收藏
下载资源

f5 networks多出口链路负载均衡解决方案

上传人:第*** 文档编号:31326814 上传时间:2018-02-06 格式:DOC 页数:12 大小:259.50KB
返回 下载 相关 举报
f5 networks多出口链路负载均衡解决方案_第1页
第1页 / 共12页
f5 networks多出口链路负载均衡解决方案_第2页
第2页 / 共12页
f5 networks多出口链路负载均衡解决方案_第3页
第3页 / 共12页
f5 networks多出口链路负载均衡解决方案_第4页
第4页 / 共12页
f5 networks多出口链路负载均衡解决方案_第5页
第5页 / 共12页
点击查看更多>>
资源描述

《f5 networks多出口链路负载均衡解决方案》由会员分享,可在线阅读,更多相关《f5 networks多出口链路负载均衡解决方案(12页珍藏版)》请在金锄头文库上搜索。

1、F5 Networks 多出口链路负载均衡解决方案 来源: 日期:2010-1-17一多出口链路负载均衡需求分析为了保证 XXXX 出口链路的高可用性和访问效率,举例计划拥有两条线路:一条中国网通链路,一条中国电信链路。F5 公司的多链路负载均衡设备(Linkcontroller )能够提供独具特色的解决方案,不但能够充分利用这两条链路(双向流量按照预设的算法分担到不同的链路上,一旦一条链路不通的情况下,能够无缝切换到另外一条可用链路上);而且可以根据对不同链路的侦测结果,将最快速的链路提供给外部用户进行响应,从而解决目前广泛存在的多个 ISP 之间的互联互通问题 。具体解决方案特色如下: 提

2、供内网至 internet 流量的负载均衡(Outbound ) 实现从 Internet 对服务器访问流量的负载均衡(Inbound) 支持自动检测和屏蔽故障 Internet 链路 支持多种静态和动态算法智能均衡多个 ISP 链路的流量 支持多出口链路动态冗余,流量比率和切换 支持多种 DNS 解析和规划方式,适合各种用户网络环境 支持 Layer27 交换和流量管理控制功能 完全支持各种应用服务器负载均衡,防火墙负载均衡 多层安全增强防护,抵挡黑客攻击 业界领先的双机冗余切换机制,能够做到毫秒级切换 详细的链路监控报表,提供给网络管理员直观详细的图形界面 对于用户完全透明 对所有应用无缝

3、支持 业界优异的硬件平台和性能 稳定,安全的设备运行记录二多出口链路负载均衡解决方案概述2.1 多出口链路负载均衡网络拓朴设计下面是专门为 XXXX 设计的多出口链路负载均衡网络拓扑图(单机版)。下面是专门为 XXXX 设计的多出口链路负载均衡网络拓扑图(双机冗余版)。2.2 方案描述此方案中,分别设计单台链路负载均衡和双机冗余链路负载均衡两种网络拓扑,供 xx政府信息中心选择。考虑到链路负载均衡在网络构架中的位置,以及今后的扩展性,建议采用 F5 公司的 Linkcontroller 2400 两台(当然,如果不考虑双击冗余,也可以采用一台 F5 Linkcontroller 2400),

4、提供两条出口链路(中国网通和中国电信)的负载均衡,其中两条Internet 出口链路都通过普通网线或光电转换器与 Linkcontroller 2400 连接(如果双机冗余,需要从每个 ISP 引进两根进线,可以在 Linkcontroller 2400 前面放置一台二层交换机做端口拓展),Linkcontroller 2400 与两台冗余的防火墙通过网络端口连接。两台Linkcontroller 2400 互为冗余。通过这样的优化后,系统具有以下特征:结构合理:整个网络结构布局合理,层次分明,便于管理与维护。可用性高: Linkcontroller 动态检查各条出口链路的健康状态,并将下一个

5、请求分配给最有效率的链路,任何一条链路发生故障时,LINKCONTROLLER 即刻将请求分配给其他的链路,从而达到 99.999%系统有效性。安全性高: LINKCONTROLLER 支持地址翻译技术和安全地址翻译,这样一来客户不可能知道真正提供服务的服务器的 IP 地址与端口,LINKCONTROLLER 采用 SSH 和 SSL技术,可以防止来自内部或互联网上的黑客攻击。效率高: LINKCONTROLLER 可以智能寻找最佳的出口链路,从而保证客户得到最快的上网访问速度。可扩展性高: LINKCONTROLLER 可以支持动态增加或删除其负载均衡的链路群组的任何数量的链路,而不需要对客

6、户端或后台做任何改变从而使得系统扩展轻松方便。可管理性高: LINKCONTROLLER 可以实时监控整个链路群组的流量状态,并分析发展趋势帮助客户及时根据流量增长增加出口带宽。保护投资: LINKCONTROLLER 还免费带有服务器负载均衡和防火墙负载均衡的功能。 2.3 方案优点2.3.1 拓扑结构方面1) 可以轻松形成全冗余连接方法, 保证网络没有单点故障的存在。2) 提供多出口链路的负载均衡,今后,通过免费无缝拓展,可以对各种应用服务器,防火墙/VPN/IDS 等网络设备全部可以采用负载均衡方式处理网络流量,提高网络服务能力和投资回报率。3) 比较少的网络层次,较少网络延迟,避免运行

7、维护时面对大量网络设备。4) 灵活的扩展空间, 用户可以根据实际的网络流量和压力增加带宽,增加链路, 添加防火墙或增加服务器来提高整体的服务水平。2.3.2 安全机制方面1) HTTPS,SSH 等加密的网络管理, 避免明码通讯对网络设备控制时的安全隐患。2) F5 的 VIP 一旦配置成功,服务的 TCP/UDP 端口也就同时确认,除特定服务外,其他的端口就全部被封闭了,保护服务器避免被端口扫描.3) 在防止 DOS 攻击方面,F5 提供免费的防护 , 特别对于 Ping of Death , F5 的 VIP 一旦规定成功就对 Ping 包做中继处理, 避免攻击对服务器的压力.并且,F5

8、具备攻击回收技术,同时可以设置在资源消耗在 97%(可设)时重启,切换到备份设备工作。三技术实现3.1 F5 多出口链路负载均衡(产品选型: Linkcontroller 2400)Linkcontroller 2400 的特色: 提供内网至 internet 流量的负载均衡(Outbound ) 实现从 Internet 对服务器访问流量的负载均衡(Inbound) 支持自动检测和屏蔽故障 Internet 链路 支持多种静态和动态算法智能均衡多个 ISP 链路的流量 支持多出口链路动态冗余,流量比率和切换 支持多种 DNS 解析和规划方式,适合各种用户网络环境 支持 Layer27 交换和

9、流量管理控制功能 完全支持各种应用服务器负载均衡,防火墙负载均衡 多层安全增强防护,抵挡黑客攻击 业界领先的双机冗余切换机制,能够做到毫秒级切换 详细的链路监控报表,提供给网络管理员直观详细的图形界面 对于用户完全透明 对所有应用无缝支持 业界优异的硬件平台和性能 稳定,安全的设备运行记录技术实现原理:下图是一个典型的 F5 多出口链路负载均衡解决方案的应用案例。图中 F5 多链路负载均衡设备通过 ISP1 和 ISP2 接入 Internet。每个 ISP 都分配给该网络一个 IP 地址网段,假设 ISP1 分配的地址段为 100.1.1.0/24,ISP2 分配的地址段为200.1.1.0

10、/24(此处的 200.1.1.0/24 表示网络 IP 地址段为:200.1.1.0,子网掩码为 24 位,即 255.255.255.0)。同样, Internet 知道通过 ISP1 访问 100.1.1.0/24,通过 ISP2 访问200.1.1.0/24。网络中的主机和服务器都属于私有网段 192.168.1.0/24。多链路负载均衡设备解决方案就是在内部交换机和连接 ISP 的路由器之间,跨接一台多链路负载均衡设备应用交换机,所有的地址翻译和 Internet 链路优化全部由多链路负载均衡设备来完成。如果网络中有防火墙,也可以选择由防火墙来做地址翻译。3.2 Outbound 流

11、量负载均衡实现原理F5 多链路负载均衡设备主要采用以下几种技术来处理 Outbound 流出流量。Default Gateway Pool在 Default Gateway Pool 中,定义相应的 ISP 对端路由器地址,作为负载均衡的对象,并且可以捆绑健康检查,负载均衡算法以及会话保持等属性。Default Gateway Pool 中的 Nodes 定义为多个 F5 多链路负载均衡设备的缺省路由。IRules对于复杂的链路选择需求,可以使用 F5 独有的 irules 来定义。Wildcart Virtual ServerWildcart Virtual Server0.0.0.0:0/

12、internal,Wildcart Virtual Server 是指 0.0.0.0 这个特殊的虚拟服务器,一般用于捆绑 Default Gateway Pool。SNAT/SNAT Automap对于 Outbound 流量的地址翻译, F5 多链路负载均衡设备使用了称为 SNAT 的方法。当选定一个路由器(某一个 ISP)传送 Outbound 流量时,多链路负载均衡设备将选择该ISP 提供的地址。在上图中,如果多链路负载均衡设备选择 ISP1 作为 Outbound 流量的路径,则它将把内部的主机地址 192.168.1.A 翻译为 100.1.1.A,并作为 Outbound 数据包

13、的源地址。同样,如果多链路负载均衡设备选择 ISP2 作为 Outbound 流量的路径,则它将把内部的主机地址 192.168.1.A 翻译为 200.1.1.A,并作为 Outbound 数据包的源地址。当 F5 多链路负载均衡设备定义:将内部的主机地址翻译为 Vlan Self-IP 时,即100.1.1.A=100.1.1.2,200.1.1.A200.1.1.2 时,称为 SNAT Automap。3.3 Inbound 流量负载均衡实现原理F5 多链路负载均衡设备主要采用以下几种技术来处理 Inbound 流入流量。DNS 解析器(Wide IP)Inbound 流量负载均衡的核心

14、技术是 DNS 解析的问题。外部用户访问在 DNS 请求时,就通过 F5 多链路负载均衡设备获知了链路的健康状况和链路优先选择,这样多链路负载均衡设备必须承担部分 DNS 的功能,以便返回给用户相应的访问 IP 地址。F5 多链路负载均衡设备支持 A 记录和*记录解析。Wide IP 可以捆绑各种 Inbound 负载均衡算法:Completion Rate,Global Availability,hops ,kilobytes/second ,leastconnections,Packet Rate,Quality of Service,Random,Ratio, RoundRobin,Ro

15、und Trip Time,Static Persist,VS Capacity。Virtual Server/Network Virtual Server/Transparent Virtual Server由于所有的 F5 多链路负载均衡设备可以兼做服务器负载均衡,因此 F5 返回给用户DNS 解析是 Virtual Server;对于一些特殊的场合,需要配置一些特殊的 Virtual Server,例如:Network Virtual Server 以及 Transparent Virtual Server。Forwarding Pool有的情况下,既不需要地址翻译,有不需要服务器负载均衡,但是又需要 pool 的一些特性时(例如:Auto Lasthop),必须配置 Forwarding Pool。Lasthop pool/Auto LasthopF5 的 Lasthop 功能,称为基于连接的路由,用在 F5 处理数据包回应时,会根据上一跳路由设备的 MAC 地址

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号