Real Server

连接到ACOS或者交换机上的物理服务器。最小配置如下：

名称
IP地址 或 DNS名字
端口，例如TCP 80
Virtual Server 和 Virtual IP(VIP)

virtual server是real server和ACOS和结合。对于用户，它是一个单独的服务器。 

VIP是virtual server的IP。VIP在ACOS设备上配置，用户通过该ip接入虚拟服务。

virtual server和VIP是一起配置的。最小配置如下；

名称
IP
端口
Service Group

Service group是实现一个服务的服务器组。在service group上配置负载均衡算法。最小配置如下：

名称
类型
负载均衡算法
至少一个real server和端口

新一代服务器负载均衡器
  

　
　A10 Networks AX 系列是行业最佳性价比应用加速交换机——借助高性能、可扩展型应用配送平台，帮助企业和网络服务提供商实现应用可用性
的最大化。AX高级核心操作系统（ACOS）架构为公司赢得了众多奖项，由于具有多系统支持，依据市场标准，它属于一项革命性的创新技术——包括优化的全
新多CPU架构，在性能、扩展性和可靠性方面都具有领先优势。 

　　AX的ACOS 架构，可以对多重独立式CPU及专用可编程ASIC的性能
进行线性提升，即使启用所有功能时，也能确保扩展性能的最大化。AX系列aRule高级脚本技术，具有最终政策的创建灵活性，可以提供丰富的流量检测及交
换能力，帮助企业组织快速适应日益变化的环境条件及应用类型。
AX系列具有如下性能：
 

革命性的高级核心操作系统（ACOS），充分利用了现代的系统架构 

适于多CPU及多核心 

aRule政策编辑器具有自定义功能 

行业最佳SSL加速及L4-7加速   

支持IPv4 及 IPv6  

行业标准命令行接口（CLI）及易用型图形用户界面（GUI） 

航母级硬件组件 

性能交换/路由ASIC、SSL加速ASIC及A10灵活流量ASIC
 
关键收益：


 
应用可用性

  

　　缩短“应用响应时间”为加速应用提供极高的可靠性。  

　　在关键业务程序规划以及提供连续服务过程中，可用性是最为重要的一个考虑因素。为了帮助企业组织及服务提供商加强程序服务，AX Series 提供了大量的网络及跨服务器设备的高级可用性功能，从而确保了全天候不间断服务。。  

  
高性能服务器负载平衡
 

　　根据用户自定义型重定向政策，提供线速应用转换功能。灵活一致的政策、高级的状态监测、强大的内容转换能力及负载均衡方法，以及预定实施模板，为管理员提供了一整套丰富的实用工具，从而能够将结构可靠性及可用性融入到所有关键应用中。 

aRule高级脚本
 

　　具有政策创建灵活性，可提供丰富的流量监测及转换能力，以帮助企业组织尽快适应不断变化的外界环境及各类程序。 

高级健康监测
  

　　该功能可帮助管理员利用预定健态检查，或创建并定制自己的健态监控政策，快速建立一种具有无缝失效补救能力的强壮型解决方案，确保无程序停时。 

服务质量 

　　确保所有关键业务应用均能通过网络获得所需资源，为应用可用性提供坚实保障。  

稳固型结构 

　　冗余热插拔组件（电源、智能风扇、硬盘）、双机热备及高可靠性性（HA）匹配、强大的失败接管能力、软件及硬件健康的主动监测，为要求最为苛刻的数据中心及服务供应商环境提供了业务连续性保障。 
 
 
性能优化

  

优化性能：紧凑型2U设备的最佳性价比  

高级核心操作系统（ACOS）具有未来可扩展性  

　
　正如许多服务提供商和企业组织所知，要对程序服务器和终端用户间的网络进行全面控制，确保程序性能稳定性，这绝非易事。由于AX系列具有专用硬件、
ACOS操作系统、非对称型优化技术（SSL加速、协议优化、压缩等 ），在带宽利用降低75%的情况下，程序性能可提高8倍。  


  
高级硬件结构
 

　　该结构以独立型CPU为基础，包括A10流量加速ASIC（TAA），SSL加速模块、ACOS操作系统，具有独特的性能优势，其性能是传统通用型基于处理器解决方案的50倍以上。 


ACOS操作系统
 

　
　为了充分利用可扩展型高性能AX硬件，ACOS提供了真正意义上的4-7层程序流量线性处理功能，由于具有aRule自定义脚本，就可以对所有程序实施
加速、扩展并为其提供安全保障。通过向系统高性能CPU、流量加速ASIC、SSL加速模块以及高速内存均衡分配数据包，ACOS可消除因一个或多个处理
器过载所产生的性能瓶颈问题，这些问题常常困扰着其它程序的加速解决方案。  

SSl加速
 

　　提供高级的硬件SSL降载能力，加速处理SSL加密及密钥交换操作过程，降低繁忙服务器负载，同时，确保正确的流量分配。为SSL加速设置新的高级别标准，满足最苛刻的2U环境下的加密需求。  


协议优化及压缩
 

　　将协议下载、加速及高级数据压缩技术相结合，提高用户机响应时间（提高8倍），加速关键型网络程序，为本地、远程及异地分支机构提供服务。 
 
 
灵活的可扩展能力

  

服务器群容量扩展,满足未来日益变化的业务需求.  


　　为了简化程序加速过程中所出现的复杂性，不仅要采用效率型程序加速转换，同时，还要求这种转换要具有很高的灵活扩展能力。由于2U结构模式具有高密度解决方案，AX系列能够提供行业最佳性能，提供多配置及布置能力，满足数据中心及服务供应商十分苛刻的环境需求。  

  
aRules 高级脚本
 

　　该功能可帮助管理员完全自定义程序监测政策，准确地对网络流量进行重新定向，并确保网络畅通，同时，即时满足当前或未来的各种业务需求。  

程序线性扩展
 

　　ACOS线性处理、高性能硬件以及高密度平台，可为单一型2U设备的最大性能提供线性扩展。为了突破单一设备的限制，允许对AX系列设备进行N+1双机热备HA模式的组合，线性化提高系统处理能力。  

实施模式灵活——透明模式及路由模式
 

　
　functions. 系统安装及运行以透明及路由模式进行。在透明模式下，AX系列可作为二级设备，布置方式简单，只加在数据中心交换机与公司路由器
之间，无需进行变更调整; 在路由模式下，AX系可支持静态及动态路由，如RIP及OSPF，同时具备SuperNAT功能。 

高端口密度及容量 

　　为了满足大中小型各类数据中心需求，设计了四种AX系列模式。对于具有10G连接需求的大型数据中心，AX 3000系列具有两个10G的光纤连接，以提供40G比特的交换能力。 

AX型号 


兆比特铜缆 


兆比特光纤 


10兆比特光纤 


SSL加速 


2100



16



4



0



SW



2200



16



4



0



Yes HW



3100



16



4



2



Yes HW



3200



16



4



2



Yes Hw


 
直观易用型管理


　　具有直观型网络管理界面，以及通用程序加速配置的工业标准CLI实施模板。AX 系列可提供详实的统计报告，并进行主动告警功能，有助于管理员更好地了解程序运行情况，并对程序加速政策做出进一步调整。

 
 
架构安全性

  

　　利用线速性能，保护程序服务器，防止DDos及协议异常攻击。在恶性攻击过程中，为合法流量提供程序可用性保障。 

　　为了向企业组织提供健壮型高速安全保障，AX系列布置了一系列特殊的可编程ASIC，下载攻击检测及预防功能。由于配备有硬件加速保护功能，数据中心就能够防止DDos及协议异常攻击，同时不会影响系统性能。  

  
增强型系统结构
  

　　利用专用型操作系统（程序加速、带外管理、安全管理界面等），提高AX系统的安全性。  

主机掩码 

　　可提供高性能定制型“网络地址翻译（NAT）”服务，将数据中心从公共网络进行掩蔽隐藏。管理员可利用此功能创建基于政策的NAT规则，确保关键型服务器资源的安全性，并对网络流量进行智能化定向。  

DDos及异常保护
 

　
　该功能可提供高性能检测及预防功能，防止服务拒绝及协议攻击行为，从而有效防止服务器瘫痪及非法程序下载。由于AX设置在路由器和数据中心资源之间，处
于最为理想的物理位置，所以能够检测和阻止针对数据中心服务器或程序的攻击行为。通过特殊的ASIC，AX系列可对程序流量进行检测、中止或重新定向，确
保网络速度。  

定制型安全政策
 

　　利用AX直观型网络管理界面或工业标准CLI，数据中心管理员可快速制定高级安全政策，充分利用AX的ASIC加速设备，深入探察影响流量的网 

作为全球应用网络领导者，一家成立了13年之久的国际知名网络安全厂商，专业应用交付厂商，A10 Networks（NYSE: ATEN）为不同规模的客户提供了提供了强大的应用交付、负载均衡器等网络安全产品等一系列高能效的应用网络解决方案，为全球数以千计的运营商、互联网巨头和跨国企业的数据中心打造了“应用可达”、“应用加速”和“应用安全”的网络。A10 Networks于2004年在美国加利福尼亚州的圣何塞（硅谷）创立，凭借多年出色表现，A10 Networks在2013年Gartner应用交付市场魔力象限中打破6年魔咒，成为七年来应用交付市场上唯一一位挑战者，2014年再向领导者象限迈进一大步，坐稳三甲席位。
 
据Frost Sullivan针对2016年中国区应用交付市场的调查结果显示，A10 Networks（上海威实网络科技有限公司）以22.7%的市场占有率位列“中国大陆市场亚军”，并且在“技术为王”的互联网市场上拔得头筹。最终，凭借领先的技术优势和强劲的市场开拓力，A10 Networks被Frost & Sullivan授予“2016年度中国区应用交付控制器市场技术领导奖”。
 
A10 Networks 在2013年发布了性能卓越的A10 Thunder®系列产品家族，以物理、虚拟和混合虚拟等多种设备形态，打造了性能最高达160Gbps的应用网络解决方案，与扩展系统资源集成以满足未来系统的特性需求。高性能的Thunder系列硬件设备，具备多项资源密集式的数据中心服务边缘功能，如VXLAN/NVGRE隧道封装和解封装、SSL卸载、大规模DDoS攻击防护等。

      基于ACOS平台构建的Thunder系列包含五条产品线，满足客户不同需求：
· Thunder ADC系列：下一代应用交付控制器产品线，可提升数据中心应用和网络的可用性、加速性和安全性。
· Thunder CGN系列：运营商级NAT产品线，可为运营商网络提供大规模地址和协议转换服务。
· Thunder CFW系列：高性能、多功能、灵活的安全解决方案，为用户全面守护安全运营。
· Thunder SSLi系列：强大的SSL流量解密产品线，帮助传统安全设备进行更高效、更全面的安全检测。
· Thunder TPS系列：威胁防护系统产品线，全面应对大规模、高复杂的多向量DDoS攻击，确保服务可用性。
 
曾经A10 Networks 创始人兼首席执行官陈澧跟记者分享了A10未来的规划。他表示，整个IT产业的趋势是软硬结合+服务，未来的企业不需要自己建立IT部门，所有的IT都会外包出去。此外，走向服务本地化，这也是必然的发展趋势。“我们目前一直专注在自动化上，现在已经有了全球服务中心，虽然现在还是一种被动性的服务，但是以后肯定会建立主动性的服务体制，这是我们未来要去做的。” 陈澧如是说。
 
记者点评：在网络安全市场竞争如此激烈的今天，一家外企能够进入国内的金融行业和政府行业，并受到客户的一致好评，足以证明其产品和解决方案的优秀。显然，A10 Networks 就是这样一家拥有绝对实力的厂商。通过本次采访，记者不但感受到了 A10 Networks 极具挑战性的创新文化和丰富全面的产品解决方案，还有 A10 Networks 定位全球、打造本土化服务的决心和信心。可以预见，随着 A10 Networks 的不断发展与壮大，其市场份额将会进一步提高， 成就网络安全市场的霸主将指日可待。

                    
很多提供公开服务的网站都会遇到单一客户IP大量访问导致性能受到影响的问题，这些访问有可能是攻击流量，也有可能是来自代理服务器或者NAT设备后端若干客户的访问。如何有效地对这些流量进行限制而不影响正常用户使用，不同类别产品在这方面提供不同程度的防护。现以A10负载均衡产品AX为例介绍如何实现客户端IP限制。本文提到所有连接为完整TCP连接或未开启SYN-Cookie功能时的半连接。关于SYN-Flooding的防护，负载均衡设备均有较强防护能力，本文不做讨论。也可以针对服务器和虚拟服务器进行总连接数或连接速率限制，也不在本文讨论范围。
首先，某个客户端过渡使用资源体现在以下几个方面：
并发连接数，同一客户IP打开大量连接不关闭，耗费服务器连接资源
新建连接速率，同一客户IP每秒新建连接数量
并发7层请求数，同一客户IP并发的请求数量，并发连接限制了TCP连接数量，但一个TCP连接中可以传送很多个HTTP请求。
7层请求速率，同样由于一个TCP连接中有多个7层请求，单纯TCP连接限制可能无法有效防护。流行的CC攻击就是利用少数TCP连接发送大量HTTP请求的。
带宽使用，作为负载均衡设备，以连接为基础进行处理是更合理的方式。限制了合理的连接数量和请求数量后，带宽也相应得到限制。
负载均衡设备通常有足够的并发连接数和新建连接处理性能将这些连接转发给服务器，但服务器往往无法承受这些负担，因此客户端IP限制很多时候是为了避免服务器过载。而单纯针对服务器的连接限制保护又会导致所有客户端受影响。基于客户端IP的限制则可以保证未过量使用的用户不受影响，只是攻击流量和过量使用的用户收到限制。
下面介绍其工作原理，涉及部分配置命令，但不做完整配置介绍。
AX可以定义叫做Class List的IP列表，最多可以定义255个Class List，每个Class List可以包含800万主机IP地址（/32掩码）和64K个网络子网。Class List可以以文件形式存在。
Class List的格式如下：

ipaddr /network-mask [glid num | lid num] [age minutes] [; comment-string]
lid为Limiting ID，是在某个策略下定义的限制规则编号；
glid为Global Limiting ID，是全局下定义的限制规则编号；
age可以设定这个条目存在多久后删除，只对主机IP地址适用，可对可疑攻击IP短时间限制。
例如：
1.1.1.1 /32 lid 1 

2.2.2.0 /24 lid 2 ; LID 2 applies to every single IP of this subnet 

0.0.0.0 /0 lid 10 ; LID 10 applied to every undefined single IP 

3.3.3.3 /32 glid 3 ; Use global LID 3

lid或glid下定义对应的限制规则，可定义单个IP并发连接数量、每100ms新建连接数量、并发请求数、每100ms请求数量、以及超过限制时的可选动作（转发、reset、锁定、日志）

conn-limit num 
conn-rate-limit num per num-of-100ms 
request-limit num 
request-rate-limit num per num-of-100ms
over-limit-action [forward | reset] [lockout minutes] [log minutes]


示例：
AX(config-policy)#class-list lid 1 

AX(config-policy-policy lid)#request-rate-limit 50 per 1 

AX(config-policy-policy lid)#request-limit 60000 

AX(config-policy-policy lid)#over-limit reset logging

限制策略模板内会定义所使用的Class List名字和对应的lid规则，例如

AX(config)#slb template policy vp_policy 

AX(config-policy)#class-list name vp_list 

AX(config-policy)#class-list lid 1 

AX(config-policy-policy lid)#request-rate-limit 50 per 1 

AX(config-policy-policy lid)#request-limit 60000 

AX(config-policy-policy lid)#over-limit reset logging

应用限制策略到VIP或者vport或者全局下，下面例子为应用到vport 80下对HTTP请求数量进行限制

AX(config)#slb virtual server vs1 

AX(config-slb virtual server)#port 80 http 

AX(config-slb virtual server-slb virtua...)#template policy vp_policy

在制定限制规则时，要考虑代理服务器和NAT设备后端若干客户使用同一IP的问题，采用的限制值由较大值逐渐下调。或者先采取只log不限制的方式获得IP地址，分析后再逐一制定具体限制策略。
 


本文转自 virtualadc 51CTO博客，原文链接:http://blog.51cto.com/virtualadc/774126