深信服智能DNS全局负载方案

智能DNS全局负载均衡解决方案——深信服AD系列应用交付产品背景介绍在数据大集中的趋势下，多数组织机构都建立了统一运维的数据中心。

考虑到单一数据中心在遭遇到不抗拒的因素（如火灾、断电、地震）时，业务系统就很有可能立即瘫痪，继而造成重大损失，因此很多具有前瞻性的组织机构都在建设多数据中心以实现容灾。

那么如何充分利用多个数据中心的资源才能避免资源浪费？如何在一个数据出现故障时，将用户引导至正常的数据中心？在多个数据中心都健康的情况下如何为用户选择最佳的数据中心？问题分析随着组织的规模扩大，用户群体和分支机构分布全国乃至全球，这一过程中组织对信息化应用系统的依赖性越来越强。

对于企事业单位而言，要实现业务完整、快速的交付，关键在于如何在用户和应用之间构建的高可用性的访问途径。

跨运营商访问延迟－由于运营商之间的互连互通一直存在着瓶颈问题，企业在兴建应用服务器时，若只采用单一运营商的链路来发布业务应用，势必会造成其他运营商的用户接入访问非常缓慢。

在互联网链路的稳定性日益重要的今天，通过部署多条运营商链路，有助于保证应用服务的可用性和可靠性。

多数据中心容灾－考虑到单数据中心伴随的业务中断风险，以及用户跨地域、跨运营商访问的速度问题，越来越多组织选择部署同城/异地多数据中心。

借助多数据中心之间的冗余和就近接入机制，以保障关键业务系统的快速、持续、稳定的运行。

深信服解决方案智能DNS全局负载均衡解决方案，旨在通过同步多台深信服AD系列应用交付设备，以唯一域名的方式将多个数据中心对外发布出去，并根据灵活的负载策略为访问用户选择最佳的数据中心入口。

用户就近访问④支持静态和动态两种就近性判断方法，保障用户在访问资源时被引导至最合适的数据中心④通过对用户到各站点之间的距离、延时、以及当前数据中心的负荷等众多因素进行分析判断④内置实时更新的全球IP地址库，进一步提高用户请求就近分配的准确性，避免遭遇跨运营商访问站点健康检查④对所有数据中心发布的虚拟服务进行监控，全面检查虚拟服务在IP、TCP、UDP、应用和内容等所有协议层上的工作状态④实时监控各个数据中心的运行状况，及时发现故障站点，并相应地将后续的用户访问请求都调度到其他的健康的数据中心入站流量管理④支持轮询、加权轮询、首个可用、哈希、加权最小连接、加权最少流量、动态就近性、静态就近性等多种负载均衡算法，为用户访问提供灵活的入站链路调度机制④一旦某条链路中断仍可通过其它链路提供访问接入，实现数据中心的多条出口链路冗余方案价值④合理地调度来自不同用户的入站访问，提升对外发布应用系统的稳定性和用户访问体验④多个数据中心之间形成站点冗余，保障业务的高可用性，并提升各站点的资源利用率④充分利用多条运营商链路带来的可靠性保障，提升用户访问的稳定性和持续性。

技术方案本方案包含两个部分，上网行为管理技术方案和负载均衡技术方案一、上网行为管理技术方案1、需求概述背景介绍随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变：⏹网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务；⏹沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流，提升工作效率，获取资讯和知识，维系人脉关系；⏹移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统，员工更喜欢通过WLAN、移动终端类开展工作；因此，在员工的日常工作中，ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。

上网行为管理需求员工访问互联网的习惯正在发生变化，从最早使用PC、有线局域网，到更多使用移动终端、WLAN来进行办公，如果过度开放的上网环境会带来以下问题：工作效率低下网络的普及改变了传统的办公方式，而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌。

这严重影响工作效率，从而导致企业竞争力的下降。

所以，组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。

带宽滥用和浪费互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用，用户在使用这些应用的过程中必然会占用大量的带宽，而关键的业务应用、关键人员角色则得不到足够的资源。

此外，传统的带宽管理策略都是静态的，当带宽空闲时，依然会限制用户的流量，带宽价值被大大浪费。

所以，IT部门需要针对各种应用类型、用户角色、带宽占用情况等，提供更加灵活、细致、动态的带宽管理策略，提升用户上网体验。

BYOD难管理随着移动终端的普及，员工往往会采用PC、智能手机、Pad等多种终端，通过有线和无线网络，在不同的位置（办公座位、会议室等），接入企业IT系统。

第1篇随着信息技术的飞速发展，网络安全问题日益凸显，企业对信息安全的重视程度也不断提升。

深信服作为国内领先的网络安全产品和服务提供商，凭借其强大的技术研发实力和丰富的行业经验，为企业提供了一系列整体解决方案，助力企业构建安全、高效、稳定的网络环境。

一、深信服整体解决方案概述深信服整体解决方案以网络安全为核心，涵盖了企业级防火墙、入侵检测/防御系统（IDS/IPS）、安全审计、虚拟化安全、移动安全等多个领域。

通过整合软硬件资源，为企业提供全面、高效、智能的安全防护，助力企业应对日益复杂的网络安全威胁。

二、深信服整体解决方案的特点1. 高安全性深信服整体解决方案采用业界领先的安全技术和算法，确保企业网络安全。

通过实时监控、智能防御和主动防御，有效阻止各类网络攻击，保障企业数据安全。

2. 高可靠性深信服整体解决方案采用模块化设计，具有良好的扩展性和可维护性。

系统具备冗余备份、故障转移等功能，确保企业网络稳定运行。

3. 高性能深信服整体解决方案采用高性能硬件平台和优化算法，具备高速处理能力，满足企业大规模网络的安全需求。

4. 易用性深信服整体解决方案提供直观易用的操作界面，方便企业用户进行配置和管理。

同时，深信服提供专业的技术支持，确保企业顺利实施和运维。

5. 良好的兼容性深信服整体解决方案兼容多种操作系统、网络设备和安全协议，方便企业进行系统集成。

三、深信服整体解决方案的应用场景1. 银行、证券等金融行业金融行业对信息安全的重视程度较高，深信服整体解决方案能够有效保障金融企业的网络安全，防止各类网络攻击，确保金融交易安全。

2. 政府机关政府机关承担着国家信息安全的重要任务，深信服整体解决方案能够帮助政府机关提高网络安全防护能力，确保国家信息安全。

3. 电力、能源等行业电力、能源等行业对信息安全的依赖程度较高，深信服整体解决方案能够保障企业生产、运营和管理的网络安全，提高企业竞争力。

4. 企事业单位企事业单位在信息化过程中，面临着日益复杂的网络安全威胁。

深信服负载均衡主备双机一、主备双机配置界面主备』设置双机热备功能。

界面如下图所示：名称』自定义设备的名称，方便区分当前哪台设备处于主模式。

状态』中［启用］用来启用双机，［禁用］用来禁用双机。

『超时时间』当在超时时间内备机一直无法收到主机发送的心跳包，则认为主机超时，备机主动切换成主机。

『通信介质』选择连接双机的接口，可以用串口和空闲的网口。

选择网口后，需要为该网□配置一个IP地址,只要不与正在使用的IP地址冲突即可。

建议选择网□作为通信介质，通过网口来做双机切换比串口切换花费的时间短。

通信介质选择网口，则可以实现会话同步。

『MAC同步』用于设置双机切换是否同步MAC地址。

『同步网□列表』用于设置切换双机的时候同步哪些接□的MAC地址，需要开启MAC同步才会显示该选项。

『通信介质故障检测』通过网络数据包来检测对端是否存在，避免两台设备成为主机导致IP冲突。

两台设备的通信介质故障检测网□需要接到同一个广播域，可以选择已经使用的网□，也可以选择空闲网□，选择空闲网□需要设置IP地址。

界面如下：同步配置』点击向备机同步配置。

故障切换』用于设置双机切换条件，符合此处设置的条件则进行主备切换，界面如下：『状态』用于设置是否启用双机故障切换检测，『检测类型』分为『掉线检测』、『ARP检测』、『健康检查』3种，设置后点击添加可以组合使用多种检测方法，［删除可以取消选中的检测方法。

『掉线检测』当检测到网口物理状态不正常则进行切换。

『ARP检测』AD设备向选择的接□发送ARP广播，如果监视主机里填写的IP地址有回应ARP，则判断正常。

该监视主机地址需要填写与AD设备接□同一网段的地址。

界面如下：『健康检查』通过网络接□处设置的链路健康检查机制来检测，当选择健康检查后，只有启用了链路健康检查的链路才可选，界面如下：故晖切换状态检刪类型 检测列克切换条件主备状态』分为“主机”、“备机”，可通过右边的切换按钮进行主备切换。