碧桂园集团多链路负载均衡双机冗余解决方案f5

碧桂园集团多链路负载均衡双机冗余解决方案f5内容摘要：

缓冲确认的 SYN 防止 SYN 攻击；拒绝 teartop 和 land 攻击；保护自己和服务器免受 ICMP攻击；不运行 SMTP、 FTP、 TELNET或其它易受攻击的后台程序。 BIGIP 的 Dynamic Reaping特性可以高效删除 各类网络 DoS 攻击中的空闲连接，这可以保护 BIGIP 不会因流量过多而瘫痪。 BIGIP 可以随着攻击量的增加而加快连接切断速率，从而提供一种具有极强适应能力、能够防御最大攻击量的解决方案。 广州市欣德信息技术有限公司 BIGIP 的 Delay Binding技术可以为部署在 BIGIP 后面的服务器提供全面地SYN Flood 保护。 此时， BIGIP 设备作为安全代理来有效保护整个网络。 BIGIP 可以和其它安全设备配合，构建动态安全防御体系。 BIGIP 可以根据用户单位时间内的连接数生成控制访问列表，将 该列表加载到其它安全设备上，有效控制攻击流量。 系统管理 BIGIP 提供 HTTPS、 SSH、 Tel、 SNMP 等多种管理方式，用户客户端只需操作系统自带的浏览器软件即可，不需安装其它软件。 可以通过支持命令行的SSH或支持浏览器管理的 SSL方便、安全的进行远程管理。 直观易用的 Web 图形用户界面大服务降低了多归属基础设施的实施成本和日常维护费用。 BIGIP 包含详尽的实时报告和历史纪录报告，可供评测站点流量、相关 ISP 性能和预计带宽计费周期。 管理员可以通过全面地报告功能充分掌握带 宽资源的利用状况。 另外，通过 F5 的 iControl 开发包，目前国内已有基于 iControl开发的网管软件 xcontrol, 可以定制针对系统服务特点的监控系统 ,比如服务的流量情况、各种服务连接数、访问情况、节点的健康状况等等，进行可视化显示。 告警方式可以提供 syslog、 snmp trap、 mail等方式。 其它 BIGIP 内置 iControl SDK 二次开发包，可以通过 API 接口方便的取得各种流量统计信息，作为计费的依据。 在 Web 用户界面上面也可以方便的查看各种流 量统计信息，如果需要按照流量计费，可以使用以上两种方式取得流量的统计信息。 F5 NETWORKS 免费提供安装在服务器端、动态获取服务器信息的 agent软件，将其安装在服务器端以后，就可以动态获取服务器当前运行状态。 升级能力 ： F5 所有设备均可通过软件方式升级，在服务有效期内，升级软件包由F5 公司提供。 广州市欣德信息技术有限公司 IP地址过滤和带宽控制 ： BIGIP 可以根据访问控制列表对数据包进行过滤，并且针对某一关键应用进行带宽控制，确保关键应用的稳定运行。 配置管理及系统报告 ： F5 BIGIP 提供 WEB 界面配置方式和命令行 方式进行配置管理，并在其中提供了丰富的系统报告，更可通过 iControl自行开发复杂的配置及报告生成。 服务 ：在 F5 的体系中，拥有代理商、厂商等多级服务与支持体系，可以保证用户购买的产品得到优异的售后服务支持， 可通过。 四．方案设计 网络拓扑图 此方案设计中采用的拓扑图如下所示： 链路负载均衡网络拓扑图 方案设计 描述 此方案设计网络图为逻辑网络连接图。 电信路由器 INTERNET 联通路由器 内部以太网络 内部用户群 广州市欣德信息技术有限公司 方 案设计总体描述 本方案设计采用 F5 Networks 公司负载均衡设备 F5BIGLTM1600+LC 模块来实现 Outbound（内部客户端发起对 Inter 的访问） 方向负载均衡 ； 系统采用冗余网络连接方式设计，来保证系统的高可用性和高可靠性 ，同时使用 F5 特有的 IRULE功能智能 控制访问 流量的选路。 方案具体实现方式如下： 1． 对于 inbound 流量 内部 发布 业务 使用 F5 智能 DNS 解析 ， 将 业务 发布 在 电信和联通地址 上 ，F5 根据用户的 LDNS 做判断。 电信用户访问业务时，先通过 LDNS 查询，然后 F5返回电信 ip 给用户访问资源；联通用户访问业务时，也先通过 LDNS 查询，然后F5 返回联通 ip 给用户访问资源。 2． 对于 outbound 流量 内网用户访问公网业务和服务器，使用 F5 特有的 IRULE功能智能判断目标地址所属运营商，然后将访问流量分配到相应运营商接口出去 ，判断好将流量分配到哪条链路之后将数据包的源地址转换成相应 ISP 网段的公网地址 (SNAT)后将该数据包发出。 如目标地址是联通地址，流量从联通链路出去， 其他流量走电信链路出去。 链路负载均衡及冗余 两台 LinkController 以 ActiveBackup 方式实现网络中两 条链路的负载均衡及冗余。 LinkController 可以根据相应的链路负载均衡算法和 iRules 规则来实现 快速访问的智能引导，比如将访问电信的用户引导至电信链路，访问联通 的用户引导至联 通链路，解决了不同 ISP 之间的互连互通问题，保证了最好的访问速度和最高的访问效率。 同时， LinkController 的健康检查机制实现对链路健康状况的实时监控，当有链路出现故障时 LinkController 会屏蔽故障链路，并自动将流量切向其它正常工作的备份链路，实现了链路的高可用性。 广州市欣德信息技术有限公司 服务器负载均衡及冗余 服务器负载均衡包括三个方面，其一是将用户访问流量均衡分配到各台服务器，使服务器资源得到充分利用，提高服务器群整体的性能；其二是对服务器节点的健康检查，保证流量被负载均衡到正常工作的服务器；第三是对于需要定位到某台服务器进行访问的用户来说，采用会话保持技术来保证用户会话的持续性。 对于本系统中用到的服务器集群， BIGIP 可以运用多种静态或动态的负载均衡算法，来实现智能 分配负载，确保客户最大限度发挥其服务器投资价值。 同时，BIGIP 可以利用 EAV/ECV（扩展应用查证 /扩展内容查证）等精确的检测方法监视服务器的可用性和性能，将用户的请求导向到集群中最符合要求的服务器，当某台服务器故障时，能从集群中被隔离出来，直到故障服务器恢复后自动加入服务器集群，不影响用户的正常访问，从而实现服务器的负载均衡及冗余特性。 同时，BIGIP 可利用其会话保持功能进行智能的流量分配和处理，保证用户访问的持续性和完整性。 设备自身冗余性 BIGIP 设备以 ActiveBackup 的冗余方式方连接，处于 Backup 的设备采用“心跳线”监测 Active 的设备的状态，当检测出设备故障时，两台设备就会产生ms 级切换， Backup 设备会切换为 Active，为用户提供服务，保证了系统的高可用性。 易于管理性 BIGIP 产品不仅提供 的安全 Web 界面管理，本地基于 Serial Console的管理和 SSH 安全远程命令行管理，还有基于中文网管软件 XControl 的管理，灵活多样的管理方式使日常的维护和 Troubleshooting 更加方便快捷。 XControl 是北 京信诺瑞得信息技术有限公司 基于 F5 开放 API接口 iControl 和SDK 开发包 开发出来的，针对 F5 设备进行监控管理的软件产品。 广州市欣德信息技术有限公司 五．关键技术介绍 LinkController 工作原理 Link Controller 的工作原理可以分成两部分介绍： Inbound 流量 (Inter 用户访问内网服务器及 DNS 查询的流量 )和 Outbound 流量 (内网用户主动发起的访问Inter服务器的流量 )，下面从这两方面介绍 Link Controller 的工作原理。 1． Inbound 流量 Inbound 流量包括内部服务器域名的 DNS 查询请求以及对内部服务器进行访问的流量。 有两条链路接入，分别对应不同的 IP 地址段。 内部每一种服务在 Link Controller 上面的不同网段分别对应一个 IP地址， Link Controller 通过对不同的LDNS 解析不同的地址来实现 Inbound 流量在多条链路上面的负载均衡。 假定现在外部公网一个用户发起对 Web 服务器 ， Link Controller 负责处理该域名最终的 A。