F5多链路负载均衡解决方案
– ISPs 们必须合作 – many will not…
• 当故障发生时,拥有和控制成 为大问题
– 必须获得 ASN (Autonomous System Number)
• 为大 ISPs 预留 • 在很多地方无法获得 (Asia, Australia, Europe) • 需进 30 分钟整合到表中
由外到内的流量???
议题
• • • • 问题的提出 F5多链路解决方案 方案优点介绍 成功案例介绍
F5多ISP解决方案
ISP1 ISP1线路接入路由器 ISP2 ISP2线路接入路由器
防火墙
防火墙
核心交换机
核心交换机
Outbound 访问过程
2a
Internet Server
1、BIGIP与ISP相连的VLAN分配公网IP 地址;
DNS Result
202.99.30.209
202.99.30.209
219.142.91.11
网通
电信
网通
电信
网通
电信
网通
电信
Number of hits: Requests per Second Socket Connects Total Bytes Sent (in KB) Bytes Sent Rate (in KB/s) Total Bytes Recv (in KB)
1 2 3 3
BIG-IP application switch combo Link Controller
1 2
防火墙负载均衡
Internet
ISP A
ISP B
防火墙三明治,利用Bigip的Last Hop特性,解决了防火墙要求数据 必须同进同出,否则数据将被拒绝 的问题 •提供多台防火墙的负载均衡能
BIG-IP
LAN
1b
Link Controller
Inbound支持的负载均衡算法
• • • • • • • • • • • • • •
完成率(Completion Rate) 优先级(Global Availability) 跳数(Hops) 速率( Kilobytes/Second) 最小连接数(Least Connections) 包转发率(Packet Rate) 综合服务质量(Quality of Service) 随机(Random) 比率(Ratio) 轮流(Round Robin) 反应速度(Round Trip Time) 静态持续一致性(Static Persist) 虚拟服务器的负荷(VS Capacity)
Inbound 访问过程
Internet Client
1a
(e.g. home user)
Internet
1、在BIGIP的每一个与ISP相连的 VLAN建立一个Virtual Server 对应 内网的服务器。例如WWW服务器在 ISP A有地址IP1,在ISP B有地址IP2; 2、F5设备作为DNS SERVER,提 供域名解析;
Routers
Internet
ISP A ISP B ISP C
100%
Completion Rate
98%
FTP Traffic
高ROI
• • • •
避免出口断线 避免单一链路的过度投资 避免冷备份链路的投资浪费 保证所有链路得到最大利用
服务器负载均衡
最多的负载均衡模式(12种) 其中观察模式,预测模式是F5的专利 会话保持技术最多(8种) 其中Cookie 会话保持技术向所有的 竞争对手收取专利费 服务器健康检查最彻底 专有的EAV、ECV健康检查模式 性能最好,速度最快: 125000 S/S Lay4; 19000 S/S Lay7;1.8Gbps; 会话保持数量第一达到:400万 支持最多的VIP : 4万个 唯一交换机厂商有开放的API
• 提高自身的高可用性
– – – – – Port Lock Down 抗DOS攻击:Synflood、Ping of Death、IP spoof、带宽dos等 访问控制列表s 加密的管理控制(SSL、SSH) Syncookie, Reaper
• 提高服务器的高可用性
– 只允许访问特定的端口 – 访问控制
*Infonetics Research
问题的提出
测试项目 网通北京ADSL用户访 问 12月2日凌晨1 时 广东电信用户访问, 宽带用户,带宽 未知,12月2日 16:30 219.142.91.11 网通北京ADSL用户访 问,12月2日 16:00 上海ADSL宽带用户访 问,12月2日 20:00
3DNS Internet
3DNS
Multi-Homing
3DNS BigIP BigIP 3DNS
BigIP BigIP
XX银行深圳数据中心
Internet接入
接入路由器 接入交换机 接入路由器 接入交换机
外网防火墙
外网防火墙
3DNS
3DNS
BIGIP E-Commerce Controller
静态地址列表(Topology)
如何使域名由3DNS进行解析
root name server
IN A 202.1.1.1 2 要将此域名做成由3DNS做智能解析,需要在用户的 3 DNS server上添加如下内容 . IN NS . 4 . IN NS . . IN A 192.168.13.101 5 (这个地址是3DNS1的self ip) Authoritative name server local name server . IN A 192.168.13.102 7 (这个地址是3DNS2的self ip) . IN CNAME . 6
F5 多链路负载均衡解决方案
议题
• • • • 问题的提出 F5多链路解决方案 方案优点介绍 成功案例介绍
问题的提出
WAN 断线的统计数字*
• • • • • • 平均服务中断 每个月 1.7 次,每年 23 小时 服务品质降低的情况平均每个月 4.4 次 26% 的企业都有中断超过 8 小时的经验 WAN服务中断损失US$7,800,000/年 公司信誉与潜在商机的损失更难以估计 64% 的公司都没有足够的应变措施
72 1.20 73 14.19 0.24 4148.24
69 1.15 70 13.47 0.22 4001.90
4 0.07 5 0.96 0.02 256.58
76 1.27 77 14.96 0.25 4388.54
52 0.87 53 13.61 0.23 3019.94
47 0.78 48 12.23 0.20 2703.26
行业用户分布
• 金融
– – – – – – 工商银行 建设银行 招商银行 光大银行 证券公司 金融相关企业
• 政府
– 北京国税 – 北京地税 – 邮政系统
• 企业
– – – – 胜利油田 大庆油田 长庆油田 五矿集团
• ICP
– TOM – Sohu – 华奥星空
XX银行南京数据中心
Server
• 网络流量分配
– 连接数限制 – 带宽限制
• 应用安全性
– iControl、iRules
• 动态安全策略保护
– iControl与其它网络安全产品互动
可管理能力
• • • • • 轻松部署进入任何网络 实时流量分配 安全远端 GUI 和命令行控制 SNMP、Syslog、Email 报警 可实时察看连接健康/性能监测及统计报告
扩展方案-防火墙负载均衡
ISP1 ISP1线路接入路由器 ISP2 ISP2线路接入路由器
防火墙
防火墙
核心交换机
核心交换机
扩展方案--建立容灾中心
ISP1 ISP1线路接入路由器 ISP2 ISP2线路接入路由器
防火墙
防火墙
核心交换机
核心交换机
议题
• • • • 问题的提出 F5多链路解决方案 方案优点介绍 成功案例介绍
2b (e.g. )
2、BIGIP内网VLAN采用保留IP地址 3、BIGIP作为内网出口网关 4、在BIGIP上配置两台ISP router的地 址作为default gateway pool.设定负载均 衡算法,由Link Controller将Outbound 流量在链路之间分配 5、在BIGIP上实现网络地址转换 (SNAT Automap),将内网IP翻译成 公网IP 6、由于Outbound流量离开BIGIP时已 经转换成对应ISP的公网IP,服务器回应 的网络流量也将由原路返回
BIGIP
E-Commerce Controller
外网服务器
内网
外网服务器
Internet
Router A BigIP 5000 combo lc _Ext_A Router Multi-Homing B BigIP 5000 combo lc_Ext_B Firewall load balance BigIP 5000_Int_B
Router A
Router B
BIG-IP application switch combo Link Controller
力 •提供在线维护防火墙的方法 •解决了单台防火墙的处理能力 瓶颈问题 •提供了系统的扩展能力
BIG-IP application switch Intranet
性能
安全性:F5的动态攻击防御系统
Internet
ISP A ISP B
– 路由可用性及链路带宽
• 全路径检查
– 确保整个连接的可用性 – 透明 Ping 到目标设备
Routers
• 透明路由流量绕过故障的链 路提供者,链路及路由器等
