一、综述

  随着Internet的快速发展，大多数企业将更多的业务通过互联网来进行交付，促使企业生产和工作的进行越来越依赖于企业IT应用系统。IT应用系统的高可靠性直接影响了业务应用的高可用性，所以企业越来越重视和关注如何在最大节约IT成本的基础上维持业务系统7*24小时工作，保证业务的连续性和用户访问体验。

 目前许多企业为了提高应用服务发布及内网访问互联的可靠性和访问性能，同时向多个运营商租用互联网链路，又或者为了提高出口带宽的容载而采用了多条互联网链路。通过两条或两条以上的互联网链路来提升企业网络的性能和可靠性，但这样的出口网络建设还是会暴漏出如下问题，现有的多链路之间没有联系，导致了各链路完全独立，不能互为所用；各链路占用不均衡，部分链路不能得到充分利用；跨运营商访问延迟、广域网丢包和延时等问题，直接导致用户访问慢或访问不了；任一链路出现故障都会影响用户的访问体验，缺乏的链路可靠性保障。

 对于企业而言，如何有效保证用户的访问体验，充分利用出口链路资源并提高其可靠性，提升广域网传输效率，是目前企业出口网络的改造目标。

二、需求分析

 随着Internet应用的不断发展，只有一条互联网链路连接公共网络将导致单点故障和网络极其脆弱，目前日益增多的企业为了保证公司各个部门之间、供应商和客户之间可靠的Internet访问，都逐步采用多条互联网链路接入Internet。

 保证Internet接入的稳定性对于一个公司来说是非常重要的。现在绝大多数的公司采用一条Internet接入，也就是说使用一个ISP的链路。显然，一个ISP无法保证它提供的Internet链路的持续可用性，从而可能导致公司WAN接入的中断，而一个公司的Internet接入的中断则意味着高额的损失。

单链路网络系统结构设计图如下：

这样的网络结构存在如下问题：

2.1 单链路网络问题

2.1.1单链路接入单点故障

  在系统原有系统结构中，采用单条链路接入，一个或多个DNS服务器，这些服务器对于同一个域名均解析为同一个地址。在该种网络结构之中，无论主机系统、网络系统的规划有多么完美, 完全排除应用瓶颈和单点故障, 都还存在一个非常明显的单点故障, 就是网络接入部分的方案不够完整, 一旦网络出口接入部分出现中断就直接意味着所有应用中断。为了保证Internet接入的稳定性对于一个公司来说是非常重要的。现在绝大多数的公司采用一条Internet接入，也就是说使用一条ISP的链路。显然，一条ISP链路无法保证它提供的Internet链路的持续可用性，从而可能导致公司互联网接入的中断，而一个公司的Internet接入的中断则意味着高额的损失。

2.1.2 跨运营商访问延迟

 许多人已然了解到，中国互联网的现状是北联通和南电信的局面，两方资源的交互受到了很大的影响。中国运营商市场的特殊格局，导致跨运营商问题长期客观存在，成为企业网络平台建设的障碍。其出现的根本原因为南北网络的互联互通接点拥塞，造成用户丢包、延迟较大，从而导致访问缓慢，甚至对于一些应用无法访问。

2.1.3 广域网传输效率低

 对于中国来说，互联网带宽的发展一直是被互联网技术、移动产品、用户期望等方面因素所“拖着跑”。大多数用户的使用的带宽还是窄带，特别是对于移动终端用户来说，4G业务覆盖面有盲区，5G业务也是雨后春笋。所以对于大多数使用窄带宽的用户来说，首要面临的问题是如何提升广域网传输效率，这也是企业非常关注的问题。

2.2 双链路网络产生以及其衍生的问题

 一个企业可以采用多链路的多链路解决方案来避免Internet接入中断所造成的损失。多链路通常指同时使用不同ISP提供的多条Internet接入链路。由于多链路解决方案能够提供更好的可用性和性能，它正在被越来越多的企业所采用。可用性的提高来自于多条链路的使用，而性能提高则是因为同时使用多条链路增加了带宽。

多链路方案能够提高企业业务的可用性和性能，但这种方案也面临着特殊的问题和挑战。

2.2.1 流量分配

  对应一些互联网链路，需要按流入流出流量进行计费，比如教育网链路，而其他很多运营商链路则采用包月或包年的方式计费。因此如果过多的流量从教育网的链路经过，比如增加企业的运营成本，但若将所有流量都放在一条链路上，则会使此链路负载过高，从而导致用户访问速度变慢，另一方面也使教育网链路得不到有效的利用。

  所以理想解决方案是，与教育网有关的流量则走教育网链路，与教育网无关的流量则走其他链路。以此类推，还可以解决跨运营商访问的问题，对于访问电信地址的流量，则走电信链路，对于访问联通的流量，则走联通链路；当某一条链路负载过高时，则不再往此链路分配流量，当此链路负载恢复正常时再向此链路分配流量。

2.2.2 多链路的可靠性

   即使部署了多条ISP链路，但缺少对链路健康状态的监测，当某条链路出现故障时，此链路出口还会转发流量，导致业务交付中断，使用户体验下降，无法实现链路的冗余灾备，也就是无法达到当一条链路出现故障时，将其流量导向另一条链路的策略，缺少可靠性保障。

2.2.3 广域网传输效率

 对于大多数使用窄带宽的用户来说，首要面临的问题就是如何提升在广域网传输效率，这也是企业非常关注的问题。

针对以上问题和挑战，提出链路负载均衡解决方案。

   链路负载均衡器可以采用多链路负载均衡技术，简化了多互联网出口链路的复杂性，提供了一个易于管理、智能优化和利用所有Internet链路的解决方案。

   对于Outbound流量，链路负载均衡器采用虚拟链路技术，对流量进行智能分担，根据访问目标地址进行流量的分担，例如访问的是电信的地址，则走电信链路出去，访问联通的地址，则走联通链路出去；实现多条链路的互备冗余，例如当某条链路负载过高或出现故障时，则不再向此链路分配流量，实现多链路的高可用性。

   对于Inbound流量，链路负载均衡器采用智能DNS技术，通过将发布到互联网的上业务的域名解析功能转移到链路负载均衡器上，实现对入站流量的负载均衡，例如当访问用户是电信地址，则解析一个电信地址給用户，如果是联通用户请求，则解析成一个联通的地址，防止跨运营商访问；实现多链路的互备冗余，例如当某条链路负载过高或出现故障时，则不再向此链路分配流量，实现多链路的高可用性。

三、设计方案

3.1 网络拓扑图

   改造后的网络拓扑结构如下：

                      负载均衡部分网络拓扑图

3.2 设计描述

3.2.1 设计总体描述

   本设计采用两台链路负载均衡器，实现出口网络中的多链路负载均衡和应用加速。其中包含一条教育网链路、一条电信链路和一条联通链路。

  上图是网络中链路负载均衡的部分网络拓扑图，两台链路负载均衡器实现双机冗余，下连防火墙，对外三条链路与互联网对连。链路负载均衡器划分多个VLAN，每条互联网链路接口划分一个VLAN，每个VLAN对应相应的链路地址，内网接口也划分出单独的VLAN，对应相应的内网地址。

3.2.2 设计简介

     链路负载均衡器提供多链路负载均衡解决方案具有以下功能和优势：

   ▲智能管理不同ISP提供的IP地址段。

    ▲保证优化所有的ISP链路，即通过智能负载均衡所有通过可用链路的流量。

    ▲链路负载均衡器特有的就近性检测算法来选择用于出站流量的最佳ISP链路。

   ▲确保三条ISP链路同时应用与所有流入的流量，保证Internet连接的畅通。

    ▲链路负载均衡器特有的就近性检测算法来选择用于入站流量的最佳ISP链路。

    ▲链路负载均衡器提供的的健康检查和流量监测功能实现链路的互备冗余，提高出口链路网络的高可靠性。

   ▲使用链路负载均衡器的广域网加速功能，提升广域网传输效率。

3.2.3 出站（Outbound）流量处理

   链路负载均衡器主要采用以下集中方式来处理出站流量。

源NAT（网络地址转换）

 对于出站流量的智能地址管理，链路负载均衡器使用源NAT方法。当内网用户访问外网时，链路负载均衡器根据负载均衡算法，选择流量的出接口，根据如上图中，如果链路负载设备选择从电信链路出口，则将内网用户的地址转换成一个电信地址，并作为流出数据包的源地址。同样，如果链路负载均衡器选择从联通链路出去，则将内网用户地址转换成一个联通地址，并作为流出数据包的源地址。

静态就近性策略

   为了解决跨运营商访问的延迟问题，链路负载均衡器可根据内网用户访问目标地址的所属运营商信息来进行选择转发，例如，如果内网用户访问的是电信的地址，则链路负载均衡器将数据包从电信链路转发出去。同样，如果内网用户访问的是联通的地址，则链路负载均衡器将数据包从联通链路转发出去。

动态就近性策略

 为了进一步优化流出的流量，链路负载均衡器还可为流出的流量实施动态就近性运算。如果内网用户要访问某一Internet站点，可能通过一个ISP的路径比通过其他ISP的路径有效（更快）。因此，链路负载均衡器可以提供动态就近性算法，为流出到某一个站点的流量选择出最优的ISP路径，保证所需内容最快到达目的地，提高访问体验。特别对于静态就近性策略无法出来的流量时，使用动态就近性策略能达到很好的应用效果。

健康检查

 为了提高多出口链路的可靠性，链路负载均衡器提供了对多链路进行健康检查，实时监控各链路的运行和使用状态。当某一链路出现故障或负载过高时，链路负载均衡器会将立即将此链路排除负载分担列表外，不再分配流量給此链路，当此链路恢复正常时，再将其添加到负载分担列表中，并继续給其分配流量，实现多链路的冗余互备。

   总结：建议流量优先使用静态就近性策略与动态就近性策略先结合的规则使用方法，当用户访问目标地址是属于电信的，则从电信链路流出，属于联通地址范围的流量则从联通链路流出。对于既不属于电信、联通和教育网地址范围的流量，用户访问根据动态就近性（最快响应）时间的算法，链路负载均衡器会判断从2个链路到目标站点的响应时间哪个更短，将用户流量导向响应时间较小的链路上，也就是用户通过速度最快的链路进行访问。还可根据链路流量的轮询、比率（加权轮询）及优先级等负载分担算法来分担流出流量。

3.2.4 入站（Inbound）流量处理

 链路负载均衡器不仅需要管理出站的流量，还必须管理来自Internet的访问，即入站（Inbound）流量。假设上图中，内网服务器群中有台Web服务器SERVER1，其对外的域名为www.abc.com，其地址为192.168.1.100/24。此域名可通过电信和联通链路访问，链路负载均衡器设备电信接口地址为100.1.1.2/24，联通接口地址为200.1.1.2/24。

智能DNS

 通过链路负载均衡器上的虚拟服务和智能DNS结合在一起，即可实现入站流量的负载均衡。

   虚拟服务提供了对入站流量数据包的目的地址转换，将访问到外网口的公网地址转换成内网的私有地址。在运营商DNS服务器上修改其域名的NS记录指向链路负载均衡器，即链路负载均衡器作为www.abc.com解析的DNS服务器。

NS  www.abc.com  100.1.1.2

NS  www.abc.com  200.1.1.2

 当互联网用户访问www.abc.com时，其发送的DNS请求到达运营商的DNS服务器时，运营商DNS服务器会将请求转发給链路负载均衡器，由链路负载均衡器来完成最终的解析工作。链路负载均衡器根据具体设定的策略来选择适当的链路，如果选择的是电信链路，则解析地址100.1.1.2返回給用户，如果选择的是联通链路，则解析地址200.1.1.2返回給用户。

虚拟服务

   虚拟服务与智能DNS相结合的方式，实现了入站流量的负载均衡，在其中虚拟服务的主要作用是实现地址的转换、提供解析地址。另外，虚拟服务还提供了广域网加速功能，提升广域网传输效率。

静态就近性

 链路负载均衡器可根据互联网访问用户的所属运营商地址来进行选择链路，并解析对应链路的地址返回給用户，例如，如果互联网访问用户是电信所属地址，则链路负载均衡器将选择电信链路，并解析一个电信的地址返回給用户。同样，如果互联网访问用户是联通所属地址，则链路负载均衡器选择联通链路，并解析一个联通的地址返回給用户。

动态就近性

 为了进一步优化流入的流量，链路负载均衡器还可为流入流量实施动态就近性运算。如果互联网用户要访问企业站点站点，可能通过一个ISP的路径比通过其他ISP的路径有效（更快）。因此，链路负载均衡器可以提供动态就近性算法，从多条链路探测到达互联网用户的最优ISP路径，保证所需内容能最快到达用户端，提高访问体验。特别对于静态就近性策略无法处理的流量时，使用动态就近性策略能达到很好的应用效果。

健康检查

 为了提高多出口链路的可靠性，链路负载均衡器提供了对多链路进行健康检查，实时监控各链路的运行和使用状态。当某一链路出现故障或负载过高时，链路负载均衡器会将立即将此链路排除负载分担列表外，不再解析此链路地址給用户。当此链路恢复正常时，再将其添加到负载分担列表中，继续选择并解析此链路地址給用户，实现多链路的冗余互备。

    总结：链路负载均衡器将虚拟服务与智能DNS先结合的方式，实现了入站流量的负载分担。虚拟服务实现对地址转换、提供解析地址工作和广域网加速功能；智能DNS实现对站点的域名解析工作，并根据链路负载均衡器提供的丰富和有效的负载均衡算法，选择最优的解析链路，提高用户的访问体验。同时，多条出口链路互备冗余，实现了业务7*24小时连续进行，保证了出口网络系统的高可靠性。

四、链路负载均衡解决方案

 链路负载均衡器可检测到整个链路中出现的错误，从而能够提供可靠的端到端的WAN连接。它可以监视每个连接的运行状态和可用性，实时检测链路或负载均衡算法的可用情况。一旦出现故障，流量将被动的传递給其他可用链路，从而确保用户及外部客户继续保持连接。

4.1 全面的链路监控能力

    如何有效的确定链路、服务器、应用、内容的运行状态，是提高系统可靠性的关键。链路负载均衡器利用其独到、高效的“健康检查”手段，识别链路、服务器、应用、内容的运行状态。链路负载均衡器提供的健康检查方式包括如下：

    Layer3健康检查：链路负载均衡器向链路对端、服务器主机发送ICMP请求报文，“ping”命令是常见的用来确定目标IP地址是否在网络中存在，或者用来确定目标服务器是否正常工作。如果得到正确回复表示服务器或链路工作正常。

     Layer4健康检查：链路负载均衡器向真实服务器连接其一个特定的UDP或者TCP端口。例如，服务器对外发布了80端口的服务，则链路负载均衡器可建立一条与服务器80端口的连接，来确定服务器80端口的可用性。链路负载均衡器发送一个TCP SYN请求到服务器的80端口，并检查是否收到服务器返回的TCP SYN ACK报文，如果检测到某台服务器没有回应此报文，链路负载均衡器就可以断定此服务器没有正常提供服务，链路负载均衡器单独向每台服务器进行端口的健康检查并单独做关于其服务器的诊断结果是非常重要的。如果服务器的80端口服务停止工作了，而端口21还能正常工作，那么链路负载均衡器可以继续利用服务器的21端口提供FTP的服务，同时也确定了此服务器的web应用已经停止了服务，这样一来就提供了一个高效率的负载均衡解决方案，细分了健康检查的做法并有效的提高了服务器的处理能力。

      Layer7健康检查：链路负载均衡器可向目标服务器发送应用层协议的报文，请求一个指定的内容，如果得到正确回复表示服务器工作正常。

    还可通过确认服务器应用程序是否对请求返回对应的数据。如果一个应用程序对该服务器健康检查作出响应并返回对应的数据，则链路负载均衡器认为该服务器应用程序工作良好。如果服务器不能返回对应的数据，则链路负载均衡器认为该服务器应用程序出现故障，接下来的请求将不再分配給此服务器。当服务器应用程序恢复故障，链路负载均衡器会自动查证应用程序已能对用户请求作出正确的响应并恢复向该服务器分配流量。

4.2 全路径健康检查

 访问Internet的可靠性不仅仅是由ISP路由器提供的链路状况决定的，而是由整个数据流经的路径决定。例如用户可以设置透过某ISP的路由器同时去检查google等各类企业的站点。只有当所有这些网站都无法检测通过时，链路负载均衡器才会认为该链路已经DOWN掉，然后链路负载均衡器可以重新为流量选择路径，传递到其它可用链路，从而继续保持客户连接，避免出现停机影响。

4.3 智能DNS

 对于入站流量，以便内部的应用服务器向外部用户提供服务时，链路负载均衡器可以通过在内置的智能DNS服务器上，把企业的站点域名绑定到多运营商的各自的公网IP上，并作为企业域名的权威发布服务器。当某个客户端访问应用服务器时，首先会进行DNS解析，链路负载均衡器可以根据客户端所处的运营商网络返回跟他匹配的IP地址，或者通过动态探测技术，选出到该用户通信质量最好链路，并返回对应的IP地址。这样可以保证每次客户端都可以通过通信质量最好的链路来访问内部的应用服务器，极大的改善用户体验，并提升整个系统的工作效率。当某一链路出现故障时，则解析其他正常链路的地址返回給客户端，提高了用户访问的可靠性。

4.4 路由策略

 链路负载均衡器可以设置基于用户数据包源IP/Port、目标IP/Port的策略路由，通过该功能可以人为的对特殊的流入流出流量进行规划，比如某个应用系统需要比较高的数据传输带宽，而多条Internet链路的带宽存在不均衡性，管理员可以选择一条带宽更高的链路承载这个应用的数据流量。

4.5 出站流量会话保持和NAT

 出接口流量会话保持是指当为某个数据流分配一个出接口链路以后，该种类型的后续相关流量都分配给同一条链路。链路负载设备支持的会话保持主要是基于源地址的会话保持和基于hash的会话保持。

 链路负载均衡器支持丰富的NAT转换策略，包括源IP地址转换，静态地址转换，和基于策略的地址转换。 会话保持和NAT地址转换，可以很大程度的避免源主机和某目标服务器通信的过程中，报文横跨多个运营商的情况出现。

4.6 链路负载均衡解决方案具有以下功能和优势

   智能管理不同ISP运营商提供的IP地址网段

  保证优化所有ISP链路，即通过智能负载均衡所有通过可用链路的流量。

  使用链路负载均衡器的多链路负载均衡算法和智能DNS功能来选择用于流入流出流量的最佳ISP，保证了每个用户都可以最快速的访问分部的服务器，而不必受到南北电信、联通互联互通问题的影响。

  可以通过策略路由强制流量通过某个ISP的链路，以解决用户办公上网访问南北电信、联通不同站点的速度问题。在某条链路失效时，所有流量仍可以经过另一条链路正常进出。以保证系统的提供服务的不间断性。对于互联网窄带宽用户访问企业业务慢时，可通过虚拟服务提供的广域网加速功能，提高广域网传输效率。

五、关键技术介绍

5.1 链路负载分担算法

 链路负载分担算法是用来计算内网用户访问Internet时（出站流量），在多链路间进行流量分配的方案。链路负载分担的算法和服务器负载分担的算法有一致的地方，也存在一些差异，链路负载分担算法包括：

1、静态负载均衡算法

    轮询（Round Robin）：将请求顺序循环的连接到每条参与负载分担的链路上。当其中某条链路发生故障时，链路负载均衡器就把其从负载分担列表中移出去，不参与下次的请求的分配，直到其恢复正常。

    比率（Ratio）：給每条链路分配一个加权值为比例，根据这个比例，把用户的请求分配到每条链路。当其中某条链路发生故障时，链路负载均衡器就把其从负载分担列表中移出去，不参与下次的请求的分配，直到其恢复正常。

    优先级（Priority）：为每一条链路指定一个优先级，默认情况下链路负载均衡器优先向优先级最高的链路分配流量，当最高优先级的链路出现故障时，链路负载均衡器才将请求分配給次优先的链路。这种方式还为用户提供了一种热备的可靠方式。

2、动态负载均衡算法

    最小连接（Least Connection）：链路负载均衡器优先把流量分配给当前连接数最少的链路。当其中某条链路发生故障时，链路负载均衡器就把其从负载分担列表中移出去，不参与下次的请求的分配，直到其恢复正常。

   最快模式（Fastest）：链路负载均衡器通过比对目标地址返回数据包的延迟情况，选择一个当前响应最快的链路来分配流量。当其中某条链路发生故障时，链路负载均衡器就把其从负载分担列表中移出去，不参与下次的请求的分配，直到其恢复正常。

   主备模式（Observed）：默认情况下流量都发送给主链路，当主链路失效时启用备份链路。

   运营商路由模式（ISP route）：内置IP地址和运营商的对应表，根据内网用户访问的目的地址所属运营商，选择相应的链路，避免跨运营商的访问。

5.2 链路健康检查机制

 健康检查是对链路的运行状态定期进行实时检测，一旦发现某一链路流量通过异常，链路负载均衡器会立即将此链路从负载分担列表中移除，当此链路恢复正常后，再自动将其添加到负载分担列表，有效避免了因链路故障而引起的用户访问中断，提高业务的可靠性。

  链路负载均衡器提供了丰富的健康检查策略，和负载均衡算法组合到一起，就可实现非常灵活和可靠的负载分担策略。链路负载均衡器提供如下健康检查方式：

     Layer3健康检查：链路负载均衡器向链路对端、服务器主机发送ICMP请求报文，“ping”命令是常见的用来确定目标IP地址是否在网络中存在，或者用来确定目标服务器是否正常工作。如果得到正确回复表示服务器或链路工作正常。

     Layer4健康检查：链路负载均衡器向真实服务器连接其一个特定的UDP或者TCP端口。例如，服务器对外发布了80端口的服务，则链路负载均衡器可建立一条与服务器80端口的连接，来确定服务器80端口的可用性。链路负载均衡器发送一个TCP SYN请求到服务器的80端口，并检查是否收到服务器返回的TCP SYN ACK报文，如果检测到某台服务器没有回应此报文，链路负载均衡器就可以断定此服务器没有正常提供服务，链路负载均衡器单独向每台服务器进行端口的健康检查并单独做关于其服务器的诊断结果是非常重要的。如果服务器的80端口服务停止工作了，而端口21还能正常工作，那么链路负载均衡器可以继续利用服务器的21端口提供FTP的服务，同时也确定了此服务器的web应用已经停止了服务，这样一来就提供了一个高效率的负载均衡解决方案，细分了健康检查的做法并有效的提高了服务器的处理能力。

    Layer7健康检查：链路负载均衡器可向目标服务器发送应用层协议的报文，请求一个指定的内容，如果得到正确回复表示服务器工作正常。

   还可通过确认服务器应用程序是否对请求返回对应的数据。如果一个应用程序对该服务器健康检查作出响应并返回对应的数据，则链路负载均衡器认为该服务器应用程序工作良好。如果服务器不能返回对应的数据，则链路负载均衡器认为该服务器应用程序出现故障，接下来的请求将不再分配給此服务器。当服务器应用程序恢复故障，链路负载均衡器会自动查证应用程序已能对用户请求作出正确的响应并恢复向该服务器分配流量。

5.3 智能DNS功能

  对于入站流量，内部的应用服务器向外部用户提供服务时，链路负载均衡器可以通过在内置的智能DNS服务器上，把企业的单一域名绑定到多运营商的各自的公网IP上，并作为企业域名的权威发布服务器。当某个客户端访问应用服务器时，首先会进行DNS解析，链路负载均衡器可以根据客户端所处的运营商网络返回跟他匹配的IP地址，或者通过动态探测技术，选出到该用户通信质量最好链路，并返回对应的IP地址。这样可以保证每次客户端都可以通过通信质量最好的链路来访问内部的应用服务器，极大的改善用户体验，并提升整个系统的工作效率。

5.3.1 智能DNS解析流程

 假定企业通过租用联通，电信两条链路向外部网络提供服务，企业的域名是www.abc.com, 则整个解析流程如下：

            1、客户端向本地DNS（Local DNS） 服务器发送域名为www.abc.com 的DNS请求。

            2、LDNS没有该域名的A记录，向最长匹配结果的服务器发送该请求，这里假设最长匹配只有根服务器。

            3、根服务器没有“www.abc.com”的A记录，但是存放了“www.abc.com”的NS域名服务器记录——“www.abc.com  IN  NS  master.abc.com”，将该NS记录返回给LDNS。

            4、LDNS服务器根据该NS记录知道了去哪可以找到“www.abc.com ”的A记录，将请求发送到设备链路负载均衡器内置的智能DNS服务器。

            5、链路负载均衡器判断LDNS的IP地址隶属于哪个运营商，此示例中LDNS隶属于于网通，所以根据预先配置的规则，链路负载均衡器返回“www.abc.com”的A记录为网通链路所分配的公网IP地址。

            6、LDNS最终将刚收到的DNS响应发送回给客户端。

            7、客户端接下来访问企业的网通链路公网地址，链路负载均衡器上对应的虚拟服务（VS）接收数据，进入服务器负载分担的流程。

5.4 出站流量会话保持和NAT

 出接口流量会话保持是指当为某个数据流分配一个出接口链路以后，该种类型的后续相关流量都分配给同一条链路。链路负载均衡器支持的会话保持主要是基于源地址的会话保持和基于hash的会话保持。

 链路负载均衡器支持丰富的NAT转换策略，包括源IP地址转换，静态地址转换，和基于策略的地址转换。 会话保持和NAT地址转换，可以很大程度的避免源主机和某目标服务器通信的过程中，报文横跨多个运营商的情况出现。

5.5  链路优化功能与其他提高应用性能功能

5.5.1 HTTP内容压缩

 窄带宽用户对应用的访问速度和服务质量的保证，一直是企业网站推广和扩大用户访问所急待解决的问题。通过链路负载均衡器中HTTP压缩功能的应用，能够提高网站访问的通信质量，减少广域网中承载的冗余数据，在向窄带宽用户提供很高的通信质量的同时，还能够极大的节约网站互联网接入带宽消耗。

  采用链路负载均衡器 HTTP内容压缩的优势：

  省带宽。

  缩短用户下载内容的时间。

  无需在web服务器上使用压缩功能，减轻了web服务器的负担。

  在客户端浏览器和链路负载设备间经过一定的算法进行压缩，也起到一定安全传输的作用。

5.5.2 TCP单边加速

 标准TCP协议在设计时很少的考虑到高带宽和夸Internet传输的问题，现在随着高速带宽的普及，标准的TCP协议表现出很多的不足，在网络拥塞控制和丢包重传机制上，往往效率比较低下，而且基本不具备根据网络环境实时进行调解的能力。链路负载应用交付平台提供智能单边加速的功能，通过对标准TCP协议的慢启动控制，拥塞避免，重传和恢复几个方面进行优化，来达到整体网络加速的效果。同时，设备可以根据当前的网络状态，和承载的协议类型智能的选择一种效率最高的算法。

 链路负载应用交付平台的单边加速对客户端和服务器来说都是透明的，设备和服务器之间仍然按照标准TCP协议运行，设备和客户端之间进行单边加速，客户端不需要做任何修改。

5.5.3 HTTP管线（Pipelining）

 传统的HTTP协议是当一个请求发出，等接收到完整的响应数据后，才进行下一个请求，这在高延迟的网络环境中会导致整个数据交互的效率比较低。HTTP管线技术（Pipelining）可以将多个HTTP请求同时提交，而不用等待顺序的请求回应。

（不带Pipelining的HTTP流程）

链路负载应用交付平台可以和支持Pipelining的客户端浏览器智能协商开启，链路负载均衡器和服务器间还是正常的HTTP协议流程。

5.5.4窄带用户应用加速

 当客户端通过窄带线路比如通过ADSL拨号或者智能手机，pad移动终端上网时，对于应用服务器的响应，可能会由于客户端侧带宽不足，或者带宽质量不好而导致报文的拥塞和丢包。这时客户端就会发起重传请求，如果大量的窄带用户同时访问，就会出现应用服务器反复处理这些重传请求的压力增大而降低效率。

 应用交付使用TCP数据缓存技术，自动检测客户端对服务器响应的处理能力，对于窄带用户，链路负载均衡器会在自身平台开辟出缓存空间来存储服务器返回的数据，以客户端能够适应的速度完成数据交互，避免出现大量的重传。服务器只要处理完成用户的请求后，就可以释放出来处理其他工作，不用再去处理丢包重传的情况。

5.6 安全防护

   互联网的快速发展，引起人们资源的传播速度越来越便捷，黑客攻击工具可以非常容易的获得，导致针对互联网上的应用服务的攻击与日俱增。同时，各种各样的黑客攻击手段层出不穷，攻击手段也越来越隐蔽，破坏能力越来越大，危害也日益严重。而拒绝服务攻击一直是安全界迟迟没有解决的怡达问题，有的专家认为是网络协议本身的安全缺陷造成的，同时基本上所有的防火漆在解决拒绝服务攻击上都能力有限，而且很多防火墙或者入侵检测系统反而自己成了拒绝服务攻击的目标。DOS/DDOS攻击即攻击者想办法让目标机器停止提供服务或者使其被停止访问，这些资源包括磁盘空间、内存、进程甚至网络带宽等，从而组织正常用户的访问。从大家认可这个对拒绝服务攻击的定义，我们可以看出，其实对网络带宽进行的消耗性攻击只是拒绝服务的一个小部分，只要能够对目标造成麻烦，使某些应用程序无法正常提供服务甚至机器宕机，都是拒绝服务。因此对于安全系统而言，必须在以下几个方面进行加强：

     1、加强可靠性。监控安全系统产品所处的位置，如果出现因故障而宕机的现象，会影响整个网络的运行，因此它应该具有双机热备、集群部署以及能自身抗攻击能力，这对高可用环境尤为重要。

      2、进一步提高处理性能。当前对攻击进行的攻击特征模块检查均是基于软件的，为提高系统处理性能，必须采用硬件架构借助芯片能力的提升来实现。

     3、与其他多种安全产品实现高可靠性结成。链路负载应用交付平台在不断完善对各类服务器应用系统负载均衡的同时，也能实现与其他安全产品的高性能集成负载。

 通过这种集群的部署方式，可以解决大多数安全产品的性能瓶颈问题，比如WAF提供了专业和深层次的攻击防护解决方案，但其性能一直是网络系统的瓶颈点。通过这种集群的部署方式，WAF可以无需使用主备/主主方式部署，也能可以使WAF能够全速运行和可靠运行。

5.6.1 提高链路的高可用性

   在任何网络环境下，链路负载应用交付平台都能通过其功能强大的健康检查机制，对链路进行精确的检测，自动屏蔽故障链路，以便准确、安全和经济高效地创建和提供所有流入流出的应用或Web服务。

 链路负载均衡器本身拥有大多数安全防护功能，支持防御DOS/DDOS攻击，包括防御TCP SYN FLOOD攻击，TCP混合攻击，UDP混合攻击，ICMP攻击等。当大数据流DOS/DDOS攻击进入的时候，链路负载均衡器首先根据其自身的安全防护功能，有效的识别攻击流量和正常流量。同时，链路负载均衡器提供了精确的健康检查机制探测链路的负载状态，从而在链路处理性能在饱和前自动屏蔽其链路流量，即不再往此链路分配流量，而将流量分配到其他的负载较低的链路，在防护攻击的同时还有效提高了链路是使用率。

5.6.2 提高自身的高可用性

  如上所述，DOS/DDOS攻击主要是利用现有系统对外提供的正常业务服务，通过发送大量的非常数据来达到组织业务服务的目的。为了低于DOS/DDOS攻击，首先需要搭理提升系统自身的吞吐能力，至少必须大于可能的DOS/DDOS能力，否则尽管系统能够抵御攻击，但性能无法满足，同样无法在攻击下保证正常业务，从而使黑客简介达到攻击目的。链路负载均衡器使用了最新的系统体系架构，大大提升网络数据包的吞吐能力。

5.6.3 应用安全

  相比四层DDOS攻击，基于Http协议的七层攻击更加难于防范，传统的技术很难区分出正常的流量还是攻击流量。其中一种被称为CC的攻击技术，主要是利用代理服务器产生大量的Http请求而快速消耗掉web应用服务器资源，是其中的典型代表。

  链路负载均衡器提供了基于应用层数据的防护。开启链路负载均衡器的抗CC攻击功能后，链路负载会在服务器返回的Http响应中动态插入一段专用的Cookie，正常的浏览器访问时，该Cookie会被携带回来，而被当作“肉鸡”的代理服务器则无法识别该Cookie，并不会在下次请求中携带，这样链路负载设备就可以区分出正常流量和攻击流量，并把攻击流量直接丢弃。

5.6.4 信息防泄漏

   HTTP头部信息隐藏：应用交付平台可以在服务器响应报文中，擦除响应头的中指定信息，比如web服务器名称，版本号等。也可以修改服务器的真实链接目录，达到隐藏服务器关键信息的目的。也可以通过定义在Response中允许的header，而把其他所有不满足的header信息从报文中删除。

   Cookie加密：把服务器响应报文的中的明文Cookie信息进行加密，然后再发送给客户端，防止某些利用Cookie存储的关键信息如用户账号，网银数据等在传输过程中被截获。在客户端回应过程中，把Cookie信息解密发送给应用服务器，即方便应用系统的统一管理，也降低了应用系统的压力。

5.7 系统易配置管理

  链路负载均衡器不仅提供http的Web界面管理、基于串口的管理和telnet的管理等，还支持SSH安全命令行的管理和https安全的web界面的管理。通过与多数主流网络产品类似的命令进行配置，使网络工程师非常容易上手和掌握，而通过浏览器以加密方式登录，管理员可以非常直观和方便的配置和实现所有的功能。

5.8 系统可扩展性

5.8.1 系统功能扩展

  链路负载均衡器可在单一产品上提供链路负载均衡、服务器负载均衡和全局负载均衡等解决方案。用户可以根据业务需求，来使用链路负载均衡器中所有的功能，而无需再增加或采购网络设备来增加运营投入，同时也减少网络系统和运维复杂度。

5.8.2 系统性能扩展

   链路负载均衡器提供了特有的性能弹性扩展功能。用户可根据当时的网络性能需要，申请使用链路负载均衡器的性能空间，而随着业务类型的增多及访问流量的增加，用户又可继续申请更高的性能空间，而无需重新更换设备来增加采购投入。例如，企业在最初采购链路负载均衡器时，申请的是2G的性能空间，而随着业务类型增多、用户访问流量增加等，使网络吞吐容量增加，2G的性能空间已经无法满足企业的当前的需要时。此时用户无需考虑升级设备，只需再申请一个4G性能（或更高性能）的授权即可，无需重新去经历蛮长的采购流程，无需增加网络改造的成本，无需因改造网络而中断业务，大大提升了企业的投入产出比。

5.8.3 扩展的SSL加速

 SSL（安全套接层协议）已经成为发送安全互联网通信的标准协议。SSL的广泛采用和总体网络负载减缓了服务器的执行速度，需要SSL交易加速。

 链路负载均衡器内置SSL加速功能使问题迎刃而解。包括SSL加速技术，该技术是用于卸载服务器的SSL（安全套接层）处理的，以提高其性能，同时大幅度缩短响应时间并增强客户交易流量管理。SSL加速技术可以提高电子商务服务器的性能，并在关键业务在线交易过程中提供安全性、高速度和流量管理，所有这一切都是从同一地点进行的，无需费钱费力地在每台服务器上安装额外的硬件或软件。

5.9 链路负载均衡对企业的价值

    通过链路负载均衡解决方案对于企业网络优化具有以下优点：

5.9.1 充分利用各链路资源

 企业网网络应用中，涉及到的应用资源各种各样，相互独立又紧密联系。如何充分利用各种资源，特别是链路资源，使其能够更好的为整个企业网应用服务，是企业网资源能否充分利用的关键。通过此企业网链路负载均衡解决方案，能够充分应用企业网多条专线链路，使每一种应用都有最合适的应用传输链路，在实现智能判断、智能传输的基础上，最大化的利用各种链路资源。

5.9.2 提高信息发布质量

 企业网络应用中的信息发布系统是企业的窗口，在很大程度上说明了企业网的先进程度和技术水平。通过企业网链路负载均衡解决方案的应用，能够充分利用多条链路资源，并对流量进行优化，结合设备其他应用加速功能，智能判断应用类型，并进行全面深入的应用处理，提高信息发布系统的质量和管理水平。

5.9.3 提高企业网络的灵活性和扩展性

  企业网网络应用将随着企业应用的丰富而不断演变。企业网解决方案能够凭借负载均衡器产品的多种智能化的功能实现，全面协助企业网应用的演变。在企业网的特定应用时期，通过负载均衡器产品All-In-One架构的应用，灵活进行功能扩展，最大化的保证了企业网络的灵活性和扩展性。

5.9.4 降低系统维护难度和成本

 凭借多种人性化管理维护方式和Array单台产品模块化的功能实现，企业网链路负载均衡解决方案能够极大的降低系统的维护难度和成本。结合专业本地化技术支持，能够为企业网应用提供最优质的专业技术保障。

 链路负载均衡器能够完全满足和实现企业网应用平台对负载分担和性能增强功能的要求。能够在保证满足企业网应用平台功能和性能要求的同时，提供最优的性能价格比和扩展能力。