Radware LinkProof
介绍
1
市场定位
随着
Internet
及
Intranet
市场快速持续增长,有关网络流量及
IP
服务品质的相关问题日趋严重。大量企业和机构都采用多条
internet
链路的方式来扩展链路带宽、解决链路的单点故障问题。
Radware
公司作为全球领先的网络智能应用交换解决方案提供商,其任务就是通过最优化的资源的使用率,在
Internet
、
Intranet
或
Extranet
应用中提供既经济、功能又强大的网络应用环境。
该类方案能确保动态网络的稳定性,包括提供最优的连续性、个性化的安全服务。
Radware
的
LinkProof
(
LP
)能够实现企业内部用户对外访问和外部用户对企业内部资源访问的负载均衡,把对内对外的流量根据预先设定的策略(比如就近性)负载均衡到不同的链路上。同时实时监控链路的健康状况,实现链路之间的相互备份。
2
功能介绍
2.1
典型网络拓扑
Radware LinkProof 通常部署在网络的出口,直接连接运营商的链路。对于所有进出网络的流量实现链路的负载均衡。
2.2
SmartNAT
对于流量的智能地址管理,
LinkProof
使用了称为
SmartNAT
的算法。当选定一个路由器(某一个
ISP
)传送流出流量时,
LinkProof
将选择该
ISP
提供的地址。在图中,如果
LinkProof
选择
ISP 1
作为流出流量的路径,则它将把内部的主机地址翻译为
ISP 1
路由接入网段的地址,并作为流出数据包的源地址。同样,如果
LinkProof
选择
ISP 2
作为流出流量的路径,则它将把内部的主机地址翻译为
ISP 2
路由接入网段的地址并作为流出数据包的源地址。
LinkProof
支持
dynamic
、
static
、
basic
三种
NAT
方式,分别实现一对多、一对一、多对多的地址翻译。
2.3
就近性路由
为了优化流入和流出的流量,
LinkProof
还为流量实施就近性运算。
LinkProof
使用就近性判断机制。就近性机制分为静态和动态两种方式:
静态就近性:针对已知的用户范围和网络的就近性(例如网通用户应采用网通线路,电信用户使用电信线路),
LinkProof
上可以设置静态就近性表,要求用户严格按照该表来选择线路;
动态就近性:考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的就近性运算,选择最佳的流入流量传输路径,进行最终的解析地址。这个“近”其实是“最佳”的概念,因为往往物理上最近的线路不见得就是当时最佳的路径,将
Latency
,
Hop
,
Load
参数通盘考虑选优是
Radware
独有的技术并已获取专利,能够准确有效地选择最佳路径。
2.4
链路健康检查
LinkProof
能够灵活有效地判断
Internet
链路的健康状况,作为分配流量的前提。
LinkProof
的健康检查模块提供更为健全和灵活的判断机制。
当
ICMP
的数据包出于安全原因而被
ISP
禁止时,该方法了优势就有了更充分的体现。此时,可以通过多个
Internet
站点的可达性,来共同判断一条链路的状况。例如,通过电信线路检查
www.sina.com
、
www.sohu.com
、以及
www.google.com
的
TCP 80
端口,并对检查结果做“或”运算。这样,只要其中一个站点可达,即可表明链路状态良好。该方法即避免了
ICMP
检查的局限性,也避免了单一站点检查带来的单点失误。
当一条访问链路的健康状况不仅仅是由
ISP
的路由器的状况决定的。因此,
LinkProof
提供了全路径健康检查的功能,可以做到从发起端到接收端进行全面而精确的健康检查,最多能够完成
10
跳路由的健康的检测,从而保证整条数据链路的通畅,提高服务质量。
2.5
分组策略
L
inkProof
也能根据用户的特殊需要实现类似策略路由的方式。在
LinkProof
中我们把他称为分组(
grouping
)。分组的功能能根据流量的目的地址、端口号码、源地址强制流量定向到某一条链路,其他链路可以设置为备份状态。
2.6
出站流量的负载均衡
当内部网络一用户访问访问企业外部的一资源,
LinkProof
会根据预先设定的策略或就近性选择最佳链路,一旦链路选定,
LinkProof
会根据
SmartNAT
进行地址翻译并记录该用户选择的链路以供未来的流量使用。当所有策略全部不匹配时,
LinkProof
会根据负载均衡的算法选择链路,
LinkProof
支持多种负载均衡的算法,包括轮询、加权轮询、最少用户、最少流量等等。
2.7
进站流量的负载均衡
LinkProof
能够灵活有效地管理来自
Internet
的访问,即流入(
InBound
)流量。使用户总是沿着最佳链路访问网站等服务,达到最佳的用户响应。
如下图所示 , 假设图中有一台 WEBserver, 提供 internet 主机名为 www.site.com.cn 的服务 , 私有地址为 192.168.1.100.
针对采用域名方式实现访问的应用,
SmartNAT
功能和
LinkProof
上集成的
DNS
代理结合在一起,即能够完成流入流量的负载均衡。
在
DNS
服务器上注册两笔
NS
记录,指向
LinkProof
:
NS
www.site.com.cn
LP-CNC
NS
www.site.com.cn
LP-Telecom
而在
LinkProof
上设置
URL
与内部主机地址的对应关系:
www.site.com.cn
192.168.1.100
而在
LinkProof
上设置静态的地址翻译:
192.168.1.100
100.1.1.100
192.168.1.100
200.1.1.100
当有
Internet
用户访问
www.site.com.cn
时,
DNS
服务器回应给用户由
LinkProof
来完成最终地址解析。
LinkProof
根据用户的具体设置来选定适当的
ISP
线路,如果是网通用户则选择电信
ISP
,将地址解析为
100.1.1.100
。同样,如果是电信用户则选择电信
ISP
,则将地址解析为
200.1.1.100
。从而完成流入流量的负载均衡。
针对直接采用地址实现访问的应用,LinkProof通过静态NAT将服务的内部地址一对一地转换为公网地址。
2.8
带宽管理和流量整形
带宽管理是一个简单的概念主要的思想就是能够按照一系列标准区分用户流量,然后为每种数据包或者会话指定不同的优先级来使用有限的带宽。它允许网络管理者完全而有效的控制他们可用的带宽,使用这些功能可以按照一系列标准,指定应用程序的优先次序,同时还考虑了每个应用程序已使用的带宽。在确定了会话的优先级后可以对带宽限制进行配置以保证一些应用程序使用的带宽没有超过预先定义的带宽限制。
针对经济信息中心公司,我们主要可以通过以下两种方式保证关键应用的服务器质量:
关键应用带宽保证:通过对关机主机、应用(HTTP、HTTPS等)的带宽保证,确保在任何情况下,关键应用有足够的带宽。
减少和控制其它应用:对于消耗带宽的非关键应用,通过限制最高带宽甚至禁止的方式来较少和避免对关键应用的影响。
2.9
安全防护
应用安全模块包含的一组功能集使Radware
的产品能够保护敏感的网络资源不受到各种安全问题的影响。此系统包括一些基本的安全措施例如服务器过载保护和能够将资源从一般的Internet
资源中隐藏起来。同时还能够为使用SynApps
流量管理的敏感资源提供高级的安全性,这包括检测并预防1500多个恶意攻击信息,包括特洛伊木马、后门、DoS
和DdoS
攻击。
此模块能够处理以下攻击:
拒绝服务
(DOS/DDOS)
攻击
缓冲区溢出/超限
利用已知的
Bugs,误配置和默认的安装问题来进行攻击
在攻击前探测流量
未授权的网络流量
后门/特洛伊木马
端口扫描
(Connect & Stealth)
2.10
Active-Standby
设备冗余
考虑到企业采用多条链路解决了链路的单点故障,只采用单台设备又引入了另外一个单点故障。从网络设计的角度考虑非常不合理。所以我们强烈建议采用冗余方式来实现链路的负载均衡。采用冗余方式的网络结构如下图:
3
硬件平台
3.1
平台介绍
|
|
LinkProof 100/200/202
|
LinkProof 1000
|
LinkProof 3000
|
LinkProof 3020
|
|
CPU |
Motorola Power PC 750 |
Motorola Power PC 7410 |
Motorola Power PC 7457
|
Motorola Power PC 7457
|
|
网络处理器
|
N |
N |
Y |
Y |
|
内存
|
Up to
|
Up to
|
Up to
|
Up to
|
|
吞吐率
|
|
|
|
|
|
非阻塞背板
|
|
|
|
|
|
二层交换
|
线速
|
线速
|
线速
|
线速
|
|
并行会话
|
无限
|
无限
|
无限
|
无限
|
|
路由协议
|
OSPF
、
RIP/RIP II |
OSPF
、
RIP/RIP II |
OSPF
、
RIP/RIP II |
OSPF
、
RIP/RIP II |
|
冗余协议
|
ARP/VRRP |
ARP/VRRP |
ARP/VRRP |
ARP/VRRP |
|
Gigabit/GBIC
端口
|
0/0/2 |
5 |
7 |
8 |
|
10/100BaseT |
8 |
16 |
16 |
12 |
|
1000Base-S/L/ZX |
全双工模式千兆以太网光纤接口
|
全双工模式千兆以太网光纤接口
|
全双工模式千兆以太网光纤接口
|
全双工模式千兆以太网光纤接口
|
|
1000Base-SX
传输距离
|
直径
62.5
微米光纤
0.2-275
直径
50
微米光纤
0.2-550 |
直径
62.5
微米光纤
0.2-275
直径
50
微米光纤
0.2-550 |
直径
62.5
微米光纤
0.2-275
直径
50
微米光纤
0.2-550 |
直径
62.5
微米光纤
0.2-275
直径
50
微米光纤
0.2-550 |
|
1000Base-LX/ZX
传输距离
|
N/A |
LX
ZX
|
LX
ZX
|
LX
ZX
|
|
RS-232
终端管理
|
Y |
Y |
Y |
Y |
|
尺寸
|
高
宽
长
重量
:
标准
19 EIA
机架或单独放置
|
高
宽
长
重量
:
标准
19 EIA
机架或单独放置
|
高
宽
长
重量
:
标准
19 EIA
机架或单独放置
|
高
宽
长
重量
:
标准
19 EIA
机架或单独放置
|
|
电源
|
自动调节电压
100-250V
,
50-60Hz
功耗:
35W |
自动调节电压
100-250V
,
50-60Hz
功耗:
44W |
自动调节电压
100-250V
,
50-60Hz
功耗:
108W |
自动调节电压
100-250V
,
50-60Hz
功耗:
108W |
|
支持直流电源
|
|
Y |
Y |
Y |
|
冗余电源
|
N |
Y |
Y |
Y |
|
运行环境
|
温度
0
|
温度
0
|
温度
0
|
温度
0
|
|
设备管理
|
l
增强的
CLI
管理
l
Configware Insite
l
Telnet
l
SSH
l
基于
Web
的管理
l
基于安全
Web
的管理
HP Openview Plug In
|
l
增强的
CLI
管理
l
Configware Insite
l
Telnet
l
SSH
l
基于
Web
的管理
l
基于安全
Web
的管理
HP Openview Plug In
|
l
增强的
CLI
管理
l
Configware Insite
l
Telnet
l
SSH
l
基于
Web
的管理
l
基于安全
Web
的管理
HP Openview Plug In
|
l
增强的
CLI
管理
l
Configware Insite
l
Telnet
l
SSH
l
基于
Web
的管理
l
基于安全
Web
的管理
HP Openview Plug In
|
