客户(项目)背景

  中国建设银行江苏省分行全省因特网集中安全控管项目主要是规划和建设江苏省分行全省Internet网络,安全集中控管平台建立在已有的安全区域内的非军事区以及其他相关区域,实现所有以往的二级分行和南京地区城区型支行的上网业务统一经企业网从该平台统一出口。

  客户需求

  客户面临的问题

  江苏建行因特网出口通过两个ISP链路连接到互联网,如果内部网络同时使用两个ISP提供的地址,一部分内部用户(A组)使用ISP1提供的地址,另一部分内部用户(B组)使用ISP2提供的地址。

  Outbound的流量处理的问题

  首先,因为对于两个ISP流量的选择是静态指定,所以两个ISP无法实现动态的负载均衡,可能造成某条链路超负荷而另外一条链路却非常空闲的问题。

  其次,当ISP1的链路中断时,A组的用户将无法动态选择ISP2链路,从而无法接入Internet,造成业务中断。

  另外,在今天各个ISP互连互通存在一定问题的条件下,可能造成用户无法选择最优的链路实现互联网访问,造成互联网访问延时大,服务质量差,投诉增多的问题。

  Inbound流量处理的问题

  如果建行内网有部分服务器需要对外提供Web服务,那么如果指定使用ISP1的地址,则ISP2的链路无法用于流入的流量,因为Internet上只有ISP1是流入该网络的唯一路径。如果只使用一个ISP的地址,则ISP链路中断时,用户将无法访问该服务器。如果在DNS服务器上注册两个ISP提供的地址,则DNS服务器的宕机同样会导致网络服务的中断。

  用户的管理和控制的问题

  江苏建行各个地市分行的互联网访问都将集中到该平台之上,这样集中的管理对于用户的访问控制,安全管理带来很大挑战。任何分行的任何一个结点都可能对于整个省行的业务造成影响甚至引发故障,建行利用安全代理网关的技术实现对于用户的管理和控制。作为安全代理网关本身的部署以及性能和扩展也成为一个至关重要的问题。

  客户需求分析

  多链路智能管理

  江苏建行需要采用链路负载均衡的解决方案来避免Internet接入中断所造成的损失。在这里所提及的“链路负载均衡”通常指同时使用不同ISP提供的多条Internet接入链路。由于链路负载均衡解决方案能够提供更好的可用性和性能,它正在被越来越多的企业所采用。可用性的提高来自于多条链路的使用,而性能提高则是因为同时使用多条链路增加了带宽。

  链路负载均衡方案能够提高企业网络的可用性和性能以及安全性。

  内容安全代理网关的合理部署

  江苏建行内网使用内容安全代理网关作为企业内部访问互联网的代理(http、https、socks、ftp、及流媒体),同时也作为缓存和访问控制服务器,能够管理和控制内部对互联网的访问。

  建行内网建设中需要合理的部署该代理网关设备以实现:

  •    代理网关的实时健康检查,避免网关故障引起网络服务中断,
  •    充分利用多台代理网关的系统资源,实现多台代理网关的负载均担,
  •    提供良好的系统扩展和升级方案。

  Radware解决方案

  网络拓扑

  江苏建行全省因特网集中安全控管项目网络物理架构如下图所示:

  

  方案描述

  链路负载均衡解决方案

  江苏建行集中互联网出口通过两条ISP链路连接Internet,全省各地市分行用户集中到省行通过统一的出口进行外网访问,同时对于外网访问内部的服务器也都统一有省行出口对外提供服务。

  江苏建行在省行出口部署两台Radware公司Linkproof来实现多个ISP的全链路健康检查,Outbound和Inbound负载均衡功能,保证建行整个网络连接的高稳定性和性能,同时两台LinkProof冗余备份,当主机发生故障宕机时,备机可以瞬时接管所有业务,保证用户的不间断访问。

  内网安全代理网关部署解决方案

  在建行的内网区,在两台核心交换机上分别单臂连接了两台Radware的CID和BlueCoat的安全代理网关,两台CID工作在Actvive-Backup冗余模式,为两台代理网关提供负载均衡服务。全省各地市分行的用户通过代理网关进行互联网访问服务,CID截取用户的访问请求,将特定的请求流量转发到代理网关进行处理。CID通过有效的健康检查,避免代理网关的单点故障,多种负载均衡算法提供了整个代理网关的最优性能和最便捷的升级扩展方案,为建行的整个内网安全提供了有效保障。

  功能描述

  链路负载均衡

  LP在流量管理方面,主要实现以下功能:

  •   链路健康状况检查:LP可以采用多种方式判断链路的健康状况,例如Ping(全链路健康检查),以及通过检查多个Internet目标来共同判断链路状况。
  •   Outbound流量:Radware LinkProof能根据链路的负载、响应情况和到目的地址的时延跳数等参数把用户的对外访问的流量分配到不同的链路上,并且到其中一         个链路故障时还能够检测到链路故障,切换所有流量到正常的链路。即内部用户访问外部网络的负载均衡和链路之间相互备份。
  •   Inbound流量管理:实现Inbound流量的引导,保证最快的用户相应。例如,引导网通用户使用网通链路访问服务,而电信用户使用电信链路。
  •   动态就近性:考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的就近性运算,选择最佳的流入流量传输路径,进行最终的解析地址。这个“近”其        实是“最佳”的概念,因为往往物理上最近的线路不见得就是当时最佳的路径,将Latency,Hop,Load参数通盘考虑选优是Radware独有的技术并已获取专利,能够准确有效地选择最佳路径。

  代理网关负载均衡

  CID实现代理网关负载均衡的主要功能:

  针对邮件系统,CID可以提供以下几个方面的优化服务:

  •   提高了内容检查容量
  •   加快了内容检查或防病毒设备的运行速度
  •   扩展性和高可用性
  •   应用安全和Dos Shield

  特别需要强调的是,Content Inspection Director 与所有类型的内容检查和防病毒设备完全兼容。

  Radware解决方案的优势

  LinkProof的链路负载均衡解决方案具有以下功能和优点:

  •   智能管理不同ISP提供的IP地址网段。
  •   保证优化所有的ISP链路,即通过智能负载均衡所有通过可用链路的流量。
  •   使用Radware特有的就近性检测算法来选择用于输出流量的最佳ISP。
  •   使用Radware特有的Response Time算法来选择用于输出流量的最佳ISP。
  •   确保两个ISP链路同时应用与所有的流入流量,保证Internet连接的畅通。
  •   使用Radware特有的就近性检测算法来选择用于流入流量的最佳ISP。

  CID的内容安全代理网关负载均衡方案的优点:

  部署了CID后,整个代理网关系统性能上将得到成倍地提高,主要表现在:

  •   将内容安全代理速度提高500%
  •   将内容安全代理设备集中为服务器集群,以增加处理容量和检查的流量
  •   根据协议如HTTP FTP 和SMTP 及文件类型来分配内容,提高了内容安全代理的检测速度,确保没有恶意流量进入网络
  •   具有千兆连接的扩展架构能够满足高容量网络的需要,根据容量增长的需要可以将更多的检查设备透明添加到集群中
  •   健康检查和流量重定向提供了更高的可用性,当一个内容检查设备故障时Content Inspection Director 能够将流量路由到其它设备中
  •   完全兼容于所有类型的内容检查设备
  •   流程管理允许对若干个服务器集群进行负载均衡,使每个服务器集群提供不同的服务。可以根据流量来源目标和流量类型指定不同的内容检查策略