1、F5 多出口链路负载均衡解决方案建议F5 Networks多出口链路负载均衡解决方案建议F5 Networks郑志勇2005-12-23F5 多出口链路负载均衡解决方案建议目 录一多出口链路负载均衡需求分析 .3二多出口链路负载均衡解决方案概述 .42.1 多出口链路负载均衡网络拓朴设计 .42.2 方案描述 .52.3 方案优点 .62.3.1 拓扑结构方面 62.3.2 安全机制方面 .6三技术实现 .73.1 F5 多出口链路负载均衡(产品选型:LINKCONTROLLER 2400) 73.2 OUTBOUND 流量负载均衡实现原理 83.3 INBOUND 流量负载均衡实现原理 .9
2、3.4 在链路负载均衡环境中的 DNS 设计和域名解析方式 .113.4.1 Root DNS(注册 DNS)直接与 F5 多链路负载均衡器配合 .113.4.2 Root DNS(注册 DNS)通过第三方 DNS Server 与 F5 多链路负载均衡器配合(我们建议这种方式) .123.5 F5 设备双机冗余- 毫秒级切换原理 .143.6 STATEFUL FAILOVER 技术(与 F5 设备双机冗余有关) .15四产品介绍 .164.1 F5 LINKCONTROLLER 240016五F5 多链路负载均衡成功案例举例 22.1 政府 .22. 教育行业 .23. 金融行业 .24附
3、录南北电信互访问题 .25附录传统的链路冗余方案及 BGP 方案缺点 .26附录对附录一,二的案例分析 .28F5 多出口链路负载均衡解决方案建议一多出口链路负载均衡需求分析为了保证 XXXX 出口链路的高可用性和访问效率,举例计划拥有两条线路:一条中国网通链路,一条中国电信链路。F5 公司的多链路负载均衡设备(Linkcontroller)能够提供独具特色的解决方案,不但能够充分利用这两条链路(双向流量按照预设的算法分担到不同的链路上,一旦一条链路不通的情况下,能够无缝切换到另外一条可用链路上) ;而且可以根据对不同链路的侦测结果,将最快速的链路提供给外部用户进行响应,从而解决目前广泛存在的
4、多个ISP 之间的互联互通问题。具体解决方案特色如下: 提供内网至 internet 流量的负载均衡(Outbound) 实现从 Internet 对服务器访问流量的负载均衡(Inbound) 支持自动检测和屏蔽故障 Internet 链路 支持多种静态和动态算法智能均衡多个 ISP 链路的流量 支持多出口链路动态冗余,流量比率和切换 支持多种 DNS 解析和规划方式,适合各种用户网络环境 支持 Layer27 交换和流量管理控制功能 完全支持各种应用服务器负载均衡,防火墙负载均衡 多层安全增强防护,抵挡黑客攻击 业界领先的双机冗余切换机制,能够做到毫秒级切换 详细的链路监控报表,提供给网络管
5、理员直观详细的图形界面 对于用户完全透明 对所有应用无缝支持 业界优异的硬件平台和性能 稳定,安全的设备运行记录F5 多出口链路负载均衡解决方案建议二多出口链路负载均衡解决方案概述2.1 多出口链路负载均衡网络拓朴设计下面是专门为 XXXX 设计的多出口链路负载均衡网络拓扑图(单机版) 。下面是专门为 XXXX 设计的多出口链路负载均衡网络拓扑图(双机冗余版) 。F5 多出口链路负载均衡解决方案建议2.2 方案描述此方案中,分别设计单台链路负载均衡和双机冗余链路负载均衡两种网络拓扑,供 xx 政府信息中心选择。考虑到链路负载均衡在网络构架中的位置,以及今后的扩展性,建议采用F5 公司的 Lin
6、kcontroller 2400 两台(当然,如果不考虑双击冗余,也可以采用一台 F5 Linkcontroller 2400), 提供两条出口链路(中国网通和中国电信)的负载均衡,其中两条Internet 出口链路都通过普通网线或光电转换器与 Linkcontroller 2400 连接(如果双机冗余,需要从每个 ISP 引进两根进线,可以在 Linkcontroller 2400 前面放置一台二层交换机做端口拓展) ,Linkcontroller 2400 与两台冗余的防火墙通过网络端口连接。两台 Linkcontroller 2400互为冗余。通过这样的优化后,系统具有以下特征:结构合理
7、:整个网络结构布局合理,层次分明,便于管理与维护。可用性高: Linkcontroller 动态检查各条出口链路的健康状态,并将下一个请求分配给最有效率的链路,任何一条链路发生故障时,LINKCONTROLLER 即刻将请求分配给其他的链路,从而达到 99.999%系统有效性。安全性高: LINKCONTROLLER 支持地址翻译技术和安全地址翻译,这样一来客户不可能知道真正提供服务的服务器的 IP 地址与端口,LINKCONTROLLER 采用 SSH 和 SSL 技术,可以防止来自内部或互联网上的黑客攻击。效率高: LINKCONTROLLER 可以智能寻找最佳的出口链路,从而保证客户得到
8、最快的上网访问速度。可扩展性高: LINKCONTROLLER 可以支持动态增加或删除其负载均衡的链路群组的任何数量的链路,而不需要对客户端或后台做任何改变从而使得系统扩展轻松方便。可管理性高: LINKCONTROLLER 可以实时监控整个链路群组的流量状态,并分析发展趋势帮助客户及时根据流量增长增加出口带宽。保护投资: LINKCONTROLLER 还免费带有服务器负载均衡和防火墙负载均衡的功能。F5 多出口链路负载均衡解决方案建议2.3 方案优点2.3.1 拓扑结构方面1) 可以轻松形成全冗余连接方法, 保证网络没有单点故障的存在。2) 提供多出口链路的负载均衡,今后,通过免费无缝拓展,
9、可以对各种应用服务器,防火墙/VPN/IDS 等网络设备全部可以采用负载均衡方式处理网络流量, 提高网络服务能力和投资回报率。3) 比较少的网络层次,较少网络延迟,避免运行维护时面对大量网络设备。4) 灵活的扩展空间, 用户可以根据实际的网络流量和压力增加带宽,增加链路, 添加防火墙或增加服务器来提高整体的服务水平。2.3.2 安全机制方面1) HTTPS,SSH 等加密的网络管理, 避免明码通讯对网络设备控制时的安全隐患。2) F5 的 VIP 一旦配置成功,服务的 TCP/UDP 端口也就同时确认,除特定服务外,其他的端口就全部被封闭了,保护服务器避免被端口扫描.3) 在防止 DOS 攻击
10、方面,F5 提供免费的防护 , 特别对于 Ping of Death , F5 的 VIP 一旦规定成功就对 Ping 包做中继处理, 避免攻击对服务器的压力.4) 并且,F5 具备攻击回收技术,同时可以设置在资源消耗在 97%(可设)时重启,切换到备份设备工作。F5 多出口链路负载均衡解决方案建议三技术实现3.1 F5 多出口链路负载均衡(产品选型:Linkcontroller 2400)Linkcontroller 2400 的特色: 提供内网至 internet 流量的负载均衡(Outbound) 实现从 Internet 对服务器访问流量的负载均衡(Inbound) 支持自动检测和屏蔽
11、故障 Internet 链路 支持多种静态和动态算法智能均衡多个 ISP 链路的流量 支持多出口链路动态冗余,流量比率和切换 支持多种 DNS 解析和规划方式,适合各种用户网络环境 支持 Layer27 交换和流量管理控制功能 完全支持各种应用服务器负载均衡,防火墙负载均衡 多层安全增强防护,抵挡黑客攻击 业界领先的双机冗余切换机制,能够做到毫秒级切换 详细的链路监控报表,提供给网络管理员直观详细的图形界面 对于用户完全透明 对所有应用无缝支持 业界优异的硬件平台和性能 稳定,安全的设备运行记录技术实现原理 :下图是一个典型的 F5 多出口链路负载均衡解决方案的应用案例。F5 多出口链路负载均
12、衡解决方案建议图中 F5 多链路负载均衡设备通过 ISP1 和 ISP2 接入 Internet。每个 ISP 都分配给该网络一个 IP 地址网段,假设 ISP1 分配的地址段为 100.1.1.0/24,ISP2 分配的地址段为200.1.1.0/24(此处的 200.1.1.0/24 表示网络 IP 地址段为:200.1.1.0 ,子网掩码为 24 位,即255.255.255.0) 。同样, Internet 知道通过 ISP1 访问 100.1.1.0/24,通过 ISP2 访问200.1.1.0/24。网络中的主机和服务器都属于私有网段 192.168.1.0/24。多链路负载均衡设
13、备解决方案就是在内部交换机和连接 ISP 的路由器之间,跨接一台多链路负载均衡设备应用交换机,所有的地址翻译和 Internet 链路优化全部由多链路负载均衡设备来完成。如果网络中有防火墙,也可以选择由防火墙来做地址翻译。3.2 Outbound 流量负载均衡实现原理F5 多链路负载均衡设备主要采用以下几种技术来处理 Outbound 流出流量。Default Gateway Pool在 Default Gateway Pool 中,定义相应的 ISP 对端路由器地址,作为负载均衡的对象,并F5 多出口链路负载均衡解决方案建议且可以捆绑健康检查,负载均衡算法以及会话保持等属性。Default
14、Gateway Pool 中的 Nodes 定义为多个 F5 多链路负载均衡设备的缺省路由。IRules对于复杂的链路选择需求,可以使用 F5 独有的 irules 来定义。Wildcart Virtual ServerWildcart Virtual Server0.0.0.0:0/internal,Wildcart Virtual Server 是指 0.0.0.0 这个特殊的虚拟服务器,一般用于捆绑 Default Gateway Pool。SNAT/SNAT Automap对于 Outbound 流量的地址翻译,F5 多链路负载均衡设备使用了称为 SNAT 的方法。当选定一个路由器(某
15、一个 ISP)传送 Outbound 流量时,多链路负载均衡设备将选择该 ISP 提供的地址。在上图中,如果多链路负载均衡设备选择 ISP1 作为 Outbound 流量的路径,则它将把内部的主机地址 192.168.1.A 翻译为 100.1.1.A,并作为 Outbound 数据包的源地址。同样,如果多链路负载均衡设备选择 ISP2 作为 Outbound 流量的路径,则它将把内部的主机地址 192.168.1.A 翻译为 200.1.1.A,并作为 Outbound 数据包的源地址。当 F5 多链路负载均衡设备定义:将内部的主机地址翻译为 Vlan Self-IP 时,即100.1.1.
16、A=100.1.1.2,200.1.1.A 200.1.1.2 时,称为 SNAT Automap。3.3 Inbound 流量负载均衡实现原理F5 多链路负载均衡设备主要采用以下几种技术来处理 Inbound 流入流量。DNS 解析器(Wide IP)Inbound 流量负载均衡的核心技术是 DNS 解析的问题。外部用户访问在 DNS 请求时,就通过 F5 多链路负载均衡设备获知了链路的健康状况和链路优先选择,这样多链路负载均衡设备必须承担部分 DNS 的功能,以便返回给用户相应的访问 IP 地址。F5 多链路负载均衡设备F5 多出口链路负载均衡解决方案建议支持 A 记录和* 记录解析。Wi
17、de IP 可以捆绑各种 Inbound 负载均衡算法:Completion Rate,Global Availability, hops,kilobytes/second,leastconnections,Packet Rate,Quality of Service,Random ,Ratio ,RoundRobin,Round Trip Time,Static Persist,VS Capacity。Virtual Server/Network Virtual Server/Transparent Virtual Server由于所有的 F5 多链路负载均衡设备可以兼做服务器负载均衡,因此
18、 F5 返回给用户 DNS解析是 Virtual Server;对于一些特殊的场合,需要配置一些特殊的 Virtual Server,例如:Network Virtual Server 以及 Transparent Virtual Server。Forwarding Pool有的情况下,既不需要地址翻译,有不需要服务器负载均衡,但是又需要 pool 的一些特性时(例如:Auto Lasthop) ,必须配置 Forwarding Pool。Lasthop pool/Auto LasthopF5 的 Lasthop 功能,称为基于连接的路由,用在 F5 处理数据包回应时,会根据上一跳路由设备的
19、MAC 地址,确定返回路径,以便正确返回给最初发起访问数据包的网络设备。NAT对于直接通过 IP 地址进行访问的 Inbound 流量,并且内部主机需要 Outbound 访问,需要配置相应的 NAT 记录,来保证从多条链路都能访问内部服务器,与 Virtual Server 加上SNAT 功能相当(细节有所不同) 。对于 Email 而言,由于外部 Email 服务器需要进行地址反向解析,因此使用 Virtual Server+SNAT 方式。F5 多出口链路负载均衡解决方案建议3.4 在链路负载均衡环境中的 DNS 设计和域名解析方式Issue: 1、多链路负载均衡设备只能做 A 记录和*
20、记录解析;2、有的 Root DNS Server(注册 DNS)不支持二级子域的 NS 委派,例如:新网3、用户 Local DNS Server 的 Cache 问题所以,产生出以下多种域名解析方式。3.4.1 Root DNS(注册 DNS)直接与 F5 多链路负载均衡器配合 CNAME 方式. IN CNAME . IN NS 。IN NS 。. IN A 100.1.1.2 (F5 设备 地址). IN A 200.1.1.2 (F5 设备 地址)WebF5 多出口链路负载均衡解决方案建议在 Inbound 负载均衡中,普遍使用的一种域名解析方法。 NS 委派方式. IN NS 。I
21、N NS 。. IN A 100.1.1.2 (F5 设备地址). IN A 200.1.1.2 (F5 设备地址)这种方式因为 F5 多链路负载均衡器不支持全记录解析,在客户有 MX 记录时,一般不使用。3.4.2 Root DNS(注册 DNS)通过第三方 DNS Server 与 F5 多链路负载均衡器配合(我们建议这种方式)F5 多出口链路负载均衡解决方案建议 CNAME 方式Root DNS CNAME 第三方 DNS. IN NS IN NS . IN A 100.1.1.2 (F5 设备地址). IN A 200.1.1.2 (F5 设备地址)有的 Root DNS(注册 DNS
22、)不支持二级子域的 NS 委派(例如:新网) ,需要第三方DNS Server 的配合,是前面方式的变体。 NS 方式Root DNS. IN NS 。IN NS 。. IN A 211.X.X.X (第三方 DNS 地址). IN A 61.X.X.X (第三方 DNS 地址)第三方 DNS. IN CNAME . IN NS 。IN NS 。. IN A 100.1.1.2 (F5 设备 地址). IN A 200.1.1.2 (F5 设备 地址)我们建议采用这种方式。F5 多出口链路负载均衡解决方案建议3.5 F5 设备双机冗余- 毫秒级切换原理F5 Networks 公司的 LINKC
23、ONTROLLER 产品是业界唯一的可以达到 ms 级切换的产品, 而且设计极为合理, 所有会话通过 Active 的 LINKCONTROLLER 的同时, 会把会话信息通过同步数据线同步到 Standby 的 LINKCONTROLLER , 由设备中的 watchdog 芯片通过心跳线监控设备的电频, 当 Active LINKCONTROLLER 故障时, watchdog 会首先发现, 并通知Standby LINKCONTROLLER 接管 Shared IP , VIP , NAT, SNAT 等, 保持访问的畅通和在线会话的数据. 在用户端的表现是在 ping 包上会有 12
24、个中断, 而应用上不会中断, 可以持续运行, 对于关键的应用系统是非常重要的。另外,LINKCONTROLLER 还可以允许手工切换 Active/Standby 的状态,来配合系统维护。F5 多出口链路负载均衡解决方案建议3.6 Stateful FailOver 技术(与 F5 设备双机冗余有关)通过 Session Mirror 以及 Persistence Mirror 技术,保证 F5 设备在发生切换时,不影响在线业务的连续访问。F5 多出口链路负载均衡解决方案建议四产品介绍4.1 F5 Linkcontroller 2400( Linkcontroller 2400)关键特性与优势
25、 为 拥有 多条链路和多家 ISP提供商的站点提供高可用性 (99.999%); 全方位链路监视 , 提供实时的链路状况和容量信息 ; 消除带有 BGP的多归属的部署障碍 ; 采用高级分组交换技术 ; 对用户和 ISP提供商透明 ; 把用户导向速度最快的链路 ; 平衡流量以最大限度地利用链路资源和吞吐量 ; 链接成本负载平衡功能把流量导向花费最低的链路,以实现最低的带宽成本; 提供无缝的链路归并 , 以实现灵活的带宽可扩充性和降低成本 ; 服务质量 ( QoS) 为满足各种业务需求提供个性化的流量控制 ; 提供安全网络地址转换 ( SNAT) 和智能 DNS,从而实现 双向流量控制 ; 实时性
26、能监视和数据统计以评估链路性能 ; 可同时支持各种应用 服务器负载平衡 ;F5 多出口链路负载均衡解决方案建议 可同时支持 防火墙三明治负载平衡 ; 为所有基于 TCP和 UDP的 流量及其它 IP流量提供链路负载平衡 ; 通过 Web浏览器和 CLI提供安全与远程管理 增设链路控制器 ( Link Controller) 提供完全冗余 , 以进行二级故障切换保护 ; 支持 iControl 为 F5的 IP流量和内容管理产品系列提供的业界首款开放应用 编程 接口( API)。BIG-IP Link Controller 2400多归属网络的高可用性和链路控制随着企业逐渐采用互联网传送关键任务
27、应用,只与公共网络保持一个链路就意味着单点故障和严重的网络隐患。F5 BIG-IP Link Controller : 提供可靠的网络连接 管理多个链路上的入站/出站流量 通过最佳性能链路发送流量 提高链接的可扩充性和吞吐量 实现最大的企业连接投资回报率 消除带有BGP的多归属的部署障碍和成本确保可靠的网络连接高可用性BIG-IP Link Controller 可检测整个链路所出现的错误,从而提供可靠的端到端连接。它负责监视每个连接的状况和可用性以及检测链路或 ISP 是否发生故障。如果出现故障,流量将被动态透明地导向其它可用链路,以确保可靠的数据中心连接。全方位链路监视BIG-IP Lin
28、k Controller通过网关路由器提供链路工作状况和吞吐量的全景图,确保链路的可用性并提供关于任何指定链路带宽及容量的详细信息。Link Controller也可检测出由ISP 配置F5 多出口链路负载均衡解决方案建议错误或其它手工操作错误引起的故障。最大限度地扩大带宽和提高投资回报链接成本负载平衡链接成本负载平衡功能可帮助您为所有的通向数据中心的流量选择最低成本的连接方式。 流量被导向花费最低的链路,从而将带宽投资降至最低限度; 消除过量供应的情况; 为不同连接和不同成本的线路提供灵活性,以扩大带宽,消除带宽瓶颈,同时减少对低效率带宽的使用和相关成本的开销。带宽的可扩充性无论对于何种链路
29、或提供商,Link Controller都可帮助您归并花费较低且较窄的线路,以提供低成本的带宽冗余,同时减少浪费在闲置光纤或备用线路上的成本。可扩充性BIG-IP链路控制器为企业提供了一个可扩充平台: 集成防火墙负载平衡,为冗余防火墙部署提供高可用性; 可通过升级增强服务器和高速缓存的本地负载平衡; 可通过升级支持全面、多站点的全局负载平衡和灾难恢复; 可随企业发展而扩展的高性能端口密集型平台; 支持数千兆位吞吐量以及任何数量的ISP。全方位流量控制区组控制BIG-IP Link Controller为用户提供了所需的最佳流量控制和灵活性,以最大限度地提高可用性、性能和降低公司连接成本。F5
30、多出口链路负载均衡解决方案建议Link Controller提供透明的流量分配 循环负载 平衡 ;对于希望扩充链路的用户,Link Controller 可在规模相近的连接上均匀分配流量,从而扩大带宽。 比率 负载平衡对于购买具有不同吞吐容量的链路的用户,比率负载平衡可根据不同链路带宽(DSL、T1和T3)均匀分布负载。链接容量和吞吐量BIG-IP Link Controller可允许您根据实时的流量与吞吐量来确定和控制流量在链路上的分布方式。这可以提高性能和增加可用的带宽(含线路冗余),同时消除链路的拥塞情况。当某个链路的流量接近其最大容量时,流量将被转到其它不太拥塞的链路上,从而提高了整个
31、站点的性能。最佳性能的链路:通过往返时间(RTT)和线路质量衡量方法,BIG-IP Link Controller可检测出哪条连接能提供最佳服务,接着把用户导向该链路确保用户能享受最佳服务和最高质量的连接。 QoS的负载平衡BIG-IP Link Controller提供了链路容量(路由器速率、连接数量和每秒的数据包数)、链路成本(按Mbps 计算)和最佳链路(基于往返时间、连接率和中继数)等个性化的流量控制。这为用户提供了衡量不同负载平衡因素的重要性的依据,从而使他们能根据具体的业务需求“最好地”管理流量。 来源、目的地和应用交换BIG-IP Link Controller可支持用户在指定链
32、路上发送部分流量。例如,对于FTP和电子邮件等高优先级的流量可通过优先连接进行路由,而低优先级的容量通过其他链路进行路由。 出色的管理和配置F5 多出口链路负载均衡解决方案建议轻松安装BIG-IP Link Controller 含有一个直观且易于操作的基于 Web 的图形用户界面(GUI) 。一般的配置任务都进行逻辑上的分类,以降低配置和管理难度,从而减少安装和日后的维护费用。 IP链路评估器(Internet Link Evaluator)Link Evaluator可对ISP传送给用户的所有性能进行衡量,包括: 指出慢速的链路,排除ISP链路上的性能问题 评估ISP提供商为您的互联网用户
33、快速提供服务的能力 评估从您的网络到用户之间的提供商的连接质量。LINKCONTROLLER 2400 规范:互联网 /企业内联网协议支持 :所有 TCP服务、 UDP、 SIP和 SSL; 几乎所有基于 IP的协议。管理环境支持:DNS代理、 SMTP、开放式 SSH、 SNMP、动态 /静态网络监视、预定批作业处理、系统状态报告和告警事件通知。网络管理和监视:基于安全 SSL浏览器的接口、利用开放式 SSH监视器进行远程加密登录和文件传输、LINKCONTROLLER系统网络监视工具及附加实用软件 ; SNMP“get”命令与陷阱 , 使用CORBA和 SOAP/XML的 iControl
34、API。LINKCONTROLLER设备冗余 :Watchdog芯片、硬件故障切换和网络故障切换路由协议 :RIP、 OSPF和 BGPF5 多出口链路负载均衡解决方案建议LINKCONTROLLER 2400 物理规范:规格 :17英寸 ( 19英寸带安装把手 ) x 21.7英寸 x 3.44英寸重量 :26英磅 ( 每单位 , 不包括发运包装 )处理器 :1个 900MHz PIII网络接口 :1个 2400Base-SX GE端口 ,8 个 -10/100 Base-TX FE端口 + 1个 10/100 M管理端口 硬盘容量 :无旋转介质 (spinning media) 内存 :5
35、12MB( 可扩充至 2GB)工作温度 :23至122F (-5至50C) , 根据 Telcordia GR-63-CORE 5.1.1和 5.1.2标准。相对湿度 :40C时为 10%至 90%, 根据 Telcordia GR-63-CORE 5.1.1和 5.1.2标准电源 :350W 110/220VAC自动切换安全标准 :F5 多出口链路负载均衡解决方案建议UL 60950 (UL1950-3)CSA-C22.2 No. 60950-00 (UL 60950在两个国家的标准 )IEC 950的 CB测试证书EN 60950电磁辐射认证 :EN55022 1998 Class AEN
36、55024 1998 Class AFCC Part 15B Class AD39平台五F5 多链路负载均衡成功案例举例.1 政府F5 多出口链路负载均衡解决方案建议Router AInternetBigIP 5000 combo lc _Ext_A BigIP 5000 combo lc_Ext_BBigIP 5000_Int_BBigIP 5000_Int_ABigIP 5000_CDAP_A BigIP 5000_CDAP_BLB Data switch ServerSwitchCTAIS SystemRouter BWeb ServerLB CDAP ServerSwitchMulti
37、-Homing Firewall load balance Data switch and CDAP server load balance CTAIS SystemAPP+DB Serverxx国税例. 教育行业Xx大学:F5 多出口链路负载均衡解决方案建议. 金融行业Online banking:F5 多出口链路负载均衡解决方案建议附录南北电信互访问题实际测试结果:表中可以看出,对于同一个站点,一个用户分别从两条线路进行访问,得出的访问速度差异是非常大的。最大的差值在广东电信分别访问站点的两条线路,其速度差异接近 20 倍。Router AInternetBigIP 2400 combo
38、lc _Ext_A BigIP 2400 combo lc_Ext_BBigIP 2400_Int_BBigIP 2400_Int_ARouter BVV serverMulti-Homing Firewall load balance RA Server Direct ServerFW数据库/应用服务器前置服务器帐务主机BigIP 5000_A BigIP 5000_BCA/LDAP ServerPersonal ClientEnterprise Direct ClientOnline Banking diagramServer load balance F5 多出口链路负载均衡解决方案建议
39、测试项目 网通北京 ADSL 用户访问 12 月 2 日凌晨 1 时广东电信用户访问,宽带用户,带宽未知,12月 2 日 16:30网通北京 ADSL用户访问,12月 2 日 16:00上海 ADSL 宽带用户访问,12 月 2 日 20:00DNS Result 202.xxx.xxx.209 219.xxx.xxx.11 202.xxx.xxx.209 219.xxx.xxx.11网通 电信 网通 电信 网通 电信 网通 电信Number of hits:72 69 4 76 52 47 19 35Requests per Second1.20 1.15 0.07 1.27 0.87 0.
40、78 0.32 0.58Socket Connects73 70 5 77 53 48 20 36Total Bytes Sent (in KB)14.19 13.47 0.96 14.96 13.61 12.23 3.87 7.03Bytes Sent Rate (in KB/s)0.24 0.22 0.02 0.25 0.23 0.20 0.06 0.12Total Bytes Recv (in KB)4148.24 4001.90 256.58 4388.54 3019.94 2703.26 21.73 39.83Bytes Recv Rate (in KB/s)69.12 66.68
41、4.28 73.12 50.32 45.05 0.36 0.66附录传统的链路冗余方案及 BGP 方案缺点 通过设定多个缺省网关实现 多出口功能 可以做到一定程度的链路备份当首选网关故障后,由路由器自动起用第二条缺省路由 无法实线对链路状况的完整检查 无法实现流量在链路之间的优化分配 路由器通过默认网关及静态路由的方式可以实现流量分流,但不能实现自动切换F5 多出口链路负载均衡解决方案建议 不能探测最优链路,对于用户指定目的地址以外的流量,不能自动选择最优链路。 通过 BGP 实现 多出口功能部署复杂并且昂贵需要管理专家 需要昂贵的高端路由器对性能影响大,并且造成延迟ISPs 们必须合作 ma
42、ny will not当故障发生时,拥有和控制成为大问题必须获得 ASN (Autonomous System Number)为大 ISPs 预留 在很多地方无法获得 (Asia, Australia, Europe)需进 30 分钟整合到表中F5 多出口链路负载均衡解决方案建议附录对附录一,二的案例分析为了实现不同互联网链路之间的冗余备份和负载均衡,用传统路由方式解决多链路负载均衡:在中心配置一台高性能核心路由器,其上运行 BGP 路由协议,并设置丰富的路由策略,在正常情况下,宿舍楼与培训楼通过联通链路上网,运管局、港航局、交通厅等通过电信链路上网,但当其中一条链路断掉或负载过重时,把该链路
43、全部或部分负载转移至另一条运营商链路,例如联通链路断掉时,把宿舍楼与培训楼的上网请求转移至移动的链路,或当电信链路利用率超过 90%,而联通链路的利用率低于 50,则把电信链路上的增加的负载转移到联通链路。缺点: 具有 BGP 上述的缺点 无法实线对链路状况的完整检查 无法实现流量在链路之间的优化分配F5 多出口链路负载均衡解决方案建议 路由器通过默认网关及静态路由的方式可以实现流量分流,但不能实现自动切换 不能探测最优链路,对于用户指定目的地址以外的流量,不能自动选择最优链路。 存在多个 ISP 间资源互访延迟的严重问题,例如当宿舍楼与培训楼通过联通链路上网,但需要访问在其他链路里(如电信)的网站时,将会出现跨网连接的延迟,丢包等问题。