Linkproof Branch 多链路应用交换机

　　中小网络链路负载均衡解决方案白皮书

　　白皮书

 

　　1. 介绍

　　近年来，Internet 作为一种重要的交流工具在各种规模的商业机构和各个行业中得到了普遍应用。对中小网络用户而言，实现无间断的高质量 Internet 连接则显得尤其重要。由于大多数关键的网络应用都位于公司的总部，因此为了让这些机构能够保持基本的业务运营，必须保证它们中心办公室的网络链路始终可用。

　　除了要保证中心办公室网络连接的可用性，中小网络用户还必须应付办公室之间日益增长的额外带宽需要。Infonetics Research 称，WAN 和 Internet 接入市场在 2003 至 2007 年间有望增长 24%，在此期间向新技术和更快连接的过渡将促进该增长势头。

　　在目前的经济形式下，商业机构首先必须设法降低各自的经营成本。对中小网络用户而言，连接成本在总经营成本中所占的比例不容忽视。这样一来，中小网络用户就需要满足表面看来是对立的两个要求：一方面是需要降低连接成本，而另一方面则要满足企业连接方面的高可用性要求和不断增长的带宽需求。

　　宽带服务(如 xDSL)可以给这些商业机构带来福音。原因是，宽带服务越来越多，而且成本正逐渐下降，这使得宽带服务成为一种极富性价比的选择。然而，虽然宽带比专用 Internet 服务(如 T1、T3 或 E1)便宜，但它的可靠性较差，服务水平没有保证。为避免停机以及满足各自的连接需要，商业机构可能会预订多条线路，这可能是两个 T1 或 E1 连接、辅助的 T3、xDSL 连接或这些连接类型的任意组合。

　　到目前为止，仅有公司的总部和较大的地区办事机构才具备通过高性价比的连接来解决高可用性问题的解决方案。通过使用 LinkProof 管理多宿主网络上所有 Internet 链路的运行，可以保证大型办事机构实现无中断的在线服务和理想的内容传递。这解决了公司总部的问题，但对公司的各个分支机构而言，如此强大的大型解决方案不是它们所需要的，它们也没有必要花费如此高的成本，因此迄今为止，还没有一个解决上述问题的答案。

　　Radware 推出的 Linkproof Branch 多链路应用交换机定位于中小网络用户的总部办公网络，可按照它们的要求提供无中断网络连接。Linkproof Branch 多链路应用交换机是一种桌面设备，带有集成的交换机。通过它，商业机构可以同时管理多条独立的 Internet 链路和专用链路。如果在局域网的边缘使用 Linkproof Branch 多链路应用交换机，并且连接有多条链路，中小网络总部可以实现 24/7 的 Internet 连接，并且可自动实现链路间的故障转移。

　　借助 Linkproof Branch 多链路应用交换机， 中小网络可以实现以下的目标：

　　维护中心办公机构的网络链路，使之保持连续性，从而提供对关键任务应用的无中断访问
　　利用最快的链路前往Internet，从而为每个会话提供尽可能高的性能
　　控制和降低连接成本。方法是使用各种连接类型来满足带宽和备份需求，允许以较低成本购买额外带宽
　　通过使用低成本高带宽的宽带连接配合或取代当前服务，削减连接成本
　　监视和控制各个连接上的流量
　　根据所有可用的容量管理带宽分配，保证所有关键任务应用的服务水平
　　通过多条 Internet 链路对 VPN 会话进行负载均衡，提高 VPN 运行的冗余性
　　对所有的企业流量进行监视和扫描，识别和拦截可疑流量，从而防止对关键应用和数据的侵害
　　通过使用集成的交换机(8个FE 端口，线速)，减少了网络组件的数量
2. 解决方案：Linkproof Branch 多链路应用交换机

　　LinkProof Branch 可以为中小网络管理多链路的运行，保证中小网络总部Internet 服务的持续连接以及理想的内容传递，从而实现可靠、高性能和高性价比的连接。 Linkproof Branch 多链路应用交换机是 Radware 广泛的 LinkProof 产品系列的一部分。LinkProof 是一个经过实践检验的解决方案，已经历了五年多的发展，并且在世界范围内已广泛安装。

　　2.1. 控制和降低连接成本

　　使用 Linkproof Branch 多链路应用交换机，中小网络用户可以完全控制并降低总部关键业务的连接成本。 通过实现灵活和并行的连接选项，机构可以组合使用不同服务提供商提供的多种链路类型以及专用链路。

　　使用多个宽带连接： 中小网络可以使用两个相对于专用 Internet 连接(如 T1)更为经济的宽带连接。 例如，公司可以不必为2Mbps或者10Mbps 的专线连接每月支付昂贵的费用，而是选择两个便宜的DSL 连接。这样，总部的网络可以按月节省一定的宽带费用。 另外，中小网络还可以获得通过链路冗余来避免网络停机的益处。

　　解决备份问题： 由于可同时使用所有可用的带宽，因此中小网络避免了因“热备份”造成的成本和带宽的闲置。通过使用 LinkProof Branch 管理所有链路，企业总部可以并行使用多条Internet 链路，从而可在现有成本的基础上实现更高的带宽可用性。

　　增量式地扩充带宽： 由于可以使用两个独立的链路，因此当前仅使用单一链路的中小网络总部可以按照各自选择的增幅随意升级总体容量，在扩展总部可用带宽的前提下保证链路的可用。

　　通过昂贵的专用 Internet 服务升级将线路带宽容量加倍，曾是中小网络用户的唯一选择，但现在它们可以不用这样做，而是用低很多的费用添加吞吐量较低的另一条线路作为第二连接。使用 Linkproof Branch 多链路应用交换机，中小网络可以通过额外的ISP线路连接来扩充容量，而这仅需少量的成本。

　　通过使用 Linkproof Branch 多链路应用交换机来升级连接，企业不仅受益于避免了停机时间(因为使用了多条 Internet 链路)，而且还可以通过仅购买所需要的容量来削减连接成本。

　　带宽管理： 正如前面所提到的，Linkproof Branch 多链路应用交换机允许管理多宿主(多ISP)网络。 但多宿主解决方案并不一味地通过添加带宽来保证访问，它还可以用优化的方式利用现有带宽，同时以较高的性价比根据需要添加带宽。

　　带宽管理可以限制对非关键应用的带宽分配。 通过限制对应用(如 MP3 下载，FTP和实时音频/视频)的带宽分配，企业可以省出大约 30% 的现有带宽。 通过带宽管理以及实现各个链路的最大容量，可以避免带宽消耗的骤然剧增。因为只有还有剩余可用的带宽时，非关键应用才能占用它要求的带宽，这样既阻止了带宽消耗量的剧增，又进一步降低了连接成本。

　　凭借与现有网络的透明和无缝集成，以及企业范围的管理工具，Linkproof Branch 多链路应用交换机为中小级别的企业提供了前所未有的多宿主解决方案，从而可通过灵活而且可控制成本的 Internet 链路来彻底保证整个业务的 24/7 连接。

　　2.2. 避免停机 & 服务水平下降

　　Linkproof Branch 多链路应用交换机通过防止停机和服务水平下降，可保护商业机构承担这方面的成本。 Linkproof Branch 多链路应用交换机仅通过可用的链路自动路由网络通讯，可提供容错性的连接和在线服务的始终可用性，并为中小网络机构提供网络连接的高度可用性。

　　防止停机： 如果中小网络部署了用于企业内通讯的附加专用链路，Linkproof Branch 多链路应用交换机可以在所有链路之间对流量进行负载均衡。 流量管理决定可以基于源和目标地址或者按照协议和应用做出定义。 例如，Linkproof Branch 多链路应用交换机可以在专用链路处于活动状态时通过它路由所有前往Internet的流量，如果不是处于活动状态的，则可以通过其他链路路由它们。

　　避免服务水平下降： 通过智能化地路由通过Internet和专用链路的流量，Linkproof Branch 多链路应用交换机提高了链路的使用效率和服务的响应速度，因此为中小网络总部提供了优化的性能。 无中断的高性能 WAN 连接提高了员工的生产率，从而增加机构的收益。

　　2.3. 中小网络解决方案

　　如以下所示的示例，在局域网的边缘添加 Linkproof Branch 多链路应用交换机可以让独立的 ISP 链路连接变得同专用链路那样可靠。 这种安装是透明的，不要求任何服务提供商的协作。 Linkproof Branch 多链路应用交换机会管理和优化所有链路。

　　从中小网络用户的角度看，Linkproof Branch 多链路应用交换机可为其要求持续连接但链路容量较低的总部网络机构提供优异的多宿主解决方案。企业也可以根据连接和性能需要为每个机构提供多宿主功能。

　　LinkProof主要采用以下集中方式来处理流出流量：

　　SmartNAT

　　对于流出流量的智能地址管理，Linkproof Branch 多链路应用交换机使用了称为SmartNAT的算法。当选定一个路由器(某一个ISP)传送流出流量时，Linkproof Branch 多链路应用交换机将选择该ISP提供的地址。如果LinkProof选择ISP1作为流出流量的路径，则它将把内部的主机地址翻译为ISP1设置的IP地址，并作为流出数据包的源地址。同样，如果LinkProof选择ISP2作为流出流量的路径，则它将把内部的主机地址翻译为另外一个链路的公网IP地址，并作为流出数据包的源地址。

　　Content Routing

　　为了优化流出的流量，Linkproof Branch 多链路应用交换机还为流出的流量实施就近性运算。如果内部主机要访问某一Internet站点，可能通过一个ISP的路径比通过其他ISP的路径有效。因此，Linkproof Branch 多链路应用交换机可以提供就近性算法，为流出到某一个站点的流量选择最佳的ISP路径，保证所需内容最快到达目的地，提高服务的品质。

　　Linkproof Branch 多链路应用交换机考虑路由的跳数、路径的延迟和负载状况来进行对每个目的地的就近性运算，选择最佳的流出流量传输路径。

　　流入流量负载均衡

　　Linkproof Branch 多链路应用交换机不仅需要管理流出的流量，还必须管理来自Internet的访问，即流入(InBound)流量。假设图二中的Server1是Web服务器，Internet主机名为www.radware.com，地址为私有IP：192.168.1.100/24。

　　SmartNAT功能和Linkproof Branch多链路应用交换机上集成的DNS代理结合在一起，即能够完成流入流量的负载均衡。

　在DNS服务器上主则两笔NS记录，指向LinkProof：

　　NS www.Radware.com 100.1.1.2

　　NS www.Radware.com 200.1.1.2

　　而在Linkproof Branch 多链路应用交换机上设置URL与内部主机地址的对应关系：

　　www.radware.com 192.168.1.100

　　而在Linkproof Branch 多链路应用交换机上设置静态的地址翻译：

　　192.168.1.100 100.1.1.3

　　192.168.2.100 200.1.1.3

　　当有Internet用户访问www.radware.com时，DNS服务器回应给用户由Linkproof Branch 多链路应用交换机来完成最终地址解析。Linkproof Branch 多链路应用交换机根据具体设置来选定适当的ISP线路，如果选择ISP1，则将地址解析为100.1.1.3。同样，如果选择ISP2，则将地址解析为200.1.1.3。从而完成流入流量的负载均衡。

　　就近性

　　对于流入的流量，LinkProof使用与流出流量相同的就近性判断机制。LinkProof考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的就近性运算，选择最佳的流入流量传输路径，进行最终的解析地址。

　　Linkproof Branch 多链路应用交换机以非常诱人的价格满足了用户的需求。 Linkproof Branch 多链路应用交换机的功能组合使得中小网络用户第一次可以控制和优化它们的 Internet 连接。

3. Linkproof Branch 多链路应用交换机功能组合

　　3.1. 自动的故障保护

　　为了提供连续的在线服务可用性，Linkproof Branch 多链路应用交换机会不间断地监视从公司总部到Internet服务提供商的所有路由器，以检测任何故障。 如果检测到故障，Linkproof Branch 多链路应用交换机会自动通过所有其它的可用链路来路由流量，从而提供无中断的连接。

　　通过使用 Linkproof Branch 多链路应用交换机，商业机构可以避免发生停机和因为收入和生产力损失而导致的所有成本。

　　此外，Linkproof Branch 多链路应用交换机还将持续监视各个链路的质量。 如果某个服务提供商遭受服务水平下降的影响而导致流量明显变慢，Linkproof Branch 多链路应用交换机会通过其它链路来路由流量，从而确保每个会话能有尽可能高的性能。 通过避免次性能的链路，Linkproof Branch 多链路应用交换机保证在各种情况下都能获得最佳性能。

　　3.2. 高性价比地扩充和使用带宽

　　依赖单一链路的机构每当容量需求有增长时都必须将它们的链路升级为更为昂贵的高吞吐链路。 由于大多数服务提供商对单一的高吞吐连接的收费都比由两条低容量链路提供同等带宽时的高，因此可以显著节省成本。

　　借助 Linkproof Branch 多链路应用交换机，中小网络用户可以按照它们所需带宽的倍数提高带宽容量。为此，它们可以使用多个便宜的宽带服务(如 DSL)，也可以使用专用 Internet 服务(如小型 T1 线路)。 中小网络用户受益之处在于，既获得了额外的带宽，又不用支付额外的成本，甚至可以降低成本。

　　3.3. 更高的性能提供了最佳的用户体验

　　为了优化每个会话的双向性能，Linkproof Branch 多链路应用交换机利用 Radware 独特的就近性和内容路由算法来为特定目的地选择性能最快的链路。 基于用户针对前往目的地的跳数和测得的延迟所定义的均衡点，Linkproof Branch 多链路应用交换机可确保每个会话实现最快的 Internet 服务响应时间。

　　商业机构的受益之处在于，既提高了性能，优化了现有链路上对带宽的使用，又不用为额外的带宽支付更多的成本。 另外还提高了员工的生产率，因为他们中央网络资源的访问得到了优化。

　　3.4. 优化对链路的使用

　　Linkproof Branch 多链路应用交换机在所有可用的 ISP 连接之间做出对进、出站流量的负载均衡决定时考虑了大量与链路有关的参数。 用户也可以选择加权值分配给该决定的各个因素。

　　流量负载： 每个链路上的负载都将被考虑，因此可通过所有的 ISP 连接平衡流量规模。

　　服务成本： 可以为各个链路设置多个成本水平和组合。 包括对以下所有模型的支持：

　　-

　　固定容量，固定价格。

　　在该模型中，服务提供商提供指定的容量，不允许有任何增

　　加或超出。

　　- 按使用付费。 在该模型中，企业仅需为其实际使用的带宽付费，而不是任何预先确定的容量。

　　- 组合模型。 在该模型中，企业按照指定的容量支付固定的价格，但对超出该容量的使用，将按使用付费。

　　-多级别模型。 在该模型中，服务提供商会根据几种容量级别设置价格。

　　就近性检查： 根据延迟和跳数确定特定目的地的响应时间。 每种方法都可以被单独加权，从而允许用户配置最符合自己要求的就近性算法。

　　调配方法： 除上述的三个参数外，Linkproof Branch 多链路应用交换机还使用调配方法来确保不会始终通过同一链路路由流量。 Linkproof Branch 多链路应用交换机可以按照循环原则或最少用户数或最少字节数来调配流量。

　　其丰富的流量管理参数使得商业机构可以控制各自流量的流向，从而以较低的成本实现理想的连接性能。

　　3.5. 兼容现有的网络结构

　　Linkproof Branch 多链路应用交换机通过使用网络地址转换(NAT)和自动流量路由实现了完备的地址配置处理，从而可提供透明的多宿主管理。 借此，可通过任何访问技术对跨越两个服务提供商的服务进行透明管理。 这种透明的无缝管理使得 Linkproof Branch 多链路应用交换机用户不需要 ISP 的支持即可控制他们的连接选择。

　　3.6. 对 VPN 会话进行多站点多链路负载均衡

　　在通常的 VPN 设置中，大量的远程客户端会访问公司总部的中心 VPN 站点的 VPN 网关。 分支机构安装 VPN 网关可以保护对中心站点的网络资源的访问。

　　当中心站点或分支机构实现了多宿主解决方案后，则必须在所有站点的链路之间对 VPN 会话进行负载均衡。 在 Radware 多宿主企业解决方案中，当公司总部部署了Linkproof Branch 多链路应用交换机，而其大型分支机构也使用了 Linkproof Branch 多链路应用交换机时，所有站点都可以对入站或出站 VPN 流量进行负载均衡。

　　企业的受益之处在于：提高了 VPN 性能(因为可为每个 VPN 会话选择性能最佳、负载最轻的链路);增强了 VPN 的灵活性(因为在连接发生故障时会自动执行链路间的故障转移)。

　　3.7. 内置了第 2 层交换机

　　Linkproof Branch 多链路应用交换机设备含有集成的第 2 层交换机(八端口高速以太网，线速)，可为中小网络用户的核心网络机构提供快速高效的连接。

　　3.8. 设备冗余

　　对担心 Linkproof Branch 多链路应用交换机会成为网络中的单点故障的商业机构，Linkproof Branch 多链路应用交换机为它们提高了冗余功能。 因此，可利用另一台 Linkproof Branch 多链路应用交换机作为备份，一旦主设备发生故障，备用设备即可无缝接管所有的连接操作。

　　3.9. 控制访问

　　Linkproof Branch 多链路应用交换机允许用户定义访问权限和授权的控制端口，这确保了只有合法用户才能访问该设备中已授权他们使用的功能级别。

　　3.10. 企业范围的管理工具

　　通过使用Radware APSolute Insite管理每个站点中的所有 LinkProof 设备，企业可以实现性能控制和监视。

　　Radware APSolute Insite能为整个网络内的所有应用交换设备提供全站点可视性、集中的管理和策略管理，使您对关键的业务处理和应用有一个全面把握，以实现真正的性能管理。

　　通过APSolute Insite一体化应用管理对运营状态和性能进行配置、故障排除和审计。一旦定义了安全和QoS政策，APSolute Insite就能自动地把这些策略应用到整个网络中。APSolute Insite的趋势分析、安全报告和全景统计使您能够积极地监视、管理和调节网络资源，以优化业务关键的企业应用。

　　APSolute Insite是业内首个针对整个站点的软件管理工具。通过它可在企业范围内实现对 IP 应用性能的统一管理、监视和控制。 基于易于使用的站点地图界面，APSolute Insite 使得企业可以绘制他们的整个网络，包括各种 LinkProof 设备以及各自的路由器。

　　APSolute Insite的统计模块提供了有关实际应用性能的实时视图和历史视图，借此可监视站点范围的操作，并能轻易地找到隐患和故障，从而实现了对所有 Internet 链路性能的完全监视和控制。

　　

　　3.11. 带宽管理

　　其区分服务水平和控制机构带宽使用的能力是提供稳定的高质量服务的关键。 SynApps 带宽管理允许公司基于用户、服务、应用和内容的任意组合来定义和实施自己的带宽管理策略。 例如，通过 SynApps，公司可以保证关键任务应用能获得比非关键流量高的优先级。

　　通过带宽管理，还可以为不同类型的用户定义不同的服务水平和内容储备。 这确保了在符合公司策略的前提下，每一类用户或应用都能获得最佳的服务水平。

　　Linkproof Branch 多链路应用交换机通过带宽管理为中小网络用户提供了对带宽使用的额外控制。 通过仅将流量限制为关键应用的流量，可以降低连接成本，并因而避免了昂贵的升级或带宽超额。

　　3.12. 入侵防范

　　“应用安全”模块为关键网络资源提供了保护屏障，它补充和扩展了网络规划中原有的那些常见安全机制。 SynApps 可以自动检测和防范常见的侵害网络和应用攻击。这些攻击诸如缓冲区溢出(BOF)、盗用和缺省安装攻击、默认安装、后门/特洛伊木马和端口扫描。

　　应用安全模块可以同时监视网络和应用流量，由此可实时检测攻击，并通过终止进入网络的可疑会话对攻击进行实时拦截。

　　如果将 Linkproof Branch 多链路应用交换机放在网络边缘最接近外部链路的地方，它可以很好地在网络入口处提供入侵防范功能。 联同在所有分支机构部署的 LinkProof。 应用安全模块可以提供企业范围的安全解决方案。