首页 - 负载均衡
负载均衡简介-服务器负载均衡技术
服务热线:010 58731186    24小时热线:13910802603
概 述 负载均衡策略 本地/全局负载均衡  

概述

当前,无论在企业网、园区网还是在Internet上,业务量的发展都超出了过去最乐观的估计,新的应用层出不穷,即使按照当时最优配置建设的网络,也很快会感到巨大的压力。尤其是各个网络的核心部分,其数据流量和计算强度之大,使得单一设备根本无法承担,而如何在完成同样功能的多个网络设备之间实现合理的业务量分配,使之不致于出现一台设备过忙、而别的设备却未充分发挥处理能力的情况,就成了一个问题,负载均衡机制也因此应运而生。
负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题,服务就近提供,实现地理位置无关性 ;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点故障。
目前,采用更高层次的网络交换技术,是解决企业信息系统负载均衡的有效办法。
采用更高层次的交换技术 四七层负载均衡
现代负载均衡技术通常操作于网络的第四层或第七层。第四层负载均衡将一个Internet上合法注册的IP地址映射为多个内部服务器的IP地址,对每次TCP连接请求动态使用其中一个内部IP地址,达到负载均衡的目的。在第四层交换机中,此种均衡技术得到广泛的应用,一个目标地址是服务器群VIP(虚拟IP,Virtual IP address)连接请求的数据包流经交换机,交换机根据源端和目的IP地址、TCP或UDP端口号和一定的负载均衡策略,在服务器IP和VIP间进行映射,选取服务器群中最好的服务器来处理连接请求。
第七层负载均衡控制应用层服务的内容,提供了一种对访问流量的高层控制方式,适合对HTTP服务器群的应用。第七层负载均衡技术通过检查流经的HTTP报头,根据报头内的信息来执行负载均衡任务。

负载均衡策略

选择合适的负载均衡策略,使多个设备能很好的共同完成任务,消除或避免现有网络负载分布不均、数据流量拥挤反应时间长的瓶颈。在各负载均衡方式中,针对不同的应用需求,在OSI参考模型的第二、三、四、七层的负载均衡都有相应的负载均衡策略。
负载均衡策略的优劣及其实现的难易程度有两个关键因素:一、负载均衡算法,二、对网络系统状况的检测方式和能力。
轮循均衡(Round Robin):每一次来自网络的请求轮流分配给内部中的服务器,从1至N然后重新开始。此种均衡算法适合于服务器组中的所有服务器都有相同的软硬件配置并且平均服务请求相对均衡的情况。
权重轮循均衡(Weighted Round Robin):根据服务器的不同处理能力,给每个服务器分配不同的权值,使其能够接受相应权值数的服务请求。例如:服务器A的权值被设计成1,B的权值是3,C的权值是6,则服务器A、B、C将分别接受到10%、30%、60%的服务请求。此种均衡算法能确保高性能的服务器得到更多的使用率,避免低性能的服务器负载过重。
随机均衡(Random):把来自网络的请求随机分配给内部中的多个服务器。
权重随机均衡(Weighted Random):此种均衡算法类似于权重轮循算法,不过在处理请求分担时是个随机选择的过程。
响应速度均衡(Response Time):负载均衡设备对内部各服务器发出一个探测请求(例如Ping),然后根据内部中各服务器对探测请求的最快响应时间来决定哪一台服务器来响应客户端的服务请求。此种均衡算法能较好的反映服务器的当前运行状态,但这最快响应时间仅仅指的是负载均衡设备与服务器间的最快响应时间,而不是客户端与服务器间的最快响应时间。
最少连接数均衡(Least Connection):客户端的每一次请求服务在服务器停留的时间可能会有较大的差异,随着工作时间加长,如果采用简单的轮循或随机均衡算法,每一台服务器上的连接进程可能会产生极大的不同,并没有达到真正的负载均衡。最少连接数均衡算法对内部中需负载的每一台服务器都有一个数据记录,记录当前该服务器正在处理的连接数量,当有新的服务连接请求时,将把当前请求分配给连接数最少的服务器,使均衡更加符合实际情况,负载更加均衡。此种均衡算法适合长时处理的请求服务,如FTP。
处理能力均衡:此种均衡算法将把服务请求分配给内部中处理负荷(根据服务器CPU型号、CPU数量、内存大小及当前连接数等换算而成)最轻的服务器,由于考虑到了内部服务器的处理能力及当前网络运行状况,所以此种均衡算法相对来说更加精确,尤其适合运用到第七层(应用层)负载均衡的情况下。
DNS响应均衡(Flash DNS):在Internet上,无论是HTTP、FTP或是其它的服务请求,客户端一般都是通过域名解析来找到服务器确切的IP地址的。在此均衡算法下,分处在不同地理位置的负载均衡设备收到同一个客户端的域名解析请求,并在同一时间内把此域名解析成各自相对应服务器的IP地址(即与此负载均衡设备在同一位地理位置的服务器的IP地址)并返回给客户端,则客户端将以最先收到的域名解析IP地址来继续请求服务,而忽略其它的IP地址响应。在种均衡策略适合应用在全局负载均衡的情况下,对本地负载均衡是没有意义的。
良好的负载均衡策略应有对网络故障、服务器系统故障、应用服务故障的检测方式和能力:
1. Ping侦测:通过ping的方式检测服务器及网络系统状况,此种方式简单快速,但只能大致检测出网络及服务器上的操作系统是否正常,对服务器上的应用服务检测就无能为力了。
2. TCP Open侦测:每个服务都会开放某个通过TCP连接,检测服务器上某个TCP端口(如Telnet的23口,HTTP的80口等)是否开放来判断服务是否正常。
3. HTTP URL侦测:比如向HTTP服务器发出一个对main.html文件的访问请求,如果收到错误信息,则认为服务器出现故障。

本地/全局负载均衡

负载均衡从其应用的地理结构上分为本地负载均衡(Local Load Balance)和全局负载均衡(Global Load Balance,也叫地域负载均衡),本地负载均衡是指对本地的服务器群做负载均衡,全局负载均衡是指对分别放置在不同的地理位置、有不同网络结构的服务器群间作负载均衡。
本地负载均衡能有效地解决数据流量过大、网络负荷过重的问题,并且不需花费昂贵开支购置性能卓越的服务器,充分利用现有设备,避免服务器单点故障造成数据流量的损失。其有灵活多样的均衡策略把数据流量合理地分配给服务器群内的服务器共同负担。即使是再给现有服务器扩充升级,也只是简单地增加一个新的服务器到服务群中,而不需改变现有网络结构、停止现有的服务。
全局负载均衡主要用于在一个多区域拥有自己服务器的站点,为了使全球用户只以一个IP地址或域名就能访问到离自己最近的服务器,从而获得最快的访问速度,也可用于子公司分散站点分布广的大公司通过Intranet(企业内部互联网)来达到资源统一合理分配的目的。
全局负载均衡有以下的特点:
1. 实现地理位置无关性,能够远距离为用户提供完全的透明服务。
2. 除了能避免服务器、数据中心等的单点失效,也能避免由于ISP专线故障引起的单点失效。
3. 解决网络拥塞问题,提高服务器响应速度,服务就近提供,达到更好的访问质量。

1) 中型企业的定义
中型企业定义为: 地区办事处、分支办事处、中型企业总部等。
2) 中型企业网络现状
中型企业网络现状如下: 网络信息点数量50-500个; 网络建设具有一定规模,拥有大型网络设备,如:路由交换机、路由器等; 通过专线连接Internet; 有移动用户接入企业网的需求; 具有独立的信息发布系统,如Web、Mail服务器。
3) 中型企业网络安全面临的问题
通过对以上网络现状的分析,结合中型企业的实际情况,我们认为中型企业网络安全主要面临以下问题:
a: 网络接入Internet后,需要对网关进行防护,防止黑客、病毒等对网络内部进行攻击;
b: 移动用户通过Internet不经任何加密接入企业网,可能造成企业重要数据失窃;
c: 网络病毒是企业网络安全的最大威胁,它可能造成操作系统崩溃、数据丢失损坏、网络瘫痪等严重后果;
d: 由于具有独立的信息发布系统,如Web、Mail服务器,需要对这些系统进行集中的安全防护,从而保证这些系统正常的运行;
e: 由于企业网内计算机的数量较多,操作系统打补丁、应用软件分发、计算机资产管理、计算机运行状况监控等重复性工作,严重的影响了网络管理部门的工作效率,使企业的维护成本大大提高。
4) 中型企业网络安全解决方案
针对以上中型企业网络存在的问题,我们提出以下网络安全解决方案: 配置一台防火墙,进行网关防护,防止黑客、病毒等对网络内部进行攻击,并通过防火墙的VPN功能接入移动用户,可根据以下对应关系进行防火墙型号的选择;

用户数量
防火墙型号
VPN 通道
50-100
Netscreen-25/25B
50
100-200
Netscreen-25/50B
125
200-300
Netscreen-50/204B
500
300-500
Netscreen-204/208
1000

配置一套Kill安全胄甲网络防病毒系统,防止操作系统感染病毒,并防止网络病毒的蔓延; 配置一台Kill过滤网关:KSG 500,进行网关防病毒,并对信息发布系统进行安全防护; 配置一台Kill终端安全管理系统,可以有效地对企业网内所有计算机进行资产管理、系统补丁分发、应用软件分发、计算机运行状态管理等工作,从而大大提高网络管理部门的工作效率,降低企业网络运行成本。

其网络结构如图:

5) 方案优势
以上中型企业的网络安全解决方案具有以下优势:
a: " Juniper Netscreen是全球最大的防火墙/VPN设备厂商,其产品在各个行业均具有出色的成功案例,该厂商强大的技术优势和我们出色售后服务能力将为用户消除后顾之忧;
b: " 防火墙与VPN集成在同一设备中,简化了网络结构,降低了设备投资,并降低了网关出设备维护的难度; " Kill安全胄甲网络防病毒系统是获得公安部认证的防病毒系统,功能强大,可以查杀所有病毒,并可以实现所有用户的自动更新、自动升级。
c: " 通过公安部双重认证的过滤网关可以进行病毒、蠕虫、垃圾邮件、敏感内容的过滤,从而使网络整体的安全水平上了一个新的台阶;
d: " 终端安全管理系统提供对终端生命周期的管理(Endpoint Lifecycle Management, ELM)策略的全面技术支撑,涵盖资产管理、终端保护、应用监管、审计分析等,将终端安全、管理和维护同其业务目标相结合,保障计算机终端持续有效运行。 由于采取自主研发并侧重国内用户的需求,更贴近国内用户实际使用状况,并且能够根据新的需求进行定制开发。

北京融通九洲科技有限公司产品服务体系
北京融通九洲科技有限公司定位于专业的网络与网络安全服务。我们具备一流的专业人才和完善的服务体系。我们可以为客户和公众提供产品服务、集成服务、应急服务、顾问服务和公共服务共五类服务。秉承"提供满意服务,与客户一起成长"的理念。我们希望与我们的客户一起不断进步,共同实现我们的价值和目标。
一:产品服务内容:
1、1 产品安装、调试服务;
1、 2 产品售后技术支持、维护服务;
1、3网络及网络安全培训服务;
1、4 产品应急服务;
1、5产品维修服务;
1、6产品备机服务 。
二、产品服务分类
2、1 免费产品服务 服务代码:PS-001
2、1、1 电话支持服务
通过电话通信方式解答产品的一般性问题
服务对象:公众
最长响应时间:工作日内即时。
联系电话:010-58731185转产品服务
2、1、2 电子邮件支持服务
除了电话通信方式以外,用户网络部门可以通过电子邮件方式和融通九洲公司取得产品服务联系。用户将技术问题提交给我公司产品服务支持的电子邮箱后,将于工作日内8小时得到应答。
服务对象:公众
最长响应时间:工作日内8小时
E-mail: support @rti.com.cn
2、1、3 传真支持服务
用户网络维护部门也可以通过传真方式向融通九洲公司提交需要产品服务的请求,并于工作日内8小时得到答复。
服务对象:公众
最长响应时间:工作日内8小时
传真:010-58731180
2、 1、4 远程技术支持服务
当以上3种支持不足以解决问题时,在最终用户授权的前提下,我公司产品服务人员将在客户方技术人员的协助下,通过远程拨入方式登录客户局域网确定故障原因,指导客户方技术人员或直接处理系统故障。
服务对象:已经从融通九洲公司购买了网络安全产品的客户或核心合作伙伴客户
最长响应时间:工作日内4小时
2、1、5 邮件安全信息服务
融通九洲公司将提供给用户方网管人员最新的网络安全信息内容,包括最新防病毒资料、微软安全补丁信息、重大安全事件信息等等,并提供相应的解决方法和建议。
服务对象:已经从融通九洲公司购买了网络安全产品的客户。
最长响应时间:每月一次或紧急情况下及时提供。
2、 1、6邮件升级服务
对于已从我公司购买了产品的用户,我公司会将其联系方式及购买的产品信息建档。为了方便用户,我公司产品服务人员会定期将通过Email将最新的升级软件和防病毒代码程序发送到用户的邮箱里。
服务对象:已经从融通九洲公司购买了网络安全产品的客户。
最长响应时间:融通九洲公司得到升级软件或防病毒代码程序的次日。
2、2 付费产品服务 服务代码:PS-002
2、2、1 现场技术服务
在新通信技术的服务业务中,电话支持服务及远程技术支持服务是解决问题、处理故障的第一步,在时效上它们将明显高于现场技术服务。但当以上方式均无法解决客户提出的服务请求时,我们提供付费的产品服务支持,我们将指定产品服务人员在约定的时间内抵达现场进行服务(不同级别问题有不同的现场服务响应时间)。
现场产品服务是由产品安装调试、产品培训和产品配置文档的制定3个部分组成。我公司的服务人员将在产品的安装调试完成后,在用户现场结合产品配置给用户做一次现场培训,培训内容结合产品在用户网络中的配置及产品的功能介绍进行。最后我公司的服务人员在最终安装调试完成后给用户出具实施文档。
付费标准将参照双方在合同中订立的服务条款或北京融通九洲科技有限公司标准付费服务条款执行。
2、2、2 产品维护服务
产品维护服务是面向公众的,客户将通过此种服务方式获得快速、持续的多种技术服务,保障关键系统的持续运行。
产品维护服务的付费标准将参照双方在服务合同中订立的服务条款执行。
产品维护服务包括以下各项内容:
电话支持:(无次数限制)
1)通过电话接收有关的产品服务请求时,我公司服务人员将立刻响应并做出解决;
2)对于无法立即提供解决办法的问题,在寻找到解决方法后,产品服务人员将采用电话回复、传真回复等方式尽快通知用户,时间不超过4小时;
3)我们将以厂商的技术支持为后盾。遇到疑难问题时,我们将会与产品厂商的技术支持联系,在厂商系统专家的配合下,解决系统故障。确实无法解决的问题,公司会将问题备案并在24小时之内通知用户。
最长响应时间:工作日内4小时
联系电话:010-58731185转产品服务
电子邮件回复服务:(无次数限制)
对于需要电子邮件解决的技术问题,我公司的产品服务人员将在收到邮件后的工作日内8小时做出应答。
最长响应时间:工作日内8小时
E-mail: support @rti.com.cn
传真服务:(无次数限制)
对于需要传真方式解决的技术问题,我公司的产品服务人员将在收到传真后的工作日内8小时做出应答。
最长响应时间:工作日内8小时
传真:010-58731180
远程技术支持:(无次数限制)
当以上3种支持不足以解决问题时,在最终用户授权的前提下,我公司产品服务人员将在客户方技术人员的协助下,通过远程拨入方式登录客户局域网确定故障原因,指导客户方技术人员或直接处理系统故障。
最长响应时间:工作日内4小时
巡检服务
根据用户的需要,我公司将委派有经验的产品服务人员在用户的网络管理中心,对系统的运行状况进行检查(检查周期按用户需求决定)。这样的检查可以为系统的维护提供预警信息,并且为今后的系统扩容提供量化的依据。
我们定期检查的内容包括:
1) 检查产品的日志文件,检查产品的配置,并根据我们的经验,查看产品的运行是否正常。
2) 对所有产品的配置文件进行备份;对产品的日志文件进行备份,并将这些备份文件交给用户技术人员妥善保管。
进行完以上的检查后,我公司将以书面报告形式向用户汇报网络运行状况。
5X8小时产品技术热线:
您可以在我们的工作时间内随时拨打融通九洲的技术支持热线电话,并且没有任何的问题次数限制。融通九洲提供每周五天、每天八小时的电话热线技术支持服务。
网络安全培训服务
包括网络安全技术基础知识培训、网络安全产品技术培训和网络安全管理培训三个部分。既能够作为对购买融通九洲公司产品客户的一种增值服务,也面向对网络安全具有兴趣的人士。该服务的详细内容请参见《融通九洲公司网络安全培训》
安全讯息通知
融通九洲公司将定期将安全讯息通过email方式发送到客户指定邮箱。
产品维护服务对象:已购买产品维护服务的客户。
最长响应时间:产品维护服务响应时间标准和与客户订立的服务条款。
2、2、3 应急服务
网络安全的发展日新月异,谁也无法实现一劳永逸的安全。因此当紧急安全问题发生,企业的一般技术人员无法迅速解决,所以需要专业人员及时响应,以最快速度发现问题、解决问题,从而将企业的损失降到最小。
北京融通九洲科技有限公司凭借着多年工程实施和维护的经验,可以为用户提供及时的应急救援服务,保证企业网络在出现问题时能够以最快的速度恢复正常工作,并对问题进行详细分析,确定问题原因,提出合理的改进意见,确保网络不会出现同样问题。
作为一个规范的网络安全服务商,北京融通九洲科技有限公司有一整套紧急响应机制,同时也具备处理各种紧急事件经验的工程师,我们可以为用户处理的紧急事件包括:
" 大规模病毒爆发
" 网络入侵事件
" 拒绝服务攻击
" 网络异常事件
服务对象:已购买产品应急服务的客户。
响应时间:按双方在合同中订立的服务条款执行。
2、2、4 备机服务
提供关键设备的备机支持。
服务对象:已购买备机服务的客户。
响应时间:按双方在合同中订立的服务条款执行。
三、防火墙产品服务
3·1 免费服务(服务代码PS-001)
服务内容:北京融通九州科技有限公司产品服务体系条款2·1之内容。
3·2 收费服务(服务代码 PS-002)
3·2·1 现场技术服务(服务代码PS-002-FWOS)
3·2·1·1安装调试:
防火墙产品安装调试前,我公司产品服务人员将同客户方技术人员在了解客户网络拓扑结构及网络应用的前提下,共同制订防火墙产品的安装调试计划,确定防火墙产品在网络中部署等等。并编制"防火墙产品安装调试方案 "。
防火墙产品安装实施过程中,我公司产品服务人员将依照 "防火墙产品安装调试方案",进行防火墙的部署和配置。
防火墙产品的基本配置包括:
确定防火墙的运行模式(第二层模式、第三层模式);
配置防火墙的网络配置(管理ip地址、接口ip地址、路由);
配置防火墙的访问控制策略;
配置防火墙的管理(流量管理、日志管理等);
配置VPN隧道(站对站的VPN通道、远程接入的VPN通道);
其他配置。
3·2·1·2产品培训:
在防火墙产品现场安装实施后,我公司的产品服务人员将在客户现场结合产品配置给客户做一次培训,培训一般一天内完成。培训内容结合产品在客户网络中的配置及产品的主要功能进行。
3·2·1·3产品配置文档:
我公司的产品服务人员在最终安装调试完成后给客户出具实施文档。
包括:
防火墙产品安装时的重要参数:防火墙的管理ip地址、管理员账户、口令等等;
防火墙产品的网络配置(接口ip地址、路由等等);
防火墙产品的访问控制策略配置;
其它配置。
服务对象:从北京融通九州科技有限公司购买以上产品的客户;
购买服务代码为PS-002-FWOS服务的客户。
付费标准:购买产品合同价格的10%(一般限于本地客户);
双方于服务合同中订立的付费标准。
3·2·2 产品维护服务(服务代码 PS-002-FWRC)
防火墙产品维护服务是面向公众的,客户将通过此种服务方式获得快速、持续的多种技术服务,保障关键系统的持续运行。
防火墙产品维护服务包括以下各项内容:
电话咨询
通过电话沟通询问了解防火墙产品的使用情况,解答客户疑问。
定制培训:
根据客户需要,我公司派遣产品服务人员到达客户公司,对防火墙产品的使用者做网络安全及防火墙产品相关的培训,提高客户对网络安全的认知并熟悉防火墙产品的配置和使用。
安全讯息通知
融通九洲公司将定期将安全讯息通过email方式发送到客户指定邮箱。 保修服务
防火墙设备的质量保证期为3年,保修期内我公司提供设备制造厂商的维修服务。
升级服务
防火墙产品的系统软件升级服务期为3年,服务期内我公司将提供软件升级通知和电话指导客户升级,现场升级服务支持。
服务对象:从北京融通九州科技有限公司购买以上产品的客户。
付费标准:购买产品合同的5%(一般限于本地用户);
双方于服务合同中订立的服务付费标准。
3·2·3 应急服务(服务代码 PS-002-FWEC)
对于购买了NetScreen 防火墙产品的客户,我公司除提供常规的电话支持、邮件支持、传真支持、远程支持外,还将提供产品应急服务。
产品应急服务内容:
3·2·3·1 7 X24小时产品技术热线:
为保障网络运行正常,对于一些重要的网络系统,提供每周7天,每天24小时的技术支持热线服务。对于购买了我公司7 X24小时产品技术热线的客户,我公司会在长假特别制定节假日保障计划,将会安排专人负责专门的网络维护工作,确保这些客户网络系统的安全。
3·2·3·2 紧急救援现场服务
如果遇到因防火墙产品出现问题导致系统运行故障或遇有紧急突发网络异常事件,客户可要求我公司产品服务人员上门服务。我公司将根据情况划分严重级别,并根据严重级别作出相应响应,提供应急现场支持服务。
严重级别:
优先级1(P1):防火墙设备故障,系统已经不能启动,严重影响用户业务;
优先级2(P2):防火墙设备能启动,启动后可以工作,但是有重复宕机现象,对用户业务造成影响;
优先级3(P3):防火墙设备能够工作,但部分功能失效,但并没有对用户业务系统造成影响
优先级4(P4):客户询问问题,或有防火墙系统软件升级的需求
响应时间:
P1: 4小时内
P2: 12小时内
P3: 24小时内
P4: 48小时内
3·2·3·3 突发事件响应服务
如果客户网络有突发事件发生,比如因病毒或黑客攻击等行为影响业务系统,我公司会在第一时间提供有关详细的解决方案,并在最短时间内将可行的解决方案递交给客户。我们同时也愿意在能力范围内帮助客户解决因病毒或攻击行为而产生的网络安全问题。
服务对象:购买本服务的客户。
付费标准:双方于服务合同中订立的服务付费标准。
3·2·4 备机服务(服务代码 PS-002-FWBS)
我们提供的NetScreen产品都是具备优秀品质保证的世界级优秀产品,但所有的任何产品在使用过程中仍然会不可避免的出现一些故障问题,为使产品更好的服务于客户,在产品维修期间不影响您的正常使用,我们为客户提供优惠的有偿备机先行服务。
备机先行服务是指客户向我们报告故障经我公司产品服务人员确认硬件故障问题后,当日内我们为客户提供同等型号设备的备机,待设备维修返回现场后当日将备机收回的服务方式。
该服务可以按照年度以优惠价格购买和按所需要次数购买的两种灵活方式供客户选择,对于保修期内的产品我们通过厂商免费的为您维修产品,只收取相当于产品公开报价1.5%~~2%不等的备机服务费用,已经超出保修期的产品,客户除了缴纳相应金额的备机租赁费用外,还需要购买厂商的保修以及升级服务,保修、升级服务的参考价格为每年按照产品公开价格的1.5%收取。
目前我们提供的NetScreen备机服务暂时只包含NetScreen的5GT产品、25系列产品、50系列和204系列产品,相应的服务报价如下:
序号 型号 产品公开价 年收费 次收费
(保修期内产品) 		次收费
(保修期外产品)
1 NS-5GT-108 ¥36800 ¥820 ¥540 ¥615
2 NS-025-001 ¥110240 ¥2480 ¥1650 ¥1860
3 NS-050-001 ¥183840 ¥4136 ¥2760 ¥3102
4 NS-204-001 ¥368000 ¥8000 ¥5400 ¥6000
服务对象:公众