1、南京财经大学F5 Link Controller 多链路负载均衡解决方案2目 录1. 项目背景分析 .41.1 南京财经大学的现状 .41.2 链路改造后的预期设想 .42. F5 提供的最佳解决方案 .62.1 设计结构图: .62.2 实现原理 .62.2.1 出站访问 .62.2.2 入站访问 .82.2.3 系统切换时间 .93. 解决方案功能介绍 .103.1 高可用性 .103.1.1 全面的链路监控能力 .103.1.2 集合多个监视器 .113.2 最大带宽和投资回报 .123.2.1 可节省 WAN 链路成本的压缩模块 .123.2.2 带宽可扩展性 .123.2.3 强大的
2、流量分配负载均衡算法 .133.2.4 链路带宽控制 .133.2.5 链路成本负载平衡 .143.3 高级 WAN 链路管理 .143.3.1 最佳性能链路 .143.3.2 针对压缩技术的目标流量控制 .153.3.3 优化的 TCP 性能 .153.3.4 可编程链路路由iRule .1533.3.5 流量优先级安排:服务质量 (QoS) 和配置服务类型 (ToS) .163.4 配置和管理 .163.4.1 消除 BGP 多归属部署障碍 .163.4.2 BIG/IP 的业界最快双机冗余切换 .163.4.3 IPv6 网关 .173.4.4 统计与报告 .173.5 强化的安全性能
3、.173.5.1 智能 SNAT.173.5.2 网络安全 .183.5.3 简单、安全的管理 .183.6 集成流量管理可扩展性 .193.6.1 扩展的各类安全设备负载均衡 .193.6.2 扩展的 SSL 加速适用于校园一卡通等 .204. 相关产品介绍 .2141. 项目背景分析1.1 南京财经大学的现状南京财经大学校园网建设始于 1997 年,2001 年升级改造,经多年建设已形成一个运行稳定、可靠的多出口千兆以太网。在出口线路上采用多出口方式,目前采用策略路由进行路由选择来实现与教育网和公网的链接。我校目前网络架构的拓扑如下图示。目前接入计算机终端约 10000 台,在线用户峰值
4、7 千左右。根据学校发展的需要及目前 ISP 运营商所能提供的服务,下一阶段将对出口进行改造,采用负载均衡设备的方式选择出口线路。目前南京财经大学的出口线路包括 2 条单模 1000M 链路(cernet 和网通)和 1 条 100M 电缆的电信。拥有电信和网通地址各 64 个。改造后学校的所有访问经过网络安全设备、带宽管理设备(暂不采购)接到链路均衡设备上,由链路均衡设备与引入的多条出口线路直接链接。考虑目前学校的的实际需求和目前 ISP 运营商所能提供的服务,本次出口链路改造需要适当考虑电信 100M 链路的扩展(先增加到 2 条) ,同时为了今后发展的需要,要留有相应扩充用的具备一定数量
5、的万兆、千兆和百兆出口接口。1.2 链路改造后的预期设想改造后要求能实现当一条出口链路发生中断时,能按照设置的优先策略,5动态地将故障链路流量转移到其它活动链路上。提高外界对学校各种网站的访问速度,是本次增加链路设备的核心需求之一。能实现多种管理策略和路由策略,在保证链路带宽的情况下,能确实提高我校的网络运行性能和带宽效率,保证学校进出口通畅。链路负载均衡设备必须具备智能 DNS 解析功能,同时不得改变校园网现有的 DNS 解析方案。1.3 为什么推荐 F5 产品对于此次南京财经大学参考品牌中列举的三家厂商,我公司经过仔细对比、慎重考虑之后,选择 F5 公司的产品进行投标,主要是因为:1.3.
6、1 公司方面1、美国著名第三方市场调查机构 Gartner 调查显示, F5 是应用流量管理领域公认的领导者;2、独立式应用流量管理产品市场份额中,F5 全球市场份额第一,占 38.7%,远远大于 Radware(6%)和 Array(2%) ;3、F5 全球 1200 员工,研发人员 400 人,多年以来,一直技术创新,引领技术方向;4、F5 中国 30 人,工程师 10 人;渠道技术支持和服务体系完善,能够为南京财经大学提供及时,优质的服务能力61.3.2 产品硬件和性能方面1、F5 在第四层流量处理时,使用专门的 ASIC 芯片,流量处理速度和吞吐量都大大增加,在第三方的测试报告中,其各
7、项性能远高于其他同档次产品;2、F5 在第七层流量处理时,使用 2.8GHz 主频的 CPU,流量处理速度和吞吐量都大大增加,其他厂家对于第七层的流量处理通常只停留在 HTTP 数据流上;3、F5 在存储介质方面,同时使用 CF 卡和硬盘,主 OS 运行在 CF 上,在硬盘上可以备份两个 OS,并且增加日志存储量,系统稳定型提高,同时对于日后日记审计有所帮助;4、F5 内存大,缺省 2G,可以升级到 4G,可以支持更大的并发会话数(可达到 200 万以上) ;5、F5 带有 LCD(液晶屏) ,可以方便查看流量情况和报警情况,以便巡检;6、F5 内置了 SSL 加速芯片,并附送了 100TPS
8、(并发新建 100SSL 连接)的License;7、F5 内置了 Watchdog 芯片,支持双机冗余时,硬件检测并触发设备切换,切换时间可以达到毫秒级,而其他厂商的产品只是基于网络层上的 HA。1.3.3 产品软件和功能方面1、F5 缺省支持丰富的软件功能,包括双向链路负载均衡,服务器负载均衡,Qos,SSL 卸载和加速,包过滤防火墙和 DOS 防护功能;2、F5 还可以通过软件激活,实现流量压缩,内存 Cache,MSM,Web 加速等应用优化功能。3、F5 可以通过软件激活,实现 IPv6 和 IPv4 网关功能,对于 Cernet2 教育网中IPv6 的部署可以支持4、在链路负载均衡
9、中,F5 在 Inbound 和 Outbound 链路负载均衡时,使用两套独立的算法系统。尤其在 Inbound 时,具备近二十种算法,并支持三个优先级层次选择,这样可以达到最高的正确解析率。5、在服务器负载均衡中,F5 具备业界唯一的可编程流量控制,对于复杂的第七层流量管理可以更好的支持。6、在服务器负载均衡中,F5 具备丰富的会话保持机制,支持更复杂的应用。7、F5 的 API 二次开发接口,可以更加灵活地跟应用结合。8、F5 管理界面非常友好,便于运维人员配置和维护。2. F5 提供的最佳解决方案2.1 设计结构图:7在多 ISP 接入时,各个 ISP 接入的线路通过防火墙连接到 F5
10、 Link Controller 上 , F5 Link Controller 工作在 3 层模式下,可划分为多个 VLAN,分别连接各个 ISP 线路和内网核心交换机。核心交换机的默认路由指向 F5 Link Controller; F5 Link Controller 可设置多个缺省网关,指向各个 ISP 的对端 ip 地址,来确保多链路之间的高可用性和各 ISP 用户的就近性访问。2.2 实现原理在学校使用了多条链路后,F5 Link Controller 主要负责出入站连接的高可用性和智能链路选择:2.2.1 出站访问对于内部办公用户由内向外的出站访问,F5 link controll
11、er 可检测到整个链路中出现的错误,从而能够提供可靠的端到端 WAN 连接。它可以监视每个连接的运行状态和可用性,实时检测链路或 ISP 的损耗情况。一旦某条链路出现故障,流量将被动态地传递给其它可用链路,从而确保内部用户对外的访问继续保持连接。F5 link controller 可设置多个缺省网关 ip 地址,构成 default gateway pool。然后根据所设定的负载均衡算法来为每个出站连接智能的选择某个缺省8网关,从而实现出站流量的链路负载均衡。F5 link controller 包括基于静态 IP地址段或基于响应时间和线路质量计算等多种负载均衡算法,可探测哪条链路可以为用户
12、提供最佳服务,然后将该用户引导至此链路,确保他们能得到最快服务及最高质量的连接。完整的数据连接包括 client 向 server 发起的请求数据和 server 向 client 返回的响应数据。在出站的请求数据根据 lc 的负载均衡算法选择了某条链路后,为了保证远端被访问的服务器的响应数据也能够从该链路返回,F5 LinkController使用了 SNAT Automap 技术。此技术保证了请求数据在选择了某个 ISP 链路后离开 LC 时,会被 NAT 成该 ISP 的 ip 地址,对外发送出去,这样远端被访问的服务器自然就会把响应数据从该 ISP 线路发送回来,实现了出站连接进出数据
13、包都使用最优链路。利用 LC 的智能流量管理功能,可替代防火墙的 NAT 功能,并保证流量可以通过与互联网的最佳连接往返发送。 2.2.2 入站访问9对于外部用户对学校内部应用的入站访问,F5 LinkController 可以通过智能 DNS 解析功能,动态选择最佳链路,将外部用户导向到内部站点中的资源。同时 LC 会随时监测每条链路的状况,当发现任何一条 ISP 链路故障时,都不会再把该 ISP 的 ip 地址解析给用户,从而保证用户可以 24*7 的访问到学校内部应用并且提高各地区用户的访问速度。F5 Link Controller 中的 DNS 功能模块将分别绑定多个 ISP 服务商的
14、公网ip 地址,解析来自互联网用户的地址解析请求。后台服务器则由 BIG IP Link Controller 做成集群并虚拟化成针对 ISP A 的虚拟服务器 Virtual Server 1 和 ISP B 的虚拟服务器 Virtual Server 2 等 ,这样对于每个用户到来的请求 , BIG IP Link Controller 都会分别检测后台服务器的状态并选择最佳的链路提供服务,达到用户的就近性访问及服务器的负载均衡。同时 LC 还具备 lasthop 技术,保证了服务器的响应数据会从请求数据的进入链路返回。 Link Controller 在回应客户的 DNS 解析请求时,
15、可以采用 15 种动态或者静态的负载均衡算法,从而达到入站流量的多链路动态负载均衡的效果。102.2.3 系统切换时间在采用 DNS 实现链路切换时,系统的切换时间主要取决于每个域名的TTL 时间设置。在 LinkControl 系统里,每个域名如 均可设置对应的 TTL 生存时间。在用户的 LocalDNS 得到域名解析纪录后,将在本地在TTL 设定时间内将该域名解析对应纪录进行 Cache,在 Cache 期间所有到该LocalDNS 上进行域名解析的用户均将获得该纪录。在 TTL 时间 timeout 之后,如果有用户到 LocalDNS 上请求解析,则此 LocalDNS 将重新发起一次请求到LinkController 上获得相应纪录。因此,当单条线路出现故障时,LinkController 将在系统定义的检查间隔(该时间可自行定义)内检查到线路的故障,并只解析正常的线路侧地址。但此时在 LocalDNS 上可能还有未过时的 Cache 纪录。在 TTL 时间 timeout 之后,该 LocalDNS 重新发起请求的时候就将从 LinkController 上获得正确的解析,从
