互联网出口负载均衡和流量分析总体方案.doc

xxx互联网出口负载均衡和流量分析 项 目 方 案 巴州浩展网络有限责任公司 2012年3月 目录 1 项目背景 3 2 项目目标 3 3 项目原则 3 4 总体方案设计 4 4.1 现状分析 4 4.2 方案论证 4 4.3 总体方案 5 5 设计方案 6 5.1 技术关键点 6 5.2 方案设计 7 6 实施方案 11 6.1 设备安装调试 11 6.2 设备上架、加电测试 11 6.3 业务平滑迁移 11 6.4 链路跳接 12 6.5 策略调整、优化配置 12 6.6 设备关机 12 7 项目组织管理 13 7.1 项目实施总体布署 13 7.2 项目实施准备工作 13 7.3 项目实施关键步骤说明 14 7.4 项目文档管理 15 8 项目实施进度计划 16 9 应急预案 16 10 培训计划 17 10.1 F5培训内容 17 10.2 Allot 培训内容 17 11 附件 19 11.1 《F5-6400配置手册》 19 11.2 《Allot管理服务器配置手册》 26 11.3 《Allot-3040配置手册》 28 11.4 C3750G配置手册 32 项目背景 目前xxx的互联网出口是电信、联通双线接入，办公网、公共信息网分别建有互联网出口系统；中石油互联网出口接入到办公网边界区域；用户群体庞大，约有3万终端。 油田中心机房现有油田办公网互联网出口负载均衡设备、流量整形设备，且各只有一台，没有备份，当出现软硬件问题设备不能正常运行时将导致相关网络瘫痪。通过本项目购置负载均衡设备和流量整形设备各1台，为互联网正常运行做好保障。 项目目标 根据油田互联网出口现状，设计原有的互联出口设备和新购的F5负载均衡、ALLOT流量整形设备的实施方案。根据方案进行油田互联网出口整体实施，包括原有设备和新购设备等的安装实施。在原有的互联网出口系统基础上，使之更加稳定、安全、可靠。 项目原则 先进性原则 可靠性原则 维护性原则 扩展性原则 安全性原则 易用性原则 总体方案设计 现状分析 办公网互联网出口设备有F5-6400、Allot-1010、ISG2000和边界路由器3750G，公共信息网互联网出口设备有F5-3400、QQSG和边界路由器3750G。 方案论证 根据xxx办公网与公共信息网两网分离的网络实际情况，结合现有设备，从以下几个方面分析论证： 流量分析： 设备 OUT IN 策略 备注 F5-6400 50M/s 400M/s Web/邮件 办公网 F5-3400 500M/s 600M/s 无 公共信息网 结论： 互联网出口峰值流量公共信息网大于办公网； 互联网出口设备压力公共信息网高于办公网。 设备性能分析： 公共信息网 F5-3400 年限较长，硬件性能不足。设备（理论值）并发会话数为400万，活动用户数峰值为1万，内存为1G。当用户峰值访问时，设备会话保持使用不够，易出现间断性断网，释放内存后网络恢复。 不能满足公共信息网的应用需求 办公网 F5-6400 并发会话数800万，活动用户数峰值为2.5万，内存为2G。 可以满足办公网的应用需求，但不能满足公共信息网的应用需求。 QQSG 协议特征库长时间没有更新，不能对新的应用做到识别，已经不能满足现有流量分析的需求；报表的时间戳不能同步，报表的时间不对，无法修正。 不能满足公共信息网的需求 Allot-1010 能够识别现有办公网（Web/Ftp/Mail）需求产生的应用流量分析，硬件设备运行稳定。由于没有续保服务，特征库无法更新，软件版本低。 可以满足办公网现有功能要求，但不能满足公共信息网复杂应用分析的需求。 总体方案 基于上述分析，办公网的互联网出口系统保持现状，公共信息网的F5-3400和QQSG更换为F5-6900和Allot-3040,F5-3400和QQSG关机，作为互联网出口体系的备用设备。 设计方案 技术关键点 F5-6900 多链路的负载均衡：LinkController可以智能的解决多条ISP接入链路以保证网络服务的质量，分为OUTBOUND流量的负载均衡、INBOUND流量的负载均衡。 多链路的冗余：可以检测每条链路的运行状态和可用性，做到链路和ISP故障的实时检测。 高度的安全性：采用防火墙的设计原理，是缺省拒绝设备，防御普通网络攻击。能够拆除空闲连接防止拒绝服务攻击；能够执行源路由跟踪防止IP欺骗；拒绝没有ACK缓冲确认的SYN防止SYN攻击；拒绝teartop和land攻击；保护自己和内网免受ICMP攻击；不运行SMTP、FTP、TELNET或其它易受攻击的后台程序。Dynamic Reaping特性可以高效删除各类网络DoS攻击中的空闲连接，这可以保护BIG-IP不会因流量过多而