SANGFOR-AD-技术白皮书.doc

1、深信服应用交付产品技术白皮书深信服科技有限公司2013年 深信服应用交付产品技术白皮书 文档密级：公开版权声明深圳市深信服电子科技有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其它相关权利均属于深圳市深信服电子科技有限公司。未经深圳市深信服电子科技有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。免责条款本文档仅用于为最终用户提供信息，其内容如有更改，恕不另行通知。深圳市深信服电子科技有限公司

2、在编写本文档的时候已尽最大努力保证其内容准确可靠，但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。信息反馈如果您有任何宝贵意见，请反馈：信箱：广东省 深圳市 学苑大道1001号南山智园A1栋 邮编：518055电 话：0755-26581949传 真：0755-26581959您也可以访问深信服科技网站： 获得最新技术和产品信息缩写和约定英文缩写英文全称中文解释ACLAccess Control List访问控制列表ADCApplication Delivery Controller应用交付设备BRASBroadband Remote Access S

3、erver宽带接入服务器DNATDestination NAT目的地址NATDNSDomain Name Service域名服务DRDirect Route直达路由FTPFile Transfer Protocol文件传输协议HAHigh Availability高可用性HTTPHypertext Transfer Protocol超文本传输协议ICMPInternet Control Message Protocol因特网控制报文协议ISPInternet Service ProviderInternet服务提供商MACMedia Access Control介质访问控制NATNetwork

4、 Address Translation网络地址转换OSPFOpen Shortest Path First开放最短路径优先RADIUSRemote Authentication Dial In User Service远程用户拨号认证系统RIPRouting Information Protocol路由信息协议RTTRound Trip Time往返时间STPSpanning Tree Protocol生成树协议SNATSource NAT源地址NATSNMPSimple Network Management Protocol简单网络管理协议SOAService Oriented Archi

5、tecture面向服务架构SSLSecure Socket Layer安全套接层TCPTransmission Control Protocol传输控制协议UDPUser Datagram Protocol用户数据报协议URIUniform Resource Identifier统一资源标识符URLUniform Resource Locator统一资源定位符VLANVirtual Local Area Network虚拟局域网目录第1章应用交付，后负载均衡时代的选择11.1背景概述11.1.1负载均衡专注的领域11.1.2应用交付概念的诞生21.2快速、智能的应用交付网络2第2章深信服应用交

6、付解决方案32.1方案概述32.2概念介绍32.3多链路负载均衡42.3.1出站流量负载均衡42.3.2入站流量负载均衡62.3.3链路负载算法82.3.4链路健康检查92.4服务器负载均衡102.4.1NAT方式L4服务器负载均衡112.4.2DR方式L4服务器负载均衡122.4.3L7服务器负载均衡132.4.4服务器负载算法152.4.5会话保持机制172.4.6服务器健康检查222.4.7服务器平滑退出232.4.8服务器温暖上线232.5服务器性能优化242.5.1TCP连接复用242.5.2内存缓存252.5.3HTTP压缩262.5.4SSL卸载272.6全局负载均衡282.6.

7、1智能DNS方式多站点调度292.6.2IP-Anycast方式多站点调度302.6.3就近性判断机制322.6.4健康检查机制322.7设备部署与管理332.7.1路由模式332.7.2旁路模式342.8高可用性（HA）352.8.1主备模式35第3章应用交付特色技术363.1单边加速技术363.1.1应用背景363.1.2功能机制373.1.3应用说明393.2智能优化技术393.2.1DNS透明代理393.2.2链路繁忙控制403.2.3服务器弹性负载413.2.4智能路由423.2.5智能告警42第4章深信服科技简介43iv深信服科技版权所有 第1章 应用交付，后负载均衡时代的选择1.

8、1 背景概述传统的负载均衡技术为用户提供了一种性价比不错的方法，通过扩展网络设备和服务器的带宽及吞吐量，进而提升网络数据处理的稳定性。而应用交付与负载均衡相比，在强调稳定性的基础上，增加了智能和优化方面的功能特性，以帮助用户应对来自于复杂应用环境中部署并交付服务的挑战。通过合理地部署应用交付设备，用户不仅能进一步改善其业务应用的性能与安全性，更可提高数据中心的基础设施效率，乃至应对未来部署虚拟化数据中心的趋势。1.1.1 负载均衡专注的领域服务器负载均衡原先被创造出来用以解决网络方面的问题，例如将访问请求在一组负责特定Web应用交付的服务器之间进行分配。最初是通过简单的DNS轮询来实现的，但是

9、这种方法有其局限性。因此市场上出现了特定功能的负载均衡设备，通过分析入站的应用请求，将这些请求动态地映射到可用的服务器之上。为了应对用户日趋复杂的访问需求，负载均衡方面的革新一直在持续，最初是集中于入站方面的问题，例如动态识别服务器的工作负荷和故障，以及确保用户访问操作不会丢失的会话保持功能。然而，市场很快又发生了演变，并开始着眼于其他问题，诸如应用和服务器的效率方面，最佳的例子便是SSL卸载技术的采用。最后，关注点转移到了出站流量方面。市场上不断涌现出出一系列的技术和功能，用以改善通过网络交付业务应用的效率。创新点也从专注于基础设施效率的单纯网络技术，转移到了业务应用的性能优化和安全方面，而

10、负载均衡也开始从一个单纯的网络产品发展应用交付这样一个触及网络、服务器、业务应用乃至安全方面的全方位概念。1.1.2 应用交付概念的诞生先进的应用交付产品（ADC）能帮助用户缓解来自于当今复杂应用环境部署和交付的挑战。过去的十年，伴随着企业级应用以业务流程和用户生产力为目标，向基于浏览器模式的大量迁移，同时也见证了面向服务架构（SOA）、Web2.0和现今云计算模型被广泛采用。基于改善业务应用环境的理念，应用交付产品提供了一系列功能以应付复杂的网络环境。在业务持久性、终端用户访问体验、数据中心可用性等多个应用领域，均可通过部署应用交付产品予以优化。此外，应用交付产品能够帮助减少所需部署的服务器

11、数量，提供实时的控制机制助力于数据中心虚拟化，降低数据中心的供电和冷却方面的要求，使用户的业务更好地顺应紧凑、节能、环保的趋势。1.2 快速、智能的应用交付网络虽然应用交付产品能提供如此丰富的优化功能，可以改善用户的业务应用性能与安全性，但是国内用户在实际使用中还是以传统负载均衡的方面居多。然而在中国乃至整个亚洲市场，在线上业务和电子商务等方面都逐渐涌现出更复杂的应用交付需求，这对发布业务应用的服务商而言也意味着将面临更多的挑战。与欧美发达国家相比，国内在宽带普及率和线路质量等方面都还存在一定的差距，因此用户访问体验还存在很大的优化空间。换言之，应用交付层面的种种性能优化特性，在这种环境中会愈

12、加地凸显出来，甚至被一定程度地放大。应用交付技术发展至今已经十分成熟，各厂商的产品之间基本上都是大同小异，只是侧重点有所不同；有的走得是集中方案，有的强调整合，有的偏重于安全；而深信服致力于提供快速、智能的应用交付解决方案，在众多功能细节中都体现了深信服对于不同地域、不同用户群市场需求的深刻理解，旨在让客户能获得超出业界同类产品的投资回报，在改善用户访问体验的同时，提升自身的业务竞争力。第2章 深信服应用交付解决方案2.1 方案概述深信服AD产品作为专业的应用交付设备，能够为用户的应用发布提供包括多数据中心负载均衡、多链路负载均衡、服务器负载均衡的全方位解决方案。配合性能优化、单边加速以及多重

13、智能管理等技术，实现对各个数据中心、链路以及服务器状态的实时监控，同时根据预设规则将用户的访问请求分配给相应的数据中心、链路以及服务器，进而实现数据流的合理分配，使所有的数据中心、链路和服务器都得到充分的利用。不仅扩展应用系统的整体处理能力，提高其稳定性，更可切实改善用户的访问体验，降低组织的IT投资成本。2.2 概念介绍 负载均衡算法深信服AD设备根据设定的策略机制将来自业务访问的数据流量调度到不同的真实服务，例如对应服务器负载均衡中的服务器、链路负载均衡中的链路、以及全局负载均衡中的站点，用以调度的策略机制被通称为负载均衡算法。 健康检查深信服AD设备对服务器以及链路进行主动探测，依据不同

14、的健康性检测方法，可以判断服务器或链路的健康状况是否能正常提供服务。 就近性在多链路负载均衡的场景中，深信服AD设备通过访问端的地理位置，链路隶属的运营商，以及实时探测的链路健康状况等因素进行分析比对，并根据判断结果选择最优链路，保证数据流量经由最优链路来传输。 虚拟服务深信服AD设备对外发布的服务被称为虚拟服务。虚拟服务包含了服务类型（协议）、节点池（一台或多台服务器的IP地址和端口的集合）等配置属性。客户的访问请求通过网络到达深信服AD设备，并匹配到虚拟服务后，再由AD设备按照设定的负载均衡策略调度到真实服务器。 会话保持深信服AD设备提供有一种称为会话保持（Session Persist

15、ence）的机制，可以识别客户与服务器之间交互过程的关连性，在实现负载均衡的同时，还可保证一系列相关连的访问请求会保持分配到同一台服务器之上。在这种特定情况下，AD设备将放弃原有的负载均衡算法。 IP地址库深信服AD设备内置的IP地址库收录了不同运营商拥有的ISP地址段信息，以便链路负载均衡可以基于报文的源或目的IP地址查找IP地址库，并得到对应的运营商信息，再根据运营商信息为访问流量选择一条合适的ISP链路。2.3 多链路负载均衡深信服AD应用交付设备集合出入站智能DNS解析、轮询、加权轮询、静态就近性、动态就近性等算法，解决多链路网络环境中流量分担的问题，充分提高多链路的带宽利用率，节约企

16、事业单位对通信链路的投资；并且通过为用户分配最佳的通信线路，使用户获得绝佳的访问体验。此外，深信服AD应用交付设备还利用链路健康检查及会话保持技术，实现了在某条链路中断的情况下任然可以提供访问链接能力，充分利用了多条链路带来的可靠性保障，使对于用户的访问达到了最全面的支持。2.3.1 出站流量负载均衡内网的用户访问互联网访问资源时，深信服AD接收到用户的访问流量后，通过预先设定链路负载策略将用户访问流量分配到不同的互联网链路之上，实现出站流量负载均衡，提升互联网链路带宽利用率。1. 实现方式深信服AD接收到内网用户访问的流量以后，根据预先设定负载策略将访问电信的资源的出站流量分配到电信的链路之

17、上，并做源地址的NAT，（指定某一合法IP地址进行源地址的NAT，或者用AD设备的接口地址自动映射），保证数据包返回时能够正确接收；同理，其它的访问的流量会通过相应策略会被分配到其它的运营商链路之上。2. 工作流程出站流量负载均衡的工作流程如下图所示出站流量负载均衡的流程描述如下步骤说明1深信服AD设备收到来自内网用户的访问流量2深信服AD设备根据预先定义的负载均衡策略来选择出合适的出站链路3深信服AD设备按照链路选择的结果将流量分配给选定的出站链路，并做源地址的NAT4深信服AD设备收到从外网返回的应答流量5深信服AD设备将流量转发给内网用户2.3.2 入站流量负载均衡当外部用户访问内部资源

18、时，深信服AD通过智能DNS解析技术将一个域名绑定多个运营商的公网地址，负责解析来自不同运营商用户的域名解析请求；深信服AD根据不同负载均衡策略为不同运营商的用户返回最佳的访问地址，实现用户入站流量的负载均衡。1. 实现方式通过在域名注册提供商处修改域名NS记录，深信服AD设备获得域名解析权，深信服实现一个域名绑定多个运营商的公网地址，负责解析来自多个运营商用户的域名解析请求。根据实现设定负载策略可以实现，如电信的用户通过电信的线路访问内部资源，联通的用户通过联通的线路访问内部资源；深信服AD还可以通过两条链路做反向查询，根据RTT时间判断链路的好坏，并且综合以上两个参数返回相应的IP地址。2

19、. 工作流程入站流量负载均衡的工作流程如下图所示入站流量负载均衡的流程描述如下步骤说明1外网用户的访问客户端向其本地DNS服务器发出域名解析请求2本地DNS服务器首先在本地搜索是否有相应的记录，如果没有就向根DNS服务器发起查询3根DNS服务器反馈本地DNS服务器，告知域名解析权授予深信服 AD设备4本地DNS服务器会再次向深信服AD设备发出域名解析请求5深信服AD设备先判断链路的健康状况，再根据预先定义的负载均衡算法来选择出合适的IP地址作为域名解析结果6深信服AD设备将域名解析结果反馈给本地DNS服务器7本地DNS服务器将得到的域名解析结果转发给客户端8客户端根据得到的IP地址发起连接请求

20、，对内网服务器进行访问2.3.3 链路负载算法深信服AD设备支持如下算法，管理员能够根据自身需求选择相应的链路分配策略，支持更多个性化的链路使用规则。1. 轮询（Round Robin）实现机制将所有网络链路放在一个队列当中，按顺序依次返回给用户队列中下一个网络链路的IP地址。适用场景拥有多条同一运营商的互联网链路，各条链路的带宽也相近。2. 加权轮询（Weighted Round Robin）实现机制由于各条互联网链路的吞吐量可能不一，因此可以为各条链路分配不同的加权值。根据这个比例，把数据用户请求轮询分配到每条链路。适用场景拥有多条同一运营商的互联网链路，但各条链路的带宽存在差异。3. 加

21、权最少连接（Weighted Least Connection）实现机制根据事先为各条链路设定的权值，在调度新连接时尽可能地使各链路的已建立连接数和其权值成比例，把新的连接请求分配到当前比例最小的链路上。适用场景各条链路的带宽存在差异，并且不同用户发起的连接保存时长差异较大。4. 加权最小流量（Weighted Least Traffic）实现机制根据事先为各条链路设定的权值，在调度新连接时尽可能的使各条链路的实时流量与权值成比例，把新的连接请求分配到当前比例最小的链路上。适用场景拥有多条互联网链路，并且各链路之间的带宽差异较大。5. 静态就近性（Static Proximity）实现机制按照

22、预先为某个目标定义的静态最佳路径来选择链路，或者根据设备内置的全球IP地址库来判断目标IP属于哪个互联网运营商，进而选择相应的ISP链路。适用场景拥有多条不同运营商的互联网链路，业务流量多为入站访问流量。6. 动态就近性（Dynamic Proximity）实现机制在选择链路时，通过综合考虑数据传输的延迟和链路的实时负载，准确计算出最佳路径。适用场景拥有多条不同运营商的互联网链路，业务流量多为出站访问流量。7. 带宽比例（Bandwidth Ratio）实现机制由于各条互联网链路的吞吐量可能不一，因此将为各条链路的带宽大小作为权值；根据这个比例（每条链路带宽大小的比值），把数据流量分配到每条链

23、路上。适用场景拥有多条同一运营商的互联网链路，但链路之间的带宽差异较大。8. 哈希（Hashing）实现机制基于LOCAL DNS IP地址的哈希算法，将不同的用户访问调度到不同的链路之上。适用场景拥有多条互联网链路，需要保证来自同一个用户的请求分发到同一条链路。9. 主备（Primary / Secondary）实现机制即可以为网络设定主备链路，当主链路出现故障时，用户的访问请求才会被调度备用链路之上适用场景拥有多条互联网链路，对业务访问的持久性要求较高。10. 首个有效（First Available）实现机制即将用户的请求全部都调度第一条有效无故障的链路之上适用场景拥有多条互联网链路，对

24、业务访问的响应时延比较敏感。2.3.4 链路健康检查深信服AD通过多个Internet站点的可达性，来共同判断一条链路的状况。例如，通过电信线路检查、以及的TCP 80端口，并对检查结果做“或”运算。如此，只要其中一个站点可达，即可表明链路状态良好。该方法即避免了ICMP检查的局限性，也避免了单一站点检查带来的单点失误。2.4 服务器负载均衡运用多台服务器集群的机制，深信服AD应用交付设备能将所有真实服务器配置成虚拟服务来实现负载均衡，对外直接发布一个虚拟服务IP。当用户请求到达应用交付设备的时候，根据预先设定的基于多重四、七层负载均衡算法的调度策略，能够合理的将每个连接快速的分配到相应的服务

25、器，从而合理利用服务器资源。不仅在减少硬件投资成本情况下解决单台服务器性能瓶颈，同时方便后续扩容，为大并发访问量的系统提供性能保障。通过对服务器健康状况的全面监控，深信服AD应用交付设备能实时地发现故障服务器，并及时将用户的访问请求切换到其他正常服务器之上，实现多台服务器之间冗余。从而保证关键应用系统的稳定性，不会由于某台服务器故障，造成应用系统的局部访问中断。近年来随着IPv4地址的逐渐枯竭，以及IPv6对安全性和可靠性的增强，很多用户的网络正在逐渐向IPv6过渡。为了适应这种趋势，深信服AD应用交付设备不仅能对IPv4协议的应用系统进行负载均衡，也同样支持基于IPv6 协议的L4/L7服务

26、器负载均衡，以实现用户对IPv6服务的发布。2.4.1 NAT方式L4服务器负载均衡1. 实现方式深信服AD设备支持基于 IP 地址、应用类型和内容等因素实现流量负载。通过这种方式管理员可以为不同类型的应用类型分配不同的服务器资源。应用类型调度支持基于不同协议上的多种应用，包括 TCP、UDP、IP、DNS、E-mail、FTP、HTTP、RADIUS等等。在实现L4服务器负载均衡的场景中， AD设备负责将客户端的请求转发给服务器，然后客户端与服务器之间建立TCP连接，此时AD设备所扮演的角色类似于一台路由器。在NAT方式下，AD设备调度访问请求时，先进行目的IP地址转换，再将访问请求转发给后

27、端的每台服务器。2. 工作流程NAT方式L4服务器负载均衡的工作流程如下图所示NAT方式L4服务器负载均衡的流程描述如下 步骤说明1客户端发送服务访问请求，此时的源IP为客户端 IP、目的IP为虚拟服务IP2深信服AD设备接收到访问请求后，根据预先定义的负载均衡调度算法判断出应该将访问请求分发给哪台服务器3深信服AD设备使用DNAT技术分发访问数据，此时的源IP为客户端 IP、目的IP为服务器 IP4服务器处理接收到的访问请求，并回复响应数据，此时的源IP为服务器 IP、目的IP为客户端 IP5深信服AD设备接收响应数据，转换源IP后再转发给客户端，此时的源IP为虚拟服务IP、目的IP为客户端

28、 IP2.4.2 DR方式L4服务器负载均衡1. 实现方式DR方式又称为三角传输模式，在该模式下实现服务器负载均衡，需要后台服务器在环回接口上配置虚拟服务IP。AD设备在分发访问请求时不改变目的IP地址，而是将目的MAC替换为服务器的MAC后，再将访问请求转发给后端的服务器，服务器的回复会直接通过交换机返回给用户。由于服务器的响应回复无需经过AD设备转发，从而减少了AD设备的吞吐压力，有效的避免了整个业务系统的性能瓶颈。2. 工作流程DR方式L4服务器负载均衡的工作流程如下图所示DR方式L4服务器负载均衡的流程描述如下 步骤说明1客户端发送服务访问请求，此时的源IP为客户端 IP、目的IP为虚

29、拟服务IP2交换机将访问请求转发给深信服AD设备3深信服AD设备接收到访问请求后，根据预先定义的负载均衡调度算法判断出应该将访问请求分发给哪台服务器4深信服AD设备向服务器分发访问数据，此时的源IP为客户端 IP、目的IP为虚拟服务 IP，目的MAC为服务器MAC5服务器处理接收到的访问请求，并回复响应数据，此时的源IP为虚拟服务 IP、目的IP为客户端 IP6交换机接收响应数据，直接转发给客户端2.4.3 L7服务器负载均衡1. 实现方式基于七层内容的调度机制，使得管理员可以通过应用层的内容交换来分配服务器资源，以实现用户请求调度的多元化和个性化，业务应用的场景十分广泛。例如，基于URI、H

30、OST、COOKIE、USER_AGENT等HTTP头部内容的匹配策略来选择服务器，或者通过对HTTP头部进行请求改写和应答改写，执行页面跳转和丢弃等操作，实现不同业务系统之间的交互联动。在L7服务器负载均衡的场景中，AD设备先与客户端建立TCP连接，获取到访问请求的报文之后，再根据报文中所带的应用层内容来选择合适的服务器并与之建立TCP连接，此时AD设备所扮演的角色类似于一台代理服务器。2. 工作流程L7服务器负载均衡的工作流程如下图所示L7服务器负载均衡的流程描述如下 步骤说明1客户端向深信服AD设备发起TCP连接请求，此时的源IP为客户端 IP、目的IP为虚拟服务IP2客户端与深信服AD

31、设备之间建立TCP连接3客户端发送服务访问请求，此时的源IP为客户端 IP、目的IP为虚拟服务IP4深信服AD设备收到访问请求后，匹配虚拟服务调度策略，并负载均衡调度算法判断出应该将访问请求分发给哪台服务器，同时缓存该访问请求的数据5深信服AD设备向服务器发起TCP连接请求，其SYN序列号为客户端的SYN序列号，此时的源IP为客户端 IP、目的IP为服务器IP6深信服AD设备与服务器之间建立TCP连接7深信服AD设备修改缓存的访问请求数据中的目的IP和TCP序列号，然后发送给服务器8服务器处理接收到的访问请求，并回复响应数据，此时的源IP为服务器IP、目的IP为客户端IP9深信服AD设备修改响

32、应数据的源IP和TCP序列号，然后转发给客户端，此时的源IP为虚拟服务IP、目的IP为客户端IP2.4.4 服务器负载算法深信服AD设备支持多重负载均衡算法将所有流量均衡的分配到各个服务器，不仅充分利用所有的服务器资源，而且各个服务器均衡的承担流量处理任务，从而有效地避免服务器处理任务“不平衡”现象的发生。1. 轮询（Round Robin）实现机制按照请求的先后顺序将用户请求循环地分配到每台服务器。一旦某台服务器出现故障将不在为其分配任务，直至服务器恢复正常。适用场景服务器集群中各台服务器的性能相当。2. 加权轮询（Weighted Round Robin）实现机制由于集群中混用了不同规格服

33、务器，因此可以针对各个服务器的处理性能来分配不同的加权值。根据这个比例，把用户的请求分配到每个服务器。适用场景服务器集群中各台服务器的性能差异较大。3. 加权最少连接（Weighted Least Connection）实现机制根据事先为各服务器设定的权值，在调度新连接时尽可能的使服务器的已建立连接数和其权值成比例，AD把新的连接请求分配到当前比例最小的服务器上。适用场景各台服务器的性能存在差异，并且不同用户发起的连接保存时长差异较大。4. 最快响应（Fast Response）实现机制按照响应时间大小对服务器重新分配权值，响应时间小的服务器权值大，响应时间大的服务器权值小，从而响应时间小的服

34、务器获得更多的连接请求，但又照顾一部分响应时间大的服务器，避免负载倾斜。适用场景服务器集群的拓扑分散，访问用户需要就近选择服务器。5. 动态反馈（Dynamic Feedback）实现机制通过检测服务器的CPU、I/O、Memory等影响业务的多个因素来确定负载均衡的标准，进而动态调整各台服务器的权值，在调度新连接时选择最合适的服务器。适用场景服务器集群中每台服务器的处理能力、访问业务存在差异，并且不易确定服务器之间的权值比。6. 哈希（Hashing）实现机制基于URI、 HOST、SRC_IP、IPPORT的哈希算法，将包含不同元素的用户访问尽可能地平均调度到服务器集群中的各台服务器上。适

35、用场景需要将包含相同元素的业务访问调度到同一台服务器。7. 优先级（Priority）实现机制将服务器按优先级分组，优先调度优先级高的，只有优先级高的服务器发生故障，才调度优先级低的服务器。适用场景服务器集群中各台服务器的性能、稳定性等因素存在差异。8. 强行负载（UDP）实现机制对每个请求包做负载均衡，使得每台服务器收到的请求数量相当。适用场景诸如RADIUS、DNS等UDP协议的应用, 用户发起的会话是一个请求包加一个应答包完成。2.4.5 会话保持机制通过深信服AD设备的会话保持技术，可以为访问用户选择曾连接上的特定服务器，实现无缝地处理用户请求；另一方面可以减少新建连接的数量，有助于减

36、小负载均衡设备的系统开销。 基于Source IP的会话保持机制也被称为基于简单会话保持，是指深信服AD设备在作负载均衡时是根据访问请求的源地址作为判断关联会话的依据，对来自同一IP地址的所有访问请求在做负载均时都会被保持到一台服务器上去。另外一个很重要的参数就是连接超时值，AD设备会为每一个进行会话保持的会话设定一个时间值，从一个会话上一次完成到这个会话下次再来之前的间隔如果小于这个超时值，AD设备会将新的连接进行会话保持，但如果这个间隔大于该超时值，AD会将新来的连接认为是新的会话然后进行负载均衡调度，其原理如下图所示： 基于Cookie Insert的会话保持机制也被称为插入式Cooki

37、e会话保持，其原理是利用Cookie持续性，通过在客户端存储的Cookie信息来作为访问请求的调度依据。对于用户发起的HTTP请求，深信服AD设备会在转发服务器回复时插入用于识别的特殊Cookie，待用户下次访问时便可将带有相同Cookie信息的请求始终调度到同一台服务器，以实现会话保持的效果，其原理如下图所示： 基于Cookie Passive的会话保持机制也被称为被动式Cookie会话保持，实现机制与Cookie Insert类似，都是通过客户端存储的Cookie信息来作为访问请求的调度依据；不同的地方在于，对用户发起的HTTP请求，会由后台服务器在回复时就写入相应的Cookie，而深信服

38、AD设备在转发回复时则记录该Cookie信息，待用户下次访问时便可将带有相同Cookie信息的请求始终调度到同一台服务器，以实现会话保持的效果，其原理如下图所示： 基于Cookie Rewrite的会话保持机制也被称为改写式Cookie会话保持，常被用于认证系统与应用系统交互的业务场景中。用户在首次访问应用服务器的时候，会被重定向到认证服务器进行登录认证，AD设备在对多台认证服务器做负载均衡的同时，会在认证返回信息的Cookie中写入标识信息，以便于区分不同的认证服务器。应用服务器随后发起用户验证的时候，AD设备先根据标识信息辨认出用户先前登录的同一台认证服务器，并从Cookie中删除标识信息

39、后对其转发验证请求，以实现会话保持的效果，其原理如下图所示： 基于HTTP Header的会话保持机制某些HTTP应用不支持或者不完全支持Cookie会话保持，但是用户的会话信息是可以带在HTTP Header里面的，例如移动用户进行WAP浏览时，使用Call-ID来代表用户的手机号码。在此种情况下，深信服AD设备会记录HTTP Header的会话信息，待用户下次访问时便可将带有相同会话信息的请求始终调度到同一台服务器，以实现会话保持的效果，其原理如下图所示： 基于RADIUS的会话保持机制宽带用户的RADIUS请求通过BRAS（宽带接入服务器）发送到RADIUS服务器，AD设备在对RADIU

40、S服务器实现负载均衡的同时，也会通过RADIUS属性来维护会话的一致性。同一用户的认证会话使用相同的RADIUS服务器，以确保RADIUS认证、计费的统一，其原理如下图所示：2.4.6 服务器健康检查深信服AD设备支持包括基于硬件运行状况的主动检查，基于应用类型的主动检查，基于观测方式的被动检查，以及自定义的健康检查机制。 基于硬件运行状况的主动检查通过PING、SNMP等方式监控服务器的运行状况，一旦出现ping无回包、服务器资源消耗过高、死机等情况，都可以实时将访问请求分配到其他正常的服务器之上。 基于应用类型的主动检查深信服AD支持根据不同应用类型交互机制设定相应的健康检查机制，如HTT

41、P、FTP、E-mail、DNS、RADIUS等都可以通过相应的健康机制监控应用的运行状况，如果发现故障，用户即被透明地分配到其它正常工作的服务器上。 基于观测方式的被动检查根据观测到的服务器连接数，上下行数据报文等参数，判定服务器节点是否有效。例如，通过监控到业务流中的HTTP 403、404错误等内容，或者感知到大量的RST关闭连接、零窗口等异常TCP传输行为，判断出服务器已经失效，进而将用户的访问请求分配到其他有效的服务器之上。 自定义内容检查机制是通过预设自定义字符串，来判断服务器应用是否运行正常；如对某个应用用户通过预先设定该应用正常返回包中应该包含的字符串，深信服AD检验服务器返回

42、数据包内是否包含了该特定内容，如果没有包含该内容，就认定该服务器故障，将用户的访问请求分配到其他健康的服务器之上。2.4.7 服务器平滑退出当需要进行系统维护或者服务器升级时，通过服务器平滑退出机制，深信服AD设备能够保证服务器退出时不会造成用户的访问中断。一旦管理人员选定某台服务器要从服务器组内退出服务后，深信服AD设备将不会把新的用户分配到该服务器。当该服务器处理完当前用户的访问之后，就可以开始进行对服务器的相应管理和维护了。2.4.8 服务器温暖上线将新购置或维护后的服务器添加到服务器组时，深信服AD设备可以通过温暖上线方式，避免新服务器由于激增流量的冲击而导致系统故障，实现服务器的平滑

43、进入。当新服务器上线后，在其恢复时间内，AD设备不会向该服务器发送请求；而在随后的温暖时间以内，AD设备则会逐渐地增加分配到该服务器的请求，使新服务器的压力缓慢增加到稳定状态，从而保证服务器在启动期间以及应用程序初始化时都能提供不间断的服务。2.5 服务器性能优化信息化建设对各个组织机构而言都是一项长期的工作，硬件投资成本与性能回报是每个IT部门需要权衡的问题。有别于传统的负载均衡设备，深信服AD应用交付产品除了能实现服务器负载均衡机制，提高服务器资源的利用率之外，还支持TCP连接复用、内存缓存、HTTP压缩、SSL卸载等众多性能优化技术。通过减少服务器的硬件资源消耗，缩短服务器响应时间，在节

44、省了硬件投资成本的同时，有效地保障用户访问的速度和稳定性，进而提升用户的访问体验。2.5.1 TCP连接复用对于采用HTTP协议的应用系统，深信服AD设备可以将众多客户端访问请求捆绑处理，通过复用相对较少的服务器端TCP连接，将客户端请求依次转发到服务器，而不必通过一对一的方式将每一个客户端的HTTP请求通过专门建立的TCP连接转发到服务器。如此，在不需要改变任何网络构造也不需要增加组织的硬件投资成本的情况下，减少服务器的工作负荷，从而提高服务器的处理能力。深信服AD设备保持先前用户访问时与后台服务器之间建立的TCP连接，以供后续访问使用，如此便显著减少了后台服务器需要处理的用户端连接数(减少

45、量最高可以达到90%)，加快了客户端与后台服务器之间的连接处理速度，提高应用系统的处理能力，节省组织的硬件投资成本。2.5.2 内存缓存深信服AD设备基于内存的反向代理Cache功能，在内存中缓存网站等相关资源的页面内容；采用内存缓存和包存储结构的方式，通过动态调整缓存空间提供远比其它缓存产品更快速的响应速度。深信服AD设备缓存功能可降低用户访问对后台服务器的负载压力，在减少了后台服务器投资成本的同时，提高了系统的处理能力和用户的访问体验。2.5.3 HTTP压缩深信服AD设备的HTTP压缩功能，可通过标准的HTTP压缩规范自动识别客户端对gzip或deflate压缩算法的支持情况，并能够实现对数据动态压缩。深信服AD设备的压缩功不仅能在最大程度上节省组织的互联网带宽，缩短用户下载内容的等待时间，更减轻了Web服务器的压力，节省硬件投资成本，提升用户的访问体验。2.5.4 SSL卸载SSL卸载技术是通过将应用访问过程中SSL的加解密过程转到深信服AD设备之上，从而减少服务器端的性能压力，提升客户端的访问响应速度。深信服AD设备