关键词:智能负载平衡 BGP路由
1.引言
随着学校信息化的进一步加强,局域网与Internet的联系也越来越密切。从现有的网络状况看,局域网现在已拥有了2条连接Internet的链路,分别为:100MBps链路连接到中国网通;100MBps链路连接到大庆油田通信。这两条链路不但提供整个局域网用户访问Internet的通道,同时也确保局域网的Web站点和Email系统的Internet通路。由于我校非ISP运营商,无法提供BGP路由,故无法充分利用现有两条链路的带宽;同时对外服务的Web和Email无法在某条Internet链路发生故障的时候自动切换到其余的链路上,必须手工设置切换。然而,由于无法及时发现故障,常常导致故障持续较长时间才得到修复,作为我校对外宣传服务的窗口,Web站点和Email服务的稳定性将直接影响到我校的形象。针对以上问题,同时基于目前7层网络交换技术的成熟应用,提出了一个从系统架构高度出发的解决方案,不但能够解决以上问题,而且能够进一步加强我校网络的稳定性,并提供系统充分的扩展手段。
2.负载平衡
负载均衡通过实时地分析数据包,将大量的并发访问或数据流动态地分发到多台节点设备上分别处理,以提高响应速度,也可以把单个重负载的运算分发到多台节点设备上并行处理。处理结束后,将结果汇总返回给用户,从而提高系统的处理能力。
2.1 基本原理
负载均衡的实现通常有软件和硬件设备两种。软件负载均衡的实现方式是指在一台或多台服务器相应的操作系统上安装附加软件来实现负载均衡,如DNS Load Balance 等。虽然软成本低,操作简便,但是系统开销大,可扩展性差,又受制于操作系统,不适于大型网络。
硬件负载均衡的实现是直接在服务器和外部网络间安装负载均衡设备,由于它独立于操作系统,使得整体性能得到大幅度提高,再加上多元化的策略,智能化的管理,可达到最佳的负载均衡需求。
负载均衡技术通常操作于网络的第四层或第七层。第四层为传输层,它负责在数据源和目的系统之间协调通信。该协议层包括传输控制协议(TCP)和用户数据报协议(UDP);第七层为应用层,它控制应用层服务的内容,提供了一种对访问流量的高层控制方式,适合对HTTP服务器群的应用。
第四层的负载均衡是将一个外部IP地址映射为多个内部服务器的IP地址,对每次TCP链接请求动态使用其中一个内部IP地址(内部IP地址采用虚拟IP-Virtual IP)来达到负载均衡的目的。负载均衡交换机根据源端口和目的端口的IP地址、TCP或UDP端口和一定的策率,在服务器IP和虚拟IP间进行映射,选取服务器群中最好的服务器来处理链接请求。
第七号层负载均衡技术则是通过对访问流量的高层控制来实现负载均衡的,它检查流经负载均衡交换机的HTTP报头,根据报头内的信息来执行负载均衡的策略。这就是我们所说的七层交换技术或Web内容交换技术。
负载均衡使用哈希(HASH)算法来将链接的用户映射到基于IP地址、端口和其他信息服务器群主机上。在检查收到的数据包时,所有主机均同步执行这种映射以迅速决定哪个主机应处理该数据包。除非服务器群主机数量发生变化,否则该映射会保持不变。
在负载均衡的设计方案上,首先要满足当前和将来的应用需要,同时必须对现有投资进行保护;第一性能要高;第二要有高可靠性;第三扩展性要好,第四要有充分的灵活性;第五要易于管理。
3.局域网智能负载平衡系统的实现
3.1 局域网负载均衡需求分析及目的
根据局域网建设的总体设计方案要求,我们总结出网络流量管理的具体需求如下:
国际网络连接的负载均衡,其中包括内部用户对外的访问流量和外部用户对内部服务器的访问,要求在正常情况下两条链路上的流量是均衡的,在某链路故障时自动将其流量切换到另外的链路,自动的透明容错,当链路恢复时自动将其加入到负载均衡中来。
学校内部用户通过代理服务器的负载均衡机制来实现对互联网的的访问,多台代理服务器同时并行工作,某台服务器发生故障时由负载均衡产品自动检查到,并且将其从服务器群组中排除,透明的容错,避免单台代理服务器的性能瓶颈问题。
对两台NS500防火墙的负载均衡,包括External,Internal,DMZ的端口的负载均衡;要求在正常情况下两台防火墙上的流量是均衡的,在某台防火墙故障时自动将其流量切换到另外的防火墙,自动的透明容错,当故障的防火墙恢复时自动将其加入到负载均衡中来。
均衡系统具备灵活的扩展空间,根据实际应用的需求灵活投资,提高整体服务能力。
3.2 学校Internet链路负载均衡方案
针对以上提出的需求分析,我们充分分析目前局域网的实际状况,结合4~7层网络交换机在国际上网络优化案例的经验,总结出以下流量管理和均衡解决方案。
方案采用两台7层IP应用交换机LC Catalyst 2400 分别提供防火墙和服务器的负载均衡服务。7层IP应用交换机之间的容错可以通过Fail Over Cable实现,同时7层IP应用交换机可以通过Fail Over Cable 检查对方的运行状态,复制对方的所有的Session 和状态信息。LC Catalyst 2400对ISP国际网络接入流量的负载均衡实现方法如下:
在双ISP接入时,每个ISP接入都单独采用一台接入路由器,紧跟路由器的后面连接两台LC Catalyst 2400,两台LC Catalyst 2400做冗余备份,两台Link Controller之间有专用的心跳线检测检测备份的激活设备的状态,其后连接两台防火墙,对两台防火墙采用冗余连接方式。防火墙外网的默认路由指向LC Catalyst 2400;接入路由器的默认路由指向ISP端的路由器。这样确保在一台防火墙出现故障时可以通过另外一个访问Internet。
图1 学校网智能负载平衡系统示意图