服务器负载均衡解决方案V9.0 1600.doc

密 级： 文档编号： 第 版分册名称： 第 册/共 册服务器负载均衡方案建议书北京海量智能数据技术有限公司总页数正文附录生效日期：编制：审核：批准：目 录一 综述 1二 用户需求 12.1 总体目标 12.2 系统功能需求 12.3 系统性能需求 22.4 系统安全性需求 32.5 可管理性需求 3三 需求分析 33.1 服务器负载均衡 33.2 系统高可用性 43.3 高度的安全性 53.4 SSL加速 53.5 系统管理 53.6 其它 6四 方案设计 64.1 方案总体设计 64.2 网络拓扑结构 64.3设计描述 7五 相关技术介绍 85.1 负载均衡算法 85.2健康检查方法 95.3 会话保持技术 115.4 UIE+iRules 135.5 i-Control 13六．产品介绍 146.1 BIGIP 1600 146.2 BIGIP 1600性能参数 15 北京海量智能数据技术有限公司 第-2-页 共-19-页一 综述随着访问用户数量的增加，给服务器带来越来越大的压力，实现访问流量在各服务器上均衡分配，充分利用各服务器资源，提高服务器的性能，给以最好的用户体验，是网络改造的重要目标。

二 用户需求2.1 总体目标系统建设的总体目标为：1．高性能，即根据数据包内的特征数据将流量分配到多组不同的服务器，同时采用丰富的负载均衡算法，使流量得以合理分配，从而保证整体服务器系统的性能得以大幅度提升；2．高可靠性，系统运行稳定，单一设备故障不能影响系统的正常运行；3．满足目前功能和性能的需求； 4．良好的系统扩充能力，随着访问量的增加能够满足系统扩充需求；5．系统具有良好的可管理性；6．应具有高度的安全机制7．不对现有的系统进行大规模的调整8．丰富的会话保持策略能够满足灵活多样的动态调整9．通过中文的监视平台，方便直观地管理与监视应用的状态及健康状况2.2 系统功能需求作为服务系统的核心，负载均衡系统必须满足以下业务需求：1．冗余的系统实施方案，任何单点故障不影响系统的正常运营在接入系统的设计中，负载均衡设备采用冗余设计和实施，充分考虑到设备和线路的中断或故障情况，在发生故障时系统能迅速切换，保证系统的正常运营2．服务器负载均衡考虑到系统中有多台Web服务器需要实现负载均衡，保证用户访问流量能在各服务器上均衡分配，提高服务器资源的利用率并且当某台服务器发生故障时能被及时检测到，并且故障服务器将会被自动隔离，直到其恢复正常后自动加入服务器群，实现透明的容错，保证服务器整体性能得到大幅提升。

3．基于数据包内容的负载均衡方式根据访问请求数据包内特征数据的不同将流量导向到相应的服务器；4．升级能力负载均衡产品应当具有良好的系统和软件升级能力5．SSL加速卸载服务器HTTPS流量6．系统的配置管理方便，系统报告的可用性强，能提供完善的访问统计和流量管理7．能够提供GUI的良好的维护界面和日常维护方案8．能够提供必要的有关防病毒、防DoS攻击等黑客攻击解决方案或其他替代方案9．服务器状态监测：动态监测服务器状态2.3 系统性能需求系统的整体系统响应时间、整体系统性能和故障切换能力应达到或高于以下要求：1．能够在一定的访问压力下仍然能够提供正常服务；2．单台设备失效后，冗余设备能达到毫秒级切换；3．系统稳定性强，系统响应时间（例如服务器故障后负载均衡对故障的反映）短（几秒钟之内）2.4 系统安全性需求1．负载均衡产品本身具有良好的系统安全性，不存在安全漏洞；2．产品提供安全的访问管理环境3．具有一定的安全防护能力，协助防火墙和其他IDS设备构建动态防御体系，防御网络常见攻击，提高系统整体的安全防护能力2.5 可管理性需求在可管理性方面，需要具备以下几点：1．机架式机箱，标准19"；2．客户端管理软件能够方便地安装到流行的操作系统上（如WinXP，Win2K等）；3．提供有效的关于用户、流量等的报表、统计工具；4．提供有效的备份恢复手段；5．提供有效的故障报警手段；6．提供有效的系统监控手段并为通用的监控工具（如OpenView，Tivoli）提供接口。

7．系统的配置管理方便，系统报告的可用性强，能提供完善的访问统计和流量管理；8．能够提供GUI的良好的维护界面和日常维护方案；9．加密通讯，保证安全的设备管理三 需求分析3.1 服务器负载均衡对于所有的对外服务的服务器，均可以在BIG-IP上配置Virtual Server实现负载均衡，同时BIG-IP可持续检查服务器的健康状态，一旦发现故障服务器，则将其从负载均衡组中摘除BIG-IP利用虚拟IP地址（VIP由IP地址和TCP/UDP应用的端口组成，它是一个地址）来为用户的一个或多个目标服务器（称为节点：目标服务器的IP地址和TCP/UDP应用的端口组成，它可以是internet的私网地址）提供服务因此，它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务根据服务类型不同分别定义服务器群组，可以根据不同服务端口将流量导向到相应的服务器BIG-IP连续地对目标服务器进行L4到L7合理性检查，当用户通过VIP请求目标服务器服务时，BIG-IP根椐目标服务器之间性能和网络健康情况，选择性能最佳的服务器响应用户的请求如果能够充分利用所有的服务器资源，将所有流量均衡的分配到各个服务器，我们就可以有效地避免“不平衡”现象的发生。

利用UIE+iRules可以将TCP/UDP数据包打开，并搜索其中的特征数据，之后根据搜索到的特征数据作相应的规则处理因此可以根据用户访问内容的不同将流量导向到相应的服务器，例如：根据访问请求数据包的特征字段将流量导向到相应的服务器3.2 系统高可用性系统高可用性主要可以从以下几个方面考虑：1．设备自身的高可用性：F5 BIG-IP专门优化的体系结构和卓越的处理能力保证99.999%的正常运行时间，在双机冗余模式下工作时可以实现毫秒级切换，保证系统稳定运行，另外还有冗余电源模块可选在采用双机备份方式时，备机切换时间最快会在200ms之内进行切换BIG-IP 产品是业界唯一的可以达到毫秒级切换的产品, 而且设计极为合理，所有会话通过Active 的BIG-IP 的同时，会把会话信息通过同步数据线同步到Backup的BIG-IP，保证在Backup BIG-IP内也有所有的用户访问会话信息；另外每台设备中的watchdog芯片通过心跳线监控对方设备的电频，当Active BIG-IP故障时，watchdog会首先发现，并通知Backup BIG-IP接管Shared IP，VIP等，完成切换过程，因为Backup BIG-IP中有事先同步好的会话信息，所以可以保证访问的畅通无阻。

2．服务器冗余，多台服务器同时提供服务，当某一台服务器故障不能提供服务时，用户的访问不会中断BIG-IP可以在OSI七层模型中的不同层面上对服务器进行健康检查，实时监测服务器健康状况，如果某台服务器出现故障，BIG-IP确定它无法提供服务后，就会将其在服务队列中清除，保证用户正常的访问应用，确保回应内容的正确性3.3 高度的安全性BIG-IP采用防火墙的设计原理，是缺省拒绝设备，它可以为任何站点增加额外的安全保护，防御普通网络攻击可以通过支持命令行的SSH或支持浏览器管理的SSL方便、安全的进行远程管理，提高设备自身的安全性；能够拆除空闲连接防止拒绝服务攻击；能够执行源路由跟踪防止IP欺骗；拒绝没有ACK缓冲确认的SYN防止SYN攻击；拒绝teartop和land攻击；保护自己和服务器免受ICMP攻击；不运行SMTP、FTP、TELNET或其它易受攻击的后台程序BIG-IP的Dynamic Reaping特性可以高效删除各类网络DoS攻击中的空闲连接，这可以保护BIG-IP不会因流量过多而瘫痪BIG-IP可以随着攻击量的增加而加快连接切断速率，从而提供一种具有极强适应能力、能够防御最大攻击量的解决方案。

BIG-IP的Delay Binding技术可以为部署在BIG-IP后面的服务器提供全面地SYN Flood保护此时，BIG-IP设备作为安全代理来有效保护整个网络BIG-IP可以和其它安全设备配合，构建动态安全防御体系BIG-IP可以根据用户单位时间内的连接数生成控制访问列表，将该列表加载到其它安全设备上，有效控制攻击流量3.4 SSL加速在每台BIG-IP上，都具有SSL硬件加速芯片，并且自带500个TPS的License，用户可以不通过单独付费，就可以拥有500个TPS的SSL加速功能，节约了用户的投资在将来系统扩展时，可以简单的通过License升级的方式，获得更高的SSL加速性能3.5 系统管理F5提供HTTPS、SSH、Telnet、SNMP等多种管理方式，用户客户端只需操作系统自带的浏览器软件即可，不需安装其它软件，同时可以监控流量；另外，通过F5 的i-Control 开发包，目前国内已有基于i-Control开发的网管软件，可以定制针对系统服务特点的监控系统,比如服务的流量情况、各种服务连接数、访问情况、节点的健康状况等等，进行可视化显示告警方式可以提供syslog、snmp trap、mail等方式。

3.6 其它BIG-IP内置i-Control SDK二次开发包，可以通过API接口方便的取得各种流量统计信息，作为计费的依据在Web用户界面上面也可以方便的查看各种流量统计信息，如果需要按照流量计费，可以使用以上两种方式取得流量的统计信息F5 NETWORKS免费提供安装在服务器端、动态获取服务器信息的agent软件，将其安装在服务器端以后，就可以动态获取服务器当前运行状态升级能力：F5 所有设备均可通过软件方式升级，在服务有效期内，升级软件包由F5公司提供F5 NETWORKS已经发布其系统的最新版本BIG-IP V9.0，主要有以下特性：虚拟 IPV4 / IPV6 应用、减少66%甚至更多的基础架构成本、确保高优先级应用的性能、确保更高级别的可用性、大幅提高网络和应用安全性、强大的性能，简单的管理方式、无以匹敌的自适应能力和延展能力和突破的性能表现力IP地址过滤和带宽控制：BIG-IP可以根据访问控制列表对数据包进行过滤配置管理及系统报告：F5 BIG-IP提供WEB 界面配置方式和命令行方式进行配置管理，并在其中提供了丰富的系统报告，更可通过i-Control自行开发复杂的配置及报告生成。

四 方案设计4.1 方案总体设计互为冗余备份的两台BIG-IP1600上连到核心交换机，后端直接连接多台服务器在BIG-IP1600上通过虚拟IP的机制实现流量的智能分配和服务器的负载均衡客户端发起对VIP的访问，BIG-IP接收到访问请求之后，按照预先定义好的负载均衡算法将流量分发到某一台服务器，服务器处理之后返回响应给BIG-IP，BIG-IP接收到服务。