LinkProof 实现多链路负载均衡和防火墙负载均衡raw.docx

1、LinkProof 实现多链路负载均衡和防火墙负载均衡raw1.1 LinkProof 实现多链路负载均衡和防火墙负载均衡1.1.1 多链路解决方案实现基本原理下图是一个典型的LinkProof解决方案的应用案例。图中多链路网络通过ISP1和ISP2接入Internet。每个ISP都分配给该网络一个IP地址网段，假设ISP1分配的地址段为100.1.1.0/24，ISP2分配的地址段为200.1.1.0/24（此处的200.1.1.0/24表示网络IP地址式200.1.1.0，子网掩码为24位，即255.255.255.0）。同样，Internet知道通过ISP1访问100.1.1.0/24，

2、通过ISP2访问200.1.1.0/24。网络中的主机和服务器都属于私有网段192.168.1.0/24。LinkProof解决方案就是在内部交换机和连接ISP的路由器之间，跨接一台LinkProof智慧交换机，所有的地址处理和Internet链路优化全部由LinkProof智慧交换机来完成。如图所示，LinkProof智慧交换机的埠1上绑定IP地址100.1.1.2/24，端口2上绑定IP地址200.1.1.2/24，端口3上绑定IP地址192.168.1.2/24。解决方案实现方式如下。1.1.1.1 Linkproof对流出（Outbound）流量的处理过程LinkProof主要采用以下

3、集中方式来处理流出流量。SmartNAT对于流出流量的智能地址管理，LinkProof使用了称为SmartNAT的算法。当选定一个路由器（某一个ISP）传送流出流量时，LinkProof将选择该ISP提供的地址。在图二中，如果LinkProof选择ISP1作为流出流量的路径，则它将把内部的主机地址192.168.1.A/24翻译为100.1.1.A/24，并作为流出数据包的源地址。同样，如果LinkProof选择ISP2作为流出流量的路径，则它将把内部的主机地址192.168.1.A/24翻译为200.1.1.A/24，并作为流出数据包的源地址。Content Routing为了优化流出的流量

4、，LinkProof还为流出的流量实施就近性运算。如果内部主机要访问某一Internet站点，可能通过一个ISP的路径比通过其它ISP的路径有效。因此，LinkProof可以提供就近性算法，为流出到某一个站点的流量选择最佳的ISP路径，保证所需内容最快到达目的地，提高服务的品质。LinkProof考虑路由的跳数、路径的延迟和负载状况来进行对每个目的地的就近性运算，选择最佳的流出流量传输路径。1.1.1.2 Linkproof对流入（Inbound）流量的处理过程LinkProof不仅需要管理流出的流量，还必须管理来自Internet的访问，即流入（InBound）流量。假设图二中的Server

5、1是Web服务器，Internet主机名为，地址为私有IP：192.168.1.100/24。SmartNATSmartNAT功能和LinkProof上集成的DNS代理结合在一起，即能够完成流入流量的负载均衡。 图三 如图三所示，在DNS服务器上主则两笔NS记录，指向LinkProof： NS www.R 100.1.1.2 NS www.R 200.1.1.2 而在LinkProof上设置URL与内部主机地址的对应关系： 192.168.1.100而在LinkProof上设置静态的地址翻译： 192.168.1.100 100.1.1.3 192.168.1.100 200.1.1.3当有I

6、nternet用户访问是时，DNS服务器响应给用户由LinkProof来完成最终地址解析。LinkProof根据具体设置来选定适当的ISP线路，如果选择ISP1，则将地址解析为100.1.1.3。同样，如果选择ISP2，则将地址解析为200.1.1.3。从而完成流入流量的负载均衡。过程示意图如下：用户会话表的操作通常对于出向流量，当本地用户发起请求访问远程服务器，LinkProof会创建一条会话记录，记录了用户通过哪一个ISP链路(LinkProof称为NHR)连接Internet服务器，当服务器响应时，LinkProof根据刚才记录的会话记录，将地址正确转换后响应给用户。对于入向流量，远程用

7、户先发起连接请求，访问本地的服务器，LinkProof如何保证进和出的流量通过同一条链路呢？与出向流量类似，LinkProof会创建一条“反向”的会话记录。记录了远程用户通过哪一个NHR进来访问的。从而保证的会话的一致性。以下是LinkProof的会话表条目，Dir是会话的方向，TO和FR (From)正好相反，即出向和入向。Client Addr Dst Addr NHR Addr Src P Dst P AttchTime T Dir 10.198. 16. 93 218.102.180.206 210. 53.207. 37 4442 80 4566013 DN TO 10.193. 4

8、9.205 221.205. 1. 24 211.156.187. 1 3426 21 4562192 DN TO 210. 53.201.130 220.170.139.110 210. 53.207. 37 80 1881 4564984 FR1.1.2 Radware 多链路解决方案的优势1.1.2.1 Radware 多链路解决方案可以提高Internet网络链路的可用性 全路径健康检查LinkProof在多链路网络中的一个主要作用是检测ISP链路的可用性，即健康状况。而一条访问链路的健康状况不仅仅是由ISP的路由器的状况决定的。因此，LinkProof提供了全路径健康检查的功能，最多

9、能够完成10跳路由健康的检测，从而保证整条数据链路的通常，提高服务质量。 故障恢复和预热定时器如果ISP连接状况不稳定，则最好不要通过它发送任何流量，知道它在预定时间内能够维持稳定。LinkProof提供故障恢复和预热定时器，用户可以自定义定时器的延迟时间，从而确保将会话定向到稳定的ISP链路。一旦ISP恢复正常，LinkProof能逐渐增加发送到该ISP的流量。 冗余配置LinkProof采用相同的冗余配置机制，在后续内容中以LinkProof为例说明。由于服务的可靠性越来越成为因特网上的一个主要问题，所以用户越来越多地安装像应用交换机这样的因特网通信量控制设备时考虑到冗余配置。在多链路网络

10、中配置的LinkProof可以为网络与Internet的连接提供冗余，同样，LinkProof的功能即也把包括两台LinkProof的并行安装，其中一台时备用的。LinKProof使用Radware已被证明的冗余机制，其中设备的状态监视通过网络来实现，从而祢补了设备故障和网络故障。如果主LinkProof或其网络连接之一发生故障，则备用LinkProof能够非常容易的接管主LinkProof的工作。Radware的双机热备冗余配置采用VRRP方式。VRRP方式通过标准的VRRP协议来维持冗余的操作。当LinkProof启动时，会进行VRRP的初使化操作：即VR（虚拟路由器）的选举。两台LP都发

11、送VRRP的组播包，通告自己的VR信息。VR优先级高的LinkProof被选举为主用设备，VR优先级低的LinkProof选举为备用设备。当选举完成后，主用设备每隔一定的时间间隔发送一个VRRP组播包，宣告VR的信息；这时备用设备处于Standby状态，不再发送VR组播包，它只通过接收VRRP包来监控主设备的状态，当网络故障或主用设备故障，备用设备不能收到主设备的VRRP组播包，并且持续多次时，备用设备会主动发送VR（虚拟路由器）的相应ARP信息，并且接管主设备的工作。在两条链路正常的情况下，无论是InBound 还是OutBound 的流量， Active LinkProof都可以采用Rad

12、ware独特的智能地址翻译（Smart NAT）来实现负载的均衡，并且还可以使用Radware独有Proximity算法为其选择最“近”的路径。在其中一条链路中断的情况下，LinkProof同样可以保证Inbound 和OutBound流量的畅通。Backup LinkProof利用VRRP组播包监视Active linkProof的状态，随时准备接管它的一切功能。在Backup LinkProof 上启动Session Mirror 功能， 实时的复制Active LinkProof上的连接信息，当检查到Active LinkProof 上的连接出现问题时及时接管，保证所有的网络连接，并且不

13、会造成链路负载均衡失效。在Active LinkProof上启动埠连接绑定（Port Grouping），当Active LinkProof 上的网络连接失效时主动切断所有连接，保证Backup LinkProof在接管时的顺利进行。在Backup LinkProof上启动 virtual DNS功能，当Active LinkProof在失效时保证Inbound 的用户的DNS询问的正常工作。1.1.2.2 Radware 多链路解决方案可以提高Internet网络链路的性能 就近性(Proximity)就近性检测方法对于流入的流量，LinkProof使用与流出流量相同的就近性判断机制。Lin

14、kProof考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的就近性运算，选择最佳的流入流量传输路径，进行最终的解析地址。Radware 的就近性检测方法利用了就近性检测试探、由就近性标准构成的动态表以及由管理员配置的参数构成的静态表。当WSD-NP 或LinkProof 提供前往某个网络的服务时，如果该网络不在任何一个表中，这些设备将权衡前往该网络的就近性。就近性表中的所有网络记录都使用了C 类网络的形式。进行测量时，Radware 启动就近性检测试探过程，它会向目标网络发送几个数据包（最多4 个），然后通过就近性检测试探的结果了解中继段数和延时情况。为了实现最准确的测量结果，就近

15、性检测包括了IP、TCP 和应用层的试探（比如TCP 确认测试和ICMP 回显请求测试）。回复不外乎两种情况，一是对ICMP 回显(PING) 请求的响应，二是由远程网络作为对其他就近性检测试探数据包的响应而生成的错误消息。一旦设备了解了它所在的网络同客户端网络之间的中继段数和延时情况，就会将最佳的3 个内容传输路径记录到动态表中。这些数据在动态表中的存储时间由管理员定义。掌握了就近性信息后，Radware 设备就可以基于该信息复位向来自已知网络的客户端。借此，管理员可使用延时问题最轻、中继段数最少的路径为最终用户传递内容。管理员甚至还可以通过设置静态就近性表来配置复位向决定。Radware

16、设备在检查动态表中的客户端C 类网络之前会首先检查静态表。以这种方式，Radware 设备可将某些客户端自动复位向到所配置的最佳路径，另外还可以在静态表中定义第二和第三最佳路径。优化就近性检测方法使用Radware 提供的多种参数，可根据各个环境的独特需要方便地自定义就近性检测方法。这种自定义包括多种操作，比如增加分配给动态就近性表的内存、更改动态就近性表的内容有效期、为Radware 就近性设备提供DNS 名称以及仅使用静态就近性表等。调整动态表的超时和内存分配等参数，可以调整网络就近性探测的频度。通过调整并且考虑每个环境的独特需求，可以在探测频度和数据时效性之间寻求适当平衡。这在某些环境中

17、可能非常重要，因为Radware 的网络就近性试探过程利用了ICMP 回显请求（作为探测方法之一），而客户端很少会注意到这种就近性检查。为了尽量减少任何客户端问题的一个方法是，为Radware 设备提供诸如“proximity-”、“quality-of-servicedevice. ”或“network-proximity-measuring-”等的DNS 名称。一旦客户端检测到就近性检测资料包，它们可以进行反向DNS 查询，从而了解探测数据包的本意和来源。另外，还可以为客户提供一封简信，以说明这些探测数据包的目的。附录A 显示了一个样本。如果能有效利用静态就近性表，已知网络中的客户端将可以

18、被直接复位向到适当资源，同时尽量减少网络就近性探测数据包的数量。借助静态表，可以基于多种条件来复位向客户端，比如IANA（Internet 指定编号机构）分配的IP 地址。对全球分布性站点而言，这可能是一个解决方法，因为IP 地址分配是由三个主要机构负责的，每个机构都有自己的管辖区域。有关IP 地址和组织区域划分的详细信息，请访问“Internet Protocol Address Space”（Internet 协议地址空间）表，相应网址为：http:/www.iana.org/assignments/ipv4-address-space另外还可以使用已知的客户端位址范围配置静态表，并且设置

19、三个最佳的内容访问路由。这种方法极其适用于大型的Extranet 和Intranet。要适当调整Radware 就近性检测方法，其过程相当简单，但对于不同的环境会有不同的要求。Radware 的项目团队具有丰富的Internet、Intranet 和Extranet 环境经验，可帮助客户获得理想的结果，从而确保能通过最优化的路径传输内容，并且符合技术和业务上的目标。有时候，IDS（入侵检测系统）可能将就近性检查数据包误认为是对IDS 之后的设备进行攻击的数据包。为了尽量减少这些误报，LinkProof 和Web Server Director 均允许用户配置每种检查，以确定是用于入站就近性、出

20、站就近性，还是同时用于二者，或者二者都不是。就近性检测示意图： 流量分组在许多情况下，用户需要特定流量分配到相应的ISP链路，并且在这些链路中实现负载均衡。例如：公司希望将VPN流量通过特定的链路，因为他们不想重新配置防火墙的策略来允许新ISP地址通过它；管理员喜欢将邮件流量分配到指定的几个ISP链路连接到Internet。流量分组使得LinkProof可以根据不同类型的流量而选择不同的链路。网络管理员可以根据目标地址、源地址和应用类型定义流量组。这使得流量分配更加灵活和方便。下图是根据应用流量分组的示意图。当用户访问Web应用时，通过Router1去往ISP1链路。当用户访问CRM应用时，L

21、P将用户请求转向ISP2和ISP3，在它们当中实现负载均衡。1.1.2.3 Radware 多链路解决方案可以提高抵抗攻击的能力Radware Linkproof 在加载了SYNAPP II/III后，可以有效地防御黑客入侵及抵抗DDOS 攻击。应用安全模块可以保护 web 服务器免受 1400 多个攻击信号的攻击。此模块的设计使它可以作为 Radware 设备管理的各种资源前面的另一道防线，这些资源包括服务器、防火墙、cache 服务器或者路由器。此模块使用网络信息和基于信息的应用。通过终止所跟踪的可疑会话来实时检测和阻止攻击。在任何管理设备上都不需要使用软件代理。 基于 IP 地址、应用程

22、序类型和内容的数据包过滤 先进的过滤功能，如内容筛选、URL 阻塞、URL 过滤 服务器可以拥有专用的 IP 地址和不能识别的应用程序端口，因此能够保证其安全。 对每个服务器和应用程序可以定义连接限制，以确保点击服务器的会话数量不超过其容量。下面列出的是可以防止的已知的安全危害： 基于 Web 的拒绝服务 (DOS) 攻击 分布式拒绝服务(DDOS)攻击 基于 Web 的缓冲溢出 一般的 web 环境漏洞 利用错误配置和默认的安装问题来进行攻击 探测网络流量 未认可的网络流量 后门攻击1.1.3 防火墙负载均衡Linkproof在完成Internet链路负载均衡的同时，如果与Radware的安

23、全应用交换机FireProof结合使用，即可同时完成防火墙的负载均衡。如图五所示，LinkProof完成对两条ISP链路的负载均衡，而FireProof对流出流量完成防火墙的负载均衡。两台设备结合，即可保证对话的保持，实现真正的Internet接入和防火墙的负载均衡。1.1.4 LinkProof产品硬件规范针对不同类型的用户，LinkProof提供不同的硬件平台。详见下表：LinkProof AS IIILinkProof AS IILinkProof AS ILinkProof BranchCPUMotorola Power PC 7410Motorola Power PC 7410Mot

24、orola Power PC 750Network Processor有无无无内存128M，可扩展至512M128M，可扩展至512M64M，可扩展至128M埠1 10GE + 7 GE + 16FE7 GE（GBIC） 或5 GE（GBIC）16FE2GE 8FE 或8FE8FE背板速率44Gbps19.2Gbps9.6Gbps物理尺寸高43.6mm，宽432mm，长472.6mm，重量:7kg，标准 19 EIA 机架或单独放置高43.6mm，宽430mm，长465mm，重量: 4.1 kg，标准 19 EIA 机架或单独放置高44mm，宽432mm，长475mm，重量: 3.5 kg，标

25、准 19 EIA 机架或单独放置高43.8mm，宽240mm，长170mm，重量: 0.5 kg，单独放置电源自动调节电压100-250V， 50-60Hz自动调节电压100-250V， 50-60Hz自动调节电压100-250V， 50-60Hz自动调节电压100-250V， 50-60Hz运行环境温度 0-40 摄氏度，湿度 5% 到 95%（非冷凝）温度 0-40 摄氏度，湿度 5% 到 95%（非冷凝）温度 0-40 摄氏度，湿度 5% 到 95%（非冷凝）温度 0-40 摄氏度，湿度 5% 到 95%（非冷凝）支持的 NHR 数（服务提供商）1010 10 10带宽限制3G1G200M5 M ，50M设备管理 增强的 CLI管理 Configware Insite Telnet SSH 基于 Web 的管理 基于安全 Web 的管理同同同带宽管理完全的 SynApps 带宽管理完全的 SynApps 带宽管理完全的 SynApps 带宽管理有限支持应用安全性可付费升级为完全的 SynApps 安全管理模块可付费升级为完全的 SynApps 安全管理模块可付费升级为完全的 SynApps 安全管理模块有限