Radware 公司作为全球领先的网络智能应用交换解决方案提供商,其任务就是通过最优化的资源的使用率,在 Internet 、 Intranet 或 Extranet 应用中提供既经济、功能又强大的网络应用环境。 该类方案能确保动态网络的稳定性,包括提供最优的连续性、个性化的安全服务。
Radware 的 LinkProof ( LP )能够实现企业内部用户对外访问和外部用户对企业内部资源访问的负载均衡,把对内对外的流量根据预先设定的策略(比如就近性)负载均衡到不同的链路上。同时实时监控链路的健康状况,实现链路之间的相互备份。
功能介绍
典型网络拓扑
Radware LinkProof 通常部署在网络的出口,直接连接运营商的链路。对于所有进出网络的流量实现链路的负载均衡。
SmartNAT
对于流量的智能地址管理, LinkProof 使用了称为 SmartNAT 的算法。当选定一个路由器(某一个 ISP )传送流出流量时, LinkProof 将选择该 ISP 提供的地址。在图中,如果 LinkProof 选择 ISP 1 作为流出流量的路径,则它将把内部的主机地址翻译为 ISP 1 路由接入网段的地址,并作为流出数据包的源地址。同样,如果 LinkProof 选择 ISP 2 作为流出流量的路径,则它将把内部的主机地址翻译为 ISP 2 路由接入网段的地址并作为流出数据包的源地址。
LinkProof 支持 dynamic 、 static 、 basic 三种 NAT 方式,分别实现一对多、一对一、多对多的地址翻译。
就近性路由
为了优化流入和流出的流量, LinkProof 还为流量实施就近性运算。 LinkProof 使用就近性判断机制。就近性机制分为静态和动态两种方式:
静态就近性:针对已知的用户范围和网络的就近性(例如网通用户应采用网通线路,电信用户使用电信线路), LinkProof 上可以设置静态就近性表,要求用户严格按照该表来选择线路;
动态就近性:考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的就近性运算,选择最佳的流入流量传输路径,进行最终的解析地址。这个“近”其实是“最佳”的概念,因为往往物理上最近的线路不见得就是当时最佳的路径,将 Latency , Hop , Load 参数通盘考虑选优是 Radware 独有的技术并已获取专利,能够准确有效地选择最佳路径。
链路健康检查
LinkProof 能够灵活有效地判断 Internet 链路的健康状况,作为分配流量的前提。 LinkProof 的健康检查模块提供更为健全和灵活的判断机制。
当 ICMP 的数据包出于安全原因而被 ISP 禁止时,该方法了优势就有了更充分的体现。此时,可以通过多个 Internet 站点的可达性,来共同判断一条链路的状况。例如,通过电信线路检查 www.sina.com 、 www.sohu.com 、以及 www.google.com 的 TCP 80 端口,并对检查结果做“或”运算。这样,只要其中一个站点可达,即可表明链路状态良好。该方法即避免了 ICMP 检查的局限性,也避免了单一站点检查带来的单点失误。
当一条访问链路的健康状况不仅仅是由 ISP 的路由器的状况决定的。因此, LinkProof 提供了全路径健康检查的功能,可以做到从发起端到接收端进行全面而精确的健康检查,最多能够完成 10 跳路由的健康的检测,从而保证整条数据链路的通畅,提高服务质量。
分组策略
L inkProof 也能根据用户的特殊需要实现类似策略路由的方式。在 LinkProof 中我们把他称为分组( grouping )。分组的功能能根据流量的目的地址、端口号码、源地址强制流量定向到某一条链路,其他链路可以设置为备份状态。
出站流量的负载均衡
当内部网络一用户访问访问企业外部的一资源, LinkProof 会根据预先设定的策略或就近性选择最佳链路,一旦链路选定, LinkProof 会根据 SmartNAT 进行地址翻译并记录该用户选择的链路以供未来的流量使用。当所有策略全部不匹配时, LinkProof 会根据负载均衡的算法选择链路, LinkProof 支持多种负载均衡的算法,包括轮询、加权轮询、最少用户、最少流量等等。
进站流量的负载均衡
LinkProof 能够灵活有效地管理来自 Internet 的访问,即流入( InBound )流量。使用户总是沿着最佳链路访问网站等服务,达到最佳的用户响应。
如下图所示 , 假设图中有一台 WEBserver, 提供 internet 主机名为 www.site.com.cn 的服务 , 私有地址为 192.168.1.100.
针对采用域名方式实现访问的应用, SmartNAT 功能和 LinkProof 上集成的 DNS 代理结合在一起,即能够完成流入流量的负载均衡。
在 DNS 服务器上注册两笔 NS 记录,指向 LinkProof :
而在 LinkProof 上设置 URL 与内部主机地址的对应关系:
而在 LinkProof 上设置静态的地址翻译:
- 192.168.1.100 100.1.1.100
- 192.168.1.100 200.1.1.100
当有 Internet 用户访问 www.site.com.cn 时, DNS 服务器回应给用户由 LinkProof 来完成最终地址解析。 LinkProof 根据用户的具体设置来选定适当的 ISP 线路,如果是网通用户则选择电信 ISP ,将地址解析为 100.1.1.100 。同样,如果是电信用户则选择电信 ISP ,则将地址解析为 200.1.1.100 。从而完成流入流量的负载均衡。
针对直接采用地址实现访问的应用, LinkProof 通过静态 NAT 将服务的内部地址一对一地转换为公网地址。
带宽管理和流量整形
带宽管理是一个简单的概念主要的思想就是能够按照一系列标准区分用户流量,然后为每种数据包或者会话指定不同的优先级来使用有限的带宽。它允许网络管理者完全而有效的控制他们可用的带宽,使用这些功能可以按照一系列标准,指定应用程序的优先次序,同时还考虑了每个应用程序已使用的带宽。在确定了会话的优先级后可以对带宽限制进行配置以保证一些应用程序使用的带宽没有超过预先定义的带宽限制。
针对经济信息中心公司,我们主要可以通过以下两种方式保证关键应用的服务器质量:
关键应用带宽保证:通过对关机主机、应用( HTTP 、 HTTPS 等)的带宽保证,确保在任何情况下,关键应用有足够的带宽。
减少和控制其它应用:对于消耗带宽的非关键应用,通过限制最高带宽甚至禁止的方式来较少和避免对关键应用的影响。
安全防护
应用安全模块包含的一组功能集使 Radware 的产品能够保护敏感的网络资源不受到各种安全问题的影响。此系统包括一些基本的安全措施例如服务器过载保护和能够将资源从一般的 Internet 资源中隐藏起来。同时还能够为使用 SynApps 流量管理的敏感资源提供高级的安全性,这包括检测并预防 1500 多个恶意攻击信息,包括特洛伊木马、后门、 DoS 和 DdoS 攻击。
此模块能够处理以下攻击:
- 拒绝服务 (DOS/DDOS) 攻击
- 缓冲区溢出 / 超限
- 利用已知的 Bugs ,误配置和默认的安装问题来进行攻击
- 在攻击前探测流量
- 未授权的网络流量
- 后门 / 特洛伊木马
- 端口扫描 (Connect & Stealth)
Active-Standby 设备冗余
考虑到企业采用多条链路解决了链路的单点故障,只采用单台设备又引入了另外一个单点故障。从网络设计的角度考虑非常不合理。所以我们强烈建议采用冗余方式来实现链路的负载均衡。采用冗余方式的网络结构如下图:
|
12,562 KB
