某建設管理局AD4000采購項目

發(fā)布人：admin發(fā)布時間：2016/9/1 10:36:15

    隨著互聯網技術的不斷發(fā)展，企業(yè)開始更多地使用互聯網來交付其關鍵業(yè)務應用，企業(yè)生產力的保證越來越多的依賴于企業(yè)IT架構的高可靠運行，尤其是企業(yè)數據中心關鍵業(yè)務應用的高可用性，所以企業(yè)越來越關注如何在最大節(jié)省IT成本的情況下維持關鍵應用7×24小時工作，保證業(yè)務的連續(xù)性和用戶的滿意度。  然而，由于運營商之間的互連互通一直存在著瓶頸問題。例如，通過電信建立的應用服務器，如果是聯通的用戶訪問該資源的時候，訪問延時有幾百甚至上千毫秒，用戶訪問時，可能會出現應用響應緩慢、甚至無響應造成無法訪問的問題。這樣企業(yè)在建立應用服務器時，如果用戶采用單條接入鏈路，無論是采用電信還是聯通網絡鏈路，勢必都會造成相應的聯通或電信用戶訪問非常緩慢。  如果只保持一條到公共網絡的連接鏈路，則意味著頻繁的單點故障和脆弱的網絡安全性。在互聯網鏈路的穩(wěn)定性日益重要的今天，顯然，單個互聯網無法保證應用服務的質量和應用的可用性以及可靠性，而應用服務的中斷，直接影響業(yè)務開展，將會帶來重大損失。  因此，采用多條鏈路已成為保證互聯網鏈路穩(wěn)定性和快速性的必然選擇。然而，傳統(tǒng)的多鏈路的解決方案，也不能完全保證應用的可靠性和可用性。  傳統(tǒng)多線路方案，通過每條互聯網鏈路為內網分配一個不同的IP地址網段，來實現對鏈路質量的保證。這樣的解決方案雖然能夠解決一些接入鏈路的單點故障問題，但是這樣不僅沒有實現真正的負載均衡，而且配置管理復雜。 

1. 路由協議不會知道每一個鏈路當前的流量負載和活動會話。此時的任何負載均衡都是很不精確的，最多只能叫做“鏈路共享”。 

2. 內網用戶訪問互聯網時，有的鏈路會比另外的鏈路容易達到。雖然路由協議知道一些就近性和可達性，但是他們不可能結合諸如路由器的HOP數和到目的網絡延時及鏈路的負載狀況等多變的因素，做出精確的路由選擇。 

3. 外部用戶訪問內網資源時，有的鏈路會比另外的鏈路更好地對外提供服務。每一種路由機制能結合DNS就近性，路由器負載等機制判斷哪一條鏈路可以對外部用戶來提供最優(yōu)的服務。 

4. 所以說，傳統(tǒng)的多鏈路接入依靠復雜的設計，解決了一些接入鏈路存在單點故障的問題。 但是，它遠遠沒有把多鏈路接入的巨大優(yōu)勢發(fā)揮出來。 
                    
需求分析 

    為了提升大連市城市建設管理局單位的應用系統(tǒng)的穩(wěn)定性和可靠性，大連市城市建設管理局單位已經部署多條互聯網鏈路以保證網絡服務的質量，消除單點故障，減少停機時間。目前需要在如下兩種情況下實現多條鏈路的負載均衡：  1）內部的應用系統(tǒng)和網絡工作站在訪問互聯網絡的服務和網站時如何能夠在多條不同的鏈路中動態(tài)分配和負載均衡，這也被稱為出站流量的負載均衡。  2）互聯網絡的外部用戶如何在外部訪問內部的網站和應用系統(tǒng)時也能夠動態(tài)的在多條鏈路上平衡分配，并在一條鏈路中斷的時候能夠智能地自動切換到另外一條鏈路到達服務器和應用系統(tǒng)，這也被稱作為入站流量的負載均衡。  針對上述問題，我們推薦使用深信服AD應用交付解決方案，可以智能的為大連市城市建設管理局客戶解決上述問題。

方案設計 
    本方案設計充分考慮了后續(xù)數據中心擴展性，采用深信服設備實現鏈路負載均衡，深信服AD設備包含了鏈路負載均衡、全局負載均衡和服務器負載均衡三大功能對后續(xù)網絡和應用系統(tǒng)的擴建、穩(wěn)定性保障以及優(yōu)化建設都有很好的擴展性。
1、整個方案采用深信服設備兩臺全冗余網絡連接方式設計，來保證系統(tǒng)的高可用性和高可靠性。 
2、內網的用戶訪問互聯網訪問資源時，深信服AD接收到用戶的訪問流量后，通過預先設定鏈路負載策略將用戶訪問流量分配到不同的互聯網鏈路之上，實現出站流量負載均衡，提升互聯網鏈路帶寬利用率。 
3、當外部用戶訪問內部資源時，深信服AD通過智能DNS技術將一個域名綁定多個運營商的公網地址，負責解析來自不同運營商用戶的域名解析請求；深信服AD根據不同負載均衡策略為不同運營商的用戶返回最佳的訪問地址，實現用戶入站流量的負載均衡。 

方案實現

    深信服AD接收到內網用戶訪問的流量以后，可以根據預先設定負載策略將訪問電信的資源的出站流量分配到電信的鏈路之上，并做源地址的NAT，（可以指定某一合法IP地址進行源地址的NAT，也可以用AD的接口地址自動映射），保證數據包返回時能夠正確接收；同理，其它的訪問的流量會通過相應策略會被分配到其它的運營商鏈路之上。

    入站流量（外部用戶訪問內部資源的流量） 

通過在域名注冊提供商處修改域名NS記錄，深信服AD設備獲得域名解析權，深信服實現一個域名綁定多個運營商的公網地址，負責解析來自多個運營商用戶的域名解析請求。 

根據實現設定負載策略可以實現，如電信的用戶通過電信的線路訪問內部資源，聯通的用戶通過聯通的線路訪問內部資源；深信服AD還可以通過兩條鏈路做反向查詢，根據RTT時間判斷鏈路的好壞，并且綜合以上兩個參數返回相應的IP地址。

就近性算法 
    為了保障當全球范圍的用戶在訪問資源時，能夠被引導至“最優(yōu)”的鏈路負載，鏈路負載均衡設備需要對用戶到各站點之間的距離、延時、及當前數據中心的負荷等眾多因素進行分析判斷。  深信服鏈路負載均衡支持靜態(tài)和動態(tài)兩種就近性方法，兩種方式可以并存使用。 靜態(tài)就近性  深信服全局負載均衡設備中搜集了各個全球的IP地址并形成地址庫，能夠實現實時更新；當用戶訪問目標IP屬于哪個運營商（或地區(qū)），就為用戶選擇這個運營商（或地區(qū)）的鏈路。 

當用戶請求沒有包含設備的地址庫中時，深信服全局負載均衡設備將會主動查詢該地址所屬地區(qū)（或運營商），匹配之后再根據靜態(tài)就進行為用戶選擇鏈路。 

如果上述兩種方式都無法判別用戶請求IP所屬地區(qū)（或運營），則直接使用動態(tài)就近性。 動態(tài)就近性  當用戶發(fā)起訪問請求時，深信服負載均衡設備可以通過綜合考慮各數據中心與請求地址之間的路由節(jié)點數量、數據傳輸的延遲和數據中心鏈路的實時負荷，準確計算出最佳路徑，將用戶引導至最佳的數據中心。

智能優(yōu)化技術 
    深信服AD采用智能路由技術、DNS透明代理技術以及鏈路繁忙控制技術可以實現基于鏈路的負荷情況、時間段、用戶群體、訪問對象等因素來分配鏈路的分配機制，進一步提升鏈路優(yōu)化使用率。 

DNS透明代理，避免由于內網用戶填寫同一運營商DNS服務器地址而造成鏈路擁塞和訪問速度變慢的情況；同時支持為用戶訪問的特定域名指定訪問鏈路，提升各條鏈路利用率，避免鏈路擁塞。 

鏈路繁忙控制，為每條鏈路設定閥值，避免過多用戶被分配到同一鏈路之上，造成用戶訪問速度降低。  智能路由，方便用戶配置管理設備，提供基于時間段的鏈路負載機制，在不同時間段使用不同的負載均衡算法，滿足網絡個性管理需求。 

智能告警，一旦鏈路、應用系統(tǒng)、設備本身出現故障，就會通過郵件或者短信的形式通知管理人員進行相應的處理。

健康檢查機制 

    深信服鏈路負載均衡設備通過多個Internet站點的可達性，來共同判斷一條鏈路的狀況。例如，通過電信線路檢查www.sina.com、www.sohu.com以及www.qq.com的TCP 80端口，并對檢查結果做“或”運算。這樣，只要其中一個站點可達，即可表明鏈路狀態(tài)良好。該方法避免了ICMP檢查的局限性，也避免了單一站點檢查帶來的單點失誤。
 
單邊加速技術     
    雖然網絡中多挑互聯網鏈路，但是肯定還是有一部分用戶網絡質量的問題造成訪問速度偏慢，如用戶通過3G網絡、非主流運營商網絡等網絡來訪問數據中心業(yè)務系統(tǒng)的時候都有可能造成用戶訪問速度偏慢，因為通過這類網絡來訪問時都會存在一定的延時和丟包，必然造成訪問速度變慢。  針對這種情況出現，深信服AD設備包含的單邊加速技術是對這類用戶訪問速度的一種保障。深信服單邊加速技術通過自動、實時、持續(xù)、動態(tài)地偵測網絡路徑中的延遲、丟包、重傳的情況，改變傳出機制和改善傳輸擁塞機制，避免數據報文的過度重發(fā)，減少應用響應時間，提升TCP傳輸效率，從而節(jié)省了企業(yè)廣域網帶寬資源和響應時間。 

    在各類的網絡環(huán)境之中，深信服 AD的單邊加速技術能夠極大的提升用戶的訪問速度，特別是比較常見的跨運營商的網絡環(huán)境之中，深信服 AD的單邊加速能夠顯著提高網絡效率，提升空間一般在2倍至50倍之前，有的情況甚至高達100倍。以往通過廣域網獲取文件或者其他應用訪問需幾分鐘甚至是幾小時，現在只需幾秒或數十秒就可完成，極大的提升用戶的訪問速度。

商業(yè)智能分析 
    組織作為互聯網業(yè)務的提供者，不僅要保證網絡的穩(wěn)定、持續(xù)運行，同時還需要對網絡進行相應的優(yōu)化來保證用戶的訪問體驗。這時候就需要組織去了解網絡訪問人群的特性、訪問的時間分布、訪問內容偏好、業(yè)務系統(tǒng)的性能情況、鏈路健康狀況的等信息，只有在掌握了這些信息后，組織才能為業(yè)務系統(tǒng)的網絡性能優(yōu)化提供支撐，才能夠為高層業(yè)務決策提供數據依據。 

    深信服AD設備具備強大的統(tǒng)計分析功能，能夠有效統(tǒng)計分析鏈路的使用情況，包括流量、連接數、用戶數；能夠有效統(tǒng)計服務器的使用狀況，包括連接數、響應時間、健康狀態(tài)等；能有效統(tǒng)計訪問用戶的時間、地域分布特性以及用戶的應用訪問偏好。 

    深信服 AD提供的關于鏈路使用情況、服務器使用情況、用戶使用偏好等相關方面的智能報表分析能夠幫助企業(yè)快速全面的了解整個應用發(fā)布系統(tǒng)各個元素的運行狀況。  此功能可以為企業(yè)帶來兩點價值：1、為企業(yè)提供網絡優(yōu)化和改造的依據；2、為企業(yè)業(yè)務運營計劃提供商業(yè)決策的依據。 
 
單邊加速技術
    深信服 AD單邊加速解決方案，區(qū)別于傳統(tǒng)的加速解決方案。首先，它不需要在用戶電腦上安裝任何軟件和控件，對用戶訪問透明，而且可以在不升級帶寬的前提下，減少應用程序的響應時間，提升用戶的訪問速度。

DNS透明代理 

    當網絡之中部署了多條互聯網鏈路后，內網用戶在上網的時候由于都填寫其中某一運營商的DNS服務器，于是大部分的用戶都被分配到同一鏈路上，使得鏈路一直處于繁忙狀態(tài)，由此鏈路訪問的用戶訪問速度下降，而另一條鏈路卻處于閑置狀態(tài)。鏈路利用的不均衡，一方面造成互聯網資源的浪費，另一個方面造成用戶的訪問速度得不到保障。 

    通過深信服應用交付產品DNS透明代理技術，不論內網用戶填寫哪家運營商的DNS服務器地址，都會通過深信服 AD設備進行DNS請求轉發(fā)，通過深信服 AD尋找合適的DNS服務器返回給內網電腦，其中根據實現設定的負載算法，就能按照實現設定的鏈路利用策略將流量分配到不同的鏈路之上。 

    這樣的話，用戶的網絡之中兩條的鏈路的流量自始至終都會與管理者所期望的一樣的，保證各條鏈路的利用率。

鏈路繁忙控制 
    鏈路繁忙控制技術是通過為特定鏈路設定相應的閥值，結合深信服AD全面的負載均衡算法，當某條鏈路達到閥值之后，用戶的訪問請求將會通過事先設定的負載策略分配到其它鏈路之上。 

    傳統(tǒng)的流量控制設備能夠基于應用實現對網絡帶寬的保護，而傳統(tǒng)的負載均衡設備能夠實現鏈路的智能選擇，但是兩者都不能根據鏈路的帶寬負載情況為用戶選擇相應訪問鏈路，而深信服AD設備所提供的鏈路繁忙控制技術能填補客戶在如何解決合理使用鏈路帶寬資源方面所存在的空白。

智能路由技術 
    智能路由技術是深信服AD應用交付產品智能化進程中又一里程碑，通過智能路由技術，管理人員即使對負載算法和策略不熟悉，只要選擇目前自己對于鏈路利用所期望達到的效果，就可通過配置向導實現對負載策略的輕松配置。 

    同時實現基于時間段的負載均衡，即在不同的時間段采用不同的負載均衡策略，實現網絡和服務器資源利用率的最大化。

智能告警技術 
    通過管理員預先設定的想了解的信息，一旦鏈路或者服務器出現故障的時候就可以通過短信或者郵件的形式通知相關管理人員進行維護。 

    支持報警對象包括：鏈路、服務器、虛擬服務、雙機切換、網絡攻擊等。