北京麥弗瑞科技有限公司
地址: 北京市海淀西三環北路50號豪柏大廈C2座18—19層
電話: 010 - 88518768
傳真: 010 - 88518513
網站: www.absulama.com
郵件:ms-gb@microshield.com.cn
郵編:100048

Citrix-應用交付多鏈路解決方案

1  需求分析

 

  近年來,Internet 作為一種重要的交流工具在各種規模的商業機構和各個行業中得到了普遍應用。在機構借以執行日常業務活動的各種網絡化應用中,目前已包括從合作供應鏈管理到銷售業務系統、數據優化管理、合作開發工具和資源管理等一系列的應用。這些不斷增長的網絡化應用對各行業通訊的效率和可用性也提出了較高要求。

 

1.1 單一鏈路導致單點故障和訪問遲緩

 

  用戶的網絡結構通常如下:單一鏈路實現內部網絡和Internet之間的連接。

 

  而在Internet接入的穩定性對于各行業用戶來說至關重要的,單一ISP鏈路顯然已經無法保證提供的Internet鏈路的持續可用性,從而可能導致用戶Internet接入的中斷,帶來無法預計的損失。

 

  不同ISP的互連互通一直存在著很大的問題,在南方電信建立的應用服務器,如果是南方電信用戶訪問正常,Ping的延時只有幾十甚至十幾毫秒,對用戶的正常訪問幾乎不會造成影響;但如果是北方網通的遠程用戶訪問,Ping的延時只有幾百甚至上千毫秒,訪問應用時則會出現沒有響應設置無法訪問的問題。如果用戶采用單條接入鏈路,無論是采用電信(或則網通),勢必會造成相應的網通(或則電信)用戶訪問非常慢。

 

  因此,采用多條鏈路已成為用戶實現Internet接入的穩定性的必然選擇。

 

1.2 傳統解決方案無法完全發揮多鏈路優勢

 

  下圖是一個多鏈路接入的典型拓撲,在圖中內部網絡到Internet有兩條Internet接入鏈路,其中一條通過ISP1進行連接,而另一條則通過ISP2連接。

 

  傳統多鏈路方案:每個ISP為內網分配一個不同的IP地址網段。因而,對內網來說2個IP網段同時生效。

 

   存在問題:地址的靜態分配給尋址帶來了很大的復雜性。

 

  除了復雜性之外,傳統的多鏈路網絡方案也具有一些缺陷:

  • 網絡有多個鏈路與Internet相接,即使用最復雜的協議,例如BGP4,真正意義上的流量負載均衡還是做不到。路由協議不會知道每一個鏈路當前的流量負載和活動會話。此時的任何訪問負載均衡都是很不精確的,最多只能叫做“鏈路分擔”。
  • 對外訪問,有的鏈路會比另外的鏈路容易達到。雖然路由協議知道一些就近性和可達性,但是他們不可能結合諸如路由器的hops數和到目的網絡延時及鏈路的負載狀況等多變的因素,做出精確的路由選擇。
  • 對內流量(比如, Internet用戶想訪問有多條鏈入接入的網上的WEB 服務器或應用服務器)。有的鏈路會比另外的鏈路更好地對外提供服務。沒一種路由機制能結合DNS,就近性,路由器負載,做出判斷哪一條鏈路可以對外部用戶來提供最優的服務響應。

 

   傳統的多鏈路接入依靠復雜的設計,解決了一些接入鏈路存在單點故障的問題。 但是,它遠遠沒有把多鏈路接入的巨大優勢發揮出來。

 

2 應用交付解決方案

 

  作為應用交換業界的領先廠商,應用交付 應用交付產品。憑借其強大的技術優勢,在市場上處于領先地位。

 

  N etScaler 解決方案就是在內部交換機和連接ISP的路由器之間,跨接一臺應用交付設備,所有的地址處理和Internet鏈路優化全部由應用交付來完成。

 

  針對各種用戶的典型需求,應用交付在以下幾個環節上提供了先進的功能和完善的解決方案:

  • 鏈路健康狀態檢測;
  • 最佳鏈路選擇;
  • 地址翻譯;
  • 應用壓縮與緩存(可選);
  • 應用安全(可選);

 

2.1 方案拓撲圖

 

   典型的應用交付解決方案架構如下圖所示:

 

2.2 鏈路負載優選方案

 

   應用交付能夠同時實現雙向(Inbound和Outbound)流量在多條兩路上的負載均衡的。

  • 鏈路健康狀況檢查:應用交付可以采用判斷鏈路的健康狀況,例如Ping(鏈路健康檢查)。
  • Inbound流量處理方面主要利用了DNS和RNAT技術;
  • Outbound流量處理主要利用了RNAT技術。

 

2.2.1 鏈路健康檢查

 

   應用交付會通過多種方式檢測兩條鏈路的健康狀況,一旦發現其中一條鏈路故障,會立即將所有用戶流量定向至其它可用鏈路,從而實現Internet連接的高可用性。主要的方法有:

  • 全路徑健康檢查

 

  為了確保多條ISP鏈路的暢通,應用交付將采用Ping的方法,檢查和其相連的路由器的端口是否可達,確保整個路徑的暢通。

 

注:該方法要求ISP的鏈路對ICMP開放。

  • 高級健康檢查

 

   針對所有的網絡環境(包括禁止ICMP的ISP),應用交付提供了豐富的4~7層檢查方式,可以通過檢查運算結果,最終準確判斷鏈路的健康狀況。例如:通過CT的路徑,檢查www.citrix.com 的80端口,只要一個檢查通過即可判斷CT鏈路正常。避免了某網站故障導致鏈路狀態誤判的可能性。

 

2.2.2 流入(Inbound)流量處理

 

  應用交付需要客戶配合將域名的解析功能導向到應用交付,由應用交付來進行域名的解析。這樣當遠程通過域名訪問應用時,通過遠程用戶的本地DNS服務器、根DNS服務器,最終由應用交付來進行域名的解析。此時應用交付就會通過靜態列表或者動態判斷算法,選擇最優的線路,然后將域名解析成相應線路的IP地址,響應到遠程用戶。

 

  例如:當某個電信的遠程用戶訪問某網站時,首先向他當地的DNS服務器發起域名解析的請求,再通過他接入運營商的根DNS服務器,最終遞歸給應用交付請求DNS解析,此時應用交付就會通過靜態列表或者動態判斷算法,選擇最優的線路(電信),然后將域名解析成網通線路的IP地址(219.x.x.1)。這樣遠程的電信用戶就會使用電信的目標IP地址,通過電信的線路進行訪問,實現了訪問時鏈路方面的負載均衡優化。

 

  下面以www.citrix.com 為例,描述Inbound流量處理的過程。

 

   假設圖中的Server1是Web服務器,Internet主機名為www.citrix.com,地址為私有IP:192.168.10.1/24。

 

  如圖所示,在DNS服務器上主則兩條NS記錄,指向應用交付:

        NS www.citrix.com 100.1.1.100

        NS www.citrix.com 200.1.1.100

 

   而在應用交付上設置URL與內部主機地址的對應關系:

        www.citrix.com  192.168.10.1

 

  而在應用交付上設置靜態的地址翻譯:

        100.1.1.101  192.168.10.1

        200.1.1.101  192.168.10.1

 

  當有Internet用戶訪問www.citrix.com是時,DNS服務器回應給用戶由應用交付來完成最終地址解析。應用交付根據具體設置來選定適當的ISP線路,如果選擇ISP1,則將地址解析為200.1.1.101。同樣,如果選擇ISP2,則將地址解析為100.1.1.101。從而完成流入流量的負載均衡。

 

2.2.3 流出(Outbound)流量處理

 

    應用交付主要采用以下集中方式來處理流出流量。

 

RNAT

 

    對于流出流量的智能地址管理,應用交付使用了稱為RNAT的算法。當選定一個路由器(某一個ISP)傳送流出流量時,應用交付將選擇該ISP提供的地址。在圖二中,如果應用交付選擇ISP1作為流出流量的路徑,則它將把內部的主機地址192.168.2.*/24翻譯為100.1.1.*/24,并作為流出數據包的源地址。同樣,如果應用交付選擇ISP2作為流出流量的路徑,則它將把內部的主機地址192.168.2.*/24翻譯為200.1.1.*/24,并作為流出數據包的源地址。

 

2.3 鏈路負載的優勢

 

    應用交付能夠根據用戶訪問的目的IP、各條鏈路的負載等情況來綜合考慮,計算出內部用戶訪問Internet的最佳路徑,以保證用戶能夠得到最快和最高效的服務和響應。

  • 靜態性:

用戶可在應用交付上為某個目標定義靜態的最佳鏈路。例如目標IP地址屬于ISP1的,應選擇ISP1鏈路;目標IP地址屬于ISP2的,應選擇ISP2鏈路。

  • 動態性:

在選擇最佳鏈路時,應用交付會綜合考慮數據傳輸的延遲和鏈路的實時負載,使用最佳的負載算法,計算出最佳路徑。因此用戶能充分地享受到優化的服務和快速地響應。

 

2.4 應用交付應用優化技術提升用戶訪問質量

   NS 提供了一套有針對性的方法來減少服務器壓力,降低互聯網延遲和客戶機連接瓶頸對其應用訪問性能所造成的影響。通過綜合采用多種應用優化手段以后,應用訪問的性能可以得到顯著提高。與此同時,由于服務器性能的提高,還可以達到減少服務器數量,減少帶寬占用從而節省投資的目的。

 

2.4.1 (請求交換)Request Switching技術

 

   應用交付擁有專利的Request Switching技術是WEB應用系統的基礎,它是擁有最佳的性價比,能保證持續,安全的WEB應用。

 

  基于在網絡優化方面的領先研究,Request Switching技術以最有效的方法處理WEB應用流量: 在應用請求層進行分析,然后加入安全性,重定向進入流量,使得優化流向,保護以及控制流量變為可能。基于這些技術,應用交付打破了應用請求對于傳輸層的依賴性,從而實現了每個最終用戶的請求

 

  這一獨特的處理特定應用請求以及響應的能力,使得應用層得到保護,網絡基礎得到全面優化,而這是其他技術以及方案所不能提供的。

 

  應用交付突出的特點表現在:

1.持續的應用有效性使得各種應用在流量浪涌以及惡意攻擊下也能得到保證。

2.增加了服務器的能力,在降低帶寬占用,降低復雜性的同時,整體運營成本也顯著降低。

3.提供了對于WEB應用的線速安全保護能力。Request Switching技術使得應用交付用戶能100%保護其應用內容的安全性,持續的提供服務給最終用戶,并且降低了總體的運營成本,而這一切都不會影響最終用戶的使用感覺。

 

  那么Request Switching是如何工作的呢?

 

  應用交付擁有專利的Request Switching 技術向我們展示了下一代的流量管理技術。應用交付打破了存在于連接和請求之間的關系,并在請求層檢測所有的流量,Request Switching 提供了高性能的,安全的,可擴展的應用層服務。

 

  在 Request Switching 技術的核心是一個新的運行范例,正是在這之上, 應用交付系統分開管理每一客戶端連接以及服務器端連接。因為應用交付 系統是每個客戶端以及服務器端連接的終點,而不是簡單的傳輸連接,所以它能提供以前其他流量管理系統所無法達到的許多加速和優化技術。因為Request Switching 引擎被專門設計來在請求層檢測流量,所以負載均衡以及內容交換可以非常高效的完成。策略以及過濾可以在進入的請求上被應用并且絲毫不影響性能。 成熟的負載均衡算法以及健康檢查機制保證了服務的均衡性以及持續可靠性。 先進的加速和優化技術在降低服務器負載的同時更快的把內容傳送給了最終用戶。

 

  Request Switching 是應用交付 應用提供系統的基礎。基于在請求層管理流量的原理,Request Switching 可以在最終用戶的地理位置和連接速度各不相同的情況下高效的加速和優化內容傳輸。由于 應用交付 系統是一個在客戶/服務器端通信的中介者,使得它能夠利用HTTP 1.1對于連接保持的優越特性。

 

  多個請求可以在一個客戶連接上被復用,這樣消除了連接建立的時間以及客戶端的延遲。與服務器保持的常連接,可以復用多個客戶端來的請求,甚至可以是從不同客戶端來的,或者甚至客戶端不支持連接保持。 這減少了TCP連接在服務器上的消耗,使得服務器可以更有效的專注于內容的服務。

                                     圖1: 利用常連接的 Request Switching 技術

 

  此外,Request Switching優化過的TCP/IP堆棧允許應用交付 系統消除了服務器對于客戶端連接速度的依賴性。一旦一個向服務器的請求建立,響應可以全線速無阻塞的傳遞到應用交付系統。應用交付 系統會緩沖該響應并以客戶端連接速度來把內容傳遞給客戶端,這樣使得服務器可以持續服務接下來的其他請求。

 

  作為卸載TCP 處理以及緩沖到應用交付系統的結果,每個服務器都可以處理幾倍于其本身性能的并發請求。 這一結果使得載服務器軟件以及硬件上的投資大幅度減少,數據中心空間利用降低,并且也可觀的減少了維護成本。

 

2.4.2 浪涌保護和SureConnect安全保護技術

 

    浪涌的情況,一般都發生在某一短時間的交易任務大幅增加的情況下,在目前國內股市交易活躍的情況下,出現短時期內訪問峰值不斷增加,很多時候甚至出現超出服務器群處理能力的情況,導致服務器群的雪崩效應出現大面積宕機。

 

  應用交付浪涌保護功能通過將訪問請求緩存在應用交付內部,并進行訪問隊列排隊的方式,將訪問請求暫時保留,之后逐步釋放給服務器,就能起到保證證券應用不會由于這樣的突發局面而出現服務器宕機。

 

  而對于排隊等待中的訪問,也可以使用SureConnect技術來提示等待時間。SureConnect可以在用戶排隊期間,送給用戶一個事先設定好的等待提示頁面,除了顯示等待時間外,證券公司可以利用這個頁面發布各種股票通知,公告或者其他廣告信息,給用戶良好的人性化感受。相比直接提交一個服務器無法響應的警告,SureConnect這種方式可以讓用戶對證券公司應用服務的親和力大增。

 

2.4.3 動靜態緩存和壓縮技術

 

   壓縮是一個普遍用來增加性能以及降低帶寬占用的技術。壓縮的內容只要較少的時間就可以被下載,所以可以加快客戶反應時間并同時減少帶寬的使用。但是,使用壓縮有其薄弱之處。實時壓縮是一個非常占用處理器資源的進程,甚至會使得服務器超負荷。預先壓縮內容是一個解決方案,但是由此增加的管理花費卻不得不加以考慮。

 

  應用交付 應用傳輸系統利用內置的高性能壓縮引擎解決了這些問題,這一引擎稱為AppCompress。這一引擎與Request Switching其他技術一起配合使用,可以解決實時的應用流量壓縮。 從服務器來的數據被送到客戶端前在應用層被壓縮,這樣減少了下載的時間并且減少了帶寬占用的消費。其他的壓縮程序都不需要,服務器被從壓縮任務中解放出來,對于預先壓縮內容的維護消耗也被消除。同樣,在維持高性能服務的同時,基礎設施消費以及管理成本被明顯降低。

 

  緩存是增加WEB應用性能的另一個常用方法。緩存在離用戶更進的地方保存內容,增加了響應時間并且減少了原始服務器的負載。但是,由于緩存服務器的獨立性,使得網絡變的更加復雜并且難以管理,并且獨立的緩存通常不具備對于動態內容的支持以及所期望的一些控制管理功能。

 

  內置于內存中的,被稱為AppCache的,并且與Request Switching一起工作的應用交付緩存技術,使得應用交付系統可以卸載很大部分服務器對于請求的消耗,并且可以更快的向最終用戶傳送內容。靜態以及動態內容都可以支持,緩存的策略以及有效性也可以靈活的設置。高性能的緩存以及壓縮,內容交換等其他優化技術一起協同工作,使得用戶響應時間達到最佳,并且WEB站點的客擴展性也顯著提高。

                                     圖3.  緩存技術與 Request Switching

 

2.4.4 SSL加速技術

 

    由于商務活動帶來了更多的應用,所以內容的安全性被越來越重視了。但是,安全的傳輸內容是一個富有挑戰性的技術。因為傳統的流量管理不能理解經加密的內容,所以它們不能進行加密內容的交換或者對其進行其他一些處理。此外,SSL的加密和解密對于服務器來說也是非常消耗資源的進程。

 

  Request Switching 利用內置于應用交付的SSL密碼加速技術解決安全內容的傳輸問題。當一個請求到達時,應用交付 對其進行解密并且載傳遞到相應服務器之前進行內容交換策略的選擇和過濾。從服務器來的響應可以經過壓縮和緩存,然后經加密傳送到用戶端。

 

  這一系列步驟使得流量管理和優化技術可以應用于安全內容,并且減少了服務器的處理密碼的進程消耗,降低了服務器負載。高性能加密同時意味著IT經理們不需要再出于性能的考慮而限制內容傳輸的安全性。所以在保持靈活性以及響應時間在一個優越水平的前提下,安全性也會得到提高。

                                     圖4   Request Switching 以及 SSL Offload

 

2.4.5 多重安全防護技術和Web應用防護

 

    作為高性能的安全設備解決方案,應用交付 WAF TM阻止了所有已知和未知的針對Web應用和基礎架構的攻擊。應用交付 WAF 采用了積極的安全模式,只允許執行那些正確的應用行為,而且不依賴攻擊特征符。它分析了所有雙向流量,包括SSL加密通信,阻止了16大類Web應用漏洞攻擊,同時不對應用作出任何更改。

 

  高級Web應用保護配置增加了高級Web應用的會話層分析保護功能,此高級Web應用包括了對敏感數據的已驗證訪問。而且保護范圍擴展到Cookie、格式字段和會話專用URL等動態生成的元素。這種保護對于電子商務、在線金融服務和安全的外聯網應用都是強制性的,

 

  并且它還具備應用學習能力,針對行為可能會違背默認安全策略的某些應用幫助管理員創建安全策略的可管理例外。

 

  在應用交付 WAF 的DDOS防御機制中,Cookies被發送到發送請求的用戶端,該初始會話狀態沒有被保留在應用交付 WAF 系統上。正因如此,應用交付 WAF 沒有為該會話分配內存,正常的由合法的用戶發出的TCP連接并不會被打斷。應用交付 WAF 系統的SYN-cookie 概念一直是起用的,并不需要其他額外配置。應用交付 WAF 系統在收到非HTTP流量的最終ACK包或者收到HTTP流量的HTTP請求包時才為連接分配內存。 正因如此,應用交付 WAF 系統可以達到非常高的SYN處理能力(達到1.1M SYN/SEC)。

 

  應用交付 WAF 系統的DDOS防御機制確保了以下幾點:

  • 應用交付 WAF 系統的內存不會浪費在非法的SYN包上,實際上,內存只被用來向合法用戶提供服務。
  • 合法用戶的普通的TCP對話可以不間斷的得到服務,就算系統在SYN FLOOD攻擊下也是如此。

 

  正由于內存只在收到HTTP請求后才予以分配給連接, 應用交付 WAF 系統使得WEB站點避免受到 “空閑連接” 攻擊。

 

  此外,應用交付 WAF 系統還能有效的防范7層 DOS 攻擊。

 

  一般來講,有兩種類型的7層 HTTP  DOS攻擊: GET攻擊以及 IDLE攻擊。 對于GET攻擊,黑客在一個連接建立后發出非常多的GET請求。 對于IDLE攻擊,攻擊者在連接建立后惡意停止一切活動而空閑等待。

 

  應用交付 WAF 系統在處理時,當連入的SESSION速率達到一個預先設定的門限值時,DOS防衛功能就自動觸發。 應用交付 WAF 系統會抽樣對一部分客戶端請求發送帶有SET-COOKIE的響應。 惡意攻擊主機通常不會響應SET-COOKIE,所以這些攻擊包就會被丟棄。 而普通正常的HTTP請求不會受到影響。 這個觸發的門限值以及發送SET-COOKIE的比例值可以針對每個服務來精細微調。 并且,由上所述,連接不會在第一個GET請求到達前建立。所以應用交付 WAF 系統也可以有效的防止IDLE攻擊。

 

3 總結

 

    應用交付的Request Switching 技術能顯著增加INTERNET應用基礎的吞吐量以及可靠性,其基礎是建立在對每個應用請求/響應的傳輸偵測,從而達到最優化的利用傳輸層協議和資源,這一技術甚至在所有被傳輸的內容都加密和壓縮的情況下也可以達到。正是基于對于整個請求/響應處理的全程管理,應用交付能獨特的做到極其有效的引導和控制從用戶端向服務器發起的應用請求以及響應。

 

  應用交付  可以為用戶管理多鏈路的運行,實現Internet 服務的持續連接以及理想的內容傳遞,從而實現可靠、高性能和高性價比的連接。 應用交付 是一個經過實踐檢驗的優秀的鏈路解決方案。

通過應用交付的部署,可以幫助用戶建立穩定、高效和安全的Internet。

 

  Citrix 的解決方案具有幾大優點:

  • 高可用性、高性能的完美體現:部署應用交付保證最終用戶對Internet實現不中斷的訪問:應用交付 能夠連續監視每個 Internet 連接的狀態。自動檢測各種故障,如鏈路、路由器、DNS 服務器和其它故障。通過檢查確保用戶只使用那些高效運轉的接入鏈路。可以根據優先權、IP 地址、會綜合考慮與請求內容的網絡最優響應、鏈路的實時負載與鏈路的成本。
  • 端到端應用安全:應用交付的內置應用安全功能,在公司的Internet接入部位實現實時的DDOS防御,隔離和阻止來自Internet和企業內部的攻擊和威脅,確保關鍵應用的安全。
  • Request Switching 包括以下眾多的應用優化技術:

 

  卸載了服務器以及緩存的傳輸處理

 

  分析以及優化每個服務請求

      

  提供了在不丟失交易的前提下的對請求流量的精細調節

保持客戶端TCP連接從而加速請求反應時間

復用以及反向復用應用層請求從而優化了服務性能

 

在線客服
請Q我吧:10892204
請Q我吧:1011057695
請Q我吧:17206935
請Q我吧:2893423048
在線客服
黄色漫画,日本黄色,国家一级运动员,2019午夜福利在线福利1000