F5多出口链路负载均衡解决方案(LC).doc

F5 Networks 多出口链路负载均衡多出口链路负载均衡 解决方案建议解决方案建议 目目 录录 一 多出口链路负载均衡需求分析一 多出口链路负载均衡需求分析 4 二 多出口链路负载均衡解决方案概述二 多出口链路负载均衡解决方案概述 5 2 1 多出口链路负载均衡网络拓朴设计 5 2 2 方案描述 6 2 3 方案优点 7 2 3 1 拓扑结构方面 7 2 3 2安全机制方面 7 三 技术实现三 技术实现 8 3 1 F5 多出口链路负载均衡 产品选型 BIGIP LC 8 3 2 OUTBOUND流量负载均衡实现原理 9 3 3 INBOUND流量负载均衡实现原理 10 3 4 在链路负载均衡环境中的 DNS 设计和域名解析方式 12 3 4 1 Root DNS 注册DNS 直接与F5多链路负载均衡器配合 12 3 4 2 Root DNS 注册DNS 通过第三方DNS Server与F5多链路负载均衡器配合 我们建议这种方式 13 3 5 F5 设备双机冗余 毫秒级切换原理 15 3 6 STATEFUL FAILOVER 技术 与 F5 设备双机冗余有关 16 四 产品介绍四 产品介绍 17 4 1 F5 BIGIP 17 一 多出口链路负载均衡需求分析一 多出口链路负载均衡需求分析 为了保证 XXXX 出口链路的高可用性和访问效率 计划拥有两条线路 一条中国网通链 路 一条中国电信链路 F5 公司的多链路负载均衡设备 Bigip 能够提供独具特色的解决方 案 不但能够充分利用这两条链路 双向流量按照预设的算法分担到不同的链路上 一旦一条 链路不通的情况下 能够无缝切换到另外一条可用链路上 而且可以根据对不同链路的侦测 结果 将最快速的链路提供给外部用户进行响应 从而解决目前广泛存在的多个 ISP 之间的 互联互通问题 具体解决方案特色如下 提供内网至 internet 流量的负载均衡 Outbound 实现从 Internet 对服务器访问流量的负载均衡 Inbound 支持自动检测和屏蔽故障 Internet 链路 支持多种静态和动态算法智能均衡多个 ISP 链路的流量 支持多出口链路动态冗余 流量比率和切换 支持多种 DNS 解析和规划方式 适合各种用户网络环境 支持 Layer2 7 交换和流量管理控制功能 完全支持各种应用服务器负载均衡 防火墙负载均衡 多层安全增强防护 抵挡黑客攻击 业界领先的双机冗余切换机制 能够做到毫秒级切换 详细的链路监控报表 提供给网络管理员直观详细的图形界面 对于用户完全透明 对所有应用无缝支持 业界优异的硬件平台和性能 稳定 安全的设备运行记录 二 多出口链路负载均衡解决方案概述二 多出口链路负载均衡解决方案概述 2 1 多出口链路负载均衡网络拓朴设计多出口链路负载均衡网络拓朴设计 下面是专门为 XXXX 设计的多出口链路负载均衡网络拓扑图 单机版 下面是专门为 XXXX 设计的多出口链路负载均衡网络拓扑图 双机冗余版 2 2 方案描述方案描述 此方案中 分别设计单台链路负载均衡和双机冗余链路负载均衡两种网络拓扑 供杭州政 府信息中心选择 考虑到链路负载均衡在网络构架中的位置 以及今后的扩展性 建议采用 F5 公司的 Bigip LC 两台 提供两条出口链路 中国网通和中国电信 的负载均衡 其中两条 Internet 出口链路都通过普通网线或光电转换器与 Bigip LC 连接 如果双机冗余 需要从每个 ISP 引进两根进线 可以在 Bigip LC 前面放置一台二层交换机做端口拓展 Bigip LC 与两台 冗余的防火墙通过网络端口连接 两台 Bigip LC 互为冗余 通过这样的优化后 系统具有以下特征 结构合理 结构合理 整个网络结构布局合理 层次分明 便于管理与维护 可用性高可用性高 Bigip 动态检查各条出口链路的健康状态 并将下一个请求分配给最有效率的链 路 任何一条链路发生故障时 BIGIP 即刻将请求分配给其他的链路 从而达到 99 999 系 统有效性 安全性高安全性高 BIGIP 支持地址翻译技术和安全地址翻译 这样一来客户不可能知道真正提供 服务的服务器的 IP 地址与端口 BIGIP 采用 SSH 和 SSL 技术 可以防止来自内部或互联网 上的黑客攻击 效率高效率高 BIGIP 可以智能寻找最佳的出口链路 从而保证客户得到最快的上网访问速度 可扩展性高可扩展性高 BIGIP 可以支持动态增加或删除其负载均衡的链路群组的任何数量的链路 而不需要对客户端或后台做任何改变从而使得系统扩展轻松方便 可管理性高可管理性高 BIGIP 可以实时监控整个链路群组的流量状态 并分析发展趋势帮助客户及 时根据流量增长增加出口带宽 保护投资 保护投资 BIGIP 还免费带有服务器负载均衡和防火墙负载均衡的功能 2 3 方案优点方案优点 2 3 1 拓扑结构拓扑结构方面方面 1 可以轻松形成全冗余连接方法 保证网络没有单点故障的存在 2 提供多出口链路的负载均衡 今后 通过免费无缝拓展免费无缝拓展 可以对各种应用服务器 防 火墙 VPN IDS 等网络设备全部可以采用负载均衡方式处理网络流量 提高网络服务能力 和投资回报率 3 比较少的网络层次 较少网络延迟 避免运行维护时面对大量网络设备 4 灵活的扩展空间 用户可以根据实际的网络流量和压力增加带宽 增加链路 添加防火 墙或增加服务器来提高整体的服务水平 2 3 2 安全机制方面安全机制方面 1 HTTPS SSH 等加密的网络管理 避免明码通讯对网络设备控制时的安全隐患 2 F5 的 VIP 一旦配置成功 服务的 TCP UDP 端口也就同时确认 除特定服务外 其他的端口 就全部被封闭了 保护服务器避免被端口扫描 3 在防止 DOS 攻击方面 F5 提供免费的防护 特别对于 Ping of Death F5 的 VIP 一 旦规定成功就对 Ping 包做中继处理 避免攻击对服务器的压力 4 并且 F5 具备攻击回收技术 同时可以设置在资源消耗在 97 可设 时重启 切换 到备份设备工作 三 技术实现三 技术实现 3 1 F5 多出口链路负载均衡 产品选型 多出口链路负载均衡 产品选型 Bigip LC Bigip LC 的特色 提供内网至 internet 流量的负载均衡 Outbound 实现从 Internet 对服务器访问流量的负载均衡 Inbound 支持自动检测和屏蔽故障 Internet 链路 支持多种静态和动态算法智能均衡多个 ISP 链路的流量 支持多出口链路动态冗余 流量比率和切换 支持多种 DNS 解析和规划方式 适合各种用户网络环境 支持 Layer2 7 交换和流量管理控制功能 完全支持各种应用服务器负载均衡 防火墙负载均衡 多层安全增强防护 抵挡黑客攻击 业界领先的双机冗余切换机制 能够做到毫秒级切换 详细的链路监控报表 提供给网络管理员直观详细的图形界面 对于用户完全透明 对所有应用无缝支持 业界优异的硬件平台和性能 稳定 安全的设备运行记录 技术实现原理技术实现原理 下图是一个典型的 F5 多出口链路负载均衡解决方案的应用案例 图中 F5 多链路负载均衡设备通过 ISP1 和 ISP2 接入 Internet 每个 ISP 都分配给该网络 一个 IP 地址网段 假设 ISP1 分配的地址段为 100 1 1 0 24 ISP2 分配的地址段为 200 1 1 0 24 此处的 200 1 1 0 24 表示网络 IP 地址段为 200 1 1 0 子网掩码为 24 位 即 255 255 255 0 同样 Internet 知道通过 ISP1 访问 100 1 1 0 24 通过 ISP2 访问 200 1 1 0 24 网络中的主机和服务器都属于私有网段 192 168 1 0 24 多链路负载均衡设备解决方案就是在内部交换机和连接 ISP 的路由器之间 跨接一台多链 路负载均衡设备应用交换机 所有的地址翻译和 Internet 链路优化全部由多链路负载均衡设备 来完成 如果网络中有防火墙 也可以选择由防火墙来做地址翻译 3 2 Outbound 流量负载均衡实现原理流量负载均衡实现原理 F5 多链路负载均衡设备主要采用以下几种技术来处理 Outbound 流出流量 Default Gateway Pool 在 Default Gateway Pool 中 定义相应的 ISP 对端路由器地址 作为负载均衡的对象 并 且可以捆绑健康检查 负载均衡算法以及会话保持等属性 Default Gateway Pool 中的 Nodes 定义为多个 F5 多链路负载均衡设备的缺省路由 IRules 对于复杂的链路选择需求 可以使用 F5 独有的 irules 来定义 Wildcart Virtual Server Wildcart Virtual Server 0 0 0 0 0 internal Wildcart Virtual Server 是指 0 0 0 0 这个特殊 的虚拟服务器 一般用于捆绑 Default Gateway Pool SNAT SNAT Automap 对于 Outbound 流量的地址翻译 F5 多链路负载均衡设备使用了称为 SNAT 的方法 当 选定一个路由器 某一个 ISP 传送 Outbound 流量时 多链路负载均衡设备将选择该 ISP 提 供的地址 在上图中 如果多链路负载均衡设备选择 ISP1 作为 Outbound 流量的路径 则它 将把内部的主机地址 192 168 1 A 翻译为 100 1 1 A 并作为 Outbound 数据包的源地址 同 样 如果多链路负载均衡设备选择 ISP2 作为 Outbound 流量的路径 则它将把内部的主机地 址 192 168 1 A 翻译为 200 1 1 A 并作为 Outbound 数据包的源地址 当 F5 多链路负载均衡设备定义 将内部的主机地址翻译为 Vlan Self IP 时 即 100 1 1 A 100 1 1 2 200 1 1 A 200 1 1 2 时 称为 SNAT Automap 3 3 Inbound 流量负载均衡实现原理流量负载均衡实现原理 F5 多链路负载均衡设备主要采用以下几种技术来处理 Inbound 流入流量 DNS 解析器 解析器 Wide IP Inbound 流量负载均衡的核心技术是 DNS 解析的问题 外部用户访问在 DNS 请求时 就 通过 F5 多链路负载均衡设备获知了链路的健康状况和链路优先选择 这样多链路负载均衡设 备必须承担部分 DNS 的功能 以便返回给用户相应的访问 IP 地址 F5 多链路负载均衡设备 支持 A 记录和 记录解析 Wide IP 可以捆绑各种 Inbound 负载均衡算法 Completion Rate Global Availability hops kilobytes second leastconnections Packet Rate Quality of Service Random Ratio RoundRobin Round Trip Time Static Persist VS Capacity Virtual Server Network Virtual Server Transparent Virtual Server 由于所有的 F5 多链路负载均衡设备可以兼做服务器负载均衡 因此 F5 返回给用户 DNS 解析是 Virtual Server 对于一些特殊的场合 需要配置一些特殊的 Virtual Server 例如 Network Virtual Server 以及 Transparent Virtual Server Forwarding Pool 有的情况下 既不需要地址翻译 有不需要服务器负载均衡 但是又需要 pool 的一些特 性时 例如 Auto Lasthop 必须配置 Forwarding Pool Lasthop pool Auto Lasthop F5 的 Lasthop 功能 称为基于连接的路由 用在 F5 处理数据包回应时 会根据上一跳路 由设备的 MAC 地址 确定返回路径 以便正确返回给最初发起访问数据包的网络设备 NAT 对于直接通过 IP 地址进行访问的 Inbound 流量 并且内部主机需要 Outbound 访问 需 要配置相应的 NAT 记录 来保证从多条链路都能访问内部服务器 与 Virtual Server 加上 SNAT 功能相当 细节有所不同 对于 Email 而言 由于外部 Email 服务器需要进行地址反 向解析 因此使用 Virtual Server SNAT 方式 3 4 在链路负载均衡环境中的在链路负载均衡环境中的 DNS 设计和域名解析方式设计和域名解析方式 Issue 1 多链路负载均衡设备只能做 A 记录和 记录解析 2 有的 Root DNS Server 注册 DNS 不支持二级子域的 NS 委派 例如 新网 3 用户 Local DNS Server 的 Cache 问题 所以 产生出以下多种域名解析方式 3 4 1 Root DNS 注册 注册 DNS 直接与 直接与 F5 多链路负载均衡器配合多链路负载均衡器配合 CNAME 方式方式 INCNAME IN NS IN NS INA 100 1 1 2 F5 设备地址 INA 200 1 1 2 F5 设备地址 在 Inbound 负载均衡中 普遍使用的一种域名解析方法 NS 委派方式委派方式 INNS IN NS INA 100 1 1 2 F5 设备地址 INA 200 1 1 2 F5 设备地址 这种方式因为 F5 多链路负载均衡器不支持全记录解析 在客户有 MX 记录时 一般不使 用 3 4 2 Root DNS 注册 注册 DNS 通过第三方 通过第三方 DNS Server 与与 F5 多链路负载均衡多链路负载均衡 器配合器配合 我们建议这种方式 我们建议这种方式 CNAME 方式方式 Root DNS CNAME 第三方 DNS IN NS IN NS INA 100 1 1 2 F5 设备地址 INA 200 1 1 2 F5 设备地址 有的 Root DNS 注册 DNS 不支持二级子域的 NS 委派 例如 新网 需要第三方 DNS Server 的配合 是前面方式的变体 NS 方式方式 Root DNS INNS INNS INA 211 X X X 第三方 DNS 地址 INA 61 X X X 第三方 DNS 地址 第三方 DNS INCNAME IN NS IN NS INA 100 1 1 2 F5 设备地址 INA 200 1 1 2 F5 设备地址 我们建议采用这种方式 3 5 F5 设备双机冗余设备双机冗余 毫秒级切换原理毫秒级切换原理 F5 Networks 公司的 BIGIP 产品是业界唯一的可以达到 ms 级切换的产品 而且设计极 为合理 所有会话通过 Active 的 BIGIP 的同时 会把会话信息通过同步数据线同步到 Standby 的 BIGIP 由设备中的 watchdog 芯片通过心跳线监控设备的电频 当 Active BIGIP 故障时 watchdog 会首先发现 并通知 Standby BIGIP 接管 Shared IP VIP NAT SNAT 等 保持访问的畅通和在线会话的数据 在用户端的表现是在 ping 包上会有 1 2 个中断 而 应用上不会中断 可以持续运行 对于关键的应用系统是非常重要的 另外 BIGIP 还可以 允许手工切换 Active Standby 的状态 来配合系统维护 3 6 Stateful FailOver 技术技术 与 与 F5 设备双机冗余有关 设备双机冗余有关 通过 Session Mirror 以及 Persistence Mirror 技术 保证 F5 设备在发生切换时 不影响在线业务的连续访 问 四 四 产品介绍产品介绍 4 1 F5 Bigip LC 关键特性与优势关键特性与优势 为为拥有拥有多条链路和多家多条链路和多家ISPISP提供商的站点提供高可用性提供商的站点提供高可用性 99 999 99 999 全方位链路监视 提供实时的链路状况和容量信息 消除带有BGP的多归属的部署障碍 采用高级分组交换技术 对用户和ISP提供商透明 把用户导向速度最快的链路 平衡流量以最大限度地利用链路资源和吞吐量 链接成本负载平衡功能把流量导向花费最低的链路 以实现最低的带宽成本 提供无缝的链路归并 以实现灵活的带宽可扩充性和降低成本 服务质量 QoS 为满足各种业务需求提供个性化的流量控制 提供安全网络地址转换 SNAT 和智能DNS 从而实现双向流量控制 实时性能监视和数据统计以评估链路性能 可同时支持各种应用可同时支持各种应用服务器负载平衡服务器负载平衡 可同时支持可同时支持防火墙三明治负载平衡防火墙三明治负载平衡 为所有基于TCP和UDP的流量及其它IP流量提供链路负载平衡 通过Web浏览器和CLI提供安全与远程管理 增设链路控制器 Link Controller 提供完全冗余 以进行二级故障切换保护 支持iControl 为F5的IP流量和内容管理产品系列提供的业界首款开放应用编程接口 API BIG IP Link Controller 多归属网络的高可用性和链路控制 随着企业逐渐采用互联网传送关键任务应用 只与公共网络保持一个链路就意味着单点故随着企业逐渐采用互联网传送关键任务应用 只与公共网络保持一个链路就意味着单点故 障和严重的网络隐患 障和严重的网络隐患 F5 BIG IP Link Controller 提供可靠的网络连接提供可靠的网络连接 管理多个链路上的入站管理多个链路上的入站 出站流量出站流量 通过最佳性能链路发送流量通过最佳性能链路发送流量 提高链接的可扩充性和吞吐量提高链接的可扩充性和吞吐量 实现最大的企业连接投资回报率实现最大的企业连接投资回报率 消除带有消除带有BGP的多归属的部署障碍和成本的多归属的部署障碍和成本 确保可靠的网络连接确保可靠的网络连接 高可用性高可用性 BIG IP Link Controller 可检测整个链路所出现的错误可检测整个链路所出现的错误 从而 从而提供可靠的端到端连接 它负责监视每提供可靠的端到端连接 它负责监视每 个连接的状况和可用性以及检测链路或个连接的状况和可用性以及检测链路或 ISPISP 是否发生故障 如果出现故障 流量将被动态透明地导向其它是否发生故障 如果出现故障 流量将被动态透明地导向其它 可用链路 以确保可靠的数据中心连接 可用链路 以确保可靠的数据中心连接 全方位链路监视全方位链路监视 BIG IP 通过网关路由器提供链路工作状况和吞吐量的全景图 确保链路的可用性并提供 关于任何指定链路带宽及容量的详细信息 Link Controller也可检测出由ISP配置错误或其它手 工操作错误引起的故障 最大限度地扩大带宽和提高投资回报最大限度地扩大带宽和提高投资回报 链接成本负载平衡链接成本负载平衡 链接成本负载平衡功能可帮助您为所有的通向数据中心的流量选择最低成本的连接方式 流量被导向花费最低的链路 从而将带宽投资降至最低限度 消除过量供应的情况 为不同连接和不同成本的线路提供灵活性 以扩大带宽 消除带宽瓶颈 同时减少对 低效率带宽的使用和相关成本的开销 带宽的可扩充性带宽的可扩充性 无论对于何种链路或提供商 Link Controller都可帮助您归并花费较低且较窄的线路 以 提供低成本的带宽冗余 同时减少浪费在闲置光纤或备用线路上的成本 可扩充性可扩充性 BIG IP链路控制器为企业提供了一个可扩充平台 集成防火墙负载平衡 为冗余防火墙部署提供高可用性 可通过升级增强服务器和高速缓存的本地负载平衡 可通过升级支持全面 多站点的全局负载平衡和灾难恢复 可随企业发展而扩展的高性能端口密集型平台 支持数千兆位吞吐量以及任何数量的ISP 全方位流量控制全方位流量控制 区组控制区组控制 BIG IP Link Controller为用户提供了所需的最佳流量控制和灵活性 以最大限度地提高可 用性 性能和降低公司连接成本 Link Controller提供透明的流量分配提供透明的流量分配 循环负载循环负载平衡 对于希望扩充链路的用户 Link Controller 可在规模相近的连接上均匀分配流量 从而扩大带宽 比率负载负载平衡 对于购买具有不同吞吐容量的链路的用户 比率负载平衡可根据不同链路带宽 DSL T1和T3 均匀分布负载 链接容量和吞吐量链接容量和吞吐量 BIG IP Link Controller可允许您根据实时的流量与吞吐量来确定和控制流量在链路上的分 布方式 这可以提高性能和增加可用的带宽 含线路冗余 同时消除链路的拥塞情况 当某 个链路的流量接近其最大容量时 流量将被转到其它不太拥塞的链路上 从而提高了整个站点 的性