xxx互联网出口负载均衡和流量分析项目方案巴州浩展网络有限责任公司2012年3月目录1项目背景................................... 错误!未指定书签。

2项目目标................................... 错误!未指定书签。

3项目原则................................... 错误!未指定书签。

4总体方案设计............................... 错误!未指定书签。

4.1现状分析.............................. 错误!未指定书签。

4.2方案论证.............................. 错误!未指定书签。

4.3总体方案.............................. 错误!未指定书签。

5设计方案................................... 错误!未指定书签。

5.1技术关键点............................ 错误!未指定书签。

5.2方案设计.............................. 错误!未指定书签。

6实施方案................................... 错误!未指定书签。

6.1设备安装调试.......................... 错误!未指定书签。

6.2设备上架、加电测试.................... 错误!未指定书签。

6.3业务平滑迁移.......................... 错误!未指定书签。

6.4链路跳接.............................. 错误!未指定书签。

6.5策略调整、优化配置.................... 错误!未指定书签。

6.6设备关机.............................. 错误!未指定书签。

7项目组织管理............................... 错误!未指定书签。

7.1项目实施总体布署...................... 错误!未指定书签。

7.2项目实施准备工作...................... 错误!未指定书签。

7.3项目实施关键步骤说明.................. 错误!未指定书签。

7.4项目文档管理.......................... 错误!未指定书签。

8项目实施进度计划........................... 错误!未指定书签。

9应急预案................................... 错误!未指定书签。

10培训计划.................................. 错误!未指定书签。

10.1F5培训内容........................... 错误!未指定书签。

10.2A llot 培训内容........................ 错误!未指定书签。

11附件...................................... 错误!未指定书签。

11.1《F5-6400配置手册》.................. 错误!未指定书签。

11.2《Allot管理服务器配置手册》.......... 错误!未指定书签。

11.3《Allot-3040配置手册》............... 错误!未指定书签。

11.4C3750G配置手册....................... 错误!未指定书签。

1项目背景目前xxx的互联网出口是电信、联通双线接入，办公网、公共信息网分别建有互联网出口系统；中石油互联网出口接入到办公网边界区域；用户群体庞大，约有3万终端。

油田中心机房现有油田办公网互联网出口负载均衡设备、流量整形设备，且各只有一台，没有备份，当出现软硬件问题设备不能正常运行时将导致相关网络瘫痪。

通过本项目购置负载均衡设备和流量整形设备各1台，为互联网正常运行做好保障。

2项目目标根据油田互联网出口现状，设计原有的互联出口设备和新购的F5负载均衡、ALLOT流量整形设备的实施方案。

根据方案进行油田互联网出口整体实施，包括原有设备和新购设备等的安装实施。

在原有的互联网出口系统基础上，使之更加稳定、安全、可靠。

3项目原则⏹先进性原则⏹可靠性原则⏹维护性原则⏹扩展性原则⏹安全性原则⏹易用性原则4总体方案设计4.1现状分析办公网互联网出口设备有F5-6400、Allot-1010、ISG2000和边界路由器3750G，公共信息网互联网出口设备有F5-3400、QQSG和边界路由器3750G。

4.2方案论证根据xxx办公网与公共信息网两网分离的网络实际情况，结合现有设备，从以下几个方面分析论证：1、流量分析：2、设备性能分析：4.3总体方案基于上述分析，办公网的互联网出口系统保持现状，公共信息网的F5-3400和QQSG 更换为F5-6900和Allot-3040,F5-3400和QQSG关机，作为互联网出口体系的备用设备。

5设计方案5.1技术关键点5.1.1 F5-6900多链路的负载均衡：LinkController可以智能的解决多条ISP接入链路以保证网络服务的质量，分为OUTBOUND流量的负载均衡、INBOUND流量的负载均衡。

多链路的冗余：可以检测每条链路的运行状态和可用性，做到链路和ISP故障的实时检测。

高度的安全性：采用防火墙的设计原理，是缺省拒绝设备，防御普通网络攻击。

能够拆除空闲连接防止拒绝服务攻击；能够执行源路由跟踪防止IP欺骗；拒绝没有ACK 缓冲确认的SYN防止SYN攻击；拒绝teartop和land攻击；保护自己和内网免受ICMP 攻击；不运行SMTP、FTP、TELNET或其它易受攻击的后台程序。

Dynamic Reaping特性可以高效删除各类网络DoS攻击中的空闲连接，这可以保护BIG-IP不会因流量过多而瘫痪。

Delay Binding技术可以为部署在BIG-IP后面的服务器提供全面地SYN Flood 保护。

5.1.2 Allot-3040确保关键业务应用、控制广域网成本：检测网络与带宽的使用情况，自动发现网络中的应用，判断网络中哪些协议可能对网络造成影响而需要对其进行管理。

对所有经过Allot设备的所有流量进行检查，并持续监测资源的使用情况以保证对网络的控制与应用服务的性能，定义的策略将业务优先级与用户的需求相结合。

强健策略驱动的网络架构：为网络中的每一种应用精确地分配带宽，保证那些对网络延迟敏感的应用的质量不会因为网络中的其他流量而下降。

实现网络智能：借助NetXplorer管理平台实现逐层深入的网络分析，以实现智能的网络管理，包括信息收集与分析、找出网络瓶颈、以及集中管理策略配置。

抵制恶意网络攻击：侦测已知类型的DDOS网络攻击，监测、记录并阻止不良的网络流量，对即将发生的网络攻击提出早期告警，并且使用专用的带外管理端口以保证即使发生DDOS攻击的情况下也能够对设备进行管理，从而对攻击流量进行管控。

保证最大的网络可靠性：通过两个层面的容错特性保证网络的100%正常运行时间，首先是基于硬件的旁路单元（Bypass）可以再设备发生软硬件故障的情况下将数据透明的进行传输，不会导致网络中断。

5.2方案设计5.2.1设计内容F5-6900流量处理能力是6Gbps，64位的TMOS硬件架构，4核8进程CPU处理能力，8G内存，24个千兆接口（含光口）。

并发数是800万，活动用户数峰值为4万，背板带宽68G。

Allot-3040有8个千兆接口，可扩展至4Gbps的全双工吞吐率，实时监测和QoS 策略执行多达400万个并发IP流，支持Allot的DART（动态可操作的识别）技术，广泛的特征库，能够准确地识别数以百计的互联网应用和协议，可自动更新特征库。

为了更好地使用F5-6900和Allot-3040，公共信息网互联网出口在边界路由器C3750G和F5-6900之间采用链路聚合的方式，增加链路带宽，使互联网访问能够快速、有效地通过，充分发挥性能。

5.2.2网络资源规划5.2.3 SNAT-List5.2.4设备互联规划5.2.5静态路由规划依据边界设备采用静态路由的原则，公共信息网的互联网出口系统采用静态路由的方式与内网和各运营商互指。

5.2.6 F5-6900策略设计参考现在运行的F5-3400目前配置，按照总体设计的链路聚合方式，针对F5-6900进行配置策略设计，内容包含一下部分：✧电信、联通链路对应公共信息网F5-6900的接口、管理IP、接口IP及路由✧PortChannel（链路聚合）✧Virtual Server List✧Pool List✧Monitor List✧iRule✧SNAT-List✧SNAT5.2.7Allot-3040策略设计参考现在运行的QQSG目前配置，针对Allot-3040进行配置策略设计，内容包含一下部分：✧管理服务器安装（NX服务器）✧配置管理IP及路由✧Line✧Pipe✧VirtualChannel✧QOS✧IP Host5.2.8C3750G总体设计✧PortChannel（链路聚合）✧路由6实施方案6.1设备安装调试F5-6900安装调试详细配置见附件中《F5-6900配置手册》Allot管理服务器安装调试：✧Allot管理服务器安装在Wndows server 2003英文版（建议）或中文版32位包括SP2，虚拟内存设置成4G；✧管理员需要安装JAVA SDK和NetXplorer才能管理Allot；✧详细配置见附件中《Allot管理服务器配置手册》Allot-3040安装调试详细配置见附件中《Allot-3040配置手册》C3750G详细配置见附件中《C3750G配置手册》6.2设备上架、加电测试按照机房要求，将新设备F5-6900和Allot-3040上架，并加电测试。

6.3业务平滑迁移➢公共信息网F5-3400更换为F5-6900：将业务数据流量从F5-3400迁移至F5-6900，观察业务数据流量是否正常，若出现异常情况立即将业务数据流量恢复至F5-3400，优先保证用户正常使用公共信息网资源，迅速排查原因后重新实施。

➢公共信息网QQSG更换为Allot-3040；将业务数据流量从QQSG迁移至Allot-3040，观察业务数据流量是否正常，若出现异常情况立即将业务数据流量恢复至QQSG，优先保证用户正常使用公共信息网资源，迅速排查原因后重新实施。