基于LVS+Keepalived的高并发大型网站架构设计与实现_kaic

摘 要

随着互联网业务的不断丰富,It企业的信息化不断的加强，各种各样的数据和访问量不断的上升，大型企业网站面对着数据访问量增加的压力,针对当服务器普遍存在的服务器单点故障、故障无法实时转移、负载流量不均衡等缺点，从而使得网络的服务质量降低的特点，研究基于LVS（Linux 虚拟服务器）+Keepalived 架构集群技术，调度器采用网络地址转换项目背景模式及简单轮询调度算法，根据角色权重及活动链接数均衡分配用户负载请求，使用网卡检测状态及主/从调度器角色切换确保系统的高可用性，通过架构的设计来提高网站的抗并发能力。
该高并发设计将使用华为LVS模拟器来模拟真实环境的搭建和配置，通过Visio绘图工具来设计绘制网络拓扑结构。本次设计内部网络使用是区域化设计，将不同地市分为一个区域，在每一个区域内网络区域又分为终端区域、服务器区域、运维安全管理区域、核心区域、边界区域。区域网络的边界使用专线与市区连接，使用IPSEC协议与市局对接，内部网络使用.路由实现网络互通，核心和出口路由器使用IRF堆叠技术提高设备的性能和可靠性。考虑到用户的安全性，防止用户一机双网，在接入层配置了端口安全，限制终端接入的主机。为了提高网络信息的安全性，边界和服务器区域边界部署了防火墙，在交换机和路由器上都做了ACL限制，所有设备都通过SSH统一管理。每个楼层都通过VLAN将其分离开。最后，通过这次设计发现了自己的不足之处，对其进行总结，并对未来网络的发展进行思考。
关键词：LVS；Keepalived；高并发；大型网站架构；设计与实现

Abstract

With the enrichment of Internet business, It enterprise informatization unceasing strengthening, all kinds of data and traffic rise ceaselessly, large enterprises face the data traffic increase of pressure, for when the server universal server a single point of failure, failure can't real-time transfer and unbalanced load flow and fault, thus lowered the network quality of service features, Based on LVS (Linux Virtual Server) +Keepalived architecture cluster technology, scheduler adopts network address translation project background mode and simple polling scheduling algorithm, distributes user load requests evenly according to role weight and active link number, uses network card to detect status and switch roles of master/slave scheduler to ensure high availability of the system. Improve the concurrency resistance of the site through architectural design.
The network optimization design will use Huawei LVS simulator to simulate the construction and configuration of the real environment, and use Visio drawing tool to design and draw the network topology. The design of internal network use is regional design, will be divided into different cities into a region, in each region network area is divided into terminal area, server area, operation and maintenance security management area, core area, boundary area. The boundary of the area network is connected to the urban area by special line, connected to the municipal office by IPSEC protocol, and used by the internal network. Routing implements network connectivity, and core and egress routers use IRF stacking technology to improve device performance and reliability. To ensure user security, port security is configured at the access layer to limit the hosts that terminals can access. To improve network information security, firewalls are deployed at the border of the server area and the border of the switch and router. Access control lists (ACLs) are configured on switches and routers. All devices are managed through SSH. Each floor is separated by VLAN. Finally, through this design found their own shortcomings, summarized it, and the future development of the network for thinking.
Key words: LVS; Keepalived; High concurrency; Large website architecture; Design and Implementation

 
目  录
1绪论
1.1项目背景
1.2项目意义
1.3国内外研究现状
1.4论文内容结构与内容安排
1.4.1论文内容结构
1.4.1论文内容安排
2相关技术介绍
2.1DNS的负载均衡技术
2.2四层交换技术的负载均衡技术
2.3七层交换技术的负载均衡技术
2.4负载均衡群集的工作模式
3网络需求分析
3.1设计需求分析
3.2技术可行性分析
3.3高可靠性
3.4高安全性
3.5高扩展性和易排除性
3.6管理方式
4高可用高并发网络架构规划设计
4.1LVS负载模式设计
4.1.1 LVS调度服务器Director设计
4.1.2真实服务器Real Server设计
4.1.3 nginx七层负载均衡设计
4.1.4keepalived工作设计
4.2设备选型
4.3内部网络结构设计
4.3.1内部网络现状
4.3.2内部高并发设计
4.3.3IP地址规划与VLAN划分
4.4KEEPALIVED+LVS主备设计
5高可用高并发网络架构的实现
5.1主备自动切换技术的实现
5.2自动恢复技术的实现
5.3安全技术的实现

6结果测试
6.1连通性测试
6.2安全性测试
7结论
7.1总结
7.2展望
谢  辞
参考文献

1绪论
1.1项目背景
随着时代的发展和进步，网络已经作为人们日常生活中非常重要的组成部分。网络内容服务提供商的服务器经常被数千万用户的同时访问淹没。具体表现为服务器无法及时处理用户请求，用户等待时间过长，服务质量下降。提高网络服务的可持续性已成为一个迫切需要解决的问题。这个问题可以通过负载平衡技术来解决。它可以将用户请求传输到不同的服务器进行处理，提高服务响应速度，扩展服务器带宽，增加吞吐量，改善网络数据的处理效果，改善网络的灵活性和可靠性，解决网络过载问题，提高服务器的响应速度和其他资源的使用，避免网络关键部分的故障，提高服务的健壮性。因此，高可用性负载平衡技术是企业提供良好服务的基础和关键，对企业的发展起着至关重要的作用。
1.2项目意义
普通服务器的处理能力存在着问题，他每秒能够处理几十万个请求，那么他就不能够在一秒内处理上百万个请求，如果不同的服务器建立了一个系统，就可以利用软件技术把请求提供给不同的服务器，系统每秒能够处理更多的请求，这是项目背景的重要设计思想。
1.3国内外研究现状
项目背景是通过不同的服务器构成的一组服务器，每台的服务器状态一样，能够进行独立服务，并不需要其他的服务进行帮助，一些负载技术根据特定的策略把外部请求映射到服务器中，接收请求的服务器会响应需要。负载平衡解决了多个并发访问服务的问题。目标是以最小的投资实现接近大型机的性能。
 
图1-1
1.4论文内容结构与内容安排
1.4.1论文内容结构
本论文的主要内容是对LVS+Keepalived的高并发业务网络进行网络安全优化改造，该设计主要是对高并发业务网络进行网络架构的安全方面进行优化与设计并进行测试。通过利用自己所知所学的技术与经验对高并发业务网络进行优化设计并验证。此次设计是将使用华为的高并发模拟器进行网络架构的搭建与配置，通过该模拟器可以最大程度的还原真实设备的功能。该模拟器中有网络设备、安全设备、终端设备以及服务器设备等，安全设备有防火墙墙，服务器设备也可以实现部分服务器业务功能。最后通过该模拟器把所需功能技术一一进行实践，在最后完成设计所需功能技术与连通性的测试。
1.4.1论文内容安排
本次论文内容安排主要分为以下七个部分：
第一部分：绪论，主要介绍了LVS+Keepalived的高并发大型网站架构改造优化的背景和意义以及国内外的研究现状。
第二部分：网络需求分析，对LVS+Keepalived的高并发业务网络的需求进行分析。
第三部分：相关技术介绍与协议的介绍，主要是对所需主要功能技术与相关技术介绍协议的介绍。
第四部分：LVS+Keepalived的高并发大型网站架构设计，主要讲述某市LVS+Keepalived的高并发业务高并发的规划与设计。
第五部分：网络架构的实现，描述了网络架构的实现。
第六部分：实现的结果测试，对实验的结果进行测试。
第七部分：总结与展望，主要是对此次论文设计的一些总结以及对未来的一些发展趋势和期望进行阐述。
2相关技术介绍
2.1DNS的负载均衡技术
DNS（域名系统）是互联网上的分布式数据库。它可以将域名和IP地址相互映射，使用户无需记住机器可以直接读取的IP字符串即可轻松访问互联网。通过主机名获取与主机名对应的IP地址的过程称为域名解析（或主机名解析）。DNS协议通过UDP协议运行，并使用端口号53。
DNS负载平衡技术是比较早的项目背景解决方法，通过DNS的随机名称进行解析，在这种服务器中，可以为不同的地址配置一样的名称，然后查询名称的客户端，在解析过程中会获得一个名称，所以不同的客户端会不会一样的名称接收不一样的地址，还能够对不同的地址进行web服务器访问，实现了项目背景的目标。
如图1-2所示：
 
图1-2
优点：易于实现，易于实现，成本低，适用于大多数TCP IP应用；
缺点：
1.负载分布不均。DNS服务器把服务器请求均衡的分配给web服务器，但是没有考虑服务器的负载情况，如果服务器的配置和处理能力不一样的话，那么服务器就会存在问题，处理能力强的服务器就不能发挥效果；
2.可靠性低。如果服务器出现问题的话，DNS服务器将继续向故障服务器分配DNS请求，从而导致客户端无响应。
3.改变需要很长时间才能生效。如果您更改了NDS，大量客户可能无法使用web服务，并且由于DNS缓存（通常DNS更新周期约为24小时），其后果将持续很长时间。
2.2四层交换技术的负载均衡技术
项目背景是针对4层交换技术确定的内部服务器，通过消息目标地址和负载平衡设备选择与请求客户端建立TCP连接，然后发送客户端请求的数据。
如图1-3：
 
客户端将请求发送到第4层负载平衡器。第4层负载平衡器将客户端发送的消息的目标地址（最初是负载平衡器的IP地址）更改为后端服务器（web服务器、邮件服务等）的IP地址根据负载策略，使客户端可以直接与后端服务器建立TCP连接并发送数据。
代表产品：LVS（开源软件）、F5（硬件）
优点：高性能，支持各种网络协议
缺点：它严重依赖网络。在加载智能方面，它不如Layer 7 Last（例如，它不支持URL上的个性化加载）。F5硬件具有高性能，但成本也很高。这需要几十万元，这对小企业来说是负担不起的。
2.3七层交换技术的负载均衡技术
基于基层交换技术的项目背景也叫做内容交换，通过文章中有意义的应用层内容，增加项目背景设备进行服务器选择，最终确定选择的服务器。
如下图：
 
第7层负载平衡服务器充当代理服务器。要访问web服务器，客户端必须首先与第7层负载设备握手三次，然后建立TCP连接，并将消息信息发送到第7层负载平衡服务器。然后，七层负载平衡根据指定的平衡规则选择特定的web服务器，然后通过三次握手建立到该web服务器的TCP连接。然后，web服务器将所需数据发送到七层负载平衡器，负载平衡器将数据发送到客户端。
代表产品：nginx（软件）、Apache（软件）
优点：较少的网络依赖性和更多的加载智能方案（例如加载到不同的URL）
缺点：网络协议有限，nginx和Apache支持HTTP负载，性能不如Last 4层
2.4负载均衡群集的工作模式
四层负载使用lvs软件或F5硬件实现。
七层负载使用nginx实现。
图1-3是lvs+nginx的拓扑结构：
 
图1-4 lvs+nginx的拓扑结构

3网络需求分析
3.1设计需求分析
财政局的主要职能是负责地方财政工作，贯彻落实财政体制，按照政策安排地方的财政收入，确保财政支出，管理地方财政资金，促进工农业生产和各项事业的发展，同时培养自己的专业会计人员，提高科学的财务管理质量和企业财务管理水平；严格财务纪律，加强财务管理，提高经济效益；积极开发财政资源，振兴地方经济。在这信息化的时代，要想高效的办理财政相关的业务，就需要有一个高可靠、安全、稳定的网络作为基础。财政局业务网络作为内部通信以及与银行等的外联单位的沟通交流、文件办公、数据同步等重要业务的支撑，在用户层面，访问财政局的网站或查询相关的自身信息都是通过互联网来进行的，但是互联网是极其不安全的，在财政层面，网络有财政业务专网和外网之分，两者是互不通信的，是不能互联的，而财政业务专网更是财政业务数据通信之根本，所以更加需注重信息的安全。根据原有的财政业务专网，在其基础上，依据需求进行了相关的优化设计：
(1)建立全市财政局安全高速的通信网络，通过该网络可以安全的访问相关业务。
(2)县局到市局的网络边界使用两条专线互联，使用不同运营商，将其进行链路捆绑，逻辑增加带宽，保证数据流量可以正常的上传。
(3)网络采用区域化设计，网络中有终端接入区、服务器区、运维安全管理区、核心区、边界区。
(4)具备高安全性，在每台设备的管理上都设置了管理限制，在出口处部署了防火墙，对网络的访问都进行了限制，以及还有一些其他的网络安全机制。考虑网络安全的同时也考虑到了业务系统数据的完整性和安全性。利用访问控制限制某些网段只能访问特定的网段，并且开启日志记录和审计的功能，网络设备都设置了登录权限的限制，根据用户登录的人员不同，所拥有的账户权限也不同。
(5)具备高效的网络管理能力，网络架构是采用区域化设计，都支持安全的远程方式，数据都是加密的。
(6)网络的高性能和高可靠性，网络中不应存在单点故障，如果设备出现故障，业务就会产生中断，所以重要的网络设备以及线路都做冗余的机制，使得整个网络的架构可以满足业务系统不间断的需求。
(7)网络结构应具备高可扩展性，可伸缩性，网络的架构在功能、容量、覆盖能力等各方面都应具有易扩展能力，以此能更快的适应如今飞速发展的业务的需求。
3.2技术可行性分析
本次设计的网络架构采用的是区域化设计，核心区域、出口边界区域的设备都使用了IRF堆叠技术或者双机热备的方式，保证了网络和设备冗余性和可靠性。在出口专线上还使用了链路聚合，提高了网络的带宽，保证了线路的冗余性，确保了这些区域没有存在单点故障，内网中使用的是LVS将网络进行互通，在LVS区域中都开启了MD5校验，并且在出口上联上级单位的线路上建立IPSEC VPN通道，将业务数据进行加密传输增强了安全性。
3.3高可靠性
高可靠性就是网络应该在合理的时延和抖动特性下，可靠地在主机之间传送数据包。在局域网内部出现了网络故障，链路故障或者设备故障时，可以快速切换线路或设备，网络可以快速收敛恢复正常。在一些中小型网络中，可能会因为成本或其他因素的影响，大部分网络都是没有可靠性的设计保障业务运行通畅的安全的，基本都会存在单点故障。在设备互联之间都是采用单线路连接，重要关键的设备都是使用单台，一旦线路或者设备出现故障，就会严重的影响了业务的正常使用。现在这样的设计已经无法满足业务需求了，现在的网络架构要比以往的网络架构需要考虑的地方更多。但是时代在发展，技术也在不断进步，堆叠或者虚拟化技术很有效的解决了单台设备故障产生的影响，还可以将设备的性能提高。
根据设计为了避免设备端口不够使用和设备故障的情况，核心关键的设备都是采用了支持虚拟化或堆叠模式的设备，可以将两台设备逻辑成一台设备使用，虚拟化技术和堆叠能够有效的提高网络的可靠性。
3.4高安全性
随着互联网的发展，网络安全成为了网络中的最重要的组成部分。特别是一些重要的机构企业，在网络中存放着极其重要的信息数据，如果丢失或者被人盗取都会对社会或者企业造成无法挽回的影响。所以为了避免发生信息安全事故，该网络架构设计在边界处使用了IPSEC VPN对数据传输进行了加密，并且在边界部署了防火墙，对访问进行了控制，在接入层也开启了端口保护，当接入不是第一次接入的电脑时会不转发数据，且未使用的接口都会将其关闭，防止一机两网，随意接入内网。
3.5高扩展性和易排除性
如今信息化在全面普及、覆盖，财政局的业务也在不断的发展壮大，在网络中终端的数量和带宽的使用会逐渐增多，因此在设计时需要将这些因素考虑进去。本次高并发设计采用了区域化设计，在区域内可以无限扩展，网络具有很好的发展，可以有效的增加区域，添加其他功能模块，具有很好的横向纵向扩展能力。在排查故障上，区域化设计可以快速的判定那处位置发生了故障，比起其它的网络设计功能直观性更好。
3.6管理方式
随着网络规模的变大，网络设备、安全设备以及服务器设备会越来越多，部署分散在不同的位置，当需要进行操作管理的时候，不可能每次都能去到物理设备前进行操作，因此就可以使用到远程管理。我们最熟悉的远程管理方式应该就是SSH、Telnet这两种，Telnet管理方式方便快捷，但其缺点也很明显，就是数据传输不安全，容易受到中间人攻击。Telnet是一个明文传送协议，它将一些重要的用户信息，比如用户名和密码，都是以明文的形式在互联网上传输，很容易让人截取到信息，如果被一些心怀不轨的人截取到将会可能造成信息泄露。所以我采用了更为安全的SSH管理方式，它是专门为远程登录会话以及一些其他的网络服务提供安全性的协议，可以有效的弥补网络中的漏洞。
通过SSH对设备进行远程管理，只要网络可达，没有限制，它可以安全远程管理到网络的任意一台设备和服务器，是再好不过的方式了。当某一个设备需要更改配置或者处理分析故障的时候，网络管理人员就可以远程管理完成操作。SSH之所以能够保证安全，就是因为它在传输过程中采用了非对称加密技术，对所有数据都进行了加密。

4高可用高并发网络架构规划设计
4.1LVS负载模式设计
LVS是Linux虚拟服务器的缩写，意思是Linux虚拟服务器。它是一个虚拟服务器集群系统。这是中国最早的自由软件项目之一。
二、服务器优化
（一）服务器整体性能考虑
对于服务器很昂贵的情况，比如配置在不影响正常情况下的最大效率服务器，设计网站架构的时候要重视这个问题，影响服务器的处理速度因素包括：网络连接，磁盘读写，存储以及CPU，如果一部分在满负荷运转并且小于要求的话，其他部分也会有容量，我们就叫做性能瓶颈，如果服务器为了实现最大化效率，关键是消除瓶颈并充分利用所有部分。
（二）Socket优化
以GNU Linux标准为例。GNU Linux发行版试图优化各种部署情况，这意味着默认发行版可能不会针对特定服务器的执行环境进行优化。GNU Linux提供了许多可定制的内核参数，能够用到动态服务器配置的过程中，包括影响套接性能的选项，这些选项内容包括了虚拟文件系统，文件系统中的每个文件代表一个参数，可以使用工具读取或者是通过命令更改参数。
（三）硬盘级缓存
磁盘缓存是在磁盘动态生成的过程中出现的临时缓存。在可接受的延迟时间内，不再动态生成相同的请求，以节省系统资源并提高网站的可负担性。Squid通常用于Linux环境中的磁盘缓存。
Squid是一个功能强大的代理缓存服务器。与一般的代理缓存软件不同，squid使用单一的、非模块化的、易于i.o操作的步骤来处理所有客户满意度。它接受消费者对总体目标的要求，并相应地进行处理。例如，如果客户希望通过浏览器下载（即浏览）网页，浏览器将请求squid接受该网页。Squid然后连接到页面所在的原始服务器，并将请求推送到服务器以接受页面。检索页面后，squid将页面返回到客户端浏览器，同时将副本存储在squid的本地缓存目录中。下次客户必须访问同一页面时，squid只需从缓存中读取他们的副本，并将其直接推送回客户，而无需再次请求原始服务器。目前，squid可以处理HTTP、FTP、gopher、SSL和WAIS等协议。默认情况下，当squid运行时，会在硬盘上创建一个两步哈希目录来存储缓存的对象。它还会在内存中创建一个哈希表来记录磁盘上对象的分布。如果Squid被配置为Squid集群中的一个，那么还将创建一个摘要表来存储其他Squid上的对象摘要。如果客户端请求的数据在本地磁盘上不可用，您可以快速知道在集群中检索哪台机器。如果磁盘空间即将达到配置限制，您可以配置要使用的特定策略（默认情况下使用LRU：上次使用）来删除一些对象以释放空间。
Squid是默认配置的，通常可以保证50%的命中率而无需改进。如有必要，squid可以通过参数改进、业务拆分、文档系统改进等方法，实现90%以上的缓存命中率。Squid处理TCP连接所消耗的服务器资源比真正的HTTP服务器少得多。当squid共享更多资源并连接时，该网站的打印容量将大大提高。
（四）内存级缓存
内存级缓存是一种临时缓存，必须动态转换为内存中的内容。在可接受的延迟时间内，同一个请求不容易动态转换，而是直接从内存中读取。在Linux环境中，内存级缓存memcached是一个不错的选择。
（五）CPU与IO均衡
在网站提供的所有功能中，有些功能可能会消耗大量服务器端IO资源，如下载、视频播放等，另一些功能可能会消耗大量服务器CPU资源，如短视频格式转换、日志统计分析等。如果我们发现在服务器集群上一些设备的CPU和IO应用率是非常不同的，例如，CPU负载非常高，IO非常低，我们可以考虑在整个IO消耗过程中替换服务器上的一些CPU资源消耗过程，以确保平衡的目的地。平衡每个设备的CPU和IO消耗不仅可以丰富应用服务器资源，还可以支持临时过载。在紧急情况下，浏览流量大幅增加，会实现功能，而不是立即崩溃。如有必要，您可以通过选择文件系统并更改文件系统的配置参数来最大限度地提高读取或写入特定文件的效率。
运行IPVS软件的服务器在整个负载平衡集群中扮演着调度角色（即，将客户机的请求分配给实际服务器）。LVS中有三种调度方法：nat（网络地址转换）、Tun（隧道）和Dr（直接路由）。
4.1.1 LVS调度服务器Director设计
 
图2-2-1
请求被LVS接受，并直接从真实服务器（RS）返回给未通过LVS的用户。
在Dr模式下，LVS服务器和RS必须绑定相同的VIP。当请求到来时，LVS只需将网络帧的MAC地址更改为特定RS的MAC，并将数据包转发到相应RS进行处理。请注意，源IP和目标IP此时没有更改。RS接收LVS转发的数据包，确定MAC是自己的，IP是自己的，因此数据包被合法接受。只需直接返回到源IP（即用户的IP），无需通过LVS。在Dr模式下，LVS接收请求条目，将请求转发给RS，RS向用户发出响应。性能非常好。
缺点是负载平衡和RS必须在同一物理段上。
4.1.2真实服务器Real Server设计
 
图2-2-2
NAT（网络地址转换）是一种在外部网络和内部网络之间进行地址映射的技术。在NAT模式下，LVS必须是Rs的网关。当网络数据包到达LVS时，LVS执行目标地址转换（DNAT），并将目标IP更改为RS IP。RS接收到数据包后，经过处理，返回响应时，源IP为RS IP，目标IP为客户端IP。此时，RS数据包通过网关（LVS）传输。LVS执行包的源地址（SNAT），并将包的源地址更改为VIP。对于客户来说，只有LVS知道它将直接返回给他。
NAT模式的要求和响应必须经过LVS，性能不如Dr模式。
4.1.3 nginx七层负载均衡设计
 
图2-2-3
Tun方法是通过IP隧道技术降低LVS生产调度服务器的压力。许多Internet服务（如web服务器）的请求数据包非常短，而响应数据包通常很大。负载平衡器只负责向物理服务器发送请求数据包，而物理服务器直接向客户发送响应数据包。因此，负载平衡器可以处理大量请求。与NAT相比，它要高得多。DR方法的优点是，它不会将负载平衡器和RS限制在一个物理段中。然而，它的不足之处在于，所有服务器（LV、RS）都必须支持“IP隧道”（IP封装）协议。
4.1.4keepalived工作设计

4.2设备选型
根据现有的网络架构以及业务数据的流量规模，对未来的扩展的业务数据量进行预估，由此进行设备的选型，设备的选型是非常重要的，设备的好坏影响了业务的可靠性、安全性，还有可能影响网络的扩展性，所以需要选择符合实际实用的网络设备。
出口边界区域、核心区域作为所有数据转发都经过的设备，吞吐量要足够大，接口速率要高，不能让其成为网络的瓶颈，所以两个区域的设备需要更高的性能和更高级的安全防护功能，都要选择数据中心级别的网络设备，数据中心级别的网络设备拥更高的吞吐量和缓存的特点，同时还可以支持IRF技术，提高了接入密度，降低了管理的难度，除此之外安全设备的功能也是很重要的，边界防火墙采用两台网神防火墙，进行做热备，外联区域VPN设备使用天融信的VPN产品。
运维安全管理区域的设备负责运维和安全的管理区域，审计分析设备分析数据速度一定要快，运维安全审计系统也就是堡垒机，还有日志审计和网络审计都是使用了天融信的产品。而终端安全防护使用的是深信服的EDR，服务器虚拟化安全使用的是亚信的虚拟化安全防护产品，亚信安全管理中心和EDR管理中心要连接大量终端，所需其配置性能需要高稳定。
服务器区域接入交换机也是要达到数据中心级别，服务器之间会有大量的数据交换，如果交换机性能不够，写入数据的时候就会很慢，影响业务的效率。服务器区域边界的防火墙要达到应用层，可以对应用的层面进行访问控制。
终端接入区域通常都是使用千兆网络交换机，通过支持端口安全，严禁非法接入网路中。
4.3内部网络结构设计
4.3.1内部网络现状
财政局内部的内网终端接到接入交换机，然后各个接入交换机都级联到核心交换机上，核心交换机作为各个网段的网关，交换机往上连接到各个边界的边界设备上。内网服务器也是通过以太网连接到接入交换机，在通过接入交换机级联核心交换机进行网络通信。在网络边界上主要有三条线路，分别是广域网连接到上一级单位的财政局，还有城域网连接下级单位的线路，以及预算单位、银行等VPN拨号线路。通过广域网路由器接入财政广域网专线和城域网专线，可以访问到市局和区厅相关业务，路由器往下是网神防火墙，由防火墙做安全控制，数据流量经过防火墙过滤之后才进入内网网络。预算单位和移动办公、银行单位等用户通过VPN在外网拨号连接，用户进行拨号之后，经过了VPN内置的访问控制连接到财政内网，原有网络架构如图4-1所示。
 
图4-1原网络拓扑图
4.3.2内部高并发设计
内部网络结构使用区域化设计，将内部网络分为一个个区域，如图所示，核心区域核心交换机使用两根万兆光纤互联作为IRF端口，用于数据之间的交互。上联出口边界区域的防火墙使用千兆光纤，并配置链路聚合，链路聚合能够有效的提供冗余和负载均衡。出口边界区域防火墙部署了热备模式，工作模式是透明模式。防火墙上联和互联都是用千兆光纤，并且互联都使用了链路聚合，到了出口路由和核心一样使用了万兆光纤进行链路聚合互联，上联使用了两条电信的百兆专线，并做了链路聚合。服务器区域边界架设了一台应用防火墙，使用两条千兆网线互联核心，下联服务器接入交换机使用了链路聚合，交换机做了IRF虚拟化。运维安全管理区域就比较简单，一台三层交换机千兆网线互联核心，下联安全设备。整个网络使用了LVS路由协议实现全网互通，LVS是IGP中使用最为广泛的路由协议。财政专网上的业务是互联网上不能直接访问的，而有些单位如银行需要访问财政的业务，所以每个地方的财政局都有一根外联的线连接到外部的单位。还有就是在外办公需要连接入财政内网，所有又专门拉了一条互联网专线，在出口处部署了有防火墙功能的VPN，用于在外办公的人拨入VPN来连接内网，优化设计之后的网络架构如图4-2所示。
 
图4-2现网络拓扑图
4.3.3IP地址规划与VLAN划分
财政内网采用的是A类私有地址，从10.0.0.0-10.255.255.255，全国的财政内网都是在使用这个地址段，但是我们在互联网上是没有办法访问这些私有地址的，可以说使用私有地址的相对是较安全，这样也可以节省了很多公网IP，毕竟公网Ipv4的地址是屈指可数的。财政厅将10.10.0.0/23的地址划分给了G市财政局，10.10.10.0-10.10.19.255这些地址划分给了G市下面的县级财政局，详细划分如表。县级财政局就根据所分配的地址，根据需求进行划分，并且还需要考虑未来的发展，需要预留一些地址段。
VLAN是隔离广播域，划分管理的重要手段，因VLAN只是本地有效，所以VLAN根据功能来进行了划分，其中1楼办公网为VLAN10，2楼为VLAN20，三楼为VLAN30，4楼为VLAN40，运维安全管理使用VLAN100，服务器使用VLAN110。
具体G市财政局以及所属县局细分地址规划如表4-1所示
表4-1 市局与县局网段规划表
地区网段
G市10.10.0.0/23
A区10.10.10.0/23
B区10.10.12.0/23
C区10.10.14.0/23
D区10.10.16.0/23
E区10.10.18.0/23
级联网段10.1.1.0/27
对各县市财政局的网段进行详细划分，根据楼层来进行隔离，一个VLAN相当于一个楼层网络，并且还预留了一些地址，当IP地址不够使用时可以拿出来分配。在规划上采用的是每个地址段的第一位地址作为网关，避免与终端地址冲突。具体IP地址详细规划如表4-2所示
表4-2 市局与县局详细IP网段规划
地区区域网段VLAN网关
A区1F10.10.10.0/261010.10.10.1/26
2F10.10.10.64/262010.10.10.65/26
3F10.10.10.128/263010.10.10.129/26
4F10.10.10.192/264010.10.10.193/26
服务器10.10.11.0/2611010.10.11.1/26
安全/运维10.10.11.64/2610010.10.11.65/26
互联10.10.11.128/28
4.4KEEPALIVED+LVS主备设计
KeepAlive是一款服务软件，用于确保群集管理中群集的高可用性，用于防止单点故障。keepalived的功能是检测web服务器的状态。如果某个web服务器崩溃或出现故障，KeepAlive会检测到它，并将故障的web服务器从系统中删除。如果web服务器正常工作，KeepAlive会自动将web服务器添加到服务器组中。所有这些工作都是自动进行的，无需人力资源干预。手动修复出现故障的web服务器非常重要。
Keep基于VRRP协议。VRRP完全称为虚拟路由器冗余协议，即虚拟路由冗余协议。虚拟路由冗余协议可以作为路由器高可用性的一种协议，即给具有相同效果的路由器组成一个路由器组。在这个组中有一个主机和几个备份。主机上有一个向外部提供服务的VIP（路由器所在LAN中其他机器的默认路由为该VIP）。主机传输多播。如果备份未接收到VRRP数据包，则认为主服务器出现故障。在这种情况下，您需要根据VRRP的优先级选择备份主机。这样就可以保证路由器的高可用性。
Keepalive主要由三个控制模块组成：core、check和VRRP。重要的控制模块是keepalive的重要组成部分。它负责操作和维护的全过程，以及加载和解析全局配置文档。VRRP模块用于实现VRRP协议。

在LVS的DR和Tun方法下，客户的浏览请求到达真正的服务器后，直接返回给客户，不容易通过前端director服务器。因此，有必要改进每个真实服务器节点上的虚拟VIP详细地址，以便数据可以直接返回给客户。