收藏 分销(赏)

信安世纪NSAE全系列产品技术白皮书标准版V13.docx

上传人:pc****0 文档编号:8887843 上传时间:2025-03-06 格式:DOCX 页数:41 大小:396.86KB 下载积分:10 金币
下载 相关 举报
信安世纪NSAE全系列产品技术白皮书标准版V13.docx_第1页
第1页 / 共41页
信安世纪NSAE全系列产品技术白皮书标准版V13.docx_第2页
第2页 / 共41页


点击查看更多>>
资源描述
信安世纪应用安全网关 NSAE全系列产品 技术白皮书 信 安 世 纪 科 技 有 限 公 司 INFOSEC TECHNOLOGIES CO.,LTD 二零零八年 知识产权声明 本白皮书中的内容是信安世纪公司NSAE应用安全网关产品技术说明书。本材料的相关权利归信安世纪公司所有。白皮书中的任何部分未经本公司许可,不得转印、影印或复印及传播。 © 2007 信安世纪科技有限公司 All rights reserved. NSAE应用安全网关 产品技术白皮书 信安世纪科技有限公司 北京市西城区南礼士路二条甲1号月坛理想大厦6层 电话:(86-10) 6802 5518 传真:(86-10) 6802 5519 邮编:100045 网址: 电子信箱:support@ 目 录 前言……………………………………………………………………………………1 第1章 产品概述 1 1.1 公司介绍 1 1.2 产品体系介绍 3 1.3 产品背景 4 第2章 产品简介 6 2.1 产品型号 6 2.2 产品应用 9 第3章 产品功能 10 3.1 功能特性 10 3.1.1 应用加速(SSL加速) 10 3.1.2 服务器负载均衡(SLB) 13 3.1.3 链路负载均衡(LLB) 18 3.1.4 全局服务负载分担(GSLB) 21 3.1.5 其他功能 25 3.2 部署方式 29 3.3 产品优势 31 第4章 技术特性 34 4.1 产品特性 34 4.2 硬件特性 36 4.3 性能特性 37 第5章 总结 38 前 言 当前,无论在政府网、金融网、企业网、校园网还是在广域网如Internet上,业务量的发展都超出了过去最乐观的估计,用户大量的信息请求,不断更新的应用需求以及对业务不间断的持续访问,成为应用服务商解决互联网服务,获得用户认可的关键因素,即使按照当时最优条件配置建设的网络,面对不间断、快速的用户增长,服务器也会无法承担。原有链路也会因为用户量的不断增大导致用户访问速度过慢,链路拥塞,网络故障频繁,尤其是各个网络的核心部分,其数据流量和计算强度之大,使得单一设备根本无法承担,而如何在完成同样功能的多个链路及网络设备之间实现合理的业务量分配,使之不至于出现一台设备过忙、而别的设备却未充分发挥处理能力的情况,就成为信息提供商及应用服务商必须克服的问题,负载均衡机制也因此应运而生。 负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题,服务就近提供,实现地理位置无关性;多条链路接入,根据链路响应速度,提供最快的访问方式,针对故障链路进行智能自动切换,保证客户不间断访问;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失故障导致所有服务停止。 针对负载均衡的运行机制及应用策略方面,根据负载均衡的工作原理可以分为链路负载均衡、服务器负载均衡、广域网负载均衡三种负载均衡方式。三种负载均衡机制,根据用户针对不同环境及应用的负载均衡要求进行服务,满足用户对各个应用层面及网络层次的负载均衡需求。 总之,负载均衡是一种策略,它能让多条链路或多台服务器共同承担一些繁重的计算或I/O任务,从而以较低成本消除网络瓶颈,提高网络的灵活性和可用性。 针对当前形势,信安世纪公司分析各行业多种应用的请求,自主研发了适用于广域网、内部网、独立子网的负载均衡设备NSAE。解决客户针对链路、服务器、广域网负载均衡的各种需求。 信安世纪推出的NSAE系列产品,采取了ALL IN ONE的设计策略,把服务器负载均衡、链路负载均衡、广域网负载均衡三种产品集成在一个设备中。真正实现了链路、服务器、广域网负载均衡三种服务的无缝接入。在最低成本的控制下满足了客户多方面的应用需求。并且在无需改变现有网络的情况下,即可进行负载均衡设备的部署及升级,在应用及网络层次增加了客户系统的安全性及稳定性。 第1章 产品概述 1.1 公司介绍 信安世纪科技有限公司成立于1998年,是中国领先的应用安全产品和解决方案供应商,主要为金融、电信等行业和政府机构提供应用安全的产品、解决方案和服务。 信安世纪作为业内资深的应用安全厂商,有多年的应用安全领域的经验积累和强大的管理和研发团队,不仅有成熟的安全产品为客户提供方便、快速的安全实现;同时针对大量的应用安全需求,提供优质的咨询服务、客户化开发和安全系统维护监控服务。信安公司现有一支由应用安全领域专业开发人员和资深金融行业专家组成的强大的研发队伍,保证提供先进、可靠、高效的产品;另外还有专业、尽职的技术服务队伍,负责项目实施和售后技术服务,为客户提供专业的技术服务。 信安世纪迄今已经为包括中国工商银行总行、中国农业银行总行、中国交通银行总行、上海浦东发展银行、北京银行在内的二十多家银行提供了网上银行的通讯安全、交易安全保护;中国证券登记结算有限责任公司等金融机构建立了基于PKI体系的证书系统,为业务系统提供了身份认证、加密传输的安全保护;随着电子商务和电子政务的兴起,我公司为国家烟草总局、中国石油、鞍山钢铁公司、沈阳一汽财务公司、上海汽车集团、上海移动通信和首都钢铁集团等多家著名企业提供了保证资金结算、网上交易安全的解决方案。 信安世纪与众多著名企业、优质客户建立了长期、稳定的战略伙伴关系,在技术合作、市场推广和行业发展上开展了卓有成效的工作。在未来的发展中,公司将加强对客户需求的了解,为客户提供具有创新价值的应用解决方案,更好地为客户提供优质的服务;公司还将致力于与合作伙伴共同发展,加强新技术交流,促进应用安全行业的蓬勃发展。 在新产品NSAE的应用及实施方面,信安公司已经在北京银行、北京农村商业银行、华夏银行、中国烟草总局、中国石化、国家电网通过了严格的性能、压力及应用测试,设备测试结果达到了国际国内先进水平,完全满足客户的需求。并且成功的部署在多个行业各个应用服务,及核心生产环境中。完全解决了客户针对链路、服务器负载均衡方面的问题,全方面提高了客户的行业竞争力,以及生产环境设备及链路接入的稳定不间断运行。 1.2 产品体系介绍 信息安全是建立在网络安全之上,保证信息的安全。 在应用层的安全(简称应用安全)解决的是信息安全中的问题,特别是应用层安全系统与应用系统结合过程中遇到的安全问题。应用层安全主要包括ISO7498-2中提出的五大安全功能,即身份认证、访问控制、数据机密性、数据完整性和抗否认,以及安全审计和安全管理的内容。 根据五大安全功能的要求我们将产品归纳为三个体系: n 身份管理:NetCert(信安通)(CA、RA、OCSP、KMC)、NetPass(动态密码系统) n 访问安全:NetSafe(网安通)、LinkSafe(联安通)、NSAE(应用安全网关)、BiSafe(互联安)、NetGate(密安通) n 内容安全:NetSign(签安通)、DeskSafe(文安通)、TSA(时间戳服务) 1.3 产品背景 随着网络通信的发展,网络规模的不断扩大,以及数字接入专线价格的不断下调,客户对业务的需求也随着网络通信的不断发展变得更加多样化,对运营服务的要求也越来越严格,如何充分利用服务资源,平衡链路利用率,提高客户访问速度,确保客户的不间断访问以及链路服务的正常运转和切换,已经成为运营服务商提高服务,争取更多用户认可的首要难题。 目前用户普遍采用电信、网通两条链路接入,实现链路自动切换,为外网及内网用户提供7*24小时的不间断访问、当其中一条链路出现问题后,系统自动切换到正常的链路上工作,保证服务的不间断运行。由于多链路解决方案能够提供更好的可用性和带宽性能,它正在被越来越多的企业所采用。可用性的提高来自于多条链路的使用,而性能提高则是因为同时使用多条链路增加了带宽扩充了流量。多链路方案能够提高企业业务的可用性和性能,但这种方案也面临着特殊的问题和挑战。 在多链路环境的实际应用中,链路没有更好的进行负载分担。多链路网络解决方案仅仅是“共享”式,而不是真正的负载均衡;由于各个运营商之间存在互联互通的问题,没有实现根据网络就近性的路径判断;对流入的流量没有很好的解决根据网络的就近性来导向用户的访问请求。使外部的用户能最快的访问对外服务;对流出的流量无法解决自动选择最快链路,达要目标资源的访问策略;对于链路的健康状况也不能实时监测,也解决不了链路容灾,也就是当某一条链路出现故障后,将其流量导向另外链路的策略。所以基于以上的问题,链路负载均衡的解决方案成为众多服务商、以及多链路接入客户必须解决的问题。 在多服务器环境的实际应用中现有的服务器工作模式一般为Active/Standby,现有的这种架构导致了一台服务器总是处于待机状态,而另一台服务器则总是处于满负荷工作,负责了整个应用的处理及运算。这种模式的服务器架构必然导致了当现有用户量一旦超出单台服务器的运算能力的时候,整个服务器组会宕掉,用户面对这种情况的时候只有升级服务器才可以解决问题。但是持续的升级服务器导致了资金大量的浪费,及服务器资源的浪费。 服务器负载均衡机制可以简单的解决这种问题,当用户部署了服务器负载均衡后,所有后台服务器均处于Active状态,根据负载均衡定义的策略,保持服务器进行均衡的工作。提升了现有服务器70%的工作效率,避免了由于单台服务器出现故障导致的整个业务的终止,并且保证了当用户量持续上升时,无需再次升级服务器。 信安世纪服务器负载均衡还具有完善的健康检查功能,保证了每台服务器工作状态的正常,避免了由于服务器应用软件处于假死状态而导致服务器工作出现问题。针对后台服务状态类型,信安世纪负载均衡产品提供了最完善的健康检查策略保证了用户所有业务的正常工作状态。 第2章 产品简介 信安世纪应用安全网关系列产品(后简称为NSAE)是一款集成了SSL加速、负载均衡等多种功能于一体的新型应用前端加速负载均衡设备。 不同于以往单纯的负载均衡产品,NSAE不再局限于负载均衡应用,还具有SSL加速、链路负载均衡、广域网负载均衡、集群、应用安全防火墙、高速缓存、HTTP压缩等多种功能可以自由选择,充分考虑了用户的实际需求,可以极大的改善企业应用的可靠性、性能和安全性,同时降低了整体成本和数据中心的复杂度,提高了应用的处理能力,为用户提供了全新的易用、高效、稳定的保障信息安全的屏障。 2.1 产品型号 信安世纪NSAE系列产品采取了ALL IN ONE的设计理念,通过高度集成的模块化设计实现在单台设备中集成了链路负载均衡、服务器负载均衡、防火墙负载均衡、SSL加速、防火墙等功能,面对客户多层次应用的需求只需要增加相应的模块即可。 为满足不同规模用户的需求,我们根据产品功能分为链路负载均衡(NSAE-LT)、服务器负载均衡(NSAE-NL)、SSL应用安全网关(NSAE-NS)、服务器负载均衡&SSL应用安全网关(NSAE-NB)四种产品类型。 服务器负载均衡(NSAE-NL)型号列表 产品型号 范围 NSAE1000-NL 适用于用户数量不多、应用访问较少、负载增长量小的中小型应用,可以降低成本、提高可靠性。 NSAE2000-NL 适用于用户数量较多、应用访问量较大、负载增长量较快的中小型应用,可以降低成本、减小维护风险、提高应用可靠性、避免单台服务器故障。 NSAE10000-NL 适用于用户数量较多且访问量、负载增长较快的中型以上应用项目,可以满足今后应用扩展的需求,并提升性能。 NSAE20000-NL 适用于访问量以及负载量很大的大型应用,提高整个应用平台的处理能力,提供不中断的优质应用服务。 NSAE-NL产品型号表 链路负载均衡(NSAE-LT)型号列表 产品型号 范围 NSAE1000-LT 适用于用户数量不多、链路接入带宽小、应用访问较少的中小型应用,可以降低成本、提高可靠性。 NSAE2000-LT 适用于用户数量较多、链路接入带宽较大、应用访问量较大、访问业务增长较快的中小型应用,可以降低成本、减小维护风险、提高应用可靠性、避免单台服务器故障。 NSAE10000-LT 适用于用户数量较多、链路接入带宽非常大、访问量增长较快的中型以上应用项目,可以充分满足今后应用扩展的需求。 NSAE20000-LT 适用于访问量以及链路负载量很大的大型应用,提高整个应用平台的处理能力,为用户提供不间断链路服务。 NSAE-LT产品型号表 SSL应用安全网关(NSAE-NS)型号列表 产品型号 范围 NSAE1000-NS 适用于用户数量不多、应用访问较少的中小型应用,可以通过SSL加密技术提高现有业务的安全性。 NSAE2000-NS 适用于用户数量较多、应用访问量较大、访问业务增长较快的中小型应用,可以通过SSL加密技术提高现有业务的安全性。 NSAE10000-NS 适用于用户数量较多、访问量增长较快的中型以上应用项目,可以通过SSL加密技术提高现有业务的安全性。并且充分满足今后应用扩展的需求。 NSAE20000-NS 适用于用户群庞大、访问量很高的大型应用,可以通过SSL加密技术提高现有业务的安全性。 NSAE-NS产品型号表 负载均衡+SSL应用安全网关(NSAE-NB)型号列表 产品型号 范围 NSAE1000-NB 适用于用户数量不多、应用访问较少的中小型应用,为用户提供服务器负载均衡及应用安全网关功能。 NSAE2000-NB 适用于用户数量较多、应用访问量较大、访问业务增长较快的中小型应用为用户提供服务器负载均衡及应用安全网关功能。 NSAE10000-NB 适用于用户数量较多、访问量增长较快的中型以上应用项目为用户提供服务器负载均衡及应用安全网关功能。并且充分满足今后应用扩展的需求。 NSAE20000-NB 适用于用户群庞大、访问量很高的大型应用为用户提供服务器负载均衡及应用安全网关功能。 NSAE-NB产品型号表 2.2 产品应用 产品架构 同类产品往往由多个单一功能设备组成,数据传输延迟大、管理维护困难,用户往往为了实现一个简单的需求需要改变整个网络结构或需要购买其它的网络硬件产品。而NSAE则集多功能于一体,具备高性能、高可靠性,为客户节省大量的硬件、维护、设置、和人力方面的投入。 第3章 产品功能 3.1 功能特性 NSAE产品系列提供一个将诸多复杂Web设备化零为整的解决方案,可以完全解决客户系统存在的问题。它是一个真正的将众多重要的网络功能合为一体的集成化应用系统,这些网络功能包括服务器负载均衡(SLB),全局服务器负载均衡(GSLB),SSL加速, WebWall安全,链路负载平衡(LLB),HTTP压缩等。 3.1.1 应用加速(SSL加速) SSL(安全套接层协议)已经成为发送安全互联网通信的标准协议。它是一种对用户进行鉴权的公钥加密方案。首先,服务器向客户机发送承认其可靠性的认证;然后,使用共享密钥来对发送方与接收方之间的数据进行加密,例如,当发送方确认接收方正确无误时,会为数据包加上一个安全的“外壳”(加密),同时通过线缆传输此数据包。必须在目的地将此“外壳”去掉,才能使用该数据包信息。其它的步骤还包括:认证、加密和解密,这极大地增加了Web服务器的流量处理负担,NSAE内置SSL加速功能使问题迎刃而解。 3.1.1.1 SSL安全传输 n 信息加密,建立SSL安全传输信道 加密传输采用了高强度的加密算法对传输的数据内容进行保护,各种如业务账号和口令等敏感的信息被保护起来,杜绝了信息的泄露,同时对接受的数据是否在传输过程中被篡改进行精确检测,保证了接受数据的完整性,确保了所传输的信息不被中途窃取和篡改。对于没有合法身份的用户,其连接请求将被拒绝,NSAE只允许那些拥有合法数字证书的用户进行网络连接,充分保证用户身份的合法性,从而限制了非法用户对内网的访问。 n 支持4-7层应用加密传输信道 NSAE的SSL加速功能实现对HTTP应用进行安全加密,可以同时作为普 通资源和安全资源的代理服务器。此外还能够对TCP协议进行加密,实现TCPS协议下的安全数据传输,提供4-7层应用的加密功能,使客户端的内容由原来的明文传输变为SSL加密传输,大大增加了安全性。 n 端到端的安全数据转发服务,支持多种C/S应用模式 国内目前大多数的SSL安全代理服务器是针对B/S应用的,部署在需要保护的Web服务器前端,与浏览器建立SSL连接,并转发HTTP协议。NSAE支持客户端的C/S模式应用,并能够同时支持多种B/S和C/S模式的应用。 应用安全网关服务器监听局域网内的端口,为一个局域网端内服务,无需用户安装配置客户端软件,大大提高系统的易用性,减少部署和维护的难度。 n 多种后台传递用户信息的方式 以HTTP参数方式向Web服务器传送用户证书信息,例如证书中的主题、序列号等信息,这些HTTP参数以URL、属性、Cookie等多种形式传递到Web应用系统,应用可以根据这些信息进行进一步的管理操作。 n 资源访问权限控制 NSAE支持三种HTTP连接方式:HTTP连接、单向SSL连接(客户不需 要提供证书)和双向SSL连接。HTTP连接是透明信息传递、身份无法识别;单向SSL连接完成了加密信息的传递,保证了信息的保密性和完整性,但是客户身份无法确认;只有双向的SSL连接的安全性最高。不同的后台应用针对的用户群体不同,通常而言关键的安全应用只提供给有可信身份的用户,NSAE提供的资源访问权限控制功能可以将杜绝低安全性的连接访问该安全性的业务系统。 对Web资源的一般访问控制,基于ACL(访问控制表)方式,实现对认证用户和非认证用户的访问控制,支持以证书主题和时间等要素进行控制,并可以设定拒绝访问的级别。 n 灵活的证书验证机制 数字证书作为连接双方的电子身份证,保证了传输的可识别性,但是这并不意味着,拥有证书就拥有的所有的权利。对于每一个业务系统所要求的用户身份必须持有一张可以信任的有效证书,如何保证证书的有效性和合法性就要完成一系列的证书验证步骤。NSAE的证书验证体系可以确保非可信的证书认证中心(CA)颁发的证书、没有在有效使用期内的证书、已经作废或者注销的证书无法进行含身份确认的操作。 在证书的有效性验证时同时还进行了证书废弃列表(CRL)的验证,确保证书没有被作废或是注销,CRL文件由证书认证中心CA发布在目录服务器上或者是网络链接上。 n 过滤客户的无用证书 可将NSAE支持的CA证书信息自动发送至连接用户的客户端,在IE浏览 器中完成其它CA证书的过滤操作。这样用户在建立SSL连接的过程中避免选取NSAE不支持的CA证书。 3.1.1.2 SSL加速 NSAE的SSL加速技术不仅能提高服务器性能,同时大幅度缩短响应时间并增强客户交易流量管理。所有这一切都是从同一地点进行的,无需费钱费力地在每台服务器上安装额外的硬件或软件。 它与Infosec OS紧密结合,支持多种常用的SSL加密算法,保障端到端SSL加密的安全性,结合完整的证书管理特性,保证在进行安全交易和其他应用时,具有快速、可靠的连接,减轻服务器上处理器(CPU)密集型处理的负担,确保快速可靠的完成应用,大幅度缩短响应时间并提高了服务器的性能,增强了客户交易流量管理,以达到出众的SSL加速性能。 3.1.2 服务器负载均衡(SLB) NSAE提供真正面向应用层的HTTP、DNS、Radius、以及基于TCP/UDP等多种应用的负载均衡服务,通过定义灵活多样的负载均衡策略,依据丰富的服务器负载均衡算法(包括轮循算法、最少连接算法、最短响应时间算法、散列算法等),来实现真正的合理流量分配,充分保障了客户应用能够有效、持续的运行。 对于用户而言,访问时延和服务器的可靠性是非常重要的问题。而随着业务的增长,对拥有多台服务器的用户运营中心来说,不是全部服务器都发挥了其应有的效力。NSAE的负载均衡服务,使每台服务器的处理能力都能得到充分的发挥,可以实现如下的功能: n 提供真正面向应用层的WWW、DNS、FTP,以及基于固定端口的TCP/UDP等应用的负载均衡; n 无需改动网络拓扑结构,即可实现功能; n 功能强大,支持路由功能- 根据实际响应时间的负载平衡算法来实现真正的合理的流量分配。 3.1.2.1 工作模式 NSAE的服务器负载均衡可以以两种模式执行:Reverse Proxy Mode(反向代理模式)和Transparent Mode(透明模式)。 n Reverse Proxy Mode(反向代理模式) 使用NSAE的反向代理服务可以将请求转发给内部的服务器,让NSAE将请求均匀地转发给多台内部服务器之一上,从而达到负载均衡的目的。这种代理方式与普通的代理方式有所不同,标准代理方式是客户使用代理访问多个外部服务器,而这种代理方式是多个客户使用它访问内部服务器,因此也被称为反向代理模式。其传输流程如下所示: 反向代理模式的优点:可以采用One-armed的结构部署;可以通过连接池技术增强系统性能。   反向代理模式的局限性:服务器无法记录哪些IP的客户端曾进行访问。   解决办法::NSAE可以在用户的HTTP包头中加入X-Forwarded-For字段,用它记录客户端的IP地址。 n Transparent Mode(透明模式)   NSAE的透明模式是指NSAE在转发用户请求时,透明地将客户端的连接定向到特定的服务器上,即用户的源IP地址对服务器是透明的,服务器可以知道哪个客户对其进行了访问。其传输流程如下: 透明模式的优点:服务器可以记录哪些IP的客户端曾进行访问。   透明模式的局限性:   -结构/路由设计必须保障从源服务器端来的响应必须经过NSAE;   -One-armed的结构有可能不能实现;   -由于每个请求的源IP地址都不一样,因此无法利用连接池技术改善系统性能。 3.1.2.2 负载均衡算法 NSAE支持多种服务器负载均衡算法(持续性的和非持续性的),包括轮循算法、最少连接算法、响应时间算法、散列算法、最少连接失误算法,链路带宽算法等等。此外实际服务器可以被分配不同的加权值来调整被分配的流量。比如性能高的大型服务器可配置较大的加权值,而为性能较低的小型服务器设置较小的加权值。为了避免服务器因过载而崩溃,可为实际服务器指定最大连接阈值来避免该服务器过载。任何服务器可被指定为另一台服务器的备份服务器或溢出服务器,从而进一步保证了应用可用性。 n 非持续性算法(Non-Persistent):一个客户端的不同的请求可能被分配到一个实服务组中的不同的实服务器上进行处理。 ² 轮循算法(Round Robin):每一次来自网络的请求轮流分配给内部中的每台服务器,从1至N然后重新开始。此种均衡算法适合于服务器组中的所有服务器都有相同的软硬件配置并且平均服务请求相对均衡的情况; ² 最少连接算法(Least Connection):客户端的每一次请求服务在服务器停留的时间都可能会有较大的差异,随着工作时间的加长,如果采用简单的轮循或随机均衡算法,每一台服务器上的连接进程可能会产生极大的不同,这样的结果并不会达到真正的负载均衡。最少连接数均衡算法对内部中有负载的每一台服务器都有一个数据记录,记录的内容是当前该服务器正在处理的连接数量,当有新的服务连接请求时,将把当前请求分配给连接数最少的服务器,使均衡更加符合实际情况,负载更加均衡。此种均衡算法适合长时间处理的请求服务。 ² 响应速度算法(Response Time):负载均衡设备对内部各服务器发出一个探测请求(例如Ping),然后根据内部中各服务器对探测请求的最快响应时间来决定哪一台服务器来响应客户端的服务请求。此种均衡算法能较好地反映服务器的当前运行状态,但最快响应时间仅仅指的是负载均衡设备与服务器间的最快响应时间,而不是客户端与服务器间的最快响应时间。 n 持续性算法(Persistent):从一个特定的客户端发出的请求都被分配到一个实服务组中的同一个实服务器上进行处理。主要包括: ² 基于IP的算法 -Persistent IP (pi):基于用户IP地址来选择服务器。 -Hash IP (hi) :基于用户IP地址的HASH值,来选择服务器 -Consistent Hash IP (chi): ² 基于报头/请求的算法 -Hash Header (hh):基于用户请求报中HTTP报头来选择服务器; -Persistent Hostname (ph) :基于用户请求报中HTTP报头的Hostname的HASH值,来选择服务器; -Persistent URL (pu):基于对URI Tag 和值的静态对应关系来选择服务器。 -SSL Session ID (sslsid):基于SSL会话ID来选择服务器。 ² 基于Cookie的算法 -Persistent Cookie (pc) : 选择服务器基于用户请求包用Cookie Name / Value 的静态对应关系; -Hash Cookie (hc) :选择服务器基于用户请求包用Cookie Name / Value 的Hash 值对应关系; -Insert Cookie (ic) :选择服务器基于NSAE向服务器响应包中插入Cookie; -Re-write Cookie (rc):选择服务器基于NSAE向服务器响应包中重写Cookie值。(必须为重写指定Cookie值的偏移量) 3.1.2.3 负载均衡策略 NSAE 的负载均衡策略主要有:基础性策略、保持性策略、QOS策略。 n 基础性策略 -Static -Default -Backup n 保持性策略 -Persistent URL -Persistent Cookie -Rewrite Cookie -Insert Cookie -Header n QOS 策略 -QOS Cookie -QOS Hostname -QOS URL -QoS Network -Regular Expression -Header 3.1.2.4 负载均衡健康检查 NSAE通过对服务器的实时健康检查,保证数据流量会自动绕过故障服务器或不可用服务器。当NSAE的健康检测机制,检测到服务器重新恢复正常以后,将使该服务器可以自动回到服务器群之中,所有这些服务器故障的处理,对进行操作的用户是完全透明的。   NSAE对服务器的健康检查,可采用三种方式: n ICMP检查:利用ICMP可检查服务器的网络工作是否正常。 n TCP检查:NSAE可与服务器之间,利用服务器的服务端口建立TCP连接,检查服务器的服务是否正常。 n HTTP检查:NSAE采用HTTP的检查,来验证服务器提供的服务是否正常。 通过这三种机制,确保服务器为用户提供正确可靠的服务。用户再也不会 得到这样请求的响应 “404 Object Not Found”,或响应内容不正确。 3.1.3 链路负载均衡(LLB) 链路负载均衡可以解决多链路下流量分担的问题,为用户的多链路的网络应用提供了很好的解决方案。 通过NSAE的链路负载分担功能,能够对用户的多链路的网络应用提供基于Inbound和Outbound的链路负载分担功能,解决多链路下流量分担的问题,无法采用BGP的方式实现链路的自动切换,保持对终端用户的透明。 3.1.3.1 Inbound Inbound:从互联网通过多条专线链路连接的NSAE访问内网 当有Internet用户访问时,DNS服务器回应给用户由NSAE来完成最终地址解析,NSAE根据具体设置来选定适当的ISP线路,如果选择ISP1,则将地址解析为100.10.1.10。同样,如果选择ISP2,则将地址解析为200.20.1.10,从而完成流入流量的负载均衡。 采用SmartDNS时,LLB支持的负载均衡算法包括: ² Round Robin NSAE顺序的将多个ISP的IP地址作为每次用户解析请求的返回值。 ² Weighting Round Robbing NSAE为每个ISP的IP地址设定一个加权值,并根据加权值顺序的选 择多个ISP的IP地址作为每次用户解析请求的返回值,权值大的ISP 的IP地址被选择的次数多。通过此算法,企业可以在多条带宽不同的链 路间合理分配流量,带宽高的链路权值大,因此承载的流量就高。 ² Shortest Response Time 对于流入的流量,NSAE使用与流出流量相同的最短响应时间判断 机制,选择最佳的流入流量传输路径,进行最终的解析地址。 ² Source IP-Based Routing 根据企业网络的特点,NSAE还提供基于每个数据流的源IP地址 的路由选择算法。NSAE会检查每个用户解析请求的源IP地址是 否属于预先设定的一个地址范围,若是,则选择某一个ISP的IP地址 作为该次用户解析请求的返回值。通过此算法,企业可以设定源IP地址 属于教育网范围的,通过教育网的链路流入,其他流量则通过另一条链 路流入。 3.1.3.2 Outbound Outbound:从内部网通过多条专线链路连接的NSAE访问互联网 对于流出流量的智能地址管理,NSAE使用了称为SmartNAT的算法。当选定一个路由器(某一个ISP)传送流出流量时,NSAE将选择该ISP提供的地址。如果NSAE选择ISP1作为流出流量的路径,则它将把内部的主机地址192.168.1.A/24翻译为100.10.1.10/24,并作为流出数据包的源地址。同样,如果NSAE选择ISP2作为流出流量的路径,则它将把内部的主机地址192.168.1.A/24翻译为200.20.1.10/24,并作为流出数据包的源地址。 采用SmartNAT时,NSAE支持的负载均衡算法包括: ² Round Robin NSAE顺序的选择多个出口链路作为每个数据流的流出路径。 ² Weighting Round Robbing NSAE为每个出口链路设定一个加权值,并根据加权值顺序的选择多个 出口链路作为每个数据流的流出路径,权值大的链路被选择的次数多。 通过此算法,企业可以在多条带宽不同的链路间合理分配流量,带宽高 的链路权值大,因此承载的流量就高。 ² Shortest Response Time 为了优化流出的流量,NSAE还为流出的流量实施最快响应时间运算。 如果内部主机要访问某一Internet站点,可能通过一个ISP的路径比通 过其他ISP的路径有效。因此,NSAE可以提供最短响应时间算法,为 流出到某一个站点的流量选择最佳的ISP路径,保证所需内容最快到达 目的地,提高服务的品质。 ² Destination IP-Based Routing 根据企业网络的特点,NSAE还提供基于每个数据流的目标IP地址的路 由选择算法。NSAE会检查每个流的目标IP地址是否属于预先设定的一 个地址范围,若是,则选择某一条特定链路作为该数据流的流出路径。 通过此算法,企业可以设定目标IP地址属于教育网范围的,通过教育网 的链路流出,其他流量则通过另一条链路流出。 NSAE通过端口Mnet或VLAN功能的配置,能够同时支持128条链路实现链路负载分担功能。支持各种速率的链路,比如DSL, Cable Modem, T1/E1;支持多宿主的结构;负载均衡算法: RR、WRR、SRT、PBR;可以和NAT一起工作。 同时通过策略路由(Eroute)功能,能够更好的满足用户对路由功能的要求。 3.1.4 全局服务负载分担(GSLB) 前面提到的SLB(服务器负载均衡)是指能够在性能不同的服务器之间进行任务分配,既能保证性能差的服务器不成为系统的瓶颈,又能保证性能高的服务器的资源得到充分利用。 NSAE的全局服务负载分担(GSLB)技术解决异地容灾问题。GSLB允许Web网络托管商、门户站点和企业根据地理位置分配内容和服务,通过使用多站点内容和服务来提高容错性和可用性,防止因本地网或区域网络中断、断电或自然灾害而导致的故障。   用户希望其资产能够全天候为其工作。对于要确保提供IP服务的企业资产能够随时可用的产品来说,必须要同时提供基于服务质量的高可用性和完善的负载平衡功能。采用不能提供高可用性的负载平衡产品将会影响对您IP服务的投资带来最大收益。   因此,用户必须要同时提供基于服务质量的高可用性和完善的负载平衡功能。NSAE的GLSB可提供基于服务质量的高可用性,从而确保用户站点持续运行,并使其IP服务基础设施投资获得最大回报。   NSAE的GLSB用以向用户提供分布于不同地理位置的用户总部和营业部的高可用性和智能化业务及流量分担解决方案。 3.1.4.1 GSLB的工作方式 NSAE GSLB的工作方式如下: 1、 用户向LDNS发出解析请求; 2、 DNS把请求送到NSAE上授权SDNS; 3、 NSAE选择合适VIP地址响应请求; 4、 用户利用VIP建立TCP连接,再通过SLB,NSAE把用户的请求送给服务器。 NSAE GSLB的目的是在多个可提供相同服务的站点之间,根据相应的分配策略将用户请求“路由”到合适的站点上。对GSLB而言,最重要的一点是每一个NSAE设备需要知道其他NSAE设备所掌握服务、链路、系统状态信息,这一点通过NSAE状态信息通信协议(SICP)来完成的。SICP是NSAE公司的私有协议,主要完成GSLB组中状态信息的交换,需要利用SLB、LLB的健康检查和状态监测功能。 在GSLB中的NSAE每2秒(可配置)互相交换健康状态信息,每30秒 (可配置)互相交换本地服务器负载、链路负载、网络状况信息。这些状态信息主要包括:链路可用性-LLB、实服务可用性-SLB、虚服务可用性、集群状态。 3.1.4.2 GSLB的负载平衡算法 GSLB的核心是负载均衡算法,它支持非常丰富的算法,包括以下三大类: 一般性算法、基于(链路、网络、系统、服务)负载的算法、基于与用户距离的算法等。 ² 一般性算法 -Round Robin Load Balance:轮询负载平衡算法。 ² 基于(链路、网络、系统、服务)负载的算法 -Global Link Load Balance -Member-based Weighted Round Robin Load Balance -Site-based Weighted Round Robin Load Balance -Connection Overflow Load Balance -Member-based Volume Overflow Load Balance -Site-based Volume Overflow Load Balance -Member-ba
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员


开通VIP      成为共赢上传

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服