收藏
下载资源

华为USG9500高端防火墙智能选路和负载均衡技术白皮书

上传人:飞****9 文档编号:131919915 上传时间:2020-05-10 格式:PDF 页数:19 大小:716.81KB
返回 下载 相关 举报
华为USG9500高端防火墙智能选路和负载均衡技术白皮书_第1页
第1页 / 共19页
华为USG9500高端防火墙智能选路和负载均衡技术白皮书_第2页
第2页 / 共19页
华为USG9500高端防火墙智能选路和负载均衡技术白皮书_第3页
第3页 / 共19页
华为USG9500高端防火墙智能选路和负载均衡技术白皮书_第4页
第4页 / 共19页
华为USG9500高端防火墙智能选路和负载均衡技术白皮书_第5页
第5页 / 共19页
点击查看更多>>
资源描述

《华为USG9500高端防火墙智能选路和负载均衡技术白皮书》由会员分享,可在线阅读,更多相关《华为USG9500高端防火墙智能选路和负载均衡技术白皮书(19页珍藏版)》请在金锄头文库上搜索。

1、 资料编码资料编码 华为华为USG9500高端防火墙高端防火墙 智能选路智能选路和和负载均衡负载均衡技术白皮书技术白皮书 文档版本文档版本 V1 0 发布日期发布日期 201402 华为技术有限公司华为技术有限公司 2014 8 19 华为机密 未经许可不得扩散 第 2 页 共 19 页 版权所有版权所有 华为技术有限公司华为技术有限公司 2009 保留一切权利 保留一切权利 非经本公司书面许可 任何单位和个人不得擅自摘抄 复制本文档内容的部分或全部 并不得 以任何形式传播 商标声明商标声明 和其他华为商标均为华为技术有限公司的商标 本文档提及的其他所有商标或注册商标 由各自的所有人拥有 注意

2、注意 您购买的产品 服务或特性等应受华为公司商业合同和条款的约束 本文档中描述的全部或部 分产品 服务或特性可能不在您的购买或使用范围之内 除非合同另有约定 华为公司对本文 档内容不做任何明示或默示的声明或保证 由于产品版本升级或其他原因 本文档内容会不定期进行更新 除非另有约定 本文档仅作为 使用指导 本文档中的所有陈述 信息和建议不构成任何明示或暗示的担保 华为技术有限公司 地址 深圳市龙岗区坂田华为总部办公楼 邮编 518129 网址 客户服务邮箱 support 客户服务电话 4008302118 2014 8 19 华为机密 未经许可不得扩散 第 3 页 共 19 页 目录目录 1

3、应用场景 4 2 负载均衡技术介绍 4 2 1 智能选路负载均衡技术 4 2 1 1 最小时延负载均衡 4 2 1 2 路由权重负载均衡 6 2 1 3 链路带宽负载均衡 7 2 2 内置ISP路由选路 8 2 3 出站透明DNS代理 9 2 4 智能DNS 10 2 5 服务器负载均衡 14 3 组网应用 16 3 1 企业出口多ISP选路 16 3 2 企业出口ISP多链路备份 17 3 3 企业内部服务器负载均衡 19 2014 8 19 华为机密 未经许可不得扩散 第 4 页 共 19 页 1 应用场景应用场景 随着业务发展的需要 许多企业通常会在网络出口部署多条链路以等值负 载分担的

4、方式来分担出接口流量 虽然在一定程度上提升了网络的稳定性和可 靠性 但是等值负载分担不会考虑链路的带宽差异 只是把流量在每条链路上 进行简单的平分 这样就可能会导致某些带宽性能较高的链路出现空闲 而某 些带宽性能较低的链路出现堵塞的情况 为了保证链路带宽的更充分 更合理 的利用 我们需要根据现网的实际情况考虑链路带宽的分配 业务选择哪条链路转发更加合适 如某些业务从A链路转发比从B链路转发 更迅速 而另外一些业务与之相反 是从B链路转发比从A链路转发要快 链路质量是否存在差异 如业务从A链路转发的总体效果比B链路要好 链路带宽是否存在差异 如A链路是高速链路 B链路是低速链路 从方向上来区分

5、就产生了2种智能选路场景 一是出站智能选路 企业 网络出口多链路之间的选路 一是入站负载均衡 对内部的服务器做流量负载 出站智能选路 企业从不同运用商获得多条出口链路 链路的带宽 质量 等都有所不通 怎样才能保证大部分用户的最佳访问效果 保证每个链路 带宽最大限度的利用 是规划链路资源需要考虑的问题 入站负载均衡 内部网络多个服务器之间的负载均衡 保证流量较平均地 分配到各个服务器上 避免出现一个服务器满负荷运转 另一个服务器却 空闲的情况 2 负载均衡技术介绍负载均衡技术介绍 2 1 智能选路负载均衡技术 2 1 1 最小时延负载均衡 企业从不同运营商获得多条出口链路 几条链路的总带宽足够企

6、业用户使 2014 8 19 华为机密 未经许可不得扩散 第 5 页 共 19 页 用 此时企业需要考虑的是用户业务流量从哪条链路转发的效果最好 用户访 问外网不同服务时选择哪条链路体验最佳 最小时延负载均衡工作模式 是通 过对比从不同链路访问外网服务器的时延大小 最终确定最优访问链路 可以 很好的满足这种场景的应用 如图1所示 访问服务器A时 因为链路A的时延最小 因此流量从出接口GE1 0 0访问服务器A 如果链路A的流量带宽达到设置的阈值 后续访问服务器A的流量会选择第二小的时 延链路 也就是图1中的链路B 最后是链路C 访问服务器B时 因为链路B的时延最小 因此流量从出接口GE1 0

7、1访问服务器B 如果链路B的流量带宽达到设置的阈值 后续访问服务器B的流量会选择第二小的时 延链路 也就是图1中的链路C 最后是链路A 访问服务器C时 因为链路C的时延最小 因此流量从出接口GE1 0 2访问服务器C 如果链路C的流量带宽达到设置的阈值 后续访问服务器C的流量会选择第二小的时 延链路 也就是图1中的链路A 最后是链路B 图图1 最小时延负载均衡应用场景图 2014 8 19 华为机密 未经许可不得扩散 第 6 页 共 19 页 最小时延负载均衡主要应用在用户上网体验要求较高的多出口场景 用户 流量根据系统探测的链路转发时延大小 选择时延最小的链路转发 让用户体 验到最佳的访问效

8、果 除此之外 管理员还可以根据网络实际情况的需要 静 态设置某些固定的访问从管理员要求的链路转发 这样可以更加灵活的控制流 量走向 让流量负载较小的链路分担部分流量负载过大链路的压力 2 1 2 路由权重负载均衡 企业从不同运用商获得多条出口链路 其中连接ISPA的链路稳定性最高 业务转发整体效果最好 其次是链路B 最差的是链路C 路由权重负载均衡模 式是通过在每条链路上设置路由权重值 根据权重值的比例来分配用户流量 能够满足此种多出口场景的应用 如图2所示 链路A设置的路由权重为50 占整个权重的一半 所以企业用户访问外网的流量一 半分配到链路A进行转发 如果链路A上的带宽流量达到设置的阈值

9、 则后续流量会 按照其它空闲链路的权重比例重新分配 链路B设置的路由权重为30 所以经过链路B转发的业务流量占到总体流量的30 如果链路B上的带宽流量达到设置的阈值 则后续流量会按照其它空闲链路的权重 比例重新分配 链路C设置的路由权重为20 所以经过链路C转发的业务流量最少 只占到总体流量 的20 如果链路C上的带宽流量达到设置的阈值 则后续流量会按照其它空闲链 路的权重比例重新分配 注意 流量的分配是按照每条链路设置的权重比例来分配的 如果链路A 链路B 链路C分别设置的权重为60 30和60 那么流量的分配是按照2 1 2的比例来 分配的 图图2 路由权重负载均衡应用场景图 2014 8

10、 19 华为机密 未经许可不得扩散 第 7 页 共 19 页 路由权重负载均衡主要应用在链路质量存在差异的多出口场景 质量最优 的链路分担的流量最多 这样可以在最大程度上保证大部分用户的访问效果 且不浪费其它链路的带宽 2 1 3 链路带宽负载均衡 企业从不同运用商获得多条出口链路 但链路的物理带宽不一样 每条链 路租用的带宽也不一样 为保证每个链路带宽最大限度的利用 可以选择链路 带宽负载均衡模式来分配带宽流量 链路带宽负载均衡是指当存在多条路由优 先级相同但物理带宽不同的链路时 用户流量按照物理带宽的比例分配到每条 链路上 当每条链路的承载到达了用户配置带宽阈值后 流量转发到其他空闲 链路

11、上 如USG9000与ISP1用1GE物理链路连接 用户租用了ISP1的100M带宽 那么物理带宽就是1G 用户配置带宽就是100M 如图3所示 三条链路中两条 是通过GE接口连接的 另外一条是通过10GE接口连接的 流量分配的比例为1 1 10 三条链路的用户带宽阈值分布为100M 100M 500M 正常情况下 链路A B C按照1 1 10的比例分配会话 同时USG9000 监控每条链路的实际带宽 如当A链路的带宽达到配置的带宽阈值100M时 而 2014 8 19 华为机密 未经许可不得扩散 第 8 页 共 19 页 B C链路未达到100M和500M 则新建会话的流量会按照物理带宽比

12、例1 10 负载分担给B C链路 图图3 链路带宽负载均衡应用场景图 链路带宽负载均衡主要应用在链路物理带宽存在差异的多出口场景 流量 的分配是按照链路物理带宽的比例来分配的 这样可以保证高速链路的最大利 用 且不浪费其它链路的带宽 2 2 内置 ISP 路由选路 如下图所示的等价路由多出口场景中 如果访问ISPB的流量从连接ISPA的 出接口上发送 则会影响报文转发效率 用户通过USG9000访问Server USG9000 会随机分配用户流量从不同的出接口转发 这就有可能出现下图所示的链路1 和里链路2两条链路 而链路2才是用户所期望的路线 2014 8 19 华为机密 未经许可不得扩散

13、第 9 页 共 19 页 通过ISP路由选路功能可以保证访问特定ISP网络的用户报文从相应的出接 口转发出去 让用户流量总是从最短路径转发 提升了用户的访问体验 USG9000自带有相应的ISP路由 已经预置下列运营商的ISP地址文件 china mobile csv 中国移动 china telecom csv 中国电信 china unicom csv 中国联通 china educationnet csv 中国教育网 该ISP地址文件可以直接使用 不用重新制作 也可以根据特殊的情况对ISP 路由的文件进行人工修改 满足组网要求 2 3 出站透明 DNS 代理 企业的内网用户在发起DNS请

14、求时 通常使用内置的DNS server地址 终 端PC内的DNS server地址包括为首选和备选 同一个私网内每个PC分配的DNS server首选地址相同 如电信DNS 这样每个PC向外发起DNS请求时 都会 向电信DNS server请求地址 得到的都是电信的网络地址 这样PC向外发起网 络连接时都是向电信ISP链路发起 当企业出口租用了多个运营商ISP链路时 如果DNS请求都是向电信发起 那么按照目的地址选路 上网的流量都拥向电信ISP链路 这样电信的ISP链路 过于拥挤 而联通的ISP链路出于闲置状态 无法最大化利用出口租用的带宽 2014 8 19 华为机密 未经许可不得扩散 第

15、 10 页 共 19 页 USG9500提出了出站透明DNS代理功能 会根据ISP链路配置的带宽阈值对 链路进行监控 当某个链路的带宽到达一定的上限后 会调整DNS请求报文 将DNS server地址强制性改变成带宽充足的ISP方向 如首选DNS server是电信 地址 当电信链路达到阈值时 USG9500在网络出口处强制改变DNS server为 联通的DNS server地址 后续报文请求到的DNS地址为联通的地址 后续流量 目的地址指向联通 达到减轻电信ISP链路的目的 2 4 智能 DNS 根据企业内网部署的Web服务器地址数量不同 智能DNS可以分成单服务 器智能DNS和多服务器智

16、能DNS两个场景 单服务器智能单服务器智能DNS 如图1所示 企业或数据中心一般都通过多条链路连接到多个ISP网络 但 有时只会公布一个服务器地址 例如2 2 2 10 为其中一个ISP的用户 例如ISP2 用户 提供Web访问服务 企业或数据中心的DNS服务器上存在Web服务的域 名与这个服务器地址的对应关系 当其他ISP的用户 例如ISP1用户 通过域名访问企业的Web服务 例如 时 首先会向企业内的DNS服务器发起DNS请求 DNS服务器 解析并返回的服务器地址 ISP2服务器地址2 2 2 10 与用户自身的地址 ISP1 2014 8 19 华为机密 未经许可不得扩散 第 11 页 共 19 页 用户地址1 0 0 1 是属于不同ISP网络的 这样就会导致该用户 ISP1用户 实 际访问企业的Web服务时 需要先绕道到服务器所属的ISP网络 ISP2网络 才 能到达服务器 从而增加了业务访问延迟 并且增加了ISP间流量的结算成本 而且所有外网用户访问企业Web服务时都需要通过服务器所属的ISP网络 ISP2网络 这很可能导致设备连接这个ISP网络的链路 ISP2链路 拥塞 而

展开阅读全文
相关资源
相关搜索

当前位置:首页 > IT计算机/网络 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号