1.1LinkProof―实现多链路负载均衡和防火墙负载均衡1.1.1多链路解决方案实现基本原理下图是一个典型的LinkProof解决方案的应用案例。图中多链路网络通过ISP1和ISP2接入Internet。每个ISP都分配给该网络一个IP地址网段,假设ISP1分配的地址段为100.1.1.0/24,ISP2分配的地址段为200.1.1.0/24(此处的200.1.1.0/24表示网络IP地址式200.1.1.0,子网掩码为24位,即255.255.255.0)。同样,Internet知道通过ISP1访问100.1.1.0/24,通过ISP2访问200.1.1.0/24。网络中的主机和服务器都属于私有网段192.168.1.0/24。LinkProof解决方案就是在内部交换机和连接ISP的路由器之间,跨接一台LinkProof智慧交换机,所有的地址处理和Internet链路优化全部由LinkProof智慧交换机来完成。如图所示,LinkProof智慧交换机的埠1上绑定IP地址100.1.1.2/24,端口2上绑定IP地址200.1.1.2/24,端口3上绑定IP地址192.168.1.2/24。解决方案实现方式如下。1.1.1.1Linkproof对流出(Outbound)流量的处理过程LinkProof主要采用以下集中方式来处理流出流量。SmartNAT对于流出流量的智能地址管理,LinkProof使用了称为SmartNAT的算法。当选定一个路由器(某一个ISP)传送流出流量时,LinkProof将选择该ISP提供的地址。在图二中,如果LinkProof选择ISP1作为流出流量的路径,则它将把内部的主机地址192.168.1.A/24翻译为100.1.1.A/24,并作为流出数据包的源地址。同样,如果LinkProof选择ISP2作为流出流量的路径,则它将把内部的主机地址192.168.1.A/24翻译为200.1.1.A/24,并作为流出数据包的源地址。ContentRouting为了优化流出的流量,LinkProof还为流出的流量实施就近性运算。如果内部主机要访问某一Internet站点,可能通过一个ISP的路径比通过其它ISP的路径有效。因此,LinkProof可以提供就近性算法,为流出到某一个站点的流量选择最佳的ISP路径,保证所需内容最快到达目的地,提高服务的品质。LinkProof考虑路由的跳数、路径的延迟和负载状况来进行对每个目的地的就近性运算,选择最佳的流出流量传输路径。1.1.1.2Linkproof对流入(Inbound)流量的处理过程LinkProof不仅需要管理流出的流量,还必须管理来自Internet的访问,即流入(InBound)流量。假设图二中的Server1是Web服务器,Internet主机名为,地址为私有IP:192.168.1.100/24。SmartNATSmartNAT功能和LinkProof上集成的DNS代理结合在一起,即能够完成流入流量的负载均衡。图三如图三所示,在DNS服务器上主则两笔NS记录,指向LinkProof:NS与内部主机地址的对应关系:上设置静态的地址翻译:192.168.1.100100.1.1.3192.168.1.100200.1.1.3当有Internet用户访问是时,DNS服务器响应给用户由LinkProof来完成最终地址解析。LinkProof根据具体设置来选定适当的ISP线路,如果选择ISP1,则将地址解析为100.1.1.3。同样,如果选择ISP2,则将地址解析为200.1.1.3。从而完成流入流量的负载均衡。过程示意图如下:用户会话表的操作通常对于出向流量,当本地用户发起请求访问远程服务器,LinkProof会创建一条会话记录,记录了用户通过哪一个ISP链路(LinkProof称为NHR)连接Internet服务器,当服务器响应时,LinkProof根据刚才记录的会话记录,将地址正确转换后响应给用户。对于入向流量,远程用户先发起连接请求,访问本地的服务器,LinkProof如何保证进和出的流量通过同一条链路呢?与出向流量类似,LinkProof会创建一条“反向”的会话记录。记录了远程用户通过哪一个NHR进来访问的。从而保证的会话的一致性。以下是LinkProof的会话表条目,Dir是会话的方向,TO和FR(From)正好相反,即出向和入向。ClientAddrDstAddrNHRAddrSrcPDstPAttchTimeTDir10.198.16.93218.102.180.206210.53.207.374442804566013DNTOLinkProofSmartNATInboundWebServer’sLocalDNSServerAuthoritativeDNSForsite.com2-(LinkProof)!6-=200.1.1.34-=200.1.1.3LinkProofSmartNATsfor多链路解决方案的优势1.1.2.1Radware多链路解决方案可以提高Internet网络链路的可用性全路径健康检查LinkProof在多链路网络中的一个主要作用是检测ISP链路的可用性,即健康状况。而一条访问链路的健康状况不仅仅是由ISP的路由器的状况决定的。因此,LinkProof提供了全路径健康检查的功能,最多能够完成10跳路由健康的检测,从而保证整条数据链路的通常,提高服务质量。故障恢复和预热定时器如果ISP连接状况不稳定,则最好不要通过它发送任何流量,知道它在预定时间内能够维持稳定。LinkProof提供故障恢复和预热定时器,用户可以自定义定时器的延迟时间,从而确保将会话定向到稳定的ISP链路。一旦ISP恢复正常,LinkProof能逐渐增加发送到该ISP的流量。冗余配置LinkProof采用相同的冗余配置机制,在后续内容中以LinkProof为例说明。由于服务的可靠性越来越成为因特网上的一个主要问题,所以用户越来越多地安装像应用交换机这样的因特网通信量控制设备时考虑到冗余配置。在多链路网络中配置的LinkProof可以为网络与Internet的连接提供冗余,同样,LinkProof的功能即也把包括两台LinkProof的并行安装,其中一台时备用的。LinKProof使用Radware已被证明的冗余机制,其中设备的状态监视通过网络来实现,从而祢补了设备故障和网络故障。如果主LinkProof或其网络连接之一发生故障,则备用LinkProof能够非常容易的接管主LinkProof的工作。Radware的双机热备冗余配置采用VRRP方式。VRRP方式通过标准的VRRP协议来维持冗余的操作。当LinkProof启动时,会进行VRRP的初使化操作:即VR(虚拟路由器)的选举。两台LP都发送VRRP的组播包,通告自己的VR信息。VR优先级高的LinkProof被选举为主用设备,VR优先级低的LinkProof选举为备用设备。当选举完成后,主用设备每隔一定的时间间隔发送一个VRRP组播包,宣告VR的信息;这时备用设备处于Standby状态,不再发送VR组播包,它只通过接收VRRP包来监控主设备的状态,当网络故障或主用设备故障,备用设备不能收到主设备的VRRP组播包,并且持续多次时,备用设备会主动发送VR(虚拟路由器)的相应ARP信息,并且接管主设备的工作。在两条链路正常的情况下,无论是InBound还是OutBound的流量,ActiveLinkProof都可以采用Radware独特的智能地址翻译(SmartNAT)来实现负载的均衡,并且还可以使用Radware独有Proximity算法为其选择最“近”的路径。在其中一条链路中断的情况下,LinkProof同样可以保证Inbound和OutBound流量的畅通。BackupLinkProof利用VRRP组播包监视ActivelinkProof的状态,随时准备接管它的一切功能。在BackupLinkProof上启动SessionMirror功能,实时的复制ActiveLinkProof上的连接信息,当检查到ActiveLinkProof上的连接出现问题时及时接管,保证所有的网络连接,并且不会造成链路负载均衡失效。在ActiveLinkProof上启动埠连接绑定(PortGrouping),当ActiveLinkProof上的网络连接失效时主动切断所有连接,保证BackupLinkProof在接管时的顺利进行。在BackupLinkProof上启动virtualDNS功能,当ActiveLinkProof在失效时保证Inbound的用户的DNS询问的正常工作。1.1.2.2Radware多链路解决方案可以提高Internet网络链路的性能就近性(Proximity)就近性检测方法对于流入的流量,LinkProof使用与流出流量相同的就近性判断机制。LinkProof考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的就近性运算,选择最佳的流入流量传输路径,进行最终的解析地址。Radware的就近性检测方法利用了就近性检测试探、由就近性标准构成的动态表以及由管理员配置的参数构成的静态表。当WSD-NP或LinkProof提供前往某个网络的服务时,如果该网络不在任何一个表中,这些设备将权衡前往该网络的就近性。就近性表中的所有网络记录都使用了C类网络的形式。进行测量时,Radware启动就近性检测试探过程,它会向目标网络发送几个数据包(最多4个),然后通过就近性检测试探的结果了解中继段数和延时情况。为了实现最准确的测量结果,就近性检测包括了IP、TCP和应用层的试探(比如TCP确认测试和ICMP回显请求测试)。回复不外乎两种情况,一是对ICMP回显(PING)请求的响应,二是由远程网络作为对其他就近性检测试探数据包的响应而生成的错误消息。一旦设备了解了它所在的网络同客户端网络之间的中继段数和延时情况,就会将最佳的3个内容传输路径记录到动态表中。这些数据在动态表中的存储时间由管理员定义。掌握了就近性信息后,Radware设备就可以基于该信息复位向来自已知网络的客户端。借此,管理员可使用延时问题最轻、中继段数最少的路径为最终用户传递内容。管理员甚至还可以通过设置静态就近性表来配置复位向决定。Radware设备在检查动态表中的客户端C类网络之前会首先检查静态表。以这种方式,Radware设备可将某些客户端自动复位向到所配置的最佳路径,另外还可以在静态表中定义第二和第三最佳路径。优化就近性检测方法使用Radware提供的多种参数,可根据各个环境的独特需要方便地自定义就近性检测方法。这种自定义包括多种操作,比如增加分配给动态就近性表的内存、更改动态就近性表的内容有效期、为Radware就近性设备提供DNS名称以及仅使用静态就近性表等。调整动态表的超时和内存分配等参数,可以调整网络就近性探测的频度。通过调整并且