Array负载均衡文档

1、实用标准文案8.3 、Array SSL 应用加速设备 功能说明Array 产品 All in One的设计理念是领先的，集多种功能于一体，在单 一的硬件平台下完成多种功能， 大大节约了用户的硬件投入， 用户可以按需购买， 减少开销， 当用户有更高的要求时， 只需在原有的硬件平台上购买相应的软件支 持，即可实现更高的要求，避免了初期投资的浪费，也无需增加额外的硬件，不 用担心繁多的网络管理。在众多功能集于一体的情况下， Array 产品利用其独到 的技术，同样能保证产品的高性能性，而不是以牺牲性能为代价，例如在 ACL 的实现中，无论时一条还是上百条的 ACL，对于 Array 的处理速度来说

2、，都是一 样的，在第三方的评测中， Array 取得了突出的成绩。Array 有强大的研发队伍、 完善的服务体系、 众多的合作伙伴， 能深入了解 用户需求，进行针对性开发， 为用户提供金牌、 银牌、铜牌不同品质的服务体系， 满足各种层次的用户需求。8.3.1 、服务器负载均衡功能特点：实现动态分配每一个应用请求到后台的服务器，并即时按需动 态检查各个服务器的状态， 根据预设的规则将请求分配给最有效率的服务器。 具 有丰富的、智能的负载均衡算法。支持 4-7 层服务器负载均衡功能。8.3.2 、链路负载均衡功能特点：入站流量链路负载均衡：采用 Array 的 SmartDNS智能 DNS均 衡算

3、法实现企业入站流量在不同 ISP 链路上的流量均衡；出站流量链路负载均 衡：采用 Smart NAT智能 NAT均衡算法实现企业出站流量在不同链路上的均衡， 采用 Eroute 策略路由实现特定的流量分配。8.3.3 、全局负载均衡功能特点：对于绍兴公安局分布在不同数据中心的服务资源作全局的流量 负载均衡。具备全局的服务检测能力，能够收集不同数据中心、通信链路、服务器负载和业务应用的健康状态信息，进而智能的分担访问流量。8.3.4 、Webwall 防火墙功能特点：完整的包检测应用层防火墙，在不影响性能的情况下，提供基 于源和目的地址 / 端口的线速 ACL控制。“延缓转发”技术用来防止伪造

4、IP 地址 攻击。8.3.5 、SSL加速功能特点：通过 SSL硬件加速卡实现 SSL 运算，具有极高的 SSL处理能力， 支持端到端的 SSL加密，具备完整的证书管理特性。8.3.6 、TCP连接复用功能特点： 把许多客户端单独的 HTTP请求捆绑到相对较少的连接服务器的 TCP连接中，而不用一对一的方式把每一个 HTTP/TCP连接从客户端传递到服务 器。8.3.7 、HTTP内容缓存功能特点：基于内存的反向代理 Cache 功能，在内存中以数据包的形式缓 存住网站页面内容， 动态调整缓存空间， 采用内存缓存和包存储结构的方式， 提 供比其他缓存更快速的响应速度。8.3.8 、Cluste

5、r 集群功能特点：对本身设备 的集群，采用 VRRP协议，支持多种模式 ： Active-Active ，Active-Standby ，达到系统本身的高可用性，最多可以做到 32 台 APV设备的集群。8.3.9 、虚拟服务功能特点：支持 4000 个虚拟服务器组。8.3.10 、防 DOS攻击功能特点：独有的操作系统内核，可以保护服务器免遭网络攻击，并提供 TCP syn-flood 保护，突发事件保护，完全的 DoS保护，以及 URL过滤能力。8.3.11 、具有多种可选服务器应用健康检查功能功能特点：具备丰富的服务健康检查机制，还能够根据客户的应用进行自 定义脚本检查， 能够对服务的深

6、度健康检测。 保证数据流量会自动绕过故障服务 器或不可用服务器。8.3.12 、基于 ACL方式的访问控制功能特点：完整的包检测应用层防火墙，在不影响性能的情况下，提供基 于源和目的地址 / 端口的线速 ACL控制。“延缓转发”技术用来防止伪造 IP 地址 攻击。8.3.13 、网管功能功能特点： APV 命令行配置管理方式，类似于通用网络设备命令，可通过 Console 、SSH、Telnet 登陆等方式访问操作。支持 BootP Client 、DHCPC lient ； 基于浏览器访问的图形化配置界面， 同一 GUI 界面下可以同时管理多台设备； 支 持第三方网管软件的插件， IBM T

7、ivoli ， CA Unicenter, HP Openview、BMCB PM 等软件。精彩文档8.4 、Array SSL 应用加速设备 性能指标8.4.1 、系统内核Array OS具有专门设计的 SpeedStack 系统架构：由反向代理引擎、 TCP/IP 堆栈、 HTTP解析器组成。在此基础上关联更多的垂直功能：服务器负载均衡、 缓存、 SSL加速及防火墙等。实现 TCP/IP 数据在系统中只处理一次，杜绝了重 复性作业。8.4.2 、内存内存 8GB8.4.3 、背板带宽背板带宽 48GB8.4.4 、吞吐性能吞吐量高达 4GB8.4.5 、端口密度固定端口： 16个 10/1

8、00/1000Base-TX ， 4个 SFP插槽8.4.6 、连接复用比先进的连接复用技术，复用比超过 90:18.4.7 、并发连接最高支持 4,000,000 并发连接数最高支持每秒新建连接数为 100,0008.5 、设备选型说明 根据公安行业的业务应用发展情况，经过谨慎考虑，我们认为产品和技术 上要有相当的扩展性和前瞻性，为此我们选择 APV3520应用加速设备 3520 作为 绍兴公安的负载均衡设备。核心功能特点描述对客户带来的价值四到七层服务器负载均衡( L4/7 SLB )实现动态分配每一个应用请求到后台 的服务器， 并即时按需动态检查各个服 务器的状态， 根据预设的规则将请求

9、分 配给最有效率的服务器。具有丰富的、 智能的负载均衡算法。实现数据流合理的分配， 使每台服务 器的处理能力都能得到充分的发挥， 扩展应用系统的整体处理能力， 提高 应用系统的整体性能， 改善应用系统 的可用性和可用性，降低 IT 投资。硬件 SSL 加速通过 SSL硬件加速卡实现 SSL 运算，具 有极高的 SSL处理能力， 支持端到端的 SSL加密，具备完整的证书管理特性。通过卸载服务器的 SSL处理， 以提高 服务器性能。 由于节省了应用主机的 资源，降低了用户投资。大幅度缩短 响应时间而增强了应用的响应能力。高速内存缓存( Memory based Caching )基于内存的反向代理

10、 Cache功能， 在内 存中以数据包的形式缓存住网站页面 内容，动态调整缓存空间，采用内存缓 存和包存储结构的方式， 提供比其他缓 存更快速的响应速度。避免了对后台服务器的负载压力， 在 减小了后台服务器负载的同时， 提高 了用户的响应速度和网站的处理能 力。解决服务器端的 连接塞车 问题 以及 大迸发访问 问题。应用层防火墙( Webwall )完整的包检测应用层防火墙， 在不影响 性能的情况下，提 供基于源和目的地址 / 端口的线速 ACL 控制。 延缓转发 技 术用来防止伪造 IP 地址攻击。通过立即丢掉垃圾 ( 反常的 ) 包来 改善安全性， 减少为抗衡最新的网络 攻击所做的安全补丁

11、数量， 提高系统 的安全度。硬件 HTTP内容压缩( HTTP Compression )硬件 HTTP压缩， 符合 HTTP标准压缩规 范。自动识别客户端对压 缩算法的支持，并依次实现动态压缩。节省用户带宽， 缩短用户下载内容的 时间，减轻了 Web Server 的负担。 提高网站访问的响应质量。网络链路负载均衡( LLB)提供详细的数据报表和图形统计， 显示 链路负载均衡的运行情况帮助 IT 部门监控链路负载均衡系统 的运行， 更直观准确的了解企业多条 链路的状态。全局服务负载均衡 （GSLB）：对于企业分布在不同数据中心的服务 资源作全局的流量负载均衡。 具备全局 的服务检测能力， 能

12、够收集不同数据中 心、通信链路、服务器负载和业务应用 的健康状态信息，进而智能的分 担访问流量。解决数据中心的异地容灾与备份问 题；解决异地数据中心服务器的负载 均衡问题， 能够实现多数据中心业务 应用的高可用性。连 接 复 用 ( ConnectionMultiplexing )把许多客户端单独的 HTTP请求捆绑到 相对较少的连接服务器的 TCP连接中， 而不用一对一的方式把每一个 HTTP/TCP连接从客户端传递到服务器。在不需要改变任何网络构造也不需 要改变任何服务器构造前提下减少 服务器的负载， 从而提高服务器的响 应能力。集群（ Cluster ）对本身设备的集群，采用 VRRP协

13、议， 支持多种模式： ActiveActive ，Active-Standby ，达到系统本 身的高可用性，最多可以 做到 32 台 APV设备的集群。通过集群功能实现负载均衡设备的 高可用性， 对企业业务系统的运行提 供更高的保障。小结：Array 通过 APV3520应用加速设备 的服务器负载均衡技术和全局服务负载 均衡技术完全保障企业应用高可用性， 通过智能的控制技术保证多个数据中 心的持续健康运行，进而提高企业的生产效率（四到七层负载均衡、非持续 性负载均衡算法、持续性负载均衡算法、负载均衡服务健康检查等等）Array 通过 APV3520应用加速设备 的链路负载均衡技术和 QoS技术

14、完全保 障企业网络连接的高可用性， 通过智能的流量管理和控制技术保证数据中心 的持续健康运行，进而提高企业的生产效率APV3520应用加速设备 提供多种性能加速机制来提高企业业务应用的响应 能力，尤其是多种 Web加速机制对于 B/S 结构逐渐占统治地位的 IT 应用来 讲更是雪中送炭，能够极大地节省企业地投资，提升企业的 IT 服务能力。 （Array OS 具有专门设计的 SpeedStack 系统架构、连接复用技术、连接共 享池技术、 SSL 加速、 HTTP压缩）APV3520 应用加速设备 独有的体系架构和 Webwall 防火墙功能能够抵御 DOS攻击、黑客入侵、木马程序、恶意程序

15、的安全威胁，为企业业务的持续 运行提供安全保障APV3520应用加速设备 提供命令行、图形化界面等多种配置和维护管理手段，具有很强的易用性，便于系统的实施和管理8.6 、 APV3520应用加速设备 配置清单详细配置一览表序号设备名称部件名称规格数量备注1Array应用加速设备服务器负载均衡设备APV3520 APPVelocity-S Edition(8GB MEM ， 16Copper GB Ports + 4 SFP,Single power supply)2套服务器负载均衡设备， 带 16 个千兆电口和 4 个千兆光口， 48G背板 带宽链路负载均 衡 LicenseLink Load

16、 Balancing(Incl.SDNS StaticProximity)License2个赠送全局负载均 衡 LicenseGlobal Server Load BalancingLicense2个赠送SSL加速卡SSL加速卡2块赠送WebWall防火 墙WebWall License2个赠送冗余电源Redundant Dual Cord PowerSupply2个赠送2Array 原厂保修服务原厂保修标准服务3年九、 施工技术方案及技术措施9.1 、SLB负载分担模式绍兴公安各应用系统的原有访问是直接发送到提供服务的真实的服务器 上，在部署了 APV3520应用加速设备 后，用户的请求首先

17、被交付到 APV 的 Virtual IP 上，APV再根据预先设置的 SLB方式，将用户的请求分发到不同的服 务组中，同一组中的服务器分别来响应用户的请求，实现了服务器的负载均衡。 此时需要将 DNS解析的域名映射到 APV提供的 VIP 上。APV3520应用加速设备 实现 SLB有两种模式： Reverse Proxy Mode（反向 代理模式）和 Transparent Mode （透明模式）。（ 1） Reverse Proxy Mode （反向代理模式）使用 APV3520应用加速设备的反向代理服务可以将请求转发给内部的服务 器，让 APV3520应用加速设备将请求均匀地转发给多台

18、内部服务器之一上， 从而 达到负载均衡的目的。 这种代理方式与普通的代理方式有所不同， 标准代理方式 是客户使用代理访问多个外部服务器， 而这种代理方式是多个客户使用它访问内 部服务器，因此也被称为反向代理模式。其传输流程如下所示：反向代理模式的优点：可以采用 One-armed的结构部署；可以通过连接池技术增强系统性能。反向代理模式的局限性：服务器无法记录哪些 IP 的客户端曾进行访问解 决办法: APV3520应 用加 速设 备可以在用户 的 HTTP包 头中 加入X-Forwarded-For 字段，用它记录客户端的 IP 地址。（ 2） Transparent Mode （透明模式）A

19、PV3520应用加速设备 的透明模式是指 APV3520应用加速设备在转发用户请求时，透明地将客户端的连接定向到特定的服务器上，即用户的源 IP 地址对服务器是透明的，服务器可以知道哪个客户对其进行了访问。 其传输流程如下：透明模式的优点：服务器可以记录哪些 IP 的客户端曾进行访问。透明模式的局限性：结构/ 路由设计必须保障从源服务器端来的响应必须经过 APV； One-armed的结构有可能不能实现；由于每个请求的源 IP 地址都不一样， 因此无法利用连接池技术改善系统 性能。9.2 、SLB负载均衡算法分析APV3520应用加速设备 的负载均衡功能支持多种保持性算法，通过配置实 现，能够

20、满足系统对会话保持的功能需求。APV3520应用加速设备 所提供的保持性算法，能够将从一个特定的客户端 发出的请求都分配到一个实服务组中的同一个实服务器上进行处理， 主要包含以 下几种方式：IP-BasedPersistent IP (pi)Hash IP (hi)Consistent Hash IP (chi)Header/Request-BasedHash Header (hh)Persistent Hostname (ph)Persistent URL (pu)SSL Session ID (sslsid)Cookie-BasedPersistent Cookie (pc)Re-writ

21、e Cookie (rc)Insert Cookie (ic)Hash Cookie (hc)考虑到该用户负载均衡功能需求，建议选用 IP-Based 中的 Persistent IP(pi) 算法来实现。实现过程中， APV将能够根据客户端的原 ip 地址进行会话 保持，在一次访问过程中，始终将从同一个原 IP 地址发送的数据，负载分担到 后台同一个 WEBSERVE实R例上进行处理。这种保持性算法相对于其它方法， 在能够满足应用需求的同时， 对 APV的资 源占用更小，对今后的应用扩展具有更多的适用性。9.3 、 Cluster 技术原理APV3520应用加速设备 3520 应用加速设备产

22、品在给服务器提供高容错性， 高可靠性的同时，还具有设备本身的容错性和高可靠性特点。 Array 支持 Cluster 的工作模式，提供 11 和 N 1 的冗余配置模式，能工作在 Active/Standby 或 Active/Active 方式。( 1) Active/Standby 方式在 Active/Standby 方式，一个 Cluster 中某个 Array 设备的所有 VIP 都是 主 VIP ，其他 Array 中的 VIP 都是备份 VIP 。当主设备故障时，备份设备转换为 主设备。如图所示：图中， Array1 为主设备，处理 SLB流量，Array2 为备份设备，监听 A

23、rray1 的广播，当 Array1 发生故障时， Array2 就会接管 Array1 上的所有流量。（ 2） Active/Active 方式在 Active/Active 方式，一个 Cluster 中每一个 Array 设备的都有主 VIP 和备份 VIP。如图所示：图中 Array1 的VIP1为主 VIP，VIP2为备份 VIP，Array2 的 VIP1为备份 VIP， VIP2为主 VIP。Array1 和 Array2 同时处理 SLB流量，又互为备份。Array clustering 工作原理 ： 利用 IP Multicast (8)进行广播，默认值：每

24、 3 秒一次； 具有最高优先级的成为 Master ， 若一个备份的 Array 具有最高优先级， 它就成为 Master ； 默认情况下一个备份 Array 在 3 秒内，没在听到 Master 的广播，它宣 布成为 Master ； 只在 Master 的 Array 的 VIP 响应 ARP请求； 每个设备独立的流量的处理， 同时又监视本 Cluster 中其它设备的工作 状态； 能把 Clustering 配置成 Active-Standby 或 Active-Active ； 利用 VRRP的技术实现 （ VRRP虚拟路由冗余协议， RFC 2338）。9.4 SLB健康检查机制Ar

25、ray 通过对服务器的实时健康检查， 保证数据流量会自动绕过故障服务器 或不可用服务器。当 Array 的健康检测机制，检测到服务器重新恢复正常以后， 将使该服务器可以自动回到服务器群之中， 所有这些服务器故障的处理， 对进行 操作的用户是完全透明的。Array 对服务器的健康检查，可采用三种方式： ICMP检查：利用 ICMP可检查服务器的网络工作是否正常。TCP检查：Array 可与服务器之间， 利用服务器的服务端口建立 TCP连接， 检查服务器的服务是否正常。 HTTP检查：Array 采用 HTTP的检查，来验证服务器提供的服务是否正常。通过这三种机制，确保服务器为用户提供正确可靠的服

26、务。用户再也不会得到这样请 求的响应 “ 404 Object Not Found ”，或响应内容不正确。二 ArrayNetworks 产品技术优势Array 产品 All in One的设计理念是领先的，集多种功能于一体，在单一的硬件平 台下完成多种功能， 大大节约了用户的硬件投入， 用户可以按需购买， 减少开销， 当用户有 更高的要求时， 只需在原有的硬件平台上购买相应的软件支持， 即可实现更高的要求， 避免 了初期投资的浪费， 也无需增加额外的硬件， 不用担心繁多的网络管理。 在众多功能集于一 体的情况下， Array 产品利用其独到的技术，同样能保证产品的高性能性，而不是以牺牲性 能

27、为代价，例如在 ACL的实现中，无论时一条还是上百条的 ACL，对于 Array 的处理速度来 说，都是一样的，在第三方的评测中， Array 取得了突出的成绩。Array 有强大的研发队伍、完善的服务体系、众多的合作伙伴，能深入了解用户需求， 进行针对性开发，为用户提供金牌、 银牌、铜牌不同品质的服务体系， 满足各种层次的用户 需求。9.5 、 SpeedstackTM专利技术Array Networks 的突破性的 SpeedStackTM专利技术，采用高性能数据包处 理内核，包括 GB级 TCP/IP 和 SSL处理， HTTP处理内核和全代理内核， IP 数据 包对全部的网路功能仅需在

28、 TCP/IP 堆栈中分析一次，可避免重复性的数据包处 理工作。Array Networks 的 SpeedStack 技术可以实现：系统的最低处理时延紧密的功能集成高级的功能交迭零拷贝：所有数据直接放置在内存中，无需多次移动。Array Networks 的 SpeedStack 技术带来的优势：业界出众的总体性能系统处理对资源最小化的需求9.6 、 Connection Multiplexing （连接复用）技术Array 的 Connection Multiplexing （连接复用）技术的主要作用是为了改 善现有系统的总体性能，其技术原理是自动实现 HTTP 1.0 到 HTTP 1.

29、1 的转换。 HTTP1.0是短连接，即每次用户请求，都要重新建立一次连接； HTTP1.1 为长连 接，连接维持时间较长， 它可以将多个请求在一个连接中进行传输， 减少连接建 立和拆除所带来的延迟，并能够最大限度地降低对并发连接数的消耗，所以 TCP/IP 协议栈在处理长连接时具有更好的性能。 Array 的连接复用技术可以将客 户端与 Array TM 的 HTTP1.0连接转换为在 Array TM 与服务器之间使用 HTTP1.1 连接，使 Array TM与服务器之间保持一个长连接， 减少了服务器建立和拆除连 接对服务器资源的消耗。Array Connection Multiplex

30、ing （连接复用）技术的实现过程：在通常的 HTTP通信中，每次传输文件都要建立和断开 TCP连接。 TCP连接 的建立/切断，对于 HTTP通信来说是开销， 会引起响应速度下降和负荷增加。 因 此，在 HTTP/1.1 中，规定用一次 TCP连接、集中传输多个文件。在一页上有多 个图像文件的站点中，由于削减了建立 / 切断 TCP连接的开销，可大幅提高响应 速度。在 Array TM 设备与 Web服务器之间，用永久性 TCP连接集中传输多个用 户请求的多个文件。采用 Array Connection Multiplexing （连接复用）技术后的效果比较：9.7 、 Connection

31、 Pooling （连接池）技术Array 采用 Connection Pooling （连接池）技术，其优点在于：（ 1）加快了与后台服务器之间的 TCP连接处理速度Array TM预先与后台服务器之间建立多个连接， 并保持住它们 （ 每个服务 器最多预先建立 20个连接 ） ；如果有客户端的请求，根据负载分担算法被分配到某个后台服务器上，Array TM 从预先建立的该服务器的连接池中选择一个连接，在此连接上发送客 户端的请求， 一个连接可以被用来传送多个请求 （每个连接最多可以同时处理 90 个请求）； 显著的减少了后台服务器需要处理的用户端连接数 （ 减少量可能达 90%） （ 2）改

32、善了服务器的性能 . 服务器不需要花费更多的时间处理 TCP连接建立和拆除的工作 服务器不需要耗费更多的资源保持多个客户端连接三 Array 产品的其它功能9.8 、GSLB技术，解决异地容灾问题SLB（服务器负载均衡）是指能够在性能不同的服务器之间进行任务分配， 既能保证性能差的服务器不成为系统的瓶颈， 又能保证性能高的服务器的资源得 到充分利用。而 GSLB（全局服务器负载均衡）允许 Web网络托管商、门户站点 和企业根据地理位置分配内容和服务。 通过使用多站点内容和服务来提高容错性 和可用性，防止因本地网或区域网络中断、断电或自然灾害而导致的故障。每个 Array TM会检查所有参与全球

33、服务器负载均衡站点的健康状况、响应 时间及性能，并将这些资料透过 分布式站点状态协议 （DSSP）和其他 TM交换。 分布式站点状态协议依靠标准的 TCP/IP和 HTTP运行，不需要在现有的路由器及 网络配置作修改。1）GSLB将用户指引到一个地区内的最佳站点上。那些依靠像路由器转发 （hops）这种规格的竞争性解决方案在做出负载均衡决定时未能考虑到像网络拥 塞和服务器负载这样的一些重要因素。 只有 Array Networks 的 GSLB有效地考虑 到了这些因素。2）智能负载分配将大多数通信量灌进那些性能最好的站点中而不会使之超 载。所有资源均得到有效使用，使用户获得更好的体验。3）当一

34、个站点的所有服务器均出现故障或拥塞时，用户就被自动地转移到 下一个最佳站点上，提高了服务和内容的可用性 。9.9 、 Cache访问加速技术由于服务器特点能处理复杂的应用，但随着应用的增加，服务器的负载越 来越大，这时用户必须投资更换或增加服务器， 服务器的增加， 同时会增加管理 成本。Array 的 Cache功能可以有效地解决增加或更换服务器的问题，同时又能 减轻服务器的负担，提高性能。将反向 Cache server 放在服务器的前端，使静 态的内容由 Array Cache响应用户的请求，服务器仅处理动态的内容，可以在节 约 40%带宽的情况下，最大化的提高网络用户访问速度。Array

35、 的 Cache 采用下列技术，提高其响应和吞吐量：（ 1） Array Reverse Proxy Cache 特点：（ 2）Re-use 连接Array TM 反向代理快速缓存的优势：采用内存缓存和包存储结构的方式， 提供比其他缓存更快速的响应速度；解决服务器端的 “连接塞车” 问题。对同一个内容的并发请求通过 TM后， 只会产生一个请求到后端服务器；动态调整缓存空间。 Array TM可以根据系统负载动态调整缓存空间大小， 在系统需要更多内存处理 HTTP请求时，可以自动减少缓存空间，将部分内存归 还系统；在系统负载降低后，再将该部分内存返还，继续作为缓存的空间；提供防 DOS攻击的好处

36、。9.10 、SSL加速技术SSL（安全套接层协议）已经成为互联网安全通信的标准协议。它是一种对 用户进行鉴权的公钥加密方案。 首先，服务器向客户机发送承认其可靠性的认证。 然后，使用共享密钥来对发送方与接收方之间的数据进行加密。 例如，当发送方 确认接收方正确无误时，会为数据包加上一个安全的“外壳” （加密），同时通 过线缆传输此数据包。 必须在目的地将此 “外壳”去掉，才能使用该数据包信息。其它的步骤还包括： 认证、加密和解密， 这极大地增加了 Web服务器的流量处理 负担。Array SSL 加速特性： 通过专用硬件 SSL 加速卡实现高性能的 SSL 加速； 同时支持异步和同步的加密加

37、速服务； 通过突破性的专利技术 SpeedStack? 技术保障高性能； 可以同时处理 SSL 流量和非 SSL 流量； CSR 能产生证书的申请，同时生成一个临时的证书用于测试； 能为 Open-SSL， Apache-SSL and Microsoft IIS 导入 PEM格式的证书； 能导入 Chained (intermediate) certificates ； 利用 X-Forwarded header ，把用户的 IP 地址传给服务器，用于 LOG记 录用户的访问； 支持当今流行 128 bit 加密密钥。 Array TM 每秒钟可以处理 5000 个 SSL交易，并以 750

38、Mbps的吞吐量同 时处理 32000个 SSL连接。9.11 、 LLB(Link Load Balancing )技术目前为避免 Internet 接入中断所造成的损失，采用多宿主的解决方案来。 在这里所提及的“多宿主”通常指同时使用不同 ISP 提供的多条 Internet 接入 链路。可用性的提高来自于多条链路的使用， 但是这种多宿主网络目前存在几个 严重的问题， 一是对于流入流量来说， 不能保证链路的同时使用， 多宿主解决方 案的部分优点无法实现。 二是内部网络同时使用两个 ISP 提供的地址，一部分内 部用户( A组)使用 ISP1提供的地址，另一部分内部用户( B组)使用 ISP

39、2 提 供的地址，当 ISP1 的链路中断时， A 组的用户将无法接入 Internet 。Array 的 LLB（链路负载平衡） 技术能轻松横跨多个链路连结以传送数据流 量，无需在路由器上进行复杂的 BGP设定；智能管理不同 ISP 提供的 IP 地址网 段；保证优化所有的 ISP 链路，即通过智能负载均衡所有通过可用链路的流量； 使用 Array 的 SmartNAT和 SmartDNS、最小响应时间检测算法来选择用于输入输 出流量的最佳 ISP；确保两个 ISP 链路同时应用与所有的流入流量，保证连接的 畅通。Array TM 是专门为企业实现链路负载均衡设计，它具有以下优势：? 支持多

40、宿主网络，保障企业可以从不同运营商租用链路? 实现流入 / 流出双向流量负载均衡? 支持防火墙负载均衡? 支持链路和路径健康检查，智能的将不可用的链路排除，保障对Internet 访问的永远可用? 支持最短响应时间的监测机制，使用户获得更高的服务质量? 支持策略路由，方便企业人工调控业务流量分配? 支持 11的集群，保障 TM本身的高可靠性和高性能? 可以和 SLB/GSLB/Cache等功能无缝集成，方便企业未来功能扩展? 性价比是业界最优秀的。9.12 、HTTP压缩技术采用 HTTP 压缩技术可以大大提高网络带宽的利用率。 Array 设备采用了 HTTP 压缩技术，即时同轴的 HTTP

41、压缩功能可将效能提升为原来的 6 倍，并大幅 节省传送网络服务与其他动态内容时所需的频宽。采用 Array HTTP 压缩的优势：节省带宽；缩短用户下载内容的时间；在 Web Server 上不需要压缩功能，减轻了 Web Server 的负担9.13 、技术措施结合绍兴公安情况，我们考虑采用单臂旁路的模式进行部署。绍兴公安的 核心系统主要分布在绍兴市局核心机房内，在核心机房内已部署多套安全设备， 现增加 APV3520应用加速设备可以为绍兴公安网上办事大厅系统提供了可靠的 运行保障，确保整套业务安全、高效的运行。详细部署情况如下图所示：公安内网 公安内网我们将两台 APV设备采用单臂旁路连接方式 ( 主要的有优点是无需改动网络拓扑，具有 良好的扩展性 - 将来对应用扩容只需在配置上稍作改变即可实现扩容目标， 部署过程中不会 对现有应用系统造成任何影响 ) ，分别连接到各自的核心交换设备上。两台 APV在实现集群 (Cluster) 功能的同时，实现对后台 WEBSERVE的R负载分担功能。 具体客户端应用访问流程如下：1、客户端访问 APV配置的 VIP 和端口2、客户端的访问数据经过 APV负载均衡功能处理后发送到 WEBSERVE实R例上3、WEBSERVE收R到请求后将请求转发给数据库服务器4、数据库服务器将请求内容回交给WEBSERVER5、WEBSEREV