某互聯(lián)網(wǎng)出口負載均衡和流量分析總體方案

/xxx互聯(lián)網(wǎng)出口負載均衡和流量分析項目方案巴州浩展網(wǎng)絡有限責任公司20XX3月目錄1項目背景32項目目標33項目原則34總體方案設計44.1現(xiàn)狀分析44.2方案論證44.3總體方案55設計方案65.1技術關鍵點65.2方案設計76實施方案116.1設備安裝調(diào)試116.2設備上架、加電測試116.3業(yè)務平滑遷移116.4鏈路跳接126.5策略調(diào)整、優(yōu)化配置126.6設備關機127項目組織管理137.1項目實施總體布署137.2項目實施準備工作137.3項目實施關鍵步驟說明147.4項目文檔管理158項目實施進度計劃169應急預案1610培訓計劃1710.1F5培訓內(nèi)容1710.2Allot培訓內(nèi)容1711附件1911.1《F5-6400配置手冊》1911.2《Allot管理服務器配置手冊》2611.3《Allot-3040配置手冊》2811.4C3750G配置手冊32項目背景目前xxx的互聯(lián)網(wǎng)出口是電信、聯(lián)通雙線接入.辦公網(wǎng)、公共信息網(wǎng)分別建有互聯(lián)網(wǎng)出口系統(tǒng)；中石油互聯(lián)網(wǎng)出口接入到辦公網(wǎng)邊界區(qū)域；用戶群體龐大.約有3萬終端。油田中心機房現(xiàn)有油田辦公網(wǎng)互聯(lián)網(wǎng)出口負載均衡設備、流量整形設備.且各只有一臺.沒有備份.當出現(xiàn)軟硬件問題設備不能正常運行時將導致相關網(wǎng)絡癱瘓。通過本項目購置負載均衡設備和流量整形設備各1臺.為互聯(lián)網(wǎng)正常運行做好保障。項目目標根據(jù)油田互聯(lián)網(wǎng)出口現(xiàn)狀.設計原有的互聯(lián)出口設備和新購的F5負載均衡、ALLOT流量整形設備的實施方案。根據(jù)方案進行油田互聯(lián)網(wǎng)出口整體實施.包括原有設備和新購設備等的安裝實施。在原有的互聯(lián)網(wǎng)出口系統(tǒng)基礎上.使之更加穩(wěn)定、安全、可靠。項目原則先進性原則可靠性原則維護性原則擴展性原則安全性原則易用性原則總體方案設計現(xiàn)狀分析辦公網(wǎng)互聯(lián)網(wǎng)出口設備有F5-6400、Allot-1010、ISG2000和邊界路由器3750G.公共信息網(wǎng)互聯(lián)網(wǎng)出口設備有F5-3400、QQSG和邊界路由器3750G。方案論證根據(jù)xxx辦公網(wǎng)與公共信息網(wǎng)兩網(wǎng)分離的網(wǎng)絡實際情況.結合現(xiàn)有設備.從以下幾個方面分析論證：流量分析：設備OUTIN策略備注F5-640050M/s400M/sWeb/郵件辦公網(wǎng)F5-3400500M/s600M/s無公共信息網(wǎng)結論：互聯(lián)網(wǎng)出口峰值流量公共信息網(wǎng)大于辦公網(wǎng)；互聯(lián)網(wǎng)出口設備壓力公共信息網(wǎng)高于辦公網(wǎng)。設備性能分析：公共信息網(wǎng)F5-3400年限較長.硬件性能不足。設備〔理論值并發(fā)會話數(shù)為400萬.活動用戶數(shù)峰值為1萬.內(nèi)存為1G。當用戶峰值訪問時.設備會話保持使用不夠.易出現(xiàn)間斷性斷網(wǎng).釋放內(nèi)存后網(wǎng)絡恢復。不能滿足公共信息網(wǎng)的應用需求辦公網(wǎng)F5-6400并發(fā)會話數(shù)800萬.活動用戶數(shù)峰值為2.5萬.內(nèi)存為2G。可以滿足辦公網(wǎng)的應用需求.但不能滿足公共信息網(wǎng)的應用需求。QQSG協(xié)議特征庫長時間沒有更新.不能對新的應用做到識別.已經(jīng)不能滿足現(xiàn)有流量分析的需求；報表的時間戳不能同步.報表的時間不對.無法修正。不能滿足公共信息網(wǎng)的需求Allot-1010能夠識別現(xiàn)有辦公網(wǎng)〔Web/Ftp/Mail需求產(chǎn)生的應用流量分析.硬件設備運行穩(wěn)定。由于沒有續(xù)保服務.特征庫無法更新.軟件版本低?？梢詽M足辦公網(wǎng)現(xiàn)有功能要求.但不能滿足公共信息網(wǎng)復雜應用分析的需求?？傮w方案基于上述分析.辦公網(wǎng)的互聯(lián)網(wǎng)出口系統(tǒng)保持現(xiàn)狀.公共信息網(wǎng)的F5-3400和QQSG更換為F5-6900和Allot-3040,F5-3400和QQSG關機.作為互聯(lián)網(wǎng)出口體系的備用設備。設計方案技術關鍵點F5-6900多鏈路的負載均衡：LinkController可以智能的解決多條ISP接入鏈路以保證網(wǎng)絡服務的質(zhì)量.分為OUTBOUND流量的負載均衡、INBOUND流量的負載均衡。多鏈路的冗余：可以檢測每條鏈路的運行狀態(tài)和可用性.做到鏈路和ISP故障的實時檢測。高度的安全性：采用防火墻的設計原理.是缺省拒絕設備.防御普通網(wǎng)絡攻擊。能夠拆除空閑連接防止拒絕服務攻擊；能夠執(zhí)行源路由跟蹤防止IP欺騙；拒絕沒有ACK緩沖確認的SYN防止SYN攻擊；拒絕teartop和land攻擊；保護自己和內(nèi)網(wǎng)免受ICMP攻擊；不運行SMTP、FTP、TELNET或其它易受攻擊的后臺程序。DynamicReaping特性可以高效刪除各類網(wǎng)絡DoS攻擊中的空閑連接.這可以保護BIG-IP不會因流量過多而癱瘓。DelayBinding技術可以為部署在BIG-IP后面的服務器提供全面地SYNFlood保護。Allot-3040確保關鍵業(yè)務應用、控制廣域網(wǎng)成本：檢測網(wǎng)絡與帶寬的使用情況.自動發(fā)現(xiàn)網(wǎng)絡中的應用.判斷網(wǎng)絡中哪些協(xié)議可能對網(wǎng)絡造成影響而需要對其進行管理。對所有經(jīng)過Allot設備的所有流量進行檢查.并持續(xù)監(jiān)測資源的使用情況以保證對網(wǎng)絡的控制與應用服務的性能.定義的策略將業(yè)務優(yōu)先級與用戶的需求相結合。強健策略驅動的網(wǎng)絡架構：為網(wǎng)絡中的每一種應用精確地分配帶寬.保證那些對網(wǎng)絡延遲敏感的應用的質(zhì)量不會因為網(wǎng)絡中的其他流量而下降。實現(xiàn)網(wǎng)絡智能：借助NetXplorer管理平臺實現(xiàn)逐層深入的網(wǎng)絡分析.以實現(xiàn)智能的網(wǎng)絡管理.包括信息收集與分析、找出網(wǎng)絡瓶頸、以及集中管理策略配置。抵制惡意網(wǎng)絡攻擊：偵測已知類型的DDOS網(wǎng)絡攻擊.監(jiān)測、記錄并阻止不良的網(wǎng)絡流量.對即將發(fā)生的網(wǎng)絡攻擊提出早期告警.并且使用專用的帶外管理端口以保證即使發(fā)生DDOS攻擊的情況下也能夠對設備進行管理.從而對攻擊流量進行管控。保證最大的網(wǎng)絡可靠性：通過兩個層面的容錯特性保證網(wǎng)絡的100%正常運行時間.首先是基于硬件的旁路單元〔Bypass可以再設備發(fā)生軟硬件故障的情況下將數(shù)據(jù)透明的進行傳輸.不會導致網(wǎng)絡中斷。方案設計設計內(nèi)容F5-6900流量處理能力是6Gbps.64位的TMOS硬件架構.4核8進程CPU處理能力.8G內(nèi)存.24個千兆接口〔含光口。并發(fā)數(shù)是800萬.活動用戶數(shù)峰值為4萬.背板帶寬68G。Allot-3040有8個千兆接口.可擴展至4Gbps的全雙工吞吐率.實時監(jiān)測和QoS策略執(zhí)行多達400萬個并發(fā)IP流.支持Allot的DART〔動態(tài)可操作的識別技術.廣泛的特征庫.能夠準確地識別數(shù)以百計的互聯(lián)網(wǎng)應用和協(xié)議.可自動更新特征庫。為了更好地使用F5-6900和Allot-3040.公共信息網(wǎng)互聯(lián)網(wǎng)出口在邊界路由器C3750G和F5-6900之間采用鏈路聚合的方式.增加鏈路帶寬.使互聯(lián)網(wǎng)訪問能夠快速、有效地通過.充分發(fā)揮性能。網(wǎng)絡資源規(guī)劃設備接口IP地址子網(wǎng)掩碼F5-69002.1/2.21.171.202Allot-3040Mgnt2Allot管理服務器Eth10SNAT-List設備SNAT地址備注F56900.103電信.18聯(lián)通設備互聯(lián)規(guī)劃設備端口對端設備端口備注F5-69001.1Internet3750GG1/0/4電信1.2Internet3750GG1/0/28聯(lián)通2.1Allot3040Bypassexternal12.2Allot3040Bypassexternal2Allot-3040Bypassinternal1C3750GGi1/0/27Bypassinternal2C3750GGi1/0/28Bypassexternal1F5-69002.1Bypassexternal2F5-69002.2MgntC3750Gi1/0/25Allot服務器Eth1C3750Gi1/0/26靜態(tài)路由規(guī)劃依據(jù)邊界設備采用靜態(tài)路由的原則.公共信息網(wǎng)的互聯(lián)網(wǎng)出口系統(tǒng)采用靜態(tài)路由的方式與內(nèi)網(wǎng)和各運營商互指。設備路由下一跳備注F5-6900聯(lián)通電信回程Allot-3040管理Allot管理服務器管理公共信息網(wǎng)C3750默認路由F5-6900策略設計參考現(xiàn)在運行的F5-3400目前配置.按照總體設計的鏈路聚合方式.針對F5-6900進行配置策略設計.內(nèi)容包含一下部分：電信、聯(lián)通鏈路對應公共信息網(wǎng)F5-6900的接口、管理IP、接口IP及路由PortChannel〔鏈路聚合VirtualServerListPoolListMonitorListiRuleSNAT-ListSNATAllot-3040策略設計參考現(xiàn)在運行的QQSG目前配置.針對Allot-3040進行配置策略設計.內(nèi)容包含一下部分：管理服務器安裝〔NX服務器配置管理IP及路由LinePipeVirtualChannelQOSIPHostC3750G總體設計PortChannel〔鏈路聚合路由實施方案設備安裝調(diào)試F5-6900安裝調(diào)試詳細配置見附件中《F5-6900配置手冊》Allot管理服務器安裝調(diào)試：Allot管理服務器安裝在Wndowsserver2003英文版〔建議或中文版32位包括SP2.虛擬內(nèi)存設置成4G；管理員需要安裝JAVASDK和NetXplorer才能管理Allot；詳細配置見附件中《Allot管理服務器配置手冊》Allot-3040安裝調(diào)試詳細配置見附件中《Allot-3040配置手冊》C3750G詳細配置見附件中《C3750G配置手冊》設備上架、加電測試按照機房要求.將新設備F5-6900和Allot-3040上架.并加電測試。業(yè)務平滑遷移公共信息網(wǎng)F5-3400更換為F5-6900：將業(yè)務數(shù)據(jù)流量從F5-3400遷移至F5-6900.觀察業(yè)務數(shù)據(jù)流量是否正常.若出現(xiàn)異常情況立即將業(yè)務數(shù)據(jù)流量恢復至F5-3400.優(yōu)先保證用戶正常使用公共信息網(wǎng)資源.迅速排查原因后重新實施。公共信息網(wǎng)QQSG更換為Allot-3040；將業(yè)務數(shù)據(jù)流量從QQSG遷移至Allot-3040.觀察業(yè)務數(shù)據(jù)流量是否正常.若出現(xiàn)異常情況立即將業(yè)務數(shù)據(jù)流量恢復至QQSG.優(yōu)先保證用戶正常使用公共信息網(wǎng)資源.迅速排查原因后重新實施。公共信息網(wǎng)邊界路由器C3750G配置調(diào)整：將業(yè)務數(shù)據(jù)流量從原接口遷移至PortChannel接口.觀察業(yè)務數(shù)據(jù)流量是否正常.若出現(xiàn)異常情況立即將業(yè)務數(shù)據(jù)流量恢復至原接口.優(yōu)先保證用戶正常使用公共信息網(wǎng)資源.迅速排查原因后重新實施。鏈路跳接公共信息網(wǎng)邊界路由C3750G至Allot-3040新增1條多模光跳線〔FC-FC；Allot-3040至F5-6900新增1條多模光跳線；F5-6900至互聯(lián)網(wǎng)3750G新增1條多模光跳線。策略調(diào)整、優(yōu)化配置經(jīng)過1個月的使用.通過數(shù)據(jù)分析、結合F5-6900和Allot-3040的技術特點、油田互聯(lián)網(wǎng)出口情況和用戶使用習慣.對原有配置進行優(yōu)化.提升、改善用戶網(wǎng)絡體驗效果。設備關機F5-6900和Allot-3040運行穩(wěn)定后.將F5-3400和QQSG關機.作為備用。項目組織管理項目實施總體布署 本項目實施要求對xxx正常訪問互聯(lián)網(wǎng)的影響降到最低.本項目的實施可分為以下大部分：1、設備拆封、設備硬件貨物驗收2、設備上架、系統(tǒng)安裝3、軟件安裝、預調(diào)試4、割接實施.實地測試5、用戶培訓項目實施準備工作在項目實施前.已對xxx網(wǎng)絡部署的環(huán)境、方案等作了認真充分的論證.準備工作包括：進場前準備工作與相關部門協(xié)調(diào).確認進場時間及人員項目組成員名單序號工程類別人數(shù)聯(lián)系人1項目負責1人2現(xiàn)場負責兼方案設計人員1人3安裝、調(diào)試1人4廠商工程師遠程支持2人5硬件上架、設備供電2人項目實施所需工具及測量儀十字、一字螺絲刀各2把開線刀.打線鉗.電源地拖各1套網(wǎng)絡測試儀、光纖測試儀各1套筆記本電腦1臺.交叉線4條以上工具和設備.由項目負責人在進場前檢查相關設備工具的到位情況。工作計劃與xxx負責人員確定設備上架時間.協(xié)調(diào)/配合xxx負責人員發(fā)布維護通知上架前的準備工作.包括確定從設備到主干交換機的網(wǎng)線長度、尾纖長度、接頭類型、光纖模塊安裝。規(guī)劃實施時間.設備上架演習.文檔、標簽整理軟件安裝.預調(diào)試項目實施關鍵步驟說明實施的關鍵工序如下：線纜布放；設備上架.電源線固定；啟動設備.確定各進程已正常工作.確定管理頁面可正常打開.確保設備工作正常。設備及網(wǎng)線貼標簽.等待通知時間.準備串接任務負責人實施場地備注設備的上架實施工程師xxx勘探開發(fā)綜合樓信息管理部機房網(wǎng)絡機房電源線固定.連接網(wǎng)線實施工程師設備上電測試實施工程師貼標簽實施工程師等待通知時間.實施實施工程師甲方人員設備網(wǎng)絡測試實施工程師廠商工程師設備運行測試實施工程師廠商工程師管理頁面測試實施工程師廠商工程師檢查.收尾所有人員項目文檔管理工程指定1人負責內(nèi)外文檔的規(guī)范、整理規(guī)范整理的文檔必須經(jīng)過項目經(jīng)理的嚴格審核并簽字項目資料的填寫與制作應與項目進度同步進行.并按表格規(guī)定.由項目實施人員會簽后存檔項目實施進度計劃安裝、預調(diào)試1天方案實施：0.5天實地測試：1天策略優(yōu)化：30天用戶培訓安裝、預調(diào)試1天方案實施：0.5天實地測試：1天策略優(yōu)化：30天用戶培訓1.5天實施前的準備工作,包括確定網(wǎng)線及尾纖長度、接頭類型、均衡設備的測試。軟件安裝,預調(diào)試核對所帶實施材料落實實施過程中各部門對接人及聯(lián)系方式實施、測試前期環(huán)境調(diào)研布署方案設計4天實施方案制定確定割接時間1天針對塔指環(huán)境,制定出合理的數(shù)據(jù)獲取方案及實施計劃與項目負責人確定實施時間,協(xié)調(diào)/配合項目負責人發(fā)布維護通確定項目組人選方案制定文檔模板生成用戶培訓跟蹤回訪應急預案此次實施關系到油田用戶訪問互聯(lián)網(wǎng)業(yè)務.要求盡可能在短時間內(nèi)完成設備線路切換和策略部署.因此實施過程中出現(xiàn)其他情況時；立即啟動"信息管理部相關應急預案".恢復原有網(wǎng)絡線路或配置.排查問題原因后準備下一次實施。培訓計劃F5培訓內(nèi)容10:30–12:00將設備對用戶端進行交付.讓用戶了解設備.并學會如何查看各類參數(shù)。12:00–13:00進行策略添加、修改.讓用戶了解策略.規(guī)則的意義.學會如何定制策略。13:00–14:00實際操作.讓用戶有能力去分析流量情況.并學會管理設備。Allot培訓內(nèi)容10:30–11:30介紹NetXplorer.什么是NetXplorer?我們將學習如何安裝NetXplorer服務器和使用圖形化界面的客戶端,并且稍后可以看到如何開始通過圖形化客戶端實現(xiàn)工作。11:45–12:15監(jiān)控與報告.如何通過使用NetXplorer獲得對您的網(wǎng)絡全面可視化？在此部分.我們將學習如何使用NetXplorer實時監(jiān)控和長期監(jiān)控的功能。我們將檢查不同類型的可用圖形和了解每個圖形它的典型用途和如何生成的。在了解如何預定義和定期報告以及如何使用組特性將不同的設備集成到一個報告里.我們也將關注一些其他的高級的監(jiān)控特性。12:15–13:30監(jiān)控動手練習16:00–16:30條件選項.如何定義不同的條件選項來等級化您的網(wǎng)絡中各種流量。這部分給出了十分清晰的解釋.包括主機、時間、服務、TOS和VLAN等選項。16:45–17:15執(zhí)行選項.如何為你在網(wǎng)絡種已經(jīng)定義的不同的流量設置定義不同的執(zhí)行動作選項。這個部分包括關于QoS,ToS和DoS選項的詳細說明.以及很好的闡述了NetEnforcer的工作機制。17:15–18:30建立策略.如何建立將你定義的各種選項組合成一個有效的策略來滿足你的業(yè)務需求。這部分將通過案例來解釋如何創(chuàng)建規(guī)則.如何使用Lines,Pipes,VCs和Templates。18:30–19:00事件和告警.如何確認對于網(wǎng)絡狀態(tài)變化的預設提示。這個部分將概括如何定義告警和告警行為以及如何費培不同的項目種。此外.我們將看到如何配置事件和如何在多種日志中看事件和告警。最后會舉幾個案例。19:00–19.30動手練習,總結和回顧附件《F5-6400配置手冊》備份原F5-3400策略配置.根據(jù)F5-3400策略配置調(diào)試F5-6900：將Console線連接工作站COM口和F5的console口.網(wǎng)線連接工作站網(wǎng)口和F5的MGMT網(wǎng)口：Console口MGMT口Console口MGMT口登錄F5設備進行激活：設備激活后.進行管理地址、主機名稱、口令的配置更改：在F5-6900接口上配置內(nèi)網(wǎng)鏈路IP：〔配置地址后.注意關聯(lián)相應VLAN在F5-6900接口上配置互聯(lián)網(wǎng)鏈路IP：配置方法如上圖.配置好后.在selfIP中查看.如下圖：在F5-6900上配置PortChannel〔鏈路聚合：將需要做鏈路聚合的連個端口綁到一個trunk中.并將此trunk應用到內(nèi)網(wǎng)的接口上即可在F5-6900上配置缺省路由及回指路由：將建立好的default_gateway_pool關聯(lián)到缺省路由上.并按照用戶提供的地址段.填入正確的回指路由在F5-6900上配置VirtualServerList；進入LTM模塊中的VirtualServer創(chuàng)建缺省VS向外指出.所有訪問互聯(lián)網(wǎng)的用戶將默認匹配此VS.并觸發(fā)相應規(guī)則：進入LTM模塊中的pool：建立運營商的首選pool.并使用ICMP進行鏈路活動探測：在F5-6900上配置MonitorList；進入LTM中的monitor.建立自定義的monitor內(nèi)容.如無特殊要求.使用默認monitor即可《Allot管理服務器配置手冊》將Allot管理服務器安裝在Wndowsserver2003英文版或中文版32位包括SP2.