F5链路负载均衡与方案

1.网络化应用带来的问丿近年来，随着Internet的发展及普及，越来越多的企业和机构将他们的关键业务应用于互联网上。在网络带给人们方便快捷的同时，网络访问的其他问题也相应而出：各种髙带宽的应用（视频、音频、VOIP）及其他无关程序对带宽的争用，导致网络的发展永远跟不上对带宽需求的发展；链路的不稳左性导致一旦链路中断，整个企业的网络应用随之瘫痪；各个ISP之间互联互通的限制，导致南北访问速度相差达几十倍；网络攻击的发展及难以追踪的特性（尤以DDOS为甚），导致企业的网上应用随时而临巨大的风险。这些问题的岀现给网络提岀了快速、安全、高可用的较髙要求。2.问题的分析2.1单一链路的单点故障问题在一个单链路接入Internet的网络中，一个或多个DNS服务器对于同一个域爼均解析为同一个地址。任该种网络结构之中，无论主机系统、网络系统的规划有多么完美，完全的排除了应用瓶颈和单点故障，都还存在一个非常明显的单点故障，就是网络接入部分的方案不够完整，一旦网络接入部分链路出现中断就意味着所有应用的中断。2.2Internet用户访问快慢的差异随着国内最大的Internet接入提供商Chinanet彼拆分为北方ChinaNetcom和南方ChinaTelecom之后，两方资源的互访受到了很大程度的影响。苴出现的根本原因为南北网络的互通互联接点拥塞，造成用户丢包、延迟较大，从而导致访问缓慢，甚至对于一些应用根本无法访问。以下是一张在真实环境下的实测数据表:测试项目网通北京ADSL用户访问12月2日凌晨1时广东电信用户访问，宽带用户，带宽未知，12月2日16:30网通北京ADSL用户访问，12月2日16:00上海ADSL宽带用户访问，12月2日20:00DNSResult202.xxx.XXX.209219.xxx.xxx.11202.xxx.xxx.209219.xxx.xxx.ll网通电信网通电信网通电信网通电信Numberofhits:726947652471935RequestsperSecond71.270.870.780.320.58SocketConnects7376TotalBytesSent(inKB)14.1913.470.9614.9613.6112.233.877.03BytesSentRate(inKB/s)00.060.12TotalBytesRecv(inKB)4148.244001.90256.584388.543019.942703.2621.7339.83

BytesRecv69.1266.684.2873.1250.3245.050.360.66表中可以看出，对于同一个站点，一个用户分别从两条线路进行访问，得出的访问速度差异是非常大的。最大的差值在广东电信分别访问站点的两条线路，其速度差异接近20倍。所以如果仅以一条链路接入的话，不管使用的是哪家ISP,都会导致英他ISP的用户访问变得非常慢，甚至影响应用的正常使用。因此，应使用多条Internet链路接入以避免链路单点故障和解决南北互联互通问题。2.3LINKCONTROLLER多接入链路解决方案我们提出的解决结构图如下：Internet网通 电信 联通内部网络网通 电信 联通内部网络在此方案中,以两台F5BIGIP3400LinkController对多条链路（网通、电信、联通）进行链路控制、负载均衡，以实现对岀入站连接的髙可用性和多链路的智能选择。3・实现原理3.1出站选择对于内部办公用户由内向外的岀站访问，F5LinkController可检测到整个链路中岀现的错误，从而能够提供可靠的端到端WAN连接。它可以监视每个连接的运行状态和可用性，实时检测链路或ISP的损耗情况。一旦一条链路出现故障，流疑将被动态地传递给英它可用链路，从而确保内部用户对外的访问继续保持连接。F5LinkController可设置多个缺省网关IP地址，构成defaultgatewaypooL然后根据所设定的负载均衡算法来为每个出站连接智能的选择某个缺省网关，从而实现出站流疑的链路负载均衡。F5LinkController包括基于静态IP地址段或基于响应时间和线路质量计算等多种负载均衡算法，可探测哪条链路可以为用H提供最佳服务，然后将该用户引导至此链路，确保他们能得到最快服务及最高质量的连接。

完整的数据连接包括client向server发起的诘求数据和server向client返回的响应数据。在出站的请求数据根据LC的负载均衡算法选择了某条链路后，为了保证远端被访问的服务器的响应数据也能够从该链路返回，F5LinkController使用了SNATAutomap技术。此技术保证了请求数据在选择了某个ISP链路后离开LC时，会被NAT成该ISP的IP地址，对外发送出去，这样远端被访问的服务器自然就会把响应数据从该ISP线路发送回来，实现了出站连接进出数据包都使用最优链路。利用LC的智能流量管理功能，可替代防火墙的NAT功能，并保i正流量可以通过与互联网的最佳连接往返发送。Outbound访问过程InternetSower2；丫(Q.g.)Internet仁BIGIPInternetSower2；丫(Q.g.)Internet2、 BIGIP内网VLAN釆用保留IP地址BIGIP作为内网出口网关4-.在BIGIP上配直两台ISProuter的地址作为defaultgatewaypool.i^定负载均衡負注'由LinkController^Outbound流呈在链路之间分配5、在BIGIP上实现网络地址转挠(SNATAutomap),将内网IP湘译成公网IP6由于Outbound流呈韶开BIGIP时已经转换咸对应ISP的公网IP,服务器回应的网络流虽也将由原路返回ManagedClient(e.g.corporatedesktop)J y3.2入站访问对于外部用户对企业内部应用的入站访问，F5LinkController可以通过智能DNS解析功能，动态选择最佳链路，将外部用户导向到内部站点中的资源。同时LC会随时监测每条链路的状况，当发现任何一条ISP链路故障时，都不会再把该ISP的IP地址解析给用户，从而保证用户可以24X7的访问到企业内部应用并且提高各地区用户的访问速度。F5LinkController中的DNS功能模块将分別绑左两个ISP服务商的公网IP地址，解析来自互联网用户的地址解析请求。后台服务器则由BIGIPLinkController做成集群并虚拟化成针对ISPA的虚拟服务器VirtualServer1和ISPB的虚拟服务器VirtualServer2.这样对于每个用户到来的请求,BIGIPLinkController都会分别检测后台服务器的状态并选择最佳的链路提供服务，达到用户的就近性访问及服务器的负载均衡。同时LC还具备lasthop技术，保证了服务器的响应数据会从请求数据的进入链路返回。LinkController在回应客户的DNS解析请求时，可以采用15种动态或者静态的负载均衡算法，从而达到入站流量的多链路动态负载均衡的效果。RouterAInternetClienl(e.g・homeuMf)internet少血山（WCofilgl）0IGIPLONSusiRouterAInternetClienl(e.g・homeuMf)internet少血山（WCofilgl）0IGIPLONSusiLinkController1a・ ‘Loctldns的dn■解祈过程1b 用户访冋的服务器貝载均朋程1c0 Larih叩技术1s在BIGIP的每一个与ISP相连的VLAN建立一个VirtualIP对应内网的服务器「例如WWW服务器在ISPA有地址VIP仁在ISPB有地址VIP2；2.F5设备作为DNSSERVER,提供域名解析;并配置了「对应了VIP1WVIP2；3sF5设备根据负载均衡策略实现对内部服务器的访问的解析，即决定该域名解析地址VIP1或VIPN4.用户得到域名解析结果后，直接通过访问VIP.实现对具体服务器的访问a5sF5设备通过lasthop技术能够自动记录连接讲入时选择的ISProuter,从而保证数据返回时也从该router返回，保证连接的正常完成。Inbound访问过程3.3DNS迁移在使用了LinkController后需要修改上一级DNS服务器的一些资源记录，以保证用户的DNS解析请求能够被转发到LC上。修改前：sslvpA1修改后：sslvpCNAMENSNScnA14A4关键技术及功能介绍4.1高可用性LinkController可检测到整个链路中出现的错误，从而能够提供可靠的端到端WAN连接。它可以监视每个连接的运行状态和可用性，实时检测链路或ISP的损耗情况。一旦岀现故障，流量将被动态地传递给其它可用链路，从而确保用户及外部客户继续保持连接。4.2最佳性能链路选择BIG-IPLinkController通过使用往返时间和线路质量计算，可测试哪条链路可以为用户提供最佳服务，然后将该用户引导至此链路，确保他们能得到最快服务及最高质量的连接。另

外LC还可以根据用戸端的静态ip地址来为用户选择对应的ISP线路，从而实现最安全和最稳怎的链路选择。4.3业界最快的双机冗余切换两台LinkController以串口心跳线的方式进行连接，时时监控期一台设备的运行状况，能在出现异常时在300ms之内自动进行切换，整个过程对用户是透明的，完全不会对应用产生任何影响。•常规的出钳切换-新请求寻找激活的负载;均衡-当前的连接将丢失•StatefulFailover•■新的请求通过激活的BIGIP-当前的连接继续保持誰爲轟备份设备存•连接镜像功能•适用于长连接如:telnet,ftp.udp.etc..•连接不能丢夫•Persistence镜像-ForPeraistentsessions-DoesnotmaintaintimerduringFailover4.4链路带宽控制BIG-IPLinkController可根据所有网络2到7层的方法，对网络上的应用流量进行分类控制。随着与网络流量有关的复杂性不断增加，因此应运而生的髙级分类技术变得非常重要。而简单的IP地址或静态端口方案便相形见细了。LC可检测动态或变动式端口分配的变化，区别使用同一端口的应用，并采用第七层应用标识来识别不同应用，从而对不同应用进行动态控制。可允许您根据实时的流量与吞吐率来确左和控制流量在链路上的分配方式。这将可以提高性能和增加包含线路冗余在内的可用带宽，同时消除链路饱和的风险。当某条链路接近其容量极限时，流量将被转至相对宽松的链路上去，从而提高站点的整体性能。

带宽管理没控制前多种服务罄状态监测手段•服务器多种服务罄状态监测手段•服务器(Nodc)-Ping(ICMP)•服务(Port)-Conncct•扩展的应用验证(EAV)•扩展的内容验证(ECV)・•服务器逻辑连接状态检测ICMP•应用类型状态检测TCP/UDP扩展内容査证(ECV:ExtendedContentVerification)-ECV是一种非常复杂的服务检査,主要用于确认应用程序能否对请求返回对应的数据。如果一个应用对该服务检查作出响应并返回对应的数据，则BIGIP控制器将该服务器标识为工作良好。如果服务器不能返回相应的数据，则将该服务器标识为宕机。宕机一旦修复，BIGIP就会自动査证应用已能对客户请求作出正确响应并恢复向该服务器传送。该功能使BIGIP可以将保护延伸到后端应用如Web内容及数据库。BIGIP的ECV功能允许您向Web服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询，然后检査返回的响应。这将有助于确认您为客户提供的内容正是其所需要的。扩展应用査证(EAV:ExtendedApplicationVerification)EAV是列一种服务检查，用于确

认运行在某个服务器上的应用能否对客户请求作出响应。为完成这种检査，BIGIP控制器使用一个被称作外部服务检查者的客户程序，该程序为BIGIP提供完全客户化的服务检査功能，但它位于BIGIP控制器的外部。例如，该外部服务检查者可以査证一个从后台数据库中取出数据的应用能否正常工作。EAV是BIGIP提供的非常独特的功能，它提供管理者将BIGIP客户化后访问各种各样应用的能力，该功能使BIGIP在提供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要的反馈。该功能对于提髙系统可靠性至关重要，它用于从客户的角度测试您的站点。例如，您可以模拟客户完成交易所需的所有步骤一连接到前巻服务器或中间件服务器、从目录中选择项目以及验证交易使用的信用卡。一旦BIGIP掌握了该“可用性”信息,即可利用负载平衡使资源达到最高的可用性。BIGIP已经为测试多种服务的健康情况和状态，预定义了扩展应用验证(EAV),如：、SMTP、POP3和MSSQL等，用户还可依据实际应用，自行编辑EAV脚本。•Transparent检测方式。--Transparent检测方式保证了LC的健康检查可以通过被检察对象而不只是到达被检察对象。这种方式在链路负载均衡中极为重要，它保证了整条链路的可用性而不只是对端路由器的可用性。4.6集合多个监视器•实吋健康监测-路由可用性及链路带宽•全路径检查-确保整个连接的可用性-透明Ping到目标设备多个监视器共同工作，能够迅速准确地确左链路的状态及可用性。例如用户可以设置透过某ISP的路由器同时去检查sina,工行等各类企业的多个web网站。只有当所有这些网站都无法检测通过时，LC•实吋健康监测-路由可用性及链路带宽•全路径检查-确保整个连接的可用性-透明Ping到目标设备•透明路由流量绕过故障的链路提供者，链路及路由器等4.7网络安全BIG-IPLinkController是缺省拒绝设备，它可增加额外的安全保护层，从而杜绝普通网络攻击。BIG-IPLinkController能够:在面向命令行的SecureShell全外壳(SSH)或面向浏览器管理的SSL的基础上，进行安全远程管理消除闲苣连接，防止拒绝服务攻击执行源路由跟踪，防止IP欺骗拒绝没有ACK缓冲的未确认SYN,防止SYNFloods（溢满攻击）攻击防止诸如WinNuke、Sub7和BackOrifice等片段储存攻击保护自己和服务器免受ICMP攻击不运行SMTPd.FTPd、Telnetd或英它任何易受攻击的进程检测任意受到非法访问尝试的服务和端口，包括：频率：尝试次数端口：被攻击的端口-IP地址：攻击者的源IP地址4.8IPv6的支持（需购买模块）如果企业欲移植至IPv6,BIG-IPLinkController