1、xxx 互联网出口负载均衡和流量分析项目总体方案1xxx 互联网出口负载均衡和流量分析项目方案巴州浩展网络有限责任公司2012 年 3 月xxx 互联网出口负载均衡和流量分析项目总体方案2目录1 项目背景 32 项目目标 33 项目原则 34 总体方案设计 44.1 现状分析 44.2 方案论证 44.3 总体方案 55 设计方案 65.1 技术关键点 65.2 方案设计 76 实施方案 116.1 设备安装调试 116.2 设备上架、加电测试 116.3 业务平滑迁移 116.4 链路跳接 126.5 策略调整、优化配置 126.6 设备关机 127 项目组织管理 137.1 项目实施总体布
2、署 137.2 项目实施准备工作 137.3 项目实施关键步骤说明 147.4 项目文档管理 158 项目实施进度计划 169 应急预案 1610 培训计划 1710.1 F5 培训内容 1710.2 Allot 培训内容 .1711 附件 1911.1 F5-6400 配置手册 .1911.2 Allot 管理服务器配置手册 2611.3 Allot-3040 配置手册 .2811.4 C3750G 配置手册 .32xxx 互联网出口负载均衡和流量分析项目总体方案31 项目背景目前 xxx 的互联网出口是电信、联通双线接入,办公网、公共信息网分别建有互联网出口系统;中石油互联网出口接入到办公
3、网边界区域;用户群体庞大,约有 3 万终端。油田中心机房现有油田办公网互联网出口负载均衡设备、流量整形设备,且各只有一台,没有备份,当出现软硬件问题设备不能正常运行时将导致相关网络瘫痪。通过本项目购置负载均衡设备和流量整形设备各 1 台,为互联网正常运行做好保障。2 项目目标根据油田互联网出口现状,设计原有的互联出口设备和新购的 F5 负载均衡、ALLOT 流量整形设备的实施方案。根据方案进行油田互联网出口整体实施,包括原有设备和新购设备等的安装实施。在原有的互联网出口系统基础上,使之更加稳定、安全、可靠。3 项目原则 先进性原则 可靠性原则 维护性原则 扩展性原则 安全性原则 易用性原则xx
4、x 互联网出口负载均衡和流量分析项目总体方案44 总体方案设计4.1 现状分析办公网互联网出口设备有 F5-6400、Allot-1010、ISG2000 和边界路由器3750G,公共信息网互联网出口设备有 F5-3400、QQSG 和边界路由器 3750G。4.2 方案论证根据 xxx 办公网与公共信息网两网分离的网络实际情况,结合现有设备,从以下几个方面分析论证:1、流量分析:设备 OUT IN 策略 备注F5-6400 50M/s 400M/s Web/邮件 办公网F5-3400 500M/s 600M/s 无 公共信息网结论:1、 互联网出口峰值流量公共信息网大于办公网;2、 互联网出
5、口设备压力公共信息网高于办公网。2、设备性能分析:公共信息网F5-3400年限较长,硬件性能不足。设备(理论值)并发会话数为 400 万,活动用户数峰值为 1 万,内存为 1G。当用户峰值访问时,设备会话保持使用不够,易出现间断性断网,释放内存后网络恢复。不能满足公共信息网的应用需求办公网F5-6400并发会话数 800 万,活动用户数峰值为 2.5 万,内存为 2G。可以满足办公网的应用需求,但不能满足公共信息网的应用需求。QQSG 协议特征库长时间没有更新,不能对新的应用做到识别,已经不能满足现不能满足公共信息网的需求xxx 互联网出口负载均衡和流量分析项目总体方案5有流量分析的需求;报表
6、的时间戳不能同步,报表的时间不对,无法修正。Allot-1010 能够识别现有办公网(Web/Ftp/Mail)需求产生的应用流量分析,硬件设备运行稳定。由于没有续保服务,特征库无法更新,软件版本低。可以满足办公网现有功能要求,但不能满足公共信息网复杂应用分析的需求。4.3 总体方案基于上述分析,办公网的互联网出口系统保持现状,公共信息网的 F5-3400 和 QQSG 更换为 F5-6900 和 Allot-3040,F5-3400 和 QQSG 关机,作为互联网出口体系的备用设备。xxx 互联网出口负载均衡和流量分析项目总体方案65 设计方案5.1 技术关键点5.1.1 F5-6900多链
7、路的负载均衡:LinkController 可以智能的解决多条 ISP 接入链路以保证网络服务的质量,分为 OUTBOUND 流量的负载均衡、INBOUND 流量的负载均衡。多链路的冗余:可以检测每条链路的运行状态和可用性,做到链路和 ISP故障的实时检测。高度的安全性:采用防火墙的设计原理,是缺省拒绝设备,防御普通网络攻击。能够拆除空闲连接防止拒绝服务攻击;能够执行源路由跟踪防止 IP 欺骗;拒绝没有 ACK 缓冲确认的 SYN 防止 SYN 攻击;拒绝 teartop 和 land 攻击;保护自己和内网免受 ICMP 攻击;不运行 SMTP、FTP、TELNET 或其它易受攻击的后台程序。
8、Dynamic Reaping 特性可以高效删除各类网络 DoS 攻击中的空闲连接,这可以保护 BIG-IP 不会因流量过多而瘫痪。Delay Binding 技术可以为部署在BIG-IP 后面的服务器提供全面地 SYN Flood 保护。5.1.2 Allot-3040确保关键业务应用、控制广域网成本:检测网络与带宽的使用情况,自动发现网络中的应用,判断网络中哪些协议可能对网络造成影响而需要对其进行管理。对所有经过 Allot 设备的所有流量进行检查,并持续监测资源的使用情况以保证对网络的控制与应用服务的性能,定义的策略将业务优先级与用户的需求相结合。强健策略驱动的网络架构:为网络中的每一种
9、应用精确地分配带宽,保证那些对网络延迟敏感的应用的质量不会因为网络中的其他流量而下降。实现网络智能:借助 NetXplorer 管理平台实现逐层深入的网络分析,以xxx 互联网出口负载均衡和流量分析项目总体方案7实现智能的网络管理,包括信息收集与分析、找出网络瓶颈、以及集中管理策略配置。抵制恶意网络攻击:侦测已知类型的 DDOS 网络攻击,监测、记录并阻止不良的网络流量,对即将发生的网络攻击提出早期告警,并且使用专用的带外管理端口以保证即使发生 DDOS 攻击的情况下也能够对设备进行管理,从而对攻击流量进行管控。保证最大的网络可靠性:通过两个层面的容错特性保证网络的 100%正常运行时间,首先
10、是基于硬件的旁路单元(Bypass)可以再设备发生软硬件故障的情况下将数据透明的进行传输,不会导致网络中断。5.2 方案设计5.2.1 设计内容F5-6900 流量处理能力是 6Gbps,64 位的 TMOS 硬件架构,4 核 8 进程 CPUxxx 互联网出口负载均衡和流量分析项目总体方案8处理能力,8G 内存,24 个千兆接口(含光口) 。并发数是 800 万,活动用户数峰值为 4 万,背板带宽 68G。Allot-3040 有 8 个千兆接口,可扩展至 4Gbps 的全双工吞吐率,实时监测和 QoS 策略执行多达 400 万个并发 IP 流,支持 Allot 的 DART(动态可操作的识
11、别)技术,广泛的特征库,能够准确地识别数以百计的互联网应用和协议,可自动更新特征库。为了更好地使用 F5-6900 和 Allot-3040,公共信息网互联网出口在边界路由器 C3750G 和 F5-6900 之间采用链路聚合的方式,增加链路带宽,使互联网访问能够快速、有效地通过,充分发挥性能。5.2.2 网络资源规划5.2.3 SNAT-List5.2.4 设备互联规划设备 端口 对端设备 端口 备注1.1 Internet 3750G G1/0/4 电信1.2 Internet 3750G G1/0/28 联通F5-69002.1 Allot 3040 Bypass external 1设
12、备 接口 IP 地址 子网掩码2.1/2.2 172.16.250.110 255.255.255.01.1 61.13.220.17 255.255.255.224F5-69001.2 216.31.220.102 255.255.255.224Allot-3040 Mgnt 172.16.250.102 255.255.255.0Allot 管理服务器 Eth1 172.16.250.100 255.255.255.0设备 SNAT 地址 备注216.31.220.103 电信F5 690061.13.220.18 联通xxx 互联网出口负载均衡和流量分析项目总体方案92.2 Allot
13、3040 Bypass external 2Bypass internal 1 C3750G Gi1/0/27Bypass internal 2 C3750G Gi1/0/28Bypass external 1 F5-6900 2.1Bypass external 2 F5-6900 2.2Allot-3040Mgnt C3750 Gi1/0/25Allot服务器Eth1 C3750 Gi1/0/265.2.5 静态路由规划依据边界设备采用静态路由的原则,公共信息网的互联网出口系统采用静态路由的方式与内网和各运营商互指。设备 路由 下一跳 备注0.0.0.0 60.13.219.17 联通0.
14、0.0.0 218.31.123.102 电信F5-6900172.16.0.0 172.16.250.1 回程Allot-3040 172.16.250.0 172.16.250.1 管理Allot 管理服务器 172.16.250.0 172.16.250.1 管理公共信息网C3750 0.0.0.0 172.16.250.110默认路由5.2.6 F5-6900 策略设计参考现在运行的 F5-3400 目前配置,按照总体设计的链路聚合方式,针对F5-6900 进行配置策略设计,内容包含一下部分: 电信、联通链路对应公共信息网 F5-6900 的接口、管理 IP、接口 IP及路由 Port
15、Channel(链路聚合) Virtual Server Listxxx 互联网出口负载均衡和流量分析项目总体方案10 Pool List Monitor List iRule SNAT-List SNAT5.2.7 Allot-3040 策略设计参考现在运行的 QQSG 目前配置,针对 Allot-3040 进行配置策略设计,内容包含一下部分: 管理服务器安装(NX 服务器) 配置管理 IP 及路由 Line Pipe VirtualChannel QOS IP Host5.2.8 C3750G总体设计 PortChannel(链路聚合) 路由xxx 互联网出口负载均衡和流量分析项目总体方案
16、116 实施方案6.1 设备安装调试F5-6900 安装调试详细配置见附件中F5-6900 配置手册Allot 管理服务器安装调试: Allot 管理服务器安装在 Wndows server 2003 英文版(建议)或中文版 32 位包括 SP2,虚拟内存设置成 4G; 管理员需要安装 JAVA SDK 和 NetXplorer 才能管理 Allot; 详细配置见附件中Allot 管理服务器配置手册Allot-3040 安装调试详细配置见附件中Allot-3040 配置手册C3750G 详细配置见附件中C3750G 配置手册6.2 设备上架、加电测试按照机房要求,将新设备 F5-6900 和
17、Allot-3040 上架,并加电测试。6.3 业务平滑迁移 公共信息网 F5-3400 更换为 F5-6900: 将业务数据流量从 F5-3400 迁移至 F5-6900,观察业务数据流量是否正常,若出现异常情况立即将业务数据流量恢复至 F5-3400,优先保证用户正常使用公共信息网资源,迅速排查原因后重新实施。 公共信息网 QQSG 更换为 Allot-3040;将业务数据流量从 QQSG 迁移至 Allot-3040,观察业务数据流量是否正常,若出现异常情况立即将业务数据流量恢复至 QQSG,优先保证用户正常使用公共信息网资源,迅速排查原因后重新实施。 公共信息网边界路由器 C3750G
18、 配置调整: xxx 互联网出口负载均衡和流量分析项目总体方案12将业务数据流量从原接口迁移至 PortChannel 接口,观察业务数据流量是否正常,若出现异常情况立即将业务数据流量恢复至原接口,优先保证用户正常使用公共信息网资源,迅速排查原因后重新实施。6.4 链路跳接 公共信息网边界路由 C3750G 至 Allot-3040 新增 1 条多模光跳线(FC-FC) ; Allot-3040 至 F5-6900 新增 1 条多模光跳线; F5-6900 至互联网 3750G 新增 1 条多模光跳线。6.5 策略调整、优化配置经过 1 个月的使用,通过数据分析、结合 F5-6900 和 Al
19、lot-3040 的技术特点、油田互联网出口情况和用户使用习惯,对原有配置进行优化,提升、改善用户网络体验效果。6.6 设备关机F5-6900 和 Allot-3040 运行稳定后,将 F5-3400 和 QQSG 关机,作为备用。xxx 互联网出口负载均衡和流量分析项目总体方案137 项目组织管理7.1 项目实施总体布署本项目实施要求对 xxx 正常访问互联网的影响降到最低,本项目的实施可分为以下大部分:1、 设备拆封、设备硬件货物验收2、 设备上架、系统安装3、 软件安装、预调试4、 割接实施,实地测试5、 用户培训7.2 项目实施准备工作在项目实施前,已对 xxx 网络部署的环境、方案等
20、作了认真充分的论证,准备工作包括:7.2.1 进场前准备工作 与相关部门协调,确认进场时间及人员7.2.2 项目实施所需工具及测量仪 十字、一字螺丝刀各 2 把 开线刀,打线钳,电源地拖各 1 套项目组成员名单序号 工程类别 人数 联系人1 项目负责 1人2 现场负责兼方案设计人员 1人3 安装、调试 1人4 厂商工程师远程支持 2人5 硬件上架、设备供电 2人xxx 互联网出口负载均衡和流量分析项目总体方案14 网络测试仪、光纤测试仪各 1 套 笔记本电脑 1 台,交叉线 4 条以上工具和设备,由项目负责人在进场前检查相关设备工具的到位情况。7.2.3 工作计划1、 与 xxx 负责人员确定
21、设备上架时间,协调/配合 xxx 负责人员发布维护通知2、 上架前的准备工作,包括确定从设备到主干交换机的网线长度、尾纤长度、接头类型、光纤模块安装。3、 规划实施时间,设备上架演习,文档、标签整理4、 软件安装,预调试7.3 项目实施关键步骤说明实施的关键工序如下:(1) 线缆布放;(2) 设备上架,电源线固定;(3) 启动设备,确定各进程已正常工作,确定管理页面可正常打开,确保设备工作正常。(4) 设备及网线贴标签,等待通知时间,准备串接任务 负责人 实施场地 备注设备的上架 实施工程师电源线固定,连接网线 实施工程师设备上电测试 实施工程师贴标签 实施工程师等待通知时间,实施实施工程师甲
22、方人员设备网络测试实施工程师厂商工程师设备运行测试 实施工程师xxx 勘探开发综合楼信息管理部机房网络机房xxx 互联网出口负载均衡和流量分析项目总体方案15厂商工程师管理页面测试实施工程师厂商工程师检查,收尾 所有人员7.4 项目文档管理1、 工程指定 1 人负责内外文档的规范、整理2、 规范整理的文档必须经过项目经理的严格审核并签字3、 项目资料的填写 与制作应与项目进度同步进行,并按表格规定,由项目实施人员会签后存档xxx 互联网出口负载均衡和流量分析项目总体方案168 项目实施进度计划在施实前由项目经理与各方负责人召开现场会议,根据技术方案以及合同内容等制定项目实施进度计划,项目实施总
23、时间为四天。9 应急预案此次实施关系到油田用户访问互联网业务,要求尽可能在短时间内完成设备线路切换和策略部署,因此实施过程中出现其他情况时;立即启动“信息管理部相关应急预案” ,恢复原有网络线路或配置,排查问题原因后准备下一次实施。安装、预调试1 天方案实施:0.5天实地测试:1 天策略优化:30天用户培训1.5 天实施前的准备工作,包括确定网线及尾纤长度、接头类型、均衡设备的测试。软件安装,预调试核对所带实施材料落实实施过程中各部门对接人及联系方式实施、测试前期环境调研布署方案设计4 天实施方案制定确定割接时间1 天针对塔指环境,制定出合理的数据获取方案及实施计划与项目负责人确定实施时间,协
24、调/配合项目负责人发布维护通确定项目组人选方案制定文档模板生成用户培训跟踪回访xxx 互联网出口负载均衡和流量分析项目总体方案1710 培训计划10.1 F5 培训内容10:30 12:00将设备对用户端进行交付, 让用户了解设备,并学会如何查看各类参数。12:00 13:00进行策略添加、修改,让用户了解策略,规则的意义,学会如何定制策略。13:00 14:00 实际操作,让用户有能力去分析流量情况,并学会管理设备。10.2 Allot 培训内容10:30 11:30介绍 NetXplorer. 什么是 NetXplorer? 我们将学习如何安装NetXplorer 服务器和使用图形化界面的
25、客户端,并且稍后可以看到如何开始通过图形化客户端实现工作。11:45 12:15监控与报告. 如何通过使用 NetXplorer 获得对您的网络全面可视化?在此部分,我们将学习如何使用 NetXplorer 实时监控和长期监控的功能。我们将检查不同类型的可用图形和了解每个图形它的典型用途和如何生成的。在了解如何预定义和定期报告以及如何使用组特性将不同的设备集成到一个报告里,我们也将关注一些其他的高级的监控特性。12:15 13:30监控动手练习16:00 16:30条件选项. 如何定义不同的条件选项来等级化您的网络中各种流量。这部分给出了十分清晰的解释,包括主机、时间、服务、TOS和 VLAN
26、 等选项。16:45 17:15执行选项.如何为你在网络种已经定义的不同的流量设置定义不同的执行动作选项 。这个部分包括关于 QoS, ToS 和 DoS 选项的详细说明,以及很好的阐述了 NetEnforcer 的工作机制 。17:15 18:30建立策略. 如何建立将你定义的各种选项组合成一个有效的策略来满足你的业务需求。这部分将通过案例来解释如何创建规则,xxx 互联网出口负载均衡和流量分析项目总体方案18如何使用 Lines, Pipes, VCs 和 Templates。 18:30 19:00事件和告警. 如何确认对于网络状态变化的预设提示。这个部分将概括如何定义告警和告警行为以及
27、如何费培不同的项目种。此外,我们将看到如何配置事件和如何在多种日志中看事件和告警。最后会举几个案例。19:00 19.30动手练习, 总结和回顾xxx 互联网出口负载均衡和流量分析项目总体方案1911 附件11.1 F5-6400 配置手册备份原 F5-3400 策略配置,根据 F5-3400 策略配置调试 F5-6900:将 Console 线连接工作站 COM 口和 F5 的 console 口,网线连接工作站网口和 F5 的 MGMT 网口:登录 F5 设备进行激活:设备激活后,进行管理地址、主机名称、口令的配置更改:MGMT 口 Console 口xxx 互联网出口负载均衡和流量分析项
28、目总体方案20在 F5-6900 接口上配置内网链路 IP:(配置地址后,注意关联相应 VLAN)在 F5-6900 接口上配置互联网链路 IP:配置方法如上图,配置好后,在 selfIP 中查看,如下图:xxx 互联网出口负载均衡和流量分析项目总体方案21在 F5-6900 上配置 PortChannel(链路聚合):将需要做链路聚合的连个端口绑到一个 trunk 中,并将此 trunk 应用到内网的接口上即可在 F5-6900 上配置缺省路由及回指路由:将建立好的 default_gateway_pool 关联到缺省路由上,并按照用户提供的地址段,填入正确的回指路由在 F5-6900 上配
29、置 Virtual Server List;进入 LTM 模块中的 Virtual Serverxxx 互联网出口负载均衡和流量分析项目总体方案22创建缺省 VS 向外指出,所有访问互联网的用户将默认匹配此 VS,并触发相应规则:xxx 互联网出口负载均衡和流量分析项目总体方案23进入 LTM 模块中的 pool:xxx 互联网出口负载均衡和流量分析项目总体方案24建立运营商的首选 pool,并使用 ICMP 进行链路活动探测:xxx 互联网出口负载均衡和流量分析项目总体方案25在 F5-6900 上配置 Monitor List;进入 LTM 中的 monitor,建立自定义的 monito
30、r 内容,如无特殊要求,使用默认 monitor 即可xxx 互联网出口负载均衡和流量分析项目总体方案2611.2 Allot 管理服务器配置手册(1) 将 Allot 管理服务器安装在 Wndows server 2003 英文版或中文版 32 位包括 SP2,虚拟内存设置成 4G;xxx 互联网出口负载均衡和流量分析项目总体方案27(2) 在服务器上安装 jdk-6u2-windows-i586-p(NX10),然后安装NetXplorer 软件,在安装时请关闭一切实时病毒防护软件,在安装 NetXplorer 软件时必须联网激活,如果不激活的话数据库在生成的时候会出错;(3) 在客户端上
31、安装 java-jdk,使用浏览器登录 NetXplorer 服务器(4) 使用缺省的用户名 admin 和密码 allot 登录xxx 互联网出口负载均衡和流量分析项目总体方案2811.3 Allot-3040 配置手册Allot-3040 配置策略调试(1)在服务器上安装 NX 服务器,配置 NX 服务器 IP 地址,并在 NX上添加管理许可(2)在 Allot-3040 上配置管理 IP;例如:(3)通过管理 IP 将 NX 与 Allot-3040 关联起来xxx 互联网出口负载均衡和流量分析项目总体方案29(4)NX 上添加设备的使用许可(5)升级特征库xxx 互联网出口负载均衡和流量分析项目总体方案30(6)在 NX 上配置 Allot-3040 的 HOST list;所需定义的主机列表,如:家属区 IP 列表、重要领导 IP 列表、办公区 IP 列表、信息管理部 IP 列表(7)在 NX 上配置 QoS
