论文部分内容阅读
摘要:
随着互联网的发展和普及,internet应用在企业中占据的位置也越来越明显,企业开始更多地使用互联网来交付其关键业务应用,企业生产力的保证越来越多的依赖于企业IT架构的高可靠运行,尤其是企业数据中心关键业务应用的高可用性,所以企业对于internet链接的可靠性、稳定性和各项性能的要求也越来越高。同时越来越关注如何在最大节省IT成本的情况下维持关键应用7×24小时工作,保证业务的连续性。为了解决这些问题,许多企业开始租用两条或者更多的isp线路进行internet接入。那么如何对多条链路进行有效的负载均衡和冗余备份就是一个需要迫切解决的问题。
关键词: internet;稳定性;可靠性;冗余备份
【中图分类号】TP393.4【文献标识码】B
【文章编号】2236-1879(2017)08-0267-02
傳统的单条链路解决方案已经无法适用于今天的网络环境,而多宿主的边界网关协议(BGP)管理非常复杂并需要网络具有自治系统(AS)号,这对于一个企业来说,建设和管理成本都极为不划算,所以通过采用边界网关协议(BGP)来管理路由和流量存在很大的局限性。
针对于目前中国网络的环境,也为了解决绝大多数企业对于互联网应用稳定的需求,我们需要使用链路负载均衡来完善我们的接入。
1负载均衡工作原理
负载均衡设备一般设置在防火墙和internet接入之间,它时刻监视链路,通过一系列透明的状态和性能检测,分析每条链路的状态,接着按照一套规定的算法,将流量导入最优链路。算法考虑了多种多样的网络因数,如,链路是否正常(可用性)、带宽和资费、到达目的站点的跳数、时延、当前负载情况(字节数、流量、连接数、用户数)和丢包率等。并结合采用平均、权重/比率、轮询和预测等方法进行优化计算,这样就可以将流量在多条链路平均分配,有效的提高了带宽的利用率,同时流量总是通过最优链路传输,大大的提高了网络效率。
2负载均衡的结构化部署
简单的介绍完负载均衡的工作原理后,我们就应该知道负载均衡设备需要被部署在网络结构的接入部分如图1所示
当部署了负载均衡设备后我们的接入网就算进行了冗余备份,负载均衡设备会在单独线路出现问题时主动切换至另一条线路保证企业内部网络用户对internet访问的连续性。但是当负载均衡设备本身出现故障,我们的网络能否任然保持对internet访问的延续性呢?全网冗余机制又是怎么实现的呢?下面我们就来介绍下实施方案。
一般的网络接入使用的是一台负载均衡设备,它可以使我们多条internet链路实现冗余,但是如果设备本身出现故障,internet访问依然会中断,所以我们在接入时部署两条负载均衡设备实现双机热备,当一台出现故障的时候会有另一台设备接管使的internet访问依然正常。
3全网冗余备份方案
普通的双机设备实现不是很复杂但是我们考虑到要实现internet接入的冗余光考虑负载均衡设备是行不通的,负载均衡设备必须与防火墙之间形成双机双备的冗余。
3.1防火墙与负载均衡冗余。
怎样部署双机能达到冗余的目的呢?首先考虑的是防火墙,负载均衡均部署成双机,跑3层路由协议进行互联,两台设备间用ha协议进行连接。经过测试发现这样连接比较负杂,于是采用第二种方案,防火墙使用桥接模式,透明模式,只走2层协议,但是当跑二层协议的时候,防火墙双机连接负载均衡的时候需要双线连接(进 出),然后的dmz区服务器不方便管理。经过各种分析以及讨论最终还是使用双线连接,如图3所示,负载均衡以及防火墙均走3层路由协议。
负载均衡和防火墙两台设备一主一备, 备用一台通过心跳线实时监控主设备当主设备无法工作时,设备自动切换,两台设备配置完全一样。防火墙会对负载均衡设备实施健康监控。
(1)当发现①线断开的时候会自动切换备防火墙及②线使用,为什么会切防火墙而不切负载均衡呢?这是因为回话连接是保存在负载均衡设备上的切换防火墙不会导致会话中断,不会影响用户的使用。
(2)当①②线路同时断开(包含负载均衡主设备出现故障),负载均衡和防火墙会同时切换至备用设备上,同时③号线路启用,保证企业内网至internet的线路畅通。
当设备维修好或者线路恢复后双机会是怎么样的工作原理呢?经过我们研究测试以及最终调试结果如下:
(1)当②线恢复时,因为考虑到负载均衡保持会话的能力,站在用户体验感上,为了保证用户连接的稳定性所以负载均衡设备暂时不会切回到主设备。只有当备设备出现问题或者线路③断开的时候设备才会切换。
(2)当线路①恢复时,因为主防火墙会探测所以当线路①通了,防火墙会自动切换到主设备,而负载均衡因为保持会话不会切换,这样会导致整个网路瘫痪无法使用。所以我们在出现故障,解决故障并恢复的时候需要按照一定顺序。
(3)当线路①②都恢复时,防火墙和负载均衡设备会因为抢占模式恢复到主设备即整个网络正常时的网络结构。
3.2防火墙与核心交换机冗余。
经过部署防火墙与负载均衡设备间冗余备份机制已经形成,如何形成防火墙与核心交换机之间冗余备份呢?经过考虑及测试,我们将两台核心虚拟出一个虚拟IP地址,控制虚拟路由器 IP 地址的VRRP(虚拟路由器冗余协议) 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器是一种LAN接入设备备份协议。一个局域网络内的所有主机都设置缺省网关,这样主机发出的目的地址不在本网段的报文将被通过缺省网关发往三层交换机,从而实现了主机和外部网络的通信。
结束语
经过实际测试及调整,整个网络结构如图所示,在部署整体方案时我们尽可能多的考虑到整体网络结构是否会出现单点故障,是否会让用户的连接出现不稳定。最终我们通过部署来消除单点故障以及停机时间,利用双负载均衡,防火墙以及核心交换机,行之有效的解决了Internet接入全冗余。
随着互联网的发展和普及,internet应用在企业中占据的位置也越来越明显,企业开始更多地使用互联网来交付其关键业务应用,企业生产力的保证越来越多的依赖于企业IT架构的高可靠运行,尤其是企业数据中心关键业务应用的高可用性,所以企业对于internet链接的可靠性、稳定性和各项性能的要求也越来越高。同时越来越关注如何在最大节省IT成本的情况下维持关键应用7×24小时工作,保证业务的连续性。为了解决这些问题,许多企业开始租用两条或者更多的isp线路进行internet接入。那么如何对多条链路进行有效的负载均衡和冗余备份就是一个需要迫切解决的问题。
关键词: internet;稳定性;可靠性;冗余备份
【中图分类号】TP393.4【文献标识码】B
【文章编号】2236-1879(2017)08-0267-02
傳统的单条链路解决方案已经无法适用于今天的网络环境,而多宿主的边界网关协议(BGP)管理非常复杂并需要网络具有自治系统(AS)号,这对于一个企业来说,建设和管理成本都极为不划算,所以通过采用边界网关协议(BGP)来管理路由和流量存在很大的局限性。
针对于目前中国网络的环境,也为了解决绝大多数企业对于互联网应用稳定的需求,我们需要使用链路负载均衡来完善我们的接入。
1负载均衡工作原理
负载均衡设备一般设置在防火墙和internet接入之间,它时刻监视链路,通过一系列透明的状态和性能检测,分析每条链路的状态,接着按照一套规定的算法,将流量导入最优链路。算法考虑了多种多样的网络因数,如,链路是否正常(可用性)、带宽和资费、到达目的站点的跳数、时延、当前负载情况(字节数、流量、连接数、用户数)和丢包率等。并结合采用平均、权重/比率、轮询和预测等方法进行优化计算,这样就可以将流量在多条链路平均分配,有效的提高了带宽的利用率,同时流量总是通过最优链路传输,大大的提高了网络效率。
2负载均衡的结构化部署
简单的介绍完负载均衡的工作原理后,我们就应该知道负载均衡设备需要被部署在网络结构的接入部分如图1所示
当部署了负载均衡设备后我们的接入网就算进行了冗余备份,负载均衡设备会在单独线路出现问题时主动切换至另一条线路保证企业内部网络用户对internet访问的连续性。但是当负载均衡设备本身出现故障,我们的网络能否任然保持对internet访问的延续性呢?全网冗余机制又是怎么实现的呢?下面我们就来介绍下实施方案。
一般的网络接入使用的是一台负载均衡设备,它可以使我们多条internet链路实现冗余,但是如果设备本身出现故障,internet访问依然会中断,所以我们在接入时部署两条负载均衡设备实现双机热备,当一台出现故障的时候会有另一台设备接管使的internet访问依然正常。
3全网冗余备份方案
普通的双机设备实现不是很复杂但是我们考虑到要实现internet接入的冗余光考虑负载均衡设备是行不通的,负载均衡设备必须与防火墙之间形成双机双备的冗余。
3.1防火墙与负载均衡冗余。
怎样部署双机能达到冗余的目的呢?首先考虑的是防火墙,负载均衡均部署成双机,跑3层路由协议进行互联,两台设备间用ha协议进行连接。经过测试发现这样连接比较负杂,于是采用第二种方案,防火墙使用桥接模式,透明模式,只走2层协议,但是当跑二层协议的时候,防火墙双机连接负载均衡的时候需要双线连接(进 出),然后的dmz区服务器不方便管理。经过各种分析以及讨论最终还是使用双线连接,如图3所示,负载均衡以及防火墙均走3层路由协议。
负载均衡和防火墙两台设备一主一备, 备用一台通过心跳线实时监控主设备当主设备无法工作时,设备自动切换,两台设备配置完全一样。防火墙会对负载均衡设备实施健康监控。
(1)当发现①线断开的时候会自动切换备防火墙及②线使用,为什么会切防火墙而不切负载均衡呢?这是因为回话连接是保存在负载均衡设备上的切换防火墙不会导致会话中断,不会影响用户的使用。
(2)当①②线路同时断开(包含负载均衡主设备出现故障),负载均衡和防火墙会同时切换至备用设备上,同时③号线路启用,保证企业内网至internet的线路畅通。
当设备维修好或者线路恢复后双机会是怎么样的工作原理呢?经过我们研究测试以及最终调试结果如下:
(1)当②线恢复时,因为考虑到负载均衡保持会话的能力,站在用户体验感上,为了保证用户连接的稳定性所以负载均衡设备暂时不会切回到主设备。只有当备设备出现问题或者线路③断开的时候设备才会切换。
(2)当线路①恢复时,因为主防火墙会探测所以当线路①通了,防火墙会自动切换到主设备,而负载均衡因为保持会话不会切换,这样会导致整个网路瘫痪无法使用。所以我们在出现故障,解决故障并恢复的时候需要按照一定顺序。
(3)当线路①②都恢复时,防火墙和负载均衡设备会因为抢占模式恢复到主设备即整个网络正常时的网络结构。
3.2防火墙与核心交换机冗余。
经过部署防火墙与负载均衡设备间冗余备份机制已经形成,如何形成防火墙与核心交换机之间冗余备份呢?经过考虑及测试,我们将两台核心虚拟出一个虚拟IP地址,控制虚拟路由器 IP 地址的VRRP(虚拟路由器冗余协议) 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器是一种LAN接入设备备份协议。一个局域网络内的所有主机都设置缺省网关,这样主机发出的目的地址不在本网段的报文将被通过缺省网关发往三层交换机,从而实现了主机和外部网络的通信。
结束语
经过实际测试及调整,整个网络结构如图所示,在部署整体方案时我们尽可能多的考虑到整体网络结构是否会出现单点故障,是否会让用户的连接出现不稳定。最终我们通过部署来消除单点故障以及停机时间,利用双负载均衡,防火墙以及核心交换机,行之有效的解决了Internet接入全冗余。