LinkProof鏈路負(fù)載均衡解決方案

1、radware linkproof鏈路負(fù)載均衡解決方案技術(shù)白皮書 需求分析近年來，internet 作為一種重要的交流工具在各種規(guī)模的商業(yè)機構(gòu)和各個行業(yè)中得到了普遍應(yīng)用。在機構(gòu)借以執(zhí)行日常業(yè)務(wù)活動的各種網(wǎng)絡(luò)化應(yīng)用中，目前已包括從供應(yīng)鏈管理到銷售門戶、數(shù)據(jù)管理、軟件開發(fā)工具和資源管理等一系列的應(yīng)用。這些不斷增長的網(wǎng)絡(luò)化應(yīng)用對企業(yè)通訊的效率和可用性也提出了較高要求。1.1 單一鏈路導(dǎo)致單點故障和訪問遲緩用戶的網(wǎng)絡(luò)結(jié)構(gòu)通常如下：單一鏈路實現(xiàn)內(nèi)部網(wǎng)絡(luò)和internet之間的連接。而在internet接入的穩(wěn)定性對于一個用戶來說日見重要的今天，一個isp顯然無法保證它提供的internet鏈路的持續(xù)可用

2、性，從而可能導(dǎo)致用戶internet接入的中斷，帶來無法預(yù)計的損失。而且由于歷史原因，不同isp的互連互通一直存在著很大的問題，在南方電信建立的應(yīng)用服務(wù)器，如果是南方電信用戶訪問正常，ping的延時只有幾十甚至十幾毫秒，對用戶的正常訪問幾乎不會造成影響；但如果是北方網(wǎng)通的遠(yuǎn)程用戶訪問，ping的延時只有幾百甚至上千毫秒，訪問應(yīng)用時則會出現(xiàn)沒有響應(yīng)設(shè)置無法訪問的問題。如果用戶采用單條接入鏈路，無論是采用電信（或則網(wǎng)通），勢必會造成相應(yīng)的網(wǎng)通（或則電信）用戶訪問非常慢。因此，采用多條鏈路已成為用戶實現(xiàn)internet接入的穩(wěn)定性的必然選擇。1.2 傳統(tǒng)解決方案無法完全發(fā)揮多鏈路優(yōu)勢下圖是一個多鏈路

3、接入的典型拓?fù)?，在圖中內(nèi)部網(wǎng)絡(luò)到internet有2條接入鏈路，其中一條通過isp1進行鏈接，而另一條則通過isp2鏈接。傳統(tǒng)多歸路方案：每個isp為內(nèi)網(wǎng)分配一個不同的ip地址網(wǎng)段。因而，對內(nèi)網(wǎng)來說2個ip網(wǎng)段同時生效。存在問題：地址的靜態(tài)分配給尋址帶來了很大的復(fù)雜性。除了復(fù)雜性之外，傳統(tǒng)的多鏈路網(wǎng)絡(luò)也具有一些人們尚未完全認(rèn)識的不足： 網(wǎng)絡(luò)有多個鏈路與internet相接，即使用最復(fù)雜的協(xié)議，例如bgp4，真正意義上的流量負(fù)載均衡還是做不到。路由協(xié)議不會知道每一個鏈路當(dāng)前的流量負(fù)載和活動會話。此時的任何負(fù)載均衡都是很不精確的，最多只能叫做鏈路共享。 對外訪問，有的鏈路會比另外的鏈路容易達(dá)到。雖

4、然路由協(xié)議知道一些就近性和可達(dá)性，但是他們不可能結(jié)合諸如路由器的hop數(shù)和到目的網(wǎng)絡(luò)延時及鏈路的負(fù)載狀況等多變的因素，做出精確的路由選擇。 對內(nèi)流量（比如， internet用戶想訪問有多條鏈入接入的網(wǎng)上的一臺服務(wù)器）。有的鏈路會比另外的鏈路更好地對外提供服務(wù)。沒一種路由機制能結(jié)合dns，就近性，路由器負(fù)載，做出判斷哪一條鏈路可以對外部用戶來提供最優(yōu)的服務(wù)。 傳統(tǒng)的多鏈路接入依靠復(fù)雜的設(shè)計，解決了一些接入鏈路存在單點故障的問題。 但是，它遠(yuǎn)遠(yuǎn)沒有把多鏈路接入的巨大優(yōu)勢發(fā)揮出來。2. radware linkproof（lp）解決方案作為應(yīng)用交換業(yè)界的領(lǐng)先廠商，radware公司早在1999年即

5、推出了業(yè)界首個多鏈路智能解決方案linkproof。并憑借其強大的技術(shù)優(yōu)勢，在市場上處于領(lǐng)先地位。linkproof解決方案就是在內(nèi)部交換機和連接isp的路由器之間，跨接一臺linkproof智能交換機，所有的地址處理和internet鏈路優(yōu)化全部由linkproof智能交換機來完成。針對各種用戶的典型需求，linkproof在以下幾個環(huán)節(jié)上提供了先進的功能和完善的解決方案： 鏈路健康狀態(tài)檢測； 最佳鏈路選擇； 智能地址翻譯； 流量（p2p）控制和管理（可選）； 應(yīng)用安全（可選）； 2.1 方案拓?fù)鋱D典型的linkproof解決方案架構(gòu)如下圖所示：2.2 鏈路優(yōu)選方案linkproof能夠同時

6、實現(xiàn)雙向（inbound和outbound）流量在多條兩路上的負(fù)載均衡的。 鏈路健康狀況檢查：lp可以采用多種方式判斷鏈路的健康狀況，例如ping（全鏈路健康檢查），以及通過檢查多個internet目標(biāo)來共同判斷鏈路狀況。 inbound流量處理方面主要利用了dns和smartnat技術(shù)； outbound流量處理主要利用了smartnat技術(shù)。 2.2.1 鏈路健康檢測linkproof會通過多種方式檢測兩條鏈路的健康狀況，一旦發(fā)現(xiàn)其中一條鏈路故障，會立即將所有用戶流量定向至其它可用鏈路，從而實現(xiàn)internet連接的高可用性。主要的方法有： 全路徑健康檢查 為了確保isp鏈路的暢通，lin

7、kproof將采用ping的方法，不僅僅檢查和其相連的路由器的端口是否可達(dá)，還可以檢查該鏈路后續(xù)路由節(jié)點的連通性（10跳），已確保整個路徑的暢通。注：該方法要求isp的鏈路對icmp開放。 高級健康檢查 針對所有的網(wǎng)絡(luò)環(huán)境（包括禁止icmp的isp），linkproof提供了豐富的47層檢查方式，并可以通過多種檢查結(jié)果的與和或運算結(jié)果，最終準(zhǔn)確判斷鏈路的健康狀況。例如：通過cnc的路徑，同時檢查和的80端口，并將檢查結(jié)果做或運算，只要一個檢查通過即可判斷cnc鏈路正常。避免了某網(wǎng)站故障導(dǎo)致鏈路狀態(tài)誤判的可能性。2.2.2 流入（inbound）流量處理linkproof需要客戶配合將域名的解析

8、功能導(dǎo)向到linkproof，由linkproof來進行域名的解析。這樣當(dāng)遠(yuǎn)程通過域名訪問政府網(wǎng)時，逐步通過遠(yuǎn)程用戶的本地dns服務(wù)器、根dns服務(wù)器，最終由linkproof來進行域名的解析。此時linkproof就會通過靜態(tài)列表或者動態(tài)判斷算法，選擇最優(yōu)的線路，然后將域名解析成相應(yīng)線路的ip地址。例如：當(dāng)某個網(wǎng)通的遠(yuǎn)程用戶訪問政府網(wǎng)時，首先向他當(dāng)?shù)氐膁ns服務(wù)器發(fā)起域名解析的請求，再通過他接入運營商的根dns服務(wù)器，最終總歸會向linkproof請求dns解析，此時linkproof就會通過靜態(tài)列表或者動態(tài)判斷算法，選擇最優(yōu)的線路（網(wǎng)通），然后將域名解析成網(wǎng)通線路的ip地址（218.x.x

9、.1）。這樣遠(yuǎn)程的網(wǎng)通用戶就會使用網(wǎng)通的目標(biāo)ip地址，通過網(wǎng)通的線路進行訪問，實現(xiàn)了訪問時鏈路方面的負(fù)載均衡優(yōu)化。下面以為例，描述inbound流量處理的過程。假設(shè)圖中的server1是web服務(wù)器，internet主機名為，地址為私有ip：00/24。如圖所示，在dns服務(wù)器上主則兩筆ns記錄，指向linkproof：ns www.r ns www.r 而在linkproof上設(shè)置url與內(nèi)部主機地址的對應(yīng)關(guān)系： 00而在linkproof上設(shè)置靜態(tài)的地址翻譯：00

10、00 當(dāng)有internet用戶訪問是時，dns服務(wù)器回應(yīng)給用戶由linkproof來完成最終地址解析。linkproof根據(jù)具體設(shè)置來選定適當(dāng)?shù)膇sp線路，如果選擇isp1，則將地址解析為。同樣，如果選擇isp2，則將地址解析為。從而完成流入流量的負(fù)載均衡。2.2.3 流出（outbound）流量處理linkproof主要采用以下集中方式來處理流出流量。smartnat對于流出流量的智能地址管理，linkproof使用了稱為smartnat的算法。當(dāng)選定一個路由器（某一個isp）傳送流出流量時，linkproof將選擇

11、該isp提供的地址。在圖二中，如果linkproof選擇isp1作為流出流量的路徑，則它將把內(nèi)部的主機地址192.168.2.a/24翻譯為100.1.1.a/24，并作為流出數(shù)據(jù)包的源地址。同樣，如果linkproof選擇isp2作為流出流量的路徑，則它將把內(nèi)部的主機地址192.168.2.a/24翻譯為200.1.1.a/24，并作為流出數(shù)據(jù)包的源地址。2.3 獨特優(yōu)勢linkproof的專利技術(shù)：就近性，能夠根據(jù)用戶訪問的目的ip、各條鏈路的負(fù)載等情況來綜合考慮，計算出內(nèi)部用戶訪問internet的最佳路徑，以保證用戶能夠得到最快和最高效的服務(wù)和響應(yīng)。 靜態(tài)就近性： 用戶可在linkpr

12、oof上為某個目標(biāo)定義靜態(tài)的最佳鏈路。例如目標(biāo)ip地址屬于isp1的，應(yīng)選擇isp1鏈路；目標(biāo)ip地址屬于isp2的，應(yīng)選擇isp2鏈路。 動態(tài)就近性： 在選擇最佳鏈路時，linkproof會綜合考慮與目標(biāo)網(wǎng)絡(luò)之間的路由節(jié)點數(shù)量、數(shù)據(jù)傳輸?shù)难舆t和鏈路的實時負(fù)載，準(zhǔn)確計算出最佳路徑。因此用戶能充分地享受到優(yōu)化的服務(wù)和快速地響應(yīng)。2.4 增值功能2.4.1 流量（p2p）控制和管理所有的用戶和運營商都不得不面臨一個相同問題：非關(guān)鍵業(yè)務(wù)流量占用的大量的可用帶寬，其中p2p流量，如bt下載，更是如此。不但造成了網(wǎng)絡(luò)擁塞，還可能影響到關(guān)鍵的業(yè)務(wù)和應(yīng)用。linkproof上可以集成基于策略和特征的帶寬管理

13、功能，識別各種業(yè)務(wù)流量，特別是能夠識別多種p2p流量?？梢园凑沼脩舻木唧w需求，分配帶寬資源。在保證關(guān)鍵業(yè)務(wù)的同時，讓用戶充分享受internet網(wǎng)絡(luò)的豐富資源。通過帶寬管理以及實現(xiàn)各個鏈路的最大容量，可以避免帶寬消耗的驟然劇增。因為只有有可用的帶寬時，非關(guān)鍵應(yīng)用才能占用它要求的帶寬，這樣既阻止了帶寬消耗量的劇增，又進一步降低了連接成本。注：該功能需要購買synapps level ii license。2.4.2 應(yīng)用安全年復(fù)一年，日復(fù)一日，在計算機犯罪和安全性調(diào)查中報告的最常見事故始終都是惡意代碼攻擊（即病毒、蠕蟲等等）。在linkproof上運行應(yīng)用安全模塊，可以有效的防范1400多種基于

14、應(yīng)用的惡意攻擊，保護內(nèi)部的主機和用戶。應(yīng)用安全模塊為關(guān)鍵網(wǎng)絡(luò)資源提供了保護屏障，它補充和擴展了網(wǎng)絡(luò)規(guī)劃中原有的那些常見安全機制。 synapps 可以自動檢測和防范常見的侵害網(wǎng)絡(luò)和應(yīng)用攻擊。這些攻擊諸如緩沖區(qū)溢出（bof）、盜用和缺省安裝攻擊、默認(rèn)安裝、后門/特洛伊木馬和端口掃描。 應(yīng)用安全模塊可以同時監(jiān)視網(wǎng)絡(luò)和應(yīng)用流量，由此可實時檢測攻擊，并通過終止進入網(wǎng)絡(luò)的可疑會話對攻擊進行實時攔截。注：該功能需要購買synapps level ii license。2.5 接入方式linkproof提供了靈活的網(wǎng)絡(luò)接入方式，主要有in-line和out-of-path兩種。in-lineout-of-p

15、ath3. 設(shè)備管理所有radware應(yīng)用交換機的設(shè)備管理方式相同。針對智能交換機linkproof，網(wǎng)絡(luò)管理人員可利用如下方式對其進行管理： snmp網(wǎng)絡(luò)管理系統(tǒng) apsolute insite 標(biāo)準(zhǔn)的網(wǎng)絡(luò)瀏覽器 使用telnet 命令 cli 命令行控制方式(需要與linkproof智能交換機通過控制臺接口直接連接) ssh管理手段 其中，通過使用 apsolute insite 管理每個站點中的所有 linkproof 設(shè)備，可以實現(xiàn)性能控制和監(jiān)視。 apsolute insite 是業(yè)內(nèi)首個針對整個站點的軟件管理工具。通過它可在企業(yè)范圍內(nèi)實現(xiàn)對 ip 應(yīng)用性能的統(tǒng)一管理、監(jiān)視和控制。

16、基于易于使用的站點地圖界面，apsolute insite 使得企業(yè)可以繪制他們的整個網(wǎng)絡(luò)，包括各種 linkproof 設(shè)備以及各自的路由器。apsolute insite 的統(tǒng)計模塊提供了有關(guān)實際應(yīng)用性能的實時視圖和歷史視圖，借此可監(jiān)視站點范圍的操作，并能輕易地找到隱患和故障，從而實現(xiàn)了對所有 internet 鏈路性能的完全監(jiān)視和控制。 4. 總結(jié)linkproof 可以為用戶管理多鏈路的運行，實現(xiàn)internet 服務(wù)的持續(xù)連接以及理想的內(nèi)容傳遞，從而實現(xiàn)可靠、高性能和高性價比的連接。 linkproof 是一個經(jīng)過實踐檢驗的解決方案，已經(jīng)歷了多年的發(fā)展，并且在國內(nèi)乃至世界范圍內(nèi)已得到了廣泛的安裝。通過linkproof的部署，我們必定可以幫助用戶建立穩(wěn)定、高效和安全的internet。radware 的解決方案具有幾大優(yōu)點： 高可用性、高性能的完美體現(xiàn)：部署linkproof保證最終用戶對internet實現(xiàn)不中斷的訪問：linkproof 能夠連續(xù)監(jiān)視每個 internet 連接的狀態(tài)。自動檢測各種故障，如鏈路、路由器、dns 服務(wù)器和其它故障。通過檢查確保