集成ADN:企业应用交付新时代

同时，把分支办事处服务器整合到数据中心中这类节省成本的项目必须继续进行。最终用户要求改善的响应时间来帮助提高生产力，不管新Web应用或数据中心整合带来多少数据。CIO还决定将使用远程出席和视频会议技术加强协作减少旅行预算。

让网络经理更加头痛的是攻击网络的犯罪分子和黑客并没有放松。这些坏家伙利用比以往更难于检测的恶意件针对应用层发动复杂的、以获取财务收益为目的的攻击。但是，CIO并不想看到大量的新的安全设备，因为每一台这样的设备都要花费安装和维护费用。

此外，企业遵从办公室要求网络在确保企业遵从企业政策和管理制度中发挥作用。如果出现任何违反新规定和法规的现象，网络经理就必须阻止它们或者至少报告发生的情况。更有甚者，数据中心运营部门说，如果你再引进新设备，他们将禁止你接入数据中心和配线柜。

所有这些意味着什么？人们要求网络在应用层提供更多的服务。

有一些解决这些问题的办法。例如，WAN优化和应用加速工具提供了加快响应时间、控制带宽费用和支持减少费用的项目（如服务器整合）的手段。过滤和QoS使网络经理可以控制非业务传输流，堵住它们造成的安全漏洞。各种应用安全解决方案，从安全Internet网关、Web/应用防火墙、针对应用层威胁的杀毒到防数据丢失，是阻止黑客和犯罪分子的途径。应用级上的控制和报告以及许多安全解决方案使IT可以满足遵从性要求。

问题是部署所有这些需要的但却独立的解决方案，将造成工具数量的增加，从而增加成本和复杂性。

网络经理需要的是一种可以对应用层传输流分类、分配优先级和控制，同时还提供大多数所要的应用层服务的集成的解决方案。这种解决方案的名字就是“应用交付网络”技术。

应用交付是覆盖在已有的包转发基础设施上面的机制。交换机和路由器，同网络层防火墙等网络设备一道，完美地执行在网络中传送数据的任务，提供基于TCP/IP层以及以下各层（1－4层）的安全性。应用交付通过在网络中的应用层（5－7层）提供服务，补充包转发基础设施。

应用交付应对这些新挑战的关键是把应用可见性、加速、优化、安全和SLB的恰当组合集成在单一解决方案中。将当前应用分发无组织的状态转化为应用分发网络（ADN）技术需要两个关键特性。ADN解决方案必须了解应用以及控制服务。只是紧密的集成才能保证这点。

分类与可见性

ADN解决方案的第一个构件是良好的应用分类。应用交付解决方案必须具有效率非常高的深层次的数据包检查（DPI）能力。这种DPI可以确定消息的应用和其功能以及谁发送和接收消息以及他们所在位置。例如，分类功能必须知道公司的产品目标的HTTP XML消息是普通查询还是购买产品的交易。

购买请求可能需要传送到特定XML网关和防火墙，而查询可能不需要这样做。做出这些分类的能力将变得至关重要，要求ADN解决方案必须具有良好的分类能力。

在应用交付解决方案中执行分类带来减少执行DPI所需时间和CPU资源的好处。老的办法是让每台设备执行DPI，因而每一次执行都会增加延时。

网络经理需要考虑的重要问题是厂商多长时间更新他们的分类引擎。需要经常更新的原因是新应用被不断发明出来，已有应用不断变化。定期的更新使解决方案可以与变化保持同步，并且特别重要，因为许多新应用会对企业的网络产生不利影响。

分类的另一面是可见性和监测。如果设备可以对应用传输流进行分类，则它处在执行监测功能、向网络运营部门报告网络上发生什么的理想位置。将监测与ADN解决方案组合在一起，克服了当前在独立的设备中执行监测的方式存在的问题。例如，比如说一条消息必须经过Web/应用防火墙、数据丢失预防设备，最后经过专用XML网关。如果出现用户对响应时间的不满，了解每一台这些设备增加多少延时至关重要。

传统监测器由于只看到这条消息一次，因此不知道问题的答案。ADN解决方案知道每个服务增加了多少延时，从而向网络运营部门提供更清楚的情况图。

控制流

ADN解决方案的第二个构件是根据应用分类和策略定义，控制所需要的加速 、安全性或其它应用服务的能力。ADN解决方案知道需要哪些服务并可以根据应用甚至交易类型改变服务，从而编排应用流收到的服务。

例如，当Citrix虚拟化应用发送屏幕更新时，所需要的一切就是加速、监测更新和对更新进行安全性检查。如果这个应用向本地打印机发送打印任务，这个任务应当经过数据丢失预防服务来确保没有敏感数据被打印，因为打印出的内容很容易被任何人带到公司之外。

控制传输流对于保证语音传输流得到正确地处理十分重要。ADN解决方案必须赋予语音高优先级，把它们放在应用服务队列的前面。此外，它必须了解语音传输流，知道不需要为其加速，因为对于已经高度压缩的语音传输流，加速起不到任何作用。

控制与分类相结合，使解决方案知道什么传输流重要。尽管一些对等传输流和视频传输流与业务有关，但大多数来自非业务应用。控制使解决方案可以过滤掉这类传输流，或将它们排在队列的后面。

解决方案可能没有集成所有企业所需要的应用服务，因而要求企业使用来自另一家厂商的应用。例如，如果解决方案向数据丢失预防（DLP）设备发送带有附件的电子邮件，DLP决定这封电子邮件是否必须被阻止或加密后再转发。然后，它利用ICAP向解决方案通报怎么处理消息。

网络经理应当寻找保证解决方案与应用服务之间的通信流畅的ADN厂商。ADN解决方案的定制很重要，因为每个企业和应用都是不同的。应当根据厂商内建的定制能力和他们使企业多容易地开发额外的定制来评判ADN厂商。一种好的特性是提供基于角色的管理。在基于角色的管理中，不同的应用部门可以为它们的应用提供定制，同时ADN解决方案确保它们不相互干扰。

企业中的ADN

提供应用分类与控制的ADN使企业获得了对网络上流动的应用的控制。应用可见性和控制使企业能够在满足法规要求的同时，了解什么应用在网络上运行。这将使企业能够提供有效的安全性，控制成本和提供更好的服务。非业务应用将不会在网络上泛滥，关键任务应用将得到保护。

哪里需要ADN解决方案？应用交付服务和安全性应用于应用传输流的之处需要它。数据中心、分支办事处与远程位置以及Internet边界上需要它。当雇员在企业之外时，每个移动雇员的便携机中需要它。总有一天，手机和手持设备等智能设备中将需要它。

ADN解决方案中需要什么应用服务。应用可见性是必不可少的，因为有效的分类需要它，并且因此还应当具有应用监测能力。网络经理始终应当考虑将他们需要的许多应用服务集成在一起的解决方案。

集成的ADN是最好的解决方案的原因有许多。首先，它减少了需要部署和维护的设备的数量，从而减少运营成本。集成的解决方案还可以减少延迟，因为节省了设备处理数据包并执行自己的深层次的数据包检查所用的时间。

它还消除了设备与之间进行的通信，从而减少所需时间并消灭了潜在的问题。策略管理得到了简化，因为技术人员只需为制定策略，不用为额外的设备做这件事。

拥有执行传输流过滤的集成的可以节省时间和其它设备完成的处理，因为集成的在传输流达到这些设备之前就被过滤掉了。因此，作为一种通常规则，集成在解决方案中的应用服务越多，它的效率就越高。

给ADN起个什么产品名字呢？应用交付控制器（ADC）是个不错的候选名称，但问题是这个名字已经被占用了，它与数据中心中的服务器负载平衡器有关。ADC可以发挥数据中心的解决方案的作用，但目前 它们传为数据中心进行了优化，并不适合于网络边缘。因此，我们需要为数据中心之外的解决方案起一个名字，一个很好的候选者可能是应用服务控制器（ASC）。虽然企业更喜欢适用于所有位置的解决方案，但这在可预见的未来是不现实的。

显然，应用交付必须向为应用层带来次序的架构化的解决方案的方向迈进。缺少这种的解决方案，网络经理将无力应付大量的应用服务和安全设备，这些服务和设备的费用将不断增加并导致质量低下的服务。鉴于最近经济形势的巨变，网络经理如今更应当开始要求厂商提供架构化的应用交付网络技术，而不是满足于点产品的集合。

应用交付网络提供的四类服务

• 应用可见性：通过显示Web应用和具体交易的类型实现应用层上的监测，将经过80端口传送的Web/HTTP包进一步分类。
• 服务器负载均衡（SLB）和健康监测：向用户提供应用的单一视图，同时把这些数据传送给运行这个应用的多台服务器并监测响应时间。
• 应用加速或WAN优化：改进响应时间和减少带宽使用。
• 应用级安全性：包括Web与应用防火墙、数据丢失预防、安全Internet网关、Internet过滤器和恶意软件预防等。