信安世纪NSAE-LT链路负载均衡产品技术白皮书V1. 4

1、信安世纪应用平安网关链路负载均衡系列产品（ nsae-lt ）技术白皮书信 安 世 纪 科 技 有 限 公 司infosec technologies co.ltd二零零九年学问产权声明本白皮书中的内容是信安世纪nsae-lt产品技术说明书。本材料的相关权利归信安世纪公司全部。白皮书中的任何部分未经本公司许可，不得转印、影印或复印及传播。© 2007 信安世纪科技有限公司all rights reserved.nsae-lt链路负载均衡产品技术白皮书信安世纪科技有限公司北京市西城区南礼士路二条甲1号月坛抱负大厦6层电话：(86-10) 6802 5518传真：(86-10) 6802

2、 5519邮编：100045网址：电子信箱：support信安世纪科技有限公司目 录前言1第 1 章 产品概述31.1 产品背景31.2 产品简介41.3 产品型号错误！未定义书签。1.4 nsae-lt 产品应用4第 2 章 产品功能52.1 功能特性52.1.1 基本功能：链路负载均衡（llb）62.1.2 其他功能82.2 部署方式132.3 产品优势14第 3 章 技术特性163.1 产品特性163.2 性能特性错误！未定义书签。第 4 章 总结17信安世纪科技有限公司前 言当前，无论在政府网、金融网、企业网、校内网还是在广域网如 internet 上， 业务量的进展都超出了过去最乐观

3、的估量，用户大量的信息恳求，不断更新的应用需求以及对业务不间断的持续访问，成为应用服务商解决互联网服务，获得用户认可的关键因素，即使依据当时最优条件配置建设的网络，面对不间断、快速的用户增长，服务器也会无法担当。原有链路也会由于用户量的不断增大导致用户访问速度过慢，链路拥塞，网络故障频繁，尤其是各个网络的核心部分，其数据流量和计算强度之大，使得单一设备根本无法担当，而如何在完成同样功能的多个链路及网络设备之间实现合理的业务量安排，使之不至于消灭一台设备过 忙、而别的设备却未充分发挥处理力量的状况，成为信息供应商及应用服务商必需克服的问题，负载均衡机制也因此应运而生。负载均衡建立在现有网络结构之

4、上，它供应了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网络数据处理力量，提高网络的机敏性和可用性。它主要完成以下任务：解决网络拥塞问题，服务就近供应，实现地理位置无关性； 多条链路接入，依据链路响应速度，供应最快的访问方式，针对故障链路进行智能自动切换，保证客户不间断访问；为用户供应更好的访问质量；提高服务器响应速度；提高服务器及其他资源的利用效率；避开了网络关键部位消灭单点失故障导致全部服务停止。针对负载均衡的运行机制及应用策略方面，依据负载均衡的工作原理可以分为链路负载均衡、服务器负载均衡、广域网负载均衡三种负载均衡方式。三种负载均衡机制，依据用户针对不同环境及应用的负载均衡要求进

5、行服务，满足用户对各个应用层面及网络层次的负载均衡需求。总之，负载均衡是一种策略，它能让多条链路或多台服务器共同担当一些繁重的计算或 i/o 任务，从而以较低成本消退网络瓶颈，提高网络的机敏性和可用性。针对当前形势，信安世纪公司分析各行业多种应用的恳求，自主研发了适用于广域网、内部网、独立子网的链路负载均衡设备 nsae-lt。解决客户针对链1路负载均衡、服务器负载均衡的各种需求。信安世纪科技有限公司信安世纪推出的 nsae-lt 系列产品，实行了all in one 的设计策略，把服务器负载均衡、链路负载均衡、广域网负载均衡三种产品集成在一个设备中。真正实现了链路、服务器、广域网负载均衡三种

6、服务的无缝接入。在最低成本的把握下满足了客户多方面的应用需求。并且在无需转变现有网络的状况下，即可进行负载均衡设备的部署及升级，在应用及网络层次增加了客户系统的平安性及稳定性。2信安世纪科技有限公司第1章 产品概述1.1 产品背景随着网络通信的进展，网络规模的不断扩大，以及数字接入专线价格的不断下调，客户对业务的需求也随着网络通信的不断进展变得更加多样化，对运营服务的要求也越来越严格，如何充分利用服务资源，平衡链路利用率，提高客户访问速度，确保客户的不间断访问以及链路服务的正常运转和切换，已经成为运营服务商提高服务，争取更多用户认可的首要难题。目前用户普遍接受电信、网通、训练等多链路接入，实现

7、链路自动切换， 为外网及内网用户供应 7*24 小时的不间断访问，当其中一条链路消灭问题后， 系统自动切换到正常的链路上工作，保证服务的不间断运行。由于多链路解决方案能够供应更好的可用性和带宽性能，它正在被越来越多的企业所接受。可用性的提高来自于多条链路的使用，而性能提高则是由于同时使用多条链路增加了带宽扩充了流量。多链路方案能够提高企业业务的可用性和性能，但这种方案也面临着特别的问题和挑战：l 在多链路环境的实际应用中，链路没有更好的进行负载分担；l 多链路网络解决方案仅仅是“共享”式，而不是真正的负载均衡；l 由于各个运营商之间存在互联互通的问题，没有实现依据网络就近性的路径推断；l 对流

8、入的流量没有很好的解决依据网络的就近性来导向用户的访问恳求，使外部的用户能最快的访问对外服务；l 对流出的流量无法解决自动选择最快链路，达要目标资源的访问策略；l 对于链路的健康状况也不能实时监测，也解决不了链路容灾，也就是当某一条链路消灭故障后，将其流量导向另外链路的策略。基于以上的问题，链路负载均衡的解决方案成为众多服务商、以及多链路接入客户必需解决的问题。31.2 产品简介信安世纪科技有限公司信安世纪应用平安网关系列产品（后简称 nsae）是一款集成了链路负载均衡、服务器负载均衡等多种功能于一体的新型应用前端加速负载均衡设备， 具有 ssl 加速、链路负载均衡、广域网负载均衡、集群、应用

9、平安防火墙、高速缓存、http 压缩等多种功能可以自由选择。nsae-lt 是 nsae 产品系列中专用的链路负载均衡设备，充分考虑了用户的实际需求，可以极大的改善企业应用的牢靠性、性能和平安性，同时降低了整体成本和数据中心的简单度，提高了应用的处理力量，为用户供应了全新的易用、高效、稳定的保障信息平安的屏障。1.3 nsae-lt 产品应用产品应用同类产品往往由多个单一功能设备组成，数据传输延迟大、治理维护困难， 用户往往为了实现一个简洁的需求需要转变整个网络结构或需要购买其它的网络硬件产品。而 nsae-lt 则集多功能于一体，具备高性能、高牢靠性，为客户节约大量的硬件、维护、设置、和人力

10、方面的投入。通过部署 nsae-lt 设备，不仅对用户上行流量支持链路的负载均衡，还可以通过配置实现对内部防火墙或后台服务器的负载均衡。通过 nsae-lt 产品的部署削减了网络的简单性和用户成本的把握。4第2章 产品功能2.1 功能特性nsae-lt 产品系列除供应专业的链路负载均衡功能（ llb）外，还是一个真正的将众多重要的网络功能合为一体的集成化应用系统，这些网络功能包括服务器负载均衡（slb）、全局服务器负载均衡（ gslb）、ssl 加速、 webwall平安、 http 压缩等。通过 nsae-lt 链路负载均衡设备部署，可以有效整合用户现有链路，保障用户接入服务的不间断性及稳定

11、性，保障内网用户访问外部资源的速度，链路负载均衡无论针对内网用户和外网用户，都起到了良好的效果。具体表现在：内网用户访问因特网流量的负载均衡：当内网用户访问因特网上的其他服务器时，链路负载均衡设备能够自动挂念用户选择、推断多条接入链路中状态最好的一条，加快了用户访问速度、及服务响应时间，屏蔽了由于南北电信互访、网络响应速度过慢、带宽资源无法充分利用带来的一系列问题；并且一旦其中任何一条链路发生问题时，另外一条健康的链路将承载全部网络访问，而当发生问题的链路恢复正常后，网络服务自动恢复负载均衡状态。外网用户访问网内服务器的负载均衡：当外网用户访问内部服务器时，链路负载均衡设备除了能挂念实现上述效

12、果的同时，还可以通过对链路状态的检测动态推断用户恳求dns ip 地址，这样众多的外网用户在访问同一服务器域名时nsae-lt 设备将依据用户访问恳求推断用户所属区域，依据定义的服务策略（轮询、加权轮询、最快响应时间、源地址路由）等，返回依据策略定义的链路服务地址。通过多链路接入，不仅保证了用户访问速度、服务响应时间还保证了服务商业务的不间断及稳定性。2.1.1 基本功能：链路负载均衡（llb）nsae-lt 链路负载均衡可以解决多链路下流量分担的问题，为用户的多链路的网络应用供应了最好的解决方案。通过 nsae-lt 的链路负载分担功能，能够对用户的多链路的网络应用供应基于inbound 和

13、outbound 的链路负载分担功能,解决多链路下流量分担的问题。通过 nsae-lt 产品的部署很好的解决了南北电信互联互通、链路冗余、链路智能切换、链路负载、加速流量处理速度、提高服务响应速度等问题。 inboundinbound：通过互联网访问拥有多条链路接入的 nsae-lt 内网应用服务。当有 internet用户访问用户应用网络时，dns服务器回应给用户由nsae-lt完成的最终地址解析，nsae-lt 依据具体设置来选定适当的isp 线路，假如选择 isp1，则将地址解析为 isp1 的路由地址。同样，假如选择 isp2，则将地址解析为 2 的路由地址，从而完成流入

14、流量的负载均衡。接受 smartdns（智能dns）时，llb 支持的负载均衡算法包括：² round robin（轮询）nsae-lt 挨次的将多个isp 的 ip 地址作为每次用户解析恳求的返回值。² weighting round robbing(权重轮询)nsae-lt 为每个 isp 的 ip 地址设定一个加权值，并依据加权值挨次的选择多个 isp 的 ip 地址作为每次用户解析恳求的返回值，权值大的 isp 的 ip 地址被选择的次数多。通过此算法，企业可以在多条带宽不同的链路间合理安排流量，带宽高的链路权值大，因此承载的流量就高。² shortest

15、 response time（最快响应时间）对于流入的流量，nsae-lt 使用与流出流量相同的最短响应时间推断机制，选择最佳的流入流量传输路径，进行最终的解析地址。² source ip-based routing（源 ip 路由选择）依据企业网络的特点，nsae-lt 还供应基于每个数据流的源ip 地址的路由选择算法。nsae-lt 会检查每个用户解析恳求的源ip 地址是否属于预先设定的一个地址范围，若是，则选择某一个 isp 的 ip 地址作为该次用户解析恳求的返回值。通过此算法，企业可以设定源 ip 地址属于训练网范围的，通过训练网的链路流入，其他流量则通过另一条链路流入。2

16、.1.1.2 outboundoutbound：从内部网访问互联网通过多条链路接入的nsae-lt。对于流出流量的智能地址治理，nsae-lt 使用了称为 smartnat 的算法。当选定一个路由器（某一个 isp）传送流出流量时，nsae-lt 将选择该 isp 供应的地址。假如 nsae-lt 选择 isp1 作为流出流量的路径，则它将把内部的主机地址 192.168.1.a/24 翻译为 0/24，并作为流出数据包的源地址。同样，假如 nsae-lt 选择 isp2 作为流出流量的路径，则它将把内部的主机地址 192.168.1.a/24 翻译为

17、0/24，并作为流出数据包的源地址。接受 smartnat 时，nsae-lt 支持的负载均衡算法包括：² round robin（轮询）nsae-lt 挨次的选择多个出口链路作为每个数据流的流出路径。² weighting round robbing（权重轮询）nsae-lt 为每个出口链路设定一个加权值，并依据加权值挨次的选择多个出口链路作为每个数据流的流出路径，权值大的链路被选择的次数多。通过此算法，企业可以在多条带宽不同的链路间合理安排流量，带宽高的链路权值大，因此承载的流量就高。² shortest response time（最快响应时间）为了优化流出

18、的流量，nsae-lt 还为流出的流量实施最快响应时间运算。假如内部主机要访问某一 internet 站点，可能通过一个 isp 的路径比通过其他 isp 的路径有效。因此，nsae-lt 可以供应最短响应时间算法，为流出到某一个站点的流量选择最佳的 isp 路径，保证所需内容最快到达目的地，提高服务的品质。² destination ip-based routing（源 ip 路由选择）依据企业网络的特点，nsae-lt 还供应基于每个数据流的目标ip 地址的路由选择算法。nsae-lt 会检查每个流的目标 ip 地址是否属于预先设定的一个地址范围，若是，则选择某一条特定链路作为该

19、数据流的流出路径。通过此算法， 企业可以设定目标 ip 地址属于训练网范围的，通过训练网的链路流出，其他流量则通过另一条链路流出。nsae-lt 通过端口 mnet 或 vlan 功能的配置，能够同时支持 128 条链路实现链路负载分担功能。支持各种速率的链路，比如 dsl, cable modem, t1/e1； 支持多宿主的结构；负载均衡算法: rr、wrr、srt、pbr；可以和 nat 一起工作。同时通过策略路由(eroute)功能，能够更好的满足用户对路由功能的要求。2.1.2 其他功能 内置防火墙（webwall）内建基于状态检测的防火墙webwall，对比其他基于a

20、cl 的防火墙产品，nsae-lt 的webwall 具有独特的加速算法，使得 acl 条目的增加不会影响整个系统的性能。基于 nsae-lt 强大的处理性能（每秒可支持 1,000,000 并发连接）， webwall 可抵挡 dos、sync flood、buffer overflow attacks、parser evasion attacks、directory traversal attacks 等恶意攻击。来自client 端的任何连接恳求都不会直接发到后台服务器，从而保证了整个系统的高平安性。webwall 可从以下几方面有效爱护您的服务器：n 支持应用层 url 的过滤；n 基

21、于包状态检测的防火墙；n 支持 nat 的功能，使内部用户能访问internet 的资源；n 端口的 forward 功能，使用户能远端对服务器进行治理，能把常用的端口映射到服务器的任意端口(端口映射)。常用的端口，比如 80，443，20，21 能映射到服务器任何端口，以此供应更高的平安性，让闯入者很难知道哪些服务运转在哪个端口；n webwall 功能启动后，它将关闭全部的访问；n nsae-lt 支持多达 1000 个访问把握列表；n 通过 https 或 ssl 远端治理，使用 ssh 命令行或以 https 来做扫瞄器界面治理；n 支持 ssl 的平安访问。 集群（cl

22、uster）传统的四层设备，仅支持二台设备工作在 ha 方式下，支持 active/active、active/standby 工作方式，因此四层设备牢靠性，可扩展性，网络吞吐量都受到限制。但四层设备是关键设备，很多四层设备厂家都没有很好解决这些问题。nsae-lt 供应 11 和n1 的冗余配置模式，可以工作在 active/standby方式。在 active/standby 工作方式中，一个 cluster 中 nsae-lt 设备中只有一台设备为 master,其它的设备全部为 backup 状态。当主设备故障时，备份设备转换为主设备成为 master 状态。只有在主设备恢复时，备份设

23、备退出 master 状态转变状态为 backup。如图所示：图中，infosec1 为主设备，处理 slb 流量，infosec2 为备份设备，监听 infosec1的广播，当 infosec1 发生故障时，infosec2 就会接管 infosec1 上的全部流量。n clustering 工作原理² 利用 ip multicast 进行广播，默认值：每 3 秒一次；² 具有最高优先级的成为 master， 若一个备份的 nsae-lt 具有最高优先级，它就成为 master，；² 一个备份 nsae-lt 在 3 秒内，没在听到 master 的广播，它宣布

24、成为master；² 每个设备独立的进行流量的处理，同时又监视本 cluster 中其它设备的工作状态；² 利用 vrrp 的技术实现 （ vrrp虚拟路由冗余协议， rfc 2338）。 快速缓存（cache）cache 技术-解决访问速度缓慢问题infosec nsae-lt接受基于内存的反向代理 cache 功能。通过cache 功能的应用， nsae-lt 产品能够在内存中以数据包的形式对网页及指定内容进行cache(内容缓存)。当用户访问恳求发送到 nsae-lt 时，假如 cache 中的内容能够匹配用户的访问恳求则直接由 nsae-lt 来响应用

25、户的访问，从而避开了对后台服务器的负载压力，在减小了后台服务器负载的同时，提高了对用户的响应速度和整体网站的处理力量。n reverse proxy cache² 兼容 http 1.0 和 http 1.1；² cache(内容缓存)以 “frame” 格式存贮，而不是以文件存贮，从而快速存取，仅仅数据以“ frame”格式保存（不包含 etherent，ip&tcp 的报头）；² 内容保存于 ram，具有更快的存取速度；² cache 内容可以手动删除，自动、手动清除或刷新；² 缓存内容预先装入 (recursive pre-loa

26、d)；² 利用“get if modified（缓存验证模式）:” 恳求，在后台对内容进行有效性验证；² 仅 http get 恳求由cache engine 处理，其它恳求forward 到 slb处理；² 恳求含有 cookies 由 slb 处理。响应含有 cookies 的依据报头的cache 把握信息处理；² http 无 cache 把握报头，自动cache，通过人工删除cache 的内容；² 支持 log squid 格式 (日志恳求)。cache 功能可以在加速用户访问的同时，减轻服务器的负担。 压缩（http压缩

27、）窄带访问应用的访问速度和服务质量的保证始终是网站推广和扩大用户访问所亟待解决的问题。通过nsae-lt 产品中http 压缩功能的应用，能够提高网站访问的通信质量，在向窄带用户供应很高的通信质量的同时，还能够极大的节约网站互联网接入带宽消耗。接受 http 压缩的优势：n 节约带宽；n 缩短用户下载内容的时间；n 在web server 上不需要压缩功能，减轻了web server 的负担。下图是接受 http 压缩前后的带宽利用率比较：由图可以看出，在 15.1mbps 带宽下：² 没有接受 http 压缩时，每秒可以处理 2000 个 http 恳求；² 接受 htt

28、p 压缩时，每秒可以处理 20000 个http 恳求。 连接复用连接复用的主要作用是为了改善现有系统的总体性能，其技术原理是自动实现 http 1.0 到 http 1.1 的转换；tcp/ip 协议栈在处理长连接时具有更好的性能；将web 流量的多个短连接合并为一个长连接，改善了服务器的性能。n 为了提高 nsae-lt 和服务器的性能，在 nsae-lt 与服务器之间建立持续的tcp 连接，从而 nsae-lt 不用为每个需要与 web 服务器连接的恳求，建立新的连接；n nsae 与 web 服务器之间，预先建立 20 个 tcp 连接，用于转发用户的请求到web 服务器

29、，一个连接能转发 95 个用户恳求。2.2 部署方式nsae-lt 产品部署方式机敏可以实行双臂部署方式。可以机敏的依据客户现有网络架构进行部署，尽量削减了客户现有网络的变动，保证了整个网络的平安性及稳定性。双臂方式部署如图单臂方式部署如图2.3 产品优势n 优化的操作系统不同于其他平安代理网关设备， nsae-lt 具有信安世纪优化、定制的infosec os 操作系统，实现内核级的应用处理，从根本上解决了潜在的应用性能障碍，最大程度发挥其最高的性能，使整个架构的延迟得以降低，从而提升整个系统的性能。n 平安性内建的应用平安防火墙确保网络真正的平安，高性能的访问把握列表（acl），网络地址翻

30、译（nat）以及基于状态的数据包检测，使来自客户端的任何连接恳求都不会直接发到后台服务器，不仅抵挡了非法访问和 dos 攻击， 而且可以阻挡某些解决方案无法发觉的应用层攻击，从而保证了整个系统的高平安性。原始数据均进行了加密处理，关键信息无法被第三方窃取或篡改，有效地爱护服务器和应用的平安，同时还支持 1024 位的非对称加密算法和 128 位的对称加密算法，应用数据传输更加平安牢靠。n 功能丰富，满足不同用户的多种应用需求nsae-lt 是集多种功能于一体的新型应用设备，不同于以往单纯的链路负载均衡设备，nsae-lt 还有负载均衡、集群、应用平安防火墙、高速缓存等多种功能，用户可以依据需要

31、机敏定制，以获得最佳的解决方案，来最大程度满足多种应用的需要，改善、优化企业应用服务，从而保证其牢靠性和平安性。n 降低成本和简单性nsae-lt 可以做到一个产品供应用户所需的诸多功能，通过集成化的服务系统，削减了用户的投入，节约了日后扩展功能所需的各项投资；不必为多个产品带来的简单配置，增加客户的治理成本，并能够避开多产品引发的兼容性问题； 同时也降低了整体成本和数据中心的简单度，提高了应用的处理力量，为用户供应了全新的易用、高效、稳定的保障信息平安的屏障。n 易用性nsae-lt 安装简洁，可以通过 web 图形治理界面或者人性化的命令行界面进行直观的配置和治理。客户只需要通过支持 ssl/tls 协议的