梭子鱼服务器负载均衡BLB通用项目方案

1、效劳器系统负载均衡工程建议书梭子鱼负载均衡机通用方案文档修订记录标题效劳器系统负载均衡工程建议书-梭子鱼负载均衡机通用方案文档类型产品文档?设计方家?实施文档?配置文档?测试文档?其他?当前版本V1.0文档作者梭子鱼中国文档审阅创立日期2021/5/11文档名称效劳器系统负载均衡工程建议书-梭子鱼负载均衡机通用方案更新者更新内容及版本更新时间潘渊文档建立2021/5/14文档说明此文档是由梭子鱼公司中国于 2021/5/11制定的内部文档.本文档仅就Barracuda Networks内部与相关合作伙伴和Barracuda Networks 最终用户使用.版权说明本文档中出现的任何文字表达、文

2、档格式、插图、照片、方法、代码等内容,除由特别注明,版权均属于Barracuda Networks 所有,受到有关产权及版权法保护.任何个人、机构未经BarracudaNetworks书面授权许可,不得以任何方式复制或引用本文档的任何片断.目录第一章前言 4第二章梭子鱼负载均衡机的技术优势 52.1 功能全面的效劳器负载均衡解决方案 52.2 梭子鱼负载均衡机的根本原理 62.3 梭子鱼负载均彳U机的特色 62.4 梭子鱼负载均衡机的功能 82.4.1 负载算法 82.4.2 效劳器健康检查 102.4.3 会话保持 102.4.4 内建IPS防御攻击 112.4.5 梭子鱼的高可用性 14第

3、三章 XXX负载均衡机需求分析及工程方案 153.1 客户网络概况 153.2 梭子鱼解决方案 153.3 梭子鱼型号的选择 163.4 梭子鱼产品安装部署 16第四章 负载均衡机产品国内外评测 194.1 微软认证合作伙伴 194.2 奖项资质 19第五章梭子鱼客户情况 20弟一早刖H随着宽带网络技术的不断开展以及网络根底设施的完善,Internet 在国内得到迅速的开展,短短几年中,国内上网人数突破了1.3亿.根据中国互联网络信息中央2007年1月公布的数据,我国上网计算机数约 5940万台,其中宽带上网计算机为3530万台,拨号上网计算机为1820万台. 我国上网用户人数约13700万人

4、,其中宽带上网的用户人数约为9070万,拨号上网的用户人数约为3900万,同时使用宽带与拨号的用户人数为565万.除计算机外同日使用其它设备移动终端、信息家电等上网的用户人数为1700万.不少地方如北京上海广州等网民数站到总人口的1/3.互联网已经彻底地成为了人们工作、生活的一局部.对于提供互联网效劳的效劳器而言,出现了如下变化：A.访问量大量增加网络用户的所有请求都涌向源网站,很多网络效劳由于访问次数爆炸式地增长而不堪重负,不能及时处理用户的请求,导致用户进行长时间的等待,大大降低了效劳质量.如何建立可 伸缩的网络效劳来满足不断增长的负载需求已成为迫在眉睫的问题.B.内容与功能的增加例如：现

5、在 Web效劳中越来越多地使用 CGI、动态主页等 CP嘀集型应用,这对效劳器的性能有 较高要求.此外,企业网站的互动和多媒体内容增多,企业网站上大量Flash ,图片内容影响网站响应速度；企业宣传活动及新产品发布期间,易产生"数据风暴"影响网站效劳及新产品的推广宣传.再如：流媒体作为网络内容的新生代,已经被越来越多的内容提供商和企业所采用,用户将更多 的从网络上获取流媒体的内容.会议、研讨会、娱乐、体育活动直播、网上教育、网上影院等更加丰 富多样的流媒体表达形式也将进一步走进网络用户的生活,随着宽带时代的到来,宽带用户渴望看到 大量流媒体内容.C.平安性增加由于网站的所有

6、内容都是以数字的形式流转于Internet 之上,因此,在网络运营中不可预防地存在着由Internet的自由、开放所带来的信息平安隐患.Internet上横行的黑客、肆虐的病毒使用户感觉到目前的网络环境缺乏平安.根据中国互联网络信息中央 CNNI.2007年1月公布的?中国 互联网络开展状况统计报告?显示,用户认为目前网上交易存在的最大问题是"平安性得不到保证:排在了第一位,由此可见用户对网络平安性的忧虑程度.因此,对用硬件和软件方法实现高可伸缩、高可用网络效劳的需求不断增长,这种需求可以归结 以下几点：?可扩展性(Scalability),当效劳的负载增长时,系统能被扩展来满足需求

7、,且不降低效劳质量.?高可用性(Availability ),尽管局部硬件和软件会发生故障,整个系统的效劳必须是每天24小时每星期7天可用的.?可治理性(Manageability ),整个系统可能在物理上很大,但应该易于治理.?价格有效性(Cost-effectiveness ),整个系统实现是经济的、高性价比的.第二章梭子鱼负载均衡机的技术优势2.1 功能全面的效劳器负载均衡解决方案Barracuda Lneroize Updotes比UX的 】PE 口玳oxBdrrdLudd Ludd Bdkniitdr AnhllLturvRon oi udo Luflil BfildRi'i

8、 pr【喀Service MwFiltnrHinh 4iUbililM口ad balAnwt AlqohUhiii主要功能支持微软远程桌面效劳SSL卸载HTTP缓存&压缩内容路由TCP池复用SIP负载均衡L4/L7负载均衡支持IPV6提供硬件和虚拟两种产品交付方式全局负载均衡(GSLB通过微软认证：Exchange 2021,Lync Server2021,Office CommunicationServer(OCS)20072.2 梭子鱼负载均衡机的根本原理针对Internet的飞速开展给企业网络带宽和效劳器带来的这种巨大挑战,企业有两种解决思路.一种方法是增加效劳器的性能,例如采用

9、对称多处理系统 (Symmetric Multi-Processor ,简称SMp ,该系统是由多个对称的处理器、和通过总线共享的内存和I/O部件所组成的计算机系统,具有强大的处理水平.但是随着业务量的增大,这种效劳器升级时具有明显的缺乏.一是升级过程繁琐,机器切 换会使效劳暂时中断,并造成原有计算资源的浪费；二是越往高端的效劳器,所花费的代价越大；三 是SMP效劳器是单一故障点(Single Point of Failure ), 一旦该效劳器或应用软件失效,会导致 整个效劳的中断.另一种思路是采用效劳器集群实现高可伸缩的、高可用网络效劳的有效结构.这种方案通过一组 效劳器分担任务,可以获得

10、很高的整体性能.也易于扩展,性价比也很高.但是简单的效劳器机群在 实现可伸缩的网络效劳存在许多问题.例如透明性( Transparency )问题,用户希望由多个独立计算 机组成的松藕合的集群系统构成一个虚拟效劳器；客户端应用程序与集群系统交互时,就像与一台高 性能、高可用的效劳器交互一样,客户端无须作任何修改.局部效劳器的切入和切出不会中断效劳, 对用户也是透明的.再比方流量的均衡,治理的便捷性.这些要求是效劳器集群无法实现的.梭子鱼负载均衡机(Barracuda Load Balancer )提供了另外一个思路.利用梭子鱼负载均衡机.将一组效劳器构成一个实现可伸缩的、高可用网络效劳的虚拟效

11、劳器.其体系结构如下列图,Clients在一组效劳器的前端安装梭子鱼负载均衡机,所有外部的请求将先连接在梭子鱼负载均衡机VIP上(也称为虚拟效劳器上),梭子鱼执行NAT无缝地将网络请求调度到真实效劳器上.从而使得服务器集群的结构对客户是透明的,客户访问集群系统提供的网络效劳就像访问一台高性能、高可用的 效劳器一样.客户程序不受效劳器集群的影响不需作任何修改.系统的伸缩性通过在效劳机群中透明 地参加和删除一个节点来到达,通过检测节点或效劳进程故障和正确地重置系统到达高可用性.2.3 梭子鱼负载均衡机的特色梭子鱼负载均衡机提供强大、易于使用、本钱效益高的企业级效劳器负载均衡设备,是当前负载均衡设备

12、中最活泼、最易推广、最易普及的效劳器负载均衡机品牌.其设计遵循以下原那么：可扩展性：IT技术日新月异,一年以前最新的产品,现在或许已是网络中性能最低的产品；负载均 衡机应能够根据信息化的不断深入开展的需要,方便的扩展(或裁剪)效劳器,以满足企业业务扩展 的需要.需具备支持多种通信媒体,能均衡不同操作系统和硬件平台之间的负载,能均衡HTTR邮件、新闻、代理、数据库、防火墙和Cache等不同效劳器的负载,并且能以对客户端完全透明的方式动态增加或删除某些资源.梭子鱼负载均衡机使用 TCP/UD附议和IP负载平衡调度,支持所有基于IP的应用程序负载均 衡.包括：高流量的网站,如 HTTP HTTPs

13、FTP,流媒体等.使用瘦客户端的主机应用程序,如：Citrix 、Windows终端效劳.其他 IP 效劳,如：SMTP DNS TFTR RADIUS LDAP等.灵活性：均衡解决方案应能灵活地提供不同的应用需求,满足应用需求的不断变化.在不同的效劳器 群有不同的应用需求时,梭子鱼可以提供多样的均衡策略提供更广泛的选择.梭子鱼负载均衡机部署灵活,支持路由模式、桥接模式、效劳直接返回模式.路由模式部署灵活,约60%勺用户采用这种方式部署；桥接模式不改变现有的网络架构；效劳直接返回(DSR比拟适合吞吐量大特别是内容分发的网络应用.约30%勺用户采用这种模式.可靠性：在对效劳质量要求较高的站点,负

14、载均衡解决方案应能为效劳器群提供完全的容错性和高可 用性.但在负载均衡设备自身出现故障时,应该有良好的冗余解决方案,提升可靠性.使用冗余时, 处于同一个冗余单元的多个负载均衡设备必须具有有效的方式以便互相进行监控,保护系统尽可能地预防遭受到重大故障的损失.梭子鱼负载均衡机提供强大的企业级的解决方案,它可以用于为任何基于IP的应用程序提供IP负载均衡,它监控效劳器的健康状态,并在效劳器故障时自动容错,而梭子鱼本身还可以部署成主/次模式,如果主设备故障,次负载均衡设备能自动切换成主设备,最大程度的减小了整个负载均衡服 务器集群的风险.易治理性：不管是通过软件还是硬件方式的均衡解决方案,我们都希望它

15、有灵活、直观和平安的治理 方式,这样便于安装、配置、维护和监控,提升工作效率,预防过失.梭子鱼(Barracuda )提供给用户是非常易于使用的产品.用户翻开包装箱,把梭子鱼安装在19英寸标准机架上,进行简单的配置后梭子鱼马上开始提供高性能的负载均衡效劳.这一过程仅仅只需 要十分钟.梭子鱼(Barracuda )提供给用户的是一种“即插即忘式的产品,无需用户进行复杂的 系统操作,治理员通过 WEE览器就可以对设备进行远程的治理,一旦系统调整完毕,梭子鱼将自动 监控效劳器的状态,自动分配流量、自动冗余、自动接收升级入侵检测代码,治理员无需经常登录系 统进行治理2.4 梭子鱼负载均衡机的功能2.4

16、.1 负载算法梭子鱼负载均衡机利用虚拟IP地址VIP由IP地址和TCP/UD陟用的端口组成,它是一个地址来为用户的一个或多个目标效劳器称为节点,即真实效劳器Real Server的IP地址和TCP/UDPS用的端口组成,它可以是私网地址提供效劳.因此,它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡效劳.梭子鱼负载均衡机连续地对目标效劳器进行L4到L7合理性检查,当用户通过VIP请求目标效劳器效劳时,梭子鱼负载均衡机根楣目标效劳器之间性能和网络健康情况,选择性能最正确的效劳器响应用户的请求.能够充分利用所有的效劳器资源,将所有流量均衡的分配到各个效劳 器,我们就可以有效地预防“不平衡

17、现象的发生.梭子鱼负载均衡机是一台对流量和内容进行治理 分配的设备.它提供 7种灵活的算法将数据流有效地转发到它所连接的效劳器群.而面对用户,只是 一台虚拟效劳器.用户此时只须记住一台效劳器,即虚拟效劳器.但他们的数据流却被梭子鱼负载均 衡机灵活地均衡到所有的效劳器.这7种算法包括：轮询Round Robin :轮询算法就是顺序循环将请求依次顺序循环地连接每个效劳器.在此过程中,如果梭子鱼检测到某个效劳器第二到第7层的故障,梭子鱼将把该效劳器从顺序循环队列中拿出称为切出效劳,不参与下一次轮询,直到其恢复正常.该算法相对简单,其优点是简洁,它无 需记录当前所有连接的状态,所以它是一种无状态调度.

18、但是由于它假设所有效劳器处其理性能均相 同,不管效劳器的当前连接数和响应速度.因此不适用于效劳器组中处理性能不一的情况,而且当请 求效劳时间变化比拟大时轮询,轮询算法容易导致效劳器间的负载不平衡.加权轮询算法Weighted Round-Robin:加权轮询算法可以解决效劳器间性能不一的情况,它用相应的权值表示效劳器的处理性能,效劳器的缺省权值为1.假设效劳器 A的权值为1, B的权值为2,那么表示效劳器 B的处理性能是 A的两倍.加权轮叫调度算法是按权值的上下和轮询方式分配请 求到各效劳器.权值高的效劳器先收到的连接,权值高的效劳器比权值低的效劳器处理更多的连接, 相同权值的效劳器处理相同数

19、目的连接数.例如,有三个效劳器 A B和C分别有权值4、3和2,那么在一个调度周期调度序列为AABABCABC加权轮询调度算法还是比拟简单和高效.加权轮询调度也无需记录当前所有连接的状态,所以它也是 一种无状态调度.当请求的效劳时间变化很大,单独的加权轮询调度算法依然会导致效劳器间的负载 不平衡.在此过程中,如果梭子鱼检测到某个效劳器第二到第7层的故障,梭子鱼将把该效劳器从顺序循环队列中拿出称为切出效劳,不参与下一次轮询,直到其恢复正常.最小连接算法： 最小连接算法Least-Connection Scheduling 是把新的连接请求分配到当前 连接数最小的效劳器.最小连接调度是一种动态调度

20、算法,它通过效劳器当前所活泼的连接数来估计效劳器的负载情况.调度器需要记录各个效劳器已建立连接的数目,当一个请求被调度到某台效劳器 ,其连接数加1；当连接中止或超时,其连接数减一.在此过程中,如果梭子鱼检测到某个效劳器第二到第7层的故障,梭子鱼将把该效劳器从顺序循环队列中拿出称为切出效劳,不参与下一次轮询,直到其恢复正常.当各个效劳器有相同的处理性能时,最小连接调度算法能把负载变化大的请求分布平滑到各个服 务器上,所有处理时间比拟长的请求不可能被发送到同一台效劳器上.但是,当各个效劳器的处理能 力不同时,该算法并不理想,由于TCP连接处理请求后会进入 TIME_WAIT犬态,TCP的TIME_

21、WAI>般为2分钟,此时连接还占用效劳器的资源,所以会出现这样情形,性能高的效劳器已处理所收到的 连接,连接处于TIME_WAIT状态,而性能低的效劳器已经忙于处理所收到的连接,还不断地收到新的 连接请求.加权最小连接算法： 加权最小连接Weighted Least-Connection Scheduling 算法是最小连接 调度的超集,各个效劳器用相应的权值表示其处理性能.效劳器的缺省权值为1,系统治理员可以动态地设置效劳器的权值.加权最小连接调度在调度新连接时尽可能使效劳器的已建立连接数和其权值 成比例.在此过程中,如果梭子鱼检测到某个效劳器第二到第7层的故障,梭子鱼将把该效劳器从顺

22、序循环队列中拿出称为切出效劳,不参与下一次轮询,直到其恢复正常.观察模式：这种方式基于动态反应负载均衡机制,来限制新连接的分配,从而限制各个效劳器的 负载.调度器根据单位时间内效劳器收到新连接数与平均连接数的比例,计算效劳器的负载,并依此 计算出新的权重进行流量的分配.CPU动态性能分配：调度器通过SNM晌各个效劳器查tU效劳器当前 CP顷载LOADi,并依此计算 出新的权重进行流量的分配.URL测试动态性能分配： 调度器向效劳器发送测试页面,根据效劳器响应时间,计算新的权重进 行流量分配.这种方式能比拟好的反映效劳器上请求等待队列的长度和请求的处理时间.如果效劳器 设定的时间内没有响应,梭子

23、鱼将认为效劳器不可达,该效劳器的权值将设为零,即将效劳器切出. 直至恢复.网络中的实际流量呈波浪型发生的,在一段较长时间的小流量后,会有一段大流量的访问,然后 是小流量,这样跟波浪一样周期性地发生.当出现流量“峰值时,如果能调配所有效劳器的资源同 时提供效劳,所谓的“峰值堵塞压力就会由于系统性能的大大提升而明显减弱.由于梭子鱼优秀的 负载均衡水平,所有流量会被均衡的转发到各个效劳器,即组织所有效劳器提供效劳.这时,系统性 能等于所有效劳器性能的总和,远大于流量“峰值.这样,即缓解了 “峰值堵塞的压力,又降低 了为调整系统性能而增加的投资 .用户可以根据任意制订的规那么将客户端的访问导向到不同的

24、效劳器 群组.2.4.2 效劳器健康检查梭子鱼负载均衡机支持真实效劳器和效劳的自动发现,从而方便部署新的效劳器.对常用的效劳,用户不需要手动设置端口,梭子鱼能自动检测在指定的效劳器上有哪些效劳正在运行,节省部署和配 置的时间.梭子鱼还支持OSI模型二到七层的 health checking .特别是EA/口 ECV功能：根底网络检查 Ping四层应用检查 TCP/UDP port扩展内容查证 ECVECV是一种非常复杂的效劳检查,用于确认应用程序能否对请求返回对应的数据.如果一个应用 对该效劳检查做出响应并返回对应的数据,梭子鱼就将该效劳器标识为健康状态.如果效劳器不能返 回相应的数据,那么将

25、该效劳器标识为宕机,并将其切出效劳.宕机一旦修复,梭子鱼就会自动发现该 效劳器已经恢复健康,并将其列入轮询序列.扩展应用验证EAVEAV是另一种效劳检查,用于确认运行在某个效劳器上的应用能否对客户请求作出响应.梭子鱼Web治理界面上设置了一组被称作外部效劳检查者的客户程序,该程序为用户提供完全客户化的效劳 检查功能.例如,DNS_TES程序,用户可以输入需要查询的主机名及匹配值,如果真实效劳器返回 的值与匹配值相同,那么说明该效劳正常.梭子鱼预定义的扩展验证 (EAV检查包括：DNS SPAMFIREWALSNMPPOPIMAP SMTPSIMPLE_HTTP SIMPLE_HTTPS HTT

26、P_SLOWHTTP_TEST2.4.3 会话保持梭子鱼负载均衡机经过专门设计,可以为关键业务站点提供高可用性和智能负载平衡.除这些 水平外,还可以识别用户固定访问特定效劳器的要求,以支持用户重新建立到特定效劳器的连接.在 这些条件下,梭子鱼负载均衡时机放弃负载平衡算法以支持对话持续性.举例来说,如果某位用户连接到了一台效劳器上,那么我们肯定希望该用户在将来再次连接时将仍可连接到该台效劳器上.当该效劳器存有用户相关数据,并且这些数据并不与其它效劳器动态共享时,持续性就显得十分有必要了 .例如,让我们假设一位用户在某网站采购了一 “购物车的商品,然后还未结帐就离开了该网站.如果在其重新登录网站后

27、,BIG-IP应用交换机将客户请求路由至不同的效劳器,那么新的效劳器对该用户的数据和其所购置的商品将一无所知.当然,如果所有效劳器都在同一个后台数据库效劳器中存储用户信息及其选购商品的话,那么一切就不成问题了.但是如果网站不是这样设计的,那么具体的购物车数据就只能存储在特定的效劳器上.这样,BIG-IP应用交换机就必需选择用户曾连接上的那台效劳器,以无缝地处理用户请求.此外,会话保持的功能将减少新建连接的数量,这将有助于减小负载均衡机系统开销.2.4.4 内建IPS防御攻击防御攻击包括两个层面,第一个层面如前述效劳器健康检查,负载均衡设备通过精确探测效劳器 的健康状态,再效劳器处理水平到达饱和

28、前可以自动的屏蔽新建链接,以免效劳器可能由于在瞬间接 受超过效劳器吞吐水平的数据流而直接导致系统崩溃,甚至导致数据丧失或客户资料遗失.从而到达 以下目的：?保证所有IP应用的高可用性和正常运行时间?创立一个可控的执行点以对所有流量进行前瞻性平安限制?使效劳器和应用能够及时准确地做出响应?无需额外硬件、软件或其它 IT资源?轻松适应未来不断变化的业务需求第二个层面是在负载均衡设备上建立相应的平安机制.首先是端口的屏蔽.采用负载均衡设备后用户无法直接于效劳器联系,必须与负载均衡设备上建立的虚拟效劳器建立链接,所以黑客无法获得 效劳器的真实地址,增加了黑客攻击的难度.同时,由于虚拟效劳器对外只提供给

29、用效劳端口,其余 端口负载均衡机均不响应且直接Drop Packet ,从而有效地屏蔽了黑客攻击的第一步一一端口扫描.甚至可以将虚拟效劳器的 ARP响应屏蔽,从而使黑客无法 PING通虚拟效劳器.由于对外只提供必须 的应用端口,因而可以有效地屏蔽常用黑客攻击手段.其次是对于DoS/DDoS击,梭子鱼能从内核级就予以屏蔽,具体实施如下：1. Synflood:该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的 SYNACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列 ,而且由于没有收到AC直维护着这些队列, 造成了资源的大量消耗而不能向正常请求提供效劳.梭子鱼

30、的策略：梭子鱼采用特有的 SYN proxy功能,所有与虚拟效劳器建立HTTP SYN的请求均由梭子鱼代替效劳器响应,梭子鱼并不将 SYN请求发送到效劳器.对方响应了梭子鱼的ACK并真正发送 HTTP GET青求时,梭子鱼才与效劳器建立链接并发送HTTPGET请求.所以普通的 Synflood只会和梭子鱼通讯,无法攻击到效劳器.®Syn Ack+1*- ®Ack+1l syn ®Ack®Ack+C_0 1二E/ SynJ 0 Syn2. Ping of Death根据TCP/IP的标准,一个包的长度最大为65536字节.尽管一个包白长度不能超过 6553

31、6字节,但是一个包分成的多个片段的叠加却能做到.当一个主机收到了长度大于65536字节的包时,就是受到了 Ping of Death 攻击,该攻击会造成主机的宕机.梭子鱼的策略：如前所述,在梭子鱼上可以将虚拟效劳器的ARP屏蔽,ICMP包系统根本不响应.其次,虚拟效劳器的ICMP响应是由梭子鱼的治理进程提供响应,当治理进程繁忙时,系统会自动降低虚拟效劳器的ICMP响应的优先级甚至不响应,而治理进程与效劳器负载均衡是两个完全不同的进程,在梭子鱼上其内存 和CPU使用时间是严格别离的,所以 Ping of Death丝毫不会影响效劳器负载均衡,也就是不会影响 真正对外的效劳响应端口.3. IP欺骗

32、DoS攻击这种攻击利用RST位来实现.假设现在有一个合法用户已经同效劳器建立了正常的连接,攻击者构造攻击的 TCP数据,伪装自己的IP为 ,并向效劳器发送一个带有RST位白T TCP数据段.效劳器接收到这样的数据后,认为从 发送的连接有错误,就会清空缓冲区中建立好的连接.这时,如果合法用户 再发送合法数据,效劳器就已经没有这样的连接了,该用户就必须从新开始建立连接.攻击时,伪造大量的IP地址,向目标发送 RST数据,使效劳器不对合法用户效劳.梭子鱼的策略：如前所述,梭子鱼的SYNproxy功能,将TCP的SYN/ACK/SYNACK段握手

33、作为判断合法用户的依据, 同时所有的SYN/ACK/SYN ACK匀不通效劳器链接,只有当用户发送HTTP GET青求时再与选定的效劳器建立链接,所以 RST只是撤除与梭子鱼建立链接,并不影响合法用户访问效劳器.4. 带宽DoS攻击*效劳器系统负载均衡工程建议书第12页Barracuda Networks China如果黑客的连接带宽足够大而效劳器又不是很大,黑客可以通过发送大量请求,来消耗效劳器的缓冲区消耗效劳器的带宽.这种攻击就是人多力量大了,配合上SYN一起实施DoS威力巨大.梭子鱼的策略：这种攻击发生时,从站点的路由器、交换机、防火墙到效劳器的带宽均有可能被占满.所以如果发生该种攻击,

34、首要的任务是通过EAV/ECV呆护效劳器不要溢出或崩溃.其次,内置的IPS能有效地抵御攻击.上述功能是负载均衡设备防攻击的根本功能.除此之外,内置IPS的梭子鱼还具备以下功能：1预防病毒：如 NIMDA、Code Red等.2预防针对协议的攻击.梭子鱼有特定协议攻击防护,保护真实效劳器免遭以SMTP,DN解口 LDAP为目的的攻击.3针对应用程序的攻击：梭子鱼保护那些对外部攻击特别脆弱的应用程序.这些程序包括：IIS,Websphere, Cold Fusion, Exchange和许多其它程序.4针对操作系统的攻击：梭子鱼有针对检测Microsoft和UNIX操作系统,标记那些与系统相关的可

35、疑的活动.梭子鱼动态更新示意图.Barracuda Load BalanterBarracudji EM-ruife UpdlalEis梭子鱼公司建立了一个强大的运营中央Barracuda Central , 7x24小时日以继夜地工作,监控互联网上最新的攻击、漏洞及病毒开展趋势,并制作出最新的升级文件.梭子鱼负载均衡机将自动接收 这些文件,实现IPS的动态更新.2.4.5 梭子鱼的高可用性梭子鱼负载均衡机允许连接一个次梭子鱼设备作为主设备的后备.所有会话通过Active的设备的同时,会把会话信息通过同步数据线同步到Backup的设备上,保证在 Backup设备内也有所有的用户访问会话信息；另

36、外每台设备中的watchdog芯片通过心跳线监控对方设备的电频,当 Active设备发生故障时,watchdog会首先发现,并通知 Backup设备接管Shared IP , VIP等,完成A=>B的切换过程,由于 Backup设备中有事先同步好的会话信息,所以可以保持访问的畅通和在线会话的数 据.梭子鱼使用8001和8002端口来同步相连系统的配置 .每一个连接的梭子鱼都会发送一个“心跳 信号给其它使用 SNMP勺梭子鱼设备,让彼此通知对方处于开启和正常运行状态.在路由模式部署 中,次梭子鱼设备在主系统5秒内仍未发送心跳信号时,自动冗余为主系统的IP地址.在桥接模式部署模式中,次梭子鱼

37、设备在主系统30秒内仍未发送心跳信号时,自动冗余为主系统的IP地址.第三章XXX负载均衡机需求分析及工程方案3.1 客户网络概况XXX公司网络中有8台效劳器,都运行 Windows操作系统.效劳器上存在多种应用,如SQL等.用户希望在不添加硬件的前提下,将效劳器的运行性能发挥到最大.经过分析,可以使用梭子鱼动态权重分配机制对8台效劳器进行动态的权重分别,每时每刻都让每台效劳器得到合理的流量,以此将效劳器的处理性能发挥到最大.3.2 梭子鱼解决方案本方案中,用户拥有 8台效劳器,运行多种应用.由于效劳器的台数多,应用多,所以梭子鱼建议使用两台梭子鱼负载均衡机440型号以实现对服务器集群的负载均衡

38、.梭子鱼负载均衡机是对本地效劳器集群提供负载均衡和容错的网络产品,在充分利用现有资源以及对IT根底设施进行最小变动的前提下有效地进行流量的分配,从而提升效劳器的处理性能.对客 户端而言,这一切都是透明的.在本方案中,我们推荐使用路由模式进行拓扑,最大程度地提升效劳系统的高可用性和可靠性.并且采用高稳定性的 HA模式部署.Logical NetworkBarracuda Load Balancer3.3 梭子鱼型号的选择梭子鱼负载均衡机有四个型号,可适用于各种类型企业需求,.根据XXX公司提供的网络流量,我们推荐采用两套BLB-440型号的产品部署梭子鱼效劳器负载均衡解决方案.梭子鱼负载均衡设备 BLB-440产品主要性能:最大吞吐量：950Mbps可支持真实效劳器数量推荐：50;IPS;全局负载均衡；内容路由；SSL卸载；3.4 梭子鱼产品安装部署方案总体设计拓扑图：效劳器集利实施步骤LAN 口接二层交1 .物理连接：梭子鱼的串联接入到网络中,梭