F5 Networks 服務器負載均衡器常見問題簡答Q1: 什么叫服務器負載均衡器（Server Load Balancing）？什么叫SLB 與GSLB？ A：服務器負載均衡器是指設置在一組功能相同

F5 Networks 服務器負載均衡器常見問題簡答

Q1: 什么叫服務器負載均衡器（Server Load Balancing）？什么叫SLB 與GSLB？ A：服務器負載均衡器是指設置在一組功能相同或相似的服務器前端，對到達服務器組的流量進行合理分發(fā)，并在其中某一臺服務器故障時，能將訪問請求轉移到其它可以正常工作的服務器的軟件或網絡設備。

SLB 是服務器負載均衡(Server Load Balancing)的簡稱。服務器負載均衡又可以分為局域網服務器負載均衡與廣域網服務器負載均衡(Global Server Load Balancing)。狹義的SLB 是指局域網服務器負載均衡，與廣域網服務器負載均衡（GSLB）相對。

Q2: 為什么需要服務器負載均衡？采用服務器負載均衡器有什么優(yōu)點？

A：原有的系統(tǒng)只部署了一臺服務器，隨著訪問量的增加，一臺服務器已經不能滿足應用的需要，而需要增加更多的服務器。當部署了兩臺以上的服務器時，就可能會需要用到負載均衡器。通過服務器負均衡器，對流量進行合理分配，可以帶來以下好處：

z 負載均衡器優(yōu)化了訪問請求在服務器組之間的分配，消除了服務器之間的負載不平衡，從而提高了系統(tǒng)的反應速度與總體性能；

z 負載均衡器可以對服務器的運行狀況進行監(jiān)控，及時發(fā)現(xiàn)運行異常的服務器，并將訪問請求轉移到其它可以正常工作的服務器上，從而提高服務器組的可靠性

z 采用了負均衡器器以后，可以根據(jù)業(yè)務量的發(fā)展情況靈活增加服務器，系統(tǒng)的擴展能力得到提高，同時簡化了管理。

Q3: 服務器負載均衡有哪些實現(xiàn)方法？

A：實現(xiàn)服務器負載均衡有多種方法，常見的方法有：

z 基于DNS 輪詢的方法：即在DNS 服務器中對同一域名設置多條DNS A記錄，通過DNS 的輪詢機制實現(xiàn)服務器負載均衡。

z 基于服務器集群的方法；

z 基于應用軟件的實現(xiàn)方法，在應用軟件設計中就考慮了多服務器之間的協(xié)同工作與任務調度。這種方法一般會有一臺服務器作為中樞對訪問請求進行調度，同時要求在應用層支持訪問重定向或任務調度、跳轉機制。

z 采用專門的L4/L7層交換機來實現(xiàn)，也即我們常說的負載均衡器。一般都是通過在L4/L7層交換機作地址轉換（NAT）來實現(xiàn)。

z 基于代理方式的負載均衡算法。

Q4: 目前華為公司哪些應用系統(tǒng)采用了服務器負載均衡設備？

A:目前華為公司業(yè)務與軟件產品線中的ICD3.0、動感地帶、彩鈴、MMS、WAP網關產品現(xiàn)在都開始使用F5公司的L4/L7層交換機作服務器負載均衡。

Q5: F5 Networks公司的服務器負載均衡器由什么名字，有哪些系列？

A：F5 Networks公司的局域網服務器負載均衡的產品叫Bigip 應用交換機(Application Switch)，或叫Layer4-7層交換機。目前Bigip 應用交換機系統(tǒng)有Bigip1000、 Bigip 2400、Bigip 5000三個型號。

BIG-IP 1000

BIG-IP 2400

BIG-IP 5100 &

5110

1000

D39 Platform 8 10/100 1 Gb

1 x 1 GHz

512 MB Memory 512 Flash

1 SSL Chip (up to 2000 TPS)

0 TPS @ factory

2400

D44 Platform MRA II 16 10/100 2 Fiber GB

1 x 1.26 GHz PIII 512 MB Memory 512 Flash

1 SSL Chip (up to 2000 TPS)

PMC slot for FIPS SSL

5100

D51 Platform 2Gb/s

2x 1.26 Ghz PIII 24 10/100 4 Fiber GB 1 GB Memory 512 Flash

1 SSL Chips* (up to 4,000 TPS) PMC slot for FIPS

5110

Everything the 5100 has except 4 Copper GB replace Fiber GB

三個型號的配置如下：

（5100/5110）

2x1000 BASE-SX

8x10/100 BASE-TX

CPU

MEM (STD/MAX) Storage

PIII 1.0 GHz x 1 512 M/2G 512 MB Compact Flash

SSL 芯片

免費SSL hand-shakes per second

1x SSL chip 100 TPS

16x10/100 BASE-TX

PIII 1.26 GHz x 1 512 M/2G 512 MB Compact Flash 1x SSL chip 100 TPS

4x1000 BASE-SX 24x10/100 BASE-TX

PIII 1.26 GHz x 2 1G/2G

512 MB Compact Flash 2x SSL chip 100TPS

Q6: 請簡單介紹 F5 Networks 公司？ A：F5 Networks, Inc.是 一 家 專 注于 IP 網 絡 流 量 和 內容 管 理 ( iTCM） 領 域 的 廠 商， 總 部 在美國西雅圖，成立于 1996 年， 1999 年 在 Nasdac 上市，目前全球有 500 多員 工 。 F 5 N e t w o r k s 是 全 球 領 先 的 L a y e r 4 - 7 層 交 換 機 廠 商、 SS L 集成 加 速 產 品 供 應 商 。 目 前 F 5 N e t wo r k s 在 全球 獨 立 式 L a y e r 4 - 7 層 交 換 機 市 場、 SS L 集 成 加 速 產 品 市 場 的 市 場 份 額 都 是 處 于 第 一 位。 其中 L a y e r 4 - 7 層獨 立 式 交 換 機 在 日 本 更 是 占 有 了 超 過 60以上的市場份額。 F 5 N e tw o r k s 于 2 0 0 0 年 進 入 中 國市 場 ， 目 前 在 北 京 、 上 海 、 廣 州 設 有 辦 事 處 。 F 5 N e tw o r k s 公 司 的 網 站 是 h t t p: / / w w w . f 5. c o m Q7: A： F5 Networks 公司除了服務器負載均衡器之外，還有哪些產品？nn控制管理層nn監(jiān)控和管理軟件nn5000/2000/1000/500 系列 局域網絡高可用性 和負載均衡,應用交 換技術及SSL加速 解決方案.nnBlade Controller 針對刀片式服務器 和應用的高可用 性, 可擴展性, 安全 性和性能.nnLink Controller 針對多鏈路出口的 網絡的高可用性和 鏈路控制技術解決 方案nnGlobal Load Balancer 對廣域網絡多數(shù)據(jù)中心的 高可用性和負載均衡技術 及動態(tài)冗災解決方案nnSSL VPN Gate 遠程訪問解決方 案，IPSEC VPN 的替代方案nnSwitchnnAppliancennQ8: 請簡單介紹 F5 L4/L7 層交換機對服務器作負載均衡的工作過程。 A：F5 L4/L7 層交換機對服務器作負載均衡時主要包括以下幾個過程： ? 截獲和檢查分析流量：保證只有合適的數(shù)據(jù)包才能通過 ? 服務器監(jiān)控和健康檢查：隨時了解服務器群的可用性狀態(tài) ? 負載均衡和應用交換功能：通過各種策略或負載均衡算法將訪問請求導向到合適的服務 器，這一過程包括目標服務器的選擇及地址轉換（NAT）過程。 ? 會話的保持(Persistence)：通過會話保持，保證一系列相關連的會話不會被負載均衡到 不同的服務器上。nn

Q9: F5 L4/L7層交換機對服務器作負載均衡時是怎樣做地址轉換的（NAT）。

A：F5 L4/L7層交換機對服務器作負載均衡是采用基于網絡地址轉換(NAT)的負載均衡技術 。 下圖所示是一個典型的F5 L4/L7層交換機對服務器作負載均衡的網絡拓撲：

Cisco6009

Bigip 2400

Web/APP Server

Web/APP Server

Load

Bala

ncing

對外構成一臺虛擬

的服務器（Virtual Server）192.168.101.1:80，對外提供服務。當一個訪問虛擬服務器192.168.101.1:80的請求到達負載均衡器以后，負載均衡器根據(jù)預先設定的負載均衡算法從服務器pool(WEB_POOL)中挑選一臺服務器來服務該請求，例如選定的是10.1.1.4:80；然后通過網絡地址轉換（NAT）將訪問請求包的目的地址與端口轉換成10.1.1.4:80，并將數(shù)據(jù)包發(fā)給10.1.1.4。服務器10.1.1.4處理訪問請求，并作出回應?；貞陌仨毞祷氐截撦d均衡器上，由負載均衡器將回應包的源地址與端口轉換回虛擬服務器的地址與端口，并返回給客戶。這樣完成一次訪問過程。

Q10: 什么叫會話保持(Persistence)?

A: 會話保持(persistence)是負載均衡中一個特定而重要的概念。

一個客戶與服務器經常經過好幾次的交互過程才能完成一筆交易。由于這幾次交互過程是密切相關的，服務器在進行這些交互過程的某一個交互步驟時，往往需要了解上一次交互過程的處理結果，這就要求所有這些相關的交互過程都由一臺服務器完成，而不能被負載均衡器分散到不同的服務器上。

而這一系列的相關的交互過程可能是由客戶到服務器的一個連接的多次會話完成，也可能是在客戶與服務器之間的多個不同連接里的多次會話完成。不同連接的多次會話，最典型的例子就是基于http 的訪問，一個客戶完成一筆交易可能需多次點擊，而一個新的點擊產生的請求，可能會重用上一次點擊建立起來的連接，也可能是一個新建的連接。

會話保持就是指在負載均衡器上有這么一種機制，可以識別做客戶與服務器之間交互過程的關連性，在作負載均衡的同時，還保證一系列相關連的訪問請求會保持分配到一臺服務器上。

Q11: 基于Layer 4的負載均衡與基于Layer 7的負載均衡有什么區(qū)別？

A：基于Layer 4的負載均衡在截取數(shù)據(jù)流以后，對數(shù)據(jù)包要檢查與分析的部份僅僅限于IP 報頭及TCP/UDP報頭，而不關心TCP 或UDP 包內部信息。而基于Layer7的負載均衡，則要求負載均衡器除了支持Layer4負載均衡以外，還要理解數(shù)據(jù)包中4層以上的信息，也即應用層的信息。例如，可以理解分析http 協(xié)議，從數(shù)據(jù)包中提取出http uri或cookie 信息?；贚ayer4與基于Layer7負載均衡或交換對數(shù)據(jù)包檢查的深度不一樣，基于Layer4的交換偏重的是網絡層，而Layer7偏重的是應用層，與應用結合很緊密。負載均衡器在作這兩種方式的負載均衡時的性能也不一樣。

Q12: 為什么需要基于Layer7的負載均衡？

A：簡單來說，之所以需要基于Layer7的負載均衡，有以下原因：

z 會話保持(Persistence)的需要：在很多應用中，單靠Layer4層的信息，也即IP 地址

與端口的信息，是不足以分辨出會話的相關性。這樣要實現(xiàn)會話保持，就必須依靠

于Layer7交換。

z 應用安全的需要：要做到應用級的安全，負載均衡器必須能檢查、分析應用層的信

息，并以此作為流量分發(fā)、訪問控制的依據(jù)。

z 服務器、應用健康檢查的需求：如前面所述，負載均衡器還有一個重要任務就是要及

時發(fā)現(xiàn)服務器上的異常情況，這種異常情況不僅僅限于網絡故障，還包括服務或應

用能不能對訪問請求作出正確的響應。這也是要通過對數(shù)據(jù)包的應用層進行分析才

能實現(xiàn)。

Q13: 對Lay4-7層交換機或應用交換機一般要關注、了解哪些方面？

A：一般來說，對Lay4-7層交換機或應用交換機，一般會提到以下幾個因素：

z 支持的負載均衡算法

z 支持的服務器健康檢查的方法

z 如何保持客戶端和服務器的會話

z 速度/性能指標

z 安全性與可靠性

z 端口數(shù)量

Q14: F5 Bigip負載均衡器支持哪些負載均衡算法？

A: F5 Bigip 負載均衡器支持的負載均衡算法包括：

?輪詢（RoundRobin）：順序循環(huán)將請求一次順序循環(huán)地連接每個服務器。當其中某個服務器發(fā)生第二到第7層的故障，BIG/IP就把其從順序循環(huán)隊列中拿出，不參加下一次的輪詢，直到其恢復正常。

?比率（Ratio）：給每個服務器分配一個加權值為比例，根椐這個比例，把用戶的請求分配到每個服務器。當其中某個服務器發(fā)生第二到第7層的故障，BIG/IP就把其從服務器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復正常。

?優(yōu)先權（Priority）：給所有服務器分組，給每個組定義優(yōu)先權，BIG/IP用戶的請求，分配給優(yōu)先級最高的服務器組（在同一組內，采用輪詢或比率算法，分配用戶的請求）；當最高優(yōu)先級中所有服務器出現(xiàn)故障，BIG/IP才將請求送給次優(yōu)先級的服務器組。這種方式，實際為用戶提供一種熱備份的方式。

?最小的連接數(shù)（LeastConnection）：傳遞新的連接給那些進行最少連接處理的服務器。當其中某個服務器發(fā)生第二到第7層的故障，BIG/IP就把其從服務器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復正常。

?最快模式（Fastest）：傳遞連接給那些響應最快的服務器。當其中某個服務器發(fā)生第二到第7層的故障，BIG/IP就把其從服務器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復正常。

?觀察模式（Observed）：連接數(shù)目和響應時間以這兩項的最佳平衡為依據(jù)為新的請求選擇服務器。當其中某個服務器發(fā)生第二到第7層的故障，BIG/IP就把其從服務器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復正常。

?預測模式（Predictive）：BIG/IP利用收集到的服務器當前的性能指標，進行預測分析，選擇一臺服務器在下一個時間片內，其性能將達到最佳的服務器相應用戶的請求。(被big/ip進行檢測) ?規(guī)則模式（iRule）：針對不同的數(shù)據(jù)流設置導向規(guī)則，用戶可自行編輯流量分配規(guī)則，BIG/IP利用這些規(guī)則對通過的數(shù)據(jù)流實施導向控制。

Q15: F5 Bigip負載均衡器支持哪些服務器健康檢查方法？

A：F5 Bigip負載均衡器支持以下的服務器健康檢查方法：

z 服務器 (Node) - Ping (ICMP)

z 服務 (Port) － Connect

z 可擴展的應用驗證 (EAV) :不僅僅檢查服務器上指定服務的端口是否處于監(jiān)聽狀態(tài)，還要檢查該

服務端口能否對應用訪問請求作出回應，例如可以檢查對http 請求或對數(shù)據(jù)庫的查詢能否作出回應。

z 可擴展的內容驗證 (ECV)：Bigip除了可以通過EAV 對服務進行檢查，還可以通過ECV 對服務

器的響應作進一步分析，通過分析讀取服務器回應中的指定內容來判斷服務器上服務的運行情

況。上述檢查方法的檢查頻度（e.g. 10 seconds）與檢查響應Timeout 時間（ e.g. 5

seconds）都可以根據(jù)應用情況進行靈活定制。

對于ECV、EAV，在Bigip 中已經包含了一些常見應用的檢查與內容驗證的方法，例如http 的檢查、Ldap、SQL Server等。如果碰到一些應用、Bigip上沒有提供相應的檢查方法，Bigip還提供了一個擴展的接口，用戶只需要編寫相應的應用檢查腳本或程序并加載到Bigip 就可實現(xiàn)對該應用的檢查或內容驗證。

Q16: F5 Bigip支持哪些會話保持方法？

A：

? 簡單會話保持

– 根據(jù)客戶端源IP 地址保持客戶會話的技術

? HTTP Header

– 根據(jù)HTTP 包頭信息保持會話的技術

? SSL ID 會話保持

– 根據(jù)SSL ID保持客戶/服務器連接的技術

? HTTP Cookie 會話保持

– 插入模式,改寫模式, 被動模式, 散列模式(Cookie Hash)

? SIP ID 會話保持

? Cache 設備的專用會話保持

? i-Mode 移動應用的會話保持技術

? i-Rules 客戶定制的會話保持方法

Q17: 請問基于客戶端源地址的會話保持（Persistence）方法有什么優(yōu)缺點？

A：所謂基于源地址的會話保持（在Bigip 應用交換機中，又叫作simple persistence方法）是指負載均衡器在作負載均衡時是根據(jù)訪問請求的源地址作為判斷關連會話的依據(jù)。對來自同一IP 地址的所有訪問請求在作負載均時都會被保持到一臺服務器上去。

基于原地址的會話保持實現(xiàn)起來簡單，只需要根據(jù)數(shù)據(jù)包三、四層的信息就可以實現(xiàn)，效率也比較高。存在的問題就在于當多個客戶是通過代理或地址轉換的方式來訪問服務器時，由于都分配到同一臺服務器上，會導致服務器之間的負載嚴重失衡。另外一種情況上客戶機數(shù)量很少，但每個客戶機都會產生多個并發(fā)訪問，對這些必發(fā)訪問也要求通過負均均衡器分配到多個服器上，這時基于客戶端源地址的會話保持方法也會導致負載均衡失效。

在上述情況只能采用應用層的會話保持技術，例如基于http 的cookie, URI, SSLID或TCP、UDP 包內某一指定字段。

Q18: Lay4-7層交換機或應用交換機有哪些速度、性能指標比較重要？

A:

? Session/Second :

– 每秒處理的會話數(shù)量,有Lay4和Lay7的區(qū)別

? Maximum connection :

– 最多能夠保持的連接數(shù)量,即最多能夠保持多少個并發(fā)的會話連接

? Throughput : 吞吐率 (bps)

– 有Lay4和Lay7的區(qū)別

? VIP Maximum Number :(支持的虛擬服務器個數(shù))

– 最多同時多少應用可以做負載均衡

Q19: F5 Bigip應用交換機支持的最大連接數(shù)是多少？

A：F5 Bigip應用交換機對客戶到服務器之間的每一條連接都要維護一條記錄，當連接開始建立時，Bigip會根據(jù)負載均衡算法將客戶的請求分配到一臺服務器上。連接建立以后，對這個連接內的所有會話將不再需要通過負載均衡算法來選擇服務器，而是根據(jù)系統(tǒng)中原有的連接表直接進行地址轉換及交換。如果連接沒有被主動關閉，即使連接處于閑置狀態(tài)，應用交換機中的相應的連接表也會保持一段時間，直到Timeout 為止。

F5 Bigip應用交換機采用的是共享內存與中央CPU 的體系結構，系統(tǒng)支持的最大連接數(shù)只與系統(tǒng)配置的內存數(shù)量有關。一般來說：

當系統(tǒng)配置的內存是512M 時，支持的最大連接數(shù)是100萬；

當系統(tǒng)配置的內存是1G 時，支持的最大連接數(shù)是200萬；

當系統(tǒng)配置的內存是2G 時，支持的最大連接數(shù)是400萬；

上述參數(shù)適用于Bigip1000、 Bigip 2400、Bigip 5000三個型號。至于隨著Bigip 上連接數(shù)的增加，系統(tǒng)處理會話的速度會不會下降，由于Bigip 對連接表的查詢是采用的hash 算法，查詢速度與連接表的數(shù)量沒有關系。

Q20: F5 Bigip應用交換機每秒會話處理能力是多少？

A：在應用交換機中Layer4的每秒會話處理能力與Layer7的每秒會話處理能力是不一樣的。另外每秒會話處理能力還與數(shù)據(jù)包的大小有關系。每秒會話處理能力反應了應用交換機對數(shù)據(jù)包或會話的處理能力，與系統(tǒng)的負載均衡算法、地址轉換能力有關。

Lyaer4的交換可以通過ASCI 芯片硬件來處理，所以性能會高一些。而Layer7的會話處理過程必須通過CPU 進行，更多的依賴于CPU 的處理能力。

在F5 Bigip產品系列中，Bigip2400采用了最新的Layer4 ASCI芯片，所以Layer4的每秒會話處理能力最強；而Bigip5000采用了兩個CPU，所以Layer 7的每秒會話處理能力最強。 F5 Bigip2400的Layer4最大會話處理能力是：125000 Layer 4 sessions per second at a data return file size of 64 bytes。

F5 Bigip5000的Layer7最大會話處理能力是：19000 sessions per second。

關于F5 Bigip詳細的性能參數(shù)可以到或下載相關的第三

方評測報告。

Q21: F5 Bigip的優(yōu)勢在哪？

A：

? 最多的負載均衡模式(12種)

– 其中觀察模式,預測模式是F5的專利

? 會話保持技術最多(8種)

– 其中Cookie 會話保持技術向所有的競爭對手收取專利費

? 服務器健康檢查最徹底

– 專有的EAV、ECV健康檢查模式

? 性能最好,速度最快: 125000 S/S Lay4(Bigip 2400); 19000 S/S Lay7(Bigip

5000);1.8Gbps;

? 會話保持數(shù)量第一達到:400萬

? 支持最多的VIP : 4萬個

? 唯一交換機廠商有開放的API, iControl

Q22: 請解釋Bigip 上的SSL 加速功能？

A： Bigip SSL加速功能是指通過在Bigip 上的專用的SSL 處理芯片，作為SSL 的代理，將來自客戶端的SSL 請求終結在Bigip 上，以此來卸載服務器上的SSL（安全套接層）處理對服務器CPU 資源的消耗，以提高其性能，同時大幅度縮短響應時間并增強客戶交易流量管理。SSL加速技術可以提高電子商務服務器的性能，并在關鍵業(yè)務在線交易過程中提供安全性、高速度和流量管理，所有這一切都是從同一地點進行的，無需費錢費力地在每臺服務器上安裝額外的硬件或軟件。

通過Bigip SSL 加速，可以

? 集中化的 SSL 處理方式

– 不需每個服務器安裝公司

SSL 卡

– 使服務器提供最好的服務響應,而不必處理 SSL 的令人頭疼問題

? 集中化的認證管理

– 不需每個服務器進行認證

目前Bigip 1000、2400、5000標準配置已經包含了100TPS 的SSL 支持，通過額外購買License，可以擴展到400、800、1200。

注：TPS 是指每秒的交易數(shù)量

Q23: Bigip 的安全性如何？

A：F5 Bigip上通過以下機制提高系統(tǒng)的安全性：

? 缺省拒絕(Default deny)、Port Lockdown機制

? BIG-IP 用監(jiān)察資料交易的起點，目的或入口來過濾封包和限制或拒絕雙向的流量 ? 遠端管理，使用SSH 命令列或以SSL 來做瀏覽器介面管理

? 能把無用的連接關掉(阻擋拒絕服務攻擊)

? 能找起點路線(阻擋IP spoofing)

? Syncookie 機制抵制SYN floods攻擊

? 阻擋teardrop 和陸地攻擊

? 阻礙ICMP(網絡控制訊息協(xié)議)攻擊，保護它自己和其他服務器

? 不使用SMTPd，F(xiàn)TPd，Telnetd，或其它可攻擊的惡魔

? 可發(fā)現(xiàn)、記錄DOS 攻擊情況，能發(fā)現(xiàn)任何試圖非法存取的服務和端口：

企圖率：企圖多少次

端口：哪些端口被攻擊

IP 地址：攻擊者的IP 地址

Q24: Bigip 的可靠性如何？

A：通過配置雙機運行于Redundant 模式，BIG-IP提供支持99.999的正常運行時間。

Router

Bigip Bigip

Web/APP ServerWeb/APP Server