F5多出口链路负载均衡解决方案(LC)1127课件

1、F5 多出口链路负载均衡解决方案建议F5 Networks多出口链路负载均衡多出口链路负载均衡解决方案建议解决方案建议F5 多出口链路负载均衡解决方案建议目目 录录一多出口链路负载均衡需求分析一多出口链路负载均衡需求分析.4二多出口链路负载均衡解决方案概述二多出口链路负载均衡解决方案概述.52.1 多出口链路负载均衡网络拓朴设计.52.2 方案描述.62.3 方案优点.72.3.1 拓扑结构方面.72.3.2安全机制方面.7三技术实现三技术实现.83.1 F5 多出口链路负载均衡（产品选型：BIGIP LC） .83.2 OUTBOUND流量负载均衡实现原理.93.3 INBOUND流量负载均

2、衡实现原理.103.4 在链路负载均衡环境中的 DNS 设计和域名解析方式.123.4.1 Root DNS（注册DNS）直接与F5多链路负载均衡器配合.123.4.2 Root DNS（注册DNS）通过第三方DNS Server与F5多链路负载均衡器配合（我们建议这种方式）.133.5 F5 设备双机冗余- 毫秒级切换原理 .153.6 STATEFUL FAILOVER 技术（与 F5 设备双机冗余有关）.16四产品介绍四产品介绍.174.1 F5 BIGIP .17F5 多出口链路负载均衡解决方案建议一多出口链路负载均衡需求分析一多出口链路负载均衡需求分析 为了保证 XXXX 出口链路的

3、高可用性和访问效率，计划拥有两条线路：一条中国网通链路，一条中国电信链路。F5 公司的多链路负载均衡设备（Bigip）能够提供独具特色的解决方案，不但能够充分利用这两条链路（双向流量按照预设的算法分担到不同的链路上，一旦一条链路不通的情况下，能够无缝切换到另外一条可用链路上） ；而且可以根据对不同链路的侦测结果，将最快速的链路提供给外部用户进行响应，从而解决目前广泛存在的多个 ISP 之间的互联互通问题。具体解决方案特色如下：提供内网至 internet 流量的负载均衡（Outbound）实现从 Internet 对服务器访问流量的负载均衡（Inbound）支持自动检测和屏蔽故障 Intern

4、et 链路支持多种静态和动态算法智能均衡多个 ISP 链路的流量支持多出口链路动态冗余，流量比率和切换支持多种 DNS 解析和规划方式，适合各种用户网络环境支持 Layer27 交换和流量管理控制功能完全支持各种应用服务器负载均衡，防火墙负载均衡多层安全增强防护，抵挡黑客攻击业界领先的双机冗余切换机制，能够做到毫秒级切换详细的链路监控报表，提供给网络管理员直观详细的图形界面对于用户完全透明对所有应用无缝支持业界优异的硬件平台和性能稳定，安全的设备运行记录F5 多出口链路负载均衡解决方案建议二多出口链路负载均衡解决方案概述二多出口链路负载均衡解决方案概述2.1 多出口链路负载均衡网络拓朴设计多出

5、口链路负载均衡网络拓朴设计下面是专门为 XXXX 设计的多出口链路负载均衡网络拓扑图（单机版）。下面是专门为 XXXX 设计的多出口链路负载均衡网络拓扑图（双机冗余版） 。F5 多出口链路负载均衡解决方案建议2.2 方案描述方案描述此方案中，分别设计单台链路负载均衡和双机冗余链路负载均衡两种网络拓扑，供杭州政府信息中心选择。考虑到链路负载均衡在网络构架中的位置，以及今后的扩展性，建议采用F5 公司的 Bigip LC 两台, 提供两条出口链路（中国网通和中国电信）的负载均衡，其中两条Internet 出口链路都通过普通网线或光电转换器与 Bigip LC 连接（如果双机冗余，需要从每个ISP

6、引进两根进线，可以在 Bigip LC 前面放置一台二层交换机做端口拓展） ，Bigip LC 与两台冗余的防火墙通过网络端口连接。两台 Bigip LC 互为冗余。通过这样的优化后，系统具有以下特征：结构合理：结构合理：整个网络结构布局合理，层次分明，便于管理与维护。可用性高可用性高: Bigip 动态检查各条出口链路的健康状态，并将下一个请求分配给最有效率的链路，任何一条链路发生故障时，BIGIP 即刻将请求分配给其他的链路，从而达到 99.999%系统有效性。安全性高安全性高: BIGIP 支持地址翻译技术和安全地址翻译，这样一来客户不可能知道真正提供服务的服务器的 IP 地址与端口，B

7、IGIP 采用 SSH 和 SSL 技术，可以防止来自内部或互联网上的黑客攻击。效率高效率高: BIGIP 可以智能寻找最佳的出口链路，从而保证客户得到最快的上网访问速度。可扩展性高可扩展性高: BIGIP 可以支持动态增加或删除其负载均衡的链路群组的任何数量的链路，而不需要对客户端或后台做任何改变从而使得系统扩展轻松方便。可管理性高可管理性高: BIGIP 可以实时监控整个链路群组的流量状态，并分析发展趋势帮助客户及时根据流量增长增加出口带宽。保护投资：保护投资： BIGIP 还免费带有服务器负载均衡和防火墙负载均衡的功能。F5 多出口链路负载均衡解决方案建议2.3 方案优点方案优点2.3.

8、1 拓扑结构拓扑结构方面方面1)可以轻松形成全冗余连接方法, 保证网络没有单点故障的存在。2)提供多出口链路的负载均衡，今后，通过免费无缝拓展免费无缝拓展，可以对各种应用服务器，防火墙/VPN/IDS 等网络设备全部可以采用负载均衡方式处理网络流量,提高网络服务能力和投资回报率。3)比较少的网络层次,较少网络延迟，避免运行维护时面对大量网络设备。4)灵活的扩展空间, 用户可以根据实际的网络流量和压力增加带宽，增加链路, 添加防火墙或增加服务器来提高整体的服务水平。2.3.2 安全机制方面安全机制方面1) HTTPS,SSH 等加密的网络管理, 避免明码通讯对网络设备控制时的安全隐患。2) F5

9、 的 VIP 一旦配置成功,服务的 TCP/UDP 端口也就同时确认,除特定服务外,其他的端口就全部被封闭了,保护服务器避免被端口扫描.3) 在防止 DOS 攻击方面,F5 提供免费的防护 , 特别对于 Ping of Death , F5 的 VIP 一旦规定成功就对 Ping 包做中继处理, 避免攻击对服务器的压力.4) 并且，F5 具备攻击回收技术，同时可以设置在资源消耗在 97%（可设）时重启，切换到备份设备工作。F5 多出口链路负载均衡解决方案建议三技术实现三技术实现3.1 F5 多出口链路负载均衡（产品选型：多出口链路负载均衡（产品选型：Bigip LC）Bigip LC 的特色：

10、提供内网至 internet 流量的负载均衡（Outbound）实现从 Internet 对服务器访问流量的负载均衡（Inbound）支持自动检测和屏蔽故障 Internet 链路支持多种静态和动态算法智能均衡多个 ISP 链路的流量支持多出口链路动态冗余，流量比率和切换支持多种 DNS 解析和规划方式，适合各种用户网络环境支持 Layer27 交换和流量管理控制功能完全支持各种应用服务器负载均衡，防火墙负载均衡多层安全增强防护，抵挡黑客攻击业界领先的双机冗余切换机制，能够做到毫秒级切换详细的链路监控报表，提供给网络管理员直观详细的图形界面对于用户完全透明对所有应用无缝支持业界优异的硬件平台和

11、性能稳定，安全的设备运行记录 技术实现原理技术实现原理：下图是一个典型的 F5 多出口链路负载均衡解决方案的应用案例。F5 多出口链路负载均衡解决方案建议图中 F5 多链路负载均衡设备通过 ISP1 和 ISP2 接入 Internet。每个 ISP 都分配给该网络一个 IP 地址网段，假设 ISP1 分配的地址段为 /24，ISP2 分配的地址段为/24（此处的 /24 表示网络 IP 地址段为：，子网掩码为 24 位，即） 。同样，Internet 知道通过 ISP1 访问

12、/24，通过 ISP2 访问/24。网络中的主机和服务器都属于私有网段 /24。多链路负载均衡设备解决方案就是在内部交换机和连接 ISP 的路由器之间，跨接一台多链路负载均衡设备应用交换机，所有的地址翻译和 Internet 链路优化全部由多链路负载均衡设备来完成。如果网络中有防火墙，也可以选择由防火墙来做地址翻译。3.2 Outbound 流量负载均衡实现原理流量负载均衡实现原理F5 多链路负载均衡设备主要采用以下几种技术来处理 Outbound 流出流量。Default Gateway Pool在 Default Gateway Pool 中，定义相

13、应的 ISP 对端路由器地址，作为负载均衡的对象，并F5 多出口链路负载均衡解决方案建议且可以捆绑健康检查，负载均衡算法以及会话保持等属性。Default Gateway Pool 中的 Nodes 定义为多个 F5 多链路负载均衡设备的缺省路由。IRules对于复杂的链路选择需求，可以使用 F5 独有的 irules 来定义。Wildcart Virtual ServerWildcart Virtual Server:0/internal，Wildcart Virtual Server 是指 这个特殊的虚拟服务器，一般用于捆绑 Default Gateway P

14、ool。SNAT/SNAT Automap对于 Outbound 流量的地址翻译，F5 多链路负载均衡设备使用了称为 SNAT 的方法。当选定一个路由器（某一个 ISP）传送 Outbound 流量时，多链路负载均衡设备将选择该 ISP 提供的地址。在上图中，如果多链路负载均衡设备选择 ISP1 作为 Outbound 流量的路径，则它将把内部的主机地址 192.168.1.A 翻译为 100.1.1.A，并作为 Outbound 数据包的源地址。同样，如果多链路负载均衡设备选择 ISP2 作为 Outbound 流量的路径，则它将把内部的主机地址 192.168.1.A 翻译为 200.1.

15、1.A，并作为 Outbound 数据包的源地址。 当 F5 多链路负载均衡设备定义：将内部的主机地址翻译为 Vlan Self-IP 时，即100.1.1.A=，200.1.1.A 时，称为 SNAT Automap。3.3 Inbound 流量负载均衡实现原理流量负载均衡实现原理F5 多链路负载均衡设备主要采用以下几种技术来处理 Inbound 流入流量。DNS 解析器（解析器（Wide IP）Inbound 流量负载均衡的核心技术是 DNS 解析的问题。外部用户访问在 DNS 请求时，就通过 F5 多链路负载均衡设备获知了链路的健康状况和链路优先选择，

16、这样多链路负载均衡设备必须承担部分 DNS 的功能，以便返回给用户相应的访问 IP 地址。F5 多链路负载均衡设备F5 多出口链路负载均衡解决方案建议支持 A 记录和*记录解析。Wide IP 可以捆绑各种 Inbound 负载均衡算法：Completion Rate，Global Availability，hops，kilobytes/second，leastconnections，Packet Rate，Quality of Service，Random，Ratio，RoundRobin，Round Trip Time，Static Persist，VS Capacity。Virtual

17、Server/Network Virtual Server/Transparent Virtual Server由于所有的 F5 多链路负载均衡设备可以兼做服务器负载均衡，因此 F5 返回给用户 DNS解析是 Virtual Server；对于一些特殊的场合，需要配置一些特殊的 Virtual Server，例如：Network Virtual Server 以及 Transparent Virtual Server。Forwarding Pool有的情况下，既不需要地址翻译，有不需要服务器负载均衡，但是又需要 pool 的一些特性时（例如：Auto Lasthop） ，必须配置 Forwar

18、ding Pool。Lasthop pool/Auto LasthopF5 的 Lasthop 功能，称为基于连接的路由，用在 F5 处理数据包回应时，会根据上一跳路由设备的 MAC 地址，确定返回路径，以便正确返回给最初发起访问数据包的网络设备。NAT 对于直接通过 IP 地址进行访问的 Inbound 流量，并且内部主机需要 Outbound 访问，需要配置相应的 NAT 记录，来保证从多条链路都能访问内部服务器，与 Virtual Server 加上SNAT 功能相当（细节有所不同） 。对于 Email 而言，由于外部 Email 服务器需要进行地址反向解析，因此使用 Virtual S

19、erver+SNAT 方式。F5 多出口链路负载均衡解决方案建议3.4 在链路负载均衡环境中的在链路负载均衡环境中的 DNS 设计和域名解析方式设计和域名解析方式Issue： 1、多链路负载均衡设备只能做 A 记录和*记录解析；2、有的 Root DNS Server（注册 DNS）不支持二级子域的 NS 委派，例如：新网3、用户 Local DNS Server 的 Cache 问题所以，产生出以下多种域名解析方式。3.4.1 Root DNS（注册（注册 DNS）直接与）直接与 F5 多链路负载均衡器配合多链路负载均衡器配合 CNAME 方式方式. INCNAME .IN NS 。 IN

20、NS 。. INA （F5 设备地址）. INA （F5 设备地址）F5 多出口链路负载均衡解决方案建议在 Inbound 负载均衡中，普遍使用的一种域名解析方法。 NS 委派方式委派方式. INNS 。 IN NS 。.INA （F5 设备地址）.INA （F5 设备地址）这种方式因为 F5 多链路负载均衡器不支持全记录解析，在客户有 MX 记录时，一般不使用。3.4.2 Root DNS（注册（注册 DNS）通过第三方）通过第三方 DNS Server 与与 F5 多链路负载均衡多链路负载均衡器配合器配合（我们

21、建议这种方式）（我们建议这种方式）F5 多出口链路负载均衡解决方案建议 CNAME 方式方式Root DNS CNAME 第三方 DNS.IN NS IN NS . INA （F5 设备地址）. INA （F5 设备地址）有的 Root DNS（注册 DNS）不支持二级子域的 NS 委派（例如：新网） ，需要第三方DNS Server 的配合，是前面方式的变体。 NS 方式方式Root DNS.INNS 。 INNS 。. INA 211.X.X.X （第三方 DNS 地址）. INA 61.X.X.X （第三方 DNS 地址）第三方 DNS. INCN

22、AME .IN NS 。 IN NS 。. INA （F5 设备地址）. INA （F5 设备地址） 我们建议采用这种方式。F5 多出口链路负载均衡解决方案建议3.5 F5 设备双机冗余设备双机冗余- 毫秒级切换原理毫秒级切换原理F5 Networks 公司的 BIGIP 产品是业界唯一的可以达到 ms 级切换的产品, 而且设计极为合理, 所有会话通过 Active 的 BIGIP 的同时, 会把会话信息通过同步数据线同步到Standby 的 BIGIP , 由设备中的 watchdog 芯片通过心跳线监控设备的电频, 当 Active BIGIP故障时

23、, watchdog 会首先发现, 并通知 Standby BIGIP 接管 Shared IP , VIP , NAT, SNAT等, 保持访问的畅通和在线会话的数据. 在用户端的表现是在 ping 包上会有 12 个中断， 而应用上不会中断， 可以持续运行， 对于关键的应用系统是非常重要的。另外，BIGIP 还可以允许手工切换 Active/Standby 的状态，来配合系统维护。F5 多出口链路负载均衡解决方案建议3.6 Stateful FailOver 技术技术（与（与 F5 设备双机冗余有关）设备双机冗余有关）通过 Session Mirror 以及 Persistence Mir

24、ror 技术，保证 F5 设备在发生切换时，不影响在线业务的连续访问。F5 多出口链路负载均衡解决方案建议四四产品介绍产品介绍4.1 F5 Bigip LC关键特性与优势关键特性与优势为为拥有拥有多条链路和多家多条链路和多家ISPISP提供商的站点提供高可用性提供商的站点提供高可用性(99.999%)(99.999%)；全方位链路监视，提供实时的链路状况和容量信息；消除带有BGP的多归属的部署障碍；采用高级分组交换技术；对用户和ISP提供商透明；把用户导向速度最快的链路；平衡流量以最大限度地利用链路资源和吞吐量；链接成本负载平衡功能把流量导向花费最低的链路，以实现最低的带宽成本；提供无缝的链路

25、归并，以实现灵活的带宽可扩充性和降低成本；服务质量（QoS）为满足各种业务需求提供个性化的流量控制；提供安全网络地址转换（SNAT）和智能DNS，从而实现双向流量控制；实时性能监视和数据统计以评估链路性能；可同时支持各种应用可同时支持各种应用服务器负载平衡服务器负载平衡；可同时支持可同时支持防火墙三明治负载平衡防火墙三明治负载平衡；为所有基于TCP和UDP的流量及其它IP流量提供链路负载平衡；通过Web浏览器和CLI提供安全与远程管理增设链路控制器（Link Controller）提供完全冗余，以进行二级故障切换保护；支持iControl为F5的IP流量和内容管理产品系列提供的业界首款开放应用

26、编程接口（API）。BIG-IP Link Controller 多归属网络的高可用性和链路控制F5 多出口链路负载均衡解决方案建议随着企业逐渐采用互联网传送关键任务应用，只与公共网络保持一个链路就意味着单点故随着企业逐渐采用互联网传送关键任务应用，只与公共网络保持一个链路就意味着单点故障和严重的网络隐患。障和严重的网络隐患。F5 BIG-IP Link Controller：提供可靠的网络连接提供可靠的网络连接管理多个链路上的入站管理多个链路上的入站/出站流量出站流量通过最佳性能链路发送流量通过最佳性能链路发送流量提高链接的可扩充性和吞吐量提高链接的可扩充性和吞吐量实现最大的企业连接投资回报

27、率实现最大的企业连接投资回报率消除带有消除带有BGP的多归属的部署障碍和成本的多归属的部署障碍和成本确保可靠的网络连接确保可靠的网络连接高可用性高可用性BIG-IP Link Controller 可检测整个链路所出现的错误可检测整个链路所出现的错误，从而，从而提供可靠的端到端连接。它负责监视每提供可靠的端到端连接。它负责监视每个连接的状况和可用性以及检测链路或个连接的状况和可用性以及检测链路或 ISPISP 是否发生故障。如果出现故障，流量将被动态透明地导向其它是否发生故障。如果出现故障，流量将被动态透明地导向其它可用链路，以确保可靠的数据中心连接。可用链路，以确保可靠的数据中心连接。全方位

28、链路监视全方位链路监视BIG-IP 通过网关路由器提供链路工作状况和吞吐量的全景图，确保链路的可用性并提供关于任何指定链路带宽及容量的详细信息。Link Controller也可检测出由ISP配置错误或其它手工操作错误引起的故障。最大限度地扩大带宽和提高投资回报最大限度地扩大带宽和提高投资回报链接成本负载平衡链接成本负载平衡链接成本负载平衡功能可帮助您为所有的通向数据中心的流量选择最低成本的连接方式。流量被导向花费最低的链路，从而将带宽投资降至最低限度；消除过量供应的情况；为不同连接和不同成本的线路提供灵活性，以扩大带宽，消除带宽瓶颈，同时减少对低效率带宽的使用和相关成本的开销。F5 多出口链

29、路负载均衡解决方案建议带宽的可扩充性带宽的可扩充性无论对于何种链路或提供商，Link Controller都可帮助您归并花费较低且较窄的线路，以提供低成本的带宽冗余，同时减少浪费在闲置光纤或备用线路上的成本。可扩充性可扩充性BIG-IP链路控制器为企业提供了一个可扩充平台：集成防火墙负载平衡，为冗余防火墙部署提供高可用性；可通过升级增强服务器和高速缓存的本地负载平衡；可通过升级支持全面、多站点的全局负载平衡和灾难恢复；可随企业发展而扩展的高性能端口密集型平台；支持数千兆位吞吐量以及任何数量的ISP。全方位流量控制全方位流量控制区组控制区组控制BIG-IP Link Controller为用户提

30、供了所需的最佳流量控制和灵活性，以最大限度地提高可用性、性能和降低公司连接成本。Link Controller提供透明的流量分配提供透明的流量分配循环负载循环负载平衡；对于希望扩充链路的用户，Link Controller 可在规模相近的连接上均匀分配流量，从而扩大带宽。比率负载负载平衡对于购买具有不同吞吐容量的链路的用户，比率负载平衡可根据不同链路带宽（DSL、T1和T3）均匀分布负载。链接容量和吞吐量链接容量和吞吐量F5 多出口链路负载均衡解决方案建议BIG-IP Link Controller可允许您根据实时的流量与吞吐量来确定和控制流量在链路上的分布方式。这可以提高性能和增加可用的带宽（含线路冗余），同时消除链路的拥塞情况。当某个链路的流量接近其最大容量时，流量将被转到其它不太