F5提供的解决方案
使用F5公司的LinkControl多链路设计结构图:
网络出口结构建议
我们建议采用一对F5 Link controller设备接在两个出口链路处,实现由内向外和由外向内的出入站流量负载均衡。由外向内的inbound访问的智能性,通过Link controller提供的智能DNS解析功能,实现对两条链路的负载均衡。Link controller可以通过实时监控两条链路的负载状况及其健康状况,也可以根据当前链路的负载情况,用户所处的位置ip地址或用户的特殊要求进行相应域名解析,指引用户从最快的、最好的、最近的路径访问到企业的站点。这里我们建议采用静态负载(Topology)和动态负载(RTT)相结合的方式, 使得方案更能满足客户是实际需求,当用户是来自国内的用户, 在F5设备的Class中能查到它是来自哪家运营商的地址,这时F5的设备将采用静态的算法给用户端一条快的链路, 如果 用户不是来自国内, 是来自国外的用户, F5设备将采用动态算法(RTT), 去探测用户的LDNS, 然后算出来一个佳路径并提供给用户, 这样从用户端, 不论是来自国内还是来自国外的用户都能得到一条佳的路径来访问用户企业网站。
用户在进行由内向外的outbound访问时,由F5 Link controller提供智能的链路选择,实现对两条链路的负载均衡。F5 LC可以通过实时监控两条链路的负载状况及其健康状况来保证链路的高可用性,同时可以根据当前链路的负载情况,用户想要访问的IP地址等信息进行链路选择,指引用户从最快的、最好的、最近的路径访问INTERNET,另外考虑到带宽等, 我们可以在F5 LC上通过添加策略来实现指定用户走指定链路,只有当此链路出问题时会自动切换到其他好的链路上。
方案特点:
1、从整体结构上来看,对入站链路选择进行了优化, 解决了服务器互访慢的问题, 使得web服务提高了响应速度,由于链路的优化从而改善了这些服务的的响应速度,国内用户和国外用户通过F5设备的均衡最终能得到一个相对佳的链路,保证了内部服务从外网访问能通过一条最快的链路,大大提升了网络响应速度
2、采用F5的LC,同时也解决了出站时的链路优化和当其中某个链路中断时, 自动切换到其他的链路上去的功能, 另外在BIGIP上设置不同网段的链路选择, 如: 可以将一段地址网络只走某一条链路, 其他的地址走另外的链路, 当此链路中断时, BIGIP把所有流量切换到好的链路上。
3、另外F5 LC还同时具备服务器负载均衡的能力,可以解决企业原有的服务器性能不足的问题。
技术实现原理
出站连接
为了向企业用户访问互联网资源时提供高可性,LC使用default gateway pool和SNAT(安全网络地址转换)将流量动态导向佳链路。Default gateway pool包含了多个网关,F5 LC将根据负载均衡算法选择一个网关,将当前数据发送到该网关,从而发送到对应ISP。SNAT提供了一个安全机制,可将不能路由内部地址转换为可路由的地址,并将流量导向合适的上游网关路由器。利用LC的智能流量管理功能,可替代防火墙的NAT功能,并保证流量可以通过与WAN或互联网的佳连接往返发送。 另外LC可以利用rules功能实现类似策略路由的功能,LC可以根据数据源地址或目的地址来选择路径,从而实现outbound流量的优链路选择,避免针对某些链路的站点收费问题。
入站连接
为了保证用户可以在24*7并且提高用户的访问速度,LC可以通过智能DNS解析功能,动态选择佳链路,将外部用户导向驻留在站点中的资源。LC上可以配置多个VLAN,分别绑定多个ISP 服务商的公网地址,解析来自互联网用户的地址解析请求。后台服务器则由LC 做成集群和虚拟化成针对ISP A的虚拟服务器Virtual Server 1 和ISP B的虚拟服务器Virtual Server 2 ,这样对于每个用户到来的请求, LC都会分别检测后台服务器的状态并选择佳的链路提供服务,达到用户的就近性访问及服务器的负载均衡。LC在回应客户的DNS解析请求时, 可以采用15种动态或者静态的决策方法中的任何一种方法并检测链路的实际状态将复合客户要求的佳状态的链路的服务器公网地址返回给客户端, 从而达到多链路动态负载均衡的效果。
技术实现原理讲解
链路的健康检查
如何有效地确定链路以及提供对外服务的服务器、应用、内容的状态,是提高系统可靠性的关键。BIGIP link controller利用其独到的、高效的“健康检测”手段,识别服务器、应用、内容的状态。它们包括L2~L3的icmp检查,L4的tcp/udp port检查,L7的ECV检查和用户可以任意定制的EAV检查等多种方法如何有效地确定链路以及提供对外服务的服务器、应用、内容的状态,是提高系统可靠性的关键。BIGIP link controller利用其独到的、高效的“健康检测”手段,识别服务器、应用、内容的状态。它们包括L2~L3的icmp检查,L4的tcp/udp port检查,L7的ECV检查和用户可以任意定制的EAV检查等多种方法。
ECV是一种非常复杂的服务检查,主要用于确认应用程序能否对请求返回对应的数据。如果一个应用对该服务检查作出响应并返回对应的数据,则BIGIP控制器将该服务器标识为工作良好。如果服务器不能返回相应的数据,则将该服务器标识为宕机。宕机一旦修复,BIGIP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。该功能使BIGIP可以将保护延伸到后端应用如Web内容及数据库。BIGIP的ECV功能允许您向Web服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询,然后检查返回的响应。这将有助于确认您为客户提供的内容正是其所需要的。
依据链路健康状态和流量来均衡处理DNS 解析
在确定了ISP接入链路的连通状态后, linkcontroller 可以根据ISP链路的实际流量,链路品质等因素来进行智能的DNS解析处理,如果出现某ISP链路中断的情况, 在确认后及时的改变DNS解析的内容, 将中断链路的IP 地址从DNS解析列表中删除, 保证解析出的地址都一定是可以访问得到的可用地址。
系统切换时间
在采用DNS实现链路切换时,系统的切换时间主要取决于每个域名的TTL时间设置。在LinkControl系统里,每个域名如www.f5.com.cn均可设置对应的TTL生存时间。在用户的LocalDNS得到域名解析纪录后,将在本地在TTL设定时间内将该域名解析对应纪录进行Cache,在Cache期间所有到该LocalDNS上进行域名解析的用户均将获得该纪录。在TTL时间timeout之后,如果有用户到LocalDNS上请求解析,则此LocalDNS将重新发起一次请求到LinkController上获得相应纪录。
因此,当单条线路出现故障时,LinkController将在系统定义的检查间隔(该时间可自行定义)内检查到线路的故障,并只解析正常的线路侧地址。但此时
LocalDNS上可能还有未过时的Cache纪录。在TTL时间timeout之后,该LocalDNS重新发起请求的时候就将从LinkController上获得正确的解析,从而引导用户通过正常的线路进行访问。系统检测间隔加上TTL时间之和则为系统切换的最长时间。通常,系统检测间隔设置为60秒,而TTL时间设置为600秒,所以系统切换的整体时间为11分钟。
LinkController替代现有的DNS服务器
LinkController在实现双链路时的Inbound流量时,要求将DNS的最终解析权交由LinkControllerp完成,建议将站点的所有域名解析均放置到LinkController上进行解析,优点是可以充分利用LinkController的动态用户引导和强大的图形化管理界面。
注册多一个NS记录
LinkController取代现在DNS服务器后,需在上一级DNS服务器中添加一个新的NS记录,即指向新增加链路中的LinkController的IP地址。这样,对应一个域名,将产生两个不同ISP的NS记录。
服务器负载均衡
LinkController在实现链路负载均衡的同时,企业可以免费得到该款产品提供的服务器负载均衡功能,为服务器提供高可用性及高性能的保证。
LinkControl提供11种灵活的算法将数据流有效地转发到它所连接的服务器群。而面对用户,只是一台虚拟服务器。用户此时只须记住一台服务器,即虚拟服务器。但他们的数据流却被BIGIP灵活地均衡到所有的服务器。这11种算法包括:
• 轮询(Round Robin):顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7层的故障,BIGIP就把其从顺序循环队列中拿出,不参加下一次的轮询,直到其恢复正常。
• 比率(Ratio):给每个服务器分配一个加权值为比例,根椐这个比例,把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障,BIGIP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
• 优先权(Priority):给所有服务器分组,给每个组定义优先权,BIGIP用户的请求,分配给优先级高的服务器组(在同一组内,采用轮询或比率算法,分配用户的请求);当优先级中所有服务器出现故障,BIGIP才将请求送给次优先级的服务器组。这种方式,实际为用户提供一种热备份的方式。
• 最少的连接方式(Least Connection):传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7层的故障,BIGIP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
• 最快模式(Fastest):传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7层的故障,BIGIP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
• 观察模式(Observed):连接数目和响应时间以这两项的佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7层的故障,BIGIP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
• 预测模式(Predictive):BIGIP利用收集到的服务器当前的性能指标,进行预测分析,选择一台服务器在下一个时间片内,其性能将达到佳的服务器相应用户的请求。(被BIGIP进行检测)
• 动态性能分配(Dynamic Ratio-APM):BIGIP收集到的应用程序和应用服务器的各项性能参数,动态调整流量分配。
• 动态服务器补充(Dynamic Server Act.):当主服务器群中因故障导致数量减少时,动态地将备份服务器补充至主服务器群。
• 服务质量(QoS):按不同的优先级对数据流进行分配。
• 服务类型(ToS):按不同的服务类型(在Type of Field中标识)对数据流进行分配。
强大而且免费的安全防护功能
在图中我们可以看到,前置服务器群或中间件服务器群在逻辑上位于BIGIP之后,所有的数据流,包括“攻击性”数据流都要经过BIGIP才能够流至服务器。BIGIP具有以下优秀的安全特性,对系统进行保护:
•访问控制列表
•IP包过滤
•加密(SSL)的管理信息传递
•口令保护
•拒绝“DoS”攻击
•免疫“Ping of Death”攻击
•不用Ack缓冲应答未确认的SYN,防止SYN风暴
•通过对无效连接的管理来防止使用没有开放的服务进行攻击
•源路由检查,防止IP欺骗
•利用虚拟IP地址隐藏服务器实际地址。
•IP地址:攻击者的源IP地址
•频率:攻击者尝试攻击的数量
•端口:哪个端口受到攻击
这些信息可以帮助管理员发现他们网络中存在的安全漏洞,并且可以判定哪些人是潜在的攻击者。
有效解决防火墙的处理能力瓶颈
考虑到绝大多数的防火墙只能达到线速的30%吞吐能力,故要使系统达到设计要求的线速处理能力,必须添加多台防火墙,以满足系统要求。然而,防火墙必须要求数据同进同出,否则数据将被拒绝。如何解决防火墙的负载均衡问题,是关系到整个系统的稳定性的关键问题。F5的防火墙负载均衡方案,能够为用户提供异构防火墙的负载均衡与故障自动排除能力。
方案的特色:
• 提供多台防火墙的负载均衡能力
• 提供在线维护防火墙的方法
• 解决了单台防火墙的处理能力瓶颈问题,提供了系统的扩展能力
同时对于实现了链路负载均衡和服务器负载均衡的企业来说,防火墙负载均衡相当于免费赠送,提高了用户投资回报率。
F5 i–Control开放的API接口介绍
为了确保电子商务取得成功,应用和网络必须能够紧密结合。网络通知应用;应用指导网络。这就是F5新型体系结构的基础。
它提供了业界紧密集成的产品套件,利用统一的设备活动协作来对互联网流量和内容部署/提供进行端到端的控制。它提供了端到端集成所需要的产品间的安全通信,而且还可以通过开放式XML API对F5产品进行编程,以支持客户与合作伙伴应用间的集成(F5的iControl?内部通信协议)。
这种架构方式克服了多厂商解决方案的问题:互操作性和管理复杂性,而且还避免了单厂商套件的问题:有限的灵活性、缺乏足够的集成能力(图3)。这种架构使服务提供商和企业能够:
· 管理和控制全球范围的互联网流量和内容
· 部署并实施SLA政策
· 将政策应用到多种技术上,如防火墙、VPN和QoS设备
· 接收告警并管理关于网络和设备活动的报告
· 保持适当的系统配置
iControl能够使应用与网络流量管理和内容提供基础设施实现直接的互操作。通过iControl开放的安全通信协议和SOAP/XML API,网络设备能够与应用进行通信,应用可以控制网络,从而避免出现易于出错的过程和人为干预。iControl能够提供网络产品间安全、加密的互相通信能力,并为无缝应用集成带来了方便,其中包括:
• 本地流量管理;
• 分布于全球的流量管理;
• 将内容部署到远程服务器上;
• 管理网络中高速缓存提供的内容版本;
• 显著减少管理分布式网络所需的资源。
客户、合作伙伴及第三方集成商都可以使用iControl软件开发套件(SDK),它具有开放式的SOAP/XML或CORBA API。随着iControl的推出,F5证明了其对制定和采用开放式互联网流量和内容管理标准的支持。
通过将iControl与F5的iTCM产品相结合使用,可以实施并部署F5的完整互联网控制体系结构,从而增强了7层性能。任何第三方和客户都可以通过iControl将自己的应用与网络系统集成在一起,从而提供无与伦比的7层性能。
方案优势阐述
设备及拓扑结构的优点
1.采用一个硬件平台同时实现链路负载均衡和服务器负载均衡,all in one的硬件一体化解决方案,使网络结构简单实用,减少单点故障点同时也减少网络维护人员的负担,避免运行维护时面对大批网络设备。
2.F5 LC具有强大的ASIC硬件芯片专门处理4层流量,提供每秒120,000的4层新建连接,可以满足企业的大量用户访问压力。
3.灵活的扩展空间, 用户可以根据实际的网络流量和压力增加链路带宽, 添加防火墙或增加服务器来提高整体的服务水平
安全机制方面
1.HTTPS,SSH等加密的网络管理, 避免明码通讯对网络设备控制时的安全隐患。
2.BIGIP具有以下优秀的,免费的安全特性,对系统进行保护:
•访问控制列表
•IP包过滤
•加密(SSL)的管理信息传递
•口令保护
•拒绝“DoS”攻击
•免疫“Ping of Death”攻击
•不用Ack缓冲应答未确认的SYN,防止SYN风暴
•通过对无效连接的管理来防止使用没有开放的服务进行攻击
•源路由检查,防止IP欺骗
•IP地址:攻击者的源IP地址
•频率:攻击者尝试攻击的数量
•端口:哪个端口受到攻击
这些信息可以帮助管理员发现他们网络中存在的安全漏洞,并且可以判定哪些人是潜在的攻击者。
与应用的结合方面
F5 可以通过ECV, EAV 对后台的多层结构的服务器进行健康检查, 确保用户的正常访问。
F5 可以通过Insert Cookies和Sample persistence等方式和应用实现无缝集合的各种切换。
F5 的iControl 是一套全球唯一的网络产品提供的API/SDK, 可以允许用户根据自己的要求控制网络设备。
投资回报方面
1. LC在提供链路负载均衡和服务器负载均衡的同时,免费提供对Firewall,IDS等的负载均衡,可以在将来帮助用户解决安全性能瓶颈。
2. F5的LC产品已在cernet和网通及电信系统中大量使用,用户采用F5产品可以充分享受到F5产品在电信级网络中运行所得到的经验,以及最新的ip地址划分等附加资源。
3. 统计与报告
LC链路应用交换机包含详尽的实时报告和历史纪录报告,可供评测站点流量模式、相关ISP性能和预计带宽计费周期。全面的报告功能为管理员提供了对带宽资源的充分掌握,从而使企业可以作出更合适的业务决策。
4.互联网链路评估器
专用互联网链路评估器提供了一种独特的查看功能,您可以用此来查看ISP为您的用户所提供的总体性能。现在,管理员可以非常轻松地:
• 确定慢速链路,通过ISP寻找性能故障。
• 评估ISP为目标互联网用户群快速提供服务的能力。
• 评估您的网络与您的用户之间的ISP连接质量。
