梭子魚服務器負載均衡BLB通用項目方案

1、效勞器系統(tǒng)負載均衡工程建議書梭子魚負載均衡機通用方案文檔修訂記錄標題效勞器系統(tǒng)負載均衡工程建議書-梭子魚負載均衡機通用方案文檔類型產(chǎn)品文檔?設計方家?實施文檔?配置文檔?測試文檔?其他?當前版本V1.0文檔作者梭子魚中國文檔審閱創(chuàng)立日期2021/5/11文檔名稱效勞器系統(tǒng)負載均衡工程建議書-梭子魚負載均衡機通用方案更新者更新內(nèi)容及版本更新時間潘淵文檔建立2021/5/14文檔說明此文檔是由梭子魚公司中國于 2021/5/11制定的內(nèi)部文檔.本文檔僅就Barracuda Networks內(nèi)部與相關合作伙伴和Barracuda Networks 最終用戶使用.版權說明本文檔中出現(xiàn)的任何文字表達、文

2、檔格式、插圖、照片、方法、代碼等內(nèi)容,除由特別注明,版權均屬于Barracuda Networks 所有,受到有關產(chǎn)權及版權法保護.任何個人、機構未經(jīng)BarracudaNetworks書面授權許可,不得以任何方式復制或引用本文檔的任何片斷.目錄第一章前言 4第二章梭子魚負載均衡機的技術優(yōu)勢 52.1 功能全面的效勞器負載均衡解決方案 52.2 梭子魚負載均衡機的根本原理 62.3 梭子魚負載均彳U機的特色 62.4 梭子魚負載均衡機的功能 82.4.1 負載算法 82.4.2 效勞器健康檢查 102.4.3 會話保持 102.4.4 內(nèi)建IPS防御攻擊 112.4.5 梭子魚的高可用性 14第

3、三章 XXX負載均衡機需求分析及工程方案 153.1 客戶網(wǎng)絡概況 153.2 梭子魚解決方案 153.3 梭子魚型號的選擇 163.4 梭子魚產(chǎn)品安裝部署 16第四章 負載均衡機產(chǎn)品國內(nèi)外評測 194.1 微軟認證合作伙伴 194.2 獎項資質(zhì) 19第五章梭子魚客戶情況 20弟一早刖H隨著寬帶網(wǎng)絡技術的不斷開展以及網(wǎng)絡根底設施的完善,Internet 在國內(nèi)得到迅速的開展,短短幾年中,國內(nèi)上網(wǎng)人數(shù)突破了1.3億.根據(jù)中國互聯(lián)網(wǎng)絡信息中央2007年1月公布的數(shù)據(jù),我國上網(wǎng)計算機數(shù)約 5940萬臺,其中寬帶上網(wǎng)計算機為3530萬臺,撥號上網(wǎng)計算機為1820萬臺. 我國上網(wǎng)用戶人數(shù)約13700萬人

4、,其中寬帶上網(wǎng)的用戶人數(shù)約為9070萬,撥號上網(wǎng)的用戶人數(shù)約為3900萬,同時使用寬帶與撥號的用戶人數(shù)為565萬.除計算機外同日使用其它設備移動終端、信息家電等上網(wǎng)的用戶人數(shù)為1700萬.不少地方如北京上海廣州等網(wǎng)民數(shù)站到總?cè)丝诘?/3.互聯(lián)網(wǎng)已經(jīng)徹底地成為了人們工作、生活的一局部.對于提供互聯(lián)網(wǎng)效勞的效勞器而言,出現(xiàn)了如下變化：A.訪問量大量增加網(wǎng)絡用戶的所有請求都涌向源網(wǎng)站,很多網(wǎng)絡效勞由于訪問次數(shù)爆炸式地增長而不堪重負,不能及時處理用戶的請求,導致用戶進行長時間的等待,大大降低了效勞質(zhì)量.如何建立可 伸縮的網(wǎng)絡效勞來滿足不斷增長的負載需求已成為迫在眉睫的問題.B.內(nèi)容與功能的增加例如：現(xiàn)

5、在 Web效勞中越來越多地使用 CGI、動態(tài)主頁等 CP嘀集型應用,這對效勞器的性能有 較高要求.此外,企業(yè)網(wǎng)站的互動和多媒體內(nèi)容增多,企業(yè)網(wǎng)站上大量Flash ,圖片內(nèi)容影響網(wǎng)站響應速度；企業(yè)宣傳活動及新產(chǎn)品發(fā)布期間,易產(chǎn)生"數(shù)據(jù)風暴"影響網(wǎng)站效勞及新產(chǎn)品的推廣宣傳.再如：流媒體作為網(wǎng)絡內(nèi)容的新生代,已經(jīng)被越來越多的內(nèi)容提供商和企業(yè)所采用,用戶將更多 的從網(wǎng)絡上獲取流媒體的內(nèi)容.會議、研討會、娛樂、體育活動直播、網(wǎng)上教育、網(wǎng)上影院等更加豐 富多樣的流媒體表達形式也將進一步走進網(wǎng)絡用戶的生活,隨著寬帶時代的到來,寬帶用戶渴望看到 大量流媒體內(nèi)容.C.平安性增加由于網(wǎng)站的所有

6、內(nèi)容都是以數(shù)字的形式流轉(zhuǎn)于Internet 之上,因此,在網(wǎng)絡運營中不可預防地存在著由Internet的自由、開放所帶來的信息平安隱患.Internet上橫行的黑客、肆虐的病毒使用戶感覺到目前的網(wǎng)絡環(huán)境缺乏平安.根據(jù)中國互聯(lián)網(wǎng)絡信息中央 CNNI.2007年1月公布的?中國 互聯(lián)網(wǎng)絡開展狀況統(tǒng)計報告?顯示,用戶認為目前網(wǎng)上交易存在的最大問題是"平安性得不到保證:排在了第一位,由此可見用戶對網(wǎng)絡平安性的憂慮程度.因此,對用硬件和軟件方法實現(xiàn)高可伸縮、高可用網(wǎng)絡效勞的需求不斷增長,這種需求可以歸結 以下幾點：?可擴展性(Scalability),當效勞的負載增長時,系統(tǒng)能被擴展來滿足需求

7、,且不降低效勞質(zhì)量.?高可用性(Availability ),盡管局部硬件和軟件會發(fā)生故障,整個系統(tǒng)的效勞必須是每天24小時每星期7天可用的.?可治理性(Manageability ),整個系統(tǒng)可能在物理上很大,但應該易于治理.?價格有效性(Cost-effectiveness ),整個系統(tǒng)實現(xiàn)是經(jīng)濟的、高性價比的.第二章梭子魚負載均衡機的技術優(yōu)勢2.1 功能全面的效勞器負載均衡解決方案Barracuda Lneroize Updotes比UX的 】PE 口玳oxBdrrdLudd Ludd Bdkniitdr AnhllLturvRon oi udo Luflil BfildRi'i

8、 pr【喀Service MwFiltnrHinh 4iUbililM口ad balAnwt AlqohUhiii主要功能支持微軟遠程桌面效勞SSL卸載HTTP緩存&壓縮內(nèi)容路由TCP池復用SIP負載均衡L4/L7負載均衡支持IPV6提供硬件和虛擬兩種產(chǎn)品交付方式全局負載均衡(GSLB通過微軟認證：Exchange 2021,Lync Server2021,Office CommunicationServer(OCS)20072.2 梭子魚負載均衡機的根本原理針對Internet的飛速開展給企業(yè)網(wǎng)絡帶寬和效勞器帶來的這種巨大挑戰(zhàn),企業(yè)有兩種解決思路.一種方法是增加效勞器的性能,例如采用

9、對稱多處理系統(tǒng) (Symmetric Multi-Processor ,簡稱SMp ,該系統(tǒng)是由多個對稱的處理器、和通過總線共享的內(nèi)存和I/O部件所組成的計算機系統(tǒng),具有強大的處理水平.但是隨著業(yè)務量的增大,這種效勞器升級時具有明顯的缺乏.一是升級過程繁瑣,機器切 換會使效勞暫時中斷,并造成原有計算資源的浪費；二是越往高端的效勞器,所花費的代價越大；三 是SMP效勞器是單一故障點(Single Point of Failure ), 一旦該效勞器或應用軟件失效,會導致 整個效勞的中斷.另一種思路是采用效勞器集群實現(xiàn)高可伸縮的、高可用網(wǎng)絡效勞的有效結構.這種方案通過一組 效勞器分擔任務,可以獲得

10、很高的整體性能.也易于擴展,性價比也很高.但是簡單的效勞器機群在 實現(xiàn)可伸縮的網(wǎng)絡效勞存在許多問題.例如透明性( Transparency )問題,用戶希望由多個獨立計算 機組成的松藕合的集群系統(tǒng)構成一個虛擬效勞器；客戶端應用程序與集群系統(tǒng)交互時,就像與一臺高 性能、高可用的效勞器交互一樣,客戶端無須作任何修改.局部效勞器的切入和切出不會中斷效勞, 對用戶也是透明的.再比方流量的均衡,治理的便捷性.這些要求是效勞器集群無法實現(xiàn)的.梭子魚負載均衡機(Barracuda Load Balancer )提供了另外一個思路.利用梭子魚負載均衡機.將一組效勞器構成一個實現(xiàn)可伸縮的、高可用網(wǎng)絡效勞的虛擬效

11、勞器.其體系結構如下列圖,Clients在一組效勞器的前端安裝梭子魚負載均衡機,所有外部的請求將先連接在梭子魚負載均衡機VIP上(也稱為虛擬效勞器上),梭子魚執(zhí)行NAT無縫地將網(wǎng)絡請求調(diào)度到真實效勞器上.從而使得服務器集群的結構對客戶是透明的,客戶訪問集群系統(tǒng)提供的網(wǎng)絡效勞就像訪問一臺高性能、高可用的 效勞器一樣.客戶程序不受效勞器集群的影響不需作任何修改.系統(tǒng)的伸縮性通過在效勞機群中透明 地參加和刪除一個節(jié)點來到達,通過檢測節(jié)點或效勞進程故障和正確地重置系統(tǒng)到達高可用性.2.3 梭子魚負載均衡機的特色梭子魚負載均衡機提供強大、易于使用、本錢效益高的企業(yè)級效勞器負載均衡設備,是當前負載均衡設備

12、中最活潑、最易推廣、最易普及的效勞器負載均衡機品牌.其設計遵循以下原那么：可擴展性：IT技術日新月異,一年以前最新的產(chǎn)品,現(xiàn)在或許已是網(wǎng)絡中性能最低的產(chǎn)品；負載均 衡機應能夠根據(jù)信息化的不斷深入開展的需要,方便的擴展(或裁剪)效勞器,以滿足企業(yè)業(yè)務擴展 的需要.需具備支持多種通信媒體,能均衡不同操作系統(tǒng)和硬件平臺之間的負載,能均衡HTTR郵件、新聞、代理、數(shù)據(jù)庫、防火墻和Cache等不同效勞器的負載,并且能以對客戶端完全透明的方式動態(tài)增加或刪除某些資源.梭子魚負載均衡機使用 TCP/UD附議和IP負載平衡調(diào)度,支持所有基于IP的應用程序負載均 衡.包括：高流量的網(wǎng)站,如 HTTP HTTPs

13、FTP,流媒體等.使用瘦客戶端的主機應用程序,如：Citrix 、Windows終端效勞.其他 IP 效勞,如：SMTP DNS TFTR RADIUS LDAP等.靈活性：均衡解決方案應能靈活地提供不同的應用需求,滿足應用需求的不斷變化.在不同的效勞器 群有不同的應用需求時,梭子魚可以提供多樣的均衡策略提供更廣泛的選擇.梭子魚負載均衡機部署靈活,支持路由模式、橋接模式、效勞直接返回模式.路由模式部署靈活,約60%勺用戶采用這種方式部署；橋接模式不改變現(xiàn)有的網(wǎng)絡架構；效勞直接返回(DSR比擬適合吞吐量大特別是內(nèi)容分發(fā)的網(wǎng)絡應用.約30%勺用戶采用這種模式.可靠性：在對效勞質(zhì)量要求較高的站點,負

14、載均衡解決方案應能為效勞器群提供完全的容錯性和高可 用性.但在負載均衡設備自身出現(xiàn)故障時,應該有良好的冗余解決方案,提升可靠性.使用冗余時, 處于同一個冗余單元的多個負載均衡設備必須具有有效的方式以便互相進行監(jiān)控,保護系統(tǒng)盡可能地預防遭受到重大故障的損失.梭子魚負載均衡機提供強大的企業(yè)級的解決方案,它可以用于為任何基于IP的應用程序提供IP負載均衡,它監(jiān)控效勞器的健康狀態(tài),并在效勞器故障時自動容錯,而梭子魚本身還可以部署成主/次模式,如果主設備故障,次負載均衡設備能自動切換成主設備,最大程度的減小了整個負載均衡服 務器集群的風險.易治理性：不管是通過軟件還是硬件方式的均衡解決方案,我們都希望它

15、有靈活、直觀和平安的治理 方式,這樣便于安裝、配置、維護和監(jiān)控,提升工作效率,預防過失.梭子魚(Barracuda )提供給用戶是非常易于使用的產(chǎn)品.用戶翻開包裝箱,把梭子魚安裝在19英寸標準機架上,進行簡單的配置后梭子魚馬上開始提供高性能的負載均衡效勞.這一過程僅僅只需 要十分鐘.梭子魚(Barracuda )提供給用戶的是一種“即插即忘式的產(chǎn)品,無需用戶進行復雜的 系統(tǒng)操作,治理員通過 WEE覽器就可以對設備進行遠程的治理,一旦系統(tǒng)調(diào)整完畢,梭子魚將自動 監(jiān)控效勞器的狀態(tài),自動分配流量、自動冗余、自動接收升級入侵檢測代碼,治理員無需經(jīng)常登錄系 統(tǒng)進行治理2.4 梭子魚負載均衡機的功能2.4

16、.1 負載算法梭子魚負載均衡機利用虛擬IP地址VIP由IP地址和TCP/UD陟用的端口組成,它是一個地址來為用戶的一個或多個目標效勞器稱為節(jié)點,即真實效勞器Real Server的IP地址和TCP/UDPS用的端口組成,它可以是私網(wǎng)地址提供效勞.因此,它能夠為大量的基于TCP/IP的網(wǎng)絡應用提供服務器負載均衡效勞.梭子魚負載均衡機連續(xù)地對目標效勞器進行L4到L7合理性檢查,當用戶通過VIP請求目標效勞器效勞時,梭子魚負載均衡機根楣目標效勞器之間性能和網(wǎng)絡健康情況,選擇性能最正確的效勞器響應用戶的請求.能夠充分利用所有的效勞器資源,將所有流量均衡的分配到各個效勞 器,我們就可以有效地預防“不平衡

17、現(xiàn)象的發(fā)生.梭子魚負載均衡機是一臺對流量和內(nèi)容進行治理 分配的設備.它提供 7種靈活的算法將數(shù)據(jù)流有效地轉(zhuǎn)發(fā)到它所連接的效勞器群.而面對用戶,只是 一臺虛擬效勞器.用戶此時只須記住一臺效勞器,即虛擬效勞器.但他們的數(shù)據(jù)流卻被梭子魚負載均 衡機靈活地均衡到所有的效勞器.這7種算法包括：輪詢Round Robin :輪詢算法就是順序循環(huán)將請求依次順序循環(huán)地連接每個效勞器.在此過程中,如果梭子魚檢測到某個效勞器第二到第7層的故障,梭子魚將把該效勞器從順序循環(huán)隊列中拿出稱為切出效勞,不參與下一次輪詢,直到其恢復正常.該算法相對簡單,其優(yōu)點是簡潔,它無 需記錄當前所有連接的狀態(tài),所以它是一種無狀態(tài)調(diào)度.

18、但是由于它假設所有效勞器處其理性能均相 同,不管效勞器的當前連接數(shù)和響應速度.因此不適用于效勞器組中處理性能不一的情況,而且當請 求效勞時間變化比擬大時輪詢,輪詢算法容易導致效勞器間的負載不平衡.加權輪詢算法Weighted Round-Robin:加權輪詢算法可以解決效勞器間性能不一的情況,它用相應的權值表示效勞器的處理性能,效勞器的缺省權值為1.假設效勞器 A的權值為1, B的權值為2,那么表示效勞器 B的處理性能是 A的兩倍.加權輪叫調(diào)度算法是按權值的上下和輪詢方式分配請 求到各效勞器.權值高的效勞器先收到的連接,權值高的效勞器比權值低的效勞器處理更多的連接, 相同權值的效勞器處理相同數(shù)

19、目的連接數(shù).例如,有三個效勞器 A B和C分別有權值4、3和2,那么在一個調(diào)度周期調(diào)度序列為AABABCABC加權輪詢調(diào)度算法還是比擬簡單和高效.加權輪詢調(diào)度也無需記錄當前所有連接的狀態(tài),所以它也是 一種無狀態(tài)調(diào)度.當請求的效勞時間變化很大,單獨的加權輪詢調(diào)度算法依然會導致效勞器間的負載 不平衡.在此過程中,如果梭子魚檢測到某個效勞器第二到第7層的故障,梭子魚將把該效勞器從順序循環(huán)隊列中拿出稱為切出效勞,不參與下一次輪詢,直到其恢復正常.最小連接算法： 最小連接算法Least-Connection Scheduling 是把新的連接請求分配到當前 連接數(shù)最小的效勞器.最小連接調(diào)度是一種動態(tài)調(diào)度

20、算法,它通過效勞器當前所活潑的連接數(shù)來估計效勞器的負載情況.調(diào)度器需要記錄各個效勞器已建立連接的數(shù)目,當一個請求被調(diào)度到某臺效勞器 ,其連接數(shù)加1；當連接中止或超時,其連接數(shù)減一.在此過程中,如果梭子魚檢測到某個效勞器第二到第7層的故障,梭子魚將把該效勞器從順序循環(huán)隊列中拿出稱為切出效勞,不參與下一次輪詢,直到其恢復正常.當各個效勞器有相同的處理性能時,最小連接調(diào)度算法能把負載變化大的請求分布平滑到各個服 務器上,所有處理時間比擬長的請求不可能被發(fā)送到同一臺效勞器上.但是,當各個效勞器的處理能 力不同時,該算法并不理想,由于TCP連接處理請求后會進入 TIME_WAIT犬態(tài),TCP的TIME_

21、WAI>般為2分鐘,此時連接還占用效勞器的資源,所以會出現(xiàn)這樣情形,性能高的效勞器已處理所收到的 連接,連接處于TIME_WAIT狀態(tài),而性能低的效勞器已經(jīng)忙于處理所收到的連接,還不斷地收到新的 連接請求.加權最小連接算法： 加權最小連接Weighted Least-Connection Scheduling 算法是最小連接 調(diào)度的超集,各個效勞器用相應的權值表示其處理性能.效勞器的缺省權值為1,系統(tǒng)治理員可以動態(tài)地設置效勞器的權值.加權最小連接調(diào)度在調(diào)度新連接時盡可能使效勞器的已建立連接數(shù)和其權值 成比例.在此過程中,如果梭子魚檢測到某個效勞器第二到第7層的故障,梭子魚將把該效勞器從順

22、序循環(huán)隊列中拿出稱為切出效勞,不參與下一次輪詢,直到其恢復正常.觀察模式：這種方式基于動態(tài)反應負載均衡機制,來限制新連接的分配,從而限制各個效勞器的 負載.調(diào)度器根據(jù)單位時間內(nèi)效勞器收到新連接數(shù)與平均連接數(shù)的比例,計算效勞器的負載,并依此 計算出新的權重進行流量的分配.CPU動態(tài)性能分配：調(diào)度器通過SNM晌各個效勞器查tU效勞器當前 CP頃載LOADi,并依此計算 出新的權重進行流量的分配.URL測試動態(tài)性能分配： 調(diào)度器向效勞器發(fā)送測試頁面,根據(jù)效勞器響應時間,計算新的權重進 行流量分配.這種方式能比擬好的反映效勞器上請求等待隊列的長度和請求的處理時間.如果效勞器 設定的時間內(nèi)沒有響應,梭子

23、魚將認為效勞器不可達,該效勞器的權值將設為零,即將效勞器切出. 直至恢復.網(wǎng)絡中的實際流量呈波浪型發(fā)生的,在一段較長時間的小流量后,會有一段大流量的訪問,然后 是小流量,這樣跟波浪一樣周期性地發(fā)生.當出現(xiàn)流量“峰值時,如果能調(diào)配所有效勞器的資源同 時提供效勞,所謂的“峰值堵塞壓力就會由于系統(tǒng)性能的大大提升而明顯減弱.由于梭子魚優(yōu)秀的 負載均衡水平,所有流量會被均衡的轉(zhuǎn)發(fā)到各個效勞器,即組織所有效勞器提供效勞.這時,系統(tǒng)性 能等于所有效勞器性能的總和,遠大于流量“峰值.這樣,即緩解了 “峰值堵塞的壓力,又降低 了為調(diào)整系統(tǒng)性能而增加的投資 .用戶可以根據(jù)任意制訂的規(guī)那么將客戶端的訪問導向到不同的

24、效勞器 群組.2.4.2 效勞器健康檢查梭子魚負載均衡機支持真實效勞器和效勞的自動發(fā)現(xiàn),從而方便部署新的效勞器.對常用的效勞,用戶不需要手動設置端口,梭子魚能自動檢測在指定的效勞器上有哪些效勞正在運行,節(jié)省部署和配 置的時間.梭子魚還支持OSI模型二到七層的 health checking .特別是EA/口 ECV功能：根底網(wǎng)絡檢查 Ping四層應用檢查 TCP/UDP port擴展內(nèi)容查證 ECVECV是一種非常復雜的效勞檢查,用于確認應用程序能否對請求返回對應的數(shù)據(jù).如果一個應用 對該效勞檢查做出響應并返回對應的數(shù)據(jù),梭子魚就將該效勞器標識為健康狀態(tài).如果效勞器不能返 回相應的數(shù)據(jù),那么將

25、該效勞器標識為宕機,并將其切出效勞.宕機一旦修復,梭子魚就會自動發(fā)現(xiàn)該 效勞器已經(jīng)恢復健康,并將其列入輪詢序列.擴展應用驗證EAVEAV是另一種效勞檢查,用于確認運行在某個效勞器上的應用能否對客戶請求作出響應.梭子魚Web治理界面上設置了一組被稱作外部效勞檢查者的客戶程序,該程序為用戶提供完全客戶化的效勞 檢查功能.例如,DNS_TES程序,用戶可以輸入需要查詢的主機名及匹配值,如果真實效勞器返回 的值與匹配值相同,那么說明該效勞正常.梭子魚預定義的擴展驗證 (EAV檢查包括：DNS SPAMFIREWALSNMPPOPIMAP SMTPSIMPLE_HTTP SIMPLE_HTTPS HTT

26、P_SLOWHTTP_TEST2.4.3 會話保持梭子魚負載均衡機經(jīng)過專門設計,可以為關鍵業(yè)務站點提供高可用性和智能負載平衡.除這些 水平外,還可以識別用戶固定訪問特定效勞器的要求,以支持用戶重新建立到特定效勞器的連接.在 這些條件下,梭子魚負載均衡時機放棄負載平衡算法以支持對話持續(xù)性.舉例來說,如果某位用戶連接到了一臺效勞器上,那么我們肯定希望該用戶在將來再次連接時將仍可連接到該臺效勞器上.當該效勞器存有用戶相關數(shù)據(jù),并且這些數(shù)據(jù)并不與其它效勞器動態(tài)共享時,持續(xù)性就顯得十分有必要了 .例如,讓我們假設一位用戶在某網(wǎng)站采購了一 “購物車的商品,然后還未結帳就離開了該網(wǎng)站.如果在其重新登錄網(wǎng)站后

27、,BIG-IP應用交換機將客戶請求路由至不同的效勞器,那么新的效勞器對該用戶的數(shù)據(jù)和其所購置的商品將一無所知.當然,如果所有效勞器都在同一個后臺數(shù)據(jù)庫效勞器中存儲用戶信息及其選購商品的話,那么一切就不成問題了.但是如果網(wǎng)站不是這樣設計的,那么具體的購物車數(shù)據(jù)就只能存儲在特定的效勞器上.這樣,BIG-IP應用交換機就必需選擇用戶曾連接上的那臺效勞器,以無縫地處理用戶請求.此外,會話保持的功能將減少新建連接的數(shù)量,這將有助于減小負載均衡機系統(tǒng)開銷.2.4.4 內(nèi)建IPS防御攻擊防御攻擊包括兩個層面,第一個層面如前述效勞器健康檢查,負載均衡設備通過精確探測效勞器 的健康狀態(tài),再效勞器處理水平到達飽和

28、前可以自動的屏蔽新建鏈接,以免效勞器可能由于在瞬間接 受超過效勞器吞吐水平的數(shù)據(jù)流而直接導致系統(tǒng)崩潰,甚至導致數(shù)據(jù)喪失或客戶資料遺失.從而到達 以下目的：?保證所有IP應用的高可用性和正常運行時間?創(chuàng)立一個可控的執(zhí)行點以對所有流量進行前瞻性平安限制?使效勞器和應用能夠及時準確地做出響應?無需額外硬件、軟件或其它 IT資源?輕松適應未來不斷變化的業(yè)務需求第二個層面是在負載均衡設備上建立相應的平安機制.首先是端口的屏蔽.采用負載均衡設備后用戶無法直接于效勞器聯(lián)系,必須與負載均衡設備上建立的虛擬效勞器建立鏈接,所以黑客無法獲得 效勞器的真實地址,增加了黑客攻擊的難度.同時,由于虛擬效勞器對外只提供給

29、用效勞端口,其余 端口負載均衡機均不響應且直接Drop Packet ,從而有效地屏蔽了黑客攻擊的第一步一一端口掃描.甚至可以將虛擬效勞器的 ARP響應屏蔽,從而使黑客無法 PING通虛擬效勞器.由于對外只提供必須 的應用端口,因而可以有效地屏蔽常用黑客攻擊手段.其次是對于DoS/DDoS擊,梭子魚能從內(nèi)核級就予以屏蔽,具體實施如下：1. Synflood:該攻擊以多個隨機的源主機地址向目的主機發(fā)送SYN包,而在收到目的主機的 SYNACK后并不回應,這樣,目的主機就為這些源主機建立了大量的連接隊列 ,而且由于沒有收到AC直維護著這些隊列, 造成了資源的大量消耗而不能向正常請求提供效勞.梭子魚

30、的策略：梭子魚采用特有的 SYN proxy功能,所有與虛擬效勞器建立HTTP SYN的請求均由梭子魚代替效勞器響應,梭子魚并不將 SYN請求發(fā)送到效勞器.對方響應了梭子魚的ACK并真正發(fā)送 HTTP GET青求時,梭子魚才與效勞器建立鏈接并發(fā)送HTTPGET請求.所以普通的 Synflood只會和梭子魚通訊,無法攻擊到效勞器.®Syn Ack+1*- ®Ack+1l syn ®Ack®Ack+C_0 1二E/ SynJ 0 Syn2. Ping of Death根據(jù)TCP/IP的標準,一個包的長度最大為65536字節(jié).盡管一個包白長度不能超過 6553

31、6字節(jié),但是一個包分成的多個片段的疊加卻能做到.當一個主機收到了長度大于65536字節(jié)的包時,就是受到了 Ping of Death 攻擊,該攻擊會造成主機的宕機.梭子魚的策略：如前所述,在梭子魚上可以將虛擬效勞器的ARP屏蔽,ICMP包系統(tǒng)根本不響應.其次,虛擬效勞器的ICMP響應是由梭子魚的治理進程提供響應,當治理進程繁忙時,系統(tǒng)會自動降低虛擬效勞器的ICMP響應的優(yōu)先級甚至不響應,而治理進程與效勞器負載均衡是兩個完全不同的進程,在梭子魚上其內(nèi)存 和CPU使用時間是嚴格別離的,所以 Ping of Death絲毫不會影響效勞器負載均衡,也就是不會影響 真正對外的效勞響應端口.3. IP欺騙

32、DoS攻擊這種攻擊利用RST位來實現(xiàn).假設現(xiàn)在有一個合法用戶已經(jīng)同效勞器建立了正常的連接,攻擊者構造攻擊的 TCP數(shù)據(jù),偽裝自己的IP為 ,并向效勞器發(fā)送一個帶有RST位白T TCP數(shù)據(jù)段.效勞器接收到這樣的數(shù)據(jù)后,認為從 發(fā)送的連接有錯誤,就會清空緩沖區(qū)中建立好的連接.這時,如果合法用戶 再發(fā)送合法數(shù)據(jù),效勞器就已經(jīng)沒有這樣的連接了,該用戶就必須從新開始建立連接.攻擊時,偽造大量的IP地址,向目標發(fā)送 RST數(shù)據(jù),使效勞器不對合法用戶效勞.梭子魚的策略：如前所述,梭子魚的SYNproxy功能,將TCP的SYN/ACK/SYNACK段握手

33、作為判斷合法用戶的依據(jù), 同時所有的SYN/ACK/SYN ACK勻不通效勞器鏈接,只有當用戶發(fā)送HTTP GET青求時再與選定的效勞器建立鏈接,所以 RST只是撤除與梭子魚建立鏈接,并不影響合法用戶訪問效勞器.4. 帶寬DoS攻擊*效勞器系統(tǒng)負載均衡工程建議書第12頁Barracuda Networks China如果黑客的連接帶寬足夠大而效勞器又不是很大,黑客可以通過發(fā)送大量請求,來消耗效勞器的緩沖區(qū)消耗效勞器的帶寬.這種攻擊就是人多力量大了,配合上SYN一起實施DoS威力巨大.梭子魚的策略：這種攻擊發(fā)生時,從站點的路由器、交換機、防火墻到效勞器的帶寬均有可能被占滿.所以如果發(fā)生該種攻擊,

34、首要的任務是通過EAV/ECV呆護效勞器不要溢出或崩潰.其次,內(nèi)置的IPS能有效地抵御攻擊.上述功能是負載均衡設備防攻擊的根本功能.除此之外,內(nèi)置IPS的梭子魚還具備以下功能：1預防病毒：如 NIMDA、Code Red等.2預防針對協(xié)議的攻擊.梭子魚有特定協(xié)議攻擊防護,保護真實效勞器免遭以SMTP,DN解口 LDAP為目的的攻擊.3針對應用程序的攻擊：梭子魚保護那些對外部攻擊特別脆弱的應用程序.這些程序包括：IIS,Websphere, Cold Fusion, Exchange和許多其它程序.4針對操作系統(tǒng)的攻擊：梭子魚有針對檢測Microsoft和UNIX操作系統(tǒng),標記那些與系統(tǒng)相關的可

35、疑的活動.梭子魚動態(tài)更新示意圖.Barracuda Load BalanterBarracudji EM-ruife UpdlalEis梭子魚公司建立了一個強大的運營中央Barracuda Central , 7x24小時日以繼夜地工作,監(jiān)控互聯(lián)網(wǎng)上最新的攻擊、漏洞及病毒開展趨勢,并制作出最新的升級文件.梭子魚負載均衡機將自動接收 這些文件,實現(xiàn)IPS的動態(tài)更新.2.4.5 梭子魚的高可用性梭子魚負載均衡機允許連接一個次梭子魚設備作為主設備的后備.所有會話通過Active的設備的同時,會把會話信息通過同步數(shù)據(jù)線同步到Backup的設備上,保證在 Backup設備內(nèi)也有所有的用戶訪問會話信息；另

36、外每臺設備中的watchdog芯片通過心跳線監(jiān)控對方設備的電頻,當 Active設備發(fā)生故障時,watchdog會首先發(fā)現(xiàn),并通知 Backup設備接管Shared IP , VIP等,完成A=>B的切換過程,由于 Backup設備中有事先同步好的會話信息,所以可以保持訪問的暢通和在線會話的數(shù) 據(jù).梭子魚使用8001和8002端口來同步相連系統(tǒng)的配置 .每一個連接的梭子魚都會發(fā)送一個“心跳 信號給其它使用 SNMP勺梭子魚設備,讓彼此通知對方處于開啟和正常運行狀態(tài).在路由模式部署 中,次梭子魚設備在主系統(tǒng)5秒內(nèi)仍未發(fā)送心跳信號時,自動冗余為主系統(tǒng)的IP地址.在橋接模式部署模式中,次梭子魚

37、設備在主系統(tǒng)30秒內(nèi)仍未發(fā)送心跳信號時,自動冗余為主系統(tǒng)的IP地址.第三章XXX負載均衡機需求分析及工程方案3.1 客戶網(wǎng)絡概況XXX公司網(wǎng)絡中有8臺效勞器,都運行 Windows操作系統(tǒng).效勞器上存在多種應用,如SQL等.用戶希望在不添加硬件的前提下,將效勞器的運行性能發(fā)揮到最大.經(jīng)過分析,可以使用梭子魚動態(tài)權重分配機制對8臺效勞器進行動態(tài)的權重分別,每時每刻都讓每臺效勞器得到合理的流量,以此將效勞器的處理性能發(fā)揮到最大.3.2 梭子魚解決方案本方案中,用戶擁有 8臺效勞器,運行多種應用.由于效勞器的臺數(shù)多,應用多,所以梭子魚建議使用兩臺梭子魚負載均衡機440型號以實現(xiàn)對服務器集群的負載均衡

38、.梭子魚負載均衡機是對本地效勞器集群提供負載均衡和容錯的網(wǎng)絡產(chǎn)品,在充分利用現(xiàn)有資源以及對IT根底設施進行最小變動的前提下有效地進行流量的分配,從而提升效勞器的處理性能.對客 戶端而言,這一切都是透明的.在本方案中,我們推薦使用路由模式進行拓撲,最大程度地提升效勞系統(tǒng)的高可用性和可靠性.并且采用高穩(wěn)定性的 HA模式部署.Logical NetworkBarracuda Load Balancer3.3 梭子魚型號的選擇梭子魚負載均衡機有四個型號,可適用于各種類型企業(yè)需求,.根據(jù)XXX公司提供的網(wǎng)絡流量,我們推薦采用兩套BLB-440型號的產(chǎn)品部署梭子魚效勞器負載均衡解決方案.梭子魚負載均衡設備 BLB-440產(chǎn)品主要性能:最大吞吐量：950Mbps可支持真實效勞器數(shù)量推薦：50;IPS;全局負載均衡；內(nèi)容路由；SSL卸載；3.4 梭子魚產(chǎn)品安裝部署方案總體設計拓撲圖：效勞器集利實施步驟LAN 口接二層交1 .物理連接：梭子魚的串聯(lián)接入到網(wǎng)絡中,梭