效地提高了效勞器的處理能力。采用在鏈路對(duì)端放置效勞器的方式可以判斷鏈路是否正常工作5.1.4UIE+iRules在BIGIP上，我們還可以同過BIGIP的UIE和iRules來實(shí)現(xiàn)七層的流量檢測和靈活的負(fù)載均衡策略定義。UIE—UniversalInspectionEngine通用搜索引擎，可以檢測TCP/UDP數(shù)據(jù)包中的任何內(nèi)容，例如客戶端IP、客戶端源端口、效勞端IP、效勞端端口、客戶端數(shù)據(jù)、效勞端數(shù)據(jù)。通過一系列的字符串和二進(jìn)制處理機(jī)制，可以將處理的結(jié)果交給iRules進(jìn)展判斷和處理。iRules可以根據(jù)UIE監(jiān)測到的數(shù)據(jù)來對(duì)流量進(jìn)展處理。例如，iRules可以配置為判斷以下條件：是否在數(shù)據(jù)包中包含以〞cgi〞作為結(jié)尾的請求？是否數(shù)據(jù)包的源地址是以八進(jìn)制“206〞為開頭？是否在TCP的數(shù)據(jù)包中包含字符串“ABC〞？在獲取判斷條件后，iRules則可對(duì)該數(shù)據(jù)流進(jìn)展處理。例如：如果數(shù)據(jù)包源IP為則將其分配到效勞器如數(shù)據(jù)包前50個(gè)字符包含字母“REAL〞則將其丟棄如果數(shù)據(jù)包第一個(gè)字符為0*E3則將其放入4Mbps的一個(gè)RateClass進(jìn)展帶寬控制。5.1.5帶寬管理BIGIP靈活的第7層帶寬管理能力可使企業(yè)對(duì)帶寬進(jìn)展有效管理，以確保高優(yōu)先級(jí)應(yīng)用能夠得到按時(shí)交付。同時(shí)，它還提供了定制控制能力，以設(shè)定基于應(yīng)用的帶寬限制〔容許的帶寬峰值〕，甚至還能在應(yīng)用之間建立隊(duì)列關(guān)系。帶寬管理的功能特點(diǎn)：1．靈活的帶寬管理靈活的帶寬限制支持帶寬借用根據(jù)應(yīng)用進(jìn)展帶寬列隊(duì)〔帶寬平均分配，F(xiàn)IFO〕2．從二層到七層的精細(xì)的流量分類可以根據(jù)IP地址，端口，以及基于七層內(nèi)容進(jìn)展流量分類，定制適合的帶寬策略。3．雙向流量控制BIGIP可以提供雙向流量的帶寬管理，確保高優(yōu)先級(jí)應(yīng)用能夠按時(shí)交付。5.1.6流量壓縮利用BIGIP的流量壓縮功能，支持多種類型的文件壓縮，從而在降低80%網(wǎng)絡(luò)帶寬的同時(shí)，將應(yīng)用性能提高3倍以上，并且解決了互聯(lián)網(wǎng)延遲和客戶機(jī)連接瓶頸對(duì)其應(yīng)用性能的所造成的影響。5.1.7設(shè)備自身冗余機(jī)制BIGIP可以實(shí)現(xiàn)兩種方式實(shí)現(xiàn)冗余連接，一是Active-Backup方式，另一種是Active-Active方式。物理連接方式如下列圖所示：F5Networks公司BIGIP產(chǎn)品是業(yè)界唯一實(shí)現(xiàn)雙機(jī)冗余毫秒級(jí)切換的產(chǎn)品，而且設(shè)計(jì)合理。所有會(huì)話通過ActiveBIGIP同時(shí)，會(huì)話信息會(huì)通過同步數(shù)據(jù)線同步到BackupBIGIP，保證Active與Backup設(shè)備會(huì)話信息同步。且每臺(tái)設(shè)備中的watchdog芯片通過心跳線檢監(jiān)測對(duì)方設(shè)備電平，當(dāng)ActiveBIGIP故障時(shí)，watchdog會(huì)首先發(fā)現(xiàn)，并且通知BackupBIGIP接收sharedip,VIP等，完成冗余切換過程，BackupBIGIP變成ActiveBackup，由于BackupBIGIP事先已經(jīng)保存了所有會(huì)話數(shù)據(jù)信息，可以保證所有在線會(huì)話的通暢和完整。兩臺(tái)設(shè)備的多種模式的冗余切換觸發(fā)機(jī)制：Watchdog：完全通過“心跳線〞監(jiān)測物理信號(hào)判斷設(shè)備的運(yùn)行狀況，適時(shí)進(jìn)展冗余切換，采用這種方式，切換時(shí)間在50ms—200ms。Gatewayfailsafe：處于Active狀態(tài)的BIGIP定期與網(wǎng)關(guān)設(shè)備取得聯(lián)系，假設(shè)在timeout時(shí)間內(nèi)得不到任何響應(yīng)，就自動(dòng)切換為Standby狀態(tài)。VlanArmfailsafe：通過判斷*個(gè)Vlan是否有流量，觸發(fā)切換。5.1.8API接口--iControl介紹為了確保電子商務(wù)取得成功，應(yīng)用和網(wǎng)絡(luò)必須能夠嚴(yán)密結(jié)合。網(wǎng)絡(luò)通知應(yīng)用；應(yīng)用指導(dǎo)網(wǎng)絡(luò)，這就是F5新型體系構(gòu)造的根底。i-Control提供了業(yè)界最嚴(yán)密集成的產(chǎn)品套件，利用統(tǒng)一的設(shè)備活動(dòng)協(xié)作來對(duì)互聯(lián)網(wǎng)流量和內(nèi)容部署/提供進(jìn)展端到端的控制。它提供了端到端集成所需要的產(chǎn)品間的平安通信，而且還可以通過開放式*MLAPI對(duì)F5產(chǎn)品進(jìn)展編程，以支持客戶與合作伙伴應(yīng)用間的集成〔F5的i-Control內(nèi)部通信協(xié)議〕。F5互聯(lián)網(wǎng)流量、應(yīng)用和網(wǎng)絡(luò)管理體系如下列圖所示：F5互聯(lián)網(wǎng)流量、應(yīng)用和網(wǎng)絡(luò)管理體系構(gòu)造這種架構(gòu)方式克制了多廠商解決方案的最大問題：互操作性和管理復(fù)雜性，而且還防止了單廠商套件的最大問題：有限的靈活性、缺乏足夠的集成能力。這種架構(gòu)使效勞提供商和企業(yè)能夠：管理和控制全球范圍的互聯(lián)網(wǎng)流量和內(nèi)容部署并實(shí)施SLA政策將政策應(yīng)用到多種技術(shù)上，如防火墻、VPN和QoS設(shè)備接收告警并管理關(guān)于網(wǎng)絡(luò)和設(shè)備活動(dòng)的報(bào)告保持適當(dāng)?shù)南到y(tǒng)配置i-Control能夠使應(yīng)用與網(wǎng)絡(luò)流量管理和內(nèi)容提供根底設(shè)施實(shí)現(xiàn)直接的互操作。通過i-Control開放的平安通信協(xié)議和SOAP/*MLAPI，網(wǎng)絡(luò)設(shè)備能夠與應(yīng)用進(jìn)展通信，應(yīng)用可以控制網(wǎng)絡(luò)，從而防止出現(xiàn)易于出錯(cuò)的過程和人為干預(yù)。i-Control能夠提供網(wǎng)絡(luò)產(chǎn)品間平安、加密的互相通信能力，并為無縫應(yīng)用集成帶來了方便，其中包括：本地流量管理分布于全球的流量管理將內(nèi)容部署到遠(yuǎn)程效勞器上管理網(wǎng)絡(luò)中高速緩存提供的內(nèi)容版本顯著減少管理分布式網(wǎng)絡(luò)所需的資源客戶、合作伙伴及第三方集成商都可以使用i-Control軟件開發(fā)套件〔SDK〕，它具有開放式的SOAP/*ML或CORBAAPI。隨著i-Control的推出，F(xiàn)5證明了其對(duì)制定和采用開放式互聯(lián)網(wǎng)流量和內(nèi)容管理標(biāo)準(zhǔn)的支持。通過將i-Control與F5的業(yè)界領(lǐng)先iTCM產(chǎn)品相結(jié)合使用，可以實(shí)施并部署F5的完整互聯(lián)網(wǎng)控制體系構(gòu)造，從而增強(qiáng)了7層性能。任何第三方和客戶都可以通過i-Control將自己的應(yīng)用與網(wǎng)絡(luò)系統(tǒng)集成在一起，從而提供無與倫比的7層性能。F5亞太區(qū)i-Control合作開發(fā)伙伴北京信諾瑞得信息技術(shù)已經(jīng)利用i-Control軟件開發(fā)套件〔SDK〕開發(fā)出了F5設(shè)備集中管理平臺(tái)*-Control。它可以對(duì)F5設(shè)備進(jìn)展集中、可視化的管理，主要有以下功能：設(shè)備集中管理：設(shè)備的分區(qū)域、網(wǎng)絡(luò)中心等多級(jí)管理體系、方便的拖放式設(shè)備管理?？梢暬O(shè)備對(duì)象管理：可視化、直觀、即時(shí)得到對(duì)象信息、Enable/Disable選中的對(duì)象、鼠標(biāo)單擊進(jìn)展對(duì)象的監(jiān)控、流量統(tǒng)計(jì)及預(yù)警。對(duì)象監(jiān)控：實(shí)時(shí)流量監(jiān)控〔VIP、Pool、節(jié)點(diǎn)、設(shè)備〕、CPU監(jiān)控、內(nèi)存使用率監(jiān)控、定制監(jiān)控參數(shù)、監(jiān)控圖表導(dǎo)出。如下列圖所示：*-Control對(duì)象監(jiān)控監(jiān)控?cái)?shù)據(jù)導(dǎo)出：導(dǎo)出流量數(shù)據(jù)(文本、*ML、HTML表格、E*cel文檔、導(dǎo)出圖表、PDF、JPG、GIF等格式)、用戶可以根據(jù)導(dǎo)出的數(shù)據(jù)定制個(gè)性化報(bào)表。對(duì)象預(yù)警：實(shí)時(shí)預(yù)警〔VIP、Pool、節(jié)點(diǎn)、設(shè)備〕。配置信息管理：配置備份、配置恢復(fù)、配置刪除、HA的配置同步、配置激活、回滾、上傳/下載。獲取設(shè)備信息：查看設(shè)備運(yùn)行的效勞、查看設(shè)備翻開的端口、查看軟件產(chǎn)品的詳細(xì)信息?？刂圃O(shè)備運(yùn)行的網(wǎng)絡(luò)效勞：方便控制設(shè)備運(yùn)行的各種效勞。查看設(shè)備的全局統(tǒng)計(jì)信息：查看深入的統(tǒng)計(jì)信息、系統(tǒng)流量、運(yùn)行時(shí)間、網(wǎng)絡(luò)連接、拒絕訪問信息等等。自動(dòng)發(fā)現(xiàn)設(shè)備：通過網(wǎng)絡(luò)自動(dòng)發(fā)現(xiàn)F5設(shè)備、自動(dòng)添加發(fā)現(xiàn)的設(shè)備到設(shè)備分級(jí)目錄。如下列圖所示：*-Control自動(dòng)發(fā)現(xiàn)設(shè)備數(shù)據(jù)采集：數(shù)據(jù)采集是將實(shí)時(shí)監(jiān)控的數(shù)據(jù)存儲(chǔ)在本地存儲(chǔ)介質(zhì)中。為統(tǒng)計(jì)分析提供數(shù)據(jù)源。統(tǒng)計(jì)報(bào)表：對(duì)采集的下線數(shù)據(jù)進(jìn)展查詢及報(bào)表輸出。5.2CiscoASA5500系列防火墻技術(shù)特點(diǎn)CiscoASA5500系列內(nèi)容平安版讓企業(yè)不但能充分發(fā)揮互聯(lián)網(wǎng)業(yè)務(wù)的優(yōu)勢，還能利用全面的網(wǎng)關(guān)平安性和VPN連接解決方案。CiscoASA5500系列內(nèi)容平安版具有集成式防火墻、內(nèi)容平安和VPN功能，能夠從電子郵件和互聯(lián)網(wǎng)流量中刪除惡意軟件、間諜軟件、垃圾郵件和誘騙企圖，最大程度地提高業(yè)務(wù)連續(xù)性和平安