2021年-苏州广电解决方案--2-v2

1、A10 智能应用网关 广电行业解决方案 2013-2-5 10智能应用网关系统综述 l A10智能应用网关系统综述 l 缓存优化 l 链路优化 l 链路NAT l 流量策略 l 安全/监控 l 设备型号推荐 ADP虚拟分区技术 将同一台物理设备划分为多个独立的虚拟分区 每个分区负责不同功能/可以有独立的管理人员 axAPI动态接口技术 axAPI提供设备的对外(对内)管理和调整接口 不同分区可通过axAPI互相关联; 例如智能DNS分区内域名的调整可自动和策略分区内的域名联动 l A10智能应用网关系统综述 l 智能DNS l 缓存优化 l 链路优化 l 链路NAT l 流量策略 l 安全/监

2、控 l 设备型号推荐 智能DNS技术 控制整个网络的DNS解析权 透明部署,无需用户修改DNS配置 透明劫持,无论用户DNS设置为任意IP(例如google DNS ), 最终使用广电认可DNS解析 按照第三方链路的使用率智能调整用户使用DNS 例如电信链路接近满负荷时，可将重要应用使用联通DNS解析，将流量迁移至联通链路 可直接根据域名调整是否使用本地/省公司缓存 例如可根据Top 100网站，根据域名解析直接引导用户至缓存系统 智能DNS技术 A10设备具备运营商级别的DNS功能 DNS缓存 DNS应用防火墙 可根据域名设置DNS策略 最大千万级的QPS响应能力，远高于其它D

3、NS产品 最大百万级的DNS缓存条目数 百万级的PBSLB策略条目数，提供足够的安全策略 可对DNS应用服务进行精确的探测，当应用出现故障时，可做到及时的业务切换，不仅仅是网络层的探测 启用IP Anycast时，可开启多个OSPF进程，稳定性和安全性远高于安装路由插件的方式 专用负载均衡产品，提供灵活的负载分担算法和极高的安全性 用户访问流程 客户DNS请求; 例如等；到用户设置本地DNS 本地DNS递归查询到域名解析的对应服务器IP 客户发起对目标IP地址的访问 广电网络通过策略/静态路由等引导用户流量 可根据策略引导用户进入本地自建或省公司缓存 可根据策略引导用户进入第三方链路使用(通常

4、根据目的地址归属地静态选路) 使用第三方链路时需要考虑NAT转换 网络控制点 DNS的控制 决定用户流量的至关重要的第一步 核心策略的实现 包括根据应用引流，限制，丢弃等等 缓存系统的优化 包括流量的引入, 负载的分配，故障时的自动应对等 第三方链路的优化 链路的选择使用和NAT的性能等 智能DNS技术 A10的DNS应用防火墙功能 DNS缓存 DNS应用防火墙 可根据域名设置DNS策略 l A10智能应用网关系统综述 l 智能DNS l 缓存优化 l 链路优化 l 链路NAT l 流量策略 l 安全/监控 l 设备型号推荐 缓存优化技术 A10设备丰富强大七层功能易于和缓存系统集成 七层过滤

5、功能 流量均衡分配 故障自动探测和自适应调整 七层过滤功能 使用A10作为之前的智能流量调度，可以智能分辨出HTTP的GET流量；仅将这一部分流量引入缓存，提升缓存系 统的有效处理能力 流量均衡分配，平衡缓存CPU使用 可根据URL Hash分配流量，也可以根据最小连接数等多种手段均衡分配流量至后台每个缓存engine，确保各个 缓存服务器的CPU均衡使用 故障自动探测与告警 A10设备可定期检测缓存engine能否正常处理特定的页面请求；实现和缓存联动提供故障自动探测的手段，并可 触发邮件，日志等告警发送给外部管理员 故障自动适应调整 A10设备在监测某台缓存engine故障后；会自动将对应

6、这部分流量的从其他出口转发，bypass缓存系统。在该缓 存engine恢复后在自动将流量恢复至该缓存engine。 缓存独立部署+A10 缓存优化 流量筛选 使用TCP 80端口的非HTTP协议 可能会受到影响；需要手工根据 目标IP进行透传 (根据经验+用户报障调整) 智能区分HTTP和非HTTP流量； 无需手工配置调整 用户发帖 溯源问题 用户使用TCP 80端口在网上发 帖子等会使用缓存本身的IP地址； 1）增加了缓存负担，此种流量 无法缓存/复用 2）增加了溯源问题的复杂性 A10 可以进一步将HTTP Post流量即用户发 帖子的流量不再进入缓存而直接转发； 同时避免了缓存的负担和

7、溯源问题 流量分发 主要使用WCCP方式，基于四层 选择服务器，可能会出现缓存服 务器负载不均衡情况 可根据七层方式用户访问URL +文件名选择 服务器，提高缓存命中率并均衡各服务器负 载情况 七层过滤无 可根据域名决定是否进入缓存(例如， 可以七层直接透传；不进入缓 存)进一步提高缓存效率和提供用户精细控制 缓存独立部署和优化后的对比 缓存优化技术 选路并分配流量 用户流量疏导引入 Port 80 TCP流量 HTTP GET流量进入缓存 可通过7层域名分辨 非Port 80 TCP流量 缓存回源流量 不适合进入缓存的流量 透明缓存系统-A10 联动透明缓存系统-A10联动的优势 缓存优化技

8、术 l A10智能应用网关系统综述 l 智能DNS l 缓存优化 l 链路优化 l 链路NAT l 流量策略 l 安全/监控 l 设备型号推荐 链路优化技术 A10设备多种灵活方式的链路分配和备份技术 智能链路健康探测与告警 多种链路选择方式/防止链路过载 动态优化/运营商对应等 多种链路备份技术 链路优化技术A10设备以高性能，多功能，高稳定见长 非常多的实际部署案例 超过10G的真实用户流量案例 链路优化技术 带宽情况历史流量统计 按照带宽使用分配的实际结果截图 透明缓存系统-A10联动的优势 链路优化技术 用户缓存+链路优化的部署案例 缓存优化A10设备 链路优化A10设备 l A10智

9、能应用网关系统综述 l 智能DNS l 缓存优化 l 链路优化 l 链路NAT l 流量策略 l 安全/监控 l 设备型号推荐 透明缓存系统-A10联动的优势 大规模NAT技术 A10设备支持针对运营商的新一代NAT技术 根据应用使用NAT,确保网银正常 高性能NAT转换设备 高新建和高并发NAT会话数 新一代LSN(CGN)NAT技术 透明缓存系统-A10联动的优势 大规模NAT技术 透明缓存系统-A10联动的优势 大规模NAT技术 NAT地址池中的实际应用结果截图 l A10智能应用网关系统综述 l 智能DNS l 缓存优化 l 链路优化 l 链路NAT l 流量策略 l 安全/监控 l

10、设备型号推荐 多种灵活策略技术 系统强大CPU支持丰富的策略 可根据acl设置划分多种流量类型 可作为代理网关,分析流量类型 A10设备可根据acl 5元素+时间设定灵活的流量类型 A10设备DPI技术可探测TCP, UDP所有报文的内容，根据特征值分析流量 不同流量类别可以分别设置不同的策略，例如选路，流量限制等 多种灵活策略技术 DPI技术监测报文中的特征值分辨流量 多种灵活策略技术 Wildcard Virtual Server (Wildcard VIP) 用于绑定一个虚拟IP , 符合某一条 ACL规则的流量会使用该VIP并根据该VIP 内设定的策略选路。 AX设备允许

11、设置多个Wildcard VIP，根 据ACL优先级别排序；同时在每一个VIP中 可以根据TCP, UDP或者其他流量类型设置 具体的选路规则。 l A10智能应用网关系统综述 l 智能DNS l 缓存优化 l 链路优化 l 链路NAT l 流量策略 l 安全/监控 l 设备型号推荐 安全/监控技术 系统可启用多种安全手段 可配置基于用户的连接数目限制 可抵御来自内外网的SYN攻击 提供端口镜像功能 提供SYN Flood防攻击和其他多种防止攻击手段 可配置基于用户的会话数限制 可向外发送NAT和WEB日志 安全/监控技术 来自内网的SYN Flood攻击对出口链路使用造成影响(安全功能未开启

12、时) Apr 22 19:20:47 info IPS: event: from src to dest: 1 times Apr 22 19:20:47 info IPS: event: from src to dest: 1 times Apr 22 19:20:47 info IPS: event: from src to dest: 1 times Apr 22 19:20:47 info IPS: event: from src to dest: 1 times Apr 22 19:20:47 info IPS: event: from src to dest: 1 times Ap

13、r 22 19:20:47 info IPS: event: from src to dest: 1 times Apr 22 19:20:47 info IPS: event: from src to dest: 1 times Apr 22 19:20:47 info IPS: event: from src to dest: 1 times Apr 22 19:20:47 info IPS: event: from src to dest: 1 times Apr 22 19:20:47 info IPS: event: from src to dest: 1 times Apr 22

14、19:20:47 info IPS: event: from src to dest: 1 times Apr 22 19:20:47 info IPS: event: from src to dest: 1 times Apr 22 19:20:47 info IPS: event: from src to dest: 1 times Apr 22 19:20:47 info IPS: event: from src to dest: 1 times Apr 22 19:20:47 info IPS: event: from src to dest: 1 times 安全/监控技术 来自内网

15、的SYN Flood攻击对设备的吞吐造成影响(安全功能未开启时) 源地址假冒； 目的地址随机或受控 防止攻击启用之前 攻击流量转到每个链路上 防止攻击启用之后 攻击流量被设备屏蔽 l A10智能应用网关系统综述 l 智能DNS l 缓存优化 l 链路优化 l 链路NAT l 流量策略 l 安全/监控 l 设备型号推荐 设备型号推荐 AX 3030(用于大流量链路疏导时） 设备型号推荐 AX 3030 技术参数 物理尺寸1U CPU型号Intel Sandy Bridge 处理器数量4 内存16 GB 硬盘SSD固态硬盘 Flash卡1G 10/100/1000铜口6 千兆光口2 万兆光口2 L2/L3 ASIC包含 风扇热插拔智能风扇 冗余电源支持包含 电源 冗余电源 AC输入电压 100 240 VAC 频率 50-60Hz 每个 188 Watts 可热插拔 运行环境温度0-50;湿度5%-95% 认证许可 FCC Class A, UL, CE, TUV, CB, VCCI，CCC 技术