H3C全場景負(fù)載均衡解決方案日期：密級：杭州華三通信技術(shù)有限公司服務(wù)器負(fù)載均衡解決方案鏈路負(fù)載均衡解決方案目錄存在問題一：業(yè)務(wù)服務(wù)器負(fù)荷的均衡性業(yè)務(wù)1業(yè)務(wù)2業(yè)務(wù)n業(yè)務(wù)1業(yè)務(wù)2業(yè)務(wù)n業(yè)務(wù)量提升，增補服務(wù)器兩個問題：1、受傳統(tǒng)三層交換模式下的應(yīng)用限制，一個業(yè)務(wù)IP無法同時供多臺服務(wù)器使用；2、如果每種業(yè)務(wù)發(fā)布多個業(yè)務(wù)IP，需知會業(yè)務(wù)使用者，且，存在服務(wù)器負(fù)荷不均勻存在問題二：業(yè)務(wù)服務(wù)器故障感知ERP系統(tǒng)硬件操作系統(tǒng)網(wǎng)站硬件層面操作系統(tǒng)應(yīng)用層面郵箱系統(tǒng)OA系統(tǒng)故障感知盲區(qū)問題：傳統(tǒng)三層交換模式在分發(fā)業(yè)務(wù)請求時，無法感知服務(wù)器的操作系統(tǒng)和應(yīng)用系統(tǒng)層面的故障，易引發(fā)故障投訴。存在問題三：業(yè)務(wù)服務(wù)器安全問題病毒緩沖溢出代碼蠕蟲應(yīng)用層攻擊后門木馬假冒DDOSDOS網(wǎng)絡(luò)層攻擊業(yè)務(wù)1業(yè)務(wù)2業(yè)務(wù)n問題：業(yè)務(wù)服務(wù)器面臨著如非法訪問、DDOS攻擊、病毒等各類安全威脅。H3C業(yè)務(wù)負(fù)載均衡解決方案業(yè)務(wù)1業(yè)務(wù)2業(yè)務(wù)n專業(yè)FW、IPS模塊LB模塊提供專業(yè)的網(wǎng)絡(luò)層攻擊、應(yīng)用層攻擊防御LB作為三層交換機(jī)功能延伸，對外發(fā)布業(yè)務(wù)虛IP，提供四、七層交換功能。提升“業(yè)務(wù)自適應(yīng)能力”。H3C業(yè)務(wù)負(fù)載均衡解決方案業(yè)務(wù)1業(yè)務(wù)2業(yè)務(wù)nVIP1VIP2VIPn增強業(yè)務(wù)自適應(yīng)性LB終結(jié)業(yè)務(wù)請求報文，虛IP/Port與業(yè)務(wù)請求報文IP/Port與進(jìn)行匹配，并采用負(fù)載均衡分發(fā)算法將請求報文轉(zhuǎn)發(fā)至實體服務(wù)器，擴(kuò)展業(yè)務(wù)處理能力，增強網(wǎng)絡(luò)自適應(yīng)性。服務(wù)器健康檢查：LB從硬件、操作系統(tǒng)、應(yīng)用等多個層面檢查業(yè)務(wù)服務(wù)器是否故障，僅將業(yè)務(wù)請求數(shù)據(jù)分發(fā)至健康的服務(wù)器。業(yè)務(wù)服務(wù)器健康檢測DNSRadiusSSLICMPTCPHTTPFTP硬件網(wǎng)卡服務(wù)層面應(yīng)用層面UDPPOP3SMTPIMAPRTSPSIP應(yīng)用不斷豐富中根據(jù)響應(yīng)內(nèi)容判斷服務(wù)器狀況模擬客戶端對應(yīng)用發(fā)送連接或內(nèi)容請求發(fā)送ICMPEcho報文根據(jù)收到ICMP響應(yīng)判斷服務(wù)器狀況根據(jù)TCP連接成功否或內(nèi)容判斷服務(wù)器狀況發(fā)送TCP連接或請求內(nèi)容負(fù)載均衡業(yè)務(wù)服務(wù)器靈活的業(yè)務(wù)服務(wù)器負(fù)載均衡分發(fā)負(fù)載均衡設(shè)備客戶端123456靜態(tài)分發(fā)算法輪轉(zhuǎn)加權(quán)輪轉(zhuǎn)隨機(jī)加權(quán)隨機(jī)源地址散列源地址端口散列目的地址散列UDP報文凈荷Hash基于基于HTTP頭的七層負(fù)載動態(tài)分發(fā)算法最小連接加權(quán)最小連接最小響應(yīng)時間最小CPU/內(nèi)存利用率（SNMP方式）豐富的持續(xù)性（會話保持）算法負(fù)載均衡設(shè)備123建立持續(xù)性表項，某次業(yè)務(wù)數(shù)據(jù)流后續(xù)報文送到同一實服務(wù)器4層算法基于源IP地址基于源端口地址基于源IP＋源端口7層應(yīng)用基于Cookie插入基于Cookie截取基于Cookie重寫基于SIP報文Call-ID基于RadiusFrameIP和Username基于DHCP硬件地址、業(yè)務(wù)ID基于HTTP報文頭H3C負(fù)載均衡--1:N虛擬化ClientClientClient管理權(quán)限虛擬化虛服務(wù)虛擬化分發(fā)策略虛擬化持續(xù)性虛擬化健康檢查虛擬化應(yīng)用場景：云計算系統(tǒng)MPLSVPN內(nèi)服務(wù)器前端LB一虛多H3C負(fù)載均衡--N:1虛擬化SecBladeLB1SecBladeLB3SecBladeLB2交換機(jī)接口板（網(wǎng)關(guān)）多模塊、單VIPIP1IP2IP3交換機(jī)接口板（網(wǎng)關(guān)）SNAT-IP1SNAT-IP2SNAT-IP3SIP1SIP2SIP3ClientH3C負(fù)載均衡—SSL加速S75E+LB+SSLVPNHTTPS流量WebAPPDBHTTP流量采用專業(yè)的硬件SSL加速業(yè)務(wù)引擎SSL加速處理處理流程1、客戶端發(fā)起HTTPS連接請求，協(xié)商傳輸?shù)募用芩惴?，確認(rèn)雙方身份，并交換會話密鑰。2、負(fù)載均衡對請求的信息進(jìn)行解密，通過HTTP的方式發(fā)送給后端的服務(wù)器。3、服務(wù)器返回處理結(jié)果給負(fù)載均衡設(shè)備。4、負(fù)載均衡設(shè)備對請求的結(jié)果進(jìn)行加密，返回給客戶端。負(fù)載均衡模式雙機(jī)熱備…支持主/備、主/主模式LB之間啟用VRRP，并通過心跳線同步LB會話表項；主機(jī)級和會話級備份實現(xiàn)業(yè)務(wù)無縫切換FW模塊H3C負(fù)載均衡交換機(jī)IPS模塊防DDos攻擊模塊支持多種業(yè)務(wù)模塊，包括：防火墻、IPS入侵防護(hù)、應(yīng)用控制及管理、網(wǎng)流分析、無線控制等所有插卡支持統(tǒng)一管理按需部署不同業(yè)務(wù)模塊，滿足不斷增長的業(yè)務(wù)需求：專業(yè)的安全功能擴(kuò)展H3C負(fù)載均衡產(chǎn)品S7500ES9500ES12500S8800SecBladeLBForS7500E/S9500E/S10500/S12500SecBladeLBForSR8800機(jī)架式主機(jī)負(fù)載均衡業(yè)務(wù)板S10500LB應(yīng)用案例--天地圖門戶應(yīng)用服務(wù)矢量應(yīng)用服務(wù)影像應(yīng)用服務(wù)S75E+LB產(chǎn)品及方案特色交換+多核架構(gòu)，性能強勁，可靠性高，滿足7×24小時在線服務(wù)器LB可擴(kuò)容，滿足未來業(yè)務(wù)增長，保護(hù)用戶投資負(fù)載均衡部署策略負(fù)載均衡分發(fā)技術(shù)：新建業(yè)務(wù)節(jié)點性能相同，采用對集群節(jié)點干擾小的輪詢調(diào)度策略；會話保持：該網(wǎng)站暫時不提供連續(xù)交互會話的功能，后續(xù)會開展需保持會話業(yè)務(wù)。服務(wù)器健康檢查：在線地理信息服務(wù)網(wǎng)站采用HTTP檢測方式，即定時與服務(wù)器集群中服務(wù)器發(fā)出HTTP請求并驗證響應(yīng)結(jié)果。LB應(yīng)用案例—江蘇移動IMS系統(tǒng)S75E+LBIMS業(yè)務(wù)服務(wù)器移動城域網(wǎng)產(chǎn)品及方案特色一機(jī)兩用：運營商認(rèn)可交換機(jī)式LB，性能高、可靠性高，可平滑擴(kuò)容，IMS系統(tǒng)服務(wù)器直連S75E，簡化網(wǎng)絡(luò)層次。繼F5000在中移動IMS系統(tǒng)規(guī)模應(yīng)用后，LB再次在IMS核心業(yè)務(wù)系統(tǒng)穩(wěn)定運行。負(fù)載均衡部署策略負(fù)載均衡分發(fā)技術(shù)：新建業(yè)務(wù)節(jié)點性能相同，采用對集群節(jié)點干擾小的輪詢調(diào)度策略；會話保持：本次系IMS內(nèi)DNS業(yè)務(wù)暫時不提供保持會話。服務(wù)器健康檢查：IMS內(nèi)DNS業(yè)務(wù)采用基于DNS的健康檢測，即LB模擬客戶端定時向DNS服務(wù)器發(fā)起DNS請求，根據(jù)返回值來判斷服務(wù)器正常與否。LB應(yīng)用案例—海南人民醫(yī)院HIS系統(tǒng)S75E+LB影像服務(wù)器S12500行業(yè)及系統(tǒng)：醫(yī)院HIS系統(tǒng)挑戰(zhàn)：保障7X24業(yè)務(wù)連續(xù)提升影像資料下載速度具備業(yè)務(wù)不斷擴(kuò)充能力方案優(yōu)點：Lb在S75EIRF2環(huán)境下部署，可靠性高雙主影像服務(wù)器，下載能力提升1倍DR工作模式，大容量文件下載不經(jīng)過LB具備新增業(yè)務(wù)和業(yè)務(wù)擴(kuò)容能力案例點評：LB在現(xiàn)代化大型三甲醫(yī)院的核心業(yè)務(wù)系統(tǒng)的成功應(yīng)用安徽農(nóng)信網(wǎng)銀數(shù)據(jù)中心行業(yè)及系統(tǒng)：銀行網(wǎng)銀系統(tǒng)應(yīng)用場景：網(wǎng)銀多出口鏈路負(fù)載均衡、網(wǎng)銀服務(wù)器負(fù)載均衡方案描述：LB在部署在網(wǎng)銀多ISP出口，提供“智能DNS功能”和H3C獨有的“保持上一條”功能，提升不同運營商用戶的高速業(yè)務(wù)體驗。LB部署在網(wǎng)銀數(shù)據(jù)中心前端，提供網(wǎng)銀服務(wù)器的負(fù)載均衡，實現(xiàn)7X24小時服務(wù)。服務(wù)器負(fù)載均衡解決方案鏈路負(fù)載均衡解決方案目錄部分寬帶運營商網(wǎng)絡(luò)現(xiàn)狀電信聯(lián)通省干網(wǎng)關(guān)地市節(jié)點廣電、鐵通、移動等運營商通過租賃電信和聯(lián)通線路進(jìn)行寬帶運營。通過在出口路由器上配置ACL策略路由方式將互聯(lián)網(wǎng)寬帶用戶靜態(tài)的指向不同的出口鏈路。問題一：部分互聯(lián)網(wǎng)寬帶用戶上網(wǎng)慢電信聯(lián)通省干網(wǎng)關(guān)地市節(jié)點被靜態(tài)策略至某聯(lián)通鏈路出口網(wǎng)關(guān)無法根據(jù)用戶訪問的目的IP選路，導(dǎo)致部分用戶上網(wǎng)速度慢、體驗差。問題二：維護(hù)工作量繁瑣電信聯(lián)通省干網(wǎng)關(guān)地市節(jié)點需在出口網(wǎng)關(guān)路由器上經(jīng)常性的為新增寬帶用戶添加靜態(tài)策略，維護(hù)工作量大。天天加策略問題三：鏈路故障探測及處理電信聯(lián)通省干網(wǎng)關(guān)地市節(jié)點鏈路故障后，手工調(diào)整策略期間，寬帶用戶無法上網(wǎng)，會投訴或傳播負(fù)面信息。H3C出口多鏈路負(fù)載均衡解決方案電信聯(lián)通省干網(wǎng)關(guān)地市節(jié)點在出口部署一體式的FW+LB網(wǎng)關(guān)。FW實現(xiàn)大容量NAT功能LB實現(xiàn)鏈路負(fù)載均衡功能根據(jù)用戶目的地址進(jìn)行自動選路，無須配置靜態(tài)策略用戶上網(wǎng)速度感知優(yōu)于靜態(tài)策略方式鏈路故障，自動將用戶流量切換至可用鏈路。IRFFWLB出口鏈路負(fù)載均衡邏輯示意圖SecBladeLB1SecBladeLB2SecBladeLBn接口板可靠性一：任一LB故障，流量將均分至正常的LB萬兆板電信聯(lián)通交換機(jī)通過等價路由方式將流量均分至各LB板卡LB通過邏輯子接口與四個鏈路連接。LB通過鏈路負(fù)載均衡算法分發(fā)流量。LB探測鏈路故障，自動將流量分擔(dān)至可用的鏈路。等價路由分發(fā)可靠性二：任一鏈路故障，流量將均分至正常的鏈路電信聯(lián)通電信聯(lián)通出鏈路負(fù)載均衡路由器靜態(tài)策略模式ISP匹配流未知流輪詢加權(quán)輪詢源地址Hash最小連接就近性探測ISP匹配流未知流默認(rèn)路由提升1—豐富的出口流量分發(fā)算法提升1—分發(fā)算法比較靜態(tài)分發(fā)輪詢/隨機(jī)、加權(quán)輪詢/隨機(jī)源IP/PortHash動態(tài)分發(fā)（加權(quán)）最小連接、最大剩余帶寬就近性探測（生成就近性表項）鏈路可用帶寬、鏈路延遲時間（RTT）鏈路成本、路由跳數(shù)（TTL）ISP表項匹配內(nèi)置電信、聯(lián)通等ISP地址表項靜態(tài)策略路由動態(tài)路由路由器負(fù)載均衡來源于APNIC（亞太互聯(lián)網(wǎng)絡(luò)信息中心）出鏈路負(fù)載均衡之“outbound智能選路功能”ISP1ISP1表項ISP2表項ISP3表項ISP2ISP3目的IP目的IP目的IP未知目的IPISP表項匹配靜態(tài)分發(fā)輪詢/隨機(jī)、加權(quán)輪詢/隨機(jī)源IP/PortHash動態(tài)分發(fā)（加權(quán)）最小連接、最大剩余帶寬就近性探測（生成就進(jìn)行表項）鏈路可用帶寬、鏈路延遲時間（RTT）鏈路成本、路由跳數(shù)（TTL）內(nèi)網(wǎng)用戶負(fù)載均衡互聯(lián)網(wǎng)電信-1G聯(lián)通-500M目的IP為電信的流量950M150M1.1G保護(hù)閾值950M電信-1G聯(lián)通-500M目的IP為電信的流量1G100M1.1GX負(fù)載均衡鏈路閾值保護(hù)路由器靜態(tài)策略模式每條ISP設(shè)置閾值，鏈路數(shù)據(jù)流達(dá)到閾值后，LB不再向該鏈路發(fā)送數(shù)據(jù)流。提升2—出口鏈路流量閾值保護(hù)提升3—出口故障或擁塞后流量牽引電信-1G聯(lián)通-500M目的IP為電信的流量X電信-1G聯(lián)通-500M目的IP為電信的流量950M150M1.1G保護(hù)閾值950M出口故障后流量牽引出口擁塞后流量牽引入方向鏈路負(fù)載均衡之“智能DNS功能”ISP1ISP2ISP3匹配，返回對應(yīng)ISP的DNS-IP負(fù)載均衡IP1IP2IP3Client客戶端訪問網(wǎng)站系統(tǒng)時如何請求到最快的域名IP地址？用戶源IP是否匹配某ISP表項？就近探測最優(yōu)鏈路不匹配返回最優(yōu)ISP的DNS-IPH3C網(wǎng)站DNS請求邏輯圖LocalDNSLocalDNS記錄上一跳功能（外部訪問網(wǎng)內(nèi)資源）電信聯(lián)通移動請求報文響應(yīng)報文X響應(yīng)報文√來回路徑不一致問題：1、跨網(wǎng)導(dǎo)致響應(yīng)慢，用戶體驗差2、如ISP開URPF，響應(yīng)報文丟棄解決方法--記錄上一條：H3C負(fù)載均衡設(shè)備依據(jù)用戶請求報文的五元組生成會話表，并把該會話表與入端口（物理或邏輯）對應(yīng)關(guān)系記錄成上一跳表項；服務(wù)器響應(yīng)報文會匹配到會話表，直接將響應(yīng)報文從入接口發(fā)出去。河南鐵通出口鏈路解決方案2*10GE鏈路1鏈路2FW+LB鏈路1鏈路2FWLB鏈路1鏈路2鏈路3內(nèi)部流量均分至LB聯(lián)通CRN電信S7610+FW+LB河南有線逐漸割接改造中2010年原網(wǎng)絡(luò)2011年部分出口逐步改造采用S7600系列虛擬化交換機(jī)插框通過LB插卡和FW插卡的配合完成兩條聯(lián)通線路的NAT出口改造。S5800-60C-PWRS5800-60C-PWRS7506E+SecBladeFW+SecBladeIPS+SecBladeLBCMNET省網(wǎng)匯聚路由器NE40E-ACMNETCMNET省網(wǎng)匯聚路由器NE40E-A3G視頻等數(shù)據(jù)業(yè)務(wù)預(yù)留區(qū)自有業(yè)務(wù)區(qū)

基本業(yè)務(wù)區(qū)增值業(yè)務(wù)區(qū)維護(hù)管理區(qū)清洗中心S7503E+AFC+AFD+SecCenter組件IMC+NTA流量分析流量清洗中心S5800-60C-PWRS5800-60C-PWRS5800-60C-PWRS7506E+SecBladeFW+SecBladeIPS+SecBladeLB海南移動IDC江蘇有線信息中心IDC江