华为USG9500高端防火墙智能选路和负载均衡技术白皮书

资料编码华为USG9500高端防火墙智能选路和负载均衡技术白皮书文档版本V1.0发布日期201402华为技术有限公司2014-8-19华为机密，未经许可不得扩散第2页,共19页版权所有©华为技术有限公司2009。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：客户服务邮箱：support@huawei.com客户服务电话：40083021182014-8-19华为机密，未经许可不得扩散第3页,共19页目录1应用场景.......................................................................................................................42负载均衡技术介绍........................................................................................................42.1智能选路负载均衡技术..........................................................................................42.1.1最小时延负载均衡............................................................................................42.1.2路由权重负载均衡............................................................................................62.1.3链路带宽负载均衡............................................................................................72.2内置ISP路由选路...................................................................................................82.3出站透明DNS代理.................................................................................................92.4智能DNS..............................................................................................................102.5服务器负载均衡...................................................................................................143组网应用.....................................................................................................................163.1企业出口多ISP选路.............................................................................................163.2企业出口ISP多链路备份......................................................................................173.3企业内部服务器负载均衡.....................................................................................192014-8-19华为机密，未经许可不得扩散第4页,共19页1应用场景随着业务发展的需要，许多企业通常会在网络出口部署多条链路以等值负载分担的方式来分担出接口流量，虽然在一定程度上提升了网络的稳定性和可靠性，但是等值负载分担不会考虑链路的带宽差异，只是把流量在每条链路上进行简单的平分，这样就可能会导致某些带宽性能较高的链路出现空闲，而某些带宽性能较低的链路出现堵塞的情况。为了保证链路带宽的更充分、更合理的利用，我们需要根据现网的实际情况考虑链路带宽的分配。业务选择哪条链路转发更加合适？如某些业务从A链路转发比从B链路转发更迅速，而另外一些业务与之相反，是从B链路转发比从A链路转发要快。链路质量是否存在差异？如业务从A链路转发的总体效果比B链路要好。链路带宽是否存在差异？如A链路是高速链路，B链路是低速链路。从方向上来区分，就产生了2种智能选路场景，一是出站智能选路，企业网络出口多链路之间的选路；一是入站负载均衡，对内部的服务器做流量负载。出站智能选路：企业从不同运用商获得多条出口链路，链路的带宽、质量等都有所不通，怎样才能保证大部分用户的最佳访问效果，保证每个链路带宽最大限度的利用，是规划链路资源需要考虑的问题；入站负载均衡：内部网络多个服务器之间的负载均衡，保证流量较平均地分配到各个服务器上，避免出现一个服务器满负荷运转、另一个服务器却空闲的情况。2负载均衡技术介绍2.1智能选路负载均衡技术2.1.1最小时延负载均衡企业从不同运营商获得多条出口链路，几条链路的总带宽足够企业用户使2014-8-19华为机密，未经许可不得扩散第5页,共19页用，此时企业需要考虑的是用户业务流量从哪条链路转发的效果最好，用户访问外网不同服务时选择哪条链路体验最佳。最小时延负载均衡工作模式，是通过对比从不同链路访问外网服务器的时延大小，最终确定最优访问链路，可以很好的满足这种场景的应用。如图1所示。访问服务器A时，因为链路A的时延最小，因此流量从出接口GE1/0/0访问服务器A，如果链路A的流量带宽达到设置的阈值，后续访问服务器A的流量会选择第二小的时延链路，也就是图1中的链路B，最后是链路C。访问服务器B时，因为链路B的时延最小，因此流量从出接口GE1/0/1访问服务器B，如果链路B的流量带宽达到设置的阈值，后续访问服务器B的流量会选择第二小的时延链路，也就是图1中的链路C，最后是链路A。访问服务器C时，因为链路C的时延最小，因此流量从出接口GE1/0/2访问服务器C，如果链路C的流量带宽达到设置的阈值，后续访问服务器C的流量会选择第二小的时延链路，也就是图1中的链路A，最后是链路B。图1最小时延负载均衡应用场景图2014-8-19华为机密，未经许可不得扩散第6页,共19页最小时延负载均衡主要应用在用户上网体验要求较高的多出口场景，用户流量根据系统探测的链路转发时延大小，选择时延最小的链路转发，让用户体验到最佳的访问效果。除此之外，管理员还可以根据网络实际情况的需要，静态设置某些固定的访问从管理员要求的链路转发，这样可以更加灵活的控制流量走向，让流量负载较小的链路分担部分流量负载过大链路的压力。2.1.2路由权重负载均衡企业从不同运用商获得多条出口链路，其中连接ISPA的链路稳定性最高，业务转发整体效果最好，其次是链路B，最差的是链路C。路由权重负载均衡模式是通过在每条链路上设置路由权重值，根据权重值的比例来分配用户流量，能够满足此种多出口场景的应用，如图2所示。链路A设置的路由权重为50，占整个权重的一半，所以企业用户访问外网的流量一半分配到链路A进行转发。如果链路A上的带宽流量达到设置的阈值，则后续流量会按照其它空闲链路的权重比例重新分配。链路B设置的路由权重为30，所以经过链路B转发的业务流量占到总体流量的30％。如果链路B上的带宽流量达到设置的阈值，则后续流量会按照其它空闲链路的权重比例重新分配。链路C设置的路由权重为20，所以经过链路C转发的业务流量最少，只占到总体流量的20％。如果链路C上的带宽流量达到设置的阈值，则后续流量会按照其它空闲链路的权重比例重新分配。注意：流量的分配是按照每条链路设置的权重比例来分配的，如果链路A、链路B、链路C分别设置的权重为60、30和60，那么流量的分配是按照2：1：2的比例来分配的。图2路由权重负载均衡应用场景图2014-8-19华为机密，未经许可不得扩散第7页,共19页路由权重负载均衡主要应用在链路质量存在差异的多出口场景，质量最优的链路分担的流量最多，这样可以在最大程度上保证大部分用户的访问效果，且不浪费其它链路的带宽。2.1.3链路带宽负载均衡企业从不同运用商获得多条出口链路，但链路的物理带宽不一样，每条链路租用的带宽也不一样。为保证每个链路带宽最大限度的利用，可以选择链路带宽负载均衡模式来分配带宽流量，链路带宽负载均衡是指当存在多条路由优先级相同但物理带宽不同的链路时，用户流量按照物理带宽的比例分配到每条链路上，当每条链路的承载到达了用户配置带宽阈值后，流量转发到其他空闲链路上。如USG9000与ISP1用1GE物理链路连接，用户租用了ISP1的100M带宽，那么物理带宽就是1G，用户配置带宽就是100M。如图3所示。三条链路中两条是通过GE接口连接的，另外一条是通过10GE接口连接的，流量分配的比例为1：1：10，三条链路的用户带宽阈值分布为100M，100M，500M。正常情况下，链路A、B、C按照1：1：10的比例分配会话，同时USG9000监控每条链路的实际带宽，如当A链路的带宽达到配置的带宽阈值100M时，而2014-8-19华为机密，未经许可不得扩散第8页,共19页B、C链路未达到100M和500M，则新建会话的流量会按照物理带宽比例1：10负载分担给B、C链路。图3链路带宽负载均衡应用场景图链路带宽负载均衡主要应用在链路物理带宽存在差异的多出口场景，流量的分配是按照链路物理带宽的比例来分配的，这样可以保证高速链路的最大利用，且不浪费其它链路的带宽。2.2内置ISP路由选路如下图所示的等价路由多出口场景中，如果访问ISPB的流量从连接ISPA的出接口上发送，则会影响报文转发效率。用户通过USG9000访问Server，USG9000会随机分配用户流量从不同的出接口转发，这就有可能出现下图所示的链路1和里链路2两条链路，而链路2才是用户所期望的路线。2014-8-19华为机密，未经许可不得扩散第9页,共19页通过ISP路由选路功能可以保证访问特定ISP网络的用户报文从相应的出接口转发出去，让用户流量总是从最短路径转发，提升了用户的访问体验。USG9000自带有相应的ISP路由，已经预置下列运营商的ISP地址文件：china-mobile.csv：中国移动china-telecom.csv：中国电信china-unicom.csv：中国联通china-educationnet.csv：中国教育网该ISP地址文件可以直接使用，不用重新制作。也可以根据特殊的情况对ISP路由的文