F5多出口链路负载均衡解决方案(LC)1127要点

F5 Networks

多出口链路负载均衡解决方案建议

目录

一．多出口链路负载均衡需求分析 (3)

二．多出口链路负载均衡解决方案概述 (4)

2.1多出口链路负载均衡网络拓朴设计 (4)

2.2方案描述 (5)

2.3方案优点 (6)

2.3.1 拓扑结构方面 (6)

2.3.2安全机制方面 (6)

三．技术实现 (7)

3.1F5多出口链路负载均衡（产品选型：B IGIP LC） (7)

3.2O UTBOUND流量负载均衡实现原理 (8)

3.3I NBOUND流量负载均衡实现原理 (9)

3.4在链路负载均衡环境中的DNS设计和域名解析方式 (11)

3.4.1 Root DNS（注册DNS）直接与F5多链路负载均衡器配合 (11)

3.4.2 Root DNS（注册DNS）通过第三方DNS Server与F5多链路负载均衡器配合（我

们建议这种方式） (13)

3.5F5设备双机冗余----毫秒级切换原理 (15)

3.6S TATEFUL F AIL O VER 技术（与F5设备双机冗余有关） (16)

四．产品介绍 (17)

4.1F5B IGIP (17)

一．多出口链路负载均衡需求分析

为了保证XXXX出口链路的高可用性和访问效率，计划拥有两条线路：一条中国网通链路，一条中国电信链路。F5公司的多链路负载均衡设备（Bigip）能够提供独具特色的解决方案，不但能够充分利用这两条链路（双向流量按照预设的算法分担到不同的链路上，一旦一条链路不通的情况下，能够无缝切换到另外一条可用链路上）；而且可以根据对不同链路的侦测结果，将最快速的链路提供给外部用户进行响应，从而解决目前广泛存在的多个ISP之间的互联互通问题。具体解决方案特色如下：

提供内网至internet流量的负载均衡（Outbound）

实现从Internet对服务器访问流量的负载均衡（Inbound）

支持自动检测和屏蔽故障Internet链路

支持多种静态和动态算法智能均衡多个ISP链路的流量

支持多出口链路动态冗余，流量比率和切换

支持多种DNS解析和规划方式，适合各种用户网络环境

支持Layer2－7交换和流量管理控制功能

完全支持各种应用服务器负载均衡，防火墙负载均衡

多层安全增强防护，抵挡黑客攻击

业界领先的双机冗余切换机制，能够做到毫秒级切换

详细的链路监控报表，提供给网络管理员直观详细的图形界面

对于用户完全透明

对所有应用无缝支持

业界优异的硬件平台和性能

稳定，安全的设备运行记录

二．多出口链路负载均衡解决方案概述

2.1 多出口链路负载均衡网络拓朴设计

下面是专门为XXXX设计的多出口链路负载均衡网络拓扑图（单机版）。

下面是专门为XXXX设计的多出口链路负载均衡网络拓扑图（双机冗余版）。

2.2 方案描述

此方案中，分别设计单台链路负载均衡和双机冗余链路负载均衡两种网络拓扑，供杭州政府信息中心选择。考虑到链路负载均衡在网络构架中的位置，以及今后的扩展性，建议采用F5公司的Bigip LC两台, 提供两条出口链路（中国网通和中国电信）的负载均衡，其中两条Internet 出口链路都通过普通网线或光电转换器与Bigip LC连接（如果双机冗余，需要从每个ISP引进两根进线，可以在Bigip LC前面放置一台二层交换机做端口拓展），Bigip LC与两台冗余的防火墙通过网络端口连接。两台Bigip LC互为冗余。

通过这样的优化后，系统具有以下特征：

结构合理：整个网络结构布局合理，层次分明，便于管理与维护。

可用性高: Bigip动态检查各条出口链路的健康状态，并将下一个请求分配给最有效率的链路，任何一条链路发生故障时，BIGIP即刻将请求分配给其他的链路，从而达到99.999%系统有效性。

安全性高: BIGIP支持地址翻译技术和安全地址翻译，这样一来客户不可能知道真正提供服务的服务器的IP地址与端口，BIGIP采用SSH和SSL技术，可以防止来自内部或互联网上的黑客攻击。

效率高: BIGIP可以智能寻找最佳的出口链路，从而保证客户得到最快的上网访问速度。

可扩展性高: BIGIP可以支持动态增加或删除其负载均衡的链路群组的任何数量的链路，而不需要对客户端或后台做任何改变从而使得系统扩展轻松方便。

可管理性高: BIGIP可以实时监控整个链路群组的流量状态，并分析发展趋势帮助客户及时根据流量增长增加出口带宽。

保护投资：BIGIP还免费带有服务器负载均衡和防火墙负载均衡的功能。

2.3 方案优点

2.3.1 拓扑结构方面

1) 可以轻松形成全冗余连接方法, 保证网络没有单点故障的存在。

2) 提供多出口链路的负载均衡，今后，通过免费无缝拓展，可以对各种应用服务器，防火

墙/VPN/IDS等网络设备全部可以采用负载均衡方式处理网络流量,提高网络服务能力和投资回报率。

3) 比较少的网络层次,较少网络延迟，避免运行维护时面对大量网络设备。

4) 灵活的扩展空间, 用户可以根据实际的网络流量和压力增加带宽，增加链路, 添加防火

墙或增加服务器来提高整体的服务水平。

2.3.2安全机制方面

1)HTTPS,SSH等加密的网络管理, 避免明码通讯对网络设备控制时的安全隐患。

2)F5的VIP一旦配置成功,服务的TCP/UDP端口也就同时确认,除特定服务外,其他的端口

就全部被封闭了,保护服务器避免被端口扫描.

3)在防止DOS攻击方面,F5提供免费的防护 , 特别对于Ping of Death , F5 的VIP一旦

规定成功就对Ping包做中继处理, 避免攻击对服务器的压力.

4)并且，F5具备攻击回收技术，同时可以设置在资源消耗在97%（可设）时重启，切换到

备份设备工作。