應用牽引

OSI是一個開放性的通行系統互連參考模型，他是一個定義的非常好的協議規範。OSI模型有7層結構，每層都可以有幾個子層。 OSI的7層從上到下分別是 7 應用層 6 表示層 5 會話層 4 傳輸層 3 網絡層 2 數據鏈路層 1 物理層 其中高層，既7、6、5、4層定義了應用程序的功能，下面3層，既3、2、1層主要面向通過網絡的端到端的數據流。

與其他計算機進行通訊的一個應用，它是對應應用程序的通信服務的。例如，一個沒有通信功能的字處理程序就不能執行通信的代碼，從事字處理工作的程序員也不關心OSI的第7層。但是，如果添加了一個傳輸文件的選項，那麼字處理器的程序員就需要實現OSI的第7層。示例：telnet，HTTP,FTP,NFS,SMTP等。

簡述: 應用牽引

首先是針對應用來講的，應用大致分2類，一類是關鍵應用，一類是非關鍵應用，關鍵應用像：郵件，WEB;OA;非關鍵應用，像p2p,BT等。許多安全技術成並行發展。網絡安全領域又出現了一個新技術——應用牽引技術。什麼是應用牽引？為什麼要使用應用牽引技術？我們先從下面的拓撲開始介紹。

隨着信息化建設的發展，Internet已逐漸作為一種基本的通訊工具在各種規模的商業機構和各個行業中得到了普遍應用。而在Internet接入的穩定性對於一個用户來説日見重要的今天，僅通過單一服務商接入顯然無法保證它提供的Internet鏈路的持續可用性。此外，由於歷史原因，不同運營商間的互連互通在網絡流量速率上等一直存在着很大的問題。

所以大多數用户一般都同時採用多運營商鏈路接入的方式，例如：一個高校可同時有電信、網通、CERNET、通過市教委等多條出口鏈路。

如何自動實現多出口鏈口帶寬和鏈接速率的自動均衡、並提供統一出口網關的解決方案，成為園區網面臨的新的需求。

作為業界領先的網絡資源優化廠商，北京靈州網絡技術有限公司推出了多鏈路網絡資源智能優化解決方案－NetMizer負載均衡系列產品。

NetMizer系列多出品鏈路負載均衡產品部署在園區網、局域網的總出口處。可以智能優化鏈路資源，同時還可以完成服務映射和地址轉換等網絡功能。

針對各種用户的典型需求，NetMizer 在以下幾個環節上提供了業界領先的產品功能和完善周密的解決方案：

l 動態最佳鏈路選擇；

l 智能地址映射；

l 地址轉換和映射；

l 智能DNS服務；

l 鏈路健康狀態檢測；

l 網絡實時監控；

l 應用層流量分析和控制（性能有富餘時可啓用）；

l 用户接入認證（性能有富餘時可啓用）；

NetMizer在網絡中的部署方式如下：

防火牆即可以放在NetMizer與核心交換機之間，NAT在NetMizer上啓用。

防火牆也可放在NetMizer之外的每條鏈路上， NAT在防火牆上啓用。

也可不採用防火牆，網絡防火牆的功能在NetMizer上啓用。

典型的應用場景如圖1所示：

採用NetMizer後有如下優點：

高可用性、高性能的完美體現：網優先鋒能夠連續監視每條鏈路的運行質量和連接狀態，自動檢測各種故障，如鏈路、路由器、DS 服務器和其它故障，保證對最終用户提供不中斷的Iteret訪問。通過動態最佳鏈路選擇技術確保用户只使用那些高效的接入鏈路，此外還可以根據訪問來源和目標、服務或其它用户指定的參數綜合選擇最佳鏈路。

專業流量分析和帶寬管理：通過選擇網優先鋒流量分析和帶寬管理模塊，管理員可以對網內流量按照4～7層的內容特徵或者行為特徵進行分類，通過帶寬管理功能，對關鍵業務進行保障，對非關鍵業務或者超量使用的用户進行限制，在充分利用帶寬資源的同時，對關鍵應用提供服務質量保證。

應用安全保障：網優先鋒內置防火牆模塊，可以提供網絡安全保障功能，隔離和阻止來自Iteret和企業/運營商內部的攻擊和有害流量，確保關鍵部門和關鍵應用的安全。

保護了原有網絡投入，節省了總體投入成本。

網優先鋒負載均衡設備可以根據流量、會話和主機進行動態的負載均衡：

根據流量的均衡，網優先鋒負載均衡設備可以根據不同接入出口的流量負載狀況，為內網的流量選擇最適合（當前流量負載最小的鏈路）的出口；

根據會話的均衡，網優先鋒負載均衡設備可以根據不同接入出口的已經建立連接的會話狀況，為內網的流量選擇最適合（當前會話最少的鏈路）的出口；

根據主機數的均衡，網優先鋒負載均衡設備可以根據不同接入出口的主機數量狀況，為內網的流量選擇最適合（當前承載主機連接外網最少的鏈路）的出口；

動態最佳鏈路選擇算法是我公司獨有的鏈路資源優化技術，能夠根據來源用户、訪問目的IP、各鏈路的負載等情況來綜合考慮，計算出內部用户訪問Iteret的最佳路徑，以保證每個用户都能享受到最快和最可靠的響應速度和服務質量。

動態最佳鏈路選擇算法根據多種因素來選擇鏈路，例如，當一台內部主機訪問互聯網時，系統會根據主機訪問的目標IP地址進行“最小響應時間”計算，另外系統還會計算不同鏈路為此次訪問“建新的會話響應時間”，結合“最小響應時間”、“會話數”以及“流量狀況”等因素，加權得到最優的鏈路；默認情況下，我們推薦用户使用此算法。

地址轉換和映射是確保用户鏈路選擇的關鍵技術，我們可以提供動態、靜態和一對一綁定等多種轉換和映射方式，同時支持FTP、H.323、IPSEC等應用層代理服務，充分保障用户應用的兼容性。

智能DS可以為外網用户提供內部服務器智能解析服務功能，可以解決由外網訪問內網服務器鏈路選擇的問題，在沒有負載均衡設備的網絡中，外網用户訪問內部服務器時只能選擇單一鏈路或者隨機選擇鏈路，未經優化的隨機鏈路選擇無法保障外網用户的訪問體驗效果。網優先鋒內置的智能DS模塊，可以配合客户的解析服務器引導內部服務器的域名解析，當外網用户通過域名訪問客户的內部服務器時，負載均衡設備就會通過靜態列表或者動態判斷算法，選擇最優的線路，然後將域名解析成相應線路的IP地址。

例如：某高校的出口鏈路有電信出口和Ceret出口，當來自電信網的外部用户訪問學校內部服務器時，首先向該用户本地的域名服務器發起域名解析請求，該域名服務器會向服務器所在園區網的內網DS服務器請求解析，內網DS服務器會對該請求作出迴應報文，該回應包要流經網優先鋒，當網優先鋒收到該回應報文後，就會通過靜態列表或者動態鏈路選擇算法選擇最優的電信線路而不選擇Ceret鏈路，然後將域名解析成電信線路的IP地址，並把解析結果傳回到這個外網用户本地的域名服務器。這樣電信用户在訪問內部服務器資源時就會使用電信的解析地址，通過電信的線路進行訪問，實現了訪問時鏈路方面的負載均衡優化。智能DS技術可以支持透明模式和集成模式，透明方式主要應用在用户的DS服務器部署在負載均衡設備所連接的內部網絡中，此時用户無需對自己的域名服務器進行修改；集成模式則適用於用户DS服務器部署在外部的環境下，此時客户需要將域名的解析功能重定向到負載均衡設備上。

示意圖如圖2所示

ISP提供商中使用。

互聯網絡的發展不斷地改變我們對信息技術的觀念，新的安全技術不斷湧現，各種技術之間並行發展，作為網絡安全管理者來説難度不斷加大，網絡攻防技術的發展速度是不以任何人的意志為轉移的，各項技術未來幾年的發展成果幾乎沒有人能預測的出來。網優先鋒(NetMizer)鏈路負載均衡及流控產品系列為客户提供穩定可靠的出口優化解決方案,優化網絡資源配置,保證服務質量,提升用户體驗,降低運營成本；高可用性、高性能的完美體現。該產品採用我公司獨創的實時鏈路優化和關聯應用優化技術，支持各種均衡模式，優化網絡資源分配，保障關鍵應用，提高用户體驗，是一套前所未有的整體鏈路優化和管理解決方案。

如圖2所示

(1) 當教育網用户終端開始訪問域名（如某某.cn）時，用户終端首先會根據用户終端的設置向本地DNS發起DNS請求，假設用户終端設置的DNS服務器為DA，DA經過查詢得到某某.cn

的解析服務器是NetMizer設備（如果高校機房內部有自己的DNS服務器，那麼DA查詢得到就是內部的DNS服務器），因此，DA會將請求發給NetMizer設備（或者高校機房內部DNS服務器）；

(2) 當NetMizer設備得到DNS請求後，會根據網絡就近性原則以及響應時間等因素將某某.cn

解析成最佳的IP地址（例如，來自教育網的用户訪問，返回服務器的域名解析一般是教育網線路的地址。來自電網信的用户訪問，返回服務器的域名解析一般是電信出口的地址），並將這個請求返回給最終用户，用户最終根據這個地址與服務器建立連接。

以下是設備關於此功能的配置界面

某某.edu.cn

可以被解析成網通地址：221.218.2.1，或者教育網地址：61.58.3.1。NetMizer設備會根據不同鏈路的請求自動解析成相應的最佳地址。鏈路健康狀態

網優先鋒負載均衡設備可以在各種網絡環境下檢測網絡通信狀況，提供4～7層檢查方式，準確判斷鏈路的健康狀況。該健康狀況檢查不僅僅是通過判斷某個網站是否能連通，而是通過網絡流量、連接建立情況進行綜合檢查，在鏈路被判定失效後，通過對某些網站的健康檢查判斷鏈路是否恢復正常。通過與鏈路選擇算法的結合，可以提高鏈路狀況的監測精確度。

網絡及每用户實時監控

網絡實時監控是我公司特有的管理技術，該技術可以實時監控網內的每台終端，及時掌握每台終端的流量、會話等資源佔用情況，幫助網絡管理員及時有效的診斷和排除網絡故障。設備上還提供一些必要的統計報表，可以方便的掌握網絡的運行狀況。

應用層流量整形管理（可選模塊）

帶寬資源對於每個企業或者ISP運營商都是十分寶貴的，權威機構的分析表明，百分之五的用户佔用着百分之九十五的帶寬，保障關鍵應用的正常通常是網絡管理員面臨的難題，北京靈州網絡技術有限公司的帶寬管理技術可以幫助網絡管理者限制非業務應用、保障關鍵應用的帶寬。網優先鋒負載均衡設備可以集成帶寬管理模塊，該模塊提供專業的帶寬管理技術可以實現：帶寬保障、帶寬限制、每用户帶寬限速、用户帶寬動態分配、雙重帶寬限制等各種帶寬管理功能，可以適用於任何網絡應用場景。

應用牽引功能（可選模塊）

用户租用不同的鏈路通常在資費、帶寬上都有差異，因此用户希望將一些非關鍵應用引導至資費低的數據鏈路，即希望針對應用進行負載均衡。網優先鋒負載均衡設備支持基於應用的負載均衡，可以在電信鏈路上攔截不重要的P2P應用，將P2P應用引導到教育網鏈路上，可以有效的提高鏈路的利用率。牽引P2P的流量，但是運營商用户可能同時需要將一些關鍵的應用－例如WEB等應用做智能的路由引導，此時，網優先鋒設備做為一個智能的應用路由網關，可以引導不同應用的路由到不同的鏈路，其部署

網優先鋒系列產品是針對具備一定接入規模的接入運營商以及校園網的網絡應用需求而設計的。他具備以下特點

能夠與網優先鋒流控模塊無縫整合，在負載均衡的基礎上進行帶寬的控制和出口的優化；

在帶寬捆綁方面，它可以支持多條出口線路，支持以太和DSL出口，針對ADSL接入可以實現1-24路的帶寬捆綁功能，可以方便快速廉價的為運營商企業以及高校提供512K-1G的接入寬帶；

在路由策略方面，系統的策略全部基於對象操作，通過設置地址組對象只需添加一條路由策略即可實現對幾千個不同網段離散目標的策略路由，而系統的處理性能不受目標數量影響，十分適合教育網用户以及那些需要同時接入多個運營商的企業；

在均衡狀態方面，可以實時的觀察各個鏈路實時的均衡狀態和流量大小；

在均衡算法方面，系統支持多種均衡算法，用户可以選擇基於自動選擇最優路徑、會話、流量、主機數量、最小響應時間等多種均衡方式；

在線路保障方面，系統提供線路監控功能，可以根據當前的線路情況自動判別線路是否正常，在系統判別線路發生故障時可以自動將該線路上的負載轉移到其他正常的線路上，同時根據用户設定判斷線路是否恢復正常，在線路恢復正常後，重新啓用該線路；

在地址轉換方面，系統提供AT/RDR等多種地址轉換策略，滿足用户的各種網絡需求。

網優先鋒負載均衡設備主要採用HTTPS管理方式，全部資源配置均採用對象化方式，對象化管理方式可以提高資源的可見性和重用性，簡化設備管理。此外設備還支持CLI、SSH等管理方式，並可以配合網優先鋒日誌管理系統對數據進行深度挖掘和分析。網優先鋒日誌系統是一套獨立的日誌管理和分析工具，可以記錄網內每個用户的會話和流量數據以及設備的運行數據，滿足網絡管理的審計和監控需求，日誌系統還提供相應的管理界面供管理員分析和查詢，幫助網絡管理員分析網絡性能、排查網絡運行故障。

另外，網優先鋒設備還支持安全日誌記錄功能，設備會將用户的每一個會話（源地址、目標地址、源端口、目標端口以及協議和流量）記錄實時發給日誌服務器，網優先鋒設備記錄的是每一個會話的數據，而不是每個數據報的數據，這樣能夠保證數據完整的前提下有效的減少數據量，日誌服務器將會話的原始數據以文件形式寫入磁盤，在寫入的過程中，系統會根據時間、文件大小等因素定期壓縮，以節省磁盤空間；用户檢索時，檢索程序會掃描會話原始數據生成檢索記錄。