《多链路及服务器负载均衡》由会员分享,可在线阅读,更多相关《多链路及服务器负载均衡(25页珍藏版)》请在金锄头文库上搜索。
1、多链路及服务器负载均衡方案建议书目录一概述3二用户需求32.1 系统总体目标32.2系统功能需求42.3系统性能需求52.4 系统安全性需求52.5 可管理性需求52.6 网络安全需求6三 需求分析63.1 多链路的负载均衡和冗余63.2 系统高可用性73.3 高度的安全性73.4 系统管理83.5 其它9四方案设计94.1 网络拓扑图94.2方案设计描述10五关键技术介绍125.1 链路负载均衡技术特点125.1.1 LinkController工作原理125.1.2 链路负载均衡算法125.1.3 链路健康检查135.1.4 UIE + iRules145.1.5 带宽管理155.1.6
2、HTTP流量压缩155.1.7 设备自身冗余机制165.1.8 API接口-iControl介绍175.2 Cisco ASA5500系列防火墙技术特点21六新购设备226.1 F5 BIG-IP LTM 1600参数236.2 CISCO ASA5520-DC-K8 参数24七F5专业服务条款24八设备清单及报价25一概述 随着企业开始更多地使用互联网来交付其关键业务应用,只保持一条到公共网络的连接链路则意味着频繁的单点故障和脆弱的网络安全性。BIG-IP链路控制器可以无缝地监控多条WAN连接的可用性与性能,以智能地管理到某一站点的双向流量,从而提供出色的容错性和优化的互联网访问,保证关键业
3、务的稳定运行。二用户需求2.1 系统总体目标系统建设的总体目标为:1高性能:采用丰富的负载均衡算法对多链路、防火墙、服务器进行负载均衡,使流量得以合理分配,从而保证系统的整体性能得以大幅度提升。2高可靠性:保证系统运行稳定,单一设备故障不能影响系统的正常运行。3高安全性:构建安全防预体系,防御网络攻击。4良好的系统扩充能力,随着访问量的增加能够满足系统不断扩充的需求。5系统具有良好的可管理性。6丰富的会话保持策略能够满足灵活多样的动态调整。7通过中文的监视平台,方便直观地管理与监视应用的状态及健康状况。2.2系统功能需求作为服务系统的核心,负载均衡系统必须满足以下业务需求:1冗余的系统实施方案
4、,任何单点故障不影响系统的正常运营在接入系统的设计中,对于所有的设备,均采用冗余设计和实施,充分考虑到各种设备和线路的中断或故障情况,在发生故障时系统能迅速切换,保证系统的正常运营。2链路的负载均衡和冗余:要求在正常情况下将用户对外的访问流量负载均衡到多条链路上,在某链路故障时自动将其流量切换到另外的链路,自动的透明容错,当链路恢复时自动将其加入到负载均衡中来。3防火墙的负载均衡:对两台防火墙进行负载均衡,包括External、Internal、DMZ区的负载均衡。要求在正常情况下两台防火墙上的流量是均衡的,在某台防火墙故障时自动将其流量切换到另外的防火墙,自动的透明容错,当故障的防火墙恢复时
5、自动将其加入到负载均衡中来。4设备自身的高可用性设备自身需要具备高可用性,能够在双机冗余模式下工作,冗余切换迅速。5带宽管理 提供基于IP地址或特定应用的带宽控制功能,针对某一IP地址或特定应用限制或者保证一定的网络带宽,保证关键应用的稳定运行。6升级能力负载均衡产品应当具有良好的系统和软件升级能力。7SSL加速 集中处理SSL加解密的工作,减轻服务器处理SSL的负担,搭建高性能的电子商务平台。 服务器状态监测,动态监测服务器状态。2.3系统性能需求系统的整体系统响应时间、整体系统性能和故障切换能力应达到或高于以下要求:1能够在一定的访问压力下提供正常服务;2单台设备出现故障后,冗余设备能达到
6、毫秒级切换;3系统稳定性强,系统响应时间(例如服务器故障后负载均衡对故障的反映)短(几秒钟之内)。2.4 系统安全性需求1负载均衡产品本身具有良好的系统安全性,不存在安全漏洞;2产品提供安全的访问管理环境;3具有一定的安全防护能力,协助防火墙和其他IDS设备构建动态防御体系,防御网络常见攻击,提高系统整体的安全防护能力。2.5 可管理性需求在可管理性方面,需要具备以下几点:1机架式机箱;2客户端中文管理软件能够方便地安装到流行的操作系统上(如WinXP,Win2K等);3提供有效的关于用户、流量等的报表、统计工具;4提供有效的备份恢复手段;5提供有效的故障报警手段;6提供有效的系统监控手段并为
7、通用的监控工具(如OpenView,Tivoli)提供接口;7系统的配置管理方便,系统报告的可用性强,能提供完善的访问统计和流量管理;8能够提供GUI的良好的维护界面和日常维护方案;9加密通讯,保证安全的设备管理。2.6 网络安全需求网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听;服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要,采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。三 需求
8、分析3.1 多链路的负载均衡和冗余与互联网络相关的关键业务都需要安排和配置多条ISP接入链路以保证网络服务的质量,消除单点故障,减少停机时间。多条ISP接入的方案并不是简单的多条不同的广域网络的路由问题,因为不同的ISP有不同自治域,所以必须考虑到两种情况下如何实现多条链路的负载均衡:内部的应用系统和网络工作站在访问互联网络的服务和网站时如何能够在多条不同的链路中动态分配和负载均衡,这也被称为OUTBOUND流量的负载均衡。互联网络的外部用户如何在外部访问内部的网站和应用系统时也能够动态的在多条链路上平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路到达服务器和应用系统,这也被称
9、作为INBOUND流量的负载均衡。F5 的LinkController可以智能的解决以上两个问题: 对于OUTBOUND流量,LinkController接收到流量以后,可以智能的将OUTBOUND流量分配到不同的INTERNET接口,并做源地址的NAT,可以指定某一合法IP地址进行源地址的NAT,也可以用LinkController的接口地址自动映射,保证数据包返回时能够正确接收。 对于INBOUND流量,LinkController分别绑定两个ISP 服务商的公网地址,解析来自两个ISP服务商的DNS解析请求。LinkController不仅可以根据服务器的健康状况和响应速度回应LDNS相
10、应的IP地址,还可以通过两条链路分别与LDNS建立连接,根据RTT时间判断链路的好坏,并且综合以上两个参数回应LDNS相应的IP地址。3.2 系统高可用性系统高可用性主要可以从以下几个方面考虑:1设备自身的高可用性:F5 BIG-IP专门优化的体系结构和卓越的处理能力保证99.999%的正常运行时间,在双机冗余模式下工作时可以实现毫秒级切换,保证系统稳定运行,另外还有冗余电源模块可选。在采用双机备份方式时,备机切换时间最快会在200ms之内进行切换。BIG-IP 产品是业界唯一的可以达到毫秒级切换的产品, 而且设计极为合理,所有会话通过Active 的BIG-IP 的同时,会把会话信息通过同步
11、数据线同步到Backup的BIG-IP,保证在Backup BIG-IP内也有所有的用户访问会话信息;另外每台设备中的watchdog芯片通过心跳线监控对方设备的电频,当Active BIG-IP故障时,watchdog会首先发现,并通知Backup BIG-IP接管Shared IP,VIP等,完成切换过程,因为Backup BIG-IP中有事先同步好的会话信息,所以可以保证访问的畅通无阻。2链路冗余:BIG-IP可以检测每条链路的运行状态和可用性,做到链路和ISP故障的实时检测。一旦出现故障,流量将被透明动态的引导至其它可用链路。通过监控和管理出入数据中心的双向流量,内部和外部用户均可保持
12、网络的全时连接。3服务器冗余,多台服务器同时提供服务,当某一台服务器故障不能提供服务时,用户的访问不会中断。BIG-IP可以在OSI七层模型中的不同层面上对服务器进行健康检查,实时监测服务器健康状况,如果某台服务器出现故障,BIG-IP确定它无法提供服务后,就会将其在服务队列中清除,保证用户正常的访问应用,确保回应内容的正确性。3.3 高度的安全性 BIG-IP采用防火墙的设计原理,是缺省拒绝设备,它可以为任何站点增加额外的安全保护,防御普通网络攻击。可以通过支持命令行的SSH或支持浏览器管理的SSL方便、安全的进行远程管理,提高设备自身的安全性;能够拆除空闲连接防止拒绝服务攻击;能够执行源路
13、由跟踪防止IP欺骗;拒绝没有ACK缓冲确认的SYN防止SYN攻击;拒绝teartop和land攻击;保护自己和服务器免受ICMP攻击;不运行SMTP、FTP、TELNET或其它易受攻击的后台程序。 BIG-IP的Dynamic Reaping特性可以高效删除各类网络DoS攻击中的空闲连接,这可以保护BIG-IP不会因流量过多而瘫痪。BIG-IP可以随着攻击量的增加而加快连接切断速率,从而提供一种具有极强适应能力、能够防御最大攻击量的解决方案。 BIG-IP的Delay Binding技术可以为部署在BIG-IP后面的服务器提供全面地SYN Flood保护。此时,BIG-IP设备作为安全代理来有
14、效保护整个网络。 BIG-IP可以和其它安全设备配合,构建动态安全防御体系。BIG-IP可以根据用户单位时间内的连接数生成控制访问列表,将该列表加载到其它安全设备上,有效控制攻击流量。3.4 系统管理 BIG-IP提供HTTPS、SSH、Telnet、SNMP等多种管理方式,用户客户端只需操作系统自带的浏览器软件即可,不需安装其它软件。可以通过支持命令行的SSH或支持浏览器管理的SSL方便、安全的进行远程管理。直观易用的Web图形用户界面大服务降低了多归属基础设施的实施成本和日常维护费用。BIG-IP包含详尽的实时报告和历史纪录报告,可供评测站点流量、相关ISP性能和预计带宽计费周期。管理员可
15、以通过全面地报告功能充分掌握带宽资源的利用状况。另外,通过F5 的i-Control 开发包,目前国内已有基于i-Control开发的网管软件x-control, 可以定制针对系统服务特点的监控系统,比如服务的流量情况、各种服务连接数、访问情况、节点的健康状况等等,进行可视化显示。告警方式可以提供syslog、snmp trap、mail等方式。3.5 其它 BIG-IP内置i-Control SDK二次开发包,可以通过API接口方便的取得各种流量统计信息,作为计费的依据。在Web用户界面上面也可以方便的查看各种流量统计信息,如果需要按照流量计费,可以使用以上两种方式取得流量的统计信息。F5 NETWORKS免费提供安装在服务器端、动态获取服务器信息的agent软件,将其安装在服务器端以后,就可以动态
