首页 - 负载均衡
负载均衡简介-链路负载均衡技术
服务热线:010 58731186    24小时热线:13910802603
概 述 实现原理  

概述

随着企业用户在Internet上的应用急速增长,越来越多的大型企业用户、政府机构越来越觉得网络的不稳定性以及速率问题。并且,自2002年5月,原中国电信集团按南北地域分家,新的中国电信和网通集团成立,互联网的骨干网被一分为二,北方由网通集团管理、南方由中国电信管理,由此,电信和网通之间的互联互通就存在问题,网通和电信之间的访问非常的慢,甚至无法访问,所以许多服务商甚至企业采用电信和网通双链路的做法,来解决速度慢的问题。
应用类型挑战
迄今为止,多链路主要依靠BGP来导向多个互联网链路上的流量。BGP是一种区域间的路由协议,旨在使ip路由器将互联网上的数据包从A点导向B点。然而,BGP是路由的核心技术,很难用来实施多归属管理,并且BGP路由不提供一个适当的机制来确保基于链路的动态灵活路由。 最为关键的是:中国的各个运营商不会向用户提供BGP路由协议。
由此诞生了“多链路负载均衡”,成功解决了电信与网通之间、不同链路之间互联互通的问题,除此之外,双线路可以互为备份,如一条链路出现故障时,可以自动切换到其它链路;并在一条链路流量大时自动分配其余流量到其他的链路上等等。

实现原理

在网内实际存在着3种不同的数据连接请求,因此通过对这3种请求进行必要的引导,数据流便可以有效地在两条链路上进行传递。这三种数据连接包括:
DNS 解析请求
Inbound数据流
Outbound数据流
Load Balance Controller承担起了对两条ISP连接的负载均衡工作。它作为数据传递的中间枢纽将所有设备连接在了一起。
DNS解析请求 当外部用户需要对WWW、FTP和e-mail服务器进行访问时,首先进行的便是必要的DNS解析。接下来,我们以WWW域名为例来描述用户如何通过Load Balance Controller得到恰当的IP地址。 假设WWW域名为www.xxx.com:
1. Client向其本地DNS(LDNS)发出域名解析请求,探求域名www.xxx.com的IP地址。
2. LDNS向ROOT服务器查询xxx.com的地址,得到211.152.31.1和159.226.50.1,它们分别对应与两个ISP,A和B。
3. LDNS将以第一个得到的IP地址为目的,向它发出对www.xxx.com的查询。如果这第一个地址在允许的连接条件下,无法连接到或得到解析结果,则LDNS将启用第二个地址进行查询连接。
4. 这时,请求由LDNS到达Load Balance Controller。在Load Balance Controller 上,对于后面的两台DNS服务器事先已设置好虚拟服务器VDNS,且对应与两个不同的ISP 连接,172.17.1.168和172.17.2.168。172.17.1.168与211.152.31.1通过防火墙1的NAT对应,172.17.2.168与159.226.50.1通过防火墙1的NAT对应。这样,通过任何一个ISP连接到达的域名解析请求都可转发至后面的两个DNS服务器,并在它们之间完成负载均衡。
5. 在后面的两个DNS服务器上,需是先进行"匿名"的配置。
www.xxx.com. IN CNAME www.wip.xxx.com
在Load Balance Controller上,对应这个匿名,事先已配置好wide IP,www.wip.xxx.com与之对应:并且包括事先配置的两个虚拟服务器地址,211.152.31.3和159.225.50.3。这两个地址都指向后面的WWW服务器,并与两个ISP连接对应。
6. 这时,Load Balance Controller会依据已经设置好的wide IP均衡规则,向LDNS提供www.xxx.com所对应的IP地址。即依据两个不同的ISP连接情况,选择与ISP连接向对应的地址。
7. LDNS得到这个地址后,将它返回到Client端。
8. Client利用这个地址进行与www.xxx.com的连接。
Inbound数据流
部分数据流主要流向经DNS解析请求后得到的地址。我们以对www.xxx.com为例。假设Client得到的地址是211.152.31.3,那么当它的数据连接到达防火墙后会被翻译成内部地址,172.17.1.3。这个地址也是Load Balance Controller上设置的虚拟服务器地址,对应于后台的WWW服务器。当Load Balance Controller 收到对这个地址的访问后,它会根据对服务器设置的负载均衡算法,将用户数据转发到相应的服务器。
Outbound数据流
这部分数据主要从内网端口流向与防火墙/路由器相连的外网端口,我们需要将来自Intranet的数据连接全部接受,这样,当Load Balance Controller 收到由Intranet发来的数据连接后,就会依据相应的负载均衡算法,将数据流转发到恰当的防火墙。并且在数据出入防火墙/路由器的外网端口时,Load Balance Controller 会对数据流的源IP地址进行翻译。翻译工作依据于SNAT设置。

三.本地/全局负载均衡

负载均衡从其应用的地理结构上分为本地负载均衡(Local Load Balance)和全局负载均衡(Global Load Balance,也叫地域负载均衡),本地负载均衡是指对本地的服务器群做负载均衡,全局负载均衡是指对分别放置在不同的地理位置、有不同网络结构的服务器群间作负载均衡。
本地负载均衡能有效地解决数据流量过大、网络负荷过重的问题,并且不需花费昂贵开支购置性能卓越的服务器,充分利用现有设备,避免服务器单点故障造成数据流量的损失。其有灵活多样的均衡策略把数据流量合理地分配给服务器群内的服务器共同负担。即使是再给现有服务器扩充升级,也只是简单地增加一个新的服务器到服务群中,而不需改变现有网络结构、停止现有的服务。
全局负载均衡主要用于在一个多区域拥有自己服务器的站点,为了使全球用户只以一个IP地址或域名就能访问到离自己最近的服务器,从而获得最快的访问速度,也可用于子公司分散站点分布广的大公司通过Intranet(企业内部互联网)来达到资源统一合理分配的目的。
全局负载均衡有以下的特点:
1. 实现地理位置无关性,能够远距离为用户提供完全的透明服务。
2. 除了能避免服务器、数据中心等的单点失效,也能避免由于ISP专线故障引起的单点失效。
3. 解决网络拥塞问题,提高服务器响应速度,服务就近提供,达到更好的访问质量。

1) 中型企业的定义
中型企业定义为: 地区办事处、分支办事处、中型企业总部等。
2) 中型企业网络现状
中型企业网络现状如下: 网络信息点数量50-500个; 网络建设具有一定规模,拥有大型网络设备,如:路由交换机、路由器等; 通过专线连接Internet; 有移动用户接入企业网的需求; 具有独立的信息发布系统,如Web、Mail服务器。
3) 中型企业网络安全面临的问题
通过对以上网络现状的分析,结合中型企业的实际情况,我们认为中型企业网络安全主要面临以下问题:
a: 网络接入Internet后,需要对网关进行防护,防止黑客、病毒等对网络内部进行攻击;
b: 移动用户通过Internet不经任何加密接入企业网,可能造成企业重要数据失窃;
c: 网络病毒是企业网络安全的最大威胁,它可能造成操作系统崩溃、数据丢失损坏、网络瘫痪等严重后果;
d: 由于具有独立的信息发布系统,如Web、Mail服务器,需要对这些系统进行集中的安全防护,从而保证这些系统正常的运行;
e: 由于企业网内计算机的数量较多,操作系统打补丁、应用软件分发、计算机资产管理、计算机运行状况监控等重复性工作,严重的影响了网络管理部门的工作效率,使企业的维护成本大大提高。
4) 中型企业网络安全解决方案
针对以上中型企业网络存在的问题,我们提出以下网络安全解决方案: 配置一台防火墙,进行网关防护,防止黑客、病毒等对网络内部进行攻击,并通过防火墙的VPN功能接入移动用户,可根据以下对应关系进行防火墙型号的选择;

用户数量
防火墙型号
VPN 通道
50-100
Netscreen-25/25B
50
100-200
Netscreen-25/50B
125
200-300
Netscreen-50/204B
500
300-500
Netscreen-204/208
1000

配置一套Kill安全胄甲网络防病毒系统,防止操作系统感染病毒,并防止网络病毒的蔓延; 配置一台Kill过滤网关:KSG 500,进行网关防病毒,并对信息发布系统进行安全防护; 配置一台Kill终端安全管理系统,可以有效地对企业网内所有计算机进行资产管理、系统补丁分发、应用软件分发、计算机运行状态管理等工作,从而大大提高网络管理部门的工作效率,降低企业网络运行成本。

其网络结构如图:

5) 方案优势
以上中型企业的网络安全解决方案具有以下优势:
a: " Juniper Netscreen是全球最大的防火墙/VPN设备厂商,其产品在各个行业均具有出色的成功案例,该厂商强大的技术优势和我们出色售后服务能力将为用户消除后顾之忧;
b: " 防火墙与VPN集成在同一设备中,简化了网络结构,降低了设备投资,并降低了网关出设备维护的难度; " Kill安全胄甲网络防病毒系统是获得公安部认证的防病毒系统,功能强大,可以查杀所有病毒,并可以实现所有用户的自动更新、自动升级。
c: " 通过公安部双重认证的过滤网关可以进行病毒、蠕虫、垃圾邮件、敏感内容的过滤,从而使网络整体的安全水平上了一个新的台阶;
d: " 终端安全管理系统提供对终端生命周期的管理(Endpoint Lifecycle Management, ELM)策略的全面技术支撑,涵盖资产管理、终端保护、应用监管、审计分析等,将终端安全、管理和维护同其业务目标相结合,保障计算机终端持续有效运行。 由于采取自主研发并侧重国内用户的需求,更贴近国内用户实际使用状况,并且能够根据新的需求进行定制开发。

北京融通九洲科技有限公司产品服务体系
北京融通九洲科技有限公司定位于专业的网络与网络安全服务。我们具备一流的专业人才和完善的服务体系。我们可以为客户和公众提供产品服务、集成服务、应急服务、顾问服务和公共服务共五类服务。秉承"提供满意服务,与客户一起成长"的理念。我们希望与我们的客户一起不断进步,共同实现我们的价值和目标。
一:产品服务内容:
1、1 产品安装、调试服务;
1、 2 产品售后技术支持、维护服务;
1、3网络及网络安全培训服务;
1、4 产品应急服务;
1、5产品维修服务;
1、6产品备机服务 。
二、产品服务分类
2、1 免费产品服务 服务代码:PS-001
2、1、1 电话支持服务
通过电话通信方式解答产品的一般性问题
服务对象:公众
最长响应时间:工作日内即时。
联系电话:010-58731185转产品服务
2、1、2 电子邮件支持服务
除了电话通信方式以外,用户网络部门可以通过电子邮件方式和融通九洲公司取得产品服务联系。用户将技术问题提交给我公司产品服务支持的电子邮箱后,将于工作日内8小时得到应答。
服务对象:公众
最长响应时间:工作日内8小时
E-mail: support @rti.com.cn
2、1、3 传真支持服务
用户网络维护部门也可以通过传真方式向融通九洲公司提交需要产品服务的请求,并于工作日内8小时得到答复。
服务对象:公众
最长响应时间:工作日内8小时
传真:010-58731180
2、 1、4 远程技术支持服务
当以上3种支持不足以解决问题时,在最终用户授权的前提下,我公司产品服务人员将在客户方技术人员的协助下,通过远程拨入方式登录客户局域网确定故障原因,指导客户方技术人员或直接处理系统故障。
服务对象:已经从融通九洲公司购买了网络安全产品的客户或核心合作伙伴客户
最长响应时间:工作日内4小时
2、1、5 邮件安全信息服务
融通九洲公司将提供给用户方网管人员最新的网络安全信息内容,包括最新防病毒资料、微软安全补丁信息、重大安全事件信息等等,并提供相应的解决方法和建议。
服务对象:已经从融通九洲公司购买了网络安全产品的客户。
最长响应时间:每月一次或紧急情况下及时提供。
2、 1、6邮件升级服务
对于已从我公司购买了产品的用户,我公司会将其联系方式及购买的产品信息建档。为了方便用户,我公司产品服务人员会定期将通过Email将最新的升级软件和防病毒代码程序发送到用户的邮箱里。
服务对象:已经从融通九洲公司购买了网络安全产品的客户。
最长响应时间:融通九洲公司得到升级软件或防病毒代码程序的次日。
2、2 付费产品服务 服务代码:PS-002
2、2、1 现场技术服务
在新通信技术的服务业务中,电话支持服务及远程技术支持服务是解决问题、处理故障的第一步,在时效上它们将明显高于现场技术服务。但当以上方式均无法解决客户提出的服务请求时,我们提供付费的产品服务支持,我们将指定产品服务人员在约定的时间内抵达现场进行服务(不同级别问题有不同的现场服务响应时间)。
现场产品服务是由产品安装调试、产品培训和产品配置文档的制定3个部分组成。我公司的服务人员将在产品的安装调试完成后,在用户现场结合产品配置给用户做一次现场培训,培训内容结合产品在用户网络中的配置及产品的功能介绍进行。最后我公司的服务人员在最终安装调试完成后给用户出具实施文档。
付费标准将参照双方在合同中订立的服务条款或北京融通九洲科技有限公司标准付费服务条款执行。
2、2、2 产品维护服务
产品维护服务是面向公众的,客户将通过此种服务方式获得快速、持续的多种技术服务,保障关键系统的持续运行。
产品维护服务的付费标准将参照双方在服务合同中订立的服务条款执行。
产品维护服务包括以下各项内容:
电话支持:(无次数限制)
1)通过电话接收有关的产品服务请求时,我公司服务人员将立刻响应并做出解决;
2)对于无法立即提供解决办法的问题,在寻找到解决方法后,产品服务人员将采用电话回复、传真回复等方式尽快通知用户,时间不超过4小时;
3)我们将以厂商的技术支持为后盾。遇到疑难问题时,我们将会与产品厂商的技术支持联系,在厂商系统专家的配合下,解决系统故障。确实无法解决的问题,公司会将问题备案并在24小时之内通知用户。
最长响应时间:工作日内4小时
联系电话:010-58731185转产品服务
电子邮件回复服务:(无次数限制)
对于需要电子邮件解决的技术问题,我公司的产品服务人员将在收到邮件后的工作日内8小时做出应答。
最长响应时间:工作日内8小时
E-mail: support @rti.com.cn
传真服务:(无次数限制)
对于需要传真方式解决的技术问题,我公司的产品服务人员将在收到传真后的工作日内8小时做出应答。
最长响应时间:工作日内8小时
传真:010-58731180
远程技术支持:(无次数限制)
当以上3种支持不足以解决问题时,在最终用户授权的前提下,我公司产品服务人员将在客户方技术人员的协助下,通过远程拨入方式登录客户局域网确定故障原因,指导客户方技术人员或直接处理系统故障。
最长响应时间:工作日内4小时
巡检服务
根据用户的需要,我公司将委派有经验的产品服务人员在用户的网络管理中心,对系统的运行状况进行检查(检查周期按用户需求决定)。这样的检查可以为系统的维护提供预警信息,并且为今后的系统扩容提供量化的依据。
我们定期检查的内容包括:
1) 检查产品的日志文件,检查产品的配置,并根据我们的经验,查看产品的运行是否正常。
2) 对所有产品的配置文件进行备份;对产品的日志文件进行备份,并将这些备份文件交给用户技术人员妥善保管。
进行完以上的检查后,我公司将以书面报告形式向用户汇报网络运行状况。
5X8小时产品技术热线:
您可以在我们的工作时间内随时拨打融通九洲的技术支持热线电话,并且没有任何的问题次数限制。融通九洲提供每周五天、每天八小时的电话热线技术支持服务。
网络安全培训服务
包括网络安全技术基础知识培训、网络安全产品技术培训和网络安全管理培训三个部分。既能够作为对购买融通九洲公司产品客户的一种增值服务,也面向对网络安全具有兴趣的人士。该服务的详细内容请参见《融通九洲公司网络安全培训》
安全讯息通知
融通九洲公司将定期将安全讯息通过email方式发送到客户指定邮箱。
产品维护服务对象:已购买产品维护服务的客户。
最长响应时间:产品维护服务响应时间标准和与客户订立的服务条款。
2、2、3 应急服务
网络安全的发展日新月异,谁也无法实现一劳永逸的安全。因此当紧急安全问题发生,企业的一般技术人员无法迅速解决,所以需要专业人员及时响应,以最快速度发现问题、解决问题,从而将企业的损失降到最小。
北京融通九洲科技有限公司凭借着多年工程实施和维护的经验,可以为用户提供及时的应急救援服务,保证企业网络在出现问题时能够以最快的速度恢复正常工作,并对问题进行详细分析,确定问题原因,提出合理的改进意见,确保网络不会出现同样问题。
作为一个规范的网络安全服务商,北京融通九洲科技有限公司有一整套紧急响应机制,同时也具备处理各种紧急事件经验的工程师,我们可以为用户处理的紧急事件包括:
" 大规模病毒爆发
" 网络入侵事件
" 拒绝服务攻击
" 网络异常事件
服务对象:已购买产品应急服务的客户。
响应时间:按双方在合同中订立的服务条款执行。
2、2、4 备机服务
提供关键设备的备机支持。
服务对象:已购买备机服务的客户。
响应时间:按双方在合同中订立的服务条款执行。
三、防火墙产品服务
3·1 免费服务(服务代码PS-001)
服务内容:北京融通九州科技有限公司产品服务体系条款2·1之内容。
3·2 收费服务(服务代码 PS-002)
3·2·1 现场技术服务(服务代码PS-002-FWOS)
3·2·1·1安装调试:
防火墙产品安装调试前,我公司产品服务人员将同客户方技术人员在了解客户网络拓扑结构及网络应用的前提下,共同制订防火墙产品的安装调试计划,确定防火墙产品在网络中部署等等。并编制"防火墙产品安装调试方案 "。
防火墙产品安装实施过程中,我公司产品服务人员将依照 "防火墙产品安装调试方案",进行防火墙的部署和配置。
防火墙产品的基本配置包括:
确定防火墙的运行模式(第二层模式、第三层模式);
配置防火墙的网络配置(管理ip地址、接口ip地址、路由);
配置防火墙的访问控制策略;
配置防火墙的管理(流量管理、日志管理等);
配置VPN隧道(站对站的VPN通道、远程接入的VPN通道);
其他配置。
3·2·1·2产品培训:
在防火墙产品现场安装实施后,我公司的产品服务人员将在客户现场结合产品配置给客户做一次培训,培训一般一天内完成。培训内容结合产品在客户网络中的配置及产品的主要功能进行。
3·2·1·3产品配置文档:
我公司的产品服务人员在最终安装调试完成后给客户出具实施文档。
包括:
防火墙产品安装时的重要参数:防火墙的管理ip地址、管理员账户、口令等等;
防火墙产品的网络配置(接口ip地址、路由等等);
防火墙产品的访问控制策略配置;
其它配置。
服务对象:从北京融通九州科技有限公司购买以上产品的客户;
购买服务代码为PS-002-FWOS服务的客户。
付费标准:购买产品合同价格的10%(一般限于本地客户);
双方于服务合同中订立的付费标准。
3·2·2 产品维护服务(服务代码 PS-002-FWRC)
防火墙产品维护服务是面向公众的,客户将通过此种服务方式获得快速、持续的多种技术服务,保障关键系统的持续运行。
防火墙产品维护服务包括以下各项内容:
电话咨询
通过电话沟通询问了解防火墙产品的使用情况,解答客户疑问。
定制培训:
根据客户需要,我公司派遣产品服务人员到达客户公司,对防火墙产品的使用者做网络安全及防火墙产品相关的培训,提高客户对网络安全的认知并熟悉防火墙产品的配置和使用。
安全讯息通知
融通九洲公司将定期将安全讯息通过email方式发送到客户指定邮箱。 保修服务
防火墙设备的质量保证期为3年,保修期内我公司提供设备制造厂商的维修服务。
升级服务
防火墙产品的系统软件升级服务期为3年,服务期内我公司将提供软件升级通知和电话指导客户升级,现场升级服务支持。
服务对象:从北京融通九州科技有限公司购买以上产品的客户。
付费标准:购买产品合同的5%(一般限于本地用户);
双方于服务合同中订立的服务付费标准。
3·2·3 应急服务(服务代码 PS-002-FWEC)
对于购买了NetScreen 防火墙产品的客户,我公司除提供常规的电话支持、邮件支持、传真支持、远程支持外,还将提供产品应急服务。
产品应急服务内容:
3·2·3·1 7 X24小时产品技术热线:
为保障网络运行正常,对于一些重要的网络系统,提供每周7天,每天24小时的技术支持热线服务。对于购买了我公司7 X24小时产品技术热线的客户,我公司会在长假特别制定节假日保障计划,将会安排专人负责专门的网络维护工作,确保这些客户网络系统的安全。
3·2·3·2 紧急救援现场服务
如果遇到因防火墙产品出现问题导致系统运行故障或遇有紧急突发网络异常事件,客户可要求我公司产品服务人员上门服务。我公司将根据情况划分严重级别,并根据严重级别作出相应响应,提供应急现场支持服务。
严重级别:
优先级1(P1):防火墙设备故障,系统已经不能启动,严重影响用户业务;
优先级2(P2):防火墙设备能启动,启动后可以工作,但是有重复宕机现象,对用户业务造成影响;
优先级3(P3):防火墙设备能够工作,但部分功能失效,但并没有对用户业务系统造成影响
优先级4(P4):客户询问问题,或有防火墙系统软件升级的需求
响应时间:
P1: 4小时内
P2: 12小时内
P3: 24小时内
P4: 48小时内
3·2·3·3 突发事件响应服务
如果客户网络有突发事件发生,比如因病毒或黑客攻击等行为影响业务系统,我公司会在第一时间提供有关详细的解决方案,并在最短时间内将可行的解决方案递交给客户。我们同时也愿意在能力范围内帮助客户解决因病毒或攻击行为而产生的网络安全问题。
服务对象:购买本服务的客户。
付费标准:双方于服务合同中订立的服务付费标准。
3·2·4 备机服务(服务代码 PS-002-FWBS)
我们提供的NetScreen产品都是具备优秀品质保证的世界级优秀产品,但所有的任何产品在使用过程中仍然会不可避免的出现一些故障问题,为使产品更好的服务于客户,在产品维修期间不影响您的正常使用,我们为客户提供优惠的有偿备机先行服务。
备机先行服务是指客户向我们报告故障经我公司产品服务人员确认硬件故障问题后,当日内我们为客户提供同等型号设备的备机,待设备维修返回现场后当日将备机收回的服务方式。
该服务可以按照年度以优惠价格购买和按所需要次数购买的两种灵活方式供客户选择,对于保修期内的产品我们通过厂商免费的为您维修产品,只收取相当于产品公开报价1.5%~~2%不等的备机服务费用,已经超出保修期的产品,客户除了缴纳相应金额的备机租赁费用外,还需要购买厂商的保修以及升级服务,保修、升级服务的参考价格为每年按照产品公开价格的1.5%收取。
目前我们提供的NetScreen备机服务暂时只包含NetScreen的5GT产品、25系列产品、50系列和204系列产品,相应的服务报价如下:
序号 型号 产品公开价 年收费 次收费
(保修期内产品) 		次收费
(保修期外产品)
1 NS-5GT-108 ¥36800 ¥820 ¥540 ¥615
2 NS-025-001 ¥110240 ¥2480 ¥1650 ¥1860
3 NS-050-001 ¥183840 ¥4136 ¥2760 ¥3102
4 NS-204-001 ¥368000 ¥8000 ¥5400 ¥6000
服务对象:公众