多鏈路負載均衡的方案

1、Radware多宿主網(wǎng)絡解決方案Radware China2002-6-30目錄1前言31.1多宿主網(wǎng)絡需求31.2多宿主網(wǎng)絡面臨的問題32Radware LinkProof解決方案72.1方案簡介72.2方案實現(xiàn)說明82.2.1流出（Outbound）流量處理92.2.2流入（Inbound）流量處理102.2.3其它重要功能設置113Radware Peer Director解決方案123.1方案簡介123.2方案實現(xiàn)說明123.2.1流出（Outbound）流量處理123.2.2流入（Inbound）流量處理123.2.3時間段133.3典型應用方案143.3.1路徑外網(wǎng)絡143.3.2

2、路徑內(nèi)網(wǎng)絡153.3.3和LinkProof結合使用154LinkProof/Peer Director提供的增值服務說明174.1冗余配置174.2防火墻負載均衡194.3帶寬管理204.4應用安全235設備管理簡介255.1SNMP網(wǎng)絡管理系統(tǒng)255.2Configware265.3Configware Insite275.4標準的網(wǎng)絡瀏覽器295.5利用Telnet或CLI方式：305.6SSH管理手段316產(chǎn)品說明326.1SynApps326.2Radware智能應用交換機346.2.1Application Switch I 交換機346.2.2Application Switch

3、 II 交換機361 前言隨著Internet 應用的不斷發(fā)展，目前日益增多的機構，如電子商務公司、二級 ISP 和企業(yè)為了保證公司各個部門之間、供應商和客戶之間連續(xù)的 Internet 訪問，都逐步采用多個Internet接入鏈路（多宿主）接入Internet。1.1 多宿主網(wǎng)絡需求為客戶提供所承諾的7/24的內(nèi)容和服務是至關重要的。一個網(wǎng)站不僅需要保證網(wǎng)站內(nèi)所有的WEB服務器、應用服務器和數(shù)據(jù)庫服務器的高可用性，還必須保證站點本身的高可用性。保證Internet接入的穩(wěn)定性對于一個網(wǎng)站來說是非常重要的?，F(xiàn)在絕大多數(shù)的網(wǎng)站采用一條Internet接入，也就是說使用一個ISP的鏈路。顯然，一個

4、ISP無法保證它提供的Internet鏈路的持續(xù)可用性，從而可能導致網(wǎng)站W(wǎng)AN接入的中斷，而一個網(wǎng)站的Internet接入的中斷則意味著高額的損失。(見表一)企業(yè)業(yè)務類型中斷造成的損失/小時 以美元計算金融經(jīng)紀業(yè)645萬金融信用卡260萬媒體付費節(jié)目150,000零售家庭采購（TV）113,000零售家庭目錄銷售90,000交通定票業(yè)務89,000表一：中斷造成的損失一個企業(yè)可以采用多宿主的解決方案來避免Internet接入中斷所造成的損失。在這里所提及的“多宿主”通常指同時使用不同ISP提供的多條Internet接入鏈路。由于多宿主解決方案能夠提供更好的可用性和性能，它正在被越來越多的企業(yè)所

5、采用?？捎眯缘奶岣邅碜杂诙鄺l鏈路的使用，而性能提高則是因為同時使用多條鏈路增加了帶寬。多宿主方案能夠提高企業(yè)網(wǎng)站的可用性和性能，但這種方案也面臨著特殊的問題和挑戰(zhàn)。1.2 多宿主網(wǎng)絡面臨的問題如圖一所示，本地網(wǎng)絡有兩條Internet接入，一條通過ISP1，另一條通過ISP2。圖一：多宿主網(wǎng)絡這樣的網(wǎng)絡看起來很普通，但是仔細分析之后就會發(fā)現(xiàn)一些問題。首先就是IP地址管理的問題，在圖一所示的網(wǎng)絡中，可能會采用兩種IP地址管理方式：l 內(nèi)部網(wǎng)絡使用同一個子網(wǎng)地址。采用這種方式需要兩個ISP之間相互配合協(xié)作，來在Internet網(wǎng)絡上發(fā)布到達該網(wǎng)段的正確路由信息。l 每個ISP分配給內(nèi)部網(wǎng)絡不同的地

6、址段。這種方式下，內(nèi)部網(wǎng)絡要同時使用兩個地址段的IP地址。以上的兩種方式都會面臨一定的挑戰(zhàn)。對第一種方式來說，兩個ISP之間必須相互配合協(xié)作，來在Internet網(wǎng)絡上發(fā)布到達該網(wǎng)段的正確路由信息，并且還要保證兩條鏈路的雙向同時使用。尤其對于流入流量來說，如果不能保證鏈路的同時使用，多宿主解決方案的部分優(yōu)點就無法實現(xiàn)。對于第二種方式（目前使用較多的解決方式），在這種方式下，內(nèi)部網(wǎng)絡同時使用兩個ISP提供的地址，一部分內(nèi)部用戶（A組）使用ISP1提供的地址，另一部分內(nèi)部用戶（B組）使用ISP2提供的地址。問題在于流出的流量處理，當ISP1的鏈路中斷時，A組的用戶將無法接入Internet。更進一

7、步，如果指使用B組的地址，則ISP2的鏈路無法用于流入的流量，因為Internet上只有ISP1是流入該網(wǎng)絡的唯一路徑。例如，如果網(wǎng)絡中有一個WEB服務器提供Internet用戶訪問，如何注冊該服務器的地址？如果只使用一個ISP的地址，則ISP鏈路中斷是，用戶將無法訪問該服務器。如果在DNS服務器上注冊兩個ISP提供的地址，則DNS服務器的宕機同樣會導致網(wǎng)絡服務的中斷。多宿主解決方案面臨的不僅僅是地址管理問題。如果采用BGP協(xié)議來處理該問題，則只能處理流入的流量，同時無法動態(tài)處理，并且管理維護費用高昂。除去以上的問題，多宿主網(wǎng)絡的一些優(yōu)勢還沒有完全實現(xiàn)，例如：l 現(xiàn)在的一些多宿主網(wǎng)絡解決方案僅

8、僅是“共享”式，而不是真正的負載均衡。l 沒有就近性的路徑判斷。l 對流入的流量沒有很好的解決方案。目前，面對以上的問題，有的用戶和廠商采用了BGP協(xié)議的解決方案。這種解決方案使用BGP 作為路由器之間進行可用性和可達性通信的機制。管理員的某些職責就是對流入到路由中的流量進行監(jiān)視，然后重新分配負載以保護路由器，使它們不會超負荷工作，同時為用戶提供最快速的服務。從IT管理方面來看，管理員的許多任務必須在網(wǎng)絡上執(zhí)行，有些任務比較復雜，而其它一些任務則非常耗時。一項相當乏味、但需要熟練掌握BGP 知識的工作便是按照當前和過去的鏈路負載狀況人工對流量進行重新分配。即使這樣，當出現(xiàn)問題時管理員也不可能隨

9、時作出響應并準確解決出現(xiàn)的問題。此外，就流量負載均衡而言，BGP 還是有一些局限性。BGP 作為一項路由協(xié)議，它通常會將多個路徑中的一個路徑定義為Internet 的最佳路徑，將所有的流量都通過此路徑發(fā)送。對于流入的流量，路由器會將其發(fā)布到鏈路另一端的網(wǎng)關路由器。于是流量分配將不受路由器的控制，它完全依靠外部BGP 發(fā)布，流量很可能會從某個單鏈路中返回。目前對此的人工解決方案是將內(nèi)部網(wǎng)絡分成子網(wǎng)，分別將子網(wǎng)發(fā)布到BGP 鄰居。日期2001年9月13日- 3 -這是一項人工操作，需要熟練掌握BGP 專業(yè)技術。BGP 受到鏈路中有關網(wǎng)絡阻塞和網(wǎng)絡性能方面知識的限制，并且當網(wǎng)絡狀態(tài)不穩(wěn)定時，它不能動

10、態(tài)調(diào)整配置。因此我們面臨的挑戰(zhàn)將是完成確定的人工任務，如更新BGP 路由表，這是一項重復性的工作并且非常耗時，我們需要自動處理這項任務來降低管理的開銷。這樣做可以讓管理員將精力放在更加重要的問題上面，并且使他能夠有效地利用自己的時間。另外一個挑戰(zhàn)就是根據(jù)歷史統(tǒng)計資料和實時負載來優(yōu)化鏈路的使用。這項挑戰(zhàn)就是要實時處理此任務，而且無需人工干預。BGP 的局限性就負載均衡流量而言，BGP 還是有一些局限性。BGP 作為一項路由協(xié)議，它通常會將多個路徑中的一個路徑定義為Internet 的最佳路徑，所有的流量都通過此路徑送出。對于流入的流量，路由器會將其發(fā)布到鏈路另一端的網(wǎng)關路由器。流量分配由外部BG

11、P 發(fā)布決定而不是由路由器來決定。目前對此的人工解決方案是將內(nèi)部網(wǎng)絡分成子網(wǎng)，又稱為CIDR 塊，將子網(wǎng)發(fā)布到BGP peer 或BGP 鄰居。這種人工操作要求管理員對流入到路由器中的流量進行監(jiān)視并且全天不停的修改配置。BGP 的一個局限是這些修改是根據(jù)估計進行的，而不是根據(jù)實時負載進行的。BGP 對鏈路中有關網(wǎng)絡阻塞和網(wǎng)絡性能方面的知識也有一定的局限。當網(wǎng)絡狀態(tài)不穩(wěn)定時，BGP 不能動態(tài)重新調(diào)整配置。BGP 能夠提供靜態(tài)負載共享，但是不能提供真正的網(wǎng)絡動態(tài)負載均衡。此外BGP 不能對流出的流量實施負載均衡，它只能針對流入的流量。雖然BGP 有這么多的局限性但它是一種非常流行的路由協(xié)議，而且是

12、目前世界上大多數(shù)路由器實際使用的標準。針對以上的問題和挑戰(zhàn)，Radware提出了LinkProof和Peer Director解決方案。LinkProof采用Smart NAT技術，消除了多宿主網(wǎng)絡設計中固有的復雜性，提供了一個易于管理、智能優(yōu)化和利用所有Internet鏈路的解決方案。Peer Director針對不使用網(wǎng)絡地址轉(zhuǎn)換(NAT) 的網(wǎng)絡環(huán)境， 對流入的流量進行檢查，測定每個CIDR 使用的總流量并動態(tài)負載均衡不同鏈路之間的CIDR。 對于出口流量Peer Director 使用Radware 的就近性方案，并標記每個數(shù)據(jù)包的ToS 字段，以便向要使用的上行鏈路發(fā)出指令。最終實現(xiàn)

13、雙向的BGP路由的負載均衡。2 Radware LinkProof解決方案2.1 方案簡介LinkProof的多宿主解決方案具有以下功能和優(yōu)點：l 智能管理不同ISP提供的IP地址網(wǎng)段。l 保證優(yōu)化所有的ISP鏈路，即通過智能負載均衡所有通過可用鏈路的流量。l 使用Radware特有的就近性檢測算法來選擇用于輸出流量的最佳ISP。l 確保兩個ISP鏈路同時應用與所有的流入流量，保證Internet連接的暢通。l 使用Radware特有的就近性檢測算法來選擇用于流入流量的最佳ISP。2.2 方案實現(xiàn)說明圖二是一個典型的LinkProof解決方案的應用案例。圖中多宿主網(wǎng)絡通過ISP1和ISP2接入

14、Internet。每個ISP都分配給該網(wǎng)絡一個IP地址網(wǎng)段，假設ISP1分配的地址段為/24，ISP2分配的地址段為/24（此處的/24表示網(wǎng)絡IP地址式，子網(wǎng)掩碼為24位，即）。同樣，Internet知道通過ISP1訪問/24，通過ISP2訪問/24。網(wǎng)絡中的主機和服務器都屬于私有網(wǎng)段/24。LinkProof解決方案就是在內(nèi)部交換機和連接ISP的路由器之間，跨接一臺LinkProof智能交換機，所有的地址處理和Internet鏈路優(yōu)化全

15、部由LinkProof智能交換機來完成。如圖所示，LinkProof智能交換機的端口1上綁定IP地址/24，端口2上綁定IP地址/24，端口3上綁定IP地址/24。解決方案實現(xiàn)方式如下。2.2.1 流出（Outbound）流量處理LinkProof主要采用以下集中方式來處理流出流量。SmartNAT對于流出流量的智能地址管理，LinkProof使用了稱為SmartNAT的算法。當選定一個路由器（某一個ISP）傳送流出流量時，LinkProof將選擇該ISP提供的地址。在圖二中，如果LinkProof選擇ISP1作為流出流量的路徑，則它將

16、把內(nèi)部的主機地址192.168.1.A/24翻譯為100.1.1.A/24，并作為流出數(shù)據(jù)包的源地址。同樣，如果LinkProof選擇ISP2作為流出流量的路徑，則它將把內(nèi)部的主機地址192.168.1.A/24翻譯為200.1.1.A/24，并作為流出數(shù)據(jù)包的源地址。Content Routing為了優(yōu)化流出的流量，LinkProof還為流出的流量實施就近性運算。如果內(nèi)部主機要訪問某一Internet站點，可能通過一個ISP的路徑比通過其他ISP的路徑有效。因此，LinkProof可以提供就近性算法，為流出到某一個站點的流量選擇最佳的ISP路徑，保證所需內(nèi)容最快到達目的地，提高服務的品質(zhì)。L

17、inkProof考慮路由的跳數(shù)、路徑的延遲和負載狀況來進行對每個目的地的就近性運算，選擇最佳的流出流量傳輸路徑。2.2.2 流入（Inbound）流量處理LinkProof不僅需要管理流出的流量，還必須管理來自Internet的訪問，即流入（InBound）流量。假設圖二中的Server1是Web服務器，Internet主機名為，地址為私有IP：00/24。SmartNATSmartNAT功能和LinkProof上集成的DNS代理結合在一起，即能夠完成流入流量的負載均衡。圖三 如圖三所示，在DNS服務器上主則兩筆NS記錄，指向LinkProo

18、f：NS www.R NS www.R 而在LinkProof上設置URL與內(nèi)部主機地址的對應關系： 00而在LinkProof上設置靜態(tài)的地址翻譯：00 00 當有Internet用戶訪問是時，DNS服務器回應給用戶由LinkProof來完成最終地址解析。LinkProof根據(jù)具體設置來選定適當?shù)腎SP線路，如果選擇ISP1，則將地址解析為

19、。同樣，如果選擇ISP2，則將地址解析為。從而完成流入流量的負載均衡。就近性對于流入的流量，LinkProof使用與流出流量相同的就近性判斷機制。LinkProof考慮路由的跳數(shù)、路徑的延遲和負載狀況來進行對每個訪問發(fā)起點的就近性運算，選擇最佳的流入流量傳輸路徑，進行最終的解析地址。2.2.3 其它重要功能設置全路徑健康檢查LinkProof在多宿主網(wǎng)絡中的一個主要作用是檢測ISP鏈路的可用性，即健康狀況。而一條訪問鏈路的健康狀況不僅僅是由ISP的路由器的狀況決定的。因此，LinkProof提供了全路徑健康檢查的功能，最多能夠完成10跳路由健康的檢測，從而保證整條數(shù)據(jù)鏈路的通

20、常，提高服務質(zhì)量。故障恢復和預熱定時器如果ISP連接狀況不穩(wěn)定，則最好不要通過它發(fā)送任何流量，知道它在預定時間內(nèi)能夠維持穩(wěn)定。LinkProof提供故障恢復和預熱定時器，用戶可以自定義定時器的延遲時間，從而確保將會話定向到穩(wěn)定的ISP鏈路。一旦ISP恢復正常，LinkProof能逐漸增加發(fā)送到該ISP的流量。備份路由器可以在LinkProof上設置，如果其它ISP的鏈路沒有中斷，則不能使用某個ISP鏈路。3 Radware Peer Director解決方案3.1 方案簡介當網(wǎng)絡環(huán)境不允許和用戶不采用NAT技術來實現(xiàn)鏈路負載均衡是，Radware提供了另外一種世界領先的多宿主網(wǎng)絡解決方案：Pe

21、er Director。3.2 方案實現(xiàn)說明Peer Director 使用BGP 在多對等環(huán)境中引入了一種新的流量管理功能。對于入口流量管理，Peer Director 能夠動態(tài)更新路由器的BGP 配置，以確保每個可用鏈路處于最佳使用狀態(tài)并提供最好的服務。Peer Director 對流入的流量進行檢查，測定每個CIDR 使用的總流量并動態(tài)負載均衡不同鏈路之間的CIDR。 對于出口流量Peer Director 使用Radware 的就近性方案，并標記每個數(shù)據(jù)包的ToS 字段，以便向要使用的上行鏈路發(fā)出指令，實現(xiàn)鏈路的動態(tài)選擇。3.2.1 流出（Outbound）流量處理Peer Direc

22、tor 利用Radware 經(jīng)過驗證的就近性算法，高效率動態(tài)地計算每個目標的最佳鏈路。這種動態(tài)算法可優(yōu)化所有的可用鏈路，并為流出的流量提供最佳的服務。Peer Director 使用ToS 位來告訴路由器每個數(shù)據(jù)包應該使用哪個鏈路。服務類型(ToS) 在IP 報頭中是一個很小的位模式，主要用于通知每個數(shù)據(jù)包要求的服務級別。但ToS 字段還是IP 數(shù)據(jù)包中的一個標準字段，它還可以用于其它用途。Peer Director 將ToS 字段用作路由器的指示器用來指示數(shù)據(jù)包應該使用哪個鏈路。在這種方式下，應該使用基于Tos 的策略路由來配置路由器，以便與Peer Director 的配置保持一致。3.2

23、.2 流入（Inbound）流量處理流量負載是在鏈路之間進行均衡。Peer Director 收集每個CIDR 流入的流量信息，計算最佳的CIDR 分配方案，然后根據(jù)此分配方案更新路由器的BGP 配置。路由器會發(fā)布BGP 更新到它們的相鄰路由器，這樣會將此信息傳送到整個BGP 網(wǎng)絡，于是確保了流入到CIDR 中流量使用選定的鏈路。Peer Director 會不斷檢查流入的流量和每個CIDR 使用的總流量，此外Peer Director SNMP 會查詢路由器，以獲得上行鏈路接口上的負載狀況。只要Peer Director 檢測到其中一個鏈路已經(jīng)達到最大極限值的95%， Peer Direct

24、or 就會使用一種智能算法在鏈路中更加均勻地重新分配CIDR， 同時做出最少的改動以保持BGP 網(wǎng)絡的穩(wěn)定性。Peer Director 首先會重新分配CIDR 使相應鏈路中的CIDR 平均負載總和不超過負載極限的80%。如果由于總流量太大或者在CIDR 之間分配之后沒有成功，Peer Director會重新分配CIDR 使所有鏈路的負載都不超過88%（最大極限和負載極限的平均值）。如果所有鏈路的負載超過88% 則會向網(wǎng)絡管理員發(fā)出一個信息，通知管理員需要增加更多的帶寬。Peer Director 在prepend 命令后使用clear 命令來配置路由器，以便強制路由器將更新發(fā)布到它的鄰居。3

25、.2.3 時間段因為在每一天中的不同時間段，流量模式都是不同的。用戶可以配置一些時間段，這樣Peer Director 就會對BGP 網(wǎng)絡配置進行調(diào)整以適應不同的時間段。這樣做的目的是確保網(wǎng)絡可隨時處理各種可能的流量模式。例如，在每一天的早上進入CIDR 的流量大都來自商業(yè)客戶而在晚上大部分進入CIDR 的流量一般都來自私人用戶，在最初階段Peer Director 會收集在用戶所配置的時間段內(nèi)每個CIDR的相關信息。當一個新的時間段開始時，或者當最初的階段結束后，Peer Director 會根據(jù)每個CIDR 在前一天相應時間段的峰值負載統(tǒng)計信息，檢查是否需要在多個鏈路之間重新分配CIDR

26、塊。如果需要修改，Peer Director 會根據(jù)CIDR 塊新的分配方案來對訪問路由器進行配置。最終實現(xiàn)每個時間段的流量負載均衡，保證網(wǎng)絡的傳輸質(zhì)量。3.3 典型應用方案3.3.1 路徑外網(wǎng)絡路徑外配置意味著Peer Director 沒有被放置在流量線路中。網(wǎng)絡設計必須確保所有到達本地路由器的流量都被復制到Peer Director 中。例如上圖，在交換機或路由器上使用Copy Port或Mirroring。 Peer Director 配置路由器的BGP，并控制入口流量鏈路之間的負載均衡，出口流量由本地路由器從其它BGP Peer 接收到的BGP 信息來進行控制。3.3.2 路徑內(nèi)網(wǎng)絡

27、在路徑內(nèi)網(wǎng)絡配置中，Peer Director被連接在內(nèi)部網(wǎng)絡和本地路由器之間，可以同時實現(xiàn)流入和流出流量在不同鏈路之間的負載均衡。此配置使用與路徑外設計同樣的方法對入口流量進行負載均衡。Peer Director 使用每個CIDR 當前負載的有關聯(lián)機信息來優(yōu)化BGP 配置。通過使用Peer Director 的就近性機制，在路由器之間對出口流量進行負載均衡。這是通過使用ToS 來實現(xiàn)的，目的是區(qū)分流量的優(yōu)先次序。路由器會使用這些標記來確定使用哪個外部鏈路發(fā)送數(shù)據(jù)包。3.3.3 和LinkProof結合使用在這種解決方案中，Peer Director負責流入流量的處理，而LinkProof通過

28、Tos位修改來負責處理流出流量的處理。Peer Director采用路徑外連接方式，所有流經(jīng)交換機或路由器的流量被復制到Peer Director，Peer Director 使用每個CIDR 當前負載的有關聯(lián)機信息來優(yōu)化BGP 配置。由于流入的流量不經(jīng)過LinkProof，所以這種方式可以避免Peer Director和LinkProof成為網(wǎng)絡中的瓶頸。4 LinkProof/Peer Director提供的增值服務說明4.1 冗余配置LinkProof和Peer Director采用相同的冗余配置機制，在后續(xù)內(nèi)容中以LinkProof為例說明。由于服務的可靠性越來越成為因特網(wǎng)上的一個主要

29、問題，所以用戶越來越多地安裝像y應用交換機這樣的因特網(wǎng)通信量控制設備時考慮到冗余配置。在多宿主網(wǎng)絡中配置的LinkProof可以為網(wǎng)絡與Internet的連接提供冗余，同樣，LinkProof的功能即也把包括兩臺LinkProof的并行安裝，其中一臺時備用的。LinKProof使用Radware已被證明的冗余機制，其中設備的狀態(tài)監(jiān)視通過網(wǎng)絡來實現(xiàn)，從而禰補了設備故障和網(wǎng)絡故障。如果主LinkProof或其網(wǎng)絡連接之一發(fā)生故障，則備用LinkProof能夠非常容易的接管主LinkProof的工作。如圖四所示。在兩條鏈路正常的情況下，無論是InBound 還是OutBound 的流量， Activ

30、e LinkProof都可以采用Radware獨特的智能地址翻譯（Smart NAT）來實現(xiàn)負載的均衡，并且還可以使用Radware獨有Proximity算法為其選擇最“近”的路徑。在其中一條鏈路中斷的情況下，LinkProof同樣可以保證Inbound 和OutBound流量的暢通。Backup LinkProof利用ARP監(jiān)視Active linkProof的狀態(tài)，隨時準備接管它的一切功能。在Backup LinkProof 上啟動Session Mirror 功能， 實時的復制Active LinkProof上的連接信息，當檢查到Active LinkProof 上的連接出現(xiàn)問題時及時接

31、管，保證所有的網(wǎng)絡連接，并且不會造成鏈路負載均衡失效。在Active LinkProof上啟動端口連接綁定（Port Grouping），當Active LinkProof 上的網(wǎng)絡連接失效時主動切斷所有連接，保證Backup LinkProof在接管時的順利進行。在Backup LinkProof上啟動 virtual DNS功能，當Active LinkProof在失效時保證Inbound 的用戶的DNS詢問的正常工作。4.2 防火墻負載均衡Linkproof在完成Internet鏈路負載均衡的同時，如果與Radware的安全應用交換機結合使用，即可同時完成防火墻的負載均衡。如圖五所示，L

32、inkProof完成對兩條ISP鏈路的負載均衡，而FireProof對流出流量完成防火墻的負載均衡。兩臺設備結合，即可保證對話的保持，實現(xiàn)真正的Internet接入和防火墻的負載均衡。與LinkProof相似，Peer Director在完成BGP鏈路負載均衡的同時，可以對防火墻進行流量的管理。采用路徑內(nèi)的連接方式，Peer Director對流入和流出流量作重定向的管理。同時，Peer Director包含有FireProof的功能級，可以完成流入流量在多臺防火墻上的負載均衡處理。4.3 帶寬管理在帶寬管理方面，Radware的所有應用交換機的實現(xiàn)機制和配置方法相同。盡管帶寬管理的一般概念非

33、常簡單，但在實施方案中卻是非常復雜的。以下圖表描述了Radware 帶寬管理機制的組成部分和其所完成的任務：該系統(tǒng)包括三個主要的組件：分類器、排隊和調(diào)度器。數(shù)據(jù)包首先通過分類器流入系統(tǒng)。分類器的任務是決定如何處理數(shù)據(jù)包。一組綜合的用戶可配置策略組成的策略數(shù)據(jù)庫控制分類器如何識別每個數(shù)據(jù)包以及如何處理它們。當分類器收到數(shù)據(jù)包后，它可以執(zhí)行以下三項操作之一：l 丟棄數(shù)據(jù)包 這使分類器能夠提供非常強大的，粒狀數(shù)據(jù)包過濾機制。l 實時轉(zhuǎn)發(fā)數(shù)據(jù)包 這意味著數(shù)據(jù)包繞過整個帶寬管理系統(tǒng)并立即被此設備轉(zhuǎn)發(fā)，即使根本沒有啟用帶寬管理，最終的結果也是非常有效的。l 確定數(shù)據(jù)包的優(yōu)先級 這使此機制能夠提供真正的帶寬

34、管理服務。分類器如何處理數(shù)據(jù)包是由與數(shù)據(jù)包最匹配的策略所決定的。如果分類器確定了數(shù)據(jù)包的優(yōu)先級，它會將其放入排隊中，然后數(shù)據(jù)包就獲得了從0到7的優(yōu)先級，0的優(yōu)先級最高，7的優(yōu)先級最低。每個策略都有自己的排隊隊列。因此，排隊隊列的數(shù)量與策略數(shù)據(jù)庫中策略的數(shù)量相等，但每個排隊隊列都標記了一個優(yōu)先級（0到7共8個優(yōu)先級中的一個）。這表示可能有100個排隊隊列（如果有100個策略），每個排隊都有一個標記（從0到7）。最后，調(diào)度器從許多排隊中提出數(shù)據(jù)包并轉(zhuǎn)發(fā)它們。調(diào)度器通過兩種算法之一來進行操作：Cyclic 和CBQ （基于分類的排隊）。在Cyclic 算法中，調(diào)度器為每個優(yōu)先級賦予的優(yōu)先比率是與之緊

35、密相連的低優(yōu)先級的兩倍。換句話說，排隊0 的優(yōu)先級是排隊1 的兩倍，而排隊1 的優(yōu)先級是排隊2 的兩倍，依次類推。cyclic 算法的一般流程可以用以下數(shù)據(jù)包的順序表示：0,0,1,0,0,1,2,0,0,1,0,0,1,2,3, 等注意先轉(zhuǎn)發(fā)優(yōu)先級為0 的兩個數(shù)據(jù)，包然后再轉(zhuǎn)發(fā)優(yōu)先級為1的數(shù)據(jù)包；同樣，先轉(zhuǎn)發(fā)優(yōu)先級為1 的兩個數(shù)據(jù)包，然后再轉(zhuǎn)發(fā)優(yōu)先級為2的數(shù)據(jù)包等等。每個策略都有自己的排隊隊列，這意味著許多隊列的優(yōu)先級都可能是0 。調(diào)度器在轉(zhuǎn)發(fā)某個優(yōu)先級的數(shù)據(jù)包時，會系統(tǒng)地安排具有相同優(yōu)先級的排隊隊列。CBQ 算法與Cyclic 算法具有相同的數(shù)據(jù)包轉(zhuǎn)發(fā)模式，但具有一個明顯的不同點。CBQ

36、算法知道每個策略預定義的帶寬配置。每個策略都有自己的排隊隊列。在制定策略時，可以為策略分配最大的帶寬值(Kbps) （將在后面詳細討論）。如果調(diào)度器正在使用CBQ 算法，則會訪問每個排隊隊列以進行數(shù)據(jù)包轉(zhuǎn)發(fā)，并檢查有關策略的最大帶寬。如果轉(zhuǎn)發(fā)排隊隊列中的“此”數(shù)據(jù)包會超過此策略配置的帶寬，調(diào)度器將跳過此數(shù)據(jù)包，并從相同優(yōu)先級的另一個排隊隊列中選擇另一個數(shù)據(jù)包。這樣，分類器可以控制調(diào)度器以使一些應用程序不超過預先定義的帶寬限制。在此討論一下帶寬借用的概念。前面已經(jīng)討論過，如果調(diào)度器使用的是CBQ 算法，則它在考慮了排隊策略配置的最大帶寬后會轉(zhuǎn)發(fā)排隊隊列的數(shù)據(jù)包。如果啟用了借用功能，調(diào)度器在訪問某

37、個已超出其帶寬的排隊時（或者將要超出），將看看其它策略的帶寬是否有“剩余”。如果找到這樣的策略，將從此策略借用帶寬并將其分配給將要超出帶寬限制的策略。這樣如果排隊隊列已經(jīng)超出了其配置的帶寬限制，根據(jù)調(diào)度計劃就可以使用其它排隊隊列的可用帶寬。4.4 應用安全在應用安全方面，Radware的所有應用交換機的實現(xiàn)機制和配置方法相同。應用安全模塊可以保護web 服務器免受450 多個攻擊信號的攻擊。此模塊的設計使它可以作為服務器、防火墻、cache 服務器，或者路由器前面的另一道防線。它提供了基于網(wǎng)絡的安全性，并使用了網(wǎng)絡信息和基于信息的應用。通過終止所跟蹤的可疑會話來實時檢測和阻止攻擊。此模塊包含在

38、SynApps 架構中能夠處理Web 環(huán)境中的以下攻擊：l 拒絕服務(DOS) 攻擊l 分布式拒絕服務(DDOS)攻擊-l 緩沖區(qū)溢出/超限l 利用已知的Bugsl 利用誤配置和默認的安裝問題來進行攻擊l 在攻擊前探測流量l 未授權的網(wǎng)絡流量l 后門/特洛伊木馬l 端口掃描(Connect & Stealth)架構的優(yōu)點Radware 的解決方案具有幾大優(yōu)點：l 它是基于交換架構，而不是運行在一般H/W 上的S/W。 它不要求在任何服務器上安裝任何網(wǎng)絡代理 這樣易于管理和配置。 它可以與任何服務器H/W 和操作系統(tǒng)共同工作。 因為沒有代理，所以不會占用服務器的資源。 不要求代理報告的日常流量，

39、因此提高了整體的網(wǎng)絡性能。 高性能的應用安全模塊。 使用SNMP 進行安全的通信 通常SNMP 是不安全的，但這種新的架構應用了更復雜的安全版本的SNMP。 端口多路傳輸 服務器通常都使用相同的端口來發(fā)送數(shù)據(jù)，因此易于受到攻擊。而使用SynApps 架構時，輸入端口被映射到另一個可配置的輸出端口，每次使用不同的端口來掩飾此端口的能力可以防止服務器受到攻擊。 內(nèi)置的數(shù)據(jù)包過濾引擎 可以根據(jù)優(yōu)先權、IP 地址、內(nèi)容和其它用戶指定的參數(shù)轉(zhuǎn)發(fā)數(shù)據(jù)包。反掃描功能 應用安全模塊能夠檢測并防止 網(wǎng)絡掃描 例如Stealth Scanning 或者Connect Scanning。 Web 應用程序掃描- 可

40、以實時檢測并防止專門的TCP 連接TCP Syn 、TCP FIN 和TCP reverse IDENT 掃描方法。- 9 - 雙向檢查 流量受到雙向的監(jiān)視。搜索從外界流入的或者從內(nèi)部向外發(fā)出的數(shù)據(jù)包中的攻擊信息，它在防止流入通道上出現(xiàn)新的漏洞方面非常有用，并且對輸出通道進行檢測和保護。一些攻擊來自網(wǎng)絡內(nèi)部，因此這種功能也被用來防止來自網(wǎng)絡內(nèi)部的攻擊。 靈活的拓撲結構 因為此應用安全模塊被內(nèi)置在Radware 的設備中，所以它能夠支持交換的拓撲結構。另外，它不受網(wǎng)絡結構復雜性的影響，無論網(wǎng)絡有2 個分段還是有20 個分段，只需要使用單個設備來保護這些資源。5 設備管理簡介所有Radware應用

41、交換機的設備管理方式相同。下面以LinkProof為例作簡單說明。針對智能交換機LinkProof，網(wǎng)絡管理人員可利用如下方式對其進行管理：n SNMP網(wǎng)絡管理系統(tǒng)n Configwaren Configware Insiten 標準的網(wǎng)絡瀏覽器n 使用Telnet 命令n CLI 命令行控制方式(需要與LinkProof智能交換機通過控制臺接口直接連接)n SSH管理手段5.1 SNMP網(wǎng)絡管理系統(tǒng)Radware提供標準MIB庫和擴展MIB庫，這樣就可以通過標準的網(wǎng)管平臺來進行設備的管理，為了方便管理，Radware的Configware開發(fā)除了對應于HP OpenView的相應插件，可以在

42、HP OpenView上使用ConfigWare來對設備進行管理。以下是MIB庫中的一部分：RADWARE-MIB DEFINITIONS := BEGIN- Title: Radware common MIB- This Private MIB supports Radware products- Version: 3.0- Date: 2/4/2001- By: RMA (Radware MIB Authority)- E-mail: US: - International: support_-IMPORTS NetworkA

43、ddress, IpAddress, Counter, Gauge, enterprises FROM RFC1155-SMI OBJECT-TYPE FROM RFC-1212 DisplayString, PhysAddress, ipAddrEntry FROM RFC1213-MIB TRAP-TYPE FROM RFC-1215; TruthValue := INTEGER true (1), false (2) RowStatus := INTEGER active(1), notInService(2), notReady(3), createAndGo(4), createAn

44、dWait(5), destroy(6) NetNumber := OCTET STRING (SIZE(4)- Some MIB compilers require that the following 7 lines which define the path- to RND MIB are commented out:5.2 ConfigwareConfigWare是Radware開發(fā)出來的基于Java的管理軟件，通過ConfigWare可以為用戶提供圖形化的管理界面和輔助的向?qū)б约皫椭δ堋?.3 Configware InsiteConfigware Insite 是行業(yè)中第一個對網(wǎng)

45、絡中的應用交換設備進行控制和管理的站點管理工具。Configware Insite 是一套服務驅(qū)動的管理解決方案，它通過為所有 Radware 設備和應用服務的無縫管理提供統(tǒng)一的環(huán)境，來優(yōu)化業(yè)務性能和可用性。下一代解決方案的特點如趨勢分析和全面查看統(tǒng)計信息使網(wǎng)絡管理員能夠?qū)W(wǎng)絡資源進行監(jiān)視、管理和調(diào)整，從而優(yōu)化關鍵任務的企業(yè)服務。Configware Insite 針對所有服務提供了客戶定制的實時和歷史檢查功能。它簡化了趨勢分析，增強了對企業(yè)活動進行控制和監(jiān)視的能力。它收集到的統(tǒng)計信息能夠幫助操作人員識別網(wǎng)絡瓶頸，并在此瓶頸對最終用戶體驗產(chǎn)生影響之前采取相應的預防措施。Configware I

46、nsite提供了一套用戶自定義的綜合統(tǒng)計信息，包括每個設備的雙向流量、故障、瓶頸、資源管理和客戶信息等在內(nèi)的各種性能信息。通過收集每個應用的帶寬使用信息，系統(tǒng)管理員就可以獲得帶寬的實際使用情況?；诖诵畔?，就可以作出各種決策，如是否擴大鏈路容量、制定相應的帶寬策略或增加更多的服務器以更好地管理負載。透明的控制和趨勢分析能夠進一步節(jié)省網(wǎng)絡成本和人力資源。5.4 標準的網(wǎng)絡瀏覽器LinkProof智能交換機內(nèi)部支持基于 WEB界面 的管理，在任何一臺PC機上啟動網(wǎng)絡瀏覽器(Netscape 或者IE)，輸入LinkProof智能交換機的管理子網(wǎng)IP地址，就可以通過WEB界面對LinkProof智能

47、交換機進行所有其支持的功能的在線配置、實時觀察各種統(tǒng)計數(shù)據(jù)。如下圖所示：5.5 利用Telnet或CLI方式：Linkproof智能交換機支持菜單形式的命令行配置、管理方式。系統(tǒng)管理員可以通過Telnet的方式或者直接利用控制線纜連接到LinkProof智能交換機，對其進行配置、管理。如下所示：LinkProof Application Switch - with SynApps Ver. 3.51.01(build Jun 2 2002, 14:16:19)-Base MAC address: 00:03:b2:05:a8:40Network Driver Version: 4.3 (Apr

48、 7 2002)Starting network initialization.Packets region: start 0X, size 0XNon cacheable region: start 0X2A94000, size 0XF0000Write-back region: start 0X2B85FD8, size 0X19000Write-through region: start 0X, size 0XFound FastEthernet switch on link 0Found GigaEthernet switch on link 1Found GigaEthernet

49、switch on link 2BWM Version: 2.21.02Application Security Version: 1.11.01Health Monitoring Version 1.00.00.36Init completed successfully.27-01-1970 23:27:41 INFO Port F-1 Down27-01-1970 23:27:41 INFO Port F-2 Down27-01-1970 23:27:41 INFO Port F-3 Down27-01-1970 23:27:41 INFO Port F-4 Down27-01-1970

50、23:27:41 INFO Port F-5 Down27-01-1970 23:27:41 INFO Port F-6 Down27-01-1970 23:27:41 INFO Port F-7 Down27-01-1970 23:27:41 INFO Port F-8 Down27-01-1970 23:27:41 INFO Port G-1 Down27-01-1970 23:27:41 INFO Port G-2 Down27-01-1970 23:27:45 INFO Port F-1 Up27-01-1970 23:27:45 INFO Port F-2 Up27-01-1970

51、23:27:47 INFO NextHopRouter 194. 1. 1. 12 up27-01-1970 23:27:47 INFO NextHopRouter l 194. 1. 1. 13 up5.6 SSH管理手段為了增強安全，Radware的設備支持SSH訪問。6 產(chǎn)品說明6.1 SynApps簡介SynApps 架構由五部分組成: 狀態(tài)監(jiān)視 流量重定向 帶寬管理 應用安全 DoS攻擊防護在Radware 的產(chǎn)品（WSD、CSD、FireProof、LinkProof和Peer Director）中，SynApps 架構的加入會進一步體現(xiàn)這五個組件的優(yōu)勢。SynApps五個組件的設

52、計能夠滿足我們客戶的主要需求，以及流量管理有關的問題：1. 故障和停機時間2. 不可預測的流量模式3. 區(qū)別不同需求4. 安全危害功能和優(yōu)點下面以各種產(chǎn)品為例，對每個組件進行了說明，以便幫助您了解此項技術和其優(yōu)點。狀態(tài)監(jiān)視這種狀態(tài)監(jiān)視工具可以監(jiān)視各種資源的狀態(tài)。這些資源包括應用程序服務器、防火墻、cache服務器和路由器。如果在應用程序、硬件甚至是邏輯路徑中檢測到問題，則SynApps 會采取措施解決此問題并向系統(tǒng)管理員發(fā)出相應的警報。狀態(tài)監(jiān)視工具的類型：n 基于IP 監(jiān)視n IP 級檢查n 應用級檢查（TCP 和UDP）n 可以監(jiān)視服務器代理的MIB 變量以反映服務器的狀態(tài)。這樣就可以全面定

53、制狀態(tài)監(jiān)視。流量重定向 內(nèi)容路由(LinkProof)在管理聯(lián)網(wǎng)資源如防火墻和路由器時，流量重定向代表了不同的含義。重定向操作選擇的不僅僅是一個資源，而是通向Internet 的整個路由。Radware 的SynApps架構重定向模塊通過引入內(nèi)容路由將此功能作了進一步擴展。根據(jù)HTTP Get request的內(nèi)容對可選的路由進行測試從而，獲得最快的內(nèi)容提供路由，然后對流量進行重定向。帶寬管理BWM 提供了強大的分級引擎，可以按照源和目標IP 地址或者地址組，應用程序端口，內(nèi)容/URL 和cookies 對流量進行分級。這使用戶可以根據(jù)上述參數(shù)對流量類型進行區(qū)分，并確定如何恰當?shù)靥幚砹髁款愋汀?/p>

54、n 按照源和目標IP 地址和地址組、應用程序端口、內(nèi)容/URL 和cookies 制定的帶寬限制。n 根據(jù)源和目標IP 地址和地址組、應用程序端口、內(nèi)容/URL 和cookies 設置流量的優(yōu)先級。n 可以為每種流量指定優(yōu)先級和帶寬限制，以保證流量策略的正確執(zhí)行。n 允許按照內(nèi)容或者cookies 為用戶組提供區(qū)別服務。n 完全的Diff-Serv 支持，包括執(zhí)行指定的優(yōu)先級和指定新的Diff-Serv 優(yōu)先級。n 優(yōu)先級機制的內(nèi)置功能中支持實時流量，從而可以適用于應用程序，如VOIP 和流式應用。n 包括Weighted Round Robin 和Classed Based Queuing 的多種調(diào)度機制，確保提供靈活的可配置的和優(yōu)化的調(diào)度機制n 支持隨機丟棄 當排隊溢出時，此機制可以隨機丟棄低優(yōu)先級排隊中的數(shù)據(jù)包。IP保證重發(fā)丟棄的數(shù)據(jù)包。應用安全應用安全模塊可以保護web 服務器免受450 多個攻擊信號的攻擊。此模塊的設計使它可以作為Radware 設備管理的各種資源前面的另一道防線。這些資源包括服務器、防火墻、cache 服務器或者路由器。此模塊使用網(wǎng)絡信息和基于信息的應用。通過終止所跟蹤的可疑會話來實時檢測和阻止攻擊，在任何管理設備上都不需要使用軟件代理。架構的優(yōu)點Radware 的解決方案是第一個基于交換的應用安全解決方案，而不是運行在一