1、F5 多出口鏈路負載均衡解決方案建議F5 Networks多出口鏈路負載均衡多出口鏈路負載均衡解決方案建議解決方案建議F5 多出口鏈路負載均衡解決方案建議目目 錄錄一多出口鏈路負載均衡需求分析一多出口鏈路負載均衡需求分析.4二多出口鏈路負載均衡解決方案概述二多出口鏈路負載均衡解決方案概述.52.1 多出口鏈路負載均衡網絡拓樸設計.52.2 方案描述.62.3 方案優點.72.3.1 拓撲結構方面.72.3.2安全機制方面.7三技術實現三技術實現.83.1 F5 多出口鏈路負載均衡（產品選型：BIGIP LC） .83.2 OUTBOUND流量負載均衡實現原理.93.3 INBOUND流量負載均

2、衡實現原理.103.4 在鏈路負載均衡環境中的 DNS 設計和域名解析方式.123.4.1 Root DNS（注冊DNS）直接與F5多鏈路負載均衡器配合.123.4.2 Root DNS（注冊DNS）通過第三方DNS Server與F5多鏈路負載均衡器配合（我們建議這種方式）.133.5 F5 設備雙機冗余- 毫秒級切換原理 .153.6 STATEFUL FAILOVER 技術（與 F5 設備雙機冗余有關）.16四產品介紹四產品介紹.174.1 F5 BIGIP .17F5 多出口鏈路負載均衡解決方案建議一多出口鏈路負載均衡需求分析一多出口鏈路負載均衡需求分析 為了保證 XXXX 出口鏈路的

3、高可用性和訪問效率，計劃擁有兩條線路：一條中國網通鏈路，一條中國電信鏈路。F5 公司的多鏈路負載均衡設備（Bigip）能夠提供獨具特色的解決方案，不但能夠充分利用這兩條鏈路（雙向流量按照預設的算法分擔到不同的鏈路上，一旦一條鏈路不通的情況下，能夠無縫切換到另外一條可用鏈路上） ；而且可以根據對不同鏈路的偵測結果，將最快速的鏈路提供給外部用戶進行響應，從而解決目前廣泛存在的多個 ISP 之間的互聯互通問題。具體解決方案特色如下：提供內網至 internet 流量的負載均衡（Outbound）實現從 Internet 對服務器訪問流量的負載均衡（Inbound）支持自動檢測和屏蔽故障 Intern

4、et 鏈路支持多種靜態和動態算法智能均衡多個 ISP 鏈路的流量支持多出口鏈路動態冗余，流量比率和切換支持多種 DNS 解析和規劃方式，適合各種用戶網絡環境支持 Layer27 交換和流量管理控制功能完全支持各種應用服務器負載均衡，防火墻負載均衡多層安全增強防護，抵擋黑客攻擊業界領先的雙機冗余切換機制，能夠做到毫秒級切換詳細的鏈路監控報表，提供給網絡管理員直觀詳細的圖形界面對于用戶完全透明對所有應用無縫支持業界優異的硬件平臺和性能穩定，安全的設備運行記錄F5 多出口鏈路負載均衡解決方案建議二多出口鏈路負載均衡解決方案概述二多出口鏈路負載均衡解決方案概述2.1 多出口鏈路負載均衡網絡拓樸設計多出

5、口鏈路負載均衡網絡拓樸設計下面是專門為 XXXX 設計的多出口鏈路負載均衡網絡拓撲圖（單機版）。下面是專門為 XXXX 設計的多出口鏈路負載均衡網絡拓撲圖（雙機冗余版） 。F5 多出口鏈路負載均衡解決方案建議2.2 方案描述方案描述此方案中，分別設計單臺鏈路負載均衡和雙機冗余鏈路負載均衡兩種網絡拓撲，供杭州政府信息中心選擇。考慮到鏈路負載均衡在網絡構架中的位置，以及今后的擴展性，建議采用F5 公司的 Bigip LC 兩臺, 提供兩條出口鏈路（中國網通和中國電信）的負載均衡，其中兩條Internet 出口鏈路都通過普通網線或光電轉換器與 Bigip LC 連接（如果雙機冗余，需要從每個ISP

6、引進兩根進線，可以在 Bigip LC 前面放置一臺二層交換機做端口拓展） ，Bigip LC 與兩臺冗余的防火墻通過網絡端口連接。兩臺 Bigip LC 互為冗余。通過這樣的優化后，系統具有以下特征：結構合理：結構合理：整個網絡結構布局合理，層次分明，便于管理與維護。可用性高可用性高: Bigip 動態檢查各條出口鏈路的健康狀態，并將下一個請求分配給最有效率的鏈路，任何一條鏈路發生故障時，BIGIP 即刻將請求分配給其他的鏈路，從而達到 99.999%系統有效性。安全性高安全性高: BIGIP 支持地址翻譯技術和安全地址翻譯，這樣一來客戶不可能知道真正提供服務的服務器的 IP 地址與端口，B

7、IGIP 采用 SSH 和 SSL 技術，可以防止來自內部或互聯網上的黑客攻擊。效率高效率高: BIGIP 可以智能尋找最佳的出口鏈路，從而保證客戶得到最快的上網訪問速度。可擴展性高可擴展性高: BIGIP 可以支持動態增加或刪除其負載均衡的鏈路群組的任何數量的鏈路，而不需要對客戶端或后臺做任何改變從而使得系統擴展輕松方便。可管理性高可管理性高: BIGIP 可以實時監控整個鏈路群組的流量狀態，并分析發展趨勢幫助客戶及時根據流量增長增加出口帶寬。保護投資：保護投資： BIGIP 還免費帶有服務器負載均衡和防火墻負載均衡的功能。F5 多出口鏈路負載均衡解決方案建議2.3 方案優點方案優點2.3.

8、1 拓撲結構拓撲結構方面方面1)可以輕松形成全冗余連接方法, 保證網絡沒有單點故障的存在。2)提供多出口鏈路的負載均衡，今后，通過免費無縫拓展免費無縫拓展，可以對各種應用服務器，防火墻/VPN/IDS 等網絡設備全部可以采用負載均衡方式處理網絡流量,提高網絡服務能力和投資回報率。3)比較少的網絡層次,較少網絡延遲，避免運行維護時面對大量網絡設備。4)靈活的擴展空間, 用戶可以根據實際的網絡流量和壓力增加帶寬，增加鏈路, 添加防火墻或增加服務器來提高整體的服務水平。2.3.2 安全機制方面安全機制方面1) HTTPS,SSH 等加密的網絡管理, 避免明碼通訊對網絡設備控制時的安全隱患。2) F5

9、 的 VIP 一旦配置成功,服務的 TCP/UDP 端口也就同時確認,除特定服務外,其他的端口就全部被封閉了,保護服務器避免被端口掃描.3) 在防止 DOS 攻擊方面,F5 提供免費的防護 , 特別對于 Ping of Death , F5 的 VIP 一旦規定成功就對 Ping 包做中繼處理, 避免攻擊對服務器的壓力.4) 并且，F5 具備攻擊回收技術，同時可以設置在資源消耗在 97%（可設）時重啟，切換到備份設備工作。F5 多出口鏈路負載均衡解決方案建議三技術實現三技術實現3.1 F5 多出口鏈路負載均衡（產品選型：多出口鏈路負載均衡（產品選型：Bigip LC）Bigip LC 的特色：

10、提供內網至 internet 流量的負載均衡（Outbound）實現從 Internet 對服務器訪問流量的負載均衡（Inbound）支持自動檢測和屏蔽故障 Internet 鏈路支持多種靜態和動態算法智能均衡多個 ISP 鏈路的流量支持多出口鏈路動態冗余，流量比率和切換支持多種 DNS 解析和規劃方式，適合各種用戶網絡環境支持 Layer27 交換和流量管理控制功能完全支持各種應用服務器負載均衡，防火墻負載均衡多層安全增強防護，抵擋黑客攻擊業界領先的雙機冗余切換機制，能夠做到毫秒級切換詳細的鏈路監控報表，提供給網絡管理員直觀詳細的圖形界面對于用戶完全透明對所有應用無縫支持業界優異的硬件平臺和

11、性能穩定，安全的設備運行記錄 技術實現原理技術實現原理：下圖是一個典型的 F5 多出口鏈路負載均衡解決方案的應用案例。F5 多出口鏈路負載均衡解決方案建議圖中 F5 多鏈路負載均衡設備通過 ISP1 和 ISP2 接入 Internet。每個 ISP 都分配給該網絡一個 IP 地址網段，假設 ISP1 分配的地址段為 /24，ISP2 分配的地址段為/24（此處的 /24 表示網絡 IP 地址段為：，子網掩碼為 24 位，即） 。同樣，Internet 知道通過 ISP1 訪問

12、/24，通過 ISP2 訪問/24。網絡中的主機和服務器都屬于私有網段 /24。多鏈路負載均衡設備解決方案就是在內部交換機和連接 ISP 的路由器之間，跨接一臺多鏈路負載均衡設備應用交換機，所有的地址翻譯和 Internet 鏈路優化全部由多鏈路負載均衡設備來完成。如果網絡中有防火墻，也可以選擇由防火墻來做地址翻譯。3.2 Outbound 流量負載均衡實現原理流量負載均衡實現原理F5 多鏈路負載均衡設備主要采用以下幾種技術來處理 Outbound 流出流量。Default Gateway Pool在 Default Gateway Pool 中，定義相

13、應的 ISP 對端路由器地址，作為負載均衡的對象，并F5 多出口鏈路負載均衡解決方案建議且可以捆綁健康檢查，負載均衡算法以及會話保持等屬性。Default Gateway Pool 中的 Nodes 定義為多個 F5 多鏈路負載均衡設備的缺省路由。IRules對于復雜的鏈路選擇需求，可以使用 F5 獨有的 irules 來定義。Wildcart Virtual ServerWildcart Virtual Server:0/internal，Wildcart Virtual Server 是指 這個特殊的虛擬服務器，一般用于捆綁 Default Gateway P

14、ool。SNAT/SNAT Automap對于 Outbound 流量的地址翻譯，F5 多鏈路負載均衡設備使用了稱為 SNAT 的方法。當選定一個路由器（某一個 ISP）傳送 Outbound 流量時，多鏈路負載均衡設備將選擇該 ISP 提供的地址。在上圖中，如果多鏈路負載均衡設備選擇 ISP1 作為 Outbound 流量的路徑，則它將把內部的主機地址 192.168.1.A 翻譯為 100.1.1.A，并作為 Outbound 數據包的源地址。同樣，如果多鏈路負載均衡設備選擇 ISP2 作為 Outbound 流量的路徑，則它將把內部的主機地址 192.168.1.A 翻譯為 200.1.

15、1.A，并作為 Outbound 數據包的源地址。 當 F5 多鏈路負載均衡設備定義：將內部的主機地址翻譯為 Vlan Self-IP 時，即100.1.1.A=，200.1.1.A 時，稱為 SNAT Automap。3.3 Inbound 流量負載均衡實現原理流量負載均衡實現原理F5 多鏈路負載均衡設備主要采用以下幾種技術來處理 Inbound 流入流量。DNS 解析器（解析器（Wide IP）Inbound 流量負載均衡的核心技術是 DNS 解析的問題。外部用戶訪問在 DNS 請求時，就通過 F5 多鏈路負載均衡設備獲知了鏈路的健康狀況和鏈路優先選擇，

16、這樣多鏈路負載均衡設備必須承擔部分 DNS 的功能，以便返回給用戶相應的訪問 IP 地址。F5 多鏈路負載均衡設備F5 多出口鏈路負載均衡解決方案建議支持 A 記錄和*記錄解析。Wide IP 可以捆綁各種 Inbound 負載均衡算法：Completion Rate，Global Availability，hops，kilobytes/second，leastconnections，Packet Rate，Quality of Service，Random，Ratio，RoundRobin，Round Trip Time，Static Persist，VS Capacity。Virtual

17、Server/Network Virtual Server/Transparent Virtual Server由于所有的 F5 多鏈路負載均衡設備可以兼做服務器負載均衡，因此 F5 返回給用戶 DNS解析是 Virtual Server；對于一些特殊的場合，需要配置一些特殊的 Virtual Server，例如：Network Virtual Server 以及 Transparent Virtual Server。Forwarding Pool有的情況下，既不需要地址翻譯，有不需要服務器負載均衡，但是又需要 pool 的一些特性時（例如：Auto Lasthop） ，必須配置 Forwar

18、ding Pool。Lasthop pool/Auto LasthopF5 的 Lasthop 功能，稱為基于連接的路由，用在 F5 處理數據包回應時，會根據上一跳路由設備的 MAC 地址，確定返回路徑，以便正確返回給最初發起訪問數據包的網絡設備。NAT 對于直接通過 IP 地址進行訪問的 Inbound 流量，并且內部主機需要 Outbound 訪問，需要配置相應的 NAT 記錄，來保證從多條鏈路都能訪問內部服務器，與 Virtual Server 加上SNAT 功能相當（細節有所不同） 。對于 Email 而言，由于外部 Email 服務器需要進行地址反向解析，因此使用 Virtual S

19、erver+SNAT 方式。F5 多出口鏈路負載均衡解決方案建議3.4 在鏈路負載均衡環境中的在鏈路負載均衡環境中的 DNS 設計和域名解析方式設計和域名解析方式Issue： 1、多鏈路負載均衡設備只能做 A 記錄和*記錄解析；2、有的 Root DNS Server（注冊 DNS）不支持二級子域的 NS 委派，例如：新網3、用戶 Local DNS Server 的 Cache 問題所以，產生出以下多種域名解析方式。3.4.1 Root DNS（注冊（注冊 DNS）直接與）直接與 F5 多鏈路負載均衡器配合多鏈路負載均衡器配合 CNAME 方式方式. INCNAME .IN NS 。 IN

20、NS 。. INA （F5 設備地址）. INA （F5 設備地址）F5 多出口鏈路負載均衡解決方案建議在 Inbound 負載均衡中，普遍使用的一種域名解析方法。 NS 委派方式委派方式. INNS 。 IN NS 。.INA （F5 設備地址）.INA （F5 設備地址）這種方式因為 F5 多鏈路負載均衡器不支持全記錄解析，在客戶有 MX 記錄時，一般不使用。3.4.2 Root DNS（注冊（注冊 DNS）通過第三方）通過第三方 DNS Server 與與 F5 多鏈路負載均衡多鏈路負載均衡器配合器配合（我們

21、建議這種方式）（我們建議這種方式）F5 多出口鏈路負載均衡解決方案建議 CNAME 方式方式Root DNS CNAME 第三方 DNS.IN NS IN NS . INA （F5 設備地址）. INA （F5 設備地址）有的 Root DNS（注冊 DNS）不支持二級子域的 NS 委派（例如：新網） ，需要第三方DNS Server 的配合，是前面方式的變體。 NS 方式方式Root DNS.INNS 。 INNS 。. INA 211.X.X.X （第三方 DNS 地址）. INA 61.X.X.X （第三方 DNS 地址）第三方 DNS. INCN

22、AME .IN NS 。 IN NS 。. INA （F5 設備地址）. INA （F5 設備地址） 我們建議采用這種方式。F5 多出口鏈路負載均衡解決方案建議3.5 F5 設備雙機冗余設備雙機冗余- 毫秒級切換原理毫秒級切換原理F5 Networks 公司的 BIGIP 產品是業界唯一的可以達到 ms 級切換的產品, 而且設計極為合理, 所有會話通過 Active 的 BIGIP 的同時, 會把會話信息通過同步數據線同步到Standby 的 BIGIP , 由設備中的 watchdog 芯片通過心跳線監控設備的電頻, 當 Active BIGIP故障時

23、, watchdog 會首先發現, 并通知 Standby BIGIP 接管 Shared IP , VIP , NAT, SNAT等, 保持訪問的暢通和在線會話的數據. 在用戶端的表現是在 ping 包上會有 12 個中斷， 而應用上不會中斷， 可以持續運行， 對于關鍵的應用系統是非常重要的。另外，BIGIP 還可以允許手工切換 Active/Standby 的狀態，來配合系統維護。F5 多出口鏈路負載均衡解決方案建議3.6 Stateful FailOver 技術技術（與（與 F5 設備雙機冗余有關）設備雙機冗余有關）通過 Session Mirror 以及 Persistence Mir

24、ror 技術，保證 F5 設備在發生切換時，不影響在線業務的連續訪問。F5 多出口鏈路負載均衡解決方案建議四四產品介紹產品介紹4.1 F5 Bigip LC關鍵特性與優勢關鍵特性與優勢為為擁有擁有多條鏈路和多家多條鏈路和多家ISPISP提供商的站點提供高可用性提供商的站點提供高可用性(99.999%)(99.999%)；全方位鏈路監視，提供實時的鏈路狀況和容量信息；消除帶有BGP的多歸屬的部署障礙；采用高級分組交換技術；對用戶和ISP提供商透明；把用戶導向速度最快的鏈路；平衡流量以最大限度地利用鏈路資源和吞吐量；鏈接成本負載平衡功能把流量導向花費最低的鏈路，以實現最低的帶寬成本；提供無縫的鏈路

25、歸并，以實現靈活的帶寬可擴充性和降低成本；服務質量（QoS）為滿足各種業務需求提供個性化的流量控制；提供安全網絡地址轉換（SNAT）和智能DNS，從而實現雙向流量控制；實時性能監視和數據統計以評估鏈路性能；可同時支持各種應用可同時支持各種應用服務器負載平衡服務器負載平衡；可同時支持可同時支持防火墻三明治負載平衡防火墻三明治負載平衡；為所有基于TCP和UDP的流量及其它IP流量提供鏈路負載平衡；通過Web瀏覽器和CLI提供安全與遠程管理增設鏈路控制器（Link Controller）提供完全冗余，以進行二級故障切換保護；支持iControl為F5的IP流量和內容管理產品系列提供的業界首款開放應用

26、編程接口（API）。BIG-IP Link Controller 多歸屬網絡的高可用性和鏈路控制F5 多出口鏈路負載均衡解決方案建議隨著企業逐漸采用互聯網傳送關鍵任務應用，只與公共網絡保持一個鏈路就意味著單點故隨著企業逐漸采用互聯網傳送關鍵任務應用，只與公共網絡保持一個鏈路就意味著單點故障和嚴重的網絡隱患。障和嚴重的網絡隱患。F5 BIG-IP Link Controller：提供可靠的網絡連接提供可靠的網絡連接管理多個鏈路上的入站管理多個鏈路上的入站/出站流量出站流量通過最佳性能鏈路發送流量通過最佳性能鏈路發送流量提高鏈接的可擴充性和吞吐量提高鏈接的可擴充性和吞吐量實現最大的企業連接投資回報

27、率實現最大的企業連接投資回報率消除帶有消除帶有BGP的多歸屬的部署障礙和成本的多歸屬的部署障礙和成本確保可靠的網絡連接確保可靠的網絡連接高可用性高可用性BIG-IP Link Controller 可檢測整個鏈路所出現的錯誤可檢測整個鏈路所出現的錯誤，從而，從而提供可靠的端到端連接。它負責監視每提供可靠的端到端連接。它負責監視每個連接的狀況和可用性以及檢測鏈路或個連接的狀況和可用性以及檢測鏈路或 ISPISP 是否發生故障。如果出現故障，流量將被動態透明地導向其它是否發生故障。如果出現故障，流量將被動態透明地導向其它可用鏈路，以確保可靠的數據中心連接。可用鏈路，以確保可靠的數據中心連接。全方位

28、鏈路監視全方位鏈路監視BIG-IP 通過網關路由器提供鏈路工作狀況和吞吐量的全景圖，確保鏈路的可用性并提供關于任何指定鏈路帶寬及容量的詳細信息。Link Controller也可檢測出由ISP配置錯誤或其它手工操作錯誤引起的故障。最大限度地擴大帶寬和提高投資回報最大限度地擴大帶寬和提高投資回報鏈接成本負載平衡鏈接成本負載平衡鏈接成本負載平衡功能可幫助您為所有的通向數據中心的流量選擇最低成本的連接方式。流量被導向花費最低的鏈路，從而將帶寬投資降至最低限度；消除過量供應的情況；為不同連接和不同成本的線路提供靈活性，以擴大帶寬，消除帶寬瓶頸，同時減少對低效率帶寬的使用和相關成本的開銷。F5 多出口鏈

29、路負載均衡解決方案建議帶寬的可擴充性帶寬的可擴充性無論對于何種鏈路或提供商，Link Controller都可幫助您歸并花費較低且較窄的線路，以提供低成本的帶寬冗余，同時減少浪費在閑置光纖或備用線路上的成本。可擴充性可擴充性BIG-IP鏈路控制器為企業提供了一個可擴充平臺：集成防火墻負載平衡，為冗余防火墻部署提供高可用性；可通過升級增強服務器和高速緩存的本地負載平衡；可通過升級支持全面、多站點的全局負載平衡和災難恢復；可隨企業發展而擴展的高性能端口密集型平臺；支持數千兆位吞吐量以及任何數量的ISP。全方位流量控制全方位流量控制區組控制區組控制BIG-IP Link Controller為用戶提

30、供了所需的最佳流量控制和靈活性，以最大限度地提高可用性、性能和降低公司連接成本。Link Controller提供透明的流量分配提供透明的流量分配循環負載循環負載平衡；對于希望擴充鏈路的用戶，Link Controller 可在規模相近的連接上均勻分配流量，從而擴大帶寬。比率負載負載平衡對于購買具有不同吞吐容量的鏈路的用戶，比率負載平衡可根據不同鏈路帶寬（DSL、T1和T3）均勻分布負載。鏈接容量和吞吐量鏈接容量和吞吐量F5 多出口鏈路負載均衡解決方案建議BIG-IP Link Controller可允許您根據實時的流量與吞吐量來確定和控制流量在鏈路上的分布方式。這可以提高性能和增加可用的帶寬（含線路冗余），同時消除鏈路的擁塞情況。當某個鏈路的流量接近其最大容量時，流量將被轉到其它不太