F5链路及服务器负载均衡测试方案-中山完美

F5LTM+LC测试方案-F5服务器及链路负载均衡测试方案一、测试目标 21、总体要求 22、动态链路就近性访问-动态DNS智能解析功能 33、服务器负载均衡及应用优化 3二、测试环境 41.测试架构图 42.测试环境说明 5三、F5BigIP(LTM+LC)工作原理 61、F5BigIPLC动态智能DNS原理解析 62、F5BigIPLTM相关原理解析 72.1、服务器负载均衡 72.2、F5BigIPLTM部分增值软件功能介绍 8四、测试资源规划及其基本F5配置步骤 91、配置Vlan及其IP地址 92、配置路由 103、配置Listener 104、配置WideIP 105、配置topology 10五、测试项目 101、智能DNS解析实现链路就近性访问 102、服务器负载均衡项目测试 113、其他相关项目测试（待定） 13六、测试结论 131、链路负载均衡满足需求 132、服务器负载均衡满足需求 13一、测试目标1、总体要求原有完美公司网络拓扑简图如下：需求说明如下：电信100M，网通20M；VPN用户有五六十家分支机构，目前已在VPN终端设置好，通过访问固定的IP来达到使用最佳的链路访问；目前对外的服务中有一组服务器共六台提供同一种内容，是否可以通过链路负载均衡设备同时做到传统的服务器负载均衡？针对上面的实际情况以及需求，VPN部分可以沿用现有的方式达到最佳链路访问，这部分保持不变。内网往外仍由原来电信出。在保持现有网络架构基本不变的情况下，为了通过一对负载均衡设备（HA）做到链路负载均衡的同时做到传统的服务器负载均衡，F5建议使用一对F5BigIP负载均衡设备满足需求。考虑性能及将来的扩展，推荐使用一对F5BigIP6400负载均衡设备。在F5BigIP6400上，LTM（LocalTrafficManager）license实现服务器负载均衡，LC(LinkController)license实现链路负载均衡。另外，F5BigIP6400LTM上默认附带5MbpsHTTP压缩及100TPSSSL加速的软件功能模块。可以对应用起到额外的增值优化功能，另外，还可以通过可选附加Ramcache静态缓存license实现Web应用的缓存功能，额外提高应用访问速度。测试以及将来实施方案见下面测试环境架构图。实际测试时为方便起见，可以先用单台负载均衡器测试即可，双机冗余在原理上一样。测试内容大体分为两个大部分：A:链路负载均衡：智能DNS解析B:服务器负载均衡详见如下2，3点。2、动态链路就近性访问-动态DNS智能解析功能F5BigIPLC动态探测向F5本身发起DNS请求的本地DNSserver的逻辑距离，根据定义的规则，返回探测到最快线路关联的ServerIP(VIP)。这样，客户端将沿着这条最快线路访问到ServerIP(VIP)，实现应用的最快访问。例如，排除特殊情况，基本上将实现电信用户沿着电信线路访问，网通线路沿网通线路访问。3、服务器负载均衡及应用优化用户沿最快线路访问到ServerIP(VIP)后，根据VIP对应的防火墙DMZ区的服务器池(ServerPool),使用F5BigIPLTM上的服务器负载均衡算法，将应用请求最优分配给实际服务器池里的服务器，起到服务器/应用的负载均衡。具体算法可以使用轮询，比率，最快反应速度，最少连接数等。另外，可以使用HTTP压缩，Ramcache等增值模块功能优化应用访问。二、测试环境1.测试架构图针对以上的需求及分析，具体测试架构图如下：图中原来VPN连接及内网对外访问则完全遵循原来的规则，不被改动。2.测试环境说明该架构基本不改动原有的网络架构，方便测试及回退，也减少将来的实施风险，减少相关维护人员工作量，也便于以后的扩展。如图负载均衡为双机结构，测试时可以简单点以单机模式测试。双机冗余实现原理一样。图中红色粗线为网通的同一VLAN,蓝色粗线为电信的同一VLAN。这样F5设备类似于旁挂嵌入到原来的电信及网通链路上。当然，电信及网通的接入交换机只是为了能让F5，防火墙，局端路由器接入在同一VLAN上，如果想省掉这两台接入交换机，由于F5BigIP6400负载均衡器有16个电口及4个光口，可以在F5上相应划分VLAN，把防火墙及局端路由器接入线路接在F5相应VLAN上，这样在二层网络上，把F5同时当成交换机使用。原有在防火墙上对应DMZ服务器的公网NAT地址回收，然后在F5上各设一个电信及网通的ServerIP(VIP)对应防火墙里面的DMZ服务器池。例如电信VIP为：33,对应DMZ服务器池IP:/4/5,网通VIP为：9，对应DMZ服务器池：1/12;当客户端通过智能解析结果(具体原理及解析流程将在下面原理部分解释)访问到电信线路VIP:33,F5通过服务器负载均衡算法将把请求分配给DMZ服务器，例如将把请求分发给,通过路由,F5将请求送往防火墙，防火墙路由到DMZ，DMZ服务器回包到防火墙时，防火墙上需要做个根据“源地址”的路由，即如果源地址为DMZ服务器IP，则往F5送，包到达F5后，F5将处理后的包往局端送，然后一直到客户端。这里需要确认的一点是：PIX是否可以做源地址路由？如果可以，上述数据流程就成立。而且将使流程简明易懂，且不影响任何其他部分设置。如果不行，则有另外的处理方法，一种是：当F5将请求包往防火墙送的时候，同时做源地址NAT，也就是把源地址（internet客户端地址）转换成自己的端口地址然后往防火墙送，这样DMZ服务器回包里的目标地址是F5端口地址而不是原来的internet客户端地址，这样防火墙自然会将回包往F5送。如果不允许做NAT（因为NAT将使应用看不到internet客户端源地址），则还可以这样处理：将防火墙的默认网管指向F5而不是ISP局端路由器，这样当然DMZ服务器的回包可以送回F5，但同时，内网往外的所有流量都将先被送往F5，然后F5上做一个的VIP来转发给局端路由器。图中原来VPN连接及内网对外访问则完全遵循原来的规则，不被改动。服务器负载均衡方面，F5LTM使用相应算法设置来分发请求，具体相关原理及软件模块优化见下面原理部分阐述。链路负载均衡方面，F5LC作为一台DNSserver，原来的DNS委派或CNAME相应XX.的子域到F5解析。由F5做相应的动态智能解析，然后将电信或网通的ServerIP(VIP)解析给客户端的localDNS.然后localDNS将该解析结果给客户端，客户端将沿该IP所属的ISP链路访问应用。三、F5BigIP(LTM+LC)工作原理1、F5BigIPLC动态智能DNS原理解析为了更好的分析F5的BIG-IP是如何实现对不同ISP用户访问提供不同的访问链路的，以一个电信用户的访问过程来详细讲解一下。首先，在LC上有两条ISP的链路连接，可以在其上层的交换机上通过VLAN来划分开两条链路，然后接入到不同ISP的路由器上。同时在LC上不同的ISP接口上配置上不同ISP的连接IP。然后，在域名解析的DNS上做一个别名的DNS解析条目，如下： INCNAME……. INNS。 INNS. . INAxx.xx.xx.xx(F5设备网通地址）F5：配置：. INA xx.xx.xx.xx(Server对外电信VIP) INA xx.xx.xx.xx(Server对外网通VIP)其中SUB是一个在LC上配置的虚拟域名，可以自己来定义。通过一个DNS的别名和NS域名解析指向，就可以让用户本地的DNS去LC上取相应的域名解析结果，而LC通过对不同链路状态的检测，回复最优路径的访问IP，这样就可以实现访问速度的提高了。具体流程如下：电信用户在IE浏览器上访问这个域名，本地机器会向其本地DNS服务器查询该域名的解析IP。如果本地DNS上没有该域名的条目，它会向根询问该条目；如果已经有，则马上回应一个解析条目。由于在根DNS上已经做了一个别名的DNS解析条目，当本地DNS向根DNS询问解析的时候，根DNS会通知该本地DNS向LC获取这个域名的解析条目。本地DNS联系LC询问解析，这时LC会动态检测两条通往不同ISP路道，测试那条到达该本地DNS相对较优，然后选择相对较优的链路的地址去回应本地DNS，在本例中会使用中国电信的IP对这个域名做解析。本地DNS会根据从LC收到的域名解析条目回应提出要求的中国电信访问用户。中国电信的访问用户使用中国电信的地址去访问这个域名。从上面的过程可见，通过LC的链路检测功能，可以为用户提供最优的访问链路，同时解决不同ISP接入速度慢的影响。2、F5BigIPLTM相关原理解析2.1、服务器负载均衡BIG/IP利用虚拟IP地址（VIP由IP地址和TCP/UDP应用的端口组成，它是一个地址和端口的组合）来为用户的一个或多个目标服务器（称为节点：目标服务器的IP地址和TCP/UDP应用的端口组成，它可以是internet的私网保留地址）提供服务。因此，它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。BIG/IP连续地对目标服务器进行L4到L7合理性检查，当用户通过VIP请求目标服务器服务时，BIG/IP根椐目标服务器之间性能和网络健康情况，选择性能最佳的服务器响应用户的请求。BIG/IP能够充分利用所有的服务器资源，将所有流量均衡的分配到各个服务器，从而有效地避免“不平衡”现象的发生。BIGIP是一台对流量和内容进行管理分配的设备。它提供12种灵活的算法将数据流有效地转发到它所连接的服务器群。而面对用户，只是一台虚拟服务器。用户此时只须记住一台服务器，即虚拟服务器。但他们的数据流却被BIGIP灵活地均衡到所有的服务器。这12种算法包括：Ø轮询（RoundRobin）：顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。Ø 比率（Ratio）：给每个服务器分配一个加权值为比例，根椐这个比例，把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。Ø 优先权（Priority）：给所有服务器分组，给每个组定义优先权，BIG/IP用户的请求，分配给优先级最高的服务器组（在同一组内，采用轮询或比率算法，分配用户的请求）；当最高优先级中所有服务器出现故障，BIG/IP才将请求送给次优先级的服务器组。这种方式，实际为用户提供一种热备份的方式。Ø 最少的连接方式（LeastConnection）：传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。Ø 最快模式（Fastest）：传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。Ø 观察模式（Observed）：连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。Ø 预测模式（Predictive）：BIG/IP利用收集到的服务器当前的性能指标，进行预测分析，选择一台服务器在下一个时间片内，其性能将达到最佳的服务器相应用户的请求。(被big/ip进行检测)Ø 动态性能分配（DynamicRatio-APM):BIG/IP收集到的应用程序和应用服务器的各项性能参数，动态调整流量分配。Ø 动态服务器补充（DynamicServerAct.):当主服务器群中因故障导致数量减少时，动态地将备份服务器补充至主服务器群。Ø服务质量(QoS)：按不同的优先级对数据流进行分配。Ø 服务类型(ToS)：按不同的服务类型（在TypeofField中标识）对数据流进行分配。Ø 规则模式：针对不同的数据流设置导向规则，用户可自行编辑流量分配规则，BIG/IP利用这些规则对通过的数据流实施导向控制。2.2、F5BigIPLTM部分增值软件功能介绍HTTP压缩功能介绍WebServerClient1Client2BIG-IPCompressionontheBIG-IPWebServerClient1Client2BIG-IPCompressionontheBIG-IP广域网访问的网络延时与带宽瓶颈经常给用户的WEB应用的正常访问带来不便，通过在F5BIG-IP应用交换机上启用HTTP压缩功能，可以带来以下好处：更快的页面下载速度；更小的带宽消耗(支持广泛数据类型的压缩：例如HTTP,XML,Javascript,J2EEapplicationsandmanyothers)，启用带宽压缩所带来的带宽节省可以达到80%。对用户完全透明，不需要在客户端安装程序：F5BIG-IP应用交换机采用的压缩算法是目前常用WEB浏览器广泛支持的GZIP和Deflate算法，因此对用户完全透明，不需要预先安装客户端解压程序。BytesbeforecompressionBytesaftercompression%bandwidthsavedIIS6.0(StandardWebContent)538,31897,87582Oracle10gPortalOWA2003305,001100,19267SharepointPortalServices2003790,652203,40074Siebel2,053,366275,34387WeblogicPortalv8.1217,97066,09370各种型号BIG-IP负载均衡设备均免费提供5MbpsHTTP压缩功能，通过购买附加license可以扩展所能支持的最大压缩处理能力。Ramcache缓存功能通过在F5BIG-IP应用交换机的内存上对服务器上被反复存取的内容作缓存，可以大大减轻服务器上的压力(可以减轻50%以上日服务器性能压力)。F5BIG-IP应用交换机提供了内存缓存的灵活控制能力，可以对指定应用的指定内容在指定条件下进行缓存与刷新。支持静态与动态内容的缓存，对动态页面(例如动态HTML)，可以根据预先定义的缓存内容刷新条件对内容进行刷新。而每个应用进行高速缓存可以消耗的内存容量也可以灵活定制。四、测试资源规划及其基本F5配置步骤1、配置Vlan及其IP地址配置VLAN，关联相关的端口，并为VLAN分配IP地址2、配置路由3、配置Listener配置Listener，定义LC需要侦听对LC发起DNS请求的IP地址。在本次测试中，F5LC作为DNSServer，并配置电信和网通双链路，需要对电信和网通都设置Listener.4、配置WideIP配置域名作为测试，并关联到相关的virtualserverpool。需要在pool或virtualserver处定义loadbalance方法。5、配置topology配置静态电信和网通数据库，关联相关的源IP到相关的域名对应的IP地址。五、测试项目总体目的：确认同一台负载均衡器同时实现链路及应用/服务器负载均衡的功能。负载均衡器对链路及应用负载均衡的实际效果，增值软件功能对应用的显著优化作用。1、智能DNS解析实现链路就近性访问测试目的：经过多次使用远端的多台DNS测试，均按照设定的规则返回IP地址，实现客户端链路逻辑就近性访问功能。测试过程：用nslookup从远程电信DNSserver：xx.xx.xx.xx和网通DNSserver：xx.xx.xx.xx上对发起DNS请求，根据F5的智能DNS解析过程，电信的DNS返回电信IP地址，网通的DNS返回网通IP地址，如图：通过负载均衡器的实际log也可以验证测试结果。测试记录：测试对象测试项目测试结果备注智能DNS算法静态Topology地址库导入电信/网通地址库，根据DNS查询的源地址判断，电