Radware LinkProof通常部署在网络的出口,直接连接运营商的链路。对于所有进出网络的流量实现链路的负载均衡。
SmartNAT
对于流量的智能地址管理,LinkProof使用了称为SmartNAT的算法。当选定一个路由器(某一个ISP)传送流出流量时,LinkProof将选择该ISP提供的地址。在图中,如果LinkProof选择ISP 1作为流出流量的路径,则它将把内部的主机地址翻译为ISP 1路由接入网段的地址,并作为流出数据包的源地址。同样,如果LinkProof选择ISP 2作为流出流量的路径,则它将把内部的主机地址翻译为ISP 2路由接入网段的地址并作为流出数据包的源地址。
LinkProof 支持dynamic、static、basic三种NAT方式,分别实现一对多、一对一、多对多的地址翻译。
就近性路由
为了优化流入和流出的流量,LinkProof还为流量实施就近性运算。LinkProof使用就近性判断机制。就近性机制分为静态和动态两种方式:
静态就近性:针对已知的用户范围和网络的就近性(例如网通用户应采用网通线路,电信用户使用电信线路),LinkProof上可以设置静态就近性表,要求用户严格按照该表来选择线路;
动态就近性:考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的就近性运算,选择*佳的流入流量传输路径,进行*终的解析地址。这个“近”其实是“*佳”的概念,因为往往物理上*近的线路不见得就是当时*佳的路径,将Latency,Hop,Load参数通盘考虑选优是Radware独有的技术并已获取专利,能够准确有效地选择*佳路径。
链路健康检查
LinkProof能够灵活有效地判断Internet链路的健康状况,作为分配流量的前提。LinkProof的健康检查模块提供更为健全和灵活的判断机制。
当ICMP的数据包出于安全原因而被ISP禁止时,该方法之优势就有了更充分的体现。此时,可以通过多个Internet站点的可达性,来共同判断一条链路的状况。例如,通过电信线路检查www.sina.com、www.sohu.com、以及www.google.com的TCP 80端口,并对检查结果做“或”运算。这样,只要其中一个站点可达,即可表明链路状态良好。该方法即避免了ICMP检查的局限性,也避免了单一站点检查带来的单点失误。
当一条访问链路的健康状况不仅仅是由ISP的路由器的状况决定的。因此,LinkProof提供了全路径健康检查的功能,可以做到从发起端到接收端进行全面而精确的健康检查,*多能够完成10跳路由的健康的检测,从而保证整条数据链路的通畅,提高服务质量。
分组策略
LinkProof也能根据用户的特殊需要实现类似策略路由的方式。在LinkProof 中我们把它称为分组(grouping)。分组的功能能根据流量的目的地址、端口号码、源地址强制流量定向到某一条链路,其他链路可以设置为备份状态。
出站流量的负载均衡
当内部网络一用户访问访问企业外部的一资源,LinkProof会根据预先设定的策略或就近性选择*佳链路,一旦链路选定,LinkProof会根据SmartNAT进行地址翻译并记录该用户选择的链路以供未来的流量使用。当所有策略全部不匹配时,LinkProof会根据负载均衡的算法选择链路,LinkProof支持多种负载均衡的算法,包括轮询、加权轮询、*少用户、*少流量等等。
进站流量的负载均衡
LinkProof能够灵活有效地管理来自Internet的访问,即流入(InBound)流量。使用户总是沿着*佳链路访问网站等服务,达到*佳的用户响应。
针对采用域名方式实现访问的应用,SmartNAT功能和LinkProof上集成的DNS代理结合在一起,即能够完成流入流量的负载均衡。
安全防护
应用安全模块包含的一组功能集使Radware 的产品能够保护敏感的网络资源不受到各种安全问题的影响。此系统包括一些基本的安全措施例如服务器过载保护和能够将资源从一般的Internet 资源中隐藏起来。同时还能够为使用SynApps 流量管理的敏感资源提供高级的安全性,这包括检测并预防1500多个恶意攻击信息,包括特洛伊木马、后门、DoS 和DdoS 攻击。
此模块能够处理以下攻击:
拒绝服务 (DOS/DDOS) 攻击
缓冲区溢出/超限
利用已知的 Bugs,误配置和默认的安装问题来进行攻击
在攻击前探测流量
未授权的网络流量
后门/特洛伊木马
端口扫描 (Connect & Stealth)
Active-Standby设备冗余
考虑到企业采用多条链路解决了链路的单点故障,只采用单台设备又引入了另外一个单点故障。从网络设计的角度考虑非常不合理。所以我们强烈建议采用冗余方式来实现链路的负载均衡。采用冗余方式的网络结构如下图: |
|
|