F5 浙江大学数字图书馆负载均衡系统.doc

浙江大学数字图书馆 负载均衡系统 （多链路负载均衡） 建议方案书 2006年5月12日 目 录 1. 系统需求 4 1.1 总体目标 4 1.2 系统功能需求 4 1.3 系统性能需求 5 1.4 系统安全性需求 6 2. 方案建议 7 2.1 系统总体设计 7 2.2 Inbound/Outbound双向链路负载均衡 8 2.3 防火墙负载均衡系统（方案已含此功能） 9 2.4 服务器负载均衡 10 2.5 集成的应用优化能力 14 2.5.1 SSL加速 14 2.5.2动态智能HTTP压缩 15 2.5.3 TCP优化（TCP EXPRESS） 16 2.5.4 RAM Cache 17 2.5.5 One Connect 连接复用 17 2.5.6七层带宽管理 18 3. 系统安全 20 3.1 提高服务器的高可用性 21 3.2 提高自身的高可用性 22 3.3 网络流量镜像 24 3.4 应用安全性 25 3.5 动态策略保护 27 4. F5 i_Control架构介绍 28 系统需求 总体目标 浙大数字图书馆网站负载均衡系统建设的核心思想是为浙大数字图书馆网站提供一个安全、稳定、可靠、功能强大、可扩展的网络运行平台，此平台将为浙大数字图书馆网上浏览，查询和检索服务创造更好的环境，提升用户的访问质量和访问感受。 系统建设的总体目标为： 稳定、可靠，单一设备故障不能影响系统的正常运行； 系统整体的高效性，满足浙大数字图书馆网站的目前功能需求； 系统具有良好的功能扩充能力，能够满足浙大数字图书馆未来1-3年系统功能扩充需求； 系统具有良好的性能扩充能力，能够满足突发高峰业务需求和浙大数字图书馆未来1-3年系统性能的增长需求； 系统具有良好的可管理性； 应具有高度的安全机制。 系统功能需求 作为浙大数字图书馆网站的骨干网络优化设计，负载均衡系统必须满足以下业务需求： 备份接入线路切换功能； 浙大数字图书馆ISP接入采用两条线路，要求在其主线路故障时，备份线路可以迅速接管，保证系统的持续，稳定运行。 Inbound/Outbound双向链路负载均衡； 考虑到南北电信的互联互通问题，提供Inbound/Outbound双向链路负载均衡解决方案，满足用户最佳链路选择和就近性访问需求。 冗余的系统实施方案，任何单点故障不影响系统的正常运营； 在接入系统的设计中，对于所有的设备，均采用冗余设计和实施，充分考虑到各种设备和线路的中断或故障情况，在发生故障时系统能迅速切换，保证系统的正常运营。 防火墙负载均衡（方案已含此功能）； 防火墙作为系统的安全设备，是属于系统中最薄弱的环节，需要承受网络攻击等较大的压力。所以考虑采用多台防火墙实现负载均衡，保证系统的安全，可靠运行。 服务器负载均衡； 考虑到Web服务器的冗余和负载分担，系统设计中充分考虑了Web服务器的负载均衡。 内存 负载均衡产品内存应具有良好的扩充能力（建议单台设备内存在500M至2G间），能够充分保障系统在大容量并发访问时的正常运行。 升级能力 负载均衡产品应当具有良好的系统和软件升级能力。 系统的配置管理方便，系统报告的可用性强，能提供完善的访问统计和流量管理。 能够提供GUI的良好的维护界面和日常维护方案。 能够提供必要的有关防DoS攻击等黑客攻击解决方案。 系统性能需求 浙大数字图书馆网站负载均衡系统实施后，浙大数字图书馆网站整体系统响应时间、整体系统性能和故障切换能力应达到或高于以下要求： 系统支持每秒500M以上的网络访问量（Throughput）； 系统支持并发100万的会话保持能力和每秒10万新进会话处理能力； 如果系统方案为双机备份方式，备机系统的切换时间应在2秒之内； 系统稳定性强，系统响应时间（例如服务器故障后负载均衡对故障的反映）短。 系统安全性需求 负载均衡产品本身具有良好的系统安全性，不存在安全漏洞； 产品提供安全的访问管理环境；  方案建议 系统总体设计 在Internet入口，我们建议部署一台BIGIP LTM 3400（Combo LC），直接连接多条ISP链路，实现多链路的负载均衡。 在3400之后，建议部署防火墙，负责网络的安全过滤和防护工作。 防火墙之后建议部署BIGIP LTM 3400，负责Web服务器负载均衡。 网络结构图如下： 下面，我们就对系统中的每个部分进行详细分析。 Inbound/Outbound双向链路负载均衡 Inbound链路负载均衡 Inbound链路负载均衡算法策略：RTT+Topology+RoundRobin 具体描述： 当外部用户访问时，首先由F5 LC对客户端的LDNS进行RTT（Round Trip Time）探测，对比从两条链路返回的探测结果（可以从统计列表中看到），选