打造ISA防火墙网络负载均衡的故障转移
“正一非负”通过精心收集,向本站投稿了9篇打造ISA防火墙网络负载均衡的故障转移,下面是小编为大家整理后的打造ISA防火墙网络负载均衡的故障转移,供大家参考借鉴,希望可以帮助您。
篇1:打造ISA防火墙网络负载均衡的故障转移
前言:网络负载均衡(NLB)可以实现网络服务的负载均衡和容错,但是当NLB节点的NLB服务没有失效但是所提供的其他服务失效时,NLB的容错是要打个折扣的,在这篇文章中,你可以学习到如何实现ISA防火墙网络负载均衡的故障转移,从而实现真正的容错。
在部署了网络负载均衡(NLB)的网络中,当某个客户针对NLB虚拟地址发起连接请求时,NLB通过某种NLB算法来确定(通常是根据发起请求的客户端源地址来决定)为客户服务的NLB节点。在NLB节点没有变动之前,对于某个客户,将总是由某个对应的NLB节点为它提供服务。ISA防火墙企业版中的集成NLB依赖于Windows服务器系统的NLB服务,对于客户发起的请求,也是采用相同的方式进行处理。
例如,对于一个具有三个NLB节点(ISA1、ISA2、ISA3)的ISA防火墙NLB阵列,当一个客户(10.1.1.1)发起连接请求时,NLB通过NLB算法确定由ISA1为此客户服务;而当另外一个客户(10.1.1.2)发起连接时,NLB通过NLB算法确定由ISA2为此客户服务。在NLB节点没有变动时,客户10.1.1.1的连接请求将会始终通过NLB节点ISA1来进行处理;而客户10.1.1.2的连接请求则会始终通过NLB节点ISA2来进行处理。
当某个NLB节点出现故障时,NLB将在所有节点上重新进行汇聚,并重新根据NLB算法来确定为客户提供服务的NLB节点。例如,此时ISA1节点出现故障,无法再提供NLB服务;则NLB重新进行汇聚,如果客户10.1.1.1再发起连接请求,则就是ISA2或者ISA3来为它进行服务,
当NLB节点失效时,NLB可以让其他NLB节点来为客户提供服务。但是,如果NLB节点的NLB服务没有失效但是所提供的其他服务失效时,怎么办呢?
如下图所示,两台ISA防火墙属于相同的NLB阵列,分别通过不同的外部链路连接到Internet,并且对内部网络提供NLB服务。两台ISA防火墙允许内部网络中的用户通过自己来访问外部网络,正在为不同的客户提供服务;如果此时,ISA1上的外部链路突然断开,会出现什么情况呢?
此时,由于ISA1上的NLB服务并没有出现故障,所以NLB会认为ISA1仍然是有效的NLB节点,并且同样会分配客户给它。但是,由于外部链路断开,ISA1所服务的客户却不能再连接到Internet了。这当然就不能有效的实现网络负载均衡中的容错特性。
那么,出现这种情况时,该怎么办呢?
答案很简单,当出现这种情况时,停止ISA1上的NLB服务,这样,NLB会认为ISA1上的NLB服务已经失效,将重新汇聚NLB,并且重新分配客户。从而原来属于ISA1的客户可以通过仍然运行正常的ISA2来访问外部网络。
要实现ISA防火墙NLB的故障转移比较简单,微软已经考虑到了。你可以通过配置ISA防火墙的连接性验证工具来实现当外部链路出现故障时进行相关的操作,但是要停止ISA防火墙上的NLB服务不是一件容易的事情。由于ISA防火墙上的NLB服务是和ISA防火墙服务集成的,所以你不能通过Windows的NLB stop命令来停止ISA防火墙上的NLB服务;微软也没有相关的关于如何停止ISA防火墙上的NLB服务的说明。在这种情况下,只能通过停止ISA防火墙服务来停止ISA防火墙上的NLB服务。
篇2:实现ISA防火墙网络负载均衡的故障转移
在部署了网络负载均衡(NLB)的网络中,当某个客户针对NLB虚拟地址发起连接请求时,NLB通过某种NLB算法来确定(通常是根据发起请求的客户端源地址来决定)为客户服务的NLB节点,在NLB节点没有变动之前,对于某个客户,将总是由某个对应的NLB节点为它提供服务。ISA防火墙企业版中的集成NLB依赖于Windows服务器系统的NLB服务,对于客户发起的请求,也是采用相同的方式进行处理。
例如,对于一个具有三个NLB节点(ISA1、ISA2、ISA3)的ISA防火墙NLB阵列,当一个客户(10.1.1.1)发起连接请求时,NLB通过NLB算法确定由ISA1为此客户服务;而当另外一个客户(10.1.1.2)发起连接时,NLB通过NLB算法确定由ISA2为此客户服务。在NLB节点没有变动时,客户10.1.1.1的连接请求将会始终通过NLB节点ISA1来进行处理;而客户10.1.1.2的连接请求则会始终通过NLB节点ISA2来进行处理。
当某个NLB节点出现故障时,NLB将在所有节点上重新进行汇聚,并重新根据NLB算法来确定为客户提供服务的NLB节点。例如,此时ISA1节点出现故障,无法再提供NLB服务;则NLB重新进行汇聚,如果客户10.1.1.1再发起连接请求,则就是ISA2或者ISA3来为它进行服务。
当NLB节点失效时,NLB可以让其他NLB节点来为客户提供服务。但是,如果NLB节点的NLB服务没有失效但是所提供的其他服务失效时,怎么办呢?
如下图所示,两台ISA防火墙属于相同的NLB阵列,分别通过不同的外部链路连接到Internet,并且对内部网络提供NLB服务。两台ISA防火墙允许内部网络中的用户通过自己来访问外部网络,正在为不同的客户提供服务;如果此时,ISA1上的外部链路突然断开,会出现什么情况呢?
此时,由于ISA1上的NLB服务并没有出现故障,所以NLB会认为ISA1仍然是有效的NLB节点,并且同样会分配客户给它。但是,由于外部链路断开,ISA1所服务的客户却不能再连接到Internet了。这当然就不能有效的实现网络负载均衡中的容错特性。
那么,出现这种情况时,该怎么办呢?
答案很简单,当出现这种情况时,停止ISA1上的NLB服务,这样,NLB会认为ISA1上的NLB服务已经失效,将重新汇聚NLB,并且重新分配客户。从而原来属于ISA1的客户可以通过仍然运行正常的ISA2来访问外部网络。
要实现ISA防火墙NLB的故障转移比较简单,微软已经考虑到了。你可以通过配置ISA防火墙的连接性验证工具来实现当外部链路出现故障时进行相关的操作,但是要停止ISA防火墙上的NLB服务不是一件容易的事情。由于ISA防火墙上的NLB服务是和ISA防火墙服务集成的,所以你不能通过Windows的NLB stop命令来停止ISA防火墙上的NLB服务;微软也没有相关的关于如何停止ISA防火墙上的NLB服务的说明。在这种情况下,只能通过停止ISA防火墙服务来停止ISA防火墙上的NLB服务。
但是停止ISA防火墙服务后,无法依靠ISA防火墙本身启动ISA防火墙服务,这样又给故障恢复时的处理带来难题。当外部链路恢复的时候,还是需要你手动启动ISA防火墙服务才能将这台ISA防火墙正常加入NLB阵列中运行,这造成了额外的管理负担。不过你可以通过第三方的链路监测软件实现NLB的故障转移和自动恢复,例如KS-Soft Advanced Host Monitor或者GFI Network Server Monitor。你可以配置它们当外部链路出现问题时停止ISA防火墙服务,而当外部链路恢复时启动ISA防火墙。
在此我给大家演示一下如何实现ISA防火墙NLB的故障转移,网络拓朴结构如下图所示:
内部网络地址范围为10.1.1.0/24,部署了两台ISA企业版防火墙Florence和Firenze,操作系统均为Windows server SP1,IP地址分别为10.1.1.1和10.1.1.2,
对内部网络配置了NLB,NLB虚拟地址为10.1.1.254,
两台ISA防火墙上的NLB服务均工作正常。
Berlin是内部网络中的客户,IP地址为10.1.1.8,默认网关配置为NLB的虚拟地址10.1.1.254。
我已经创建了允许内部网络的所有用户访问外部网络的访问规则,已经确认所有网络连接工作正常。在进行整个部署之前,你必须预先考虑好如何配置有效的连接性验证方式,以及什么时候触发警告。如果要验证外部链路是否连接正常,你可以Ping离你最近的外部网络中的某台持续在线的服务器或路由器的IP地址。在此我通过配置连接性验证工具Ping我的DNS服务器61.139.2.69实现,如果连续两次不能Ping通时,则停止ISA防火墙服务。
本文中的操作步骤如下:
配置连接性验证工具;
配置警告操作;
测试;
配置连接性验证工具
打开ISA管理控制台,展开阵列,点击监视节点,点击右边面板的连接性标签,最后点击创建新的连接性验证程序链接;
在弹出的欢迎使用新建连接性验证程序向导页,输入连接性验证程序的名称,在此我命名为Ping 61.139.2.69,点击下一步;
在连接性验证细节页,在监视到此服务器或 URL 的连接栏,输入IP地址为61.139.2.69,然后在验证方法栏,选择发送一个 Ping 请求,点击下一步;
注:关于连接性验证工具的使用及详细描述,请参见理解ISA 的连通性验证工具一文;
在正在完成连接性验证程序向导页,点击完成;
此时,我们的连接性验证工具就创建好了,如下图所示,验证结果均正常。
配置警告操作
接下来我们就需要配置当连接性验证工具出现无连接的警告时,停止ISA防火墙服务。在ISA防火墙管理控制台中点击警报标签,然后在右边的任务面板中点击配置警报定义链接;
在弹出的警报属性对话框,在列表中找到无连接警报,然后点击编辑按钮;
在弹出的无连接属性对话框,首先在常规标签确认它是启用的,
然后在事件标签,由于我想当连续两次出现无连接事件(即连续两次不能Ping通61.139.2.69)时触发警告,所以勾选发生次数,然后输入2,其他保持默认,点击操作标签,
在操作标签,勾选停止选择的服务,然后点击选择按钮;
在弹出的选择 ISA 服务器服务对话框,勾选Microsoft 防火墙,然后点击确定;
点击两次确定返回到ISA管理控制台,最后点击应用按钮保存修改和更新防火墙配置,并且等待直到所有ISA防火墙服务器完成配置的同步。
测试
我们现在在客户机Berlin上访问ISA中文站进行测试,访问成功。
ISA防火墙的实时日志如下图所示,可以清楚的看到,是由Firenze为它提供的服务。
现在,我们把Firenze上的外部链路断开,由于默认情况下连接性验证程序每30秒执行一次,所以等待大约1分钟后,你会发现Firenze上的ISA防火墙服务已经自动停止了,如果在Firenze上的ISA管理控制台的警告中查看,你可以看到触发了以下三个警告,如图所示。
现在我们在Berlin上试试继续访问呢,访问仍然成功。
但是,你可以从ISA防火墙的实时日志中看到,已经不是Firenze而是Florence为它提供的服务了。
至此,ISA防火墙NLB的故障转移就完全配置成功了。
篇3:阐述防火墙负载均衡相关疑问
在谈及负载均衡应用的时候,说的最多的就是流量控制,网站负载,以及服务器负载等等,那么,现在要给大家介绍的是防火墙负载均衡的应用。还是让我们从基础了解,防火墙大家都知道,它是安全上网的一道屏障,有了它在很多不安因子都被挡在门外。那么,我们现在来看看如何进行防火墙的负载均衡。
防火墙负载均衡技术
概述
网络安全性是许多ICP和ISP长期担心的问题,网络安全已经成为了人们关注的焦点。网络安全技术将防火墙作为一种防止对网络资源进行非授权访问的常用方法。
尽管目前防火墙产品可以有效地防止网络入侵。但是,它本身也给ICP和ISP网络带来了问题。尤其是,目前防火墙技术限制了网络的性能和可伸缩性,并且由于防火墙经常成为单故障点,因而它降低了整体网络的可用性。
由于防火墙处于数据路径上,因此,它们可能会限制网络的性能和可伸缩性。在内部网络和外部网络之间的所有网络流量都必须经过防火墙。可惜的是,最适于防火墙的处理结构不适于检查高容量的数据包。由于防火墙必须处理每一个数据包,因而造成了通信速度的下降。扩展防火墙的性能十分困难,因为它一般要直接升级到功能更强大的硬件平台。
也是由于防火墙安放在数据路径上,因此,它们形成了降低网络资源可用性的单故障点。尽管多数防火墙可以使用市面上已有的高可用性软件以热备份的配置部署,但是,迄今为止,没有一种解决方案可以安全。可靠。高效支持多台防火墙同时工作。
新型Web交换机的防火墙负载均衡技术解决了上述问题。先进的Web交换机允许防火墙并行运行,使用户无需将防火墙升级就可以最大限度地发挥防火墙的工作效力,扩展防火的性能,同时使防火墙不再成为一种单故障点。
实现原理
与传统包交换机不同,Web交换机支持第四层以上的交换功能并具有维护不同TCP会话状态的能力。这类设备为实现防火墙的负载均衡提供了完美的平台。在实施防火墙负载均衡技术时,至少需要两台Web交换机:一台安装在防火墙的外部,另一台安装在内部,
改变所有输入数据流流向的过滤器被配置在连接外部网和内部网的Web交换机端口上。
为保持高可用性,Web交换机对防火墙的健康进行监控,只将数据包发向健康的防火墙。Web交换机通过正常地向每个防火墙另一端对应的交换机发送ping数据包来监控防火墙的健康情况。如果某个Web交换机接口不能回应ping命令,累计达到用户定义的次数,这个Web交换机端口(以及暗指的相关防火墙)就被置成“服务器故障”状态。同时,对应Web交换机停止向这个接口发送数据流,而将数据流分配到其余的健康的Web交换机接口和防火墙上。
当一个Web交换机接口处于“服务器故障”状态时,其对应的Web交换机继续以用户配置的速率向它发送ping命令。在发回第一个成功的ping回应后,该接口(以及防火墙)恢复到服务状态。
前几节描述的防火墙健康监控技术是Web交换机保证应用程序高可用性的一种方式。在采用防火墙负载均衡技术的同时使用热备份Web交换机,可以使应用获得更高水平的可用性。在使用防火墙负载均衡技术的情况下,可以采用Web交换机对(一台处于工作状态,另一台处于热备份状态。)来构造整个系统无单故障点的网络拓扑结构。这意味着Web交换机不是单故障点,使用它不会造成网络另一些点上的单故障点。
防火墙负载均衡功能实现
在案例中,使用了四台交换机,两台位于防火墙的外部,两台位于防火墙的内部。
在实施热备份配置时,每对Web交换机中的一台被指定为激活交换机,另一台被指定为备份交换机。在激活Web交换机与备份Web交换机之间配置一条直通链路,即所谓的故障转移链路。通常故障转移链路在激活的和备份Web交换机之间只传递Web交换机状态信息,数据流只有在激活Web交换机端口现出故障的情况下才经过故障转移链路传输。
如果激活Web交换机检测到链路故障的话,它就将此信息通过故障转移链路通知备份Web交换机。如果备份Web交换机上的相应端口是健康的话,该端口就被激活。
篇4:多途径可打造负载均衡
实现负载均衡,是很多企业关注的问题,随着IT业务的激增,这种均衡方案也越来越多的受到重视。那么,根据负载平衡技术而来的网站规划方案成为企业眼中的精囊妙计。那么,现在就让我们一起来看看如何将路由,路径等问题用负载均衡的手段处理得当。
ECMP
ScreenOS支持ECMP (Equal Cost Multi-Path /等值多路径) 功能,即支持将流量在多条等cost值的路径上进行负载分担;
假如用户有两条链路接入互联网,则可设置两条静态默认路由 (ScreenO中静态路由cost值默认都为1) 分别指向两个不同的下一跳地址,并打开ECMP功能,同时指定需要负载均衡的链路条数;另外可在防火墙连接两条链路的接口上都打开NAT功能,这样所有流量都会在两条链路上进行负载分担并转换成公网IP去往互联网;
Network ->Routing ->Virtual Router ->Edit
或通过命令行 ” set max-ecmp-routes 2 ” 来启用ECMP功能,由于ScreenOS最多支持四条链路的负载均衡,因此还可使用” set max-ecmp-routes 3 ” 或” set max-ecmp-routes 4 ”。
由于防火墙是状态检测设备,因此流量会基于会话以轮询的方式实现负载均衡;举个例子,假如共有10000个会话,如果在两条链路上打开ECMP功能的话,则其中约5000个会话从链路一出去,约5000个会话会从链路二出去;
ECMP功能的好处是配置简单,但其缺点也是显而异见的,即它不能智能地依据路由远近去分配流量,而是绝对平均地以轮询的方式分配所有会话到不同链路,这样有可能导致某些流量不能从最佳路由出去;比如用户同时租用了电信和网通的两条链路,ECMP打开的后果可能会导致去往电信区域的数据从网通链路出去,而去往网通区域的数据从电信链路出去。因此ECMP功能最适用于租用同一个运营商若干条链路的用户,或租用若干个互联互通情况较好的运营商链路的用户。
另外ECMP还有一个缺点是跟某些应用不兼容;比如某些多连接的应用,且该应用还要求每个连接都来自同一个IP地址,而打开ECMP的情况下,很可能同一个用户发起的两个连接中的一个从链路一出去,第二个连接从链路儿出去,导致这些应用运行不正常,最常见的例子是工商银行的网上银行业务,中国移动网上营业厅以及联众的网络游戏系统。解决方案是打开ScreenOS的nat stick功能“set dip sticky”,即保证来自同一个源IP的不同会话始终被翻译成同一个IP地址,这样就可解决应用兼容性问题;
基于目标地址的路由
为了使流量能够选择最佳路由,最直接的手段就是通过基于目标地址路由的选路方式,比如将所有去往某运营商域内的流量手工的指到到通往该运营商的下一跳路由器上,再另外用一条默认路由将其余流量指向到另外一条链路;如果是电信和网通的两条链路我习惯将具体路由指向网通路由器,默认路由指向电信路由器,原因是因为网通的路由条目较少而电信的资源较多;
比较常见的基于目标地址路由来实现负载均衡的场合是大学的校园网,由于大学校园网一般都有若干条链路接入internet,比如一条连接电信,一条连接网通,一条连接教育科研网(Cernet),而这三个网络之间的互联互通做得并不好,比如从电信链路出去访问Cernet的资源,会发现延时很大,速度很慢,
这时使用基于目标地址的路由可以最大程度保证流量选择最佳路由出去。
基于源地址的路由 (PBR)
实现流量复杂均衡还有一个手段就是采用源地址路由的方式。一般的三层转发设备都是通过查询路由表 (存放基于目标地址的路由) 来实现路由选路,而源地址路由(PBR)方式提供了另外一个手段,即防火墙会先查询某预先定义的特殊路由表(PBR 路由表)来进行路由查询,当PBR路由表中没有命中的路由条目时再去查询默认的路由表;也就是说,PBR路由表的优先级比默认路由表高;
而PBR路由表中存放的路由都不是按照目标地址来进行选路的,而是基于别的一些因素;比如源地址,源端口,目标地址,目标端口以及IP包头的COS字段这5者的任意组合。因此用户可以利用该特性按照内网用户的源地址属性进行选录;
举个例子,加入用户租用了两条链路,一条带宽为2M,另一条带宽为10M,则可把内网的用户划分为12个网段,通过PBR将2个网段从2M链路送出去,另外10个网段从10M链路送出去以实现静态的负载均衡;
入方向的负载均衡
前面讲的三种方式其实都是出方向的负载均衡,即连接由内向外发起,适合大多数企业的环境;但可能有的用户,比如提供互联网服务的企业,需要同时实现入方向的负载均衡,即要求当互联网用户发起请求内网的服务器数据的连接时,选择就近的链路接入;
熟悉运营商路由策略的人都了解,每个运营商都只发布自己的域内路由;因此当用户连接的目标地址属于运营商A的地址范围的时候,该连接一定会进入运营商A的路由域并传输到达最终目的地址。
因此对于入方向的流量,其实并没有什么好的实现负载均衡手段,除非你有自己的独立于运营商的地址范围(自己的AS域)并通过BGP路由协议将自己的地址通告给所有的peer运管商,但这种条件很难达成。
幸好互联网的寻址系统还包括有一个DNS协议,如果DNS服务器能够将某服务器的域名解析成若干个分别对应不同运营商的地址,则连接就可以在连接这些运营商的链路上平均分摊以实现负载均衡;这个功能实现起来很简单,只需在DNS服务器上添加多条A记录即可(www.163.com就是这么做的);但由于DNS服务器不会检查链路故障,因此当某条链路断掉后,DNS服务器依然会将域名随机的解析到该链路所属运营商的地址上,因此可能导致这部分流量服务不可用;
商业化的负载均衡设备(比如F5的Linkcontroller和Radware的LinkProof)都内置一个小DNS服务器,该DNS服务器可监控链路状态的变化,当发现某条链路故障时,就不会将域名解析到该链路所属运营商的地址,以实现服务的高可用性。当然,这类设备的价格要比防火墙贵很多很多。
篇5:打造负载均衡的多样策略
特殊环境下的网络结构,多具有复杂性和多样性,那么一个大型网络的协调就需要不同的技术来优化。现在我们来介绍一下,网络的多线路和负载分担问题。如何来实现线路备份和实现负载均衡呢?那么我们首先来看下都有哪些线路负载均衡的策略。
负载均衡策略的选择
解决这些问题的办法有多种方式和手段,其中最直接的便是通过路由器的提供的特性来解决,当前大多数交换机厂商的3层接入交换机都可以通过相关协议的配置来实现以下策略,我们在下面将一一讨论这些策略。
基于线路的均衡策略
可以针对不同的线路端口设置不同的优先级来实现负载均衡。例如,在Internet上有很多的游戏服务器,而每个服务器所走的线路也是不一样的,这时便可以利用交换机上提供的优先线路策略了。注意:在优先线路策略中,如果这个线路断开了(如路由协议超时仍没收到Hello包,或者端口状态 down掉),交换机就会根据路由配置的优先级选择策略自动选出一条线路然后切换过去。
基于带宽和访问目的均衡策略
设置基于带宽和访问的目的地址的负载均衡,这是交换机的缺省负载均衡策略。它可以连接到交换机上的不同宽带线路,根据不同的带宽和访问的目的地址作为优先级的依据,来实现负载均衡功能。
带宽和源均衡策略
设置基于带宽和源地址的负载均衡策略。在有些网络环境中,可能会有这样一种需求:根据IP地址来优先选取是走电信线路,还是走网通线路,而且相互备份,即如果电信线路出现了故障,原先走电信线路的PC可以优先走到网通线路。
分组均衡策略
可以为内部的PC进行合理分组,设置不同的分组走不同宽带线路的策略。例如,在企业网中设置了VIP区和普通用户区。VIP区走线路速度比较快的光纤,普通用户区走线路速度相对慢一些的ADSL,来实现不同分组走不同宽带线路的目的。
实现负载均衡
现有我们讨论在接入交换机上实现负载均衡配置的几种常用路由技术以及他们在均衡性能上的优劣比较:
RIP实现负载均衡
RIP在负载均衡明显不足的关键是其缺乏动态负载均衡能力。下图显示了一台具有两条至另一台路由器串行链接的情况。理想情况下,图中的路由器会尽可能平等地在两条串行链接中分配流量。这会使两条链路上的拥塞最小,并优化性能。不幸的是,RIP不能进行这样的动态负载均衡。它会使用首先知道的一条物理链路。它会在这条链接上转发所有的报文,即使在第二条链接可用的情况下也是如此,
改变这种情况的惟一方式是图中的路由器接收到一个路由更新通知它到任何一个目的地的度量发生了变化。如果更新指出到目的地的第二条链路具有最低的耗费,它就会停止使用第一条链路而使用第二条链路。RIP适用于相对小的自治系统。它的跳数限制为15跳,这样网络拓扑的直径最大是15跳。如果你要建造的网络具有很多特性但又不是非常小,那么 RIP可能不是正确的选择。
OSPF实现负载均衡
路由负载均衡能力较弱。OSPF虽然能根据接口的速率、连接可靠性等信息,自动生成接口路由优先级,但通往同一目的的不同优先级路由,OSPF 只选择优先级较高的转发,不同优先级的路由,不能实现负载分担。只有相同优先级的,才能达到负载均衡的目的。
EIGRP实现负载均衡
EIGRP在负载均衡上与OSPF实现相比优先级确定更为智能,它可以根据优先级不同,自动匹配流量。去往同一目的的路由表项,可根据接口的速率、连接质量、可靠性等属性,自动生成路由优先级,报文发送时可根据这些信息自动匹配接口的流量,达到几个接口负载分担的目的。唯一可惜这只是CISCO 的私有协议。
多设备多线路的线路备份
VRRP热备份协议是RFC中规定的标准线路备份和负载均衡协议(CISCO有一个相对应的协议叫 HSRP协议)。若用户有2台交换机,便可以设置2个VRRP组,每个组都有一个虚拟的IP地址;内部的PC也分为两个组,这两个组设置的缺省IP地址分别是2个VRRP组的虚拟的IP地址。然后,在2台交换机上设置不同的线路优先级,这样便可以实现内部不同的分组,从不同的交换机上不同的宽带出口去访问 Internet了。
根据VRRP协议,两台以上的交换机会选出一台做主交换机Master,Master在缺省时间内(1秒钟)会向其他备份交换机发出一个广播报文 :“hello”报文,向其他备份交换机说明自己工作正常,如果备份交换机很长时间(RFC规定是3倍的广播加一个偏移值)内收不到这个广播报文,就开始由沉默转为活跃,自己向发出hello广播报文,并在hello报文中附带自己的优先级,这样许多备份交换机通过比较彼此的优先级重新选举出一个新的 Master来负责缺省路由的职能,这样VRRP协议便可以自动地进行切换,实现备份的目的。
在VRRP协议中,还有一个监控线路的功能(Track)。比如,可以监控出口的宽带,如果远方线路断开了,这时Master就可以自动地把自己的VRRP优先级别降低,它的hello广播报文中携带的优先级也相应降低,这时如果备用路由器的优先级比它高,那么线路便很快的切换到这台交换机上去了。
篇6:Windows 网络负载均衡的实现
二、网络负载平衡的实现
这两台计算机中,一台计算机名称为w2003-1,IP地址为202.206.197.190,另一台名为w2003-2,IP地址为202.206.197.191.
规划网络负载平衡群集使用的IP地址为202.206.197.195,规划网络负载平衡群集完整的计算机名称为 cluster.heinfo.edu.cn.你需要在heinfo.edu.cn域中注册此主机名称并将地址设置为202.206.197.195.如果你没有DNS,可以在需要访问网络负载平衡的客户机(包括网络负载平衡主机)上编辑%systemroot%“system32”drivers“ etc目录下的hosts文件,添加一条信息“202.206.197.195 cluster.heinfo.edu.cn”,即可解决DNS域名解析的问题,
当正式应用时,客户机只需要使用cluster.heinfo.edu.cn或IP地址202.206.197.195来访问服务器,网络服务平衡会根据每台服务器的负载情况自动选择202.206.197.190或者202.206.197.191对外提供服务。
网络负载平衡的实现过程如下:
在实现网络负载平衡的每一台计算机上,只能安装TCP/IP协议,不要安装任何其他的协议(如IPX协议或者NetBEUI协议),在网络属性中,“网络负载平衡”也不能被选择,这可以从“网络连接属性”中查看。
①先进入第一台计算机,以管理员身份登录,从“管理工具”中运行“网络负载平衡管理器”,用鼠标右键单击“网络负载平衡群集”,从出现的菜单中选择“新建群集”,进入“群集参数”界面。
在“IP地址”后面输入规划的群集参数地址202.206.197.195,在子网掩码处使用默认值,在“完整Internet名称”后面输入cluster.heinfo.edu.cn(也可以是其他的名称,但输入的DNS名称必须与输入的IP地址相符),
如果允许远程控制,请选中“允许远程控制”,并在“远程密码”和“确认密码”处输入可以进行远程控制的密码。
②点击“下一步”按钮,进入群集IP地址页面后再进入“端口规则”界面,点击“下一步”按钮,进入“连接”界面。
③在“连接”界面的“主机”栏中输入当前计算机的名称w2003-1,然后点击“连接”按钮,将在“对配置一个新的群集可用的接口”框中显示出连接的计算机的网卡及IP地址。选择与群集IP地址同一网段的地址(用于对外提供网络应用的网卡),然后点击“下一步”按钮,进入设置“主机参数”界面,点击“完成”按钮,系统将自动开始网络负载平衡群集的配置。几分钟后,网络负载平衡群集配置完成。
④打开第二台计算机,并以管理员的身份登录进入。
注意:在网络负载平衡中的每个节点上,管理员账号的用户名和密码最好一致。
⑤然后,在第一台计算机上,用鼠标右键单击新创建的群集,从出现的菜单中选择“添加主机到群集”。将出现“连接”界面,在“主机”中输入第二台计算机的计算机名称,点击“连接”按钮,将会在“对配置群集可用的接口”下面显示出连接的计算机上的网络配置。选择202.206.197.191的网卡,进入主机参数界面,点击“完成”按钮,即可返回网络负载平衡管理器。
⑥关闭网络负载平衡管理器后再进入网络负载平衡管理器。用鼠标右键单击“网络负载平衡群集”,从出现的菜单中选择“连接到现存的”,将会弹出“连接”界面。
输入第一台计算机的名称,点击“连接”按钮,在“群集”下面将列出群集的IP地址,选择此IP地址,并点击“完成”按钮,连接群集即可完成。
以后,如果这两台服务器不能满足需求,可以按以上步骤添加第3台、第4台计算机到网络负载平衡中以满足要求。
篇7:网络负载均衡功能的体现
不管是windows还是linux都会有支持网络负载均衡功能的软件或者是系统自带的模块等设置,那么对于一个企业,尤其是以网站为主的运营结构,更应该注意这方面的问题。现在,我们由一个方案的引入,来熟悉一下网络负载均很功能的知识吧。
目前企业使用的所谓“负载均衡服务器”,实际上它是应用系统的一种控制服务器,所有用户的请求都首先到此服务器,然后由此服务器根据各个实际处理服务器状态将请求具体分配到某个实际处理服务器中,对外公开的域名与IP地址都是这台服务器。负载均衡控制与管理软件安装在这台服务器上,这台服务器一般只做网络负载均衡功能的任务分配,但不是实际对网络请求进行处理的服务器。
一、企业实现Web服务器负载均衡
为了将负载均匀的分配给内部的多个服务器上,就需要应用一定的负载均衡策略。通过服务器负载均衡设备实现各服务器群的流量动态负载均衡,并互为冗余备份。并要求新系统应有一定的扩展性,如数据访问量继续增大,可再添加新的服务器加入负载均衡系统。
对于WEB服务应用,同时有几台机器提供服务,每台机器的状态可以设为regular(正常工作)或backup(备份状态),或者同时设定为regular状态。负载均衡设备根据管理员事先设定的负载算法和当前网络的实际的动态的负载情况决定下一个用户的请求将被重定向到的服务器。而这一切对于用户来说是完全透明的,用户完成了对WEB服务的请求,并不用关心具体是哪台服务器完成的。
二、使用网络地址转换实现多服务器负载均衡
支持网络负载均衡功能的地址转换网关中可以将一个外部IP地址映射为多个内部IP地址,对每次TCP连接请求动态使用其中一个内部地址,达到负载均衡的目的。很多硬件厂商将这种技术集成在他们的交换机中,作为他们第四层交换的一种功能来实现,一般采用随机选择、根据服务器的连接数量或者响应时间进行选择的负载均衡策略来分配负载。然而硬件实现的负载控制器灵活性不强,不能支持更优化的负载均衡策略和更复杂的应用协议。
基于网络地址转换的负载均衡器可以有效的解决服务器端的CPU和磁盘I/O负载,然而负载均衡器本身的性能受网络I/O的限制,在一定硬件条件下具有一定的带宽限制,但可以通过改善算法和提高运行负载均衡程序的硬件性能,来提高这个带宽限制。不同的服务类型对不同的服务器资源进行占用,我们使用的负载衡量策略是使用同一个负载进行评估,这对于大多数条件是适合的,然而最好的办法是针对不同的资源,如CPU、磁盘I/O或网络I/O等,分别监视服务器负载,由中心控制器选择最合适的服务器分发客户请求。
三、使用DNS服务器实现负载均衡
访问企业网服务器的用户急剧增加,一台服务器难以满足用户的访问需要,那么如何才能保证用户的正常访问呢?解决方法有很多,如使用Windows 或Windows Server 提供网络负载均衡功能,但该服务的设置非常复杂,
而通过DNS服务器实现网络负载均衡功能则是一种比较简单的方法。
企业网通常由很多子网构成,为了降低网络中的数据流量,客户机最好能访问处于同一子网内的Web服务器。虽然实现了网络负载均衡功能,但并不能保证客户访问的是本子网的Web服务器。其实这个问题也很好解决,只要启用DNS服务器的“启用网络掩码排序”功能即可。在DNS管理器窗口中,右键点击DNS服务器,在弹出的菜单中选择“属性”,然后在属性对话框中切换到“高级”选项卡,勾选“服务器选项”列表框中的“启用网络掩码排序”选项即可。这样客户机每次都能访问到本子网内的Web服务器了。完成以上设置后,就使DNS服务器实现了网络负载均衡功能,把客户的访问分担到每个Web服务器上,并且还减少了跨子网的网络通信流量,大大降低了企业网的通信负担。
四、企业实现SQL Server数据库服务器负载均衡
MS SQL Server数据库服务器可以说是应用范围最广的数据库产品,并且越来越多地在大型和比较关键的应用系统中提供服务。当企业应用越来越复杂、数据量越来越大的时候,SQL Server数据库要不停的进行处理、存储、查询的工作,这个时候企业就要考虑SQL Server数据库服务器的性能和速度及安全性了。然而,长期以来,SQL SERVER数据库服务器都只有“热备”的解决方案,而没有“负载均衡”和“集群”的解决方案。
随着数据库路由器软件ICX的出现,为基于MS SQL Server的数据库系统提供了一种更优秀的集群解决方案。它可以真正的实现SQL Server数据库服务器的动态负载均衡,提高性能和速度;它可以真正的保证SQL Server数据库服务器不间断的提供服务,在服务器发生故障的时候实时切换到其他服务器上继续提供服务,切换时间为“零”。数据库路由器是实时并发数据库事务处理同步复制器和负载平衡器。
所有的数据库客户都通过ICX访问数据库。当访问、查询SQL Server数据库的时候ICX可以根据实际情况分配服务器来提供服务,大大提高服务速度和优化性能,完成网络负载均衡功能的任务。ICX可以同时连接多台数据库,这若干台数据库的内容在任何时刻由ICX保证是完全一致的。也就是说,ICX采用了全新的并发事务处理的方式,向连接的N台数据库同步复制事务处理,使得系统在任何时刻具有多个一致的最新逻辑数据库数据集。当其中一台数据库服务器发生故障的时候,ICX可以实时的、第一时间切换到其他服务器上来继续提供服务。真正的实现零时间的服务器切换,大大提高安全性,真正意义的实现服务器不间断服务。
篇8:网络负载均衡的主控内容
在网络负载均衡的设定过程中,针对软件方面的设定,通常是分为客户端和主机端两方面的配置问题,那么,现在我们就来介绍一下主机方面的网络负载均衡的控制作用的内容。本例是根据windows系统来讲解的。
挂起或继续网络负载均衡
您可能需要挂起和继续网络负载均衡(NLB)以覆盖发出的任何远程控制命令。将忽略除resume和query之外的所有后续群集控制命令。可以在整个NLB群集上或在单个主机上执行以下步骤。
暂停或继续网络负载均衡
◆使用Windows界面
◆使用命令提示符窗口
使用Windows界面挂起或继续网络负载均衡的步骤
1.若要打开NLB管理器,请依次单击”开始“、”管理工具“和”网络负载均衡管理器“。还可以通过在命令提示符下键入Nlbmgr来打开NLB管理器。
2.如果NLB管理器尚未列出群集,请连接群集。
3.如果您希望暂停所有群集主机上的群集操作,请右键单击群集,指向”控制主机“,然后单击”挂起“。
如果您希望只暂停特定主机上的群集服务,请右键单击该主机,指向”控制主机“,然后单击”挂起“。
4.如果您希望继续所有群集主机上的群集操作,请右键单击群集,指向”控制主机“,然后单击”继续“,
如果您希望只启动特定主机上的群集服务,请右键单击该主机,指向”控制主机“,然后单击”继续“。
注意事项
◆使用网络负载均衡管理器(NLB)时,您必须是正在配置的主机上的Administrators组的成员,或者您必须被委派了适当的权限。如果您通过从不属于群集的计算机运行NLB管理器来配置群集或主机,则您不必是该计算机Administrator组的成员。
◆暂停NLB与停止处理NLB群集通讯不同,原因是暂停NLB不仅会停止主机上的NLB,而且还会暂停主机上的所有NLB群集控制命令(resume和query命令除外)。停止处理NLB群集通讯会停止主机上的NLB,但不影响其他NLB群集控制命令。
使用命令提示符窗口挂起或继续网络负载均衡的步骤
1.若要打开命令提示符窗口,请单击”开始“,右键单击”命令提示符“,然后单击”以管理员身份运行“或”打开"。
2.键入以下命令之一:
◆若要挂起该主机上的NLB,请键入:
nlb.exesuspend
或者,如果希望挂起所有群集主机上的群集操作,请键入:
nlb.exesuspendglobal
◆若要继续该主机上的NLB,请键入:
nlb.exeresume
或者,如果希望继续所有群集主机上的群集操作,请键入:
nlb.exeresumeglobal
篇9:网络负载均衡的相关基础(一)
谈及网络负载均衡,我们总是站在一个制高点上面来讨论它,的确,随着网络的复杂化,这项技术也是越来越重要,越来越不可缺少,那么我们是从何提出这个概念的呢?又是如何去应用它发展它呢?现在我们就带着问题来了解一下相关的信息吧,
负载均衡技术的引入
信息系统的各个核心部分随着业务量的提高、访问量和数据流量的快速增长,其处理能力和计算强度也相应增大,使得单一设备根本无法承担,必须采用多台服务器协同工作,提高计算机系统的处理能力和计算强度,以满足当前业务量的需求。而如何在完成同样功能的多个网络设备之间实现合理的业务量分配,使之不会出现一台设备过忙、而其他的设备却没有充分发挥处理能力的情况。要解决这一问题,可以采用负载均衡的方法。
负载均衡技术有两个方面的含义:首先,把大量的并发访问或数据流量分担到多台节点设备上分别处理,减少用户等待响应的时间;其次,单个重负载的运算分担到多台节点设备上做并行处理,每个节点设备处理结束后,将结果汇总,再返回给用户,使得信息系统处理能力可以得到大幅度提高。
负载均衡主要完成以下任务:
解决网络拥塞问题,就近提供服务,实现地理位置无关性;
为用户提供更好的访问质量;
提高服务器响应速度;
提高服务器及其他资源的利用效率。
在用户端进行优化和在服务器端采用负载均衡策略可以在最大程度上确保网络信息的顺畅流通。
对一个网络负载均衡应用,可以从网络的不同层次入手,具体情况要看对网络瓶颈所在之处的具体情况进行分析。一般来说,企业信息系统的负载均衡大体上都从传输链路聚合、采用更高层网络交换技术和设置服务器集群策略三个角度实现。
链路聚合--低成本的解决方案
为了支持与日俱增的高带宽应用,越来越多的PC机使用更加快速的方法连入网络。而网络中的业务量分布是不平衡的,一般表现为网络核心的业务量高,而边缘比较低,关键部门的业务量高,而普通部门低。伴随计算机处理能力的大幅度提高,人们对工作组局域网的处理能力有了更高的要求。当企业内部对高带宽应用需求不断增大时(例如Web访问、文档传输及内部网连接),局域网核心部位的数据接口将产生瓶颈问题,因此延长了客户应用请求的响应时间。并且局域网具有分散特性,网络本身并没有针对服务器的保护措施,一个无意的动作,像不小心踢掉网线的插头,就会让服务器与网络断开。
通常,解决瓶颈问题采用的对策是提高服务器链路的容量,使其满足目前的需求。例如可以由快速以太网升级到千兆以太网。对于大型网络来说,采用网络系统升级技术是一种长远的、有前景的解决方案。然而对于许多企业,当需求还没有大到非得花费大量的金钱和时间进行升级时,使用升级的解决方案就显得有些浪费了。对于拥有许多网络教室和多媒体教室的普通中学和职业中学,在某些课程的教学期间(比如上传学生制作的网页等等),将产生大量访问Web服务器或进行大量的文档传输;或在县区级的网络信息网上举行优秀老师示范课教学、定期的教学交流等教学活动时,这种情况尤为突出。然而在需求还没有大到非得花费大量的金钱和时间进行升级时,实施网络的升级就显得大材小用了。在这种情况下,链路聚合技术为消除传输链路上的瓶颈与不安全因素提供了成本低廉的解决方案。链路聚合技术将多个线路的传输容量融合成一个单一的逻辑连接,
当原有的线路满足不了需求、而单一线路的升级又太昂贵或难以实现时,就可采用多线路的解决方案。
链路聚合系统增加了网络的复杂性,但也提高了网络的可靠性,使人们可以在服务器等关键局域网段的线路上采用冗余路由。对于计算机局域网系统,可以考虑采用虚拟路由冗余协议(VRRP)。VRRP可以生成一个虚拟缺省的网关地址,当主路由器无法接通时,备用路由器就会采用这个地址,使局域网通信得以继续。总之,当必需提高主要线路的带宽而又无法对网络进行升级的时候,便可以采用链路聚合技术。
高层交换--大型网络解决之道
大型的网络一般都是由大量专用技术设备组成的,如包括防火墙、路由器、第2层/3层交换机、负载均衡设备、缓冲服务器和Web服务器等。如何将这些技术设备有机地组合在一起,是一个直接影响到网络性能的关键性问题。大型网络的核心交换机一般采用高端的机柜式交换机,现在这类交换机一般都提供第四层交换功能,可以将一个外部IP地址映射为多个内部IP地址,对每次TCP连接请求动态使用其中一个内部地址,达到负载均衡的目的。有的协议内部支持与网络负载均衡相关的功能,例如HTTP协议中的重定向能力。 编辑推荐负载均衡技术基础专题
当前,无论在企业网、园区网还是在广域网上,即使按照当时最优配置建设的网络,业务量的发展都超出了过去..
化繁为简之网络负载均衡设置软硬两个角度学习网络负载均衡相关网络负载均衡的三方面概念从原理讲到实例,带你学习网络负载..交换方面的网络负载均衡设置
Web内容交换技术,即URL交换或七层交换技术,提供了一种对访问流量的高层控制方式。Web内容交换技术检查所有的HTTP报头,根据报头内的信息来执行负载均衡的决策,并可以根据这些信息来确定如何为个人主页和图像数据等内容提供服务。它不是根据 TCP端口号来进行控制的,所以不会造成访问流量的滞留。如果Web服务器已经为诸如图像服务、SSL对话和数据库事务服务之类的特殊功能进行了优化,那么,采用这个层次的流量控制将可以提高网络的性能。目前,采用高层交换技术的产品与方案,有许多专用的设备,如3Com公司的3Com SuperStack 3服务器负载均衡交换机和Cisco系统公司的CSS交换机产品等,国内的服务器厂商如联想和浪潮等也都有专用的负载均衡产品。
带均衡策略的服务器群集--满足大量并发访问的需求
随着电子商务和电子政务的开展,网上交易和访问量会明显增加。企业的日常经营和各种办公业务都往上迁移,所传送不仅是一般的文本信息,还有很多视频和语音。如远程教学方兴未艾,不少院校都在全国各地设立网络教学点,进行远程教学和在线辅导,各个站点都必须能够同网络教学中心进行实时交流,在这种情况下,势必也会产生大量并发访问,因此要求网络中心服务器必须具备提供大量并发访问服务的能力。这样,网络中心服务器的处理能力和I/O能力已经成为提供服务的瓶颈。如果客户的增多导致通信量超出了服务器能承受的范围,那么其结果必然是宕机。显然,单台服务器有限的性能不可能解决这个问题,一台普通服务器的处理能力只能达到每秒几万个到几十万个请求,无法在一秒钟内处理上百万个甚至更多的请求。但若能将10台这样的服务器组成一个系统,并通过软件技术将所有请求平均分配给所有服务器,那么这个系统就完全拥有每秒钟处理几百万个甚至更多请求的能力。这就是利用服务器群集实现网络负载均衡的优点。
【打造ISA防火墙网络负载均衡的故障转移】相关文章:
文档为doc格式