H3C全场景负载均衡解决方案分析.ppt

1、H3C全场景负载均衡解决方案,日期：,密级：,杭州华三通信技术有限公司,服务器负载均衡解决方案 链路负载均衡解决方案,目录,存在问题一：业务服务器负荷的均衡性,业务1,业务2,业务n,业务1,业务2,业务n,业务量提升， 增补服务器,两个问题： 1、受传统三层交换模式下的应用限制，一个业务IP无法同时供多台服务器使用； 2、如果每种业务发布多个业务IP，需知会业务使用者，且，存在服务器负荷不均匀,存在问题二：业务服务器故障感知,ERP系统,硬件,操作系统,网站,硬件层面,操作系统,应用层面,邮箱系统,OA系统,故障感知 盲区,问题： 传统三层交换模式在分发业务请求时，无法感知服务器的操作系统和

2、应用系统层面的故障，易引发故障投诉。,存在问题三：业务服务器安全问题,业务1,业务2,业务n,问题： 业务服务器面临着如非法访问、DDOS攻击、病毒等各类安全威胁。,H3C业务负载均衡解决方案,业务1,业务2,业务n,专业FW、IPS模块,LB模块,提供专业的网络层攻击、应用层攻击防御,LB作为三层交换机功能延伸，对外发布业务虚IP，提供四、七层交换功能。提升“业务自适应能力”。,H3C业务负载均衡解决方案,业务1,业务2,业务n,VIP1,VIP2,VIPn,增强业务自适应性 LB终结业务请求报文，虚IP/Port与业务请求报文IP/Port与进行匹配，并采用负载均衡分发算法将请求报文转发至

3、实体服务器，扩展业务处理能力，增强网络自适应性。 服务器健康检查： LB从硬件、操作系统、应用等多个层面检查业务服务器是否故障，仅将业务请求数据分发至健康的服务器。,业务服务器健康检测,DNS,Radius,SSL,ICMP,TCP,HTTP,FTP,硬件网卡,服务层面,应用层面,UDP,POP3,SMTP,IMAP,RTSP,SIP,应用不断丰富中,根据响应内容判断服务器状况,模拟客户端对应用发送连接或内容请求,发送ICMP Echo报文,根据收到ICMP响应判断服务器状况,根据TCP连接成功否或内容判断服务器状况,发送TCP连接或请求内容,负载均衡,业务服务器,灵活的业务服务器负载均衡分发

4、,负载均衡设备,客户端,1,2,3,4,5,6,丰富的持续性（会话保持）算法,负载均衡设备,1,2,3,建立持续性表项，某次业务数据流后续报文送到同一实服务器,H3C负载均衡-1:N虚拟化,Client,Client,Client,管理权限虚拟化 虚服务虚拟化 分发策略虚拟化 持续性虚拟化 健康检查虚拟化,应用场景： 云计算系统 MPLS VPN内服务器前端,LB一虚多,H3C负载均衡-N:1虚拟化,SecBlade LB1,SecBlade LB3,SecBlade LB2,交换机接口板 （网关）,多模块、单VIP,IP1,IP2,IP3,交换机接口板 （网关）,SNAT-IP1,SNAT-

5、IP2,SNAT-IP3,SIP1,SIP2,SIP3,Client,H3C负载均衡SSL 加速,S75E+LB+SSL VPN,HTTPS 流量,Web,APP,DB,HTTP 流量,采用专业的硬件SSL加速业务引擎 SSL加速处理处理流程 1、 客户端发起HTTPS连接请求，协商传输的加密算法，确认双方身份，并交换会话密钥。 2、负载均衡对请求的信息进行解密，通过HTTP的方式发送给后端的服务器。 3、服务器返回处理结果给负载均衡设备。 4、负载均衡设备对请求的结果进行加密，返回给客户端。,负载均衡模式双机热备,支持主/备、主/主模式 LB之间启用VRRP，并通过心跳线同步LB会话表项；

6、主机级和会话级备份实现业务无缝切换,FW模块,H3C负载均衡交换机,IPS模块,防DDos攻击模块,支持多种业务模块，包括：防火墙、IPS入侵防护、应用控制及管理、网流分析、无线控制等 所有插卡支持统一管理,按需部署不同业务模块，满足不断增长的业务需求：,专业的安全功能扩展,H3C 负载均衡产品,S7500E,S9500E,S12500,S8800,SecBlade LB For S7500E/S9500E/S10500/S12500,SecBlade LB For SR8800,机架式 主机,负载均衡 业务板,S10500,LB应用案例-天地图,门户应用服务,矢量应用服务,影像应用服务,S7

7、5E+LB,产品及方案特色 交换+多核架构，性能强劲，可靠性高，满足724小时在线服务器 LB可扩容，满足未来业务增长，保护用户投资,负载均衡部署策略 负载均衡分发技术：新建业务节点性能相同，采用对集群节点干扰小的轮询调度策略； 会话保持：该网站暂时不提供连续交互会话的功能 ，后续会开展需保持会话业务。 服务器健康检查：在线地理信息服务网站采用HTTP检测方式，即定时与服务器集群中服务器发出HTTP请求并验证响应结果。,LB应用案例江苏移动IMS系统,S75E+LB,IMS 业务服务器,移动城域网,产品及方案特色 一机两用：运营商认可交换机式LB，性能高、可靠性高，可平滑扩容，IMS系统服务器

8、直连S75E，简化网络层次。,继F5000在中移动IMS系统规模应用后， LB再次在IMS核心业务系统稳定运行。,负载均衡部署策略 负载均衡分发技术：新建业务节点性能相同，采用对集群节点干扰小的轮询调度策略； 会话保持：本次系IMS内DNS业务暂时不提供保持会话。 服务器健康检查：IMS内DNS业务采用基于DNS的健康检测，即LB模拟客户端定时向DNS服务器发起DNS请求，根据返回值来判断服务器正常与否。,LB应用案例海南人民医院HIS系统,S75E+LB,影像服务器,S12500,行业及系统： 医院HIS系统 挑战： 保障7X24业务连续 提升影像资料下载速度 具备业务不断扩充能力 方案优点

9、： Lb在S75E IRF2环境下部署，可靠性高 双主影像服务器，下载能力提升1倍 DR工作模式，大容量文件下载不经过LB 具备新增业务和业务扩容能力,案例点评：LB在现代化大型三甲医院的核心业务系统的成功应用,安徽农信网银数据中心,行业及系统： 银行 网银系统 应用场景： 网银多出口链路负载均衡、网银服务器负载均衡 方案描述： LB在部署在网银多ISP出口，提供“智能DNS功能”和H3C独有的“保持上一条”功能，提升不同运营商用户的高速业务体验。 LB部署在网银数据中心前端，提供网银服务器的负载均衡，实现7X24小时服务。,服务器负载均衡解决方案 链路负载均衡解决方案,目录,部分宽带运营商网

10、络现状,电信,联通,省干网关,地市节点,广电、铁通、移动等运营商通过租赁电信和联通线路进行宽带运营。 通过在出口路由器上配置ACL策略路由方式将互联网宽带用户静态的指向不同的出口链路。,问题一：部分互联网宽带用户上网慢,电信,联通,省干网关,地市节点,被静态策略至某联通链路,出口网关无法根据用户访问的目的IP选路，导致部分用户上网速度慢、体验差。,问题二：维护工作量繁琐,电信,联通,省干网关,地市节点,需在出口网关路由器上经常性的为新增宽带用户添加静态策略，维护工作量大。,天天加策略,问题三：链路故障探测及处理,电信,联通,省干网关,地市节点,链路故障后，手工调整策略期间，宽带用户无法上网，会

11、投诉或传播负面信息。,H3C出口多链路负载均衡解决方案,电信,联通,省干网关,地市节点,在出口部署一体式的FW+LB网关。 FW实现大容量NAT功能 LB实现链路负载均衡功能 根据用户目的地址进行自动选路，无须配置静态策略 用户上网速度感知优于静态策略方式 链路故障，自动将用户流量切换至可用链路。,IRF,FW,LB,出口链路负载均衡逻辑示意图,SecBlade LB 1,SecBlade LB 2,SecBlade LB n,接口板,可靠性一： 任一LB故障，流量将均分至正常的LB,万兆板,电信,联通,交换机通过等价路由方式将流量均分至各LB板卡 LB通过逻辑子接口与四个链路连接。 LB通过

12、链路负载均衡算法分发流量。 LB探测链路故障，自动将流量分担至可用的链路。,等价路由分发,可靠性二： 任一链路故障，流量将均分至正常的链路,电信,联通,电信,联通,出链路负载均衡,路由器静态策略模式,ISP匹配流,未知流,轮询 加权轮询 源地址Hash 最小连接 就近性探测,ISP匹配流,未知流,默认路由,提升1丰富的出口流量分发算法,提升1分发算法比较,静态分发 轮询/随机、加权轮询/随机 源IP/Port Hash,动态分发 （加权）最小连接、最大剩余带宽,就近性探测（生成就近性表项） 链路可用带宽、链路延迟时间（RTT） 链路成本、路由跳数（TTL）,ISP表项匹配 内置电信、联通等IS

13、P地址表项,静态策略路由 动态路由,路由器,负载均衡,来源于APNIC（亚太互联网络信息中心）,出链路负载均衡之“outbound智能选路功能”,ISP1,ISP1表项,ISP2表项,ISP3表项,ISP2,ISP3,目的IP,目的IP,目的IP,未知目的IP,ISP表项匹配,静态分发 轮询/随机、加权轮询/随机 源IP/Port Hash,动态分发 （加权）最小连接、最大剩余带宽,就近性探测（生成就进行表项） 链路可用带宽、链路延迟时间（RTT） 链路成本、路由跳数（TTL）,内网用户,负载均衡,互联网,电信-1G,联通-500M,目的IP为电信的流量,950M,150M,1.1G,保护阈值

14、950M,电信-1G,联通-500M,目的IP为电信的流量,1G,100M,1.1G,X,负载均衡链路阈值保护,路由器静态策略模式,每条ISP设置阈值，链路数据流达到阈值后，LB不再向该链路发送数据流。,提升2出口链路流量阈值保护,提升3出口故障或拥塞后流量牵引,电信-1G,联通-500M,目的IP为电信的流量,X,电信-1G,联通-500M,目的IP为电信的流量,950M,150M,1.1G,保护阈值950M,出口故障后流量牵引,出口拥塞后流量牵引,入方向链路负载均衡之“智能DNS功能”,ISP1,ISP2,ISP3,匹配，返回对应ISP的DNS-IP,负载均衡,Client,客户端访问网站

15、系统时如何请求到最快的域名IP地址？,用户源IP是否匹配某ISP表项？,就近探测最优链路,不匹配,返回最优ISP的DNS-IP,H3C网站,DNS请求逻辑图,Local DNS,Local DNS,记录上一跳功能（外部访问网内资源）,电信,联通,移动,请求报文,响应报文,X,响应报文,来回路径不一致问题： 1、跨网导致响应慢，用户体验差 2、如ISP开URPF，响应报文丢弃 解决方法-记录上一条： H3C负载均衡设备依据用户请求报文的五元组生成会话表，并把该会话表与入端口（物理或逻辑）对应关系记录成上一跳表项； 服务器响应报文会匹配到会话表，直接将响应报文从入接口发出去。,河南铁通出口链路解决

16、方案,2*10GE,链路1,链路2,FW+LB,链路1,链路2,FW,LB,链路1,链路2,链路3,内部流量均分至LB,联通,CRN,电信,S7610+ FW+LB,河南有线逐渐割接改造中,2010年原网络,2011年部分出口逐步改造,采用S7600系列虚拟化交换机插框通过LB插卡和FW插卡的配合完成两条联通线路的NAT出口改造。,S5800-60C-PWR,S5800-60C-PWR,S7506E+SecBlade FW +SecBlade IPS+SecBlade LB,CMNET省网汇聚路由器NE40E-A,CMNET,CMNET省网汇聚路由器NE40E-A,3G视频等数据业务预留区,自有业务区,基本业务区,增值业务区,维护管理区,IMC+NTA流量分析,流量清洗中心,S5800-60C-PWR,S5800-60C-PWR,S5800-60C-PWR,S7506E+SecBlade FW +SecBlade IPS+SecBlade LB,海南移动IDC,江苏有线信息中心IDC,江苏广电IDC作为江