H3C全場景負(fù)載均衡解決方案分析.ppt

1、H3C全場景負(fù)載均衡解決方案,日期：,密級：,杭州華三通信技術(shù)有限公司,服務(wù)器負(fù)載均衡解決方案 鏈路負(fù)載均衡解決方案,目錄,存在問題一：業(yè)務(wù)服務(wù)器負(fù)荷的均衡性,業(yè)務(wù)1,業(yè)務(wù)2,業(yè)務(wù)n,業(yè)務(wù)1,業(yè)務(wù)2,業(yè)務(wù)n,業(yè)務(wù)量提升， 增補服務(wù)器,兩個問題： 1、受傳統(tǒng)三層交換模式下的應(yīng)用限制，一個業(yè)務(wù)IP無法同時供多臺服務(wù)器使用； 2、如果每種業(yè)務(wù)發(fā)布多個業(yè)務(wù)IP，需知會業(yè)務(wù)使用者，且，存在服務(wù)器負(fù)荷不均勻,存在問題二：業(yè)務(wù)服務(wù)器故障感知,ERP系統(tǒng),硬件,操作系統(tǒng),網(wǎng)站,硬件層面,操作系統(tǒng),應(yīng)用層面,郵箱系統(tǒng),OA系統(tǒng),故障感知 盲區(qū),問題： 傳統(tǒng)三層交換模式在分發(fā)業(yè)務(wù)請求時，無法感知服務(wù)器的操作系統(tǒng)和

2、應(yīng)用系統(tǒng)層面的故障，易引發(fā)故障投訴。,存在問題三：業(yè)務(wù)服務(wù)器安全問題,業(yè)務(wù)1,業(yè)務(wù)2,業(yè)務(wù)n,問題： 業(yè)務(wù)服務(wù)器面臨著如非法訪問、DDOS攻擊、病毒等各類安全威脅。,H3C業(yè)務(wù)負(fù)載均衡解決方案,業(yè)務(wù)1,業(yè)務(wù)2,業(yè)務(wù)n,專業(yè)FW、IPS模塊,LB模塊,提供專業(yè)的網(wǎng)絡(luò)層攻擊、應(yīng)用層攻擊防御,LB作為三層交換機功能延伸，對外發(fā)布業(yè)務(wù)虛IP，提供四、七層交換功能。提升“業(yè)務(wù)自適應(yīng)能力”。,H3C業(yè)務(wù)負(fù)載均衡解決方案,業(yè)務(wù)1,業(yè)務(wù)2,業(yè)務(wù)n,VIP1,VIP2,VIPn,增強業(yè)務(wù)自適應(yīng)性 LB終結(jié)業(yè)務(wù)請求報文，虛IP/Port與業(yè)務(wù)請求報文IP/Port與進(jìn)行匹配，并采用負(fù)載均衡分發(fā)算法將請求報文轉(zhuǎn)發(fā)至

3、實體服務(wù)器，擴(kuò)展業(yè)務(wù)處理能力，增強網(wǎng)絡(luò)自適應(yīng)性。 服務(wù)器健康檢查： LB從硬件、操作系統(tǒng)、應(yīng)用等多個層面檢查業(yè)務(wù)服務(wù)器是否故障，僅將業(yè)務(wù)請求數(shù)據(jù)分發(fā)至健康的服務(wù)器。,業(yè)務(wù)服務(wù)器健康檢測,DNS,Radius,SSL,ICMP,TCP,HTTP,FTP,硬件網(wǎng)卡,服務(wù)層面,應(yīng)用層面,UDP,POP3,SMTP,IMAP,RTSP,SIP,應(yīng)用不斷豐富中,根據(jù)響應(yīng)內(nèi)容判斷服務(wù)器狀況,模擬客戶端對應(yīng)用發(fā)送連接或內(nèi)容請求,發(fā)送ICMP Echo報文,根據(jù)收到ICMP響應(yīng)判斷服務(wù)器狀況,根據(jù)TCP連接成功否或內(nèi)容判斷服務(wù)器狀況,發(fā)送TCP連接或請求內(nèi)容,負(fù)載均衡,業(yè)務(wù)服務(wù)器,靈活的業(yè)務(wù)服務(wù)器負(fù)載均衡分發(fā)

4、,負(fù)載均衡設(shè)備,客戶端,1,2,3,4,5,6,豐富的持續(xù)性（會話保持）算法,負(fù)載均衡設(shè)備,1,2,3,建立持續(xù)性表項，某次業(yè)務(wù)數(shù)據(jù)流后續(xù)報文送到同一實服務(wù)器,H3C負(fù)載均衡-1:N虛擬化,Client,Client,Client,管理權(quán)限虛擬化 虛服務(wù)虛擬化 分發(fā)策略虛擬化 持續(xù)性虛擬化 健康檢查虛擬化,應(yīng)用場景： 云計算系統(tǒng) MPLS VPN內(nèi)服務(wù)器前端,LB一虛多,H3C負(fù)載均衡-N:1虛擬化,SecBlade LB1,SecBlade LB3,SecBlade LB2,交換機接口板 （網(wǎng)關(guān)）,多模塊、單VIP,IP1,IP2,IP3,交換機接口板 （網(wǎng)關(guān)）,SNAT-IP1,SNAT-

5、IP2,SNAT-IP3,SIP1,SIP2,SIP3,Client,H3C負(fù)載均衡SSL 加速,S75E+LB+SSL VPN,HTTPS 流量,Web,APP,DB,HTTP 流量,采用專業(yè)的硬件SSL加速業(yè)務(wù)引擎 SSL加速處理處理流程 1、 客戶端發(fā)起HTTPS連接請求，協(xié)商傳輸?shù)募用芩惴?，確認(rèn)雙方身份，并交換會話密鑰。 2、負(fù)載均衡對請求的信息進(jìn)行解密，通過HTTP的方式發(fā)送給后端的服務(wù)器。 3、服務(wù)器返回處理結(jié)果給負(fù)載均衡設(shè)備。 4、負(fù)載均衡設(shè)備對請求的結(jié)果進(jìn)行加密，返回給客戶端。,負(fù)載均衡模式雙機熱備,支持主/備、主/主模式 LB之間啟用VRRP，并通過心跳線同步LB會話表項；

6、主機級和會話級備份實現(xiàn)業(yè)務(wù)無縫切換,FW模塊,H3C負(fù)載均衡交換機,IPS模塊,防DDos攻擊模塊,支持多種業(yè)務(wù)模塊，包括：防火墻、IPS入侵防護(hù)、應(yīng)用控制及管理、網(wǎng)流分析、無線控制等 所有插卡支持統(tǒng)一管理,按需部署不同業(yè)務(wù)模塊，滿足不斷增長的業(yè)務(wù)需求：,專業(yè)的安全功能擴(kuò)展,H3C 負(fù)載均衡產(chǎn)品,S7500E,S9500E,S12500,S8800,SecBlade LB For S7500E/S9500E/S10500/S12500,SecBlade LB For SR8800,機架式 主機,負(fù)載均衡 業(yè)務(wù)板,S10500,LB應(yīng)用案例-天地圖,門戶應(yīng)用服務(wù),矢量應(yīng)用服務(wù),影像應(yīng)用服務(wù),S7

7、5E+LB,產(chǎn)品及方案特色 交換+多核架構(gòu)，性能強勁，可靠性高，滿足724小時在線服務(wù)器 LB可擴(kuò)容，滿足未來業(yè)務(wù)增長，保護(hù)用戶投資,負(fù)載均衡部署策略 負(fù)載均衡分發(fā)技術(shù)：新建業(yè)務(wù)節(jié)點性能相同，采用對集群節(jié)點干擾小的輪詢調(diào)度策略； 會話保持：該網(wǎng)站暫時不提供連續(xù)交互會話的功能 ，后續(xù)會開展需保持會話業(yè)務(wù)。 服務(wù)器健康檢查：在線地理信息服務(wù)網(wǎng)站采用HTTP檢測方式，即定時與服務(wù)器集群中服務(wù)器發(fā)出HTTP請求并驗證響應(yīng)結(jié)果。,LB應(yīng)用案例江蘇移動IMS系統(tǒng),S75E+LB,IMS 業(yè)務(wù)服務(wù)器,移動城域網(wǎng),產(chǎn)品及方案特色 一機兩用：運營商認(rèn)可交換機式LB，性能高、可靠性高，可平滑擴(kuò)容，IMS系統(tǒng)服務(wù)器

8、直連S75E，簡化網(wǎng)絡(luò)層次。,繼F5000在中移動IMS系統(tǒng)規(guī)模應(yīng)用后， LB再次在IMS核心業(yè)務(wù)系統(tǒng)穩(wěn)定運行。,負(fù)載均衡部署策略 負(fù)載均衡分發(fā)技術(shù)：新建業(yè)務(wù)節(jié)點性能相同，采用對集群節(jié)點干擾小的輪詢調(diào)度策略； 會話保持：本次系IMS內(nèi)DNS業(yè)務(wù)暫時不提供保持會話。 服務(wù)器健康檢查：IMS內(nèi)DNS業(yè)務(wù)采用基于DNS的健康檢測，即LB模擬客戶端定時向DNS服務(wù)器發(fā)起DNS請求，根據(jù)返回值來判斷服務(wù)器正常與否。,LB應(yīng)用案例海南人民醫(yī)院HIS系統(tǒng),S75E+LB,影像服務(wù)器,S12500,行業(yè)及系統(tǒng)： 醫(yī)院HIS系統(tǒng) 挑戰(zhàn)： 保障7X24業(yè)務(wù)連續(xù) 提升影像資料下載速度 具備業(yè)務(wù)不斷擴(kuò)充能力 方案優(yōu)點

9、： Lb在S75E IRF2環(huán)境下部署，可靠性高 雙主影像服務(wù)器，下載能力提升1倍 DR工作模式，大容量文件下載不經(jīng)過LB 具備新增業(yè)務(wù)和業(yè)務(wù)擴(kuò)容能力,案例點評：LB在現(xiàn)代化大型三甲醫(yī)院的核心業(yè)務(wù)系統(tǒng)的成功應(yīng)用,安徽農(nóng)信網(wǎng)銀數(shù)據(jù)中心,行業(yè)及系統(tǒng)： 銀行 網(wǎng)銀系統(tǒng) 應(yīng)用場景： 網(wǎng)銀多出口鏈路負(fù)載均衡、網(wǎng)銀服務(wù)器負(fù)載均衡 方案描述： LB在部署在網(wǎng)銀多ISP出口，提供“智能DNS功能”和H3C獨有的“保持上一條”功能，提升不同運營商用戶的高速業(yè)務(wù)體驗。 LB部署在網(wǎng)銀數(shù)據(jù)中心前端，提供網(wǎng)銀服務(wù)器的負(fù)載均衡，實現(xiàn)7X24小時服務(wù)。,服務(wù)器負(fù)載均衡解決方案 鏈路負(fù)載均衡解決方案,目錄,部分寬帶運營商網(wǎng)

10、絡(luò)現(xiàn)狀,電信,聯(lián)通,省干網(wǎng)關(guān),地市節(jié)點,廣電、鐵通、移動等運營商通過租賃電信和聯(lián)通線路進(jìn)行寬帶運營。 通過在出口路由器上配置ACL策略路由方式將互聯(lián)網(wǎng)寬帶用戶靜態(tài)的指向不同的出口鏈路。,問題一：部分互聯(lián)網(wǎng)寬帶用戶上網(wǎng)慢,電信,聯(lián)通,省干網(wǎng)關(guān),地市節(jié)點,被靜態(tài)策略至某聯(lián)通鏈路,出口網(wǎng)關(guān)無法根據(jù)用戶訪問的目的IP選路，導(dǎo)致部分用戶上網(wǎng)速度慢、體驗差。,問題二：維護(hù)工作量繁瑣,電信,聯(lián)通,省干網(wǎng)關(guān),地市節(jié)點,需在出口網(wǎng)關(guān)路由器上經(jīng)常性的為新增寬帶用戶添加靜態(tài)策略，維護(hù)工作量大。,天天加策略,問題三：鏈路故障探測及處理,電信,聯(lián)通,省干網(wǎng)關(guān),地市節(jié)點,鏈路故障后，手工調(diào)整策略期間，寬帶用戶無法上網(wǎng)，會

11、投訴或傳播負(fù)面信息。,H3C出口多鏈路負(fù)載均衡解決方案,電信,聯(lián)通,省干網(wǎng)關(guān),地市節(jié)點,在出口部署一體式的FW+LB網(wǎng)關(guān)。 FW實現(xiàn)大容量NAT功能 LB實現(xiàn)鏈路負(fù)載均衡功能 根據(jù)用戶目的地址進(jìn)行自動選路，無須配置靜態(tài)策略 用戶上網(wǎng)速度感知優(yōu)于靜態(tài)策略方式 鏈路故障，自動將用戶流量切換至可用鏈路。,IRF,FW,LB,出口鏈路負(fù)載均衡邏輯示意圖,SecBlade LB 1,SecBlade LB 2,SecBlade LB n,接口板,可靠性一： 任一LB故障，流量將均分至正常的LB,萬兆板,電信,聯(lián)通,交換機通過等價路由方式將流量均分至各LB板卡 LB通過邏輯子接口與四個鏈路連接。 LB通過

12、鏈路負(fù)載均衡算法分發(fā)流量。 LB探測鏈路故障，自動將流量分擔(dān)至可用的鏈路。,等價路由分發(fā),可靠性二： 任一鏈路故障，流量將均分至正常的鏈路,電信,聯(lián)通,電信,聯(lián)通,出鏈路負(fù)載均衡,路由器靜態(tài)策略模式,ISP匹配流,未知流,輪詢 加權(quán)輪詢 源地址Hash 最小連接 就近性探測,ISP匹配流,未知流,默認(rèn)路由,提升1豐富的出口流量分發(fā)算法,提升1分發(fā)算法比較,靜態(tài)分發(fā) 輪詢/隨機、加權(quán)輪詢/隨機 源IP/Port Hash,動態(tài)分發(fā) （加權(quán)）最小連接、最大剩余帶寬,就近性探測（生成就近性表項） 鏈路可用帶寬、鏈路延遲時間（RTT） 鏈路成本、路由跳數(shù)（TTL）,ISP表項匹配 內(nèi)置電信、聯(lián)通等IS

13、P地址表項,靜態(tài)策略路由 動態(tài)路由,路由器,負(fù)載均衡,來源于APNIC（亞太互聯(lián)網(wǎng)絡(luò)信息中心）,出鏈路負(fù)載均衡之“outbound智能選路功能”,ISP1,ISP1表項,ISP2表項,ISP3表項,ISP2,ISP3,目的IP,目的IP,目的IP,未知目的IP,ISP表項匹配,靜態(tài)分發(fā) 輪詢/隨機、加權(quán)輪詢/隨機 源IP/Port Hash,動態(tài)分發(fā) （加權(quán)）最小連接、最大剩余帶寬,就近性探測（生成就進(jìn)行表項） 鏈路可用帶寬、鏈路延遲時間（RTT） 鏈路成本、路由跳數(shù)（TTL）,內(nèi)網(wǎng)用戶,負(fù)載均衡,互聯(lián)網(wǎng),電信-1G,聯(lián)通-500M,目的IP為電信的流量,950M,150M,1.1G,保護(hù)閾值

14、950M,電信-1G,聯(lián)通-500M,目的IP為電信的流量,1G,100M,1.1G,X,負(fù)載均衡鏈路閾值保護(hù),路由器靜態(tài)策略模式,每條ISP設(shè)置閾值，鏈路數(shù)據(jù)流達(dá)到閾值后，LB不再向該鏈路發(fā)送數(shù)據(jù)流。,提升2出口鏈路流量閾值保護(hù),提升3出口故障或擁塞后流量牽引,電信-1G,聯(lián)通-500M,目的IP為電信的流量,X,電信-1G,聯(lián)通-500M,目的IP為電信的流量,950M,150M,1.1G,保護(hù)閾值950M,出口故障后流量牽引,出口擁塞后流量牽引,入方向鏈路負(fù)載均衡之“智能DNS功能”,ISP1,ISP2,ISP3,匹配，返回對應(yīng)ISP的DNS-IP,負(fù)載均衡,Client,客戶端訪問網(wǎng)站

15、系統(tǒng)時如何請求到最快的域名IP地址？,用戶源IP是否匹配某ISP表項？,就近探測最優(yōu)鏈路,不匹配,返回最優(yōu)ISP的DNS-IP,H3C網(wǎng)站,DNS請求邏輯圖,Local DNS,Local DNS,記錄上一跳功能（外部訪問網(wǎng)內(nèi)資源）,電信,聯(lián)通,移動,請求報文,響應(yīng)報文,X,響應(yīng)報文,來回路徑不一致問題： 1、跨網(wǎng)導(dǎo)致響應(yīng)慢，用戶體驗差 2、如ISP開URPF，響應(yīng)報文丟棄 解決方法-記錄上一條： H3C負(fù)載均衡設(shè)備依據(jù)用戶請求報文的五元組生成會話表，并把該會話表與入端口（物理或邏輯）對應(yīng)關(guān)系記錄成上一跳表項； 服務(wù)器響應(yīng)報文會匹配到會話表，直接將響應(yīng)報文從入接口發(fā)出去。,河南鐵通出口鏈路解決

16、方案,2*10GE,鏈路1,鏈路2,FW+LB,鏈路1,鏈路2,FW,LB,鏈路1,鏈路2,鏈路3,內(nèi)部流量均分至LB,聯(lián)通,CRN,電信,S7610+ FW+LB,河南有線逐漸割接改造中,2010年原網(wǎng)絡(luò),2011年部分出口逐步改造,采用S7600系列虛擬化交換機插框通過LB插卡和FW插卡的配合完成兩條聯(lián)通線路的NAT出口改造。,S5800-60C-PWR,S5800-60C-PWR,S7506E+SecBlade FW +SecBlade IPS+SecBlade LB,CMNET省網(wǎng)匯聚路由器NE40E-A,CMNET,CMNET省網(wǎng)匯聚路由器NE40E-A,3G視頻等數(shù)據(jù)業(yè)務(wù)預(yù)留區(qū),自有業(yè)務(wù)區(qū),基本業(yè)務(wù)區(qū),增值業(yè)務(wù)區(qū),維護(hù)管理區(qū),IMC+NTA流量分析,流量清洗中心,S5800-60C-PWR,S5800-60C-PWR,S5800-60C-PWR,S7506E+SecBlade FW +SecBlade IPS+SecBlade LB,海南移動IDC,江蘇有線信息中心IDC,江蘇廣電IDC作為江