Fortinet負(fù)載均衡技術(shù)

2負(fù)載均衡概述鏈路負(fù)載均衡12服務(wù)器負(fù)載均衡3負(fù)載均衡概述3負(fù)載均衡（LoadBalance）建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價、有效、透明的方法，來擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性。鏈路負(fù)載均衡通過為不同鏈路通過算法分配合理流量，解決Internet網(wǎng)絡(luò)擁塞狀況，提高用戶訪問網(wǎng)站的響應(yīng)速度。服務(wù)器負(fù)載均衡把大量的并發(fā)訪問或數(shù)據(jù)流量分擔(dān)到多臺服務(wù)器上分別處理，減少用戶等待響應(yīng)的時間4鏈路負(fù)載均衡負(fù)載均衡概述21服務(wù)器負(fù)載均衡3鏈路冗余——優(yōu)先路由5ISPAISPB10M專線DMZ二級路由默認(rèn)路由內(nèi)部網(wǎng)大多數(shù)公司使用多個ISP線路實現(xiàn)鏈路冗余，通過路由管理距離值配置實現(xiàn)鏈路切換。當(dāng)ISPA鏈路出現(xiàn)問題時，流量可以切換到ISPB通過這種方式可以實現(xiàn)鏈路冗余，但負(fù)載沒有在多條ISP鏈路上分布鏈路冗余——優(yōu)先路由6通過管理距離值選擇ISP(路由)當(dāng)?shù)谝荒J(rèn)路由被檢測到失效時，連接切換到第二條路由可以通過Ping服務(wù)器經(jīng)過接口的可達(dá)狀態(tài)來檢測鏈路是否失效。Ping服務(wù)器可以識別到上游設(shè)備的3層問題，而不僅僅是通過本地接口的是否失效來檢測。ISPA—第一默認(rèn)路由ISPB—第二默認(rèn)路由鏈路冗余——檢測接口狀態(tài)7在本地物理接口狀態(tài)正常時，ISP也可能不能路由流量上游設(shè)備的三層問題可能造成網(wǎng)絡(luò)中斷開啟網(wǎng)絡(luò)接口選項可以監(jiān)測一臺上游設(shè)備/服務(wù)器(通常但不限于是下一跳的路由器)失效網(wǎng)關(guān)檢測在網(wǎng)絡(luò)—>選項中配置閾值鏈路冗余——優(yōu)先路由+PBR8ISPAISPB10M專線DMZ二級路由默認(rèn)路由內(nèi)部網(wǎng)優(yōu)先路由可以通過策略路由進(jìn)行擴(kuò)展，以更好的使用兩條鏈路內(nèi)網(wǎng)到外網(wǎng)的非關(guān)鍵流量(端口為80/443)，可以被重定向到低寬帶的ISPB鏈路ISPA可以為關(guān)鍵流量保留(DMZ+Email)鏈路A失效時，所有的流量可以切換到鏈路B這種方式可提供基本的負(fù)載分發(fā)功能80/443端口流量鏈路冗余——FortiOS3.0的ECMPISPAISPB10M專線DMZ二級路由默認(rèn)路由內(nèi)部網(wǎng)ECMP(EqualCostMultipath)通過多個ISP分發(fā)流量。當(dāng)靜態(tài)路由配置相同的距離值和優(yōu)先級時，ECMP將會生效流量基于源地址進(jìn)行分發(fā)ECMP支持OSPF或靜態(tài)路由(ECMP只能在相同的路由協(xié)議下工作)兩條鏈路寬帶相同時可正常工作，否則，寬帶較低的鏈路將會始終飽合(輪循方式)。這種方式可以鏈路冗余及負(fù)載均衡鏈路冗余——FortiOS4.0MR1的ECMP10ISPAISPB10M專線DMZ二級路由默認(rèn)路由內(nèi)部網(wǎng)與3.0相同，4.0的ECMP(EqualCostMultipath)通過多個ISP分發(fā)流量，但有更多的功能流量可通過三種方式在鏈路中分發(fā)源HUSH(與3.0相同)基于權(quán)重(基于權(quán)重的下一跳分發(fā))基于使用率(路由選擇基于網(wǎng)關(guān)的流量)最多支持10條鏈路ECMP支持OSPF或靜態(tài)路由(ECMP只能在相同的路由協(xié)議下工作)ECMP描述——源11ISPAISPB10M專線二級路由默認(rèn)路由內(nèi)部網(wǎng)FortiGate基于會話的源地址在ECMP路由中對會話進(jìn)行負(fù)載均衡，例如：通過ISPA路由通過ISPB路由通過ISPA路由如果在網(wǎng)絡(luò)中有大量的代理服務(wù)，流量分發(fā)將不平均與3.0版本相同的工作方式ECMPECMP描述——權(quán)重12ISPAISPB10M專線二級路由默認(rèn)路由內(nèi)部網(wǎng)FortiGate基于增加在ECMP路由中的權(quán)重值，在ECMP路由中對會話進(jìn)行負(fù)載均衡，更多的流量將被指向到權(quán)重值高的路由基于4層的負(fù)載均衡(源/目的/端口)，根據(jù)靜態(tài)路由中的路由權(quán)重值決定權(quán)重ECMP權(quán)重10權(quán)重4ECMP描述——使用率13ISPAISPB10M專線二級路由默認(rèn)路由內(nèi)部網(wǎng)FortiGate基于有多少流量經(jīng)過路由的接口(例如在ISPA的路由接口上配置7Mbps閥值)，在ECMP路由中對會話進(jìn)行負(fù)載均衡。超過7Mbps的流量將被動態(tài)路由到ISPB。FortiGate把所有的ECMP路由會話發(fā)送到配置最低值的接口，直到這個接口處理的寬帶達(dá)到鏈路超載閥值。FortiGate將把后續(xù)的會話分配到第二低值的接口中。ECMP流量超過使用率閥值后，將溢出到另一條鏈路注意14在以上所有示例中，內(nèi)網(wǎng)與多個ISP(公網(wǎng))之間必須使用NAT地址翻譯。用戶的常見問題是：“在網(wǎng)絡(luò)中使用ECMP后，是否會出現(xiàn)非對稱路由的情況”。因為使用了NAT，所以回答的否定的。當(dāng)流量被發(fā)送到任意ISP鏈路時，內(nèi)部IP將被NAT為ISP的公網(wǎng)IP。因此，流量的返回路由不可能被指向到其它ISP。上述所有ECMP描述都應(yīng)用在對外出(outbound)流量進(jìn)行路由，而沒有對來自Internet的進(jìn)入(inbound)的流量進(jìn)行處理。進(jìn)入流量將通過一些應(yīng)用程序?qū)崿F(xiàn)。Inbound負(fù)載均衡——SMTP15ISPAISPB10M專線DMZ二級路由默認(rèn)路由內(nèi)部網(wǎng)通過SMTP自有功能實現(xiàn)冗余在DNS中為MX記錄指定權(quán)重，在主服務(wù)器失效時，可切換到第二臺服務(wù)器上也可以指定相同的權(quán)重值，兩臺服務(wù)器以輪循方式工作MX記錄使用相同權(quán)重值MX1ISPANAT到郵件服務(wù)器MX2ISPBNAT到郵件服務(wù)器MailServerDNSMX1.MX2.MX1.MX2.Inbound負(fù)載均衡——HTTP/Web16ISPAISPB10M專線DMZ二級路由默認(rèn)路由內(nèi)部網(wǎng)在DNS中指定多個IP地址大多數(shù)DNS服務(wù)器可以為不同的客戶端隨機(jī)返回一個IP地址。大多數(shù)瀏覽器在發(fā)現(xiàn)第一個IP地址失效時，可以自動切換到第二個IP地址WebServerDNS17服務(wù)器負(fù)載均衡負(fù)載均衡概述31鏈路負(fù)載均衡2服務(wù)器負(fù)載均衡18FortiGate把來自Internet對服務(wù)器的訪問，分發(fā)到多臺服務(wù)器上健康檢測發(fā)現(xiàn)某臺服務(wù)器失效時，可以把流量分配到其它服務(wù)器上HTTP多路復(fù)用技術(shù)減少到Web服務(wù)器訪問的會話數(shù)量SSLOffloading可替代服務(wù)器進(jìn)行SSL認(rèn)證服務(wù)器服務(wù)器負(fù)載均衡訪問服務(wù)器時，先訪問到FortiGate外部接口的虛擬IP地址，由FortiGate將訪問轉(zhuǎn)發(fā)至真實服務(wù)器一個虛擬IP對應(yīng)多個真實服務(wù)器IP，實現(xiàn)服務(wù)器負(fù)載均衡隱藏真實服務(wù)器IP，提高安全性負(fù)載均衡支持多種算法StaticRoundRobinWeightedFirstAliveLeastRTTLeastSessionClientVIPX服務(wù)器負(fù)載均衡健康檢測某臺服務(wù)器出現(xiàn)問題時，F(xiàn)ortiGate將把流量自動轉(zhuǎn)發(fā)到狀態(tài)良好的服務(wù)器上檢測服務(wù)器狀態(tài)可用方法TCPHTTPPingClientVIP應(yīng)用加速—HTTP多路復(fù)用Client多個客戶連接ServerFarm健康檢查每個連接中的多個請求客戶請求復(fù)用(通過單個服務(wù)器會話)在FortiGate上維持和客戶端的大量連接，而在FortiGate和服務(wù)器之間建立少量常開的連接減少服務(wù)器的資源消耗，提高服務(wù)器的處理性能。服務(wù)器必須支持HTTP/1.1服務(wù)器負(fù)載均衡——虛擬服務(wù)器22配置虛擬服務(wù)器，用戶通過訪問虛擬服務(wù)器IP訪問物理服務(wù)器服務(wù)類型包括HTTP、HTTPS、SSL、TCP、UDP及IP服務(wù)器負(fù)載均衡方式選擇分配負(fù)載的算法通過健康檢查檢測服務(wù)器的狀態(tài)負(fù)載均衡方式——靜態(tài)與輪詢23靜態(tài)與輪詢方式都可以把流量平均的分配到各臺服務(wù)器上靜態(tài)方式根據(jù)源地址分發(fā)負(fù)載，實現(xiàn)3層負(fù)載均衡不根據(jù)會話進(jìn)行流量分發(fā)輪詢方式基于會話進(jìn)行負(fù)載均衡不考慮服務(wù)器的響應(yīng)時間或連接數(shù)服務(wù)器負(fù)載均衡方式——加權(quán)24基于權(quán)重值對流量進(jìn)行分配基于4層的負(fù)載均衡，根據(jù)真實服務(wù)器中配置的權(quán)重值的比例，按比例進(jìn)行流量分配服務(wù)器權(quán)重5權(quán)重10負(fù)載均衡方式——最早存活與最小響應(yīng)時間25最早存活永遠(yuǎn)把流量轉(zhuǎn)向第一個保持存活的服務(wù)器“第一”，指的是虛擬服務(wù)器配置中真實服務(wù)器的順序最小響應(yīng)時間根據(jù)健康檢查的ping獲得的RTT來判斷將流量傳到哪臺服務(wù)器，流量一直轉(zhuǎn)發(fā)到RTT值最低的服務(wù)器上沒有配置Ping監(jiān)測，則默認(rèn)最小響應(yīng)時間為0服務(wù)器負(fù)載均衡方式——最小連接數(shù)26FortiGate始終把流量分配到連接數(shù)最少的服務(wù)器連接數(shù)是指FortiGate分配在服務(wù)器上的連接數(shù)量服務(wù)器負(fù)載均衡保持方式27確保用戶在每次發(fā)起請求時，都連接到同一臺真實服務(wù)器FortiGate根據(jù)負(fù)載均衡方式把新發(fā)起會話發(fā)送到某臺真實服務(wù)器上，如果會話中包含HTTPCookie或SSLSessionID，則所有的含有相同HTTPCookie或SSLSessionID的后續(xù)會話都將發(fā)送到同一臺真實服務(wù)器虛擬服務(wù)器類型設(shè)置為HTTP、HTTPS或SSL時，可配置保持方式選擇無，會話只根據(jù)負(fù)載均衡方式進(jìn)行分配。靜態(tài)方式可以實現(xiàn)會話保持。選擇HTTPCookie，所有的含有相同的HTTPsessioncookie的HTTP或HTTPS會話將發(fā)送到同一臺真實服務(wù)器上。選擇SSLSessionID，所有的含有相同的SSLsessionID的會話將發(fā)送到同一臺真實服務(wù)器上。服務(wù)器HTTP多路復(fù)用28服務(wù)器HTTPHTTPSFortiGate上維持和客戶端的大量連接，而在FortiGate和服務(wù)器之間建立少量常開的連接最小化TCP會話的建立，減少服務(wù)器的資源消耗，提高服務(wù)器的處理性能。服務(wù)器必須是HTTP/1.1SSLoffloading29服務(wù)器FortiGate進(jìn)行SSL的加/解密運(yùn)算，從服務(wù)器上“卸載”了SSL協(xié)商過程，加速客戶端到服務(wù)器的SSL連接選擇應(yīng)用SSLoffloading連接段客戶端<->FortiGate僅在客戶端和FortiGate設(shè)備間使