链路负载均衡: 高性能和高安全的同时实现

最新推荐文章于 2024-07-09 15:01:33 发布
最新推荐文章于 2024-07-09 15:01:33 发布
阅读量350 收藏
点赞数
文章标签: 网络
原文链接:https://yq.aliyun.com/articles/427454
版权

链路负载均衡,由于国内 南电信,北网通的现状和业务需求,竞争这个市场的厂商比较多,在很多地方也都在使用这种产品。但是有一次我们去访问一个高校客户,客户却表示仍旧愿意使用防火墙来做,使用静态策略和必要时的手动修改,也不愿意使用链路负载均衡的设备,原因何在?

进一步了解后客户指出,链路负载均衡的设备他们也测试过多个厂商,在流量调度和链路冗余备份上当然比现有防火墙要灵活的多,但是最大的问题是作为一个高容量的出口设备,防攻击能力远远不如防火墙。

高校情况类似一个小的运营商,内部用户可以数万计,出口在Gbps的级别,学生求知欲强,喜欢新鲜事物,流量类型复杂,内部也容易出现中木马的肉鸡现象。最常见的SYN Flood的攻击,对防火墙而言,可以通过连接状态的监测过滤,而对基于四层和会话的常见链路负载均衡设备,则有可能迅速耗尽设备可使用session资源,造成正常流量无法处理的故障情况出现。例如下图显示( 带宽信息等隐藏):

设备统计下图上毛刺即为不定期出现的由内网发出的SYN Flood攻击,源IP伪造,目标地址是同一个攻击目标,由于新建连接迅速耗尽设备可创建连接数,正常用户的请求得不到相应,设备吞吐量在攻击时明显下降,用户上网受到影响。

 IPS记录:

Apr 22 19:20:47    info     IPS: event<syn flood>: from src<235.242.124.84> to dest<123.147.240.179>: 1 times Apr 22 19:20:47    info     IPS: event<syn flood>: from src<24.155.131.131> to dest<123.147.240.179>: 1 times Apr 22 19:20:47    info     IPS: event<syn flood>: from src<121.217.252.5> to dest<123.147.240.179>: 1 times Apr 22 19:20:47    info     IPS: event<syn flood>: from src<150.183.171.150> to dest<123.147.240.179>: 1 times Apr 22 19:20:47    info     IPS: event<syn flood>: from src<111.63.169.80> to dest<123.147.240.179>: 1 times Apr 22 19:20:47    info     IPS: event<syn flood>: from src<238.81.1.192> to dest<123.147.240.179>: 1 times Apr 22 19:20:47    info     IPS: event<syn flood>: from src<213.116.80.206> to dest<123.147.240.179>: 1 times Apr 22 19:20:47    info     IPS: event<syn flood>: from src<100.213.59.43> to dest<123.147.240.179>: 1 times Apr 22 19:20:47    info     IPS: event<syn flood>: from src<201.150.168.150> to dest<123.147.240.179>: 1 times Apr 22 19:20:47    info     IPS: event<syn flood>: from src<217.121.39.9> to dest<123.147.240.179>: 1 times Apr 22 19:20:47    info     IPS: event<syn flood>: from src<213.116.80.206> to dest<123.147.240.179>: 1 times Apr 22 19:20:47    info     IPS: event<syn flood>: from src<100.213.59.43> to dest<123.147.240.179>: 1 times

其实针对SYN Flood攻击有一些很成熟的手段,例如SYN Cookie机制; 原理也容易理解:SYN Cookie是对TCP服务器端的三次握手协议作一些修改,专门用来防范SYN Flood攻击的一种手段。它的原理是,在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个cookie值。在收到TCP ACK包时,TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法,再分配专门的数据区进行处理未来的TCP连接。 

通常的Linxu服务器上其实就可以把该功能打开,但是一般服务器和链路负载即使打开该功能,由于大量并发的请求,传统基于软件的处理方式仍旧会对设备造成影响。部分厂商(例如A10 Networks,Juniper等)的产品使用了自己开发的FPGA硬件作为SYN Cookie防御手段,在打开该功能后对CPU无影响,效果也相当明显

启用前后的现象对比:

之前内网(6509进入)的SYN Flood 攻击会影响到电信和网通的出口链路;

之后SYN Flood攻击仍旧到达设备,但已经被设备抑制,对电信和网通出口无影响,流量平滑

链路负载均衡设备通常对设备的性能要求高,安全性同时也一定需要考虑,最后贴一个较高流量的设备吞吐量图:

 

(J.L)



本文转自 virtualadc 51CTO博客,原文链接:http://blog.51cto.com/virtualadc/687671

weixin_34337265
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
链路负载均衡
hnxijie的博客
11-20 2385
现在企业一般会租用多条ISP链路,避免因单ISP链路故障带来的网络可用性风险和解决网络带宽不足带来的网络访问问题。如何合理运用多条ISP链路,既不造成资源浪费,又能实现网络服务质量的提升成为很多企业需要解决的问题。本文将重点分析链路负载均衡的几种作用方式,并结合山石网科安全网关的技术特点,解释负载均衡实现方式。   链路负载均衡技术,可以概括为几种方式:   第一种是链路聚合,其价值在于其可
数据链路层的负载均衡
Linyix_的博客
07-21 521
链路概念指的是一条点到点的连续不断的线路段,中间没有其他点,我理解为一条小时候玩的"传音绳",两头都可以传输,中间有其他点就会收不到数据 数据链路指的是,可以传输数据的线路,线路上添加了一些数据传输的规定,相当于在绳子表面涂了一层颜色,响应颜色的绳只能传输响应格式的数据,必须要遵守 工作流程: 发送: 链路负载均衡设备接收到内网的流量;根据目的ip查找到ip所属运营商,将流量转发给通向运营商的链路,运营商运营的是外网,一个外网下有很多内网 接收: 链路负载均衡设备接收到外网用户流量;直接将流量
科普文:深入理解负载均衡(四层负载均衡、七层负载均衡
最新发布
为无为,事无事,味无味。
07-09 1593
负载均衡(Load Balance)的指将负载(工作任务)进行平衡、分摊到多个操作单元上进行运行,例如FTP服务器、Web服务器、企业核心应用服务器和其它主要任务服务器等,从而协同完成工作任务。负载均衡构建在原有网络结构之上,它提供了一种透明且廉价有效的方法扩展服务器和网络设备的带宽、加强网络数据处理能力、增加吞吐量、提网络的可用性和灵活性。负载均衡重点在于由原来的单个节点承接流量,变成多个节点分担流量,减少请求响应时间,提应用程序的可用性和可伸缩性。
负载均衡原理
weixin_34242331的博客
03-04 350
双机热备:有流量经过的设备即为主设备,为流量经过的设备即为备份设备防火墙基于会话状态的数据同步:批量备份、实时备份批量备份:先运行的防火墙会将已有的会话表项一次性同步到加入的设备实时备份:保证表项完全一致,防火墙在产生新表项或表项变化后会及时备份到另一台设备上双机热备:只支持数据同步、不支持配置同步链路负载均衡:策略路由策略路由配置不方便,不够灵活,无法适应动态网络结构变化,...
Hillstone 链路负载均衡技术解决方案白皮书
01-26
Hillstone 链路负载均衡技术解决方案白皮书,方便迅速掌握网络布控技术。
基于Linux的链路负载均衡技术研究与实现.pdf
09-06
通过这种方式,基于Linux的链路负载均衡技术能够实现链路效利用,提网络的可用性和性能,同时降低了对专用硬件设备的依赖,减少了成本投入。对于校校园网这样的大型网络环境,这是一个经济且实用的解决...
链路负载均衡解决方案
03-09
**智恒科技链路负载均衡解决方案**旨在解决上述问题,其核心在于利用智恒科技的银河GalaxyADC应用交付控制系统实现效、智能的链路管理和负载均衡。 1. **最佳链路选择**:通过分析实时流量、链路健康状况等因素,...
F5负载均衡维护手册+F5服务器负载均衡方案+F5链路负载均衡方案+F5 Cluster(N+M)
03-20
- **F5链路负载均衡解决方案LC.doc** 可能详细介绍了如何配置和管理F5的链路负载均衡功能,包括链路监测、策略制定和故障切换机制。 - **F5服务器负载均衡解决方案.doc** 可能涵盖了服务器负载均衡的配置步骤、策略...
服务器负载均衡是什么意思(服务器负载均衡的基本功能和实现原理)
09-30
服务器负载均衡是一种网络技术,用于在多台服务器之间有效地分散网络流量...尽管负载均衡的基础原理看似简单,但在实际部署和管理中涉及到网络配置、服务器性能监控、安全策略等多个复杂环节,需要深入理解和专业知识。
链路负载均衡解决方案.doc
10-02
通过Array Networks的链路负载均衡解决方案,企业可以实现级别的网络冗余,提服务可用性,降低网络故障的影响,同时优化网络资源的使用,提升整体网络性能和用户体验。在选择和部署此类解决方案时,企业应根据...
多出口链路负载均衡技术
02-25
多出口链路负载均衡技术多出口链路负载均衡技术多出口链路负载均衡技术多出口链路负载均衡技术
Radware链路负载的解决方案
08-18
radare链路负载均衡的技术白皮书,智能DNS,优先链路选择
出方向链路负载均衡技术(原理部分)
IT后院的博客
11-10 1622
具体而言,就是当流量经过负载均衡模块时,如果没有与目的地址相关的就近性信息,则根据调度算法,为该流量选择一条链路,以保证业务的可用性,然后启动就近性探测来生成就近性表项,以引导后续流量。通过配置链路组的可用条件,可将流量在主用组和备用组之间进行切换:当主用组中的链路可用率低于下限时,将流量切换到备用组上,以防止链路受到大流量的冲击;用户既可在链路组视图下对组内的所有链路进行配置,也可在链路视图下只对当前链路进行配置,后者的配置优先级较。一条链路只能属于一个链路组,而一个链路组可以包含多条链路
服务器负载均衡 & 链路负载均衡 《CDN技术详解》
qq_29191321的博客
10-15 6090
1. 服务器负载均衡 服务器负载均衡是将客户端请求在集群中的服务器上实现均衡分发的技术。按照位于七层网络协议栈的不同层的划分,服务器负载均衡可以分为四层(L4)负载均衡和七层(L7)负载均衡两种。 1)L4负载均衡是基于流的服务器负载均衡,能够对报文进行逐流分发,即将同一条流的报文分发给同一台服务器; 2)L7负载均衡是基于内容的服务器负载均衡,能够对七层报文内容进行深度解析,并根据其中的关键字进...
4.2 链路聚合:负载均衡
ldg513783697的博客
03-10 3379
文章目录1.为啥推荐2,4,8条成员呢2.思科散列算法到底怎么工作2.1 bit2.2 xor 1.为啥推荐2,4,8条成员呢   思科Catalyst交换机每产生一个聚合端口,交换机都会为其成员链路进行编号,通常选择物理端口ID小的编号为0,然后依次类推最大是7。设备会将0-7这3bit散列值依次分配给成员链路,并将结果存放到芯片的hash表中。那设备又是如何分配呢?下面以3条成员链路的聚合端口...
链路捆绑静态LACP链路负载详解,理论+实战两分钟快速掌握
Bert_Wang的博客
06-29 3231
一 、静态LACP链路聚合 1、在两台直接相连Switch设备上配置链路聚合组,提两设备之间的带宽与可靠性 2、两设备间的链路具有冗余备份的能力,当 部分链路故障时使用备份链路替代故障链 路,保持数据传输的不中断 3、活动链路具有负载分担的能力 4、LACP模式链路聚合由LACP确定聚合组中的活动和非活动链路,又称为M:N模式,即M条活动链路与N条备份链路的模式,,在聚合链路上转发流量时在M条链路上分担负载,即活动链路,不在另外的N条链路转发流量。当M条链路中有一条链路故障时,LACP会从N条备
链路及服务器负载均衡原理与设备构建方案
qq_27740293的博客
05-07 3455
链路及服务器负载均衡原理与设备构建方案介绍。
端口聚合实现冗余链路流量均衡:避免环路与提升可靠性
端口聚合的流量平衡是局域网中实现冗余链路的一种关键技术,其主要目的是...通过学习这些内容,网络管理员可以有效地管理冗余链路,确保在面对网络故障时能快速恢复正常服务,同时还能降低网络拥塞和性能瓶颈的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值