1、XXXXXX梭子魚負(fù)載均衡機(jī)解決方案 客戶項(xiàng)目建議書 Barracuda Networks (Shanghai) Co.,Ltd.目 錄一 用戶需求. 2二 梭子魚負(fù)載均衡機(jī)的特色. 32.1 梭子魚負(fù)載均衡機(jī)的基本原理. 32.2 梭子魚負(fù)載均衡機(jī)的特色. 4三 梭子魚負(fù)載均衡機(jī)方案建議. 43.1 xx公司現(xiàn)有應(yīng)用架構(gòu)情況與分析. 43.2 xx公司梭子魚負(fù)載均衡方案. 43.3 服務(wù)器負(fù)載均衡. 43.4 服務(wù)器健康檢查. 43.5 會話保持. 43.6內(nèi)建IPS防御攻擊. 43.7 梭子魚的高可用性. 4四 方案優(yōu)勢闡述. 41. 拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn). 42. 安全機(jī)制方面. 43. 與應(yīng)

2、用的結(jié)合方面. 4五 梭子魚負(fù)載安全機(jī)產(chǎn)品介紹. 4一 用戶需求隨著寬帶網(wǎng)絡(luò)技術(shù)的不斷發(fā)展以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施的完善，Internet在國內(nèi)得到迅速的發(fā)展，短短幾年中，國內(nèi)上網(wǎng)人數(shù)突破了1.3億。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心2007年1月公布的數(shù)據(jù)，我國上網(wǎng)計(jì)算機(jī)數(shù)約5940萬臺，其中寬帶上網(wǎng)計(jì)算機(jī)為3530萬臺，撥號上網(wǎng)計(jì)算機(jī)為1820萬臺。 我國上網(wǎng)用戶人數(shù)約13700萬人，其中寬帶上網(wǎng)的用戶人數(shù)約為9070萬，撥號上網(wǎng)的用戶人數(shù)約為3900萬，同時使用寬帶與撥號的用戶人數(shù)為565萬。除計(jì)算機(jī)外同時使用其它設(shè)備(移動終端、信息家電等)上網(wǎng)的用戶人數(shù)為1700萬。不少地方如北京上海廣州等網(wǎng)民數(shù)站到總

3、人口的1/3?；ヂ?lián)網(wǎng)已經(jīng)徹底地成為了人們工作、生活的一部分。對于提供互聯(lián)網(wǎng)服務(wù)的服務(wù)器而言，出現(xiàn)了如下變化：A 訪問量大量增加，網(wǎng)絡(luò)用戶的所有請求都涌向源網(wǎng)站，很多網(wǎng)絡(luò)服務(wù)因?yàn)樵L問次數(shù)爆炸式地增長而不堪重負(fù)，不能及時處理用戶的請求，導(dǎo)致用戶進(jìn)行長時間的等待，大大降低了服務(wù)質(zhì)量。如何建立可伸縮的網(wǎng)絡(luò)服務(wù)來滿足不斷增長的負(fù)載需求已成為迫在眉睫的問題。B 內(nèi)容與功能的增加例如：現(xiàn)在Web服務(wù)中越來越多地使用CGI、動態(tài)主頁等CPU密集型應(yīng)用，這對服務(wù)器的性能有較高要求。此外，企業(yè)網(wǎng)站的互動和多媒體內(nèi)容增多，企業(yè)網(wǎng)站上大量Flash，圖片內(nèi)容影響網(wǎng)站響應(yīng)速度；企業(yè)宣傳活動及新產(chǎn)品發(fā)布期間，易產(chǎn)生數(shù)據(jù)風(fēng)

4、暴影響網(wǎng)站服務(wù)及新產(chǎn)品的推廣宣傳。再如：流媒體作為網(wǎng)絡(luò)內(nèi)容的新生代，已經(jīng)被越來越多的內(nèi)容提供商和企業(yè)所采用，用戶將更多的從網(wǎng)絡(luò)上獲取流媒體的內(nèi)容。會議、研討會、娛樂、體育活動直播、網(wǎng)上教育、網(wǎng)上影院等更加豐富多樣的流媒體體現(xiàn)形式也將進(jìn)一步走進(jìn)網(wǎng)絡(luò)用戶的生活，隨著寬帶時代的到來，寬帶用戶渴望看到大量流媒體內(nèi)容。C 安全性增加由于網(wǎng)站的所有內(nèi)容都是以數(shù)字的形式流轉(zhuǎn)于Internet之上，因此，在網(wǎng)絡(luò)運(yùn)營中不可避免地存在著由Internet的自由、開放所帶來的信息安全隱患。Internet上橫行的黑客、肆虐的病毒使用戶感覺到目前的網(wǎng)絡(luò)環(huán)境缺乏安全。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）2007年1月

5、公布的中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告顯示，用戶認(rèn)為目前網(wǎng)上交易存在的最大問題是安全性得不到保障，排在了第一位，由此可見用戶對網(wǎng)絡(luò)安全性的憂慮程度。因此，對用硬件和軟件方法實(shí)現(xiàn)高可伸縮、高可用網(wǎng)絡(luò)服務(wù)的需求不斷增長，這種需求可以歸結(jié)以下幾點(diǎn)： 可擴(kuò)展性（Scalability），當(dāng)服務(wù)的負(fù)載增長時，系統(tǒng)能被擴(kuò)展來滿足需求，且不降低服務(wù)質(zhì)量。 高可用性（Availability），盡管部分硬件和軟件會發(fā)生故障，整個系統(tǒng)的服務(wù)必須是每天24小時每星期7天可用的。 可管理性（Manageability），整個系統(tǒng)可能在物理上很大，但應(yīng)該易于管理。 價(jià)格有效性（Cost-effectiveness），整個

6、系統(tǒng)實(shí)現(xiàn)是經(jīng)濟(jì)的、高性價(jià)比的。 二 梭子魚負(fù)載均衡機(jī)的特色2.1 梭子魚負(fù)載均衡機(jī)的基本原理針對Internet的飛速發(fā)展給企業(yè)網(wǎng)絡(luò)帶寬和服務(wù)器帶來的這種巨大挑戰(zhàn)，企業(yè)有兩種解決思路。一種方法是增加服務(wù)器的性能，例如采用對稱多處理系統(tǒng)（Symmetric Multi-Processor，簡稱SMP），該系統(tǒng)是由多個對稱的處理器、和通過總線共享的內(nèi)存和I/O部件所組成的計(jì)算機(jī)系統(tǒng)，具有強(qiáng)大的處理能力。但是隨著業(yè)務(wù)量的增大，這種服務(wù)器升級時具有明顯的不足。一是升級過程繁瑣，機(jī)器切換會使服務(wù)暫時中斷，并造成原有計(jì)算資源的浪費(fèi)；二是越往高端的服務(wù)器，所花費(fèi)的代價(jià)越大；三是 SMP服務(wù)器是單一故障點(diǎn)（S

7、ingle Point of Failure），一旦該服務(wù)器或應(yīng)用軟件失效，會導(dǎo)致整個服務(wù)的中斷。另一種思路是采用服務(wù)器集群實(shí)現(xiàn)高可伸縮的、高可用網(wǎng)絡(luò)服務(wù)的有效結(jié)構(gòu)。這種方案通過一組服務(wù)器分擔(dān)任務(wù)，可以獲得很高的整體性能。也易于擴(kuò)展，性價(jià)比也很高。但是簡單的服務(wù)器機(jī)群在實(shí)現(xiàn)可伸縮的網(wǎng)絡(luò)服務(wù)存在許多問題。例如透明性（Transparency）問題，用戶希望由多個獨(dú)立計(jì)算機(jī)組成的松藕合的集群系統(tǒng)構(gòu)成一個虛擬服務(wù)器；客戶端應(yīng)用程序與集群系統(tǒng)交互時，就像與一臺高性能、高可用的服務(wù)器交互一樣，客戶端無須作任何修改。部分服務(wù)器的切入和切出不會中斷服務(wù)，對用戶也是透明的。再比如流量的均衡，管理的便捷性。這些

8、要求是服務(wù)器集群無法實(shí)現(xiàn)的。梭子魚負(fù)載均衡機(jī)（Barracuda Load Balancer）提供了另外一個思路。利用梭子魚負(fù)載均衡機(jī)。將一組服務(wù)器構(gòu)成一個實(shí)現(xiàn)可伸縮的、高可用網(wǎng)絡(luò)服務(wù)的虛擬服務(wù)器。其體系結(jié)構(gòu)如下圖， 在一組服務(wù)器的前端安裝梭子魚負(fù)載均衡機(jī)，所有外部的請求將先連接在梭子魚負(fù)載均衡機(jī)VIP上（也稱為虛擬服務(wù)器上），梭子魚執(zhí)行NAT，無縫地將網(wǎng)絡(luò)請求調(diào)度到真實(shí)服務(wù)器上。從而使得服務(wù)器集群的結(jié)構(gòu)對客戶是透明的，客戶訪問集群系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)就像訪問一臺高性能、高可用的服務(wù)器一樣?？蛻舫绦虿皇芊?wù)器集群的影響不需作任何修改。系統(tǒng)的伸縮性通過在服務(wù)機(jī)群中透明地加入和刪除一個節(jié)點(diǎn)來達(dá)到，通

9、過檢測節(jié)點(diǎn)或服務(wù)進(jìn)程故障和正確地重置系統(tǒng)達(dá)到高可用性。2.2 梭子魚負(fù)載均衡機(jī)的特色梭子魚負(fù)載均衡機(jī)提供強(qiáng)大、易于使用、成本效益高的企業(yè)級服務(wù)器負(fù)載均衡設(shè)備，是當(dāng)前負(fù)載均衡設(shè)備中最活躍、最易推廣、最易普及的服務(wù)器負(fù)載均衡機(jī)品牌。其設(shè)計(jì)遵循以下原則：可擴(kuò)展性：IT技術(shù)日新月異，一年以前最新的產(chǎn)品，現(xiàn)在或許已是網(wǎng)絡(luò)中性能最低的產(chǎn)品；負(fù)載均衡機(jī)應(yīng)能夠根據(jù)信息化的不斷深入發(fā)展的需要，方便的擴(kuò)展（或裁剪）服務(wù)器，以滿足企業(yè)業(yè)務(wù)擴(kuò)展的需要。需具備支持多種通信媒體，能均衡不同操作系統(tǒng)和硬件平臺之間的負(fù)載，能均衡HTTP、郵件、新聞、代理、數(shù)據(jù)庫、防火墻和Cache等不同服務(wù)器的負(fù)載，并且能以對客戶端完全透明

10、的方式動態(tài)增加或刪除某些資源。梭子魚負(fù)載均衡機(jī)使用TCP/UDP協(xié)議和IP負(fù)載平衡調(diào)度，支持所有基于IP的應(yīng)用程序負(fù)載均衡。包括：高流量的網(wǎng)站，如HTTP，HTTPs，F(xiàn)TP，流媒體等。使用瘦客戶端的主機(jī)應(yīng)用程序，如：Citrix、Windows終端服務(wù)。其他IP服務(wù)，如：SMTP、DNS、TFTP、RADIUS、LDAP等。靈活性：均衡解決方案應(yīng)能靈活地提供不同的應(yīng)用需求，滿足應(yīng)用需求的不斷變化。在不同的服務(wù)器群有不同的應(yīng)用需求時，梭子魚可以提供多樣的均衡策略提供更廣泛的選擇。梭子魚負(fù)載均衡機(jī)部署靈活，支持路由模式、橋接模式、服務(wù)直接返回模式。路由模式部署靈活，約60%的用戶采用這種方式部署

11、；橋接模式不改變現(xiàn)有的網(wǎng)絡(luò)架構(gòu)；服務(wù)直接返回（DSR）比較適合吞吐量大特別是內(nèi)容分發(fā)的網(wǎng)絡(luò)應(yīng)用。約30%的用戶采用這種模式?？煽啃裕涸趯Ψ?wù)質(zhì)量要求較高的站點(diǎn)，負(fù)載均衡解決方案應(yīng)能為服務(wù)器群提供完全的容錯性和高可用性。但在負(fù)載均衡設(shè)備自身出現(xiàn)故障時，應(yīng)該有良好的冗余解決方案，提高可靠性。使用冗余時，處于同一個冗余單元的多個負(fù)載均衡設(shè)備必須具有有效的方式以便互相進(jìn)行監(jiān)控，保護(hù)系統(tǒng)盡可能地避免遭受到重大故障的損失。梭子魚負(fù)載均衡機(jī)提供強(qiáng)大的企業(yè)級的解決方案，它可以用于為任何基于IP的應(yīng)用程序提供IP負(fù)載均衡，它監(jiān)控服務(wù)器的健康狀態(tài)，并在服務(wù)器故障時自動容錯，而梭子魚本身還可以部署成主/次模式，如果

12、主設(shè)備故障，次負(fù)載均衡設(shè)備能自動切換成主設(shè)備，最大程度的減小了整個負(fù)載均衡服務(wù)器集群的風(fēng)險(xiǎn)。易管理性：不管是通過軟件還是硬件方式的均衡解決方案，我們都希望它有靈活、直觀和安全的管理方式，這樣便于安裝、配置、維護(hù)和監(jiān)控，提高工作效率，避免差錯。梭子魚（Barracuda）提供給用戶是非常易于使用的產(chǎn)品。用戶打開包裝箱，把梭子魚安裝在19英寸標(biāo)準(zhǔn)機(jī)架上，進(jìn)行簡單的配置后梭子魚立刻開始提供高性能的負(fù)載均衡服務(wù)。這一過程僅僅只需要十分鐘。梭子魚（Barracuda）提供給用戶的是一種“即插即忘”式的產(chǎn)品，無需用戶進(jìn)行復(fù)雜的系統(tǒng)操作，管理員通過WEB瀏覽器就可以對設(shè)備進(jìn)行遠(yuǎn)程的管理，一旦系統(tǒng)調(diào)整完畢，梭

13、子魚將自動監(jiān)控服務(wù)器的狀態(tài)，自動分配流量、自動冗余、自動接收升級入侵檢測代碼，管理員無需經(jīng)常登錄系統(tǒng)進(jìn)行管理三 梭子魚負(fù)載均衡機(jī)方案建議3.1 xx公司梭子魚負(fù)載均衡方案 路由模式（推薦）這種模式部署靈活，約60%的用戶采用這種方式部署路由模式的部署方式如上圖。服務(wù)器的網(wǎng)關(guān)必須設(shè)置成梭子魚負(fù)載均衡機(jī)的LAN口地址，且與WAN口分署不同的邏輯網(wǎng)絡(luò)。因此所有返回的流量也都經(jīng)過梭子魚。這種方式對網(wǎng)絡(luò)的改動小，能均衡任何下行流量。服務(wù)直接返回模式（DSR）這種模式比較適合吞吐量大特別是內(nèi)容分發(fā)的網(wǎng)絡(luò)應(yīng)用。約30%的用戶采用這種模式。3.2 服務(wù)器負(fù)載均衡梭子魚負(fù)載均衡機(jī)利用虛擬IP地址（VIP由IP地

14、址和TCP/UDP應(yīng)用的端口組成，它是一個地址）來為用戶的一個或多個目標(biāo)服務(wù)器（稱為節(jié)點(diǎn)，即真實(shí)服務(wù)器Real Server的IP地址和TCP/UDP應(yīng)用的端口組成，它可以是私網(wǎng)地址）提供服務(wù)。因此，它能夠?yàn)榇罅康幕赥CP/IP的網(wǎng)絡(luò)應(yīng)用提供服務(wù)器負(fù)載均衡服務(wù)。梭子魚負(fù)載均衡機(jī)連續(xù)地對目標(biāo)服務(wù)器進(jìn)行L4到L7合理性檢查，當(dāng)用戶通過VIP請求目標(biāo)服務(wù)器服務(wù)時，梭子魚負(fù)載均衡機(jī)根椐目標(biāo)服務(wù)器之間性能和網(wǎng)絡(luò)健康情況，選擇性能最佳的服務(wù)器響應(yīng)用戶的請求。能夠充分利用所有的服務(wù)器資源，將所有流量均衡的分配到各個服務(wù)器，我們就可以有效地避免“不平衡”現(xiàn)象的發(fā)生。梭子魚負(fù)載均衡機(jī)是一臺對流量和內(nèi)容進(jìn)行管理

15、分配的設(shè)備。它提供7種靈活的算法將數(shù)據(jù)流有效地轉(zhuǎn)發(fā)到它所連接的服務(wù)器群。而面對用戶，只是一臺虛擬服務(wù)器。用戶此時只須記住一臺服務(wù)器，即虛擬服務(wù)器。但他們的數(shù)據(jù)流卻被梭子魚負(fù)載均衡機(jī)靈活地均衡到所有的服務(wù)器。這7種算法包括：輪詢（Round Robin）：輪詢算法就是順序循環(huán)將請求依次順序循環(huán)地連接每個服務(wù)器。在此過程中，如果梭子魚檢測到某個服務(wù)器第二到第7層的故障，梭子魚將把該服務(wù)器從順序循環(huán)隊(duì)列中拿出（稱為切出服務(wù)），不參與下一次輪詢，直到其恢復(fù)正常。該算法相對簡單，其優(yōu)點(diǎn)是簡潔，它無需記錄當(dāng)前所有連接的狀態(tài)，所以它是一種無狀態(tài)調(diào)度。但是由于它假設(shè)所有服務(wù)器處其理性能均相同，不管服務(wù)器的當(dāng)前

16、連接數(shù)和響應(yīng)速度。因此不適用于服務(wù)器組中處理性能不一的情況，而且當(dāng)請求服務(wù)時間變化比較大時輪詢，輪詢算法容易導(dǎo)致服務(wù)器間的負(fù)載不平衡。加權(quán)輪詢算法（Weighted Round-Robin）：加權(quán)輪詢算法可以解決服務(wù)器間性能不一的情況，它用相應(yīng)的權(quán)值表示服務(wù)器的處理性能，服務(wù)器的缺省權(quán)值為1。假設(shè)服務(wù)器A的權(quán)值為1，B的權(quán)值為2，則表示服務(wù)器B的處理性能是A的兩倍。加權(quán)輪叫調(diào)度算法是按權(quán)值的高低和輪詢方式分配請求到各服務(wù)器。權(quán)值高的服務(wù)器先收到的連接，權(quán)值高的服務(wù)器比權(quán)值低的服務(wù)器處理更多的連接，相同權(quán)值的服務(wù)器處理相同數(shù)目的連接數(shù)。 例如，有三個服務(wù)器A、B和C分別有權(quán)值4、3和2，則在一個

17、調(diào)度周期調(diào)度序列為AABABCABC。加權(quán)輪詢調(diào)度算法還是比較簡單和高效。加權(quán)輪詢調(diào)度也無需記錄當(dāng)前所有連接的狀態(tài)，所以它也是一種無狀態(tài)調(diào)度。當(dāng)請求的服務(wù)時間變化很大，單獨(dú)的加權(quán)輪詢調(diào)度算法依然會導(dǎo)致服務(wù)器間的負(fù)載不平衡。 在此過程中，如果梭子魚檢測到某個服務(wù)器第二到第7層的故障，梭子魚將把該服務(wù)器從順序循環(huán)隊(duì)列中拿出（稱為切出服務(wù)），不參與下一次輪詢，直到其恢復(fù)正常。最小連接算法：最小連接算法（Least-Connection Scheduling）是把新的連接請求分配到當(dāng)前連接數(shù)最小的服務(wù)器。最小連接調(diào)度是一種動態(tài)調(diào)度算法，它通過服務(wù)器當(dāng)前所活躍的連接數(shù)來估計(jì)服務(wù)器的負(fù)載情況。調(diào)度器需要記

18、錄各個服務(wù)器已建立連接的數(shù)目，當(dāng)一個請求被調(diào)度到某臺服務(wù)器，其連接數(shù)加1；當(dāng)連接中止或超時，其連接數(shù)減一。在此過程中，如果梭子魚檢測到某個服務(wù)器第二到第7層的故障，梭子魚將把該服務(wù)器從順序循環(huán)隊(duì)列中拿出（稱為切出服務(wù)），不參與下一次輪詢，直到其恢復(fù)正常。當(dāng)各個服務(wù)器有相同的處理性能時，最小連接調(diào)度算法能把負(fù)載變化大的請求分布平滑到各個服務(wù)器上，所有處理時間比較長的請求不可能被發(fā)送到同一臺服務(wù)器上。但是，當(dāng)各個服務(wù)器的處理能力不同時，該算法并不理想，因?yàn)門CP連接處理請求后會進(jìn)入TIME_WAIT狀態(tài)，TCP的TIME_WAIT一般為2分鐘，此時連接還占用服務(wù)器的資源，所以會出現(xiàn)這樣情形，性能高

19、的服務(wù)器已處理所收到的連接，連接處于TIME_WAIT狀態(tài)，而性能低的服務(wù)器已經(jīng)忙于處理所收到的連接，還不斷地收到新的連接請求。加權(quán)最小連接算法：加權(quán)最小連接（Weighted Least-Connection Scheduling）算法是最小連接調(diào)度的超集，各個服務(wù)器用相應(yīng)的權(quán)值表示其處理性能。服務(wù)器的缺省權(quán)值為1，系統(tǒng)管理員可以動態(tài)地設(shè)置服務(wù)器的權(quán)值。加權(quán)最小連接調(diào)度在調(diào)度新連接時盡可能使服務(wù)器的已建立連接數(shù)和其權(quán)值成比例。在此過程中，如果梭子魚檢測到某個服務(wù)器第二到第7層的故障，梭子魚將把該服務(wù)器從順序循環(huán)隊(duì)列中拿出（稱為切出服務(wù)），不參與下一次輪詢，直到其恢復(fù)正常。觀察模式：這種方式基

20、于動態(tài)反饋負(fù)載均衡機(jī)制，來控制新連接的分配，從而控制各個服務(wù)器的負(fù)載。調(diào)度器根據(jù)單位時間內(nèi)服務(wù)器收到新連接數(shù)與平均連接數(shù)的比例，計(jì)算服務(wù)器的負(fù)載，并依此計(jì)算出新的權(quán)重進(jìn)行流量的分配。CPU動態(tài)性能分配：調(diào)度器通過SNMP向各個服務(wù)器查詢服務(wù)器當(dāng)前CPU負(fù)載LOADi，并依此計(jì)算出新的權(quán)重進(jìn)行流量的分配。URL測試動態(tài)性能分配：調(diào)度器向服務(wù)器發(fā)送測試頁面，根據(jù)服務(wù)器響應(yīng)時間，計(jì)算新的權(quán)重進(jìn)行流量分配。這種方式能比較好的反映服務(wù)器上請求等待隊(duì)列的長度和請求的處理時間。如果服務(wù)器設(shè)定的時間內(nèi)沒有響應(yīng)，梭子魚將認(rèn)為服務(wù)器不可達(dá)，該服務(wù)器的權(quán)值將設(shè)為零，即將服務(wù)器切出。直至恢復(fù)。網(wǎng)絡(luò)中的實(shí)際流量呈波浪型

21、發(fā)生的，在一段較長時間的小流量后，會有一段大流量的訪問，然后是小流量，這樣跟波浪一樣周期性地發(fā)生。當(dāng)出現(xiàn)流量“峰值”時，如果能調(diào)配所有服務(wù)器的資源同時提供服務(wù)，所謂的“峰值堵塞”壓力就會由于系統(tǒng)性能的大大提高而明顯減弱。由于梭子魚優(yōu)秀的負(fù)載均衡能力，所有流量會被均衡的轉(zhuǎn)發(fā)到各個服務(wù)器，即組織所有服務(wù)器提供服務(wù)。這時，系統(tǒng)性能等于所有服務(wù)器性能的總和，遠(yuǎn)大于流量“峰值”。這樣，即緩解了“峰值堵塞”的壓力，又降低了為調(diào)整系統(tǒng)性能而增加的投資。用戶可以根據(jù)任意制訂的規(guī)則將客戶端的訪問導(dǎo)向到不同的服務(wù)器群組。3.3 服務(wù)器健康檢查梭子魚負(fù)載均衡機(jī)支持真實(shí)服務(wù)器和服務(wù)的自動發(fā)現(xiàn)，從而方便部署新的服務(wù)器。

22、對常用的服務(wù)，用戶不需要手動設(shè)置端口，梭子魚能自動檢測在指定的服務(wù)器上有哪些服務(wù)正在運(yùn)行，節(jié)省部署和配置的時間。梭子魚還支持OSI模型二到七層的health checking。特別是EAV和ECV功能：基礎(chǔ)網(wǎng)絡(luò)檢查 Ping四層應(yīng)用檢查 TCP/UDP port擴(kuò)展內(nèi)容查證 ECVECV 是一種非常復(fù)雜的服務(wù)檢查，用于確認(rèn)應(yīng)用程序能否對請求返回對應(yīng)的數(shù)據(jù)。如果一個應(yīng)用對該服務(wù)檢查做出響應(yīng)并返回對應(yīng)的數(shù)據(jù)，梭子魚就將該服務(wù)器標(biāo)識為健康狀態(tài)。如果服務(wù)器不能返回相應(yīng)的數(shù)據(jù)，則將該服務(wù)器標(biāo)識為宕機(jī)，并將其切出服務(wù)。宕機(jī)一旦修復(fù)，梭子魚就會自動發(fā)現(xiàn)該服務(wù)器已經(jīng)恢復(fù)健康，并將其列入輪詢序列。擴(kuò)展應(yīng)用驗(yàn)證

23、EAVEAV是另一種服務(wù)檢查，用于確認(rèn)運(yùn)行在某個服務(wù)器上的應(yīng)用能否對客戶請求作出響應(yīng)。梭子魚Web管理界面上設(shè)置了一組被稱作外部服務(wù)檢查者的客戶程序，該程序?yàn)橛脩籼峁┩耆蛻艋姆?wù)檢查功能。例如，DNS_TEST程序，用戶可以輸入需要查詢的主機(jī)名及匹配值，如果真實(shí)服務(wù)器返回的值與匹配值相同，則表明該服務(wù)正常。梭子魚預(yù)定義的擴(kuò)展驗(yàn)證（EAV）檢查包括：DNS、SPAMFIREWALL、SNMP、POP、IMAP、SMTP、SIMPLE_HTTP、SIMPLE_HTTPS、HTTP_SLOW、HTTP_TEST。3.5 會話保持梭子魚負(fù)載均衡機(jī)經(jīng)過專門設(shè)計(jì)，可以為關(guān)鍵業(yè)務(wù)站點(diǎn)提供高可用性和智能負(fù)

24、載平衡。除這些能力外，還可以識別用戶固定訪問特定服務(wù)器的要求，以支持用戶重新建立到特定服務(wù)器的連接。在這些條件下，梭子魚負(fù)載均衡機(jī)會放棄負(fù)載平衡算法以支持對話持續(xù)性。舉例來說，如果某位用戶連接到了一臺服務(wù)器上，那么我們肯定希望該用戶在將來再次連接時將仍可連接到該臺服務(wù)器上。當(dāng)該服務(wù)器存有用戶相關(guān)數(shù)據(jù)，并且這些數(shù)據(jù)并不與其它服務(wù)器動態(tài)共享時，持續(xù)性就顯得十分有必要了。例如，讓我們假設(shè)一位用戶在某網(wǎng)站采購了一“購物車”的商品，然后還未結(jié)帳就離開了該網(wǎng)站。如果在其重新登錄網(wǎng)站后，BIG-IP應(yīng)用交換機(jī)將客戶請求路由至不同的服務(wù)器，那么新的服務(wù)器對該用戶的數(shù)據(jù)和其所購買的商品將一無所知。當(dāng)然，如果所有

25、服務(wù)器都在同一個后臺數(shù)據(jù)庫服務(wù)器中存儲用戶信息及其選購商品的話，那么一切就不成問題了。但是如果網(wǎng)站不是這樣設(shè)計(jì)的，那么具體的購物車數(shù)據(jù)就只能存儲在特定的服務(wù)器上。這樣，BIG-IP應(yīng)用交換機(jī)就必需選擇用戶曾連接上的那臺服務(wù)器，以無縫地處理用戶請求。此外，會話保持的功能將減少新建連接的數(shù)量，這將有助于減小負(fù)載均衡機(jī)系統(tǒng)開銷。l 源持續(xù)性模式在這一模式下，只要持續(xù)性計(jì)數(shù)器尚未到時，指定流向某虛擬服務(wù)器的特定用戶流量就會持續(xù)流向同一臺服務(wù)器。每條連接都有其各自的持續(xù)性計(jì)數(shù)器。VIP1：80的計(jì)數(shù)器獨(dú)立于VIP3：80的計(jì)數(shù)器。最終用戶請求連接到：梭子魚負(fù)載均衡機(jī)的任務(wù)： 1） 虛擬服務(wù)器 #1VIP

26、1：80梭子魚為該虛擬服務(wù)器選擇一臺可用的服務(wù)器。來自源地址的VIP1：80流量將流至該服務(wù)器，直到計(jì)時停止為止。2） 虛擬服務(wù)器 #2VIP2：21 （FTP）梭子魚為該虛擬服務(wù)器選擇一臺可用的服務(wù)器。來自源地址的VIP2：21流量將流至該服務(wù)器，直到計(jì)時停止為止。3） 虛擬服務(wù)器 #3VIP3：80BIG-IP應(yīng)用交換機(jī)將為該虛擬服務(wù)器選擇一臺可用的服務(wù)器（不一定是與VIP1：80相同的那臺服務(wù)器）。來自源地址的VIP3：80流量將流至該服務(wù)器，直到計(jì)時停止為止。VIP1：80流量將繼續(xù)流至其它服務(wù)器。 l SSL保持最終用戶請求連接到：BIG-IP應(yīng)用交換機(jī)的任務(wù)1）用戶1連接到虛擬服務(wù)

27、器#1。服務(wù)器#1確定唯一的SSL對話ID，并使用它來實(shí)現(xiàn)流量的持續(xù)性2）用戶2連接到虛擬服務(wù)器#2。服務(wù)器#2確定唯一的SSL對話ID，并使用它來實(shí)現(xiàn)流量的持續(xù)性3）用戶1連接到虛擬服務(wù)器#1。服務(wù)器#1確定唯一的SSL對話ID，并使用它來實(shí)現(xiàn)流量的持續(xù)性l Cookie保持Cookie持續(xù)性利用客戶機(jī)存儲的coockie信息來把客戶機(jī)連接到合適的服務(wù)器上。其原理如下：首次命中HTTP請求（不帶有cookie）進(jìn)入BIG-IP應(yīng)用交換機(jī)BIG-IP應(yīng)用交換機(jī)任選一臺服務(wù)器，將請求發(fā)送至該服務(wù)器來自該服務(wù)器的HTTP回復(fù)此時包括一個空白的cookie BIG-IP應(yīng)用交換機(jī)重寫cookie，并

28、在粘貼一個特殊的cookie后將HTTP回復(fù)發(fā)送回去。再次命中HTTP請求（帶有與上面同樣的cookie）進(jìn)入BIG-IP應(yīng)用交換機(jī)BIG-IP應(yīng)用交換機(jī)借助cookie信息確定合適的服務(wù)器HTTP請求（帶有與上面同樣的cookie）進(jìn)入服務(wù)器HTTP回復(fù)（帶有空白cookie）返回BIG-IP應(yīng)用交換機(jī)，后者將向客戶機(jī)提供更新后的cookie。Cookie保持與SSL保持之間的主要區(qū)別在于：對于Cookie保持而言，數(shù)據(jù)存儲在客戶機(jī)上，而不是BIG-IP應(yīng)用交換機(jī)上，因此可充分使用客戶機(jī)上的無限資源。即Cookie保持體現(xiàn)在HTTP Cookie上，而信息則存儲于客戶機(jī)的磁盤驅(qū)動器上。帶有對

29、話ID的SSL持續(xù)性的優(yōu)勢當(dāng)SSL對話首次建立時，用戶與服務(wù)器進(jìn)行首次信息交換以：1交換安全證書，2）商議加密和壓縮方法，3）為每條對話建立對話ID。該對話ID可能會再次用到。當(dāng)用戶想與該服務(wù)器再次建立連接時，它可以通過提供上次會話中的對話ID來隨意指定希望繼續(xù)以前的某條SSL對話。在服務(wù)器同意之后，雙方即可跳過信息交換建立起新的會話，該會話將使用與上次會話同樣的加密方法，并繼續(xù)上次的數(shù)據(jù)包排序，就好象上次會話從未結(jié)束一樣。通常情況下，服務(wù)器將某條SSL對話的詳細(xì)資料存儲一段給定的時限，之后，服務(wù)器將刪除這些對話信息。例如，用戶可以建立一條到旅游景點(diǎn)網(wǎng)站的SSL連接并預(yù)訂房間。旅游景點(diǎn)站點(diǎn)可以

30、將用戶的預(yù)訂信息保存一段時間（如60分鐘），從而使用戶無需重新輸入預(yù)訂信息即可再次連接到站點(diǎn)上以預(yù)付訂金。如果旅游景點(diǎn)的網(wǎng)站僅將用戶信息存儲在進(jìn)行初始對話的服務(wù)器上而不是后端數(shù)據(jù)庫中，那么梭子魚的保持設(shè)置將覆蓋負(fù)載平衡設(shè)置，將用戶再次發(fā)送到最初的服務(wù)器上。如果用戶嘗試重新建立一條已被遺棄的對話，那么服務(wù)器將忽略此請求而僅提供一個新的對話ID，新的對話也將要求進(jìn)行新的信息交換。改善總體吞吐能力延續(xù)先前的SSL對話使服務(wù)器無需再次對用戶進(jìn)行鑒權(quán)，而這一處理是一項(xiàng)計(jì)算密集型任務(wù)，執(zhí)行的次數(shù)越多，服務(wù)器的總體吞吐能力下降幅度就越大。如果能夠跳過SSL信息交換，消除網(wǎng)絡(luò)流量上的額外負(fù)載，那么吞吐能力也將

31、因?yàn)槌掷m(xù)性而大為提高。這將為諸如HTTP等協(xié)議帶來顯著改進(jìn)，它們往往需要向同一臺服務(wù)器幾次建立連接就只是為了傳輸一個網(wǎng)頁。因此，SSL持續(xù)性將通過避免單臺服務(wù)器過載而使您的網(wǎng)絡(luò)大為受益。需要SSL持續(xù)性的環(huán)境乍一看來，源持續(xù)性似乎與SSL持續(xù)性的有著相容的工作模式。但是，當(dāng)用戶希望與同一臺服務(wù)器重新建立會話，但兩次連接中用戶的IP地址又有所不同時，情況就不一樣了。在這種情形中，梭子魚將無法把流量引導(dǎo)至合適的服務(wù)器。您可能會發(fā)出疑問：那么我們?yōu)槭裁匆欢ㄒ懻撛谂c同一臺服務(wù)器進(jìn)行的兩次會話中用戶IP地址發(fā)生變化的情形呢？許多網(wǎng)絡(luò)都會定期更改用戶的IP地址，當(dāng)用戶與BIG-IP應(yīng)用交換機(jī)之間部署有防

32、火墻時更是如此。 當(dāng)用戶的IP地址發(fā)生變化時許多防火墻都會將網(wǎng)絡(luò)所用的網(wǎng)絡(luò)地址轉(zhuǎn)換為一個或多個由防火墻管理的IP地址。使用這種方式，防火墻可以在不暴露網(wǎng)絡(luò)內(nèi)部實(shí)際使用的IP地址的前提下將流量引導(dǎo)至互聯(lián)網(wǎng)，這時流量上的返回地址就是防火墻地址。反之，防火墻也可把地址轉(zhuǎn)回用戶地址，然后發(fā)送回受保護(hù)網(wǎng)絡(luò)。同時再通過端口號轉(zhuǎn)換，防火墻即可以在多個用戶之間使用相同的IP地址了。這有時被稱為地址重載，可支持網(wǎng)絡(luò)（位于防火墻之后）使用一個IP地址與互聯(lián)網(wǎng)建立上千條連接。然而，在大型網(wǎng)絡(luò)中，防火墻可能需要多個IP地址來分配流量。在使用一個以上防火墻來處理網(wǎng)絡(luò)流量的情形中，每個防火墻都可以為通過的流量分配一個不同

33、的IP地址。在這種情形中，防火墻或防火墻陣列可將用戶IP地址轉(zhuǎn)換為針對各條TCP對話的不同地址。在需要持續(xù)性的情形中，地址重載會引發(fā)各種問題。如果持續(xù)性僅由源地址決定，那么許多個人用戶將被引導(dǎo)至一臺服務(wù)器上，從而導(dǎo)致流量匯集在一臺服務(wù)器上而不是分散到多臺服務(wù)器上。最終結(jié)果就是一臺服務(wù)器過載而其它服務(wù)器未得到充分利用，最終用戶得到極差的響應(yīng)體驗(yàn)。使用SSL對話ID持續(xù)性可以確保流量的平均分配，即使流量源使用IP地址重載也同樣如此。SSL對話ID持續(xù)性的實(shí)現(xiàn)可以確保用戶從關(guān)鍵SSL流量上得到最佳的響應(yīng)。總之，源持續(xù)性不適用于用戶IP地址改變的使用情形，例如在用戶與互聯(lián)網(wǎng)間部署有使用多個IP地址的服

34、務(wù)器或服務(wù)器陣列。使用帶有源持續(xù)性的SSL持續(xù)性您可以同時使用SSL持續(xù)性和基于IP地址的源持續(xù)性，因?yàn)镾SL持續(xù)性比基于IP地址的持續(xù)性擁有更高的優(yōu)先級。當(dāng)自上一次連接后過去的時間超過SSL持續(xù)性的時限時，梭子魚可能會刪除該SSL對話ID。或者，也許用戶的客戶機(jī)沒有對話ID記憶機(jī)制，也刪除了該ID。在這些情形中，梭子魚仍可根據(jù)基于用戶IP地址的源持續(xù)性來將用戶引導(dǎo)至同一臺服務(wù)器。在這種模式中，源持續(xù)性用作SSL持續(xù)性的后備。SSL時限當(dāng)建立起一條SSL對話之后，BIG-IP應(yīng)用交換機(jī)將為該連接選定的服務(wù)器指定對話ID。但當(dāng)時限過后，這一指定關(guān)系將“被遺忘”。時限長短在定義虛擬服務(wù)器時予以規(guī)定

35、（請注意時限長短以空載時間計(jì)算）。3.6內(nèi)建IPS防御攻擊防御攻擊包括兩個層面，第一個層面如前述服務(wù)器健康檢查，負(fù)載均衡設(shè)備通過精確探測服務(wù)器的健康狀態(tài)，再服務(wù)器處理能力達(dá)到飽和前可以自動的屏蔽新建鏈接，以免服務(wù)器可能由于在瞬間接受超過服務(wù)器吞吐能力的數(shù)據(jù)流而直接導(dǎo)致系統(tǒng)崩潰，甚至導(dǎo)致數(shù)據(jù)丟失或客戶資料遺失。從而達(dá)到以下目的： 確保所有IP應(yīng)用的高可用性和正常運(yùn)行時間 創(chuàng)建一個可控的執(zhí)行點(diǎn)以對所有流量進(jìn)行前瞻性安全控制 使服務(wù)器和應(yīng)用能夠及時準(zhǔn)確地做出響應(yīng) 無需額外硬件、軟件或其它IT資源 輕松適應(yīng)未來不斷變化的業(yè)務(wù)需求第二個層面是在負(fù)載均衡設(shè)備上建立相應(yīng)的安全機(jī)制。首先是端口的屏蔽。采用負(fù)載

36、均衡設(shè)備后，用戶無法直接于服務(wù)器聯(lián)系，必須與負(fù)載均衡設(shè)備上建立的虛擬服務(wù)器建立鏈接，所以黑客無法獲得服務(wù)器的真實(shí)地址，增加了黑客攻擊的難度。同時，由于虛擬服務(wù)器對外只提供應(yīng)用服務(wù)端口，其余端口負(fù)載均衡機(jī)均不響應(yīng)且直接Drop Packet，從而有效地屏蔽了黑客攻擊的第一步端口掃描。甚至可以將虛擬服務(wù)器的ARP響應(yīng)屏蔽，從而使黑客無法PING通虛擬服務(wù)器。由于對外只提供必須的應(yīng)用端口，因而可以有效地屏蔽常用黑客攻擊手段。其次是對于DoS/DDoS攻擊，梭子魚能從內(nèi)核級就予以屏蔽，具體實(shí)施如下：1 Synflood:該攻擊以多個隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送SYN包，而在收到目的主機(jī)的SYN AC

37、K后并不回應(yīng)，這樣，目的主機(jī)就為這些源主機(jī)建立了大量的連接隊(duì)列，而且由于沒有收到ACK一直維護(hù)著這些隊(duì)列，造成了資源的大量消耗而不能向正常請求提供服務(wù)。梭子魚的策略：梭子魚采用特有的SYN proxy功能，所有與虛擬服務(wù)器建立HTTP SYN的請求均由梭子魚代替服務(wù)器響應(yīng)，梭子魚并不將SYN請求發(fā)送到服務(wù)器。對方響應(yīng)了梭子魚的ACK，并真正發(fā)送HTTP GET請求時，梭子魚才與服務(wù)器建立鏈接并發(fā)送HTTP GET請求。所以普通的Synflood只會和梭子魚通訊，無法攻擊到服務(wù)器。2 Ping of Death 根據(jù)TCP/IP的規(guī)范，一個包的長度最大為65536字節(jié)。盡管一個包的長度不能超過6

38、5536字節(jié)，但是一個包分成的多個片段的疊加卻能做到。當(dāng)一個主機(jī)收到了長度大于65536字節(jié)的包時，就是受到了Ping of Death攻擊，該攻擊會造成主機(jī)的宕機(jī)。梭子魚的策略：如前所述，在梭子魚上可以將虛擬服務(wù)器的ARP屏蔽，ICMP包系統(tǒng)根本不響應(yīng)。其次，虛擬服務(wù)器的ICMP響應(yīng)是由梭子魚的管理進(jìn)程提供響應(yīng)，當(dāng)管理進(jìn)程繁忙時，系統(tǒng)會自動降低虛擬服務(wù)器的ICMP響應(yīng)的優(yōu)先級甚至不響應(yīng)，而管理進(jìn)程與服務(wù)器負(fù)載均衡是兩個完全不同的進(jìn)程，在梭子魚上其內(nèi)存和CPU使用時間是嚴(yán)格分離的，所以Ping of Death絲毫不會影響服務(wù)器負(fù)載均衡，也就是不會影響真正對外的服務(wù)響應(yīng)端口。3 IP欺騙DoS

39、攻擊這種攻擊利用RST位來實(shí)現(xiàn)。假設(shè)現(xiàn)在有一個合法用戶()已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為，并向服務(wù)器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為從發(fā)送的連接有錯誤，就會清空緩沖區(qū)中建立好的連接。這時，如果合法用戶再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣的連接了，該用戶就必須從新開始建立連接。攻擊時，偽造大量的IP地址，向目標(biāo)發(fā)送RST數(shù)據(jù)，使服務(wù)器不對合法用戶服務(wù)。梭子魚的策略：如前所述，梭子魚的SYN proxy功能，將TCP的SYN/ACK/SYN ACK三段握手作為判斷合

40、法用戶的依據(jù)，同時所有的SYN/ACK/SYN ACK均不通服務(wù)器鏈接，只有當(dāng)用戶發(fā)送HTTP GET請求時再與選定的服務(wù)器建立鏈接，所以RST只是拆除與梭子魚建立鏈接，并不影響合法用戶訪問服務(wù)器。4 帶寬DoS攻擊 如果黑客的連接帶寬足夠大而服務(wù)器又不是很大，黑客可以通過發(fā)送大量請求，來消耗服務(wù)器的緩沖區(qū)消耗服務(wù)器的帶寬。這種攻擊就是人多力量大了，配合上SYN一起實(shí)施DoS，威力巨大。梭子魚的策略： 這種攻擊發(fā)生時，從站點(diǎn)的路由器、交換機(jī)、防火墻到服務(wù)器的帶寬均有可能被占滿。所以如果發(fā)生該種攻擊，首要的任務(wù)是通過EAV/ECV保護(hù)服務(wù)器不要溢出或崩潰。其次，內(nèi)置的IPS能有效地抵御攻擊。 上述功能是負(fù)載均衡設(shè)備防攻擊的基本功能。除此之外，內(nèi)置IPS的梭子魚還具備以下功能：