負(fù)載均橫解決方案

Fortinet負(fù)載均衡技術(shù)

2負(fù)載均衡概述鏈路負(fù)載均衡12服務(wù)器負(fù)載均衡3負(fù)載均衡概述3負(fù)載均衡（LoadBalance）建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價(jià)、有效、透明的方法，來(lái)擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性。鏈路負(fù)載均衡通過(guò)為不同鏈路通過(guò)算法分配合理流量，解決Internet網(wǎng)絡(luò)擁塞狀況，提高用戶訪問(wèn)網(wǎng)站的響應(yīng)速度。服務(wù)器負(fù)載均衡把大量的并發(fā)訪問(wèn)或數(shù)據(jù)流量分擔(dān)到多臺(tái)服務(wù)器上分別處理，減少用戶等待響應(yīng)的時(shí)間4鏈路負(fù)載均衡負(fù)載均衡概述21服務(wù)器負(fù)載均衡3鏈路冗余——優(yōu)先路由5ISPAISPB10M專線DMZ二級(jí)路由默認(rèn)路由內(nèi)部網(wǎng)大多數(shù)公司使用多個(gè)ISP線路實(shí)現(xiàn)鏈路冗余，通過(guò)路由管理距離值配置實(shí)現(xiàn)鏈路切換。當(dāng)ISPA鏈路出現(xiàn)問(wèn)題時(shí)，流量可以切換到ISPB通過(guò)這種方式可以實(shí)現(xiàn)鏈路冗余，但負(fù)載沒(méi)有在多條ISP鏈路上分布鏈路冗余——優(yōu)先路由6通過(guò)管理距離值選擇ISP(路由)當(dāng)?shù)谝荒J(rèn)路由被檢測(cè)到失效時(shí)，連接切換到第二條路由可以通過(guò)Ping服務(wù)器經(jīng)過(guò)接口的可達(dá)狀態(tài)來(lái)檢測(cè)鏈路是否失效。Ping服務(wù)器可以識(shí)別到上游設(shè)備的3層問(wèn)題，而不僅僅是通過(guò)本地接口的是否失效來(lái)檢測(cè)。ISPA—第一默認(rèn)路由ISPB—第二默認(rèn)路由鏈路冗余——檢測(cè)接口狀態(tài)7在本地物理接口狀態(tài)正常時(shí)，ISP也可能不能路由流量上游設(shè)備的三層問(wèn)題可能造成網(wǎng)絡(luò)中斷開(kāi)啟網(wǎng)絡(luò)接口選項(xiàng)可以監(jiān)測(cè)一臺(tái)上游設(shè)備/服務(wù)器(通常但不限于是下一跳的路由器)失效網(wǎng)關(guān)檢測(cè)在網(wǎng)絡(luò)—>選項(xiàng)中配置閾值鏈路冗余——優(yōu)先路由+PBR8ISPAISPB10M專線DMZ二級(jí)路由默認(rèn)路由內(nèi)部網(wǎng)優(yōu)先路由可以通過(guò)策略路由進(jìn)行擴(kuò)展，以更好的使用兩條鏈路內(nèi)網(wǎng)到外網(wǎng)的非關(guān)鍵流量(端口為80/443)，可以被重定向到低寬帶的ISPB鏈路ISPA可以為關(guān)鍵流量保留(DMZ+Email)鏈路A失效時(shí)，所有的流量可以切換到鏈路B這種方式可提供基本的負(fù)載分發(fā)功能80/443端口流量鏈路冗余——FortiOS3.0的ECMPISPAISPB10M專線DMZ二級(jí)路由默認(rèn)路由內(nèi)部網(wǎng)ECMP(EqualCostMultipath)通過(guò)多個(gè)ISP分發(fā)流量。當(dāng)靜態(tài)路由配置相同的距離值和優(yōu)先級(jí)時(shí)，ECMP將會(huì)生效流量基于源地址進(jìn)行分發(fā)ECMP支持OSPF或靜態(tài)路由(ECMP只能在相同的路由協(xié)議下工作)兩條鏈路寬帶相同時(shí)可正常工作，否則，寬帶較低的鏈路將會(huì)始終飽合(輪循方式)。這種方式可以鏈路冗余及負(fù)載均衡鏈路冗余——FortiOS4.0MR1的ECMP10ISPAISPB10M專線DMZ二級(jí)路由默認(rèn)路由內(nèi)部網(wǎng)與3.0相同，4.0的ECMP(EqualCostMultipath)通過(guò)多個(gè)ISP分發(fā)流量，但有更多的功能流量可通過(guò)三種方式在鏈路中分發(fā)源HUSH(與3.0相同)基于權(quán)重(基于權(quán)重的下一跳分發(fā))基于使用率(路由選擇基于網(wǎng)關(guān)的流量)最多支持10條鏈路ECMP支持OSPF或靜態(tài)路由(ECMP只能在相同的路由協(xié)議下工作)ECMP描述——源11ISPAISPB10M專線二級(jí)路由默認(rèn)路由內(nèi)部網(wǎng)FortiGate基于會(huì)話的源地址在ECMP路由中對(duì)會(huì)話進(jìn)行負(fù)載均衡，例如：通過(guò)ISPA路由通過(guò)ISPB路由通過(guò)ISPA路由如果在網(wǎng)絡(luò)中有大量的代理服務(wù)，流量分發(fā)將不平均與3.0版本相同的工作方式ECMPECMP描述——權(quán)重12ISPAISPB10M專線二級(jí)路由默認(rèn)路由內(nèi)部網(wǎng)FortiGate基于增加在ECMP路由中的權(quán)重值，在ECMP路由中對(duì)會(huì)話進(jìn)行負(fù)載均衡，更多的流量將被指向到權(quán)重值高的路由基于4層的負(fù)載均衡(源/目的/端口)，根據(jù)靜態(tài)路由中的路由權(quán)重值決定權(quán)重ECMP權(quán)重10權(quán)重4ECMP描述——使用率13ISPAISPB10M專線二級(jí)路由默認(rèn)路由內(nèi)部網(wǎng)FortiGate基于有多少流量經(jīng)過(guò)路由的接口(例如在ISPA的路由接口上配置7Mbps閥值)，在ECMP路由中對(duì)會(huì)話進(jìn)行負(fù)載均衡。超過(guò)7Mbps的流量將被動(dòng)態(tài)路由到ISPB。FortiGate把所有的ECMP路由會(huì)話發(fā)送到配置最低值的接口，直到這個(gè)接口處理的寬帶達(dá)到鏈路超載閥值。FortiGate將把后續(xù)的會(huì)話分配到第二低值的接口中。ECMP流量超過(guò)使用率閥值后，將溢出到另一條鏈路注意14在以上所有示例中，內(nèi)網(wǎng)與多個(gè)ISP(公網(wǎng))之間必須使用NAT地址翻譯。用戶的常見(jiàn)問(wèn)題是：“在網(wǎng)絡(luò)中使用ECMP后，是否會(huì)出現(xiàn)非對(duì)稱路由的情況”。因?yàn)槭褂昧薔AT，所以回答的否定的。當(dāng)流量被發(fā)送到任意ISP鏈路時(shí)，內(nèi)部IP將被NAT為ISP的公網(wǎng)IP。因此，流量的返回路由不可能被指向到其它ISP。上述所有ECMP描述都應(yīng)用在對(duì)外出(outbound)流量進(jìn)行路由，而沒(méi)有對(duì)來(lái)自Internet的進(jìn)入(inbound)的流量進(jìn)行處理。進(jìn)入流量將通過(guò)一些應(yīng)用程序?qū)崿F(xiàn)。Inbound負(fù)載均衡——SMTP15ISPAISPB10M專線DMZ二級(jí)路由默認(rèn)路由內(nèi)部網(wǎng)通過(guò)SMTP自有功能實(shí)現(xiàn)冗余在DNS中為MX記錄指定權(quán)重，在主服務(wù)器失效時(shí)，可切換到第二臺(tái)服務(wù)器上也可以指定相同的權(quán)重值，兩臺(tái)服務(wù)器以輪循方式工作MX記錄使用相同權(quán)重值MX1ISPANAT到郵件服務(wù)器MX2ISPBNAT到郵件服務(wù)器MailServerDNSMX1.MX2.MX1.MX2.Inbound負(fù)載均衡——HTTP/Web16ISPAISPB10M專線DMZ二級(jí)路由默認(rèn)路由內(nèi)部網(wǎng)在DNS中指定多個(gè)IP地址大多數(shù)DNS服務(wù)器可以為不同的客戶端隨機(jī)返回一個(gè)IP地址。大多數(shù)瀏覽器在發(fā)現(xiàn)第一個(gè)IP地址失效時(shí)，可以自動(dòng)切換到第二個(gè)IP地址WebServerDNS17服務(wù)器負(fù)載均衡負(fù)載均衡概述31鏈路負(fù)載均衡2服務(wù)器負(fù)載均衡18FortiGate把來(lái)自Internet對(duì)服務(wù)器的訪問(wèn)，分發(fā)到多臺(tái)服務(wù)器上健康檢測(cè)發(fā)現(xiàn)某臺(tái)服務(wù)器失效時(shí)，可以把流量分配到其它服務(wù)器上HTTP多路復(fù)用技術(shù)減少到Web服務(wù)器訪問(wèn)的會(huì)話數(shù)量SSLOffloading可替代服務(wù)器進(jìn)行SSL認(rèn)證服務(wù)器服務(wù)器負(fù)載均衡訪問(wèn)服務(wù)器時(shí)，先訪問(wèn)到FortiGate外部接口的虛擬IP地址，由FortiGate將訪問(wèn)轉(zhuǎn)發(fā)至真實(shí)服務(wù)器一個(gè)虛擬IP對(duì)應(yīng)多個(gè)真實(shí)服務(wù)器IP，實(shí)現(xiàn)服務(wù)器負(fù)載均衡隱藏真實(shí)服務(wù)器IP，提高安全性負(fù)載均衡支持多種算法StaticRoundRobinWeightedFirstAliveLeastRTTLeastSessionClientVIPX服務(wù)器負(fù)載均衡健康檢測(cè)某臺(tái)服務(wù)器出現(xiàn)問(wèn)題時(shí)，F(xiàn)ortiGate將把流量自動(dòng)轉(zhuǎn)發(fā)到狀態(tài)良好的服務(wù)器上檢測(cè)服務(wù)器狀態(tài)可用方法TCPHTTPPingClientVIP應(yīng)用加速—HTTP多路復(fù)用Client多個(gè)客戶連接ServerFarm健康檢查每個(gè)連接中的多個(gè)請(qǐng)求客戶請(qǐng)求復(fù)用(通過(guò)單個(gè)服務(wù)器會(huì)話)在FortiGate上維持和客戶端的大量連接，而在FortiGate和服務(wù)器之間建立少量常開(kāi)的連接減少服務(wù)器的資源消耗，提高服務(wù)器的處理性能。服務(wù)器必須支持HTTP/1.1服務(wù)器負(fù)載均衡——虛擬服務(wù)器22配置虛擬服務(wù)器，用戶通過(guò)訪問(wèn)虛擬服務(wù)器IP訪問(wèn)物理服務(wù)器服務(wù)類型包括HTTP、HTTPS、SSL、TCP、UDP及IP服務(wù)器負(fù)載均衡方式選擇分配負(fù)載的算法通過(guò)健康檢查檢測(cè)服務(wù)器的狀態(tài)負(fù)載均衡方式——靜態(tài)與輪詢23靜態(tài)與輪詢方式都可以把流量平均的分配到各臺(tái)服務(wù)器上靜態(tài)方式根據(jù)源地址分發(fā)負(fù)載，實(shí)現(xiàn)3層負(fù)載均衡不根據(jù)會(huì)話進(jìn)行流量分發(fā)輪詢方式基于會(huì)話進(jìn)行負(fù)載均衡不考慮服務(wù)器的響應(yīng)時(shí)間或連接數(shù)服務(wù)器負(fù)載均衡方式——加權(quán)24基于權(quán)重值對(duì)流量進(jìn)行分配基于4層的負(fù)載均衡，根據(jù)真實(shí)服務(wù)器中配置的權(quán)重值的比例，按比例進(jìn)行流量分配服務(wù)器權(quán)重5權(quán)重10負(fù)載均衡方式——最早存活與最小響應(yīng)時(shí)間25最早存活永遠(yuǎn)把流量轉(zhuǎn)向第一個(gè)保持存活的服務(wù)器“第一”，指的是虛擬服務(wù)器配置中真實(shí)服務(wù)器的順序最小響應(yīng)時(shí)間根據(jù)健康檢查的ping獲得的RTT來(lái)判斷將流量傳到哪臺(tái)服務(wù)器，流量一直轉(zhuǎn)發(fā)到RTT值最低的服務(wù)器上沒(méi)有配置Ping監(jiān)測(cè)，則默認(rèn)最小響應(yīng)時(shí)間為0服務(wù)器負(fù)載均衡方式——最小連接數(shù)26FortiGate始終把流量分配到連接數(shù)最少的服務(wù)器連接數(shù)是指FortiGate分配在服務(wù)器上的連接數(shù)量服務(wù)器負(fù)載均衡保持方式27確保用戶在每次發(fā)起請(qǐng)求時(shí)，都連接到同一臺(tái)真實(shí)服務(wù)器FortiGate根據(jù)負(fù)載均衡方式把新發(fā)起會(huì)話發(fā)送到某臺(tái)真實(shí)服務(wù)器上，如果會(huì)話中包含HTTPCookie或SSLSessionID，則所有的含有相同HTTPCookie或SSLSessionID的后續(xù)會(huì)話都將發(fā)送到同一臺(tái)真實(shí)服務(wù)器虛擬服務(wù)器類型設(shè)置為HTTP、HTTPS或SSL時(shí)，可配置保持方式選擇無(wú)，會(huì)話只根據(jù)負(fù)載均衡方式進(jìn)行分配。靜態(tài)方式可以實(shí)現(xiàn)會(huì)話保持。選擇HTTPCookie，所有的含有相同的HTTPsessioncookie的HTTP或HTTPS會(huì)話將發(fā)送到同一臺(tái)真實(shí)服務(wù)器上。選擇SSLSessionID，所有的含有相同的SSLsessionID的會(huì)話將發(fā)送到同一臺(tái)真實(shí)服務(wù)器上。服務(wù)器HTTP多路復(fù)用28服務(wù)器HTTPHTTPSFortiGate上維持和客戶端的大量連接，而在FortiGate和服務(wù)器之間建立少量常開(kāi)的連接最小化TCP會(huì)話的建立，減少服務(wù)器的資源消耗，提高服務(wù)器的處理性能。服務(wù)器必須是HTTP/1.1SSLoffloading29服務(wù)器FortiGate進(jìn)行SSL的加/解密運(yùn)算，從服務(wù)器上“卸載”了SSL協(xié)商過(guò)程，加速客戶端到服務(wù)器的SSL連接選擇應(yīng)用SSLoffloading連接段客戶端<->FortiGate僅在客戶端和FortiGate設(shè)備間使