LinkProof ―实现多链路负载均衡和防火墙负载均衡(raw)

1.1 LinkProof ―实现多链路负载均衡和防火墙负载均衡

1.1.1多链路解决方案实现基本原理

下图是一个典型的LinkProof解决方案的应用案例。

图中多链路网络通过ISP1和ISP2接入Internet。每个ISP都分配给该网络一个IP地址网段，假设ISP1分配的地址段为100.1.1.0/24，ISP2分配的地址段为200.1.1.0/24（此处的200.1.1.0/24表示网络IP地址式200.1.1.0，子网掩码为24位，即255.255.255.0）。同样，Internet知道通过ISP1访问100.1.1.0/24，通过ISP2访问200.1.1.0/24。网络中的主机和服务器都属于私有网段

192.168.1.0/24。

LinkProof解决方案就是在内部交换机和连接ISP的路由器之间，跨接一台LinkProof智慧交换机，所有的地址处理和Internet链路优化全部由LinkProof

智慧交换机来完成。

如图所示，LinkProof智慧交换机的埠1上绑定IP地址100.1.1.2/24，端口2上绑定IP地址200.1.1.2/24，端口3上绑定IP地址192.168.1.2/24。解决方案实现方式如下。

1.1.1.1 Linkproof对流出（Outbound）流量的处理过程

LinkProof主要采用以下集中方式来处理流出流量。

SmartNAT

对于流出流量的智能地址管理，LinkProof使用了称为SmartNAT的算法。当选定一个路由器（某一个ISP）传送流出流量时，LinkProof将选择该ISP提供的地址。在图二中，如果LinkProof选择ISP1作为流出流量的路径，则它将把内部的主机地址192.168.1.A/24翻译为100.1.1.A/24，并作为流出数据包的源地址。同样，如果LinkProof选择ISP2作为流出流量的路径，则它将把内部的主机地址192.168.1.A/24翻译为200.1.1.A/24，并作为流出数据包的源地址。

Content Routing

为了优化流出的流量，LinkProof还为流出的流量实施就近性运算。如果内部主机要访问某一Internet站点，可能通过一个ISP的路径比通过其它ISP的路径有效。因此，LinkProof可以提供就近性算法，为流出到某一个站点的流量选择最佳的ISP路径，保证所需内容最快到达目的地，提高服务的品质。

LinkProof考虑路由的跳数、路径的延迟和负载状况来进行对每个目的地的就近性运算，选择最佳的流出流量传输路径。

1.1.1.2 Linkproof对流入（Inbound）流量的处理过程

LinkProof不仅需要管理流出的流量，还必须管理来自Internet的访问，即流入（InBound）流量。假设图二中的Server1是Web服务器，Internet主机名为，地址为私有IP：192.168.1.100/24。

SmartNAT

SmartNAT功能和LinkProof上集成的DNS代理结合在一起，即能够完成流入流量的负载均衡。

图三

如图三所示，在DNS服务器上主则两笔NS记录，指向LinkProof：NS 100.1.1.2

NS 200.1.1.2

而在LinkProof上设置URL与内部主机地址的对应关系：

192.168.1.100

而在LinkProof上设置静态的地址翻译：

192.168.1.100 100.1.1.3

192.168.1.100 200.1.1.3

当有Internet用户访问是时，DNS服务器响应给用户由LinkProof来完成最终地址解析。LinkProof根据具体设置来选定适当的ISP线路，如果选择ISP1，则将地址解析为100.1.1.3。同样，如果选择ISP2，则将地址

解析为200.1.1.3。从而完成流入流量的负载均衡。

过程示意图如下：

用户会话表的操作

通常对于出向流量，当本地用户发起请求访问远程服务器，LinkProof 会创

建一条会话记录，记录了用户通过哪一个ISP 链路(LinkProof 称为NHR)连接

Internet 服务器，当服务器响应时，LinkProof 根据刚才记录的会话记录，将地

址正确转换后响应给用户。

对于入向流量，远程用户先发起连接请求，访问本地的服务器，LinkProof

如何保证进和出的流量通过同一条链路呢？

与出向流量类似，LinkProof 会创建一条“反向”的会话记录。记录了远程

用户通过哪一个NHR 进来访问的。从而保证的会话的一致性。以下是LinkProof

的会话表条目，Dir 是会话的方向，TO 和FR (From)正好相反，即出向和入向。

Client Addr Dst Addr NHR Addr Src P Dst P AttchTime T Dir

10.198. 16. 93 218.102.180.206 210. 53.207. 37 4442 80 4566013 DN

TO

LinkProof SmartNAT Inbound

Web Server

User

IP = 200.1.1.3

LinkProof SmartNATs for :

10.193. 49.205 221.205. 1. 24 211.156.187. 1 3426 21 4562192 DN TO

210. 53.201.130 220.170.139.110 210. 53.207. 37 80 1881 4564984

FR

1.1.2Radware 多链路解决方案的优势

1.1.

2.1 Radware 多链路解决方案可以提高Internet网络链路的可用性

●全路径健康检查

LinkProof在多链路网络中的一个主要作用是检测ISP链路的可用性，即健康状况。而一条访问链路的健康状况不仅仅是由ISP的路由器的状况决定的。因此，LinkProof提供了全路径健康检查的功能，最多能够完成10跳路由健康的检测，从而保证整条数据链路的通常，提高服务质量。

●故障恢复和预热定时器

如果ISP连接状况不稳定，则最好不要通过它发送任何流量，知道它在预定时间内能够维持稳定。LinkProof提供故障恢复和预热定时器，用户可以自定义定时器的延迟时间，从而确保将会话定向到稳定的ISP链路。一旦ISP恢复正常，LinkProof能逐渐增加发送到该ISP的流量。

●冗余配置

LinkProof采用相同的冗余配置机制，在后续内容中以LinkProof为例说明。

由于服务的可靠性越来越成为因特网上的一个主要问题，所以用户越来越多地安装像应用交换机这样的因特网通信量控制设备时考虑到冗余配置。

在多链路网络中配置的LinkProof可以为网络与Internet的连接提供冗余，同样，LinkProof的功能即也把包括两台LinkProof的并行安装，其中一台时备用的。LinKProof使用Radware已被证明的冗余机制，其中设备的状态监视通过网络来实现，从而祢补了设备故障和网络故障。如果主LinkProof或其网络连接之一发生故障，则备用LinkProof能够非常容易的接管主LinkProof的工作。

Radware的双机热备冗余配置采用VRRP方式。VRRP方式通过标准的VRRP协议来维持冗余的操作。