迪普科技-負(fù)載均衡技術(shù)白皮書

1、負(fù)載均衡技術(shù)白皮書關(guān)鍵詞：負(fù)載均衡，服務(wù)器，鏈路，連接復(fù)用，HTTP安全防護(hù)，SLB, LLB,摘 要：本文介紹了負(fù)載均衡技術(shù)的應(yīng)用背景，描述了負(fù)載均衡技術(shù)的實(shí)現(xiàn)與運(yùn)行機(jī)制，并簡 單介紹了迪普科技負(fù)載均衡技術(shù)在實(shí)際環(huán)境中的應(yīng)用?？s略語:縮略語英文全名中文解釋SLBServer Load Balance服務(wù)器負(fù)載均衡LLBLink Load Balance鏈路負(fù)載均衡VSIPVirtual Service IP Address虛服務(wù)IP地址HSPHTTP Security PolicyHTTP安全防護(hù)策略IPsecIP SecurityIP安全ARPAddress Resolution Prot

2、ocol地址解析協(xié)議DNATDestination NAT目的地址NATNATNetwork Address Translation網(wǎng)絡(luò)地址轉(zhuǎn)換RTTRound Trip Time往返時(shí)間DNSDomain Name Service域名服務(wù)SSLSecure Socket Layer安全套接層TTLTime To Live生存時(shí)間VPNVirtual Private Network虛擬專用網(wǎng)絡(luò)VRRPVirtual Router Redundancy Protocol虛擬路由器冗余協(xié)議DRDirect Routing直接路由XSS(CSS)Cross Site Script跨站腳本攻擊1負(fù)載均

3、衡技術(shù)概述 TOC o 1-5 h z HYPERLINK l bookmark11 o Current Document 1.1負(fù)載均衡技術(shù)背景4 HYPERLINK l bookmark14 o Current Document 1.1.1服務(wù)器負(fù)載均衡技術(shù)背景4 HYPERLINK l bookmark22 o Current Document 1.1.2網(wǎng)關(guān)負(fù)載均衡技術(shù)背景5 HYPERLINK l bookmark28 o Current Document 1.1.3鏈路負(fù)載均衡技術(shù)背景6 HYPERLINK l bookmark31 o Current Document 1.2負(fù)載

4、均衡技術(shù)優(yōu)點(diǎn)分析6 HYPERLINK l bookmark38 o Current Document 2負(fù)載均衡具體技術(shù)實(shí)現(xiàn)7 HYPERLINK l bookmark41 o Current Document 2.1負(fù)載均衡相關(guān)概念介紹7 HYPERLINK l bookmark50 o Current Document 2.2服務(wù)器負(fù)載均衡基本概念和技術(shù)8 HYPERLINK l bookmark59 o Current Document NAT方式的服務(wù)器負(fù)載均衡8 HYPERLINK l bookmark79 o Current Document DR方式的服務(wù)器負(fù)載均衡10 HYP

5、ERLINK l bookmark92 o Current Document 2.3網(wǎng)關(guān)負(fù)載均衡基本概念和技術(shù)12 HYPERLINK l bookmark111 o Current Document 2.4服務(wù)器負(fù)載均衡和網(wǎng)關(guān)負(fù)載均衡融合14 HYPERLINK l bookmark114 o Current Document 2.5鏈路負(fù)載均衡基本概念和技術(shù)14Outbound鏈路負(fù)載均衡14Inbound鏈路負(fù)載均衡16 HYPERLINK l bookmark142 o Current Document 2.6負(fù)載均衡設(shè)備的雙機(jī)熱備18 HYPERLINK l bookmark147

6、o Current Document 2.7負(fù)載均衡設(shè)備的的部署方式192.7.1對稱方式192.7.2單臂模式20 HYPERLINK l bookmark153 o Current Document 3迪普科技負(fù)載均衡技術(shù)特色21 HYPERLINK l bookmark156 o Current Document 3.1多種負(fù)載均衡調(diào)度算法21 HYPERLINK l bookmark159 o Current Document 3.1.1靜態(tài)調(diào)度算法213.1.2動(dòng)態(tài)調(diào)度算法22 HYPERLINK l bookmark192 o Current Document 3.2靈活的就近性算

7、法23 HYPERLINK l bookmark200 o Current Document 3.3多種健康性檢測方法233.4多種會話持續(xù)性功能24 HYPERLINK l bookmark226 o Current Document 3.4.1具有顯式關(guān)聯(lián)關(guān)系持續(xù)性功能25 HYPERLINK l bookmark229 o Current Document 3.4.2具有隱式關(guān)聯(lián)關(guān)系持續(xù)性功能25 HYPERLINK l bookmark235 o Current Document 3.5 47層的負(fù)載均衡25 HYPERLINK l bookmark241 o Current Docu

8、ment 3.6多種HTTP安全防護(hù)策略26 HYPERLINK l bookmark251 o Current Document 3.7連接復(fù)用功能273.8 HTTP壓縮功能27 HYPERLINK l bookmark254 o Current Document 4典型組網(wǎng)應(yīng)用實(shí)例27 HYPERLINK l bookmark257 o Current Document 4.1企業(yè)園區(qū)網(wǎng)應(yīng)用27284.2數(shù)據(jù)中心和大型門戶網(wǎng)站應(yīng)用28i負(fù)載均衡技術(shù)概述i.i負(fù)載均衡技術(shù)背景i.i.i服務(wù)器負(fù)載均衡技術(shù)背景隨著Internet的快速發(fā)展和業(yè)務(wù)量的不斷提高，基于網(wǎng)絡(luò)的數(shù)據(jù)訪問流量迅速增 長，

9、特別是對數(shù)據(jù)中心、大型企業(yè)以及門戶網(wǎng)站等的訪問，其訪問流量甚至達(dá)到了 i0Gb/s的級別；同時(shí)，服務(wù)器網(wǎng)站借助HTTP、FTP、SMTP等應(yīng)用程序，為訪問 者提供了越來越豐富的內(nèi)容和信息，服務(wù)器逐漸被數(shù)據(jù)淹沒；另外，大部分網(wǎng)站（尤其電子商務(wù)等網(wǎng)站）都需要提供不間斷24小時(shí)服務(wù)，任何服務(wù)中斷或通信中的 關(guān)鍵數(shù)據(jù)丟失都會造成直接的商業(yè)損失。所有這些都對應(yīng)用服務(wù)提出了高性能和高 可靠性的需求。但是，相對于網(wǎng)絡(luò)技術(shù)的發(fā)展，服務(wù)器處理速度和內(nèi)存訪問速度的增長卻遠(yuǎn)遠(yuǎn)低于 網(wǎng)絡(luò)帶寬和應(yīng)用服務(wù)的增長，網(wǎng)絡(luò)帶寬增長的同時(shí)帶來的用戶數(shù)量的增長，也使得 服務(wù)器資源消耗嚴(yán)重，因而服務(wù)器成為了網(wǎng)絡(luò)瓶頸。傳統(tǒng)的單機(jī)模式，

10、也往往成為 網(wǎng)絡(luò)故障點(diǎn)。圖i現(xiàn)有網(wǎng)絡(luò)的不足針對以上情況，有以下幾種解決方案：服務(wù)器進(jìn)行硬件升級：采用高性能服務(wù)器替換現(xiàn)有低性能服務(wù)器。該方案的弊端：高成本：高性能服務(wù)器價(jià)格昂貴，需要高額成本投入，而原有低性能服務(wù)器 被閑置，造成資源浪費(fèi)?？蓴U(kuò)展性差：每一次業(yè)務(wù)量的提升，都將導(dǎo)致再一次硬件升級的高額成本投 入，性能再卓越的設(shè)備也無法滿足當(dāng)前業(yè)務(wù)量的發(fā)展趨勢。無法完全解決現(xiàn)在網(wǎng)絡(luò)中面臨的問題：如單點(diǎn)故障問題，服務(wù)器資源不夠用 問題等。組建服務(wù)器集群，利用負(fù)載均衡技術(shù)在服務(wù)器集群間進(jìn)行業(yè)務(wù)均衡。多臺服務(wù)器通過網(wǎng)絡(luò)設(shè)備相連組成一個(gè)服務(wù)器集群，每臺服務(wù)器都提供相同或相似 的網(wǎng)絡(luò)服務(wù)。服務(wù)器集群前端部署一

11、臺負(fù)載均衡設(shè)備，負(fù)責(zé)根據(jù)已配置的均衡策略 將用戶請求在服務(wù)器集群中分發(fā)，為用戶提供服務(wù)，并對服務(wù)器可用性進(jìn)行維護(hù)。該方案的優(yōu)勢:低成本：按照業(yè)務(wù)量增加服務(wù)器個(gè)數(shù)即可；已有資源不會浪費(fèi)，新增資源無 需選擇昂貴的高端設(shè)備。可擴(kuò)展性：當(dāng)業(yè)務(wù)量增長時(shí)，系統(tǒng)可通過增加服務(wù)器來滿足需求，且不影響 已有業(yè)務(wù)，不降低服務(wù)質(zhì)量。高可靠性：單臺服務(wù)器故障時(shí)，由負(fù)載均衡設(shè)備將后續(xù)業(yè)務(wù)轉(zhuǎn)向其他服務(wù) 器，不影響后續(xù)業(yè)務(wù)提供，保證業(yè)務(wù)不中斷。圖2負(fù)載均衡技術(shù)1.1.2網(wǎng)關(guān)負(fù)載均衡技術(shù)背景SSL VPN網(wǎng)關(guān)、IPsec網(wǎng)關(guān)、防火墻網(wǎng)關(guān)等網(wǎng)關(guān)設(shè)備，因?yàn)闃I(yè)務(wù)處理的復(fù)雜性，往 往成為網(wǎng)絡(luò)瓶頸。以防火墻網(wǎng)關(guān)為例：防火墻作為網(wǎng)絡(luò)部署

12、的“警衛(wèi)”，在網(wǎng)絡(luò)中DPtech不可或缺，但其往往不得不面臨這樣的尷尬：網(wǎng)絡(luò)防衛(wèi)越嚴(yán)格，需要越仔細(xì)盤查過 往的報(bào)文，從而導(dǎo)致轉(zhuǎn)發(fā)性能越低，成為網(wǎng)絡(luò)瓶頸。在這種情況，如果廢棄現(xiàn)有設(shè)備去做大量的硬件升級，必將造成資源浪費(fèi)，隨著業(yè) 務(wù)量的不斷提升，設(shè)備也將頻繁升級。頻繁升級的高成本是相當(dāng)可怕的。因此將網(wǎng) 關(guān)設(shè)備等同于服務(wù)器，組建網(wǎng)關(guān)集群的方案應(yīng)運(yùn)而生：將多個(gè)網(wǎng)關(guān)設(shè)備并聯(lián)到網(wǎng)絡(luò) 中，從而形成集群，提高網(wǎng)絡(luò)處理能力。1.1.3鏈路負(fù)載均衡技術(shù)背景信息時(shí)代，工作越來越離不開網(wǎng)絡(luò)，為了規(guī)避運(yùn)營商出口故障帶來的網(wǎng)絡(luò)可用性風(fēng) 險(xiǎn)，和解決網(wǎng)絡(luò)帶寬不足帶來的網(wǎng)絡(luò)訪問問題，企業(yè)往往會租用兩個(gè)或多個(gè)運(yùn)營商 出口（如：電

13、信、網(wǎng)通等）。如何合理運(yùn)用多個(gè)運(yùn)營商出口，既不造成資源浪費(fèi)， 又能很好的服務(wù)于企業(yè)？傳統(tǒng)的策略路由可以在一定程度上解決該問題，但是策略 路由配置不方便，而且不夠靈活，無法動(dòng)態(tài)適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)變化，且策略路由無法根 據(jù)帶寬進(jìn)行報(bào)文分發(fā)，造成高吞吐量的鏈路無法得到充分利用。鏈路負(fù)載均衡技術(shù) 通過動(dòng)態(tài)算法，能夠在多條鏈路中進(jìn)行負(fù)載均衡，算法配置簡單，且具有自適應(yīng)能 力，能很好的解決上述問題。1.2負(fù)載均衡技術(shù)優(yōu)點(diǎn)分析負(fù)載均衡提供了一種廉價(jià)、有效、透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加 吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力，提高網(wǎng)絡(luò)的靈活性和可用性。負(fù)載均衡技術(shù)具有如下優(yōu)點(diǎn)：高性能：通過調(diào)度算法，將客戶端請求

14、合理地均衡到后端各臺服務(wù)器上，消 除系統(tǒng)可能存在的瓶頸?？蓴U(kuò)展性：當(dāng)服務(wù)的負(fù)載增長時(shí)，系統(tǒng)能被擴(kuò)展來滿足需求，且不降低服務(wù) 質(zhì)量。高可用性：通過健康性檢測功能，能實(shí)時(shí)監(jiān)測應(yīng)用服務(wù)器的狀態(tài)，保證在部 分硬件和軟件發(fā)生故障的情況下，整個(gè)系統(tǒng)的服務(wù)仍然可用。透明性：高效地使由多個(gè)獨(dú)立計(jì)算機(jī)組成的松耦合的服務(wù)系統(tǒng)構(gòu)成一個(gè)虛服 務(wù)器；客戶端應(yīng)用程序與服務(wù)系統(tǒng)交互時(shí)，就像與一臺高性能、高可用的服 務(wù)器交互一樣，客戶端無須作任何修改。部分服務(wù)器的切入和切出不會中斷 服務(wù)，而用戶覺察不到這些變化。2負(fù)載均衡具體技術(shù)實(shí)現(xiàn)2.1負(fù)載均衡相關(guān)概念介紹虛服務(wù)負(fù)載均衡設(shè)備對外提供的服務(wù)稱為虛服務(wù)。虛服務(wù)由VPN實(shí)例、虛

15、服務(wù)IP地址、服 務(wù)協(xié)議、服務(wù)端口號唯一標(biāo)識，配置在負(fù)載均衡設(shè)備上。客戶的訪問請求通過公共 或私有網(wǎng)絡(luò)到達(dá)負(fù)載均衡設(shè)備，匹配到虛服務(wù)后，由負(fù)載均衡設(shè)備按照既定策略分 發(fā)給真實(shí)服務(wù)。實(shí)服務(wù)實(shí)服務(wù)是真實(shí)服務(wù)器提供的一種服務(wù)。該服務(wù)含義比較廣泛，可以是傳統(tǒng)的FTP、 HTTP等業(yè)務(wù)應(yīng)用，也可以是廣義的轉(zhuǎn)發(fā)服務(wù)，如防火墻網(wǎng)關(guān)負(fù)載均衡中，實(shí)服務(wù) 只是報(bào)文轉(zhuǎn)發(fā)路徑。持續(xù)性功能持續(xù)性功能將屬于同一個(gè)應(yīng)用層會話的多個(gè)連接定向到同一服務(wù)器，從而保證同一 業(yè)務(wù)由同一個(gè)服務(wù)器處理（或鏈路轉(zhuǎn)發(fā)），并減少負(fù)載均衡設(shè)備對服務(wù)和流量進(jìn)行 分發(fā)的次數(shù)。負(fù)載均衡調(diào)度算法負(fù)載均衡設(shè)備需要將業(yè)務(wù)流量根據(jù)某種算法分發(fā)給不同的實(shí)服務(wù)（

16、實(shí)服務(wù)對應(yīng)服務(wù) 器負(fù)載均衡中的服務(wù)器、網(wǎng)關(guān)負(fù)載均衡中的網(wǎng)關(guān)設(shè)備和鏈路負(fù)載均衡中的鏈路）， 這個(gè)分發(fā)算法就是負(fù)載均衡調(diào)度算法。就近性算法就近性算法是指在鏈路負(fù)載均衡中，實(shí)時(shí)探測鏈路的狀態(tài)，并根據(jù)探測結(jié)果選擇最 優(yōu)鏈路，保證流量通過最優(yōu)鏈路轉(zhuǎn)發(fā)。健康性檢測功能健康性功能是指負(fù)載均衡設(shè)備對真實(shí)的服務(wù)器是否能夠提供服務(wù)進(jìn)行探測。依據(jù)不 同的探測方法（即健康性檢測方法）可以探測出服務(wù)器是否存在，以及是否可以正 常提供服務(wù)。2.2服務(wù)器負(fù)載均衡基本概念和技術(shù)服務(wù)器負(fù)載均衡，顧名思義就是對一組服務(wù)器提供負(fù)載均衡業(yè)務(wù)。這一組服務(wù)器一 般來說都處于同一個(gè)局域網(wǎng)絡(luò)內(nèi)，并同時(shí)對外提供一組（或多組）相同（或相似） 的

17、服務(wù)。服務(wù)器負(fù)載均衡是數(shù)據(jù)中心最常見的組網(wǎng)模型。服務(wù)器負(fù)載均衡包括以下幾個(gè)基本元素：負(fù)載均衡設(shè)備：負(fù)責(zé)分發(fā)各種服務(wù)請求到多個(gè)Server的設(shè)備。Server:負(fù)責(zé)響應(yīng)和處理各種服務(wù)請求的服務(wù)器。VS IP：對外提供的虛擬IP，供用戶請求服務(wù)時(shí)使用。Server IP：服務(wù)器的IP地址，供負(fù)載均衡設(shè)備分發(fā)服務(wù)請求時(shí)使用。依據(jù)轉(zhuǎn)發(fā)方式，服務(wù)器負(fù)載均衡分為NAT方式和DR方式。兩種方式的處理思路相 同：負(fù)載均衡設(shè)備提供VS IP，用戶訪問VS IP請求服務(wù)后，負(fù)載均衡設(shè)備根據(jù)調(diào)度 算法分發(fā)請求到各個(gè)實(shí)服務(wù)。而在具體的處理方式上有所區(qū)別：NAT方式：負(fù)載均衡設(shè)備分發(fā)服務(wù)請求時(shí)，進(jìn)行目的IP地址轉(zhuǎn)換（目

18、的IP 地址為實(shí)服務(wù)的IP），通過路由將報(bào)文轉(zhuǎn)發(fā)給各個(gè)實(shí)服務(wù)。DR方式：負(fù)載均衡設(shè)備分發(fā)服務(wù)請求時(shí)，不改變目的IP地址，而將報(bào)文的 目的MAC替換為實(shí)服務(wù)的MAC后直接把報(bào)文轉(zhuǎn)發(fā)給實(shí)服務(wù)。以下將分別對兩種方式進(jìn)行詳細(xì)介紹。2.2.1 NAT方式的服務(wù)器負(fù)載均衡NAT方式組網(wǎng)靈活，后端服務(wù)器可以位于不同的物理位置，不同的局域網(wǎng)內(nèi)。NAT 方式典型組網(wǎng)如圖3所示。圖3 NAT方式的服務(wù)器負(fù)載均衡圖3 NAT方式的服務(wù)器負(fù)載均衡Server AIP AServer B IPBServer C IPC實(shí)現(xiàn)原理客戶端將到VS IP的請求發(fā)送給服務(wù)器群前端的負(fù)載均衡設(shè)備，負(fù)載均衡設(shè)備上的 虛服務(wù)接收客戶端

19、請求，依次根據(jù)持續(xù)性功能、調(diào)度算法，選擇真實(shí)服務(wù)器，再通 過網(wǎng)絡(luò)地址轉(zhuǎn)換，用真實(shí)服務(wù)器地址重寫請求報(bào)文的目標(biāo)地址后，將請求發(fā)送給選 定的真實(shí)服務(wù)器；真實(shí)服務(wù)器的響應(yīng)報(bào)文通過負(fù)載均衡設(shè)備時(shí)，報(bào)文的源地址被還 原為虛服務(wù)的VS IP，再返回給客戶，完成整個(gè)負(fù)載調(diào)度過程。工作流程N(yùn)AT方式的服務(wù)器負(fù)載均衡的工作流程圖如圖4所示。NoteDsts DestihnlPStrc&lP圖4 NAT方式的服務(wù)器負(fù)載均衡流程圖流程簡述如下：客戶端發(fā)送服務(wù)請求報(bào)文(源IP為客戶端舊、目的IP為VS IP)負(fù)載均衡設(shè)備ADX接收到請求報(bào)文后，借助持續(xù)性功能或調(diào)度算法計(jì)算出應(yīng)該 將請求分發(fā)給哪臺Server負(fù)載均衡設(shè)

20、備ADX使用DNAT技術(shù)分發(fā)報(bào)文(源IP為客戶端IP、目的IP為Server IP)Server接收并處理請求報(bào)文，返回響應(yīng)報(bào)文(源IP為Server舊、目的IP為客戶端IP)負(fù)載均衡設(shè)備ADX接收響應(yīng)報(bào)文，轉(zhuǎn)換源IP后轉(zhuǎn)發(fā)(源IP為VS舊、目的IP為客戶端ip)從以上一系列的說明可以看出一一在負(fù)載均衡時(shí)使用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，NAT方式 因此而得名。技術(shù)特點(diǎn)組網(wǎng)靈活，對服務(wù)器沒有額外要求，不需要修改服務(wù)器配置，適用于各種組網(wǎng)。2.2.2 DR方式的服務(wù)器負(fù)載均衡相對于NAT組網(wǎng)方式，DR組網(wǎng)方式中只有客戶端的請求報(bào)文通過負(fù)載均衡設(shè)備， 服務(wù)器的響應(yīng)報(bào)文不經(jīng)過負(fù)載均衡設(shè)備，從而減少了負(fù)載均衡設(shè)備

21、的負(fù)載，有效的 避免了負(fù)載均衡設(shè)備成為網(wǎng)絡(luò)瓶頸。DR方式典型組網(wǎng)如圖5所示。ServerA VSIP/IPAServer BVSIP/IP BServer CVSIPJIPC圖ServerA VSIP/IPAServer BVSIP/IP BServer CVSIPJIPC圖5 DR方式的服務(wù)器負(fù)載均衡實(shí)現(xiàn)原理DR方式的服務(wù)器負(fù)載均衡時(shí)，除了負(fù)載均衡設(shè)備設(shè)備上配置7VS IP，真實(shí)服務(wù)器 也都配置了VS IP，配置的VS IP要求不能響應(yīng)ARP請求，例如在環(huán)回接口上配置 VS IP。實(shí)服務(wù)除7VS IP，還需要配置一個(gè)真實(shí)IP，用于和ADX通信，負(fù)載均衡設(shè) 備ADX和真實(shí)服務(wù)器在同一個(gè)鏈路域內(nèi)

22、。發(fā)送給VS IP的報(bào)文，由ADX分發(fā)給相應(yīng) 的真實(shí)服務(wù)器，從真實(shí)服務(wù)器返回給客戶端的報(bào)文直接通過交換機(jī)返回。工作流程DR方式的服務(wù)器負(fù)載均衡的工作流程圖如圖6所示。HostGeneral Device50 Response20 F o fjfuard rq ijesf圖6 DR方式的服務(wù)器負(fù)載均衡流程圖流程簡述如下：(1)客戶端發(fā)送服務(wù)請求報(bào)文(源IP為客戶端舊、目的IP為VS IP)General Device收到請求后轉(zhuǎn)發(fā)給負(fù)載均衡設(shè)備ADX(Server上的VS IP不會響 應(yīng)ARP請求)負(fù)載均衡設(shè)備ADX接收到請求報(bào)文后，借助持續(xù)性功能或調(diào)度算法計(jì)算出應(yīng)該 將請求分發(fā)給哪臺Serve

23、r負(fù)載均衡設(shè)備ADX分發(fā)報(bào)文(源IP為客戶端舊，目的IP為VS IP，目的MAC為 Server 的 MAC 地址)Server接收并處理請求報(bào)文，返回響應(yīng)報(bào)文(源IP為VS舊、目的IP為客戶端 IP)General Devic e收到響應(yīng)報(bào)文后，直接將報(bào)文轉(zhuǎn)發(fā)給客戶端從以上一系列的說明可以看出一一負(fù)載均衡設(shè)備沒有采用傳統(tǒng)的轉(zhuǎn)發(fā)方式(查找路 由表)來分發(fā)請求報(bào)文，而是通過修改目的MAC直接路由給服務(wù)器，DR方式也因 此而得名。技術(shù)特點(diǎn)只有單邊報(bào)文經(jīng)過負(fù)載均衡設(shè)備，負(fù)載均衡設(shè)備負(fù)擔(dān)小，不易成為瓶頸，轉(zhuǎn)發(fā)性能 更強(qiáng)。2.3網(wǎng)關(guān)負(fù)載均衡基本概念和技術(shù)網(wǎng)關(guān)負(fù)載均衡包括以下幾個(gè)基本元素：負(fù)載均衡設(shè)備AD

24、X:負(fù)責(zé)分發(fā)請求發(fā)起方的網(wǎng)絡(luò)流量到多個(gè)網(wǎng)關(guān)設(shè)備。負(fù)載 均衡設(shè)備ADX又分為一級和二級。如圖7所示，如果請求發(fā)起方的網(wǎng)絡(luò)流量 方向?yàn)榭蛻舳薃 客戶端B，則負(fù)載均衡設(shè)備ADX A為一級，負(fù)載均衡設(shè)備 ADX B為二級；如果請求發(fā)起方的網(wǎng)絡(luò)流量方向?yàn)榭蛻舳薆 客戶端A，則 負(fù)載均衡設(shè)備ADX B為一級，負(fù)載均衡設(shè)備ADX A為二級。網(wǎng)關(guān)設(shè)備：正常處理數(shù)據(jù)的網(wǎng)關(guān)設(shè)備，如：SSL VPN網(wǎng)關(guān)，IPsec網(wǎng)關(guān)，防 火墻網(wǎng)關(guān)等。以防火墻網(wǎng)關(guān)負(fù)載均衡為例，組網(wǎng)應(yīng)用如圖7所示。Firewall AFirewall B圖7雙側(cè)防火墻網(wǎng)關(guān)（三明治）負(fù)載均衡1.實(shí)現(xiàn)原理防火墻是基于會話開展業(yè)務(wù)的，即一個(gè)會話的請求和應(yīng)

25、答報(bào)文必須通過同一個(gè)防火 墻。為了保證防火墻業(yè)務(wù)正常進(jìn)行，內(nèi)部組網(wǎng)不受影響，需要采用雙側(cè)負(fù)載均衡， 即防火墻三明治。在這種組網(wǎng)環(huán)境中，對于流入流量，一級負(fù)載均衡設(shè)備做防火墻 負(fù)載均衡，二級負(fù)載均衡設(shè)備保證從哪個(gè)防火墻進(jìn)來的流量，還要從這個(gè)防火墻返 回。流出流量正好相反。2.工作流程ADX AFirewallADXB$Eh#Wb& Ftjrgr審史)Forywr。麟(4) RecordsFonftarCitoDerSiicatiop場 Truffle from Eestinaum(fJFOrvwird,f勇 FcufAerdto Sowce圖8防火墻負(fù)載均衡流程圖負(fù)載均衡設(shè)備ADX A接收流量負(fù)

26、載均衡設(shè)備ADX A依次根據(jù)持續(xù)性功能、負(fù)載均衡 調(diào)度算法選擇一個(gè) Firewall，并將流量轉(zhuǎn)發(fā)給該Firewall (由于防火墻基于會話開展業(yè)務(wù)，建議優(yōu)先選 用源地址散列算法)Firewall將流量轉(zhuǎn)發(fā)給負(fù)載均衡設(shè)備ADX B負(fù)載均衡設(shè)備ADX B作為二級負(fù)載均衡設(shè)備ADX，記錄轉(zhuǎn)發(fā)該流量的防火墻， 并將流量轉(zhuǎn)發(fā)到目的地負(fù)載均衡設(shè)備ADX B接收目的地發(fā)回的流量負(fù)載均衡設(shè)備ADX B根據(jù)(4)中的記錄將流量轉(zhuǎn)發(fā)給同一個(gè)FirewallFirewall將流量轉(zhuǎn)發(fā)給負(fù)載均衡設(shè)備ADX A負(fù)載均衡設(shè)備ADX A將流量轉(zhuǎn)發(fā)回源地址從以上一系列的說明可以看出一一兩臺負(fù)載均衡設(shè)備ADX之間并聯(lián)的防火墻

27、進(jìn)行網(wǎng) 絡(luò)流量的負(fù)載分擔(dān)，提高了網(wǎng)絡(luò)的性能。兩側(cè)的負(fù)載均衡設(shè)備ADX和中間并聯(lián)的防 火墻一一我們稱之為三明治負(fù)載均衡。3.技術(shù)特點(diǎn)服務(wù)對象為防火墻，提高防火墻組網(wǎng)靈活性。沒有特殊要求，適用于任何組網(wǎng)環(huán) 境。2.4服務(wù)器負(fù)載均衡和網(wǎng)關(guān)負(fù)載均衡融合網(wǎng)關(guān)負(fù)載均衡也可以和服務(wù)器負(fù)載均衡融合使用，以防火墻網(wǎng)關(guān)和服務(wù)器負(fù)載均衡 綜合組網(wǎng)為例，具體組網(wǎng)如圖9所示。圖9防火墻網(wǎng)關(guān)、服務(wù)器負(fù)載均衡綜合組網(wǎng)圖圖中Cluster A為防火墻負(fù)載均衡的集群，Cluster B為NAT方式服務(wù)器負(fù)載均衡的 集群。綜合組網(wǎng)的工作流程就是防火墻、服務(wù)器負(fù)載均衡流程的疊加。這樣的組網(wǎng) 方式既避免了防火墻成為網(wǎng)絡(luò)中的瓶頸，也提

28、高了各種網(wǎng)絡(luò)服務(wù)（如 HTTP、 FTP）的性能和可用性。2.5鏈路負(fù)載均衡基本概念和技術(shù)鏈路負(fù)載均衡根據(jù)業(yè)務(wù)流量方向可以分為Outbound鏈路負(fù)載均衡和Inbound鏈路負(fù) 載均衡兩種情況。2.5.1 Outbound鏈路負(fù)載均衡內(nèi)網(wǎng)和外網(wǎng)之間存在多條鏈路時(shí)，通過Outbound鏈路負(fù)載均衡可以實(shí)現(xiàn)在多條鏈 路上分擔(dān)內(nèi)網(wǎng)用戶訪問外網(wǎng)服務(wù)器的流量。Outbound鏈路負(fù)載均衡的典型組網(wǎng)如 錯(cuò)誤!未找到引用源。所示。圖10 Outbound鏈路負(fù)載均衡組網(wǎng)圖Outbound鏈路負(fù)載均衡包括以下幾個(gè)基本元素：負(fù)載均衡設(shè)備ADX：負(fù)責(zé)將內(nèi)網(wǎng)到外網(wǎng)流量分發(fā)到多條物理鏈路的設(shè)備。物理鏈路：運(yùn)營商提供的

29、實(shí)際鏈路。VS IP：對外提供的虛服務(wù)IP，即用戶發(fā)送報(bào)文的目的網(wǎng)段。實(shí)現(xiàn)原理Outbound鏈路負(fù)載均衡中VS IP為內(nèi)網(wǎng)用戶發(fā)送報(bào)文的目的網(wǎng)段。用戶將訪問VS IP的報(bào)文發(fā)送到負(fù)載均衡設(shè)備后，負(fù)載均衡設(shè)備依次根據(jù)持續(xù)性功能、ACL策略、 就近性算法、調(diào)度算法選擇最佳的物理鏈路，并將內(nèi)網(wǎng)訪問外網(wǎng)的業(yè)務(wù)流量分發(fā)到 該鏈路。工作流程SourceADXDestination(1) T泰。in source*(2)Scheduler!(3) Distribute .,4) Tr日ffic 計(jì)de destination(5)Forvard圖11 Outbound鏈路負(fù)載均衡流程圖負(fù)載均衡設(shè)備ADX接

30、收內(nèi)網(wǎng)用戶流量負(fù)載均衡設(shè)備ADX依次根據(jù)持續(xù)性功能、ACL策略、就近性算法、調(diào)度算法進(jìn) 行鏈路選擇(在O utbound鏈路負(fù)載均衡組網(wǎng)中，通常使用就近性算法或帶寬調(diào)度算 法實(shí)現(xiàn)流量分發(fā))負(fù)載均衡設(shè)備ADX按照鏈路選擇的結(jié)果將流量轉(zhuǎn)發(fā)給選定的鏈路負(fù)載均衡設(shè)備ADX接收外網(wǎng)用戶流量負(fù)載均衡設(shè)備ADX將流量轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶 3.技術(shù)特點(diǎn)可以和NAT應(yīng)用網(wǎng)關(guān)共同組網(wǎng)，不同的鏈路使用不同的源地址，從而保證往 返報(bào)文穿過同一條鏈路。通過健康性檢測，可以檢查鏈路內(nèi)任意節(jié)點(diǎn)的連通性，從而有效保證整條路 徑的可達(dá)性。通過調(diào)度算法，在多條鏈路間均衡流量，并支持按照帶寬進(jìn)行負(fù)載均衡。利用就近性算法動(dòng)態(tài)計(jì)算鏈路的質(zhì)量

31、，將流量分發(fā)到當(dāng)前最優(yōu)鏈路上。2.5.2 Inbound鏈路負(fù)載均衡內(nèi)網(wǎng)和外網(wǎng)之間存在多條鏈路時(shí)，通過Inbound鏈路負(fù)載均衡可以實(shí)現(xiàn)在多條鏈路 上分擔(dān)外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器的流量。Inbound鏈路負(fù)載均衡的典型組網(wǎng)如錯(cuò)誤! 未找到引用源。所示。Server B圖12 Inbound鏈路負(fù)載均衡組網(wǎng)圖Inbound鏈路負(fù)載均衡包括以下幾個(gè)基本元素：負(fù)載均衡設(shè)備ADX:負(fù)責(zé)引導(dǎo)外網(wǎng)流量通過不同物理鏈路轉(zhuǎn)發(fā)到內(nèi)網(wǎng)，從而實(shí)現(xiàn)流量在多條物理鏈路上分擔(dān)的設(shè)備。同時(shí)，負(fù)載均衡設(shè)備ADX還需要作 為待解析域名的權(quán)威名稱服務(wù)器。DP techDP tech物理鏈路：運(yùn)營商提供的實(shí)際鏈路。 本地DNS服務(wù)器

32、：負(fù)責(zé)解析外網(wǎng)用戶發(fā)送的DNS請求、并將該請求轉(zhuǎn)發(fā)給 權(quán)威名稱服務(wù)器一一負(fù)載均衡設(shè)備ADX的本地DNS服務(wù)器。實(shí)現(xiàn)原理Inbound鏈路負(fù)載均衡中，負(fù)載均衡設(shè)備作為權(quán)威名稱服務(wù)器記錄域名與內(nèi)網(wǎng)服務(wù) 器IP地址的映射關(guān)系。一個(gè)域名可以映射為多個(gè)IP地址，其中每個(gè)IP地址對應(yīng) 一條物理鏈路。外網(wǎng)用戶通過域名方式訪問內(nèi)網(wǎng)服務(wù)器時(shí)，本地DNS服務(wù)器將域名解析請求轉(zhuǎn)發(fā) 給權(quán)威名稱服務(wù)器一一負(fù)載均衡設(shè)備，負(fù)載均衡設(shè)備依次根據(jù)持續(xù)性功能、ACL 策略、就近性算法選擇最佳的物理鏈路，并將通過該鏈路與外網(wǎng)連接的接口 IP地 址作為DNS域名解析結(jié)果反饋給外網(wǎng)用戶，外網(wǎng)用戶通過該鏈路訪問內(nèi)網(wǎng)服務(wù) 器。LQsail

33、 DNS ServerADX工作流程LQsail DNS ServerADX(5) DNSresponse圖13 Inbound鏈路負(fù)載均衡流程圖外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)服務(wù)器時(shí)，首先要進(jìn)行DNS解析，向其本地DNS服 務(wù)器發(fā)送DNS請求本地DNS服務(wù)器將DNS請求轉(zhuǎn)發(fā)給域名對應(yīng)的權(quán)威名稱服務(wù)器一一負(fù)載均衡設(shè) 備ADX負(fù)載均衡設(shè)備ADX根據(jù)DNS請求的域名、持續(xù)性功能、ACL策略、就近性算法 選擇最優(yōu)的物理鏈路，并將通過該物理鏈路與外網(wǎng)連接的接口 IP地址作為域名解析 結(jié)果(在Inbound鏈路負(fù)載均衡組網(wǎng)中，通常使用就近性算法實(shí)現(xiàn)外網(wǎng)到內(nèi)網(wǎng)流量在 多條鏈路間均衡)負(fù)載均衡設(shè)備ADX按照域名解

34、析的結(jié)果，將DNS應(yīng)答發(fā)送給本地DNS服務(wù)器本地DNS服務(wù)器將解析結(jié)果轉(zhuǎn)發(fā)給用戶用戶使用解析結(jié)果選擇的鏈路，對內(nèi)網(wǎng)服務(wù)器進(jìn)行訪問3.技術(shù)特點(diǎn)可以和服務(wù)器負(fù)載均衡配合適用，實(shí)現(xiàn)外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器流量在多條 鏈路間均衡的同時(shí)，也實(shí)現(xiàn)了流量在多臺服務(wù)器間均衡。通過健康性檢測，可以檢查鏈路內(nèi)任意節(jié)點(diǎn)的連通性，從而有效保證整條路 徑的可達(dá)性。利用就近性算法動(dòng)態(tài)計(jì)算鏈路的質(zhì)量，保證轉(zhuǎn)發(fā)流量的鏈路是當(dāng)前最優(yōu)的鏈 路。2.6負(fù)載均衡設(shè)備的雙機(jī)熱備無論是服務(wù)器負(fù)載均衡、網(wǎng)關(guān)負(fù)載均衡，還是鏈路負(fù)載均衡，負(fù)載均衡設(shè)備均處于 關(guān)鍵路徑，負(fù)載均衡設(shè)備的穩(wěn)定性和安全性直接影響了網(wǎng)絡(luò)的可用性。為了避免單 點(diǎn)故障，負(fù)載均

35、衡設(shè)備必須支持雙機(jī)熱備，即在兩臺負(fù)載均衡設(shè)備之間通過備份鏈 路備份對端設(shè)備上的業(yè)務(wù)，保證兩臺設(shè)備上的業(yè)務(wù)狀態(tài)是一致的。當(dāng)其中一臺設(shè)備 發(fā)生故障時(shí)，利用VRRP或動(dòng)態(tài)路由(例如OSPF)機(jī)制將業(yè)務(wù)流量切換到另一臺 設(shè)備，由于另一臺設(shè)備已經(jīng)備份了故障設(shè)備上的業(yè)務(wù)信息，業(yè)務(wù)數(shù)據(jù)流便可以從該 設(shè)備上通過，從而在很大程度上避免了網(wǎng)絡(luò)業(yè)務(wù)的中斷。負(fù)載均衡設(shè)備雙機(jī)熱備方案支持兩種工作模式：主備模式：兩臺負(fù)載均衡設(shè)備中一臺作為主設(shè)備，另一臺作為備份設(shè)備。主 設(shè)備處理所有業(yè)務(wù)，并將產(chǎn)生的業(yè)務(wù)信息通過備份鏈路傳送到備份設(shè)備；備 份設(shè)備不處理業(yè)務(wù)，只用做備份。當(dāng)主設(shè)備故障，備份設(shè)備接替主設(shè)備處理 業(yè)務(wù)，從而保證新發(fā)

36、起的負(fù)載均衡業(yè)務(wù)能正常處理，當(dāng)前正在進(jìn)行的負(fù)載均 衡業(yè)務(wù)也不會中斷。負(fù)載分擔(dān)模式：兩臺負(fù)載均衡設(shè)備均為主設(shè)備，都處理業(yè)務(wù)流量，同時(shí)又作 為另一臺設(shè)備的備份設(shè)備，備份對端的業(yè)務(wù)信息。當(dāng)其中一臺設(shè)備故障后， 另一臺設(shè)備負(fù)責(zé)處理全部業(yè)務(wù)，從而保證新發(fā)起的負(fù)載均衡業(yè)務(wù)能正常處 理，當(dāng)前正在進(jìn)行的負(fù)載均衡業(yè)務(wù)也不會中斷。以網(wǎng)關(guān)負(fù)載均衡為例，負(fù)載均衡雙機(jī)熱備的組網(wǎng)如圖14所示。圖14網(wǎng)關(guān)負(fù)載均衡雙機(jī)熱備組網(wǎng)圖2.7負(fù)載均衡設(shè)備的的部署方式負(fù)載均衡設(shè)備通常以直聯(lián)和單臂兩種方式部署在網(wǎng)絡(luò)中。2.7.1對稱方式如圖15所示，對稱方式，即負(fù)載均衡設(shè)備直接部署在網(wǎng)絡(luò)的主干中，服務(wù)器和客戶 端之間的負(fù)載均衡報(bào)文直接由

37、負(fù)載均衡設(shè)備進(jìn)行路由。Server AServerBServer C圖Server AServerBServer C圖15直聯(lián)方式示意圖2.7.2單臂模式如圖16所示，單臂模式指負(fù)載均衡設(shè)備不作為服務(wù)器和客戶端之間的路由設(shè)備，而 是單臂在路由設(shè)備上。在DR方式中，負(fù)載均衡設(shè)備只能使用單臂模式。Server AServer BServer C圖Server AServer BServer C圖16單臂模式示意圖單臂模式中，用于中轉(zhuǎn)的路由交換設(shè)備上的配置至關(guān)重要。從客戶端至服務(wù)器的流量如果要達(dá)到負(fù)載均衡設(shè)備，必須在路由交換設(shè)備上設(shè)置到 VS IP的路由。從服務(wù)器到客戶端的流量如果不必經(jīng)過負(fù)載均衡設(shè)

38、備，則可以通過中轉(zhuǎn)設(shè)備直接返 回客戶端，如果需要返回負(fù)載均衡設(shè)備，則有幾種方式：服務(wù)器和負(fù)載均衡設(shè)備在同一個(gè)二層網(wǎng)絡(luò)，服務(wù)器設(shè)置其網(wǎng)關(guān)為負(fù)載均衡設(shè) 備。中轉(zhuǎn)設(shè)備上配置策略路由，將從服務(wù)器返回的流量定向到負(fù)載均衡設(shè)備。負(fù)載均衡設(shè)備在轉(zhuǎn)發(fā)客戶端流量時(shí)進(jìn)行源NAT。tech3迪普科技負(fù)載均衡技術(shù)特色3.1多種負(fù)載均衡調(diào)度算法調(diào)度算法指對需要負(fù)載均衡的流量，按照一定的策略分發(fā)到指定的服務(wù)器群中的服 務(wù)器或指定鏈路組的某條鏈路上，使得各臺服務(wù)器或鏈路盡可能地保持負(fù)載均衡。 調(diào)度算法以連接為粒度，同一條連接的所有報(bào)文都會分發(fā)到同一個(gè)服務(wù)器或鏈路 上。這種細(xì)粒度的調(diào)度在一定程度上可以避免單個(gè)用戶訪問的突發(fā)性

39、引起服務(wù)器或 鏈路間的負(fù)載不平衡。負(fù)載均衡技術(shù)持豐富的負(fù)載均衡調(diào)度算法。不同調(diào)度算法所實(shí)現(xiàn)的負(fù)載均衡效果不 同，可以需要根據(jù)具體的應(yīng)用場景，采用不同的算法。3.1.1靜態(tài)調(diào)度算法靜態(tài)算法，即按照預(yù)先設(shè)定策略，進(jìn)行分發(fā)，不考慮當(dāng)前各實(shí)服務(wù)或鏈路的實(shí)際負(fù) 載情況。算法特點(diǎn)：實(shí)現(xiàn)簡單，調(diào)度快捷。. 輪轉(zhuǎn)(Round Robin Scheduling)依次將請求分發(fā)到不同的服務(wù)器或鏈路上，使得各個(gè)真實(shí)服務(wù)器或鏈路平均分擔(dān)用 戶的連接請求。如：實(shí)服務(wù)群中包含三個(gè)實(shí)服務(wù)A、B、C，假設(shè)各實(shí)服務(wù)均未達(dá)到連接上限，最后 分發(fā)給A、B、C的連接數(shù)之比為1： 1： 1。適用場景：服務(wù)器集群中各服務(wù)器性能或鏈路群中

40、各鏈路帶寬相當(dāng)，無優(yōu)劣之分。.加權(quán)輪轉(zhuǎn)(Weighted Round Robin Scheduling)按照權(quán)值大小，依次將請求分發(fā)到不同的服務(wù)器或鏈路上，權(quán)值大的分配較多請 求，權(quán)值小的分配較少請求。該算法可以解決服務(wù)器間性能或鏈路間帶寬不一的問 題，權(quán)值標(biāo)識服務(wù)器間性能或鏈路間帶寬差異。如：實(shí)服務(wù)組中包含三個(gè)實(shí)服務(wù)A、B、C，其配置權(quán)值分別為：4、3、2。假設(shè)各 實(shí)服務(wù)均未達(dá)到連接上限，最后分發(fā)給A、B、C的連接數(shù)之比為4： 3： 2。適用場景：服務(wù)器集群中各服務(wù)器性能或鏈路集群中各鏈路帶寬存在差異。. 隨機(jī)(Random Scheduling)將請求隨機(jī)分發(fā)到不同的服務(wù)器或鏈路上。從統(tǒng)計(jì)

41、學(xué)角度看，調(diào)度結(jié)果為各個(gè)服務(wù) 器或鏈路平均分擔(dān)用戶的連接請求。適用場景：服務(wù)器集群中各服務(wù)器性能或鏈路群中各鏈路帶寬相當(dāng)，無優(yōu)劣之分。.加權(quán)隨機(jī)(Weighted Random Scheduling)將請求隨機(jī)分發(fā)到不同的服務(wù)器或鏈路上。從統(tǒng)計(jì)學(xué)角度看，調(diào)度結(jié)果為各個(gè)服務(wù) 器或鏈路按照權(quán)值比重分擔(dān)用戶的連接請求，最后的比值和加權(quán)輪轉(zhuǎn)一致。適用場景：服務(wù)器集群中各服務(wù)器性能或鏈路群中各鏈路帶寬存在差異。. 基于源 IP 的 Hash(Source IP Hashing Scheduling)通過一個(gè)散列(Hash)函數(shù)將來自同一個(gè)源IP的請求映射到一臺服務(wù)器或鏈路 上。適用場景：需要保證來自同一

42、個(gè)用戶的請求分發(fā)到同一個(gè)服務(wù)器或鏈路。. 基于源 IP 端口的 Hash(Source IP and Source Port Hashing Scheduling)通過一個(gè)散列函數(shù)將來自同一個(gè)源IP和源端口號的請求映射到一臺服務(wù)器或鏈路 上。適用場景：需要保證來自同一個(gè)用戶同一個(gè)業(yè)務(wù)的請求分發(fā)到同一臺服務(wù)器或鏈 路。. 基于目的 IP 的 Hash(Destination IP Hashing Scheduling)通過一個(gè)散列函數(shù)將去往同一個(gè)目的舊的請求映射到一臺服務(wù)器或鏈路上。適用場景：需要保證到達(dá)同一個(gè)目的地的請求分發(fā)到同一臺服務(wù)器或鏈路。適用于 網(wǎng)關(guān)負(fù)載均衡和鏈路負(fù)載均衡。3.1.2動(dòng)

43、態(tài)調(diào)度算法相對于靜態(tài)算法，動(dòng)態(tài)算法根據(jù)各實(shí)服務(wù)或物理鏈路實(shí)際運(yùn)行中的負(fù)載情況進(jìn)行連 接分發(fā)，分發(fā)效果更均衡。.最小連接(L east Connection Scheduling)負(fù)載均衡設(shè)備根據(jù)當(dāng)前各服務(wù)器或鏈路的連接數(shù)來估計(jì)服務(wù)器或鏈路的負(fù)載情況， 把新的連接分配給連接數(shù)最小的服務(wù)器或鏈路。該算法能把負(fù)載差異較大(連接保 持時(shí)長差異較大)的請求平滑分發(fā)到各個(gè)服務(wù)器或鏈路上。適用場景：服務(wù)器集群中各服務(wù)器性能或鏈路群中各鏈路帶寬相當(dāng)，無優(yōu)劣之分， 不同用戶發(fā)起的連接保存時(shí)長差異較大。.加權(quán)最小連接(Weighted Connection Scheduling)調(diào)度新連接時(shí)盡可能使服務(wù)器或鏈路的

44、已建立活動(dòng)連接數(shù)和服務(wù)器或鏈路權(quán)值成比 例，權(quán)值表明了服務(wù)器處理性能或鏈路實(shí)際帶寬。適用場景：服務(wù)器集群中各服務(wù)器性能或鏈路群中各鏈路帶寬存在差異，不同用戶 發(fā)起的連接保存時(shí)長差異較大。. 帶寬（Bandwidth Scheduling）負(fù)載均衡設(shè)備根據(jù)不同鏈路的實(shí)際剩余帶寬及權(quán)值，將新連接分發(fā)到剩余帶寬最大 的鏈路上。適用場景：鏈路群中各鏈路狀況（包括帶寬、擁塞程度等）存在差異。3.2靈活的就近性算法就近性算法是指在鏈路負(fù)載均衡中，負(fù)載均衡設(shè)備利用健康性檢測功能實(shí)時(shí)探測鏈 路的狀態(tài)，根據(jù)探測結(jié)果計(jì)算出最優(yōu)鏈路，并通過最優(yōu)鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量。就近性算法支持的健康性檢測類型包括：DNS：通過DNS

45、報(bào)文，檢測遠(yuǎn)端DNS服務(wù)的可用性并獲得就近性計(jì)算參 數(shù)。只有Inbound鏈路負(fù)載均衡支持該檢測類型。ICMP：通過ICMP報(bào)文，檢測遠(yuǎn)端地址的可達(dá)性并獲得就近性計(jì)算參數(shù)。TCP Half Open：通過建立TCP半開連接，檢測遠(yuǎn)端地址的可達(dá)性并獲得就 近性計(jì)算參數(shù)。就近性算法根據(jù)以下幾個(gè)參數(shù)進(jìn)行加權(quán)計(jì)算，得出鏈路加權(quán)數(shù)，并根據(jù)鏈路加權(quán)數(shù) 的大小判斷鏈路的優(yōu)劣：鏈路常寬決于每條鏈;用成本值。比如租用聯(lián)通10M鏈路每月1萬元， 租用電信10M鏈路每月1.5萬元，則兩條鏈路的成本比例為2： 3,兩條鏈路 成本的取值應(yīng)該滿足該比例。鏈路延遲時(shí)間（即RTT）:通過探測獲得。路由跳數(shù)（即TTL）:通過探

46、測獲得。3.3多種健康性檢測方法所謂健康檢測，就是負(fù)載均衡設(shè)備定期對真實(shí)服務(wù)器或鏈路服務(wù)狀態(tài)進(jìn)行探測，收 集相應(yīng)信息，及時(shí)隔離工作異常的服務(wù)器或鏈路。健康檢測的結(jié)果除標(biāo)識服務(wù)器或 鏈路能否工作外，還可以統(tǒng)計(jì)出服務(wù)器或鏈路的響應(yīng)時(shí)間，作為選擇服務(wù)器或鏈路 的依據(jù)。負(fù)載均衡技術(shù)支持豐富的健康性檢測方法，可以有效地探測和檢查服務(wù)器或鏈路的 運(yùn)行狀態(tài)。. ICMP向服務(wù)器集群中的服務(wù)器或鏈路上的節(jié)點(diǎn)發(fā)送ICMP Echo報(bào)文，若收到ICMPReply，則服務(wù)器或鏈路正常。TCP向服務(wù)器集群中服務(wù)器的某端口發(fā)起TCP連接建立請求，若成功建立TCP連接， 則服務(wù)器正常。HTTP與服務(wù)器集群中服務(wù)器的HTT

47、P端口（默認(rèn)情況為80）建立TCP連接，然后發(fā)出 HTTP請求，若收到的HTTP應(yīng)答內(nèi)容正確，則服務(wù)器正常。ftp與服務(wù)器集群中服務(wù)器的21號端口建立TCP連接，然后獲取服務(wù)器上的文件，若 收到的文件內(nèi)容正確，則服務(wù)器正常。TCP Half Open向鏈路上節(jié)點(diǎn)的某端口發(fā)起TCP連接建立請求，若成功建立TCP半開連接，則鏈路 正常。DNS向鏈路上的DNS服務(wù)器發(fā)送DNS請求，若收到正確的DNS應(yīng)答，則鏈路正常。3.4多種會話持續(xù)性功能一次業(yè)務(wù)交互可能包括多個(gè)TCP連接，如FTP應(yīng)用（包含一個(gè)控制通道和多個(gè)數(shù)據(jù) 通道）和HTTP應(yīng)用。這些TCP連接間有些存在顯式關(guān)聯(lián)關(guān)系，如FTP應(yīng)用，數(shù)據(jù) 通道

48、的TCP連接是通過控制通道協(xié)商得來的。有些存在隱含的關(guān)聯(lián)關(guān)系，如HTTP 網(wǎng)絡(luò)購物，多條連接組成一次業(yè)務(wù)應(yīng)用，且多個(gè)連接并不像FTP應(yīng)用一樣有“父 子”之分，能通過父通道獲取子通道信息，但所有該業(yè)務(wù)的請求應(yīng)發(fā)給同一服務(wù)器, 否則可能造成無法完成所請求的功能，因?yàn)槠鋽?shù)據(jù)報(bào)文中攜帶隱含關(guān)聯(lián)信息，如 cookie。將屬于同一個(gè)應(yīng)用層會話的多個(gè)連接定向到同一服務(wù)器的功能，就是持續(xù)性功能。DPtech根據(jù)持續(xù)性原則，建立會話表項(xiàng)，保證后續(xù)業(yè)務(wù)報(bào)文都送往同一個(gè)服務(wù)器處理。比 如使用源地址建立持續(xù)性表項(xiàng)，保證持續(xù)性。3.4.1具有顯式關(guān)聯(lián)關(guān)系持續(xù)性功能如前所述，F(xiàn)TP應(yīng)用的多條TCP連接之間具有顯式關(guān)聯(lián)關(guān)系

49、：子通道五元組是通過 父通道協(xié)商得來的。因此負(fù)載均衡設(shè)備對于FTP應(yīng)用會逐包分析父通道報(bào)文，一旦 發(fā)現(xiàn)子通道協(xié)商信息，就會利用該信息建立父通道會話關(guān)聯(lián)表項(xiàng)，當(dāng)子通道首報(bào)文 到來時(shí)，根據(jù)關(guān)聯(lián)表項(xiàng)和父會話表項(xiàng)建立完整的會話表項(xiàng)，從而保證父子通道登錄 同一臺服務(wù)器。顯式關(guān)聯(lián)關(guān)系由負(fù)載均衡設(shè)備自動(dòng)識別，無需配置策略。3.4.2具有隱式關(guān)聯(lián)關(guān)系持續(xù)性功能基于源IP地址的持續(xù)性功能基于源IP地址的持續(xù)性功能常用于服務(wù)器負(fù)載均衡應(yīng)用中，用以確保同一個(gè)客戶端 的業(yè)務(wù)能分配到同一個(gè)服務(wù)器中。負(fù)載均衡設(shè)備接收到某一客戶端的某一業(yè)務(wù)的首次請求時(shí)，建立持續(xù)性表項(xiàng)，記錄 為該客戶分配的服務(wù)器情況，在會話表項(xiàng)生存周期內(nèi)，

50、后續(xù)相同源IP地址的業(yè)務(wù)報(bào) 文都將發(fā)往該服務(wù)器處理?；谀康腎P地址的持續(xù)性功能基于目的IP地址的持續(xù)性功能常用于鏈路負(fù)載均衡應(yīng)用中，用以確保去往同一個(gè)目 的地址的業(yè)務(wù)能分配到同一條鏈路上。負(fù)載均衡設(shè)備接收到某一客戶端的某一業(yè)務(wù)的首次請求時(shí)，建立持續(xù)性表項(xiàng)，記錄 為該客戶分配的鏈路情況，在會話表項(xiàng)生存周期內(nèi)，后續(xù)相同目的IP地址的業(yè)務(wù)報(bào) 文都將分發(fā)到該鏈路轉(zhuǎn)發(fā)?；贑ookie和header的持續(xù)性功能常用于web服務(wù)器需要用戶攜帶私有信 息或某些特定信息的服務(wù)器負(fù)載均衡應(yīng)用中，用來確保同一個(gè)用戶能夠去往 同一個(gè)目的地址。Cookie支持4種持續(xù)性方式，包括插入模式，重寫模式， 被動(dòng)模式，HASH模式。3.5 47層的負(fù)載均衡基于第四層（L4）的負(fù)載均衡在截取數(shù)據(jù)流以后，對數(shù)據(jù)包檢查與分析的部分僅限 于IP報(bào)頭及TCP/UDP報(bào)頭，而不關(guān)心TCP或UDP包的內(nèi)部信息。而基于L7的 負(fù)載均衡則要求負(fù)載均衡設(shè)備除了支持L4負(fù)載均衡以外，還要解析數(shù)據(jù)包中4層以上的信息，即應(yīng)用層的信息。例如，可以解析HTTP協(xié)議，從數(shù)據(jù)包中提取出 HTTP URL 或 Co