LinkProof 实现多链路负载均衡和防火墙负载均衡rawWord格式.docx
《LinkProof 实现多链路负载均衡和防火墙负载均衡rawWord格式.docx》由会员分享,可在线阅读,更多相关《LinkProof 实现多链路负载均衡和防火墙负载均衡rawWord格式.docx(13页珍藏版)》请在冰豆网上搜索。
1.1.1.2Linkproof对流入(Inbound)流量的处理过程
LinkProof不仅需要管理流出的流量,还必须管理来自Internet的访问,即流入(InBound)流量。
假设图二中的Server1是Web服务器,Internet主机名为,地址为私有IP:
192.168.1.100/24。
SmartNAT功能和LinkProof上集成的DNS代理结合在一起,即能够完成流入流量的负载均衡。
图三
如图三所示,在DNS服务器上主则两笔NS记录,指向LinkProof:
NSwww.R100.1.1.2
NSwww.R200.1.1.2
而在LinkProof上设置URL与内部主机地址的对应关系:
192.168.1.100
而在LinkProof上设置静态的地址翻译:
192.168.1.100100.1.1.3
192.168.1.100200.1.1.3
当有Internet用户访问是时,DNS服务器响应给用户由LinkProof来完成最终地址解析。
LinkProof根据具体设置来选定适当的ISP线路,如果选择ISP1,则将地址解析为100.1.1.3。
同样,如果选择ISP2,则将地址解析为200.1.1.3。
从而完成流入流量的负载均衡。
过程示意图如下:
用户会话表的操作
通常对于出向流量,当本地用户发起请求访问远程服务器,LinkProof会创建一条会话记录,记录了用户通过哪一个ISP链路(LinkProof称为NHR)连接Internet服务器,当服务器响应时,LinkProof根据刚才记录的会话记录,将地址正确转换后响应给用户。
对于入向流量,远程用户先发起连接请求,访问本地的服务器,LinkProof如何保证进和出的流量通过同一条链路呢?
与出向流量类似,LinkProof会创建一条“反向”的会话记录。
记录了远程用户通过哪一个NHR进来访问的。
从而保证的会话的一致性。
以下是LinkProof的会话表条目,Dir是会话的方向,TO和FR(From)正好相反,即出向和入向。
ClientAddrDstAddrNHRAddrSrcPDstPAttchTimeTDir
10.198.16.93218.102.180.206210.53.207.374442804566013DNTO
10.193.49.205221.205.1.24211.156.187.13426214562192DNTO
210.53.201.130220.170.139.110210.53.207.378018814564984FR
1.1.2Radware多链路解决方案的优势
1.1.2.1Radware多链路解决方案可以提高Internet网络链路的可用性
●全路径健康检查
LinkProof在多链路网络中的一个主要作用是检测ISP链路的可用性,即健康状况。
而一条访问链路的健康状况不仅仅是由ISP的路由器的状况决定的。
因此,LinkProof提供了全路径健康检查的功能,最多能够完成10跳路由健康的检测,从而保证整条数据链路的通常,提高服务质量。
●故障恢复和预热定时器
如果ISP连接状况不稳定,则最好不要通过它发送任何流量,知道它在预定时间内能够维持稳定。
LinkProof提供故障恢复和预热定时器,用户可以自定义定时器的延迟时间,从而确保将会话定向到稳定的ISP链路。
一旦ISP恢复正常,LinkProof能逐渐增加发送到该ISP的流量。
●冗余配置
LinkProof采用相同的冗余配置机制,在后续内容中以LinkProof为例说明。
由于服务的可靠性越来越成为因特网上的一个主要问题,所以用户越来越多地安装像应用交换机这样的因特网通信量控制设备时考虑到冗余配置。
在多链路网络中配置的LinkProof可以为网络与Internet的连接提供冗余,同样,LinkProof的功能即也把包括两台LinkProof的并行安装,其中一台时备用的。
LinKProof使用Radware已被证明的冗余机制,其中设备的状态监视通过网络来实现,从而祢补了设备故障和网络故障。
如果主LinkProof或其网络连接之一发生故障,则备用LinkProof能够非常容易的接管主LinkProof的工作。
Radware的双机热备冗余配置采用VRRP方式。
VRRP方式通过标准的VRRP协议来维持冗余的操作。
当LinkProof启动时,会进行VRRP的初使化操作:
即VR(虚拟路由器)的选举。
两台LP都发送VRRP的组播包,通告自己的VR信息。
VR优先级高的LinkProof被选举为主用设备,VR优先级低的LinkProof选举为备用设备。
当选举完成后,主用设备每隔一定的时间间隔发送一个VRRP组播包,宣告VR的信息;
这时备用设备处于Standby状态,不再发送VR组播包,它只通过接收VRRP包来监控主设备的状态,当网络故障或主用设备故障,备用设备不能收到主设备的VRRP组播包,并且持续多次时,备用设备会主动发送VR(虚拟路由器)的相应ARP信息,并且接管主设备的工作。
在两条链路正常的情况下,无论是InBound还是OutBound的流量,ActiveLinkProof都可以采用Radware独特的智能地址翻译(SmartNAT)来实现负载的均衡,并且还可以使用Radware独有Proximity算法为其选择最“近”的路径。
在其中一条链路中断的情况下,LinkProof同样可以保证Inbound和OutBound流量的畅通。
BackupLinkProof利用VRRP组播包监视ActivelinkProof的状态,随时准备接管它的一切功能。
在BackupLinkProof上启动SessionMirror功能,实时的复制ActiveLinkProof上的连接信息,当检查到ActiveLinkProof上的连接出现问题时及时接管,保证所有的网络连接,并且不会造成链路负载均衡失效。
在ActiveLinkProof上启动埠连接绑定(PortGrouping),当ActiveLinkProof上的网络连接失效时主动切断所有连接,保证BackupLinkProof在接管时的顺利进行。
在BackupLinkProof上启动virtualDNS功能,当ActiveLinkProof在失效时保证Inbound的用户的DNS询问的正常工作。
1.1.2.2Radware多链路解决方案可以提高Internet网络链路的性能
●就近性(Proximity)
就近性检测方法
对于流入的流量,LinkProof使用与流出流量相同的就近性判断机制。
LinkProof考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的就近性运算,选择最佳的流入流量传输路径,进行最终的解析地址。
Radware的就近性检测方法利用了就近性检测试探、由就近性标准构成的动态表以及由管理员配置的参数构成的静态表。
当WSD-NP或LinkProof提供前往某个网络的服务时,如果该网络不在任何一个表中,这些设备将权衡前往该网络的就近性。
就近性表中的所有网络记录都使用了C类网络的形式。
进行测量时,Radware启动就近性检测试探过程,它会向目标网络发送几个数据包(最多4个),然后通过就近性检测试探的结果了解中继段数和延时情况。
为了实现最准确的测量结果,就近性检测包括了IP、TCP和应用层的试探(比如TCP确认测试和ICMP回显请求测试)。
回复不外乎两种情况,一是对ICMP回显(PING)请求的响应,二是由远程网络作为对其他就近性检测试探数据包的响应而生成的错误消息。
一旦设备了解了它所在的网络同客户端网络之间的中继段数和延时情况,就会将最佳的3个内容传输路径记录到动态表中。
这些数据在动态表中的存储时间由管理员定义。
掌握了就近性信息后,Radware设备就可以基于该信息复位向来自已知网络的客户端。
借此,管理员可使用延时问题最轻、中继段数最少的路径为最终用户传递内容。
管理员甚至还可以通过设置静态就近性表来配置复位向决定。
Radware设备在检查动态表中的客户端C类网络之前会首先检查静态表。
以这种方式,Radware设备可将某些客户端自动复位向到所配置的最佳路径,另外还可以在静态表中定义第二和第三最佳路径。
优化就近性检测方法
使用Radware提供的多种参数,可根据各个环境的独特需要方便地自定义就近性检测方法。
这种自定义包括多种操作,比如增加分配给动态就近性表的内存、更改动态就近性表的内容有效期、为Radware就近性设备提供DNS名称以及仅使用静态就近性表等。
调整动态表的超时和内存分配等参数,可以调整网络就近性探测的频度。
通过调整并且考虑每个环境的独特需求,可以在探测频度和数据时效性之间寻求适当平衡。
这在某些环境中可能非常重要,因为Radware的网络就近性试探过程利用了ICMP回显请求(作为探测方法之一),而客户端很少会注意到这种就近性检查。
为了尽量减少任何客户端问题的一个方法是,为Radware设备提供诸如“proximity-”、“quality-of-servicedevice.”或“network-proximity-measuring-”等的DNS名称。
一旦客户端检测到就近性检测资料包,它们可以进行反向DNS查询,从而了解探测数据包的本意和来源。
另外,还可以为客户提供一封简信,以说明这些探测数据包的目的。
附录A显示了一个样本。
如果能有效利用静态就近性表,已知网络中的客户端将可以被直接复位向到适当资源,同时尽量减少网络就近性探测数据包的数量。
借助静态表,可以基于多种条件来复位向客户端,比如IANA(Internet指定编号机构)分配的IP地址。
对全球分布性站点而言,这可能是一个解决方法,因为IP地址分配是由三个主要机构负责的,每个机构都有自己的管辖区域。
有关IP地址和组织区域划分的详细信息,请访问“InternetProtocolAddressSpace”(Internet协议地址空间)表,相应网址为:
http:
//www.iana.org/assignments/ipv4-address-space
另外还可以使用已知的客户端位址范围配置静态表,并且设置三个最佳的内容访问路由。
这种方法极其适用于大型的Extranet和Intranet。
要适当调整Radware就近性检测方法,其过程相当简单,但对于不同的环境会有不同的要求。
Radware的项目团队具有丰富的Internet、Intranet和Extranet环境经验,可帮助客户获得理想的结果,从而确保能通过最优化的路径传输内容,并且符合技术和业务上的目标。
有时候,IDS(入侵检测系统)可能将就近性检查数据包误认为是对IDS之后的设备进行攻击的数据包。
为了尽量减少这些误报,LinkProof和WebServerDirector均允许用户配置每种检查,以确定是用于入站就近性、出站就近性,还是同时用于二者,或者二者都不是。
就近性检测示意图:
●流量分组
在许多情况下,用户需要特定流量分配到相应的ISP链路,并且在这些链路中实现负载均衡。
例如:
公司希望将VPN流量通过特定的链路,因为他们不想重新配置防火墙的策略来允许新ISP地址通过它;
管理员喜欢将邮件流量分配到指定的几个ISP链路连接到Internet。
流量分组使得LinkProof可以根据不同类型的流量而选择不同的链路。
网络管理员可以根据目标地址、源地址和应用类型定义流量组。
这使得流量分配更加灵活和方便。
下图是根据应用流量分组的示意图。
当用户访问Web应用时,通过Router1去往ISP1链路。
当用户访问CRM应用时,LP将用户请求转向ISP2和ISP3,在它们当中实现负载均衡。
1.1.2.3Radware多链路解决方案可以提高抵抗攻击的能力
RadwareLinkproof在加载了SYNAPPII/III后,可以有效地防御黑客入侵及抵抗DDOS攻击。
应用安全模块可以保护web服务器免受1400多个攻击信号的攻击。
此模块的设计使它可以作为Radware设备管理的各种资源前面的另一道防线,这些资源包括服务器、防火墙、cache服务器或者路由器。
此模块使用网络信息和基于信息的应用。
通过终止所跟踪的可疑会话来实时检测和阻止攻击。
在任何管理设备上都不需要使用软件代理。
∙基于IP地址、应用程序类型和内容的数据包过滤
∙先进的过滤功能,如内容筛选、URL阻塞、URL过滤
∙服务器可以拥有专用的IP地址和不能识别的应用程序端口,因此能够保证其安全。
∙对每个服务器和应用程序可以定义连接限制,以确保点击服务器的会话数量不超过其容量。
下面列出的是可以防止的已知的安全危害:
∙基于Web的拒绝服务(DOS)攻击
∙分布式拒绝服务(DDOS)攻击
∙基于Web的缓冲溢出
∙一般的web环境漏洞
∙利用错误配置和默认的安装问题来进行攻击
∙探测网络流量
∙未认可的网络流量
∙后门攻击
1.1.3防火墙负载均衡
Linkproof在完成Internet链路负载均衡的同时,如果与Radware的安全应用交换机FireProof结合使用,即可同时完成防火墙的负载均衡。
如图五所示,
LinkProof完成对两条ISP链路的负载均衡,而FireProof对流出流量完成防火墙的负载均衡。
两台设备结合,即可保证对话的保持,实现真正的Internet接入和防火墙的负载均衡。
1.1.4LinkProof产品硬件规范
针对不同类型的用户,LinkProof提供不同的硬件平台。
详见下表:
LinkProofASIII
LinkProofASII
LinkProofASI
LinkProofBranch
CPU
MotorolaPowerPC7410
MotorolaPowerPC750
NetworkProcessor
有
无
内存
128M,可扩展至512M
64M,可扩展至128M
埠
110GE+7GE+16FE
7GE(GBIC)或
5GE(GBIC)+16FE
2GE+8FE或
8FE
背板速率
44Gbps
19.2Gbps
9.6Gbps
物理尺寸
高43.6mm,
宽432mm,
长472.6mm,
重量:
7kg,
标准19EIA机架或单独放置
宽430mm,
长465mm,
4.1kg,
高44mm,
长475mm,
3.5kg,
高43.8mm,
宽240mm,
长170mm,
0.5kg,
单独放置
电源
自动调节电压100-250V,50-60Hz
运行环境
温度0-40摄氏度,湿度5%到95%(非冷凝)
支持的NHR数(服务提供商)
10
10
带宽限制
3G
1G
200M
5M,50M
设备管理
●增强的CLI管理
●ConfigwareInsite
●Telnet
●SSH
●基于Web的管理
●基于安全Web的管理
同
带宽管理
完全的SynApps带宽管理
有限支持
应用安全性
可付费升级为完全的SynApps安全管理模块
有限