应用牵引是针对网络的
应用层来讲的;是根据不同的应用牵引到不同ISP链路上的;一般会在网络出口地方做
链路负载均衡使用时同时使用!
协议简介
OSI是一个开放性的通行系统互连参考模型,他是一个定义的非常好的协议规范。
OSI模型有7层结构,每层都可以有几个子层。 OSI的7层从上到下分别是 7
应用层 6
表示层 5 会话层 4
传输层 3
网络层 2
数据链路层 1
物理层 其中高层,既7、6、5、4层定义了
应用程序的功能,下面3层,既3、2、1层主要面向通过网络的端到端的
数据流。
应用层
与其他计算机进行通讯的一个应用,它是对应应用程序的通信服务的。例如,一个没有通信功能的字处理程序就不能执行通信的代码,从事字处理工作的
程序员也不关心OSI的第7层。但是,如果添加了一个传输文件的选项,那么字处理器的
程序员就需要实现OSI的第7层。示例:telnet,HTTP,FTP,NFS,SMTP等。
技术简介
简述: 应用牵引
首先是针对应用来讲的,应用大致分2类,一类是关键应用,一类是非关键应用,关键应用像:邮件,WEB;OA;非关键应用,像p2p,BT等。许多安全技术成并行发展。
网络安全领域又出现了一个新技术——应用牵引技术。什么是应用牵引?为什么要使用应用牵引技术?我们先从下面的拓扑开始介绍。
实现原因
市场需求分析
随着信息化建设的发展,Internet已逐渐作为一种基本的通讯工具在各种规模的商业机构和各个行业中得到了普遍应用。而在Internet接入的稳定性对于一个用户来说日见重要的今天,仅通过单一服务商接入显然无法保证它提供的Internet链路的持续可用性。此外,由于历史原因,不同运营商间的互连互通在
网络流量速率上等一直存在着很大的问题。
所以大多数用户一般都同时采用多运营商链路接入的方式,例如:一个高校可同时有电信、网通、CERNET、通过市教委等多条出口链路。
如何自动实现多出口链口带宽和链接速率的自动均衡、并提供统一出口网关的解决方案,成为园区网面临的新的需求。
作为业界领先的网络资源优化厂商,
北京灵州网络技术有限公司推出了多链路网络资源智能优化解决方案-NetMizer
负载均衡系列产品。
解决方案
NetMizer系列多出品
链路负载均衡产品部署在园区网、局域网的总出口处。可以智能优化链路资源,同时还可以完成服务映射和地址转换等网络功能。
针对各种用户的典型需求,NetMizer 在以下几个环节上提供了业界领先的产品功能和完善周密的解决方案:
l 动态最佳链路选择;
l 地址转换和映射;
l 智能DNS服务;
l 链路健康状态检测;
l 网络实时监控;
l 应用层流量分析和控制(性能有富余时可启用);
l 用户接入认证(性能有富余时可启用);
NetMizer在网络中的部署方式如下:
防火墙即可以放在
NetMizer与
核心交换机之间,NAT在NetMizer上启用。
防火墙也可放在NetMizer之外的每条链路上, NAT在防火墙上启用。
也可不采用
防火墙,
网络防火墙的功能在NetMizer上启用。
典型的应用场景如图1所示:
采用NetMizer后有如下优点:
高可用性、高性能的完美体现:网优先锋能够连续监视每条链路的运行质量和连接状态,自动检测各种
故障,如链路、
路由器、DS 服务器和其它故障,保证对最终用户提供不中断的Iteret访问。通过动态最佳链路选择技术确保用户只使用那些高效的接入链路,此外还可以根据访问来源和目标、服务或其它用户指定的参数综合选择最佳链路。
专业流量分析和
带宽管理:通过选择网优先锋流量分析和带宽管理模块,
管理员可以对网内流量按照4~7层的内容特征或者行为特征进行分类,通过带宽管理功能,对关键业务进行保障,对非关键业务或者超量使用的用户进行限制,在充分利用带宽资源的同时,对关键应用提供服务质量保证。
应用安全保障:网优先锋
内置防火墙模块,可以提供网络安全保障功能,隔离和阻止来自Iteret和企业/运营商内部的攻击和有害流量,确保关键部门和关键应用的安全。
保护了原有网络投入,节省了总体投入成本。
关键技术介绍智能的均衡算法
根据流量、会话和主机的均衡算法
网优先锋
负载均衡设备可以根据流量、会话和
主机进行动态的
负载均衡:
根据流量的均衡,网优先锋
负载均衡设备可以根据不同接入出口的流量负载状况,为内网的流量选择最适合(当前流量负载最小的链路)的出口;
根据会话的均衡,网优先锋
负载均衡设备可以根据不同接入出口的已经建立连接的会话状况,为内网的流量选择最适合(当前会话最少的链路)的出口;
根据
主机数的均衡,网优先锋
负载均衡设备可以根据不同接入出口的主机数量状况,为内网的流量选择最适合(当前承载主机连接外网最少的链路)的出口;
动态最佳链路选择算法
动态最佳链路选择算法是我公司独有的链路资源优化技术,能够根据来源用户、访问目的IP、各链路的负载等情况来综合考虑,计算出内部用户访问Iteret的最佳路径,以保证每个用户都能享受到最快和最可靠的响应速度和服务质量。
动态最佳链路选择算法根据多种因素来选择链路,例如,当一台内部
主机访问互联网时,系统会根据主机访问的目标IP地址进行“最小响应时间”计算,另外系统还会计算不同链路为此次访问“建新的会话响应时间”,结合“最小响应时间”、“
会话数”以及“流量状况”等因素,加权得到最优的链路;默认情况下,我们推荐用户使用此算法。
地址转换和映射
地址转换和映射是确保用户链路选择的关键技术,我们可以提供动态、静态和一对一绑定等多种转换和映射方式,同时支持FTP、H.323、IPSEC等
应用层代理服务,充分保障用户应用的兼容性。
智能DS技术
智能DS可以为外网用户提供内部服务器智能解析服务功能,可以解决由外网访问内网服务器链路选择的问题,在没有
负载均衡设备的网络中,外网用户访问内部服务器时只能选择单一链路或者随机选择链路,未经优化的随机链路选择无法保障外网用户的访问体验效果。网优先锋内置的智能DS模块,可以配合客户的解析服务器引导内部服务器的域名解析,当外网用户通过域名访问客户的内部服务器时,
负载均衡设备就会通过
静态列表或者动态判断算法,选择最优的线路,然后将域名解析成相应线路的IP地址。
例如:某高校的出口链路有电信出口和Ceret出口,当来自电信网的外部用户访问学校内部服务器时,首先向该用户本地的
域名服务器发起域名解析请求,该域名服务器会向服务器所在园区网的内网DS服务器请求解析,内网DS服务器会对该请求作出回应
报文,该回应包要流经网优先锋,当网优先锋收到该回应报文后,就会通过
静态列表或者动态链路选择算法选择最优的电信线路而不选择Ceret链路,然后将域名解析成电信线路的IP地址,并把解析结果传回到这个外网用户本地的域名服务器。这样电信用户在访问内部服务器资源时就会使用电信的解析地址,通过电信的线路进行访问,实现了访问时链路方面的
负载均衡优化。智能DS技术可以支持透明模式和集成模式,透明方式主要应用在用户的DS服务器部署在
负载均衡设备所连接的内部网络中,此时用户无需对自己的
域名服务器进行修改;集成模式则适用于用户DS服务器部署在外部的环境下,此时客户需要将域名的解析功能重定向到负载均衡设备上。
示意图如图2所示
ISP提供商中使用。
互联网络的发展不断地改变我们对信息技术的观念,新的安全技术不断涌现,各种技术之间并行发展,作为
网络安全管理者来说难度不断加大,网络攻防技术的发展速度是不以任何人的意志为转移的,各项技术未来几年的发展成果几乎没有人能预测的出来。网优先锋(NetMizer)
链路负载均衡及流控产品系列为客户提供稳定可靠的出口优化解决方案,优化网络资源配置,保证服务质量,提升用户体验,降低运营成本;高可用性、高性能的完美体现。该产品采用我公司独创的实时链路优化和关联应用优化技术,支持各种均衡模式,优化网络资源分配,保障关键应用,提高用户体验,是一套前所未有的整体链路优化和管理解决方案。
如图2所示
(1) 当教育网用户终端开始访问域名(如某某.cn)时,用户终端首先会根据用户终端的设置向本地DNS发起DNS请求,假设用户终端设置的
DNS服务器为DA,DA经过查询得到某某.cn
的解析服务器是NetMizer设备(如果高校机房内部有自己的DNS服务器,那么DA查询得到就是内部的DNS服务器),因此,DA会将请求发给NetMizer设备(或者高校机房内部DNS服务器);
(2) 当NetMizer设备得到DNS请求后,会根据网络就近性原则以及响应时间等因素将某某.cn
解析成最佳的IP地址(例如,来自教育网的用户访问,返回服务器的域名解析一般是教育网线路的地址。来自电网信的用户访问,返回服务器的域名解析一般是电信出口的地址),并将这个请求返回给最终用户,用户最终根据这个地址与服务器建立连接。
以下是设备关于此功能的配置界面
某某.edu.cn
可以被解析成网通地址:221.218.2.1,或者教育网地址:61.58.3.1。NetMizer设备会根据不同链路的请求自动解析成相应的最佳地址。链路健康状态
网优先锋负载均衡设备可以在各种网络环境下检测
网络通信状况,提供4~7层检查方式,准确判断链路的健康状况。该健康状况检查不仅仅是通过判断某个网站是否能连通,而是通过
网络流量、连接建立情况进行综合检查,在链路被判定失效后,通过对某些网站的健康检查判断链路是否恢复正常。通过与链路选择算法的结合,可以提高链路状况的监测精确度。
网络及每用户实时监控
网络实时监控是我公司特有的管理技术,该技术可以实时监控网内的每台终端,及时掌握每台终端的流量、会话等资源占用情况,帮助
网络管理员及时有效的诊断和排除
网络故障。设备上还提供一些必要的统计报表,可以方便的掌握网络的运行状况。
带宽资源对于每个企业或者ISP运营商都是十分宝贵的,权威机构的分析表明,百分之五的用户占用着百分之九十五的带宽,保障关键应用的正常通常是网络管理员面临的难题,
北京灵州网络技术有限公司的带宽管理技术可以帮助网络管理者限制非业务应用、保障关键应用的带宽。网优先锋负载均衡设备可以集成带宽管理模块,该模块提供专业的带宽管理技术可以实现:带宽保障、带宽限制、每用户带宽限速、用户带宽动态分配、双重带宽限制等各种带宽管理功能,可以适用于任何网络应用场景。
应用牵引功能(可选模块)
用户租用不同的链路通常在资费、
带宽上都有差异,因此用户希望将一些非关键应用引导至资费低的
数据链路,即希望针对应用进行
负载均衡。网优先锋
负载均衡设备支持基于应用的负载均衡,可以在电信链路上拦截不重要的P2P应用,将P2P应用引导到教育网链路上,可以有效的提高链路的利用率。牵引P2P的流量,但是运营商用户可能同时需要将一些关键的应用-例如WEB等应用做智能的
路由引导,此时,网优先锋设备做为一个智能的应用路由
网关,可以引导不同应用的路由到不同的链路,其部署
功能特点
网优先锋系列产品是针对具备一定接入规模的接入运营商以及校园网的网络应用需求而设计的。他具备以下特点
能够与网优先锋流控模块无缝整合,在
负载均衡的基础上进行带宽的控制和出口的优化;
在
带宽捆绑方面,它可以支持多条出口线路,支持以太和DSL出口,针对ADSL接入可以实现1-24路的带宽捆绑功能,可以方便快速廉价的为运营商企业以及高校提供512K-1G的接入
宽带;
在路由策略方面,系统的策略全部基于对象操作,通过设置地址组对象只需添加一条路由策略即可实现对几千个不同网段离散目标的
策略路由,而系统的处理性能不受目标数量影响,十分适合教育网用户以及那些需要同时接入多个运营商的企业;
在均衡状态方面,可以实时的观察各个链路实时的均衡状态和流量大小;
在均衡算法方面,系统支持多种均衡算法,用户可以选择基于自动选择最优路径、会话、流量、主机数量、最小响应时间等多种均衡方式;
在线路保障方面,系统提供线路监控功能,可以根据当前的线路情况自动判别线路是否正常,在系统判别线路发生故障时可以自动将该线路上的负载转移到其他正常的线路上,同时根据用户设定判断线路是否恢复正常,在线路恢复正常后,重新启用该线路;
在
地址转换方面,系统提供AT/RDR等多种地址转换策略,满足用户的各种网络需求。
五、管理和日志
网优先锋
负载均衡设备主要采用HTTPS管理方式,全部资源配置均采用对象化方式,对象化管理方式可以提高资源的可见性和重用性,简化设备管理。此外设备还支持CLI、SSH等管理方式,并可以配合网优先锋日志管理系统对数据进行深度挖掘和分析。网优先锋
日志系统是一套独立的日志管理和分析工具,可以记录网内每个用户的会话和流量数据以及设备的运行数据,满足网络管理的审计和监控需求,日志系统还提供相应的管理界面供管理员分析和查询,帮助
网络管理员分析网络性能、排查网络运行故障。
另外,网优先锋设备还支持安全日志记录功能,设备会将用户的每一个会话(源地址、目标地址、
源端口、目标端口以及协议和流量)记录实时发给日志服务器,网优先锋设备记录的是每一个会话的数据,而不是每个数据报的数据,这样能够保证数据完整的前提下有效的减少数据量,日志服务器将会话的
原始数据以文件形式写入磁盘,在写入的过程中,系统会根据时间、文件大小等因素定期压缩,以节省磁盘空间;用户检索时,检索程序会扫描会话原始数据生成检索记录。