Radware LinkProof多链路负载均衡解决方案技术白皮书.docx

Radware 一 LinkProof多链路解决方案radwareRadware China目录1 需求分析31.1 单一链路导致单点故障和访问迟缓31.2 传统解决方案无法完全发挥多链路优势42 Radware LinkProof（LP）解决方案52.1 方案拓扑图52.2 链路优选方案62.2.1 链路健康检测62.2.2 流入（Inbound）流量处理72.2.3 流出（Outbound）流量处理82.3 独特优势92.4 增值功能92.4.1 流量（P2P）控制和管理92.4.2 应用安全102.5 接入方式103 设备管理114 总结12i需求分析近年来，Internet作为一种重要的交流工具在各种规模的商业机构和各个行业中得到 了普遍应用。在机构借以执行日常业务活动的各种网络化应用中，目前已包括从供应链管理 到销售门户、数据管理、软件开发工具和资源管理等一系列的应用。这些不断增长的网络化 应用对企业通讯的效率和可用性也提出了较高要求。1.1单一链路导致单点故障和访问迟缓用户的网络结构通常如下：单一链路实现内部网络和Internet之间的连接。而在Internet接入的稳定性对于一个用户来说日见重要的今天，一个ISP显然无法保 证它提供的Internet链路的持续可用性，从而可能导致用户Interne七接入的中断，带来无 法预计的损失。而且由于历史原因，不同ISP的互连互通一直存在着很大的问题，在南方电信建立的应 用服务器，如果是南方电信用户访问正常，Ping的延时只有几十甚至十几毫秒，对用户的 正常访问几乎不会造成影响；但如果是北方网通的远程用户访问，Ping的延时只有几百甚 至上千毫秒，访问应用时则会出现没有响应设置无法访问的问题。如果用户采用单条接入链 路，无论是采用电信（或则网通），势必会造成相应的网通（或则电信）用户访问非常慢。因此，采用多条链路已成为用户实现Internet接入的稳定性的必然选择。1.2传统解决方案无法完全发挥多链路优势下图是一个多链路接入的典型拓扑，在图中内部网络到Internet有2条接入链路，其 中一条通过ISP1进行链接，而另一条则通过ISP2链接。传统多归路方案：每个ISP为内网分配一个不同的IP地址网段。因而，对内网来说2 个IP网段同时生效。存在问题：地址的静态分配给寻址带来了很大的复杂性。除了复杂性之外，传统的多链路网络也具有一些人们尚未完全认识的不足： 网络有多个链路与Internet相接，即使用最复杂的协议，例如BGP4，真正意义上 的流量负载均衡还是做不到。路由协议不会知道每一个链路当前的流量负载和活动 会话。此时的任何负载均衡都是很不精确的，最多只能叫做“链路共享”。 对外访问，有的链路会比另外的链路容易达到。虽然路由协议知道一些就近性和可 达性，但是他们不可能结合诸如路由器的HOP数和到目的网络延时及链路的负载状 况等多变的因素，做出精确的路由选择。 对内流量（比如，Internet用户想访问有多条链入接入的网上的一台服务器）。 有的链路会比另外的链路更好地对外提供服务。没一种路由机制能结合DNS，就近 性，路由器负载，做出判断哪一条链路可以对外部用户来提供最优的服务。传统的多链路接入依靠复杂的设计，解决了一些接入链路存在单点故障的问题。但是， 它远远没有把多链路接入的巨大优势发挥出来。2 Radware LinkProof （ LP ）解决方案作为应用交换业界的领先厂商，Radware公司早在1999年即推出了业界首个多链路智 能解决方案一LinkProof。并凭借其强大的技术优势，在市场上处于领先地位。LinkProof解决方案就是在内部交换机和连接ISP的路由器之间，跨接一台LinkProof 智能交换机，所有的地址处理和Internet链路优化全部由LinkProof智能交换机来完成。针对各种用户的典型需求，LinkProof在以下几个环节上提供了先进的功能和完善的解 决方案： 链路健康状态检测； 最佳链路选择； 智能地址翻译； 流量（P2P）控制和管理（可选）； 应用安全（可选）；2.1方案拓扑图典型的LinkProof解决方案架构如下图所示:2.2链路优选方案LinkProof能够同时实现双向（Inbound和Outbound）流量在多条两路上的负载均衡的。 链路健康状况检查：LP可以采用多种方式判断链路的健康状况，例如Ping（全链 路健康检查），以及通过检查多个Internet目标来共同判断链路状况。 Inbound流量处理方面主要利用了 DNS和SmartNAT技术； Outbound流量处理主要利用了 SmartNAT技术。2.2.1链路健康检测LinkProof会通过多种方式检测两条链路的健康状况，一旦发现其中一条链路故障，会 立即将所有用户流量定向至其它可用链路，从而实现Internet连接的高可用性。主要的方 法有： 全路径健康检查为了确保ISP链路的畅通，LinkProof将采用Ping的方法，不仅仅检查和其相连的路 由器的端口是否可达，还可以检查该链路后续路由节点的连通性（10跳），已确保整个路 径的畅通。注：该方法要求ISP的链路对ICMP开放。LlnfiPiroof 高级健康检查针对所有的网络环境（包括禁止ICMP的ISP），LinkProof提供了丰富的47层检查 方式，并可以通过多种检查结果的“与”和“或”运算结果，最终准确判断链路的健康状况。 例如：通过CNC的路径，同时检查Hl的 80端口，并将检查结果 做“或”运算，只要一个检查通过即可判断CNC链路正常。避免了某网站故障导致链路状态 误判的可能性。2.2.2 流入( Inbound )流量处理LinkProof需要客户配合将域名的解析功能导向到LinkProof，由LinkProof来进行域 名的解析。这样当远程通过域名访问政府网时，逐步通过远程用户的本地DNS服务器、根 DNS服务器，最终由LinkProof来进行域名的解析。此时LinkProof就会通过静态列表或者 动态判断算法，选择最优的线路，然后将域名解析成相应线路的IP地址。例如：当某个网通的远程用户访问政府网时，首先向他当地的DNS服务器发起域名解析 的请求，再通过他接入运营商的根DNS服务器，最终总归会向LinkProof请求DNS解析，此 时LinkProof就会通过静态列表或者动态判断算法，选择最优的线路(网通)，然后将域名 解析成网通线路的IP地址(218.x.x.1)。这样远程的网通用户就会使用网通的目标地 址，通过网通的线路进行访问，实现了访问时链路方面的负载均衡优化。下面以为例，描述Inbound流量处理的过程。假设图中的Server 1是Web服务器，Internet主机名为，L址为私有 IP： 192.168.1.100/24。防火单www.radware.c-oni 1.100i必 www.rartlwiffc cfflm 100 1.1.2NS www.函w槌_3如 20D.1.1.2g 岫 NAT 192_16a.l.HJO 100.1.13 2J00.1.U.LimOiroier200.1.1.2DNS应用服务麟如图所示，在DNS服务器上主则两笔NS记录，指向LinkProof：NS www.R 100.1.1.2NS www.R 200.1.1.2而在LinkProof上设置URL与内部主机地址的对应关系： 192.168.1.100而在LinkProof上设置静态的地址翻译：192.168.1.100 100.1.1.3192.168.2.100 200.1.1.3当有Internet用户访问是时，DNS服务器回应给用户由LinkProof 来完成最终地址解析°LinkProof根据具体设置来选定适当的ISP线路，如果选择ISP1，则 将地址解析为100.1.1.3。同样，如果选择ISP2，则将地址解析为200.1.1.3。从而完成流 入流量的负载均衡。2.2.3 流出(Outbound )流处理LinkProof主要采用以下集中方式来处理流出流量。SmartNAT对于流出流量的智能地址管理，LinkProof使用了称为SmartNAT的算法。当选定一个 路由器（某一个ISP）传送流出流量时，LinkProof将选择该ISP提供的地址。在图二中， 如果LinkProof选择ISP1作为流出流量的路径，则它将把内部的主机地址192.168.2.A/24 翻译为100.1.1.A/24，并作为流出数据包的源地址。同样，如果LinkProof选择ISP2作为 流出流量的路径，则它将把内部的主机地址192.168.2.A/24翻译为200.1.1.A/24，并作为 流出数据包的源地址。192.1682.0 242.3独特优势LinkProof的专利技术：就近性，能够根据用户访问的目的IP、各条链路的负载等情况 来综合考虑，计算出内部用户访问Internet的最佳路径，以保证用户能够得到最快和最高 效的服务和响应。 静态就近性：用户可在LinkProof上为某个目标定义静态的最佳链路。例如目标地址属于ISP1 的，应选择ISP1链路；目标IP地址属于ISP2的，应选择ISP2链路。 动态就近性：在选择最佳链路时，LinkProof会综合考虑与目标网络之间的路由节点数量、数据传输 的延迟和链路的实时负载，准确计算出最佳路径。因此用户能充分地享受到优化的服务和快 速地响应。LinkProof120 ms JLocal netuvork30 msF*伸 Path 史Sawnd ISP 2Third Putt 阶 tvi/wvu 2.4增值功能2.4.1流量(P2P )控制和管理所有的用户和运营商都不得不面临一个相同问题:非关键业务流量占用的大量的可用带 宽，其中P2P流量，如BT下载，更是如此。不但造成了网络拥塞，还可能影响到关键的业 务和应用。LinkProof 上可以集成基于策略和特征的带宽管理功能，识别各种业务流量，特别是能 够识别多种P2P流量。可以按照用户的具体需求，分配带宽资源。在保证关键业务的同时， 让用户充分享受Internet网络的丰富资源。通过带宽管理以及实现各个链路的最大容量，:e rad ware 可以避免带宽消耗的骤然剧增。因为只有有可用的带宽时，非关键应用才能占用它要求 的带宽，这样既阻止了带宽消耗量的剧增，又进一步降低了连接成本。注：该功能需要购买SynApps Level II license。2.4.2应用安全“年复一年，日复一日，在计算机犯罪和安全性调查中报告的最常见事故始终都是恶 意代码攻击（即病毒、蠕虫等等）”。在LinkProof上运行“应用安全”模块，可以有效 的防范1400多种基于应用的恶意攻击，保护内部的主机和用户。“应用安全”模块为关键网络资源提供了保护屏障，它补充和扩展了网络规划中原有的 那些常见安全机制。SynApps可以自动检测和防范常见的侵害网络和应用攻击。这些攻击 诸如缓冲区溢出（BOF）、盗用和缺省安装攻击、默认安装、后门/特洛伊木马和端口扫描。应用安全模块可以同时监视网络和应用流量，由此可实时检测攻击，并通过终止进 入网络的可疑会话对攻击进行实时拦截。注：该功能需要购买SynApps Level II license。2.5接入方式LinkProof提供了灵活的网络接入方式，主要有“In-line”和“Out-of-Path”两种。In-line发右区底屋掘务瞥Out-of-Path发布匿办公网风用/!艮空南3设备管理所有Radware应用交换机的设备管理方式相同。针对智能交换机LinkProof,网络管理 人员可利用如下方式对其进行管理： SNMP网络管理系统 APSolute Insite 标准的网络浏览器 使用Telnet命令 CLI命令行控制方式（需要与LinkProof智能交换机通过控制台接口直接连接） SSH管理手段其中，通过使用APSolute Insite管理每个站点中的所有LinkProof设备，可以实现 性能控制和监视。APSolute Insite是业内首个针对整个站点的软件管理工具。通过它可在企业范围内实 现对IP应用性能的统一管理、监视和控制。基于易于使用的站点地图界面，APSolute Insite使得企业可以绘制他们的整个网络，包括各种LinkProof设备以及各自的路由器。APSolute Insite的统计模块提供了有关实际应用性能的实时视图和历史视图，借此可 监视站点范围的操作，并能轻易地找到隐患和故障，从而实现了对所有Internet链路性能 的完全监视和控制。4总结LinkProof可以为用户管理多链路的运行，实现Internet服务的持续连接以及理想 的内容传递，从而实现可靠、高性能和高性价比的连接。LinkProof是一个经过实践检验 的解决方案，已经历了多年的发展，并且在国内乃至世界范围内已得到了广泛的安装。通过LinkProof的部署，我们必定可以帮助用户建立稳定、高效和安全的Internet。Radware的解决方案具有几大优点： 高可用性、高性能的完美体现：部署LinkProof保证最终用户对Internet实现不 中断的访问：LinkProof能够连续监视每个Internet连接的状态。自动检测各种 故障，如链路、路由器、DNS服务器和其它故障。通过检查确保用户只使用那些高 效运转的接入链路。可以根据优先权、IP地址、内容和其它用户指定的参数 转发数据包特定内容选择最佳链路时，会综合考虑与请求内容的网络就近性、链 路的实时负载与链路的成本。 端到端QoS保证：LinkProof的内置带宽管理功能，可以按照47层的特性识别 不同类型的流量，通过带宽保证和限制，为关键业务提供服务质量保证。 端到端应用安全：LinkProof的内置应用安全功能，在公司的Internet接入部位 实现实时的IPS （入侵防范），隔离和阻止来自Internet和企业内部的攻击和有 害流量，确保关键应用的安全。