H3C SecPath L1000应用交付安全网关采用先进的多核多线程硬件平台,能够并行处理健康检测、负载均衡调度以及安全、路由等功能,并利用快转技术,做到一次运算多次转发,实现了高性能的负载均衡及安全防护功能。
自带有丰富的接口以及扩展槽位,可适应用户针对现网部署设备硬件端口的所有要求。
H3C SecPath L1000应用交付安全网关支持丰富的健康检测算法,可从网络层、应用层全方位的探测、检查服务器及应用的运行状态。在进行健康检测时,采用NQA(Network Quality Analyzer,网络质量分析)技术,确保健康检测占用最小的系统资源开销,从而保证应用交付业务的性能。健康检测算法适用于4~7层服务器负载均衡。
H3C SecPath L1000应用交付安全网关支持出站、入站链路负载均衡,结合内置的全球ISP IP地址库进行出、入站流量的智能调度,实现基于不同运营商、链路健康度、链路带宽大小等多要素的链路负载均衡。最终达成内、外网访问用户整体访问体验的提升以及多链路带宽资源的互为备份与合理利用。
H3C SecPath L1000应用交付安全网关支持丰富的负载均衡调度算法,可根据具体的应用场景,采用不同的算法。支持的算法包括:轮询、加权轮询、最小连接、加权最小连接、随机、源地址HASH、目的地址HASH、源地址端口HASH等算法。以上负载均衡算法适用于4~7层服务器负载均衡,同时,对于7层服务器负载均衡还支持基于应用特征的分发,例如基于HTTP头域、内容等。
H3C SecPath L1000应用交付安全网关4层服务器负载均衡:基于TCP、UDP、IP的各种业务应用,依据报文的L4层特征(IP、端口)进行负载均衡。
H3C SecPath L1000应用交付安全网关7层服务器负载均衡:基于L7内容的负载均衡,通过对报文承载的内容进行深度解析,根据应用层的分析结果对报文进行处理或者分发。支持基于HTTP header、HTTP URL、HTTP cookie以及HTTP content的解析,并在此基础上,配置所需要的L7策略,对HTTP报文进行分发和会话的持续性保持。
H3C SecPath L1000应用交付安全网关支持SSL卸载功能(RSA、国密算法),将访问内网服务器中的SSL加解密过程由负载均衡设备承担,与服务器之间可采用非加密或者弱加密的SSL进行通讯,极大的减小了服务器端对SSL处理的压力,从而将服务器的CPU处理能力释放出来。
H3C SecPath L1000应用交付安全网关支持TCP连接复用功能,使用连接池技术,可以将前端大量的客户的HTTP请求复用到后端与服务器建立的少量的TCP长连接上,大大减小服务器的性能负载,减小与服务器之间新建TCP连接所带来的延时,并最大限度减少后端服务器的并发连接数,降低服务器的资源占用。
H3C SecPath L1000应用交付安全网关支持HTTP缓存功能,将服务器上频繁被访问的页面元素缓存在负载均衡设备的高速内存中,代替服务器直接对客户端的请求进行应答。降低服务器的IO开销,缩短客户端的访问路径。
H3C SecPath L1000应用交付安全网关支持HTTP内容压缩功能,将服务器应答的HTTP页面通过高性能算法进行压缩,极大的减少网络带宽开销,削减服务器进行压缩的性能开销,提升浏览器的页面打开速度。
H3C SecPath L1000应用交付安全网关具备全面的安全防护能力,支持全量IPS、AV、WAF的功能特性,可对网站的HTTPS加密流量解密后再进行攻击防护,同时支持对各种DoS/DDoS攻击、ARP欺骗攻击、超大ICMP报文攻击、地址/端口扫描等各种攻击的防范,是业界安全功能极为强大的负载均衡产品。
H3C SecPath L1000应用交付安全网关提供智能DNS可以为外网用户提供内部服务器智能解析服务功能,可以解决由外网访问内网服务器链路选择的问题,在没有负载均衡设备的网络中,外网用户访问内部服务器时只能选择单一链路或者随机选择链路,未经优化的随机链路选择无法保障外网用户的访问体验效果。H3C SecPath L1000应用交付安全网关通过内置的智能DNS模块,可以配合客户的解析服务器引导内部服务器的域名解析,当外网用户通过域名访问客户的内部服务器时,负载均衡设备就会通过静态列表或者动态判断算法,选择最优的线路,然后将域名解析成相应线路的IP地址。
H3C SecPath L1000应用交付安全网关采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到企业用户,经历了多年的市场考验。
项目 | H3C SecPath L1000 |
环境温度 | 工 作:0~45℃ 非工作:-40~70℃ |
环境湿度 | 工 作:5%~95%,无冷凝(不带机械硬盘) 10%~80%,无冷凝(带机械硬盘) 非工作:5%~95%,无冷凝(不带机械硬盘) 5%~90%,无冷凝(带机械硬盘) |
服务器负载均衡 调度算法 | 轮转 加权轮转 随机 最小连接 加权最小连接 带宽 最大带宽 源IP地址哈希 源IP地址和端口哈希 目的IP地址哈希 HTTP哈希 最快响应 本地优先级 |
链路负载均衡 调度算法 | 轮转 加权轮转 最小连接 加权最小连接 随机 源地址HASH 目的地址HASH 源地址端口HASH 动态就近性 带宽算法 最大带宽算法 本地优先级 基于ISP选路 |
服务器负载均衡会话保持方式 | 基于源地址 基于源端口 基于目的端口 基于源地址+源端口 基于目的地址+目的端口 基于源地址+源端口+目的地址+目的端口 基于Payload 基于HTTP Header 基于HTTP Cookie 基于HTTP URL 基于HTTP Content 基于SSLID信息 基于SIP 基于RADIUS |
健康检测方式 | 支持Ping(ICMP)、TCP、TCP HALF-OPEN、UDP、SSL、HTTP、HTTPS、FTP、Radius、DNS、SIP、RTSP、SMTP、POP3、WAP等健康检测算法 |
虚服务/实服务组/实服务 | 支持虚服务 支持实服务组 支持实服务 |
HTTP 策略 | 支持策略匹配元素: HTTP header HTTP cookie HTTP URL HTTP content HTTP method HTTP class : HTTP class的嵌套调用 generic-class: 使用generic class作为匹配条件 支持动作: HTTP Header插入 HTTP Header重写 HTTP Header删除 SSL URL location重写 SSL Client policy设置 选择实服务组 |
generic策略 | 支持的策略匹配元素: 源IP generic-class : generic Class的嵌套调用 支持的动作: SSL Client policy设置 设置 IP ToS 选择实服务组 |
HTTP 参数模板 | 支持大小写敏感设置 支持HTTP header最大解析长度设置 支持HTTP content的最大解析长度设置 支持允许服务器的连接复用 支持设置每请求修改HTTP报文 支持设置每HTTP请求分发 支持设置secondary cookie的分隔符 支持设置secondary cookie起始位置标示字符 支持设置URL或cookie超出最大长度时的处理方式 |
TCP 参数模板 | 设置超出MSS的数据段的处理方式: 允许或者丢弃 设置发送和接收缓冲区的大小 |
IP 参数模板 | 支持设置经过设备的实服务器回应的IP报文的ToS字段 |
SSL卸载 | 支持SSL卸载功能: 卸载基于SSL的流量 SSL Server:支持SSL Server的所有功能,包括证书管理,认证等 SSL Client: 支持SSL Client功能,与后台的服务器可以进行SSL加密传输 |
攻击防范 | 支持SYN Flood、UDP Flood、ICMP Flood、HTTP Get Flood等各种网络攻击行为的防御 |
网络协议 | 生成树(STP)、多生成树(MSTP)、快速生成树(RSTP)、QinQ、VLAN、静态路由、RIP v1/ v2、RIPng、OSPF v2、OSPF v3、BGP-4、BGP-4+、IS-IS、IS-ISv6、BFD、NQA、IGMP、PIM等 |
支持IPv6 | 支持IPv6转发、业务处理 |
高可靠性 | 支持主备、双活、集群部署。支持1:N虚拟化负载均衡,其中虚拟化的负载均衡采用容器化部署,每台虚拟化设备占用独立硬件资源,能够独立管理,单独重启,并支持N:1之后1:N虚拟化的部署方式 |
管理方式 | CLI(Telnet/SSH) 支持标准网管 SNMPV3,并且兼容SNMP V2C、SNMP V1 WEB管理界面 |
在企业园区网络中,为了实现对企业数据中心提供的服务的快速访问,需要采用应用交付功能来分担和优化企业数据中心的访问流量。在这种应用环境下,可以在数据中心部署H3C SecPath L1000应用交付安全网关产品,服务器群通过接入交换机连接到应用交付产品,服务器网关指向应用交付产品,应用交付产品采用NAT方式实现服务器负载均衡。具体组网如图所示。
如果企业园区网从两个运营商分别租用了两条物理链路(ISP1和ISP2),为了实现对内网用户访问外部网络的快速响应,选择最优的链路,可以在网络出口处部署H3C SecPath L1000应用交付安全网关产品,采用就近性算法或带宽算法选择到达目的地址的最优链路。具体组网如图所示。
(1)主机选购一览表
项目 | 数量 | 备注 |
H3C SecPath L1000主机 | 1 | 必配 |
(2)接口模块选购一览表
接口模块 | 描述 | 备注 |
4GE PFC接口模块 | 4端口千兆PFC接口模块 | 选配 |
4GE光接口模块 | 4端口千兆光接口模块 | 选配 |
4*10GE接口模块 | 4端口万兆光接口模块 | 选配 |
6*10GE 接口模块 | 6端口万兆光接口模块 | 选配 |
(3)硬盘选购一览表
硬盘 | 描述 | 备注 |
硬盘模块 | 480GB硬盘单元 | 选配 |
(4)电源模块选购一览表
电源模块 | 备注 |
250W交流电源模块 | 选配 |
450W直流电源模块 | 选配 |
450W高压直流电源模块 | 选配 |
(5)安全授权函选购一览表
电源模块 | 备注 |
IPS特征库升级服务-1年 | 选配 |
WAF特征库升级服务-1年 | 选配 |
AV特征库升级服务-1年 | 选配 |
& 说明:
“必配”表示所描述项目是设备正常运行的最小配置。
“选配”表示所描述项目是用户根据实际使用需要可选择配置。