深信服WOC专线备份解决方案

SANGFOR WOC 专网高可用性
解决方案
目录
第1章需求概述 (1)
1.1 背景介绍 (1)
第2章专网高可用性解决方案 (2)
2.1 方案总体描述 (3)
2.2 部署拓扑 (5)
第3章关键技术说明 (6)
3.1 SANGFOR VPN (6)
3.2 备份多线路流量分流 (7)
3.3 应用流量可视化 (7)
3.4 流量大幅削减，实现带宽增值 (8)
3.4.1 高效流压缩 (9)
3.4.2 基于码流特征的缓存技术 (10)
3.5 应用优化，提升业务速度 (11)
3.6 链路质量优化，保障网络稳定运行 (12)
3.7 深度流量管理，保障核心业务 (13)
3.8 智能数据中心报表服务，助力智慧决策 (15)
第1章需求概述
1.1背景介绍
数据大集中旨在通过业务应用及数据的统一整合，实现资源共享、统一调配、协作加强和集中化管理。

数据大集中后势必要进行跨地域、跨网络的应用访问。

决定整个数据大集中网络的整体运转速度即为承载整个广域网数据的基础网络。

随着信息化技术的不断发展，XX集团的IT建设也在不断完善中。

目前已在总部建立起包含ERP、OA、MAIL、文件服务等完整的统一应用平台，实现全国XX个分公司、XX个子公司的统一协作。

早在IT建设起步之初，XX集团已经采用DDN专线网络实现集团到各分公司、子公司的整体互联，实现了安全、高效、快速的数据传输。

（添加客户线路详情）
但随着XX集团的不断发展壮大、应用系统的不断增多，现有专网网络的问题不断浮现出来：
1.数据量不断激增导致的拥塞，访问速度影响工作效率：
随着组织规模的不断扩大、应用系统的不断完善，总部与各分支之间的往来数据量也在不断激增，导致原有的专线网络越来越拥挤。

日常平均带宽利用率达70%-80%左右，在高峰时段甚至达到100%，分支员工普遍反映访问速度低下，极大的影响着工作效率，数据大集中的优势无法完全发挥。

2.无法满足后续新上系统的承载需求：
为了促进业务流程的改革、加强总部与各分支间的交互深度，保障后续将新上SAP、视频会议等系统，需要基础网络能很好的保障这些应用投资的效益能
完全发挥。

而就目前的网络带宽利用而言，需要划分多余空间承载的难度非常大，而SAP、视频会议等系统的畅通使用非常依赖于带宽资源。

3.大文件传输、大邮件发送频繁，速度有待提高：
在日常办公中员工需要进行频繁的进行大文件传输、大邮件群发邮件收取。

一方面大文件、大邮件数据量大，传输耗时，需要等待的时间久；另一方面，带宽是有限的，频繁的大文件、大邮件群发产生的大数据量也对线路造成了较大的压力，这也是目前带宽资源较为紧张的原因之一。

4.线路中流量的组成无法可视，带宽分配规划不明确：
目前网络中未采用合适的方式对线路中流量进行可视，尚不明确各应用系统流量对带宽流量的占比和利用，无法洞悉目前对线路造成较大压力的应用究竟有哪些，后续的带宽分配规划未有很好的数据支撑。

5.专线扩建/升级费用高，未来三到五年可预见需较高投资：
针对目前的带宽利用情况、未来的应用及人员扩张计划，若需线路保持在一个健康的状态，至少需要将现有总部与各分支网络带宽分别升级到XX。

而专线的租用费用普遍高昂，若是依靠专线升级实现网络容量的扩容，每年仅在线路上需要新增的投资就达XX万，性价比难以得到保障。

同时为了保障专线网络的高可用性，扩建部署备份链路成本较高，且无法很好的利用主备专线的链路带宽，利用率低下。

第2章专网高可用性解决方案
针对XX集团现有的状况，我们推荐采用WOC专网高可用性解决方案实现专网的流量可视、流量削减、带宽增值、链路备份，保障专网的靠可用性。

2.1 方案总体描述
深信服通过“定位问题——解决问题——总结反馈”的流程提出专网高可用性解决方案，给用户带来最大价值。

1.定位现有专网问题
清晰的了解问题后才可提出针对性的解决方案。

针对目前用户专网的情况，存在以下几点问题：
➢ 单条专线链路，单点故障会造成业务中断
➢ 专线内存在大量的冗余数据传输，专网带宽压力过大
➢ 专网内核心应用速度响应很慢，影响办公效率
➢ 专网链路延时过大，业务交付效率低下
➢ 专网内流量分布无法感知， 核心应用无法保障
2.根据分析针对性解决问题
VPN 虚拟专线数据优化应用优化链路优化专网流量可视化流量管理智能报表
深信服针对以上问题从以下几个方面去做解决：
（1）VPN虚拟专线
通过建立VPN通道对专线做备份链路，同时还能对流量做分流，实现让部分核心应用（ERP、OA、视频会议等）走专线，其他非核心应用走VPN虚拟专线通道，减少专线的带宽压力同时保障核心业务系统的访问速度了，并且能保障当专线/VPN通道出现故障时，所有流量均能切换到另外一条正常的链路，保障核心业务系统的稳定和快速。

（2）大幅削减流量，降低带宽负荷，实现带宽增值
采用动态流压缩、基于码流特征数据优化对专网中流量进行大幅削减。

尤其针对现有网络中占主要部分的邮件、FTP文件传输等流量，可实现30%-50%以上的削减。

通过流量削减，可以保障专线带宽占有率在一个较为健康的范围之内，即使在办公高峰期同样可以顺畅的访问。

（3）应用进一步优化
针对ERP、邮件、FTP文件传输等应用，通过深信服WOC内置的应用优化策略，可进行进一步的优化，减少数据交互，提升访问速度，提高工作效率。

（4）高速传输协议改善丢包延时现象
通过深信服自主研发的HTP高速传输协议，通过快速重传、选择性重传、改善拥塞机制、增大滑动窗口大小等几个方面对传统的TCP传输协议做改进，提高链路质量和访问速度。

（5）专网流量可视化
帮助用户了解专网内的流量分布情况，为IT决策做依据：
➢一天/一周的带宽占用率趋势情况，流量高峰及平均值分别为多少，是否线路满负荷导致访问慢的情况出现。

➢各应用流量占总体流量的分布情况，核心业务流量是否得到合理的保障。

➢各主机流量占总体流量的排行，是否有分配不合理的情况出现。

（6）流量整形，合理规划专线资源
通过应用流量可视化了解各应用的流量分布情况后，现可根据业务关键程度进行流量整形。

➢针对ERP、视频会议等核心业务系统及应用进行单独的高优先级带宽保障，设置最小保障带宽保证使用。

➢针对其余应用、各主机，可根据其关键程度进行相应的带宽保障、带宽限制策略设置。

（7）智能报表反馈，不断调优效果
在完成上述优化后，可通过深信服WOC智能报表功能对优化后的网络流量分布及流量削减效果进行查看，并进一步调整流量分配及优化策略，做到动态调整，层层深入。

2.2部署拓扑
部署说明：
分别在XX集团总部与下属XX个分公司专线网络内网桥透明模式部署深信服WOC广域网优化设备，并能基于互联网线路建立安全的VPN备份链路。

无需更改原有专线网络，对网络的适应性较好。

通过深信服可实现自动检测专线及备份VPN线路的可用性，若其中一条线路发生故障时，自动实现主备线路的切换、恢复。

若专线及VPN备份线路均为可用线路，核心应用如ERP、视频会议在专线上运行，非核心应用如MAIL、FTP 等应用在VPN备份线路上运行，充分的利用了两条线路的带宽资源。

第3章关键技术说明
3.1SANGFOR VPN
IPSec是目前最为安全VPN协议，通过IPSec在Internet上建立安全可信的隧道，各实体之间的数据都是通过安全隧道传递。

局域网内原始IP的IP头包含本局域网信息，经加密后多个原始IP成为隧道IP的负载，隧道封装的IP头为隧道两端的Internet IP,这样就保护了内部网络信息，而且原始IP的数据已被加密成为负载，防止了内容泄漏。

同时添加ESP、AH帧头标志，用于识别正确的隧道封装IP，防止内容被篡改，支持MD5算法。

SANGFOR VPN遵循IPSec协议，SANGFOR VPN缺省使用AES 128位加密算法，该加密算法是美国国防部采用的标准，比同等级别的3DES快3倍。

并且支持国家国密算法，保证了数据传输的安全。

SANGFOR VPN并对IPSec协议做了相应改进，提高VPN建立的稳定性和快速性，主要从以下三个方面做技术创新：
➢采用多包封装，减少冗余数据；
➢采用流压缩技术，使得网络利用率提高到130%；
➢采用TCP封装，可以适应各种复杂网络结构，灵活的建立安全隧道。

3.2备份多线路流量分流
通过深信服的专利技术《多路复用VPN隧道的连接方法》（专利号ZL200310112006X）及基于应用选路的策略路由技术，可实现自动检测专线及备份VPN线路的可用性，若其中一条线路发生故障时，自动实现主备线路的切换、恢复。

若专线及VPN备份线路均为可用线路，核心应用如ERP、视频会议在专线上运行，非核心应用如MAIL、FTP等应用在VPN备份线路上运行，充分的利用了两条线路的带宽资源。

3.3应用流量可视化
深信服WOC广域网优化设备支持2800种以上的广域网应用协议识别，通
过DPI（深度内容检测）和DFI（动态流状态检测）技术识别应用，帮助管理员清晰的识别网络中各应用流量的分布、主机流量分布、线路流量状况。

并支持手工添加应用识别规则，无限扩展识别范围。

3.4流量大幅削减，实现带宽增值
数据有两种方式的冗余，第一种是数据本身的冗余，比如平常的一个.doc 文件，可通过压缩工具将其进行压缩，压缩后的文件大小往往有较为可观的效果，
这样的冗余数据普遍存在于各种应用当中。

第二种是行为方式造成的数据冗余，例如一个较大的设计文件，往往在总部与分支之间传输了第一遍之后，由于设计需要在小细节方面进行修改，又来来回回的反复发送，不断修改不断传输直至定稿，又如一个由总部发出的资料、学习文件、邮件，分支的第一个人下载了该资料并查看，但分支的第二个人、第三个人甚至全体员工都需要查看该资料，导致同样的数据在总部到分支之间进行重复传输。

针对以上两种冗余问题，深信服WOC提出了完整的解决方案：
3.4.1高效流压缩
针对数据本身的冗余，深信服WOC采用流压缩+IP包压缩+动态压缩的整体方案进行解决。

区别于传统基于文件的压缩方式，LZO、GZIP高效流压缩可在压缩比与所消耗的系统性能之间取得最佳的平衡，以求最低的消耗系统性能，获取最大的压缩比。

同时，流压缩采用边压缩边传输的方式加快输出，从整体上提供最快的数据加速效果。

通过动态压缩技术，在进行压缩时可针对不同的数据采用动态调整的最优化压缩策略，实现最优化匹配。

动态选择策略可在提高压缩效率的同时，降低系统
负载，从而提高整体的数据处理速度，提高业务的访问速度。

有别于传统的网络优化产品仅可针对TCP数据进行优化的技术，深信服WOC支持的IP全流量压缩，不仅可针对TCP进行压缩优化，还可针对UDP 进行压缩优化，真正实现全流量优化。

3.4.2基于码流特征的缓存技术
深信服WOC采用了流缓存技术，基于码流特征针对行为方式导致的冗余进行高度削减。

如下图所示，在部署了WOC广域网优化设备的两端之间需进行一个文件传输时，WOC设备将会将文件组成的各数据包分拆为多个“碎片”，并对“碎片”分配唯一指针，将指针分别存储在本地设备和目的地主机中。

当具有相同指针内容再次需要传输时，只传输指针到目的地，接收端根据指针便在本地的设备中提取出内容进行数据块、文件的校验重组。

只要“碎片”足够小，传递内容相同的概率就会足够大。

区别于一般的缓存技术存在数据更新滞后等问题，基于码流特征的数据优化采用数据流Cache加速技术，通过数据包分片标签机制并结合优化的模式匹配算法，在保证数据实时性的同时大大降低数据传输量提高访问速度。

指针的大小仅有10-20个字节，而一个指针能代表至多4K的数据，对行为导致、数据本身的冗余削减量是非常可观的，至多可削减60%-90%的流量。

流缓存流量削减效果
3.5应用优化，提升业务速度
针对应用协议本身的优化需求，深信服WOC设备采用了HTTP、HTTPS、
FTP、POP3、SMTP、CIFS、MAPI、Oracle EBS、RDP、Citrix等协议优化机制，可对Lotus Notes、Exchange、Outlook、金蝶EAS、用友NC、SAP NetWeaver、Oracle EBS、远程桌面、Citrix等应用进行优化，通过协议代理、优化应用交互机制、WebCache技术等大幅提高应用交互速度，提高用户访问体验。

3.6链路质量优化，保障网络稳定运行
专线等网络本身质量较差的情况下，都会导致丢包、延时的问题。

直接反映到用户应用访问上，就是ERP页面打开慢、订单录入慢、数据查询慢、FTP共享文件下载时间长等等影响工作情绪及效率的体验。

深信服WOC采用HTP高速传输协议技术解决以上问题。

HTP高速传输协议，高丢包、高延时下大幅提速
高丢包、高延时等状况对TCP协议传输的数据影响尤为严重。

TCP协议是面向连接、可靠的传输协议，在协议设计之初网络刚刚兴起，与现在的网络吞吐能力相比完全不可比拟所以TCP协议在设计时，其拥塞控制机制采取的是“慢上升、快下降”的方式。

面对当时的网络状况，是一种较好的选择，避免网络过渡拥塞。

但对于现在的网络吞吐能力而言，这样的机制反而大大限制了跨网访问的速度：网络环境好的时候，传输的滑动窗口大小缓慢的增长，但窗口最大仅为64K。

但在传输的过程中，一旦出现丢包现象，窗口大小将立即减小到原有窗口的一般。

同时丢包后将重新传输窗口内所丢数据包后的所有数据。

可见，传统的TCP协议面对传输速度增长慢、拥塞控制机制应变差、重传机制效率低下，在丢包、延时环境下很难让数据达到网络实际可达到的吞吐速度。

针对传统TCP“慢上升、快下降”的低效传输机制，深信服WOC提出了HTP高速传输协议技术（HighSpeed Transmission Protocol）。

HTP协议通过扩充传输窗口、改善拥塞控制算法、选择性快速重传等技术提高TCP传输效率。

如上图所示，刚好与传统TCP“慢上升、快下降”相对，HTP快速传输协议对于数据传输为“快上升、慢下降”。

当网络吞吐允许的情况下以最短的时间将传输速度提高到吞吐量所允许的最高；当遇到高丢包、高延时等现象，则通过优化的拥塞控制机制最大的适应网络所允许的最高传输速度，保证传输质量。

通过HTP快速传输协议，可显著提升在高丢包、高延时情况下的网络传输速度。

3.7深度流量管理，保障核心业务
通过深信服WOC流量管理功能，可对线路中的各应用流量进行优先级划分，保障核心业务、适当限制非核心业务。

深信服WOC对流量管理的流程划分为四个层级：应用识别、权限控制、通道化管理、线路化管理。

首先对数据本身归属进行应用识别判定，只有在识别的基础上才能针对性的管理；识别之后，基于用户进行该应用是否有使用权限进行控制；其次，针对拥有使用权限的应用进行通道化带宽保障/限制策略控制；再次，对于基于应用、用户进行流量分流的策略；最后，根据WOC提供的智能报表功能，可对当前策略下的效果进行反馈，并进行相应的策略调控，保障最佳控制效果。

流量管理流程图
◆应用类型识别
针对应用的识别，深信服WOC中内置有中国最大的应用识别规则库，提供24个大类、1000余条的应用识别过则，可精准的定位各类广域网应用，避免繁杂的配置。

同时，允许用户基于、IP、端口、协议、“应用协议特征字段”等信息添加新的应用协议识别规则，实现个性化识别和封堵、提供无限扩展能力。

◆带宽通道
可基于用户、应用、生效时间设置带宽/限制保障通道，针对保障通道整体进行上行/下行带宽保障设置、最大上下行带宽设置，例如可对视频会议设置带宽保障，保障最小上下行1M/s的带宽，但视频会议未在使用的使用，允许其他应用借用此带宽。

针对限制通道，可设置最大上下行带宽设置，例如可针对FTP 应用设置最大上下行512K/s的上下行带宽，并可限制单用户最大上下行64KB/s 带宽。

3.8智能数据中心报表服务，助力智慧决策
深信服WOC可提供智能报表功能，可针对应用实时流速、IP地址总流量排行、应用总流量排行等进行带宽分布分析，通过智能报表对流量清晰化呈现，调整现有网络管控策略，实现最佳的带宽资源调配。

可按需生产PDF等报表，且可自动发送指定邮箱，帮助网络管理者有效把控网络使用状况。

基于应用的流量分布图。