5
控两条链路的负载状况及其健康状况，也可以根据当前链路的负载情况，用户所处的位置 ip 地址或用户的特殊要求进行相应域名解析，指引用户从最快的、最好的、最近的路径访 问到企业的站点。这里我们建议采用静态负载（Topology）和动态负载（RTT）相结合的方 式，使得方案更能满足客户是实际需求，当用户是来自国内的用户，在 F5 设备的 Class 中 能查到它是来自哪家运营商的地址，这时 F5 的设备将采用静态的算法给用户端一条最快的 链路， 如果 用户不是来自国内，是来自国外的用户，F5 设备将采用动态算法（RTT） ，去 探测用户的 LDNS， 然后算出来一个最佳路径并提供给用户， 这样从用户端， 不论是来自 国内还是来自国外的用户都能得到一条最佳的路径来访问用户企业网站。 用户在进行由内向外的 outbound 访问时， 由 F5 Link controller 提供智能的链路选择， 实现对两条链路的负载均衡。F5 LC 可以通过实时监控两条链路的负载状况及其健康状况来 保证链路的高可用性，同时可以根据当前链路的负载情况，用户想要访问的 IP 地址等信息 进行链路选择，指引用户从最快的、最好的、最近的路径访问 INTERNET，另外考虑到带宽 等，我们可以在 F5 LC 上通过添加策略来实现指定用户走指定链路，只有当此链路出问题时 会自动切换到其他好的链路上。 方案特点： 1、 从整体结构上来看，对入站链路选择进行了优化， 解决了服务 器互访慢的问题， 使得 web 服务提高了响应速度，由于链路的优化从而改 善了这些服务的的响应速度，国内用户和国外用户通过 F5 设备的均衡最终 能得到一个相对最佳的链路， 保证了内部服务从外网访问能通过一条最快的 链路，大大提升了网络响应速度 2、 采用 F5 的 LC， 同时也解决了出站时的链路优化和当其中某个链 路中断时， 自动切换到其他的链路上去的功能， 另外在 BIGIP 上设置不同 网段的链路选择， 如： 可以将一段地址网络只走某一条链路， 其他的地 址走另外的链路， 当此链路中断时， BIGIP 把所有流量切换到好的链路上。 3、 另外 F5 LC 还同时具备服务器负载均衡的能力，可以解决企业 原有的服务器性能不足的问题。 2.3 技术实现原理 出站连接 为了向企业用户访问互联网资源时提供高可性，LC 使用 default gateway pool 和 SNAT （安全网络地址转换）将流量动态导向最佳链路。Default gateway pool 包含了多个网关， F5 LC 将根据负载均衡算法选择一个最优网关，将当前数据发送到该网关，从而发送到对应 ISP。SNAT 提供了一个安全机制，可将不能路由内部地址转换为可路由的地址，并将流量导 向合适的上游网关路由器。利用 LC 的智能流量管理功能，可替代防火墙的 NAT 功能，并保 证流量可以通过与 WAN 或互联网的最佳连接往返发送。 另外 LC 可以利用 rules 功能实现类 似策略路由的功能，LC 可以根据数据源地址或目的地址来选择路径，从而实现 outbound 流 量的最优链路选择，避免针对某些链路的站点收费问题。 入站连接 为了保证用户可以在 24*7 并且提高用户的访问速度，LC 可以通过智能 DNS 解析功能， 动态选择最佳链路，将外部用户导向驻留在站点中的资源。 LC 上可以配置多个 VLAN，分别绑定多个 ISP 服务商的公网地址,解析来自互联网用户 的地址解析请求。 后台服务器则由 LC 做成集群和虚拟化成针对 ISP A 的虚拟服务器 Virtual Server 1 和 ISP B 的虚拟服务器 Virtual Server 2 ，这样对于每个用户到来的请求, LC 都会分别检测后台服务器的状态并选择最佳的链路提供服务,达到用户的就近性访问及服务 器的负载均衡。LC 在回应客户的 DNS 解析请求时, 可以采用 15 种动态或者静态的决策方法 中的任何一种方法并检测链路的实际状态将复合客户要求的最佳状态的链路的服务器公网 地址返回给客户端, 从而达到多链路动态负载均衡的效果。
Байду номын сангаас
2.2 网络出口结构建议 我们建议采用一对 F5 Link controller 设备接在两个出口链路处，实现由内向外和由 外向内的出入站流量负载均衡。由外向内的 inbound 访问的智能性，通过 Link controller 提供的智能 DNS 解析功能，实现对两条链路的负载均衡。Link controller 可以通过实时监
3
1. 问题的提出 通常用户系统结构设计图如下：
1.1 链路单点故障 在系统原有系统结构中，采用单条链路接入，一个或多个 DNS 服务器，这些服务器对于 同一个域名均解析为同一个地址。 在该种网络结构之中，无论主机系统、网络系统的规划有多么完美, 完全的排除了应用 瓶颈和单点故障, 都还存在一个非常明显的单点故障, 就是国际网络接入部分的方案不够完 整, 一旦国际网络接入部分出现中断就直接意味着所有应用的中断。 1.2 Internet 用户访问快慢差异 随着国内最大的 Internet 接入提供商 Chinanet 被拆分为北方 China Netcom 和南方 China Telecom 之后，两方资源的互访受到了很大程度的影响。其出现的根本原因为南北网 络的互通互联接点拥塞，造成用户丢包、延迟较大，从而导致访问缓慢，甚至对于一些应用 根本无法访问。 以下是一张在真实环境下的实测数据表： 网通北京 ADSL 用 广东电信用户访 户访问 问，宽带用户 DNS Result 202.xxx.xxx.209 219.xxx.xxx.11 测试项目 Number of hits: 网通 72 电信 69 网通 4 电信 76 网 通 北 京 ADSL 用户访问 202.xxx.xxx.209 网通 52 电信 47 上海 ADSL 宽 带用户访问 219.xxx.xxx.11 网通 19 电信 35
1.15 70 13.47 0.22 4001.90 66.68
0.07 5 0.96 0.02 256.58 4.28
1.27 77 14.96 0.25 4388.54 73.12
0.87 53 13.61 0.23 3019.94 50.32
0.78 48 12.23 0.20 2703.26 45.05
F5 Link Controller 多链路接入解决方案
北京华胜天成科技股份有限公司 服务交付中心
目
录
1. 问题的提出 ....................................................................................................... 4 1.1 链路单点故障 .......................................................................................... 4 1.2 Internet 用户访问快慢差异...................................................................... 4 2. F5 提供的最佳解决方案 ................................................................................... 5 2.1 使用 F5 公司的 LinkControl 多链路设计结构图： .............................. 5 2.2 网络出口结构建议 .................................................................................. 5 2.3 技术实现原理 .......................................................................................... 6 2.4 技术实现原理讲解 .................................................................................. 7 2.4.1 链路的健康检查 ............................................................................ 7 2.4.2 依据链路健康状态和流量来均衡处理 DNS 解析 ..................... 7 2.4.3 系统切换时间 ................................................................................ 7 2.4.4 LinkController 替代现有的 DNS 服务器 ...................................... 7 2.4.5 注册多一个 NS 记录 ..................................................................... 8 2.4.6 服务器负载均衡 ............................................................................ 8 2.4.7 强大而且免费的安全防护功能 .................................................... 9 2.4.8 有效解决防火墙的处理能力瓶颈 ................................................ 9 2.4.9 F5 i–Control 开放的 API 接口介绍 ........................................... 11 3. 方案优势阐述 ................................................................................................. 13 3.1.1 设备及拓扑结构的优点 .............................................................. 13 3.1.2 安全机制方面 .............................................................................. 13 3.1.3 与应用的结合方面 ...................................................................... 14 3.1.4 投资回报方面 .............................................................................. 14 4. 相关产品介绍 ................................................................................................. 15