IDC精品特服区解决方案技术白皮书

1、idc精品特服区解决方案技术白皮书 一.前言1.1需求分析idc 将传统的isp和icp的优势结合起来，高可靠性的运行环境保证和最大限度的带宽保证是传统idc 生存的基本要素。随着互联网的迅猛发展，专门提供主机托管及相关服务的idc也迅速发展，竞争越来约激烈。如何通过通过细化服务产品，捕捉不同客户的差异化需求，增强本idc的竞争力，是出给idc管理者的难题。目前，idc除了提供电信级的设备运行环境，骨干网级的带宽容量之外，还在网络应用安全，高可用性保障、可管理性等方面做文章，在机柜租赁，主机托管，虚拟主机的传统业务之后还争相推出了防火墙租用服务，入侵检测租用服务，缓存租用，远程监控服务等等。并

2、提出精品idc的概念。1.2方案提出以citrix netscaler 产品为核心组成的精品idc解决方案，强调了应用交付优化的理念，为idc提供了一系列增值服务，其主要功能包括：l 支持多址镜象备份，异地服务器状态检查，异地负载分担。l 支持多链路聚合，解决电信和网通互联瓶颈问题。l switching-url，解决公网地址短缺和虚拟主机负载均衡的问题。l 内容缓存的应用加速服务。l 压缩加速l 流量浪涌保护功能。l tcp 优化连接，提升服务器的处理能力。l 安全保护功能。l 多设备并行处理。二.方案功能介绍2.1多址镜象备份、异地服务器状态检查、异地负载分担(智能dns解析)随着企业对电

3、子商务或信息系统可靠性的要求越来越高，一个企业可能将自己的主机托管到多个idc，这些服务器是主服务器的镜象，通过多址镜象保证服务的可靠。将异地服务器组成ha的系统。通过对用户域名的智能dns解析，将流量引导到离客户local dns 最近的服务器或带宽情况最好的服务器上，就近访问和带宽保证措施提升了用户的访问质量。2.2多链路精品区目前，中国电信和中国网通的网间互访存在着延迟大的问题，能解决这个问题就会极大的增强本企业idc的竞争力。citrix netscaler通过静态路由表的方式,不仅解决了多isp互联互通的问题,同时又保证了链路的冗余,网络的强壮.所以多链路负载均衡是idc精品形象的重

4、要内容之一。2.3 switching-url基于url交换是支持idc双链路特服区的重要功能。idc在接入多链路的时候，由于不同运营商的公网ip不能随意互相广播，所以只能使用nat的模式。一台服务器正常工作就需要对应属于不同运营商的两个ip地址。这有可能存在某个运营商的ip地址不够用的情况发生，citrix netscaler的switching-url功能,通过检查报头中的url字段,使一个ip地址对应多个域名,同时在内部对应多个web服务器的方式，来达到为idc节省宝贵ip地址资源的目的。内容交换，也叫做七层交换。七层交换的特点就是可以根据不同的应用或是七层的数据包信息来对流量进行分配。

5、如下所示：七层交换可以根据用户请求的七层信息（如url，http header等），在经过策略来决定流量的去向。并且netscaler独有的appexpert引擎可以非常灵活的来控制流量的去向。internetserversweb1web2和为同一个ip2.4内存cache目前很多站点都是动态页面，这种页面的生成每次都需要调用存储在数据库里的内容，因此网页浏览量的增加，将产生了大量的数据库查询操作，使数据库服务器的压力不断增加，导致网站的整体性能不断下降。缓存技术是减少数据库访问量，增加web应用性能的一个很好的方法。netscaler的内存缓存技术，采用动态和静态应用数据综合内容缓存功能，c

6、itrix netscaler系统可大幅减少企业网络应用所需的数据库取出操作次数。打个比方，多个用户需要相同应用数据时，citrix netscaler系统可直接从内存缓存提取内容来服务用户。由于无需重复生成常用应用数据，高性能缓存可大大减轻应用基础架构包括数据库资源的负担。 netscaler的内存缓存技术，使得netscaler系统可以卸载很大部分服务器对于请求的消耗，使数据库不再成为网络性能的瓶颈，使站点可以更快的向最终用户传送内容。静态以及动态内容都可以支持，缓存的策略以及有效性也可以灵活的设置。高性能的缓存以及压缩，内容交换等其他优化技术一起协同工作，使得用户响应时间达到最佳，并且w

7、eb站点的客扩展性也显著提高。2.5压缩加速目前在网络用户中存在一些使用低带宽、高延时wan和拨号连接方式的用户，这些用户使得服务器处理能力降低，客户等待时间延长。同时，大量的网络流量，也使网络出口资源紧张，而使所有的用户等待时间延长。netscaler的appcompress解决方案很好的解决了上述问题，appcompress是一种可高效压缩所有应用数据流量的技术。通过降低发送到客户端的数据数量，citrix netscaler解决方案可立刻将总带宽需求降低50%或更多，改善所有用户的应用性能，特别是采用wan或其它远程连接方式的用户。下图是tolly group在2005年对appcomp

8、ress压缩性能的测试报告： appcompress for httpappcompress for http的高级http压缩功能加速了对所有用户的web化应用数据交付过程。它将标准web化页面应用发布过程提高了2到3倍，甚至将某些企业应用数据发布过程提高了7倍，而未增加任何客户端技术。同时，该功能还卸载了web服务器的计算密集的压缩过程，因此企业无需追加基础架构投资就能服务更多用户。 appcompress mpappcompress mp是一项多协议压缩技术，可以对非web的应用进行压缩，可改善用户经全/富客户端（如microsoft® outlook）、非web瘦客户端（由大

9、众化企业应用如oracle、行情发布系统等）以及移动客户端（如pocket pc）进行应用访问的性能。 appcompress extreme通过清除http内容中的冗余数据，appcompress extreme技术改善了标准化http压缩性能。该技术提供了一种强大的压缩引擎，以策略为导向，可立即计算出应用数据的差异，然后将变更数据发送给用户。压缩效率比普通的http压缩更为强大。2.6浪涌保护当用户访问量出现突发式的增长，往往导致服务器不堪负荷而宕机，这一问题对用户来说意味着对这个站点失去了信心，从而导致客户的损失。netscaler的浪涌保护机制，能够平滑网络流量，起到削峰平谷的作用，使

10、后台应用服务器安全度过网络高峰期。如上图，在没有netscaler的时候，随着客户连接数的增加，服务器的连接数也不断增加，当服务器端连接数到达一个阀值之后，服务器资源耗尽，不能回应任何客户请求。部署netscaler之后，当服务器连接数达到规定数值后，netscaler浪涌保护机制启动，缓存当前的客户请求，使后台服务器安全度过网络高峰期。2.7ssl加速 目前很多系统，如网上交易等系统都是采用加密协议的。ssl加密无疑是当前最好的安全交易方式，ssl的安全加密、安全认证和数字签名等系统为用户的网上交易提供了一个安全的通道，目前很多重要的电子交易系统，如网上银行、民航电子客票系统等，都建立了基于

11、ssl技术的网上交易系统。 ssl 在 web 服务器上完成，大多数 web 服务器支持ssl。但是，ssl是一个极其消耗 cpu 的进程，通常会降低整个服务器的性能。一个普通的服务器一般只能每秒处理几百个会话 (tps) ，并且较少的加密吞吐量nescaler内置的ssl加速模块，可以从服务器卸载 ssl 进程，并与后台服务器保持明文传送。通过卸载大量占用 cpu 的 ssl 协商和加密解密工作， 改善服务器性能，加速用户的响应时间。加密隧道明文ssl加速优点： 当ssl被用来确保信息的安全性时，可以改善服务器的性能。 可以与所有 request switching的其他特性一起使用,例如压

12、缩， tcp offload, 内置缓存，内容过滤等。 高性能: netscaler 可以支持到 8,800 tps, 760 mbps 加密吞吐量以及高达 750,000 并发连接。 同时，后端与服务器的加密传输也可以作为一个可选项来确保端到端的加密。 web服务器不需要做修改，证书被安装在netscaler上。2.8 tcp 优化服务器超负荷一直是web站点的瓶颈，传统的服务器负载均衡方案在增加服务器以及均衡流量的基础上增加了站点的性能，结果，越来越多的服务器被加入来满足流量的持续增长需求。服务器超负荷通常是由于大量的tcp连接建立和拆除. 因为这需要大量的cpu处理 包含很多无效的进程处

13、理 这限制了服务器提供给用户服务的吞吐量netscaler 优化技术，能够从服务器上卸载了tcp建立和拆除进程。netscaler 充分利用了http 1.1允许多个请求复用到一个连接上的特点。netscaler 终结客户端连接，提取其中的请求，按照负载均衡算法选择合适的服务器，然后在已经建立的常连接上发送请求。如下图：tcp 优化的优点 tcp 的建立和拆除,是一个非常消耗 cpu 资源的进程，现在被极大的减少了。 服务器效率被显著提升。 服务器负载被充分减少。 只要少量的服务器就可以满足流量了。 同样的服务器现在可以为更多用户提供服务了。 对于用户来说完全透明，对于服务器也基本只需很小的改

14、动。2.9安全防护netscaler能够为合法的用户流量提供全性能，能够阻止应用层的病毒攻击，如蠕虫和nimenda病毒；能够阻止网络层拒绝服务（dos）攻击，如syn flood、tear drop和icmp溢出；能够阻止http dos攻击等等。netscaler的内容过滤功能能够基于第七层的协议内容过滤掉非法的请求和病毒。netscaler 能够防范syn flood攻击。netscaler可以经受200万每秒synflood攻击netscaler系统的syn cookie 机制确保了以下几点：l 系统的内存不会浪费在非法的syn包上，实际上，内存只被用来向合法用户提供服务。l 合法用户

15、的普通的tcp对话可以无终断的得到服务，就算系统在syn flood攻击下也是如此。l 正由于内存只在收到http请求后才予以分配给连接， netscaler系统使得web站点避免受到了 “空闲连接” 攻击。netscaler 还能有效的防范7层 dos 攻击。一般来讲，有两种类型的7层 http dos攻击： get攻击以及 idle攻击。 对于get攻击,黑客在一个连接建立后发出非常多的get请求。 对于idle攻击，攻击者在连接建立后恶意停止一切活动而空闲等待。 netscaler 系统在处理时，当连入的session速率达到一个预先设定的门限值时，dos防卫功能就自动触发。 netsc

16、aler 9000系统会抽样对一部分客户端请求发送带有set-cookie的响应。 恶意攻击主机通常不会响应set-cookie，所以这些攻击包就会被丢弃。 而普通正常的http请求不会受到影响。 这个触发的门限值以及发送set-cookie的比例值可以针对每个服务来精细微调。 并且，由上所述，连接不会在第一个get请求到达前建立。所以netscaler系统也可以有效的防止idle攻击。2.10多设备并行处理 鉴于一些idc具有高带宽出口线路的情况,采用多台设备接入并行工作的方式, 以满足高带宽出口的需要.三、netscaler 产品线3.1citrix公司介绍思杰系统公司（纳斯达克代码：ct

17、xs）是全球领先的以及最值得信赖的按需接入基础架构解决方案提供商。全球有18万多家企业都在使用思杰接入平台为用户提供最好的应用接入体验。思杰客户包括100%的财富100强，98%的财富500强，以及成千上万家小企业和个人用户。思杰在100多个国家拥有约6200多渠道商和合作伙伴。思杰公司2005年年收入达到9.09亿美元。2005年8月，思杰系统公司收购了私有netscaler公司，一家专门提供用于优化重要网络化应用部署的综合网络解决方案的领先技术厂商。通过采用citrix netscaler优化所有网络化应用并利用citrix presentation server虚拟化所有传统和客户端/服

18、务器应用，各地客户可随时随地让任何用户接入任何应用，并且提供最好的接入体验。五年前，netscaler开始实施一项伟大计划，改善全球企业的网络化应用部署和交付。我们的目标是在提高应用安全性和降低应用的总拥有成本的同时改善应用用户的满意度和生产效率，让用户体验到真正的不同。有了这个目标，netscaler开发出了革命性的应用部署解决方案，将传统数据中心网络产品的所有功能如负载平衡、缓存、压缩、ssl加速和安全性融入了单一的综合解决方案，经过全新设计，提供了无与伦比的性能和可靠性。如今，上百家全球财富1000公司都依靠citrix netscaler产品来改善其至关重要的网络化应用的性能、安全性和

19、可靠性。而且，通过google、ebay、a、yahoo！、msn、e*trade、 s、betfair、ticketmaster和其它数十家全球热门网站，citrix netscaler产品改善了75%因特网用户的接入体验。除了将应用性能提高到15倍以外，citrix netscaler解决方案还最大程度地提高了应用的正常运行时间，将后端服务器负荷减少了一半，极大地降低了总运营成本。结果，思杰成为目前唯一一家可在任何地方为所有客户提供真正意义上的最好应用接入体验的公司，应用包括客户端/服务器、网络、电子邮件、协作、文件接入和语音。citrix系列主要有两个系列的产品。即应用加速器系列及应用交

20、换机系列。3.1citrix netscaler产品线特性矩阵citrix netscaler产品线特性矩阵特性应用交换机企业版应用交换机标准版应用加速器加速终端用户性能citrix® appcompresstm for httpcitrix appcompress mptcp客户端优化citrix® appcompress extremetm··········增强应用可用性4层负载平衡7层内容交换4层dos防御7层内容过滤7层dos防御广域服务器负载平衡（gslb）基于邻

21、近广域负载平衡浪涌保护优先排队··············改善数据中心效率tcp多路复用tcp缓冲ssl卸载和加速citrix® appcachetm高速缓存重定向············可用硬件平台12000、10000、9000、700070009000、70003.2citrix netscaler 应用交付系统硬件性能指

22、标硬件平台120001000090007000支持产品应用交换机企业版应用交换机企业版应用交换机企业版应用交换机标准版应用加速器应用加速器应用交换机企业版应用加速器平台属性处理器双单单单内存4 gb4 gb2 gb1 gb以太网端口8×gbit sfp铜或光端口1×100/10base-t4×gbit光端口 或4×1000/100base-t1×1000/100base-t4×gbit光端口 或4×1000/100/10base-t1×1000/100/10base-t2×1000/100/10base-t6×100/10base-tfips支持可用平台性能每秒http请求275,000250,000125,00050,000每