套用牽引

OSI是一個開放性的通行系統互連參考模型，他是一個定義的非常好的協定規範。OSI模型有7層結構，每層都可以有幾個子層。 OSI的7層從上到下分別是 7 套用層 6 表示層 5 會話層 4 傳輸層 3 網路層 2 數據鏈路層 1 物理層 其中高層，既7、6、5、4層定義了應用程式的功能，下面3層，既3、2、1層主要面向通過網路的端到端的數據流。

與其他計算機進行通訊的一個套用，它是對應應用程式的通信服務的。例如，一個沒有通信功能的字處理程式就不能執行通信的代碼，從事字處理工作的程式設計師也不關心OSI的第7層。但是，如果添加了一個傳輸檔案的選項，那么字處理器的程式設計師就需要實現OSI的第7層。示例：telnet，HTTP,FTP,NFS,SMTP等。

簡述: 套用牽引

首先是針對套用來講的，套用大致分2類，一類是關鍵套用，一類是非關鍵套用，關鍵套用像：郵件，WEB;OA;非關鍵套用，像p2p,BT等。許多安全技術成並行發展。網路安全領域又出現了一個新技術——套用牽引技術。什麼是套用牽引？為什麼要使用套用牽引技術？我們先從下面的拓撲開始介紹。

隨著信息化建設的發展，Internet已逐漸作為一種基本的通訊工具在各種規模的商業機構和各個行業中得到了普遍套用。而在Internet接入的穩定性對於一個用戶來說日見重要的今天，僅通過單一服務商接入顯然無法保證它提供的Internet鏈路的持續可用性。此外，由於歷史原因，不同運營商間的互連互通在網路流量速率上等一直存在著很大的問題。

所以大多數用戶一般都同時採用多運營商鏈路接入的方式，例如：一個高校可同時有電信、網通、CERNET、通過市教委等多條出口鏈路。

如何自動實現多出口鏈口頻寬和連結速率的自動均衡、並提供統一出口網關的解決方案，成為園區網面臨的新的需求。

作為業界領先的網路資源最佳化廠商，北京靈州網路技術有限公司推出了多鏈路網路資源智慧型最佳化解決方案－NetMizer負載均衡系列產品。

NetMizer系列多出品鏈路負載均衡產品部署在園區網、區域網路的總出口處。可以智慧型最佳化鏈路資源，同時還可以完成服務映射和地址轉換等網路功能。

針對各種用戶的典型需求，NetMizer 在以下幾個環節上提供了業界領先的產品功能和完善周密的解決方案：

l 動態最佳鏈路選擇；

l 智慧型地址映射；

l 地址轉換和映射；

l 智慧型DNS服務；

l 鏈路健康狀態檢測；

l 網路實時監控；

l 套用層流量分析和控制（性能有富餘時可啟用）；

l 用戶接入認證（性能有富餘時可啟用）；

NetMizer在網路中的部署方式如下：

防火牆即可以放在NetMizer與核心交換機之間，NAT在NetMizer上啟用。

防火牆也可放在NetMizer之外的每條鏈路上， NAT在防火牆上啟用。

也可不採用防火牆，網路防火牆的功能在NetMizer上啟用。

典型的套用場景如下圖所示：

採用NetMizer後有如下優點：

高可用性、高性能的完美體現：網優先鋒能夠連續監視每條鏈路的運行質量和連線狀態，自動檢測各種故障，如鏈路、路由器、DS 伺服器和其它故障，保證對最終用戶提供不中斷的Iteret訪問。通過動態最佳鏈路選擇技術確保用戶只使用那些高效的接入鏈路，此外還可以根據訪問來源和目標、服務或其它用戶指定的參數綜合選擇最佳鏈路。

專業流量分析和頻寬管理：通過選擇網優先鋒流量分析和頻寬管理模組，管理員可以對網內流量按照4～7層的內容特徵或者行為特徵進行分類，通過頻寬管理功能，對關鍵業務進行保障，對非關鍵業務或者超量使用的用戶進行限制，在充分利用頻寬資源的同時，對關鍵套用提供服務質量保證。

套用安全保障：網優先鋒內置防火牆模組，可以提供網路安全保障功能，隔離和阻止來自Iteret和企業/運營商內部的攻擊和有害流量，確保關鍵部門和關鍵套用的安全。

保護了原有網路投入，節省了總體投入成本。

網優先鋒負載均衡設備可以根據流量、會話和主機進行動態的負載均衡：

根據流量的均衡，網優先鋒負載均衡設備可以根據不同接入出口的流量負載狀況，為區域網路的流量選擇最適合（當前流量負載最小的鏈路）的出口；

根據會話的均衡，網優先鋒負載均衡設備可以根據不同接入出口的已經建立連線的會話狀況，為區域網路的流量選擇最適合（當前會話最少的鏈路）的出口；

根據主機數的均衡，網優先鋒負載均衡設備可以根據不同接入出口的主機數量狀況，為區域網路的流量選擇最適合（當前承載主機連線外網最少的鏈路）的出口；

動態最佳鏈路選擇算法是我公司獨有的鏈路資源最佳化技術，能夠根據來源用戶、訪問目的IP、各鏈路的負載等情況來綜合考慮，計算出內部用戶訪問Iteret的最佳路徑，以保證每個用戶都能享受到最快和最可靠的回響速度和服務質量。

動態最佳鏈路選擇算法根據多種因素來選擇鏈路，例如，當一台內部主機訪問網際網路時，系統會根據主機訪問的目標IP位址進行“最小回響時間”計算，另外系統還會計算不同鏈路為此次訪問“建新的會話回響時間”，結合“最小回響時間”、“會話數”以及“流量狀況”等因素，加權得到最優的鏈路；默認情況下，我們推薦用戶使用此算法。

地址轉換和映射是確保用戶鏈路選擇的關鍵技術，我們可以提供動態、靜態和一對一綁定等多種轉換和映射方式，同時支持FTP、H.323、IPSEC等套用層代理服務，充分保障用戶套用的兼容性。

智慧型DS可以為外網用戶提供內部伺服器智慧型解析服務功能，可以解決由外網訪問區域網路伺服器鏈路選擇的問題，在沒有負載均衡設備的網路中，外網用戶訪問內部伺服器時只能選擇單一鏈路或者隨機選擇鏈路，未經最佳化的隨機鏈路選擇無法保障外網用戶的訪問體驗效果。網優先鋒內置的智慧型DS模組，可以配合客戶的解析伺服器引導內部伺服器的域名解析，當外網用戶通過域名訪問客戶的內部伺服器時，負載均衡設備就會通過靜態列表或者動態判斷算法，選擇最優的線路，然後將域名解析成相應線路的IP位址。

例如：某高校的出口鏈路有電信出口和Ceret出口，當來自電信網的外部用戶訪問學校內部伺服器時，首先向該用戶本地的域名伺服器發起域名解析請求，該域名伺服器會向伺服器所在園區網的區域網路DS伺服器請求解析，區域網路DS伺服器會對該請求作出回應報文，該回應包要流經網優先鋒，當網優先鋒收到該回應報文後，就會通過靜態列表或者動態鏈路選擇算法選擇最優的電信線路而不選擇Ceret鏈路，然後將域名解析成電信線路的IP位址，並把解析結果傳回到這個外網用戶本地的域名伺服器。這樣電信用戶在訪問內部伺服器資源時就會使用電信的解析地址，通過電信的線路進行訪問，實現了訪問時鏈路方面的負載均衡最佳化。智慧型DS技術可以支持透明模式和集成模式，透明方式主要套用在用戶的DS伺服器部署在負載均衡設備所連線的內部網路中，此時用戶無需對自己的域名伺服器進行修改；集成模式則適用於用戶DS伺服器部署在外部的環境下，此時客戶需要將域名的解析功能重定向到負載均衡設備上。

示意圖如下所示：

ISP提供商中使用。

網際網路的發展不斷地改變我們對信息技術的觀念，新的安全技術不斷湧現，各種技術之間並行發展，作為網路安全管理者來說難度不斷加大，網路攻防技術的發展速度是不以任何人的意志為轉移的，各項技術未來幾年的發展成果幾乎沒有人能預測的出來。網優先鋒(NetMizer)鏈路負載均衡及流控產品系列為客戶提供穩定可靠的出口最佳化解決方案,最佳化網路資源配置,保證服務質量,提升用戶體驗,降低運營成本；高可用性、高性能的完美體現。該產品採用我公司獨創的實時鏈路最佳化和關聯套用最佳化技術，支持各種均衡模式，最佳化網路資源分配，保障關鍵套用，提高用戶體驗，是一套前所未有的整體鏈路最佳化和管理解決方案。

如上圖所示：

(1) 當教育網用戶終端開始訪問域名（如某某.cn

）時，用戶終端首先會根據用戶終端的設定向本地DNS發起DNS請求，假設用戶終端設定的DNS伺服器為DA，DA經過查詢得到某某.cn

的解析伺服器是NetMizer設備（如果高校機房內部有自己的DNS伺服器，那么DA查詢得到就是內部的DNS伺服器），因此，DA會將請求發給NetMizer設備（或者高校機房內部DNS伺服器）；

(2) 當NetMizer設備得到DNS請求後，會根據網路就近性原則以及回響時間等因素將某某.cn

解析成最佳的IP位址（例如，來自教育網的用戶訪問，返回伺服器的域名解析一般是教育網線路的地址。來自電網信的用戶訪問，返回伺服器的域名解析一般是電信出口的地址），並將這個請求返回給最終用戶，用戶最終根據這個地址與伺服器建立連線。

以下是設備關於此功能的配置界面：

如上圖所示，某某.edu.cn

可以被解析成網通地址：221.218.2.1，或者教育網地址：61.58.3.1。NetMizer設備會根據不同鏈路的請求自動解析成相應的最佳地址。鏈路健康狀態

網優先鋒負載均衡設備可以在各種網路環境下檢測網路通信狀況，提供4～7層檢查方式，準確判斷鏈路的健康狀況。該健康狀況檢查不僅僅是通過判斷某個網站是否能連通，而是通過網路流量、連線建立情況進行綜合檢查，在鏈路被判定失效後，通過對某些網站的健康檢查判斷鏈路是否恢復正常。通過與鏈路選擇算法的結合，可以提高鏈路狀況的監測精確度。

網路及每用戶實時監控

網路實時監控是我公司特有的管理技術，該技術可以實時監控網內的每台終端，及時掌握每台終端的流量、會話等資源占用情況，幫助網路管理員及時有效的診斷和排除網路故障。設備上還提供一些必要的統計報表，可以方便的掌握網路的運行狀況。

套用層流量整形管理（可選模組）

頻寬資源對於每個企業或者ISP運營商都是十分寶貴的，權威機構的分析表明，百分之五的用戶占用著百分之九十五的頻寬，保障關鍵套用的正常通常是網路管理員面臨的難題，北京靈州網路技術有限公司的頻寬管理技術可以幫助網路管理者限制非業務套用、保障關鍵套用的頻寬。網優先鋒負載均衡設備可以集成頻寬管理模組，該模組提供專業的頻寬管理技術可以實現：頻寬保障、頻寬限制、每用戶頻寬限速、用戶頻寬動態分配、雙重頻寬限制等各種頻寬管理功能，可以適用於任何網路套用場景。

套用牽引功能（可選模組）

用戶租用不同的鏈路通常在資費、頻寬上都有差異，因此用戶希望將一些非關鍵套用引導至資費低的數據鏈路，即希望針對套用進行負載均衡。如下圖所示：網優先鋒負載均衡設備支持基於套用的負載均衡，可以在電信鏈路上攔截不重要的P2P套用，將P2P套用引導到教育網鏈路上，可以有效的提高鏈路的利用率。牽引P2P的流量，但是運營商用戶可能同時需要將一些關鍵的套用－例如WEB等套用做智慧型的路由引導，此時，網優先鋒設備做為一個智慧型的套用路由網關，可以引導不同套用的路由到不同的鏈路，其部署如下圖所示：

網優先鋒系列產品是針對具備一定接入規模的接入運營商以及校園網的網路套用需求而設計的。他具備以下特點：

能夠與網優先鋒流控模組無縫整合，在負載均衡的基礎上進行頻寬的控制和出口的最佳化；

在頻寬捆綁方面，它可以支持多條出口線路，支持以太和DSL出口，針對ADSL接入可以實現1-24路的頻寬捆綁功能，可以方便快速廉價的為運營商企業以及高校提供512K-1G的接入寬頻；

在路由策略方面，系統的策略全部基於對象操作，通過設定地址組對象只需添加一條路由策略即可實現對幾千個不同網段離散目標的策略路由，而系統的處理性能不受目標數量影響，十分適合教育網用戶以及那些需要同時接入多個運營商的企業；

在均衡狀態方面，可以實時的觀察各個鏈路實時的均衡狀態和流量大小；

在均衡算法方面，系統支持多種均衡算法，用戶可以選擇基於自動選擇最優路徑、會話、流量、主機數量、最小回響時間等多種均衡方式；

線上路保障方面，系統提供線路監控功能，可以根據當前的線路情況自動判別線路是否正常，在系統判別線路發生故障時可以自動將該線路上的負載轉移到其他正常的線路上，同時根據用戶設定判斷線路是否恢復正常，線上路恢復正常後，重新啟用該線路；

在地址轉換方面，系統提供AT/RDR等多種地址轉換策略，滿足用戶的各種網路需求。

網優先鋒負載均衡設備主要採用HTTPS管理方式，全部資源配置均採用對象化方式，對象化管理方式可以提高資源的可見性和重用性，簡化設備管理。此外設備還支持CLI、SSH等管理方式，並可以配合網優先鋒日誌管理系統對數據進行深度挖掘和分析。網優先鋒日誌系統是一套獨立的日誌管理和分析工具，可以記錄網內每個用戶的會話和流量數據以及設備的運行數據，滿足網路管理的審計和監控需求，日誌系統還提供相應的管理界面供管理員分析和查詢，幫助網路管理員分析網路性能、排查網路運行故障。

另外，網優先鋒設備還支持安全日誌記錄功能，設備會將用戶的每一個會話（源地址、目標地址、源連線埠、目標連線埠以及協定和流量）記錄實時發給日誌伺服器，網優先鋒設備記錄的是每一個會話的數據，而不是每個數據報的數據，這樣能夠保證數據完整的前提下有效的減少數據量，日誌伺服器將會話的原始數據以檔案形式寫入磁碟，在寫入的過程中，系統會根據時間、檔案大小等因素定期壓縮，以節省磁碟空間；用戶檢索時，檢索程式會掃描會話原始數據生成檢索記錄。