<address id="vd555"><nobr id="vd555"></nobr></address>
<form id="vd555"></form>

<p id="vd555"></p>
    <form id="vd555"><th id="vd555"><track id="vd555"></track></th></form>

    <noframes id="vd555">

    <address id="vd555"><form id="vd555"><th id="vd555"></th></form></address>
    <address id="vd555"></address>

    電話咨詢

    PHONE CONSULTING

    400-850-3690

    售前服務

    ONLINE CONSULTING
    QQ客服 QQ客服

    售后服務

    ONLINE CONSULTING
    在線客服
    資源中心 SORCE
    用戶名:
    密 碼:
    資源中心
    您當前所在的位置:首頁 > 資源中心 > 詳細信息

    文件名稱:F5鏈路負載均衡解決方案
    下載分類:應用交付網絡
    瀏覽次數:31 次
    上傳時間:2015-1-18

    簡介:
    一、網絡化應用帶來的問題 

    近年來,隨著Internet的發展及普及,越來越多的企業和機構將他們的關鍵業務應用于互聯網上。在網絡帶給人們方便快捷的同時,網絡訪問的其他問題也相應而出:各種高帶寬的應用(視頻、音頻、VOIP)及其他無關程序對帶寬的爭用,導致網絡的發展永遠跟不上對帶寬需求的發展;鏈路的不穩定性導致一旦鏈路中斷,整個企業的網絡應用隨之癱瘓;各個ISP之間互聯互通的限制,導致南北訪問速度相差達幾十倍;網絡攻擊的發展及難以追蹤的特性(尤以DDOS為甚),導致企業的網上應用隨時面臨巨大的風險。這些問題的出現給網絡提出了快速、安全、高可用的較高要求。  


    二、問題的分析 

    2.1 單一鏈路的單點故障問題  在一個單鏈路接入Internet的網絡中,一個或多個DNS服務器對于同一個域名均解析為同一個地址。在該種網絡結構之中,無論主機系統、網絡系統的規劃有多么完美,完全的排除了應用瓶頸和單點故障,都還存在一個非常明顯的單點故障,就是網絡接入部分的方案不夠完整,一旦網絡接入部分鏈路出現中斷就意味著所有應用的中斷。  

    2.2 Internet用戶訪問快慢的差異  隨著國內最大的Internet接入提供商Chinanet被拆分為北方China Netcom 和南方China Telecom之后,兩方資源的互訪受到了很大程度的影響。其出現的根本原因為南北網絡的互通互聯接點擁塞,造成用戶丟包、延遲較大,從而導致訪問緩慢,甚至對于一些應用根本無法訪問。

     

    三、F5公司的Link Controller多接入鏈路解決方案

    3.1、多鏈路設計結構圖


    3.2、網絡出口結構建議

    我們建議采用一對F5 Link controller設備接在兩個出口鏈路處,實現由內向外和由外向內的出入站流量負載均衡。由外向內的inbound訪問的智能性,通過Link controller提供的智能DNS解析功能,實現對兩條鏈路的負載均衡。Link controller可以通過實時監控兩條鏈路的負載狀況及其健康狀況,也可以根據當前鏈路的負載情況,用戶所處的位置ip地址或用戶的特殊要求進行相應域名解析,指引用戶從最快的、最好的、最近的路徑訪問到企業的站點。這里我們建議采用靜態負載(Topology)和動態負載(RTT)相結合的方式, 使得方案更能滿足客戶是實際需求,當用戶是來自國內的用戶,F5設備的Class中能查到它是來自哪家運營商的地址,這時F5的設備將采用靜態的算法給用戶端一條最快的鏈路, 如果用戶不是來自國內, 是來自國外的用戶, F5設備將采用動態算法(RTT), 去探測用戶的LDNS, 然后算出來一個最佳路徑并提供給用戶, 這樣從用戶端, 不論是來自國內還是來自國外的用戶都能得到一條最佳的路徑來訪問用戶企業網站。

    用戶在進行由內向外的outbound訪問時,由F5 Link controller提供智能的鏈路選擇,實現對兩條鏈路的負載均衡。F5 LC可以通過實時監控兩條鏈路的負載狀況及其健康狀況來保證鏈路的高可用性,同時可以根據當前鏈路的負載情況,用戶想要訪問的IP地址等信息進行鏈路選擇,指引用戶從最快的、最好的、最近的路徑訪問INTERNET,另外考慮到帶寬等,我們可以在F5 LC上通過添加策略來實現指定用戶走指定鏈路,只有當此鏈路出問題時會自動切換到其他好的鏈路上。

    方案特點

    1、從整體結構上來看,對入站鏈路選擇進行了優化,解決了服務器互訪慢的問題,使得web服務提高了響應速度,由于鏈路的優化從而改善了這些服務的的響應速度,國內用戶和國外用戶通過F5設備的均衡最終能得到一個相對最佳的鏈路,保證了內部服務從外網訪問能通過一條最快的鏈路,大大提升了網絡響應速度.

    2、采用F5LC,同時也解決了出站時的鏈路優化和當其中某個鏈路中斷時,自動切換到其他的鏈路上去的功能,另外在BIGIP上設置不同網段的鏈路選擇,如:可以將一段地址網絡只走某一條鏈路,其他的地址走另外的鏈路,當此鏈路中斷時,BIGIP把所有流量切換到好的鏈路上。

    3、另外F5 LC還同時具備服務器負載均衡的能力,可以解決企業原有的服務器性能不足的問題。

    3.3技術實現原理

    出站連接

    為了向企業用戶訪問互聯網資源時提供高可性,LC使用default gateway poolSNAT(安全網絡地址轉換)將流量動態導向最佳鏈路。Default gateway pool包含了多個網關,F5 LC將根據負載均衡算法選擇一個最優網關,將當前數據發送到該網關,從而發送到對應ISP。SNAT提供了一個安全機制,可將不能路由內部地址轉換為可路由的地址,并將流量導向合適的上游網關路由器。利用LC的智能流量管理功能,可替代防火墻的NAT功能,并保證流量可以通過與WAN或互聯網的最佳連接往返發送。 另外LC可以利用rules功能實現類似策略路由的功能,LC可以根據數據源地址或目的地址來選擇路徑,從而實現outbound流量的最優鏈路選擇,避免針對某些鏈路的站點收費問題。

    入站連接

    為了保證用戶可以在24*7并且提高用戶的訪問速度,LC可以通過智能DNS解析功能,動態選擇最佳鏈路,將外部用戶導向駐留在站點中的資源。LC上可以配置多個VLAN,分別綁定多個ISP 服務商的公網地址,解析來自互聯網用戶的地址解析請求。后臺服務器則由LC 做成集群和虛擬化成針對ISP A的虛擬服務器Virtual Server 1 ISP B的虛擬服務器Virtual Server 2 ,這樣對于每個用戶到來的請求, LC都會分別檢測后臺服務器的狀態并選擇最佳的鏈路提供服務,達到用戶的就近性訪問及服務器的負載均衡。LC在回應客戶的DNS解析請求時可以采用15種動態或者靜態的決策方法中的任何一種方法并檢測鏈路的實際狀態將復合客戶要求的最佳狀態的鏈路的服務器公網地址返回給客戶端從而達到多鏈路動態負載均衡的效果。

    3.4 技術實現原理講解 
       3.4.1 鏈路的健康檢查 
        如何有效地確定鏈路以及提供對外服務的服務器、應用、內容的狀態,是提高系統可靠性的關鍵。BIGIP link controller利用其獨到的、高效的“健康檢測”手段,識別服務器、應用、內容的狀態。它們包括L2~L3的icmp檢查,L4的tcp/udp port檢查,L7的ECV檢查和用戶可以任意定制的EAV檢查等多種方法如何有效地確定鏈路以及提供對外服務的服務器、應用、內容的狀態,是提高系統可靠性的關鍵。BIGIP link controller利用其獨到的、高效的“健康檢測”手段,識別服務器、應用、內容的狀態。它們包括L2~L3的icmp檢查,L4的tcp/udp port檢查,L7的ECV檢查和用戶可以任意定制的EAV檢查等多種方法。

    ECV是一種非常復雜的服務檢查,主要用于確認應用程序能否對請求返回對應的數據。如果一個應用對該服務檢查作出響應并返回對應的數據,則BIGIP控制器將該服務器標識為工作良好。如果服務器不能返回相應的數據,則將該服務器標識為宕機。宕機一旦修復,BIGIP就會自動查證應用已能對客戶請求作出正確響應并恢復向該服務器傳送。該功能使BIGIP可以將保護延伸到后端應用如Web內容及數據庫。BIGIP的ECV功能允許您向Web服務器、防火墻、緩存服務器、代理服務器和其它透明設備發送查詢,然后檢查返回的響應。這將有助于確認您為客戶提供的內容正是其所需要的。

    3.4.2 依據鏈路健康狀態和流量來均衡處理DNS 解析

    在確定了ISP接入鏈路的連通狀態后, linkcontroller 可以根據ISP鏈路的實際流量,鏈路品質等因素來進行智能的DNS解析處理,如果出現某ISP鏈路中斷的情況, 在確認后及時的改變DNS解析的內容, 將中斷鏈路的IP 地址從DNS解析列表中刪除, 保證解析出的地址都一定是可以訪問得到的可用地址。

    3.4.3 系統切換時間 
        在采用DNS實現鏈路切換時,系統的切換時間主要取決于每個域名的TTL時間設置。在LinkControl系統里,每個域名如www.f5.com均可設置對應的TTL生存時間。在用戶的LocalDNS得到域名解析紀錄后,將在本地在TTL設定時間內將該域名解析對應紀錄進行Cache,在Cache期間所有到該LocalDNS上進行域名解析的用戶均將獲得該紀錄。在TTL時間timeout之后,如果有用戶到LocalDNS上請求解析,則此LocalDNS將重新發起一次請求到LinkController上獲得相應紀錄。

    因此,當單條線路出現故障時,LinkController將在系統定義的檢查間隔(該時間可自行定義)內檢查到線路的故障,并只解析正常的線路側地址。但此時在LocalDNS上可能還有未過時的Cache紀錄。在TTL時間timeout之后,該LocalDNS重新發起請求的時候就將從LinkController上獲得正確的解析,從而引導用戶通過正常的線路進行訪問。系統檢測間隔加上TTL時間之和則為系統切換的最長時間。通常,系統檢測間隔設置為60秒,而TTL時間設置為600秒,所以系統切換的整體時間為11分鐘。

    3.4.4 LinkController替代現有的DNS服務器 
        LinkController在實現雙鏈路時的Inbound流量時,要求將DNS的最終解析權交由LinkControllerp完成,建議將站點的所有域名解析均放置到LinkController上進行解析,優點是可以充分利用LinkController的動態用戶引導和強大的圖形化管理界面。

    3.4.5 注冊多一個NS記錄 
        LinkController取代現在DNS服務器后,需在上一級DNS服務器中添加一個新的NS記錄,即指向新增加鏈路中的LinkController的IP地址。這樣,對應一個域名,將產生兩個不同ISP的NS記錄。

    3.4.6 服務器負載均衡 
        LinkController在實現鏈路負載均衡的同時,企業可以免費得到該款產品提供的服務器負載均衡功能,為服務器提供高可用性及高性能的保證。

    LinkControl提供11種靈活的算法將數據流有效地轉發到它所連接的服務器群。而面對用戶,只是一臺虛擬服務器。用戶此時只須記住一臺服務器,即虛擬服務器。但他們的數據流卻被BIGIP靈活地均衡到所有的服務器。這11種算法包括:

    ◆ 輪詢(Round Robin):順序循環將請求一次順序循環地連接每個服務器。當其中某個服務器發生第二到第7層的故障,BIGIP就把其從順序循環隊列中拿出,不參加下一次的輪詢,直到其恢復正常。

    ◆ 比率(Ratio):給每個服務器分配一個加權值為比例,根椐這個比例,把用戶的請求分配到每個服務器。當其中某個服務器發生第二到第7層的故障,BIGIP就把其從服務器隊列中拿出,不參加下一次的用戶請求的分配,直到其恢復正常。

    ◆ 優先權(Priority):給所有服務器分組,給每個組定義優先權,BIGIP用戶的請求,分配給優先級最高的服務器組(在同一組內,采用輪詢或比率算法,分配用戶的請求);當最高優先級中所有服務器出現故障,BIGIP才將請求送給次優先級的服務器組。這種方式,實際為用戶提供一種熱備份的方式。

    ◆ 最少的連接方式(Least Connection):傳遞新的連接給那些進行最少連接處理的服務器。當其中某個服務器發生第二到第7層的故障,BIGIP就把其從服務器隊列中拿出,不參加下一次的用戶請求的分配,直到其恢復正常。

    ◆ 最快模式(Fastest):傳遞連接給那些響應最快的服務器。當其中某個服務器發生第二到第7層的故障,BIGIP就把其從服務器隊列中拿出,不參加下一次的用戶請求的分配,直到其恢復正常。

    ◆ 觀察模式(Observed):連接數目和響應時間以這兩項的最佳平衡為依據為新的請求選擇服務器。當其中某個服務器發生第二到第7層的故障,BIGIP就把其從服務器隊列中拿出,不參加下一次的用戶請求的分配,直到其恢復正常。

    ◆ 預測模式(Predictive):BIGIP利用收集到的服務器當前的性能指標,進行預測分析,選擇一臺服務器在下一個時間片內,其性能將達到最佳的服務器相應用戶的請求。(被BIGIP進行檢測)

    ◆ 動態性能分配(Dynamic Ratio-APM):BIGIP收集到的應用程序和應用服務器的各項性能參數,動態調整流量分配。

    ◆ 動態服務器補充(Dynamic Server Act.):當主服務器群中因故障導致數量減少時,動態地將備份服務器補充至主服務器群。

    ◆ 服務質量(QoS):按不同的優先級對數據流進行分配。

    ◆ 服務類型(ToS):按不同的服務類型(在Type of Field中標識)對數據流進行分配。

    3.4.7 強大而且免費的安全防護功能 
        在圖中我們可以看到,前置服務器群或中間件服務器群在邏輯上位于BIGIP之后,所有的數據流,包括“攻擊性”數據流都要經過BIGIP才能夠流至服務器。BIGIP具有以下優秀的安全特性,對系統進行保護:

    訪問控制列表 
        IP包過濾 
        加密(SSL)的管理信息傳遞 
        口令保護 
        拒絕“DoS”攻擊 
        免疫“Ping of Death”攻擊 
        不用Ack緩沖應答未確認的SYN,防止SYN風暴 
        通過對無效連接的管理來防止使用沒有開放的服務進行攻擊 
        源路由檢查,防止IP欺騙 
        NAT/SNAT。通過設置,BIGIP?可以將一個端口映射到多個端口上。許多知名的端口是,如80,443,20,21可以被映射到服務器上的任何一個端口上。此外,BIGIP?可以將位于它后面的服務器的地址翻譯為那些對外公布的地址。這個安全特性為網絡帶來了以下幾種好處: 
       ◆ 入侵者無法確定哪些服務運行在哪些端口上,因而增加了攻擊的難度;

    ◆ 使用非公開的路由地址、BIGIP?可以節省客戶的IP地址,降低客戶的成本;

    ◆ 可以隱藏BIGIP?背后的服務器地址,避免這些服務器暴露到外部世界,從而減少了黑客攻擊這些服務器的機會

    利用虛擬IP地址隱藏服務器實際地址。

    同時,在BIGIP?的安全管理報告中通過監視下列參數,BIGIP?可以在安全報告中列出那些服務和端口受到了非法的訪問嘗試:

    IP地址:攻擊者的源IP地址 
        頻率:攻擊者嘗試攻擊的數量 
        端口:哪個端口受到攻擊 
    這些信息可以幫助管理員發現他們網絡中存在的安全漏洞,并且可以判定哪些人是潛在的攻擊者。

    3.4.8 有效解決防火墻的處理能力瓶頸

    考慮到絕大多數的防火墻只能達到線速的30%吞吐能力,故要使系統達到設計要求的線速處理能力,必須添加多臺防火墻,以滿足系統要求。然而,防火墻必須要求數據同進同出,否則數據將被拒絕。如何解決防火墻的負載均衡問題,是關系到整個系統的穩定性的關鍵問題。F5的防火墻負載均衡方案,能夠為用戶提供異構防火墻的負載均衡與故障自動排除能力。

    方案的特色:

    提供多臺防火墻的負載均衡能力 
    提供在線維護防火墻的方法 
    解決了單臺防火墻的處理能力瓶頸問題,提供了系統的擴展能力

    同時對于實現了鏈路負載均衡和服務器負載均衡的企業來說,防火墻負載均衡相當于免費贈送,提高了用戶投資回報率。

    3.4.9 F5 i–Control開放的API接口介紹

    為了確保電子商務取得成功,應用和網絡必須能夠緊密結合。網絡通知應用;應用指導網絡。這就是F5新型體系結構的基礎。它提供了業界最緊密集成的產品套件,利用統一的設備活動協作來對互聯網流量和內容部署/提供進行端到端的控制。它提供了端到端集成所需要的產品間的安全通信,而且還可以通過開放式XML API對F5產品進行編程,以支持客戶與合作伙伴應用間的集成(F5的iControl內部通信協議)

    這種架構方式克服了多廠商解決方案的最大問題:互操作性和管理復雜性,而且還避免了單廠商套件的最大問題:有限的靈活性、缺乏足夠的集成能力(圖3)。這種架構使服務提供商和企業能夠:

    · 管理和控制全球范圍的互聯網流量和內容

    · 部署并實施SLA政策

    · 將政策應用到多種技術上,如防火墻、VPN和QoS設備

    · 接收告警并管理關于網絡和設備活動的報告

    · 保持適當的系統配置

    iControl能夠使應用與網絡流量管理和內容提供基礎設施實現直接的互操作。通過iControl開放的安全通信協議和SOAP/XML API,網絡設備能夠與應用進行通信,應用可以控制網絡,從而避免出現易于出錯的過程和人為干預。iControl能夠提供網絡產品間安全、加密的互相通信能力,并為無縫應用集成帶來了方便,其中包括:

    (1) 本地流量管理;

    (2) 分布于全球的流量管理;

        (3) 將內容部署到遠程服務器上;

    (4) 管理網絡中高速緩存提供的內容版本;

    (5) 顯著減少管理分布式網絡所需的資源。

    客戶、合作伙伴及第三方集成商都可以使用iControl軟件開發套件(SDK),它具有開放式的SOAP/XML或CORBA API。隨著iControl的推出,F5證明了其對制定和采用開放式互聯網流量和內容管理標準的支持。

    通過將iControl與F5的業界領先iTCM產品相結合使用,可以實施并部署F5的完整互聯網控制體系結構,從而增強了7層性能。任何第三方和客戶都可以通過iControl將自己的應用與網絡系統集成在一起,從而提供無與倫比的7層性能。


    四、方案優勢闡述

    4.1 設備及拓撲結構的優點

    1.采用一個硬件平臺同時實現鏈路負載均衡和服務器負載均衡,all in one的硬件一體化解決方案,使網絡結構簡單實用,減少單點故障點同時也減少網絡維護人員的負擔,避免運行維護時面對大批網絡設備。

    2.F5 LC具有強大的ASIC硬件芯片專門處理4層流量,提供每秒120,000的4層新建連接,可以滿足企業的大量用戶訪問壓力。

    3.靈活的擴展空間, 用戶可以根據實際的網絡流量和壓力增加鏈路帶寬, 添加防火墻或增加服務器來提高整體的服務水平

    4.2 安全機制方面

    1.HTTPS,SSH等加密的網絡管理, 避免明碼通訊對網絡設備控制時的安全隱患。

    2.BIGIP具有以下優秀的,免費的安全特性,對系統進行保護:

    訪問控制列表 
        IP包過濾 
        加密(SSL)的管理信息傳遞 
        口令保護 
        拒絕“DoS”攻擊 
        免疫“Ping of Death”攻擊 
        不用Ack緩沖應答未確認的SYN,防止SYN風暴 
        通過對無效連接的管理來防止使用沒有開放的服務進行攻擊 
        源路由檢查,防止IP欺騙 
        NAT/SNAT。通過設置,BIGIP?可以將一個端口映射到多個端口上。許多知名的端口是,如80,443,20,21可以被映射到服務器上的任何一個端口上。此外,BIGIP?可以將位于它后面的服務器的地址翻譯為那些對外公布的地址。這個安全特性為網絡帶來了以下幾種好處: 
       ◆  入侵者無法確定哪些服務運行在哪些端口上,因而增加了攻擊的難度;

    ◆  使用非公開的路由地址、BIGIP?可以節省客戶的IP地址,降低客戶的成本;

    ◆  可以隱藏BIGIP?背后的服務器地址,避免這些服務器暴露到外部世界,從而減少了黑客攻擊這些服務器的機會利用虛擬IP地址隱藏服務器實際地址。

    同時,在BIGIP?的安全管理報告中通過監視下列參數,BIGIP?可以在安全報告中列出那些服務和端口受到了非法的訪問嘗試:

    IP地址:攻擊者的源IP地址 
        頻率:攻擊者嘗試攻擊的數量 
        端口:哪個端口受到攻擊 
    這些信息可以幫助管理員發現他們網絡中存在的安全漏洞,并且可以判定哪些人是潛在的攻擊者。

    4.3 與應用的結合方面

    ◆  F5 可以通過ECV, EAV 對后臺的多層結構的服務器進行健康檢查, 確保用戶的正常訪問。

    ◆  F5 可以通過Insert Cookies和Sample persistence等方式和應用實現無縫集合的各種切換。

    ◆  F5 的iControl 是一套全球唯一的網絡產品提供的API/SDK, 可以允許用戶根據自己的要求控制網絡設備。

    4.4 投資回報方面

    1. LC在提供鏈路負載均衡和服務器負載均衡的同時,免費提供對Firewall,IDS等的負載均衡,可以在將來幫助用戶解決安全性能瓶頸。

    2. F5的LC產品已在cernet和網通及電信系統中大量使用,用戶采用F5產品可以充分享受到F5產品在電信級網絡中運行所得到的經驗,以及最新的ip地址劃分等附加資源。

    3. 統計與報告

    LC鏈路應用交換機包含詳盡的實時報告和歷史紀錄報告,可供評測站點流量模式、相關ISP性能和預計帶寬計費周期。全面的報告功能為管理員提供了對帶寬資源的充分掌握,從而使企業可以作出更合適的業務決策。

    4.互聯網鏈路評估器

    專用互聯網鏈路評估器提供了一種獨特的查看功能,您可以用此來查看ISP為您的用戶所提供的總體性能?,F在,管理員可以非常輕松地:

    ◆  確定慢速鏈路,通過ISP尋找性能故障。

    ◆  評估ISP為目標互聯網用戶群快速提供服務的能力。

    ◆  評估您的網絡與您的用戶之間的ISP連接質量。


    版權所有?2022 北京外思特科技有限公司.保留一切權利. 京ICP備10030852號