APSolute应用访问解决方案

　　1.需求分析

　　近年来，Internet作为一种重要的交流工具在各种规模的商业机构和各个行业中得到了普遍应用。在机构借以执行日常业务活动的各种网络化应用中，目前已包括从供应链管理到销售门户、数据管理、软件开发工具和资源管理等一系列的应用。这些不断增长的网络化应用对企业通讯的效率和可用性也提出了较高要求。

　　1.1单一链导致单点故障和访问迟缓

　　用户的网络结构通常如下：单一链实现内部网络和Internet之间的连接。

　　而在Internet接入的稳定性对于一个用户来说日见重要的今天，一个ISP显然无法它提供的Internet链的持续可用性，从而可能导致用户Internet接入的中断，带来无法预计的损失。

　　而且由于历史原因，不同ISP的互连互通一直存在着很大的问题，在南方电信建立的应用服务器，如果是南方电信用户访问正常，Ping的延时只有几十甚至十几毫秒，对用户的正常访问几乎不会造成影响;但如果是北方网通的远程用户访问，Ping的延时只有几百甚至上千毫秒，访问应用时则会出现没有响应设置无法访问的问题。如果用户采用单条接入链，无论是采用电信(或则网通)，势必会造成相应的网通(或则电信)用户访问非常慢。

　　因此，采用多条链已成为用户实现Internet接入的稳定性的必然选择。

　　1.2传统解决方案无法完全发挥多链优势

　　下图是一个多链接入的典型拓扑，在图中内部网络到Internet有2条接入链，其中一条通过ISP1进行链接，而另一条则通过ISP2链接。

　　传统多归方案：每个ISP为内网分配一个不同的IP地址网段。因而，对内网来说2个IP网段同时生效。

　　存在问题：地址的静态分配给寻址带来了很大的复杂性。

　　除了复杂性之外，传统的多链网络也具有一些人们尚未完全认识的不足：

　　・网络有多个链与Internet相接，即使用最复杂的协议，例如BGP4，真正意义上的流量负载均衡还是做不到。由协议不会知道每一个链当前的流量负载和活动会话。此时的任何负载均衡都是很不精确的，最多只能叫做链共享。

　　・对外访问，有的链会比另外的链容易达到。虽然由协议知道一些就近性和可达性，但是他们不可能结合诸如由器的HOP数和到目的网络延时及链的负载状况等多变的因素，做出精确的由选择。

　　・对内流量(比如，Internet用户想访问有多条链入接入的网上的一台服务器)。有的链会比另外的链更好地对外提供服务。没一种由机制能结合DNS，就近性，由器负载，做出判断哪一条链可以对外部用户来提供最优的服务。

　　传统的多链接入依靠复杂的设计，解决了一些接入链存在单点故障的问题。但是，它远远没有把多链接入的巨大优势发挥出来。

　　作为应用交换业界的领先厂商，Radware公司早在1999年即推出了业界首个多链智能解决方案-LinkProof。并凭借其强大的技术优势，在市场上处于领先地位。

　　LinkProof解决方案就是在内部交换机和连接ISP的由器之间，跨接一台LinkProof智能交换机，所有的地址处理和Internet链优化全部由LinkProof智能交换机来完成。

　　针对各种用户的典型需求，LinkProof在以下几个环节上提供了先进的功能和完善的解决方案：

　　・链健康状态检测;

　　・最佳链选择;

　　・智能地址翻译;

　　・流量(P2P)控制和管理(可选);

　　・应用安全(可选);

　　2.1方案拓扑图

　　典型的LinkProof解决方案架构如下图所示：

　　2.2链优选方案

　　・链健康状况检查：LP可以采用多种方式判断链的健康状况，・例如Ping(全链健康检查)，・以及通过检查多个Internet目标・来共同・判断链状况。

　　LinkProof会通过多种方式检测两条链的健康状况，一旦发现其中一条链故障，会立即将所有用户流量定向至其它可用链，从而实现Internet连接的高可用性。主要的方法有：

　　・全径健康检查

　　为了确保ISP链的畅通，LinkProof将采用Ping的方法，不仅仅检查和其相连的由器的端口是否可达，还可以检查该链后续由节点的连通性(10跳)，已确保整个径的畅通。

　　注：该方法要求ISP的链对ICMP。

　　・高级健康检查

　　针对所有的网络(包括ICMP的ISP)，LinkProof提供了丰富的4～7层检查方式，并可以通过多种检查结果的与和或运算结果，最终准确判断链的健康状况。例如：通过CNC的径，同时检查www.sohu.com和www.sina.com的80端口，并将检查结果做或运算，只要一个检查通过即可判断CNC链正常。避免了某网站故障导致链状态误判的可能性。

　　LinkProof需要客户配合将域名的解析功能导向到LinkProof，由LinkProof来进行域名的解析。这样当远程通过域名访问网时，逐步通过远程用户的本地DNS服务器、根DNS服务器，最终由LinkProof来进行域名的解析。此时LinkProof就会通过静态列表或者动态判断算法，选择最优的线，然后将域名解析成相应线的IP地址。

　　例如：当某个网通的远程用户访问网时，首先向他当地的DNS服务器发起域名解析的请求，再通过他接入运营商的根DNS服务器，最终总归会向LinkProof请求DNS解析，此时LinkProof就会通过静态列表或者动态判断算法，选择最优的线(网通)，然后将域名解析成网通线的IP地址(218.x.x.1)。这样远程的网通用户就会使用网通的目标IP地址，通过网通的线进行访问，实现了访问时链方面的负载均衡优化。

　　如图所示，在DNS服务器上主则两笔NS记录，指向LinkProof：

　　而在LinkProof上设置URL与内部主机地址的对应关系：

　　而在LinkProof上设置静态的地址翻译：

　　当有Internet用户访问www.radware.com是时，DNS服务器回应给用户由LinkProof来完成最终地址解析。LinkProof根据具体设置来选定适当的ISP线，如果选择ISP1，则将地址解析为100.1.1.3。同样，如果选择ISP2，则将地址解析为200.1.1.3。从而完成流入流量的负载均衡。

　　LinkProof主要采用以下集中方式来处理流出流量。

　　对于流出流量的智能地址管理，LinkProof使用了称为SmartNAT的算法。当选定一个由器(某一个ISP)传送流出流量时，LinkProof将选择该ISP提供的地址。在图二中，如果LinkProof选择ISP1作为流出流量的径，则它将把内部的主机地址192.168.2.A/24翻译为100.1.1.A/24，并作为流出数据包的源地址。同样，如果LinkProof选择ISP2作为流出流量的径，则它将把内部的主机地址192.168.2.A/24翻译为200.1.1.A/24，并作为流出数据包的源地址。

　　LinkProof的专利技术：就近性，能够根据用户访问的目的IP、各条链的负载等情况来综合考虑，计算出内部用户访问Internet的最佳径，以用户能够得到最快和最高效的服务和响应。

　　・静态就近性：

　　用户可在LinkProof上为某个目标定义静态的最佳链。例如目标IP地址属于ISP1的，应选择ISP1链;目标IP地址属于ISP2的，应选择ISP2链。

　　・动态就近性：

　　在选择最佳链时，LinkProof会综合考虑与目标网络之间的由节点数量、数据传输的延迟和链的实时负载，准确计算出最佳径。因此用户能充分地享受到优化的服务和快速地响应。

　　所有的用户和运营商都不得不面临一个相同问题：非关键业务流量占用的大量的可用带宽，其中P2P流量，如BT下载，更是如此。不但造成了网络拥塞，还可能影响到关键的业务和应用。

　　LinkProof上可以集成基于策略和特征的带宽管理功能，识别各种业务流量，特别是能够识别多种P2P流量。可以按照用户的具体需求，分配带宽资源。在关键业务的同时，让用户充分享受Internet网络的丰富资源。通过带宽管理以及实现各个链的最大容量，可以避免带宽消耗的骤然剧增。因为只有有可用的带宽时，非关键应用才能占用它要求的带宽，这样既了带宽消耗量的剧增，又进一步降低了连接成本。

　　年复一年，日复一日，在计算机犯罪和安全性调查中报告的最常见事故始终都是恶意代码(即病毒、蠕虫等等)。在LinkProof上运行应用安全模块，可以有效的防范1400多种基于应用的恶意，内部的主机和用户。

　　应用安全模块为关键网络资源提供了屏障，它补充和扩展了网络规划中原有的那些常见安全机制。SynApps可以自动检测和防范常见的侵害网络和应用。这些诸如缓冲区溢出(BOF)、和缺省安装、默认安装、后门/特洛伊木马和端口扫描。

　　应用安全模块可以同时网络和应用流量，由此可实时检测，并通过终止进入网络的可疑会话对进行实时拦截。

　　ping 192.168.1.1003.设备管理

　　所有Radware应用交换机的设备管理方式相同。针对智能交换机LinkProof，网络管理人员可利用如下方式对其进行管理：

　　・SNMP网络管理系统

　　・标・准的网络浏览器

　　・CLI命令行控制方式(需要与LinkProof智能交换机通过控制台接口直接连接)

　　・SSH管理手段

　　其中，通过使用APSoluteInsite管理每个站点中的所有LinkProof设备，可以实现性能控制和。

　　APSoluteInsite是业内首个针对整个站点的软件管理工具。通过它可在企业范围内实现对IP应用性能的统一管理、和控制。基于易于使用的站点地图界面，APSoluteInsite使得企业可以绘制他们的整个网络，包括各种LinkProof设备以及各自的由器。

　　APSoluteInsite的统计模块提供了有关实际应用性能的实时视图和历史视图，借此可站点范围的操作，并能轻易地找到隐患和故障，从而实现了对所有Internet链性能的完全和控制。

　　LinkProof可以为用户管理多链的运行，实现Internet服务的持续连接以及理想的内容传递，从而实现可靠、高性能和高性价比的连接。LinkProof是一个经过实践检验的解决方案，已经历了多年的发展，并且在国内乃至世界范围内已得到了广泛的安装。

　　通过LinkProof的部署，我们必定可以帮助用户建立稳定、高效和安全的Internet。

　　Radware的解决方案具有几大优点：

　　・高可用性、高性能的完美体现：部署LinkProof最终用户对Internet实现不・中断的访问：LinkProof能够连续每个Internet连接的状态。自动检测各种故障，・如链、由器、DNS服・务器和其它故障。通过检查确保用户只使用那些高效运转的接入链。可以根据优先权、IP地址、内容和其它用户指・定的参数转发数据包特定内容选择最佳链时，・会综合考虑与请求内容的网络就近性、链的实时负载与链的成本。

　　・端到端QoS：LinkProof的内置带宽管理功能，・可以按照4～7层的特性识别不同・类型的流量，・通过带宽和，・为关键业务提供服・务质量。

　　・端到端应用安全：LinkProof的内置应用安全功能，・在公司的Internet接入部位实现实时的IPS(入侵防范)，・隔离和来自Internet和企业内部的和有害流量，・确保关键应用的安全。

　　在如今这个信息爆炸的时代里，每天都会有数不清的新闻通过各种渠道涌到我们面前，而真正有价值的应该进入我们心里的，却很可能随着日历牌的翻动被我们忽略。作为对一周新闻进行回顾的《比特网新闻中心每周热点推荐》，就是要告诉您过去的七天都发生了哪些新闻，更希望和您一起，站在七天的高度来看待过去一周的新闻。

　　领IT群雄秀企业风采。创刊于2008年2月，定位于行业（企业）信息化规划、建设、管理的中高层人士，通过精心的内容筛选，将每月发生的重点事件进行回顾，为高端人群提供深度阅读，与比特网内容的速度特性形成互补。主要栏目有：比特网精粹、新产品新技术、CIO、封面报道、下午茶精选等。

　　业内首个只为报道数据中心资讯内容的专业频道，是为数据中心用户及厂商而建设的专业平台。以数据中心专业技术内容为核心，贯穿新鲜资讯、技巧方法和用户案例等高附加值内容。以为网友提供最具实用价值的信息为原则，以成为用户最信赖的行业专家为目标，打造高时效、高品质、高前瞻的最全威频道。企业数据中心热点播报，为您精心奉上过去一周数据中心最精彩、权威资讯_chinabyte比特网。

　　就服务器和数据中心领域的产业动态、技术热点、热门产品、实用技巧，向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐，为数据中心决策者、使用者提供一份服务器行业以及数据中心领域最新动态及产品应用的技术套餐。