部门：网络优化与安全产品部

方案名称：负载均衡应用解决方案－Array证券解决方案

反向代理模式的优点：
　　－可以采用One-armed的结构部署；
　　－可以通过连接池技术增强系统性能。
　　反向代理模式的局限性：
　　－服务器无法记录哪些IP的客户端曾进行访问
　　解决办法: Array TM可以在用户的HTTP包头中加入X-Forwarded-For字段，用它记录客户端的IP地址。
　　（2）Transparent Mode（透明模式）
　　Array TM 的透明模式是指Array TM在转发用户请求时，透明地将客户端的连接定向到特定的服务器上，即用户的源IP地址对服务器是透明的，服务器可以知道哪个客户对其进行了访问。其传输流程如下：

透明模式的优点：服务器可以记录哪些IP的客户端曾进行访问。
　　透明模式的局限性：
　　－结构/路由设计必须保障从源服务器端来的响应必须经过TM；
　　－One-armed的结构有可能不能实现；
　　－由于每个请求的源IP地址都不一样，因此无法利用连接池技术改善系统性能。

1.2 SLB的负载均衡算法

　　Array支持多种服务器负载均衡算法（持续性的和非持续性的），包括轮循算法、最少连接算法、响应时间算法、散列算法、最少连接失误算法，链路带宽算法等等。此外实际服务器可以被分配不同的加权值来调整被分配的流量。比如性能高的大型服务器可配置较大的加权值，而为性能较低的小型服务器设置较小的加权值。为了避免服务器因过载而崩溃，可为实际服务器指定最大连接阈值来避免该服务器过载。任何服务器可被指定为另一台服务器的备份服务器或溢出服务器，从而进一步保证了应用可用性。
　　（1）非持续性算法（Non-Persistent）：一个客户端的不同的请求可能被分配到一个实服务组中的不同的实服务器上进行处理。主要有轮循算法、最少连接算法、响应速度算法等。
－轮循算法（Round Robin）：每一次来自网络的请求轮流分配给内部中的每台服务器，从1至N然后重新开始。此种均衡算法适合于服务器组中的所有服务器都有相同的软硬件配置并且平均服务请求相对均衡的情况； 
　　－最少连接算法（Least Connection）：客户端的每一次请求服务在服务器停留的时间都可能会有较大的差异，随着工作时间的加长，如果采用简单的轮循或随机均衡算法，每一台服务器上的连接进程可能会产生极大的不同，这样的结果并不会达到真正的负载均衡。最少连接数均衡算法对内部中有负载的每一台服务器都有一个数据记录，记录的内容是当前该服务器正在处理的连接数量，当有新的服务连接请求时，将把当前请求分配给连接数最少的服务器，使均衡更加符合实际情况，负载更加均衡。此种均衡算法适合长时间处理的请求服务。 
　　－响应速度算法（Response Time）：负载均衡设备对内部各服务器发出一个探测请求（例如Ping），然后根据内部中各服务器对探测请求的最快响应时间来决定哪一台服务器来响应客户端的服务请求。此种均衡算法能较好地反映服务器的当前运行状态，但最快响应时间仅仅指的是负载均衡设备与服务器间的最快响应时间，而不是客户端与服务器间的最快响应时间。
　　（2）持续性算法（Persistent）：从一个特定的客户端发出的请求都被分配到一个实服务组中的同一个实服务器上进行处理。主要包括：
　　A．基于IP的算法
　　－Persistent IP (pi)：基于用户IP地址来选择服务器。
　　－Hash IP (hi) ：基于用户IP地址的HASH值，来选择服务器
　　－Consistent Hash IP (chi)：
　　B．基于报头/请求的算法
　　－Hash Header (hh)：基于用户请求报中HTTP报头来选择服务器；
　　－Persistent Hostname (ph) ：基于用户请求报中HTTP报头的Hostname的HASH值，来选择服务器；
　　－Persistent URL (pu)：基于对URI Tag 和值的静态对应关系来选择服务器。－SSL Session ID (sslsid)：基于SSL会话ID来选择服务器。
　　C．基于Cookie的算法
　　－Persistent Cookie (pc) ： 选择服务器基于用户请求包用Cookie Name / Value 的静态对应关系； 
　　－Hash Cookie (hc) ：选择服务器基于用户请求包用Cookie Name / Value 的Hash 值对应关系；
　　－Insert Cookie (ic) ：选择服务器基于Array 向服务器响应包中插入Cookie；
　　－Re-write Cookie (rc)：选择服务器基于Array 向服务器响应包中重写Cookie值。（必须为重写指定Cookie值的偏移量）

1.3 SLB的负载均衡策略

　　SLB 的负载均衡策略主要有三大类：基础性策略、保持性策略、QOS策略。
　　（1）基础性策略
　　－Static
　　－Default
　　－Backup
　　（2）保持性策略
　　－Persistent URL
　　－Persistent Cookie
　　－Rewrite Cookie
　　－Insert Cookie
　　－Header
　　（3）QOS 策略
　　－QOS Cookie 
　　－QOS Hostname 
　　－QOS URL
　　－QoS Network
　　－Regular Expression
　　－Header

1.4 Array的SLB健康检查

　　Array通过对服务器的实时健康检查，保证数据流量会自动绕过故障服务器或不可用服务器。当Array的健康检测机制，检测到服务器重新恢复正常以后，将使该服务器可以自动回到服务器群之中，所有这些服务器故障的处理，对进行操作的用户是完全透明的。
　　Array对服务器的健康检查，可采用三种方式：
　　－ICMP检查：利用ICMP可检查服务器的网络工作是否正常。
　　－TCP检查：Array可与服务器之间，利用服务器的服务端口建立TCP连接，检查服务器的服务是否正常。
　　－HTTP检查：Array采用HTTP的检查，来验证服务器提供的服务是否正常。
　　通过这三种机制，确保服务器为用户提供正确可靠的服务。用户再也不会得到这样请求的响应 “404 Object Not Found”，或响应内容不正确。

1.5 Array的SLB的特点

　　－实时监控服务器应用系统的状态，并智能屏蔽故障应用系统；
　　－实现多台服务器的负载均衡，提升系统的可靠性；
　　－可以监控和同步服务器提供的内容，确保客户获取到准确可靠的内容；
　　－提供服务器在线维护和调试的手段。

2．Array的GSLB技术，解决异地容灾问题

　　上面提到的SLB（服务器负载均衡）是指能够在性能不同的服务器之间进行任务分配，既能保证性能差的服务器不成为系统的瓶颈，又能保证性能高的服务器的资源得到充分利用。而GSLB（全局服务器负载均衡）允许Web网络托管商、门户站点和企业根据地理位置分配内容和服务。通过使用多站点内容和服务来提高容错性和可用性，防止因本地网或区域网络中断、断电或自然灾害而导致的故障。在Array 证券解决方案中GSLB将发挥重要作用，其性能高低将直接影响整个系统的性能。
　　观看行情作为股民上网炒股的首要工作，是各个证券网站着重提供的服务，也是吸引用户在本网站上交易的重要因素（用户一般采用同一网站的行情程序与证券交易程序以达到及时抓住行情交易地目的）。通常，证券公司会在多个城市放置自己的行情服务器，然后通过在网站上发布通知或让用户自行选择行情服务器IP地址进行连接。其结果就是造成各个行情服务器负载不平衡，服务器因过载而崩溃，而用户又不断尝试连接已严重过载或已崩溃的服务器，最终导致用户投诉网站行情无法接受，影响用户投资决策，进而转投其它券商。
　　因此，证券公司必须要同时提供基于服务质量的高可用性和完善的负载平衡功能。Array的GLSB可提供基于服务质量的高可用性，从而确保证券公司站点持续运行，并使其IP服务基础设施投资获得最大回报。
　　Array的GLSB用以向用户提供分布于不同地理位置的证券公司总部和营业部的高可用性和智能化业务及流量分担解决方案。

2.1 Array GSLB的工作方式 

　　下图表示的是Array GSLB的工作方式。

Array GSLB的目的是在多个可提供相同服务的站点之间，根据相应的分配策略将用户请求“路由”到合适的站点上。对GSLB而言，最重要的一点是每一个Array TM需要知道其他TM了解的服务、链路、系统状态信息，这一点通过Array状态信息通信协议（SICP）来完成的。SICP是Array公司的私有协议，主要完成GSLB组中状态信息的交换，需要利用SLB、LLB的健康检查和状态监测功能。处在GSLB中的TM每2秒（可配置）互相交换健康状态信息，每30秒（可配置）互相交换本地服务器负载、链路负载、网络状况信息。这些状态信息主要包括：链路可用性－LLB、实服务可用性－SLB、虚服务可用性、集群状态。

2.2 Array GSLB的负载平衡算法

　　Array GSLB的核心是负载均衡算法，Array支持非常丰富的算法，包括以下三大类：一般性算法、基于（链路、网络、系统、服务）负载的算法、基于与用户距离的算法等。
　　（1）一般性算法
　　－Round Robin Load Balance：轮询负载平衡算法。
　　（2）基于（链路、网络、系统、服务）负载的算法
　　－Global Link Load Balance
　　－Member-based Weighted Round Robin Load Balance 
　　－Site-based Weighted Round Robin Load Balance
　　－Connection Overflow Load Balance
　　－Member-based Volume Overflow Load Balance
　　－Site-based Volume Overflow Load Balance
　　－Member-based Hit Overflow Load Balance
　　－Site-based Hit Overflow Load Balance
　　－Response Time based Load Balance
　　（3）基于与用户距离的算法
　　－Proximity Load Balance
　　－Least Hop Load Balance
　　－Least Latency Load Balance

2.3 Array GSLB 的Smart DNS

Smart DNS通过其内置的IP地址／地域／网络对应表来实现用户的就近访问策略，当位于不同位置的Local DNS请求到达的时候，SmartDNS根据对用户的Local DNS策略判断用户所处的位置，返回距离用户最近的镜像站点的IP地址。
　　SmartDNS通过智能状态检测功能实现对链路、服务器健康状态的检测。检测的策略可以为ping、TCP端口检测和内容检测，真正的检测服务器和链路的健康状态。对于因故障或检修而停止服务的服务器和链路从负载均衡组中摘除，并继续检测链路和服务器的状态，一旦该链路或服务器恢复健康，则将其继续加入负载均衡组。
　　在网络状况复杂，用户要求较高的状况下，SmartDNS可通过在镜像站点安装Probe探针软件来检测从各镜像站点到达用户Local DNS的速度，通过自我学习建立全网网络状况表，配合智能检测功能来实现用户的最快访问策略。
　　在SmartDNS的内部，采用矩阵算法，对服务器健康状态、网络健康状态、用户IP地理位置等参数进行综合计算，判断返回给用户的最佳镜像站点IP地址，使用户始终能得到最佳的网络服务。

2.4 Array的Disaster recovery――灾难恢复

　　Array 的灾难恢复是指在两个地理上分离的站点之间提供服务可靠性的策略。其中一个站点作为主站点（Primary Site），另一个作为备份站点（Backup Site）。当主站点工作正常时，所有流量通过主站点；当主站点发生故障时，Array的灾难恢复功能就会把所有请求转到备份站点，备份站点来处理主站点所有的网络请求；当主站点故障恢复时，Array 会把所有的请求转回到主站点上。

2.5 Array GSLB的优点

　　1）GSLB将用户指引到一个地区内的最佳站点上。那些依靠像路由器转发（hops）这种规格的竞争性解决方案在做出负载均衡决定时未能考虑到像网络拥塞和服务器负载这样的一些重要因素。只有Array Networks的GSLB有效地考虑到了这些因素。
　　2）智能负载分配将大多数通信量灌进那些性能最好的站点中而不会使之超载。所有资源均得到有效使用，使用户获得更好的体验。
　　3）当一个站点的所有服务器均出现故障或拥塞时，用户就被自动地转移到下一个最佳站点上，提高了服务和内容的可用性。
3．SSL加速

　　SSL（安全套接层协议）已经成为互联网安全通信的标准协议。它是一种对用户进行鉴权的公钥加密方案。首先，服务器向客户机发送承认其可靠性的认证。然后，使用共享密钥来对发送方与接收方之间的数据进行加密。例如，当发送方确认接收方正确无误时，会为数据包加上一个安全的“外壳”（加密），同时通过线缆传输此数据包。必须在目的地将此“外壳”去掉，才能使用该数据包信息。其它的步骤还包括：认证、加密和解密，这极大地增加了Web服务器的流量处理负担。
网上证券交易过程是Internet交互中速度最慢、工作负载最大的一部分，其原因是股民需要经过 SSL站点，对交易进行监督和数据加密的保护。如果通过计算密集型程序来设置和实施的SSL对话，即使是功能最强大的服务器也无法达到很高的速度。这样，在上网的高峰时刻，等待时间会越来越长，有时一些证券交易根本无法完成。
　　为了解决网上证券服务器反应速度问题，从根本上解决SSL给服务器运行带来的不利影响，必须采用专门设备处理SSL协议，以便使服务器的CPU从繁重的加密/解密过程中解脱出来。
　　Array内置SSL加速功能使问题迎刃而解。Array产品包括SSL加速技术，该技术是用于卸载服务器的SSL（安全套接层）处理的，以提高其性能，同时大幅度缩短响应时间并增强客户交易流量管理。SSL加速技术可以提高网上证券交易服务器的性能，并在证券交易过程中提供安全性、高速度和流量管理，所有这一切都是从同一地点进行的，无需费钱费力地在每台服务器上安装额外的硬件或软件。
　　Array解决方案能使证券工作人员卸载认证管理以及加密和解密功能，从而提高工作效率和可靠性。 解决方案真正解除了Web服务器上的通信负载。因此，无需再购买额外的服务器来处理SSL流量。Array产品还允许您为整个服务器集群只购买一个证书，从而降低了成本并减少了证书管理的时间，与必须为每台Web服务器购买和安装SSL处理卡不同的是，您只需安装一次SSL加速器。

－通过专用硬件――SSL加速卡实现高性能的SSL加速；
　　－同时支持异步和同步的加密加速服务；
　　－通过突破性的专利技术SpeedStack?技术保障高性能；
　　－可以同时处理SSL流量和非SSL流量；
　　－ CSR 能产生证书的申请，同时生成一个临时的证书用于测试；
　　－ 能为Open-SSL，Apache-SSL and Microsoft IIS导入PEM格式的证书；
　　－ 能导入 Chained (intermediate) certificates；
　　－ 利用X-Forwarded header，把用户的IP地址传给服务器，用于LOG记录用户的访问；
　　－ 支持当今流行 128 bit 加密密钥。
　　－Array TM每秒钟可以处理5000个SSL交易，并以750Mbps的吞吐量同时处理32000个SSL连接。

4．提供安全机制－Webwall有效解决安全问题

　　进行证券网上交易的首要条件是交易的安全性，如果交易数据的安全无法保证，网上交易也将成为空谈。因此证券网上交易站点必须配备防火墙，以确保交易安全。随着网上交易量的逐步增加，网上交易站点同Internet的连接速度不断提升，防火墙作为整个系统的瓶颈将越来越明显。由于防火墙要求数据流同进同出，故无法采用简单的叠加方式提升防火墙性能，直接导致交易缓慢甚至无法进行交易。
　　Array的产品具备内在的安全特性，这些特性是专门为避免遭受攻击和为服务器和网络设备提供保护而特别设计的。Array WebWall防火墙能有效地保护服务器和应用的安全。
　　Array WEBWALL 产品可有效保护您的服务器：
　　1）支持应用层URL的过滤；
　　2）基于包状态检测的防火墙；
　　3） 支持NAT的功能，使内部用户能访问Internet的资源；
　　4） 端口的 Forward 功能，使用户能远端对服务器进行管理，能把常用的端口映射到服务器的任意端口(端口映射)。常用的端口，比如80，443，20，21能映射到服务器任何端口。这个能提供更高的安全性,让闯入者很难知道哪些服务运转在哪个端口；
　　5） WebWall功能启动后，它将关闭所有的访问，除非用户显式地打开；
　　6） 高效，Array支持多达1000个访问控制列表，仅消耗1％的CPU资源；
　　7） Array的是个坚固的设备，设计得能抵抗一般的攻击，譬如：DOS攻击；
　　8） 通过HTTPS或SSL远端管理，使用SSH命令行或以HTTPS来做浏览器界面管理；
　　9） 支持SSL的安全访问。

5．Array的SSL VPN技术，实现端到端的安全解决方案

5.1 SSL VPN 与IPSec VPN 的比较

　　目前大多数远程安全访问解决方案是采用IPSec VPN方式。IPSec是网络层的VPN技术，表示它独立于应用程序。IPSec以自己的封包封装原始IP信息，因此可隐藏所有应用协议的信息。一旦IPSec建立加密隧道后，就可以实现各种类型的一对多的连接，如Web、电子邮件、文件传输、VoIP等连接，并且，每个传输必然对应到VPN网关之后的相关服务器上。但是IPSec VPN在解决远程安全访问时具有几个比较大的缺点，如:
　　－需要安装客户端软件，但并非所有客户端操作系统均支持IPSec VPN的客户端程序； 
　　－IPSec VPN的连接性会受到网络地址转换（NAT）的影响，或受网关代理设备（proxy）的影响；
　　－IPSec VPN需要先完成客户端配置才能建立通信信道，并且配置复杂；
　　－采用隧道方式，使远程接入的安全风险增加；
　　－管理IPSec的客户端费用较高。
　　SSL VPN指的是以HTTPS为基础的VPN，但也包括可支持SSL的应用程序，例如，电子邮件客户端程序，如Microsoft Outlook或Eudora。SSL VPN经常被称之“无客户端”，因为目前大多数计算机在出货时，都已经安装了支持HTTP和HTTPS（以SSL为基础的HTTP）的Web浏览器，所以SSL VPN可以通过Web浏览器实现无客户端的远程访问。目前，SSL已由TLS传输层安全协议（RFC 2246）整合取代，它工作在TCP之上。如同IPSec/IKE一样，它必须首先进行配置，包括使用公钥与对称密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器，还可选择性地通过签名或其他方法让服务器验证客户端的合法性，接着可安全地产生会话密钥进行信息加密并提供完整性检查。SSL可利用各种公钥（RSA、DSA）算法、对称密钥算法（DES、3DES、RC4）和完整性（MD5、SHA-1）算法。
　　同IPSec VPN相比，SSL VPN具有如下优点：
　　－它的HTTPS客户端程序，如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中，因此不需要再次安装；
　　Microsoft Outlook与Eudora这类流行的邮件客户端／服务器程序所支持的SSL HTTPS功能，同样也与市场上主要的Web服务器捆绑销售，或者通过专门的软硬件供货商（例如Web存取设备）获得； 
　　－SSL VPN可在NAT代理装置上以透明模式工作；
　　－SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。

5.2 Array的SSL VPN 解决方案

　　多项业务集成能最大限度地利用已有链路，提高网络经济性，但由此带来的安全问题不容忽视，例如：远程大户和公司营业部职员所能访问的权限肯定是有所不同的，它们的数据应能被识别和隔离开来分别处理。采用Array公司端到端的安全解决方案，可以提供以下安全防范手段： 
　　实施安全认证－－安全认证主要是对用户身份实施检验和权限设定，这样当外部用户以远程大户身份和以营业部职员身份登录时，他们所能访问的数据可以是截然不同的。安全认证一般采用集中管理方式，在内部网络中设立专门的认证服务器，在其上建立用户数据库，这样不论用户从何处登录进来，都需要经过该服务器的统一检验，授权并且其后的所有访问过程都可被审计，记入日志。 
　　在营业部与公司总部之间，及营业部与远程大户之间，都可建立起端到端的逻辑隧道(Tunnel)，所谓“隧道”是指其中所传递的数据都经过特殊包装和加密处理，从而能与同一物理链路中其它数据区别开来，避免被不法用户所窃取，只有在隧道的始末两端(营业部、公司总部或远程大户节点处)才可能添加和去除这些特殊包装以得到真实的数据。在通过公共网络(如Internet)传递业务数据时，这项技术尤为必要。 下图为Array SP产品在网上证券的应用结构。

5.3 Array的SSL VPN的特点

　　（1）虚拟站点
　　Array SP支持多达128个独立的虚拟Web站点，一个虚拟站点是一个远程接入内部应用的安全门户，每个站点包含自有的域名和IP/port，并且每个站点可配置独立的应用服务器、门户接口和安全措施。

虚拟站点的好处：
　　－SP的sorter会把每一个VS的用户连接状态保持在专用的内存空间中；
　　－系统完全隔离的维护每个VS的配置；
　　－当系统处理一个VS的新的工作时，它读取VS的配置和上次工作的状态信息，其他VS的状态信息不会被读取；
　　－类似于交换网络中的VLAN。
　　（2）Web资源映射
　　证券公司或其他企业需要将Intranet内的资源向远程访问的员工、合作伙伴开放共享，对任意访问Intranet的请求提供唯一的可控制的访问入口，但是Intranet的IP/DNS体制通常与Internet的IP/DNS体制相独立，外部用户只能看到一个个Broken Links，而且服务不可用。
　　利用Array的SSL VPN的Web资源映射可以实现：
　　－URL-NAT：URL的动态重写；
　　－强迫认证：强迫任何访问Intranet的请求都必须先通过AAA；
　　－隐藏内部资源：可以隐藏Intranet的资源路径，提高整体安全性。

（3）支持非Web应用
　　－SP 6.0 支持大量的非Web应用，绝大多数固定端口的TCP应用都可以支持；
　　－典型的企业非Web应用：Telnet、Email (POP/IMAP/SMTP/OWA)、Microsoft Exchange、Lotus Notes；
　　－支持远程文件共享，可以与文件服务器的权限设定相结合，支持Windows 和Unix的操作环境；
　　－通过标准的Web浏览器实现
　　（4）多层安全控制机制
　　－Webwall－应用层防火墙：基于IP/TCP/UDP的包过滤机制；防DOS攻击；基于状态检测的防火墙功能；基于URL的过滤机制。
　　－端到端的SSL加密
　　－强大的AAA功能
　　－通过WRM隐藏内部资源路径

6．Array的Cluster技术，提供容错性，高可靠性和高吞吐量

6.1 Cluster的工作方式

　　传统的四层设备，仅支持二台设备工作在HA方式下，支持Active/Active、Active/Standby工作方式，从而L4设备可靠性，可扩展性，网络吞吐量都受到限制。但L4层的设备是一关健设备，许多L4 层厂家都没有很好解决这些问题。
　　Array在给服务器提供高容错性，高可靠性的前提是，Array设备本身的容错性和高可靠性。Array支持Cluster的工作模式，提供1＋1 和N＋1 的冗余配置模式，能工作在Active/Standby或Active/Active方式。 
　　（1） Active/Standby方式
　　在Active/Standby方式，一个Cluster中某个Array设备的所有VIP都是主VIP，其他Array中的VIP都是备份VIP。当主设备故障时，备份设备转换为主设备。如图所示：

图中，Array1为主设备，处理SLB流量，Array2为备份设备，监听Array1的广播，当Array1发生故障时，Array2就会接管Array1上的所有流量。
　　（2）Active/Active方式
　　在Active/Active方式，一个Cluster中每一个Array设备的都有主VIP和备份VIP。如图所示：

图中Array1的VIP1为主VIP，VIP2为备份VIP，Array2的VIP1为备份VIP，VIP2为主VIP。Array1和Array2同时处理SLB流量，又互为备份。

6.2 Array clustering 工作原理 

　　－ 利用 IP Multicast (224.0.0.18) 进行广播，默认值：每3秒一次；
　　－ 具有最高优先级的成为Master， 若一个备份的Array具有最高优先级，它就成为Master；
　　－ 一个备份Array在3 秒内，没在听到Master的广播，它宣布成为Master；
　　－ 只在Master的Array的VIP响应ARP请求；
　　－ 每个设备独立的流量的处理，同时又监视本Cluster中其它设备的工作状态；
　　－ 能把Clustering 配置成Active-Standby 或 Active-Active ；
　　－ 利用VRRP的技术实现 （ VRRP－虚拟路由冗余协议， RFC 2338）。
7．LLB（Link Load Balanceing）链路负载平衡

7.1 Array LLB在证券网络中的应用

　　目前几乎所有的证券公司都采用多个接入链路（多宿主）接入Internet，采用多宿主的解决方案来避免Internet接入中断所造成的损失。在这里所提及的“多宿主”通常指同时使用不同ISP提供的多条Internet接入链路。可用性的提高来自于多条链路的使用，而性能提高则是因为同时使用多条链路增加了带宽。但是这种多宿主网络目前存在几个严重的问题，一是对于流入流量来说，不能保证链路的同时使用，多宿主解决方案的部分优点无法实现。二是内部网络同时使用两个ISP提供的地址，一部分内部用户（A组）使用ISP1提供的地址，另一部分内部用户（B组）使用ISP2提供的地址，当ISP1的链路中断时，A组的用户将无法接入Internet。除去以上的问题，多宿主网络的一些优势还没有完全实现，例如：
　　－现在一些多宿主网络解决方案只是“共享”式，而不是真正的负载均衡。
　　－没有就近性的路径判断。
　　－对流入的流量没有很好的解决方案。
　　Array 的LLB（链路负载平衡）技术能轻松横跨多个链路连结以传送数据流量，无需在路由器上进行复杂的BGP设定；智能管理不同ISP提供的IP地址网段；保证优化所有的ISP链路，即通过智能负载均衡所有通过可用链路的流量；使用Array的SmartNAT和SmartDNS、最小响应时间检测算法来选择用于输入输出流量的最佳ISP；确保两个ISP链路同时应用与所有的流入流量，保证证券公司Internet连接的畅通。

7.2 Array LLB的技术实现

　　Array的LLB技术实现如图所示：

　图中多宿主网络通过ISP1和ISP2接入Internet。每个ISP都分配给该网络一个IP地址网段，假设ISP1分配的地址段为100.10.1.0/24，ISP2分配的地址段为200.20.1.0/24。同样，Internet知道通过ISP1访问100.10.1.0/24，通过ISP2访问200.20.1.0/24。网络中的主机和服务器都属于私有网段192.168.1.0/24。
　　Array的解决方案就是在内部交换机和连接ISP的路由器之间，跨接一台Array TM，所有的地址处理和Internet链路优化全部由Array TM来完成。
　　如图所示，Array TM的外侧端口1上绑定IP地址100.10.1.2/24，外侧端口2上绑定IP地址200.20.1.2/24，内侧端口上绑定IP地址192.168.1.1/24。
　　（1）流出（Outbound）流量处理
　　ARRAY TM主要采用以下方式来处理流出流量。
　　SmartNAT
　　对于流出流量的智能地址管理，ARRAY TM使用了称为SmartNAT的算法。当选定一个路由器（某一个ISP）传送流出流量时，ARRAY TM将选择该ISP提供的地址。在图二中，如果ARRAY TM选择ISP1作为流出流量的路径，则它将把内部的主机地址192.168.1.A/24翻译为100.10.1.10/24，并作为流出数据包的源地址。同样，如果ARRAY TM选择ISP2作为流出流量的路径，则它将把内部的主机地址192.168.1.A/24翻译为200.20.1.10/24，并作为流出数据包的源地址。
　　Shortest Response Time--最快响应时间
　　为了优化流出的流量，ARRAY TM还为流出的流量实施最快响应时间运算。如果内部主机要访问某一Internet站点，可能通过一个ISP的路径比通过其他ISP的路径有效。因此，ARRAY TM可以提供最短响应时间算法，为流出到某一个站点的流量选择最佳的ISP路径，保证所需内容最快到达目的地，提高服务的品质。
　　（2）流入（Inbound）流量处理
　　ARRAY TM不仅需要管理流出的流量，还必须管理来自Internet的访问，即流入（InBound）流量。假设下图中的Server是Web服务器，Internet主机名为llb.arraynetworks.net，地址为私有IP：192.168.1.100/24。

SmartDNS
　　ARRAY TM上集成的SmartDNS功能能够完成流入流量的负载均衡。
如图所示，在DNS服务器上有两笔NS记录指向ARRAY TM：
　　llb.arraynetworks.net 100.10.1.10
　　llb.arraynetworks.net 200.20.1.10 
　　而在ARRAY TM上设置静态的地址翻译：
　　192.168.1.100 100.10.1.10
　　192.168.2.100 200.20.1.10
　　当有Internet用户访问llb.arraynetworks.net时，DNS服务器回应给用户由ARRAY TM来完成最终地址解析。ARRAY TM根据具体设置来选定适当的ISP线路，如果选择ISP1，则将地址解析为100.10.1.10。同样，如果选择ISP2，则将地址解析为200.20.1.10。从而完成流入流量的负载均衡。
　　Shortest Response Time
　　对于流入的流量，ARRAY TM使用与流出流量相同的最短响应时间判断机制，选择最佳的流入流量传输路径，进行最终的解析地址。
　　（3）LLB其他的功能设置
　　链路健康检查
　　ARRAY TM在多宿主网络中的一个主要作用是检测ISP链路的可用性，即健康状况。因此，ARRAY TM提供了链路健康检查的功能，从而保证多条数据链路的正常，提高服务质量。
　　路径健康检查
　　访问Internet的可靠性不仅仅是由ISP路由器提供的链路状况决定的，而是由整个数据流经的路径决定。因此，ARRAY TM提供了路径健康检查的功能，从而保证整条数据路径的正常，提高服务质量。
　　策略路由
　　ARRAY TM可以设置基于用户数据包源IP/Port、目标IP/Port的策略路由，通过该功能可以帮助企业人为的对特殊的流入流出流量进行规划，比如某个业务部门的应用系统需要比较高的数据传输带宽，而公司的多条Internet链路的带宽存在不均衡性，管理员可以选择一条带宽更高的链路承载这个部门的数据流量。

7.3 Array LLB 的优势

　　Array TM是专门为企业实现链路负载均衡设计，它具有以下优势：
　　* 支持多宿主网络，保障企业可以从不同运营商租用链路
　　* 实现流入/流出双向流量负载均衡
　　* 支持防火墙负载均衡
　　* 支持链路和路径健康检查，智能的将不可用的链路排除，保障对Internet访问的永远可用
　　* 支持最短响应时间的监测机制，使用户获得更高的服务质量
　　* 支持策略路由，方便企业人工调控业务流量分配
　　* 支持1＋1的集群，保障TM本身的高可靠性和高性能
　　* 可以和SLB/GSLB/Cache等功能无缝集成，方便企业未来功能扩展
　　* 性价比是业界最优秀的。

8．HTTP压缩（HTTP Compression）技术

　　网上证券交易网速太慢是CNNIC历次调查中股民认为最不满意的一个主要问题。线路拥挤带来的不便甚多，网上证券交易难免不受影响。在交易量较大的情况下，无论电话委托或网上委托，都可能发生线路阻塞现象，网上行情与信息的发布速度甚至可能比实际行情慢几分钟以上，直接影响交易完成的质量，客户可能因为行情阻塞或显示慢，下不了单或下单拿不到想要的价格。随着网上业务的增长，用户对因特网的传输速率提出了越来越高的要求。要改善目前上网慢的情况，除了增加路由器速度和服务器的处理能力外，还要想办法提高网络带宽利用率。采用HTTP 压缩技术可以大大提高网络带宽的利用率。
　　Array设备采用了HTTP 压缩技术，Array的 HTTP压缩功能可以将效能提升为原来的6倍，并大幅节省传送网络服务与其他动态内容时所需的带宽。
　　Array HTTP压缩过程：

采用Array HTTP压缩的优势：
　　－节省带宽；
　　－缩短用户下载内容的时间；
　　－在Web Server上不需要压缩功能，减轻了Web Server的负担。
　　下图是采用HTTP压缩前后的带宽利用率比较： 

由图可以看出，在15.1Mbps带宽下：
　　－没有采用HTTP压缩时，每秒可以处理2000个HTTP请求；
　　－采用HTTP压缩时，每秒可以处理20000个HTTP请求。

9．Array在网络加速方面的改进技术

9.1 SpeedstackTM专利技术

　　Array Networks的突破性的SpeedStackTM专利技术，采用高性能数据包处理内核，包括GB级TCP/IP和SSL处理，HTTP处理内核和全代理内核，IP 数据包对全部的网路功能仅需在TCP/IP堆栈中分析一次，可避免重复性的数据包处理工作。
　　Array Networks的SpeedStack技术可以实现：
　　－系统的最低处理时延
　　－紧密的功能集成
　　－高级的功能交迭
　　－零拷贝：所有数据直接放置在内存中，无需多次移动。
　　Array Networks的SpeedStack技术带来的优势： 　　－业界出众的总体性能；
　　－系统处理对资源最小化的需求。 

9.2 Connection Multiplexing（连接复用）技术

　　Array的Connection Multiplexing（连接复用）技术的主要作用是为了改善现有系统的总体性能，其技术原理是自动实现HTTP 1.0到HTTP 1.1的转换。HTTP1.0是短连接，即每次用户请求，都要重新建立一次连接；HTTP1.1 为长连接，连接维持时间较长，它可以将多个请求在一个连接中进行传输，减少连接建立和拆除所带来的延迟，并能够最大限度地降低对并发连接数的消耗，所以TCP/IP协议栈在处理长连接时具有更好的性能。Array的连接复用技术可以将客户端与Array TM的HTTP1.0连接转换为在Array TM与服务器之间使用HTTP1.1连接，使Array TM与服务器之间保持一个长连接， 减少了服务器建立和拆除连接对服务器资源的消耗。Array Connection Multiplexing（连接复用）技术的实现过程：

采用Array Connection Multiplexing（连接复用）技术后的效果比较： 

9.3 Connection Pooling（连接池）技术 　　Array采用Connection Pooling（连接池）技术，其优点在于： 　　（1）加快了与后台服务器之间的TCP连接处理速度 　　－Array TM预先与后台服务器之间建立多个连接，并保持住它们(每个服务器最多预先建立20个连接)； 　　－如果有客户端的请求，根据负载分担算法被分配到某个后台服务器上，Array TM从预先建立的该服务器的连接池中选择一个连接，在此连接上发送客户端的请求，一个连接可以被用来传送多个请求(每个连接最多可以同时处理90个请求)； 　　－ 显著的减少了后台服务器需要处理的用户端连接数(减少量可能达90%) 　　（2）改善了服务器的性能. 　　－ 服务器不需要花费更多的时间处理TCP连接建立和拆除的工作 　　－ 服务器不需要耗费更多的资源保持多个客户端连接

四、Array网上证券解决方案的说明 　　证券公司网络主要分为营业部网络和证券公司Intranet网络。营业部网络由内网和外网组成，内网主要包括资金服务器、程序服务器，各种和委托有关的计算机（如委托转换机、上海深圳委托发送机等）；外网包括行情服务器、交易服务器以及对外营业所使用的计算机设备。 　　证券公司Intranet和营业部网络绝非相互独立，而是相辅相成的。营业部网络的建设是前提，而Intranet则起到将多个营业部网络互联的作用，证券公司Intranet网上传递的信息与各营业部网络信息密切相关，主要仍为行情/交易信息、办公管理数据、Internet业务等。 　　在营业部与证券公司总部之间，及营业部与远程大户之间，通过Array SP的SSLVPN建立起端到端的安全连接，保证证券运营和网上交易的安全性。另外在证券营业部和证券公司总部采用Array TM系列产品，通过SLB（服务器负载平衡）、GSLB（全局服务器负载平衡）、SSL加速、LLB（链路负载平衡）、集群、HTTP压缩等功能，保证服务器负载平衡和高的可靠性，减少网络拥塞，提高网上证券交易的速度和质量。 　　下图为Array产品在网上证券解决方案的网络拓扑结构图。