<button id="i3wol"><object id="i3wol"></object></button>

    <dd id="i3wol"><pre id="i3wol"></pre></dd>

  1. <em id="i3wol"><acronym id="i3wol"></acronym></em>

     

    链路均衡解决方案

    1 需求分析

    客户目前网络状态如下,

     

     

    希望实现增加一天10M电信链路,当电信链路发生故障时自动切换到备份链路,即电信的DDN链路。切换

    2 Radware LinkProof(LP)解决方案

    2.1 方案拓扑图

     

     

    如上图所示,分别在两个大楼部署LP 100,A大楼的LP100负责处理从A楼到B楼的流量的负载均衡和互为备份,B大楼的LP 100也相应采取相同的方式处理流量。

    2.2 流量管理

    流量管理方面,LP主要在网络中实现以下功能:

    • 链路健康状况检查:LP可以采用多种方式判断链路的健康状况,例如Ping(全链路健康检查),以及通过检查多个Internet目标来共同判断链路状况。
    • Inbound流量管理:实现Inbound流量的引导,保证最快的用户相应。例如,引导网通用户使用网通链路访问服务,而电信用户使用电信链路。
    • 防火墙流量管理:实现防火墙负载均衡;

    2.2.1           链路健康状况检查

    LinkProof能够灵活有效地判断Internet链路的健康状况,作为分配流量的前提。

     

     

    2.2.1.1 全路径健康检查

    LinkProof的一个主要作用是检测ISP链路的可用性,即健康状况。而一条访问链路的健康状况不仅仅是由ISP的路由器的状况决定的。因此,LinkProof提供了全路径健康检查的功能,可以做到从发起端到接收端进行全面而精确的健康检查,最多能够完成10跳路由的健康的检测,从而保证整条数据链路的通畅,提高服务质量。

    2.2.1.2 健康检查模块

    LinkProof的健康检查模块提供更为健全和灵活的判断机制。当ICMP的数据包出于安全原因而被ISP禁止时,该方法了优势就有了更充分的体现。此时,可以通过多个Internet站点的可达性,来共同判断一条链路的状况。例如,通过电信线路检查www.sina.comwww.sohu.com、以及www.google.com的TCP 80端口,并对检查结果做“或”运算。这样,只要其中一个站点可达,即可表明链路状态良好。该方法即避免了ICMP检查的局限性,也避免了单一站点检查带来的单点失误。

    该方法为LinkProof独有。

    2.2.2 流入(Inbound)流量处理

    LinkProof能够灵活有效地管理来自Internet的访问,即流入(InBound)流量。使用户总是沿着最佳链路访问网站等服务,达到最佳的用户响应。

    如下图所示,假设图中有一台WEBserver,提供internet主机名为www.site.com.cn的服务,私有地址为192.168.1.100.

    2.2.2.1 SmartNAT

    针对采用域名方式实现访问的应用,SmartNAT功能和LinkProof上集成的DNS代理结合在一起,即能够完成流入流量的负载均衡。

    在DNS服务器上注册两笔NS记录,指向LinkProof:

    NS www.site.com.cn  LP-CNC

    NS www.site.com.cn  LP-Telecom

    而在LinkProof上设置URL与内部主机地址的对应关系:

    www.site.com.cn  192.168.1.100

    而在LinkProof上设置静态的地址翻译:

    192.168.1.100  100.1.1.100

    192.168.1.100  200.1.1.100

    当有Internet用户访问www.site.com.cn 时,DNS服务器回应给用户由LinkProof来完成最终地址解析。LinkProof根据用户的具体设置来选定适当的ISP线路,如果是网通用户则选择电信ISP,将地址解析为100.1.1.100。同样,如果是电信用户则选择电信ISP,则将地址解析为200.1.1.100。从而完成流入流量的负载均衡。

    针对直接采用地址实现访问的应用,LinkProof通过静态NAT将服务的内部地址一对一地转换为公网地址。

    2.2.2.2 就近性

    对于流入的流量,LinkProof使用就近性判断机制。就近性机制分为静态和动态两种方式:

    静态就近性:针对已知的用户范围和网络的就近性(例如网通用户应采用网通线路,电信用户使用电信线路),LinkProof上可以设置静态就近性表,要求用户严格按照该表来选择线路;

    动态就近性:考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的就近性运算,选择最佳的流入流量传输路径,进行最终的解析地址。这个“近”其实是“最佳”的概念,因为往往物理上最近的线路不见得就是当时最佳的路径,将Latency,Hop,Load参数通盘考虑选优是Radware独有的技术并已获取专利,能够准确有效地选择最佳路径。

    2.2.3  流出(Outbound)流量处理

    LinkProof主要采用以下集中方式来处理流出流量。

    2.2.3.1 SmartNAT

    对于流出流量的智能地址管理,LinkProof使用了称为SmartNAT的算法。当选定一个路由器(某一个ISP)传送流出流量时,LinkProof将选择该ISP提供的地址。在图中,如果LinkProof选择电信ISP作为流出流量的路径,则它将把内部的主机地址翻译为电信ISP路由接入网段的地址,并作为流出数据包的源地址。同样,如果LinkProof选择网通ISP作为流出流量的路径,则它将把内部的主机地址翻译为网通IPS路由接入网段的地址并作为流出数据包的源地址。

    2.2.3.2 Content Routing

    为了优化流出的流量,LinkProof还为流出的流量实施就近性运算。如果内部网络的某一台内部主机要访问某一Internet站点,可能通过一个电信ISP的路径比通过网通ISP的路径有效。因此,LinkProof可以提供就近性算法,为流出到某一个站点的流量选择最佳的ISP路径,保证所需内容最快到达目的地,提高服务的品质。

    LinkProof的就近性算法考虑路由的跳数、路径的延迟和负载状况来进行对每个目的地的就近性运算,选择最佳的流出流量传输路径。

    2.3 Qos解决方案

    带宽管理是一个简单的概念主要的思想就是能够按照一系列标准区分用户流量,然后为每种数据包或者会话指定不同的优先级来使用有限的带宽。它允许网络管理者完全而有效的控制他们可用的带宽,使用这些功能可以按照一系列标准,指定应用程序的优先次序,同时还考虑了每个应用程序已使用的带宽。在确定了会话的优先级后可以对带宽限制进行配置以保证一些应用程序使用的带宽没有超过预先定义的带宽限制。

    针对经济信息中心公司,我们主要可以通过以下两种方式保证关键应用的服务器质量:

    •  关键应用带宽保证:通过对关机主机、应用(HTTP、HTTPS等)的带宽保证,确保在任何情况下,关键应用有足够的带宽。
    •  减少和控制其它应用:对于消耗带宽的非关键应用,通过限制最高带宽甚至禁止的方式来较少和避免对关键应用的影响。

    2.4 端到端应用安全解决方案

    应用安全模块包含的一组功能集使Radware 的产品能够保护敏感的网络资源不受到各种安全问题的影响。此系统包括一些基本的安全措施例如服务器过载保护和能够将资源从一般的Internet 资源中隐藏起来。同时还能够为使用SynApps 流量管理的敏感资源提供高级的安全性,这包括检测并预防1500多个恶意攻击信息,包括特洛伊木马、后门、DoS 和DdoS 攻击。

    此模块能够处理以下攻击:

    •  拒绝服务 (DOS/DDOS) 攻击
    •  缓冲区溢出/超限
    •  利用已知的 Bugs,误配置和默认的安装问题来进行攻击
    •  在攻击前探测流量
    •  未授权的网络流量
    •  后门/特洛伊木马
    •  端口扫描 (Connect & Stealth)

    2.5 方案的优点

    Radware 的解决方案具有几大优点:

    •  高可用性、高性能的完美体现:部署LinkProof保证最终用户对Internet实现不中断的访问:LinkProof 能够连续监视每个 Internet 连接的状态。自动检测各种故障,如链路、路由器、DNS 服务器和其它故障。通过检查确保用户只使用那些高效运转的接入链路。可以根据优先权、IP 地址、内容和其它用户指定的参数转发数据包
    •  特定内容选择最佳链路时,会综合考虑与请求内容的网络就近性、链路的实时负载与链路的成本。
    •  端到端QoS保证:LinkProof的内置带宽管理功能,可以按照4~7层的特性识别不同类型的流量,通过带宽保证和限制,为关键业务提供服务质量保证。
    •  端到端应用安全:LinkProof的内置应用安全功能,在公司的Internet接入部位实现实时的IPS(入侵防范),隔离和阻止来自Internet和企业内部的攻击和有害流量,确保关键应用的安全。

     

    页面主体部分底边框
    365足球直播