RadwareLinkProof多鏈路負(fù)載均衡解決方案技術(shù)白皮書

1、RadwareLinkProof多鏈路解決方案radwareRadwareChina目錄1 需求分析31.1 單一鏈路導(dǎo)致單點(diǎn)故障和訪問遲緩31.2 傳統(tǒng)解決方案無法完全發(fā)揮多鏈路優(yōu)勢42 RadwareLinkProof(LP)解決方案52.1 方案拓?fù)鋱D52.2 鏈路優(yōu)選方案62.2.1 鏈路健康檢測62.2.2 流入(Inbound)流量處理72.2.3 流出(Outbound)流量處理82.3 獨(dú)特優(yōu)勢92.4 增值功能92.4.1 流量(P2P)控制和管理92.4.2 應(yīng)用安全102.5 接入方式103 設(shè)備管理114 總結(jié)12近年來，Internet作為一種重要的交流工具在各種規(guī)模

2、的商業(yè)機(jī)構(gòu)和各個(gè)行業(yè)中得到了普遍應(yīng)用。在機(jī)構(gòu)借以執(zhí)行日常業(yè)務(wù)活動的各種網(wǎng)絡(luò)化應(yīng)用中，目前已包括從供應(yīng)鏈管理到銷售門戶、數(shù)據(jù)管理、軟件開發(fā)工具和資源管理等一系列的應(yīng)用。這些不斷增長的網(wǎng)絡(luò)化應(yīng)用對企業(yè)通訊的效率和可用性也提出了較高要求。1.1 單一鏈路導(dǎo)致單點(diǎn)故障和訪問遲緩用戶的網(wǎng)絡(luò)結(jié)構(gòu)通常如下：單一鏈路實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)和Internet之間的連接。嵐布區(qū)應(yīng)用服勢器辦及同應(yīng)用腿缶拈而在Internet接入的穩(wěn)定性對于一個(gè)用戶來說日見重要的今天，一個(gè)ISP顯然無法保證它提供的Internet鏈路的持續(xù)可用性，從而可能導(dǎo)致用戶Internet接入的中斷，帶來無法預(yù)計(jì)的損失。而且由于歷史原因，不同ISP的互

3、連互通一直存在著很大的問題，在南方電信建立的應(yīng)用服務(wù)器，如果是南方電信用戶訪問正常，Ping的延時(shí)只有幾十甚至十幾毫秒，對用戶的正常訪問幾乎不會造成影響；但如果是北方網(wǎng)通的遠(yuǎn)程用戶訪問，Ping的延時(shí)只有幾百甚至上千毫秒，訪問應(yīng)用時(shí)則會出現(xiàn)沒有響應(yīng)設(shè)置無法訪問的問題。如果用戶采用單條接入鏈路，無論是采用電信（或則網(wǎng)通），勢必會造成相應(yīng)的網(wǎng)通（或則電信）用戶訪問非常慢。因此，采用多條鏈路已成為用戶實(shí)現(xiàn)Internet接入的穩(wěn)定性的必然選擇。1.2 傳統(tǒng)解決方案無法完全發(fā)揮多鏈路優(yōu)勢下圖是一個(gè)多鏈路接入的典型拓?fù)洌趫D中內(nèi)部網(wǎng)絡(luò)到Internet有2條接入鏈路，其中一條通過ISP1進(jìn)行鏈接，而另一

4、條則通過ISP2鏈接。發(fā)布區(qū)應(yīng)用鼠第寤精心交頓機(jī)內(nèi)網(wǎng)應(yīng)用服招罌傳統(tǒng)多歸路方案：每個(gè)ISP為內(nèi)網(wǎng)分配一個(gè)不同的IP地址網(wǎng)段。因而，對內(nèi)網(wǎng)來說2個(gè)IP網(wǎng)段同時(shí)生效。存在問題：地址的靜態(tài)分配給尋址帶來了很大的復(fù)雜性。除了復(fù)雜性之外，傳統(tǒng)的多鏈路網(wǎng)絡(luò)也具有一些人們尚未完全認(rèn)識的不足：網(wǎng)絡(luò)有多個(gè)鏈路與Internet相接，即使用最復(fù)雜的協(xié)議，例如BGP4真正意義上的流量負(fù)載均衡還是做不到。路由協(xié)議不會知道每一個(gè)鏈路當(dāng)前的流量負(fù)載和活動會話。此時(shí)的任何負(fù)載均衡都是很不精確的，最多只能叫做“鏈路共享”。對外訪問，有的鏈路會比另外的鏈路容易達(dá)到。雖然路由協(xié)議知道一些就近性和可達(dá)性，但是他們不可能結(jié)合諸如路由器

5、的HO琳和到目的網(wǎng)絡(luò)延時(shí)及鏈路的負(fù)載狀況等多變的因素，做出精確的路由選擇。對內(nèi)流量（比如，Internet用戶想訪問有多條鏈入接入的網(wǎng)上的一臺服務(wù)器）。有的鏈路會比另外的鏈路更好地對外提供服務(wù)。沒一種路由機(jī)制能結(jié)合DNS就近性，路由器負(fù)載，做出判斷哪一條鏈路可以對外部用戶來提供最優(yōu)的服務(wù)。傳統(tǒng)的多鏈路接入依靠復(fù)雜的設(shè)計(jì)，解決了一些接入鏈路存在單點(diǎn)故障的問題。但是,它遠(yuǎn)遠(yuǎn)沒有把多鏈路接入的巨大優(yōu)勢發(fā)揮出來。2 RadwareLinkProof（LP）解決方案作為應(yīng)用交換業(yè)界的領(lǐng)先廠商，Radware公司早在1999年即推出了業(yè)界首個(gè)多鏈路智能解決方案LinkProof。并憑借其強(qiáng)大的技術(shù)優(yōu)勢，在

6、市場上處于領(lǐng)先地位。LinkProof解決方案就是在內(nèi)部交換機(jī)和連接ISP的路由器之間，跨接一臺LinkProof智能交換機(jī)，所有的地址處理和Internet鏈路優(yōu)化全部由LinkProof智能交換機(jī)來完成。針對各種用戶的典型需求，LinkProof在以下幾個(gè)環(huán)節(jié)上提供了先進(jìn)的功能和完善的解決方案：鏈路健康狀態(tài)檢測；最佳鏈路選擇；智能地址翻譯；流量（P2P）控制和管理（可選）；應(yīng)用安全（可選）；2.1 方案拓?fù)鋱D典型的LinkProof解決方案架構(gòu)如下圖所示:發(fā)布區(qū)成用肥於器辦會網(wǎng)座用服務(wù)器2.2 鏈路優(yōu)選方案LinkProof能夠同時(shí)實(shí)現(xiàn)雙向（Inbound和Outbound）流量在多條兩路

7、上的負(fù)載均衡的。鏈路健康狀況檢查：LP可以采用多種方式判斷鏈路的健康狀況，例如Ping（全鏈路健康檢查），以及通過檢查多個(gè)Internet目標(biāo)來共同判斷鏈路狀況。Inbound流量處理方面主要利用了DN解口SmartNAT技術(shù)；Outbound流量處理主要利用了SmartNAT技術(shù)。2.2.1 鏈路健康檢測LinkProof會通過多種方式檢測兩條鏈路的健康狀況，一旦發(fā)現(xiàn)其中一條鏈路故障，會立即將所有用戶流量定向至其它可用鏈路，從而實(shí)現(xiàn)Internet連接的高可用性。主要的方法有：全路徑健康檢查為了確保ISP鏈路的暢通，LinkProof將采用Ping的方法，不僅僅檢查和其相連的路由器的端口是否

8、可達(dá)，還可以檢查該鏈路后續(xù)路由節(jié)點(diǎn)的連通性（10跳），已確保整個(gè)路徑的暢通。注：該方法要求ISP的鏈路對ICMP開放。LinkProof高級健康檢查針對所有的網(wǎng)絡(luò)環(huán)境（包括禁止ICMP的ISP）,LinkProof提供了豐富的47層檢查方式，并可以通過多種檢查結(jié)果的“與”和“或”運(yùn)算結(jié)果，最終準(zhǔn)確判斷鏈路的健康狀況。例如：通過CNC勺路徑，同時(shí)檢查和的80端口，并將檢查結(jié)果做“或”運(yùn)算，只要一個(gè)檢查通過即可判斷CNC1路正常。避免了某網(wǎng)站故障導(dǎo)致鏈路狀態(tài)誤判的可能性。2.2.2 流入（Inbound）流量處理LinkProof需要客戶配合將域名的解析功能導(dǎo)向到LinkProof,由LinkPr

9、oof來進(jìn)行域名的解析。這樣當(dāng)遠(yuǎn)程通過域名訪問政府網(wǎng)時(shí)，逐步通過遠(yuǎn)程用戶的本地DNS服務(wù)器、根DNS艮務(wù)器，最終由LinkProof來進(jìn)行域名的解析。此時(shí)LinkProof就會通過靜態(tài)列表或者動態(tài)判斷算法，選擇最優(yōu)的線路，然后將域名解析成相應(yīng)線路的IP地址。例如：當(dāng)某個(gè)網(wǎng)通的遠(yuǎn)程用戶訪問政府網(wǎng)時(shí)，首先向他當(dāng)?shù)氐腄NS服務(wù)器發(fā)起域名解析的請求，再通過他接入運(yùn)營商的根DNS!艮務(wù)器，最終總歸會向LinkProof請求DNSW析，此時(shí)LinkProof就會通過靜態(tài)列表或者動態(tài)判斷算法，選擇最優(yōu)的線路（網(wǎng)通），然后將域名解析成網(wǎng)通線路的IP地址（218.x.x.1）。這樣遠(yuǎn)程的網(wǎng)通用戶就會使用網(wǎng)通的目

10、標(biāo)IP地址，通過網(wǎng)通的線路進(jìn)行訪問，實(shí)現(xiàn)了訪問時(shí)鏈路方面的負(fù)載均衡優(yōu)化。下面以為例,描述Inbound流量處理的過程。假設(shè)圖中的Server1是Web服務(wù)器,Internet主機(jī)名為,地址為私有IP:00/24。一一StaticNATm.l6S.l.lOO1Q192.165.14002004.1.2www.radwHfe.camlffi.l6B.l.lCiOISF1NSwww.rafUwareooniw.J1.2.NSwww.rartwarexoflii12辦公網(wǎng)應(yīng)用服芬器如圖所示，在DNS!艮務(wù)器上主則兩筆NS記錄，指向LinkProofNSwww.R10

11、NSwww.R而在LinkProof上設(shè)置URL與內(nèi)部主機(jī)地址的對應(yīng)關(guān)系：00而在LinkProof上設(shè)置靜態(tài)的地址翻譯：0000當(dāng)有Internet用戶訪問是時(shí)，DNS服務(wù)器回應(yīng)給用戶由LinkProof來完成最終地址解析。LinkProof根據(jù)具體設(shè)置來選定適當(dāng)?shù)腎SP線路，如果選擇ISP1,則將地址解析為。同樣，如果選擇ISP2,則將地址解析為。從而完成流入流量的負(fù)載均衡。2.2.3 流出(Outbound)流量處理Li

12、nkProof主要采用以下集中方式來處理流出流量。SmartNAT對于流出流量的智能地址管理，LinkProof使用了稱為SmartNAT的算法。當(dāng)選定一個(gè)路由器(某一個(gè)ISP)傳送流出流量時(shí)，LinkProof將選擇該ISP提供的地址。在圖二中，如果LinkProof選才iISP1作為流出流量的路徑，則它將把內(nèi)部的主機(jī)地址192.168.2.A/24翻譯為100.1.1.A/24,并作為流出數(shù)據(jù)包的源地址。同樣，如果LinkProof選才iISP2作為流出流量的路徑，則它將把內(nèi)部的主機(jī)地址192.168.2.A/24翻譯為200.1.1.A/24,并作為流出數(shù)據(jù)包的源地址。ISF2CNAT1

13、5*2.168.2,0100.LI.4192.16B.2.C2.3 獨(dú)特優(yōu)勢LinkProof的專利技術(shù)：就近性，能夠根據(jù)用戶訪問的目的IP、各條鏈路的負(fù)載等情況來綜合考慮，計(jì)算出內(nèi)部用戶訪問Internet的最佳路徑，以保證用戶能夠得到最快和最高效的服務(wù)和響應(yīng)。靜態(tài)就近性：用戶可在LinkProof上為某個(gè)目標(biāo)定義靜態(tài)的最佳鏈路。例如目標(biāo)IP地址屬于ISP1的，應(yīng)選擇ISP1鏈路；目標(biāo)IP地址屬于ISP2的，應(yīng)選擇ISP2鏈路。動態(tài)就近性：在選擇最佳鏈路時(shí)，LinkProof會綜合考慮與目標(biāo)網(wǎng)絡(luò)之間的路由節(jié)點(diǎn)數(shù)量、數(shù)據(jù)傳輸?shù)难舆t和鏈路的實(shí)時(shí)負(fù)載，準(zhǔn)確計(jì)算出最佳路徑。因此用戶

14、能充分地享受到優(yōu)化的服務(wù)和快速地響應(yīng)。2.4 增值功能2.4.1 流量（P2P）控制和管理所有的用戶和運(yùn)營商都不得不面臨一個(gè)相同問題：非關(guān)鍵業(yè)務(wù)流量占用的大量的可用帶寬，其中P2P流量，如BT下載，更是如此。不但造成了網(wǎng)絡(luò)擁塞，還可能影響到關(guān)鍵的業(yè)務(wù)和應(yīng)用。LinkProof上可以集成基于策略和特征的帶寬管理功能，識別各種業(yè)務(wù)流量，特別是能夠識別多種P2P流量?？梢园凑沼脩舻木唧w需求，分配帶寬資源。在保證關(guān)鍵業(yè)務(wù)的同時(shí)，讓用戶充分享受Internet網(wǎng)絡(luò)的豐富資源。通過帶寬管理以及實(shí)現(xiàn)各個(gè)鏈路的最大容量,Vradware可以避免帶寬消耗的驟然劇增。因?yàn)橹挥杏锌捎玫膸挄r(shí)，非關(guān)鍵應(yīng)用才能占用它要

15、求的帶寬，這樣既阻止了帶寬消耗量的劇增，又進(jìn)一步降低了連接成本。注：該功能需要購買SynAppsLevelIIlicense。2.4.2 應(yīng)用安全年復(fù)一年，日復(fù)一日，在計(jì)算機(jī)犯罪和安全性調(diào)查中報(bào)告的最常見事故始終都是惡意代碼攻擊（即病毒、蠕蟲等等）在LinkProof上運(yùn)行“應(yīng)用安全”模塊，可以有效的防范1400多種基于應(yīng)用的惡意攻擊，保護(hù)內(nèi)部的主機(jī)和用戶。“應(yīng)用安全”模塊為關(guān)鍵網(wǎng)絡(luò)資源提供了保護(hù)屏障，它補(bǔ)充和擴(kuò)展了網(wǎng)絡(luò)規(guī)劃中原有的那些常見安全機(jī)制。SynApps可以自動檢測和防范常見的侵害網(wǎng)絡(luò)和應(yīng)用攻擊。這些攻擊諸如緩沖區(qū)溢出（BOF、盜用和缺省安裝攻擊、默認(rèn)安裝、后門/特洛伊木馬和端口掃描

16、。應(yīng)用安全模塊可以同時(shí)監(jiān)視網(wǎng)絡(luò)和應(yīng)用流量，由此可實(shí)時(shí)檢測攻擊，并通過終止進(jìn)入網(wǎng)絡(luò)的可疑會話對攻擊進(jìn)行實(shí)時(shí)攔截。注：該功能需要購買SynAppsLevelIIlicense。2.5 接入方式LinkProof提供了靈活的網(wǎng)絡(luò)接入方式，主要有"In-line"和"Out-of-Path"兩種。In-line發(fā)布區(qū)成用肥於器辦公網(wǎng)應(yīng)用服務(wù)器Out-of-Path發(fā)布區(qū)座用限務(wù)器辦公同座卬展於器3 設(shè)備管理所有Radware應(yīng)用交換機(jī)的設(shè)備管理方式相同。針對智能交換機(jī)LinkProof,網(wǎng)絡(luò)管理人員可利用如下方式對其進(jìn)行管理：SNM啊絡(luò)管理系統(tǒng)APSoluteI

17、nsite標(biāo)準(zhǔn)的網(wǎng)絡(luò)瀏覽器使用Telnet命令CLI命令行控制方式（需要與LinkProof智能交換機(jī)通過控制臺接口直接連接）SSH!理手段其中，通過使用APSoluteInsite管理每個(gè)站點(diǎn)中的所有LinkProof設(shè)備，可以實(shí)現(xiàn)性能控制和監(jiān)視。APSoluteInsite是業(yè)內(nèi)首個(gè)針對整個(gè)站點(diǎn)的軟件管理工具。通過它可在企業(yè)范圍內(nèi)實(shí)現(xiàn)對IP應(yīng)用性能的統(tǒng)一管理、監(jiān)視和控制?；谝子谑褂玫恼军c(diǎn)地圖界面，APSoluteInsite使得企業(yè)可以繪制他們的整個(gè)網(wǎng)絡(luò)，包括各種LinkProof設(shè)備以及各自的路由器。APSoluteInsite的統(tǒng)計(jì)模塊提供了有關(guān)實(shí)際應(yīng)用性能的實(shí)時(shí)視圖和歷史視圖，借此

18、可監(jiān)視站點(diǎn)范圍的操作，并能輕易地找到隱患和故障，從而實(shí)現(xiàn)了對所有Internet鏈路性能的完全監(jiān)視和控制。4 總結(jié)LinkProof可以為用戶管理多鏈路的運(yùn)行，實(shí)現(xiàn)Internet服務(wù)的持續(xù)連接以及理想的內(nèi)容傳遞，從而實(shí)現(xiàn)可靠、高性能和高性價(jià)比的連接。LinkProof是一個(gè)經(jīng)過實(shí)踐檢驗(yàn)的解決方案，已經(jīng)歷了多年的發(fā)展，并且在國內(nèi)乃至世界范圍內(nèi)已得到了廣泛的安裝。通過LinkProof的部署，我們必定可以幫助用戶建立穩(wěn)定、高效和安全的Internet。Radware的解決方案具有幾大優(yōu)點(diǎn)：高可用性、高性能的完美體現(xiàn)：部署LinkProof保證最終用戶對Internet實(shí)現(xiàn)不中斷的訪問：LinkProof能夠連續(xù)監(jiān)視每個(gè)Internet連接的狀態(tài)。自動檢測各種故障