【IT168 资讯】一、实施背景

　　张家港教育局城域网是由张家港市教育局主办的综合性教育网络系统，其目的是利用先进的计算机网络技术，实现各级教育机构间计算机网络互连、信息资源共享并与国际互联网连接。维护该网络建设和维护的张家港教育局城域网信息中心拥有雄厚的维护和支持力量，由具备多年电信机房管理经验、互联网网络维护经验和网站建设维护经验的资深专业工程师负责日常维护管理，提供从机房设备维护到网络设备故障排除等全方位的7x24小时的专业技术支持。

　　由于该城域网网络规模的不断扩大、应用的不断复杂，为了能确保其网络的正常、稳定的高效运行，如何充分利用服务器资源逐步开始成为信息中心管理人员的狠抓重抓对象，信息中心决定通过导入专业的负载均衡设备达成平衡服务器群中的所有的服务器和应用之间的通信负载，根据实时响应时间进行判断，将任务交由负载最轻的服务器来处理，以实现真正的智能通信管理和非常好的的服务器群性能。

　　二、用户需求

　　张家港教育局城域网信息中心对包括Radware、F5以及梭子鱼在内的多家国际知名厂商的负载均衡产品进行了综合技术测试和技术支持评估，对参与此次参与招标项目的负载均衡产品在性能方面提出了以下要求：

　　1 、硬件服务器负载均衡器，采用专用硬件体系结构，支持50台服务器负载均衡。

　　2 、支持各种基于TCP或UDP应用的负载均衡，如WEB、FTP、DNS、VOD, mail等。

　　3、 具有三种以上均衡策略和包括Weight Least Connection (WLC)、Weight Round Robin(WRR)及Adaptive Scheduling等。 其中Adaptive Scheduling可以根据CPU及URL load时间做分配权重处理。

　　4、集中管理控制，易于使用的web操作界面；可支持多种部署方式，包括路由模式，服务器直接返回模式等；提供多种统计报表分析。

　　5、支持SSL加速功能、基于7层的健康检查及自定义的健康检查和支持双机热备功能。

　　6、具有安全保密机制, 要求可以防止对服务器的端口扫描,; 仅允许那些加密的管理数据进入，采用SSH或HTTPS管理。

　　7、支持自动备份（FTP/SMB）、拒绝服务（DoS, DDOS）攻击、内建IPS防御攻击和SYN、Flood保护。

　　8、支持IP访问列表。

　　9、防止针对协议的攻击，保护真实服务器免遭以SMTP, DNS和 LDAP为目的的攻击。

　　10、防止针对应用程序的攻击，如IIS, Websphere, Cold Fusion, Exchange和许多其它程序。

　　最终，来自国际厂商博威特网络技术（上海）有限公司的梭子鱼负载均衡机凭借其稳定的产品性能和良好的技术支持服务成为张家港教育局城域网这次负载均衡项目的整体方案提供商。

　　三、方案实施

　　根据信息中心提出的应用需求，梭子鱼向该中心提供了以梭子鱼负载均衡机LB 340为核心的整体解决方案以实现该网络的负载均衡。

　　梭子鱼负载均衡机是提供本地的服务器群负载均衡和容错的产品，在充分利用现有资源以及对IT基础设施进行最小变动的前提下有效地进行流量的分配，从而提高服务器的处理性能。对客户端而言，这一切都是透明的。

　　在这次方案中，梭子鱼推荐信息中心使用梭子鱼340型号的负载均衡机架设在核心交换机和分层交换机之间，进行流量分配避免SPOF和单点瓶颈的问题，最大限度地发挥负载均衡的能力，此外在该负载均衡机中建立虚拟IP，并将后台服务器与之绑定，形成虚拟服务。同时建议信息中心采用路由模式来部署以实现最简单、并做到对现有系统的影响最小化。

　　本方案整体拓朴示意图如下（图略）：

　　四、梭子鱼负载均衡解决方案的优势

　　在此次方案的实施过程中，梭子鱼负载均衡机及其整体解决方案充分体现了以下特点：

　　1、 IP及Cookie的会话保持：梭子鱼负载均衡机针对Windows终端服务提供了定制的负载均衡技术，可以选择采用IP或Cookie保持的方式，充分保证终端客户端的会话一致性，为电子商务等提供可靠的会话持续性。

　　2、完全冗余镜像/"心跳"技术实时监控：梭子鱼负载均衡机的冗余配置非常简单的，它们之间不需要任何的特殊电缆相连，只要可以IP寻址到即可。物理拓朴为简单易行的路由模式。当一台梭子鱼负载均衡机由于检修或故障的原因停机后，这时另一台梭子鱼负载均衡机会以最快的速度接管其工作；梭子鱼负载机秒级故障切换技术，确保了终端服务系统的不间断运行。

　　3、先进的服务器管理技术：梭子鱼负载均衡机可以对不同性能的服务器进行加权计算，对性能好的服务器可以多分担一些流量。对有用户数限制的服务器，梭子鱼负载均衡机通过连接数限制技术，从而保证服务器连接不会超过限制，同时也保证了性能一般的服务器不会因为连接太多而宕机。

　　4、多层实时的服务器健康检查：完全根据信息中心提出的7层的健康检查需求，在实际运行过程中，梭子鱼负载均衡机会实时地对后台服务器进行健康检查，并决定在真实服务器不可用情况下进行相应处理。梭子鱼负载均衡机服务监控机制通过3/4层上(PING, PORT 等)以及7层 (DNS, HTTP, SMTP 等)来实现其检查工作。

　　5、扩充能力灵活：由于张家港教育局城域网的网络应用与日俱增，信息中心对设备的兼容性和扩充能力要求很高。而梭子鱼负载均衡机完全满足了用户的这一需求，它可与任何品牌、使用界面、操作系统的网络服务器均兼容，在安装时完全不须改变企业原有的网路架构。当用户因业务扩充而更新网络服务器，新设备只要与梭子鱼负载均衡机连接，用户甚至不须费时就可即时集成新旧设备或统合协定机制。梭子鱼负载均衡机这一随时根据企业需求而弹性更新网络架构的灵活扩容能力，大大保障了用户对网络服务器的投资。

　　6. 集成IPS功能：在安全性方面，梭子鱼负载均衡机340同样向用户提供了一个完美的答卷：产品本身装备了一个实时更新的入侵检测系统，通过梭子鱼动态更新机制即时获攻击规则库，可以保护被负载均衡的服务器抵御任何最新的基于连接的攻击，包括以下类型：病毒扩散（如NIMDA与红色代码这样的网络传播病毒）；缓存区溢出；针对一些特定协议如SMTP、DNS或者LDAP的攻击；应用攻击（如IIS、Websphere、Cold Fusion或者 Exchange）以及漏洞攻击(如我们熟知的利用Windows等操作系统相关弱点的攻击等)等等。

　　五、用户反馈

　　通过一段时间的产品使用，张家港教育局城域网信息中心对梭子鱼负载均衡产品给出了很高的评价，并表示产品在以下几方面给与了他们非常深刻的印象：

　　1、 高可用性和热备功能：梭子鱼负载均衡机能够在通过对多台服务器进行负载均衡的同时, 不会因为一台服务器的宕机而导致整个系统的瘫痪。 负载均衡本身也可实现冗余, 达到多层冗余， 多层热备。

　　2、可扩展性：产品能够在不改变网路环境的情况下， 简单的添加和移除应用服务器。

　　3、安全性：该负载均衡机具备IDS/IPS等安全防护措施, 能够防范诸如DOS， DDOS等攻击， 保证IDC提供的服务不会因为网络攻击而瘫痪。

　　4、可管理性：丰富的日志, 报表功能, 简易高效的操作平台。

　　5、高配置的硬件设备：千兆带宽, 高容量的内存和缓存， 能够实现在主干网络上的拓扑, 不造成单点瓶颈。