xxxx应用负载均衡设计方案v1

XXXX

应用负载均衡设计方案建议

2006-1

第 1 页 / 共41页

目 录

一、 XXXX应用交付现有问题分析 ................................................................................................ 3 二、 方案建议..................................................................................................................................... 4 1. 服务器负载均衡 ......................................................................................................................... 6 2. 服务器健康检查 ......................................................................................................................... 8 3. 与应用紧密结合的会话保持 ..................................................................................................... 9 4. 动态安全体系防御攻击 ........................................................................................................... 18 5. 自身的高可用性 ....................................................................................................................... 21 6. 强大的SSL加速能力 .............................................................................................................. 23 7. 灵活而有效的HTTP压缩功能 ............................................................................................... 24 8. STATEFUL FAIL OVER 技术 ....................................................................................................... 25 9. F5 I–CONTROL开放的API接口介绍 ...................................................................................... 26 三、 方案优势阐述 .......................................................................................................................... 28 1. 拓扑结构的优点 ....................................................................................................................... 28 2. 安全机制方面 ........................................................................................................................... 28 3. 与应用的结合方面 ................................................................................................................... 28 四、 相关产品介绍 .......................................................................................................................... 29 4.1 BIGIP 3400............................................................................................................................... 29 4.2 BIGIP可选模块....................................................................................................................... 35 五、 附录........................................................................................................................................... 39 5.1

F5中国主要客户及产品列表........................................................................................... 39

第 2 页 / 共41页

一、 XXXX应用交付现有问题分析

随着XXXX的业务量的增加，XXXX的业务网站的访问量也以几何级的速度增长。业务网站的应用交付遇到了以下的问题：

1． 需要有支持应用的负载均衡产品，具备多种负载均衡算法。

2． 能够做到根据各个Web服务器的性能，合理地分配服务器群中的每台机器所要处

理的请求。

3． 能够及时的发现群中的某台机器当掉，从而不对此机器发送请求。当掉机器恢复正

常后，自动进行业务处理。

4． 可以应对大量的服务访问；至少2, 000, 000条的TCP同时并发连接，至少每秒建

立100, 000条连接。

5． 有效直观的监控统计界面，包含当前时刻、过去一段时间的请求数量统计、性能统

计、会话时间统计。

6． 为个人业务提供SSL加密服务，可以将服务器SSL加/解密前移，并提供高效的

https加/解密性能。

7． 能够提供有效的机制缓解后台应用中间键服务器压力，提高业务的访问量。

第 3 页 / 共41页

二、 方案建议

针对上一节提出的需求分析，F5公司充分考虑XXXX现有的实际状况，结合F5公司在国际上网络优化案例的经验，总结出以下应用交付优化设计方案。

方案采用F5公司的新一代LTM应用交换机BIGIP3400, 提供后台Web服务器集群的负载均衡；同时，采用另两台BIGIP 3400设备提供后台中间键服务器负载均衡，并减轻中间键服务器的压力。

在负责实现Web服务器负载均衡的BIG-IP 3400上设置两个Vlan , 分别是External Vlan 负责连接外部的防火墙系统, Internal Vlan负责连接内部Web服务器集群。 并且在该对BIG-IP 3400上，分别采用SSL加速模块帮助后台Web服务器实现业务的加密处理；还采用了动态智能压缩模块帮助XXXX在有限的带宽下实现访问速度的提高和访问量的增大。

第 4 页 / 共41页

在负责实现内部中间键服务器负载均衡的BIG-IP 3400也设置两个Vlan，分别是External Vlan 负责连接外部的Web服务器集群, Internal Vlan负责连接内部中间键服务器集群。并且在该对BIG-IP 3400上，采用One-Connection技术降低后台中间键服务器集群的负载。

BIG-IP 3400提供所有应用的负载均衡，并实时监控各台服务器的状态，自动屏蔽故障服务器，从而确保系统稳定工作。

同时，由于采用F5特有的动态攻击防御系统，BIP-IP 3400对恶意的海量攻击具有很强的抵御能力，确保了服务器和服务的正常运作。

第 5 页 / 共41页

1. 服务器负载均衡

BIG/IP利用虚拟IP地址（VIP由IP地址和TCP/UDP应用的端口组成，它是一个地址）来为用户的一个或多个目标服务器（称为节点：目标服务器的IP地址和TCP/UDP应用的端口组成，它可以是internet的私网地址）提供服务。因此，它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。BIG/IP连续地对目标服务器进行L4到L7合理性检查，当用户通过VIP请求目标服务器服务时，BIG/IP根椐目标服务器之间性能和网络健康情况，选择性能最佳的服务器响应用户的请求。如果能够充分利用所有的服务器资源，将所有流量均衡的分配到各个服务器，我们就可以有效地避免―不平衡‖现象的发生。BIGIP是一台对流量和内容进行管理分配的设备。它提供12种灵活的算法将数据流有效地转发到它所连接的服务器群。而面对用户，只是一台虚拟服务器。用户此时只须记住一台服务器，即虚拟服务器。但他们的数据流却被BIGIP灵活地均衡到所有的服务器。这12种算法包括：

?

轮询（RoundRobin）：顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从顺序循环队列中拿出，不参加下一?

次的轮询，直到其恢复正常。

比率（Ratio）：给每个服务器分配一个加权值为比例，根椐这个比例，把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。 ?

优先权（Priority）：给所有服务器分组，给每个组定义优先权，BIG/IP用户的请求，分配给优先级最高的服务器组（在同一组内，采用轮询或比率算法，分配用户的请求）；当最高优先级中所有服务器出现故障，BIG/IP才将请求送给次优先级的服务器组。这种方式，实际为用户提供一种热备份的方式。 ?

最少的连接方式（LeastConnection）：传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。 ?

最快模式（Fastest）：传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。 ?

观察模式（Observed）：连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。

预测模式（Predictive）：BIG/IP利用收集到的服务器当前的性能指标，进行预测分析，选择一台服务器在下一个时间片内，其性能将达到最佳的服务器相应用户的请?

求。(被big/IP进行检测)

动态性能分配（DynamicRatio-APM):BIG/IP收集到的应用程序和应用服务器的各项性能参数，动态调整流量分配。

第 6 页 / 共41页

?

? ? ? ?

动态服务器补充（DynamicServerAct.):当主服务器群中因故障导致数量减少时，动态地将备份服务器补充至主服务器群。

服务质量(QoS)：按不同的优先级对数据流进行分配。

服务类型(ToS)：按不同的服务类型（在TypeofField中标识）对数据流进行分配。 规则模式：针对不同的数据流设置导向规则，用户可自行编辑流量分配规则，BIG/IP利用这些规则对通过的数据流实施导向控制。

当出现流量―峰值‖时，如果能调配所有服务器的资源同时提供服务，所谓的―峰值堵塞‖压力就会

由于系统性能的大大提高而明显减弱。由于BIGIP优秀的负载均衡能力，所有流量会被均衡的转发到各个服务器，即组织所有服务器提供服务。这时，系统性能等于所有服务器性能的总和，远大于流量―峰值‖。这样，即缓解了―峰值堵塞‖的压力，又降低了为调整系统性能而增加的投资。

BIG/IP? 提供了基于应用的七层交换技术, 可以根据任意制订的规则将用户的访问导向到不同的服务器群组, 例如, IP 地址, TCP port, Cookies, Http header 中的任何标识 (IE version, domain, http URI , file type , langrage ).

第 7 页 / 共41页

2. 服务器健康检查

BIG-IP? 控制器将标准的第二层至第三层网络技术与创新的第四层至第七层流量管理结合在一起，从而大幅度提高了现有web服务器和网络的容量。支持OSI模型二到七层的health checking。特别是EAV和ECV功能：

基础网络检查 Ping

四层应用检查 TCP/UDP port 扩展内容查证 ECV

ECV 是一种非常复杂的服务检查，主要用于确认应用程序能否对请求返回对应的数据。如果一个应用对该服务检查做出响应并返回对应的数据，则BIG/IP? 控制器将该服务器标识为工作良好。如果服务器不能返回相应的数据，则将该服务器标识为宕机。宕机一旦修复，BIG/IP? 就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。该功能使 BIG/IP? 可以将保护延伸到后端应用, 如 Web 内容及数据库。BIG/IP? 的 ECV 功能允许您向 Web 服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询，然后检查返回的响应。这将有助于确认您为客户提供的内容正是其所需要的。

扩展应用验证 EAV

EAV是另一种服务检查，用于确认运行在某个服务器上的应用能否对客户请求作出响应。为完成这种检查，BIG/IP? 控制器使用一个被称作外部服务检查者的客户程序，该程序为BIG/IP? 提供完全客户化的服务检查功能，但它位于BIG/IP? 控制器的外部。例如，该外部服务检查者可以查证一个 Internet 或 Intranet 上的从后台数据库中取出数据, 并在 HTML 网页上显示的应用能否正常工作。EAV 是BIG/IP? 提供的非常独特的功能，它提供管理者将BIG/IP? 客户化后访问各种各样应用的能力，该功能使BIG/IP? 在提供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要的反馈。

该功能对于电子商务和其它应用至关重要, 它用于从客户的角度测试您的站点。例如，您可以模拟客户完成交易所需的所有步骤－连接到站点、从目录中选择项目以及验证交易使用的信用卡。一旦BIG/IP? 掌握了该―可用性‖信息，即可利用负载平衡使资源达到最高的可用性。

BIG/IP? 已经为测试 Internet 服务的健康情况和状态，预定义的扩展应用验证(EAV)，它有二种用户界面：浏览器和 CLI 配置。BIG/IP? 预定义的应用检查：FTP、NNTP、SMTP、POP3 和 MSSQL。

第 8 页 / 共41页

3. 与应用紧密结合的会话保持

BIG/IP 控制器经过专门设计，可以为关键业务站点提供高可用性和智能负载平衡。除这些能力外，它经过配置还可以识别用户固定访问特定服务器的要求，以支持用户重新建立到特定服务器的连接。在这些条件下，BIG/IP控制器会放弃负载平衡算法以支持对话持续性。

在大多数厂商只能提供非SSL持续性时，F5 Networks已经可以提供6种持续性模式：源、服务器、VIP、SSL、Cookie持续性和目的地址相似性。凭借这些选项， BIG/IP可以随时准备满足您特殊的网络要求。

以下是对各种模式的简要说明。 ? 源持续性模式

最终用户请求 连接到： VIP1：80 BIG-IP应用交换机的任务： BIG-IP应用交换机将为该虚拟服务器选择一台可用的服务器。来自源地址的VIP1：80流量将流至该服务器，直到计时停止为止。 BIG-IP应用交换机将为该虚拟服务器选择一台可用的服务器。来自源地址的VIP2：21流量将流至该服务器，直到计时停止为止。 BIG-IP应用交换机将为该虚拟服务器选择一台可用的服务器（不一定是与VIP1：80相同的那台服务器）。来自源地址的VIP3：80流量将流至该服务器，直到计时停止为止。VIP1：80流量将继续流至其它服务器。

在这一

模式下，只要持续性计数器尚未到时，指定流向某虚拟服务器的特定用户流量就会持续流向同一台服务器。每条连接都有其各自的持续性计数器。VIP1：80的计数器独立于VIP3：80的计数器。

? 服务器持续性模式

1） 虚拟服务器 #1 2） 虚拟服务器 #2 VIP2：21 （FTP） 3） 虚拟服务器 #3 VIP3：80 第 9 页 / 共41页

最终用户请求 连接到： VIP1:80 BIG-IP应用交换机的任务： BIG-IP应用交换机将为该虚拟服务器选择一台可用的服务器。来自该源地址的流量将流至该服务器，直到计时停止为止。 BIG-IP应用交换机将试着将用户连接到步骤#1中所用的那台服务器上。 如果持续性计数器尚未到时，该服务器被定义为虚拟服务器#3的服务器，那么无论来自哪个虚拟地址，用户都将被连接至同一台服务器。

1） 虚拟服务器 #1 2） 虚拟服务器 #2 VIP2:21 （FTP） 3） 虚拟服务器 #3 VIP3:8001 在该模式下，无论使用哪一台虚拟服务器，特定用户流量都将流向同一台服务器，除非持续性计时器到时，以前被连接到某台服务器上的用户将被连接到一台不包含该特定服务器的新虚拟服务器上。这时，BIG-IP应用交换机将为这台新的虚拟服务器发送一条到达可用服务器的连接。

第 10 页 / 共41页

? VIP持续性模式

最终用户请求 连接到： VIP1:80 BIG-IP应用交换机的任务： BIG-IP应用交换机将为该虚拟服务器选择一台可用的服务器。从该源地址流向VIP1上任何端口的流量将流至该服务器，直到计时停止为止。 因为此时用户已经连接到VIP 2上，BIG-IP应用交换机将为VIP2选择一个可用的服务器，并将流量从源地址引导到被定义为虚拟服务器#2的服务器。只要持续性计时器还没到时，BIG-IP应用交换机都会把流向VIP2上任一端口的用户流量引导至该服务器上。 用户现已连接到VIP3，端口80上。如果持续性计时器还没到时，用户将被连接到VIP1端口80连接所用的同一台服务器上。 1） 虚拟服务器 #1 2） 虚拟服务器 #2 VIP2:21 （FTP）

3） 虚拟服务器 #3 VIP1:8001 在该模式下，无论使用哪个端口，某用户指定流向某VIP的流量都将流向同一台服务器，除非：

? 持续性计时器到时

? 服务器不再可用。在这种情形中，BIG-IP应用交换机将发送一条到该虚拟服务器的其它

可用服务器的连接。

? SSL持续性模式

第 11 页 / 共41页

最终用户请求 连接到： BIG-IP应用交换机的任务 确定唯一的SSL对话ID，并使用它来实现流量的持续性 确定唯一的SSL对话ID，并使用它来实现流量的持续性 确定唯一的SSL对话ID，并使用它来实现流量的持续性 1）用户1连接到虚拟服务器#1。 服务器#1 2）用户2连接到虚拟服务器#2。 服务器#2 3）用户1连接到虚拟服务器#1。 服务器#1

? Cookie持续性模式

Cookie持续性利用客户机存储的coockie信息来把客户机连接到合适的服务器上。BIG-IP应用交换机提供4种不同的Cookie持续性模式以适应任何应用的要求：重写模式、插入模式、被动模式和散列模式。

在Cookie重写模式下，服务器将插入一个cookie，然后BIG-IP应用交换机将对其进行重写： 首次命中

HTTP请求（不带有cookie）进入BIG-IP应用交换机 BIG-IP应用交换机任选一台服务器，将请求发送至该服务器 来自该服务器的HTTP回复此时包括一个空白的cookie

BIG-IP应用交换机重写cookie，并在粘贴一个特殊的cookie后将HTTP回复发送回去。

再次命中

HTTP请求（带有与上面同样的cookie）进入BIG-IP应用交换机

第 12 页 / 共41页

BIG-IP应用交换机借助cookie信息确定合适的服务器 HTTP请求（带有与上面同样的cookie）进入服务器

HTTP回复（带有空白cookie）返回BIG-IP应用交换机，后者将向客户机提供更新后的cookie。

Cookie Persistence Rewrite Mode

Cookie持续性重写模式 首次命中

HTTP请求（不带cookie）进入BIG-IP应用交换机

BIG-IP应用交换机任选一台服务器，将请求发送至该服务器 HTTP回复（不带cookie）被发回BIG-IP应用交换机 BIG-IP应用交换机插入cookie，将HTTP回复返回到客户机 再次命中

HTTP请求（带有与上面同样的cookie）进入BIG-IP应用交换机 Cookie指定合适的服务器

HTTP请求（带有与上面同样的cookie）进入服务器

第 13 页 / 共41页

HTTP回复（不带有cookie）进入BIG-IP应用交换机，后者将为客户机提供更新后的cookie。

在被动模式下，服务器使用特定信息来设置cookie： 首次命中

HTTP请求（不带有cookie）进入BIG-IP应用交换机 BIG-IP应用交换机任选一台服务器，将请求发送至该服务器 HTTP回复（带有特定cookie）返回至BIG-IP应用交换机

BIG-IP应用交换机将HTTP回复（带有特定cookie）发回客户机。 再次命中

发送HTTP请求（带有与上面同样的cookie） Cookie指定合适的服务器

HTTP请求（带有与上面同样的cookie）进入服务器

HTTP回复（带有特定cookie）返回至BIG-IP应用交换机，后者将HTTP回复（带有特定cookie）发送回客户机。

BIG-IP应用交换机Cookie持续性模式与SSL持续性模式之间的主要区别在于：对于Cookie持续性而言，数据存储在客户机上，而不是BIG-IP应用交换机上，因此可充分使用客户机上的无限资源。即Cookie持续性体现在HTTP Cookie上，而信息则存储于客户机的磁盘驱动器上。

Cookie持续性散列模式

该模式只能在BIG－IP HA控制器和企业上使用。散列模式使您可以通过设定cookie中一定字节数的信息来确定连接的目的地。该模式用于将cookie值映射到节点上，之后该值这将用于连接含该cookie的客户机，从而实现了节点的持续性。

目标地址相关性

第 14 页 / 共41页

目标地址相关性适用于BIG-交换机被用于对高速缓存进行负载情形。在这种情形中，BIG-IP应机把向相同内容的请求重发到同一存上，从而实现高速缓存的高效利减少服务器阵列中的冗余数据量，降低整个站点的运行性能。

举一个简单的例子，用户2从络通过互联网进入Yahoo.com网速缓存扮演Yahoo.com网站的―存色。此时用户1决定访问

Excite.com，于是高速缓存1存储Excite.com的内容。随后当用户1问Yahoo时，因为高速缓存上已了所需的信息，因此就实现了更加高效的访问。

带有对话ID的SSL持续性的优势

IP应用平衡的用交换高速缓用，并后者可

内部网站。高储箱‖角了

决定访经存储快速和

当SSL对话首次建立时，用户与服务器进行首次信息交换以：1}交换安全证书，2）商议加密和压缩方法，3）为每条对话建立对话ID。该对话ID可能会再次用到。当用户想与该服务器再次建立连接时，它可以通过提供上次会话中的对话ID来随意指定希望继续以前的某条SSL对话。在服务器同意之后，双方即可跳过信息交换建立起新的会话，该会话将使用与上次会话同样的加密方法，并继续上次的数据包排序，就好象上次会话从未结束一样。通常情况下，服务器将某条SSL对话的详细资料存储一段给定的时限，之后，服务器将删除这些对话信息。

例如，用户可以建立一条到旅游景点网站的SSL连接并预订房间。旅游景点站点可以将用户的预订信息保存一段时间（如60分钟），从而使用户无需重新输入预订信息即可再次连接到站点上以预付订金。如果旅游景点的网站仅将用户信息存储在进行初始对话的服务器上而不是后端数据库中，那么BIG-IP应用交换机的持续性设置将覆盖负载平衡设置，将用户再次发送到最初的服务器上。如果用户尝试重新建立一条已被遗弃的对话，那么服务器将忽略此请求而仅提供一个新的对话ID，新的对话也将要求进行新的信息交换。

改善总体吞吐能力

延续先前的SSL对话使服务器无需再次对用户进行鉴权，而这一处理是一项计算密集型任务，执行的次数越多，服务器的总体吞吐能力下降幅度就越大。如果能够跳过SSL信息交换，消除网络流量上的额外负载，那么吞吐能力也将因为持续性而大为提高。这将为

第 15 页 / 共41页

诸如HTTP等协议带来显著改进，它们往往需要向同一台服务器几次建立连接就只是为了传输一个网页。因此，SSL持续性将通过避免单台服务器过载而使您的网络大为受益。

需要SSL持续性的环境

乍一看来，源持续性似乎与SSL持续性的有着相容的工作模式。但是，当用户希望与同一台服务器重新建立会话，但两次连接中用户的IP地址又有所不同时，情况就不一样了。在这种情形中，BIG-IP应用交换机将没有所需的信息以将流量引导至合适的服务器。您可能会发出疑问：那么我们为什么一定要讨论在与同一台服务器进行的两次会话中用户IP地址发生变化的情形呢？许多网络都会定期更改用户的IP地址，当用户与BIG-IP应用交换机之间部署有防火墙时更是如此。

当用户的IP地址发生变化时

许多防火墙都会将网络所用的网络地址转换为一个或多个由防火墙管理的IP地址。使用这种方式，防火墙可以在不暴露网络内部实际使用的IP地址的前提下将流量引导至互联网，这时流量上的返回地址就是防火墙地址。反之，防火墙也可把地址转回用户地址，然后发送回受保护网络。同时再通过端口号转换，防火墙即可以在多个用户之间使用相同的IP地址了。这有时被称为地址重载，可支持网络（位于防火墙之后）使用一个IP地址与互联网建立上千条连接。

然而，在大型网络中，防火墙可能需要多个IP地址来分配流量。在使用一个以上防火墙来处理网络流量的情形中，每个防火墙都可以为通过的流量分配一个不同的IP地址。在这种情形中，防火墙或防火墙阵列可将用户IP地址转换为针对各条TCP对话的不同地址。 在需要持续性的情形中，地址重载会引发各种问题。如果持续性仅由源地址决定，那么许多个人用户将被引导至一台服务器上，从而导致流量汇集在一台服务器上而不是分散到多台服务器上。最终结果就是一台服务器过载而其它服务器未得到充分利用，最终用户得到极差的响应体验。

使用SSL对话ID持续性可以确保流量的平均分配，即使流量源使用IP地址重载也同样如此。SSL对话ID持续性的实现可以确保用户从关键SSL流量上得到最佳的响应。 总之，源持续性不适用于用户IP地址改变的使用情形，例如在用户与互联网间部署有使用多个IP地址的服务器或服务器阵列。

使用带有源持续性的SSL持续性

第 16 页 / 共41页

您可以同时使用SSL持续性和基于IP地址的源持续性，因为SSL持续性比基于IP地址的持续性拥有更高的优先级。当自上一次连接后过去的时间超过SSL持续性的时限时，BIG-IP应用交换机可能会删除该SSL对话ID。或者，也许用户的客户机没有对话ID记忆机制，也删除了该ID。在这些情形中，BIG-IP应用交换机仍可根据基于用户IP地址的源持续性来将用户引导至同一台服务器。在这种模式中，源持续性用作SSL持续性的后备。

第 17 页 / 共41页

4. 动态安全体系防御攻击

F5在硬件平台上运行的BIG-IP?应用流量管理软件可为所有基于IP的应用和Web服务提供原来只有Web应用才能享有的流量管理功能。在任何网络环境下，BIG-IP都能通过其功能强大的通用扩展应用检测EAV和扩展内容检测ECV对服务器进行仔细检测，自动屏蔽故障服务器，以便准确、安全、经济高效地创建和提供所有基于IP的应用或Web服务。

? ? ? ? ?

当大数据流DoS/DDoS攻击进入的时候，服务器可能由于在瞬间接受超过服务器吞吐能力的数据流而直接导致系统崩溃，甚至导致数据丢失或客户资料遗失。而采用F5的BIG-IP保护服务器，通过EAV/ECV精确探测服务器的处理能力，从而在服务器处理能力饱和之前自动屏蔽新建链接。超过服务器吞吐能力的链接将在F5上处于waiting状态，直至有服务器空闲或TCP timeout。

与此同时，为进一步防止服务器遭受攻击过载，F5利用―iControl‖技术可以帮助服务器通知网络，―此时忙，暂停服务‖，然后，网络将停止再向它转发客户请求，而将客户请求继续转发至其它服务器，继续对客户应用请求提供服务。并且，服务器会同时通知3DNS，这个中心可用服务器数量减少一台，应相应减少对这个中心的客户服务请求量。当这台服务器完成所有数据记录的备份后，服务器又会通知BIGIP和3DNS，此时它已恢复正常，可以提供服务。这时，系统又恢复原有的正常状态。

在系统的运行过程中，各种各样的变化是不可避免的，靠人工的方法毕竟不是一个灵活的、智能的方式。―iControl‖可帮助系统成为一个―自适应‖的系统，使―网络真正感知应用，应用控制网络‖。

同时，对于所有对外提供应用的服务器，由于有F5提供负载均衡，用户无法直接于服务器联系，必须与F5上建立的虚拟服务器建立链接，所以黑客无法获得服务器的真实地址，增加了黑客攻击的难度。同时，由于虚拟服务器对外只提供应用服务端口，其余端口F5均不响应且直接Drop Packet，从而有效地屏蔽了黑客攻击的第一步——端口扫描。甚至

第 18 页 / 共41页

确保所有IP应用的高可用性和正常运行时间

创建一个可控的执行点以对所有流量进行前瞻性安全控制 使服务器和应用能够及时准确地做出响应 无需额外硬件、软件或其它IT资源 轻松适应未来不断变化的业务需求

F5可以将虚拟服务器的ARP响应屏蔽，从而使黑客无法PING通虚拟服务器。由于对外只提供必须的应用端口，因而可以有效地屏蔽第一章常用黑客攻击手段的前四种方式，通过加强对应用服务器的BUG管理可以有效避免黑客利用系统BUG攻击的手段。而对于DoS/DDoS攻击，F5对于常用的几种攻击手段，从内核级就予以屏蔽，具体实施如下： 1．

Synflood:

该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。 F5 的策略：

F5 采用特有的SYN proxy功能，所有与虚拟服务器建立HTTP SYN的请求均由F5代替服务器响应，F5并不将SYN请求发送到服务器。只有当用于响应了F5的ACK，并真正发送HTTP GET请求时，F5才与服务器建立链接并发送HTTP GET请求。所以普通的Synflood只会和F5通讯，无法攻击到服务器。而F5 能够轻松支持高达2,000,000个会话的吞吐能力，能够应付绝大多数攻击。而如果攻击数量超过F5的能力，F5 的Reaper功能将自动启动保护系统自身。

2．

Ping of Death

根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。 F5 的策略：

如前所述，在F5上可以将虚拟服务器的ARP屏蔽，ICMP包系统根本不响应。其次，虚拟服务器的ICMP响应是由F5的管理进程提供响应，当管理进程繁忙时，系统会自动降低虚

第 19 页 / 共41页

拟服务器的ICMP响应的优先级甚至不响应，而管理进程与服务器负载均衡是两个完全不同的进程，在F5上其内存和CPU使用时间是严格分离的，所以Ping of Death丝毫不会影响服务器负载均衡，也就是不会影响真正对外的服务响应端口。 3．

IP欺骗DoS攻击

这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1.1.1.1，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从1.1.1.1发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户1.1.1.1再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。 攻击时，伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务。 F5 的策略：

如前1所述，F5特有的SYN proxy功能，将TCP的SYN/ACK/SYN ACK三段握手作为判断合法用户的依据，同时所有的SYN/ACK/SYN ACK均不通服务器链接，只有当用户发送HTTP GET请求时再与选定的服务器建立链接，所以RST只是拆除与F5建立额链接，并不影响合法用户访问服务器。 4．

带宽DoS攻击

如果黑客的连接带宽足够大而服务器又不是很大，黑客可以通过发送大量请求，来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了，配合上SYN一起实施DoS，威力巨大。 F5 的策略：

这种攻击发生时，从站点的路由器、交换机、防火墙到服务器的带宽均有可能被占

满。所以如果发生该种攻击，首要的任务是通过EAV/ECV保护服务器不要溢出或崩溃。其次，采用F5的i-Control技术配合IDS、防火墙、交换机、服务器、路由器形成整个系统的联动来予以抵御攻击。

第 20 页 / 共41页

5. 自身的高可用性

如前所述，DoS攻击主要是利用现有系统对外提供的正常业务服务，通过发送大量的非法数据流来达到阻止业务服务的目的。为了抵御DoS攻击，首先必须大力提升系统自身的吞吐能力，至少必须大于可能的DoS能力，否则尽管系统能够抵御攻击，但性能无法满足，同样无法在攻击下保证正常业务，从而使黑客间接达到攻击目的。为此，F5通过多年的研发推出精心打造的全新体系构架，大为提升L4/L7的吞吐性能。

随着企业部署更多的应用（从CRM到ERP系统），应用流量管理产品必须能够支持庞大的且不断增加的流量。BIG-IP可以做到。它提供了其它解决方案无法企及的强大处理能力，能够深层检查流量。与分布式体系结构不同的是，BIG-IP可以随时将其全部处理能力集中应用于任何端口，以制定最佳决策。

如此强劲的处理能力，确保了F5在一般的攻击下仍然能够顺利地完成负载均衡的工作。当然，也会出现攻击 的流量大于F5的处理能力的情况，如果是其他设备可能均会发生系统崩溃，甚至是导致网络崩溃。而F5的内核采用独有的Reaper功能，内置的DoS 监控程序会自动实时检测整个系统的CPU/Memory利用率，如果超过低阀值（Low WaterMark）则自动随意丢弃新建链接，如果达到高阀值（High WaterMark ）系统将丢弃所有的新建链接，将所有的攻击屏蔽，以达到保护自身系统的效果，等待CPU/Memory利用率下降或攻击流下降时再开启新链接。

下图就是F5在遭受大量DoS攻击下CPU/Memory的实时记录图表，可以看到，由于拥有Reaper技术，防止了F5自身在大量攻击下发生崩溃的情况。

第 21 页 / 共41页

第 22 页 / 共41页

6. 强大的SSL加速能力

当XXXX的关键应用通过互联网进行部署时，需要采用SSL来提高应用的安全性。而SSL流量的快速增重，往往会使服务器的CPU不堪重负。F5 BIG-IP应用交换机集成了硬件SSL加速处理能力，使XXXX能够有效地管理通过SSL提供的企业应用，并进行先进的智能流量管理检查。从而，提供了更强大的性能，并降低了实施安全应用的成本。

F5 BIG-IP应用交换机对SSL会话第一阶段的非对称加密和第二阶段的对称加密都实现了硬件加速，真正卸载CPU处理SSL加密解密的带来的沉重负担。通过iRule提供的强大编程处理能力，F5 BIG-IP应用交换机还可以实现对应用内容有选择性的加密。

同时，F5的BIG-IP应用交换机具有支持三级证书，双向证书认证，CRL自动下载，证书信息透传后台应用服务器等功能特色。

BIG-IP应用交换机在基本配置中已经包含了100TPS的SSL加速处理能力。通过购买附加的License可以将额外SSL的加速处理能力在BIG-IP应用交换机上激活。最大可以支持15, 000 TPS, 2G Bulk加解密处理能力，足以满足XXXX业务需求和一定时期内的发展。

第 23 页 / 共41页

7. 灵活而有效的HTTP压缩功能

广域网访问的网络延时与带宽瓶颈经常给用户的WEB应用的正常访问带来不便，通过在F5 BIG-IP应用交换机上启用HTTP压缩功能，可以带来以下好处： ? 更快的页面下载速度；

? 更小的带宽消耗(支持广泛数据类型的压缩：例如HTTP, XML, Javascript, J2EE

applications and many others)，启用带宽压缩所带来的带宽节省可以达到80%。 ? 客户端自适应的压缩处理能力(技术专利)：F5 BIG-IP应用交换机可以通过探测到客户端

的Round Trip Time来识别用户是通过宽带还是窄带方式上网，然后决定是否要对该用户启用HTTP压缩功能。

? 对用户完全透明，不需要在客户端安装程序：F5 BIG-IP应用交换机采用的压缩算法是

目前常用WEB浏览器广泛支持的GZIP和Deflate算法，因此对用户完全透明，不需要预先安装客户端解压程序。

第 24 页 / 共41页

8. Stateful Fail Over 技术

F5 Networks 公司的产品是业界唯一的可以达到ms级切换的产品，而且设计极为合理，所有会话通过Active 的设备的同时，会把会话信息通过同步数据线同步到Backup的设备上，保证在Backup 设备内也有所有的用户访问会话信息；另外每台设备中的watchdog芯片通过心跳线监控对方设备的电频，当Active设备发生故障时， watchdog会首先发现，并通知Backup 设备接管Shared IP，VIP等，完成A=>B的切换过程，因为Backup设备中有事先同步好的会话信息，所以可以保持访问的畅通和在线会话的数据。

第 25 页 / 共41页

9. F5 i–Control开放的API接口介绍

为了确保电子商务取得成功，应用和网络必须能够紧密结合。网络通知应用；应用指导网络。这就是F5新型体系结构的基础。 定义：F5互联网控制体系结构（图1）是业界第一个集成的端到端互联网流量、内容和网络管理体系结构，该体系结构可以： ? 集成网络产品 ? 促进网络与应用间的通信 ? 现在就可使用

它提供了业界最紧密集成的产品套件，利用统一的设备活动协作来对互联网流量和内容部署/提供进行端到端的控制。它提供了端到端集成所需要的产品间的安全通信，而且还可以通过开放式XML API对F5产品进行编程，以支持客户与合作伙伴应用间的集成（F5的iControl?内部通信协议）。

图1：业界第一个集成的端到端互联网流量、应用和网络管理体系结构

这种架构方式克服了多厂商解决方案的最大问题：互操作性和管理复杂性，而且还避免了单厂商套件的最大问题：有限的灵活性、缺乏足够的集成能力（图3）。这种架构使服务提供商和企业能够：

? 管理和控制全球范围的互联网流量和内容 ? 部署并实施SLA政策

? 将政策应用到多种技术上，如防火墙、VPN和QoS设备 ? 接收告警并管理关于网络和设备活动的报告

第 26 页 / 共41页

? 保持适当的系统配置

iControl能够使应用与网络流量管理和内容提供基础设施实现直接的互操作。通过iControl开放的安全通信协议和SOAP/XML API，网络设备能够与应用进行通信，应用可以控制网络，从而避免出现易于出错的过程和人为干预。iControl能够提供网络产品间安全、加密的互相通信能力，并为无缝应用集成带来了方便，其中包括：

(1) 本地流量管理；

(2) 分布于全球的流量管理；

(3) 将内容部署到远程服务器上；

(4) 管理网络中高速缓存提供的内容版本； (5) 显著减少管理分布式网络所需的资源。

客户、合作伙伴及第三方集成商都可以使用iControl软件开发套件（SDK），它具有开放式的SOAP/XML或CORBA API。随着iControl的推出，F5证明了其对制定和采用开放式互联网流量和内容管理标准的支持。

通过将iControl与F5的业界领先iTCM产品相结合使用，可以实施并部署F5的完整互联网控制体系结构，从而增强了7层性能。任何第三方和客户都可以通过iControl将自己的应用与网络系统集成在一起，从而提供无与伦比的7层性能。

第 27 页 / 共41页

三、 方案优势阐述

1. 拓扑结构的优点

1. 2. 3. 4.

全冗余连接方法, 绝对保证网络没有单点故障的存在。

所有网络设备都是可以直接相连，减少网络层次和避免新的单点故障。 比较少的网络层次，避免运行维护时面对的大批网络设备。

灵活的扩展空间，用户可以根据实际的网络流量和压力增加链路带宽，添加防火墙或增加服务器来提高整体的服务水平。

2. 安全机制方面

1. HTTPS、SSH等加密的网络管理，避免明码通讯对网络设备控制时的安全隐患。 2. F5的VIP一旦规定成功,服务的TCP/UDP端口也就同时确认，除特定服务外，其他

的端口就全部被封闭了，保护服务器避免被端口扫描。

3. 在防止DOS攻击方面，F5提供免费的防护，特别对于Ping of Death， F5 的VIP一

旦规定成功就对Ping包做中继处理，避免攻击对服务器的压力。 4. 所有关键业务都可以采用SSL加速，保障了用户隐私和安全。

3. 与应用的结合方面

1. F5 可以通过ECV，EAV 对后台的多层结构的服务器进行健康检查，确保用户的正常

访问。

2. F5 可以通过Insert Cookies和Sample persistence等方式和后台应用服务器实现无缝集

合的各种切换。

3. F5 的iControl 是一套全球唯一的网络产品提供的API/SDK, 可以允许用户根据自己的

要求控制网络设备。

第 28 页 / 共41页

四、 相关产品介绍

4.1 BIGIP 3400

BIG-IP?本地流量管理器

应用交付低效、迟延和失败都会导致数百万美元的损失，包括预算浪费、公司名誉受损，系统和应用停机、法律责任以及错失良机等。

BIG-IP?本地流量管理器是一款出色的应用流量管理系统，可提供业内最智能，最具适应性的解决方案来保护、优化和交付应用，从而确保企业能够在保持高效运营的同时提高其竞争力。

它是业内唯一一款包含整套统一应用基础设施服务的系统，将总体控制、可见性以及灵活性出色地融合到应用安全、性能和交付中。优点？更高的业务灵敏性和当今企业生命线（应用）的成本实施。

主要优势

可靠性

提供业内最可靠、最先进的系统，以确保应用始终可用。 应用加速

提供无可比拟的控制能力将应用性能提高3倍，确保高优先级应用得以优先处理，同时卸载昂贵的服务器循环。

降低服务器和带宽成本

通过丰富的基础设施优化特性将服务器容量增加3倍；同时通过智能HTTP压缩、带宽管理等特性将带宽成本降低80%。

增强网络和应用安全性

从拒绝服务（DoS）保护到隐藏、再到过滤应用攻击，BIG-IP添加了多项不能在网络中其它地方实现的关键安全特性。

无可比拟的应用智能与控制特性

业内唯一一款可提供完整应用流的解决方案——能够以网速进行全面的有效负载检查和基于事件的可编程流量管理，以及时掌握流量信息，并采取相应措施。

面向所有IP应用的集成解决方案

提供可与所有应用（不仅是基于Web的协议（HTTP/S））相集成的综合解决方案，在单个统一系统内为企业提供了面向所有IP应用（包括传统应用和诸如VOIP等新兴应用）的集中解决方案。

行业领先的性能

提供行业内最快的流量管理解决方案，来保护、交付和优化应用性能。作为行业内当之无愧的领导者，BIG-IP再次刷新了SSL TPS、批量加密以及最大并发SSL连接的业内记录。 简化管理、提高可见性

全新的图形用户界面（GUI）极大地简化了产品配置，提供了针对流量与插件资源的精细可见性，同时支持配置的批量快速修改。

第 29 页 / 共41页

强大的TM/OS体系结构：完善的应用智能与网络适应性

新型BIG-IP的核心是一款创新体系结构，称为TM/OS（流量管理/操作系统），它为企业提供了一套统一系统来帮助其实现最佳应用交付。TM/OS针对BIG-IP上的每项功能都做了改进，在支持BIG-IP智能地适应应用与网络日新月异的需求同时，提供了面向所有服务的完全可见性、灵活性和控制能力。

TM/OS快速应用代理

TM/OS使BIG-IP能够高效地将客户机与服务器端数据流隔离开来、独立维持每个连接设备的最佳性能，并承担起系统间的通信工作，以改进应用性能。如今，任何与BIG-IP相连的系统或IP应用都将可以更高效地工作。

iRules和通用检查引擎

TM/OS集成了F5新版定制的iRules和通用检查引擎（UIE），为应用交易或应用流内任何时刻的应用流量处理都提供了无与伦比的控制能力。凭借完整的有效载荷检查及转换能力、可扩展的事件驱动iRules以及面向会话层的交换（session-aware switching）技术、BIG-IP提供了业内最智能的流量控制点，以（以网速）解决各种应用交付问题。

BIG-IP统一应用基础设施服务

通过易于管理的图形用户界面（GUI）和流量―简档‖（profile）调用或通过iRules调用，BIG-IP统一应用基础设施服务代表了一整套最全面的功能，使企业能够更为高效地集成、定位和扩展所要求的服务，以高应用部署效率。

全面的负载均衡 先进的应用交换 会话/流交换 定制状态监控

智能网络地址转换 通用持续性 响应错误处理 IPv6网关（M） 高级路由（M） 智能端口镜像 （M）=作为插件模块提供

SSL加速（M）

智能HTTP压缩（M） TCP优化

第7层带宽管理（M）

内容缓冲（Content

Spooling/Buffering）

内容转换 连接加速

智能服务质量 广域网优化

第 30 页 / 共41页

高级客户机认证（M） 资源隐藏（Resource Cloaking） Cookie加密 选择内容加密 应用攻击过滤

拒绝服务（DoS）攻击和SYN Flood保护

防火墙—包过滤

包消毒（Packet Sanitization）

交付：最大可靠性和可扩充性

BIG-IP通过提供业内领先的第7层智能特性消除了单点故障，并实现了网络与应用的虚拟化。这样可确保所有站点始终保持正常运行，并使其更具可扩充性和更易于管理。

应用状态检查

BIG-IP提供了复杂的监视器来检查设备、应用和内容的可用性，其中包括支持许多应用的专用监视器（包括各种应用服务器、SQL、SIP、LDAP和、XML/SOAP等）以及用以检查内容和模拟应用呼叫的监视器。此外，BIG-IP还能对共享服务器上的应用进行有效管理，并前瞻性地报告其状态。

高可用性及交易保证

BIG-IP可提供次秒级系统故障切换和广泛的连接镜像，从而帮助用户出色地解决各种类型的系统、服务器或应用故障。同时，它还能前瞻性地检查并对任何服务器或应用错误即时作出响应，从而帮助企业在降低系统负载的同时，获得出色的可靠性。

全面的负载均衡

BIG-IP采用多种静态和动态负载均衡方法（包括动态比率、最小连接和观测负载均衡），可跟踪一组服务器的动态性能级别，从而确保可始终选中最佳资源以改进性能。

智能应用交换

由于BIG-IP可读取所有IP应用，所以它能够基于特定厂商的应用服务器（BEA、微软、IBM、Oracle、SUN等）信息、Web服务应用中的XML数据或移动/无线应用的设备值来实现持续性。凭借iRules的深度分组检验能力和BIG-IP的交换特性、日志记录特性以及有效载荷或流持续性，企业可以为其所有应用获得更高的可靠性和可扩充性。

完善的IPv6网关

所有企业都需要制定一套明晰的无缝演进战略，以分阶段进行网络移植，以支持不断增长的IPv6需求。

通过IPv6网关模块，BIG-IP提供了完整的v4与v6网络间IP转换与负载均衡能力。这使得用户移值和混和IPv4与IPv6主机资源的共享更易于管理，同时也更为经济高效。

优化：降低基础设施成本和加速应用

BIG-IP卓越的智能特性为企业提供了一款强大的解决方案，可帮助它们提高应用性能、增加现有基础设施的容量、降低基础设施成本和加速其应用。

广域网（WAN）优化和应用加速

BIG-IP提供了一套有针对性的方法来减少流量，降低互联网延迟和客户机连接瓶颈对其应用性能所造成的影响。通过智能压缩等先进特性，BIG-IP可支持对各种文件类型的压缩（如HTTP、XML、Javascript、J2EE应用等），从而在将带宽利用率降低80%的同时，将应用性能提高了3倍。

确保关键应用性能

BIG-IP灵活的第7层带宽管理能力可使企业对带宽进行有效管理，以确保高优先级应用能够得到按时交付。同时，它还提供了定制控制能力，以设定基于应用的带宽限制（容许的带宽峰值），甚至还能在应用之间建立队列关系。

增加服务器容量，提高站点响应性

BIG-IP可提供广泛的连接管理以及TCP和内容卸载能力，以优化服务器性能，显著提高页面加载速度。例如，BIG-IP的OneConnectTCM能通过将数百万条客户机请求汇聚到成百上千个服务器端连接中将服务器容量增加60%，从而确保了后端系统能够高效地处理这些请求。 通过其它优化技术（比如内容缓冲（content

spooling）），BIG-IP可充当―中间人‖来优化与任何端点之间的通信，使服务器能够更有效地处理其工作负载，从而提高通过BIG-IP运行的任何应用的服务器容量。

加密无所不在

作为领先的SSL加速解决方案，BIG-IP提供了惊人的SSL处理扩充性，持续SSL吞吐率可达2Gbs。通过加速批量加密和设置加密，企业可使用更安全的加密方法将其全部通信移植到SSL上，同时不会对应用性能带来任何影响。

内容转换

BIG-IP提供了一款完善的解决方案，可将许多繁重或重复功能卸载至一个集中管理的大功率网络设备上。除了SSL、压缩和其它许多功能外，BIG-IP还提供了一个完整的内容转换网关，可对应用内容进行重新引导、插入或进行整体转换，从而实现有效的应用集成。

第 31 页 / 共41页

安全：更高的攻击防护

这种防护不仅可以阻止攻击，同时还可以为合法用户提供即时服务。从这两方面来看，BIG-IP均提供了一整套安全服务，在提高网络和应用的安全性方面扮演了日益重要的角色。从增强网络和协议级安全性到过滤应用攻击，BIG-IP都可以部署在关键网关上，来出色的保护您的珍贵资源：运行业务的应用。

? 支持更高标准的AES（高级SSL加密标准）算法，采支持应用安全性

?

资源隐藏——BIG-IP将全部应用、服务器错误代码和

真实URL地址进行虚拟化并隐藏，因为这些信息可能会给黑客提供攻击其基础设施、服务以及相关漏洞的线索。

定制应用攻击过滤—BIG-IP的完整检查能力及基于事件的规则提供了一项强大的能力，可搜索并应用各种规则来阻止L7层攻击——同时也可以定义策略来阻止特定访问或禁止某些命令的执行。此外，BIG-IP在为合法用户持续提供流量的同时，还可提供其它安全保护层，以防范黑客、病毒和蠕虫的攻击（如红色代码蠕虫）

集中认证——BIG-IP可作为各种流量类型的认证代理，使企业能够为BIG-IP系统上的应用提供最高级的认证。这种功能使各类应用又多了一道远离自身的网络安全防线，为其Web和应用层提供了进一步的保护。

用市场上最安全的SSL加密技术，无需额外处理成本。

内容保护——防止企业的敏感文件或内容遗留在站点上。

?

?

防御海量攻击

BIG-IP包含丰富的安全特性集，可全面防御拒绝服务

（DoS）攻击、同步攻击（SYN Flood）、和其他基于网络的攻击。诸如SYNCheck等特性可为部署在BIG-IP设备后的服务器提供全面的同步攻击（SYN Flood）保护。此时，BIG-IP作为安全代理，来有效地保护整个网络。与Dynamic Reaping特性相结合，BIG-IP设备可安全地过滤海量攻击，同时为合法连接用户提供不间断的服务。

?

避免协议攻击

BIG-IP提供了―协议无害处理‖（Protocol Sanitization）和―充分TCP终止‖（Full TCP Termination）点来单独管理客户机和服务器端连接，以保护所有后端系统和应用免遭恶意攻击。

增加关键内容保护

?

提供行业内最具选择性的加密方法，来对数据进行整体、部分或有条件地加密。这种精细的控制方法可保护并优化不同环境下的通信。

Cookies加密和其它令牌都透明地分配给合法用户。企业可获得全部状态应用（电子商务、CRP、ERP和其它关键业务应用等）出色的安全性和更高一级的用户身份信任。

防火墙——包过滤

现在，BIG-IP集成了一个控制点来定义并执行基于第4层的过滤规则（基于PCAP，与网络防火墙类似），以提高网络保护能力。

?

第 32 页 / 共41页

BIG-IP的性能及可靠性

创新的性能

BIG-IP提供了业内最快速的应用流量管理方案，其特别设计的体系结构将高性能交换结构与一流SSL和第4层硬件优化完美结合一起，以彻底卸载系统CPU。BIG-IP确保了各项功能均可达到其真实性能，并能够以网络速度进行深层次分组检查。

手工操作。经扩展后，iControl现在已可支持真正的发布/订阅模式。这一模式大大降低了网络开销，改善了通过iControl接口与BIG-IP相集成的应用的性能。对于大多数应用而言，该模式能够显著降低客户机和服务器的网络带宽与处理时间。

网络

支持STP、MSTP、RSTP 链路聚合 VLAN标记 Qos/ToS

第三方MIB支持：全部默认Net-SNMP

系统HA和管理

BIG-IP通过多重启动、―热‖升级、无人值守管理等关键特性改善了系统管理。

作为一款高可用性设备，BIG-IP还提供了对于―HA表‖下所有处理器状态无可比拟的可见性。

BIG-IP——扩充、安全和优化：

Apache

BEA WebLogic

Check Point VPN-1/FireWall-1

Citrix Metaframe Presentation Server HP OpenView

Lotus/Domino Notes servers IBM WebSphere Oracle:

– 9i Application Server – 10g Application Server – E-Business Suite 11i – Collaboration Suite. 微软:

– Application Center – Commerce Server – Exchange Sever

– Outlook Web Access

– Windows Terminal Services – SharePoint Portal Server

– Internet Information Services (IIS) – Live Communications Server – SQL Server

– Microsoft Operations Manager – Mobile Information Server

– Internet Security and Acceleration Server – Visual Studio .NET

Siebel eBusiness Applications PeopleSoft Enterprise Macromedia ColdFusion Trend Micro InterScan

Mercury Business Availability Center SAP mySAP Business Suite Netegrity SiteMinder

webMethods Enterprise Services Platform Tivoli Access Manager RSA SecureID

RealNetworks RealSystem Servers Sun iPlanet Servers ...更多

全新图形用户界面和简化的管理

先进的全新图形用户界面极大地简化了产品配置，降低了设置和维护成本上升。

基于―简档‖（Profile）的配置

全新的简档对象（Profile Object）使企业用户可创建应用于不同资源的流量行为模板，从而减少重复操作并提供一致的设置修改方法。

提高可见性

BIG-IP能够提供详尽的流量统计数据（全局范围或基于每个对象），以帮助企业更好的监控全部活动和资源。

丰富的用户界面

BIG-IP全新的图形用户界面提供了多项可用性增强特性（通过一个安全的、基于SSL浏览器的接口提供），其中包括在线帮助、搜索与分类、在线创建等，大大降低了用于配置的设置与维护时间。

iControl—创建面向应用的网络

F5的iControlTMAPI与SDK帮助实现了第三方应用和BIG-IP之间的自动通信，从而消除了繁琐的

第 33 页 / 共41页

可用的插件模块

智能压缩模块

使用工业标准的GZIP和Deflate压缩算法来压缩HTTP流量；降低带宽消耗、缩短最终用户在慢速/低带宽连接条件下的下载时间。

SSL加速模块

在关键业务在线交易期间提供安全、速度和流量管理的同时，显著改善服务器性能。BIG-IP6800可支持高达20,000个SSL TPS，所有BIP-IP系统均包含100个TPS许可证。

第7层带宽管理模块

通过为高优先级应用分配带宽，确保获得最佳应用性能；基于第4层或第7层参数来控制峰值流量并确定流量优先级。

先进的客户认证模块

允许BIG-IP提供到LDAP、Radius、TACAS和其它集中认证设备的顶级HTTP和其它流量类型的客户机认证。

IPv6网关模块

提供v4和v6网络之间完全的IP转换与负载均衡能力，使用户移植和混和IPv4与IPv6主机资源的共享更易于管理，也更为经济高效。

路由模块

针对BGP、RIP和OSPF提供不同的网络路由模块。

订购信息

BIG-IP本地流量管理器有以下四款规格：更多的软件模块可按您的实际需要快速添加。

6800系列——

超级多用途流量管理 处理器：双CPU 基本内存：2GB

ASIC：Packet Velocity ASIC2

千兆位CU端口：16个 千兆位光纤端口：(SFP - GBIC Mini)4个（2个标准、2个可选） 包括：SSL TPS/Max TPS/Bulk 加速模块：

（100/20,000/2GB/秒） 流量吞吐量：4GB/秒 可选硬件设备：硬件压缩*（2GB/秒）

6400系列——

高级多用途流量管理 处理器：双CPU 基本内存：2GB

ASIC：Packet Velocity ASIC2

千兆位CU端口：16个 千兆位光纤端口：(SFP - GBIC Mini)4个（2个标准、2个可选） 包括：SSL TPS/Max TPS/Bulk 加速模块：

（100/15,000/2GB/秒） 流量吞吐量：2GB/秒 可选硬件设备：硬件压缩*（2GB/秒） FIPS处理**

3400系列——

中级多用途流量管理 处理器：单CPU 基本内存：1GB

ASIC：Packet Velocity ASIC2

千兆位CU端口：8个 千兆位光纤端口：(SFP - GBIC Mini)2个可选 包括：SSL TPS/Max TPS/Bulk 加速模块：

（100/5,000/1GB/秒） 流量吞吐量：1GB/秒

1500系列——

普通多用途流量管理 处理器：单CPU 基本内存：768MB ASIC：无

千兆位CU端口：2个

千兆位光纤端口：2个可选

包括：SSL TPS/Max TPS/Bulk 加速模块：

（100/2,500 MB/秒） 流量吞吐量：500MB/秒

*业内第一款硬件压缩ASIC，集中流量压缩处理，提高服务器容量多达20%，同时加快了对终端用户的应用响应，并降低成本。

**FIPS141-2 二级认证处理通过将SSL密钥存贮到硬件安全模块中，增强了SSL密钥的安全性。防止企业的敏感文件或内容遗留在站点上。

上海联通业务网站应用交付优化设计方案建议

4.2 BIGIP可选模块

目前F5 BIG-IP交换机在基本模块的基础上，可以扩展支持以下模块： ? SSL加速处理(SSL) ? 动态智能压缩(CMP) ? 内存缓存功能(Cache) ? 7层的带宽管理功能(RS) ? 带宽高级客户认证(ACA) ? IP v6网关 ? 高级路由模块

1. SSL加速处理

当企业的关键应用通过互联网进行部署时，往往需要采用SSL来提高应用的安全性。而SSL流量的快速增重，往往使服务器的CPU不堪重负。F5 BIG-IP应用交换机集成了硬件SSL加速处理能力，使客户能够有效地管理通过SSL提供的企业应用，并进行先进的智能流量管理检查。从而，提供了更强大的性能，并降低了实施安全应用的成本。

F5 BIG-IP应用交换机对SSL会话第一阶段的非对称加密和第二阶段的对称加密都实现了硬件加速，真正卸载CPU处理SSL加密解密的带来的沉重负担。通过iRule提供的强大编程处理能力，F5 BIG-IP应用交换机还可以实现对应用内容有选择性的加密。

BIG-IP应用交换机在基本配置中已经包含了100TPS的SSL加速处理能力。通过购买附加的License可以将额外SSL的加速处理能力在BIG-IP应用交换机上激活。

2. 动态智能压缩模块

第35 页 / 共41页

上海联通业务网站应用交付优化设计方案建议

广域网访问的网络延时与带宽瓶颈经常给用户的WEB应用的正常访问带来不便，通过在F5 BIG-IP应用交换机上启用HTTP压缩功能，可以带来以下好处： 更快的页面下载速度；

更小的带宽消耗(支持广泛数据类型的压缩：例如HTTP, XML, Javascript, J2EE applications and many others)，启用带宽压缩所带来的带宽节省可以达到80%。 客户端自适应的压缩处理能力(技术专利)：F5 BIG-IP应用交换机可以通过探测到客户端的Round Trip Time来识别用户是通过宽带还是窄带方式上网，然后决定是否要对该用户启用HTTP压缩功能。

对用户完全透明，不需要在客户端安装程序：F5 BIG-IP应用交换机采用的压缩算法是目前常用WEB浏览器广泛支持的GZIP和Deflate算法，因此对用户完全透明，不需要预先安装客户端解压程序。

3. Fast Cache功能模块

通过在F5 BIG-IP应用交换机的内存上对服务器上被反复存取的内容作缓存，可以大大减轻服务器上的压力(可以减轻50%以上日服务器性能压力)。 F5 BIG-IP应用交换机提供了内存缓存的灵活控制能力，可以对指定应用的指定内容在指定条件下进行缓存与刷新。支持静态与动态内容的缓存，对动态页面(例如动态HTML)，可以根据预先定义的缓存内容刷新条件对内容进行刷新。 而每个应用进行高速缓存可以消耗的内存容量也可以灵活定制。

4. 7层带宽管理功能

BIG-IP的带宽控制模块可保证关键应用的稳定性。在BIG-IP带宽控制模块中，可以对基本带宽，限制带宽、突发带宽，控制方向等进行配置。每个带宽控制单元在BIG-IP中被定义为一个Rate Class。Rate Class可以在Virtual Server、Packet Filter和Rules中进行灵活调用。在调用时，仅需要判断出需要进行带宽控制的流量条件满足，并将其放入相应的Rate Class即可。

第36 页 / 共41页

上海联通业务网站应用交付优化设计方案建议

图表 1 流量控制示意图

通过与Virtual Server、Packet Filter和iRules配合，BIG-IP可实现基于IP、端口、应用协议以及七层内容进行带宽控制。在实现强大功能的同时保持配置的方便性和灵活性。

由于BIG-IP硬件平台具有强大的扩展性，最大内存配置可达4GB，这样，则可以在TM/OS内建立超过1000个以上的Rate Class对列。从而实现带宽控制的精细和稳定。

BIG-IP Rate Class的定义最小为296bps，最大可以Gbps为单位进行定义。定义时，可以bps、Kbps、Mbps和Gbps为控制单位。

5. 高级客户端认证模块

BIG-IP可作为各种流量类型的认证代理，使企业能够为 BIG-IP 系统上的应用提供最高级的认证。这种功能使各类应用又多了一道远离自身的网络安全防线，为其Web和应用层提供了进一步的保护。

允许 BIG-IP提供到LDAP 、 Radius 、 TACAS 和其它集中认证设备的 顶级 HTTP和其它流量类型的 客户机认证。

6. IPv6网关模块

第37 页 / 共41页

上海联通业务网站应用交付优化设计方案建议

所有企业都需要制定一套明晰的无缝演进战略，以分阶段进行网络移植 ， 以支持不断增长的 IPv6 需求。

通过 IPv6 网关模块，BIG-IP 提供了完整的 v4 与 v6 网络间 IP 转换与负载平衡能力。

这使得用户移植和混和 IPv4 与 IPv6 主机资源的共享更易于管理 ，同时也更为 经济高效。使用户移植和混和 IPv4与IPv6主机资源的共享更易于管理，也更为经济高效。

7. 高级路由模块

BIG-IP还可以扩充支持BGP、RIP和OSPF等动态路由协议，以适应复杂网络环境的需求。

第38 页 / 共41页

上海联通业务网站应用交付优化设计方案建议

五、 附录

5.1 F5中国主要客户及产品列表

农业银行 光大银行 工商银行 建设银行 民生银行 交通银行 兴业银行 招商银行 深圳发展银行 广东发展银行 上海银行 CITIC

国税总局 北京国税 河北国税 北京地税 天津地税 南京地税 沈阳地税 河北地税 浙江地税 厦门地税 广东地税

Sinopec 大庆油田 胜利油田 克拉玛依油田 天津石油 石油管道管理局 大港油田 广东电力 华东电力研究所 安徽电力

南航

4x3DNS

4x3DNS, 4x2000 4x3DNS, 20x5100

4x5100, 4x6400, 2x3400 , 2x3DNS 2xLC2000, 6x3DNS, 4x3400

(2x3DNS + 8xEC )x2 9x2400 +6x3400+ 6x6800 3x3DNS, 2x2400 3x3DNS, 2x2400 2x2400 combo LC 2x1500 2x2400, 2x2000 2x3DNS, 2x3400 2x2000

4x2400, 4x5100 6x5100

2x3DNS, 4x2000, 8x5000 4x2400

1x3DNS, 2x1000 2x2400

2x1500 => 22x1500 2x LC 2400, 4x5100 4x2400 2x1500

2x3DNS

2x4100, 4x2400

2x2000, 1x2400, 1x3DNS 2x2400 2x4100

2xLC1000, 1x4100 2x2400

2x2400 combo LC 1x4100， 1xLC2400 2x LC2000, 2x2400 3x2400

第39 页 / 共41页

上海联通业务网站应用交付优化设计方案建议

深航 夏航 华东空管局 铁道部 行包中心 中外运

河南电信 河南网通 北京通信 江苏电信 Portal

网通CDN 上海电信 江西电信 湖北电信 武汉电信 3G 实验室 网通研究院 广州， 深圳 福建互联星空 广东电信彩铃

China Unicom – WAP – K-java – 165 mail – SMS filter – 浙江客服 – SSG – 河北 – 吉林

China Mobile – 浙江

2x2400 – 广东OA – 广东深圳 – 河南OA – 辽宁 – 四川 – 北京 – 北京 – 新疆

2x 1000 combo LC

2x 1000 combo LC 2x2400

2xLC1000 + 2x1000 6x5100

2x2400 2x 6400 2x2000

8x2400 DNS , 2x 2400 Radius, 2x 5100 , mail, 2x2400 Boardband 2x3DNS , 11x 2400

3x1000 CRM, 2x3400 CRM 2x5100 BSS 2x2400 DNS 2x2400 2x6400 1x4100

IPTV 4x2400 2x5000 , 1x2400 2x1000 X 5 sites

4x520 , 4x2000, 10x5000, 28x5100 4x2000 4x2000 16x1000 2x2400 2x2400 2x3400 4x5000

Portal 1x1000 ， 2x 3DNS BOSS，2x2400， 4x1500 BOSS, 2x1000 2x5000 4x2400

2x1500, 2x2400 2x3400

CRM 2x5000 + 2x5100 VOD 2x5000 CRM 2x6400

第40 页 / 共41页

上海联通业务网站应用交付优化设计方案建议

– – – – –

北京IDC 上海IDC 彩铃系统 mms WAP

4x2400 2x2400

200x1000 or 2400 34x2400

(6+8+8)x2x2400

新浪网 4x6800, 2x6400, 2x3400, 12x2400 搜狐网 2x5100, 2x3400, 10x520 凤凰 2x3DNS,4x3400 天极 2x3400 ChinaHR 2x3400 21 CN 6x2400, 2x5100, 2x3DNS 慧聪 2x2400 , 4x3400, 2x3DNS Xing网 2x5100 卓越 2x2400 QQ 2x3DNS, 1x2400, 1x1500 Alibaba 4x3DNS, 4x6400, 4x2400 Linktone 5x1000 盛大 2xLC2400 , 2x2400 CNNIC 8 x 1000, 4x6400 天府热线 2x3400 空中网 2x3400 华体网 6 x 3400 2x3DNS SportSCN 2x2400 Yahoo中国 2x3400, 2x3DNS TOM 8x200, 12x2000, 4x5000, 8x5100, 36x2400, 6x3DNS, 4x3400 奥美，传奇 4x2400 奥组委 2x5000 华奥星空 6x5100 2x3DNS, Didibaba 2x2400 163Car 2x3DNS, 2x6400, 2xlc1000 ChinaCache 8x3DNS, 8x520, 24x5000, 3x5100

太平洋保险 2x2400 深圳太平保险 1xLC1000 太平人寿 2x2400 大地保险 2x2400 新华人寿 2x6400 中国人寿 1x4100 华泰北京 2x2400 平安保险 6x2000, 6x2400, 3x3400

F5公司在国内，拥有超过800家用户和3000台以上的设备。

第41 页 / 共41页

本文来源：https://www.bwwdw.com/article/79s.html