负载均衡原理

1、负载均衡分全局负载均衡和本地负载均衡地负载均衡是指对本地的服务器群做负载均衡，全局负载均衡是指对分别放置在 不同的地理位置、有不同网络结构的服务器群问作负载均衡。循环DNS就是每次解析域名时指向IPlooplist里的下一个IP.负载均衡路由器通过某种策略把请求发送到响应最快的server上，同时可以满足故障转移/故障恢复.但是负载均衡路由器本身需要维护， 通常需要有两个，来防止单点故障.例如 Alteon180 和 F5Network 的 Big-IP负载均衡可以针对不同的网路层次链路聚合技术（第二层负载均衡）是将多条物理链路当作一条单一的聚合逻辑链 路使用，网络数据流量由聚合逻辑链路中所有

2、物理链路共同承担，由此在逻辑上增大了链路的容量，使其能满足带宽增加的需求.现在经常使用的是4至7层的负载均衡。第四层负载均衡将一个Internet上合法注册的IP地址映射为多个内部服务器的 IP地址，对每次TCP®接请求动态使用其中一个内部IP地址，达到负载均衡的 目的。在第四层交换机中，此种均衡技术得到广泛的应用，一个目标地址是服务 器群VIP （虚拟IP , VirtualIPaddress ）连接请求的数据包流经交换机，交换机 根据源端和目的IP地址、TCP或UD哪口号和一定的负载均衡策略，在服务器 IP和VIP问进行映射，选取服务器群中最好的服务器来处理连接请求。第七层负载均

3、衡控制应用层服务的内容，提供了一种对访问流量的高层控制方式，适合对HTTP服务器群的应用。第七层负载均衡技术通过检查流经的HTTP报头，根据报头内的信息来执行负载均衡任务。第七层负载均衡优点表现在如下几个方面：1. 通过对HTTP艮头的检查，可以检测出 HTTP400 500和600系列的错误信息， 因而能透明地将连接请求重新定向到另一台服务器，避免应用层故障。2. 可根据流经的数据类型（如判断数据包是图像文件、压缩文件或多媒体文件格 式等），把数据流量引向相应内容的服务器来处理，增加系统性能。3. 能根据连接请求的类型，如是普通文本、图象等静态文档请求，还是asp、cgi 等的动态文档请求，

4、把相应的请求引向相应的服务器来处理， 提高系统的性能及 安全性。缺点：第七层负载均衡受到其所支持的协议限制（一般只有HTTP ,这样就限制了它应用的广泛性，并且检查 HTTP头会占用大量的系统资源，势必会影响到系统的性能，在大量连接请求的情况下，负载均衡设备自身容易成为网络整体性 能的瓶颈 负载均衡策略：1. 轮循均衡（RoundRobin）：每一次来自网络的请求轮流分配给内部中的服务器， 从1至N然后重新开始。此种均衡算法适合于服务器组中的所有服务器都有相同 的软硬件配置并且平均服务请求相对均衡的情况。2. 权重轮循均衡（WeightedRoundRobin）：根据服务器的不同处理能力，给每

5、个 服务器分配不同的权值，使其能够接受相应权值数的服务请求。例如：服务器 A 的权值被设计成1, B的权值是3, C的权值是6,则服务器A、B、C将分别接受 到10% 30%、60%的服务请求。此种均衡算法能确保高性能的服务器得到更多 的使用率，避免低性能的服务器负载过重。3. 随机均衡（Random :把来自网络的请求随机分配给内部中的多个服务器。4. 权重随机均衡（WeightedRandom :此种均衡算法类似于权重轮循算法，不过 在处理请求分担时是个随机选择的过程。5. 响应速度均衡（ResponseTime :负载均衡设备对内部各服务器发出一个探测 请求（例如Ping）,然后根据内部

6、中各服务器对探测请求的最快响应时间来决 定哪一台服务器来响应客户端的服务请求。此种均衡算法能较好的反映服务器的 当前运行状态，但这最快响应时间仅仅指的是负载均衡设备与服务器问的最快响 应时间,而不是客户端与服务器问的最快响应时间。6. 最少连接数均衡（LeastConnection ）:客户端的每一次请求服务在服务器停留的时间可能会有较大的差异，随着工作时间加长，如果采用简单的轮循或随机 均衡算法，每一台服务器上的连接进程可能会产生极大的不同，并没有达到真正 的负载均衡。最少连接数均衡算法对内部中需负载的每一台服务器都有一个数据 记录，记录当前该服务器正在处理的连接数量，当有新的服务连接请求时

7、，将把当前请求分配给连接数最少的服务器，使均衡更加符合实际情况，负载更加均衡。 此种均衡算法适合长时处理的请求服务，如FTP7. 处理能力均衡：此种均衡算法将把服务请求分配给内部中处理负荷（根据服务器CPU®号、CPLM量、内存大小及当前连接数等换算而成）最轻的服务器，由 于考虑到了内部服务器的处理能力及当前网络运行状况，所以此种均衡算法相对来说更加精确，尤其适合运用到第七层（应用层）负载均衡的情况下。8. DNS响应均衡（FlashDN0 :在Internet 上，无论是HTTP FTP或是其它的服务请求，客户端一般都是通过域名解析来找到服务器确切的IP地址的。在此均衡算法下，分处

8、在不同地理位置的负载均衡设备收到同一个客户端的域名解析 请求，并在同一时间内把此域名解析成各自相对应服务器的IP地址（即与此负载均衡设备在同一位地理位置的服务器的IP地址）并返回给客户端，则客户端 将以最先收到的域名解析IP地址来继续请求服务，而忽略其它的IP地址响应。在种均衡策略适合应用在全局负载均衡的情况下，对本地负载均衡是没有意义 的。服务故障的检测方式和能力1. Ping侦测：通过ping的方式检测服务器及网络系统状况，此种方式简单快速， 但只能大致检测出网络及服务器上的操作系统是否正常，对服务器上的应用服务 检测就无能为力了。2. TCPOpen贞测：每个服务都会开放某个通过 TCP

9、S接，检测服务器上某个TCP 端口（如Telnet的23 口，HTTP勺80 口等）是否开放来判断服务是否正常。3. HTTPURH贞测：比如向HTTP®务器发出一个对 main.html文件的访问请求， 如果收到错误信息，则认为服务器出现故障。并发连接数并发连接数是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制 能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信 息点数。并发连接数是衡量防火墙性能的一个重要指标。在目前市面上常见防火墙设备的 说明书中大家可以看到，从低端设备的500

10、、1000个并发连接，一直到高端设备 的数万、数十万并发连接，存在着好几个数量级的差异。那么，并发连接数究竟 是一个什么概念呢？它的大小会对用户的日常使用产生什么影响呢？要了解并 发连接数，首先需要明白一个概念，那就是“会话”。这个“会话”可不是我们 平时的谈话，但是可以用平时的谈话来理解，两个人在谈话时，你一句，我一句， 一问一答，我们把它称为一次对话，或者叫会话。同样，在我们用电脑工作时， 打开的一个窗口或一个 Web页面，我们也可以把它叫做一个“会话”， 扩展到一 个局域网里面，所有用户要通过防火墙上网，要打开很多个窗口或 WebM面发（即 会话），那么，这个防火墙，所能处理的最大会话数

11、量，就是“并发连接数”。像路由器的路由表存放路由信息一样， 防火墙里也有一个这样的表，我们把它叫 做并发连接表，是防火墙用以存放并发连接信息的地方， 它可在防火墙系统启动 后动态分配进程的内存空间，其大小也就是防火墙所能支持的最大并发连接数。大的并发连接表可以增大防火墙最大并发连接数，允许防火墙支持更多的客户终 端。尽管看上去，防火墙等类似产品的并发连接数似乎是越大越好。 但是与此同 时，过大的并发连接表也会带来一定的负面影响：1.并发连接数的增大意味着对系统内存资源的消耗以每个并发连接表项占用300B计算，1000个并发连接将占用300BX 1000X 8bit/B 2.3Mb内存空间，10

12、000个并发连接将占用 23Mb内存空 问，100000个并发连接将占用230Mb内存空间，而如果真的试图实现 1000000 个并发连接的话那么，这个产品就需要提供 2.24Gb内存空间！2. 并发连接数的增大应当充分考虑CPU的处理能力CPU 勺主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上，并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作，这都要求防火墙对并发连接表中的相应表项进行不断的 更新读写操作。如果不顾CPUfi勺实际处理能力而贸然增大系统的并发连接表，势 必影响防火墙对连接请求的处理延迟， 造成某些连接超时，让更多的连接报

13、文被 重发，进而导致更多的连接超时，最后形成雪崩效应，致使整个防火墙系统崩溃。3. 物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理 能力虽然目前很多防火墙都提供了 10/100/1000Mbps的网络接口，但是，由于防火墙 通常都部署在Internet出口处，在客户端PC与目的资源中间的路径上，总是存 在着瓶颈链路一一该瓶颈链路可能是 2Mbps专线，也可能是512Kbps乃至64Kbps 的低速链路。这些拥挤的低速链路根本无法承载太多的并发连接，所以即便是防 火墙能够支持大规模的并发访问连接，也无法发挥出其原有的性能。有鉴于此，我们应当根据网络环境的具体情况和个人不同的上

14、网习惯来选择适当 规模的并发连接表。因为不同规模的网络会产生大小不同的并发连接，而用户习惯于何种网络服务以及如何使用这些服务，同样也会产生不同的并发连接需求。高并发连接数的防火墙设备通常需要客户投资更多的设备，这是因为并发连接数的增大牵扯到数据结构、CPU内存、系统总线和网络接口等多方面因素。如何 在合理的设备投资和实际上所能提供的性能之间寻找一个黄金平衡点将是用户 选择产品的一个重要任务。按照并发连接数来衡量方案的合理性是一个值得推荐 的办法。以每个用户需要10.5个并发连接来计算：一个中小型企业网络（1000个信息点以下，容纳4个C类地址空间）大概需要10.5 X 1000=10500个并

15、发连接，因此支持2000030000最大并发连接的防火墙 设备便可以满足需求；大型的企事业单位网络（比如信息点数在100010000之间）大概会需要105000 个并发连接，所以支持100000120000最大并发连接的防火墙就可以满足企业 的实际需要；而对于大型电信运营商和ISP来说，电信级的千兆防火墙（支持120000200000 个并发连接）则是恰当的选择。为较低需求而采用高端的防火墙设备将造成用户 投资的浪费，同样为较高的客户需求而采用低端设备将无法达到预计的性能指 标。利用网络整体上的并发连接需求来选择适当的防火墙产品可以帮助用户快 速、准确的定位所需要的产品，避免对单纯某一参数“愈

16、大愈好”的盲目追求， 缩短设计施工周期，节省企业的开支。从而为企业实施最合理的安全保护方案。在利用并发连接数指标选择防火墙产品的同时，产品的综合性能、厂家的研发力量、资金实力、企业的商业信誉和经营风险以及产品线的技术支持和售后服务体 系等都应当纳入采购者的视野，将多方面的因素结合起来进行综合考虑， 切不可 盲目的听信某些厂家广告宣传中的大并发连接的宣传，要根据自己业务系统、企业规模、发展空间和自身实力等因素多方面考虑。用户数限制防火墙的用户数限制分为固定限制用户数和无用户数限制两种。前者比如SOHO型防火墙一般支持几十到几白个用户不等，而无用户数限制大多用于大的部门或 公司。要注意的是，用户数

17、和并发连接数是完全不同的两个概念，并发连接数是指防火墙的最大会话数（或进程），每个用户可以在一个时间里产生很多的连接，在购 买产品时要区分这两个概念。吞吐量网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。 吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。随着Internet的日益普及，内部网用户访问Internet的需求在不断增加，一些 企业也需要对外提供诸如 WWW面浏览、FTP文件传输、DNS域名解析等服务， 这些因素会导致网络流量的急剧增加，而防火墙作为内外网之间的唯一数据通 道，如果吞吐量太小，就会成为网络瓶颈，给整个网络的传输效率带来负面影响。 因此，考察防火墙的吞吐能