CITRIXNETSCALER技术方案建议书

《CITRIXNETSCALER技术方案建议书》由会员分享，可在线阅读，更多相关《CITRIXNETSCALER技术方案建议书（48页珍藏版）》请在装配图网上搜索。

1、*机构项目Netscaler应用交付解决方案技术建议书 目 录第1章需求分析41.1.网络现状41.2、需求分析41.3、需求总结：5第2章技术方案62.1.设计原则62.2.部署方式62.3.设备管理与监控8第3章详细技术设计93.1.利用服务器负载均衡技术实现流量分担93.2.利用优化功能提高了网站的整体性能103.3.利用DDOS防范功能确保了网站的安全113.4.利用SSL VPN来远程管理内部服务器(可选)12第4章产品技术特点144.1.Citrix NetScaler 技术简介144.2.优化Web应用Citrix NetScaler应用交付系统154.3.Citrix NetS

2、caler解决方案直击所有挑战184.3.1.最优化194.3.2.安全性204.3.3.交换214.4.总结22第5章设备介绍245.1.设备参数（Datasheet）245.2.设备外观295.3.认证证书30第6章设备配置37第7章总结38附录1 Request Switching技术简介39附录2 新浪()案例46附录3 在世界上最严酷网络环境中运行案例48第1章 需求分析1.1. 网络现状 （用户拓扑图）1.2、需求分析根据需求的描述，需要满足以下主要功能：l 通过应用交换保证最佳服务（即实现服务器的负载均衡）l 为重复性的内容提供缓存服务（即缓存的解决方案）l 为HTTP应用提供页

3、面内容压缩（即压缩的解决方案）l 提供系统SSL的处理能力（即提供SSL加速服务的解决方案）同时，要考虑以下几点:l 实用性和先进性采用先进成熟的技术满足当前的业务需求，兼顾其他相关的业务需求，尽可能采用先进的网络技术以适应更高的数据、多媒体信息的传输需要，使整个系统在一段时期内保持技术的先进，并具有良好的发展潜力，以适应未来业务的发展和技术升级的需要。l 安全可靠性为保证将来的业务应用，网络必须具有高可靠性。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制、控制手段和事故监控和网络安全保密等技

4、术措施提高网络系统的安全可靠性。l 灵活性与可扩展性网络系统是一个不断发展的系统，所以它必须具有良好的扩展性。能够根据将来信息化的不断深入发展的需要，方便的扩展网络覆盖范围、扩大网络容量和提高网络各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。l 开放性/互连性具备与多种协议计算机通信网络互连互通的特性，确保网络系统基础设施的作用可以充分发挥。在结构上真正实现开放，基于国际开放式标准，包括各种广域网、局域网、计算机及数据库协议，坚持全国统一规范的原则，从而为未来的业务发展奠定基础。l 经济性/投资保护应以较高的性能价格比构建网络系统，使资金的产出投入

5、比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。尽可能保留并延长已有系统的投资，充分利用以往在资金与技术方面的投入。l 可管理性由于系统本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以在网络的设计中，必须建立一个全面的网络管理解决方案。网络设备必须采用智能化，可管理的设备，同时采用先进的网络管理软件，实现先进的分布式管理。最终能够实现监控、监测整个网络的运行状况，合理分配网络资源、动态配置网络负载，可以迅速确定网络故障等。1.3、需求总结：l 以唯一的域名或IP地址作为所有提供相同服务的服务器的逻辑入口点。l 在负载交换机内设定均衡负载

6、策略，将服务器群规划成一个组。l 具有灵活的流量分配算法与机制，以确保用户总能访问可以为其提供最优服务的服务器。l 负载服务器处理用户的请求，再由负载交换机将处理结果返回用户。l 具有很好的升级与可扩展性，能够适应特定的和不断变化的业务需求。通过部署高性能的负载均衡产品，及时发现所负载均衡的各服务器的健康状况，当某台服务器出现故障时，保证把后续用户的访问导向到正常运行的服务器上去。Citrix Netscaler设备提供专用的硬件SSL卡，提供SSL的加密业务处理能力，越来越多的用户开始使用SSL对关键业务进行加密处理，传统的由服务器来处理SSL的效率较低，同时会降低其他业务的性能，采用专业的

7、SSL处理卡可以大大提升系统的整体性能，能够在不降低网络性能的情况下为用户提供快速的SSL交易，以确保高效、连续和安全的完成电子商务交易。第2章 技术方案2.1. 设计原则1. 实用性NetScaler在负载均衡领域具有长期的实际经验和众多的成功案例, 我们可以提供完全满足用户技术需求的负载均衡功能;2. 可靠性本项目作为用户非常重要的信息系统,必须保证其高可靠性. NetScaler提供的双机热备,链路聚合等功能可以保证用户对可靠性的要求.同时,我们还为NetScaler设备配置了双电源,保证了设备自身的可靠性.3. 多功能除了负载均衡, NetScaler设备还提供了性能优化,DDOS保护

8、,SSL VPN(可选)等多种功能. 使用户在很低的设备成本和运行成本下,同时获得性能,安全性和可管理性的改善.4. 扩展性NetScaler的性能优异,可以满足当今和未来系统对设备处理能力不断增强的需求. 同时,用户还可以通过购买软件授权,增加设备的功能.2.2. 部署方式建议将这2台NetScaler设备,如果条件容许可以使用4台，分别构成2组高可靠性双机,用于上海和贵州的邮件系统,以及其他的系统.以下列出了2种典型的部署模式：HA双臂和HA单臂模式.HA双臂模式HA单臂模式我们可以根据现有的实际网络拓扑结构,灵活地使用单臂或双臂模式部署NetScaler设备. 如果两种部署模式在现有网络

9、拓扑结构中均可行,我们推荐使用HA单臂模式,即将NetScaler设备通过1或多条链路连接在核心交换机上. 这种模式对现有网络环境的影响最小,而且未来的扩展性较强.2.3. 设备管理与监控设备可以通过Console/SSH以CLI方式,或者通过基于Java技术的GUI界面进行配置管理与监控. 同时,该设备支持SNMP,可以纳入用户的网管系统中进行统一的管理.GUI配置和监控界面非常友好,便于用户操作.图:界面范例第3章 详细技术设计3.1. 利用服务器负载均衡技术实现流量分担我们根据系统的实际情况，定义了若干个虚拟服务器（也称为vserver 或者 VIP)， 其上包括了一个IP地址和端口。这

10、个虚拟服务器被设置成与一组运行在真实服务器群上的真实服务所绑定。真实服务包含了后台真实服务器的IP地址以及端口。在这样的情况下，一个客户发送一个请求到虚拟服务器，然后虚拟服务器在真实服务器群中选择一个并将请求转发到该真实服务器。不同的虚拟服务器可以设置成与不同的真实服务绑定，例如TCP以及UDP服务。虚拟服务器支持的协议和应用包括： HTTP, FTP, SSL , SSL BRIDGE, SSL TCP ,NNTP 以及DNS等等。同时对于某些特定的服务，我们在虚拟服务器上配置“保持粘性” ： 一旦一个服务器被选择了，后续的从该用户发出的请求都被转发到同一服务器上。“保持粘性”对于那些状态需

11、要保存在服务器上的应用，例如：购物系统等是非常重要的。NetScaler 9010 系统也负责检查服务器群的服务的健康状况。一旦发现服务有问题， NetScaler 9010 系统仍将继续依照负载均衡算法把服务转向到其他正常的服务上去。负载均衡算法指定了负载均衡的标准，也就是说，负载均衡算法选择了一台真实服务器来传递用户的请求。如果这个被算法选定的最合适的服务器达到或者超过了其最大用户连接数（使用-maxClients 在CLI命令行中队服务进行设定），那么另外一个连接数比较合适的服务器将被代替。这个方法可以通过在均衡算法中将连接数作为权重设置来实现。NetScaler 9010 系统可以设置

12、按照以下这些算法来实现负载均衡：l l最少连接数l l轮询l l最少响应时间l l最低带宽l l最少包l l令牌l lURL 散列法l l域名称散列法l l源IP地址散列法l l目的IP地址散列法l l源IP-目的IP散列法3.2. 利用优化功能提高了网站的整体性能如前所述，对于 MAIL 、HTTP 流量， NetScaler 9010 系统通过利用保持自己与用户端通过WAN的连接以及保持自己与服务器的常连接的技术来保证了快速的页面下载时间。这个是通过在客户端以及服务器上的MAIL 、HTTP “连接保持” 技术来实现的。对于服务器来讲，它永远只感觉到自己在和一个一直保持连接的用户（就算实际

13、上该用户不是一直保持连接的）进行交互。而对于客户端来讲，它永远感觉到自己在和一个保持连接的服务器在进行交互（就算实际上该服务器被设置成例如一个请求一个连接这样的非keep-alive方式).这一常连接保持技术利用在客户系统上，可以显著提高用户客户端的页面下载时间。其原因在于用户不需要再通过WAN建立新的连接，而一般来讲这些新建连接过程在WAN上通常会带来50到500ms的延迟。服务器端的常连接保持带来的服务器服务卸载。Netscaler保持与服务器的连接，并且所有来自客户端的连接被Netscaler终结。这样的情况下，服务器可以将更多的资源用在对于用户请求的响应上而不是去浪费在TCP连接的建立

14、和拆除的管理上。常连接保持使得服务器上只存在有较少的连接，服务器 CPU/内存 使用率被显著降低，其原因是服务器现在处理的连接建立和拆除进程减少很多了。3.3. 利用DDOS防范功能确保了网站的安全在本项目中，我们使用NetScaler 9010 系统的SYN cookies 原理来防范SYN FLOOD攻击。Cookies被发送到发送请求的用户端，该初始会话状态没有被保留在NetScaler 9010 系统上。正因如此，NetScaler 9010没有为该会话分配内存，正常的由合法的用户发出的TCP连接并不会被终结。NetScaler 9010 系统在收到非HTTP流量的最终ACK包或者收到

15、HTTP流量的HTTP请求包时才为连接分配内存。 正因如此，在多次项目的实施过程中的若干次压力测试下，NetScaler 9010系统可以达到非常高的SYN处理能力（达到2M SYN/SEC）。NetScaler 9010系统的SYN cookie 机制确保了以下几点：l lNetScaler 9010 系统的内存不会浪费在非法的SYN包上，实际上，内存只被用来向合法用户提供服务。l l合法用户的普通的TCP对话可以无终断的得到服务，就算系统在SYN FLOOD攻击下也是如此。l l正由于内存只在收到HTTP请求后才予以分配给连接， NetScaler 9010 系统使得客户系统的WEB站点避

16、免受到了 “空闲连接” 攻击。此外，NetScaler 9010系统还能有效的防范7层 DOS 攻击。一般来讲，有两种类型的7层 HTTP DOS攻击： GET攻击以及 IDLE攻击。 对于GET攻击,黑客在一个连接建立后发出非常多的GET请求。 对于IDLE攻击，攻击者在连接建立后恶意停止一切活动而空闲等待。 NetScaler 9010系统在处理时，当连入的SESSION速率达到一个预先设定的门限值时，DOS防卫功能就自动触发。 NetScaler 9010系统会抽样对一部分客户端请求发送带有SET-COOKIE的响应。 恶意攻击主机通常不会响应SET-COOKIE，所以这些攻击包就会被丢

17、弃。 而普通正常的HTTP请求不会受到影响。 这个触发的门限值以及发送SET-COOKIE的比例值可以针对每个服务来精细微调。 并且，由上所述，连接不会在第一个GET请求到达前建立。所以NetScaler 9010系统也可以有效的防止IDLE攻击。3.4. 利用SSL VPN来远程管理内部服务器(可选)VPN技术可以扩展企业的内部网络，使在外工作的员工和合作伙伴通过标准、公用的因特网访问他们的内部网络。它相对传统的专线网络方案的主要优势是各项费用将大大降低。专线网络需要在合作伙伴或者远程员工与公司总部之间有一个物理封闭的网络连接，或者采用远程拨号访问方案，或者采用T1之类的数字专线连接。VPN

18、是一个非常实用的技术，它允许客户（包括员工）和合作伙伴利用标准的因特网进行廉价连接，它允许采用IPSec安全协议方案。事实上，在VPN技术中包括许多加密和安全协议，SSL就是其中一个，同样主流VPN应用的IPSec也是其中的一种。所以总的来说IPSec VPN与SSL VPN是VPN技术在两种不同的安全协议下实现VPN通信的两种平等方案。相对于传统的IPSec VPN，SSL能让公司实现更多远程用户在不同地点接入，实现更多网络资源访问，且对客户端设备要求低，因而降低了配置和运行支撑成本。很多企业用户采纳SSL VPN作为远程安全接入技术，主要看重的是其接入控制功能。SSL VPN提供增强的远程

19、安全接入功能。IPSec VPN通过在两站点间创建隧道提供直接（非代理方式）接入，实现对整个网络的透明访问；一旦隧道创建，用户PC就如同物理地处于企业LAN中。这带来很多安全风险，尤其是在接入用户权限过大的情况下。SSL VPN提供安全、可代理连接，只有经认证的用户才能对资源进行访问，这就安全多了。SSL VPN能对加密隧道进行细分，从而使得终端用户能够同时接入Internet和访问内部企业网资源，也就是说它具备可控功能。另外，SSL VPN还能细化接入控制功能，易于将不同访问权限赋予不同用户，实现伸缩性访问；这种精确的接入控制功能对远程接入IPSec VPN来说几乎是不可能实现的。SSL V

20、PN基本上不受接入位置限制，可以从众多Internet接入设备、任何远程位置访问网络资源。SSL VPN通信基于标准TCP/UDP协议传输，因而能遍历所有NAT设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何地方接入，无论是处于其他公司网络中基于代理的防火墙之后，或是宽带连接中。NetScaler SSL VPN 是一个安全的远程接入解决方案，它能提供远程用户，例如移动员工，远程工作，合作伙伴，分销商甚至一个企业网络的点到点的连接。这一方案首先在用户的标准浏览器以及NetScaler 9010系统之间建立一条安全的基于SSL的隧道。 利用业界标准的SSL作为底层的隧道协议，NetS

21、caler SSL VPN 不需要对于服务器以及局域网做任何配置上的变动。 此外，也不需要客户端软件的增加和管理。就象其他传统的IPSEC和VPN系统那样，NetScaler的SSL VPN 允许远程用户安全的访问公司的内部网络。它的主要作用在于提供对于企业内部网络资源的安全接入，例如，内部和外部的WEB站点，共享的WINDOWS文件系统，内部客户/服务器应用程序（如Outlook, Peoplesoft, Oracle等）。NetScaler的SSL VPN 解决方案提供远程用户在任何地点借助于公网的安全的对内部网络资源的接入。 NetScaler SSL VPN 当远端用户第一次进入并获得

22、SSL VPN门户授权后，在该用户PC上自动安装的一个浏览器插件。一旦安装，这一浏览器插件与NetScaler 9010 系统沟通，并建立了在INTERNET上的一个安全隧道。通过这一连接，远端用户能够象在公司内部局域网内部一样去访问内部网络的各种资源。第4章 产品技术特点4.1. Citrix NetScaler 技术简介Citrix NetScaler 应用加速系统把传统意义上的数据中心的各种纷繁产品的功能，例如：负载均衡，缓存，压缩，SSL加速，攻击保护，SSL VPN等，融合进了单一的产品中，从底层出发极大的优化了数据中心各种应用的性能和数据安全性。 由于应用通常需要端到端的服务器与用

23、户的连接，从而隐藏了特定应用的需求，所以实现智能化的应用基础设施是极其具有挑战性的技术。 这样的对于特定应用需求的“隐藏”性，通常使得应用层解决方案在做智能化应用决策时显得无能为力。所有的NetScaler系统产品都是围绕着NetScaler专利技术 Request Switching 为基础的，这也是业界唯一的能够以线速处理所有用户自定义策略为基础的应用请求的技术。 NetScaler的应用感知策略引擎AppExpert, 允许用户自定义详细的对于特定请求的策略，而与连接无关。 AppExpert 允许管理员设定复杂的处理各种应用请求的策略，从而实现强大而全面的基于应用的各种功能。NetSc

24、aler 系统能带给你:l最大化的应用性能l端到端的应用安全l持续性的应用可靠性l降低运营成本虽然有其他公司的解决方案声称能增加WEB应用的性能，但是只有NetScaler系统能最大化的提升WEB应用以及client/server应用的性能和安全性。 此外，NetScaler的单一的一元化设备取代了数量众多的单点解决方案，众多的网络设施被梦幻般的简单化，高额的运营建设费用业被相应的降低了。NetScaler系统能提升Oracle, PeopleSoft, SAP, Siebel, Outlook Web Access, E-commerce系统的性能多达70%以上，同时增加了安全性并降低了运营

25、成本。NetScaler产品分为两个系列：Application Accelerator 应用加速器应用加速系列是那些期盼能增加数据中心应用性能的企业的理想解决方案。 同时该产品系列还能提供无须客户端的对于这些应用的远程安全控制。 Application Switch 应用交换应用交换是全功能的网络系统，其融合了4-7层负载均衡，内容交换，应用加速以及强大的安全性能。 它是老化的负载均衡以及其他传统单点解决方案的理想替代品。应用交换产品降低了网络的复杂性，减少了运营成本。 4.2. 优化Web应用Citrix NetScaler应用交付系统应用交付带来的挑战IT可不简单如今，企业很大程度上都依

26、赖其业务应用。库存、客户关系、销售、财务处理和其它应用已成为企业运营的命脉，而将这些应用发送给用户是如今企业面临的一个主要的挑战。要创造更高的生产效率，公司员工、远距离办公人员、业务伙伴、客户和远程办公室的工作人员就必须保持对关键应用的不间断访问。可用性、安全性或有效性的任何不足都可能导致生产效率和利润率降低。目前，要有效部署应用还面临着很多障碍。低带宽、高延时WAN和拨号连接方式使得处理能力降低，等待时间延长。安全方面的不足会将机密数据置于被盗取的危险之中，或导致应用崩溃。由于服务器资源的限制，所有用户的响应时间都受到了不良影响。而用户群过大也会影响基础架构的正常使用，引发故障。太慢或太难用

27、的远程接入方式同样会降低商务旅行时的生产效率。因此，要想提高生产效率以及应用的可接入性，就必须克服上述障碍。传统产品 vs. 应用交付挑战单纯的故障处理不能解决根本问题假设应用部署完整，经过数月的计划和测试，应用部署应该会相当成功。然而，只有当所有用户都能访问应用时，计划才能按部就班实施。这样就会引发严重后果，包括不良的应用性能降低总的可用性，从而影响整个应用以及整个计划。由于不能轻易检测出应用问题（如不良的应用性能），就可采用市面上的大量技术和产品来逐一解决出现的症状（参见表1）。症状解决办法Web应用低性能负载均衡器SSL应用低性能SSL加速Web应用低性能内容缓存服务器的不良扩展性TCP

28、优化WAN连接低性能内容压缩表1、症状及相应的解决办法然而，大多数应用部署过程中会同时出现表1中所列的症状，还有一些是表中还未涉及的。要解决其中任何一个症状都需要配置多用途设备。这样一来，虽然每种症状都能得到解决，但同时采用多种解决方案并不一定能够达到最好的效果，实际上还会因此引发不必要的、潜在的会带来严重后果的负面影响。就拿企业的Oracle财务应用部署来说吧，该应用是为了优化业务进程，提高生产效率，应用性能不良可能会直接影响用户生产力。通常，许多性能问题都几乎被出于本能地认为是由网络故障引起的，即便其它所有应用都能在网络基础架构中正常运行。只有对网络有效性进行了详细检查并证实后，才会将问题

29、归咎于应用及其在基础架构中所发挥的功效。还有另外一种解决办法，就是针对每个症状增加网络化“解决方案”，然而费用极高，还不能解决所有问题，只是可以暂时缓解症状而已。单个解决方案的使用确实会改善性能，但是，如果在一个应用基础架构中同时采用多种解决方案反而可能会导致总体性能下降。打个比方，每增加一台设备，其管理复杂度和支持成本必然会显著增长，因为每台设备采用的是不同的管理界面，这就需要另外进行管理培训，而且还必须为每台设备提供支持服务。图1、多产品解决方案图1所列的单点产品都只是针对个别症状，不能有效解决更多问题，例如，如何在最小化网络复杂度和成本的同时优化和加速应用。4.3. Citrix Net

30、Scaler解决方案直击所有挑战应用解决方案Citrix NetScaler应用交付系统率先引入了应用网络基础架构新概念，在架构中整合了性能、安全性、可用性，并节省了成本，而这些正是企业和电子商务公司在经IP网络放心部署关键应用过程中所需要的。Citrix NetScaler系统融合了传统负载均衡器、流量管理器和远程接入系统的所有特点，具有先进的应用功能。由于单一的整合平台具备了应用交付和安全性特点，Citrix NetScaler应用交付系统可发挥出每项技术的优点，与前面谈到的单个解决方案是完全不同的。图2、Citrix NetScaler应用交付系统NetScaler应用交付解决方案融合了

31、Citrix Request Switching的三项重要功能，可将复杂的第7层技术融入高性能架构中。技术覆盖的范围包括： 优化确保最好的应用性能和扩展性。 安全确保应用内容的安全性，保证服务器不受DoS/DdoS攻击。 交换确保可靠的应用性能以及应用的高度可用性。图3、Citrix NetScaler技术覆盖范围及其特点4.3.1. 最优化投入最少精力，显著提升性能通常，在确定应用性能问题不是由网络基础架构引起之后，那就会认为是服务器硬件造成的。尽管服务器会直接影响其运行性能，但不会对应用性能构成直接影响。我们必须区分处理过程和应用性能。简单地提高服务器处理能力只会对应用性能和扩展性的改善起

32、到一点作用，亦或是根本就不起任何作用。采用增加负载平衡器来处理增长的负荷也同样如此。面向应用的优化性能可卸载应用服务器冗长的处理过程，让其能执行主要的服务功能。进程卸载允许服务器在原有基础上扩充容量，同时加速内容发布。NetScaler应用交付系统提供了一系列应用优化功能，极大改善了应用性能，并扩充了服务器容量，而完成这一切并没有对服务器或客户端系统进行任何修改。NetScaler应用交付优化性能包括： TCP优化降低了单个应用服务器所需处理的客户端连接数量，优化了服务器响应性能。所带来的好处就是服务器可支持更多应用用户，现有硬件投资周期延长了，应用内容交付的性能增强了。 AppCompres

33、s作为高级压缩功能集，AppCompress可加快包括传统Web化应用在内的所有应用数据的发布过程。通过降低传输数据量，AppCompress消除了带宽瓶颈，改善了应用的总体性能。 AppCompress for HTTPAppCompress for HTTP的高级HTTP压缩功能加速了对所有用户的Web化应用数据交付过程。它将标准Web化页面应用发布过程提高了2到3倍，甚至将某些企业应用数据发布过程提高了7倍，而未增加任何客户端技术。同时，该功能还卸载了Web服务器的计算密集的压缩过程，因此企业无需追加基础架构投资就能服务更多用户。 AppCompress MPAppCompress MP

34、是一项多协议压缩技术，可改善用户经全/富客户端（如Microsoft Outlook）、非Web瘦客户端（由大众化企业应用如Oracle、SAP和Siebel推出）以及移动客户端（如Pocket PC）进行应用访问的性能。 AppCompress Extreme通过清除HTTP内容中的冗余数据，AppCompress Extreme技术改善了标准化HTTP压缩性能。该技术提供了一种强大的压缩引擎，以策略为导向，可立即计算出应用数据的差异，然后将变更数据发送给用户。 内容高速缓存支持从NetScaler系统中调用静态和动态应用内容，大大降低了应用内容重建的资源需求和等待时间，因此极大地改善了应用

35、性能。4.3.2. 安全性保持应用可用性NetScaler应用交付系统具备全面的攻击防御系统，可保证系统不受DoS、DDoS、网络蠕虫/病毒和应用专用漏洞的攻击。每个NetScaler系统的核心都是Request Switching技术，该技术拥有多项专利，提供了独特的、高性能的第7层功能组合。这项技术支持NetScaler应用交付系统对应用请求进行检查，辨别恶意内容并阻止其进入应用服务器。NetScaler应用交付系统的安全性能包括： DDoS保护识别和保护应用基础架构不受DoS/DDoS攻击。这种保护已超越了其他供应商采用的传统SYN cookie技术所提供的保护（详情请参见NetScal

36、er SYN保护白皮书）。 入侵过滤通过在恶意蠕虫和病毒进入应用服务器前进行识别并拒绝，保护应用服务器不受侵袭。NetScaler系统独特的包检测和过滤功能（包括对加密流量进行检测）可支持管理员制定政策来保护系统不受这些攻击。NetScaler可抵御的普通攻击包括Nimda和Code Red。 SSL加密应用内容在传输过程中都受加密保护，通过卸载服务器复杂的加密任务将应用处理能力发挥到了极致。该功能使管理员能保护敏感应用内容的安全，使其摆脱被窃取及被滥用的潜在威胁。 SSL VPN无需额外的远程客户端软件，而直接采用普通的客户端技术即可为远程用户提供全面的、安全的远程接入技术，同时采用了行业标

37、准的SSL技术保护机密内容。NetScaler SSL VPN技术允许终端用户远程访问任何应用，包括非Web客户端/服务器应用在内。4.3.3. 交换不只是平衡动作为了确保应用的有效性，NetScaler应用交付系统提供了完善的应用交换功能，支持多个应用服务器和/或数据中心间的流量分配。这种流量分配功能可以更快的速度处理客户端请求，确保了发生服务器或应用故障时的容错能力。传统交换解决方案的问题在于：它们只是针对第4层（连接层）进行流量检测和交换，应用内容知识或能力有限。而采用这种新的解决方案，就不会强迫用户每次连接时使用相同的应用数据量。在现实操作中，某些客户端比其它一些客户端的需求量更大，因

38、此，服务器之间的流量分配就不均衡，从而弱化了负载平衡的分配优势。相反，NetScaler的交换技术基于Request Switching，可识别每个用户不同的应用请求，并据此实施相应对策。通过实行请求交换，而不是连接交换，NetScaler能够提供业界最为领先、性能最为优越的应用流量分配解决方案。NetScaler应用交付系统的交换功能包括： 负载平衡提供多个应用服务器间的应用内容分配功能，其崩溃恢复机制保证了业务连续性，改善了应用性能。更甚的是，Request Switching在不考虑个人用户需求的情况下就实现了流量分配。 第7层交换提供了基于内容的流量分配功能，使管理员能部署适合个人内容

39、的应用专用资源（如图象服务器、XML服务器、HTML服务器）。 全局服务器负载平衡（GSLB）基于地理位置和网络亲近度进行内容分配，保证了远程用户可直接透明地交换到其所在的特定区域的本地化内容，或交换到本地资源，保证最佳性能。 高速缓存重定向通过将应用内容发送到预先配置好的缓存区，实现了与现有的高速缓存基础架构之间的融合。4.4. 总结有一点非常重要，那就是，应用和网络基础架构合在一起构成可支持战略业务目标的普通“应用基础架构”。NetScaler应用交付系统设计的本意就是利用现有的发生业务故障最少的网络基础架构来确保保证应用有效性。NetScaler应用交付系统的独特性能可最佳化应用通信和资

40、源，保证数据中心资产的安全，确保应用的持续有效性。通过在企业内部或电子商务基础架构中部署NetScaler，企业可立即降低成本。下图清楚地反映了网络和应用管理员眼中最能影响应用基础架构生态系统的三大区域。 图4、Citrix NetScaler端到端应用解决方案NetScaler应用交付系统是业界第一个可弥合网络基础架构和应用鸿沟的解决方案，在提高总体性能的同时优化了应用通信。总之，单个平台上NetScaler多种先进功能的集成大大削减了操作成本，降低了网络复杂度。第5章 设备介绍5.1. 设备参数（Datasheet）(见下页)5.2. 设备外观5.3. 认证证书第6章 设备配置Netsca

41、ler 90010机器做HA的配置清单序号设备名称详细配置描述可扩展性描述数量单位1Citrix应用负载均衡交换机Citrix NetScaler应用负载均衡交换机9010系列企业版 (4光纤口,4GB内存）可升级压缩与缓存模块1台2Citrix应用负载均衡交换机Citrix NetScaler应用负载均衡交换机9010系列企业版 (4光纤口,4GB内存）可升级内存，压缩与缓存模块1台以上配置我们可以再根据具体应用情况做出调整。第7章 总结群柏数码公司长期以来一直积极致力于网络安全、应用交换、存储等领域. 我们希望利用Citrix NetScaler产品的独特优势,帮助用户提高网络质量,改善使

42、用体验,降低运行成本.在本次项目中,我们期待以思杰系统公司提供的Citrix NetScaler产品和专业服务,参与XX项目的建设.。附录1 Request Switching技术简介NetScaler拥有专利的Request Switching技术是WEB应用系统的基础，它是拥有最佳的性价比，能保证持续，安全的WEB应用。基于在网络优化方面的领先研究，Request Switching技术以最有效的方法处理WEB应用流量： 在应用请求层进行分析，然后加入安全性，重定向进入流量，使得优化流向，保护以及控制流量变为可能。基于这些技术，NetScaler打破了应用请求对于传输层的依赖性，从而实现了

43、每个最终用户的请求这一独特的处理特定应用请求以及响应的能力，使得应用层得到保护，网络基础得到全面优化，而这是其他技术以及方案所不能提供的。NETSCALER突出的特点表现在：l持续的应用有效性使得各种应用在流量浪涌以及恶意攻击下也能得到保证。l增加了服务器的能力，在降低带宽占用，降低复杂性的同时，整体运营成本也显著降低。l提供了对于WEB应用的线速安全保护能力。Request Switching技术使得NetScaler用户能100%保护其应用内容的安全性，持续的提供服务给最终用户，并且降低了总体的运营成本，而这一切都不会影响最终用户的使用感觉。那么Request Switching是如何工作

44、的呢?NetScaler拥有专利的Request Switching 技术向我们展示了下一代的流量管理技术。NetScaler打破了存在于连接和请求之间的关系，并在请求层检测所有的流量，Request Switching 提供了高性能的，安全的，可扩展的应用层服务。在 Request Switching 技术的核心是一个新的运行范例，正是在这之上， NetScaler系统分开管理每一客户端连接以及服务器端连接。因为NetScaler 系统是每个客户端以及服务器端连接的终点，而不是简单的传输连接，所以它能提供以前其他流量管理系统所无法达到的许多加速和优化技术。因为Request Switchin

45、g 引擎被专门设计来在请求层检测流量，所以负载均衡以及内容交换可以非常高效的完成。策略以及过滤可以在进入的请求上被应用并且丝毫不影响性能。 成熟的负载均衡算法以及健康检查机制保证了服务的均衡性以及持续可靠性。 先进的加速和优化技术在降低服务器负载的同时更快的把内容传送给了最终用户。Request Switching 是NetScaler 应用提供系统的基础。基于在请求层管理流量的原理，Request Switching 可以在最终用户的地理位置和连接速度各不相同的情况下高效的加速和优化内容传输。由于 NetScaler 系统是一个在客户/服务器端通信的中介者，使得它能够利用HTTP 1.1对于

46、连接保持的优越特性。多个请求可以在一个客户连接上被复用，这样消除了连接建立的时间以及客户端的延迟。与服务器保持的常连接，可以复用多个客户端来的请求，甚至可以是从不同客户端来的，或者甚至客户端不支持连接保持。 这减少了TCP连接在服务器上的消耗，使得服务器可以更有效的专注于内容的服务。图1： 利用常连接的 Request Switching 技术此外，Request Switching优化过的TCP/IP堆栈允许NetScaler 系统消除了服务器对于客户端连接速度的依赖性。一旦一个向服务器的请求建立，响应可以全线速无阻塞的传递到NetScaler系统。NetScaler 系统会缓冲该响应并以客

47、户端连接速度来把内容传递给客户端，这样使得服务器可以持续服务接下来的其他请求。作为卸载TCP 处理以及缓冲到NetScaler系统的结果，每个服务器都可以处理几倍于其本身性能的并发请求。 这一结果使得载服务器软件以及硬件上的投资大幅度减少，数据中心空间利用降低，并且也可观的减少了维护成本。压缩是一个普遍用来增加性能以及降低带宽占用的技术。压缩的内容只要较少的时间就可以被下载，所以可以加快客户反应时间并同时减少带宽的使用。但是，使用压缩有其薄弱之处。实时压缩是一个非常占用处理器资源的进程，甚至会使得服务器超负荷。预先压缩内容是一个解决方案，但是由此增加的管理花费却不得不加以考虑。NetScale

48、r 应用传输系统利用内置的高性能压缩引擎解决了这些问题，这一引擎称为AppCompress。这一引擎与Request Switching其他技术一起配合使用，可以解决实时的应用流量压缩。 从服务器来的数据被送到客户端前在应用层被压缩，这样减少了下载的时间并且减少了带宽占用的消费。其他的压缩程序都不需要，服务器被从压缩任务中解放出来，对于预先压缩内容的维护消耗也被消除。同样，在维持高性能服务的同时，基础设施消费以及管理成本被明显降低。图2 使用压缩的Request Switching 技术缓存是增加WEB应用性能的另一个常用方法。缓存在离用户更进的地方保存内容，增加了响应时间并且减少了原始服务器

49、的负载。但是，由于缓存服务器的独立性，使得网络变的更加复杂并且难以管理，并且独立的缓存通常不具备对于动态内容的支持以及所期望的一些控制管理功能。内置于内存中的，被称为AppCache的，并且与Request Switching一起工作的NetScaler缓存技术，使得NetScaler系统可以卸载很大部分服务器对于请求的消耗，并且可以更快的向最终用户传送内容。静态以及动态内容都可以支持，缓存的策略以及有效性也可以灵活的设置。高性能的缓存以及压缩，内容交换等其他优化技术一起协同工作，使得用户响应时间达到最佳，并且WEB站点的客扩展性也显著提高。图3. 缓存技术与 Request Switchin

50、g由于商务活动带来了更多的应用，所以内容的安全性被越来越重视了。但是，安全的传输内容是一个富有挑战性的技术。因为传统的流量管理不能理解经加密的内容，所以它们不能进行加密内容的交换或者对其进行其他一些处理。此外，加密和解密对于服务器来说也是非常消耗资源的进程。Request Switching 利用内置于NetScaler的密码加速技术解决安全内容的传输问题。当一个请求到达时，NetScaler 对其进行解密并且载传递到相应服务器之前进行内容交换策略的选择和过滤。从服务器来的响应可以经过压缩和缓存，然后经加密传送到用户端。这一系列步骤使得流量管理和优化技术可以应用于安全内容，并且减少了服务器的处

51、理密码的进程消耗，降低了服务器负载。高性能加密同时意味着IT经理们不需要再出于性能的考虑而限制内容传输的安全性。所以在保持灵活性以及响应时间在一个优越水平的前提下，安全性也会得到提高。 图4 Request Switching 以及 SSL OffloadRequest Switching 同时也提供了灵活的防范各类攻击的机制。由于所有的流量在请求层被检测，所以攻击在到达服务器前就被阻止了。Request Switching经优化的TCP/IP 堆栈能有效的处理网络层的拒绝服务攻击，请求在送到服务器之前被进行安全检测。内容过滤策略可以被用来保证只有合法的请求才被传输，并且所有不符合标准的请求都

52、被视为非法并且被丢弃。此外，速率限制机制也可以被设置，以此来设置一个门限来控制流向任何服务器的超载。Request Switching 能显著增加INTERNET应用基础的吞吐量以及可靠性，其基础是建立在对每个应用请求/响应的传输侦测，从而达到最优化的利用传输层协议和资源，这一技术甚至在所有被传输的内容都加密和压缩的情况下也可以达到。正是基于对于整个请求/响应处理的全程管理，NetScaler能独特的做到极其有效的引导和控制从用户端向服务器发起的应用请求以及响应。Request Switching 包括了以下的众多的流量管理技术:l l卸载了服务器以及缓存的传输处理l l分析以及优化每个服务请

53、求l l提供了在不丢失交易的前提下的对请求流量的精细调节l l保持客户端TCP连接从而加速请求反应时间l l复用以及反向复用应用层请求从而优化了服务性能基于其高性能的处理技术，Request Switching 利用在客户端和服务器之间的常连接复用技术使得上百万的由用户发起的请求复用到了少量的服务器连接上，这一技术完全基于标准的INTERNET协议（没有其他竞争技术能象NetScaler这样完全开发HTTP 1.1常连接技术）。 Request Switching 技术调整了传输层相关的一些参数，允许服务器能快速适应网络性能的变化。这样，数据在传输的速度上得到了提高，用户反应时间也相应加快。把TCP进程卸载到NetScaler的技术使得服务器端资源得到有效的优化，从而提供更高的吞吐量，低延迟以及高可靠性。NetScaler 将这一革命性技术从最底层的处理上应用到其产品中，提供给企业，E-BUSINESS以及服务供应商无比的WEB应用保护，空前的性能以及全面的安全服务，所有这些都是线速的，而且是一个整体的解决方案。附录2 新浪()案例附录3 在世界上最严酷网络环境中运行案例Google、MSN、Amazon、YAHOO、Ebay.48