【51CTO.com 綜合報道】隨著3G建設和全業(yè)務時代的愈加繁榮，如何能夠向各類用戶提供持續(xù)、不間斷的網(wǎng)絡應用服務，同時確保對入侵監(jiān)測、Dos等攻擊進行有效的防護成為運營商所面臨的嚴苛考驗。全球領先的業(yè)務智能集成應用交付解決方案提供商Radware，憑借自身過硬的產品、技術研發(fā)及創(chuàng)新優(yōu)勢，幫助運營商不斷突破，并為用戶提供卓越的服務。

全局負載均衡助力用戶實現(xiàn)最快訪問

針對帶寬增加，數(shù)據(jù)流量不斷增大，網(wǎng)絡核心部分的數(shù)據(jù)接口將面臨瓶頸問題，原有的單一線路將很難滿足需求，而線路的升級又過于昂貴甚至難以實現(xiàn)，Radware AppDirector能夠幫助運營商以更低的成本、更快的速度、更靈活的響應用戶的需求。

1、 項目背景

某地區(qū)電信運營商業(yè)務支撐系統(tǒng)(BOSS)由計費系統(tǒng)、結算系統(tǒng)、營業(yè)帳務系統(tǒng)、客戶服務系統(tǒng)組成，為更好適應移動通信業(yè)務功能多元化發(fā)展，用戶規(guī)模的非線性增長以及日益激烈的市場競爭，該運營商決定進行BOSS擴容工程，對包括區(qū)計費結算中心、營業(yè)帳務中心、客戶服務中心及15個地區(qū)中心的營業(yè)帳務系統(tǒng)進行應急擴容，以構架一個靈活可靠的電子信息基礎架構。

該運營商的BOSS系統(tǒng)擴容工程具體包括：建設自有電話計費結算系統(tǒng)，以適應電信系統(tǒng)不斷變化的需要，加速運營費用回收，保護企業(yè)投資，提高企業(yè)效益，同時也減少呆帳、欠帳的發(fā)生；建設營業(yè)帳務系統(tǒng)，配置特殊業(yè)務服務器，實現(xiàn)區(qū)營業(yè)帳務中心功能、客戶關系管理，對全球呼業(yè)務、黑名單等進行處理。

2、 BOSS-x數(shù)據(jù)中心網(wǎng)絡架構概況

在網(wǎng)絡架構設計層面，該運營商BOSS-x按照雙中心模式在兩個物理位置建立兩套完全相同的業(yè)務系統(tǒng)和網(wǎng)絡結構，分別為A中心和B中心。網(wǎng)絡設計采用全冗余結構消除單點故障，兩外側兩臺WLMQ-a核心交換機通過OSPF跑Active/Active,兩個中心的外側核心交換機以上區(qū)域通過OSPF協(xié)議互聯(lián)，以下部分到內部核心業(yè)務系統(tǒng)均配置靜態(tài)路由方式。

在業(yè)務邏輯實現(xiàn)層面，規(guī)劃兩個中心采用主/備方式，B中心作為BOSS業(yè)務的主中心，A中心作為冗災備份中心

3、 BOSS系統(tǒng)詳細功能需求 

a) 客戶所有的訪問全部基于C/S模式，因為BOSS系統(tǒng)前端都是采用專有的客戶端軟件直接連接中心的訪問點

b) 平時所有客戶端都連接到南湖路中心，滿足如下兩點： 

◆B中心服務器正常時，業(yè)務處理在B中心服務器上完成 

◆當B中心服務器出現(xiàn)故障時，業(yè)務處理在A中心服務器上完成

c) 當B中心出現(xiàn)故障時，客戶端切換到A中心，滿足如下兩點： 

◆A中心服務器正常時，業(yè)務處理在A中心服務器上完成 

◆當A中心服務器出現(xiàn)故障時，業(yè)務處理在B中心服務器上完成

d) 當B中心恢復正常后，所有客戶端都重新連接到B中心，滿足如下兩點： 

◆手工切換。避免由于短暫的鏈路波動導致業(yè)務系統(tǒng)的切換。 

◆自動切換。

4、 Radware解決方案  
 

由于用戶的需求是C/S模式下的冗災備份方案，我們建議采用OSFP AnyCast技術實現(xiàn)災備切換，考慮到現(xiàn)網(wǎng)的路由設計，在A中心和B中心的上層核心機上旁路部屬兩臺AppDirector-Global全局負載均衡設備，兩臺AppDirector-Global通過標準的VRRP協(xié)議實現(xiàn)雙機冗余，保證設備的可靠性。在Appdirector-Global開啟IP AnyCast技術，并參與到上層OSPF域中。

方案描述：

a) 兩個中心的AD-N設備利用IP Anycast技術對外發(fā)布相同的業(yè)務虛擬IP地址（VIP）主機路由  

◆B中心AD設備發(fā)出的主機路由具有較低Metric值，A中心AD設備發(fā)出的主機路由具有較高的Metric值 

◆兩個中心的AD設備通過OSPF協(xié)議將主機路由公布到MDCN網(wǎng)中的BOSS 網(wǎng)路中

b) 客戶端連接的IP地址即為VIP地址 

◆利用OSPF的路由優(yōu)選機制，保證B中心發(fā)布出來的VIP主機路由被優(yōu)選到路由表中  

◆當B中心故障后，通過IP AnyCast技術可以自動切換到A中心  

5、 Radware 解決方案優(yōu)勢 

◆保證BOSS系統(tǒng)7x24小時可靠運行

首先，AppDirector 可靠的狀態(tài)監(jiān)控機制可以保證用戶獲得最佳的服務。AppDirector可以監(jiān)視服務器在IP、TCP、UDP、應用和內容等所有協(xié)議層上的工作狀態(tài)。如果發(fā)現(xiàn)故障，用戶即被透明地重定向到正常工作的服務器上。這可以保證用戶始終能夠獲得他們所期望的信息。

其次，為了保證交易完整性的可靠保證，AppDirector可監(jiān)控從 Web 服務器、中間件服務器到后端數(shù)據(jù)庫服務器的整個路徑上工作狀態(tài)，確保整個數(shù)據(jù)路徑上的服務器都處于正常狀態(tài)。如果存在一個故障服務器，AppDirector則不會將用戶分配到這個發(fā)生故障路徑的服務器，從而保證為用戶提供透明的數(shù)據(jù)完整性保障。 

◆提升BOSS系統(tǒng)處理能力

AppDirector架設在應用服務器前端，可以通過多種負載均衡算法，以及提供靈活的端口轉換，基于3到7層的內容等負載均衡方式幫助用戶實現(xiàn)服務器的科學負載均衡，使多臺應用服務器并行工作，極大提升了BOSS系統(tǒng)的整體處理能力，且提供了靈活的系統(tǒng)升級和擴展能力。 

◆AppDirector設備自身完全的容錯與冗余

AppDirector的配置提供設備間的完全容錯，以確保網(wǎng)絡最大的可用性。兩個設備通過網(wǎng)絡相互檢查各自的工作狀態(tài)，為其所管理的應用保障完全的網(wǎng)絡可用性。它們可工作于“主用-備用”模式或“主用-主用”模式，在“主用-主用”模式下，因為兩個設備都處于工作狀態(tài)，從而最大限度地保護了投資。并且所有的信息都可在設備間進行鏡像，從而提供透明的冗余和完全的容錯，確保在任何時候用戶都可以獲得從點擊到內容的最佳服務。 

◆通過正常退出服務保證穩(wěn)定運行

當需要進行服務器升級或系統(tǒng)維護時，AppDirector保證穩(wěn)定的服務器退出服務以避免服務中斷。當選定某臺服務器要從服務器退出服務后，AppDirector將不會將任何新的用戶分配到該服務器。但是，它可以要退出服務的服務器上完成對當前用戶的服務。從而保證了無中斷的優(yōu)質服務，以及服務器組的簡易管理能力。 

◆智能的服務器服務恢復

將重新啟動的服務器應用到服務中時，避免新服務器因突然出現(xiàn)的流量沖擊導致系統(tǒng)故障是非常重要的。所以，在將新服務器引入服務器組時，AppDirector將逐漸地增加分配到該服務器的流量，直至達到其完全的處理能力。從而不僅保證用戶在服務器退出服務時，同時還保證服務器在啟動期間以及應用程序開始時，均能獲得不間斷服務。#p#

DefensePro嚴防各類應用攻擊

在運營商用戶面臨網(wǎng)絡安全的嚴峻形勢，Radware DefensePro可以為運營商提供實時地隔離、攔截和阻止各種應用攻擊、從而為所有網(wǎng)絡化應用、用戶和資源提供強有力的直接保護。

1、項目背景 

該運營商成立于1999年9月，截止到2006年底，該運營商交換機總容量達到900萬門，基站達到4000多個，與206個國家和地區(qū)的271個運營公司開通了國際漫游業(yè)務；該地區(qū)每三個人中，就有一個是該運營商的客戶。

彩鈴業(yè)務是該運營商推出的一項關鍵業(yè)務。該運營商為其用戶提供自助開通、變更彩鈴服務，并提供各類手機鈴聲下載，用戶訪問量較大?？紤]到彩鈴門戶的安全性問題，本期對整個系統(tǒng)進行安全加固，需要安全設備對入侵監(jiān)測、Dos等攻擊進行有效的防護。

2、項目需求

目前網(wǎng)絡上的攻擊大都是通過防火墻開放的80端口或通過一些惡意代碼等HTTP協(xié)議返回包來侵入內部服務器的，一旦內網(wǎng)中一臺機器受到感染，病毒或攻擊很快就好在整個內網(wǎng)中擴散，造成更大的隨時，對于大流量下內容級別的安全需要專業(yè)的解決方案來實現(xiàn)。

3、Radware解決方案  

在網(wǎng)絡接入處，部署DefensePro，可以識別并實時抵御1500多種蠕蟲、病毒、DOS攻擊和異常的流量模式，保護內部用戶和服務器的安全。

同時，通過把端口兩兩靜態(tài)綁定，虛擬成兩臺臺邏輯設備，分別部署在兩條internet鏈路上之間實時防范來自互聯(lián)網(wǎng)對內部網(wǎng)絡和主機的DOS攻擊和入侵攻擊。

4、Radware解決方案的優(yōu)勢

高效、易于使用和維護是優(yōu)秀安全解決方案的必要特點。

高效 -保護手段必須提供準確和精細的偵查和預防機制，在提供保護的同時不干涉合法的流量。這一點是至關重要的，它保證了關鍵應用既使面臨一次巨型的攻擊，也能夠提供正常的服務。

Simplicity/TCO - 復雜配置和頻繁的更新維護會導致配置錯誤，最終引起攻擊的誤判。 因此，保護措施必須易于配置和管理，而且需要最少的特征更新和其它維護。

Radware DefensePro安全交換機獨具的多層安全架構完全具備了上述要求，在功能和性能上都是用戶保護網(wǎng)絡應用的最佳選擇： 

◆創(chuàng)新的硬件架構提供高達6G的安全吞吐能力； 

◆基于行為模式的自動BDOS攻擊防范機制最大程度降低該運營商的TCO和縮短對新型攻擊的相應時間； 

◆帶寬管理功能降低垃圾流量對網(wǎng)絡帶寬的惡意占用； 

◆集DDOS防范、IPS和帶寬管理于一身，有效保護該運營商的投資。