1、.F5 服務(wù)器及鏈路負載均衡測試方案一、測試目標21、總體要求22、動態(tài)鏈路就近性訪問- 動態(tài)DNS 智能解析功能33、服務(wù)器負載均衡及應(yīng)用優(yōu)化3二、測試環(huán)境41. 測試架構(gòu)圖42. 測試環(huán)境說明5三、 F5 BigIP (LTM+LC)工作原理61、F5 BigIP LC 動態(tài)智能DNS原理解析62、F5 BigIP LTM 相關(guān)原理解析72.1、服務(wù)器負載均衡72.2、F5 BigIP LTM部分增值軟件功能介紹8四、測試資源規(guī)劃及其基本F5配置步驟91、配置Vlan及其IP地址92、配置路由103、配置Listener104、配置 Wide IP105、配置topology10五、測試項

2、目101、智能DNS解析實現(xiàn)鏈路就近性訪問102、服務(wù)器負載均衡項目測試113、其他相關(guān)項目測試（待定）13六、測試結(jié)論131、鏈路負載均衡滿足需求132、服務(wù)器負載均衡滿足需求13一、測試目標1、總體要求原有完美公司網(wǎng)絡(luò)拓撲簡圖如下： 需求說明如下： 電信100M，網(wǎng)通20M； VPN用戶有五六十家分支機構(gòu)，目前已在VPN終端設(shè)置好，通過訪問固定的IP來達到使用最佳的鏈路訪問； 目前對外的服務(wù)中有一組服務(wù)器共六臺提供同一種內(nèi)容，是否可以通過鏈路負載均衡設(shè)備同時做到傳統(tǒng)的服務(wù)器負載均衡？針對上面的實際情況以及需求，VPN 部分可以沿用現(xiàn)有的方式達到最佳鏈路訪問，這部分保持不變。內(nèi)網(wǎng)往外仍由原來

3、電信出。在保持現(xiàn)有網(wǎng)絡(luò)架構(gòu)基本不變的情況下，為了通過一對負載均衡設(shè)備（HA）做到鏈路負載均衡的同時做到傳統(tǒng)的服務(wù)器負載均衡，F(xiàn)5 建議使用一對F5 BigIP 負載均衡設(shè)備滿足需求。 考慮性能及將來的擴展，推薦使用一對F5 BigIP6400負載均衡設(shè)備。在F5 BigIP6400 上，LTM（Local Traffic Manager） license 實現(xiàn)服務(wù)器負載均衡， LC ( Link Controller) license 實現(xiàn)鏈路負載均衡 。 另外，F(xiàn)5 BigIP6400 LTM 上默認附帶5Mbps HTTP 壓縮及100TPS SSL 加速的軟件功能模塊。可以對應(yīng)用起到額外

4、的增值優(yōu)化功能， 另外，還可以通過可選附加Ramcache 靜態(tài)緩存license 實現(xiàn)Web應(yīng)用的緩存功能，額外提高應(yīng)用訪問速度。測試以及將來實施方案見下面測試環(huán)境架構(gòu)圖 。 實際測試時為方便起見，可以先用單臺負載均衡器測試即可， 雙機冗余在原理上一樣。 測試內(nèi)容大體分為兩個大部分： A: 鏈路負載均衡：智能DNS 解析 B: 服務(wù)器負載均衡 詳見如下2，3 點。2、動態(tài)鏈路就近性訪問- 動態(tài)DNS 智能解析功能 F5 BigIP LC動態(tài)探測向F5本身發(fā)起DNS請求的本地DNS server的邏輯距離，根據(jù)定義的規(guī)則，返回探測到最快線路關(guān)聯(lián)的Server IP(VIP) 。這樣，客戶端將沿

5、著這條最快線路訪問到Server IP(VIP)，實現(xiàn)應(yīng)用的最快訪問。例如，排除特殊情況，基本上將實現(xiàn)電信用戶沿著電信線路訪問，網(wǎng)通線路沿網(wǎng)通線路訪問。3、服務(wù)器負載均衡及應(yīng)用優(yōu)化 用戶沿最快線路訪問到Server IP(VIP)后， 根據(jù)VIP對應(yīng)的防火墻DMZ區(qū)的服務(wù)器池(Server Pool) , 使用F5 BigIP LTM 上的服務(wù)器負載均衡算法，將應(yīng)用請求最優(yōu)分配給實際服務(wù)器池里的服務(wù)器，起到服務(wù)器/應(yīng)用的負載均衡。 具體算法可以使用輪詢，比率，最快反應(yīng)速度，最少連接數(shù)等。 另外，可以使用HTTP 壓縮，Ramcache等增值模塊功能優(yōu)化應(yīng)用訪問。 二、測試環(huán)境1. 測試架構(gòu)圖針

6、對以上的需求及分析，具體測試架構(gòu)圖如下： 圖中原來VPN連接及內(nèi)網(wǎng)對外訪問則完全遵循原來的規(guī)則，不被改動。 2. 測試環(huán)境說明該架構(gòu)基本不改動原有的網(wǎng)絡(luò)架構(gòu)，方便測試及回退，也減少將來的實施風險，減少相關(guān)維護人員工作量，也便于以后的擴展。 如圖負載均衡為雙機結(jié)構(gòu)，測試時可以簡單點以單機模式測試。 雙機冗余實現(xiàn)原理一樣。 圖中紅色粗線為網(wǎng)通的同一VLAN , 藍色粗線為電信的同一VLAN 。這樣F5設(shè)備類似于旁掛嵌入到原來的電信及網(wǎng)通鏈路上。 當然，電信及網(wǎng)通的接入交換機只是為了能讓F5，防火墻，局端路由器接入在同一VLAN上， 如果想省掉這兩臺接入交換機，由于F5 BigIP6400 負載均衡

7、器有16個電口及4個光口，可以在F5上相應(yīng)劃分VLAN，把防火墻及局端路由器接入線路接在F5相應(yīng)VLAN上，這樣在二層網(wǎng)絡(luò)上，把F5同時當成交換機使用。 原有在防火墻上對應(yīng)DMZ服務(wù)器的公網(wǎng)NAT 地址回收，然后在F5上各設(shè)一個電信及網(wǎng)通的ServerIP (VIP) 對應(yīng)防火墻里面的DMZ服務(wù)器池。 例如電信VIP 為： 33 ,對應(yīng)DMZ服務(wù)器池IP : /4/5 , 網(wǎng)通VIP為： 9 ， 對應(yīng)DMZ服務(wù)器池： 1/12 ; 當客戶端通過智能解析結(jié)果(具體原理及解析流程將在下面原理部分解釋)訪問到電信線路VIP

8、:33 , F5 通過服務(wù)器負載均衡算法將把請求分配給DMZ服務(wù)器，例如將把請求分發(fā)給 , 通過路由, F5將請求送往防火墻， 防火墻路由到DMZ，DMZ服務(wù)器回包到防火墻時，防火墻上需要做個根據(jù)“源地址”的路由，即如果源地址為DMZ服務(wù)器IP，則往F5送，包到達F5后，F(xiàn)5將處理后的包往局端送，然后一直到客戶端。 這里需要確認的一點是： PIX是否可以做源地址路由？如果可以，上述數(shù)據(jù)流程就成立。 而且將使流程簡明易懂，且不影響任何其他部分設(shè)置。 如果不行，則有另外的處理方法，一種是： 當F5將請求包往防火墻送的時候，同時做源地址NAT，也就是把源地址（

9、internet 客戶端地址）轉(zhuǎn)換成自己的端口地址然后往防火墻送， 這樣DMZ服務(wù)器回包里的目標地址是F5端口地址而不是原來的internet客戶端地址，這樣防火墻自然會將回包往F5送。 如果不允許做NAT（因為NAT將使應(yīng)用看不到internet客戶端源地址），則還可以這樣處理：將防火墻的默認網(wǎng)管指向F5而不是ISP局端路由器，這樣當然DMZ服務(wù)器的回包可以送回F5，但同時， 內(nèi)網(wǎng)往外的所有流量都將先被送往F5，然后F5上做一個的VIP來轉(zhuǎn)發(fā)給局端路由器。圖中原來VPN連接及內(nèi)網(wǎng)對外訪問則完全遵循原來的規(guī)則，不被改動。服務(wù)器負載均衡方面， F5 LTM 使用相應(yīng)算法設(shè)置來分發(fā)請

10、求，具體相關(guān)原理及軟件模塊優(yōu)化見下面原理部分闡述。 鏈路負載均衡方面，F(xiàn)5 LC作為一臺DNS server， 原來的DNS委派或CNAME 相應(yīng)XX. 的子域到F5解析。由F5做相應(yīng)的動態(tài)智能解析，然后將電信或網(wǎng)通的ServerIP (VIP) 解析給客戶端的local DNS . 然后local DNS將該解析結(jié)果給客戶端，客戶端將沿該IP所屬的ISP鏈路訪問應(yīng)用。 三、 F5 BigIP (LTM+LC)工作原理1、F5 BigIP LC 動態(tài)智能DNS原理解析為了更好的分析F5的BIG-IP 是如何實現(xiàn)對不同ISP用戶訪問提供不同的訪問鏈路的，以一個電信用戶的

11、訪問過程來詳細講解一下。首先，在LC上有兩條ISP的鏈路連接，可以在其上層的交換機上通過VLAN來劃分開兩條鏈路，然后接入到不同ISP的路由器上。同時在LC上不同的ISP接口上配置上不同ISP的連接IP 。然后，在域名解析的DNS上做一個別名的DNS解析條目，如下：IN CNAME . IN NS 。 IN NS . IN A xx.xx.xx.xx （F5設(shè)備電信地址）f5b.pe

12、. IN A xx.xx.xx.xx (F5設(shè)備網(wǎng)通地址）F5：配置：. IN Axx.xx.xx.xx (Server對外 電信VIP) IN Axx.xx.xx.xx (Server 對外 網(wǎng)通VIP)其中SUB是一個在LC上配置的虛擬域名，可以自己來定義。通過一個DNS的別名和NS域名解析指向，就可以讓用戶本地的DNS去LC上取相應(yīng)的域名解析結(jié)果，而LC通過對不同鏈路狀態(tài)的檢測，回復(fù)最優(yōu)路徑的訪問IP，這樣就可以實現(xiàn)訪問速度的提高了。具體流程如下：電信用戶在IE瀏覽器上訪問 這個域名，本地機

13、器會向其本地DNS服務(wù)器查詢該域名的解析IP。如果本地DNS上沒有該域名的條目，它會向根詢問該條目；如果已經(jīng)有，則馬上回應(yīng)一個解析條目。由于在根DNS上已經(jīng)做了一個別名的DNS解析條目，當本地DNS向根DNS詢問解析的時候，根DNS會通知該本地DNS向LC獲取這個域名的解析條目。本地DNS聯(lián)系LC詢問解析，這時LC會動態(tài)檢測兩條通往不同ISP路道，測試那條到達該本地DNS相對較優(yōu)，然后選擇相對較優(yōu)的鏈路的地址去回應(yīng)本地DNS，在本例中會使用中國電信的IP對 這個域名做解析。本地DNS會根據(jù)從LC收到的域名解析條目回應(yīng)提出要求的中國電信訪問用戶。中國電信的訪問用

14、戶使用中國電信的地址去訪問 這個域名。 從上面的過程可見，通過LC的鏈路檢測功能，可以為用戶提供最優(yōu)的訪問鏈路，同時解決不同ISP接入速度慢的影響。2、F5 BigIP LTM 相關(guān)原理解析2.1、服務(wù)器負載均衡BIG/IP利用虛擬IP地址（VIP由IP地址和TCP/UDP應(yīng)用的端口組成，它是一個地址和端口的組合）來為用戶的一個或多個目標服務(wù)器（稱為節(jié)點：目標服務(wù)器的IP地址和TCP/UDP應(yīng)用的端口組成，它可以是internet的私網(wǎng)保留地址）提供服務(wù)。因此，它能夠為大量的基于TCP/IP的網(wǎng)絡(luò)應(yīng)用提供服務(wù)器負載均衡服務(wù)。BIG/IP連續(xù)地對目標服務(wù)器進行L

15、4到L7合理性檢查，當用戶通過VIP請求目標服務(wù)器服務(wù)時，BIG/IP根椐目標服務(wù)器之間性能和網(wǎng)絡(luò)健康情況，選擇性能最佳的服務(wù)器響應(yīng)用戶的請求。BIG/IP能夠充分利用所有的服務(wù)器資源，將所有流量均衡的分配到各個服務(wù)器，從而有效地避免“不平衡”現(xiàn)象的發(fā)生。BIGIP是一臺對流量和內(nèi)容進行管理分配的設(shè)備。它提供12種靈活的算法將數(shù)據(jù)流有效地轉(zhuǎn)發(fā)到它所連接的服務(wù)器群。而面對用戶，只是一臺虛擬服務(wù)器。用戶此時只須記住一臺服務(wù)器，即虛擬服務(wù)器。但他們的數(shù)據(jù)流卻被BIGIP靈活地均衡到所有的服務(wù)器。這12種算法包括：輪詢（RoundRobin）：順序循環(huán)將請求一次順序循環(huán)地連接每個服務(wù)器。當其中某個服務(wù)

16、器發(fā)生第二到第7層的故障，BIG/IP就把其從順序循環(huán)隊列中拿出，不參加下一次的輪詢，直到其恢復(fù)正常。比率（Ratio）：給每個服務(wù)器分配一個加權(quán)值為比例，根椐這個比例，把用戶的請求分配到每個服務(wù)器。當其中某個服務(wù)器發(fā)生第二到第7層的故障，BIG/IP就把其從服務(wù)器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復(fù)正常。優(yōu)先權(quán)（Priority）：給所有服務(wù)器分組，給每個組定義優(yōu)先權(quán)，BIG/IP用戶的請求，分配給優(yōu)先級最高的服務(wù)器組（在同一組內(nèi)，采用輪詢或比率算法，分配用戶的請求）；當最高優(yōu)先級中所有服務(wù)器出現(xiàn)故障，BIG/IP才將請求送給次優(yōu)先級的服務(wù)器組。這種方式，實際為用戶提供一種熱

17、備份的方式。最少的連接方式（LeastConnection）：傳遞新的連接給那些進行最少連接處理的服務(wù)器。當其中某個服務(wù)器發(fā)生第二到第7層的故障，BIG/IP就把其從服務(wù)器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復(fù)正常。最快模式（Fastest）：傳遞連接給那些響應(yīng)最快的服務(wù)器。當其中某個服務(wù)器發(fā)生第二到第7層的故障，BIG/IP就把其從服務(wù)器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復(fù)正常。觀察模式（Observed）：連接數(shù)目和響應(yīng)時間以這兩項的最佳平衡為依據(jù)為新的請求選擇服務(wù)器。當其中某個服務(wù)器發(fā)生第二到第7層的故障，BIG/IP就把其從服務(wù)器隊列中拿出，不參加下一次的

18、用戶請求的分配，直到其恢復(fù)正常。預(yù)測模式（Predictive）：BIG/IP利用收集到的服務(wù)器當前的性能指標，進行預(yù)測分析，選擇一臺服務(wù)器在下一個時間片內(nèi)，其性能將達到最佳的服務(wù)器相應(yīng)用戶的請求。(被big/ip進行檢測)動態(tài)性能分配（DynamicRatio-APM):BIG/IP收集到的應(yīng)用程序和應(yīng)用服務(wù)器的各項性能參數(shù)，動態(tài)調(diào)整流量分配。動態(tài)服務(wù)器補充（DynamicServerAct.):當主服務(wù)器群中因故障導(dǎo)致數(shù)量減少時，動態(tài)地將備份服務(wù)器補充至主服務(wù)器群。服務(wù)質(zhì)量(QoS)：按不同的優(yōu)先級對數(shù)據(jù)流進行分配。 服務(wù)類型(ToS)：按不同的服務(wù)類型（在TypeofField中標識）對

19、數(shù)據(jù)流進行分配。 規(guī)則模式：針對不同的數(shù)據(jù)流設(shè)置導(dǎo)向規(guī)則，用戶可自行編輯流量分配規(guī)則，BIG/IP利用這些規(guī)則對通過的數(shù)據(jù)流實施導(dǎo)向控制。2.2、F5 BigIP LTM部分增值軟件功能介紹HTTP 壓縮功能介紹Web ServerClient 1Client 2BIG-IPCompression on the BIG-IPF5 BigIP使用工業(yè)標準的GZIP和Deflate壓縮算法來壓縮HTTP流量；降低帶寬消耗、縮短最終用戶在慢速 / 低帶寬連接條件下的下載時間。 廣域網(wǎng)訪問的網(wǎng)絡(luò)延時與帶寬瓶頸經(jīng)常給用戶的WEB應(yīng)用的正常訪問帶來不便，通過在F5 BIG-IP應(yīng)用交換機上啟用HTTP壓縮

20、功能，可以帶來以下好處：更快的頁面下載速度；更小的帶寬消耗(支持廣泛數(shù)據(jù)類型的壓縮：例如HTTP, XML, Javascript, J2EE applications and many others)，啟用帶寬壓縮所帶來的帶寬節(jié)省可以達到80%。對用戶完全透明，不需要在客戶端安裝程序：F5 BIG-IP應(yīng)用交換機采用的壓縮算法是目前常用WEB瀏覽器廣泛支持的GZIP和Deflate算法，因此對用戶完全透明，不需要預(yù)先安裝客戶端解壓程序。Bytes before compressionBytes after compression% bandwidth savedIIS 6.0 (Standa

21、rd Web Content)538,31897,875 82Oracle 10g PortalOWA 2003305,001 100,192 67Sharepoint Portal Services 2003790,652 203,400 74Siebel Call Center 7.72,053,366275,34387Weblogic Portal v8.1217,97066,09370各種型號BIG-IP負載均衡設(shè)備均免費提供5Mbps HTTP壓縮功能，通過購買附加license 可以擴展所能支持的最大壓縮處理能力。Ramcache 緩存功能通過在F5 BIG-IP應(yīng)用交換機的內(nèi)存上

22、對服務(wù)器上被反復(fù)存取的內(nèi)容作緩存，可以大大減輕服務(wù)器上的壓力(可以減輕50%以上日服務(wù)器性能壓力)。F5 BIG-IP應(yīng)用交換機提供了內(nèi)存緩存的靈活控制能力，可以對指定應(yīng)用的指定內(nèi)容在指定條件下進行緩存與刷新。支持靜態(tài)與動態(tài)內(nèi)容的緩存，對動態(tài)頁面(例如動態(tài)HTML)，可以根據(jù)預(yù)先定義的緩存內(nèi)容刷新條件對內(nèi)容進行刷新。而每個應(yīng)用進行高速緩存可以消耗的內(nèi)存容量也可以靈活定制。四、測試資源規(guī)劃及其基本F5配置步驟1、配置Vlan及其IP地址配置VLAN，關(guān)聯(lián)相關(guān)的端口，并為VLAN分配IP地址2、配置路由3、配置Listener配置Listener，定義LC需要偵聽對LC發(fā)起DNS請求的IP地址。在

23、本次測試中，F(xiàn)5 LC作為DNS Server，并配置電信和網(wǎng)通雙鏈路，需要對電信和網(wǎng)通都設(shè)置Listener. 4、配置 Wide IP配置域名作為測試，并關(guān)聯(lián)到相關(guān)的virtual server pool。需要在pool或virtual server處定義load balance方法。5、配置topology 配置靜態(tài)電信和網(wǎng)通數(shù)據(jù)庫，關(guān)聯(lián)相關(guān)的源IP到相關(guān)的域名對應(yīng)的IP地址。五、測試項目總體目的：確認同一臺負載均衡器同時實現(xiàn)鏈路及應(yīng)用/服務(wù)器負載均衡的功能。負載均衡器對鏈路及應(yīng)用負載均衡的實際效果，增值軟件功能對應(yīng)用的顯著優(yōu)化作用。1、智能DN

24、S解析實現(xiàn)鏈路就近性訪問測試目的：經(jīng)過多次使用遠端的多臺DNS測試，均按照設(shè)定的規(guī)則返回IP地址，實現(xiàn)客戶端鏈路邏輯就近性訪問功能。 測試過程：用nslookup從遠程電信DNS server：xx.xx.xx.xx和網(wǎng)通DNS server：xx.xx.xx.xx上對發(fā)起DNS請求，根據(jù)F5的智能DNS解析過程，電信的DNS返回電信IP地址，網(wǎng)通的DNS返回網(wǎng)通IP地址， 如圖：通過負載均衡器的實際log也可以驗證測試結(jié)果。 測試記錄： 測試對象測試項目測試結(jié)果備注智能DNS算法靜態(tài)Topology地址庫導(dǎo)入電信/網(wǎng)通地址庫，根據(jù)DNS查詢的源地址判斷，電信的DNS返回電信IP地址，網(wǎng)通的DNS返回網(wǎng)通IP地址測試OK Nslookup 查詢、log等動態(tài)RTT探測通過動態(tài)探測查詢DNS的Round Trip Time, 返回RTT值小的相應(yīng)鏈路的IP地址測試OKNslookup 查詢、log等其他算法