F5 金融行业解决方案

更新时间：2024-01-16 09:47:01 阅读量：教育文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

f5是什么意思推荐度：
相关推荐

F5 金融行业解决方案

1.1 银行 ................................................................................................................. 3

1.1.1 商业银行网上银行防火墙负载均衡及多链路接入 .......................... 3 1.1.2 国外商业银行广域网数据传输加速 .................................................. 6 1.1.3 商业银行省级分行流量管理解决方案 .............................................. 8 1.1.4 地区级商业银行总部网银流量管理解决方案 ................................ 11 1.1.5 银行主机前置网关负载均衡 ............................................................ 15 1.1.6 分行中间业务 .................................................................................... 17 1.1.7 银行总部内网OA系统防攻击解决方案 ........................................ 19 1.2 证券 ............................................................................................................... 22

1.2.1 大型证券公司网上证券交易系统 .................................................... 22 1.3 保险 ............................................................................................................... 24

1.3.1 保险公司负载均衡应用解决方案 .................................................... 24 1.4 基金 ............................................................................................................... 27

1.4.1 大型基金公司多链路接入及服务器负载均衡 ................................ 27 1.4.2 中型基金公司多链路及服务器负载均衡解决方案 ........................ 31 1.5 交易所 ........................................................................................................... 34

1.5.1 外汇交易中心 – 多链路负载均衡解决方案 ................................. 34

1.1 银行

1.1.1 商业银行网上银行防火墙负载均衡及多链路接入

项目概况：

该用户为国内大型商业银行

用户有一个主数据中心，同时接入电信和网通线路，另外建立了一个分支数据中心，也同时接入电信和网通线路客户拥有国内最完善的网上银行系统，每天流量以及交易数量日益增长

由于数据传输量大和访问数量的暴增，目前原有的防火墙安全系统已经无法承担,需要使用多台防火墙共同工作，来分担压力

尽管带宽较大，但数据传输的速度仍然较慢，希望通过改造提高数据处理和传输效率

网络结构：

多数据中心接入：

客户需求：

要满足高可用性，包括防火墙的状态信息处理，线路故障的切换处理，因为涉及网上交易，需要在绝大部分情况下保证应用的持续性要有高扩展性，能灵活增加新的处理设备

要满足无缝整合，能在任何时候部署新的设备，不影响应用的持续性设计必须考虑到设备本身的冗余性和高可用性。建议的方案必须最小限度的影响现有系统

方案在将来有很好的扩展性，还可以灵活增加新的接入链路而不涉及内部改动要求方案设计简单，容易部署。

F5的解决方案：

采用6台BIGIP 6400来实现链路接入负载、服务器负载均衡和防火墙负载均衡由于要求可用性和无缝整合及切换，因此在链路接入层，采用两台BIGIP 6400来同时实现链路负载以及服务器负载均衡

另外在第二层采用两台BIGIP 6400来对4台Checkpoint防火墙进行负载均衡，并采用会话保持技术保证应用的持续性

在服务器群前面，再采用两台BIGIP 6400，通过F5的Autolasthop功能，来保证同一访问的数据来回都固定在一台防火墙进行处理，保证应用的持续性 Reputation：f5是业界经过验证的成熟供应商，银行也认可这一点

为什么选择F5：

高性能、高流量的数据处理能力，BIGIP 6400能支持2G的七层应用流量，并且支持针对高强度的DOS攻击防御，有效保证在各种高强度访问压力下的处理效率。超高新建连接数与并发连接数支持： BIGIP 6400支持每秒22万的四层新建连接能力，以及每秒7.5万的七层新建连接能力，同时支持800万的并发连接数，具有很高的连接处理能力

灵活的应用处理能力：F5具有UIE+iRuls，UIE可以高效率地将TCP/UDP的数据包打开，并搜索其中的特征数据。然后iRules可以根据UIE搜索到的数据进行应用规

则处理。这样，F5可以真正搭建起网络与应用之间的桥梁，实现很多应用开发以及网络配置无法实现的应用需求。

稳定而简单的结构部署：整个部署和实施过程，不需要影响到原有的拓扑结构，在经过实验验证可行后，可以整套架构直接插入原有拓扑结构中间，不涉及任何网络改动，实现无缝的整合和接入。在线部署为银行最担心的部署方式，能实现无缝接入部署是F5的最大优势。在最终部署时，5分钟内已经完成所有切换连接，半个小时后，通过所有应用部门的应用验证，最终确认上线部署成功。

关键技术阐述：

UIE＋iRules：

UIE --Universal Inspection Engine 通用搜索引擎，可以将TCP/UDP的数据包打开，并搜索其中的特征数据。

i-rules –可以根据UIE搜索到的数据进行应用规则处理。 UIE+ I-rules 可以帮助客户实现以下功能：

1．应用流量管理

2．针对复杂应用的负载均衡和会话保持处理 3．应用安全处理

灵活可靠的高级状态健康检查

BIGIP支持采用ICMP，TCP/UDP，ECV，EAV，iControl等各种方法对服务器或应用状态进行健康检查。

? ICMP：第2/3层的健康检查方法，采用Ping的方法检查服务器是否alive。 ? TCP/UDP：第4层的健康检查方法，检查相应的TCP/UDP端口是否激活来确

定Service的状态。

? ?

ECV：扩展内容验证，第7层的健康检查方法。模拟客户端向服务器发出请求，检查接收数据中是否含有期望的字符串来确定应用的状态。

EAV：扩展应用验证，嵌入式、个性化的健康检查方法。可以使用shell script 或perl 语言等嵌入程序执行EAV，对服务器进行多层步骤、复杂的健康检查。一般开发EAV需要三天左右的时间。

iControl：主动式的健康检查方法。让服务器或应用来告诉BIGIP，它的健康状态。一般开发iControl需要三个月甚至更长的时间。

高可用性：

F5的BIGIP采用了独立的管理CPU支持带外管理，称为SCCP模块，SCCP为一个独立的系统，具备自己的独立的OS、Memory和Flash Disk。在电源接通并打开电源开关的情况下，SCCP即已经启动，并且不受HOST系统重起、挂起等影响。SCCP在正常工作时，运行在Bridge模式下，将所有管理以太网口和Console的连接传递给HOST系统，以对HOST直接进行管理。同时，也可以给SCCP配置自己的独立IP地址和路由。SCCP在配置IP地址后，仅对外提供SSH服务。在重起SCCP的时候，整个系统，包括HOST均会被重新启动。利用SCCP，F5可以对正在运作的所有系统进程和硬件的运作状态进行有效监控

1.1.4 地区级商业银行总部网银流量管理解决方案

项目概况：

该地区级商业银行为著名的城市商业银行，业务辐射全国。

按照中国银监会的综合排名，在全国113家城市商业银行中位居前列；在全国城市商业银行中率先推出网上银行业务。

为了更好地服务网银用户，决定对网银系统进行链路和应用方面的优化。考虑到中国特有的南北电信互联互通问题，需要将客户访问正确导向到合适的ISP链路，并且多条链路之间互为冗余

对于网站Web服务器，SSL安全网关，网银Web服务器和应用服务器进行负载均衡优化

通过架构流量管理产品，改进服务器和应用在运维时对在线业务的影响。网络结构：

网银流量管理解决方案拓扑图

客户需求：

多链路负载均衡

详细说明：用户在建立域名请求连接时，能够根据链路的健康检查结果和相应的算法（Topology，RTT等），智能选择合适的链路来提供用户响应

各种业务服务器负载均衡（包括网站Web服务器，SSL安全网关，网银Web服务器和应用服务器）详细说明：根据预设的负载策略，将不同的访问请求分发到相应的服务器。并能够通过规定方式检查服务器是否正常提供相应的服务，若发现某个服务出现异常，则采用设定

的方案进行隔离，保证正常服务不受其影响。要求在正常情况下两台或多台服务器的负载基本相同，在某台服务器停机的情况下透明的容错，保证关键应用的持续,提供特别的会话保持能力, 可以根据不同应用的特点保证特定用户的访问会定位在特定的服务器,只有在这台服务器出现故障时再将访问导向到其他服务器。温暖关机

详细说明：在需要对网银业务服务器进行升级维护的时候，利用F5温暖关机的特性，disable需要下线维护的服务器，阻止用户的新建连接，保持用户的在线连接，直到在线连接数下降到零，再由网管人员将服务器下线。高可靠性

详细说明：通过HA方式保证系统的7x24小时服务，保证系统的高可靠性；同时提供会话镜像功能，保证设备切换时，应用的连续性。

F5的解决方案：

采用F5 LC1500双机HA冗余结构，实现中国电信和中国网通链路双向负载均衡，保证电信用户解析出电信地址，网通用户解析出网通地址。在链路负载均衡情况下，解决外部邮件服务器的域名反向解析问题，保证银行的邮件服务器收发邮件正常。

采用F5 LTM3400双机HA冗余结构，实现网银系统各种业务服务器的负载均衡。 F5负载均衡器内置业界唯一专有的四层ASIC芯片，加速对数据处理的性能。

采用F5特有的负载均衡算法和健康检查方法保证网银各种业务负载实时高效均衡。采用F5丰富的会话保持机制，对应用访问的一致性进行流量控制。采用F5的温暖关机特性，优化运维时对用户在线访问的影响。

为什么选择F5：

多链路负载均衡算法: LC中有多种算法可选择，并且可以定义顺序执行，可先动态，后静态或先静态，后动态,高效灵活，正确解析率高。

服务器负载均衡产品能够满足要求严格的应用健康检查要求

服务器负载均衡产品能够满足特殊的应用会话保持机制，并且可以配置备份的会话保持方式

F5负载均衡器双机心跳线方式提供毫秒级快速切换，是网银系统这样的关键业务系统所必需的。

F5在世界级银行（例如：花旗银行，美洲银行等）以及全国性银行（例如：工行，农行，建行，中行，招行等）成功案例和优异运行记录。

服务器负载均衡产品能够集成其它的流量处理和优化模块，如RamCache，HTTP Compression，WebAccelerator，Application Security等功能模块，今后可以拓展对应用进行更加高级的优化。

关键技术阐述：

F5链路负载均衡器丰富的Inbound算法

静态负载均衡算法：

全局可用性(Global Availability)：LC将所有提供某种特定应用的链路放在一个队列中，把用户访问请求的流量导向该队列中第一个可用的链路，当该链路到达连接限制或者出现故障部可用时，将流量导向下一个可用链路。当使用这种算法的时候，处在队列中第一个链路将接受到大部分的流量，队列中的最后一个链路接收到非常少的流量。

? 无（None）：LC针对某一种应用可以定义三种负载均衡算法，优先采用第一种算

法，当第一种算法失效时，启用第二种算法，第二种算法也失效时启用第三种算法。假定第二种算法使用None，当第一种算法失效时直接启用第三种算法。 ? ? ? ? ? ?

随机（Random）：随机返回给用户某一个链路的IP地址。

比率（Ratio）：预先给每个链路定义一个权值，按照这个比率返回给用户某一个链路的IP地址。

返回给LDNS（Return to DNS）：立即将连接请求返回给LDNS处理。

轮询（Round Robin）：将提供某种应用的所有链路放在一个队列当中，按顺序依次返回给用户队列中下一个链路的IP地址。

静态会话保持（Static Persist）：这种算法将维护一个LDNS到某一个链路的映射表，同一个LDNS的查询请求在预定的时间过期之前会返回同一个IP地址。拓扑(Topology)：可以地理位置、IP划分预先定义一些规则，按照这些规则返回给用户相应得IP地址。例如：预先定义中国电信LDNS地址范围，并规定所有中国电信用户的请求都访问电信链路。当有符合条件的LDNS发起查询请求的时候，都会返回电信链路的IP地址。 ? ?

丢弃请求数据包(Drop Packet)：当使用此种负载均衡算法的时候，LC不做任何事，直接将数据包丢弃。

外部IP(Explicit IP)：当使用此种负载均衡算法的时候，LC返回给LDNS一个外部的IP地址，该地址可以在Fallback IP中设置。可以使用此种算法做备用，当所有正常链路都不能访问的时候，返回给LDNS备份链路的IP地址。

动态负载均衡算法：

? 完成比例(Completion Rate)：当接收到LDNS的查询请求的时候，LC会返回给用

户丢包或超时数据包最少的链路的IP地址。

跳数(Hops)：当接收到LDNS的查询请求的时候，LC会让数据中心的F5设备探测该数据中心到发起查询请求的LDNS之间的路由跳数。LC根据返回的跳数解析给LDNS跳数最少的链路的IP地址。

千字节/秒(Kilobyte/second)：LC会选择一个当前处理的Kbyte/Sec数值最小的一个链路返回给发起查询请求的LDNS。

最小连接数(Least Connection)：LC会选择一个当前处理连接最少的链路返回给发起查询请求的LDNS。包比例(Packet Rate)：LC会选择一个当前每秒钟处理数据包最少的一个链路返回给发起访问请求的LDNS。 ?

RTT(Round Trip Times)：当收到LDNS查询请求的时候，LC会让每个数据中心里面的F5设备反向探测发起查询请求的LDNS，并且计算从发起反向探测到接受到响应得时间间隔。LC根据这个时间间隔返回给LDNS一个间隔最短的数据中心的IP地址。 ?

服务质量(QoS)：LC通过收集每个数据中心RTT时间、跳数、完成比率、包比率、地理拓扑、链路容量、VS(Virtual Server)容量、Kbyte/Sec的数值进行综合计算，

? ? ?

计算之后每个数据中心都会有一个权值，然后根据这个权值返回给LDNS相应的链?

路的IP地址。

VS 容量(VS Capacity)：当使用这种算法的时候，LC将所有的Virtual Server放在一个队列当中，并把每个Virtual Server的容量作为他们的权重，按照这个权重返回给LDNS相应的链路Virtual Server的IP地址。

1.1.5 银行主机前置网关负载均衡

项目概况：

多台主机前置网关同时工作，但人为指定片区使用不同的前置网关负载分配非常不均衡，有些压力过大，有些过于轻松网关故障将导致整个负责片区的业务瘫痪由于更靠近主机系统，因此影响面非常大应用流程：

客户需求：

采用负载均衡设备对多台前置网关自动进行流量分配，尽量使负载均衡。

通过健康检查机制对前置网关进行关联业务检查，保证整个网关的可用性。由于下级网点数量较多，因此在迁移时需要在负载均衡设备上完全取代原服务器IP。下级网点访问其中任何一个IP地址都会平均分配到多台前置网关上。

前置网关上不保存中间数据，但客户端连接均为长连接，并且需要负载均衡设备在切换时不中断长连接

F5的解决方案：

采用BIGIP对多台前置网关进行负载均衡

在BIGIP上配置多个VS，对应后台同一个真实的服务器组

BIGIP对每台服务器上的多个业务端口同时进行健康检查，只要有其中一个端口发生故障，则停止整台前置网关的工作。两台HA的BIGIP之间配置会话同步，保证在BIGIP发生切换的时候，已经建立的长连接不会中断。

Why F5

稳定性：BIGIP完善的冗余和实际应用中的稳定性是保证项目成功的决定性因素。由于前置机靠近主机，影响面非常大，因此设备本身的稳定性是第一位的多VS处理：BIGIP上可以对同一个服务器组对外提供多个VS，保证了在系统进行切割时的顺利进行。

会话同步：由于所有的应用均是长连接，因此在BIGIP进行HA切换时，必须保证所有的长连接均可正常保持。BIGIP快速而准确的会话同步保证了在BIGIP进行切换时，应用不会发生中断。

关键技术阐述：

HA技术：BIGIP在设备故障时，可以实现毫秒级切换，使应用感觉不到BIGIP的状态变化会话同步：BIGIP可配置完全会话同步和会话保持同步，可以适应在不同情况下BIGIP切换时的应用保证需求。多VS处理：BIGIP具备非常灵活的VS定义方式，可支持一个服务器组多个VS，也可支持一个VS多个服务器组。更可以定义网络VS等来满足各种环境和应用的需求。

1.1.6 分行中间业务

项目概况：

在一个大型银行中，分行的中间业务为分行非常重要的业务内容，不同的分行可以有20-40种中间业务应用系统。

连接来自五个方向，分别是柜面、网银、电话银行、ATM/POS、人行前置

在以前的结构设计中，所有的中间业务均在一台服务器上处理。该服务器上运行有20多个不同的应用系统。一旦机器出现硬件故障或者某个应用出现故障，则影响到所有的应用系统。

不同的应用系统对系统造成的压力也不同，应用之间的相互影响比较严重。

网络结构：

客户需求：

采用多台设备进行并行处理20多个应用系统，减轻服务器的压力。提高系统的负载能力和扩展能力采用应用交换机对服务器进行检测，并对每个应用进行独立检测，当某台机器的某个应用出现故障的时候不会影响到其他的业务系统。

F5的解决方案：

系统采用了两台BIGIP应用交换机对多台中间业务服务器实现负载均衡处理。 BIGIP将来自于柜面、网银、电话银行、ATM/POS、人行前置的各类请求均衡的分布到4台中间业务服务器上。 BIGIP对每台服务器上的不同业务进行健康检查。当其中某个应用出现故障的时候，则将其从负载均衡组中摘除，保证整体业务系统的持续运行。 Why F5

中间业务的流程极其复杂，包括TCP短连接、TCP长连接、UDP、HTTP等多种应用协议。同时，还存在同步通讯与异步通讯。因此负载均衡处理时必须具备非常灵活的处理机制，iRules在其中扮演了非常重要的角色。

由于应用的复杂性，对应用的健康检查手段也非常的重要，BIGIP支持四级健康检查体系，从简单的ICMP到复杂的SQL查询，甚至是用户自编程的健康检查手段带来了检查的多样灵活型

BIGIP灵活的会话保持机制，也进一步完善了负载均衡的整体处理。

关键技术阐述：

iRules：F5独创的网络应用可编程控制体系，包含有50多个事件处理，200多个函数处理，可以对流经BIGIP的流量几乎做任何方式的处理。

高级健康检查：BIGIP支持ICMP、TCP/UDP Port、ECV、EAV等多种健康检查方式，可以对任何一种应用进行健康检查，保证业务的持续运行。会话保持：BIGIP具备多种系统预定义的会话保持手段，包括典型的源IP、目的IP、HTTP Header、Cookie等，更可以通过可编程控制体系来完成用户的自定义会话保持机制，充分保证应用在实现负载均衡的时候，无须更改源代码。

1.1.7 银行总部内网OA系统防攻击解决方案

项目概况：

该银行为首家全国性股份制商业银行，是中国金融体制改革的先行者。为我国股份制商业银行的发展开辟了道路，对金融改革起到了催化、推动和示范作用。

内部portal系统是银行内部的OA核心系统,各个分行均会连接到内部portal系统。该业务是一个银行的核心系统，且涉及到所有的分行，用户希望能够提供一个安全、可靠、持续稳定运行的门户。通过架构流量管理产品，改进服务器和应用在运维时对在线业务的影响。

网络结构：

客户需求：

用户需要对在两台IBM主机上的4个OA业务同时实现负载均衡，并且要求系统能够实现无缝切换、在线维护。

由于发生过分行设备故障导致发送大量half－sync连接到portal服务器，导致核心的portal服务器故障。所以用户要求提供抵御核心系统防御half－sync的DDOS功能，以及阻止单一IP发起超过规定连接数的访问请求。该故障的发生有两种原因：一是服务器或客户机中病毒，由病毒发起大量Syn连接到Portal服务器；二是由于应用的编写问题，在某种情况下认为连接没有建立成功，而在不停的向Portal服务器新建连接。

高可靠性，通过HA方式保证系统的7x24小时服务，保证系统的高可靠性。提供有选择性的会话镜像功能，保证设备切换时，关键的指定应用的连续性。

F5的解决方案：

采用F5公司提供的应用流量管理器LTM 6800两台做HA冗余结构，不但可以实现两台服务器的负载均衡，而且在系统级别实现了动态攻击抵御。

系统采用了独特的TMOS系统，从内核就自动可以防范通常的DoS/DDos攻击建立half－Sync的请求。

采用系统内部提供的TCL脚本，我们轻松的实现了阻止同一IP客户建立超过规定的连接而不影响其已经建立的连接。

F5负载均衡器内置业界唯一专有的四层ASIC芯片，加速对数据处理的性能。采用F5特有的负载均衡算法和健康检查方法保证各种业务负载实时高效均衡。采用F5丰富的会话保持机制，对应用访问的一致性进行流量控制。采用F5的温暖关机特性，减少系统运维时对用户在线访问的影响。

为什么选择F5：

可以支持所有基于TCP/IP的应用。

可以自动抵御大量DoS/DDoS攻击，使后台的服务器不遭到任何攻击。

在大量攻击情况下，正常的用户访问仍然能够被转发到服务器采用sync－cookie技术可以轻易的区分出攻击请求和正常访问请求。

采用内嵌的TCL脚本，可以阻止用户建立n个连接以上的请求。并且，系统在阻止第n+1个请求时，并不会影响现有的n个连接。尤其重要的是，这种设置是基于每一个对外服务单独设置的，带来了极大的系统灵活性。

F5负载均衡器双机心跳线方式提供毫秒级快速切换，是OA系统这样的关键业务系统所必需的。

F5在世界级银行（例如：花旗银行，美洲银行等）以及全国性银行（例如：工行，农行，建行，中行，招行等）成功案例和优异运行记录。

关键技术阐述：

UIE＋iRule提供了对应用的可编程控制：

UIE -- Universal Inspection Engine, 可以将TCP/UDP的数据包打开，并搜索其中的特征数据。 iRules -- 可以根据UIE搜索到的数据进行应用规则处理。 UIE+ iRules可以帮助用户实现以下功能：

1．应用流量管理

2．针对复杂应用的负载均衡和会话保持处理 3．应用安全处理

下面的Rules通过统计客户端连接数，当某客户端连接数超过一定限度时，则将其所有的新建连接拒绝。

when RULE_INIT {

array set ::active_clients { } }

when CLIENT_ACCEPTED {

set client_ip [IP::remote_addr]

puts \

if { [info exists ::active_clients($client_ip)] } {

puts \ if {$::active_clients($client_ip) > 3 } { reject

puts \ return

} else {

incr ::active_clients($client_ip)

puts \ } } else {

puts \ set ::active_clients($client_ip) 1 } }

when CLIENT_CLOSED {

puts \

if { [info exists ::active_clients($client_ip)] } { incr ::active_clients($client_ip) -1

if { $::active_clients($client_ip) <= 0 } { unset ::active_clients($client_ip) } } }

BIG-IP的SYNCheck特性提供全面的防SYN Flood攻击：

LTM6800可安全地过滤海量攻击，同时为合法连接用户提供不间断的服务。

双机采用专用的心跳线，支持毫秒级切换：专用的心跳线使双机的切换变得更加快速可靠。双机的切换可以在200毫秒以内完成。

双机连接状态镜像(Connection Mirroring)：LTM设备支持会话表有选择性状态同步，可以选择设定对哪些应用采用会话状态同步功能。这样即可减轻双机状态同步对系统带来的额外压力，又可以对要求不间断运行的应用，做到双机切换对应用无影响。

1.2 证券

1.2.1 大型证券公司网上证券交易系统

项目概况：

原有的负载均衡设备故障频繁，性能已经不能满足发展需求需要SSL加速，降低服务器资源损耗

由于业务发展迅速，需要预留较大的升级空间

网络结构：

客户需求：

对于行情和交易服务器，最重要的是需要具备应付突发行情的处理能力和高可用性，保证在任何时候行情和交易不会中断。

通过Cache Server提高Web服务的响应速度。

需要实现防火墙负载均衡保证防火墙系统的高性能和高可用性。 SSL卸载减小后台服务器的SSL处理压力

F5的解决方案：

4台BIGIP同时实现防火墙负载均衡和服务器负载均衡

在BIGIP中提供SSL加速功能

通过Rules实现Cache服务器的灵活定向和故障恢复 Why F5：

关键技术阐述：

防火墙负载均衡：通过BIGIP AutoLastHop特性，可以非常方便的部署防火墙负载均衡，可支持防火墙NAT、路由、透明等多种模式。并且可以混杂防火墙型号、模式。

SSL加速：BIGIP内置SSL加速芯片，可以将所有的SSL非对称加解密和对称加解密部分卸载到BIGIP上，降低了服务器的SSL处理压力。 iRules：可编程控制网络的经典体现。通过灵活的Rules，可以在BIGIP上对流量进行自定义分析、自定义控制、自定义转换和内容替换等功能。

在金融行业有大量成功案例。深得行业客户好评。 F5提供整体解决方案，面向安全、加速和高可用性。系统运行稳定，保证交易通畅。

All in One设计，在达到高性能和复杂功能的同时保证了系统的设计、维护简单。

具有良好的扩展性。

1.3 保险

1.3.1 保险公司负载均衡应用解决方案

项目概况：

BIGIP为该集团所有生产系统以及网上业务系统提供应用负载功能

集团通过旗下各专业子公司共为3,700多万名个人客户及约200万名公司客户提供了保险保障、投资理财等各项金融服务。公司拥有20多万名销售人员及近4万名正式雇员，各级各类分支机构及营销服务部门3,000多个

集团内部包括有超过150个应用系统，应用系统之间有各种不同关联，需要在应用层处理上满足各种关联的处理流程

集团内部的应用系统架设在不同的应用平台上，包括有Windows、Linux，Weblogic、Websphare等，需要在跨平台的支持上满足各种灵活的处理方式

集团的应用系统全部为生产系统或网上业务系统，因此要求要对通信进行较高的加密处理和严格的证书处理

典型网络结构：

客户需求：

需要满足针对各种应用平台的深层次应用处理和健康检查，包括有Weblogic和Websphare，以及微软的AppCenter

需要支持各种形式的SSL加密处理以及证书处理，包括证书的透传等细节处理

需要满足针对应用的细节选择处理，包括根据不同的应用条件选择相应的应用服务器进行数据处理

需要满足各种会话保持要求，特别是根据应用条件的会话保持以及根据Cookie信息的会话保持处理

要保证高可用性，包括在发生应用切换时候的会话处理能力

要能支持高性能，支持数百万级的并发连接处理和十万级的新建会话处理。要有高扩展性，能灵活增加新的处理设备

要满足无缝整合，能在任何时候部署新的设备，不影响应用的持续性

方案在将来有很好的扩展性，还可以灵活增加新的应用系统而不涉及内部改动要能实现分布式部署，并且能进行统一规划，统一管理要求方案设计简单，容易部署。

F5的解决方案：

使用多台BIGIP LTM来实现应用负载均衡，分别处理不同层面的应用系统使用iRules来进行细节应用处理，凡是满足某种应用条件的数据包，都根据要求分配到相应的应用服务器进行相关处理

使用高级应用健康检查机制（EAV、ECV）来与各种不同的内部应用平台沟通，真正保证应用健康检查的准确性使用BIGIP内部的SSL加速芯片来提供对基于SSL加密通道通信的高性能处理，并且通过F5的iRules实现各种证书内容的透传处理使用基于Cooike信息的会话保持机制，来保证应用访问的完整性通过iControl接口与内部网络管理系统进行结合，实现统一管理通过Oneconnect功能实现连接优化，提升服务器的处理能力

为什么选择F5：

高效灵活的应用处理能力，通过iRules，可以根据应用的各种细节需求进行动静态的处理

稳定可靠的会话保持机制，通过基于Cookie信息的会话保持方式，能保证即使从同一台应用代理发出的多种应用访问，也能进行区分并实现应用会话自此至终在同一台应用服务器上完成

准确的高级应用健康检查，F5可以模拟客户端向服务器发出请求，检查接收数据中是否含有期望的字符串来确定应用的状态，并且可以使用shell script 或perl 语言等嵌入程序执行EAV，对服务器进行多层步骤、复杂的健康检查，从而准确定位服务器的工作状态

超强的SSL处理能力和全面的证书透传处理能力，可以通过F5内部的高性能SSL加解密芯片，来处理从客户端发送过来的大量SSL请求，将这些请求进行解密后，再以HTTP方式发送到后台的服务器，以节省服务器的CPU资源

高可用性的保证，F5采用自行设计的高速切换方式，现在最短的已经可以达到200ms的切换速度。并且在两台设备之间对数据流的状态信息进行复制，保证在切换后用户端和服务器端感觉不到切换，从而保证应用的持续运行。

关键技术阐述：

通过iRules来进行深层应用的灵活处理：所有F5设备的底层均由TM/OS实现，在其基础之上，是一个基于数据流技术的通用检查引擎（UIE）。构建在对所有数据流内容的理解上，设计了与安全、优化和交付相关的所有模块。这些模块的配置均通过Profile进行，Profile按照对象建模方式可以继承、修改。在所有配置的顶端，由iRules对整个系统的运行进行可编程控制。在iRules语法结构中，可以使用50多个事件，200多个函数，可以实现丰富而灵活的功能

通过SSL加速芯片来进行加密通信处理：

由于网络通讯的安全性和保密性的要求，许多关键业务必须通过HTTPS方式进行访问，将明文方式传输的HTTP请求和回应包含在SSL通道中。同时，通过证书体系或动态口令方式对服务器和客户端进行唯一性验证。由于SSL在带来应用安全性的同时，将会给服务器带来巨大的负担，因此在这类应用中，F5将会启用设备本身的SSL加速功能，通过硬件SSL处理芯片对SSL通信进行加解密处理，从而卸载服务器的处理能力，保证应用的安全，稳定运行。

基于Cookie信息的会话保持机制

Cookie持续性利用客户机存储的cookie信息来把客户机连接到合适的服务器上。F5提供4种不同的Cookie持续性模式以适应任何应用的要求：重写模式、插入模式、被动模式和散列模式。

健康检查方法

BIGIP支持采用ICMP，TCP/UDP，ECV，EAV，iControl等各种方法对服务器或应用状态进行健康检查。 ? ? ? ?

ICMP：第2/3层的健康检查方法，采用Ping的方法检查服务器是否alive。 TCP/UDP：第4层的健康检查方法，检查相应的TCP/UDP端口是否激活来确定Service的状态。

ECV：扩展内容验证，第7层的健康检查方法。模拟客户端向服务器发出请求，检查接收数据中是否含有期望的字符串来确定应用的状态。

EAV：扩展应用验证，嵌入式、个性化的健康检查方法。可以使用shell script 或perl 语言等嵌入程序执行EAV，对服务器进行多层步骤、复杂的健康检查。

1.4 基金

1.4.1 大型基金公司多链路接入及服务器负载均衡

项目概况：

“这是跳跃式发展的一年。”基金业人士如此评价即将过去的2006年。

今天的中国基金业已经站到了新的起点。公司数量达到58家，基金数量294只，资产总规模已达6312亿元。随着基金业的火热发展，基金公司的网上交易，网上查询，网上论坛，Email等应用访问量都呈指数级增长，对基金公司应用，网站等原有系统都提出新的挑战。优化/改造原有应用IT架构成为各基金公司面临的首要任务。

该基金公司portal原有的单链路接入,单应用服务器/应用服务器软件集群等架构都远远不能满足现有的业务需求。

在链路及应用服务器方面，该基金公司急需保证业务访问的快速，安全，高可用。因此，急需链路及服务器负载均衡来解决燃眉之急。网络结构：

客户需求：

由原来的单链路(网通)接入改为双链路接入(网通和电信)。实现从Internet对服务器访问流量的负载均衡（Inbound）。支持自动检测和屏蔽故障Internet链路。

支持多种静态和动态算法智能均衡多个ISP链路的流量，可方便扩展到多出口（2个ISP以上）。提供客户端就近性访问。支持双出口链路动态冗余，流量比率和切换。

支持多种DNS解析和规划方式，适合各种用户网络环境。完全支持各种应用服务器负载均衡。多层安全增强防护，抵挡黑客攻击。

业界领先的双机冗余切换机制，能够做到毫秒级切换。

F5的解决方案：

结构采用F5 BIGIP3400LTM+LC 双机HA冗余做链路及服务器负载均衡。双机采用心跳及网络方式HA，保证系统服务不中断。

F5 BIGIP LC 链路控制器可以智能寻找最佳的出口链路，从而保证客户得到最快的上网访问速度。确定最接近用户的最佳ISP的动静态结合算法合理有效，灵活。本设计可动态检查各条出口链路的健康状态，并将下一个请求分配给最有效率的链路，任何一条链路发生故障时，即刻将请求分配给其他的链路，从而达到99.999%系统有效性。

本设计支持地址翻译技术和安全地址翻译，这样一来客户不可能知道真正提供服务的服务器的IP地址与端口，链路负载均衡设备采用SSH和SSL技术，可以防止来自内部或互联网上的黑客攻击。

本设计可以支持动态增加或删除其负载均衡的链路群组的任何数量的链路，而不需要对客户端或后台做任何改变从而使得系统扩展轻松方便。

可以实时监控整个链路群组的流量状态，并分析发展趋势帮助客户及时根据流量增长增加出口带宽。

同时对内部应用服务器负载均衡。

为什么选择F5：

F5 负载均衡器双机心跳线方式提供毫秒级快速切换，是网上交易等关键业务系统所必需的。

负载均衡算法: 有多种算法可选择，并且可以定义顺序执行，可先动态，后静态或先静态，后动态,高效灵活。静态表定义可以多重嵌套，可在大区域中包含小区域，可灵活定制，并且有优先级划分。动态探测机制灵活，探测结果以文件方式存放在设备中，设备重起时可直接导入系统

整合方案: 链路负载均衡与服务器负载均衡整合在同一设备中

该系统的应用服务器采用IBM Websphere, WebSphere是IBM在Web Services策略中的核心平台，支持所有应用的开放标准和技术，包括UDDI，SOAP，J2EE，WSDL，以及对XML技术集成的增强。其与F5建立了全球合作伙伴关系。IBM Websphere在全球相关负载均衡应用推荐使用F5。

F5 强大的iRules 提供真正的四七层交换,为客户实际需求提供灵活的解决方法。 F5 在金融行业的成功案例不胜枚举，全国17家专业银行无一例外使用F5负载均衡器。在基金业也有诸多成功案例,例如易方达基金，博时基金等等都是采用F5负载均衡器解决类似需求。

关键技术阐述：

智能DNS 解析功能

为了更好的分析F5的BIG-IP 3400是如何实现对不同ISP用户访问提供不同的访问链路的，以一个电信用户的访问过程来详细讲解一下。

首先，在LC上将会有两条ISP的链路连接，可以在其上层的交换机上通过VLAN来划分开两条链路，然后接入到不同ISP的路由器上。同时在LC上不同的ISP接口上配置上不同ISP

的连接IP 。

然后，在域名解析的DNS上做一个别名的DNS解析条目，如下：

www.xxfunds.com.cn ??

sub.xxfunds.com.cn. f5a.xxfunds.com.cn. f5b.xxfunds.com.cn.

F5：配置：

IN CNAME www.sub.xxfunds.com.cn IN NS f5a.xxfunds.com.cn。 IN NS f5b.xxfunds.com.cn。

IN A xx.xx.xx.xx （F5设备电信地址） IN A xx.xx.xx.xx (F5设备网通地址）

www.sub.xxfunds.com.cn. IN A IN A

xx.xx.xx.xx xx.xx.xx.xx

其中SUB是一个在LC上配置的虚拟域名，可以自己来定义。通过一个DNS的别名和

NS域名解析指向，就可以让用户本地的DNS去LC上取相应的域名解析结果，而LC通过对不同链路状态的检测，回复最优路径的访问IP，这样就可以实现访问速度的提高了。具体流程如下：

1、电信用户在IE浏览器上访问www.xxfunds.com.cn 这个域名，本地机器会

向其本地DNS服务器查询该域名的解析IP。 2、如果本地DNS上没有该域名的条目，它会向根询问该条目；如果已经有，则

马上回应一个解析条目。 3、由于在根DNS上已经做了一个别名的DNS解析条目，当本地DNS向根DNS询问解析的时候，根DNS会通知该本地DNS向LC获取这个域名的解析条目。 4、本地DNS联系LC询问解析，这时LC会动态检测两条通往不同ISP路道，测

试那条到达该本地DNS相对较优，然后选择相对较优的链路的地址去回应本地DNS，在本例中会使用中国电信的IP对www.xxfunds.com.cn 这个域名做解析。

5、本地DNS会根据从LC收到的域名解析条目回应提出要求的中国电信访问用

户。

6、中国电信的访问用户使用中国电信的地址去访问www.xxfunds.com.cn 这个

域名。

从上面的过程可见，通过LC的链路检测功能，可以为用户提供最优的访问链路，同时解决不同ISP接入速度慢的影响。

1.4.2 中型基金公司多链路及服务器负载均衡解决方案

项目概况：

“这是跳跃式发展的一年。”基金业人士如此评价即将过去的2006年。

今天的中国基金业已经站到了新的起点。公司数量达到58家，基金数量294只，资产总规模已达6312亿元。

随着基金业的火热发展，基金公司的网上交易，网上查询，网上论坛，Email等应用访问量都呈指数级增长，对基金公司应用，网站等原有系统都提出新的挑战。优化/改造原有应用IT架构成为各基金公司面临的首要任务。

该基金公司portal原有的单链路接入,单应用服务器/应用服务器软件集群等架构都远远不能满足现有的业务需求。

在链路及应用服务器方面，该基金公司急需保证业务访问的快速，安全，高可用。因此，急需链路及服务器负载均衡来解决燃眉之急。

网络结构：

客户需求：

由原来的单链路接入改为多链路接入。

实现从Internet对服务器访问流量的负载均衡（Inbound）。支持自动检测和屏蔽故障Internet链路。

支持多种DNS解析和规划方式，适合各种用户网络环境。

完全支持各种应用服务器负载均衡。

多层安全增强防护，抵挡黑客攻击。

Web内容缓存，提高访问速度，降低服务器压力。

F5的解决方案：

结构采用F5 BIGIP1500LTM+LC做链路及服务器负载均衡。

本设计可以支持动态增加或删除其负载均衡的链路群组的任何数量的链路，而不需要对客户端或后台做任何改变从而使得系统扩展轻松方便。

可以实时监控整个链路群组的流量状态，并分析发展趋势帮助客户及时根据流量增长增加出口带宽。同时对内部应用服务器负载均衡。并且通过附加Ramcache 的软件功能模块来实现Web静态页面缓存，大大提供网页访问速度。

为什么选择F5：

客户对F5 Ramcache内容缓存的软件功能模块产生的效果很满意。

生产规则：可对系统的特定事件进行特定处理，如根据时间进行算法调整，针对某段地址请求进行特殊处理

整合方案: 链路负载均衡与服务器负载均衡整合在同一设备中

关键技术阐述：

Ramcache 内容缓存

通过在F5 BIG-IP应用交换机的内存上对服务器上被反复存取的内容作缓存，

可以大大减轻服务器上的压力(可以减轻50%以上日服务器性能压力)。

F5 BIG-IP应用交换机提供了内存缓存的灵活控制能力，可以对指定应用的指定内容在指定条件下进行缓存与刷新。支持静态与动态内容的缓存，对动态页面(例如动态HTML)，可以根据预先定义的缓存内容刷新条件对内容进行刷新。

而每个应用进行高速缓存可以消耗的内存容量也可以灵活定制。

1.5 交易所

1.5.1 外汇交易中心 – 多链路负载均衡解决方案

项目概况：

某外汇交易中心暨全国银行间同业拆借中心（简称交易中心），主要职能是：提供银行间外汇交易、人民币同业拆借、债券交易系统并组织市场交易；办理外汇交易的资金清算、交割，提供人民币同业拆借及债券交易的清算提示服务；提供网上票据报价系统；提供外汇市场、债券市场和货币市场的信息服务；开展经人民银行批准的其他业务。

交易中心总部设在上海，备份中心建在北京，目前在广州、深圳、天津、济南、大连、南京、厦门、青岛、武汉、重庆、成都、珠海、汕头、福州、宁波、西安、沈阳、海口18个中心城市设有分中心。

外汇交易中心的货币网系统已经顺利切换到新机房内，为了保证外汇交易中心货币网的高可靠性和提高用户的访问速度，外汇货币网系统已经申请了两条ISP线路，一条电信，一条网通，希望能够实现两条链路的负载均衡和自动冗余切换。关键业务系统的7*24小时不中断，能够提高访问速度，改善用户体验。

网络结构：

客户需求：

如果电信的用户过来访问，则返回电信的地址给客户，自动分配电信的线路供用户

接入，用户通过电信的线路访问货币网网站系统。

如果网通的用户过来访问，则返回网通的地址给客户，自动分配网通的线路供用户接入，用户通过网通的线路访问货币网网站系统。

如果其中的一条线路出现故障，用户的请求会自动转载到另外一条正常线路上，不会影响用户对货币网网站系统的访问。根据带宽负载情况，限制流量。

通过HA方式保证系统的7x24小时服务，保证系统的高可靠性。要求方案设计简单，容易部署。

F5的解决方案：

采用F5 LC1500双机HA冗余结构，实现双链路基于应用访问的负载均衡。采用F5特有的链路负载均衡算法（RTT + Topology），解决了南北电信问题。当某条链路上Inbound的流量超过预先设定的阀值时，会分配流量给其它链路。以F5独有的毫秒级切换和Stateful Failover技术实现系统切换时应用的连贯性。采用双千兆链路聚合的全冗余网络结构，保证不会因为网络或线路故障影响业务。基于应用的结构，可以灵活增加新的接入链路而不涉及内部改动。

为什么选择F5：

高效灵活的链路选择能力，可以根据客户需求进行动、静态的处理。独有的Topology算法，真正解决中国南北电信问题；配合国际通用的RTT算法在金融网站应用领域中成为主流解决方案。

通过透明监控检查ISP网络或互联网上各个设备的可用性来确定整个链路的可用性。

F5负载均衡器双机心跳线方式提供毫秒级快速切换，保证设备故障在最短的时间内得到恢复，对应用的影响最小化。

F5在国内金融行业中拥有众多的成功案例和优异的运行记录。专业的技术支撑和服务团队，第一时间对用户响应和解决问题。

关键技术阐述：

用于编程控制的 iRules：能够根据 TCP/IP 参数（例如，源 IP、目标 IP 地址和

端口等）路由多链路流量。借助 iRule（一种基于 TCL 脚本的语言），能迅速定义策略（例如，根据应用类型、服务质量、客户机类型来分配链路流量）以提高应用性能。如下iRules 能够动态测量每一链路的往返时间，并能以 SIP 应用的最低值（最佳QoS）来选择链路。

rule rule1 {

when CLIENT_ACCEPTED {

Log local0. \log local0. \if [TCP::local_port] == 5060} { # SIP Traffic if {[ROUTE::rtt \

{