A10解决方案2015-3-.doc

A10 Networks网络解决方案2015-3-15目录目录一. 项目概况:41.1 项目背景41.2 项目拓扑5二. 公司介绍6三. 发展趋势63.1 服务器的处理性能无法满足快速增长的应用请求63.2 传统负载均衡技术无法满足视音频等富媒体（Rich-media）应用对带宽的需求63.3 电子商务、网上交易等企业级应用等对网络的安全性要求不断提高73.4 移动互联网对设备的并发要求和复杂处理能力也不断提高7四. 产品优势84.1 提供最完整最可靠的综合解决方案84.2 集多功能于一体和丰富完整的四到七层功能94.3 经过验证的优异性能和可靠性表现104.4 出类拔萃的性能指标114.5 最完整和丰富的IPv6功能124.6 极具扩展性的高性能硬件体系架构124.7 高级核心操作系统 (ACOS)12五. 应用解决方案135.1 利用负载均衡技术优化、加速和保护应用系统135.2 AX /Thunder负载均衡设备部署说明145.2.1 网络部署建议之一：单臂方式部署145.2.2 网络部署建议之二：串联方式部署155.3 完善的特性165.3.1 应用负载均衡算法165.3.2 高级健康检查技术165.3.3 基于HTTP的负载均衡技术165.3.4 全局服务器负载均衡（Global Server Load Balancing, GSLB）175.3.5 全面加速和优化HTTP应用175.3.6 善的安全性保护205.3.7 HA部署提供快速故障切换215.3.8 aFleX提供灵活的应用控制和安全性225.3.9 简便的管理和故障诊断225.4.10 A10设备的虚拟分区(ADP)功能22六. 链路解决方案236.1 Internet出口需求描述236.1.1 互连互通带来的访问延时236.1.2 多Internet链路出口用户流量的引入问题246.1.3 多Internet链路出口带来的链路使用率不均衡问题246.1.4 多Internet链路出口NAT转换的问题256.1.5 多Internet链路出口可用性和冗余备份的问题256.1.6 多Internet链路出口静态地址表维护/动态探测算法256.1.7 A10 Networks解决方案总结266.1.8 链路负载均衡的两种流量类型266.2 入向流量链路负载均衡（Inbound LLB/GSLB）2710.3.1 基于DNS解析的常见WEB访问流程2710.3.2 智能DNS解析的实现286.3 出向流量链路负载均衡（Outbound LLB）3010.4.1 常见的出向解决方案3010.4.2 结合出向DNS智能解析的解决方案3110.4.3 出向流量负载的其他功能316.4 出口负载均衡具体实施建议方案35七. 案例介绍367.1 淘宝网367.2 盛大文学387.3 中国上海门户网站387.4 上海大学407.5 美特斯邦威41一. 项目概况:1.1 项目背景 某石油管理局服务支持系统是面向整个公司内部员工信息化办公使用，承担着NOC应用，人力支援，劳动就业，生产经营；生产调度，水务管理，局办OA，局长书籍信箱，信息标准，信息标准查询等。 此前，各应用在不同的应用服务器，造成各服务器负载不太均衡，访问高峰期个别服务器压力过大，局部地区和服务站页面访问和查询响应变慢，影响了服务和业务处理时效。 某石油管理局IT服务部门希望能够找到高性价比的负载均衡产品来解决当前系统的负载分担问题，确保应用系统的稳定性、扩展性和可靠性。 电信联通之间存在互联互通问题，造成用户访问网站首页慢等问题。1.2 项目拓扑拓扑描述：1、 2台thunder1030S在网络出口做链路负载均衡；2、 2台thunder3030S在核心区域做服务器的负载均衡；二. 公司介绍A10网络成立于2004年，公司以提供创新的网络和安全解决方案为使命。作为应用交付网络的技术领导者，A10网络屡获殊荣的高性能产品帮助用户对其应用进行加速、优化、和安全防护。A10的旗舰产品AX/Thunder系列采用64位操作系统、多CPU、共享内存架构设计，从性能、扩展性、高效型、和灵活性方面远远超越同类产品。AX/Thunder系列平台提供应用交付/服务器负载均衡、IPv6迁移、和云计算/虚拟化解决方案。不同规模的用户均可得益于AX/Thunder系列产品，改善其应用可用性、扩展性和性能，提高基础实施的效率和实现更快的最终用户体验。A10网络总部位于美国硅谷，在中国、英国、法国、荷兰、德国、巴西、日本、韩国、新加坡、马来西亚等地设有分支机构。在中国北京、上海、广州、成都、西安设有办事处，并且在北京设有技术研发和支持中心。美国A10 Networks总部位于美国硅谷，是ADC应用交付行业内的技术领导和创新者。公司从2004年成立以来，倚靠独创的共享内存架构，专业设计的ACOS核心以及四层交换技术和硬件芯片，集成64位平台和多核SMP并发计算技术，提供高效，全面并且不断发展的软硬件解决方案，市场份额不断扩大。截至2015年，美国A10 Networks在ADC全球市场占有率位列前三。三. 发展趋势 近年来，随着互联网技术的不断发展以及网络基础设施的完善，信息技术和应用在国内得到迅速的发展，网络已经彻底地成为了人们工作、生活的一部分。高速增长的用户访问请求向网络应用服务提出了新的挑战：3.1 服务器的处理性能无法满足快速增长的应用请求 用户的Web访问请求呈爆炸式增长，很多网站和应用由于服务器处理的性能瓶颈，不能及时处理用户的访问请求，而导致大量用户的流失，大大降低了服务质量和工作效率。简单的依靠提高硬件性能并不能真正解决用户访问请求高速增长的需求。一般情况下，单台PC服务器受到CPU、内存和I/O处理的性能限制，所能够提供的最大并发访问处理能力约为1000个；经过优化的专门服务器能够支持3000-5000个并发请求。当某些热点或者重大事件发生时，急剧增长的网络访问会造成服务器性能的处理瓶颈。因此，必须将用户请求均衡的分担到多台服务器上，以扩展应用服务的并发服务能力。3.2 传统负载均衡技术无法满足视音频等富媒体（Rich-media）应用对带宽的需求 随着用户宽带接入技术的发展和应用，Web中越来越多的采用Java、富媒体等CPU密集型应用，这些应用不仅对服务器具有较高的处理性能要求，而且需要使用大量的带宽资源。传统的负载均衡产品一般采用基于PC的硬件架构，这种结构受到总线技术的限制，在吞吐量上有很大的瓶颈，无法适应当前Web应用对带宽的需求。当用户请求增多时，负载均衡产品容易成为网络中的瓶颈。部分厂商无论客户具体需求，均建议三角传输/服务器直接返回(DSR)方式的部署，实际上是由于其本身性能较差的原因。3.3 电子商务、网上交易等企业级应用等对网络的安全性要求不断提高 Internet的自由、开放极大的促进了其自身的发展，但同时也带来了信息安全隐患。黑客、病毒、非法插件、拒绝服务攻击等恶意行为极大的影响了互联网应用的发展。因此，电子商务、网上交易等企业级应用对网络的安全性要求也越来越高。尤其是SSL证书已经逐步淘汰之前1024位的证书，而开始使用2048甚至4096位的加密证书，对服务器的CPU和系统压力也明显增高。3.4 移动互联网对设备的并发要求和复杂处理能力也不断提高 随着Internet用户从传统PC 接入向移动设备和手机接入的转变，对负载均衡的要求也更高。通常会要求满足百万甚至千万级别的用户并发，并要求系统能更智能的处理流量，可以智能的分辨iOS (iPhone/iPad)和Android以及传统PC用户并可以分发流量至不同的后台服务器。同样，由于对流量安全的需求，对加密证书的要求也是移动互联网的另一特征。 因此，传统的负载均衡产品已经无法满足当前用户对负载均衡产品的需求，市场上需要新一代的负载均衡产品来满足不断增长的用户需求。A10 Networks的AX/Thunder负载均衡设备就是为适应Web2.0和三网融合业务（数据、语音、视频）的高速增长需求而设计的。AX/Thunder采用最新的多核多处理器技术以及自主研发的ASIC芯片，在提供高性能的4-7层应用处理能力的同时，满足关键业务在未来对性能的扩展性需求。在满足高性能需求的同时，AX /Thunder为业界带来具有最完整和最好性价比的负载均衡解决方案。 AX/Thunder的高级内核操作系统（Advanced Core Operating System, ACOS）在提供高可扩展性的同时，通过丰富的7层特性和内嵌的aFlex脚本语言，可以方便的集成到任何数据中心，为用户提供高级Web应用交付方案。AX /Thunder的高级应用负载均衡特性和灵活的健康检查功能可以确保应用的可用性和可靠性。AX /Thunder系列本身带有标准的冗余组件和高可用性设计，可以确保对于任何应用的稳定可靠和高效运营；并且通过 AX/Thunder系列的线速安全防护，可以部署在相关机构的数据中心全面保护和抵抗网络级的攻击，确保关键业务的持续运行。四. 产品优势4.1 提供最完整最可靠的综合解决方案A10公司的AX和Thunder系列产品，是真正基于All in One的方式提供最完整最可靠的解决方案。包括了用户需要的应用交付的功能，多种安全防护的手段，和第三方软件/厂商的集成以及设备本身的虚拟化，管理等等。A10公司的AX和Thunder系列产品，包含了从最主要的保证应用可用性，扩展性和高性能的服务器负载均衡(SLB)功能，到应用优化(ADC)常用的SSL证书卸载加速(1024/ 2048/ 4096位), TCP连接复用，缓存和压缩功能，同时也包含了解决灾备(DR)和就近性接入的多个数据中心或者多个Internet出口之间流量调度和备份的全局负载均衡(GSLB)功能，这三点可以满足客户对于应用加速和安全保障的绝大部分要求。与此同时，AX/Thunder系列提供全面的安全防护功能，包括DDoS防护，IPS异常报文过滤，DNS应用防火墙和DNSSEC扩展功能，WAF（WEB应用防火墙），AAM（应用访问管理），SSL Intercept 加密流量拦截，基于SSL的应用加密(例如邮件加密 SMTP StartTLS)，基于大规模地址列表的PBSLB策略和可定制的aFleX脚本等多种工具和手段。在和第三方软件和产品的集成方面，AX/Thunder系列获得VMware Ready认证，也是Microsoft认证的软件/硬件负载均衡集成产品，和Exchange, SharePoint ,Lync等产品可以完美集成。 同时A10也是Oracle, Bluecoat, Infoblox, Arista, Imperva, Palt Alto, Tipping Point等产品的合作伙伴。在产品本身的维护和管理方面，AX/Thunder系列产品提供基于中文的WEB管理，类Cisco的命令行界面；而且提供对外开放的axAPI接口，用户可自行开发个性化的管理界面。同时为了减少多台设备管理的复杂度，A10提供了aVCS虚拟集群以及aGalaxy统一管理平台。AX/Thunder系列的所有产品同时提供ADP应用分区功能，可将一台物理设备虚拟为多台虚拟设备使用。每个分区可独立配置路由表等L2/3层资源；独立运营并管理隔离。4.2 集多功能于一体和丰富完整的四到七层功能A10设备无模块和功能的License限制，所有功能一体化提供，无需额外购置功能扩展模块，服务器负载均衡，链路负载均衡和多数据中心负载均衡(GSLB)功能同时具备，可以根据需求立即部署；WAF WEB应用防火墙，AAM应用访问管理等模块以及未来的模块也会持续免费。同一台设备，可以灵活的用作多个功能。A10设备同时在四层和七层都提供丰富功能特性，包括内置14种流量调度分配方式，7种配置模板；基于源地址，基于目标地址，基于SSL ID和基于Cookie的会话保持方式；在七层应用中，提供了SSL加速，WEB应用加速(TCP连接复用，内存缓存，HTTP压缩，TCP优化等多种手段)。另外A10设备提供的独有aFleX技术，可以根据用户的任意要求满足流量调度，流量过滤，特殊会话保持等等多种自定义的手段，实现和应用的进一步紧密配合的功能。 A10负载均衡内置的14种流量调度方式A10负载均衡内置的多种应用模板A10负载均衡内置的多种健康监测方式4.3 经过验证的优异性能和可靠性表现A10设备无任何性能的License限制，所有性能指标(例如SSL参数)均提供最高性能。其一可以降低用户购置成本，其二可以提高设备的可用率。A10网络公司依靠底层架构的优势，在多核系统和内存共享方面利用特有的技术，提供极其优异的性能，尤其适用于高端用户和对性能要求较高的场景。在多个运营商，Web 2.0巨头，电子商务，政府网站等有诸多部署。例如以下的截图，在实际部署案例中，AX 3000产品在后台110台服务器，每秒新建6K， 吞吐量2.5 Gbps时CPU 15%。A10设备在高吞吐量的AX 3000系统吞吐量/并发会话/新建会话的统计界面AX 3000系统瞬时吞吐量/ CPU/内存使用的统计界面4.4 出类拔萃的性能指标 评判负载均衡产品的主要三个参数是 设备整体吞吐量； 设备最大4层新建会话数(测试TCP流量，是考核负载均衡的性能)；设备最大并发会话数目 (考核负载均衡的容量)。 A10的整个产品系列从4Gbps吞吐量起，提供最大超过2亿级别的并发会话数目以及最高每秒6百万的强大的四层新建会话数目。4.5 最完整和丰富的IPv6功能 A10是负载均衡领域IPv6的先行者和领导者，A10设备从设计开始即免费提供IPv6的相关功能并持续在IPv6的领域内不断扩展。除了服务器负载均衡方面的SLB-PT（在IPv4和IPv6网络之间提供完整的IP转换和负载均衡能力，可以支持用户迁移以及建立IPv4和IPv6混合主机资源）; 针对运营商也提供NAT 64/DNS64, DS-Lite, NAT46, 6rd , IPv6路由，CGN大规模NAT转换等新兴的IPv6转换应用。在北美Network Word 2012年2月份针对负载均衡厂商IPv6功能对比中，A10产品以最丰富功能和最易安装和管理在6家对比厂商中排名第一。4.6 极具扩展性的高性能硬件体系架构A10 Networks的AX/Thunder系列负载均衡设备采用当今最新的多核CPU，结合L2/3交换机ASIC、SSL加速ASIC和自主设计开发的四层流量处理ASIC芯片（FTA ASIC），融入自主开发的高级内核操作系统（ACOS），实现了极具扩展性的高性能硬件平台。AX/Thunder通过整合最先进的软硬件技术，实现了高性能和丰富功能特性的完美统一。AX/Thunder的FTA ASIC具有以下功能和优势：l 多CPU的硬件动态流量分配l 硬件缓冲管理l 高性能的线速安全保护4.7 高级核心操作系统 (ACOS) ACOS是A10 Networks自主研发的操作系统，充分利用了可扩展型高效的硬件的优势。ACOS 还具有真正的线性处理能力，可以利用aFleX定制脚本对4-7层应用流量进行处理，从而对所有应用进行加速、扩展，并确保应用安全性。借助于向系统高性能CPU、流量加速 ASIC（FTA）、SSL 加速模块以及高速内存进行均衡性数据包分配，ACOS 可避免由于一个或多个过载处理器所造成的性能瓶颈问题，这种情况经常困扰着其它应用加速方案。 41 五. 应用解决方案5.1 利用负载均衡技术优化、加速和保护应用系统 针对常见应用架构中存在的问题，建议采用A10 公司的AX /Thunder 应用负载均衡解决方案 。通过在Web服务层和应用服务层前应用负载均衡技术，提高原有应用系统构架的可靠性和安全性，并对原有应用进行优化，提高整个系统的运行效率。 通过在AX /Thunder上设置一个统一的虚拟IP地址（Virtual IP, VIP），对来自客户端的应用请求进行统一的管理和调度，通过负载均衡设备将这些请求转发到后端真实的Web服务器。同样，Web服务器也将请求转发给负载均衡设备，并由它将这些请求分配给后端的应用服务器进行处理。通过负载均衡技术将多台Web服务器资源虚拟成一台高性能服务器，通过这种方式不仅实现了应用服务处理能力的线性扩展，而且增加了整个应用服务的可靠性。负载均衡设备会自动监测应用服务的状态，当单个应用服务器出现问题时，会自动将该服务器从服务器组中剔除，将后续的用户请求交由其它服务器进行处理。此外，由于真实的服务器资源（Real Server）隐藏在负载均衡设备后面，用户并不能直接访问服务器资源，因此，整个系统的安全性有了很大的提升。5.2 AX /Thunder负载均衡设备部署说明 AX /Thunder负载均衡设备支持多种部署方式，如：串联模式、单臂模式等。而且部署方式也非常简单。采用A10网络公司的负载均衡设备，提供Web服务器、应用服务器的负载均衡功能以及链路出口的双向链路优化功能。优化整个应用服务的处理，提高单台服务器的服务能力和多个链路的冗余备份和使用有效性。5.2.1 网络部署建议之一：单臂方式部署如上图所示，我们采用专门的应用负载均衡产品来实现应用负载均衡功能。两台AX /Thunder设备通过单臂方式接入整个网络的核心交换机，两台AX /Thunder工作在HA模式（主用-主用或主用-备用模式均可）。整个网络部署几乎不需要对原有网络系统做任何变更，并且不需要对应用服务器做任何的配置上的改动。5.2.2 网络部署建议之二：串联方式部署如上图所示，2台AX/Thunder采用串联方式接入网络，并通过网线与核心交换机实现全冗余连接，两台AX /Thunder工作在HA模式（主用-主用，主用-备用）下。应用服务器则通过网线直接接入或者通过二层交换机扩展后接入AX /Thunder。采用这种部署方式可以节省核心交换机上的以太网端口，充分利用AX/Thunder上的端口资源。通过这种方式部署需要对原有网络结构和配置进行一些改动，不需要对服务器配置进行变更。在以上两种方式下，负载均衡功能的配置基本相同。我们在AX/Thunder上建立一个虚拟服务器（Virtual Server，VS），当用户访问该虚拟服务器的VIP时，AX/Thunder将根据当前各个物理服务器的负载情况，将服务请求转发到负载最小的服务器上，从而解决原有方案中负载分配不均衡的问题，提高整个系统的服务性能。同时，AX/Thunder设备具有很强的交换处理能力，解决了原有系统在会话数较大时出现的性能瓶颈。此外，两台AX/Thunder设备可以以HA方式进行部署，避免了由于采用负载均衡设备而出现的单点故障，同时，AX/Thunder设备毫秒级的切换速度，最大程度减小了故障切换时对应用的影响。5.3 完善的特性5.3.1 应用负载均衡算法AX/Thunder支持丰富的负载均衡算法，利用VIP将多台真实服务器（Real Server）资源虚拟为一台服务器并提供服务。AX/Thunder可以根据真实服务器的性能和健康状况，选择最佳的服务器响应用户的应用请求，充分利用所有的服务器资源。AX/Thunder提供14种灵活的负载均衡算法，主要的算法和概念介绍如下:轮询（Round Robin）：按顺序将连接分配给一个逻辑组中的服务器。轮询方式对所有服务器等同对待，而与连接的数量或响应时间无关。该算法相对简单，运行稳定。加权轮询（Weighted Round-Robin）：加权轮询算法根据每台服务器设定的加权值来分配请求。服务器的收到的连接数与其权值成正比。最小连接（Least-Connection）：最小连接是一种动态调度算法，它通过检测服务器与AX/Thunder建立的连接数来估计服务器的负载情况，并将新的连接请求分配到当前连接数最小的服务器。加权最小连接（Weighted Least-Connection）：加权最小连接是与最小连接算法相似，不同之处在于分配连接时需要考虑当前服务器的权重值。优先级（Priority）：在这种方式下，AX/Thunder会将请求优先发送给优先级较高的服务器。当高优先级的服务器出现故障时，才将请求发送给优先级较低的服务器。最小响应时间（Fastest-Response）：AX/Thunder会检测与各服务器建立TCP连接的时间，并选择响应时间最短的服务器发送请求。URL-Hashing：AX/Thunder根据Web请求中URL的Hashing值来选择服务器，这种算法能够保证相同的URL请求转发到相同的服务器进行处理。在采用Cache服务器的环境中，能够提高Cache服务器的命中率。5.3.2 高级健康检查技术AX/Thunder的高级健康监测技术具有极高的灵活性，可以对各类应用及服务器进行监测，确保所有应用及设备的可靠性。管理员可利用预置的或自行创建的健康监测策略，对服务器及其应用的健康状态进行监测，确保避免单个应用服务器失效造成的服务中断。结合综合性调试及告警功能，AX/Thunder主动告警系统将为管理员提供深度可见性。AX/Thunder支持L3-L7健康检查方法。通过周期性的检查服务器及服务器上的应用服务的健康状态，保证整个应用的可靠性，确保用户获得最佳的用户体验。AX/Thunder在不同的网络层采用不同的方式进行健康检查。L3：通过ICMP协议检查系统当前的健康状态。L4：通过向TCP/UDP Port发送建立连接的请求，检查当前应用端口的健康状态。L7：通过向应用程序（如：HTTP, HTTPS, FTP, RTSP, SMTP, POP3, SNMP, DNS, RADIUS, LDAP）发送指定的代码并根据返回值确定当前应用的健康状态。基于脚本的健康检查: 通过关联检查与某个应用相关的一系列应用服务器的健康状态来确定某一应用的健康状态。如：通过同时检测Web应用、中间件服务器和数据库服务器的状态来判断整个应用的健康状态。5.3.3 基于HTTP的负载均衡技术AX/Thunder支持URL交换/重写、HTTP Header插入/重写、内容交换等多种HTTP负载均衡技术。根据URL和HTTP信息进行流量的分配和处理。每个URL都可以重定向到某组服务器，从而提供优化的Web交换性能。此外，AX/Thunder还支持基于Cookie或Session的持续性保持，保证来自相同IP地址的TCP请求转发到相同的服务器进行处理。5.3.4 全局服务器负载均衡（Global Server Load Balancing, GSLB）GSLB可以根据策略将用户的请求分配到分布在各地的提供相同服务的站点上。以实现多个站点之间的流量均衡。AX可以同时监控多个站点/服务器以及应用的状态，通过智能DNS技术将客户请求引导到最佳的站点，提高整个应用系统的可靠性，减少带宽成本，AX/Thunder支持应用系统的站点级冗余和快速的透明故障切换，实现灾难恢复。AX/Thunder可以根据站点可用性、站点负载和站点响应时间在全球范围内重新引导客户端流量。所有这些功能都可以与网络现有的DNS服务器配合起来在部署GSLB时帮助最大程度地减少网络中断。AX/Thunder对站点进行不间断的监控，检测由于状态和流量的变化导致的任何服务器或服务的变化。网络管理员可以通过可配置的站点负载阈值精细地调整状态检查参数，使其能够实现与站点服务器和服务功能的最佳匹配。5.3.5 全面加速和优化HTTP应用 TCP连接复用（TCP Multiplexing/ Connection Reuse）TCP连接复用技术主要是为了TCP/IP协议在处理HTTP请求时的低效率，通过该技术，能够大大改善现有系统的总体性能。通过将前端多个客户的HTTP请求复用到后端与服务器建立的一个TCP连接上，减少与服务器之间由于新建TCP连接所带来的延迟，并能够最大限度的降低客户端请求对后端服务器并发连接数的需求。 内容缓存（Content Cache）内容缓存能够有效的减轻服务器的负担，提高服务器的处理性能。将客户端反复访问的静态内容缓存在AX/Thunder的内存中，而服务器仅用于处理动态内容。当客户端发起HTTP请求时，AX/Thunder将Cache中的静态内容直接返回给客户端，大大减轻了服务器的负载并节省了后端的网络带宽。最大化的提高网络用户访问网站内容的速度。 HTTP压缩（HTTP Compression）AX/Thunder支持标准的HTTP压缩技术，能够对指定的内容进行压缩，大幅节省内容传送时所需要的带宽。通过AX/Thunder进行HTTP压缩，还可以减轻Web服务器的负载，提高服务器的处理效率。同时，降低了对出口带宽的要求，可以节省和ISP的费用结算。AX/Thunder支持Gzip、deflate方式的压缩功能。当AX/Thunder开启HTTP压缩后功能后，当收到含有“Accept-Encoding: gzip”或“Accept-Encoding: deflate”的HTTP报头（表明浏览器支持压缩功能）的 GET 请求时，AX/Thunder对作出该请求的客户端的响应使用数据压缩。从而可以在不增加额外的网络带宽的情况下加快用户的响应速度，提高整体系统的性能。5.3.6 善的安全性保护 基于硬件的防DDoS攻击技术AX/Thunder采用L4流量加速芯片进行DDoS攻击检测并提供异常数据包保护技术，对于可能造成服务器及应用瘫痪的拒绝服务攻击进行高效检测和预防。由于AX/Thunder部署在核心路由器与数据中心资源之间，AX/Thunder有能力将攻击检测和预防过程转至专用的ASIC中，AX/Thunder以线速对所有应用流量进行监测并重新进行定向，同时，检测并中止针对数据中心的恶意攻击。AX/Thunder采用SYN Cookie技术对SYN Flood攻击进行检测和预防，只有通过TCP三次握手的连接才会被放入会话表中，防止大量的SYN占用系统资源而造成的系统崩溃。在实际的测试中，AX2200能够达到防御9.24M Packet/s的防攻击能力。 硬件SSL加速AX/Thunder采用SSL 加速ASIC芯片进行SSL处理。对CPU资源密集型SSL加密和密钥交换过程进行加速，以降低服务器的工作负载。由于SSL具有卸载能力，AX/Thunder就可以对加密流量进行监测，从而确保了正确适当的流量分配。通过AX/Thunder进行SSL加速，还能够简化对证书的管理，减少日常管理的工作量。AX/Thunder支持1024位，2048位和4096位的证书配置。5.3.7 HA部署提供快速故障切换通过一系列运营商级的组件，例如ECC纠错内存，固态SSD硬盘，Nitrox III SSL加速芯片等，AX/Thunder 系列可最大限度地提供系统可靠性。冗余热插拔组件（电源、智能风扇以及硬盘）、双机（Active-Active）和主备（Active-Standby）高可用性（HA）、稳定的故障恢复以及软硬件主动的健康检查能够为要求严格的数据中心和运营商提供业务连续性保障。5.3.8 aFleX提供灵活的应用控制和安全性AX/Thunder的aFlex高级脚本技术能够实现灵活的策略创建，以提供丰富的网络流量监测及数据交换和处理能力，帮助企业组织适应不断变化的环境条件和各种类型的应用需求。通过aFleX，管理员可以利用AX/Thunder对应用数据流进行更加深入的检测，并搜索关键决策信息，以线速网络速度对流量进行更加智能化的精确交换。aFlex准确简单，确保了应用的可用性、可扩展性及系统安全性，允许企业组织对AX/Thunder进行完全定制，以符合业务需求，同时不会造成系统复杂，不会增加成本。利用aFleX，企业组织能够经受得住未来应用变化及多变的终端用户环境的考验。同时，利用aFleX，无需等待漫长的版本开发/测试/升级时间，可以迅速快捷的解决客户遇到的实际问题。5.3.9 简便的管理和故障诊断为了简化AX/Thunder产品的配置和管理，AX/Thunder提供了包括图形化界面（GUI）和命令行（CLI）在内的多种配置和管理界面。以适应不同的用户对设备管理和维护的需要。AX/Thunder的GUI界面提供了直观的管理和监控界面，提供详实的统计报告和报警功能，有助于管理员了解当前应用的运行状态并为进一步调整应用加速策略提供依据，此外，图形化界面还支持友好的本地化语言支持，目前，AX支持英文、中文简体、中文繁体、日文、韩文等多种语言。CLI命令行采用业界标准的类Cisco设计，易于工程师学习和上手。详细的监控指令和简单的配置命令为工程师进行快速故障排查提供了依据和保证。AX/Thunder设备默认每15分钟做一次系统运营状态的备份，保留最近30天的历史日志。和GUI上30天的系统吞吐量，CPU/Memory使用，物理接口的流量统计，VIP以及真实服务器的流量分配一起，可以回溯和定位历史情况，协助用户定位网络和应用问题。AX/Thunder设备提供两种实时抓包方式，可以在不影响现网流量的情况下定位问题。5.4.10 A10设备的虚拟分区(ADP)功能AX/Thunder设备提供虚拟化分区功能，能够在一台物理设备上虚拟出128个或者更多的独立分区，并实现L2/L3 Virtualization ，而每个分区都可以指定不同的负载均衡和应用加速策略；以往需要购买多组ADC设备的应用场景现在只需要一组设备就能实现，可为客户节省了一大笔资金投入。六. 链路解决方案6.1 Internet出口需求描述近年来，Internet在政府，企事业，网站和各种商业机构中得到了广泛的应用，并在日常业务活动中发挥越来越重要的作用。ERP、CRM、电子商务、视频会议等关键业务系统对链路质量的要求也越来越高。目前，绝大多数的局域网络均采用租用ISP链路的方式接入Internet，在业务系统稳定性和安全性的要求之下，广域网链路的运营和管理成为IT和网络管理人员无法回避的挑战。因此，越来越多的组织开始采用广域网的一些优化技术，以确保关键业务应用在Internet上运行时的稳定性和安全性。同时，通过这些技术的运用，降低广域网上的运营成本，提高整个系统的运行效率。6.1.1 互连互通带来的访问延时传统上，用户一般采用单一链路的方式接入Internet。由于南北电信和联通之间的互联互通一直存在很大的问题，采用单条接入链路，无法同时满足不同区域的用户的访问要求。采用电信的接入链路，虽然可以保证电信用户的正常访问，但联通用户的访问却会有较大的延迟。下表为在同一城市(福州)的电信和联通测试到同一目的IP(湖南长沙电信)的链路延迟，电信之间只需要17ms；而联通到电信则需要67ms，延迟是电信链路的四倍！这是国内不同运营商之间互连互通带来的实际问题。因此，采用多条链路实现Internet接入成为很多企业和应用的选择。图一 南北运营商互连互通的延时问题6.1.2 多Internet链路出口用户流量的引入问题多Internet出口部署后，通常针对同一个应用会在电信和联通同时发布，但是用户如何通过最优链路来访问，通常仍旧需要用户手工选择或者调整才能实现，如下图，同一个应用提供了5个接入方式，但是仍旧需要用户手动测速和选择。无法自动，智能的达到电信用户通过电信链路来访问/联通用户通过联通链路来访问的目的。图二 多链路出口时引导用户流量的问题6.1.3 多Internet链路出口带来的链路使用率不均衡问题传统的多链路接入方案无法实现真正意义上的流量负载均衡，无法根据链路的具体使用情况实现均衡的流量调度，经常会出现某些链路使用率极高而其他链路几乎无流量的情况。如下图显示，在实际部署中遇到的情况，用户部署了同样带宽的三条Internet出口，但是电信链路使用率达到85%时，移动链路的使用率只有10%。图三 多链路出口时链路带宽使用不均衡问题6.1.4 多Internet链路出口NAT转换的问题除了价格昂贵的BGP接入方式外，绝大多数的Internet出口是通过NAT转换的方式来解决的，由此带来了日志和应用上的细节问题 NAT日志转换的记录和留存，日志格式不同用户还可能有不同的需求 NAT地址包含多个IP时，必须确保正常选用以防止应用层问题例如在我们访问网银应用时，由于网银对安全性要求较高；通常会要求整个会话过程中用户必须使用同一源IP地址登录。对远端的网银系统而言，这个源IP并不是客户的内网IP，而是在链路疏导设备后NAT后的IP地址。要实现这个目的，多出口链路设备必须满足: 基于目的地址的会话保持，确保用户的网银应用使用同一物理链路 链路NAT IP 地址的保持方式，确保用户的网银应用使用NAT地址池中的同一NAT IP 6.1.5 多Internet链路出口可用性和冗余备份的问题 在多个出口部署的情况下，对链路的可用性检查必不可少。尤其是在用户有对外的应用时，必须要及时发现，避免由于链路故障引起的访问问题。链路故障和恢复需要有实时的告警通知以及自动触发的备份机制。在单个链路或多个链路故障时的链路之间的冗余备份，也需要细致的考虑和设计。6.1.6 多Internet链路出口静态地址表维护/动态探测算法绝大多数出口负载设备会维护一份静态的IP归属表，根据该表实现归属性和就近性的算法。但是IP归属表是经常变化的，如果需要每次手工的更新配置等会给管理员带来繁琐的维护负担。另外在某些情况下，除了静态IP的归属性算法，也会要求必须动态探测，主动智能的探测多链路至同一目的IP或IP地址段的延时，以选择最优的可使用链路。6.1.7 A10 Networks解决方案总结需求A10解决方案优势用户访问流量引入智能DNS解析(GSLB)内置功能，无需额外收费动态精确的地址库，准确率超过97%链路使用率不均衡根据具体应用/链路带宽使用的智能调整多个技术手段实现出向的智能DNS/不同应用的策略/根据带宽使用的流量分配NAT转换问题NAT Sticky和灵活的NAT日志格式平均使用NAT IP;确保应用正常根据用户需求定制化的NAT日志链路可用性和冗余备份应用层健康检查/多级冗余备份自定义链路检查和灵活的冗余机制链路出口静态地址表维护/动态探测算法地址表定期实时更新动态探测可根据需求灵活部署地址表更新无需管理员登录和修改配置，自动实现动态算法可与静态算法结合，同时部署6.1.8 链路负载均衡的两种流量类型入向流量（Inbound Traffic）：从Internet上的客户端发起，到内部应用服务的流量。如：Internet上用户访问企业/商业Web网站。对于入向流量，需要根据当前网络延时、就近性以及链路当前的负载状态等因素，来判断哪一条链路可以对外部用户提供最佳的访问服务。图四 Inbound入向流量(由外向内)出向流量（Outbound Traffic）：从企业内部网络发起的，对Internet上应用资源的访问。如：企业内部局域网用户访问Internet上Web网站应用。对于出向流量，需要根据当前链路的负载情况、网络延时、应用服务的重要性等选择最佳的链路。图五 Outbound出向流量(由内向外)对于两种流量类型的负载均衡来说，虽然只是发起连接的位置不同，但对于链路负载均衡技术来说，所采用的技术完全不同。6.2 入向流量链路负载均衡（Inbound LLB/GSLB）10.3.1 基于DNS解析的常见WEB访问流程要想了解入向流量链路负载均衡技术，我们首先要了解用户通过互联网络访问Web应用服务器的整个过程。如下图所示，我们将通过客户端访问来说明客户端访问的整个过程。图六 基于DNS解析的常见WEB访问流程客户端（Client）在浏览器地址栏中输入，发起对该网站的访问请求。由于客户端不知道的IP地址，因此，客户端向本地DNS（Local DNS, LDNS）发出域名解析请求，要求LDNS提供所对应的IP地址。LDNS通过递归查询，从上级DNS服务器得到的授权DNS（Authoritative DNS, ADNS）服务器IP地址，于是，LDNS向ADNS域名服务器发送域名解析请求，要求对域名进行解析。ADNS将的域名解析结果返回给LDNS。LDNS将的域名解析结果返回给客户端。客户端获得域名所对应的IP地址，于是，客户端利用这个IP地址发送对域名的访问请求。10.3.2 智能DNS解析的实现在多链路的环境中，通过链路负载均衡技术控制DNS的解析结果，达到智能选择链路的目的。链路负载均衡技术通过静态或动态路径选择算法，选择最佳的线路，然后将域名解析为对应线路的IP地址，并返回给客户端。我们仍然通过客户端访问的例子来说明链路负载均衡技术是如何通过DNS技术来进行链路选择的。如下图所示，采用链路负载均衡技术实现的多链路接入。ADNS服务器和Web服务器分别接入A10智能链路控制器（LLB Controller），两条链路电信和联通分别接入链路负载均衡控制器。在ADNS上将解析为分属两个不同ISP的IP地址(这一步也可以由A10设备独立完成)。其中，为电信链路提供的IP地址，为联通链路提供的IP地址。在负载均衡控制器上将这两个地址同时映射为内部的Web服务器地址。此外，将内部的ADNS服务器地址映射为公网IP地址。如下图所示图七 采用A10智能链路控制其后访问WEB的流程图客户端访问的过程如下：客户端（Client）在浏览器地址栏中输入，发起对该网站的访问请求。如同前面的实例一样，客户端向LDNS发出域名解析请求，要求LDNS提供所对应的IP地址。LDNS通过递归查询，从上级DNS服务器得到的ADNS服务器IP地址，于是，LDNS向ADNS域名服务器发送域名解析请求，要求对域名进行解析。A10智能链路控制器收到LDNS发来的域名解析请求后，将请求转发给内部的ADNS服务器进行处理。ADNS将地址解析为两个不同ISP提供的公网IP地址，并将结果返回给A10智能链路控制器。A10智能链路控制器收到ADNS的域名解析结果后，根据当前所采用的链路选择算法和当前链路的情况，对返回的解析结果进行处理，然后将域名解析结果返回给LDNS。如果选择电信链路，则将作为域名解析结果返回给LDNS；若选择联通链路，则将作为域名解析结果返回给LDNS。LDNS将的域名解析结果返回给客户端。客户端获得域名所对应的IP地址，于是，客户端利用这个IP地址发送对域名的访问请求。链路负载均衡技术通过对DNS的解析结果进行重新处理，完成了链路的智能选择。一般情况下，链路的选择算法分为静态和动态两大类。静态的选路算法一般基于源IP地址进行选路，通过查询客户端本地DNS的IP地址所属的ISP，来选择最佳链路，这种方法最直接、最高效，但需要事先将IP地址段按照所属的ISP进行分类并绑定到不同的链路上。动态的算法则是通过动态检测的方法，分析两台链路的负载情况、响应时间、链路优先级等状况，通过比较这些指标，选择最佳链路。实际最常用的部署方式是静态IP归属地+链路健康监测+链路使用超阈值备份的策略集合。6.3 出向流量链路负载均衡（Outbound LLB）10.4.1 常见的出向解决方案相对于入向流量的链路负载均衡，出向流量的链路负载均衡则比较简单。当内部用户发起对外界的访问请求时，链路负载均衡控制器根据链路选择算法选择合适的链路，并对内部用户的IP地址进行NAT转换。一般不考虑用户的DNS解析。图八 采用A10智能链路控制后出向的常用方案如上图所示，内部局域网用户访问外部Web网站时，链路负载均衡控制器的处理过程如下：内部局域网用户在浏览器输入要访问网站的域名，根据DNS返回的域名解析结果，发起对外部服务器的访问请求。A10智能链路控制器收到用户的访问请求后，根据链路选择算法，选择一