xxxx互联网出口负载均衡和流量分析总体方案.doc

xxx互联网出口负载均衡和流量分析巴州浩展网络有限责任公司2012年3月目录1 项目背景 2项目目标 3项目原则 4 总体方案设计 4.1 现状分析 4.2 方案论证 4.3 总体方案 5 设计方案 5.1技术关键点 5.2 方案设计 6 实施方案 6.1 设备安装调试 6.2设备上架、加电测试 6.3业务平滑迁移 6.4链路跳接 6.5策略调整、优化配置 6.6设备关机 7项目组织管理 7.1项目实施总体布署 7.2项目实施准备工作 7.3项目实施关键步骤说明 7.4项目文档管理 8 项目实施进度计划 9 应急预案 10培训计划 10.1 F5培训内容 10.2 Allot 培训内容 11 附件 1911.1《F5-6400配置手册》 11.2《Allot管理服务器配置手册》 11.3《Allot-3040 配置手册》 11.4 C3750G配置手册 1项目背景目前XXX的互联网出口是电信、联通双线接入，办公网、公共信息网分别建有互联 网出口系统；中石油互联网出口接入到办公网边界区域；用户群体庞大，约有 3万终端油田中心机房现有油田办公网互联网出口负载均衡设备、流量整形设备，且各只有 一台，没有备份，当出现软硬件问题设备不能正常运行时将导致相关网络瘫痪。

通过本 项目购置负载均衡设备和流量整形设备各 1台，为互联网正常运行做好保障2项目目标根据油田互联网出口现状，设计原有的互联出口设备和新购的 F5负载均衡、ALLOT 流量整形设备的实施方案根据方案进行油田互联网出口整体实施，包括原有设备和新 购设备等的安装实施在原有的互联网出口系统基础上，使之更加稳定、安全、可靠3项目原则先进性原则可靠性原则维护性原则扩展性原则安全性原则易用性原则4总体方案设计4.1现状分析办公网互联网出口设备有 F5-6400、Allot-1010、ISG2000和边界路由器3750G 公 共信息网互联网出口设备有 F5-3400、SG口边界路由器3750G4.2方案论证根据XXX办公网与公共信息网两网分离的网络实际情况，结合现有设备，从以下几个方面分析论证：1、流量分析:设备OUTIN策略备注F5-640050M/s400M/SWeb邮件办公网F5-3400500M/S600M/S无公共信息网结论：1、 互联网出口峰值流量公共信息网大于办公网；2、 互联网出口设备压力公共信息网咼于办公网2、设备性能分析:公共信息网F5-3400年限较长，硬件性能不足设备(理 论值)并发会话数为400万，活动用 户数峰值为1万，内存为1G当用户 峰值访问时，设备会话保持使用不够， 易出现间断性断网，释放内存后网络 恢复。

不能满足公共信息网的 应用需求办公网F5-6400并发会话数800万，活动用户数峰值 为2.5万，内存为2G可以满足办公网的应用 需求，但不能满足公共信 息网的应用需求SG协议特征库长时间没有更新，不能对 新的应用做到识别，已经不能满足现 有流量分析的需求；报表的时间戳不 能同步，报表的时间不对，无法修正不能满足公共信息网的 需求Allot-1010能够识别现有办公网(Web/Ftp/Mail ) 需求产生的应用流量分析，硬件设备 运行稳定由于没有续保服务，特征 库无法更新，软件版本低可以满足办公网现有功 能要求，但不能满足公共 信息网复杂应用分析的 需求4.3总体方案基于上述分析，办公网的互联网出口系统保持现状，公共信息网的 F5-3400和SG更换为F5-6900和Allot-3040,F5-3400 和S关机，作为互联网出口体系的备用设备5设计方案5.1技术关键点5.1.1 F5-6900多链路的负载均衡：LinkController 可以智能的解决多条ISP接入链路以保证网络 服务的质量，分为OUTBOUND量的负载均衡、INBOUN流量的负载均衡多链路的冗余：可以检测每条链路的运行状态和可用性，做到链路和 ISP故障的实时检测。

高度的安全性：采用防火墙的设计原理，是缺省拒绝设备，防御普通网络攻击能够拆除空闲连接防止拒绝服务攻击；能够执行源路由跟踪防止 IP欺骗；拒绝没有ACK缓 冲确认的SYN防止SYN攻击；拒绝teartop和land攻击；保护自己和内网免受ICMP攻 击；不运行SMTP FTP、TELNET^其它易受攻击的后台程序Dynamic Reaping特性可以 高效删除各类网络DoS攻击中的空闲连接，这可以保护 BIG-IP不会因流量过多而瘫痪Delay Binding 技术可以为部署在BIG-IP后面的服务器提供全面地 SYN Flood保护5.1.2 Allot-3040确保关键业务应用、控制广域网成本： 检测网络与带宽的使用情况，自动发现网络中的应用，判断网络中哪些协议可能对网络造成影响而需要对其进行管理对所有经过 Allot设备的所有流量进行检查，并持续监测资源的使用情况以保证对网络的控制与应用 服务的性能，定义的策略将业务优先级与用户的需求相结合强健策略驱动的网络架构： 为网络中的每一种应用精确地分配带宽，保证那些对网络延迟敏感的应用的质量不会因为网络中的其他流量而下降实现网络智能：借助NetXplorer管理平台实现逐层深入的网络分析，以实现智能 的网络管理，包括信息收集与分析、找出网络瓶颈、以及集中管理策略配置。

抵制恶意网络攻击：侦测已知类型的DDO删络攻击，监测、记录并阻止不良的网 络流量，对即将发生的网络攻击提出早期告警，并且使用专用的带外管理端口以保证即使发生DDO攻击的情况下也能够对设备进行管理，从而对攻击流量进行管控保证最大的网络可靠性：通过两个层面的容错特性保证网络的 100%E常运行时间， 首先是基于硬件的旁路单元（Bypass）可以再设备发生软硬件故障的情况下将数据透明 的进行传输，不会导致网络中断5.2方案设计5.2.1 设计内容F5-6900流量处理能力是6Gbps 64位的TMOSS件架构，4核8进程CPU处理能力， 8G内存，24个千兆接口（含光口）并发数是800万，活动用户数峰值为4万，背板带 宽68GAllot-3040 有8个千兆接口，可扩展至4Gbps的全双工吞吐率，实时监测和QoS策 略执行多达400万个并发IP流，支持Allot的DART（动态可操作的识别）技术，广泛的 特征库，能够准确地识别数以百计的互联网应用和协议，可自动更新特征库为了更好地使用 F5-6900和Allot-3040，公共信息网互联网出口在边界路由器 C3750G和F5-6900之间采用链路聚合的方式，增加链路带宽，使互联网访问能够快速、 有效地通过，充分发挥性能。

5.2.2 网络资源规划设备接口IP地址子网掩码F5-69002.1/2.21.161.13.220.171.2216.31.220.102Allot-3040Mg nt2Allot管理服务器Eth1172.16.250.1005.2.3 SNATList设备SNAT地址备注F5 6900.103电信.18联通设备互联规划设备端口对端设备端口备注F5-69001.1In ternet 3750GG1/0/4电信1.2In ternet 3750GG1/0/28联通2.1Allot 3040Bypass external12.2Allot 3040Bypass external2Allot-3040Bypass internal1C3750GGi1/0/27Bypass internal2C3750GGi1/0/28Bypass external1F5-69002.1Bypass external2F5-69002.2Mg ntC3750Gi1/0/25Allot服务器Eth1C3750Gi1/0/265.2.5 静态路由规划依据边界设备采用静态路由的原则，公共信息网的互联网出口系统采用静态路由的 方式与内网和各运营商互指。

设备路由下一跳备注F5-6900联通电信回程Allot-3040Allot管理服务器公共信息网C3750管理管理默认路由5.2.6 F5-6900策略设计参考现在运行的F5-3400目前配置，按照总体设计的链路聚合方式，针对 F5-6900进行配置策略设计，内容包含一下部分：电信、联通链路对应公共信息网 F5-6900的接口、管理IP、接口 IP及路由PortChannel （链路聚合）Virtual Server ListPool ListMon itor ListiRuleSNAT-ListSNAT5.2.7 Allot-3040 策略设计参考现在运行的SC目前配置，针对Allot-3040 进行配置策略设计，内容包含一下部分：管理服务器安装（N刈艮务器）配置管理IP及路由LinePipeVirtualCha nnelQOSIP Host528 C3750G总体设计PortChannel （链路聚合）路由6实施方案6.1设备安装调试F5-6900安装调试详细配置见附件中《F5-6900配置手册》Allot管理服务器安装调试：Allot管理服务器安装在 Wndows server 2003英文版（建议）或中文版 32 位包括SP2,虚拟内存设置成4G管理员需要安装JAVA SDK和NetXplorer才能管理Allot ；详细配置见附件中《Allot管理服务器配置手册》Allot-3040安装调试详细配置见附件中《Allot-3040配置手册》C3750G羊细配置见附件中《C3750G配置手册》6.2设备上架、加电测试按照机房要求，将新设备F5-6900和Allot-3040 上架，并加电测试。

6.3业务平滑迁移公共信息网F5-3400更换为F5-6900:将业务数据流量从F5-3400迁移至F5-6900,观察业务数据流量是否正常，若出现异 常情况立即将业务数据流量恢复至 F5-3400,优先保证用户正常使用公共信息网资源， 迅 速排查原因后重新实施公共信息网SG!换为Allot-3040 ;将业务数据流量从S迁移至Allot-3040 ，观察业务数据流量是否正常，若出现异 常情况立即将业务数据流量恢复至 SG优先保证用户正常使用公共信息网资源，迅速排查原因后重新实施公共信息网边界路由器C3750G配置调整:将业务数据流量从原接口迁移至 PortChannel接口，观察业务数据流量是否正常， 若出现异常情况立即将业务数据流量恢复至原接口，优先保证用户正常使用公共信息网 资源，迅速排查原因后重新实施6.4链路跳接公共信息网边界路由C3750G至Allot-3040 新增1条多模光跳线（FC-FC ； Al。