南京财经大学F5 Link Controller多链路负载均衡解决方案目录1. 项目背景分析 (4)1.1 南京财经大学的现状 (4)1.2 链路改造后的预期设想 (4)2. F5提供的最佳解决方案 (6)2.1 设计结构图： (6)2.2 实现原理 (7)2.2.1 出站访问 (7)2.2.2 入站访问 (8)2.2.3 系统切换时间 (10)3. 解决方案功能介绍 (11)3.1 高可用性 (11)3.1.1 全面的链路监控能力 (11)3.1.2 集合多个监视器 (12)3.2 最大带宽和投资回报 (13)3.2.1 可节省WAN 链路成本的压缩模块 (13)3.2.2 带宽可扩展性 (13)3.2.3 强大的流量分配负载均衡算法 (14)3.2.4 链路带宽控制 (14)3.2.5 链路成本负载平衡 (15)3.3 高级WAN 链路管理 (15)3.3.1 最佳性能链路 (15)3.3.2 针对压缩技术的目标流量控制 (16)3.3.3 优化的TCP 性能 (16)3.3.4 可编程链路路由――iRule (16)3.3.5 流量优先级安排：服务质量(QoS) 和配置服务类型(ToS) . 173.4 配置和管理 (17)3.4.1 消除BGP 多归属部署障碍 (17)3.4.2 BIG/IP的业界最快双机冗余切换 (17)3.4.3 IPv6 网关 (18)3.4.4 统计与报告 (18)3.5 强化的安全性能 (18)3.5.1 智能SNAT (18)3.5.2 网络安全 (19)3.5.3 简单、安全的管理 (19)3.6 集成流量管理可扩展性 (20)3.6.1 扩展的各类安全设备负载均衡 (20)3.6.2 扩展的SSL加速适用于校园一卡通等 (21)4. 相关产品介绍 (22)1.项目背景分析1.1南京财经大学的现状南京财经大学校园网建设始于1997年，2001年升级改造，经多年建设已形成一个运行稳定、可靠的多出口千兆以太网。

在出口线路上采用多出口方式，目前采用策略路由进行路由选择来实现与教育网和公网的链接。

我校目前网络架构的拓扑如下图示。

目前接入计算机终端约10000台，在线用户峰值7千左右。

根据学校发展的需要及目前ISP运营商所能提供的服务，下一阶段将对出口进行改造，采用负载均衡设备的方式选择出口线路。

目前南京财经大学的出口线路包括2条单模1000M链路（cernet和网通）和1条100M电缆的电信。

拥有电信和网通地址各64个。

改造后学校的所有访问经过网络安全设备、带宽管理设备（暂不采购）接到链路均衡设备上，由链路均衡设备与引入的多条出口线路直接链接。

考虑目前学校的的实际需求和目前ISP运营商所能提供的服务，本次出口链路改造需要适当考虑电信100M链路的扩展（先增加到2条），同时为了今后发展的需要，要留有相应扩充用的具备一定数量的万兆、千兆和百兆出口接口。

1.2链路改造后的预期设想改造后要求能实现当一条出口链路发生中断时，能按照设置的优先策略，动态地将故障链路流量转移到其它活动链路上。

提高外界对学校各种网站的访问速度，是本次增加链路设备的核心需求之一。

能实现多种管理策略和路由策略，在保证链路带宽的情况下，能确实提高我校的网络运行性能和带宽效率，保证学校进出口通畅。

链路负载均衡设备必须具备智能DNS解析功能，同时不得改变校园网现有的DNS解析方案。

1.3为什么推荐F5产品对于此次南京财经大学参考品牌中列举的三家厂商，我公司经过仔细对比、慎重考虑之后，选择F5公司的产品进行投标，主要是因为：1.3.1公司方面1、美国著名第三方市场调查机构Gartner调查显示，F5是应用流量管理领域公认的领导者；2、独立式应用流量管理产品市场份额中，F5全球市场份额第一，占38.7%，远远大于Radware（6%）和Array（<2%）；3、F5全球〉1200员工，研发人员〉400人，多年以来，一直技术创新，引领技术方向；4、F5中国〉30人，工程师〉10人；渠道技术支持和服务体系完善，能够为南京财经大学提供及时，优质的服务能力1.3.2产品硬件和性能方面1、F5在第四层流量处理时，使用专门的ASIC芯片，流量处理速度和吞吐量都大大增加，在第三方的测试报告中，其各项性能远高于其他同档次产品；2、F5在第七层流量处理时，使用2.8GHz主频的CPU，流量处理速度和吞吐量都大大增加，其他厂家对于第七层的流量处理通常只停留在HTTP数据流上；3、F5在存储介质方面，同时使用CF卡和硬盘，主OS运行在CF上，在硬盘上可以备份两个OS，并且增加日志存储量，系统稳定型提高，同时对于日后日记审计有所帮助；4、F5内存大，缺省2G，可以升级到4G，可以支持更大的并发会话数（可达到200万以上）；5、F5带有LCD（液晶屏），可以方便查看流量情况和报警情况，以便巡检；6、F5内置了SSL加速芯片，并附送了100TPS（并发新建100SSL连接）的License；7、F5内置了Watchdog芯片，支持双机冗余时，硬件检测并触发设备切换，切换时间可以达到毫秒级，而其他厂商的产品只是基于网络层上的HA。

1.3.3产品软件和功能方面1、F5缺省支持丰富的软件功能，包括双向链路负载均衡，服务器负载均衡，Qos，SSL卸载和加速，包过滤防火墙和DOS防护功能；2、F5还可以通过软件激活，实现流量压缩，内存Cache，MSM，Web加速等应用优化功能。

3、F5可以通过软件激活，实现IPv6和IPv4网关功能，对于Cernet2教育网中IPv6的部署可以支持4、在链路负载均衡中，F5在Inbound和Outbound链路负载均衡时，使用两套独立的算法系统。

尤其在Inbound时，具备近二十种算法，并支持三个优先级层次选择，这样可以达到最高的正确解析率。

5、在服务器负载均衡中，F5具备业界唯一的可编程流量控制，对于复杂的第七层流量管理可以更好的支持。

6、在服务器负载均衡中，F5具备丰富的会话保持机制，支持更复杂的应用。

7、F5的API二次开发接口，可以更加灵活地跟应用结合。

8、F5管理界面非常友好，便于运维人员配置和维护。

2.F5提供的最佳解决方案2.1设计结构图：在多ISP接入时，各个ISP接入的线路通过防火墙连接到F5 Link Controller 上, F5 Link Controller工作在3层模式下，可划分为多个VLAN，分别连接各个ISP线路和内网核心交换机。

核心交换机的默认路由指向F5 Link Controller; F5 Link Controller可设置多个缺省网关，指向各个ISP的对端ip地址，来确保多链路之间的高可用性和各ISP用户的就近性访问。

2.2实现原理在学校使用了多条链路后，F5 Link Controller主要负责出入站连接的高可用性和智能链路选择：2.2.1出站访问对于内部办公用户由内向外的出站访问，F5 link controller可检测到整个链路中出现的错误，从而能够提供可靠的端到端WAN 连接。

它可以监视每个连接的运行状态和可用性，实时检测链路或ISP 的损耗情况。

一旦某条链路出现故障，流量将被动态地传递给其它可用链路，从而确保内部用户对外的访问继续保持连接。

F5 link controller可设置多个缺省网关ip地址，构成default gateway pool。

然后根据所设定的负载均衡算法来为每个出站连接智能的选择某个缺省网关，从而实现出站流量的链路负载均衡。

F5 link controller包括基于静态IP地址段或基于响应时间和线路质量计算等多种负载均衡算法，可探测哪条链路可以为用户提供最佳服务，然后将该用户引导至此链路，确保他们能得到最快服务及最高质量的连接。

完整的数据连接包括client向server发起的请求数据和server向client返回的响应数据。

在出站的请求数据根据lc的负载均衡算法选择了某条链路后，为了保证远端被访问的服务器的响应数据也能够从该链路返回，F5 LinkController 使用了SNAT Automap技术。

此技术保证了请求数据在选择了某个ISP链路后离开LC时，会被NAT成该ISP的ip地址，对外发送出去，这样远端被访问的服务器自然就会把响应数据从该ISP线路发送回来，实现了出站连接进出数据包都使用最优链路。

利用LC的智能流量管理功能，可替代防火墙的NAT功能，并保证流量可以通过与互联网的最佳连接往返发送。

2.2.2入站访问对于外部用户对学校内部应用的入站访问，F5 LinkController可以通过智能DNS解析功能，动态选择最佳链路，将外部用户导向到内部站点中的资源。

同时LC会随时监测每条链路的状况，当发现任何一条ISP链路故障时，都不会再把该ISP的ip地址解析给用户，从而保证用户可以24*7的访问到学校内部应用并且提高各地区用户的访问速度。

F5 Link Controller 中的DNS功能模块将分别绑定多个ISP 服务商的公网ip 地址，解析来自互联网用户的地址解析请求。

后台服务器则由BIG IP Link Controller做成集群并虚拟化成针对ISP A的虚拟服务器Virtual Server 1 和ISP B 的虚拟服务器Virtual Server 2等，这样对于每个用户到来的请求, BIG IP Link Controller都会分别检测后台服务器的状态并选择最佳的链路提供服务,达到用户的就近性访问及服务器的负载均衡。

同时LC还具备lasthop技术，保证了服务器的响应数据会从请求数据的进入链路返回。

Link Controller 在回应客户的DNS解析请求时, 可以采用15种动态或者静态的负载均衡算法，从而达到入站流量的多链路动态负载均衡的效果。

2.2.3系统切换时间在采用DNS实现链路切换时，系统的切换时间主要取决于每个域名的TTL 时间设置。

在LinkControl系统里，每个域名如均可设置对应的TTL生存时间。

在用户的LocalDNS得到域名解析纪录后，将在本地在TTL设定时间内将该域名解析对应纪录进行Cache，在Cache期间所有到该LocalDNS 上进行域名解析的用户均将获得该纪录。

在TTL时间timeout之后，如果有用户到LocalDNS上请求解析，则此LocalDNS将重新发起一次请求到LinkController 上获得相应纪录。

因此，当单条线路出现故障时，LinkController将在系统定义的检查间隔（该时间可自行定义）内检查到线路的故障，并只解析正常的线路侧地址。

但此时在LocalDNS上可能还有未过时的Cache纪录。