Radware负载均整体衡解决方案介绍

Radware

负载均衡整体解决方案

Radware湖南技术支持中心

2013年12月

目录

1需求分析 (4)

2Radware解决方案 (4)

2.1 LinkProof（LP）解决方案 (4)

2.2 AppDirector（AD）解决方案 (5)

2.3 整体解决方案部署 (6)

2.3.1 LP的部署及规划 (6)

2.3.2 AD的部署及规划 (7)

2.4 设备可扩展性 (7)

2.5 LP独特优势 (7)

2.5.1 传统解决方案无法完全发挥多链路优势 (7)

2.5.2 LinkProof解决方案的优势 (8)

2.5.2.1 实现双向流量在多条链路上的负载均衡 (8)

2.5.2.2 就近性专利技术 (10)

2.5.2.3 链路健康检测 (11)

2.5.2.4 按需扩展的硬件平台 (12)

2.5.2.5 流量（P2P）控制和管理 (12)

2.5.2.6 应用安全 (13)

2.6 AD为应用访问带来的优势 (13)

2.6.1 可靠性得到充分保障 (13)

2.6.2 新硬件平台带来的强大功能 (13)

2.6.2.1 健康状况检查 (13)

2.6.2.2 交易完整性的可靠保证 (14)

2.6.2.3 完全的容错与冗余 (14)

2.6.2.4 通过正常退出服务保证稳定运行 (14)

2.6.2.5 智能的服务器服务恢复 (14)

2.6.2.6 通过负载均衡优化服务器资源 (15)

2.6.2.7 应用交换 (15)

2.6.2.8 端到端应用安全解决方案 (15)

2.7 按需扩展的硬件平台OnDemandSwitch (16)

3设备管理 (16)

4总结 (17)

4.1 LinkProof (17)

4.2 AppDirector (18)

5成功案例 (19)

5.1 案例一：湖南省电力公司LinkProof ODS3应用案例 (19)

5.1.1 用户介绍 (19)

5.1.2 业务挑战 (19)

5.1.3 技术需求 (19)

5.1.4 解决方案：Radware LinkProof ODS3 (20)

5.1.5 解决方案优势 (21)

5.2 案例二：湖南省财政厅国库支付系统ODS2应用案例 (21)

5.2.1 项目背景 (21)

5.2.2 项目需求 (21)

5.2.3 Radware AppDirector解决方案 (22)

5.2.4 Radware解决方案带来的优势 (22)

1 需求分析

以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门及事业单位业务系统、金融业务系统、企业商务系统等。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵，已成为企业、政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

所以对于企业的网络出口希望可以通过多跳的链路健康检查功能能够检查每个出口全链路的连接状态；并且当某条ISP链路出现故障的时候，整个流量能无缝的切换到另一条链路上，保证用户的访问不会受到单一的ISP故障而使得在此ISP网络的用户不能正常访问证券业务；同时能够最大程度保证用户选择最优的链路进行应用访问。

对后台各个应用系统希望各服务器的资源能得到充分的利用，以加快客户端的响应时间；其次保证不会因为单一的服务器故障或者维护而导致某些用户不能正常的访问业务。

2 Radware解决方案

Radware一直致力于为用户提供智能服务优化技术，以保证IP网络上的服务在Internet/Intranet上的最佳运行。Radware 将服务需求和网络设施紧密结合在一起，可无缝分配资源、优化应用系统的运行以及提高网络安全性，最终为用户提供高可靠性的、高性能的、高安全性的网络智能服务解决方案。

2.1 LinkProof（LP）解决方案

作为应用交换业界的领先厂商，Radware公司早在1999年即推出了业界首个多链路智能解决方案－LinkProof。并凭借其强大的技术优势，在市场上处于领先地位。同时结合贵单位对网络出口改造的需求，我们的建设必须统筹规划，全面安排，确保网络的合理性、先进性、经济性和安全性，并且要为网络未来的发展留有足够的扩充余地。

LinkProof解决方案就是在内部交换机和连接ISP的路由器之间，跨接一台LinkProof 智能交换机，所有的地址处理和Internet链路优化全部由LinkProof智能交换机来完成。

针对各种用户的典型需求，LinkProof在以下几个环节上提供了先进的功能和完善的解决方案：

●链路健康状态检测；

●最佳链路选择；

●智能地址翻译；

●流量（P2P）控制和管理（可选）；

●应用安全（可选）；

2.2 AppDirector（AD）解决方案

Radware 的AppDirector 应用前端解决方案能够使数据中心应用最优化，使应用服务器得到更高的可用性、性能、以及更加经济和无懈可击的安全性，以便令客户获得更快的响应时间。

AppDirector 应用前端解决方案支持 Radware 下一代 APSolute OS 软件体系结构的全部功能，彻底解决了网络可用性、性能和安全问题，使数据中心应用灵敏并具有自适应性。配合Radware 的高速度、高容量 ASIC芯片+NP处理器的专用硬件应用交换设备，可有效保障网络应用的高可用性、提升网络性能，加强安全性，全面提升IT服务器等网络基础设施的升值潜力。

结合Radware多年来在智能应用流量管理领域的经验，以及对用户实际需求的分析，我们认为负载均衡器应具备如下功能：

●多服务器动态增减节点测试。在服务器扩容或关机维护时，即动态增加或减少服务器节

点，AD能智能识别，实现相应的负载均衡，且不影响当前业务；

●AD健康检查方式，确定AD能够正确感知服务器和应用的健康状况；

●服务器负载均衡算法，确定AD能够按照用户需要的方式（如轮询、最快响应时间、最

小流量、最小连接数、HASH、SNMP探测等），将流量定向到最佳或指定的服务器；

●UDP协议基于每个数据包（Packet By Packet）分发的负载均衡算法

●更换license升级吞吐性能的扩展功能，且不影响当前业务。

2.3 整体解决方案部署

2.3.1 LP的部署及规划

Radware LP设备的部署建议采用旁挂的方式，及两台Radware LP设备同时接到一台交换机上面，交换机内线与防火墙相连接，外线与ISP链路连接；当的inbound流量时，流量先经ISP链路到交换机，再由交换机到Radware LP主设备上，然后在通过交换机到防火墙；当outbound流量时，同样，由防火墙到交换机，再经LP优选链路后经交换机到达ISP链路。这样部署的好处有如下几点：

?当一台防火墙出现故障时，旁挂方式形成的2层网络能更快速的识别，进行流量的

调度；而不会形成象LP设备串接时通过LP心跳线来集中处理流量，导致网络瓶颈。

?当一台LP设备故障时，旁挂的方式让备设备能更快速的识别到主设备的故障，从

而将业务进行快速的切换；并且切换后，两条ISP的链路同样可以使用，而不像串

接时，如果某台LP设备出现故障导致与故障设备连接ISP链路不能使用的状况。

?当一条ISP链路出现故障时，旁挂的LP设备不要进行主备的切换，这样更能保证

业务的连续性，达到最佳的高可用性；

所以，LP设备采用旁挂的方式，对整个网络的高可用性，业务的连续性及稳定性起到至关重要的作用；经对此次项目认真分析后，建议采用此种部署方式。

2.3.2 AD的部署及规划

AD的部署，建议采用上图所示的旁挂方式；这样既能保证现有的网络结构不需要太大的改动，部署起来更加的方便灵活，同时也为后续扩容提供更好的网络结构基础。

AD旁挂于核心交换机上，建议采用链路汇聚技术，绑定两条链路到达核心交换机上；这样即能加大链路的带宽，又能对线路进行冗余；AD设备负责后方Servers流量的负载均衡处理；流量进来首先经过核心交换机，然后经AD，由AD负载到后台的最优服务器上；返回数据同样流经AD。但此处要注意，后台服务器的网关必须指向AD设备的浮动地址，保证流量进出都经过AD。

2.4 设备可扩展性

链路负载均衡、服务器负载均衡建议都选用Radware ODS2硬件平台的设备，ODS2平台设备其缺省吞吐量为1G，可以使用license的方式，根据今后业务的发展状况及流量的大小在不更换硬件设备的前提下提升设备的吞吐量，其最大能提升到4G 。

2.5 LP独特优势

2.5.1 传统解决方案无法完全发挥多链路优势

下图是一个多链路接入的典型拓扑，在图中内部网络到Internet有2条接入链路，其中一条通过ISP1进行链接，而另一条则通过ISP2链接。

传统多归路方案：每个ISP为内网分配一个不同的IP地址网段。因而，对内网来说2个IP网段同时生效。

存在问题：地址的静态分配给寻址带来了很大的复杂性。

除了复杂性之外，传统的多链路网络也具有一些人们尚未完全认识的不足：

●网络有多个链路与Internet相接，即使用最复杂的协议，例如BGP4，真正意义上

的流量负载均衡还是做不到。路由协议不会知道每一个链路当前的流量负载和活动

会话。此时的任何负载均衡都是很不精确的，最多只能叫做“链路共享”。

●对外访问，有的链路会比另外的链路容易达到。虽然路由协议知道一些就近性和可

达性，但是他们不可能结合诸如路由器的HOP数和到目的网络延时及链路的负载状

况等多变的因素，做出精确的路由选择。

●对内流量（比如， Internet用户想访问有多条链入接入的网上的一台服务器）。

有的链路会比另外的链路更好地对外提供服务。没一种路由机制能结合DNS，就近

性，路由器负载，做出判断哪一条链路可以对外部用户来提供最优的服务。

传统的多链路接入依靠复杂的设计，解决了一些接入链路存在单点故障的问题。但是，它远远没有把多链路接入的巨大优势发挥出来。

2.5.2 LinkProof解决方案的优势

2.5.2.1 实现双向流量在多条链路上的负载均衡

●Inbound流量处理方面主要利用了DNS和SmartNAT技术；

LinkProof需要客户配合将域名的解析功能导向到LinkProof，由LinkProof来进行域名的解析。这样当远程通过域名访问政府网时，逐步通过远程用户的本地DNS服务器、根DNS服务器，最终由LinkProof来进行域名的解析。此时LinkProof就会通过静态列表或者动态判断算法，选择最优的线路，然后将域名解析成相应线路的IP地址。

例如：当某个网通的远程用户访问政府网时，首先向他当地的DNS服务器发起域名解析的请求，再通过他接入运营商的根DNS服务器，最终总归会向LinkProof请求DNS解析，此时LinkProof就会通过静态列表或者动态判断算法，选择最优的线路（网通），然后将域名

解析成网通线路的IP地址（218.x.x.1）。这样远程的网通用户就会使用网通的目标IP地址，通过网通的线路进行访问，实现了访问时链路方面的负载均衡优化。

下面以https://www.doczj.com/doc/9d14077195.html,为例，描述Inbound流量处理的过程。

假设图中的Server1是Web服务器，Internet主机名为https://www.doczj.com/doc/9d14077195.html,，地址为私有IP：192.168.1.100/24。

如图所示，在DNS服务器上主则两笔NS记录，指向LinkProof：

NS https://www.doczj.com/doc/9d14077195.html, 100.1.1.2

NS https://www.doczj.com/doc/9d14077195.html, 200.1.1.2

而在LinkProof上设置URL与内部主机地址的对应关系：

https://www.doczj.com/doc/9d14077195.html, 192.168.1.100

而在LinkProof上设置静态的地址翻译：

192.168.1.100 100.1.1.3

192.168.1.100 200.1.1.3

当有Internet用户访问https://www.doczj.com/doc/9d14077195.html,是时，DNS服务器回应给用户由

LinkProof来完成最终地址解析。LinkProof根据具体设置来选定适当的ISP线路，如果选择ISP1，则将地址解析为100.1.1.3。同样，如果选择ISP2，则将地址解

析为200.1.1.3。从而完成流入流量的负载均衡。

●Outbound流量处理主要利用了SmartNAT技术。

对于流出流量的智能地址管理，LinkProof使用了称为SmartNAT的算法。当选定一个路由器（某一个ISP）传送流出流量时，LinkProof将选择该ISP提供的

地址。在下图中，如果LinkProof选择ISP1作为流出流量的路径，则它将把内部

的主机地址192.168.2.A/24翻译为100.1.1.A/24，并作为流出数据包的源地址。

同样，如果LinkProof选择ISP2作为流出流量的路径，则它将把内部的主机地址

192.168.2.A/24翻译为200.1.1.A/24，并作为流出数据包的源地址。

2.5.2.2 就近性专利技术

LinkProof的专利技术：就近性，能够根据用户访问的目的IP、各条链路的负载等情况来综合考虑，计算出内部用户访问Internet的最佳路径，以保证用户能够得到最快和最高效的服务和响应。

●静态就近性：

用户可在LinkProof上为某个目标定义静态的最佳链路。例如目标IP地址属于ISP1的，应选择ISP1链路；目标IP地址属于ISP2的，应选择ISP2链路。

●动态就近性：

在选择最佳链路时，LinkProof会综合考虑与目标网络之间的路由节点数量、数据传输的延迟和链路的实时负载，准确计算出最佳路径。因此用户能充分地享受到优化的服务和快速地响应。

2.5.2.3 链路健康检测

LinkProof会通过多种方式检测两条链路的健康状况，一旦发现其中一条链路故障，会立即将所有用户流量定向至其它可用链路，从而实现Internet连接的高可用性。主要的方法有：

全路径健康检查

为了确保ISP链路的畅通，LinkProof将采用Ping的方法，不仅仅检查和其相连的路由器的端口是否可达，还可以检查该链路后续路由节点的连通性（10跳），已确保整个路径的畅通。

注：该方法要求ISP的链路对ICMP开放。

高级健康检查

针对所有的网络环境（包括禁止ICMP的ISP），LinkProof提供了丰富的4～7层检查方式，并可以通过多种检查结果的“与”和“或”运算结果，最终准确判断链路的健康状况。例如：通过CNC的路径，同时检查https://www.doczj.com/doc/9d14077195.html,和https://www.doczj.com/doc/9d14077195.html,的80端口，并将检查结果做“或”运算，只要一个检查通过即可判断CNC链路正常。避免了某网站故障导致链路状态误判的可能性。

2.5.2.4 按需扩展的硬件平台

按需扩展的特性使用户能“用多少买多少”，后期根据扩展需求再购买相应的License 进行设备吞吐量的升级，有效地保护了用户的IT投资。

2.5.2.5 流量（P2P）控制和管理

所有的用户和运营商都不得不面临一个相同问题：非关键业务流量占用的大量的可用带宽，其中P2P流量，如BT下载，更是如此。不但造成了网络拥塞，还可能影响到关键的业务和应用。

LinkProof上可以集成基于策略和特征的带宽管理功能，识别各种业务流量，特别是能够识别多种P2P流量。可以按照用户的具体需求，分配带宽资源。在保证关键业务的同时，让用户充分享受Internet网络的丰富资源。通过带宽管理以及实现各个链路的最大容量，可以避免带宽消耗的骤然剧增。因为只有有可用的带宽时，非关键应用才能占用它要求的带

宽，这样既阻止了带宽消耗量的剧增，又进一步降低了连接成本。

注：该功能需要购买Bandwidth Management license。

2.5.2.6 应用安全

“年复一年，日复一日，在计算机犯罪和安全性调查中报告的最常见事故始终都是恶意代码攻击（即病毒、蠕虫等等）”。在LinkProof上运行“应用安全”模块，可以有效的防

范1400多种基于应用的恶意攻击，保护内部的主机和用户。

“应用安全”模块为关键网络资源提供了保护屏障，它补充和扩展了网络规划中原有的那些常见安全机制。 SynApps 可以自动检测和防范常见的侵害网络和应用攻击。这些攻击

诸如缓冲区溢出（BOF）、盗用和缺省安装攻击、默认安装、后门/特洛伊木马和端口扫描。

应用安全模块可以同时监视网络和应用流量，由此可实时检测攻击，并通过终止进入网络的可疑会话对攻击进行实时拦截。

注：该功能需要购买SynApps Level II license。

2.6 AD为应用访问带来的优势

2.6.1 可靠性得到充分保障

Radware设备支持两种冗余机制：VRRP (Virtual Router Redundancy Protocol) VRRP协议是通过RFC3768定义的业界标准协议，是为消除在静态缺省路由环境下的缺省路由

器单点故障引起的网络失效而设计的主备模式的协议，使得在发生故障而进行设备功能切换

时可以不影响内外数据通信，不需要再修改内部网络的网络参数。即使任何一台AD设备出现

故障，AD都能自动的进行检测，并进行主备的切换，让整个业务保持在7x24小时不间断的工

作。充分保证了关键业务的可靠性。

2.6.2 新硬件平台带来的强大功能

2.6.2.1 健康状况检查

AppDirector可靠的健康状况检查可以保证用户获得最佳的服务。AppDirector可以监视服务器在IP、TCP、UDP、应用和内容等所有协议层上的工作状态。如果发现故障，用

户即被透明地重定向到正常工作的服务器上。这可以保证用户始终能够获得他们所期望的信

息。

为了确保服务正常运行，AppDirector监控从Web 服务器、中间件服务器到后端数据库服务器的整个路径上工作状态，确保整个数据路径上的服务器都处于正常状态。如果存在一个故障服务器，AppDirector则不会将用户分配到这个发生故障路径的服务器，从而保证为用户提供透明的数据完整性保障。

2.6.2.2 交易完整性的可靠保证

为了保证用户在访问具有会话连续性业务时不会被负载均衡器分配到不同的服务器上，AppDirector在提供本地负载均衡的同时，还可以具备基于cookie,session ID,SIP,SSL ID,source IP等方式将用户的请求定位在相同的服务器上。

2.6.2.3 完全的容错与冗余

AppDirector的配置提供设备间的完全容错，以确保网络最大的可用性。两台AppDirector设备工作在冗余模式下，通过网络相互检查各自的工作状态，为其所管理的应用保障完全的网络可用性。它们可工作于“主用-备用”模式或“主用-主用”模式，在“主用-主用”模式下，因为两个设备都处于工作状态，从而最大限度地保护了投资。并且所有的信息都可在设备间进行镜像，从而提供透明的冗余和完全的容错，确保在任何时候用户都可以获得从点击到内容的最佳服务。

2.6.2.4 通过正常退出服务保证稳定运行

当需要进行服务器升级或系统维护时，AppDirector保证稳定的服务器退出服务以避免服务中断。当选定某台服务器要从服务器退出服务后，AppDirector将不会将任何新的用户分配到该服务器。但是，它可以要退出服务的服务器上完成对当前用户的服务。从而保证了无中断的优质服务，以及服务器组的简易管理能力。

2.6.2.5 智能的服务器服务恢复

将重新启动的服务器应用到服务中时，避免新服务器因突然出现的流量冲击导致系统故障是非常重要的。所以，在将新服务器引入服务器组时，AppDirector将逐渐地增加分配到

该服务器的流量，直至达到其完全的处理能力。从而不仅保证用户在服务器退出服务时，同时还保证服务器在启动期间以及应用程序开始时，均能获得不间断服务。

2.6.2.6 通过负载均衡优化服务器资源

AppDirector执行复杂的负载均衡算法，在多个本地和远程服务器间动态分配负载。这些算法包括循环、最少用户数、最小流量、Native Windows NT 以及定制代理支持。除了这些算法，AppDirector还可以为每个服务器分配一个可以配置的性能加权，从而提高服务器组的性能。

2.6.2.7 应用交换

AppDirector根据IP 地址、应用类型和内容类决定流量分配。这样，管理员就可以为不同类型的应用程序分配不同的服务器资源。应用交换支持不同协议上的各种应用，包括TCP、UDP、IP、Telnet、Rshell、TFTP、流、被动FTP、HTTP、e-mail、DNS、VOIP 等等。Radware 还为运行于动态端口并要求同步的应用设计了特殊支持功能。

2.6.2.8 端到端应用安全解决方案

应用安全软件模块包含的一组功能集使Radware 的产品能够保护敏感的网络资源不受到各种安全问题的影响。此系统包括一些基本的安全措施例如服务器过载保护和能够将资源从一般的Internet 资源中隐藏起来。同时还能够为使用SynApps 流量管理的敏感资源提供高级的安全性，这包括检测并预防1500多个恶意攻击信息，包括特洛伊木马、后门、DoS 和DdoS 攻击。

此模块能够处理以下攻击：

?拒绝服务(DOS/DDOS) 攻击

?缓冲区溢出/超限

?利用已知的Bugs，误配置和默认的安装问题来进行攻击

?在攻击前探测流量

?未授权的网络流量

?后门/特洛伊木马

?端口扫描(Connect & Stealth)

2.7 按需扩展的硬件平台OnDemandSwitch

目前，LinkProof和AppDirector部署在Radware下一代新型硬件平台OnDemand Switch?上,为用户提供了突破性的效能表现和卓越的高可扩展性，有效应对因流量激增带来的网络和业务需求。OnDemandSwitch 专门为需要电信级高可靠性设备的企业和运营商而设计，以帮助用户积极应对动态的、不断变化的复杂网络环境和应用需求。

OnDemand Switch 为AppDirector提供了500Mbps-20Gbps 的吞吐量，具备高扩展性、高可用性和高性能。借助OnDemand Switch，用户无需改变现有网络架构，无需新增硬件设备，即可额外定制应用感知服务，以满足新增的或变化的业务需求。通过License升级吞吐量使得OnDemand Switch 可为用户提供短期的、长期的固定资产成本投入和运营成本投入的投资保护。

同时，OnDemand Switch 使您无需进行硬件设备的重新设计、测试和安装、排错等操作，大幅降低了系统升级所需的高额成本和时间。借助其吞吐量和服务的高度可扩展性，OnDemand Switch 延长了硬件平台的使用寿命。通过改变吞吐量的可扩展性，您的基础设施投资得到有效保护，您只需为当前所需要的性能付费，当需要性能升级时即可轻松升级，这将大大帮助您降低了企业的整体拥有成本(TCO)。OnDemand Switch的可靠性、定制性和嵌入式组件提供了极高的平均无故障时间（MTBF），还提供可信赖的双交/ 直流电源。OnDemand Switch的推出代表着应用交付市场发展的一个深刻变革，自此确立了一个新型、极具成本效益和可轻松升级的新标准。

3 设备管理

所有Radware应用交换机的设备管理方式相同。针对智能交换机AppDirector，网络管理人员可利用如下方式对其进行管理：

?SNMP网络管理系统

?APSolute Insite

?标准的网络浏览器

?使用Telnet 命令

?CLI 命令行控制方式(需要与AppDirector智能交换机通过控制台接口直接连接)

?SSH管理手段

其中，通过使用 APSolute Insite 管理每个站点中的所有AppDirector设备，可以实现性能控制和监视。

APSolute Insite 是业内首个针对整个站点的软件管理工具。通过它可在企业范围内实现对 IP 应用性能的统一管理、监视和控制。基于易于使用的站点地图界面，APSolute Insite 使得企业可以绘制他们的整个网络，包括各种AppDirector设备以及各自的路由器。

APSolute Insite 的统计模块提供了有关实际应用性能的实时视图和历史视图，借此可监视站点范围的操作，并能轻易地找到隐患和故障，从而实现了对所有 Internet 链路性能的完全监视和控制。

4 总结

4.1 LinkProof

LinkProof 可以为用户管理多链路的运行，实现Internet 服务的持续连接以及理想的内容传递，从而实现可靠、高性能和高性价比的连接。 LinkProof 是一个经过实践检验的解决方案，已经历了多年的发展，并且在国内乃至世界范围内已得到了广泛的安装，证明本产品能够解决企业多链路接入Internet的一系列问题。并且充分的保住了客户的投资，为客户带来网络高速稳定运转的体验。

通过LinkProof的部署，我们必定可以帮助用户建立稳定、高效和安全的Internet。

因为Radware 的解决方案具有几大优点：

?高可用性、高性能的完美体现：部署LinkProof保证最终用户对Internet实现不

中断的访问：LinkProof 能够连续监视每个 Internet 连接的状态。自动检测各种

故障，如链路、路由器、DNS 服务器和其它故障。通过检查确保用户只使用那些高

效运转的接入链路。可以根据优先权、IP 地址、内容和其它用户指定的参数

转发数据包特定内容选择最佳链路时，会综合考虑与请求内容的网络就近性、链

路的实时负载与链路的成本。

?端到端QoS保证：LinkProof的内置带宽管理功能，可以按照4～7层的特性识别

不同类型的流量，通过带宽保证和限制，为关键业务提供服务质量保证。

4.2 AppDirector

AppDirector使我们用一个综合解决方案就能解决应用可用性和连续性、加速应用性能、保障服务水平、应用安全、IT服务器基础架构的整合和扩展性。

Radware 的解决方案具有几大优点：

?按需扩展的硬件平台：按需扩展的特性使用户能“用多少买多少”，后期根据扩展

需求再购买相应的License进行设备吞吐量的升级，有效地保护了用户的IT投资。

?高可用性、高性能的完美体现：AppDirector 使用先进的 4-7 层策略和粒状控制

智能应用，以便将服务器基础设施操作和应用前端要求结合在一起，从而消除流量

拥塞、服务器瓶颈和故障时间以实现数据中心的业务连续性。AppDirector 能够对

网络通信进行微调，以便使多种企业网络应用最优化，例如 SAP、Oracle、BEA、

Citrix 和其他基于 Web 的应用 (包括 VoIP 支持、流媒体和安全的 LDAP 应用)

?无需停机维护时间逐渐关机和缓慢启动的维护机制，确保无需停机维护时间。

?端到端应用安全：使用 AppDirector 的全面集成的入侵防范和 DoS 防护，可以防

止数据中心应用和服务器资源受到应用级别的攻击。对 SSL多重处理的控制能力

增加了基于SSL的 HTTP、FTP 和 SMTP 的安全性，从而获得了额外的保护层。

?加速应用响应时间使用 TCP 优化和 HTTP 多路复用进行的应用加速和 WAN 最

优化，在整个 WAN 范围内消除 Web应用等待时间，将应用响应时间加快 500%。

?降低带宽占用通过“无限制”压缩 (无需客户端设备或软件) 和内容高速缓存 (使

用 AppDirector) 而降低服务器的带宽占用，降低了带宽费用，并加速针对最终用

户的内容交付。

?SSL 事务处理卸载SSL 事务处理的卸载和证书管理无需昂贵的 CPU 运算周期，将

服务器处理要求降低达 40%，以便实现数据中心资源整合、降低 OPEX (运营性支

出)和即时的 ROI。

?针对基于 SSL的攻击的全面保护SSL 探测功能通过解密和检查 SSL 流量，并

将流量定向到安全性设备或AppDirector，从而进行安全性过滤，并阻止加密的攻

击，降低了服务故障。对非法SSL会话的识别和终止功能，可以实时地阻止恶意的

SSL数据包和隐藏的应用攻击，从而彻底保护交易和网络的安全。

?完美的方案布署方式采用AppDirector与AppDirector相结合的旁路布署方式，

即由AppDirector完成服务器负载均衡功能，AppDirector实现服务器性能优化功

能的方式，可以有效避免资源抢占、扩展不便等问题。

5 成功案例

5.1 案例一：湖南省电力公司LinkProof ODS3应用案例

5.1.1 用户介绍

湖南省电力公司是国家电网公司的全资子公司，国有大型电网经营企业，湖南省重点骨干电力企业。公司作为湖南省电力基础产业的主要企业，对国民经济和社会发展起着重要的支撑保障作用。截至2007年末，公司资产总额446亿元，年售电量628亿千瓦时，主营业务收入313亿元，利税28.76亿元，员工3万余人。它属国有特大型能源供应企业，也是湖南省重点骨干电力企业。从事湖南电网的建设、运行、管理和经营，为湖南省经济社会发展和人民生活提供电力供应和服务。

5.1.2 业务挑战

湖南省电力公司于2007年、2008年部署了两台Radware 专业链路负载均衡设备LinkProof 1000，有效解决了互联网出口面临的高性能、高可用及优化用户感知的压力。随着近几年业务量的迅猛增长，原有的LinkProof 1000已经逐渐出现瓶颈，根据近几年业务量规划设计，2011新增一台更高性能的链路负载均衡设备LinkProof8016（以下简称

LP8016），且同时与原有的LinkProof 1000组成双机热备模式运行；但LinkProof 1000部署成备机时，主机出现故障因备机性能瓶颈问题，只能保证部分的业务，不能确保省电力所有业务均能正常使用；所以2012年再采购一台LP8016与现有的LP8016做成双机，以保证电力公司全省网络出口的高可靠性。

5.1.3 技术需求

带宽问题

随着网络用户数的增加和全省电力公司互联网出口的统一整合，目前的4x100M电信+1000M联通+1000M移动链路出口已成为业务数据快速分发的瓶颈。而且目前的设备没有带宽管理能力，无法为关键应用的开展实施带宽保证，出口带宽使用效率不高。

双机冗余问题

因之前第一次扩容时只采购一台高性能ODS3平台负载均衡设备，按正常情况整个网络出口会存在单点故障；但Radware解决方案可以在Radware不同硬件平台产品上实现两台设备的双击冗余；所以，之前的部署是LinkProof1000与LinkProof8016跨硬件平台做成双机热备的模式，这样既满足了省电力对高可靠性的要求，又保护了其整体的投资成本。

服务质量保证问题

企业内部的重要应用需要进行服务质量保证，确保业务数据的快速分发。

5.1.4 解决方案：Radware LinkProof ODS3

根据现有网络结构和链路负载均衡需求，在保证管理策略的延续性的同时，依据网络的可靠性、可用性、可管理性设计标准。

我们设计的拓朴结构如下：

本方案中，使用Radware的LinkProof链路交换机来提供多链路接入方案，为出网和入网流量同时提供负载均衡；同时，两台LinkProof通过标准的VRRP协议提供完美的设备冗余。

LinkProof使用Radware专有的Smart NAT(智能网络地址转换)技术，以保证网络之间进行不间断的分组传递。LinkProof在健康检查的同时还有就近性运算，可以根据用户访问的目的IP、各条链路的负载等情况来综合考虑，计算出最佳路径，以保证用户能够得到最快和最高效的服务和响应。

LinkProof特有的优化的内容路由技术，能够确保用户能够通过最佳链路传送特定内容。在选择最佳链路时LinkProof会综合考虑请求内容的网络的就近性、链路的实时负载与链路的成本。因此用户能充分地享受到优化的服务和快速地响应。

LinkProof特有的带宽管理、流量整形功能，能够确保关键应用使用足够多的网络带宽以确保关键业务的持续运作，为用户提供最好的服务质量保证。