当前位置:首页 >> >>

Citrix NetScaler技术建议书 v2.1_图文

目 录
1 2 项目概述 ............................................................................................................... 1 L4-7 负载均衡技术发展综述 .............................................................................. 2 2.1 第一代负载均衡产品...................................................................................... 2 2.2 第二代负载均衡产品...................................................................................... 2 2.3 第三代负载均衡产品...................................................................................... 3 思杰 NetScaler 产品优势 ..................................................................................... 5 3.1 先进的“请求交换”核心技术...................................................................... 5 3.2 新一代的负载均衡技术.................................................................................. 5 3.3 提高应用性能 2-15 倍 .................................................................................... 6 3.4 为应用提供最佳的安全性.............................................................................. 7 3.5 业界最全面的解决方案.................................................................................. 7 3.6 多核并行处理技术(nCore)提高产品性能 ................................................ 8
3.6.1 3.6.2 3.6.3 3.6.4 NetScaler 数据包处理引擎......................................................................................... 8 零共享设计 ................................................................................................................ 8 零共享的运作原理 .................................................................................................... 9 数据包队列中的流量分配方法 .............................................................................. 10

3

4

NetScaler 产品体系架构 .................................................................................... 12 4.1 应用交换引擎................................................................................................ 12 4.2 AppExpert 策略框架 ...................................................................................... 13 产品功能描述 ..................................................................................................... 15 5.1 保障应用可靠性功能.................................................................................... 15
5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.1.6 本地服务器负载均衡 .............................................................................................. 15 全局负载均衡 .......................................................................................................... 17 链路负载均衡 .......................................................................................................... 19 7 层请求交换 ............................................................................................................ 20 浪涌保护 .................................................................................................................. 20 4 – 7 层带宽控制 ...................................................................................................... 21 TCP 连接复用 ........................................................................................................... 22 优化 TCP 协议栈 ..................................................................................................... 23 SSL 卸载 ................................................................................................................... 24 HTTP 压缩 ................................................................................................................ 25 Web 缓存 ................................................................................................................... 26 L4 层 DOS 攻击防护 ................................................................................................ 27 L7 层 DOS 攻击防护 ................................................................................................ 27 内容过滤 .................................................................................................................. 28 Web 应用防火墙 ....................................................................................................... 28 SSL VPN ................................................................................................................... 31

5

5.2

提高应用性能功能........................................................................................ 21

5.2.1 5.2.2 5.2.3 5.2.4 5.2.5

5.3

增强应用安全性功能.................................................................................... 27

5.3.1 5.3.2 5.3.3 5.3.4 5.3.5

5.4 6 7

用户体验监控功能........................................................................................ 31

产品性能数据表 ................................................................................................. 33 产品部署方案 ..................................................................................................... 41

7.1

双臂部署模式................................................................................................ 41
双臂多子网部署 ...................................................................................................... 41 双臂透明部署 .......................................................................................................... 42 单臂单子网部署 ...................................................................................................... 42 单臂多子网部署 ...................................................................................................... 43 双机热备模式 .......................................................................................................... 44 双主模式 .................................................................................................................. 44

7.1.1 7.1.2

7.2

单臂部署模式................................................................................................ 42 高可靠性部署(主备模式与双主模式).................................................... 44

7.2.1 7.2.2

7.3

7.3.1 7.3.2

8

产品管理与监控 ................................................................................................. 46 8.1 产品管理方法................................................................................................ 46
8.1.1 8.1.2 8.1.3 8.1.4 8.1.5 8.1.6 Console CLI .............................................................................................................. 46 SSH............................................................................................................................ 46 HTTP/HTTPS ............................................................................................................ 46 XML API ................................................................................................................... 47 集中网管软件 .......................................................................................................... 48 SFTP .......................................................................................................................... 50 内嵌 Monitor/Deshboard.......................................................................................... 50 内嵌报表功能 .......................................................................................................... 51 标准 Syslog 日志 ..................................................................................................... 52 标准 Weblog 日志 .................................................................................................... 52 专有的 nslog 日志.................................................................................................... 53 集中网管软件 .......................................................................................................... 53 支持 SNMP 的第三方网管 ..................................................................................... 53

8.2

产品监控........................................................................................................ 50

8.2.1 8.2.2 8.2.3 8.2.4 8.2.5 8.2.6 8.2.7

9

第三方评测 ......................................................................................................... 55 9.1 2010 年 Gartner Group 应用交付控制器魔术象限....................................... 55 9.2 2009 年 Gartner Group 应用交付控制器魔术象限....................................... 57 9.3 2008 年 Gartner Group 应用交付控制器魔术象限 ...................................... 59

XXXX

技术建议书

1 项目概述
XXXXX

1

XXXX

技术建议书

2 L4-7 负载均衡技术发展综述
负载均衡技术需求起源于通过多服务器来承载更大的业务量,目前它已经 历了 3 代的发展更迭。 在互联网 Web 浏览时代的早期,第一代第 4 层负载平衡器是基于软件的产 品,采用新方法更好的处理公共网站日益激增的使用量。第二代第 4 层-第 7 层 设备由交换机供应商开发,将更多的高级功能整合到硬件中。这能够给数据中 心提供有用的功能,但客户很快发现这些设备无法满足他们的安全性、加密或 者其他功能方面的需求。 今天,企业因迫于预算压力需要以更少的投入开展更多工作。企业新型数 据中心的 Web 化发展趋势也需要新一个代的优化平台在效率、安全性、性能、 灵活性和智能方面提供前所未有的价值,同时降低前期购置和后期运行成本、 并减少 IT 管理维护成本和节省建设时间。因此第三代针对 Web 应用特性开发 的负载均衡产品由此产生,思杰 NetScaler 产品从一开始就站在 Web 应用的角 度来考虑用户需求进行产品设计的。为了更好的理解思杰 NetScaler 产品的优势 和特点,让我们先来回顾一下第一、二代优化产品的发展历程。

2.1 第一代负载均衡产品
第一代产品特点是基于第 4 层(TCP)的负载平衡器。随着互联网的迅猛 发展,受欢迎的网站仅靠一个 Web 服务器无法承载快速增加的流量负载。第一 代第 4 层负载平衡器可在多个服务器上分配来自客户的连接负载。这些第一代 产品能够将多个单独服务器作为一个虚拟的大型服务器有效呈现给外界。它们 的方法是:创建一个虚拟互联网协议(IP)地址,这个地址向路由器和浏览器广告 自己,然后将浏览器的数据包转发到带真实 IP 地址的多个真实服务器中。这些 设备名为第 4 层 SLB,因为它们依赖数据包的 IP 地址和 TCP 端口等简单的 TCP/IP 信息做出负载平衡决策。

2.2 第二代负载均衡产品
第二代产品特点是简单的 L4-L7 服务器负载均衡。第二代负载平衡器 一开始名为 Web 交换机。由于它们还提供第 4 层负载平衡功能,因此市场将其
2

XXXX

技术建议书

归为一类,统称第 4 层-第 7 层负载平衡器或流量管理设备。这些附加名称旨在 说明这些设备不仅关注通过第 4 层信息来转发流量,而且还具有一定程度的应 用层感知能力,但是智能度不高。第二代 SLB 通常提供精心定制的硬件或基于 ASIC 的独特架构,用于提供高速智能数据包处理性能。 这些设备也可基于 HTTP 报头中的一些信息,提供特殊的负载均衡决策。 这是一个重要进步,使第 7 层 SLB 能够将单个最终用户与其使用的服务器“关 联在一起” 。第二代 SLB 还实现了对防火墙、网桥和不带 IP 地址的设备的负载 平衡功能,从而添加了粒度更细的第 4 层控制能力。但第 4 层-第 7 层 SLB 的基 础版本与第 4 层 SLB 的基础版本极其相似,其第 7 层功能也相对简单,而且真 正让第 7 层功能有效展开,实际上它的数据处理也是非常困难的。往往 L7 层功 能的启动会严重影响流量的处理能力。 由于 Web-Base 的应用在此时已成为主流的应用模式,而且绝大多数负载均 衡设备上承载的 90%应用流量为 HTTP 应用,市场对负载均衡设备解决因 “Web 化”所带来的新问题又基于厚望。因为此时传统的数据中心为保障 HTTP 应用安全、可用和高性能,在 Web 服务器前部署了众多繁杂的产品,如 服务器负载均衡器(SLB) ,SSL 加速器,Web 缓存,应用防火墙以及更多的 Web 服务器来应对这些挑战。这又使得 Web 数据中心的架构变的更加复杂,设 备互操作性存在隐患,而且投资不断增加,这都是目前用户所不愿意看到的, 即便如此,可能性能方面依然不尽人意。因此如何彻底解决 Web-Based 应用的 性能问题和安全问题成为一个热点话题。 近 2 年,第二代负载均衡的市场已经出现严重滑坡,并最终被提供更高级 功能(包括 SLB 功能)的规模更大的新市场所取代。由此进入第三代负载均衡 设备时期,业界将新一代具有安全、优化功能的负载均衡设备称为——应用交 付控制器(ADC Application Deliver Controller) ,它们显著的特征真正降低服务 器群集上的工作负载,最大限度的发挥 Web 和应用服务器的处理性能,而不只 是简单的均衡负载和转发。

2.3 第三代负载均衡产品
最新一代负载均衡设备已经基本放弃负载均衡的称谓,而应用交付的概念 日益增强,思杰的目标是通过新一代的技术平台产品为企业建立新兴的数据中
3

XXXX

技术建议书

心。思杰 NetScaler Web 应用交付平台能够在全面考虑用户、会话和业务内容上 下文的情况下高效处理应用数据,同时提供对 Web 服务器的减负功能,提高服 务器在 HTTP 处理上的效率。虽然经历这些复杂的数据处理过程,其性能及吞 吐量仍达到网络设备线速高吞吐能力,而集成的第 4 层-第 7 层流量管理功能只 是该平台的一个特性。 由此可见,思杰 NetScaler Web 应用交付平台是旨在适应新型数据中心的产 品,它在简化数据中心整体架构的同时提供了全面有效的优化功能,并且这些 产品的性能不会随功能的添加而降级。它避免了集成多个厂商或多种产品的复 杂程度,同时也避免了设备之间相互功能对彼此性能方面的影响。而且思杰 NetScaler 产品采用真正的平台的方法允许对用户的 HTTP 请求进行优化整合, 代替传统产品进行简单转发的功能,更有效的实现了负载均衡和对后台服务器 的减负作用。除此之外管理员仅通过简单的操作就可以实现功能的启动和关 闭,简化了管理和维护方面的复杂性。

4

XXXX

技术建议书

3 思杰 NetScaler 产品优势
Citrix NetScaler 应用交付解决方案将传统数据中心产品的各项特性与功能 整合至一个单独的网络设施中,其中包括负载均衡、缓存、SSL 加速、攻击防 御和 SSL VPN 等。这一系列的精心设计旨在最大限度地提升应用性能。下文将 分别阐述部分思杰 NetScaler 产品的技术优势。

3.1 先进的“请求交换”核心技术
NetScaler 拥有专利的请求交换技术是得到业界广泛认同的,传统负载均衡 技术向新一代流量管理技术演进的方向。NetScaler 打破了存在于连接和请求之 间的关系,并在请求层检测所有的流量,请求交换提供了高性能的,安全的, 可扩展的应用层服务。

请求交换技术的核心是一个新的运行范例,正是在这之上,NetScaler 系统 分开管理每一客户端连接以及服务器端连接。因为 NetScaler 系统是每个客户端 以及服务器端连接的终点,而不是简单的传输连接,所以它能提供以前其他流 量管理系统所无法达到的许多加速和优化技术。因为请求交换引擎被专门设计 来在请求层检测流量,所以负载均衡以及内容交换可以非常高效的完成。策略 以及过滤可以在进入的请求上被应用并且丝毫不影响性能。成熟的负载均衡算 法以及健康检查机制保证了服务的均衡性以及持续可靠性。先进的加速和优化 技术在降低服务器负载的同时更快的把内容传送给了最终用户。

3.2 新一代的负载均衡技术
与传统负载均衡设备不同,NetScaler 基于应用请求而不是网络连接进行负 载均衡,最终达到的是服务器负载的均衡而不是服务器连接数量的平衡。真正

5

XXXX

技术建议书

实现用户对负载均衡效果的预期。

3.3 提高应用性能 2-15 倍
利用 Citrix 独有的请求交换技术,NetScaler 在提供负载均衡的同时,对应 用进行优化与加速。 连接复用和 TCP 卸载:NetScaler 代替服务器终结客户端 TCP 连接,而且 多个客户端请求被复用在少量服务器端连接内发送给应用系统。使用 NetScaler 进行负载均衡的服务器上的连接数比通过传统负载均衡设备均衡的服务器上的 连接数降低几十至几百倍,服务器 CPU 和内存消耗大幅度降低,应用响应速度 提高 1-5 倍。

使用 NetScaler前CPU负载

使用 NetScaler后CPU负载

AppCompress 压缩技术:利用 NetScaler 内置的压缩功能,可以将广域网传 输数据量减少 3-50 倍,提高应用的响应速度。

6

XXXX

技术建议书

此外,NetScaler 还提供 AppCache 高速内存缓存技术,TCPB 网络优化技术 等多项优化功能,通过综合应用上述功能,如果用户使用 NetScaler 作为负载均 衡设备,他们就可以在获得负载均衡功能的同时,获得 2-15 倍的应用速度提 升。

3.4 为应用提供最佳的安全性
NetScaler 利用先进的请求交换技术,可以有效地抵御 L4 的 DoS/DDoS 攻 击和各种已知与未来的 L7 攻击。NetScaler 基于请求交换技术的抗攻击能力是 采用 Syn Cookie/Delay binding 防御方式的传统负载均衡交换机的 10 倍以上。

3.5 业界最全面的解决方案
Citrix NetScaler 系统把传统数据中心的各种纷繁产品的功能,例如:负载 均衡,缓存,压缩,SSL 加速,攻击保护,SSL VPN 等,融合进了单一的产品 中,并利用其专利的“请求交换”技术,从底层整合各种功能,以极高的效率 提升应用的性能、可靠性和安全性。

7

XXXX

技术建议书

3.6 多核并行处理技术(nCore)提高产品性能
Citrix? NetScaler? nCore?技术作为一种高性能的并行处理架构, 可利用多 核技术实现有效扩展,以满足要求最为严苛的 Web 应用的需求。要构建能有效 利用多核处理器的系统必须考虑以下两个问题: (1)系统如何能够确保所有 CPU 核一直处于工作状态?(2)系统如何消除处理器间的同步损耗? 两者是相辅相成的,消除处理器间的同步损耗让每个处理器可尽可能地实 现 最 佳 性 能 。 要 了 解 NetScaler 如 何 成 功 避 免 同 步 操 作 , 首 先 必 须 掌 握 NetScaler 数据包处理引擎的本质特性。

3.6.1 NetScaler 数据包处理引擎
Citrix NetScaler 数据包处理引擎的目的是将数据包从网络中分离出来,执 行大量 TCP/IP 处理进程,加速和优化任务,以及执行安全策略。当数据包处理 引擎处理完成一组数据包时,便会将回应返回到网络,然后继续处理新的数据 包。 NetScaler 数据包处理引擎的高效率使其可在几微秒内完成数据包的处理。 NetScaler 超低延迟数据包处理引擎优化了 Web 应用交付和用户体验。利用精心 设计的分段数据包处理,数据包处理引擎即可消除数据同步需求。这样一来, 单个 CPU 核上运行的单个数据包处理引擎可支持几千兆的吞吐量。 与基于 Linux 的传统产品相比, NetScaler 数据包处理引擎的高效率所带来 的影响是非常值得赞赏的。传统的 Linux TCP 堆栈会让数据包在不同层之间传 输时进行排队处理,而每一层在接收数据前都会产生大量的数据同步损耗。正 因为如此,一些基于 Linux 并结合 ASIC 芯片处理数据交换的产品设计会将这种 延迟放大。 值得注意的是,随着 NetScaler 平台的发展,不需要数据同步已变成一个差 异化的特征,使得 NetScaler 能够以极高的效率将数据包处理引擎延伸到多个处 理器核心。

3.6.2 零共享设计
提升性能所面临的共同挑战就是共享。多个组件需要共享数据时,性能就 成了问题。零共享有以下几大好处:
8

XXXX

技术建议书

1、无同步化开销 2、大幅降低复杂性,从而提高稳定性 3、可更妥善地处理故障,因为组件之间不会互相影响 nCore 架构利用 NetScaler 数据包处理引擎的关键属性实现了零共享设计。

3.6.3 零共享的运作原理
nCore 零共享架构采用了一系列数据包处理引擎,每个引擎都具备完整的 NetScaler 功能,可通过专用存储空间实现应用优化和加速。由于每个数据包处 理引擎都可执行所有的功能,因而可完整进行 Web 应用交易,无需借助其它数 据包处理引擎的力量。 引擎之间的相互独立让同步不再成为一个问题。同时,资源争夺让数据包 处理引擎再也不用相互等候。如此一来,NetScaler 可在极短的延迟时间内实现 极高的吞吐量。 数据包处理引擎在每个 CPU 上运行时有两种不同的状态:1)搜寻需要处 理的数据包;2)正在处理数据包。每个数据包处理引擎搜寻的是基于硬件的数 据包队列中的数据包。为了支持零共享理念,每个数据包处理引擎都有自己的 队列,不和其它 CPU 核共享。因为硬件部署是完全对称的,因此,出站数据包 也将通过每个处理器的专用队列发送出去。 由于每个数据包处理引擎可利用整个 CPU 核,因此每个 CPU 核与数据包 处理引擎之间进行 1 对 1 映射,确保硬件提供的每个可用周期都可得到充分利 用。随着系统新增 CPU 核,可大幅提高线性性能,提高平台在将来的可扩展 性。

9

XXXX

技术建议书

3.6.4 数据包队列中的流量分配方法
在多核 CPU 系统设计中,CPU 核之间分配网络流量有多种方法,常用的 三种方法如下: 1、功能并行性 2、将网络接口映射到处理器 3、单独流量分配 在应用交付领域,功能并行性的典型实现方法是通过分离多核 CPU 之间的 任务来实现的。结果,指定 CPU 核只承担相应功能。例如,核 1 专门用于管理 网络流量, 核 2 用于处理 TCP/IP, 核 3 用于 7 层 (如 HTTP)处理等等。这在 表面上似乎也很合理,因为它将一种功能的峰值从另一种中分离了出来。然 而,在现实情况下,这种架构通常会大幅降低 CPU 多核的利用率。例如,如果 一个应用要求进行更多的 7 层处理,而不是 SSL 处理,它也不会将未使用的 CPU 资源从 SSL 转移到 7 层处理上。 将网络接口映射到处理器是传统的网络领域方法,这种方法是将物理口连 接到指定 CPU 核上。 更新一些方法则是将 IP 地址映射到指定 CPU 核。然而, 与功能并行性类似,这也依然无法实现均衡多核 CPU 之间的负载,单个应用就 有可能用尽单一 CUP 核的容量,而不能利用其它空闲 CPU 的容量。 经过对功能平行性以及将网络接口映射到处理器这两种方法的评估后 NetScaler nCore 技术决定选择单独流量分配的方法。其实,这种方就是最细粒 度的负载共享机制,充分利用了单个数据包处理引擎可执产品的每项功能这一 能力,最终实现均衡多核 CPU 之间的负载,确保单个应用或功能不会受制于单 个 CPU 核的容量,仍可以使用其它空闲 CPU 的能力。 为了以最高速度实现单独流量分配,必须使用对称的流量分配器。这种特 殊的硬件可捕获发送到每个网络接口的数据包,并快速确定由哪个数据包处理 引擎入站队列来接收指定的网络流量。由于决策的根据是 TCP/IP 报头信息,因 此,分配器必须确保指定流量的数据包会发送到相同的数据包处理引擎。

10

XXXX

技术建议书

流量分配器使用的算法均衡了所有数据包处理引擎之间的流量分配,从而 确保所有数据包处理引擎能支持系统的全部工作负载。在 nCore 架构中,宝贵 的处理器资源决不会用于数据同步损耗,也会均衡地分配网络流量。

11

XXXX

技术建议书

4 NetScaler 产品体系架构
Citrix NetScaler 是一款智能地分配、优化和保护 Web 应用的 4 层 - 7 层 (L4-L7) 网络流量的应用交换机。除了可以提供多种应用优化,应用安全以及应 用高可靠设计等多种上层功能模块外,在产品底层架构上,NetScaler 也有具有 非常独特的专利架构。NetScaler 在底层架构上有两个非常智能,且协调工作的 模块-应用交换引擎与 AppExpert 策略框架。 应用交换引擎将 HTTP 应用层的数据提取出来,根据这些应用的特性,使 用者可在 AppExpert 策略框架上灵活编写策略调用上层的功能模块(例如压 缩,缓存等) 。

4.1 应用交换引擎
NetScaler 拥 有 专 利 的 应 用 交 换 引 擎 展 示 了 下 一 代 的 流 量 管 理 技 术 。 NetScaler 打破了存在于连接和请求之间的关系,并在请求层检测所有的流量, 应用交换提供了高性能的,安全的,可扩展的应用层服务。 基于该引擎, NetScaler 系统分开管理每一客户端连接以及服务器端连接。 因为 NetScaler 系统是每个客户端以及服务器端连接的终点,而不是简单的传输 连接,所以它能提供以前其他流量管理系统所无法达到的许多加速和优化技
12

XXXX

技术建议书

术。应用交换引擎被专门设计来在请求层检测流量,所以负载均衡以及内容交 换可以非常高效的完成。策略以及过滤可以在进入的请求上被应用并且丝毫不 影响性能。 成熟的负载均衡算法以及健康检查机制保证了服务的均衡性以及持 续可靠性。 先进的加速和优化技术在降低服务器负载的同时更快的把内容传送 给了最终用户。 应用交换引擎是 NetScaler 应用交付系统的技术核心。基于在请求层管理流 量的原理,应用交换引擎可以在最终用户的地理位置和连接速度各不相同的情 况下高效的加速和优化内容传输。由于 NetScaler 系统是一个在客户/服务器端 通信代理,因此 NetScaler 可以最大限度的利用 HTTP 1.1 对于连接保持的优越 特性。多个请求可以在一个客户连接上被复用,这样消除了连接建立的时间以 及客户端的延迟。与服务器保持的常连接,可以复用多个客户端来的请求,甚 至可以是从不同客户端来的,或者甚至客户端不支持连接保持。 这将减少 TCP 连接在服务器上的消耗,使得服务器可以更有效的专注于内容的服务。 此外,应用交换引擎具有优化过的 TCP/IP 堆栈,确保 NetScaler 系统消除 服务器对于客户端连接速度的依赖性。一旦一个向服务器的请求建立,响应可 以线速传递到 NetScaler 系统。NetScaler 系统会缓冲该响应并以客户端连接速度 来把内容传递给客户端,这样使得服务器可以持续服务接下来的其他请求。

4.2 AppExpert 策略框架
AppExpert 策略框架是整个 NetScaler 功能调用的核心,可提供 Web 应用流 量以及所有 NetScaler 功能模块如何发挥作用的控制者。 AppExpert 策略框架定义 NetScaler 上的流量过滤和管理的特定详细信息。 它由两部分组成:表达式和操作。表达式定义策略匹配的请求类型。操作告诉 NetScaler 当请求匹配表达式时做什么。例如,表达式可能要使特定的 URL 请 求与某种类型的安全攻击相匹配,操作为断开或重置连接。 每个策略都有优先级,优先级确定评估策略的顺序。当 NetScaler 收到流向 或来自它管理的任何服务器的流量时,相应的策略列表将确定如何处理流量。

13

XXXX

技术建议书

14

XXXX

技术建议书

5 产品功能描述
5.1 保障应用可靠性功能
NetScaler 的对应用的多种高可靠性保障机制可在不影响应用或用户的情况 下自动重新分配资源,并根据流量大小增加或减少容量,从而实现了服务器资 源的最佳使用。保障可用性的设计允许用户只会访问到正确的应用资源,因此 可确保应用处于 100%的可用状态,消除了停机和灾难期间常见的故障时间。

5.1.1 本地服务器负载均衡
用户可根据系统的实际情况,在 NetScaler 中定义若干个虚拟服务器(也称 为 vserver 或者 VIP), 其上包括了一个 IP 地址和端口。这个虚拟服务器被设置 成与一组运行在真实服务器群上的真实服务所绑定。真实服务包含了后台真实 服务器的 IP 地址以及端口。在这样的情况下,一个客户发送一个请求到虚拟服 务器,然后虚拟服务器在真实服务器群中选择一个并将请求转发到该真实服务 器。不同的虚拟服务器可以设置成与不同的真实服务绑定,例如 TCP 以及 UDP 服务。虚拟服务器支持的协议和应用包括: HTTP, FTP, SSL , SSL BRIDGE, SSL TCP ,NNTP 以及 DNS 等等。 同时对于某些特定的服务,我们在虚拟服务器上配置“会话保持” : 一旦 一个服务器被选择了,后续的从该用户发出的请求都被转发到同一服务器上。 “会话保持”对于那些状态需要保存在服务器上的应用,例如:购物系统等是 非常重要的。NetScaler 主要支持的“会话保持”算法包括: ? ? ? ? ? ? ? ? 源 IP Cookie SSL 会话 ID URL 客户化服务器 ID 策略(可以选择任何 HTTP Header 中的对象) 源和目的 IP 目的 IP
15

XXXX

技术建议书

NetScaler 系统也负责检查服务器群的服务的健康状况。一旦发现服务有问 题, NetScaler 系统仍将继续依照负载均衡算法把服务转向到其他正常的服务上 去。NetScaler 主要支持的健康检查算法包括: ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? PING TCP HTTP TCP-ECV HTTP-ECV UDP-ECV DNS FTP RADIUS USER HTTP-INLINE SIP-UDP LOAD FTP-EXTENDED SMTP SNMP NNTP MYSQL LDAP POP3 CITRIX-XML-SERVICE CITRIX-WEBINTERFACE

负载均衡算法指定了负载均衡的标准,也就是说,负载均衡算法选择了一 台真实服务器来传递用户的请求。如果这个被算法选定的最合适的服务器达到 或者超过了其最大用户连接数(使用-maxClients 在 CLI 命令行中队服务进行设 定) ,那么另外一个连接数比较合适的服务器将被代替。这个方法可以通过在均 衡算法中将连接数作为权重设置来实现。NetScaler 系统可以设置按照以下这些
16

XXXX

技术建议书

算法来实现服务器负载均衡: ? ? ? ? ? ? ? ? ? ? ? ? 最少连接数 轮询(可加权或比率) 最少响应时间 最低带宽 最少包 令牌 URL 散列法 域名称散列法 源 IP 地址散列法 目的 IP 地址散列法 源 IP-目的 IP 散列法 自定义的基于 SNMP 的判断

5.1.2 全局负载均衡
NetScaler 为数据中心应用交付提供多种优化和提高可用性的功能,但针对 全局多站点间负载均衡需求,主要用到了 NetScaler 的全局负载均衡功能。 NetScaler 的全局负载均衡功能可以把客户对一个网站的访问请求引导到分布在 Internet 上多个站点中性能最佳的一个站点。从而实现用户的就近访问,站点之 间的负载均衡和远程容灾。下图为典型的全局负载均衡部署

17

XXXX

技术建议书

NetScaler 支持的全局负载均衡算法(量度方法)如下: ? ? ? ? ? ? ? ? ? 轮询 源 IP 地址散列 站点服务器连接数最少 站点服务器响应最快 站点带宽最低 站点数据包最少 自定义的基于 SNMP 的判断 静态的就近性 动态的就近性

上述算法中的第 1、2 种算法的作用主要是将客户端的访问均匀的分散到各 个站点,实现站点之间的负载均衡和远程容灾;第 3-7 种算法可以将用户端的 请求引导到服务器性能最好或服务器最空闲的站点,主要用在服务器运算密集 型的应用场景;第 8-9 种算法可以将用户端的请求引导到距离用户最近的站 点,实现用户的就近访问。 在全局负载均衡中,NetScaler 可以根据用户所在的地理位置和用户使用的 ISP 链路,选择用户访问 Web 站点接入的 ISP 链路, NetScaler 的全局负载均衡 功能是基于 DNS 实现的,并由 NetScaler 系统自动智能判断。因此常用的全局 负载均衡配置方法如下: 部署多台 NetScaler, 分别用来解析 DNS 查询请求。当 NetScaler 收到一个 DNS 请求后, 1. 如果该请求是来自网通或电信的 IP 地址段,则根据静态就近性算法,判 断此用户是网通还是电信用户,并返回响应的解析结果给用户,即网通用户使 访问网通站点,电信用户访问电信站点。其中,静态就近性算法是指 NetScaler 依靠一个预先手工配置好的“IP 地址与地理位置的映射列表”选择就近的站点, 例如,我们可以在 NetScaler 中配置以下信息 100.100.100.0/24 100.100.101.0/24 100.100.102.0/24 中国.网通.北京 中国.网通.河北.石家庄 中国.网通.河北.保定
18

XXXX

技术建议书

100.100.103.0/24 中国.网通.河北.唐山 100.100.111.0/24 中国.网通.山东.济南 100.100.112.0/24 中国.网通.山东.青岛 200.100.100.0/24 中国.电信.北京 200.100.100.0/24 中国.电信.上海 …… 当一个用户访问 NetScaler 时,NetScaler 根据用户端的源 IP 地址在列表中 查询出其所处的地理位置或运营商信息,并与各个站点的地址位置和运营商信 息进行匹配,匹配长度最长的站点一定是距离客户端最近的站点或相同的运营 商,NetScaler 就使用该站点或运营商的 IP 地址响应 DNS 请求。

2. 如果用户请求是来自非列表中的 IP 地址段,我们不确定该用户访问哪个 站点效果更好,则可以让两台 NetScaler 分别通过动态的就近性算法探测用户的 本地 DNS 服务器,测量由客户端网络到达各站的速度,并依据这个量度,选择 访问速度最快的站点,解析域名到该站点对应的 IP 地址,从而将用户访问引导 到该站点。

3. 如 果 通 过 动 态 就 近 性 算 法 探 测 发 现 用 户 访 问 各 站 点 的 速 度 相 同 , NetScaler 则采用轮询算法(ROUND ROBIN)将用户访问平均分配到各站点 上,确保入站流量的负载均衡。

4. 当一个站点发生故障,无法正常工作时,NetScaler 会自动发现,并把用 户访问全部集中到正常工作的另一站点,从而确保站点的高可用性。

5.1.3 链路负载均衡
NetScaler 也可以对相同站点内多个 WAN 链路实行负载均衡并提供故障转 移,从而进一步优化网络性能并确保业务持续性。 NetScaler 的应用智能流量控制和健康状况检查可以在上联路由器之间有效 地分配流量,从而确保网络连接保持高度可用。确定最佳 WAN 链路以根据策 略和网络条件路由入站和出站流量,并通过提供快速的故障检测和故障转移使 各项应用免受 WAN 或 Internet 链路失效影响。

19

XXXX

技术建议书

5.1.4 7 层请求交换
NetScaler 提供的 7 层请求交换是 Web 应用系统的基础,它是拥有最佳的性 价比,能保证持续,安全的 Web 应用。基于在网络优化方面的领先研究,请求 交换技术以最有效的方法处理 Web 应用流量: 在应用请求层进行分析,然后加入安全性,重定向进入流量,使得优化流 向,保护以及控制流量变为可能。基于这些技术,NetScaler 打破了应用请求对 于传输层的依赖性,从而实现了每个最终用户的请求。这一独特的处理特定应 用请求以及响应的能力,使得应用层得到保护,网络基础得到全面优化,而这 是其他技术以及方案所不能提供的。下图为一个请求交换的示例:
根据分析HTTP 7层信息将用户访问分配到不同的后台应用服务器组

应用1
AppExpert Policy Engine

用户

HTTP请求Header字段; HTTP请求body字段; HTTP响应Header; HTTP响应Header字段; ……

应用2

5.1.5 浪涌保护
由于 NetScaler 架构工作在应用层面,因此 NetScaler 能够实施监控服务器 的处理能力。通过比较收到请求的速率和服务器响应的速率,能够了解服务器 目前的处理能力,如果一组 Web 服务器已经不能处理更多的请求,NetScaler 会 拿出自己的内存缓存数据,根据 Web 服务器的响应速度,适量发送请求给后端 的 Web 服务器。NetScaler 的浪涌保护能确保服务器不会在连续高流量作用下出 现“雪崩式瘫痪”。

20

XXXX

技术建议书

过载队列

Citrix NetScaler

5.1.6 4 – 7 层带宽控制
5.1.6.1 优先级队列 当用户的 Web 站点在由于攻击出现浪涌流量的时候,所有客户端对服务器 资源的访问出现争抢的现象。NetScaler 通过优化流量队列确保重要的流量分配 高优先级,同时用户可以通过 NetScaler 策略引擎定义对重要流量的定义,无论 从网络层还是应用层。优先级队列特性区分流量的高优先级和低优先级,确保 重要流量对 Web 服务器资源的访问。 5.1.6.2 最大连接与带宽控制 用户可以选择采用基于最大连接数或者基于带宽的流量控制,可根据服务 器组的处理能力为每个 VServer 或服务器配置最大连接数或这带宽,当连接数 或带宽到达设定的的阈值后,可根据 用户自定义的策略重定向流量到备份 VServer 或者限制用户访问。 5.1.6.3 HTTP/TCP/DNS 请求速率控制 NetScaler 不仅可以为应用分配优先级,限定最大连接数和带宽,而且可以 控制用户访问应用的速率。以 HTTP 请求为例,当一个客户端的访问速率超过 50 个请求/秒,NetScaler 可以识别访问速率,并根据预先配置好的策略处理超过 此速率的请求,例如重定向或阻止,从而确保后台服务器或应用的可靠性。对 TCP 新建连接速率,以及 DNS 查询速率同样可以进行控制。

5.2 提高应用性能功能
NetScaler 提供加速 Web 应用性能的多种功能,为企业带来了直接的效益,

21

XXXX

技术建议书

提高员工生产效率,增强网络通信,并提高用户满意度。下文将介绍 NetScaler 提供的多种加速 Web 应用交付技术。

5.2.1 TCP 连接复用
对于 HTTP 流量, NetScaler 系统通过利用保持自己与用户端的连接以及保 持自己与服务器的常连接的技术来保证了快速的页面下载时间。 这个是通过在客户端以及服务器上的 HTTP “连接保持” 技术来实现的。 对于服务器来讲,它永远只感觉到自己在和一个一直保持连接的用户(就算实 际上该用户不是一直保持连接的)进行交互。而对于客户端来讲,它永远感觉 到自己在和一个保持连接的服务器在进行交互(就算实际上该服务器被设置成 例如一个请求一个连接这样的非 keep-alive 方式). 这一常连接保持技术利用在客户系统上,可以显著提高用户客户端的页面 下载时间。其原因在于用户不需要再建立新的连接,而一般来讲这些新建连接 过程在 WAN 上通常会带来 50 到 500ms 的延迟。 服务器端的常连接保持带来的服务器服务卸载。NetScaler 保持与服务器的 连接,并且所有来自客户端的连接被 NetScaler 终结。这样的情况下,服务器可 以将更多的资源用在对于用户请求的响应上而不是去浪费在 TCP 连接的建立和 拆除的管理上。 常连接保持使得服务器上只存在有较少的连接,服务器 CPU/内存 使用率 被显著降低,其原因是服务器现在处理的连接建立和拆除进程减少很多了。 NetScaler 连接复用工作原理示意图如下:

22

XXXX

技术建议书

SYN SYN+ACK ACK GET

GET Data Data Data Data Data Data FIN ACK FIN ACK

客户端

NetScaler

服务器

5.2.2 优化 TCP 协议栈
NetScaler 设备除了具有 TCP 连接复用优化技术之外,它还依据 IETF 的最 新研究成果,按照 RFC 相关标准,提供优化 TCP 协议栈的一些功能。在基于标 准 的 TCP/IP 协议上 ,创新性地实现了 SACK 选择性确认( RFC2018 )和 Windows Size 缩放( RFC1323 )等功能。 这些技术的支持,极 大的提高了 TCP/IP 协议栈的效率,确保 NetScaler 在那些广域网链路环境下具有更佳出色的 吞吐能力和传输效率。为那些通过广域网访问应用系统的最终用户带来高达 5 倍的性能提升,并提高广域网链路的使用效率。 5.2.2.1 SNAK TCP 通信时,如果发送序列中间某个数据包丢失,TCP 会通过重传最后确 认的包开始的后续包,这样原先已经正确传输的包也可能重复发送,急剧降低 了 TCP 性能。为改善这种情况,发展出 SACK(Selective Acknowledgment, 选择 性确认)技术,SACK 信息是通过 TCP Header 的选项(option)部分提供的,该选 项参数告诉对方已经接收到的不连续的数据块,这种机制的好处是接收方能通 知发送方哪些数据丢失,哪些数据重发了,哪些数 据已经提前收到等。发送方 可根据此信息检查究竟是哪个块丢失,从而发送相应的数据块。这样 TCP 发送 方就只重新发送丢失的包,不用发送后续所有的包,显著的提高了有损网络中 的数据传输效率。
23

XXXX

技术建议书

5.2.2.2 Windows Scaling Windows Scale 窗口缩放因子参数也是通过 TCP Header 的选项(option)部分 提供,窗口扩大选项使 TCP 的窗口定义从 16 位增加为 32 位。 典型的 TCP 数据包头信息中通过 16 个 bit 描述 Windows Size 的大小,也就 确定了数据发送和接收的容量,按照 16 bit 位计算,最大的 Windows Size 是 65525 字节(2^16 = 64K Bytes) 。假设每次 Windows Size 都能协商成为最大值 (网络条件非常理想的情况) ,这意味着,数据传输在确认完成 64KB 后,再发 送下一个 64KB 数据,否则必须等待,在链路延迟较大的情况下,等待 Ack 的 行为会降低传输效率,表现为数据吞吐较低。而 RFC 1323 扩展了这一限制,通 过 TCP 数据包头 Option 部分定义一个 Windows Scaling(窗口缩放因子)参 数,将 TCP Windows Size(窗口大小)维持为 32 个 bit 的值,达到 2^32 = 4G Bytes。 NetScaler 设备启动 Windows Scaling 功能后缺省 TCP 窗口大小扩展为 1M Bytes,Windows Scale 的 factor 设置最大为 14,即支持最大 TCP 传输窗口尺寸 为 2^30 = 1G Bytes,这种技术的采用,有效减少了协议交互的次数,使得在广 域网上的数据传输吞吐大大提高。

5.2.3 SSL 卸载
SSL 卸载可以将 CPU 密集型的 SSL 加密或解密任务从本地 Web 服务器转 至 NetScaler,从而释放 Web 服务器资源来处理请求。 SSL 卸载可以确保 Web 应用的安全交付,并且不降低性能。在将 SSL 流量解密之后,所有标准服务都 可以对其进行处理。 处理安全 SSL 事务会消耗 Web 服务器的 CPU 能力的很大部分,降低性能 并提高最终用户的响应时间。SSL 加速会透明地改善进行 SSL 事务的 Web 站点 性能。SSL 协议可以无缝运用于各种类型的 HTTP 和 TCP 数据,为使用此类数 据的事务提供了安全通道。 配置了 SSL 加速的 NetScaler 位于 Web 服务器的前面,它在此代表服务器 拦截 SSL 事务、处理 SSL 事务、应用负载均衡和内容交换策略,然后将事务传 送给服务器。SSL 功能的实现如下图:

24

XXXX

技术建议书

5.2.4 HTTP 压缩
NetScaler 提供 HTTP 压缩功能,压缩功能通过减少下载时间和带宽使用来 改善性能。 压缩功能在具有 HTML 或其它可压缩内容(静态或动态生成)的原始站点 实施。NetScaler 会压 MIME 类型的内容,例如 text/html、text/plain、text/xml、 text/css 、 text/rtf 、 application/msword 、 application/vnd.ms-excel 、

application/vnd.ms-powerpoint、Internet Explorer、Firefox 和 Netscape 等浏览器 会拦截 HTTP 压缩。NetScaler 不压缩属于 application/octet-stream、二进制或字 节类型的内容,也不压缩 GIF 或 JPEG 格式的图像。 配置了压缩策略的 NetScaler 会拦截来自启用压缩的客户端的请求,并应用 压缩策略以确定客户端是否可以接受可压缩内容。在收到来自服务器的 HTTP 响应后,NetScaler 检查内容以确定是否可以压缩。如果内容可压缩,NetScaler 将对其进行压缩,修改响应标头以指明所执行压缩的类型,并将压缩的内容转 发给客户端。NetScaler 中压缩功能处理流程如下所示:

25

XXXX

技术建议书

5.2.5 Web 缓存
利用 NetScaler 的 Web 缓存功能,将服务器上最常被访问的 Web 对象缓存 在 NetScaler 设备的内存中,以极高的效率响应用户的请求。 同时,针对这些 Web 对象的访问将不再发往服务器处理,大幅度降低了服 务器的访问次数,降低了服务器负载。进而提高了服务器的处理速度,减少了 所需服务器的数量。 此外,NetScaler 还提供了创新的参数化动态内容缓存功能,可缓存数据库 查询等动态的内容,例如对基金证券净值的查询是一个典型的动态应用,传统 缓存设备和负载均衡器根本无法缓存此类内容。而 NetScaler 使用其参数化动态 内容缓存功能,将动态内容转换为可缓存内容,减少了数据库 99%的动态运 算,大大降低了数据库负载。

26

XXXX

技术建议书

5.3 增强应用安全性功能
NetScaler 应 用 交 付 系 统 具 备 全 面 的 攻 击 防 御 系 统 , 可 确 保 系 统 不 受 DoS、DDoS、网络蠕虫/病毒和应用专用漏洞的攻击。底层应用交换技术支持 NetScaler 应用交付系统对应用请求进行检查,辨别恶意内容并阻止其进入应用 服务器。下文将介绍 NetScaler 提供的多种安全防护机制。

5.3.1 L4 层 DOS 攻击防护
NetScaler 系统使用 SYN cookies 原理来防范 SYN Flood 等 DoS/DDoS 攻 击 。 Cookies 被 发送到 发 送请 求的 用户 端, 该 初始 会话 状态 没有 被 保留 在 NetScaler 系统上。正因如此,NetScaler 没有为该会话分配内存,正常的由合法 的用户发出的 TCP 连接并不会被打断。NetScaler 系统的 SYN-Cookie 概念一直 是起用的,并不需要其他额外配置。NetScaler 系统在收到非 HTTP 流量的最终 ACK 包或者收到 HTTP 流量的 HTTP 请求包时才为连接分配内存。 正因如此, NetScaler 系统可以达到非常高的 SYN 处理能力。 NetScaler 系统的 SYN cookie 机制确保了以下几点: 1. NetScaler 系统的内存不会浪费在非法的 SYN 包上,实际上,内存只被用 来向合法用户提供服务。 2. 合法用户的普通的 TCP 对话可以不间断的得到服务,就算系统在 SYN Flood 攻击下也是如此。 3. 正由于内存只在收到 HTTP 请求后才予以分配给连接, NetScaler 系统使 得 Web 站点避免受到 “空闲连接” 攻击。

5.3.2 L7 层 DOS 攻击防护
一般来讲,有两种类型的 7 层 HTTP DoS 攻击: Get 攻击以及 IDLE 攻 击。 对于 Get 攻击,黑客在一个连接建立后发出非常多的 Get 请求。 对于 IDLE 攻击,攻击者在连接建立后恶意停止一切活动而空闲等待。 NetScaler 系统在处理时,当连入的 Session 速率达到一个预先设定的门限 值时,DOS 防卫功能就自动触发。 NetScaler 系统会抽样对一部分客户端请求发 送带有 SET-COOKIE 的响应。 恶意攻击主机通常不会响应 Set-Cookie,所以这
27

XXXX

技术建议书

些攻击包就会被丢弃。 而普通正常的 HTTP 请求不会受到影响。 这个触发的门 限值以及发送 Set-Cookie 的比例值可以针对每个服务来精细微调。 并且,由上 所述,连接不会在第一个 GET 请求到达前建立。所以 NetScaler 系统也可以有 效的防止 IDLE 攻击。

5.3.3 内容过滤
NetScaler 不但支持基于源/目的地址、源/目的端口、协议类型等三、四层 基本的过滤功能,而且 NetScaler 通过分析 IP 地址等网络层信息和 HTTP Get 和 Post 等应用层请求信息,来过滤客户端对 Web 应用的访问,即七层内容过滤。 当出现已知攻击的情况下,NetScaler 可以根据其策略引擎灵活定制过滤策略。 例如类似 Nimda 和红色代码等攻击,我们都可以通过定制针对 HTTP 请求的 URL 的过滤策略,防止攻击的产生。

5.3.4 Web 应用防火墙
Citrix 应用防火墙(Application Firewall)作为 NetScaler 中的一个安全模 块,用来防御已知和未知的 Web 和 Web Services 应用攻击的高性能且强大的安 全设备。Citrix 应用防火墙 (Application Firewall)实施了只允许正确 Web 应用 行 为 的 积 极 安 全 模 型 , 而 无 需 依 赖 攻 击 签 名 。 应 用 防 火 墙 ( Application Firewall)分析所有的双向流量,包括 SSL 加密通信,防御 16 个层面的 Web 应 用漏洞而无需对应用进行任何修改,可作为能够满足各种部署需求的特制设
28

XXXX

技术建议书

备,而且它具有两种软件版本以便在威胁、应用和防御变得越来越复杂时能够 提供升级功能。

5.3.4.1 阻止 16 大类 Web 漏洞攻击 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 缓冲区溢出 CGI-BIN 参数处理 表单/隐藏字段处理 强制浏览 消息或会话攻击 被破坏的访问控制表或弱口令 跨站点脚本攻击(XSS) 命令注入 SQL 注入 引发敏感信息泄露的错误 不可靠的密码系统应用 服务器错误配置 后门和调试选项 网站涂改 已知的平台漏洞 未知的应用攻击

29

XXXX

技术建议书

5.3.4.2 采用正向安全模型 Citrix 应用防火墙 (Application Firewall)采用了正向安全模型来确保执行 正确的应用行为。这种安全模式不靠攻击特征符或签名匹配技术就能识别“合 法”的应用行为,并阻止任何背离了正确应用交易模式的恶意行为。Citrix 应用 防火墙(Application Firewall)是经过验证的可对从未出现过的攻击实施全天候 防御的软件。 5.3.4.3 业务对象保护模块 Citrix 应用防火墙(Application Firewall)实时阻止了敏感应用内容的无意 泄露,这种无意的内容泄露会导致身份信息盗用行为。业务对象保护模块可保 护像注册用户的账户信息等确定的对象以及其它自定义的数据对象的安全。通 过检测错误泄露以及阻止或重写内容,业务对象保护模块协助企业满足了政府 或行业委员会制定的行业法规。

用户注册ID
XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX

所有受保护对象仅以“X”输出

用户身份证号
XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXX

5.3.4.4 应用行为自学习引擎 Citrix 应用防火墙(Application Firewall)融合了第三代自学习引擎,这种 引擎能学习到各个方面的应用行为,即使 Web 应用允许执行,这些行为也有可 能会受到正向安全模型的阻止。一旦检测到应用行为,应用防火墙 (Application Firewall)就会生成建议性可读策略,这会帮助应用安全部门能够 更清楚地了解实际的应用行为,然后针对每个应用实施自定义安全策略。
30

XXXX

技术建议书

5.3.4.5 应用处理性能 Citrix 应用防火墙(Application Firewall)的连接处理性能远远高过 Web 服 务器,通过卸载 Web 服务器的 TCP 连接,应用防火墙有效地改善了应用性能和 响应时间。应用防火墙与服务器之间的通信只采用了少量 TCP 常连接。 基于硅元件开发的专用 SSL 硬件可检测出加密信道中的恶意流量。通过减 少服务器的加解密操作,SSL 加密和密钥生成 offload 改善了综合应用性能。 5.3.4.6 分类保护 Web 应用的安全 Citrix 应用防火墙(Application Firewall)可利用每个 Web 应用的制定安全 策略、控制、详细报告和记录数据来完全分离不同的交易,以确保企业每种 Web 应用能够得到量身定做的应用防护。 5.3.4.7 适应不断变化的业务需求 高级 Web 应用保护配置增加了高级 Web 应用的会话层分析保护功能,此高 级 Web 应用包括了对敏感数据的已验证访问。而且保护范围扩展到 Cookie、格 式字段和会话专用 URL 等动态生成的元素。这种保护对于电子商务、在线金融 服务和安全的外联网应用都是强制性的,并且它还具备应用学习能力,针对行 为可能会违背默认安全策略的某些应用帮助管理员创建安全策略的可管理例 外。

5.3.5 SSL VPN
当用户需要远程访问和管理自己的 Web 站点时,无需额外的远程客户端软 件,而直接采用普通的客户端技术即可为远程用户提供全面的、安全的远程接 入技术,同时采用了行业标准的 SSL 技术保护机密内容。NetScaler SSL VPN 技术允许终端用户远程访问任何应用,包括非 Web 客户端/服务器应用在内。

5.4 用户体验监控功能
当交易请求和响应通过 Web 应用交付基础架构以及在终端用户的 Web 浏览 器上执行响应时,EdgeSight for NetScaler 都能够透明地监测 Web 应用性能。通 过直接监测 Web 应用交付基础架构和网页本身,EdgeSight for NetScaler 为 IT

31

XXXX

技术建议书

管理人员提供了影响应用性能的重要因素的独特的细粒度可视性。 当应用性能出现异常时,NetScaler 还可以提供定量的报告,帮助运维人员 定位出故障出现在服务器,网络还是客户端。

32

XXXX

技术建议书

6 产品性能数据表

33

XXXX

技术建议书

34

XXXX

技术建议书

35

XXXX

技术建议书

36

XXXX

技术建议书

37

XXXX

技术建议书

38

XXXX

技术建议书

39

XXXX

技术建议书

40

XXXX

技术建议书

7 产品部署方案
逻辑上位于客户端和服务器之间的 NetScaler 可以以两种物理模式部署:双 臂模式和单臂模式。

7.1 双臂部署模式
在双臂拓扑中,一个网络接口连接至客户端网络,另一个网络接口连接至 服务器网络。此拓扑可能要求重新连接网络设备,但对网络中其它设备的配置 所做的更改几乎可以忽略。

7.1.1 双臂多子网部署
这是一种最常用的拓扑,其中 NetScaler 内嵌放置在客户端和服务器之间, 并配置一个虚拟服务器来处理客户端请求。此拓扑在客户端和服务器位于不同 子网时使用。在大多数情况下,客户端和服务器分别位于公共和专用子网上。 下图描述了以双臂模式部署 NetScaler 来管理服务器 S1、S2 和 S3 的方案。 这些服务器位于公共网络上。NetScaler 上配置了一个 HTTP 类型的虚拟服务 器,HTTP 服务运行在这些服务器上。这些服务器位于专用子网上, NetScaler 上配置了一个 SNIP 与这些服务器进行通信。 NSIP 和 VIP 位于公共子网 217.60.10.1 上。 SNIP 和这些服务器位于专用子 网 192.168.100.1/24 上。

41

XXXX

技术建议书

7.1.2 双臂透明部署
此拓扑在客户端需要直接访问服务器的情况下使用。此模式中不使用虚拟 服务器。服务器 IP 地址必须为公共 IP,因为客户端需要它们。在此示例中, NetScaler 放置在客户端和服务器之间,因此流量必须经过 NetScaler。必须启用 L2 模式以桥接数据包。NSIP 和 MIP 位于同一公共子网 217.60.10.0/24 上,如下 图所示:

7.2 单臂部署模式
由于单臂部署模式不会对网络结构有任何改动,因此单臂部署模式是 NetScaler 最常用的部署模式,本节将探讨两个常用的单臂拓扑,其中一个具有 单个子网,另一个具有多个子网。

7.2.1 单臂单子网部署
此拓扑在客户端和服务器位于相同子网时使用。请设想一下以单臂模式部 署 NetScaler 来管理服务器 S1、 S2 和 S3 的方案。 NetScaler 上配置了一个 HTTP 类型的虚拟服务器, HTTP 服务运行在这些服务器上。 NetScaler IP address (NSIP) 、 映 射 IP 地 址 (MIP) 和 服 务 器 IP 地 址 位 于 同 一 公 共 子 网 217.60.10.0/24 上。

42

XXXX

技术建议书

7.2.2 单臂多子网部署
此拓扑在客户端和服务器位于不同子网时使用。请设想一下以单臂模式部 署 NetScaler 来管理服务器 S1、S2 和 S3 的方案,这些服务器连接至网络上的交 换机 SW1。NetScaler 上配置了一个 HTTP 类型的虚拟服务器, HTTP 服务运行 在这些服务器上。这三个服务器位于专用子网上,因此通过 NetScaler 配置了一 个子网 IP 地址 (SNIP) 与它们进行通信。

43

XXXX

技术建议书

7.3 高可靠性部署(主备模式与双主模式)
7.3.1 双机热备模式
为了避免单一 NetScaler 出现故障,可以中部署两台 NetScaler 工作在高可 用模式,其中一台设备积极地接受连接并管理服务器,辅助设备则监控第一台 设备。在高可用性配置中,积极地接受连接并管理服务器的 NetScaler 被称为主 要设备,另一台被称为辅助设备。如果主要设备出现故障,则辅助设备将成为 主要设备并开始积极的接受连接。 高可用性对中的每台 NetScaler 通过发送被称为心跳消息或健康状况检查的 定期消息来监控另一台设备,从而确定对等节点的健康状况或状态。如果主要 设备的健康状况检查失败,则辅助设备将在特定时间期内重试连接。 如果在特 定时间期内重试不成功,则辅助设备将在被称为故障转移的流程中接管主要设 备的职责。下图显示两个高可用性配置,其中一个配置以单臂模式部署 NetScaler,另一个配置以双臂模式部署 NetScaler。

NetScaler 进行主备切换的依据为心跳信息是否中断,在 NetScaler 中用户可 以自定义心跳信息发送频率时间范围在 200ms - 1000ms,默认为 200ms。

7.3.2 双主模式
Citrix NetScaler 产品除了支持主/备模式的高可靠部署模式外,还支持多台 NetScaler 设备互备功能,利用这种独特的功能,我们可以将多台(>3) NetScaler 设备组成一个 NetScaler 设备资源池,通过 VRRP 将整个系统的应用 VIP 分布在不同的设备上,如果当某台 NetScaler 设备发生硬件故障时,其上的 应用 VIP 自动切换到其它 NetScaler 设备上继续对外提供服务。
44

XXXX

技术建议书

借助 NetScaler NS pool 配置,多台设备组成资源池,即可增强 NetScaler 的 可扩展性和整体处理能力,又能够保障个别设备发生故障时进行切换保护。而 不像扩展只有主用/备用或主用/主用配置那样,要求成对增加设备并重新设计网 络。

45

XXXX

技术建议书

8 产品管理与监控
网络设备集中大量部署,产品易于管理和状态监控非常重要,NetScaler 提 供管理与监控的多种方法,下文将对这些方法进行描述。

8.1 产品管理方法
8.1.1 Console CLI
用户可以通过将工作站连接至 NetScaler 的控制台端口来访问 CLI,也可以 通过 SSH 从同一网络中的任何工作站连接。 使用交叉电缆将 NetScaler 的串行端口连接至 PC 串行端口,然后启动 “超 级终端”程序或任何其它终端仿真程序。输入登录用户名称和口令,然后按 ENTER 键。 CLI 提示 (>) 将显示在工作站显示器上。

8.1.2 SSH
用户可以通过 SSH 协议来访问 CLI,SSH 协议是用于从同一网络中的任何 工作站远程访问 NetScaler 的首选远程访问方法。在在用户的工作站上,运行 SSH 客户端访问初始配置期间分配给 NetScaler 的 NSIP,并选择 SSH1 或 SSH2 作为协议。连接后,以 nsroot 身份登录,使用在初始配置期间分配的管理密 码,以下输出将出现在 SSH 客户端屏幕上: login as: nsroot nsroot@10.102.29.60's password: Last login: Wed May 23 17:18:31 2007 Done

8.1.3 HTTP/HTTPS
NetScaler 支持通过基于 Java 技术的 GUI 界面进行配置管理,支持的协议包 括 HTTP 与 HTTPS,具体方法如下: ? 在 Web 浏览器中,输入 NetScaler 的 NSIP 和端口号:HTTP(S) ://<

46

XXXX

技术建议书

NSIP>,此时将出现 Java 插件图标; ? 单击 Java 插件图标,然后按照屏幕提示将插件安装程序复制到工作站的 硬盘中。Java 插件安装程序图标 (例如 j2re-1.4.2_04 -win)显示在计算 机上的指定位置; ? ? 双击插件安装程序图标,然后按照屏幕提示安装插件; 返回到 Web 浏览器,然后再次单击 Java 插件图标以显示 GUI 登录屏 幕,管理与控制界面截屏如下图所示:

8.1.4 XML API
NetScaler 可以使用外部应用编程接口 (API) 进行配置。API 允许创建自定 义客户端应用程序以配置和监控 NetScaler 的状态。它基于 SOAP over HTTP。 同时,NetScaler 提供 API 接口的开发指导。NetScaler 对 XML API 的结构如下 图所示:

47

XXXX

技术建议书

8.1.5 集中网管软件
Citrix 的集中管理软件 Command Center 可对全网部署的 NetScaler 产品进行 集中管理, Command Center 使网络管理员和运营团队能够轻松地通过单个统一 控制台,对其整个全局应用交付基础架构进行集中化控制和管理。集中化管理 为管理员提供了整个企业网的可视性以及自动实现多台设备的日常管理任务。 Command Center 是大规模部署思杰应用网络基础架构的理想解决方案,它 可扩展到支持数以百计的独立设备,无论这些设备是否处于一个或多个数据中 心,或在多个远程分支机构。基于角色的管理策略对用户或用户组可以访问哪 些设备或管理功能提供了细粒度的控制。 Command Center 软件可安装在基于 Windows 或 Red Hat Linux 的服务器 上。通过基于浏览器的客户端或通过可下载的 Java applet 都可支持对 Command Center 的访问。在这两种情况下,用户必须进行身份验证,然后才可以访问 Command Center。这样确保了管理员无论身处何地都可以从任意客户端设备 (台式机、笔记本电脑、智能手机)安全地访问 Command Center 控制台,以更 改配置或监控系统健康状况。基本管理功能包括: ? ? ? ? ? ? 设备发现 设备错误管理 设备配置管理 设备日志审计 设备性能监控 ……
48

XXXX

技术建议书

Command Center 管理界面如下所示:

8.1.5.1 集中网管软件安装最小硬件支持 ? ? ? ? 中央处理器类型: Pentium 4 处理器主频: 1.2 GHz 内存:1 GB RAM 硬盘空间:20GB

8.1.5.2 集中网管软件操作系统支持 ? ? ? ? Windows ? Windows 2000 Service Pack 3 and Service Pack 4 Windows 2003 Service Pack 2 Red Hat Enterprise Linux AS 4.0 Red Hat Enterprise Linux ES 4.0

8.1.5.3 集中网管软件数据库类型支持 ? ? ? MySQL Oracle Microsoft SQL Sever

49

XXXX

技术建议书

8.1.6 SFTP
用户可以通过 SFTP(Secure File Transfer Protocol)协议从同一网络中的任 何工作站连接,连接后可以从 NetScaler 设备终导入导出各种文件和日志记录。 常用的 SFTP 工具为 WinSCP,可从互联网下载,操作界面如下图所示:

管理终端磁盘 NetScaler文件系统

8.2 产品监控
8.2.1 内嵌 Monitor/Deshboard
NetScaler 设备本身具有实时状态统计的功能,可以从 Monitor 界面下查看 当前的连接数,虚拟服务器访问流量,端口状态等各种统计数据,也可以从 Deshboard 界面下查看这些数据的图形化表现。NetScaler 的 Monitor 统计界面如 下所示:

50

XXXX

技术建议书

NetScaler 的 Dashboard 统计界面如下所示:

8.2.2 内嵌报表功能
NetScaler 设备也会记录长时间的状态统计的信息,可以从 Reporting 界面下 查看一段时间内的 CPU 利用率,内存利用率,TCP 连接数等各种统计数据,以 CPU 利用率为例,NetScaler 的 Reporting 历史记录图形化界面如下所示:

51

XXXX

技术建议书

8.2.3 标准 Syslog 日志
syslog 用来记录用户对设备进行的操作和各种历史事件(例如,某时刻用 户创建了一个 ”Vserver”,或者某时刻一个 ”Vserver”出现故障标识为 ”Down” 了) 。设备本身提供存放和浏览短期内的 syslog, 如果需要存放长期的 syslog 记 录,可通过关连到任何外部的第三方 syslog 日志服务器。 syslog 样例(不换行) Jun 5 17:20:30 <local0.notice> 61.164.41.75 06/05/2008:09:20:30 GMT ns: EVENT DEVICEUP: Device "server_NSSVC_TCP_61.164.41.75:80(internal)" - State UP

8.2.4 标准 Weblog 日志
weblog 用来记录用户对站点进行访问的记录。如果设备本身提供存放和浏 览短期内的 weblog, 如果需要存放长期的 weblog 记录,可通过关连到外部的 web 日志服务器, NetScaler 随机附带 web 日志服务器的应用程序,无需安装数据 库 服 务 器 。 Weblog 服 务 器 程 序 支 持 的 操 作 系 统 包 括 Windows, Linux 和 FreeBSD。 weblog 样例(不换行) 58.38.113.56 - - [01/Jun/2008:22:14:54 +0800] "GET /ws/configuration.pl

HTTP/1.1" 200 4546 "http://61.164.41.75/ws/Top.pl" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
52

XXXX

技术建议书

8.2.5 专有的 nslog 日志
nslog 用来记录设备状态信息,每 7 秒钟,NetScaler 抓取设备内部所有对象 状态信息(例如吞吐量,CPU 利用率等) ,并且保存到 nslog 日志里面。每两天 设备建立一个单独的日志文件,最多建立 100 个,即 200 天的日志记录。当设 备出现故障或需要获取设备某一时刻状态信息的时候,可以找到相应的日志文 件,下载后从中读取状态记录。

8.2.6 集中网管软件
Citrix 的集中管理软件 Command Center 可对全网部署的 NetScaler 产品进行 集中管理和监控 。 (详细内容请参见 7.1.5 集中管理软件)

8.2.7 支持 SNMP 的第三方网管
NetScaler 上的 SNMP 代理支持 SNMP 版本 1 (SNMPv1) 、SNMP 版本 2 (SNMPv2) 和 SNMP 版本 3 (SNMPv3) 。由于以双模式操作,因此代理可以处理 SNMPv2 查 询 , 例 如 Get-Bulk 和 SNMPv1 查 询 。 SNMP 代 理 还 发 送 符 合 SNMPv2 的陷阱并支持 SNMPv2 数据类型,例如 counter64。在处理 SNMP 查询 时, SNMPv1 管理器 (其它服务器上向 NetScaler 请求 SNMP 信息的程序)使 用 NS-MIB-smiv1.mib 文件。 SNMPv2 管理器使用 NS-MIB-smiv2.mib 文件。 NetScaler 支持以下特定于企业的 MIB: ? 标准 MIB-2 组的子集。提供 MIB-2 组 SYSTEM、 IF、 ICMP、 UDP 和 SNMP。 ? 系统企业 MIB。提供特定于系统的配置和统计数据

SNMP 网络管理应用查询 NetScaler 上的 SNMP 代理。该代理在管理信息库 (MIB) 中搜索该网络管理应用请求的数据,并将数据发送给该应用。 要配置 NetScaler 的 SNMP 监控,用户需要设置陷阱和警报。SNMP 陷阱是 代理生成的同步事件,用于告知异常条件。例如,如果要在 CPU 使用率高于 90% 时获得通知,可以启用陷阱并为该条件设置警报。以下示意图说明了启用
53

XXXX

技术建议书

并配置了 SNMP 的 NetScaler 的网络。

用户可以配置一个运行符合 SNMP 版本 1、2 或 3 的管理应用的工作站以 访问 NetScaler。该工作站称为 SNMP 管理器。如果未配置 SNMP 管理器, NetScaler 将接受并响应来自网络上所有 IP 地址的 SNMP 查询。如果配置了一 个或多个 SNMP 管理器,NetScaler 将仅接受并响应来自那些指定 IP 地址的 SNMP 查询。在指定 SNMP 管理器的 IP 地址时,可以使用 netmask 参数从整个 子网授予访问权限。最多可以添加 100 个 SNMP 管理器或网络。

54

XXXX

技术建议书

9 第三方评测
NetScaler 系列产品近年来多次在权威机构的评测中得到好评,本章将选取 近两年 Gartner Group(全球最具权威的 IT 研究与顾问咨询公司)对应用交付控 制器市场的评测,NetScaler 已经在该评测中连续多年评为业界领导者。

9.1 2010 年 Gartner Group 应用交付控制器魔术象限

图中两个坐标轴的意思分别为: ? Ability to Execute 坐标主要反映目前产品特性,价格以及用户体验等方 面,具体评定指标包括,产品和服务,公司生存能力,销售及价格,市 场对产品的反应,市场执行能力,客户体验,运营。 ? Completeness of Vision 主要反映公司以及产品发展策略各方面因素,具体 评定指标包括,对市场的理解,市场策略,销售策略,产品策略,公司 业务模型,行业策略,更新与改进能力,区域策略 Gartner Group 对 NetScaler 的评价为:
55

XXXX

技术建议书

?

Citrix NetScaler 比其竞争对手提供更全面的应用交付领域的远景,并且 提供业界第一个虚拟 ADC 解决方案;

?

Citrix NetScaler 在高性能 ADC 中提供大量高级应用交付特性,并且具备 良好声誉。同时,NetScaler VPX 虚拟化 ADC 解决方案带来新的机会;

? ?

Citrix 传统软件公司的经验,使其能够更好的理解应用环境; Citrix 在 ADC 市场销售业绩连续增长

内容摘自《Magic Quadrant for Application Delivery Controllers》

56

XXXX

技术建议书

9.2 2009 年 Gartner Group 应用交付控制器魔术象限

图中两个坐标轴的意思分别为: ? Ability to Execute 坐标主要反映目前产品特性,价格以及用户体验等方 面,具体评定指标包括,产品和服务,公司生存能力,销售及价格,市 场对产品的反应,市场执行能力,客户体验,运营。 ? Completeness of Vision 主要反映公司以及产品发展策略各方面因素,具体 评定指标包括,对市场的理解,市场策略,销售策略,产品策略,公司 业务模型,行业策略,更新与改进能力,区域策略

Gartner Group 对 NetScaler 的评价为: ? Citrix 基于日益丰富的高级产品功能,在高性能 ADC 市场具有较高的声 誉; ? Citrix 具有全球范围的技术支持渠道,利用丰富的产品线如服务器、应用 以及桌面虚拟化到应用交付产品和广域网加速产品,形成强大的解决方
57

XXXX

技术建议书

案能力; ? Citrix 近期发布的基于软件的 NetScaler VPX 产品增加了在应用交付市场 的机会,可以在客户开发/测试环境部署基于 Xen Server 的软件 ADC 产 品 NetScaler VPX; ? ? Citrix 做为传统软件解决方案厂商,对应用软件领域有更深的理解; Citrix 公司具有坚固的财务支持,并在不断的增加 ADC 应用交付市场份 额。

内容摘自《Magic Quadrant for Application Delivery Controllers》

58

XXXX

技术建议书

9.3 2008 年 Gartner Group 应用交付控制器魔术象限

图中两个坐标轴的意思分别为: ? Ability to Execute 坐标主要反映目前产品特性,价格以及用户体验等方 面,具体评定指标包括,产品和服务,公司生存能力,销售及价格,市 场对产品的反应,市场执行能力,客户体验,运营。 ? Completeness of Vision 主要反映公司以及产品发展策略各方面因素,具体 评定指标包括,对市场的理解,市场策略,销售策略,产品策略,公司 业务模型,行业策略,更新与改进能力,区域策略

Gartner Group 对 NetScaler 的评价为: ? ? ? ? 稳定,性能卓越的高级平台应用交付设备,并具有杰出的用户界面 丰富的产品线,包括高可扩展的多功能系统 策略引擎(AppExpert)易于使用,可实现复杂策略无需编写代码 全球销售和支持的突出表现(各类合作伙伴) 。

59

XXXX

技术建议书

?

市场进取,高度重视技术支持以及有大量的客户基础。这些客户即包括 Internet 站点,也包括大量企业应用。

?

目前和将来,产品设计对市场和用户需求的卓越的理解能力。

内容摘自《Magic Quadrant for Application Delivery Controllers》

60