• QQ咨询

  • 在线咨询
  • 技术支持QQ
  • welcome
  • 培训咨询QQ
  • welcome

. 首页 > 安全产品 > 安全防护 > LanSecS应用交付控制与管理平台

LanSecS应用交付控制与管理平台

 

1.产品背景

随着互联网技术的不断发展,各大企业更多地开始使用互联网来交付其关键业务,保证业务的连续性。
    链路选择方面:由于运营商之间的互连互通一直存在着问题,企业在建立应用服务器时,如果用户采用单条接入链路,通过跨运营商的网络访问时,会非常缓慢,甚至无法访问,直接影响业务开展,将会带来重大损失。因此,采用多条链路已成为保证互联网链路稳定性和快速性的必然选择,而解决多链路选择的技术方案也应运而生。

服务器建设方面:作为Web、Email、SQL等常见服务器的请求数据量越来越大,复杂程度越来越高,用户对信息平台访问也越来越多,同时对应用的高可用性提出了更高的要求,传统服务器主备冗余模式已经不能满足当前需求,服务器负载均衡技术解决方案将是解决这一问题的关键。

2.ADC的概念

“应用交付”,实际上就是指应用交付网络(Application Delivery Networking,简称ADN),它利用相应的网络优化/加速设备,确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群。

应用交付控制器(ADC)是传统的网络负载均衡的升级、扩展,它是一种综合的交付平台设备,其综合了负载平衡、TCP优化管理、链接管理、SSL VPN、压缩优化、智能网络地址转换、高级路由、智能端口镜像等各种技术手段的综合平台,当下企业越来越依赖先进的应用交付网络解决方案,以确保在当今日新月异的业务环境中保持充分的 IT 灵活性,通过在可扩充的 ADC 平台上提供可调整的安全性、高可用性和优化性。

3.主要功能介绍

为了满足IT应用有效、快速、安全交付的需求,圣博润推出LanSecS应用交付平台的整体解决方案,包括:服务器负载均衡、应用优化与加速、链路负载均衡、全局负载均衡、广域网优化、安全防护等全系列产品。

 

v服务器负载均衡

服务器负载均衡主要是对访问服务器和服务器返回的流量进行管理,LanSecS应用交付平台通过多种静态和动态负载分担算法,把访问服务器的流量智能的分发给最佳的服务器。同时,LanSecS应用交付平台利用自身的多核高性能硬件平台和平台软件系统的优势,对流量进行实时压缩、缓存、硬件加解密等处理,把原本需要耗费服务器大量性能的计算接管过来,使服务器系统只进行业务相关的处理,以实现整个业务系统的加速和效率提升。

LanSecS应用交付服务器负载均衡方案包括:负载分担、应用加速、服务器卸载等几个部分。

v全局负载均衡

全局负载均衡-GSLB(Global Server Load Balance)是通过在全球部署多个数据中心来保护业务站点不受访问中断的影响,并且提升整体业务系统响应能力的一种解决方案。通过部署LanSecS应用交付平台,可以在多个数据中心之间进行流量分担,并进行数据中心间的冗余和灾备。同时LanSecS应用交付平台可以根据智能算法,把某个用户的访问引导到距离它最近、延迟最小的数据中心,即实现了整个业务系统的可扩展性,也有效的提升了用户体验。

LanSecS应用交付平台内置智能DNS系统和IP地理位置信息库,企业可以把ADC设备作为域名授权发布服务器,配置多个数据中心的IP地址对应该域名DNS A记录。当接收到某个用户的DNS请求时,通过判断该用户所处地域,并结合动态探测算法或者静态策略返回该域名对应的最佳数据中心地址。

v链路负载均衡

根据中国的运营商接入现状,企业往往选择同时租用多条运营商线路以实现企业接入Internet时的链路备份和带宽叠加。LanSecS应用交付平台可以动态监控链路的实时状态,提供多种静态和动态流量分担方法,可以有效提升多链路接入的效率和整体性能。

当企业部署对外提供服务的应用服务器时,LanSecS应用交付平台可以根据用户所处的运营商网络、或者地域的远近、或者当前链路的带宽质量进行智能DNS解析,帮助用户选择最优的链路进行访问,有效避免跨运营商访问时造成的带宽瓶颈和延迟增大等问题,提供最佳的用户体验。

  • Outbound出站方向访问

内网用户向外发起连接请求时,LanSecS应用交付平台产品提供多种静态和动态链路分担算法,选择当前最合适的链路分配流量。静态算法包括:轮询、比率、加权等。动态算法包括:最小连接、最小流量、最小延迟等等。

LanSecS应用交付平台支持运营商路由选择,根据用户请求地址所处运营商来选择和其匹配的运营商链路出口,这样就避免了跨运营商访问的效率低下问题。

  • Inbound入站方向访问

当企业内部提供对外的服务的业务系统时,如ERP系统、邮件系统或者其他在线业务交易系统时,可以把LanSecS应用交付平台作为授权域名发布服务器,把多个运营商链路接入IP地址绑定到同一个域名A记录上。这样,结合运营商IP位置信息库和静态配置策略,ADC能够智能的处理外部用户DNS请求,返回最佳的链路接入地址。

4.部署方式

LanSecS应用交付平台支持串行接入、并行接入、三层接入、透明模式接入、DSR模式等多种接入方式,企业可以根据当前的网络运行状况和业务规划选择最合适的接入方式。

v串行部署三层接入

这种模式下,LanSecS应用交付平台串行接入到网络中,所有流量都先经过ADC设备处理。通常情况下,ADC设备上的虚拟服务(VS)配置为公网IP地址,内部的服务器则配置为私有IP地址。典型的串行网络结构如下:LanSecS应用交付平台采用HA方式,和上下层交换机采用双链路交叉连接,网络结构清晰,并且具备很强的冗余性和可靠性。

 

v串行透明部署

这种部署模式可以不改变用户的现有IP地址结构,ADC设备的虚拟服务地址(VS)和服务器处在一个网段,当ADC设备出现单点故障,或者性能无法满足时,可以临时采用Bypass策略绕过ADC设备。串行接入透明部署的工作原理类似于正常的串行接入。

v旁路部署三层接入

旁路方式部署ADC产品,不需要对现有运行着的网络结构进行改变,可以方便快速的把ADC部署到网络中,ADC的工作模式和串行部署比较相近,ADC的虚拟服务器配置为公有地址,内部服务器配置为私有IP地址。ADC设备和服务器分别属于交换机不同的VLAN,ADC在分发数据给服务器时,进行源IP地址转换,把发给服务器的报文源IP地址改为ADC设备自身的IP地址,以保证服务器返回的流量也经过LanSecS应用交付平台。

v旁路部署透明接入

原理类似旁路部署三层接入,不同是LanSecS ADC和服务器划分到一个VLAN里面,LanSecS应用交付的VS地址和服务器配置为同一个IP网段,这种情况下可以把服务器的网关地址指向ADC设备的IP地址,ADC设备使用真实的客户端地址和服务器建立连接,而不需进行NAT源地址转换。

v旁路部署之三角传输

三角传输,也叫Direct Server Return(DSR)模式,是旁路部署的一个特例,这种模式下只有入站方向流量进入到ADC设备,由ADC设备根据预先配置好的负载分担策略进行流量分发,而服务器返回的流量不经过ADC设备。由于互联网的流量具有典型的非对称性,即请求方向上的流量比较小,绝大多数流量集中在服务器响应的方向上,所以如果让ADC设备只处理请求方向的流量,服务器返回的流量直接返回给客户端不经过ADC设备,就大大提升了ADC的处理能力。

 

三角传输模式无法支持一些需要修改服务器返回数据的功能。如基于Cookie的会话保持、响应重写等七层功能,也无法实现缓存和内容压缩等功能。