【正文】 BIGIP LTM以并行的結(jié)構(gòu)部署在網(wǎng)絡(luò)環(huán)境中時(shí)，與核心交換機(jī)的邏輯連接有不同的選擇方式，根據(jù)不同的接入方式，在相關(guān)的配置及負(fù)載均衡數(shù)據(jù)流的走向上也略有不同。所謂的并行結(jié)構(gòu)，指的是F5 BIGIP LTM以旁路的方式部署在現(xiàn)已運(yùn)行（或新建）的網(wǎng)絡(luò)環(huán)境中，通過(guò)這種組網(wǎng)結(jié)構(gòu)方式，BIGIP LTM可以方便、快速的部署到現(xiàn)有網(wǎng)絡(luò)環(huán)境中，實(shí)現(xiàn)負(fù)載均衡功能，同時(shí)也是對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，應(yīng)用業(yè)務(wù)及服務(wù)器配置更改最少的一種接入方式。以上兩種串行連接方式，所有的網(wǎng)絡(luò)流量在到達(dá)服務(wù)器前或者服務(wù)器主動(dòng)發(fā)起的出訪流量必須經(jīng)過(guò)F5 BIGIP LTM設(shè)備，由于BIGIP LTM在網(wǎng)絡(luò)中的特殊位置，一些非負(fù)載均衡流量也需要經(jīng)過(guò)BIGIP LTM，此時(shí)我們需要在F5 BIGIP LTM進(jìn)行Forwarding VS的配置，對(duì)不同流量經(jīng)由BIGIP LTM時(shí)進(jìn)行轉(zhuǎn)發(fā)，降低了BIGIP LTM的使用性能。并且由于冗余鏈路的出現(xiàn)，減輕了BIGIP LTM與其他網(wǎng)絡(luò)設(shè)備的依賴性，數(shù)據(jù)流的走向可以根據(jù)不同鏈路進(jìn)行傳輸。由于采用的是單鏈路連接，因此在鏈路的可靠性、冗余性相對(duì)較弱，一條鏈路的故障必須導(dǎo)致F5 BIGIP LTM進(jìn)行切換，同時(shí)BIGIP LTM與上下層網(wǎng)絡(luò)設(shè)備存有一定的相互依賴性，在某些環(huán)境下，相關(guān)網(wǎng)絡(luò)設(shè)備的切換，BIGIP LTM同時(shí)需要切換，即使BIGIP LTM設(shè)備運(yùn)行正常，增加了F5 BIGIP LTM設(shè)備主備切換的概率。方式一，單條鏈路組建的F5 BIGIP LTM串行結(jié)構(gòu)，整體網(wǎng)絡(luò)結(jié)構(gòu)比較單一整齊，業(yè)務(wù)數(shù)據(jù)流走向清晰可見(jiàn)，易于運(yùn)維人員的設(shè)計(jì)、部署實(shí)施，及后續(xù)的維護(hù)、管理，相關(guān)故障的排查。F5 BIGIP LTM串行結(jié)構(gòu)的組網(wǎng)中，我們介紹了兩種常見(jiàn)的BIGIP LTM連接方式，一種為單鏈路連接，另一種為雙鏈路的交叉連接方式。通過(guò)以上的分析及拓?fù)鋱D我們可以看到，F(xiàn)5 BIGIP LTM這種交叉連接方式增加鏈路的冗余度，使網(wǎng)絡(luò)環(huán)境狀態(tài)更趨于可靠、穩(wěn)定。這種組網(wǎng)方式在數(shù)據(jù)的可靠性、冗余性上有了很大的提高，BIGIP LTM通過(guò)與上下層核心交換機(jī)利用生成樹(shù)協(xié)議（STP）使交叉連接的雙鏈路其中一條成為備份狀態(tài)，當(dāng)其中一條鏈路出現(xiàn)故障，可利用另一條鏈路接管所有流量。此連接方式需要BIGIP LTM提供相應(yīng)的端口密度，在網(wǎng)絡(luò)環(huán)境中，負(fù)載均衡設(shè)備都為BIGIP LTM6400以上型號(hào)，因此所提供的端口密度都能夠滿足不同的需求。在可靠性方面兩臺(tái)F5 BIGIP LTM互為主備模式，同時(shí)BIGIP LTM可以探測(cè)上下兩層交換機(jī)狀態(tài)，一旦檢測(cè)到對(duì)應(yīng)的交換機(jī)出現(xiàn)故障，BIGIP LTM可以及時(shí)進(jìn)行主備切換，保證應(yīng)用業(yè)務(wù)的持續(xù)性。同時(shí)可以根據(jù)應(yīng)用業(yè)務(wù)的不同，在下層交換機(jī)上進(jìn)行多VLAN的劃分，以隔離不用業(yè)務(wù)的服務(wù)器，或在交換機(jī)上利用良好ACL執(zhí)行服務(wù)器間訪問(wèn)策略。數(shù)據(jù)的訪問(wèn)流向均先經(jīng)過(guò)上層核心交換機(jī)，通過(guò)上層核心交換機(jī)進(jìn)入F5 BIGIP LTM負(fù)載均衡設(shè)備，根據(jù)BIGIP LTM實(shí)施的負(fù)載均衡策略對(duì)流量進(jìn)行負(fù)載均衡，經(jīng)過(guò)下層交換機(jī)到達(dá)相應(yīng)的服務(wù)器，返回的數(shù)據(jù)流亦然。下面我們介紹兩種常見(jiàn)且部署較為規(guī)范的串行結(jié)構(gòu)。在部署F5 BIGIP LTM設(shè)備組網(wǎng)時(shí)，所謂的串行結(jié)構(gòu)，指的是BIGIP LTM在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中位于上下兩層網(wǎng)絡(luò)設(shè)備之間，如位于交換機(jī)與交換機(jī)之間等，所有的網(wǎng)絡(luò)流量在最終到達(dá)服務(wù)器或者返回客戶端前必須經(jīng)過(guò)BIGIP LTM設(shè)備處理，因此整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)，應(yīng)用業(yè)務(wù)功能的實(shí)現(xiàn)對(duì)BIGIP LTM設(shè)備依賴性較強(qiáng)。第4章、F5 LTM組網(wǎng)結(jié)構(gòu)F5 BIGIP LTM設(shè)備在組建負(fù)載均衡網(wǎng)絡(luò)過(guò)程中，該設(shè)備的部署位置至關(guān)重要，在一般的網(wǎng)絡(luò)部署結(jié)構(gòu)中以及目前F5 BIGIP LTM的組網(wǎng)結(jié)構(gòu)成功案例中，通常的部署結(jié)構(gòu)分為串行結(jié)構(gòu)和并行結(jié)構(gòu)。同時(shí)遵循標(biāo)注的SNMP協(xié)議第三方網(wǎng)管軟件管理。F5 BIGIP LTM 組建的高性能負(fù)載均衡網(wǎng)絡(luò)，要求對(duì)BIGIP LTM設(shè)備本身及它所負(fù)載均衡的服務(wù)器必須能夠?qū)崿F(xiàn)可控制、可管理。在F5 BIGIP LTM組建的網(wǎng)絡(luò)環(huán)境里，BIGIP LTM在應(yīng)用服務(wù)中起到了核心的作用，在其組建網(wǎng)絡(luò)時(shí)避免BIGIP LTM與其他網(wǎng)絡(luò)設(shè)備存在依賴性，隨著以后性能需求的增加可以對(duì)BIGIP LTM進(jìn)行伸縮性的擴(kuò)展。在網(wǎng)絡(luò)環(huán)境中，所有應(yīng)用均為關(guān)鍵性業(yè)務(wù)系統(tǒng)，因此要求由F5 BIGIP LTM組建的網(wǎng)絡(luò)必須為高可靠型。F5 BIGIP LTM部署在網(wǎng)絡(luò)環(huán)境中，最終目的是對(duì)業(yè)務(wù)應(yīng)用流量的負(fù)載均衡，保證高性能的對(duì)外提供服務(wù)。同時(shí)在部署F5 BIGIP LTM時(shí)要最大化的保護(hù)既有投資，確保F5 BIGIP應(yīng)用在綜合組網(wǎng)環(huán)境的正常運(yùn)行，避免設(shè)備之間的依賴行，設(shè)備的更新必須具有獨(dú)立性，支持網(wǎng)絡(luò)的逐漸升級(jí)。也適用于對(duì)F5 BIGIP LTM設(shè)備有所了解的其他網(wǎng)絡(luò)設(shè)計(jì)、管理或工程人員。同時(shí)介紹了F5 BIGIP LTM設(shè)備本身物理端口特性、工作模式，VLAN劃分方法、IP地址分配原則、路由配置策略等方面的細(xì)節(jié)。第2章、概述該文檔的主要目的是能夠幫助部署F5 BIGIP LTM人員，在BIGIP LTM網(wǎng)絡(luò)方面的組網(wǎng)結(jié)構(gòu)選擇、部署方法等提供有效的分析和參考，使F5 BIGIP LTM在網(wǎng)絡(luò)環(huán)境中更加規(guī)范有效。建議按年購(gòu)買(mǎi)該業(yè)務(wù)，品牌有dnspod、DNSLA等。H3C在湖南某高校出口部署鏈路負(fù)載均衡設(shè)備后，帶寬利用率提升了近50%，可見(jiàn)，鏈路負(fù)載均衡讓網(wǎng)絡(luò)出口更高效、更可靠和更智能。建議NAT由專業(yè)的設(shè)備如路由器或防火墻來(lái)實(shí)現(xiàn)。根據(jù)公安部82號(hào)令，出口NAT日志需要保留至少60天，如果負(fù)載均衡負(fù)責(zé)輸出大流量NAT日志，會(huì)造成負(fù)載均衡性能大幅下降。因?yàn)镹AT要具備豐富完善的ALG功能（應(yīng)用層網(wǎng)關(guān)，滿足各種不同應(yīng)用穿越NAT）。4 鏈路負(fù)載均衡組網(wǎng)方案圖10 典型出口鏈路負(fù)載均衡組網(wǎng)方案出口鏈路負(fù)載均衡根據(jù)不同算法進(jìn)行選路，選路之后需要做NAT。 視頻數(shù)據(jù)流的Qos，LB為視頻數(shù)據(jù)流創(chuàng)建一條獨(dú)享的邏輯鏈路（最小帶寬保障），其他辦公流量走剩下的帶寬。 LB實(shí)現(xiàn)鏈路保護(hù)機(jī)制：針對(duì)每條鏈路設(shè)置流量閾值，流量超過(guò)閾值，新數(shù)據(jù)流將分發(fā)到另一條鏈路。4) 廣域網(wǎng)多鏈路在廣域網(wǎng)鏈路中，常常會(huì)采用雙鏈路方式，負(fù)載均衡可較好的對(duì)廣域網(wǎng)流量進(jìn)行負(fù)載均衡并提供高可靠性和特定業(yè)務(wù)流的帶寬保障，如圖9所示。3) 不同運(yùn)營(yíng)商，多條鏈路（2）圖8 多條不同運(yùn)營(yíng)商鏈路（二）在多家運(yùn)營(yíng)商、多條運(yùn)營(yíng)商鏈路的用戶，某些業(yè)務(wù)需要獨(dú)享一定的帶寬，比如高校出口網(wǎng)絡(luò)，教師辦公需要一定的帶寬保證。不同運(yùn)營(yíng)商，多條鏈路（1）圖7 多條不同運(yùn)營(yíng)商鏈路（一）大型的網(wǎng)絡(luò)中較多使用此方式，在實(shí)現(xiàn)鏈路備份+鏈路帶寬擴(kuò)容的同時(shí)，將對(duì)外提供的業(yè)務(wù)系統(tǒng)同時(shí)發(fā)布到多家運(yùn)營(yíng)商（每個(gè)運(yùn)營(yíng)商內(nèi)的用戶訪問(wèn)速度均較快），如圖7所示。H3C負(fù)載均衡提供防鏈路擁塞功能來(lái)避免流量過(guò)載情況，負(fù)載均衡設(shè)備針對(duì)每條鏈路設(shè)置流量閾值，一般閾值略低于鏈路物理帶寬值，當(dāng)該鏈路的實(shí)際流量達(dá)到閾值后，后續(xù)按策略應(yīng)由該鏈路轉(zhuǎn)發(fā)的新的數(shù)據(jù)流會(huì)分發(fā)到其他低負(fù)載鏈路上。其實(shí)現(xiàn)原理是：負(fù)載均衡設(shè)備依據(jù)用戶請(qǐng)求報(bào)文的五元組生成會(huì)話表，并把該會(huì)話表與入端口（物理或邏輯）對(duì)應(yīng)關(guān)系記錄成上一跳表項(xiàng)；但服務(wù)器響應(yīng)報(bào)文會(huì)匹配到會(huì)話表，負(fù)載均衡設(shè)備會(huì)不再經(jīng)路由查詢、自動(dòng)選路等處理直接將響應(yīng)報(bào)文從入接口轉(zhuǎn)發(fā)出去。 用戶無(wú)法正常訪問(wèn)業(yè)務(wù)：如果運(yùn)營(yíng)商的設(shè)備開(kāi)啟URPF(反向單播逆向路徑檢測(cè))功能，那么響應(yīng)報(bào)文可能會(huì)被其他運(yùn)營(yíng)商丟棄。如圖5所示。詳細(xì)的實(shí)現(xiàn)機(jī)制見(jiàn)圖4。外網(wǎng)用戶通過(guò)域名方式訪問(wèn)內(nèi)網(wǎng)服務(wù)器時(shí)，本地DNS服務(wù)器將域名解析請(qǐng)求轉(zhuǎn)發(fā)給權(quán)威名稱服務(wù)器——負(fù)載均衡設(shè)備，負(fù)載均衡設(shè)備依次根據(jù)就近性算法、ISP表選擇最佳的物理鏈路，并將通過(guò)該鏈路與外網(wǎng)連接的接口IP地址作為DNS域名解析結(jié)果反饋給外網(wǎng)用戶，外網(wǎng)用戶通過(guò)該鏈路訪問(wèn)內(nèi)網(wǎng)服務(wù)器。圖3Inbound鏈路負(fù)載均衡組網(wǎng)圖Inbound鏈路負(fù)載均衡中，負(fù)載均衡設(shè)備作為權(quán)威名稱服務(wù)器記錄域名與內(nèi)網(wǎng)服務(wù)器IP地址的映射關(guān)系。3) Inbound方向鏈路負(fù)載均衡內(nèi)網(wǎng)和外網(wǎng)之間存在多條鏈路時(shí)，通過(guò)Inbound鏈路負(fù)載均衡可以實(shí)現(xiàn)在多條鏈路上分擔(dān)外網(wǎng)用戶訪問(wèn)內(nèi)網(wǎng)服務(wù)器的流量。在實(shí)際應(yīng)用中，尤其是在大型網(wǎng)絡(luò)中如高校出口、運(yùn)營(yíng)商出口，其用戶群訪問(wèn)的目的IP以數(shù)十萬(wàn)甚至上百萬(wàn)來(lái)計(jì)，如果負(fù)載均衡設(shè)備本身同時(shí)探測(cè)每個(gè)目的IP的響應(yīng)時(shí)間，對(duì)負(fù)載均衡設(shè)備性能消耗較大，因此就近性探測(cè)方法一般針對(duì)小型網(wǎng)絡(luò)或?qū)SP表項(xiàng)無(wú)法匹配的數(shù)據(jù)流。負(fù)載均衡設(shè)備會(huì)將首次出方向報(bào)文的選路結(jié)果記錄下來(lái)形成持續(xù)性表項(xiàng)，某數(shù)據(jù)流后續(xù)報(bào)文均根據(jù)持續(xù)性表項(xiàng)進(jìn)行轉(zhuǎn)發(fā)。鏈路靜態(tài)調(diào)度算法：對(duì)每條鏈路輪詢（加權(quán)輪詢）分發(fā)數(shù)據(jù)流、根據(jù)報(bào)文的源IP/Port Hash、選擇鏈路中并發(fā)連接數(shù)最少、鏈路中最大剩余帶寬等方式。路由跳數(shù)（即TTL）：通過(guò)鏈路健康性檢測(cè)獲得。鏈路成本：取決于每條鏈路的成本值，比如租用聯(lián)通10M鏈路每月1萬(wàn)元，則兩條鏈路的成本比例為2：3，兩條鏈路成本的取值應(yīng)該滿足該比例。根據(jù)檢測(cè)結(jié)果計(jì)算出最優(yōu)鏈路，并通過(guò)最優(yōu)鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量。DNS方式：向鏈路上的DNS服務(wù)器發(fā)送DNS請(qǐng)求，若收到正確的DNS應(yīng)答，則鏈路正常。ICMP方式：向鏈路上的節(jié)點(diǎn)發(fā)送ICMP Echo報(bào)文，若收到ICMP Reply，則鏈路正常。健康檢測(cè)的結(jié)果除標(biāo)識(shí)鏈路能否工作外，還可以統(tǒng)計(jì)出鏈路的響應(yīng)時(shí)間，作為選擇鏈路的依據(jù)。以上這些是當(dāng)前出口路由器或防火墻遇到的新問(wèn)題，可通過(guò)出口鏈路負(fù)載均衡來(lái)解決上述問(wèn)題。當(dāng)外網(wǎng)用戶首次訪問(wèn)網(wǎng)站系統(tǒng)時(shí)，如何響應(yīng)外部用戶的DNS域名請(qǐng)求，也是路由器或防火墻遇到的新問(wèn)題。出口的設(shè)備在outbound方向，要將內(nèi)部訪問(wèn)外網(wǎng)報(bào)文送到健康可用的鏈路上，健康可用不僅僅是端口UP或下一條路由可達(dá)，還需要對(duì)指定的IP地址做動(dòng)態(tài)探測(cè)。在單鏈路時(shí)代，出口一般會(huì)部署路由器或防火墻，部署多鏈路后，將多鏈路直接連接到路由器或防火墻上是否可以？這種組網(wǎng)情況，一般在路由器或防火墻上將內(nèi)網(wǎng)用戶outbound（注：outbound一般指的是內(nèi)網(wǎng)訪問(wèn)互聯(lián)網(wǎng)，inbound指的是互聯(lián)網(wǎng)用戶訪問(wèn)內(nèi)網(wǎng)的業(yè)務(wù)系統(tǒng)，下同。1 多鏈路部署后引發(fā)的問(wèn)題許多企業(yè)都意識(shí)到單條互聯(lián)網(wǎng)出口鏈路帶來(lái)的問(wèn)題：鏈路一旦中斷，內(nèi)部員工將無(wú)法訪問(wèn)互聯(lián)網(wǎng)，分支機(jī)構(gòu)VPN中斷，網(wǎng)站郵箱均無(wú)法對(duì)外服務(wù)。附：多鏈路負(fù)載均衡負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，擴(kuò)展了網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加了吞吐量，同時(shí)提升了網(wǎng)絡(luò)的數(shù)據(jù)處理能力、靈活性和可用性，具有低成本且有效透明的優(yōu)點(diǎn)。H3C負(fù)載均衡產(chǎn)品創(chuàng)新地實(shí)現(xiàn)了應(yīng)用優(yōu)化、安全與網(wǎng)絡(luò)的深度融合，具有路由、交換、負(fù)載均衡、27層安全等功能。部署在數(shù)據(jù)中心的匯聚層或核心層，基于特定的負(fù)載均衡算法將客戶端對(duì)數(shù)據(jù)中心服務(wù)的訪問(wèn)請(qǐng)求合理地分發(fā)到數(shù)據(jù)中心的各臺(tái)服務(wù)器上，以保證數(shù)據(jù)中心的響應(yīng)速度和業(yè)務(wù)連續(xù)性。圖7 XBOX一體化應(yīng)用交付平臺(tái)六、結(jié)束語(yǔ)負(fù)載均衡由早期DNS方式負(fù)載均衡模式發(fā)展而來(lái)，現(xiàn)在其內(nèi)涵已越來(lái)越廣，因此業(yè)界又采用一個(gè)新的用語(yǔ)來(lái)總結(jié)，即應(yīng)用交付網(wǎng)絡(luò)（Application Delivery Networking，簡(jiǎn)稱ADN），范圍包含服務(wù)器負(fù)載均衡、鏈路負(fù)載均衡、全局負(fù)載均衡、應(yīng)用優(yōu)化、2~7層安全等等。開(kāi)啟防火墻、IPS功能之后，通常會(huì)嚴(yán)重影響負(fù)載均衡自身的性能，針對(duì)這種情況，一些廠商是通過(guò)設(shè)置高額的License來(lái)限制用戶使用防火墻、IPS功能，H3C的做法是在負(fù)載均衡交換機(jī)中集成專業(yè)的FW、IPS硬件業(yè)務(wù)模塊來(lái)保護(hù)用戶的業(yè)務(wù)系統(tǒng)免遭2～7層的攻擊，也就是將安全功能交由另外的安全業(yè)務(wù)板卡與交換機(jī)集成去保障。其他技術(shù)如WebCache、代理壓縮等技術(shù)手段也是提供特定業(yè)務(wù)系統(tǒng)響應(yīng)速度的方式。通過(guò)應(yīng)用優(yōu)化技術(shù)業(yè)務(wù)系統(tǒng)是豐富多樣的，例如網(wǎng)上購(gòu)物、網(wǎng)上報(bào)稅和網(wǎng)上銀行等