链路负载均衡解决方案

F5 Link Controller多链路负载均衡 解决方案 目 录 1. 问题的提出5 1.1 链路单点故障5 1.2 Internet用户访问快慢差异5 1.3 关键应用的带宽保证6 2. F5提供的最佳解决方案7 2.1 设计结构图：7 2.2 实现原理8 2.2.1 出 站 访 问8 2.2.2 入 站 访 问10 2.2.3 系统切换时间11 2.2.4 DNS迁移12 3. 解决方案功能介绍12 3.1 高可用性12 3.1.1 全面的链路监控能力12 3.1.2 集合多个监视器13 3.2 最大带宽和投资回报14 3.2.1 可节省 WAN 链路成本的压缩模块（需购买模块）14 3.2.2 带宽可扩展性14 3.2.3 强大的流量分派负载均衡算法15 3.2.4 链路带宽控制15 3.2.5 链路成本负载平衡16 3.3 高级 WAN 链路管理16 3.3.1 最佳性能链路16 3.3.2 针对压缩技术的目的流量控制17 3.3.3 优化的 TCP 性能17 3.3.4 可编程链路路由――iRule17 3.3.5 流量优先级安排：服务质量 (QoS) 和配置服务类型 (ToS)18 3.4 配置和管理18 3.4.1 消除 BGP 多归属部署障碍18 3.4.2 BIG/IP的业界最快双机冗余切换18 3.4.3 IPv6 网关（需购买模块）19 3.4.4 记录与报告19 3.5 强化的安全性能19 3.5.1 智能 SNAT19 3.5.2 网络安全20 3.5.3 简朴、安全的管理20 3.6 集成流量管理可扩展性21 3.6.1 扩展的各类安全设备负载均衡21 3.6.2 扩展的SSL加速合用于电子商务22 4. 相关产品介绍23 5. 成功案例29 1. 问题的提出 通常用户系统结构设计图如下： 这样的结构存在以下问题 1.1 链路单点故障 在系统原有系统结构中，采用单条链路接入，一个或多个DNS服务器，这些服务器对于同一个域名均解析为同一个地址。 在该种网络结构之中，无论主机系统、网络系统的规划有多么完美, 完全的排除了应用瓶颈和单点故障, 都还存在一个非常明显的单点故障, 就是国际网络接入部分的方案不够完整, 一旦国际网络接入部分出现中断就直接意味着所有应用的中断。 1.2 Internet用户访问快慢差异 随着国内最大的Internet接入提供商Chinanet被拆分为北方China Netcom 和南方China Telecom之后，两方资源的互访受到了很大限度的影响。其出现的主线因素为南北网络的互通互联接点拥塞，导致用户丢包、延迟较大，从而导致访问缓慢，甚至对于一些应用主线无法访问。 以下是一张在真实环境下的实测数据表： 测试项目 网通北京ADSL用户访问 12月2日凌晨1时 广东电信用户访问，宽带用户，带宽未知，12月2日 16:30 网通北京ADSL用户访问，12月2日16:00 上海ADSL宽带用户访问，12月2日 20:00 DNS Result 202.xxx.xxx.209 219.xxx.xxx.11 202.xxx.xxx.209 219.xxx.xxx.11 网通 电信 网通 电信 网通 电信 网通 电信 Number of hits: 72 69 4 76 52 47 19 35 Requests per Second 1.20 1.15 0.07 1.27 0.87 0.78 0.32 0.58 Socket Connects 73 70 5 77 53 48 20 36 Total Bytes Sent (in KB) 14.19 13.47 0.96 14.96 13.61 12.23 3.87 7.03 Bytes Sent Rate (in KB/s) 0.24 0.22 0.02 0.25 0.23 0.20 0.06 0.12 Total Bytes Recv (in KB) 4148.24 4001.90 256.58 4388.54 3019.94 2703.26 21.73 39.83 Bytes Recv Rate (in KB/s) 69.12 66.68 4.28 73.12 50.32 45.05 0.36 0.66 表中可以看出，对于同一个站点，一个用户分别从两条线路进行访问，得出的访问速度差异是非常大的。最大的差值在广东电信分别访问站点的两条线路，其速度差异接近20倍。 1.3 关键应用的带宽保证 由于TCP通讯协议的大突发量,在网络上的各种应用互相抢占广域网资源，个别用户的应用可以容易地占用大量资源，网络经常有阻塞发生。这就威胁到各种关键应用的运营，导致直接经济损失或影响公司工作的正常进行。如公司内部人员对网络资源的使用规定很不相同，视频流、HTTP、FTP下载、MP3下载、ICQ聊天 等的访问将很大限度的影响人们对有用的网络资源的访问。 由于TCP通讯协议的大突发量，通讯管道可以被少数量的通讯流严重堵塞 而使实际使用效率减少。如下图所示，蓝色部分资源被浪费: 假如没有带宽管理设备，公司网络的管理人员将不可以拟定某一时间自己网络的广域网出口处是否有足够的保证关键应用的带宽，也不可以拟定某一时间自己网络的广域网出口处都有什么样的应用存在。因此，网络需要有效、温和的手段以控制各种应用对广域网资源的占用，但同时不希望引起这些应用的中断。 目前很多公司只是通过循环采购和不断加大广域网带宽资源来对付以上问题。这种办法给用户的预算带来沉重承担，并且阻塞问题不一定就能得到解决，由于网络的阻塞是由于TCP的瞬时突发引起，网络的带宽很容易就让几台不受控制的机器所吞噬。公司为加大广域网带宽所投入的资金得不到很好回报。 同时公司各级人员和应用对网络的需求是不同的，对于那些有特殊规定的人员或应用需要提供分等级的服务,供应额外的资源以满足各种需求。 由此可见，有效解决链路单点故障及为南北不同用户提供相同服务质量，以及保证各级关键应用的带宽使用的需求与日俱增。 2. F5提供的最佳解决方案 2.1 设计结构图： 在多ISP接入时，各个ISP接入的线路通过防火墙连接到F5 Link Controller上, F5 Link Controller工作在3层模式下，可划分为多个VLAN，分别连接各个ISP线路和内网核心互换机。核心互换机的默认路由指向F5 Link Controller; F5 Link Controller可设立多个缺省网关，指向各个ISP的对端