F5多出口链路负载均衡解决方案

F5Networks多出口链路负载均衡解决方案建议目 录一．多出口链路负载均衡需求分析 错误!未定义书签。二．多出口链路负载均衡解决方案概述 错误!未定义书签。多出口链路负载均衡网络拓朴设计 错误!未定义书签。方案描述 错误!未定义书签。方案优点 错误!未定义书签。拓扑构造方.误!未定义书签。安全机制方.误!未定义书签。三．技术实现 错误!未定义书签。F5多出口链路负载均衡〔产品选型：BIGIPLC〕 错误!未定义书签。OUTBOUND流量负载均衡实现原理 错误!未定义书签。INBOUND流量负载均衡实现原理 错误!未定义书签。在链路负载均衡环境中的DNS设计和域名解析方式 错误!未定义书签。RootDNS〔注册DNS〕直接与F5多链路负载均衡器协作错误!未定义书签。RootDNS〔注册DNS〕通过第三方DNSServer与F5〔我们建议这种方式.误!未定义书签。设备双机冗余----毫秒级切换原理 错误!未定义书签。STATEFULFAILOVER技术〔与F5设备双机冗余有关〕 错误!未定义书签。四．产品介绍 错误!未定义书签。F5BIGIP 错误!未定义书签。一．多出口链路负载均衡需求分析一条中国电信链路。F5公司的多链路负载均衡设备〔Bigip〕能够供给独具特色的解决方案，不但能够充分利用这两条链路〔双向流量依据预设的算法分担到不同的链路上，一旦一条链路不通的状况下，能够无缝切换到另外一条可用链路上；而且可以依据对不同链路的侦测结果，ISP问题。具体解决方案特色如下：供给内网至internet流量的负载均衡〔Outbound〕〔Inbound〕InternetISP支持多出口链路动态冗余，流量比率和切换Layer2－7多层安全增加防护，抵抗黑客攻击业界领先的双机冗余切换机制，能够做到毫秒级切换对于用户完全透亮对全部应用无缝支持二．多出口链路负载均衡解决方案概述多出口链路负载均衡网络拓朴设计XXXX〔单机版。XXXX〔双机冗余版。方案描述此方案中，分别设计单台链路负载均衡和双机冗余链路负载均衡两种网络拓扑，供杭州政府信息中心选择。考虑到链路负载均衡在网络构架中的位置，以及今后的扩展性，建议承受F5公司的BigipLC两台,供给两条出口链路〔中国网通和中国电信〕的负载均衡，其中两条BigipLC〔假设双机冗余，需要从每ISPBigipLC，BigipLCBigipLC通过这样的优化后，系统具有以下特征：构造合理：整个网络构造布局合理，层次清楚，便于治理与维护。可用性高:Bigip安全性高:BIGIP黑客攻击。效率高:BIGIP可以智能查找最正确的出口链路，从而保证客户得到最快的上网访问速度。BIGIP而不需要对客户端或后台做任何转变从而使得系统扩展轻松便利。BIGIP依据流量增长增加出口带宽。保护投资：BIGIP还免费带有效劳器负载均衡和防火墙负载均衡的功能。方案优点拓扑构造方面可以轻松形成全冗余连接方法,保证网络没有单点故障的存在。墙/VPN/IDS等网络设备全部可以承受负载均衡方式处理网络流量,提高网络效劳力量和投资回报率。比较少的网络层次,较少网络延迟，避开运行维护时面对大量网络设备。墙或增加效劳器来提高整体的效劳水平。安全机制方面S,SSHTCP/UDP就全部被封闭了,保护效劳器避开被端口扫描.PingofDeath,F5VIPPing备份设备工作。三．技术实现3.1F5〔产品选型：BigipLC〕BigipLC供给内网至internet流量的负载均衡〔Outbound〕〔Inbound〕InternetISP支持多出口链路动态冗余，流量比率和切换Layer2－7多层安全增加防护，抵抗黑客攻击业界领先的双机冗余切换机制，能够做到毫秒级切换对于用户完全透亮对全部应用无缝支持[技术实现原理]：F5F5多链路负载均衡设备通过ISP1ISP2接入Internet。每个ISP都安排给该网络，ISP2〔IP24。同样，InternetISP1ISP2络中的主机和效劳器都属于私有网段。ISPInternet来完成。假设网络中有防火墙，也可以选择由防火墙来做地址翻译。OutboundF5OutboundDefaultGatewayPoolDefaultGatewayPoolISP且可以捆绑安康检查，负载均衡算法以及会话保持等属性。DefaultGatewayPoolNodesF5IRules对于简单的链路选择需求，可以使用F5独有的irules来定义。WildcartVirtualServerWildcartVirtualServer－:0/internal，WildcartVirtualServer是指这个特别DefaultGatewayPool。SNAT/SNATAutomapF5SNAT一个路由器〔某一个ISP〕传送OutboundISPISP1Outbound的主机地址翻译为，并作为Outbound数据包的源地址。同样，假设多链路负载均衡设备选择ISP2OutboundOutbound源地址。F5VlanSelf-IPSNATAutomap。InboundF5InboundDNS〔WideIP〕DNSDNSIPF5A录和*记录解析。WideIPInboundCompletionRate，GlobalAvailability，hops，kilobytes/second，leastconnections，PacketRate，QualityofService，Random，Ratio，RoundRobin，RoundTripTime，StaticPersist，VSCapacity。VirtualServer/NetworkVirtualServer/TransparentVirtualServerF5DNS析是VirtualServer；对于一些特别的场合，需要配置一些特别的VirtualServer，例如：NetworkVirtualServerTransparentVirtualServer。ForwardingPool有的状况下，既不需要地址翻译，有不需要效劳器负载均衡，但是又需要pool时〔例如：AutoLasthopForwardingPool。Lasthoppool/AutoLasthopF5LasthopF5MACNATIPInboundOutboundNATVirtualServerSNATEmailVirtualServer+SNAT在链路负载均衡环境中的DNS设计和域名解析方式1A*记录解析；DNS〕NSLocalDNSServerCache所以，产生出以下多种域名解析方式。RootDNS〔DNS〕F5CNAMEINCNAME INNS 。INNS 。INA 〔F5〕INA 〔F5〕InboundNSINNS 。INNS 。INA 〔F5〕INA 〔F5〕F5MXRootDNS〔注册DNS〕通过第三方DNSServer与F5〔我们建议这种方式〕CNAMERootDNSCNAME第三方DNSINNSINNSINA〔F5〕INA〔F5〕RootNS〔DNS的协作，是前面方式的变体。NSRootDNS. INNS。INNS。INA〔第三方DNS〕INA〔第三方DNS〕第三方DNSINCNAMEINNS。INNS。INA〔F5设备地址〕INA〔F5设备地址〕我们建议承受这种方式。F5设备双机冗余 毫秒级切换原理ms合理,全部会话通过Active的BIGIP的同时,会把会话信息通过同步数据线同步到StandbyActiveBIGIPStandbyBIGIPSharedIP,VIP,NAT,SNATping1~2中断，可以持续运行，对于关键的应用系统是格外重要的。另外，BIGIP还可以允许手工切Active/StandbyStatefulFailOver技术〔F5〕SessionMirror以及PersistenceMirror技术，保证F5访问。四．产品介绍F5BigipLC关键特性与优势ISP供给商的站点供给高可用全方位链路监视，供给实时的链路状况和容量信息；BGP的多归属的部署障碍；承受高级分组交换技术；把用户导向速度最快的链路；平衡流量以最大限度地利用链路资源和吞吐量；链接本钱负载平衡功能把流量导向花费最低的链路，以实现最低的带宽本钱；供给无缝的链路归并，以实现敏捷的带宽可扩大性和降低本钱；效劳质量〔QoS〕为满足各种业务需求供给共性化的流量掌握；供给安全网络地址转换SNA〕DN实时性能监视和数据统计以评估链路性能；可同时支持各种应用效劳器负载平衡；可同时支持防火墙三明治负载平衡；TCP和UDPIP流量供给链路负载平衡；通过WebCLI供给安全与远程治理增设链路掌握器LinkControlle〕供给完全冗余，以进展二级故障切换保护；〔API〕。BIG-IP®LinkController多归属网络的高可用性和链路掌握随着企业渐渐承受互联网传送关键任务应用，只与公共网络保持一个链路就意味着单点故障和严峻的网络隐患。F5BIG-IPLinkController：供给牢靠的网络连接治理多个链路上的入站/出站流量通过最正确性能链路发送流量提高链接的可扩大性和吞吐量实现最大的企业连接投资回报率消退带有BGP的多归属的部署障碍和本钱确保牢靠的网络连接高可用性BIG-IPLinkController可检测整个链路所消灭的错误，从而供给牢靠的端到端连接。它负责监视每个连接的状况和可用性以及检测链路或ISP用链路，以确保牢靠的数据中心连接。全方位链路监视BIG-IP于任何指定链路带宽及容量的具体信息。LinkController也可检测出由ISP配置错误或其它手工操作错误引起的故障。最大限度地扩大带宽和提高投资回报链接本钱负载平衡流量被导向花费最低的链路，从而将带宽投资降至最低限度；消退过量供给的状况；效率带宽的使用和相关本钱的开销。带宽的可扩大性供给低本钱的带宽冗余，同时削减铺张在闲置光纤或备用线路上的本钱。可扩大性BIG-IP链路掌握器为企业供给了一个可扩大平台：可通过升级增加效劳器和高速缓存的本地负载平衡；可随企业进展而扩展的高性能端口密集型平台；支持数千兆位吞吐量以及任何数量的ISP。全方位流量掌握区组掌握BIG-IPLinkController为用户供给了所需的最正确流量掌握和敏捷性，以最大限度地提高可用性、性能和降低公司连接本钱。循环负载平衡；对于期望扩大链路的用户，LinkController比率负载平衡〔DSL、T1和T3〕均匀分布负载。链接容量和吞吐量BIG-IPLinkController可允许您依据实时的流量与吞吐量来确定和掌握流量在链路上的分布方式。这可以提高性能和增加可用的带宽〔含线路冗余〕，同时消退链路的拥塞状况。当点的性能。最正确性能的链路：BIG-IPLinkController可检测出哪条连接能供给最正确效劳，接着把用户导向该链路－确保用户能享受最正确效劳和最高质量的连接。QoS的负载平衡BIG-IPLinkController供给了链路容量〔路由器速率、连接数量和每秒的数据包数〕、〕等共性化的流量掌握。好地”治理流量。来源、目的地和应用交换可支持用户在指定链路上发送局部流量。例如，对于FTP和电子邮件等高优先级的流量可通过优先连接进展路由，而低优先级的容量通过其他链路进展路由。精彩的治理和配置轻松安装BIG-IPLinkController含有一个直观且易于操作的基于Web的图形用户界面GU都进展规律上的分类，以降低配置和治理难度，从而削减安装和日后的维护费用。IP链路评估器〔InternetLinkEvaluator〕LinkEvaluator可对ISP传送给用户的全部性能进展衡量，包括：指出慢速的链路，排解ISP链路上的性能