深信服智能DNS全局负载方案

智能DNS全局负载均衡解决方案——深信服AD系列应用交付产品背景介绍在数据大集中的趋势下，多数组织机构都建立了统一运维的数据中心。

考虑到单一数据中心在遭遇到不抗拒的因素（如火灾、断电、地震）时，业务系统就很有可能立即瘫痪，继而造成重大损失，因此很多具有前瞻性的组织机构都在建设多数据中心以实现容灾。

那么如何充分利用多个数据中心的资源才能避免资源浪费？如何在一个数据出现故障时，将用户引导至正常的数据中心？在多个数据中心都健康的情况下如何为用户选择最佳的数据中心？问题分析随着组织的规模扩大，用户群体和分支机构分布全国乃至全球，这一过程中组织对信息化应用系统的依赖性越来越强。

对于企事业单位而言，要实现业务完整、快速的交付，关键在于如何在用户和应用之间构建的高可用性的访问途径。

跨运营商访问延迟－由于运营商之间的互连互通一直存在着瓶颈问题，企业在兴建应用服务器时，若只采用单一运营商的链路来发布业务应用，势必会造成其他运营商的用户接入访问非常缓慢。

在互联网链路的稳定性日益重要的今天，通过部署多条运营商链路，有助于保证应用服务的可用性和可靠性。

多数据中心容灾－考虑到单数据中心伴随的业务中断风险，以及用户跨地域、跨运营商访问的速度问题，越来越多组织选择部署同城/异地多数据中心。

借助多数据中心之间的冗余和就近接入机制，以保障关键业务系统的快速、持续、稳定的运行。

深信服解决方案智能DNS全局负载均衡解决方案，旨在通过同步多台深信服AD系列应用交付设备，以唯一域名的方式将多个数据中心对外发布出去，并根据灵活的负载策略为访问用户选择最佳的数据中心入口。

用户就近访问④支持静态和动态两种就近性判断方法，保障用户在访问资源时被引导至最合适的数据中心④通过对用户到各站点之间的距离、延时、以及当前数据中心的负荷等众多因素进行分析判断④内置实时更新的全球IP地址库，进一步提高用户请求就近分配的准确性，避免遭遇跨运营商访问站点健康检查④对所有数据中心发布的虚拟服务进行监控，全面检查虚拟服务在IP、TCP、UDP、应用和内容等所有协议层上的工作状态④实时监控各个数据中心的运行状况，及时发现故障站点，并相应地将后续的用户访问请求都调度到其他的健康的数据中心入站流量管理④支持轮询、加权轮询、首个可用、哈希、加权最小连接、加权最少流量、动态就近性、静态就近性等多种负载均衡算法，为用户访问提供灵活的入站链路调度机制④一旦某条链路中断仍可通过其它链路提供访问接入，实现数据中心的多条出口链路冗余方案价值④合理地调度来自不同用户的入站访问，提升对外发布应用系统的稳定性和用户访问体验④多个数据中心之间形成站点冗余，保障业务的高可用性，并提升各站点的资源利用率④充分利用多条运营商链路带来的可靠性保障，提升用户访问的稳定性和持续性。

技术方案本方案包含两个部分，上网行为管理技术方案和负载均衡技术方案一、上网行为管理技术方案1、需求概述背景介绍随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变：⏹网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务；⏹沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流，提升工作效率，获取资讯和知识，维系人脉关系；⏹移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统，员工更喜欢通过WLAN、移动终端类开展工作；因此，在员工的日常工作中，ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。

上网行为管理需求员工访问互联网的习惯正在发生变化，从最早使用PC、有线局域网，到更多使用移动终端、WLAN来进行办公，如果过度开放的上网环境会带来以下问题：工作效率低下网络的普及改变了传统的办公方式，而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。

这严重影响工作效率，从而导致企业竞争力的下降。

所以，组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。

带宽滥用和浪费互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用，用户在使用这些应用的过程中必然会占用大量的带宽，而关键的业务应用、关键人员角色则得不到足够的资源。

此外，传统的带宽管理策略都是静态的，当带宽空闲时，依然会限制用户的流量，带宽价值被大大浪费。

所以，IT部门需要针对各种应用类型、用户角色、带宽占用情况等，提供更加灵活、细致、动态的带宽管理策略，提升用户上网体验。

BYOD难管理随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通过有线和无线网络，在不同的位置（办公座位、会议室等），接入企业IT系统。

第1篇随着信息技术的飞速发展，网络安全问题日益凸显，企业对信息安全的重视程度也不断提升。

深信服作为国内领先的网络安全产品和服务提供商，凭借其强大的技术研发实力和丰富的行业经验，为企业提供了一系列整体解决方案，助力企业构建安全、高效、稳定的网络环境。

一、深信服整体解决方案概述深信服整体解决方案以网络安全为核心，涵盖了企业级防火墙、入侵检测/防御系统（IDS/IPS）、安全审计、虚拟化安全、移动安全等多个领域。

通过整合软硬件资源，为企业提供全面、高效、智能的安全防护，助力企业应对日益复杂的网络安全威胁。

二、深信服整体解决方案的特点1. 高安全性深信服整体解决方案采用业界领先的安全技术和算法，确保企业网络安全。

通过实时监控、智能防御和主动防御，有效阻止各类网络攻击，保障企业数据安全。

2. 高可靠性深信服整体解决方案采用模块化设计，具有良好的扩展性和可维护性。

系统具备冗余备份、故障转移等功能，确保企业网络稳定运行。

3. 高性能深信服整体解决方案采用高性能硬件平台和优化算法，具备高速处理能力，满足企业大规模网络的安全需求。

4. 易用性深信服整体解决方案提供直观易用的操作界面，方便企业用户进行配置和管理。

同时，深信服提供专业的技术支持，确保企业顺利实施和运维。

5. 良好的兼容性深信服整体解决方案兼容多种操作系统、网络设备和安全协议，方便企业进行系统集成。

三、深信服整体解决方案的应用场景1. 银行、证券等金融行业金融行业对信息安全的重视程度较高，深信服整体解决方案能够有效保障金融企业的网络安全，防止各类网络攻击，确保金融交易安全。

2. 政府机关政府机关承担着国家信息安全的重要任务，深信服整体解决方案能够帮助政府机关提高网络安全防护能力，确保国家信息安全。

3. 电力、能源等行业电力、能源等行业对信息安全的依赖程度较高，深信服整体解决方案能够保障企业生产、运营和管理的网络安全，提高企业竞争力。

4. 企事业单位企事业单位在信息化过程中，面临着日益复杂的网络安全威胁。

深信服负载均衡主备双机一、主备双机配置界面主备』设置双机热备功能。

界面如下图所示：名称』自定义设备的名称，方便区分当前哪台设备处于主模式。

状态』中［启用］用来启用双机，［禁用］用来禁用双机。

『超时时间』当在超时时间内备机一直无法收到主机发送的心跳包，则认为主机超时，备机主动切换成主机。

『通信介质』选择连接双机的接口，可以用串口和空闲的网口。

选择网口后，需要为该网□配置一个IP地址,只要不与正在使用的IP地址冲突即可。

建议选择网□作为通信介质，通过网口来做双机切换比串口切换花费的时间短。

通信介质选择网口，则可以实现会话同步。

『MAC同步』用于设置双机切换是否同步MAC地址。

『同步网□列表』用于设置切换双机的时候同步哪些接□的MAC地址，需要开启MAC同步才会显示该选项。

『通信介质故障检测』通过网络数据包来检测对端是否存在，避免两台设备成为主机导致IP冲突。

两台设备的通信介质故障检测网□需要接到同一个广播域，可以选择已经使用的网□，也可以选择空闲网□，选择空闲网□需要设置IP地址。

界面如下：同步配置』点击向备机同步配置。

故障切换』用于设置双机切换条件，符合此处设置的条件则进行主备切换，界面如下：『状态』用于设置是否启用双机故障切换检测，『检测类型』分为『掉线检测』、『ARP检测』、『健康检查』3种，设置后点击添加可以组合使用多种检测方法，［删除可以取消选中的检测方法。

『掉线检测』当检测到网口物理状态不正常则进行切换。

『ARP检测』AD设备向选择的接□发送ARP广播，如果监视主机里填写的IP地址有回应ARP，则判断正常。

该监视主机地址需要填写与AD设备接□同一网段的地址。

界面如下：『健康检查』通过网络接□处设置的链路健康检查机制来检测，当选择健康检查后，只有启用了链路健康检查的链路才可选，界面如下：故晖切换状态检刪类型 检测列克切换条件主备状态』分为“主机”、“备机”，可通过右边的切换按钮进行主备切换。

双活数据中心（业务层）方案一、需求背景：随着数据的大集中，银行纷纷建设了负责本行各业务处理的生产数据中心机房（一般称为数据中心），数据中心因其负担了全行业务，所以其并发业务负荷能力和不间断运行能力是评价一个数据中心成熟与否的关键性指标。

近年来，随着网上银行、手机银行等各种互联网业务的迅猛发展，银行数据中心的业务压力业成倍增加，用户对于业务访问质量的要求也越来越高，保障业务系统的7*24小时连续运营并提升用户体验成为信息部门的首要职责。

商业银行信息系统的安全、稳定运行关系着国家金融安全和社会稳定，监管机构也十分重视商业银行的灾难备份体系建设，多次发布了商业银行信息系统灾难备份的相关标准和指引，对商业银行灾备系统建设提出了明确的要求。

为适应互联网业务的快速增长，保障银行各业务安全稳定的不间断运行，提高市场竞争力，同时符合监管机构的相关要求，建设灾备、双活甚至多活数据中心正在成为商业银行的共同选择。

二、发展趋势：多数据中心的建设需要投入大量资金，其项目周期往往很长，涉及的范围也比较大。

从技术上来说，要实现真正意义上的双活，就要求网络、应用、数据库和存储都要双活。

就现阶段来看，大多数客户的多数据中心建设还达不到完全的双活要求，主流的建设目标是实现应用双活。

目前客户建设多数据中心的模型可以归纳为以下几种：1.单纯的数据容灾：正常情况下只有主数据中心投入运行，备数据中心处于待命状态。

发生灾难时，灾备数据中心可以短时间内恢复业务并投入运行，减轻灾难带来的损失。

这种模式只能解决业务连续性的需求，但用户无法就近快速接入。

灾备中心建设的投资巨大且运维成本高昂，正常情况下灾备中心不对外服务，资源利用率偏低，造成了巨大的浪费。

2.构建业务连续性：两个数据中心（同城/异地）的应用都处于活动状态，都有业务对外提供服务且互为备份。

但出于技术成熟度、成本等因素考虑，数据库采用主备方式部署，数据库读写操作都在主中心进行，灾备中心进行数据同步。

SANGFOR_AD_6.4_设备管理_序列号_用户配置指导书深信服科技有限公司文档编号AD_CONF_07_01审核huangbing修订记录版本时间修订内容1.02016年7月目录1说明 (1)1.1文档说明 (1)1.2缩写和标志说明 (1)1.3使用反馈 (1)2应用场景 (2)3模块介绍及运用 (2)3.1设备管理 (2)3.1.1管理网口 (2)3.1.2日期/时间 (4)3.1.3配置备份与恢复 (5)3.1.4关机/重启 (7)3.1.5WebConsole (8)4序列号 (12)4.1应用分析授权 (14)4.2安全分析授权 (14)5用户 (16)1说明1.1文档说明本文档深信服公司及其许可者版权所有，并保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式出版传播。

由于产品版本升级或其他原因，本手册内容有可能变更。

深信服保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导，深信服尽全力在本手册中提供准确的信息，但是并不确保手册内容完全没有错误。

1.2缩写和标志说明本文中AD均指应用交付管理系统。

本文还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：小心、注意：提醒操作中应注意的事项，不当的操作可能会导致设置无法生效、数据丢失或者设备损坏。

说明、提示、窍门：对操作内容的描述进行必要的补充和说明1.3使用反馈如果您在使用过程中发现本资料的任何问题，欢迎及时反馈给我们，可以通过反馈到深信服技术支持论坛：用户支持邮箱：*******************.cn技术支持热线电话：400-630-6430感谢您的支持与反馈，我们将会做的更好！2应用场景方便现场部署和网络维护人员了解如何登陆和管理AD设备；掌握设备配置的备份与恢复；在设备界面简单调试AD。

了解设备开通了哪些授权以及可以使用设备具体功能和对应功能的应用场景。

深信服负载均衡⽅案⼀、概述随着互联⽹技术的不断发展，企业开始更多地使⽤互联⽹来交付其关键业务应⽤，企业⽣产⼒的保证越来越多的依赖于企业IT 架构的⾼可靠运⾏，尤其是企业数据中⼼关键业务应⽤的⾼可⽤性,所以企业越来越关注如何在最⼤节省IT成本的情况下维持关键应⽤7×24⼩时⼯作,保证业务的连续性和⽤户的满意度。

然⽽，由于中国电信发展的历史问题，使得不同运营商之间的互连互通⼀直存在着很⼤的问题。

例如，通过电信建⽴的应⽤服务器，如果是⽹通的⽤户访问该资源的时候，Ping的延时有⼏百甚⾄上千毫秒，⽤户访问时，可能会出现应⽤响应缓慢甚⾄没有响应造成⽆法访问的问题。

这样企业在建⽴应⽤服务器时，如果⽤户采⽤单条接⼊链路，⽆论是采⽤电信还是⽹通⽹络链路，势必都会造成相应的⽹通或电信⽤户访问⾮常缓慢。

如果只保持⼀条到公共⽹络的连接链路则意味着频繁的单点故障和脆弱的⽹络安全性。

在互联⽹链路的稳定性⽇益重要的今天，显然，单个互联⽹⽆法保证应⽤服务的质量和应⽤的可⽤性以及可靠性，⽽应⽤服务的中断，将会带来重⼤损失。

因此，采⽤多条链路已成为保证互联⽹链路稳定性和快速性的必然选择。

⽽传统的多链路的解决⽅案也不能完全保证应⽤的可靠性和可⽤性；传统多归路⽅案通过每条互联⽹链路为内⽹分配⼀个不同的IP地址⽹段来实现对链路质量的保证。

这样来解决⽅案虽然能够解决⼀些接⼊链路的单点故障问题，但是这样不仅没有实现真正上的负载均衡，⽽且配置管理复杂。

1.路由协议不会知道每⼀个链路当前的流量负载和活动会话。

此时的任何负载均衡都是很不精确的，最多只能叫做“链路共享”。

2.出站访问，有的链路会⽐另外的链路容易达到。

虽然路由协议知道⼀些就近性和可达性，但是他们不可能结合诸如路由器的HOP数和到⽬的⽹络延时及链路的负载状况等多变的因素，做出精确的路由选择。

3.⼊站流量，有的链路会⽐另外的链路更好地对外提供服务。

没⼀种路由机制能结合DNS，就近性，路由器负载等机制做出判断哪⼀条链路可以对外部⽤户来提供最优的服务。

国内外主流负载均衡产品对比分析负载均衡设备厂家对比分析厂商名称深信服radware F5公司介绍深信服科技目前是中国成长最快、创新能力最强的前沿网络设备供应商，致力于通过创新和技术领先的网络产品，帮助用户提升网络带宽的价值。

目前其产品已经应用于1万4千多家客户，主要在政府单位和大型企业中应用，其中包括公安部在内，近200家省厅及国家部委单位。

深信服的VPN产品国内市场占有率第一，是国家VPN加密标准的起草单位。

Radware 是以色列一家领先的智能化解决方案供应商，致力于确保在IP上快速、可靠而安全地交付网络或基于Web的应用程序。

产品系列中包括为满足IP应用服务器、防火墙、cache 服务器和W AN 链接而开发和设计的产品。

其在国内的客户主要集中在运营商、金融、电子商务企业。

F5是美国著名的应用交付设备厂家，致力于帮助客户在整个企业范围发挥虚拟化的威力，提高业务水平。

解决方案可以优化网络、服务器、以及存储环境。

目前其在国内主要的客户群主要包括了金融、大型企业集团、网站等。

服务介绍深信服是总部设于深圳的中国企业，在全国有30多个办事处。

设有中国负载均衡行业最大的CTI呼叫中心，拥有坐席70人，提供7*24小时服务。

而在河南郑州设有直属办事处，以及一个服务中心，有专业产品工程师5人。

Radware 目前在国内有4个办事处，分别位于上海、广州、北京、成都。

为所有用户提供5*8小时本地电话及在线支持服务。

目前在河南还没有建立直属办事处，售后服务主要由其代理商负责。

F5 目前在国内有4个办事处，分别位于上海、广州、北京、成都。

为所有用户提供5*8小时本地电话及在线支持服务。

目前在河南还没有建立直属办事处，售后服务主要由其代理商的认证工程师负责。

提供收费的原厂售后支持服务。

产品介绍深信服的负载均衡是目前国内唯一的专业负载均衡设备厂家，其设备专注在为用户提供高性价比的负载均衡解决方案，实现把应用负载和链路负载二合一的功能。

XXX服务器负载均衡解决方案深信服科技有限公司20XX年XX月XX日目录第1章概述 (1)第2章需求分析 (1)第3章解决方案 (2)3.1网络拓扑 (2)3.2方案描述 (3)3.2.1方案设计总体描述 (3)3.2.2服务器负载均衡及冗余 (3)3.2.3设备自身冗余性(根据客户需求进行删减) (4)3.2.4易于管理性 (4)第4章关键技术介绍 (4)4.1服务器负载均衡算法 (4)4.2服务器健康检查 (5)4.3会话保持 (6)4.4商业智能分析 (7)4.5SSL卸载技术 (7)第5章SANGFOR专业服务 (8)第1章概述随着Internet的普及以及电子商务、电子政务的发展，单位的应用系统需要面对越来越高的访问量和数据量。

这就对系统的稳定性和可用性以及可靠性提出了更高的要求;这样就使得单一的网络服务设备已经不能满足需要了，由此需要引入服务器的负载平衡，实现客户端同时访问多台同时工作的服务器，实现动态分配每一个应用请求到后台的服务器，并即时按需动态检查各个服务器的状态，根据预设的规则将请求分配给最有效率的服务器。

实现数据流合理的分配，使每台服务器的处理能力都能得到充分的发挥，扩展应用系统的整体处理能力，提高应用系统的整体性能，改善应用系统的可用性和可用性，降低IT投资。

服务器负载均衡技术在现有网络结构之上能够提供一种廉价、有效、透明的方法，来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。

它主要能够带来两方面的价值：1.建立有效的负载均衡机制。

传统的负载机制是建立在较简单负载均衡机制和较简单的健康检查机制上的，不能根据服务器提供服务的具体情况向其转发有效的访问流量，通过构建新的负载均衡系统，可以采用多种负载均衡机制，根据服务器的负载能力智能确定该服务器所分担的负载。

主要能够解决如下两个方面的问题：首先，大量的并发访问或数据流量将会被分担到多台设备上分别处理，进而减少用户等待响应的时间；再者，单个重负载的运算分担到多台节点设备上做并行处理，每个节点设备处理结束后，将结果汇总，返回给用户，系统处理能力得到大幅度提高2.建立有效的健康检查机制。