迪普科技-负载均衡技术白皮书

负载均衡技术白皮书

负载均衡技术白皮书

关键词：负载均衡，服务器，链路，连接复用，HTTP安全防护，SLB，LLB，

摘要：本文介绍了负载均衡技术的应用背景，描述了负载均衡技术的实现与运行机制，并简单介绍了迪普科技负载均衡技术在实际环境中的应用。

缩略语：

目录

1 负载均衡技术概述 (4)

负载均衡技术白皮书

1.1 负载均衡技术背景 (4)

1.1.1 服务器负载均衡技术背景 (4)

1.1.2 网关负载均衡技术背景 (5)

1.1.3 链路负载均衡技术背景 (6)

1.2 负载均衡技术优点分析 (6)

2 负载均衡具体技术实现 (7)

2.1 负载均衡相关概念介绍 (7)

2.2 服务器负载均衡基本概念和技术 (8)

2.2.1 NAT方式的服务器负载均衡 (8)

2.2.2 DR方式的服务器负载均衡 (10)

2.3 网关负载均衡基本概念和技术 (12)

2.4 服务器负载均衡和网关负载均衡融合 (14)

2.5 链路负载均衡基本概念和技术 (14)

2.5.1 Outbound链路负载均衡 (14)

2.5.2 Inbound链路负载均衡 (16)

2.6 负载均衡设备的双机热备 (18)

2.7 负载均衡设备的的部署方式 (19)

2.7.1 对称方式 (19)

2.7.2 单臂模式 (20)

3 迪普科技负载均衡技术特色 (21)

3.1 多种负载均衡调度算法 (21)

3.1.1 静态调度算法 (21)

3.1.2 动态调度算法 (22)

3.2 灵活的就近性算法 (23)

3.3 多种健康性检测方法 (23)

3.4 多种会话持续性功能 (24)

3.4.1 具有显式关联关系持续性功能 (25)

3.4.2 具有隐式关联关系持续性功能 (25)

3.5 4~7层的负载均衡 (25)

3.6 多种HTTP安全防护策略 (26)

3.7 连接复用功能 (27)

3.8 HTTP压缩功能 (27)

4 典型组网应用实例 (27)

4.1 企业园区网应用 (27)

4.2 数据中心和大型门户网站应用 (28)

负载均衡技术白皮书1 负载均衡技术概述

1.1 负载均衡技术背景

1.1.1 服务器负载均衡技术背景

随着Internet的快速发展和业务量的不断提高，基于网络的数据访问流量迅速增

长，特别是对数据中心、大型企业以及门户网站等的访问，其访问流量甚至达到了

10Gb/s的级别；同时，服务器网站借助HTTP、FTP、SMTP等应用程序，为访问

者提供了越来越丰富的内容和信息，服务器逐渐被数据淹没；另外，大部分网站

（尤其电子商务等网站）都需要提供不间断24小时服务，任何服务中断或通信中的

关键数据丢失都会造成直接的商业损失。所有这些都对应用服务提出了高性能和高

可靠性的需求。

但是，相对于网络技术的发展，服务器处理速度和内存访问速度的增长却远远低于

网络带宽和应用服务的增长，网络带宽增长的同时带来的用户数量的增长，也使得

服务器资源消耗严重，因而服务器成为了网络瓶颈。传统的单机模式，也往往成为

网络故障点。

图1现有网络的不足

针对以上情况，有以下几种解决方案：

1. 服务器进行硬件升级：采用高性能服务器替换现有低性能服务器。

该方案的弊端：

负载均衡技术白皮书

●高成本：高性能服务器价格昂贵，需要高额成本投入，而原有低性能服务器

被闲置，造成资源浪费。

●可扩展性差：每一次业务量的提升，都将导致再一次硬件升级的高额成本投

入，性能再卓越的设备也无法满足当前业务量的发展趋势。

●无法完全解决现在网络中面临的问题：如单点故障问题，服务器资源不够用

问题等。

2. 组建服务器集群，利用负载均衡技术在服务器集群间进行业务均衡。

多台服务器通过网络设备相连组成一个服务器集群，每台服务器都提供相同或相似

的网络服务。服务器集群前端部署一台负载均衡设备，负责根据已配置的均衡策略

将用户请求在服务器集群中分发，为用户提供服务，并对服务器可用性进行维护。

该方案的优势：

●低成本：按照业务量增加服务器个数即可；已有资源不会浪费，新增资源无

需选择昂贵的高端设备。

●可扩展性：当业务量增长时，系统可通过增加服务器来满足需求，且不影响

已有业务，不降低服务质量。

●高可靠性：单台服务器故障时，由负载均衡设备将后续业务转向其他服务

器，不影响后续业务提供，保证业务不中断。

图2负载均衡技术

1.1.2 网关负载均衡技术背景

SSL VPN网关、IPsec网关、防火墙网关等网关设备，因为业务处理的复杂性，往

往成为网络瓶颈。以防火墙网关为例：防火墙作为网络部署的“警卫”，在网络中

负载均衡技术白皮书不可或缺，但其往往不得不面临这样的尴尬：网络防卫越严格，需要越仔细盘查过

往的报文，从而导致转发性能越低，成为网络瓶颈。

在这种情况，如果废弃现有设备去做大量的硬件升级，必将造成资源浪费，随着业

务量的不断提升，设备也将频繁升级。频繁升级的高成本是相当可怕的。因此将网

关设备等同于服务器，组建网关集群的方案应运而生：将多个网关设备并联到网络

中，从而形成集群，提高网络处理能力。

1.1.3 链路负载均衡技术背景

信息时代，工作越来越离不开网络，为了规避运营商出口故障带来的网络可用性风

险，和解决网络带宽不足带来的网络访问问题，企业往往会租用两个或多个运营商

出口（如：电信、网通等）。如何合理运用多个运营商出口，既不造成资源浪费，

又能很好的服务于企业？传统的策略路由可以在一定程度上解决该问题，但是策略

路由配置不方便，而且不够灵活，无法动态适应网络结构变化，且策略路由无法根

据带宽进行报文分发，造成高吞吐量的链路无法得到充分利用。链路负载均衡技术

通过动态算法，能够在多条链路中进行负载均衡，算法配置简单，且具有自适应能

力，能很好的解决上述问题。

1.2 负载均衡技术优点分析

负载均衡提供了一种廉价、有效、透明的方法扩展网络设备和服务器的带宽、增加

吞吐量、加强网络数据处理能力，提高网络的灵活性和可用性。

负载均衡技术具有如下优点：

●高性能：通过调度算法，将客户端请求合理地均衡到后端各台服务器上，消

除系统可能存在的瓶颈。

●可扩展性：当服务的负载增长时，系统能被扩展来满足需求，且不降低服务

质量。

●高可用性：通过健康性检测功能，能实时监测应用服务器的状态，保证在部

分硬件和软件发生故障的情况下，整个系统的服务仍然可用。

●透明性：高效地使由多个独立计算机组成的松耦合的服务系统构成一个虚服

务器；客户端应用程序与服务系统交互时，就像与一台高性能、高可用的服

务器交互一样，客户端无须作任何修改。部分服务器的切入和切出不会中断

服务，而用户觉察不到这些变化。

负载均衡技术白皮书2 负载均衡具体技术实现

2.1 负载均衡相关概念介绍

●虚服务

负载均衡设备对外提供的服务称为虚服务。虚服务由VPN实例、虚服务IP地址、服

务协议、服务端口号唯一标识，配置在负载均衡设备上。客户的访问请求通过公共

或私有网络到达负载均衡设备，匹配到虚服务后，由负载均衡设备按照既定策略分

发给真实服务。

●实服务

实服务是真实服务器提供的一种服务。该服务含义比较广泛，可以是传统的FTP、

HTTP等业务应用，也可以是广义的转发服务，如防火墙网关负载均衡中，实服务

只是报文转发路径。

●持续性功能

持续性功能将属于同一个应用层会话的多个连接定向到同一服务器，从而保证同一

业务由同一个服务器处理（或链路转发），并减少负载均衡设备对服务和流量进行

分发的次数。

●负载均衡调度算法

负载均衡设备需要将业务流量根据某种算法分发给不同的实服务（实服务对应服务

器负载均衡中的服务器、网关负载均衡中的网关设备和链路负载均衡中的链路），

这个分发算法就是负载均衡调度算法。

●就近性算法

就近性算法是指在链路负载均衡中，实时探测链路的状态，并根据探测结果选择最

优链路，保证流量通过最优链路转发。

●健康性检测功能

健康性功能是指负载均衡设备对真实的服务器是否能够提供服务进行探测。依据不

同的探测方法（即健康性检测方法）可以探测出服务器是否存在，以及是否可以正

常提供服务。

负载均衡技术白皮书2.2 服务器负载均衡基本概念和技术

服务器负载均衡，顾名思义就是对一组服务器提供负载均衡业务。这一组服务器一

般来说都处于同一个局域网络内，并同时对外提供一组（或多组）相同（或相似）

的服务。服务器负载均衡是数据中心最常见的组网模型。

服务器负载均衡包括以下几个基本元素：

●负载均衡设备：负责分发各种服务请求到多个Server的设备。

●Server：负责响应和处理各种服务请求的服务器。

●VS IP：对外提供的虚拟IP，供用户请求服务时使用。

●Server IP：服务器的IP地址，供负载均衡设备分发服务请求时使用。

依据转发方式，服务器负载均衡分为NAT方式和DR方式。两种方式的处理思路相

同：负载均衡设备提供VS IP，用户访问VS IP请求服务后，负载均衡设备根据调度

算法分发请求到各个实服务。而在具体的处理方式上有所区别：

●NAT方式：负载均衡设备分发服务请求时，进行目的IP地址转换（目的IP

地址为实服务的IP），通过路由将报文转发给各个实服务。

●DR方式：负载均衡设备分发服务请求时，不改变目的IP地址，而将报文的

目的MAC替换为实服务的MAC后直接把报文转发给实服务。

以下将分别对两种方式进行详细介绍。

2.2.1 NAT方式的服务器负载均衡

NAT方式组网灵活，后端服务器可以位于不同的物理位置，不同的局域网内。NAT

方式典型组网如图3所示。

图3NAT方式的服务器负载均衡

负载均衡技术白皮书1. 实现原理

客户端将到VS IP的请求发送给服务器群前端的负载均衡设备，负载均衡设备上的虚服务接收客户端请求，依次根据持续性功能、调度算法，选择真实服务器，再通过网络地址转换，用真实服务器地址重写请求报文的目标地址后，将请求发送给选定的真实服务器；真实服务器的响应报文通过负载均衡设备时，报文的源地址被还原为虚服务的VS IP，再返回给客户，完成整个负载调度过程。

2. 工作流程

NAT方式的服务器负载均衡的工作流程图如图4所示。

图4NAT方式的服务器负载均衡流程图

流程简述如下：

(1) 客户端发送服务请求报文 (源IP为客户端 IP、目的IP为VS IP)

(2) 负载均衡设备ADX接收到请求报文后，借助持续性功能或调度算法计算出应该将请求分发给哪台Server

(3) 负载均衡设备ADX使用DNAT技术分发报文 (源IP为客户端 IP、目的IP为Server IP)

(4) Server接收并处理请求报文，返回响应报文 (源IP为Server IP、目的IP为客户端IP)

(5) 负载均衡设备ADX接收响应报文，转换源IP后转发(源IP为VS IP、目的IP为客

负载均衡技术白皮书户端 IP)

从以上一系列的说明可以看出——在负载均衡时使用网络地址转换技术，NAT方式

因此而得名。

3. 技术特点

组网灵活，对服务器没有额外要求，不需要修改服务器配置，适用于各种组网。2.2.2 DR方式的服务器负载均衡

相对于NAT组网方式，DR组网方式中只有客户端的请求报文通过负载均衡设备，

服务器的响应报文不经过负载均衡设备，从而减少了负载均衡设备的负载，有效的

避免了负载均衡设备成为网络瓶颈。DR方式典型组网如图5所示。

图5DR方式的服务器负载均衡

1. 实现原理

DR方式的服务器负载均衡时，除了负载均衡设备设备上配置了VS IP，真实服务器

也都配置了VS IP，配置的VS IP要求不能响应ARP请求，例如在环回接口上配置

VS IP。实服务除了VS IP，还需要配置一个真实IP，用于和ADX通信，负载均衡设

备ADX和真实服务器在同一个链路域内。发送给VS IP的报文，由ADX分发给相应

的真实服务器，从真实服务器返回给客户端的报文直接通过交换机返回。

2. 工作流程

DR方式的服务器负载均衡的工作流程图如图6所示。

负载均衡技术白皮书

图6DR方式的服务器负载均衡流程图

流程简述如下：

(1) 客户端发送服务请求报文（源IP为客户端 IP、目的IP为VS IP）

(2) General Device收到请求后转发给负载均衡设备ADX（Server上的VS IP不会响应ARP请求）

(3) 负载均衡设备ADX接收到请求报文后，借助持续性功能或调度算法计算出应该将请求分发给哪台Server

(4) 负载均衡设备ADX分发报文（源IP为客户端IP，目的IP为VS IP，目的MAC为Server的MAC地址）

(5) Server接收并处理请求报文，返回响应报文（源IP为VS IP、目的IP为客户端IP）

(6) General Device收到响应报文后，直接将报文转发给客户端

从以上一系列的说明可以看出——负载均衡设备没有采用传统的转发方式（查找路由表）来分发请求报文，而是通过修改目的MAC直接路由给服务器，DR方式也因此而得名。

3. 技术特点

只有单边报文经过负载均衡设备，负载均衡设备负担小，不易成为瓶颈，转发性能更强。

负载均衡技术白皮书2.3 网关负载均衡基本概念和技术

网关负载均衡包括以下几个基本元素：

●负载均衡设备ADX：负责分发请求发起方的网络流量到多个网关设备。负载

均衡设备ADX又分为一级和二级。如图7所示，如果请求发起方的网络流量

方向为客户端 A > 客户端 B，则负载均衡设备ADX A为一级，负载均衡设备

ADX B为二级；如果请求发起方的网络流量方向为客户端 B > 客户端 A，则

负载均衡设备ADX B为一级，负载均衡设备ADX A为二级。

●网关设备：正常处理数据的网关设备，如：SSL VPN网关，IPsec网关，防

火墙网关等。

以防火墙网关负载均衡为例，组网应用如图7所示。

图7双侧防火墙网关（三明治）负载均衡

1. 实现原理

防火墙是基于会话开展业务的，即一个会话的请求和应答报文必须通过同一个防火

墙。为了保证防火墙业务正常进行，内部组网不受影响，需要采用双侧负载均衡，

即防火墙三明治。在这种组网环境中，对于流入流量，一级负载均衡设备做防火墙

负载均衡，二级负载均衡设备保证从哪个防火墙进来的流量，还要从这个防火墙返

回。流出流量正好相反。

负载均衡技术白皮书2. 工作流程

图8防火墙负载均衡流程图

(1) 负载均衡设备ADX A接收流量

(2) 负载均衡设备ADX A依次根据持续性功能、负载均衡调度算法选择一个Firewall，并将流量转发给该Firewall (由于防火墙基于会话开展业务，建议优先选用源地址散列算法)

(3) Firewall将流量转发给负载均衡设备ADX B

(4) 负载均衡设备ADX B作为二级负载均衡设备ADX，记录转发该流量的防火墙，并将流量转发到目的地

(5) 负载均衡设备ADX B接收目的地发回的流量

(6) 负载均衡设备ADX B根据(4)中的记录将流量转发给同一个Firewall

(7) Firewall将流量转发给负载均衡设备ADX A

(8) 负载均衡设备ADX A将流量转发回源地址

从以上一系列的说明可以看出——两台负载均衡设备ADX之间并联的防火墙进行网络流量的负载分担，提高了网络的性能。两侧的负载均衡设备ADX和中间并联的防火墙——我们称之为三明治负载均衡。

负载均衡技术白皮书

3. 技术特点

服务对象为防火墙，提高防火墙组网灵活性。没有特殊要求，适用于任何组网环

境。

2.4 服务器负载均衡和网关负载均衡融合

网关负载均衡也可以和服务器负载均衡融合使用，以防火墙网关和服务器负载均衡

综合组网为例，具体组网如图9所示。

图9防火墙网关、服务器负载均衡综合组网图

图中Cluster A为防火墙负载均衡的集群，Cluster B为NAT方式服务器负载均衡的

集群。综合组网的工作流程就是防火墙、服务器负载均衡流程的叠加。这样的组网

方式既避免了防火墙成为网络中的瓶颈，也提高了各种网络服务（如HTTP、

FTP）的性能和可用性。

2.5 链路负载均衡基本概念和技术

链路负载均衡根据业务流量方向可以分为Outbound链路负载均衡和Inbound链路负

载均衡两种情况。

2.5.1 Outbound链路负载均衡

内网和外网之间存在多条链路时，通过Outbound链路负载均衡可以实现在多条链

路上分担内网用户访问外网服务器的流量。Outbound链路负载均衡的典型组网如

错误！未找到引用源。所示。

负载均衡技术白皮书

图10Outbound链路负载均衡组网图

Outbound链路负载均衡包括以下几个基本元素：

●负载均衡设备ADX：负责将内网到外网流量分发到多条物理链路的设备。

●物理链路：运营商提供的实际链路。

●VS IP：对外提供的虚服务IP，即用户发送报文的目的网段。

1. 实现原理

Outbound链路负载均衡中VS IP为内网用户发送报文的目的网段。用户将访问VS IP的报文发送到负载均衡设备后，负载均衡设备依次根据持续性功能、ACL策略、就近性算法、调度算法选择最佳的物理链路，并将内网访问外网的业务流量分发到该链路。

2. 工作流程

图11Outbound链路负载均衡流程图

(1) 负载均衡设备ADX接收内网用户流量

(2) 负载均衡设备ADX依次根据持续性功能、ACL策略、就近性算法、调度算法进

负载均衡技术白皮书行链路选择(在Outbound链路负载均衡组网中，通常使用就近性算法或带宽调度算

法实现流量分发)

(3) 负载均衡设备ADX按照链路选择的结果将流量转发给选定的链路

(4) 负载均衡设备ADX接收外网用户流量

(5) 负载均衡设备ADX将流量转发给内网用户

3. 技术特点

●可以和NAT应用网关共同组网，不同的链路使用不同的源地址，从而保证往

返报文穿过同一条链路。

●通过健康性检测，可以检查链路内任意节点的连通性，从而有效保证整条路

径的可达性。

●通过调度算法，在多条链路间均衡流量，并支持按照带宽进行负载均衡。

●利用就近性算法动态计算链路的质量，将流量分发到当前最优链路上。

2.5.2 Inbound链路负载均衡

内网和外网之间存在多条链路时，通过Inbound链路负载均衡可以实现在多条链路

上分担外网用户访问内网服务器的流量。Inbound链路负载均衡的典型组网如错

误！未找到引用源。所示。

图12Inbound链路负载均衡组网图

Inbound链路负载均衡包括以下几个基本元素：

●负载均衡设备ADX：负责引导外网流量通过不同物理链路转发到内网，从而

实现流量在多条物理链路上分担的设备。同时，负载均衡设备ADX还需要作

为待解析域名的权威名称服务器。

负载均衡技术白皮书

●物理链路：运营商提供的实际链路。

●本地DNS服务器：负责解析外网用户发送的DNS请求、并将该请求转发给

权威名称服务器——负载均衡设备ADX的本地DNS服务器。

1. 实现原理

Inbound链路负载均衡中，负载均衡设备作为权威名称服务器记录域名与内网服务器IP地址的映射关系。一个域名可以映射为多个IP地址，其中每个IP地址对应一条物理链路。

外网用户通过域名方式访问内网服务器时，本地DNS服务器将域名解析请求转发给权威名称服务器——负载均衡设备，负载均衡设备依次根据持续性功能、ACL 策略、就近性算法选择最佳的物理链路，并将通过该链路与外网连接的接口IP地址作为DNS域名解析结果反馈给外网用户，外网用户通过该链路访问内网服务器。

2. 工作流程

图13Inbound链路负载均衡流程图

(1) 外网用户通过域名访问内网服务器时，首先要进行DNS解析，向其本地DNS服务器发送DNS请求

(2) 本地DNS服务器将DNS请求转发给域名对应的权威名称服务器——负载均衡设备ADX

(3) 负载均衡设备ADX根据DNS请求的域名、持续性功能、ACL策略、就近性算法选择最优的物理链路，并将通过该物理链路与外网连接的接口IP地址作为域名解析结果(在Inbound链路负载均衡组网中，通常使用就近性算法实现外网到内网流量在多条链路间均衡)

负载均衡技术白皮书

(4) 负载均衡设备ADX按照域名解析的结果，将DNS应答发送给本地DNS服务器

(5) 本地DNS服务器将解析结果转发给用户

(6) 用户使用解析结果选择的链路，对内网服务器进行访问

3. 技术特点

●可以和服务器负载均衡配合适用，实现外网用户访问内网服务器流量在多条

链路间均衡的同时，也实现了流量在多台服务器间均衡。

●通过健康性检测，可以检查链路内任意节点的连通性，从而有效保证整条路

径的可达性。

●利用就近性算法动态计算链路的质量，保证转发流量的链路是当前最优的链

路。

2.6 负载均衡设备的双机热备

无论是服务器负载均衡、网关负载均衡，还是链路负载均衡，负载均衡设备均处于

关键路径，负载均衡设备的稳定性和安全性直接影响了网络的可用性。为了避免单

点故障，负载均衡设备必须支持双机热备，即在两台负载均衡设备之间通过备份链

路备份对端设备上的业务，保证两台设备上的业务状态是一致的。当其中一台设备

发生故障时，利用VRRP或动态路由（例如OSPF）机制将业务流量切换到另一台

设备，由于另一台设备已经备份了故障设备上的业务信息，业务数据流便可以从该

设备上通过，从而在很大程度上避免了网络业务的中断。

负载均衡设备双机热备方案支持两种工作模式：

●主备模式：两台负载均衡设备中一台作为主设备，另一台作为备份设备。主

设备处理所有业务，并将产生的业务信息通过备份链路传送到备份设备；备

份设备不处理业务，只用做备份。当主设备故障，备份设备接替主设备处理

业务，从而保证新发起的负载均衡业务能正常处理，当前正在进行的负载均

衡业务也不会中断。

●负载分担模式：两台负载均衡设备均为主设备，都处理业务流量，同时又作

为另一台设备的备份设备，备份对端的业务信息。当其中一台设备故障后，

另一台设备负责处理全部业务，从而保证新发起的负载均衡业务能正常处

理，当前正在进行的负载均衡业务也不会中断。

以网关负载均衡为例，负载均衡双机热备的组网如图14所示。

负载均衡技术白皮书

图14网关负载均衡双机热备组网图

2.7 负载均衡设备的的部署方式

负载均衡设备通常以直联和单臂两种方式部署在网络中。

2.7.1 对称方式

如图15所示，对称方式，即负载均衡设备直接部署在网络的主干中，服务器和客户

端之间的负载均衡报文直接由负载均衡设备进行路由。

负载均衡技术白皮书

图15直联方式示意图

2.7.2 单臂模式

如图16所示，单臂模式指负载均衡设备不作为服务器和客户端之间的路由设备，而

是单臂在路由设备上。在DR方式中，负载均衡设备只能使用单臂模式。

图16单臂模式示意图

单臂模式中，用于中转的路由交换设备上的配置至关重要。

从客户端至服务器的流量如果要达到负载均衡设备，必须在路由交换设备上设置到

VS IP的路由。

从服务器到客户端的流量如果不必经过负载均衡设备，则可以通过中转设备直接返

回客户端，如果需要返回负载均衡设备，则有几种方式：

●服务器和负载均衡设备在同一个二层网络，服务器设置其网关为负载均衡设

备。

●中转设备上配置策略路由，将从服务器返回的流量定向到负载均衡设备。

●负载均衡设备在转发客户端流量时进行源NAT。

广域网负载均衡原理简单介绍

广域网负载均衡 多链路广域网负载均衡 （1）Inbound多链路负载均衡算法策略：RTT+Topology+RoundRobin 具体描述： 当外部用户访问九州梦网网站时，首先由F5的3DNS对客户端的LDNS进行RTT（Round Trip Time）探测，对比从两条链路返回的探测结果（可以从统计列表中看到），选择一条返回值小的链路IP地址返回给客户端，从而客户端再发起访问请求；当F5的3DNS探测不到客户端的LDNS（由于LDNS安全防护等原因）时，F5的3DNS自动启用Topology算法，来静态匹配客户端的LDNS地理位置，从而根据客户端的来源，返回正确的A记录；当探测不到的LDNS又不在地址列表中时，F5 3DNS自动启用Global Availability 算法作为默认算法，将所有无法计算结果并且不在Topology范围之内的LocalDNS请求，定义到系统的默认线路上。 F5 的3DNS具备二十多种Inbound算法，可以根据需要进行组合。 ①RTT算法运行机制： 通过3DNS的RTT就近性算法会自动运算生成一个ldns就近分布表，通过这个动态的表，每个客户上来都会提供一个最快速的链路进行访问，由于站点有ISP1和ISP2的两条广域网线路。在3DNS上会针对站点服务器(以https://www.sodocs.net/doc/5f483713.html, 为例)解析ISP1和ISP2的两个不同的公网地址。 对应于https://www.sodocs.net/doc/5f483713.html,域名，在3DNS上配置wideip：https://www.sodocs.net/doc/5f483713.html,，对应两个Virtual Server：VS1：202.106.83.177，VS2：219.17.66.100。分别属于ISP1和ISP2两条线路分配的IP地址段。在3DNS内部，同时定义两个DataCenter分别与ISP1和ISP2相对应。 用户的访问流程如下：

迪普防火墙专业技术白皮书

迪普防火墙技术白皮书

————————————————————————————————作者：————————————————————————————————日期：

迪普FW1000系列防火墙 技术白皮书 1 概述 随着网络技术的普及，网络攻击行为出现得越来越频繁。通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。目前，Internet网络上常见的安全威胁分为以下几类： 非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。 拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。 信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。 数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。

?基于网络协议的防火墙不能阻止各种攻 击工具更加高层的攻击 ?网络中大量的低安全性家庭主机成为攻 击者或者蠕虫病毒的被控攻击主机 ?被攻克的服务器也成为辅助攻击者 Internet 目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止 火灾蔓延的隔断墙，Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信任 网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通道，以防止外部 网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处，基于访问控制策略提供 安全防护。例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和 数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组 织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接处时， 可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变，但是随着各种 基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥，传统防火墙面临更加艰巨的任务，不 但需要防护传统的基于网络层的协议攻击，而且需要处理更加高层的应用数据，对应用层的 攻击进行防护。对于互联网上的各种蠕虫病毒，必须能够判断出网络蠕虫病毒的特征，把网 络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的防护。

图解F5 链路负载均衡详细配置方法

WAN广域网链路负载均衡测试项目测试项目背景：

测试环境描述 1.1 需求描述 XX股份领导反应：通过互联网采用SSL VPN方式，访问青岛总部内网的OA系统速度慢。为了解决此问题，目前采用三种测试方案： 1、CITRIX； 2、新增加一台JUNIPER SA4000； 3、增加一台F5 BIGIP LC设备和两条分别为青岛联通、青岛移动的100M 链路结合进行WAN链路负载均衡测试。 第二种测试方案目前已做完，效果不理想，当前准备执行第三套测试方案。 F5 BIGIP LC以及如何在使用GTM一张静态的表单（https://www.sodocs.net/doc/5f483713.html,er）来实现Topology计算。 由于LC只能解析A记录，无法解析SOA 、MX、PTR记录，所以LC只能做一台DNS的子域，无法取代客户的DNS服务器（https://www.sodocs.net/doc/5f483713.html,）。 测试要求：解决电信和网通的南北互连互通问题，用户有二条链路，（一条网通线路，一条电信线路）。 测试规则如下： 1.访问CNC网站走CNC线路 2.访问CT网站走CT的线路 3.访问本地域名（https://www.sodocs.net/doc/5f483713.html,）CNC用户从CNC线路过来访问 4.访问本地域名（https://www.sodocs.net/doc/5f483713.html,）CT用户从CT线路访问

测试环境描述

2测试设备配置步骤 2.1 基础配置 2.1.1进入管理界面，激活license。 注意事项：激活LC设备的license后，一定要完全重新启动一次

(Full_box_reboot)。系统会自动生成相关的文件和启动相应的服务。

2.1.2Platform相关设置 由于是部分授权，所以LC将作为https://www.sodocs.net/doc/5f483713.html,的子域的Nameserver Hostname：使用NS 的https://www.sodocs.net/doc/5f483713.html, 提醒：上线测试Root和admin密码一定要修改，不可以使用默认的。

SureHA 技术白皮书

SureHA100G2 技术白皮书 摘要 本白皮书论述Lenovo SureHA 100G2高可 用软件的功能以及实现原理。 Lenovo 确信本出版物在发布之日内容准确无 误。如有更新，恕不另行通知。 Lenovo 对本出版物的内容不提供任何形式的 陈述或担保，明确拒绝对有特定目的适销性或 适用性进行默示担保。使用、复制或分发本出 版物所描述的任何SureHA 100G2软件都要 有相应的软件许可证。

第 1 章 SureHA100G2集群系统概览 2 目录 SureHA100G2 技术白皮书 .................................................................................................. 1 第 1 章 何谓集群系统 ..................................................................................................... 4 集群系统的概要 ................................................................................................................................... 4 HA (High Availability)集群 ................................................................................................................ 4 共享磁盘型 ....................................................................................................................................................... 5 镜像磁盘型 ....................................................................................................................................................... 7 系统构成 .............................................................................................................................................. 7 故障保护原理 ..................................................................................................................................... 10 共享磁盘的互斥控制 ....................................................................................................................................... 11 网络分区症状 (Split-brain-syndrome) ......................................................................................................... 11 集群资源的交接 ................................................................................................................................. 11 数据的交接 ..................................................................................................................................................... 11 IP 地址的交接 .................................................................................................................................................. 12 应用程序的交接 .............................................................................................................................................. 12 失效切换总结 .................................................................................................................................................. 14 Single Point of Failure 的排除 ......................................................................................................... 14 共享磁盘 ......................................................................................................................................................... 15 共享磁盘的访问路径 ....................................................................................................................................... 16 LAN ................................................................................................................................................................ 16 支持可用性的操作 ............................................................................................................................. 17 操作前测试 ..................................................................................................................................................... 17 故障的监视 ..................................................................................................................................................... 17 第 2 章 关于SureHA100G2......................................................................................... 19 SureHA100G2的产品结构 ................................................................................................................ 19 SureHA100G2的软件配置 ................................................................................................................ 19 SureHA100G2 的故障监视原理 ....................................................................................................... 20 何谓服务器监视 .............................................................................................................................................. 20 何谓业务监视 .................................................................................................................................................. 20 何谓内部监视 .................................................................................................................................................. 21 可监视的故障和无法监视的故障 ........................................................................................................ 21 通过服务器监视可以查出的故障和无法查出的故障 ........................................................................................ 21 通过业务监视可以查出的故障和无法查出的故障 ............................................................................................ 21 网络分区解析 ..................................................................................................................................... 22 失效切换的原理 ................................................................................................................................. 22 由SureHA100G2构建的共享磁盘型集群的硬件配置 ...................................................................................... 23 用SureHA100G2构建的镜像磁盘型集群的硬件配置 .. (24)

防火墙攻击防范技术白皮书

防火墙攻击防范技术白皮书

关键词：攻击防范，拒绝服务 摘要：本文主要分析了常见的网络攻击行为和对应的防范措施，并且介绍了H3C防火墙攻击防范的主要特色和典型组网应用。

目录 1 概述 (3) 1.1 产生背景 (3) 1.2 技术优点 (4) 2 攻击防范技术实现 (4) 2.1 ICMP 重定向攻击 (4) 2.2 ICMP 不可达攻击 (4) 2.3 地址扫描攻击 (5) 2.4 端口扫描攻击 (5) 2.5 IP 源站选路选项攻击 (6) 2.6 路由记录选项攻击 (6) 2.7 Tracert 探测 (7) 2.8 Land 攻击 (7) 2.9 Smurf 攻击 (8) 2.10 Fraggle 攻击 (8) 2.11 WinNuke 攻击 (8) 2.12 SYN Flood 攻击 (9) 2.13 ICMP Flood 攻击. (9) 2.14 UDP Flood 攻击 (10) 3 H3C 实现的技术特色 (10) 4 典型组网应用 (11) 4.1 SYN Flood 攻击防范组网应用. (11)

1 概述 攻击防范功能是防火墙的重要特性之一，通过分析报文的内容特征和行为特征判断报文是否具有攻 击特性，并且对攻击行为采取措施以保护网络主机或者网络设备。 防火墙的攻击防范功能能够检测拒绝服务型( Denial of Service ，DoS )、扫描窥探型、畸形报 文型等多种类型的攻击，并对攻击采取合理的防范措施。攻击防范的具体功能包括黑名单过滤、报 文攻击特征识别、流量异常检测和入侵检测统计。 1.1 产生背景 随着网络技术的普及，网络攻击行为出现得越来越频繁。另外，由于网络应用的多样性和复杂性， 使得各种网络病毒泛滥，更加剧了网络被攻击的危险。 目前，Internet 上常见的网络安全威胁分为以下三类： DoS 攻击 DoS 攻击是使用大量的数据包攻击目标系统，使目标系统无法接受正常用户的请求，或者使目标 主机挂起不能正常工作。主要的DoS攻击有SYN Flood、Fraggle等。 DoS攻击和其它类型的攻击不同之处在于，攻击者并不是去寻找进入目标网络的入口，而是通过 扰乱目标网络的正常工作来阻止合法用户访问网络资源。 扫描窥探攻击 扫描窥探攻击利用ping扫描(包括ICMP和TCP )标识网络上存在的活动主机，从而可以准确地 定位潜在目标的位置；利用TCP和UDP端口扫描检测出目标操作系统和启用的服务类型。攻击 者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入目标系统 做好准备。 畸形报文攻击 畸形报文攻击是通过向目标系统发送有缺陷的IP报文，如分片重叠的IP报文、TCP 标志位非法的报文，使得目标系统在处理这样的IP报文时崩溃，给目标系统带来损 失。主要的畸形报文攻击有Ping of Death 、Teardrop 等。 在多种网络攻击类型中，DOS攻击是最常见的一种，因为这种攻击方式对攻击技能 要求不高，攻击者可以利用各种开放的攻击软件实施攻击行为，所以DoS 攻击的威 胁逐步增大。成功的DoS攻击会导致服务器性能急剧下降，造成正常客户访问失败；同时，提供 服务的企业的信誉也会蒙受损失，而且这种危害是长期性的。 防火墙必须能够利用有效的攻击防范技术主动防御各种常见的网络攻击，保证网络在遭受越来越频

中小企业多链路负载均衡的解决方案

中小企业多链路负载均衡的解决方案前言： 目前很多企业为了提高信息发布的性能和可靠性，向多个电信运营商同时租用互联网线路，所以拥有两条或两条以上的互联网连接链路，这些用户希望分别通过多条链路使用网络平台和资源，但是这样的网络出口建设形式，暴露出以下问题，并亟待解决。 企业广域网链路络存在的问题： 1、链路的单点失效性： 采用单一Internet连接链路存在单点失效性，一旦该链路出现故障将造成整个企业网络的瘫痪。 2、链路性能的瓶颈： 单一Internet连接链路的带宽资源是有限的，无法满足企业内部全体用户对Internet 访问时所需的带宽，同时也无法满足大量的Internet上的用户对企业的访问。 3、网络安全防护能力弱： 目前Internet上的各种各样的网络攻击层出不穷，路由器自身对网络攻击的防护能力非常有限，DOS/DDOS 网络攻击会对广域网络由器产生严重的影响。 现有的多条链路，互相之间没有联系，这就导致了两条链路的完全独立，不能互为所用；两条或多条链路分别独立接入，链路的占用可能不平均，带宽不能得到充分的利用；任一条链路的中断都会影响正常的上网工作，缺乏容错机制。 解决方案： 面对以上问题，应该在企业网络出口处部署一台梭子鱼LinkBalancer 330链路负载均衡器，如下图所示：

LB330链路负载均衡器部署在出口路由器和防火墙之间，这样可以实现对多条internet 接入链路的负载均衡，可以同时实现outbound流量（内部办公用户访问internet）和inbound 流量（internet用户访问内部服务器）双向的负载均衡，并且可以根据智能算法选择最优路径，以达到最佳访问速度。如果当一个ISP1出现故障，负载均衡器可以及时地检测到，并将内外网流量转到ISP2上，网络仍然可以正常运行。LB330链路负载均衡器支持多达3条外接链路。此外，LB330链路负载均衡器具备抵御DoS/DDoS的功能，有效地保护内网的服务器免遭攻击。 方案特点： 1.增加企业出口带宽，并提供了广域网链路的冗余。 2.通过智能算法，可通过最优路径实现内外网访问。 3.可以抵御DoS和 DDoS攻击有效的保护内网服务器。 为什么选择梭子鱼： 1、聚合链路带宽

F5负载均衡基本原理

F5 Application Management Products 服务器负载均衡原理 F5 Networks Inc

1．服务器负载平衡市场需求 (3) 2．负载平衡典型流程 (4) 2..1 通过VIP来截获合适的需要负载平衡的流量 (4) 2.2 服务器的健康监控和检查 (5) 2.3 负载均衡和应用交换功能,通过各种策略导向到合适的服务器 (6)

1．服务器负载平衡市场需求 随着Internet的普及以及电子商务、电子政务的发展，越来越多的应用系统需要面对更高的访问量和数据量。同时，企业对在线系统的依赖也越来越高，大量的关键应用需要系统有足够的在线率及高效率。这些要求使得单一的网络服务设备已经不能满足这些需要，由此需要引入服务器的负载平衡，实现客户端同时访问多台同时工作的服务器，一则避免服务器的单点故障，再则提高在线系统的服务处理能力。从业界环境来说，如下的应用需求更是负载均衡发展的推动力： ?业务系统从Client-Server转向采用Browser-Server 系统结构，关键系统需要高可用性 ?电子商务系统的高可用性和高可靠性需要 ?IT应用系统大集中的需要（税务大集中,证券大集中,银行大集中） ?数据中心降低成本,提高效率 负载均衡技术在现有网络结构之上提供了一种廉价、有效、透明的方法，来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。它有两方面的含义：首先，大量的并发访问或数据流量分担到多台节点设备上分别处理，减少用户等待响应的时间；其次，单个重负载的运算分担到多台节点设备上做并行处理，每个节点设备处理结束后，将结果汇总，返回给用户，系统处理能力得到大幅度提高。 BIG/IP利用定义在其上面的虚拟IP地址来为用户的一个或多个应用服务器提供服务。因此，它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。BIG/IP 连续地对目标服务器进行L4到L7合理性检查，当用户通过VIP请求目标服务器服务时，BIG/IP根椐目标服务器之间性能和网络健康情况，选择性能最佳的服务器响应用户的请求。 下图描述了一个负载平衡发生的流程：

服务器负载均衡技术

HUAWEI USG6000V系列NFV防火墙技术白皮书之---服务器负载均衡技术白皮书 华为技术有限公司 Huawei Technologies Co., Ltd.

目录 1背景和概述 (2) 2全局服务器负载均衡（GSLB） (3) 3本地服务器负载均衡（LSLB） (4) 3.1使用目的MAC地址转换的服务器负载均衡（DR） (4) 3.2使用网络地址转换实现的服务器负载均衡（L4 SLB） (5) 3.3使用轻量代理和网络地址转换的服务器负载均衡（L4 lwProxy SLB） (7) 3.4使用全量Socket 代理的服务器负载均衡（L7 Socket Proxy SLB） (9) 3.4.1socket代理加业务会话关联保持 (9) 3.4.2根据URL类型不同的分担，静态资源访问和动态计算访问分开多种服务 器10 3.4.3SSL卸载 (10) 3.4.4链路优化：压缩、协议优化、本地cache、多路复用 (11) 3.5业务保持技术 (13) 4华为USG防火墙支持的SLB功能列表 (14)

1 背景和概述 随着互联网的快速发展，用户访问量的快速增长，使得单一的服务器性能已经无法满足大量用户的访问，企业开始通过部署多台服务器来解决性能的问题，由此就产生了服务器负载均衡的相关技术方案。 在实际的服务器负载均衡应用中，由于需要均衡的业务种类以及实际服务器部署场景的不同（比如是否跨地域、跨ISP数据中心等），存在多种负载均衡的技术。如下典型的组网方式如图所示： 服务提供方为了支撑大批量的用户访问，以及跨不同地域、不同接入ISP的用户都能够获得高质量的业务访问体验，其已经在不同地域、不同ISP数据中心搭建了服务器，这样就带来一个需求，也就是客户的访问能够就近、优先选择同一个ISP数据中心的服务器，从而获得高质量的业务访问体验。 同时，基于单台服务器能够提供的业务访问并发是有限的，那么就自然想到使用多台服务器来形成一个“集群”，对外展现出一个业务访问服务器，以满足大量用户访问、而且可以根据业务访问量的上升可以动态的进行业务能力扩容的需要。

F5链路负载均衡解决方案实例

南京财经大学 F5 Link Controller多链路负载均衡 解决方案

目录 1. 项目背景分析 (4) 1.1 南京财经大学的现状 (4) 1.2 链路改造后的预期设想 (4) 2. F5提供的最佳解决方案 (6) 2.1 设计结构图： (6) 2.2 实现原理 (7) 2.2.1 出站访问 (7) 2.2.2 入站访问 (8) 2.2.3 系统切换时间 (10) 3. 解决方案功能介绍 (11) 3.1 高可用性 (11) 3.1.1 全面的链路监控能力 (11) 3.1.2 集合多个监视器 (12) 3.2 最大带宽和投资回报 (13) 3.2.1 可节省WAN 链路成本的压缩模块 (13) 3.2.2 带宽可扩展性 (13) 3.2.3 强大的流量分配负载均衡算法 (14) 3.2.4 链路带宽控制 (14) 3.2.5 链路成本负载平衡 (15) 3.3 高级WAN 链路管理 (15) 3.3.1 最佳性能链路 (15) 3.3.2 针对压缩技术的目标流量控制 (16) 3.3.3 优化的TCP 性能 (16) 3.3.4 可编程链路路由――iRule (16)

3.3.5 流量优先级安排：服务质量(QoS) 和配置服务类型(ToS) . 17 3.4 配置和管理 (17) 3.4.1 消除BGP 多归属部署障碍 (17) 3.4.2 BIG/IP的业界最快双机冗余切换 (17) 3.4.3 IPv6 网关 (18) 3.4.4 统计与报告 (18) 3.5 强化的安全性能 (18) 3.5.1 智能SNAT (18) 3.5.2 网络安全 (19) 3.5.3 简单、安全的管理 (19) 3.6 集成流量管理可扩展性 (20) 3.6.1 扩展的各类安全设备负载均衡 (20) 3.6.2 扩展的SSL加速适用于校园一卡通等 (21) 4. 相关产品介绍 (22)

迪普防火墙技术白皮书 (1)

迪普FW1000系列防火墙 技术白皮书 1概述 随着网络技术的普及，网络攻击行为出现得越来越频繁。通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。目前，Internet网络上常见的安全威胁分为以下几类： 非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。 拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。 信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。 数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。

?基于网络协议的防火墙不能阻止各种 攻击工具更加高层的攻击 ?网络中大量的低安全性家庭主机成为 攻击者或者蠕虫病毒的被控攻击主机 ?被攻克的服务器也成为辅助攻击者 Internet 止火灾蔓延的隔断墙，Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处，基于访问控制策略提供安全防护。例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变，但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥，传统防火墙面临更加艰巨的任务，不但需要防护传统的基于网络层的协议攻击，而且需要处理更加高层的应用数据，对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒，必须能够判断出网络蠕虫病毒的特征，把网络蠕虫病毒造成的攻击阻挡在安全网络之外。从而对内部安全网络形成立体、全面的

链路负载均衡解决方案

Array Networks 链路负载均衡解决方案 －Array APV系列、AppVelocity应用于企业网络优化

目录 1. 多链路接入背景介绍 (3) 1.1 单链路接入单点故障 (3) 1.2 运营商之间互访 (4) 1.3 双链路解决方案的产生以及其衍生的问题 (4) 2. Array 提供最佳的解决方案 (6) 2.1 方案介绍 (6) 2.2 流出（Outbound）流量处理 (7) 2.3 其它重要功能设置: (8) 2.4 流入（Inbound）流量处理 (8) 3. 解决方案功能特点介绍 (10) 3.1. 全面的链路监控能力 (10) 3.2. 全路经健康检查 (10) 3.3. 策略路由 (11) 3.4. APV-LLB的链路负载均衡解决方案具有以下功能和优点： (11) 3.5. 链路优化功能与其他应用性能提高功能 (11) 3.5.1. Http 压缩功能 (11) 3.5.2. Cache 功能 (11) 3.5.3. Connection Multiplexing（连接复用）技术 (12) 3.5.4. Connection Pooling（连接池）技术 (12) 3.5.5. Array SpeedStack?技术 (12) 3.6. 安全防护功能 (13) 3.7. Cluster技术 (13) 3.8. Array APV 配置管理 (14) 3.9. 可扩展性 (14) 3.9.1. 服务器负载均衡与广域网负载均衡 (14) 3.9.2. 扩展的SSL加速适用于电子商务 (14) 4. 链路负载均衡对企业的价值 (14)

般固ADC 技术白皮书

般固 ADC 多链路技术白皮书
般固 ADC 多链路技术白皮书
■ 文档编号 ■ 版本编号 Banggoo-PE-008 0.1 ■ 密级 ■ 日期 限制分发 2012/05/06
? 2015 般固（北京）科技股份有限公司
? 2015 般固（北京）科技股份有限公司
-1-
密级：公开

般固 ADC 多链路技术白皮书
■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属般 固（北京）所有，受到有关产权及版权法保护。任何个人、机构未经般固（北京）的书面授权许可，不得 以任何方式复制或引用本文的任何片断。
■ 适用性声明 本模板用于撰写般固（北京）内外各种正式文件，包括技术手册、标书、白皮书、会议通知、公司制度等 文档使用。
? 2015 般固（北京）科技股份有限公司
-2-
密级：公开

般固 ADC 多链路技术白皮书
目录
一. 概述?.......................................................................................................................................................?4 二. 需求分析?...............................................................................................................................................?4 三.?BANGGOO?ADC 技术?.............................................................................................................................. 6 3.1?BANGGOO?ADC 部署位置?..................................................................................................................... 6 3.2 方案设计?...........................................................................................................................................?7 3.3 流入（INBOUND）流量处理?.............................................................................................................. 7 3.4 流出（OUTBOUND）流量处理?........................................................................................................... 9 3.4.1 智能负载均衡 ............................................................................................................................ 9 3.4.2 就近性算法 .............................................................................................................................. 10 3.4.3 健康检查机制 .......................................................................................................................... 10 四. 产品优势?.............................................................................................................................................?11 4.1.1?DNS 透明代理?........................................................................................................................... 11 4.1.2 链路繁忙控制 .......................................................................................................................... 12 4.1.3 与流控设备完成基于应用协议选路?...................................................................................... 12 4.1.4 高性能?.....................................................................................................................................?12 4.1.5 易管理?.......................................................................................................................................?1 五. 方案优势?...............................................................................................................................................?2 5.1 丰富的均衡方式与灵活的均衡算法?............................................................................................... 3 5.2 高可用性?...........................................................................................................................................?3 5.3 安全性?...............................................................................................................................................?3 5.4 可扩展性?...........................................................................................................................................?3 5.5 更加的用户体验?............................................................................................................................... 3?
? 2015 般固（北京）科技股份有限公司
-3-
密级：公开