Fortinet负载均衡技术 Jan, 2009.

Slides:



Advertisements
Similar presentations
一、软件简介 二、功能介绍 三、产品优势 四、应用范围 五、成功客户 目录目录 软件简介 ●员工工作时间,都认真工作了? ●还是在玩游戏? ●浏览与工作无关的网站? ●收发私人邮件? ●甚至将公司的机密资料拷贝带 走?或是通过邮件或聊天工具泄 密? …… 解决之道.
Advertisements

四川财经职业学院会计一系会计综合实训 目录 情境 1.1 企业认知 情境 1.3 日常经济业务核算 情境 1.4 产品成本核算 情境 1.5 编制报表前准备工作 情境 1.6 期末会计报表的编制 情境 1.2 建账.
支援不同網際網路供應商路由 之線路備援機制 黃政欽 育達商業技術學院資管研究所
2008年上海市精品课程 2007年度上海建桥学院教改课程 计算机网络技术 理论 DNS服务的应用 项目负责人 张嗣萍/本环节主讲教师 阮鹏.
6.1 区域委派与域名转发 6.2 虚拟主机技术 6.3 架设FTP服务器 6.4 动态主机分配协议 6.5 架设Mail服务器
项目四:Internet基础与接入方法 第八章 应用服务器安装配置
第6章:计算机网络基础 网考小组.
第12章 网络营销实施与控制.
“营改增”税控开票软件(金税盘版)技术培训 2016年4月
Fortinet产品IDC安全解决方案.
数字化校园建设与思考 扬州大学信息中心 沈 洁 2017年3月3日.
区域教育信息中心工作的思考与探索 ----抓好应用建设 提升服务水平.
大学计算机基础 主讲:张建国 电话: 实验及交作业网址:
105學年度國民中學技藝教育 專案編班申辦說明會
大规模互联网用户密码泄露 风险控制对策 吴锐
第三章 網際網路和全球資訊網 : 電子商務基礎建設
彭江波.
大连工业大学员工私家车保险 优惠方案 平安产险大连分公司 2011年1月 1.
了 解 从 Internet IP 开 始.
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
芦花庄园项目整合营销思路提报 ---纵横地产.
电子商务网络技术 主讲:苑毅 电子商务教研室.
遇到过类似事件吗?你会如何处理? 客户李先生(68岁)上门投诉,其爱人王某于2004年3月份购买公司红双喜A款保单,所交保费45000 元,08年9月因急需用钱选择退保,所退保费 元。客户对退保现金价值十分不满,坚持自己购买给份保单时业务人员并未对退保损失做任何说明,退保产生差额属于公司欺骗行为所致,要求公司给予退保差额的50%(¥ )作为补偿。客户情绪激动,称如果公司不与解决将做媒体曝光。
VIP Exam Resources System
为选择而生 师兄指路.
实训十四、IE浏览器的基本应用.
了 解 Internet 从 ip 开 始.
歡迎委員 蒞臨指導 生態有機校園評鑑 簡報 石龜國小104學年度 石龜團隊: 校 長 高啟順 訓導組長 廖美智
2017/4/6 课程整体设计 计算机组网技术 梁建华.
海信FW3010PF防火墙介绍 北京海信数码科技有限公司
Chapter 7 旅遊保險之內容. Chapter 7 旅遊保險之內容 第一節 旅行業責任保險 一、名詞定義 (一) 保險人 (二) 被保險人 (三) 要保人 出具保險單之保險公司。 (一) 保險人 出具保險單之保險公司。 (二) 被保險人 保險事故發生時,有賠償請求權之人。 (三) 要保人.
企业网搭建及应用 重庆市永川职业教育中心
律师职业道德伦理专题案例.
网络地址转换(NAT) 及其实现.
药店会员制营销.
第7章 计算机网络基础.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
第5章 總算走到Web伺服器 ~探險防火牆、Web伺服器~
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
計中「多媒體與網路應用」短期訓練課程 FTP server 架設 (in Windows)
郵件伺服器 MS 系列.
Windows 2003 Server IIS網站的架設
Server Load Balancing 飛雅高科技 李村.
华南师范大学 防火墙 华南师范大学
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
第 16 章 Internet架構.
網路服務 家庭和小型企業網路 – 第六章.
二、電子郵件收發 使用 Outlook Express
班級:四子二甲 姓名:孫培修 學號: 指導教授:謝欽旭老師
《电子商务概论》高等教育出版社 2003版 市场营销系
网络负载衡技术 演讲人:瞿彬 2018年12月7日. 网络负载衡技术 演讲人:瞿彬 2018年12月7日.
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
Windows Server 2008证书服务的安装
NetST®防火墙培训教程 清华得实® 保留所有权利.
第12章 远程访问、NAT技术.
E地通VPN设备部署.
我們的製作人員有: “3C精英” 湛啟初,萬偉傑,陳瑋瑜
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
Web前端开发 第23章:网站发布 阮晓龙 / 河南中医药大学管理科学与工程学科
第3章电子商务网站的建设流程 《电子商务网站建设与管理》配套课件.
粮油加工与质量监控 食品与生物工程系 孙玉清.
網際網路與電腦應用 林偉川 2001/12/13.
實驗目的: 明瞭無線網路基地台及無線區域網路之設定
無法登入申報網站之處理 常見狀況 看不到首頁 看得到首頁但無法登入 緊急處理 申請以無認證方式申報.
第10讲 Web服务.
機構督導: 范盛翔 督導 實習生: 佛光大學社會學系江佳穎 實習日期: 7/1(二)~8/29(五)
個資法對台糖公司應用系統所帶來的衝擊與防範
DNS CACHE POISONING A 曾子桐 指導教授: 梁明章.
王小桃 認識電子商務.
NFW-460 多功能防火牆 8.5吋桌上型 效能800M(多連線)
Presentation transcript:

Fortinet负载均衡技术 Jan, 2009

1 负载均衡概述 2 链路负载均衡 3 服务器负载均衡 2

负载均衡概述 负载均衡(Load Balance)建立在现有网络结构之上,它提供了一种廉价、有效、透明的方法,来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。 链路负载均衡 通过为不同链路通过算法分配合理流量,解决 Internet 网络拥塞状况,提高用户访问网站的响应速度。 服务器负载均衡 把大量的并发访问或数据流量分担到多台服务器上分别处理,减少用户等待响应的时间

1 负载均衡概述 2 链路负载均衡 3 服务器负载均衡 4

链路冗余——优先路由 大多数公司使用多个ISP线路实现链路冗余,通过路由管理距离值配置实现链路切换。 当ISP A链路出现问题时,流量可以切换到ISP B 通过这种方式可以实现链路冗余,但负载没有在多条ISP链路上分布 ISP A ISP B 10M专线 默认路由 二级路由 DMZ 内部网

链路冗余——优先路由 通过管理距离值选择ISP(路由) 当第一默认路由被检测到失效时,连接切换到第二条路由 ISP A — 第一默认路由 ISP B — 第二默认路由 通过管理距离值选择ISP(路由) 当第一默认路由被检测到失效时,连接切换到第二条路由 可以通过Ping服务器经过接口的可达状态来检测链路是否失效。Ping服务器可以识别到上游设备的3层问题,而不仅仅是通过本地接口的是否失效来检测。

链路冗余——检测接口状态 在本地物理接口状态正常时,ISP也可能不能路由流量 上游设备的三层问题可能造成网络中断 开启网络接口选项可以监测一台上游设备/服务器(通常但不限于是下一跳的路由器) 失效网关检测在网络—>选项中配置阈值

链路冗余——优先路由+PBR 优先路由可以通过策略路由进行扩展,以更好的使用两条链路 内网到外网的非关键流量(端口为80/443),可以被重定向到低宽带的ISP B链路 ISP A可以为关键流量保留(DMZ+Email) 链路A失效时,所有的流量可以切换到链路B 这种方式可提供基本的负载分发功能 ISP A ISP B 10M专线 默认路由 二级路由 80/443端口流量 DMZ 内部网

链路冗余——FortiOS 3.0的ECMP ECMP (Equal Cost Multipath) 通过多个ISP分发流量。当静态路由配置相同的距离值和优先级时,ECMP将会生效 流量基于源地址进行分发 ECMP支持OSPF或静态路由(ECMP只能在相同的路由协议下工作) 两条链路宽带相同时可正常工作,否则,宽带较低的链路将会始终饱合(轮循方式)。 这种方式可以链路冗余及负载均衡 ISP A ISP B 10M专线 默认路由 二级路由 DMZ 内部网

链路冗余——FortiOS 4.0 MR1的ECMP 与3.0相同,4.0的ECMP (Equal Cost Multipath) 通过多个ISP分发流量,但有更多的功能 流量可通过三种方式在链路中分发 源HUSH(与3.0相同) 基于权重(基于权重的下一跳分发) 基于使用率(路由选择基于网关的流量) 最多支持10条链路 ECMP支持OSPF或静态路由(ECMP只能在相同的路由协议下工作) ISP A ISP B 10M专线 默认路由 二级路由 DMZ 内部网

ECMP描述——源 FortiGate基于会话的源地址在ECMP路由中对会话进行负载均衡,例如: 192.168.1.1通过ISP A路由 192.168.1.2通过ISP B路由 192.168.1.3通过ISP A路由 如果在网络中有大量的代理服务,流量分发将不平均 与3.0版本相同的工作方式 ISP A ISP B ECMP 10M专线 默认路由 二级路由 内部网 11

ECMP描述——权重 FortiGate基于增加在ECMP路由中的权重值,在ECMP路由中对会话进行负载均衡,更多的流量将被指向到权重值高的路由 基于4层的负载均衡(源/目的/端口),根据静态路由中的路由权重值决定权重 ISP A ISP B ECMP 10M专线 默认路由 二级路由 权重 10 权重 4 内部网 12

ECMP描述——使用率 FortiGate基于有多少流量经过路由的接口(例如在ISP A的路由接口上配置7Mbps阀值),在ECMP路由中对会话进行负载均衡。超过7Mbps的流量将被动态路由到ISP B。 FortiGate把所有的ECMP路由会话发送到配置最低值的接口,直到这个接口处理的宽带达到链路超载阀值。FortiGate将把后续的会话分配到第二低值的接口中。 ISP A ISP B ECMP 10M专线 默认路由 二级路由 流量超过使用率阀值后,将溢出到另一条链路 内部网 13

注意 在以上所有示例中,内网与多个ISP(公网)之间必须使用NAT地址翻译。 用户的常见问题是:“在网络中使用ECMP后,是否会出现非对称路由的情况”。因为使用了NAT,所以回答的否定的。当流量被发送到任意ISP链路时,内部IP将被NAT为ISP的公网IP。因此,流量的返回路由不可能被指向到其它ISP。 上述所有ECMP描述都应用在对外出(outbound)流量进行路由,而没有对来自Internet的进入(inbound)的流量进行处理。进入流量将通过一些应用程序实现。 14

Inbound负载均衡——SMTP 通过SMTP自有功能实现冗余 在DNS中为MX记录指定权重,在主服务器失效时,可切换到第二台服务器上 MX1.company.com MX2.company.com 通过SMTP自有功能实现冗余 在DNS中为MX记录指定权重,在主服务器失效时,可切换到第二台服务器上 也可以指定相同的权重值,两台服务器以轮循方式工作 MX记录使用相同权重值 MX1 ISP A NAT到邮件服务器 MX2 ISP B NAT到邮件服务器 ISP A ISP B 10M专线 默认路由 二级路由 MX1.company.com MX2.company.com Mail Server DMZ 内部网 15

Inbound负载均衡——HTTP/Web DNS www.company.com www.company.com 在DNS中指定多个IP地址 大多数DNS服务器可以为不同的客户端随机返回一个IP地址。 大多数浏览器在发现第一个IP地址失效时,可以自动切换到第二个IP地址 ISP A ISP B 10M专线 默认路由 二级路由 Web Server DMZ 内部网 16

1 负载均衡概述 2 链路负载均衡 3 服务器负载均衡 17

服务器负载均衡 FortiGate把来自Internet对服务器的访问,分发到多台服务器上 健康检测发现某台服务器失效时,可以把流量分配到其它服务器上 HTTP多路复用技术减少到Web服务器访问的会话数量 SSL Offloading可替代服务器进行SSL认证 服务器 18

服务器负载均衡 访问服务器时,先访问到FortiGate外部接口的虚拟IP地址,由FortiGate将访问转发至真实服务器 VIP Client 访问服务器时,先访问到FortiGate外部接口的虚拟IP地址,由FortiGate将访问转发至真实服务器 一个虚拟IP对应多个真实服务器IP,实现服务器负载均衡 隐藏真实服务器IP,提高安全性 负载均衡支持多种算法 Static Round Robin Weighted First Alive Least RTT Least Session

X 服务器负载均衡健康检测 某台服务器出现问题时,FortiGate将把流量自动转发到状态良好的服务器上 检测服务器状态可用方法 TCP VIP Client 某台服务器出现问题时,FortiGate将把流量自动转发到状态良好的服务器上 检测服务器状态可用方法 TCP HTTP Ping

应用加速—HTTP多路复用 在FortiGate上维持和客户端的大量连接,而在FortiGate和服务器之间建立少量常开的连接 多个客户连接 健康检查 Server Farm 客户请求复用 (通过单个服务器会话) Client 每个连接中的多个请求 在FortiGate上维持和客户端的大量连接,而在FortiGate和服务器之间建立少量常开的连接 减少服务器的资源消耗,提高服务器的处理性能。 服务器必须支持HTTP/1.1

服务器负载均衡——虚拟服务器 配置虚拟服务器,用户通过访问虚拟服务器IP访问物理服务器 服务类型包括HTTP、HTTPS、SSL、TCP、UDP及IP 服务器负载均衡方式选择分配负载的算法 通过健康检查检测服务器的状态 22

负载均衡方式——静态与轮询 静态与轮询方式都可以把流量平均的分配到各台服务器上 静态方式 轮询方式 根据源地址分发负载,实现3层负载均衡 不根据会话进行流量分发 轮询方式 基于会话进行负载均衡 不考虑服务器的响应时间或连接数 服务器 23

负载均衡方式——加权 基于权重值对流量进行分配 基于4层的负载均衡,根据真实服务器中配置的权重值的比例,按比例进行流量分配 权重 权重 10 5 服务器 24

负载均衡方式——最早存活与最小响应时间 最早存活 最小响应时间 永远把流量转向第一个保持存活的服务器 “第一”,指的是虚拟服务器配置中真实服务器的顺序 最小响应时间 根据健康检查的ping获得的RTT来判断将流量传到哪台服务器,流量一直转发到RTT值最低的服务器上 没有配置Ping监测,则默认最小响应时间为0 服务器 25

负载均衡方式——最小连接数 FortiGate始终把流量分配到连接数最少的服务器 连接数是指FortiGate分配在服务器上的连接数量 26

负载均衡保持方式 确保用户在每次发起请求时,都连接到同一台真实服务器 FortiGate根据负载均衡方式把新发起会话发送到某台真实服务器上,如果会话中包含HTTP Cookie或SSL Session ID,则所有的含有相同HTTP Cookie或SSL Session ID的后续会话都将发送到同一台真实服务器 虚拟服务器类型设置为HTTP、HTTPS或SSL时,可配置保持方式 选择无,会话只根据负载均衡方式进行分配。静态方式可以实现会话保持。 选择HTTP Cookie,所有的含有相同的HTTP session cookie的HTTP或HTTPS会话将发送到同一台真实服务器上。 选择SSL Session ID,所有的含有相同的SSL session ID的会话将发送到同一台真实服务器上。 服务器 27

HTTP多路复用 FortiGate上维持和客户端的大量连接,而在FortiGate和服务器之间建立少量常开的连接 最小化TCP会话的建立,减少服务器的资源消耗,提高服务器的处理性能。 服务器必须是HTTP/1.1 HTTP HTTPS 服务器 28

SSL offloading FortiGate进行SSL的加/解密运算,从服务器上“卸载”了SSL协商过程,加速客户端到服务器的SSL连接 仅在客户端和FortiGate设备间使用SSL硬件加速,FortiGate与服务器间使用明文通讯 可最大的提高性能 客户端<->FortiGate <->服务器 客户和FortiGate、FortiGate与服务器间都使用SSL硬件加速 FortiGate与服务器间的SSL协商被简化,仍可以提高SSL性能 SSL计算 服务器 29

X 负载均衡健康检查 FortiGate通过健康检查的方式检测服务器运行状态 健康检查失败的服务器被不会被分配流量 健康检查方式 TCP HTTP PING X 服务器 30

Thank You.