H3C全场景负载均衡解决方案解析.pptx

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,H3C,全场景负载均衡解决方案,日期：,密级：,杭州华三通信技术有限公司,服务器负载均衡解决方案,链路负载均衡解决方案,目录,存在问题一：业务服务器负荷的均衡性,业务,1,业务,2,业务,n,业务,1,业务,2,业务,n,业务量提升，,增补服务器,两个问题：,1,、受传统三层交换模式下的应用限制，一个业务,IP,无法同时供多台服务器使用；,2,、如果每种业务发布多个业务,IP,，需知会业务使用者，且，存在服务器负荷不均匀,存在问题二：业务服务器故障感知,ERP,系统,硬件,操作系

2、统,网站,硬件层面,操作系统,应用层面,邮箱系统,OA,系统,故障感知,盲区,问题：,传统三层交换模式在分发业务请求时，无法感知服务器的操作系统和应用系统层面的故障，易引发故障投诉。,存在问题三：业务服务器安全问题,病毒,缓冲溢出代码,蠕虫,应用层攻击,后门木马,假冒,DDOS,DOS,网络层攻击,业务,1,业务,2,业务,n,问题：,业务服务器面临着如非法访问、,DDOS,攻击、病毒等各类安全威胁。,H3C,业务负载均衡解决方案,业务,1,业务,2,业务,n,专业,FW,、,IPS,模块,LB,模块,提供专业的网络层攻击、应用层攻击防御,LB,作为,三层交换机功能延伸,，对外发布业务虚,IP

3、提供,四、七层交换功能,。提升“,业务自适应能力,”。,H3C,业务负载均衡解决方案,业务,1,业务,2,业务,n,VIP1,VIP2,VIPn,增强业务自适应性,LB,终结业务请求报文，虚,IP/Port,与业务请求报文,IP/Port,与进行匹配，并采用负载均衡分发算法将请求报文转发至实体服务器，扩展业务处理能力，增强网络自适应性。,服务器健康检查：,LB,从硬件、操作系统、应用等多个层面检查业务服务器是否故障，仅将业务请求数据分发至健康的服务器。,业务服务器健康检测,DNS,Radius,SSL,ICMP,TCP,HTTP,FTP,硬件网卡,服务层面,应用层面,UDP,POP3,SM

4、TP,IMAP,RTSP,SIP,应用不断丰富中,根据响应内容判断服务器状况,模拟客户端对应用发送连接或内容请求,发送,ICMP Echo,报文,根据收到,ICMP,响应判断服务器状况,根据,TCP,连接成功否或内容判断服务器状况,发送,TCP,连接或请求内容,负载均衡,业务服务器,灵活的业务服务器负载均衡分发,负载均衡设备,客户端,1,2,3,4,5,6,静态分发算法,轮转,加权轮转,随机,加权随机,源地址散列,源地址端口散列,目的地址散列,UDP,报文净荷,Hash,基于基于,HTTP,头的七层负载,动态分发算法,最小连接,加权最小连接,最小响应时间,最小,CPU/,内存利用率（,SNMP

5、方式）,丰富的持续性（会话保持）算法,负载均衡设备,1,2,3,建立持续性表项，某次业务数据流后续报文送到同一实服务器,4,层算法,基于源,IP,地址,基于源端口地址,基于源,IP,源端口,7,层应用,基于,Cookie,插入,基于,Cookie,截取,基于,Cookie,重写,基于,SIP,报文,Call-ID,基于,Radius FrameIP,和,Username,基于,DHCP,硬件地址、业务,ID,基于,HTTP,报文头,H3C,负载均衡,-1:N,虚拟化,Client,Client,Client,管理权限虚拟化,虚服务虚拟化,分发策略虚拟化,持续性虚拟化,健康检查虚拟化,应用场景

6、云计算系统,MPLS VPN,内服务器前端,LB,一虚多,H3C,负载均衡,-N:1,虚拟化,SecBlade LB1,SecBlade LB3,SecBlade LB2,交换机接口板,（网关）,多模块、单,VIP,IP1,IP2,IP3,交换机接口板,（网关）,SNAT-IP1,SNAT-IP2,SNAT-IP3,SIP1,SIP2,SIP3,Client,H3C,负载均衡,SSL,加速,S75E+LB+SSL VPN,HTTPS,流量,Web,APP,DB,HTTP,流量,采用专业的硬件,SSL,加速业务引擎,SSL,加速处理处理流程,1,、客户端发起,HTTPS,连接请求，协商传输的

7、加密算法，确认双方身份，并交换会话密钥。,2,、负载均衡对请求的信息进行解密，通过,HTTP,的方式发送给后端的服务器。,3,、服务器返回处理结果给负载均衡设备。,4,、负载均衡设备对请求的结果进行加密，返回给客户端。,负载均衡模式双机热备,支持主,/,备、主,/,主模式,LB,之间启用,VRRP,，并通过心跳线同步,LB,会话表项；,主机级和会话级备份实现业务无缝切换,FW,模块,H3C,负载均衡交换机,IPS,模块,防,DDos,攻击模块,支持多种业务模块，包括：防火墙、,IPS,入侵防护、应用控制及管理、网流分析、无线控制等,所有插卡支持统一管理,按需部署不同业务模块，满足不断增长的业务

8、需求：,专业的安全功能扩展,H3C,负载均衡产品,S7500E,S9500E,S12500,S8800,SecBlade LB,For S7500E/S9500E/S10500/S12500,SecBlade LB,For SR8800,机架式,主机,负载均衡,业务板,S10500,LB,应用案例,-,天地图,门户应用服务,矢量应用服务,影像应用服务,S75E+LB,产品及方案特色,交换,+,多核架构，性能强劲，可靠性高，满足,724,小时在线服务器,LB,可扩容，满足未来业务增长，保护用户投资,负载均衡部署策略,负载均衡分发技术,：新建业务节点性能相同，采用对集群节点干扰小的,轮询,调度策略

9、会话保持,：该网站暂时不提供连续交互会话的功能，后续会开展需保持会话业务。,服务器健康检查,：在线地理信息服务网站采用,HTTP,检测方式,，即定时与服务器集群中服务器发出,HTTP,请求并验证响应结果,。,LB,应用案例,江苏移动,IMS,系统,S75E+LB,IMS,业务服务器,移动城域网,产品及方案特色,一机两用：运营商认可交换机式,LB,，,性能高、可靠性高，可平滑扩容,，,IMS,系统服务器直连,S75E,，简化网络层次。,继,F5000,在中移动,IMS,系统规模应用后，,LB,再次在,IMS,核心业务系统稳定运行,。,负载均衡部署策略,负载均衡分发技术,：新建业务节点性能相同

10、采用对集群节点干扰小的,轮询,调度策略；,会话保持,：本次系,IMS,内,DNS,业务暂时不提供保持会话。,服务器健康检查,：,IMS,内,DNS,业务采用基于,DNS,的健康检测，即,LB,模拟客户端定时向,DNS,服务器发起,DNS,请求，根据返回值来判断服务器正常与否,。,LB,应用案例,海南人民医院,HIS,系统,S75E+LB,影像服务器,S12500,行业及系统,：医院,HIS,系统,挑战,：,保障,7X24,业务连续,提升影像资料下载速度,具备业务不断扩充能力,方案优点,：,Lb,在,S75E IRF2,环境下部署，可靠性高,双主影像服务器，下载能力提升,1,倍,DR,工作模式

11、大容量文件下载不经过,LB,具备新增业务和业务扩容能力,案例点评：,LB,在现代化大型,三甲医院,的,核心业务,系统的,成功应用,安徽农信网银数据中心,行业及系统,：银行 网银系统,应用场景：,网银多出口链路负载均衡、网银服务器负载均衡,方案描述,：,LB,在部署在网银,多,ISP,出口,，提供,“智能,DNS,功能”,和,H3C,独有的,“保持上一条”,功能，提升不同运营商用户的高速业务体验。,LB,部署在网银,数据中心前端,，提供网银,服务器的负载均衡,，实现,7X24,小时服务。,服务器负载均衡解决方案,链路负载均衡解决方案,目录,部分宽带运营商网络现状,电信,联通,省干网关,地市节点

12、广电、铁通、移动等运营商通过租赁电信和联通线路进行宽带运营。,通过在出口路由器上配置,ACL,策略路由方式将互联网宽带用户静态的指向不同的出口链路。,问题一：部分互联网宽带用户上网慢,电信,联通,省干网关,地市节点,被静态策略至某联通链路,出口网关无法根据用户访问的目的,IP,选路，导致部分用户上网速度慢、体验差。,问题二：维护工作量繁琐,电信,联通,省干网关,地市节点,需在出口网关路由器上经常性的为新增宽带用户添加静态策略，维护工作量大。,天天加策略,问题三：链路故障探测及处理,电信,联通,省干网关,地市节点,链路故障后，手工调整策略期间，宽带用户无法上网，会投诉或传播负面信息。,H3C,

13、出口多链路负载均衡解决方案,电信,联通,省干网关,地市节点,在出口部署一体式的,FW+LB,网关。,FW,实现大容量,NAT,功能,LB,实现链路负载均衡功能,根据用户目的地址进行自动选路，无须配置静态策略,用户上网速度感知优于静态策略方式,链路故障，自动将用户流量切换至可用链路。,IRF,FW,LB,出口链路负载均衡逻辑示意图,SecBlade LB 1,SecBlade LB 2,SecBlade LB n,接口板,可靠性一：,任一,LB,故障，流量将均分至正常的,LB,万兆板,电信,联通,交换机通过等价路由方式将流量均分至各,LB,板卡,LB,通过逻辑子接口与四个链路连接。,LB,通过链

14、路负载均衡算法分发流量。,LB,探测链路故障，自动将流量分担至可用的链路。,等价路由分发,可靠性二：,任一链路故障，流量将均分至正常的链路,电信,联通,电信,联通,出链路负载均衡,路由器静态策略模式,ISP,匹配流,未知流,轮询,加权轮询,源地址,Hash,最小连接,就近性探测,ISP,匹配流,未知流,默认路由,提升,1,丰富的出口流量分发算法,提升,1,分发算法比较,静态分发,轮询,/,随机、加权轮询,/,随机,源,IP/Port Hash,动态分发,（加权）最小连接、最大剩余带宽,就近性探测（生成就近性表项）,链路可用带宽、链路延迟时间（,RTT,）,链路成本、路由跳数（,TTL,）,IS

15、P,表项匹配,内置电信、联通等,ISP,地址表项,静态策略路由,动态路由,路由器,负载均衡,来源于,APNIC,（亚太互联网络信息中心）,出链路负载均衡之“,outbound,智能选路功能”,ISP1,ISP1,表项,ISP2,表项,ISP3,表项,ISP2,ISP3,目的,IP,目的,IP,目的,IP,未知目的,IP,ISP,表项匹配,静态分发,轮询,/,随机、加权轮询,/,随机,源,IP/Port Hash,动态分发,（加权）最小连接、最大剩余带宽,就近性探测（生成就进行表项）,链路可用带宽、链路延迟时间（,RTT,）,链路成本、路由跳数（,TTL,）,内网用户,负载均衡,互联网,电信,-

16、1G,联通,-500M,目的,IP,为电信的流量,950M,150M,1.1G,保护阈值,950M,电信,-1G,联通,-500M,目的,IP,为电信的流量,1G,100M,1.1G,X,负载均衡链路阈值保护,路由器静态策略模式,每条,ISP,设置阈值，链路数据流达到阈值后，,LB,不再向该链路发送数据流。,提升,2,出口链路流量阈值保护,提升,3,出口故障或拥塞后流量牵引,电信,-1G,联通,-500M,目的,IP,为电信的流量,X,电信,-1G,联通,-500M,目的,IP,为电信的流量,950M,150M,1.1G,保护阈值,950M,出口故障后流量牵引,出口拥塞后流量牵引,入方向链路负

17、载均衡之“,智能,DNS,功能”,ISP1,ISP2,ISP3,匹配，返回对应,ISP,的,DNS-IP,负载均衡,IP1,IP2,IP3,Client,客户端访问网站系统时如何请求到最快的域名,IP,地址？,用户源,IP,是否匹配某,ISP,表项？,就近探测最优链路,不匹配,返回最优,ISP,的,DNS-IP,H3C,网站,DNS,请求逻辑图,Local DNS,Local DNS,记录上一跳功能（外部访问网内资源）,电信,联通,移动,请求报文,响应报文,X,响应报文,来回路径不一致问题,：,1,、跨网导致响应慢，用户体验差,2,、如,ISP,开,URPF,，响应报文丢弃,解决方法,-,记录

18、上一条：,H3C,负载均衡设备依据用户请求报文的五元组生成会话表，并把该会话表与入端口（物理或逻辑）对应关系记录成上一跳表项,；,服务器响应报文会匹配到会话表，直接将响应报文从入接口发出去,。,河南铁通出口链路解决方案,2*10GE,链路,1,链路,2,FW+LB,链路,1,链路,2,FW,LB,链路,1,链路,2,链路,3,内部流量均分至,LB,联通,CRN,电信,S7610+FW+LB,河南有线逐渐割接改造中,2010,年原网络,2011,年部分出口逐步改造,采用,S7600,系列虚拟化交换机插框通过,LB,插卡和,FW,插卡的配合完成两条联通线路的,NAT,出口改造。,S5800-60C

19、PWR,S5800-60C-PWR,S7506E+SecBlade FW,+SecBlade IPS+,SecBlade LB,CMNET,省网汇聚路由器,NE40E-A,CMNET,CMNET,省网汇聚路由器,NE40E-A,3G,视频等数据业务预留区,自有业务区,基本业务区,增值业务区,维护管理区,清洗中心,S7503E+AFC+AFD+SecCenter,组件,IMC+NTA,流量分析,流量清洗中心,S5800-60C-PWR,S5800-60C-PWR,S5800-60C-PWR,S7506E+SecBlade FW,+SecBlade IPS+,SecBlade LB,海南移动,I

20、DC,江苏有线信息中心,IDC,江苏广电,IDC,作为江苏广电的互联网资源中心、视频等内容服务中心和运维中心，面向个人和集团用户提供互联网、内容等服务。江苏广电现网互联网用户,20,万，,IDC,数据流量较大。,整网部署,2,台,H3C S12518 100G,平台核心路由交换机和,8,台,S5800,万兆接入交换机实现,IDC,数据转发，并部署,4,台总共配置了,18,块万兆防火墙板卡的,S7510E,万兆汇聚交换机作为超大容量,NAT,集群设备,。在经过性能测试、过载压力测试、防攻击测试等多方面严格测试的情况下，在没有满配的情况下实现了,NAT,会话能力超过,2000,万的超高处理能力，取得了用户的高度认可。,