公钥加密方案。首先,服务器向客户机发送承认其可靠性的认证。然后,使用共享密钥来对发送方与接收方之间的数据进行加密。例如,当发送方确认接收方正确无误时,会为数据包加上一个安全的“外壳”(加密),同时通过线缆传输此数据包。必须在目的地将此“外壳”去掉,才能使用该数据包信息。其它的步骤还包括:认证、加密和解密,这极大地增加了Web服务器的流量处理负担。
网上银行交易过程是Internet交互中速度最慢、工作负载最大的一部分,其原因是网上银行用户需要经过 SSL站点,对交易进行监督和数据加密的保护。如果通过计算密集型程序来设置和实施的SSL对话,即使是功能最强大的服务器也无法达到很高的速度。这样,在上网的高峰时刻,等待时间会越来越长,有时一些交易根本无法完成。
为了解决网上银行服务器反应速度问题,从根本上解决SSL给服务器运行带来的不利影响,必须采用专门设备处理SSL协议,以便使服务器的CPU从繁重的加密/解密过程中解脱出来。 Array内置SSL加速功能使问题迎刃而解。Array产品包括SSL加速技术,该技术是用于卸载服务器的SSL(安全套接层)处理的,以提高其性能,同时大幅度缩短响应时间并增强客户交易流量管理。SSL加速技术可以提高网上银行交易服务器的性能,并在网上银行交易过程中提供安全性、高速度和流量管理,所有这一切都是从同一地点进行的,无需费钱费力地在每台服务器上安装额外的硬件或软件。
Array解决方案能使网上银行工作人员卸载认证管理以及加密和解密功能,从而提高工作效率和可靠性。 解决方案真正解除了Web服务器上的通信负载。因此,无需再购买额外的服务器来处理SSL流量。Array产品还允许您为整个服务器集群只购买一个证书,从而降低了成本并减少了证书管理的时间,与必须为每台Web服务器购买和安装SSL处理卡不同的是,您只需安装一次SSL加速器。
21
Array SSL 加速特性:
-通过专用硬件--SSL加速卡实现高性能的SSL加速; -同时支持异步和同步的加密加速服务;
-通过突破性的专利技术SpeedStack*技术保障高性能; -可以同时处理SSL流量和非SSL流量;
- CSR 能产生证书的申请,同时生成一个临时的证书用于测试;
- 能为Open-SSL,Apache-SSL and Microsoft IIS导入PEM格式的证书; - 能导入 Chained (intermediate) certificates;
- 利用X-Forwarded header,把用户的IP地址传给服务器,用于LOG记录用户的访问; - 支持当今流行 128 bit 加密密钥。
-Array TM每秒钟可以处理5000个SSL交易,并以750Mbps的吞吐量同时处理32000个SSL连接。
8.LLB(Link Load Balanceing)连接负载平衡
7.1 Array LLB在网上银行网络中的应用
目前几乎所有的网上银行都采用多个接入链路(多宿主)接入Internet,采用多宿主的解决方案来避免Internet接入中断所造成的损失。在这里所提及的“多宿主”通常指同时使用不同ISP提供的多条Internet接入链路。可用性的提高来自于多条链路的使用,而性能提高则是因为同
22
时使用多条链路增加了带宽。但是这种多宿主网络目前存在几个严重的问题,一是对于流入流量来说,不能保证链路的同时使用,多宿主解决方案的部分优点无法实现。二是内部网络同时使用两个ISP提供的地址,一部分内部用户(A组)使用ISP1提供的地址,另一部分内部用户(B组)使用ISP2提供的地址,当ISP1的链路中断时,A组的用户将无法接入Internet。除去以上的问题,多宿主网络的一些优势还没有完全实现,例如:
-现在一些多宿主网络解决方案只是“共享”式,而不是真正的负载均衡。 -没有就近性的路径判断。
-对流入的流量没有很好的解决方案。
Array 的LLB(链路负载平衡)技术能轻松横跨多个链路连结以传送数据流量,无需在路由器上进行复杂的BGP设定;智能管理不同ISP提供的IP地址网段;保证优化所有的ISP链路,即通过智能负载均衡所有通过可用链路的流量;使用Array的SmartNAT和SmartDNS、最小响应时间检测算法来选择用于输入输出流量的最佳ISP;确保两个ISP链路同时应用与所有的流入流量,保证网上银行Internet连接的畅通。
7.2 Array LLB的技术实现
Array的LLB技术实现如图所示:
23
图中多宿主网络通过ISP1和ISP2接入Internet。每个ISP都分配给该网络一个IP地址网段,假设ISP1分配的地址段为100.10.1.0/24,ISP2分配的地址段为200.20.1.0/24。同样,Internet知道通过ISP1访问100.10.1.0/24,通过ISP2访问200.20.1.0/24。网络中的主机和服务器都属于私有网段192.168.1.0/24。
Array的解决方案就是在内部交换机和连接ISP的路由器之间,跨接一台Array TM,所有的地址处理和Internet链路优化全部由Array TM来完成。
如图所示,Array TM的外侧端口1上绑定IP地址100.10.1.2/24,外侧端口2上绑定IP地址200.20.1.2/24,内侧端口上绑定IP地址192.168.1.1/24。 (1)流出(Outbound)流量处理
ARRAY TM主要采用以下方式来处理流出流量。 SmartNAT
对于流出流量的智能地址管理,ARRAY TM使用了称为SmartNAT的算法。当选定一个路由器(某一个ISP)传送流出流量时,ARRAY TM将选择该ISP提供的地址。在图二中,如果ARRAY TM选择ISP1作为流出流量的路径,则它将把内部的主机地址192.168.1.A/24翻译为100.10.1.10/24,并作为流出数据包的源地址。同样,如果ARRAY TM选择ISP2作为流出流量的路径,则它将把内部的主机地址192.168.1.A/24翻译为200.20.1.10/24,并作为流出数据包的源地址。
Shortest Response Time--最快响应时间
为了优化流出的流量,ARRAY TM还为流出的流量实施最快响应时间运算。如果内部主机要访问某一Internet站点,可能通过一个ISP的路径比通过其他ISP的路径有效。因此,ARRAY TM可以提供最短响应时间算法,为流出到某一个站点的流量选择最佳的ISP路径,保证所需内容最快到达目的地,提高服务的品质。 (2)流入(Inbound)流量处理
ARRAY TM不仅需要管理流出的流量,还必须管理来自Internet的访问,即流入(InBound)流量。假设下图中的Server是Web服务器,Internet主机名为llb.arraynetworks.net,地址为私有IP:192.168.1.100/24。
24
SmartDNS
ARRAY TM上集成的SmartDNS功能能够完成流入流量的负载均衡。 如图所示,在DNS服务器上有两笔NS记录指向ARRAY TM: llb.arraynetworks.net 100.10.1.10 llb.arraynetworks.net 200.20.1.10 而在ARRAY TM上设置静态的地址翻译: 192.168.1.100 100.10.1.10 192.168.2.100 200.20.1.10
当有Internet用户访问llb.arraynetworks.net时,DNS服务器回应给用户由ARRAY TM来完成最终地址解析。ARRAY TM根据具体设置来选定适当的ISP线路,如果选择ISP1,则将地址解析为100.10.1.10。同样,如果选择ISP2,则将地址解析为200.20.1.10。从而完成流入流量的负载均衡。
Shortest Response Time
对于流入的流量,ARRAY TM使用与流出流量相同的最短响应时间判断机制,选择最佳的流入流量传输路径,进行最终的解析地址。 (3)LLB其他的功能设置 链路健康检查
ARRAY TM在多宿主网络中的一个主要作用是检测ISP链路的可用性,即健康状况。因此,ARRAY TM提供了链路健康检查的功能,从而保证多条数据链路的正常,提高服务质量。
25