是否要采用分布实施优化
互联网出口在整个网络中属于咽喉要道,其重要性不言而喻,因此进行网络优化时首先要保证的是网络的可用性、出现故障的可恢复性。网络拓扑结构多种多样,用户的业务规则各不相同,其管理难度很大,部署互联网出口优化设备时,难免会发生配置失误,因此优化的实时过程必须要允许犯错。
通常会采用的实施策略是:
● 旁路运行合格后串接到网络中:采用透明部署模式,即不改变任何网络拓扑,只是通过旁路将优化设备接入网络,当优化设备出现任何问题,会自动走原有通路。当优化设备出现各种问题时,可以及时与厂家沟通,当优化设备连续稳定运行时间超过考验期后,将优化设备串接到网络,替下原有设备。
● 双轨运行:即新增的链路出口和用户直接接入到优化设备上,待运行稳定后,将原有用户和链路出口迁移到优化设备,这种方式将出现错误的范围限制在有限的区域中,可以平滑地实施网络出口优化。
是否需要同时满足内、外网用户的需要
内网用户通常会使用各种应用(程序)访问外网资源,有些程序(例如:BT下载、P2P的网页视频)会占用大量带宽,如果不进行管控将影响其它用户正常使用网络,例如:收发邮件慢、打开网页慢,视频会议带宽被侵占。
外网用户主动访问内网的目标是集中的,通常是访问设置在内网的邮件服务器、网站服务器。从联通链路、电信链路等不同链路过来的用户,网络优化设备应该为不同用户解析对应链路出口的地址,从而使得联通用户能通过我们的联通出口地址访问内网资源,电信用户能通过我们的电信出口地址访问内网资源。此技术称之为智能DNS,即根据外网用户所使用的链路。
是否需要在出口做地址转换(NAT)
IPV4协议下的地址当前无法满足为每一台接入互联网的设备分配一个唯一的IP地址,于是也就产生了NAT技术,即让多台设备复用一个IP地址。另外做NAT还可以防止局域网设备直接暴露自己的IP地址,从而保护局域网的设备。
内网用户的请求在互联网出口,需要将局域网地址转换成互联网地址;返回的数据从互联网出口进入内网时,也要将目标地址转换成内网用户的局域网地址。
出于保护内部服务器的需要,服务器会向外提供一个互联网访问地址,但是这个地址并非该服务器在局域网的IP,需要通过互联网出口设备进行地址和端口映射,将外网用户的请求送达局域网内部的服务器。
是否提供安全防护功能
内网用户可能因为感染病毒木马,对网络进行攻击,导致网络阻塞,从而影响内网所有用户上网,因此需要有针对内网用户的攻击保护,能及时识别中毒用户,对其会话进行限制,限制或拦截其网络访问。
来自外网的攻击种类比较多,网络出口优化设备要提供详细的包过滤功能实现网络安全保障功能,隔离和阻止各种攻击和有害流量,确保关键部门和关键应用的安全。
是否能简化网络拓扑,提高管理效率、降低管理工作量?
随着网络的不断发展,网络设备越来越多,网络拓扑越来越复杂,用户对网络服务质量的要求越来越高。设备越多、拓扑越复杂,管理难度越大,如果能将多个网络出口优化的功能集成在一起管理,不仅可以简化管理,还可以实现流控、负载均衡、NAT、智能DNS服务的联动配置,
如果在分散的设备上实施这些功能,不仅不能集中管理,而且无法实现联动管理,例如:基于负载均衡的流量控制(控制每个用户各种应用在多个链路出口上分别占用多少带宽资源),基于DNS的负载均衡调度(通过DNS解析结果,将用户流量引导到不同的出口链路上,实现负载均衡)。
管理互联网出口的策略规则应该提供足够的灵活度,能为各种业务状态提前制定适合的规则,从而动态地适应业务变化,而非发生时再通过手工修改,不仅效率低、管理工作强度大,而且容易因为情况紧急而发生配置失误。一次网络访问的要素为:来源地址(使用的IP地址)、来源用户(账号)、来源接口、发起访问的应用、访问时间、目标地址、链路出口,基于这些要素进行规则配置可以帮助管理员应对大部分情况;但有时候还需要根据一些动态要素,例如:各个链路带宽、链路出口实时负载等,进行规则的调整。
厂商是否能伴随业务发展持续提供服务?
随着业务的持续发展,需要的带宽资源可能增长几倍、甚至几十倍。如果厂商能提供全系列容量的产品(100Mb到1000Mb,到10Gb),可以随着业务的发展,平滑地扩展,网络拓扑和管理模式不变。减少了选择供应商的次数,降低了选型风险,网络管理人员无需学习新设备的使用,以往的技能知识得到延续,消除了熟悉新设备过程中的误操作风险。
厂商是否能提供快速的个性化定制服务?
客户的网络出口优化需求在具有普遍性的同时,也具有个性化的特点,如果厂商能快速针对用户的个性化需求进行定制,将使得客户的需求很好地被满足,通常涉及到系统对接(例如:radius)、增值服务开发、零散带宽聚合等。
如何选择网络出口优化设备
经过上述探讨,我们可以总结出选择网络出口优化设备的关键字如下:
● 满足用户需求:智能负载均衡(忙时优化、识别应用、预留带宽)、服务外网用户的智能DNS、自动处理DNS异常、链路保障
● 简化管理:管理多条多运营商提供的链路、降低带宽成本、综合管理、一台设备可以集中多种功能、规则灵活、集中管理、设备适应带宽范围大
● 降低风险:分布实施、平滑过渡,内置安全防护(病毒、攻击)
● 厂商的持续服务能力:个性化定制服务、增值服务
多种均衡算法,满足各种均衡需求
基于流量进行均衡:根据各个出口流量的负载,为内网流量选择最适合的出口,从而保证各出口的负载百分比尽可能接近;
基于会话进行均衡,根据各出口已经建立连接的会话数量,为内网的流量选择最适合的出口,从而保证各出口会话数量的比例与各出口带宽比例尽可能接近;
基于主机数的均衡,根据各出口的主机数量,为内网的流量选择最适合的出口,从而保证各出口的主机数量比例与带宽比例尽可能接近;
最佳链路动态选择算法:在尽可能保证所有用户上网质量的同时,充分利用各出口的带宽资源。
根据来源用户(用户的优先等级)、访问的目标IP(不同网段适合走)、各出口的负载情况来综合计算,为内部用户访问Internet选择最佳路径。
最佳链路动态选择算法根据多种因素来选择链路,例如,当一台内部主机访问互联网时,系统会根据主机访问的目标IP地址进行"最小响应时间"计算,另外系统还会计算不同链路为此次访问"新建的会话响应时间",结合"最小响应时间"、"会话数"以及"流量状况"等因素,加权得到最佳的链路;
支持动态最佳选路-根据网络实时状况选择最佳链路
传统做法是根据所访问的目标地址进行链路选择。
在不同运营商的链路资源之间选路时,大部分时候是有效的。但是当根据目标地址选择的链路质量出现严重问题时,例如:中断或者严重丢包,无法选择其它链路资源。
当有多条同一运营商链路时,在这些链路之间基本采用的是轮询算法,不能按照多条链路资源的实时变化的链路质量和负载情况为用户选择合理的链路资源。
因此科学的选路应该要能实时探测所有链路资源的链路质量,并结合链路的负载情况,为用户选择合理的链路资源,这就像结合静态的地图数据+实时的路况数据来为汽车进行导航。
动态最佳选路原理,如下两幅图所示:
动态最佳选路原理示意图1:链路低负载-基于最优路径选录
动态最佳选路原理示意图2:链路高负载-基于负载延时权值选择链路
基于应用识别的负载均衡-应用牵引
用户租用不同的链路通常在资费、带宽上都有差异,因此用户希望将一些非关键应用引导至资费低的数据链路,即希望针对应用进行负载均衡。这种基于应用识别的负载均衡,称之为应用牵引(北京灵州网络技术有限公司在其NetMizer系列产品中首创),可把一些非关键应用流量如P2P下载,在线视频等,牵引至网络时延大,链路质量较差的链路,将正常的网页浏览、收发邮件等流量引至质量较好的链路,在保证了用户上网体验的同时,也充分利用了较差链路的带宽资源。
如上图所示,可以将P2P应用牵引至质量相对较差的且带宽充裕的其它链路,而网页浏览、邮件收发和网络游戏等仍使用质量较好的联通和电信链路,在提高了链路使用率的同时也保证了用户上网体验。
应用牵引功能可绑定时间策略和某条链路带宽利用率,例如可以设置牵引策略在晚高峰19:00至23:00间生效,或当电信链路利用率达到80%时,应用牵引策略生效。满足用户复杂的应用牵引需求。
能够通过DNS解析进行链路之间的流量均衡
通过为用户选择带宽利用率低的链路G1所绑定的DNS,可以实现将HTTP流量多走链路G1,从而改善链路负载均衡的效果;
通过优化设备为域名指定DNS代理服务器,可以将访问这些域名的流量牵引到DNS代理所绑定的链路上,从而实现基于域名的流量牵引。
为外网用户提供智能DNS解析
为外网用户提供内部服务器智能解析服务功能,解决由外网访问内网服务器链路选择的问题。
在没有负载均衡设备的网络中,外网用户访问内部服务器时只能选择单一链路或者随机选择链路,未经优化的随机链路选择无法保障外网用户的访问体验效果。智能DNS模块,可以配合客户的解析服务器引导内部服务器的域名解析,当外网用户通过域名访问客户的内部服务器时,负载均衡设备就会通过静态列表或者动态判断算法,选择最佳的线路,然后将域名解析成相应线路的IP地址。
例如:某高校的出口链路有电信出口和Cernet出口,当来自电信网的外部用户访问学校内部服务器时,首先向该用户本地的域名服务器发起域名解析请求,该域名服务器会向服务器所在园区网的内网DNS服务器请求解析,内网DNS服务器会对该请求作出回应报文,该回应报文流经网络出口优化设备时,通过静态列表或者动态链路选择算法选择最佳的电信线路而不选择Cernet链路,然后将域名解析成电信线路的IP地址,并把解析结果传回到这个外网用户本地的域名服务器。
这样电信用户在访问内部服务器资源时就会使用电信的解析地址,通过电信的线路进行访问,实现了访问时链路方面的负载均衡优化。
智能DNS技术可以支持透明模式和集成模式:
● 透明模式:主要应用在用户DNS服务器部署在负载均衡设备所连接的内部网络中,此时用户无需对自己的域名服务器进行修改;
● 集成模式:适用于用户DNS服务器部署在外部环境下,此时客户需要将域名的解析功能重定向到负载均衡设备上。
能进行高性能的地址转换(NAT)
支持各种NAT方式,满足内网访问外网需要,外网用户访问内网服务器的需要。
支持FTP、H.323、IPSEC等应用层代理服务,充分保障用户应用的兼容性。
支持会话IP地址保持,以满足网银等需要用户保持相同IP地址的应用需要(如果用户多次访问网银,被NAT为不同地址,网银会认为用户IP地址异常,从而强制用户重新登录)。
NAT效率能满足大带宽使用需要,单机NAT最大能支持10G带宽,满足运营商万兆互连需要。
能自动处理DNS的异常情况
如果在每条ISP链路上绑定多个DNS服务器地址,当某个DNS服务器发生故障或无法提供正常解析服务时,自动跳过该故障DNS,为用户使用其它DNS提供解析服务,实现DNS的冗余。
内网用户DNS配置不当或者所配置DNS服务器提供的解析服务异常或者其解析地址不正确时,网络优化设备能自动接管DNS解析,为用户选择正确的DNS服务器或者直接返回解析结果。例如:针对特定的教育网服务器域名,为用户解析为教育网链路出口,保证用户的访问速度。又比如:用户访问特定视频网站时,将解析结果指向内部的缓存服务器,加速用户访问,节省互联网出口的带宽。
自动探测链路健康状况-链路保障
可以在各种网络环境下检测网络通信状况,通过4~7层的检查手段准确判断链路的健康状况,不仅仅是通过判断某个网站是否能连通,而是通过网络流量、连接建立情况进行综合检查,从而科学地判定链路质量状态、链路的中断、链路的恢复。
基于链路状态的诊断,自动将有故障链路的既有流量均衡到其它链路出口上,当判断故障链路恢复正常后,重新将该链路纳入负载均衡所使用的链路出口。
保障用户体验的前提下用足带宽资源-带宽定速巡航
当带宽资源富余时不对受限应用限速,在带宽资源紧张时对受限应用限速,链路出口的总带宽在高峰期流量如恒定不变的带宽一般,称之为带宽定速巡航。其原理图如下图所示:
带宽定速巡航示意图
实施实例如下图所示:
带宽定速巡航实施示例
如上图所示,在18:30-22:30,随着高优先级应用(对用户体验影响直接的应用)流量上升,受限应用(棕色的迅雷)流量明显被压缩,流量总量几乎是一条直线,充分利用了带宽资源,同时保障了高优先级应用的带宽。
管理规则能动态适应网络实时状况,降低管理难度,提升管理效果
能针对不同时间段制定管理规则,例如:可以为工作日的工作时间、工作日的非工作时间、非工作日分别制定不同的规则,保证用户在不同时间段,合理占用带宽资源;
能针对不同的用户来源制定管理规则,从而保证优先级高的用户能优先获得带宽资源;
能针对不同的目标地址制定管理规则,保证管理需要的目标地址能按照指定的链路方式进行访问;
能针对用户访问流量的应用制定管理规则,保证优先级高的应用能优先获得带宽资源;
能基于网络通讯特点自动加速,例如:优先让TCP会话的确认报文通过。
能基于链路出口的负载大小制定管理规则,可以配置不同负载时各链路的优先级,例如:根据各出口的负载百分比,将流量均匀分配到各个链路出口,当链路负载比例高时,增加其响应时延,降低其选路权重。
能基于链路质量制定管理规则,例如:根据链路的响应时延,自动为用户选择最佳的链路。
能自动监控链路状态,自动处理链路的中断,自动在可用链路中为用户选择链路出口。
使用多功能一体化设备,降低网络复杂度,减少故障点
使用流控、NAT、负载均衡、智能DNS一体化设备后,网络结构可以简化为:
当实现双机热备或者冷备时,二者的差别更大,大大减少了故障点(每加一台设备就增加了一个故障点),双机热备的示例拓扑如下图所示:
提供丰富的展示图表,帮助管理人员直观了解系统状态
● 系统状态的统计图表:CPU和内存消耗曲线,会话和主机数的趋势图。
● 接口的流量图表:各种物理接口、Vlan接口、聚合端口等的流量图形。
● 链路网关的流量图表:各个链路出口网关的流量图形。
● 应用分类流量图:各种应用协议、协议组的流量趋势图表,各个来源接口、目标链路出口上的流量,各种协议/协议组分别占其总流量的百分比、绝对值,协议以及协议组的流量排名。
● 用户流量图:查看各用户/用户组的总流量、流入流出的流量,用户使用的各种应用及其所产生的流量趋势图表。
提供多种诊断工具,帮助管理人员快速定位网络故障
● ping和trace工具:进行网络检查
● 网络连接测试工具:可以测试特定主机的指定端口是否可以访问
● 网络流量检测:通过各个接口上的进、出方向的报文数量、错误报文数量、字节数,诊断网络流量是否正常、传输质量是否正常
● 抓包工具:在各个接口上抓包
● 会话搜索:根据主机IP,搜索该主机的所有会话,并可以查看会话的路由信息、报文数量、流入流出速率
● 主机:根据会话数量、流入流出速率进行主机排序,定位主机。
● 应用接口分类:查看各个接口,各种应用的流量
● 各种应用的即时流量:查看各种应用会话数、流入及流出流量
设备型号全,能持续支持客户业务不断发展
低端产品管理从20M到500M带宽
中端产品管理从500M-2G带宽
高端产品管理从2G-10G带宽
ACTA架构产品可以支撑100G带宽(其规模相当于运营一个地级市的终端用户接入)
齐全的带宽管理范围,保证厂商可以持续为您提供服务。
多种部署方式-支持分布实施
为了支持平滑地实施网络出口优化设备,通常需要支持如下的部署模式:
●透明方式部署:设备部署在防火墙与核心交换机之间,通过物理层(MAC地址)进行通讯,其优点是当网络出口优化设备断电时,不会影响原有网络的使用,就好像不存在该设备,因此称之为透明模式。网络出口优化设备可以基于4- 7层的识别,对流量进行控制(拦截或者放行)、对用户流量进行均衡(基于MAC地址进行均衡)。NAT在防火墙上做。
● 路由方式部署:设备部署在防火墙与核心交换机之间,通过IP层进行通讯,网络出口优化设备负责为用户选择路由,NAT在防火墙或网络优化设备上做。
混合部署:设备部署在防火墙与核心交换机之间,链路A以透明方式部署,NAT在防火墙上做。链路B以路由方式部署,NAT在防火墙或NetMizer上启用。 当网络优化设备断电时,走链路A的用户依旧能正常访问网络,走链路B的用户无法访问网络。这种模式适合用户逐步将所有网络流量接入网络优化设备,可以实现平滑迁移。
● 集成部署模式:设备部署在核心交换机和各出口链路之间,网络优化出口优化设备负责做流控、负载均衡、NAT、实施防火墙策略。这种模式可以极大地简化网络拓扑,减少故障点,对于做双机热备将非常方便。
有效抵御病毒和内外网发起的攻击
提供传统防火墙的基于地址/端口的访问控制方法,例如:禁止发起攻击的外网IP的访问,只允许外网对特定IP和端口进行访问。
对于virflooding等分布式攻击,能自动进行识别,并自动进行拦截,对于内网用户会话数异常的能自动进行识别和限制。
仅依靠基于地址/端口的访问控制,已经不能可靠地提供安全防护,还需要基于应用进行精细管理,不仅能提高对病毒和攻击的识别、拦截,还能更好地保障合法用户的互联网访问。能按照会话的要素进行应用访问控制:来源地址、入口、目标地址、出口、应用,支持在管制时段,对访问进行放行、拦截,还应该支持转发该请求给其它处理系统(从而便于多系统对接)。
例如:
仅允许授权的外网地址(若干外网IP),在工作时间,通过指定的视频软件访问视频服务器;
仅允许授权的外网地址(多个分公司的外网地址),通过指定的邮件应用访问内网的邮件服务器。
厂商是否能在其它增值服务领域提供潜在的价值
1、与其它系统进行对接
与radius、BRAS系统集成,从而实现对上网用户的信息统计和分析
与移动运营商的移动流量数据集成,实现DPI分析
2、整合各种带宽资源,降低带宽采购成本
化零为整,自动管理各种零散带宽资源。整合后的带宽资源整合成分组网关,提供给用户使用,对于用户完全透明,就像给用户提供了整G的带宽资源。
3、内置安全防护功能的个性化定制
4、页面推送管理:基于用户访问的页面,按照管理需要向用户推送各种提示、警示信息或者相关推荐的服务。
NetMizer简介
● 2003年开始进入链路负载均衡以及流控领域,推出一体化的解决方案
● 2004年底增加应用层流量分析功能
● 2006年推出高性能优化版本
● 2009年推出10GE/10G POS流控方案以及4GE负载均衡一体化高性能解决方案
● 2010年推出业内首款应用牵引/应用路由产品,业内首次推出流控损耗优化技术以及带宽智能巡航技术
● 2011年研发万兆负载均衡产品以及推出移动运营商核心网的DPI流量分析平台
多种独有的功能模块,为用户优化链路资源提供完善而周密的解决方案。主要功能模块如下:
● 动态最佳链路选择;
● 地址转换和映射;
● 智能流量均衡;
● DNS服务模块;
● 链路健康状态检测;
● 应用牵引;
● 网络应用及主机流量实时监控;
● 应用层流量分析和控制(可选);
● 用户接入认证(可选);
功能特性 | 描述 |
最佳路径 | 实时链路优化技术,可以瞬时识别最佳链路,引导流量至最佳路径; |
均衡算法 | 静态和动态均衡方式结合流量、会话和主机对网络流量进行均衡; |
链路监控 | 自动检测链路是否正常,实现链路冗余; |
应用牵引 | 将指定七层应用牵引至固定链路; |
内置防火墙 | 集成防火墙功能,抵御网络攻击、减少安全隐患,降低网络攻击对网络运行的影响; |
部署方式 | 透明模式、路由模式、混合模式 |
应用分析 | 实时监控网络流量,可以实时监控每个应用的流量以及每个用户的流量、会话。 |
网络攻击 | Ping、tracerout、连接检测工具、流量监测工具、网络抓包工具、ARP宣告; |
DNS服务 | DNS代理、解析策略、智能DNS、DNS解析; |
管理功能 | 采用HTTPS管理方式,管理语言为中文; |
地址转换(可选) | 支持一对多的动态地址转换、服务映射以及一对一地址映射功能; |
其它功能(可选) | 可选应用层流量管理、用户认证模块、ADSL绑定模块和页面推送模块; |