LinkProof产品介绍

1、精品文档你我共享AAAAAA有关网络流量及 IP 服务品质的相关问DMZ服务器1 市场定位随着 Internet 及 Intranet 市场快速持续增长， 题日趋严重。大量企业和机构都采用多条 internet 链路的方式来扩展链路带宽、解决链 路的单点故障问题。Radware 公司作为全球领先的网络智能应用交换解决方案提供商， 其任务就是通过 最优化的资源的使用率，在 Internet 、Intranet 或 Extranet 应用中提供既经济、功能又强 大的网络应用环境。该类方案能确保动态网络的稳定性，包括提供最优的连续性、个性 化的安全服务。Radware 的 LinkProof （LP

2、 ）能够实现企业内部用户对外访问和外部用户对企业内 部资源访问的负载均衡，把对内对外的流量根据预先设定的策略（比如就近性）负载均 衡到不同的链路上。同时实时监控链路的健康状况，实现链路之间的相互备份。2 功能介绍2.1 典型网络拓扑Radware LinkProof 通常部署在网络的出口， 直接连接运营商的链路。 对于所有进出 网络的流量实现链路的负载均衡。Radware LinkProof介绍精品文档你我共享AAAAAA2.2 SmartNAT对于流量的智能地址管理，LinkProof使用了称为SmartNAT的算法。当选定一个路 由器（某一个ISP）传送流出流量时，LinkProof将选择

3、该ISP提供的地址。在图中，如 果LinkProof选择ISP 1作为流出流量的路径，贝尼将把内部的主机地址翻译为ISP 1路 由接入网段的地址，并作为流出数据包的源地址。 同样，如果LinkProof选择ISP 2作为 流出流量的路径，则它将把内部的主机地址翻译为ISP 2路由接入网段的地址并作为流出数据包的源地址。LinkProof 支持dynamic、static、basic三种NAT方式，分别实现一对多、一对一、多对多的地址翻译。2.3就近性路由为了优化流入和流出的流量，LinkProof还为流量实施就近性运算。LinkProof使用 就近性判断机制。就近性机制分为静态和动态两种方式：

4、静态就近性：针对已知的用户范围和网络的就近性 （例如网通用户应采用网通线路, 电信用户使用电信线路），LinkProof上可以设置静态就近性表，要求用户严格按照该表 来选择线路；动态就近性：考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的 就近性运算，选择最佳的流入流量传输路径，进行最终的解析地址。这个“近”其实是 “最佳”的概念，因为往往物理上最近的线路不见得就是当时最佳的路径，将 Latency ， Hop， Load 参数通盘考虑选优是 Radware 独有的技术并已获取专利，能够准确有效地 选择最佳路径。2.4链路健康检查LinkProof 能够灵活有效地判断 Intern

5、et 链路的健康状况，作为分配流量的前提。LinkProof 的健康检查模块提供更为健全和灵活的判断机制。当 ICMP 的数据包出于安全原因而被 ISP 禁止时，该方法之优势就有了更充分的体 现。此时，可以通过多个 Internet 站点的可达性，来共同判断一条链路的状况。例如， 通过电信线路检查 、 以及 的 TCP 80 端口, 并对检查结果做“或”运算。这样，只要其中一个站点可达，即可表明链路状态良好。 该方法即避免了 ICMP 检查的局限性，也避免了单一站点检查带来的单点失误。精品文档你我共享AAAAAA当一条访问链路的健康状况不仅仅是由 ISP 的路由器的状况决定的。 因此， Lin

6、kProof 提供了全路径健康检查的功能， 可以做到从发起端到接收端进行全面而精确的健康检查， 最多能够完成 10 跳路由的健康的检测，从而保证整条数据链路的通畅，提高服务质量。2.5分组策略L inkProof也能根据用户的特殊需要实现类似策略路由的方式。在LinkProof中我们把它称为分组(grouping )。分组的功能能根据流量的目的地址、端口号码、源地址 强制流量定向到某一条链路，其他链路可以设置为备份状态。2.6出站流量的负载均衡当内部网络一用户访问访问企业外部的一资源， LinkProof 会根据预先设定的策略或 就近性选择最佳链路， 一旦链路选定， LinkProof 会根据

7、 SmartNAT 进行地址翻译并记录 该用户选择的链路以供未来的流量使用。当所有策略全部不匹配时， LinkProof 会根据负 载均衡的算法选择链路， LinkProof 支持多种负载均衡的算法，包括轮询、加权轮询、最 少用户、最少流量等等。精品文档你我共享AAAAAADH5DH5vunTjitB.EBn.cANSvunTjitB.EBn.cANS LP-CNCLP-CNC临 LP-TrtfeniLP-TrtfeniIf*TekiKL30t.l.S4TekiKL30t.l.S4LiAkKnDlaSbLrNATiSbLrNATi2.7进站流量的负载均衡LinkP roof能够灵活有效地管理来

8、自In ternet的访问，即流入(In Bou nd )流量。使 用户总是沿着最佳链路访问网站等服务，达到最佳的用户响应。如下图所示，假设图中有一台 WEBserver,提供in ternet主机名为的服务，私有地址为00.Bl:LS*2.1($9r.IOO:LS*2.1($9r.IOO针对采用域名方式实现访问的应用，SmartNAT功能和LinkProof上集成的DNS代 理结合在一起，即能够完成流入流量的负载均衡。在DNS服务器上注册两笔NS记录，指向LinkProof :NS .c n LP-CNCNS .c n LP-Telecom而在LinkProof上设置U

9、RL与内部主机地址的对应关系:.c n 00而在LinkProof上设置静态的地址翻译:LP-CNClia.LLlLP-CNClia.LLlIKTEICVErIKTEICVEr y y_ _i.r._i.r.亠-精品文档你我共享AAAAAA00000000当有 Internet 用户访问 时， DNS 服务器回应给用户由 LinkProof 来完成最终地址解析。 LinkProof 根据用户的具体设置来选定适当的 ISP 线路，如果是网 通用户则选择电信 ISP ，将地址解析为 100.1.1

10、.100 。同样，如果是电信用户则选择电信 ISP ，则将地址解析为 00 。从而完成流入流量的负载均衡。针对直接采用地址实现访问的应用，LinkProofLinkProof通过静态NATNAT将服务的内部地址一对一地转换为公网地址。2.8带宽管理和流量整形带宽管理是一个简单的概念主要的思想就是能够按照一系列标准区分用户流量， 然后为每种 数据包或者会话指定不同的优先级来使用有限的带宽。 它允许网络管理者完全而有效的控制他们 可用的带宽，使用这些功能可以按照一系列标准，指定应用程序的优先次序，同时还考虑了每个 应用程序已使用的带宽。 在确定了会话的优先级后可以对带宽限制进行配

11、置以保证一些应用程序 使用的带宽没有超过预先定义的带宽限制。针对经济信息中心公司，我们主要可以通过以下两种方式保证关键应用的服务器质量：关键应用带宽保证：通过对关机主机、应用（HTTPHTTP HTTPSHTTPS等）的带宽保证，确保在任何情况下，关键应用有足够的带宽。减少和控制其它应用： 对于消耗带宽的非关键应用， 通过限制最高带宽甚至禁止的方式来较 少和避免对关键应用的影响。2.9安全防护应用安全模块包含的一组功能集使 RadwareRadware 的产品能够保护敏感的网络资源不受到各种安 全问题的影响。此系统包括一些基本的安全措施例如服务器过载保护和能够将资源从一般的 InternetI

12、nternet 资源中隐藏起来。同时还能够为使用 SynAppsSynApps 流量管理的敏感资源提供高级的安全性， 这包括检测并预防 15001500多个恶意攻击信息，包括特洛伊木马、后门、DoSDoS 和 DdoSDdoS 攻击。此模块能够处理以下攻击：精品文档你我共享AAAAAA只采用单台设备又引入了另外一个单点故 所以我们强烈建议采用冗余方式来实现链路的负载均衡。拒绝服务（DOS/DDOSDOS/DDOS）攻击缓冲区溢出/ /超限利用已知的BugsBugs，误配置和默认的安装问题来进行攻击在攻击前探测流量未授权的网络流量后门/ /特洛伊木马端口扫描(Connect(Connect &

13、& Stealth)Stealth)2.10 Active-Standby设备冗余考虑到企业采用多条链路解决了链路的单点故障, 障。从网络设计的角度考虑非常不合理。 采用冗余方式的网络结构如下图：DMZ服务器精品文档你我共享AAAAAA3硬件平台3.1平台介绍LinkProof 100/200/202LinkP roof 1000LinkP roof 3000LinkPr oof 3020L CPUMotorola Po wer PC 750Motorola Po werPC 7410Motorola Po werPC 7457 1GMotorola Po werPC 7457 1.3G网络处

14、理器NNYY内存Up to 256MUp to 512MUp to 1GUp to 1G吞吐率200M1G3G3G非阻塞背板9.6G19.2G44G44G二层交换线速线速线速线速并行会话无限无限无限无限路由协议OSPF、RIP/RIP IIOSPF、RIP/RIP IIOSPF、RIP/RIP IIOSPF、RIP/RIP II冗余协议ARP /VRR PARP/VRR PARP/VRR PARP/VRR PGigabit/GBIC 端口0/0/257810/100BaseT81616121000Base-S/L/ZX全双工模式千兆以太 网光纤接口全双工模式千兆 以太网光纤接口全双工模式千兆

15、以太网光纤接口全双工模式千兆 以太网光纤接口1000Base-SX 传输 距离直径62.5微米光纤0.2-275直径50微米光纤0.2-550直径62.5微米光纤 0.2-275直径50微米光纤0.2-550直径62.5微米光纤 0.2-275直径50微米光纤0.2-550直径62.5微米光纤 0.2-275直径50微米光纤0.2-5501000Base-LX/ZX传输距离N/ALX 10KMZX 80KMLX 10KMZX 80KMLX 10KMZX 80KMRS-232终端管理YYYY尺寸高 44mm，宽 432mm，长 475mm， 重量：4.1 kg，标准19 EIA机架或单独放置高

16、43.6mm，宽 430mm，长 465mm，重量:5.3 kg， 标准19 EIA机架或单独放置高 43.6mm，宽 430mm，长 465mm，重量：7.0kg，标准19 EIA机架或单独放置高 88mm， 宽 432mm，长 472.6mm， 重量:7kg，标准19 EIA机 架或单独放置电源自动调节电压100-250V，50-60HZ功耗：35W自动调节电压100-250V，50-60HZ功耗：44W自动调节电压100-250V，50-60HZ功耗：108W自动调节电压100-250V，50-60HZ功耗：108W支持直流电源YYY冗余电源NYYY运行环境温度0-40摄氏度，湿 度5%到95% （非冷 凝）温度0-40摄氏度，湿度5%至q95% （非冷凝）温度0-40摄氏度，湿度5%至q95% （非冷凝）温度0-40摄氏度，湿度5%到95% （非冷凝）设备管理增强的CLI管理Configware Insite TelnetSSH基于Web的管理 基于安全 Web的 管理HP ODenview P lua In增强的 CLI管 理ConfigwareInsiteTelnetSSH基于 Web的管理增强的 CLI管 理ConfigwareInsiteTelnetSSH基于 Web的管理增强的 CLI管理ConfigwareInsiteTeln