F5多出口链路负载均衡解决方案_Linkcontroller技巧.doc

F5 Networks 多出口链路负载均衡 解决方案建议 F5 Networks 郑志勇 2005-12-23 目 录 一．多出口链路负载均衡需求分析 3 二．多出口链路负载均衡解决方案概述 4 2.1 多出口链路负载均衡网络拓朴设计 4 2.2 方案描述 5 2.3 方案优点 6 2.3.1 拓扑结构方面 6 2.3.2安全机制方面 6 三．技术实现 7 3.1 F5多出口链路负载均衡（产品选型：Linkcontroller 2400） 7 3.2 Outbound流量负载均衡实现原理 8 3.3 Inbound流量负载均衡实现原理 9 3.4 在链路负载均衡环境中的DNS设计和域名解析方式 11 3.4.1 Root DNS（注册DNS）直接与F5多链路负载均衡器配合 11 3.4.2 Root DNS（注册DNS）通过第三方DNS Server与F5多链路负载均衡器配合（我们建议这种方式） 12 3.5 F5设备双机冗余---- 毫秒级切换原理 14 3.6 Stateful FailOver 技术（与F5设备双机冗余有关） 15 四．产品介绍 16 4.1 F5 Linkcontroller 2400 16 五．F5多链路负载均衡成功案例举例 22 ５.1 政府 22 ５.２ 教育行业 23 ５.３ 金融行业 24 附录１南北电信互访问题 25 附录２传统的链路冗余方案及BGP方案缺点 26 附录３对附录一，二的案例分析 28  一．多出口链路负载均衡需求分析 为了保证XXXX出口链路的高可用性和访问效率，举例计划拥有两条线路：一条中国网通链路，一条中国电信链路。F5公司的多链路负载均衡设备（Linkcontroller）能够提供独具特色的解决方案，不但能够充分利用这两条链路（双向流量按照预设的算法分担到不同的链路上，一旦一条链路不通的情况下，能够无缝切换到另外一条可用链路上）；而且可以根据对不同链路的侦测结果，将最快速的链路提供给外部用户进行响应，从而解决目前广泛存在的多个ISP之间的互联互通问题。具体解决方案特色如下： 提供内网至internet流量的负载均衡（Outbound） 实现从Internet对服务器访问流量的负载均衡（Inbound） 支持自动检测和屏蔽故障Internet链路 支持多种静态和动态算法智能均衡多个ISP链路的流量 支持多出口链路动态冗余，流量比率和切换 支持多种DNS解析和规划方式，适合各种用户网络环境 支持Layer2－7交换和流量管理控制功能 完全支持各种应用服务器负载均衡，防火墙负载均衡 多层安全增强防护，抵挡黑客攻击 业界领先的双机冗余切换机制，能够做到毫秒级切换 详细的链路监控报表，提供给网络管理员直观详细的图形界面 对于用户完全透明 对所有应用无缝支持 业界优异的硬件平台和性能 稳定，安全的设备运行记录 二．多出口链路负载均衡解决方案概述 2.1 多出口链路负载均衡网络拓朴设计 下面是专门为XXXX设计的多出口链路负载均衡网络拓扑图（单机版）。 下面是专门为XXXX设计的多出口链路负载均衡网络拓扑图（双机冗余版）。 2.2 方案描述 此方案中，分别设计单台链路负载均衡和双机冗余链路负载均衡两种网络拓扑，供xx政府信息中心选择。考虑到链路负载均衡在网络构架中的位置，以及今后的扩展性，建议采用F5公司的Linkcontroller 2400两台(当然，如果不考虑双击冗余，也可以采用一台F5 Linkcontroller 2400), 提供两条出口链路（中国网通和中国电信）的负载均衡，其中两条Internet出口链路都通过普通网线或光电转换器与Linkcontroller 2400连接（如果双机冗余，需要从每个ISP引进两根进线，可以在Linkcontroller 2400前面放置一台二层交换机做端口拓展），Linkcontroller 2400与两台冗余的防火墙通过网络端口连接。两台Linkcontroller 2400互为冗余。 通过这样的优化后，系统具有以下特征： 结构合理：整个网络结构布局合理，层次分明，便于管理与维护。 可用性高: Linkcontroller动态检查各条出口链路的健康状态，并将下一个请求分配给最有效率的链路，任何一条链路发生故障时，LINKCONTROLLER即刻将请求分配给其他的链路，从而达到99.999%系统有效性。 安全性高: LINKCONTROLLER支持地址翻译技术和安全地址翻译，这样一来客户不可能知道真正提供服务的服务器的IP地址与端口，LINKCONTROLLER采用SSH和SSL技术，可以防止来自内部或互联网上的黑客攻击。 效率高: LINKCONTROLLER可以智能寻