返回
企业网络负载均衡实战解析

企业网络负载均衡实战解析

ID:23497803

大小:52.50 KB

页数:5页

时间:2018-11-08

企业网络负载均衡实战解析_第1页
企业网络负载均衡实战解析_第2页
企业网络负载均衡实战解析_第3页
企业网络负载均衡实战解析_第4页
企业网络负载均衡实战解析_第5页
资源描述:

《企业网络负载均衡实战解析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、企业网络负载均衡实战解析~教育资源库  互联网的发展使上网成为企业越来越重要的需求,企业上网已经不仅仅是为了建一个网站对企业进行宣传或满足员工对互联网的访问。随着应用水平的提高,企业对互联网的应用早已扩大到电子商务、移动办公人员的VPN拨入、系统的远程维护等关系到企业日常运行的应用。因此在网络建设中不仅要考虑企业上网的安全性,其可靠性和可用性也是必须要考虑的部分。  在我们企业,原有的局域网采用一台PIX525防火墙连接到外部网络,通过防火墙上的四个以太网端口连接与企业网络相关的四个不同安全等级的区

2、域:Inside端口连接企业局域网,Outside端口连接互联网,DMZ1端口连接企业互联网业务服务器集群区域,DMZ2端口连接行业网。从可靠性上看,网络结构存在单点故障。作为网络出口的核心设备,一台防火墙承载着所有应用,不仅负载较大而且没有冗余,一旦出现故障将影响到所有应用。采用一条互联网接入链路也存在着单点故障,ISP网络的连接失效以及互联网接入运营商调整线路、维护等问题都会影响到企业互联网应用的正常运行。从可用性上看,10M的互联网带宽已无法满足企业日益增长的应用需求,而且使用一个ISP的网络

3、会由于各大ISP网间的互联互通问题造成在不同ISP网络之间的应用缓慢或不稳定。针对以上问题,我们选择了负载均衡技术改造网络出口,保障企业上网应用的需求。  需求分析  针对目前存在的问题,并充分考虑企业的实际应用需求,网络出口的负载均衡方案要求实现如下目标:  1.关键设备及链路的负载均衡和故障冗余,并要求网络具有灵活的扩展空间,将来能根据实际应用需求的增长在充分利用现有网络设备和网络拓扑的情况下对网络出口进行扩展。  2.互联网接入的负载均衡和故障冗余,选用两条不同ISP链路,为企业提供服务。两条

4、链路之间要求建立起一定的流量管理机制,能够合理有效地分配两条链路的资源,并在某链路发生故障时自动将其流量切换到另外的链路,自动实现透明容错。当链路恢复时自动将其加入到负载均衡组中,实现VPN拨入的容错功能。  3.智能管理不同ISP提供的网络服务,优化所有的ISP链路。对外访问要求到ISP1的数据由ISP1链路出,返回的数据依然由ISP1的链路回;同样到ISP2的数据也一样。对内访问要求服务器的内网地址能同时映射两个ISP的公网地址,统一域名,远程访问通过动态的DNS来找出目前最合适的ISP连接访问

5、服务器。  技术分解  根据需求分析,我们采用了防火墙集群和多链路负载均衡两个技术方案来实现企业上网的负载均衡。  我们使用两台SG-1000防火墙设置成集群,在防火墙上实现负载均衡和故障冗余。集群节点负载的分配主要根据防火墙CPU的利用率来决定,利用防火墙集群的多链路技术实现了互联网链路的负载均衡和故障冗余(如图1)。互联网接入采用移动(ISP1)和电信(ISP2)两条当地主要互联网运营商的10M链路,每个ISP都分配给企业网络一个IP地址段。多链路技术提供了高可靠性的ISP连接,解决了ISP单点

6、失效及Inter服务不可靠和反应缓慢等问题.,并同时在流出流量和流入流量间实现两条ISP链路的负载均衡和故障冗余。在正常情况下两条链路上的流量是均衡的,并根据访问的IP地址自动选择最优路径。  对于在防火墙集群DMZ区的对外服务器,每一台服务器定义了一个服务器地址池,一个内网IP映射两个公网的IP,两个IP地址统一域名。防火墙集群定时检测链路,进行DDNS更新。远程访问将通过动态的DNS来找出目前最合适的ISP连接,将数据包发到服务器相应的IP地址上。  移动用户VPN的拨入默认通过ISP1线路进入

7、认证服务器,当ISP1的线路出现问题的时候,VPN客户端自动通过ISP2线路拨入,在双链路之间实现了VPN接入的容错。  在网络边界,我们配置了两台相同配置型号的PIX防火墙(PIX-A和PIX-B)加强安全防护。为了均衡PIX防火墙的负载,提高网络性能,我们改变传统的两台设备之间一主一备的工作模式,实现防火墙之间的Active/Active冗余工作模式。每一台物理防火墙都虚拟出两个逻辑防火墙FodemultipleFailoverfailoverlinklinkEther0failoverinte

8、rfaceiplink10.0.4.1255.255.255.0standby10.0.4.11failovergroup1primaryfailovergroup2secondarycontextFovie.mccly.和ISP2本地网站为目标进行Tracert测试。图2为两条ISP链路同时连接,负载均衡启用的测试结果显示:到达两个网站的路径都是5hops,延迟小于10ms。图3为断开ISP2链路,单独连接ISP1网络的测试结果:到达ISP1网站的路径和延迟不变,但

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。