互联网出口负载均衡和流量分析总体方案.doc

xxx互联网出口负载均衡和流量分析项目总体方案xxx互联网出口负载均衡和流量分析项目方案巴州浩展网络有限责任公司2012年3月目录1项目背景32项目目标33项目原则34总体方案设计44.1现状分析44.2方案论证44.3总体方案55设计方案65.1技术关键点65.2方案设计76实施方案116.1设备安装调试116.2设备上架、加电测试116.3业务平滑迁移116.4链路跳接126.5策略调整、优化配置126.6设备关机127项目组织管理137.1项目实施总体布署137.2项目实施准备工作137.3项目实施关键步骤说明147.4项目文档管理158项目实施进度计划169应急预案1610培训计划1710.1F5培训内容1710.2Allot 培训内容1711附件1911.1F5-6400配置手册1911.2Allot管理服务器配置手册2611.3Allot-3040配置手册2811.4C3750G配置手册321 项目背景目前xxx的互联网出口是电信、联通双线接入，办公网、公共信息网分别建有互联网出口系统；中石油互联网出口接入到办公网边界区域；用户群体庞大，约有3万终端。油田中心机房现有油田办公网互联网出口负载均衡设备、流量整形设备，且各只有一台，没有备份，当出现软硬件问题设备不能正常运行时将导致相关网络瘫痪。通过本项目购置负载均衡设备和流量整形设备各1台，为互联网正常运行做好保障。2 项目目标根据油田互联网出口现状，设计原有的互联出口设备和新购的F5负载均衡、ALLOT流量整形设备的实施方案。根据方案进行油田互联网出口整体实施，包括原有设备和新购设备等的安装实施。在原有的互联网出口系统基础上，使之更加稳定、安全、可靠。3 项目原则n 先进性原则n 可靠性原则n 维护性原则n 扩展性原则n 安全性原则n 易用性原则4 总体方案设计4.1 现状分析办公网互联网出口设备有F5-6400、Allot-1010、ISG2000和边界路由器3750G，公共信息网互联网出口设备有F5-3400、QQSG和边界路由器3750G。4.2 方案论证根据xxx办公网与公共信息网两网分离的网络实际情况，结合现有设备，从以下几个方面分析论证：1、 流量分析：设备OUTIN策略备注F5-640050M/s400M/sWeb/邮件办公网F5-3400500M/s600M/s无公共信息网结论：1、 互联网出口峰值流量公共信息网大于办公网；2、 互联网出口设备压力公共信息网高于办公网。2、 设备性能分析：公共信息网F5-3400年限较长，硬件性能不足。设备（理论值）并发会话数为400万，活动用户数峰值为1万，内存为1G。当用户峰值访问时，设备会话保持使用不够，易出现间断性断网，释放内存后网络恢复。不能满足公共信息网的应用需求办公网F5-6400并发会话数800万，活动用户数峰值为2.5万，内存为2G。可以满足办公网的应用需求，但不能满足公共信息网的应用需求。QQSG协议特征库长时间没有更新，不能对新的应用做到识别，已经不能满足现有流量分析的需求；报表的时间戳不能同步，报表的时间不对，无法修正。 不能满足公共信息网的需求Allot-1010能够识别现有办公网（Web/Ftp/Mail）需求产生的应用流量分析，硬件设备运行稳定。由于没有续保服务，特征库无法更新，软件版本低。可以满足办公网现有功能要求，但不能满足公共信息网复杂应用分析的需求。4.3 总体方案 基于上述分析，办公网的互联网出口系统保持现状，公共信息网的F5-3400和QQSG更换为F5-6900和Allot-3040,F5-3400和QQSG关机，作为互联网出口体系的备用设备。5 设计方案5.1 技术关键点5.1.1 F5-6900多链路的负载均衡：LinkController可以智能的解决多条ISP接入链路以保证网络服务的质量，分为OUTBOUND流量的负载均衡、INBOUND流量的负载均衡。多链路的冗余：可以检测每条链路的运行状态和可用性，做到链路和ISP故障的实时检测。高度的安全性：采用防火墙的设计原理，是缺省拒绝设备，防御普通网络攻击。能够拆除空闲连接防止拒绝服务攻击；能够执行源路由跟踪防止IP欺骗；拒绝没有ACK缓冲确认的SYN防止SYN攻击；拒绝teartop和land攻击；保护自己和内网免受ICMP攻击；不运行SMTP、FTP、TELNET或其它易受攻击的后台程序。Dynamic Reaping特性可以高效删除各类网络DoS攻击中的空闲连接，这可以保护BIG-IP不会因流量过多而瘫痪。Delay Binding技术可以为部署在BIG-IP后面的服务器提供全面地SYN Flood保护。5.1.2 Allot-3040确保关键业务应用、控制广域网成本：检测网络与带宽的使用情况，自动发现网络中的应用，判断网络中哪些协议可能对网络造成影响而需要对其进行管理。对所有经过Allot设备的所有流量进行检查，并持续监测资源的使用情况以保证对网络的控制与应用服务的性能，定义的策略将业务优先级与用户的需求相结合。强健策略驱动的网络架构：为网络中的每一种应用精确地分配带宽，保证那些对网络延迟敏感的应用的质量不会因为网络中的其他流量而下降。实现网络智能：借助NetXplorer管理平台实现逐层深入的网络分析，以实现智能的网络管理，包括信息收集与分析、找出网络瓶颈、以及集中管理策略配置。抵制恶意网络攻击：侦测已知类型的DDOS网络攻击，监测、记录并阻止不良的网络流量，对即将发生的网络攻击提出早期告警，并且使用专用的带外管理端口以保证即使发生DDOS攻击的情况下也能够对设备进行管理，从而对攻击流量进行管控。保证最大的网络可靠性：通过两个层面的容错特性保证网络的100%正常运行时间，首先是基于硬件的旁路单元（Bypass）可以再设备发生软硬件故障的情况下将数据透明的进行传输，不会导致网络中断。5.2 方案设计5.2.1 设计内容F5-6900流量处理能力是6Gbps，64位的TMOS硬件架构，4核8进程CPU处理能力，8G内存，24个千兆接口（含光口）。并发数是800万，活动用户数峰值为4万，背板带宽68G。Allot-3040有8个千兆接口，可扩展至4Gbps的全双工吞吐率，实时监测和QoS策略执行多达400万个并发IP流，支持Allot的DART（动态可操作的识别）技术，广泛的特征库，能够准确地识别数以百计的互联网应用和协议，可自动更新特征库。为了更好地使用F5-6900和Allot-3040，公共信息网互联网出口在边界路由器C3750G和F5-6900之间采用链路聚合的方式，增加链路带宽，使互联网访问能够快速、有效地通过，充分发挥性能。5.2.2 网络资源规划设备接口IP地址子网掩码F5-69002.1/2.2101.1 7241.2 0224Allot-3040Mgnt02Allot管理服务器Eth1005.2.3 SNAT-List设备SNAT 地址备注F5 690003电信8联通5.2.4 设备互联规划设备端口对端设备端口备注F5-69001.1Internet 3750GG1/0/4电信1.2Internet 3750GG1/0/28联通2.1Allot 3040Bypass external 12.2Allot 3040Bypass external 2Allot-3040Bypass internal 1C3750GGi1/0/27Bypass internal 2C3750GGi1/0/28Bypass external 1F5-69002.1Bypass external 2F5-69002.2MgntC3750Gi1/0/25Allot服务器Eth1C3750Gi1/0/265.2.5 静态路由规划 依据边界设备采用静态路由的原则，公共信息网的互联网出口系统采用静态路由的方式与内网和各运营商互指。设备路由下一跳备注F5-69007联通02电信回程Allot-3040管理Allot管理服务器管理公共信息网C3750 10默认路由5.2.6 F5-6900策略设计参考现在运行的F5-3400目前配置，按照总体设计的链路聚合方式，针对F5-6900进行配置策略设计，内容包含一下部分： 电信、联通链路对应公共信息网F5-6900的接口、管理IP、接口IP及路由 PortChannel（链路聚合） Virtual Server List Pool List Monitor List iRule SNAT-List SNAT5.2.7 Allot-3040策略设计参考现在运行的QQSG目前配置，针对Allot-3040进行配置策略设计，内容包含一下部分： 管理服务器安装（NX服务器） 配置管理IP及路由 Line Pipe VirtualChannel QOS IP Host5.2.8 C3750G总体设计 PortChannel（链路聚合） 路由6 实施方案6.1 设备安装调试F5-6900安装调试详细配置见附件中F5-6900配置手册Allot管理服务器安装调试： Allot管理服务器安装在Wndows server 2003英文版（建议）或中文版32位包括SP2，虚拟内存设置成4G； 管理员需要安装JAVA SDK和NetXplorer才能管理Allot； 详细配置见附件中Allot管理服务器配置手册Allot-3040安装调试详细配置见附件中Allot-3040配置手册C3750G详细配置见附件中C3750G配置手册6.2 设备上架、加电测试按照机房要求，将新设备F5-6900和Allot-3040上架，并加电测试。6.3 业务平滑迁移 公共信息网F5-3400更换为F5-6900： 将业务数据流量从F5-3400迁移至F5-6900，观察业务数据流量是否正常，若出现异常情况立即将业务数据流量恢复至F5-3400，优先保证用户正常使用公共信息网资源，迅速排查原因后重新实施。 公共信息网QQSG更换为Allot-3040； 将业务数据流量从QQSG迁移至Allot-3040，观察业务数据流量是否正常，若出现异常情况立即将业务数据流量恢复至QQSG，优先保证用户正常使用公共信息网资源，迅速排查原因后重新实施。 公共信息网边界路由器C3750G配置调整： 将业务数据流量从原接口迁移至PortChannel接口，观察业务数据流量是否正常，若出现异常情况立即将业务数据流量恢复至原接口，优先保证用户正常使用公共信息网资源，迅速排查原因后重新实施。6.4 链路跳接 公共信息网边界路由C3750G至Allot-3040新增1条多模光跳线（FC-FC）； Allot-3040至F5-6900新增1条多模光跳线； F5-6900至互联网3750G新增1条多模光跳线。6.5 策略调整、优化配置经过1个月的使用，通过数据分析、结合F5-6900和Allot-3040的技术特点、油田互联网出口情况和用户使用习惯，对原有配置进行优化，提升、改善用户网络体验效果。6.6 设备关机F5-6900和Allot-3040运行稳定后，将F5-3400和QQSG关机，作为备用。7 项目组织管理7.1 项目实施总体布署本项目实施要求对xxx正常访问互联网的影响降到最低，本项目的实施可分为以下大部分： 1、 设备拆封、设备硬件货物验收 2、 设备上架、系统安装 3、 软件安装、预调试 4、 割接实施，实地测试 5、 用户培训7.2 项目实施准备工作在项目实施前，已对xxx网络部署的环境、方案等作了认真充分的论证，准备工作包括：7.2.1 进场前准备工作 与相关部门协调，确认进场时间及人员项目组成员名单序号工程类别人数联系人1项目负责1人2现场负责兼方案设计人员1人3安装、调试1人4厂商工程师远程支持2人5硬件上架、设备供电2人7.2.2 项目实施所需工具及测量仪 十字、一字螺丝刀各2把 开线刀，打线钳，电源地拖各1套 网络测试仪、光纤测试仪各1套 笔记本电脑1台，交叉线4条以上工具和设备，由项目负责人在进场前检查相关设备工具的到位情况。7.2.3 工作计划1、 与xxx负责人员确定设备上架时间，协调/配合xxx负责人员发布维护通知2、 上架前的准备工作，包括确定从设备到主干交换机的网线长度、尾纤长度、接头类型、光纤模块安装。3、 规划实施时间，设备上架演习，文档、标签整理4、 软件安装，预调试7.3 项目实施关键步骤说明实施的关键工序如下：(1) 线缆布放；(2) 设备上架，电源线固定；(3) 启动设备，确定各进程已正常工作，确定管理页面可正常打开，确保设备工作正常。(4) 设备及网线贴标签，等待通知时间，准备串接任务负责人实施场地备注设备的上架实施工程师xxx勘探开发综合楼信息管理部机房网络机房电源线固定，连接网线实施工程师设备上电测试实施工程师贴标签实施工程师等待通知时间，实施实施工程师甲方人员设备网络测试实施工程师厂商工程师设备运行测试实施工程师厂商工程师管理页面测试实施工程师厂商工程师检查，收尾所有人员7.4 项目文档管理1、 工程指定1人负责内外文档的规范、整理2、 规范整理的文档必须经过项目经理的严格审核并签字3、 项目资料的填写 与制作应与项目进度同步进行，并按表格规定，由项目实施人员会签后存档8 项目实施进度计划安装、预调试1天方案实施：0.5天实地测试：1天策略优化：30天用户培训1.5天实施前的准备工作，包括确定网线及尾纤长度、接头类型、均衡设备的测试。软件安装，预调试核对所带实施材料落实实施过程中各部门对接人及联系方式实施、测试前期环境调研布署方案设计4天实施方案制定确定割接时间1天针对塔指环境，制定出合理的数据获取方案及实施计划与项目负责人确定实施时间，协调/配合项目负责人发布维护通确定项目组人选方案制定文档模板生成用户培训跟踪回访在施实前由项目经理与各方负责人召开现场会议，根据技术方案以及合同内容等制定项目实施进度计划，项目实施总时间为四天。9 应急预案此次实施关系到油田用户访问互联网业务，要求尽可能在短时间内完成设备线路切换和策略部署，因此实施过程中出现其他情况时；立即启动“信息管理部相关应急预案”，恢复原有网络线路或配置，排查问题原因后准备下一次实施。10 培训计划10.1 F5培训内容10:30 12:00将设备对用户端进行交付， 让用户了解设备，并学会如何查看各类参数。12:00 13:00进行策略添加、修改，让用户了解策略，规则的意义，学会如何定制策略。13:00 14:00实际操作，让用户有能力去分析流量情况，并学会管理设备。10.2 Allot 培训内容10:30 11:30介绍NetXplorer. 什么是NetXplorer? 我们将学习如何安装NetXplorer服务器和使用图形化界面的客户端,并且稍后可以看到如何开始通过图形化客户端实现工作。11:45 12:15监控与报告. 如何通过使用NetXplorer获得对您的网络全面可视化？在此部分，我们将学习如何使用NetXplorer 实时监控和长期监控的功能。我们将检查不同类型的可用图形和了解每个图形它的典型用途和如何生成的。在了解如何预定义和定期报告以及如何使用组特性将不同的设备集成到一个报告里，我们也将关注一些其他的高级的监控特性。12:15 13:30监控动手练习16:00 16:30条件选项. 如何定义不同的条件选项来等级化您的网络中各种流量。这部分给出了十分清晰的解释，包括主机、时间、服务、TOS和VLAN等选项。16:45 17:15执行选项.如何为你在网络种已经定义的不同的流量设置定义不同的执行动作选项 。这个部分包括关于QoS, ToS 和DoS选项的详细说明，以及很好的阐述了NetEnforcer的工作机制 。17:15 18:30建立策略. 如何建立将你定义的各种选项组合成一个有效的策略来满足你的业务需求。这部分将通过案例来解释如何创建规则，如何使用Lines, Pipes, VCs 和 Templates。 18:30 19:00事件和告警. 如何确认对于网络状态变化的预设提示。这个部分将概括如何定义告警和告警行为以及如何费培不同的项目种。此外，我们将看到如何配置事件和如何在多种日志中看事件和告警。最后会举几个案例。19:00 19.30动手练习, 总结和回顾11 附件11.1 F5-6400配置手册备份原F5-3400策略配置，根据F5-3400策略配置调试F5-6900：将Console线连接工作站COM口和F5的console口，网线连接工作站网口和F5的MGMT网口：Console口MGMT口登录F5设备进行激活：设备激活后，进行管理地址、主机名称、口令的配置更改：在F5-6900接口上配置内网链路IP：（配置地址后，注意关联相应VLAN）在F5-6900接口上配置互联网链路IP：配置方法如上图，配置好后，在selfIP中查看，如下图：在F5-6900上配置PortChannel（链路聚合）：将需要做链路聚合的连个端口绑到一个trunk中，并将此trunk应用到内网的接口上即可在F5-6900上配置缺省路由及回指路由：将建立好的default_gateway_pool关联到缺省路由上，并按照用户提供的地址段，填入正确的回指路由在F5-6900上配置Virtual Server List；进入LTM模块中的Virtual Server创建缺省VS向外指出，所有访问互联网的用户将默认匹配此VS，并触发相应规则：进入LTM模块中的pool：建立运营商的首选pool，并使用ICMP进行链路活动探测：在F5-6900上配置Monitor List；进入LTM中的monitor，建立自定义的monitor内容，如无特殊要求，使用默认monitor即可11.2 Allot管理服务器配置手册（1） 将Allot管理服务器安装在Wndows server 2003英文版或中文版32位包括SP2，虚拟内存设置成4G；（2） 在服务器上安装jdk-6u2-windows-i586-p(NX10)，然后安装NetXplorer软件，在安装时请关闭一切实时病毒防护软件，在安装NetX