- 2.19 MB
- 21页
- 1、本文档共5页,可阅读全部内容。
- 2、本文档内容版权归属内容提供方,所产生的收益全部归内容提供方所有。如果您对本文有版权争议,可选择认领,认领后既往收益都归您。
- 3、本文档由用户上传,本站不保证质量和数量令人满意,可能有诸多瑕疵,付费之前,请仔细先通过免费阅读内容等途径辨别内容交易风险。如存在严重挂羊头卖狗肉之情形,可联系本站下载客服投诉处理。
- 文档侵权举报电话:19940600175。
F5中国典型案例F5应用交付(ADN)解决方案2007-12-0721
目录1.金融行业41.1银行41.1.1招商银行网上银行防火墙负载均衡及多链路接入41.1.2纽约银行广域网数据传输加速71.1.3建行省级分行流量管理解决方案91.1.4宁波商业银行总部网银流量管理解决方案131.1.5工行银行主机前置网关负载均衡161.1.6工行分行中间业务181.1.7交通银行总部内网OA系统防攻击解决方案201.2证券231.2.1银河证券网上交易系统231.3保险251.3.1平安保险负载均衡应用解决方案251.4基金281.4.1广发基金多链路接入及服务器负载均衡281.4.2南方基金多链路及服务器负载均衡解决方案311.5交易所331.5.1中国外汇交易中心–多链路负载均衡解决方案332.政府行业362.1税务362.1.1北京地税网上征收平台362.1.2湖北国税-CTAIS系统流量管理解决方案392.2社保412.2.1社保系统流量管理解决方案412.3公安442.3.1公安出入境管理信息系统服务器负载均衡解决方案442.3.2公安系统内网核心应用流量管理解决方案472.4房管局502.4.1房地局网上房地产流量管理解决方案502.5外汇管理局542.5.1国家外汇管理局解决方案543.ICP563.1腾讯多IDC负载均衡(3DNS/GTM)解决方案563.2盛大计费系统流量管理解决方案583.3Alibaba网站流量管理整体解决方案603.4Tom节点数据同步解决方案623.5中华英才网服务器负载均衡解决方案643.6新浪网无线业务解决方案663.7哈宝游戏广域网及服务器负载均衡解决方案683.8Yeepay(易宝支付)SSL加速解决方案703.9SoHu流量管理及解决方案724.企业744.1能源7421
4.1.1安徽石油-加油站SSLVPN接入系统744.1.2Aramco石油SSLVPN安全接入系统764.1.3电力行业关键业务–电力调度营销应用流量解决方案784.2媒体814.2.1深圳报业多链路及服务器负载均衡解决方案814.2.2CCTV国际网站解决方案844.3制造业864.3.1天狮集团ADN整体解决方案864.3.2上海大众-4S店SLVPN整体解决方案894.3.3神龙汽车4S店SSLVPN接入914.3.4美的集团邮件系统负载均衡934.4交通964.4.1广铁客票系统服务器负载均衡解决方案964.4.2南方航空-网上订票系统负载均衡984.4.3深圳航空链路负载均衡1014.5物流1034.5.1中铁行包-互联网安全接入系统1035.医疗卫生1055.1医院1055.1.1厦门第一医院HIS系统负载均衡1056.教育1076.1普教系统1076.1.1上海市普陀教育局1076.1.2高考系统网上阅卷与查分应用解决方案1106.2大学1126.2.1中山大学多链路接入解决方案1127.F5ADN解决方案简介1147.13DNS广域网负载均衡技术1147.2LinkController多链路解决方案技术1147.3服务器负载均衡技术1147.4Web应用加速技术1147.4.1内存缓存技术1147.4.2智能浏览器行为控制技术1147.4.3HTTP压缩技术1147.4.4连接优化技术1147.4.5SSL加速1147.5SSLVPN远程接入技术1147.6广域网数据传输加速技术1147.7iControl1147.8TMOS应用流量管理操作系统11421
F5ADN解决方案简介1.1GTM广域网负载均衡技术3-DNS为工业标准DNS增添了智能,可确保将最终用户导向可用并可提供最快响应的站点。其独有的智能能够检查数据中心和网络的状态、用户的地理位置,然后根据可定制的业务规则引导流量。3DNS主要具备以下特性:l完善的全球负载平衡l基于工业标准DNS的无缝集成l功能全面,可与现有DNS服务器配合使用,也可作为独立DNS服务器使用l消除了所有单点故障l自动状态检查程序可以找出问题并将用户请求导向可用性最高的资源l生产规则支持动态配置修改,以满足流量需求l独有的CDN交换支持将流量无缝路由到第三方CDN,以经济高效地扩充网络基础设施l地理负载平衡降低至国家级,可将用户导向本地化内容l冗余3-DNS控制器的DNS故障切换时间不到1秒lNetworkMap(网络地图)集中显示了单一3-DNS控制器控制的所有设备,实现轻松的配置管理l扩展内容验证(ECV)监视器确保为您的用户提供正确的内容l透明地分配所有IP服务l对分配站点数量没有限制l支持轻松创建数据中心和同步群组l同步配置可以支持轻松管理您的网络中所有的3-DNS控制器l可选3-DNS模块作为BIG-IP®负载平衡器的插卡提供,以便集成全球及本地负载平衡解决方案1.1.1站点健康检查3-DNS控制器检查您网络中的负载平衡产品、服务器和高速缓存的状态,消除单点故障,并引导流量避开性能较低的站点和服务器。通过收集这些设备的性能测量数据,3-DNS可了解网络状态,对以下参数进行测量:如包速率、每秒千字节、磁盘、内存、CPU利用率以及连接数量。它还可检查网络、站点和服务器级状态,从而在将流量导向某站点之前确定它具有高可用性和充足的容量。1.1.2就近性判断3DNS通过自身和控制系统中的其他F5设备实现用户访问的就近性判断。每台安装有Big3D进程的设备均可作为就近性判断的计算参与设备。当用户LocalDNS到3DNS查询域名所对应IP时,3DNS将在已经建立的LocalDNS表中进行快速查询。确定距离用户LocalDNS最近的数据中心。如果用户LocalDNS不在已建立的LocalDNS表中,则3DNS将根据后续的规则返回给用户一个默认或者负载最小的站点。随后通知所有的BIG3D进程对用户的LocalDNS进行判断。所有的BIG3D进程在获得结果后,将结果通知发起判断请求的3DNS,并在3DNS中添加用户LocalDNS表项。在下次该LocalDNS再次进行请求时。则直接返回给用户LocalDNS最佳的站点。1.1.3其他分配策略21
l动态比率(已申请专利)动态比率负载平衡模式可解决其它广域负载平衡器普遍存在的“全部流量被导向最佳站点”的问题。动态比率能够根据您的网络和服务资源的比例,将流量分别导向最佳站点、次佳站点等。l持续性(已申请专利)3-DNS提供了完善的持续性模式,以确保每次都将您的用户导向正确资源。您可以对它进行配置,以将流量智能地导向同一站点,从而确保交易的一致性。3-DNS还可将所需的持续性信息发送到本地DNS,以减少需要同步化后端数据库的次数。用户请求本地DNS解决域问题-本地DNS请求3-DNS作为主要DNS使用――从而解决内容及国家问题v–3-DNS向每个位置或独立服务器上的BIG-IP控制器发出米制查询-收集查询响应并确定“最符合要求的”服务器决策-米制查询的频率由用户确定w–3-DNS返回“最符合要求的”IP地址x–用户与远程站点之间的通信流lLDNS循环(已申请专利)LDNS循环模式会将可用虚拟服务器的优先级列表反馈给客户机,为该客户机的浏览器提供一个虚拟服务器列表,存储在该浏览器高速缓存中,以备日后使用。l服务质量负载平衡(已申请专利)服务质量(QOS)负载平衡模式包括中继段系数(取决于客户机与LDNS之间的中继段数量)。管理员可以根据中继段率将用户请求发送至与用户间隔中继段数量最少的数据中心,从而确保更快的访问速度。QOS模式还支持动态比率。1.1.1运维及管理3-DNS控制器使处理复杂的内联网、外联网和互联网信息和应用变得轻而易举。它提供了一个“虚拟站点环境”,不仅能够集中管理服务器资源和设备,而且还能为最终用户提供一个URL来透明访问多台服务器。因此即使在一台服务器进行维护时,最终用户仍可不间断进行访问。3-DNS是一种独立的“即插即用”设备,无需在服务器上安装其它软件。它提供了以下功能:lAutosync(自动同步)对冗余3-DNS设备进行自动设置和安全同步化操作。用户可以从网络中任意3-DNS上更改配置,从而解决了DNS普遍存在的分级管理难题。l3-DNS安全Web管理用户可使用基于浏览器的应用来配置标准3-DNS控制器特性,包括wideIP、虚拟服务器、数据中心和生产规则等;同时还可设定用户管理权限,以限制使用3-DNS的人员进行访问。访问权限分为只读、部分读/写和完全读写三级。21
l基于Web的DNS安全管理3-DNS集成了NameSurfer®来自动管理区域文件信息。此外,NameSurfer®还使用户可以通过Web来管理DNS和编辑DNS区域文件。其直观的界面使用户能够轻而易举地配置和管理DNS,自动执行任务,有效避免了配置错误。lSNMP支持3-DNS集成了一个带有DNS和3-DNS控制器MIB的SNMP代理。这使得SNMP管理应用可以读取有关3-DNS当前性能的统计数据,从而使SNMP管理套件(如HPOverview)能够准确地掌握3-DNS的工作情况,同时密切关注标准DNS信息。lSNMP主机探测3-DNS支持对运行下列任何一种类型SNMP代理的主机进行SNMP主机探测:UCDsnmpd、SolsticeEnterprise和NT/4.0SNMP代理。这使得3-DNS可以直接从服务器、高速缓存和局域负载平衡产品处收集测量数据,供制定WAN流量分配决策时使用。l数据中心和同步分组3-DNS使您能够对位于同一位置的网络设备进行逻辑分组。例如,您可以将位于您在纽约的数据中心的一系列BIG-IP控制器和主机划分为一组。这些控制器和主机可以共享路径探测结果。这一特性能够有效利用3-DNS的探测特性,从而创造出一款具有高可扩充性的解决方案。l生产规则生产规则主要为CDN运营考虑,随着应用的丰富和各站点的高峰时期变化,F53DNS可以进行生产规则的制定,根据时间,访问来源和访问数量动态的执行策略,如更改广域网负载均衡的算法,改变各CDN节点权值等操作,而不需要人工干预。liControl集中管理通过F5独有的iControl开放式结构,CDN运营商可以开发适合运营的系统管理和监控界面,并与现有系统进行紧密结合,统一管理。同时,还可以输出丰富的数据统计报表。通过iControl开放式结构,还可以开发系统预警,故障报告等复杂的功能。l完善的计费模型支持在所有的F5设备上,均提供了完整的数据采集接口,使运营商可采集到所有的计费信息来支持各式的计费模型。1.1.1CDNpeering支持在CDN运营中,不可缺少的一个环节就是和其他CDN网络的交互,如全国网和省网,全国网和国际CDN运营商之间的交互。F53DNS独有的CDNpeering方式,可以将不同的CDN运营商进行技术融合,分享用户资源。1.2LinkController多链路解决方案21
F5公司提供三种多链路负载均衡解决方案的产品:lLinkcontrollerlBIGIPComboLCModule采用F5公司的BIGIP,可以实现由内向外的单向多链路负载均衡;Linkcontroller或者BIGIPComboLCmodule都可以实现双向的链路负载均衡,其中后者能够实现最为复杂的链路负载均衡需求,并包含BIGIP的所有功能,例如:SSLProxy,iRules,IPFilter等等。BIGIP特色:l提供Outbound流量的多链路负载均衡(单向)l对于Inbound流量,能够保证从哪条链路进来,从哪条链路返回l支持自动检测和屏蔽故障多出口链路l支持多种静态和动态算法智能均衡多个ISP链路的Outbound流量l支持多链路动态冗余,流量比率和智能切换l支持Layer2-7交换和流量管理控制功能l灵活的iRules,可以保证客户对链路选择的复杂要求l完全支持各种应用服务器负载均衡,防火墙负载均衡l多层安全增强防护,抵挡黑客攻击l免费附送100TPS的SSL加速功能l业界领先的双机冗余切换机制l对于用户完全透明l对所有应用无缝支持l业界优异的硬件平台和性能l稳定,安全的设备运行记录适用环境:多条不对等的链路,例如:在普教的校校通网络中,存在一条中国电信链路和一条教育网链路,对于Inbound流量来说,Internet用户只能从中国电信链路进来,校校通用户(教育网用户由于DNS导向)从教育网进来最优,这个时候,Inbound流量负载均衡失去存在的意义,没有配置的必要了。然而对于普教的教育城域网用户,两条链路都能访问Internet,因此需要Outbound流量负载均衡,考虑到访问教育网资源还是走教育网最优,需要配置iRules来做链路选择。综上所述,在此类环境下,选择BIGIP做Outbound单向链路负载均衡是最佳选择。Linkcontroller的特色:l提供Outbound流量的多链路负载均衡l提供Inbound流量的多链路负载均衡(双向)l支持自动检测和屏蔽故障多出口链路l支持多种静态和动态算法智能均衡多个ISP链路的流量l支持特有的链路负载均衡算法(CompletionRate,GlobalAvailability,hops,kilobytes/second,leastconnections,PacketRate,QualityofService,Random,Ratio,RoundRobin,RoundTripTime,StaticPersist,VSCapacity)l支持多链路动态冗余,流量比率和智能切换l支持基于每条链路限制流量大小l支持多种DNS解析和规划方式,适合各种用户网络环境l支持服务器负载均衡,防火墙负载均衡l业界领先的双机冗余切换机制l对于用户完全透明21
l对所有应用无缝支持l业界优异的硬件平台和性能l稳定,安全的设备运行记录适用环境:多条对等的链路,能出能进。适用于需要双向多链路负载均衡(不需复杂的链路选择-iRules),不需或需要简单BIGIP功能的用户环境。对于既做链路负载均衡,防火墙负载均衡以及服务器负载均衡的用户环境而言,链路负载均衡产品一般选择Linkcontroller,校园网用户例外。BIGIPComboLCModule的特色:l提供Outbound流量的多链路负载均衡l提供Inbound流量的多链路负载均衡(双向)l支持自动检测和屏蔽故障多出口链路l支持多种静态和动态算法智能均衡多个ISP链路的流量l支持特有的链路负载均衡算法(CompletionRate,GlobalAvailability,hops,kilobytes/second,leastconnections,PacketRate,QualityofService,Random,Ratio,RoundRobin,RoundTripTime,StaticPersist,VSCapacity)l支持多链路动态冗余,流量比率和智能切换l支持基于每条链路限制流量大小l支持多种DNS解析和规划方式,适合各种用户网络环境l支持Layer2-7交换和流量管理控制功能l灵活的iRules,可以保证客户对链路选择的复杂要求l完全支持各种应用服务器负载均衡,防火墙负载均衡l多层安全增强防护,抵挡黑客攻击l免费附送100TPS的SSL加速功能l业界领先的双机冗余切换机制l对于用户完全透明l对所有应用无缝支持l业界优异的硬件平台和性能l稳定,安全的设备运行记录适用环境:多条对等的链路,能出能进。适用于需要双向多链路负载均衡,又需要复杂的链路选择(iRules),或者需要全部BIGIP功能(包含SSLProxy,iRules,IPFilter等)的用户环境。下图是一个典型的F5多出口链路负载均衡解决方案的应用案例。图中F5多链路负载均衡设备通过ISP1和ISP2接入Internet。每个ISP都分配给该网络一个IP地址网段,假设ISP1分配的地址段为100.1.1.0/24,ISP2分配的地址段为200.1.1.0/24(此处的200.1.1.0/24表示网络IP地址段为:200.1.1.0,子网掩码为24位,即255.255.255.0)。同样,Internet知道通过ISP1访问100.1.1.0/24,通过ISP2访问200.1.1.0/24。网络中的主机和服务器都属于私有网段192.168.1.0/24。
多链路负载均衡设备解决方案就是在内部交换机和连接ISP的路由器之间,跨接一台多链路负载均衡设备应用交换机,所有的地址翻译和Internet链路优化全部由多链路负载均衡设备来完成。如果网络中有防火墙,可以选择由防火墙来做地址翻译。21
lOutbound流量负载均衡实现原理F5多链路负载均衡设备主要采用以下几种技术来处理Outbound流出流量。DefaultGatewayPool在DefaultGatewayPool中,定义相应的ISP对端路由器地址,作为负载均衡的对象,并且可以捆绑健康检查,负载均衡算法以及会话保持等属性。DefaultGatewayPool中的Nodes定义为多个F5多链路负载均衡设备的缺省路由。IRules对于复杂的链路选择需求,可以使用F5独有的irules来定义。WildcartVirtualServerWildcartVirtualServer-0.0.0.0:0/internal,WildcartVirtualServer是指0.0.0.0这个特殊的虚拟服务器,一般用于捆绑DefaultGatewayPool。SNAT/SNATAutomap对于Outbound流量的地址翻译,F5多链路负载均衡设备使用了称为SNAT的方法。当选定一个路由器(某一个ISP)传送Outbound流量时,多链路负载均衡设备将选择该ISP提供的地址。在上图中,如果多链路负载均衡设备选择ISP1作为Outbound流量的路径,则它将把内部的主机地址192.168.1.A翻译为100.1.1.A,并作为Outbound数据包的源地址。同样,如果多链路负载均衡设备选择ISP2作为Outbound流量的路径,则它将把内部的主机地址192.168.1.A翻译为200.1.1.A,并作为Outbound数据包的源地址。当F5多链路负载均衡设备定义:将内部的主机地址翻译为VlanSelf-IP时,即100.1.1.A=100.1.1.2,200.1.1.A=200.1.1.2时,称为SNATAutomap。lInbound流量负载均衡实现原理F5多链路负载均衡设备主要采用以下几种技术来处理Inbound流入流量。DNS解析器(WideIP)Inbound流量负载均衡的核心技术是DNS解析的问题。外部用户访问在DNS请求时,就通过F5多链路负载均衡设备获知了链路的健康状况和链路优先选择,这样多链路负载均衡设备必须承担部分DNS的功能,以便返回给用户相应的访问IP地址。F5多链路负载均衡设备支持A记录和*记录解析。WideIP可以捆绑各种Inbound负载均衡算法:CompletionRate,GlobalAvailability,hops,kilobytes/second,leastconnections,PacketRate,QualityofService,Random,Ratio,RoundRobin,RoundTripTime,StaticPersist,VSCapacity。VirtualServer/NetworkVirtualServer/TransparentVirtualServer由于所有的F5多链路负载均衡设备可以兼做服务器负载均衡,因此F5返回给用户DNS解析是VirtualServer;对于一些特殊的场合,需要配置一些特殊的VirtualServer,例如:NetworkVirtualServer以及TransparentVirtualServer。ForwardingPool21
有的情况下,既不需要地址翻译,有不需要服务器负载均衡,但是又需要pool的一些特性时(例如:AutoLasthop),必须配置ForwardingPool。Lasthoppool/AutoLasthopF5的Lasthop功能,称为基于连接的路由,用在F5处理数据包回应时,会根据上一跳路由设备的MAC地址,确定返回路径,以便正确返回给最初发起访问数据包的网络设备。NAT对于直接通过IP地址进行访问的Inbound流量,并且内部主机需要Outbound访问,需要配置相应的NAT记录,来保证从多条链路都能访问内部服务器,与VirtualServer加上SNAT功能相当(细节有所不同)。对于Email而言,由于外部Email服务器需要进行地址反向解析,因此使用VirtualServer+SNAT方式。F5技术特色lF5多链路负载均衡设备集多功能为一身(AllInABox)l灵活的产品选择,满足客户的不同需求l详细的链路状态监控和报表l丰富的链路选择算法(静态,动态以及特殊Inbound负载均衡算法)l内置安全防护机制l支持F5独有的iControl技术1.1服务器负载均衡技术应用交换技术的负载均衡算法应用交换技术里主要包括四项关键的技术:l截获和检查流量l服务器监控健康检查l负载均衡算法l会话保持截获和检查流量保证只有合适的数据包才能通过;服务器监控和健康检查随时了解服务器群的可用性状态;负载均衡和应用交换功能通过各种策略导向到合适的服务器;会话的保持以实现与应用系统完美结合;F5在应用交换技术中的优势:A、截获和检查流量BIG-IP有最强的数据包截获和检查引擎去检查任何数据流量包中的任何部分,可以以数据流的方式来对应用进行检测、分析。这使得BIG-IP明显有别于其他的厂商的产品。B、用于定制控制的iRules工具21
可用来定义如何根据报头和/或TCP有效负载信息来引导、保存和过滤流量。iRules增强了企业或服务提供商定根据业务需求定制应用流量的能力。通用检查引擎和iRules分别是应用智能和业务决策来进行应用流量管理的方法和工具。C、服务器监控和健康检查l服务器(Node)-Ping(ICMP)l服务(Port)-Connectl扩展的应用验证(EAV)l扩展的内容验证(ECV)l针对VOD服务器的专用健康检查机制l针对节点的检查频率和超时频度,e.g.10seconds响应,e.g.5secondsD、负载均衡和应用交换功能F5BIGIP提供最优质的负载均衡和应用交换功能l静态算法l动态算法l智能算法lI–controllUIE+IruleslLocalLoadBalancer提供12种负载均衡算法E、持续功能l连续性与负载平衡是相互对立的,但它对于负载平衡又是必不可少的!l简单的连续性—基于源地址lHTTPCookie连续性lSSLSessionID连续性l目的地址的亲合作用--cacheslstandbyBIG-IP实现对连续性记录的镜像l智能与第七层的内容交换组合F5做为应用交换领域的领导厂商,一直保持着技术上的领先地位,F5已经有40多项技术申请了专利,其它的竞争合作伙伴都在购买F5的这些专利技术。接下来我们讨论一下负载均衡算法。负载均衡算法,做为应用交换的四个主要技术之一,它相对其它三个技术来说,更为重要些,在应用交换领域里,主要的技术是负载均衡的算法,完整的、完善的、可控的、灵活的负载均衡算法无疑决定着负载均衡厂商在应用交换领域的地位。负载均衡算法是非常重要的功能指标。一般来说,我们将负载均衡方法归纳为两种类型:静态的负载均衡算法,动态负载均衡算法。本地流量管理技术主要有一下几种负责均衡算法:静态负载均衡算法包括:轮询,比率,优先权动态负载均衡算法包括:最少连接数,最快响应速度,观察方法,预测法,动态性能分配,动态服务器补充,服务质量,服务类型,规则模式。l静态负载均衡算法21
·轮询(RoundRobin):顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7层的故障,BIG-IP就把其从顺序循环队列中拿出,不参加下一次的轮询,直到其恢复正常。ClientsRouterBIG-IPControllerServers客户请求被均匀的分发12345678Internet·比率(Ratio):给每个服务器分配一个加权值为比例,根椐这个比例,把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障,BIG-IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。12345678Internet根据管理员设置的比率客户请求以3:1:1:1的比率分发ClientsRouterBIG-IPControllerServers9101112·优先权(Priority):给所有服务器分组,给每个组定义优先权,BIG-IP用户的请求,分配给优先级最高的服务器组(在同一组内,采用轮询或比率算法,分配用户的请求);当最高优先级中所有服务器出现故障,BIG-IP才将请求送给次优先级的服务器组。这种方式,实际为用户提供一种热备份的方式。21
管理员定义一组优先权高的服务器优先使用直到这组服务器全部出现故障则再换另外一组优先权低的服务器ClientsRouterServers135246InternetPriority1Priority2MinimumActiveMembers=2l动态负载均衡算法·最少的连接方式(LeastConnection):传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7层的故障,BIG-IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。ClientsRouterBIG-IPControllerServers12Internet新的请求将被转发到当前连接数最少的服务器462460455465CurrentConnections21
·最快模式(Fastest):传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7层的故障,BIG-IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。ClientsRouterBIG-IPControllerServers新的请求将被转发到当前响应时间最快的服务器101102Internet14ms15ms20ms11msCurrentResponseTimes·观察模式(Observed):连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7层的故障,BIG-IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。ClientsRouterBIG-IPControllerServers新的请求将被转发到当前连接数和响应时间综合效果最好的服务器12Internet·预测模式(Predictive):BIG-IP利用收集到的服务器当前的性能指标,进行预测分析,选择一台服务器在下一个时间片内,其性能将达到最佳的服务器相应用户的请求。(被BIG-IP进行检测)21
ClientsRouterBIG-IPControllerServers12Internet新的请求将被转发到将来连接数和响应时间综合效果最好的服务器·动态性能分配(DynamicRatio-APM):BIG-IP收集到的应用程序和应用服务器的各项性能参数,动态调整流量分配。·动态服务器补充(DynamicServerAct.):当主服务器群中因故障导致数量减少时,动态地将备份服务器补充至主服务器群。·服务质量(QoS):按不同的优先级对数据流进行分配。·服务类型(ToS):按不同的服务类型(在TypeofField中标识)对数据流进行分配。·规则模式:针对不同的数据流设置导向规则,用户可自行。对应本地的应用交换,可以通过对上述负载均衡算法的理解,结合实际的需求来采用合适的负载均衡算法,常用到的一般是最少连接数、最快反应、或者轮询,决定选用那种算法,主要还是取决于实际的需求。1.1Web应用加速技术1.1.1内存缓存技术通过在F5BIG-IP应用交换机的内存上对服务器上被反复存取的内容作缓存,可以大大减轻服务器上的压力(可以减轻50%以上日服务器性能压力)。F5BIG-IP应用交换机提供了内存缓存的灵活控制能力,可以对指定应用的指定内容在指定条件下进行缓存与刷新。支持静态与动态内容的缓存,对动态页面(例如动态HTML),可以根据预先定义的缓存内容刷新条件对内容进行刷新。而每个应用进行高速缓存可以消耗的内存容量也可以灵活定制。1.1.2智能浏览器行为控制技术21
通过WebAccelerator的智能页面解释引擎,可以通过标准的HTTP协议支持,使客户端无需下载重复的内容。在动态的网页中,将网页的动态与静态部分进行分离。使只有真正动态的内容在网上传输,而静态的内容只需要传输一次之后就从客户端浏览器本地加载。因此,极大地减少了网络的数据传输量,提高了客户端的反应速度。与其他需要在页面中插入代码的加速系统不同,WA不需要在页面中插入任何代码,在绝大多数情况下,不需要修改服务器端的应用而实现了应用的加速。1.1.1HTTP压缩技术WebServerClient1Client2BIG-IPCompressionontheBIG-IP使用工业标准的GZIP和Deflate压缩算法来压缩HTTP流量;降低带宽消耗、缩短最终用户在慢速/低带宽连接条件下的下载时间。广域网访问的网络延时与带宽瓶颈经常给用户的WEB应用的正常访问带来不便,通过在F5BIG-IP应用交换机上启用HTTP压缩功能,可以带来以下好处:更快的页面下载速度,在内容被压缩处理后,自然减小了在广域网络上的传输量,因此,客户端的页面下载速度显著提升。更小的带宽消耗(支持广泛数据类型的压缩:例如HTTP,XML,Javascript,J2EEapplicationsandmanyothers),启用带宽压缩所带来的带宽节省可以达到80%。客户端自适应的压缩处理能力(技术专利):F5BIG-IP应用交换机可以通过探测到客户端的RoundTripTime来识别用户是通过宽带还是窄带方式上网,然后决定是否要对该用户启用HTTP压缩功能。对用户完全透明,不需要在客户端安装程序:F5BIG-IP应用交换机采用的压缩算法是目前常用WEB浏览器广泛支持的GZIP和Deflate算法,因此对用户完全透明,不需要预先安装客户端解压程序。 BytesbeforecompressionBytesaftercompression%bandwidthsavedIIS6.0(StandardWebContent)538,31897,87582Oracle10gPortal OWA2003305,001100,19267SharepointPortalServices2003790,652203,40074SiebelCallCenter7.72,053,366275,34387WeblogicPortalv8.1217,97066,0937021
以下是各种型号BIG-IP应用交换机所能支持的最大压缩处理能力: BIG-IP1500BIG-IP3400BIG-IP6400BIG-IP6800Max.compression100Mbps500Mbps2Gbps2Gbps1.1.1连接优化技术它也可减少一个单一的正常的客户所产生的数十个或者甚至数百个TCPsession,同时在一个单一的seesion中进行Web浏览,这就极大限度地减少了网络流量。在我们的测试中,根据测试的流量类型和客户数,在Web服务器上所产生的改进可达2倍到50倍。21
1.1.1SSL加速当企业的关键应用通过互联网进行部署时,往往需要采SS来提高应用的安全性。而SSL流量的快速增加,往往使服务器的CPU不堪重负。F5BIG-IP应用交换机集成了硬件SSL加速处理能力,使客户能够有效地管理通过SSL提供的企业应用,并进行先进的智能流量管理检查。从而,提供了更强大的性能,并降低了实施安全应用的成本。F5BIG-IP应用交换机对SSL会话第一阶段的非对称加密和第二阶段的对称加密都实现了硬件加速,真正卸载CPU处理SSL加密解密的带来的沉重负担。通过iRule提供的强大编程处理能力,F5BIG-IP应用交换机还可以实现对应用内容有选择性的加密。BIG-IP应用交换机在基本配置中已经包含了100TPS的SSL加速处理能力。通过购买附加的License可以将额外SSL的加速处理能力在BIG-IP应用交换机上激活。 BIG-IP1500BIG-IP3400BIG-IP6400BIG-IP6800Max.SSLTPS2,0008,00015,00020,000Max.SSLBulk500Mbps1Gbps2Gbps2GbpsMax.SSLconc.conn.100,000200,000500,000500,0001.2SSLVPN远程接入技术F5企业的FirePass®控制器通过标准的web浏览器技术可为企业提供对企业应用系统及数据的安全、可靠又直观的远程访问,无需费时费力安装与配置客户端软件,也无需修改服务器端应用。FirePass是首款实现完全跨平台支持的SSLVPN解决方案。可支持Window、Macintosh、PocketPC及Linux客户机上的所有IP应用,增强了客户机及应用对web、电子邮件和文件应用访问的安全性,FirePass可提供业内最流行的安全网络访问解决方案。21
此外,它还独家提供开放的API(应用编程接口)和SDK(软件开发套件),有利于第三方应用厂商无缝的把安全远程访问功能集成到他们的客户端程序。FirePass提供以下几种远程安全访问模式:网络访问模式在网络访问模式下,通常客户端需要通过端点安全检查,如防病毒软件是否安装、是否更新、是否安装或启用防火墙等安全特性。再允许客户端直接接入内网。此时,客户端可以达到的权限和访问模式与在内网连接完全相同。应用通道访问模式在应用通道模式下,客户端仅被允许访问一个单一应用。或在客户端使用单一客户端软件进行访问。这样,限制了客户端的访问范围,并且隐藏了内网资源的IP地址、端口等关键信息。保证系统安全的最大化和应用的方便性。门户访问模式在门户访问模式下,客户端仅被允许以HTTP/HTTPS方式访问内网资源。FirePass作为完全Web代理模式工作。通过FirePass上的安全防护功能,还可以防止内网服务器遭受SQL-inJection、CSS等应用层的入侵攻击手段1.1广域网数据传输加速技术1.2TMOS应用流量管理操作系统及先进的硬件架构设计1.2.1软件架构――革命性的TM/OS体系结构设计BIG-IP的核心是一款创新体系结构,称为TM/OS(流量管理/操作系统),它为企业提供了一套统一系统来帮助其实现最佳应用交付。TM/OS针对BIG-IP上的每项功能都做了改进,在支持BIG-IP智能地适应应用与网络日新月异的需求同时,提供了面向所有服务的完全可见性、灵活性和控制能力。GUI-BasedApplicationProfilesRepeatablePoliciesTM/OSFastApplicationProxyProgrammableApplicationNetworkCompleteVisibilityandControlofApplicationFlowsSecurityOptimisationDeliveryNewServiceUniversalInspectionEngine(UIE)ClientSideServerSideTargetedandAdaptableFunctionsUnifiedApplicationInfrastructureServicesCompressionTCPOffloadingLoadBalancingiRulesProgrammableNetworkLanguage21
BIG-IP的TM/OS采用FullyProxy设计,TM/OS是一个FullProxy的设计。FullProxy的意思是一个四层的Proxy,这样可以对TCP的行为与参数进行优化与控制。TM/OS使BIG-IP能够高效地将客户机与服务器端数据流隔离开来、独立维持每个连接设备的最佳性能,并承担起系统间的通信工作,以改进应用性能。如今,任何与BIG-IP相连的系统或IP应用都将可以更高效地工作。客户端服务器端ClientSideServerSideReceivedRequestSendRequestHTTPTMfilterTMOSTCPproxyTCPTMfilterSSLTMfilterTCPTMfilter模块的、FullProxy的设计还可以为BIG-IP快速提供新的应用的支持带来便利。21
TCPIPv6SSLCom-pressionHTTPRate-Shaping.TCPSpecializedHardware(ASICs,SwitchingFabric,CentralizedCPUs,Redundancy)iRules(ProgrammableApplicationLogic)Client-SideIPTrafficServer-SideIPTrafficSOAP/XMLValidationXMLParserTraffic-ShieldFirePassSIP/RTPModulesRAMCache1.1.1硬件架构――新一代的应用交换机硬件平台10/100/1000M铜缆接口及MiniGBIC插槽;独立的设备管理子系统(LightoutSystem);可以通过机身前面板LCD监控系统运行状态与告警信息;具有单独的双机心跳线;专用的加速芯片(PacketVelocityASIC)PVA2,具有最佳的四层加速性能,支持完全加速、部份加速方式;SCCP:专门的SwitchCard控制处理器;双存贮质介质(CompactDisk&HardDisk)支持多重启动;21