1.客户(项目)背景:
广铁集团成立于1993年2月8日,是经国务院经贸办批准、在原广州铁路局基础上组建的全国第一家铁路运输企业集团。地处中国中南部,管辖广东、湖南、海南三省境内铁路,包括京广线蒲圻以南至广州、焦柳线西斋、湘黔线大龙以东、湘桂线滩头湾以东、浙赣线礼陵以西、三茂线茂名东以东、京九线定南以南、漳龙线琥市以南以及广深、石长、广梅汕等线和海南铁路,还有新开通的粤海铁路。管内京广、京九两线是全国铁路南北交通大动脉;湘黔、焦柳和石长三线是沟通大西南的钢铁桥梁;三茂、广梅汕两线地处西南、东南沿海,建设中的粤海铁路通道西环线将海南铁路与大陆相连。
集团公司拥有4家全资运输子公司、4家控股有限责任运输公司、2家参股运输公司以及10多家全资及附属企业。集团下属各类独立核算单位41个(参股公司除外),其中直属单位29个。
2.客户需求
2.1.广铁集团信息化系统状况
广铁集团担负着广东、湖南两省的铁路客运和货运业务,广铁集团电子所担负着整个广铁集团信息化的重任,其业务系统的可靠性和稳定性关系整个华南地区乃至全国的铁路运输的稳定性。
2004年广铁集团电子所已经建设成为整个广铁集团的信息化应用中心,其采用2条Internet专线出口连接Internet和铁道部专用网络,电子所内部有多种业务系统,如代理服务系统、票务数据系统、集团订票系统、广深网络订票系统、OA系统、票务安全系统等,通过隔离网闸将整个网络分为内、外两个网络区域,对外的业务系统放置于外网,如电子商务系统、对外Web服务、DNS系统。
内网主要负担整个广铁集团的办公用户的网络服务,如代理服务系统、OA系统,而且整个广铁集团的票务数据中心也在内部网络,外部的电子商务系统也经过隔离网闸连接至内部网络的票务数据中心,内部用户经过代理服务器和隔离网闸连接至Internet。
现有的网络为主备结构,在两条链路正常的的情况下,所有流量都经过主用的链路,而备用链路完全为备用状态,一旦发生故障,所有的流量都切换至备用链路。
2.2.问题分析
从以上描述中可以看出,广铁集团的应用系统当前存在如下问题:
网络应用的可靠性较差:
应用服务器由于服务器硬件的稳定性、流量压力超载、网络攻击等情况经常会出现意外宕机的情况,从而无法保证网络应用的7×24 小时的持续性服务。
可扩展性较差:
因为代理服务器是整个广铁内部用户访问Internet的核心,要求具有大数据吞吐速率,这都需要系统在整体上具有一个良好的可扩充余地。当服务器性能满足不了代理需求时,如何将系统扩展成多服务器的高性能集群是个问题。
网络应用的性能瓶颈:
在应用系统中,通常会采用多台服务器同时提供服务的方式。但是由于网络中的流量并不均衡,因此经常会出现某台服务器由于访问量过大而宕机,造成网络应用性能的不稳定,从而影响到整个网络应用系统的性能。
网络资源的浪费:
在广铁集团应用系统中,采用的主备方式,不具备负载分担系统,而导致备用系统在正常情况下的浪费。
网络应用的安全性较差:
从上图中可以看出现有网络中的安全性防护机制的特点是:
- 现有的安全性防护机制通常是针对来自外网的攻击;
- 缺乏针对来自内网的攻击防护机制;
- 现有的安全性防护机制通常是针对整体网络层面的攻击防护,即针对网络IP层、TCP/UDP层的网络4层以下的攻击防护;
- 缺乏针对具体的、特定的企业网络应用的特点而专门制定的符合企业网络应用的基于网络7层防护的安全性防护机制;
2.3.需求分析
为了保证广铁集团的网络应用的高可用性、高性能和安全性,其提出了以下需求:
提高网络应用的可靠性:
自动的网络应用可用性检查,保证网络应用的7×24 小时的持续性服务。不仅给集团内部用户提供高可靠性的代理服务,而且对外部服务的各个业务系统业必须具备高可靠性。
提高网络应用的性能:
广铁集团现有系统中的双链路作为主备系统,必须能够提升为双主用链路,并且具备负载均衡技术,来保证两条链路充分利用,提高整个网络系统的性能,随着铁路业务系统的开展,内部的各个应用系统,必须具备高性。
网络应用的安全性较差:
制定针对具体的、特定的网络应用的特点而专门制定的基于网络7层防护的安全性防护机制;
3.Radware解决方案
3.1.一期扩容工程描述:
但是随着我国经济的发展,现有的系统已经远远不能满足铁路运输业务的需求,广铁集团根据当前信息化发展的趋势,为了解决春运期间铁路订票难的问题,于2004年底建设了网上农民工团体订票系统,还建设了电话订票系统,给春运期间出行旅客提供了多种多样的购票渠道。
随着这些业务系统的建设,广铁集团原有的网络结构已经不能新业务系统的性能需求,因此,Radware针对广铁集团的网络应用特点和需求,推出了高可用性、高性能、高安全性的解决方案,通过配备3台Radware的WSD(WebServerDirect) ASI,实现了高性能的应用优化系统。
WSD-Pro是提供本地的服务器群负载均衡和容错的产品,主要目的其实是为了使多台主机协同对外提供服务,而从外部看来就好像是一台主机一样(虚拟服务器),从而提高服务器的处理性能。
对于上述这个系统,WSD的解决方案提供了三级全面冗余机制:
对于每种应用,负载均衡设备根据管理员事先设定的负载算法和当前网络的实际的动态的负载情况决定下一个用户的请求将被重定向到的服务器。而这一切对于用户来说是完全透明的,用户完成了对WEB服务的请求,并不用关心具体是哪台服务器完成的。
对于整个服务器系统,资源得到充分的利用和冗余。如果对每一种应用只采取单独的机器提供服务,不但存在单点故障问题,同时每台服务器的利用也是不均匀的,可能存在大量的WEB请求,使单一的WEB服务器负荷超重。在引入了WSD后,每台机器的资源都会得到了充分利用,并减少了单点故障的问题。
负载均衡设备WSD也可以引入冗余备份机制。
通过在内外网分别部署两台Radware WSD ASI,来对广铁集团网络中的主要应用系统进行应用优化。同时,在DMZ区部署一台Radware WSD ASI来对DMZ的应用服务器进行负载均衡。
3.2.二期工程描述
2005年底,为了迎接春运工作,广铁集团建设了电话订票系统,此系统针对广东省全省内的用户服务,系统容量为6000门,而且,原有的广深线的电话订票系统也将整合进广铁集团电话订票系统,其采用了两台Radware WSD ASII对后台两组服务器进行负载均衡和应用优化。
在系统中,运用两台WSD作为广铁集团两套电话订票服务器系统的应用优化前端,对后台应用服务器提供高性能的应用优化功能,同时,通过采用Radware的带宽管理和安全防预系统-Synapps,来保证后台服务器的稳定、高效运行。
而且,随着广深集团业务的增加,其网络流量数据急剧增加,原有的WSD ASI已经不能满足多种业务的需求,因此,广铁集团将原有的WSD ASI升级成WSD ASII,通过采用更高级的L7负载均衡策略,来保证各业务系统得稳定性和高效性,以及高安全性。
广铁集团的原有的调度和财务系统都只有一台服务器提供服务,广铁集团根据Radware WSD在其应用系统中的成功使用经验,将调度和财务系统都升级成多台应用服务器提供高可靠性和高性能的解决方案。
4.Radware解决方案在广铁集团应用优化中的优势:
Radware的解决方案在广铁集团的应用系统具有以下优势,来保证广铁集团的应用系统的稳定性、高性能和高安全性。
4.1.优秀的多层交换性能
Application Switch I (AS II)是Radware高性能的多层交换平台,它采用了Motorola Power PC RISC处理器,而且采用了端口级ASIC芯片,使网络数据的处理能力得到成倍的增加;同时,ASII的背板带宽达到19.2GB的无阻塞多层交换能力。因此能够充分满足目前网络流量下的多层交换处理。
4.2.完全冗余镜像
将来需要被冗余配置时,Radware 设备的冗余配置也是非常简单的,它们之间不需要任何的特殊电缆相连,只要可以IP寻址到即可。当一台Radware 设备由于检修或故障的原因停机后,这时另一台Radware 设备会发出ARP的广播,告知停机的Radware 设备的IP地址已经被活动的Radware 设备的MAC取代,所有往检修的WSD去的数据包,都往活动的WSD这边发过来。
4.3.运行安全稳定
Radware 设备可以对不同性能的服务器进行加权计算,对性能好的服务器我可以多分一些流量。对有License限制的服务器,Radware 设备具有连接上限的限制,这样就保证了服务器连接不会超过License的限制,同时保证了性能一般的服务器不会因为连接太多而宕机。
同时WSD还有Shutdown Time,Recovery Time,Warm up Time,Port Multiplexing 等技术,针对于服务器在关机,重起暖身至正常工作的每一个阶段所应采取的相应的方式来加强服务器的管理。
Radware 设备的安全性也是极为可靠。首先,它支持的SNMP协议,对于不同SNMP的Community,WSD可以让其有不同的权限如只读或既读又写。还可以只让SNMP协议通过WSD的某一个端口来管理。其次,它具有管理IP的功能,即只允许某一个IP来管理设备。再次,它具有IP过滤的功能,如对源地址,源端口和目的地址,目的端口做一系列的动作。最后,WSD有防黑客攻击的功能,它可以防止1300多种黑客攻击的手法,如DOS,DDOS,Syn Attack等。
4.4.工作方式多级
Radware 设备是一个多层交换设备,它可以工作在OSI模型中的2,3,4和7层。在第二层它支持Vlan,第三层它支持RIP,RIP2及OSPF等多种网络协议。它可以根据客户源端口的不同来做不同服务器的选择。它可以根据第七层的URL的匹配来处理客户的请求。
Radware 设备对每一客户的Session都会有详细的记录在Client Table中,它可以工作在IP层即只记录客户的IP地址,也可以工作在TCP层,即同时还记录客户的端口地址。而且WSD对Cookie也能够提供100% 的支持。凭借这些详细的记录我们可以对用户访问的安全和稳定性提供将有力的保证。
4.5.智能带宽管理
管理者能自行设置Radware 设备,根据各服务器群处理的文件重要性或机密性,给定不同的带宽限制。例如给予处理ERP的服务器群较大的带宽,传送速度因而较快;而一般提供HTTP服务的服务器群则给予较小带宽。WSD能辨识使用者的IP地址、访问文件类型、串流媒体、以及多种协议包括TCP、UDP、Telnet、Rshell、TFTP、passive FTP、HTTP、email、DNS、VOIP等,根据各带宽限制动态地将网络流量引导至最合适的网络服务器群。
4.6.扩充能力灵活
WSD与任何品牌、使用界面、操作系统的网络服务器均兼容,在安装时完全不须改变企业原有的网路架构。当您为业务扩充而更新网络服务器,新设备只要与WSD连接,您不须费时集成新旧设备、或统合协定机制。因此WSD使您对网络服务器的投资更为灵活,随时依企业需求而弹性更新网络架构;若您的企业将扩张至全球,WSD灵活的扩充能力,帮助您轻松添加全球服务的行列。
4.7.健康检查多样
Radware 设备有健康检查机制,会定时的检查接在他后面所有服务器的健康状况。而且检查的方式多种多样。可以使用IP 层的方法,如发Ping包,看它能否到达;也可以使用TCP层的方式,如对服务器开一个端口,看它的服务是否正常工作;更为重要是我们的Radware 设备具有全路径检查的方式,不仅可以检查WWW服务是否在工作,而且可以检查www服务后端的DB或其他应用是否在正常工作。
4.8.日志警报完善
Radware 设备的统计功能和报警机制也非常良好。它可以根据服务器,服务器群组,客户的地址和设备本身接口数据等信息来做不同类型的信息统计以及转换成实时的三维图表。它会把设备本身发生的一系列事件,发送到提供Syslogd服务的服务器上,依此作为设备状态分析的具体依据。
