H3C全场景负载均衡解决方案

H3C全场景负载均衡解决方案日期：密级：杭州华三通信技术有限公司服务器负载均衡解决方案链路负载均衡解决方案目录存在问题一：业务服务器负荷的均衡性业务1业务2业务n业务1业务2业务n业务量提升，增补服务器两个问题：1、受传统三层交换模式下的应用限制，一个业务IP无法同时供多台服务器使用；2、如果每种业务发布多个业务IP，需知会业务使用者，且，存在服务器负荷不均匀存在问题二：业务服务器故障感知ERP系统硬件操作系统网站硬件层面操作系统应用层面邮箱系统OA系统故障感知盲区问题：传统三层交换模式在分发业务请求时，无法感知服务器的操作系统和应用系统层面的故障，易引发故障投诉。存在问题三：业务服务器安全问题病毒缓冲溢出代码蠕虫应用层攻击后门木马假冒DDOSDOS网络层攻击业务1业务2业务n问题：业务服务器面临着如非法访问、DDOS攻击、病毒等各类安全威胁。H3C业务负载均衡解决方案业务1业务2业务n专业FW、IPS模块LB模块提供专业的网络层攻击、应用层攻击防御LB作为三层交换机功能延伸，对外发布业务虚IP，提供四、七层交换功能。提升“业务自适应能力”。H3C业务负载均衡解决方案业务1业务2业务nVIP1VIP2VIPn增强业务自适应性LB终结业务请求报文，虚IP/Port与业务请求报文IP/Port与进行匹配，并采用负载均衡分发算法将请求报文转发至实体服务器，扩展业务处理能力，增强网络自适应性。服务器健康检查：LB从硬件、操作系统、应用等多个层面检查业务服务器是否故障，仅将业务请求数据分发至健康的服务器。业务服务器健康检测DNSRadiusSSLICMPTCPHTTPFTP硬件网卡服务层面应用层面UDPPOP3SMTPIMAPRTSPSIP应用不断丰富中根据响应内容判断服务器状况模拟客户端对应用发送连接或内容请求发送ICMPEcho报文根据收到ICMP响应判断服务器状况根据TCP连接成功否或内容判断服务器状况发送TCP连接或请求内容负载均衡业务服务器灵活的业务服务器负载均衡分发负载均衡设备客户端123456静态分发算法轮转加权轮转随机加权随机源地址散列源地址端口散列目的地址散列UDP报文净荷Hash基于基于HTTP头的七层负载动态分发算法最小连接加权最小连接最小响应时间最小CPU/内存利用率（SNMP方式）丰富的持续性（会话保持）算法负载均衡设备123建立持续性表项，某次业务数据流后续报文送到同一实服务器4层算法基于源IP地址基于源端口地址基于源IP＋源端口7层应用基于Cookie插入基于Cookie截取基于Cookie重写基于SIP报文Call-ID基于RadiusFrameIP和Username基于DHCP硬件地址、业务ID基于HTTP报文头H3C负载均衡--1:N虚拟化ClientClientClient管理权限虚拟化虚服务虚拟化分发策略虚拟化持续性虚拟化健康检查虚拟化应用场景：云计算系统MPLSVPN内服务器前端LB一虚多H3C负载均衡--N:1虚拟化SecBladeLB1SecBladeLB3SecBladeLB2交换机接口板（网关）多模块、单VIPIP1IP2IP3交换机接口板（网关）SNAT-IP1SNAT-IP2SNAT-IP3SIP1SIP2SIP3ClientH3C负载均衡—SSL加速S75E+LB+SSLVPNHTTPS流量WebAPPDBHTTP流量采用专业的硬件SSL加速业务引擎SSL加速处理处理流程1、客户端发起HTTPS连接请求，协商传输的加密算法，确认双方身份，并交换会话密钥。2、负载均衡对请求的信息进行解密，通过HTTP的方式发送给后端的服务器。3、服务器返回处理结果给负载均衡设备。4、负载均衡设备对请求的结果进行加密，返回给客户端。负载均衡模式双机热备…支持主/备、主/主模式LB之间启用VRRP，并通过心跳线同步LB会话表项；主机级和会话级备份实现业务无缝切换FW模块H3C负载均衡交换机IPS模块防DDos攻击模块支持多种业务模块，包括：防火墙、IPS入侵防护、应用控制及管理、网流分析、无线控制等所有插卡支持统一管理按需部署不同业务模块，满足不断增长的业务需求：专业的安全功能扩展H3C负载均衡产品S7500ES9500ES12500S8800SecBladeLBForS7500E/S9500E/S10500/S12500SecBladeLBForSR8800机架式主机负载均衡业务板S10500LB应用案例--天地图门户应用服务矢量应用服务影像应用服务S75E+LB产品及方案特色交换+多核架构，性能强劲，可靠性高，满足7×24小时在线服务器LB可扩容，满足未来业务增长，保护用户投资负载均衡部署策略负载均衡分发技术：新建业务节点性能相同，采用对集群节点干扰小的轮询调度策略；会话保持：该网站暂时不提供连续交互会话的功能，后续会开展需保持会话业务。服务器健康检查：在线地理信息服务网站采用HTTP检测方式，即定时与服务器集群中服务器发出HTTP请求并验证响应结果。LB应用案例—江苏移动IMS系统S75E+LBIMS业务服务器移动城域网产品及方案特色一机两用：运营商认可交换机式LB，性能高、可靠性高，可平滑扩容，IMS系统服务器直连S75E，简化网络层次。继F5000在中移动IMS系统规模应用后，LB再次在IMS核心业务系统稳定运行。负载均衡部署策略负载均衡分发技术：新建业务节点性能相同，采用对集群节点干扰小的轮询调度策略；会话保持：本次系IMS内DNS业务暂时不提供保持会话。服务器健康检查：IMS内DNS业务采用基于DNS的健康检测，即LB模拟客户端定时向DNS服务器发起DNS请求，根据返回值来判断服务器正常与否。LB应用案例—海南人民医院HIS系统S75E+LB影像服务器S12500行业及系统：医院HIS系统挑战：保障7X24业务连续提升影像资料下载速度具备业务不断扩充能力方案优点：Lb在S75EIRF2环境下部署，可靠性高双主影像服务器，下载能力提升1倍DR工作模式，大容量文件下载不经过LB具备新增业务和业务扩容能力案例点评：LB在现代化大型三甲医院的核心业务系统的成功应用安徽农信网银数据中心行业及系统：银行网银系统应用场景：网银多出口链路负载均衡、网银服务器负载均衡方案描述：LB在部署在网银多ISP出口，提供“智能DNS功能”和H3C独有的“保持上一条”功能，提升不同运营商用户的高速业务体验。LB部署在网银数据中心前端，提供网银服务器的负载均衡，实现7X24小时服务。服务器负载均衡解决方案链路负载均衡解决方案目录部分宽带运营商网络现状电信联通省干网关地市节点广电、铁通、移动等运营商通过租赁电信和联通线路进行宽带运营。通过在出口路由器上配置ACL策略路由方式将互联网宽带用户静态的指向不同的出口链路。问题一：部分互联网宽带用户上网慢电信联通省干网关地市节点被静态策略至某联通链路出口网关无法根据用户访问的目的IP选路，导致部分用户上网速度慢、体验差。问题二：维护工作量繁琐电信联通省干网关地市节点需在出口网关路由器上经常性的为新增宽带用户添加静态策略，维护工作量大。天天加策略问题三：链路故障探测及处理电信联通省干网关地市节点链路故障后，手工调整策略期间，宽带用户无法上网，会投诉或传播负面信息。H3C出口多链路负载均衡解决方案电信联通省干网关地市节点在出口部署一体式的FW+LB网关。FW实现大容量NAT功能LB实现链路负载均衡功能根据用户目的地址进行自动选路，无须配置静态策略用户上网速度感知优于静态策略方式链路故障，自动将用户流量切换至可用链路。IRFFWLB出口链路负载均衡逻辑示意图SecBladeLB1SecBladeLB2SecBladeLBn接口板可靠性一：任一LB故障，流量将均分至正常的LB万兆板电信联通交换机通过等价路由方式将流量均分至各LB板卡LB通过逻辑子接口与四个链路连接。LB通过链路负载均衡算法分发流量。LB探测链路故障，自动将流量分担至可用的链路。等价路由分发可靠性二：任一链路故障，流量将均分至正常的链路电信联通电信联通出链路负载均衡路由器静态策略模式ISP匹配流未知流轮询加权轮询源地址Hash最小连接就近性探测ISP匹配流未知流默认路由提升1—丰富的出口流量分发算法提升1—分发算法比较静态分发轮询/随机、加权轮询/随机源IP/PortHash动态分发（加权）最小连接、最大剩余带宽就近性探测（生成就近性表项）链路可用带宽、链路延迟时间（RTT）链路成本、路由跳数（TTL）ISP表项匹配内置电信、联通等ISP地址表项静态策略路由动态路由路由器负载均衡来源于APNIC（亚太互联网络信息中心）出链路负载均衡之“outbound智能选路功能”ISP1ISP1表项ISP2表项ISP3表项ISP2ISP3目的IP目的IP目的IP未知目的IPISP表项匹配静态分发轮询/随机、加权轮询/随机源IP/PortHash动态分发（加权）最小连接、最大剩余带宽就近性探测（生成就进行表项）链路可用带宽、链路延迟时间（RTT）链路成本、路由跳数（TTL）内网用户负载均衡互联网电信-1G联通-500M目的IP为电信的流量950M150M1.1G保护阈值950M电信-1G联通-500M目的IP为电信的流量1G100M1.1GX负载均衡链路阈值保护路由器静态策略模式每条ISP设置阈值，链路数据流达到阈值后，LB不再向该链路发送数据流。提升2—出口链路流量阈值保护提升3—出口故障或拥塞后流量牵引电信-1G联通-500M目的IP为电信的流量X电信-1G联通-500M目的IP为电信的流量950M150M1.1G保护阈值950M出口故障后流量牵引出口拥塞后流量牵引入方向链路负载均衡之“智能DNS功能”ISP1ISP2ISP3匹配，返回对应ISP的DNS-IP负载均衡IP1IP2IP3Client客户端访问网站系统时如何请求到最快的域名IP地址？用户源IP是否匹配某ISP表项？就近探测最优链路不匹配返回最优ISP的DNS-IPH3C网站DNS请求逻辑图LocalDNSLocalDNS记录上一跳功能（外部访问网内资源）电信联通移动请求报文响应报文X响应报文√来回路径不一致问题：1、跨网导致响应慢，用户体验差2、如ISP开URPF，响应报文丢弃解决方法--记录上一条：H3C负载均衡设备依据用户请求报文的五元组生成会话表，并把该会话表与入端口（物理或逻辑）对应关系记录成上一跳表项；服务器响应报文会匹配到会话表，直接将响应报文从入接口发出去。河南铁通出口链路解决方案2*10GE链路1链路2FW+LB链路1链路2FWLB链路1链路2链路3内部流量均分至LB联通CRN电信S7610+FW+LB河南有线逐渐割接改造中2010年原网络2011年部分出口逐步改造采用S7600系列虚拟化交换机插框通过LB插卡和FW插卡的配合完成两条联通线路的NAT出口改造。S5800-60C-PWRS5800-60C-PWRS7506E+SecBladeFW+SecBladeIPS+SecBladeLBCMNET省网汇聚路由器NE40E-ACMNETCMNET省网汇聚路由器NE40E-A3G视频等数据业务预留区自有业务区

基本业务区增值业务区维护管理区清洗中心S7503E+AFC+AFD+SecCenter组件IMC+NTA流量分析流量清洗中心S5800-60C-PWRS5800-60C-PWRS5800-60C-PWRS7506E+SecBladeFW+SecBladeIPS+SecBladeLB海南移动IDC江苏有线信息中心IDC江