F5產品與應用介紹議程F5產品應用及解決方案應用流量管理（負載均衡）局域網、廣域網及多鏈路流量管理成功案例總結什么是Lay4-7層交換機Lay4-7層交換機別名:負載均衡交換機內容交換機應用交換機主動式流量管理Lay4-7層交換機工作在網絡第4-7層協議上Lay4-7層交換機的作用提高應用系統(tǒng)/服務器的可用性提高應用系統(tǒng)的安全性降低IT系統(tǒng)的管理和升級的成本提高IT系統(tǒng)的效率和容量表示層會話層傳輸層網絡層鏈路層物理層應用層PHYMACIPTCP/UDP/其他FTPSMTP/POP3SIP/H.323SMS/MMSSQLIIOPHTTP/HTTPS……Lay4-7Switch為什么需要Lay4-7層交換機應用系統(tǒng)需要服務過萬的客戶端同時訪問,需要多臺服務器同時工作從Client-Server轉向采用Browser-Server建立應用系統(tǒng)時需要電子商務需要中國的IT大集中時需要稅務大集中,證券大集中,銀行大集中數據中心降低成本,提高效率議程F5產品應用及解決方案應用流量管理（負載均衡）局域網流量管理（服務器負載均衡-Bigip）廣域網流量管理（全局負載均衡-3DS）多鏈路流量管理（鏈路負載均衡-Linkcontroller）成功案例總結本地服務器負載均衡的典型示例InternetVirtualServerServerPoolLTM怎么工作?截取監(jiān)控保持負載均衡截獲和檢查流量,保證只有合適的數據包才能通過服務器監(jiān)控和健康檢查,隨時了解服務器群的可用性狀態(tài)負載均衡,通過各種策略導向到合適的服務器應用轉換與優(yōu)化：SSL加速、壓縮、RamCache、TCP優(yōu)化、帶寬管理、加密……會話的保持以實現與應用系統(tǒng)完美結合轉換與優(yōu)化本地流量管理的要點本地流量管理的方法健康檢查的方法如何保持客戶端和服務器的會話應用轉換與優(yōu)化處理能力速度/性能本地流量管理的要點負載均衡的模式健康檢查的方法如何保持客戶端和服務器的會話應用轉換與優(yōu)化處理能力速度/性能擴展的內容驗證(ECV)“Agent-free”應用檢驗向節(jié)點發(fā)出一個請求,e.g.“Get/”接收數據與期望的字符串比較,e.g.“”SSL方式,e.g.利用口令保護服務器MonitorExample FTPMonitorenabled: monitormy_ftp{ #typeftp interval10 timeout31 dest*:* username"scott"

password"tiger" get"bin/xyz.sh"

mode“passive” }擴展應用校驗(EAV)

“嵌入式個性化”應用檢查通過BIGIP的描述語言和程序執(zhí)行EAV多層步驟復雜的檢查可以檢查SQL數據庫的健康狀態(tài)只受限制于你的想象能力SQLNFSEAVscript1檢查應用服務器的健康狀態(tài)122檢查數據庫的健康狀態(tài)與描述語言一致的用戶界面樣板程序存在于:/usr/local/lib/pingersD:\Work\產品資料\work\pingan\securitypingan\security本地負載均衡的要點負載均衡的模式健康檢查的方法如何保持客戶端和服務器的會話應用轉換與優(yōu)化處理能力速度/性能會話保持的概念將從一個客戶的后續(xù)的連接送到同一臺服務器–與負載均衡的模式相對應123123本地負載均衡的要點負載均衡的模式健康檢查的方法如何保持客戶端和服務器的會話應用轉換與優(yōu)化處理能力速度/性能L2PayloadL3L4L7HeaderTMDecision1stConnection簡單決策Continuingpackets

FullPayloadReturningPacketsI.e.PersistenceviaOutboundData(Weblogic&URLrewrite)LTM—FullProxyBasedBigip可以對連接中任何任何位置的進行應用轉換處理，例如：SSL加速、壓縮、RAMCache、連接優(yōu)化、加密復雜的決策有選擇地進行轉換有選擇地進行轉換有選擇地進行轉換ContinuingConnections復雜決策有選擇地進行轉換Continuingpackets轉換與優(yōu)化—動態(tài)智能HTTP壓縮與客戶端自適應的壓縮

基于TCP延遲–觀察客戶端RTT基于低帶寬客戶端連接

選擇性壓縮基于URI：URI/內容過濾–允許/拒絕表

基于MIME類型：對設定文件類型壓縮iRules：微軟某一版本的IE壓縮有問題可調節(jié)資源分配解決方案

分配更多的內存和CPU時間給高優(yōu)先級作業(yè)Client2Client1Client3CompressSpecifiedContentforUserswithTCPRTT>4MS=Client2and3RTT2msRTT4msRTT5msCompany(homepage)BytesSavedwithCompressionPercentageSavedwithCompressionTransferSpeedImprovementOracle71,89573%3.7xE*trade46,77270%3.3xLubrizol86,73266%2.9xXerox73,04464%2.8xHiltonHotels102,48755%2.2xNorthWesternMutual55,54153%2.1xBestBuy127,29951%2.1xBedBathandBeyond114,85451%2.1xInsightEnterprise53,77750%2.0xProgressive47,70152%2.1x大多公司的典型WEB內容使用壓縮后都可以節(jié)約一半的帶寬和加快一倍的速度轉換與優(yōu)化--HTTP壓縮處理OneConnect?–連接池增加服務器能力30%集合客戶端大量數據請求到較少的服務器端鏈接轉換客戶端HTTP1.0的請求到1.1,提高服務器連接能力保持智能負載均衡到指定的內容服務器GoodSources:/home/bigip/solutions/traffic/sol1548.html/solutions/archives/whitepapers/httpbigip.html

OneConnect?轉換與優(yōu)化--RamCache

通過在F5BIG-IP應用交換機的內存上對服務器上被反復存取的內容作緩存，可以大大減輕服務器上的壓力(可以減輕50%以上日服務器性能壓力)。F5BIG-IP應用交換機提供了內存緩存的靈活控制能力，可以對指定應用的指定內容在指定條件下進行緩存與刷新。支持靜態(tài)與動態(tài)內容的緩存，對動態(tài)頁面(例如動態(tài)HTML)，可以根據預先定義的緩存內容刷新條件對內容進行刷新。每個應用進行高速緩存可以消耗的內存容量也可以靈活定制。支持復雜的帶寬控制靈活設定帶寬限制支持確保帶寬與最大帶寬允許空閑帶寬自動分配

支持多種隊列處理方式(stochasticfairqueue,FIFOToSpriorityqueue)精細的2到7層流量控制

利用iRule可以根據應用內的信息設定相應的帶寬控制級別雙向帶寬控制ControlthroughputinanydirectionCeilingRateBaseRateClass

BurstWANPoolofServersNetworkSegments轉換與優(yōu)化--應用帶寬管理確保高優(yōu)先級應用的性能KaZaa&EmailVideoConferancingOracleHTTPTraffic4x3x2x1xClient帶寬管理+iRules -帶寬管理可區(qū)分出P2P和其它較高優(yōu)先級的應用，確保高優(yōu)先級的應用有足夠的帶寬包過濾–允許對基于協議,地址和端口的P2P站點進行選擇性過濾AES加密－采用最安全的密碼套件客戶Cookie加密移去與ApacheV2.0.49

有關的信息rulewhenHTTP_RESPONSE{

#

#Removeallbutthegivenheaders.

#HTTP::headersanitize“ETag”“Connection”“Content-TYPE”}未授權客戶加強的客戶認證機制－集中認證資源的有效屏蔽－移去敏感數據Cookie加密－有選擇性的加密令牌rulewhenHTTP_REQUEST{

#

#Decryptthecookieonitswaytotheserver.

#

HTTP::cookiedecrypt“cookie_name”“password-key”}

rulewhenHTTP_RESPONSE{

#

#Encryptthecookieonitswaytotheclient.

#

HTTP::cookieencrypt“cookie_name”“password-key”}轉換與優(yōu)化—選擇性加密或內容隱藏F5解決方案:轉換與優(yōu)化—應用響應錯誤的再處理故障發(fā)生在第2分鐘ServerErrors404TM/OS及應用響應錯誤的再處理

－雙向流量管理機制實現服務器端的事件處理，

可依據出錯狀態(tài)編程定制相關動作iRules對

返回的404信息進行再處理－重新綁定到其它節(jié)點或重定向到可用的另一站點iRules/Transformation

－根據用戶900信息,提供客戶化內容信息–如“TransactionAlreadyProcessed…”5個月

收回成本轉換與優(yōu)化—抵抗synflood攻擊SynAck+1SynAckSynAck+1SynAck+1本地負載均衡的要點負載均衡的模式健康檢查的方法如何保持客戶端和服務器的會話應用轉換與優(yōu)化處理能力速度/性能/高可靠性Lay4-7交換機的性能指標Session/Second:每秒處理的會話數量,有Lay4和Lay7的區(qū)別最大并發(fā)連接數:最多能夠保持的連接數量,即最多能夠保持多少個并發(fā)的會話連接Throughput:吞吐率(bps)SSL加速處理能力壓縮處理能力議程F5產品應用及解決方案應用流量管理（負載均衡）

局域網流量管理（服務器負載均衡-Bigip）

廣域網流量管理（全局負載均衡-3DS）多鏈路流量管理（鏈路負載均衡-Linkcontroller）成功案例總結廣州數據中心上海數據中心User查詢LocalDNSGTM--廣域網流量管理方案BIG-IPServerfarmWebmaster北京數據中心RouterBIG-IPInternetInternet3-DNS歐洲用戶美洲用戶3-DNS德國DataCenter美國DataCenter=集成的性能結構商業(yè)標準控制全球用戶訪問在多個數據中心之間的流量分配廣域網流量優(yōu)化－－就近訪問亞洲用戶新加坡DataCenter用戶就近性靜態(tài)配置GSLB產品在添加多條規(guī)則后的性能下降壓力測試的試驗表明,在300條規(guī)則和3000條規(guī)則的不同情況下,每秒解析的次數的性能下降有10倍以上,

將多個ip網段規(guī)定成userdefineregions,然后的規(guī)則不是針對ip網段,而是針對不同的regions,在實際使用中針對3000條規(guī)則的性能上升可以達到15~20倍左右.

topology{//4Items//serverldnsscoredc."CNC"/16100dc."TEL"/16100dc."CNC"/16100}電信側服務器ClientLocalDNS“”16427358網通側服務器電信側DNS服務器09RootnameServer2NS=7=777777網通側DNS服務器25RTT=300msRTT=100ms00RTT=300msRTT=150ms網絡就近性動態(tài)探測網絡就近性動態(tài)探測GTM支持的負載均衡算法循環(huán)全球可用性LDNS持續(xù)性應用可用性地理分布虛擬服務器容量最少連接Pkt/sec（數據包/每秒）KB/sec（千字節(jié)/每秒）往返時間中繼段（hop）數據包完整率用戶定義服務質量（QoS）動態(tài)比率LDNS循環(huán)比率隨機服務器可用性檢查ApplicationDeviceFTP…HTTP…DB.DHTTPS…SiebelAppOracleDB內容/文件檢查

DataCenterIntranetApp:Siebelin紐約

HTTPServer DBServer SiebelApp OracleDB Siebelcontent verification可用性解決方案:

web服務穿過特定區(qū)域、設備，使應用得到一個統(tǒng)一服務檢測的批量可用性好處: 可探測到任意標準的web服務套件的失敗網通PrimaryDNS應用服務器

網通用戶聯通用戶3dns-網通25SecondaryDNS鏈路控制器RouterTo聯通網通LocalDNS聯通LocalDNS3dns-聯通00電信電信用戶電信LocalDNS聯通3dns-電信00鏈路控制器GTM在解決南北電信互訪問題中的應用南北電信互訪問題測試項目網通北京ADSL用戶訪問12月2日凌晨1時廣東電信用戶訪問，寬帶用戶，帶寬未知，12月2日16:30網通北京ADSL用戶訪問，12月2日16:00上海ADSL寬帶用戶訪問，12月2日20:00DNSResult202.xxx.xxx.209219.xxx.xxx.11202.xxx.xxx.209219.xxx.xxx.11網通電信網通電信網通電信網通電信Numberofhits:726947652471935RequestsperSecond71.270.870.780.320.58SocketConnects737057753482036TotalBytesSent(inKB)14.1913.470.9614.9613.6112.233.877.03BytesSentRate(inKB/s)00.060.12TotalBytesRecv(inKB)4148.244001.90256.584388.543019.942703.2621.7339.83BytesRecvRate(inKB/s)69.1266.684.2873.1250.3245.050.360.66網通電信電信線路接入路由器網通線路接入路由器Internet->00->7700LocalDNS77LocalDNS->00->77GTM的多ISP出口鏈路時的應用網通電信電信線路接入路由器網通線路接入路由器Internet00770000LocalDNSGTM的多ISP出口鏈路時的應用解決方案:

企業(yè)

DNS能力,性能和易管理好處:

-每秒35,000個請求-支持超過250,000個探測路徑-可擴展的同步配置-簡單易用的DNS網管GTM解決方案：性能商業(yè)標準CDNPeering多個CDN間的協同工作通過netIana國際組織的統(tǒng)計,f5networks定期購買更新的國家ip地址分布內容,通過版本升級更新客戶的系統(tǒng),可以實現98%的國家級定位,和99.5%的美國各洲定位;也可以通過手工規(guī)定某些特別地區(qū)的ip網段集合,然后定位該地區(qū)的CDN運營商.解決方案:

支持全面的廣域LB應用好處:WAN持續(xù)性 提供多站點應用連續(xù)性Robust持續(xù)性同步 無論用戶在何地接入，對多種設備保證用戶正確的路徑HA對所有資源 連接一個應用的所有相關聯系統(tǒng)ECV(ExtendedContentVerification)

通過檢查內容串的可用性來校驗應用是否健康IControl

擴展API允許客戶的應用通知健康和可管理流量的GTMGTM解決方案：其它特色商業(yè)標準成功案例之一-ChinaCacheChinaCache中國最大的CDN服務提供商Solutionrequirement:Nodedeployment:30-50inChinaCapacityofeachnode:40-1000MBImplementation:DeployBIGIP,3DNS,F5totalCDNsolutionBIG/IPLBforCache3DNSforWANLBSee-ITformanagement

成功案例-TOM.COMCDNSite沈陽Site西安Site成都Site長沙Site廣州Site杭州Site北京Site教育網Site中國移動100MFE1000MGESwitchRouterF53DNSF5bigip2400Netapp6200Netapp210021cnGSLB解決方案SEE-ITWEB/StreamingServer3DNS3DNSBigIP2400CoreSwitch21cn廣州機房GBFECacheServerWEB/StreamingServerBigIP5000BigIP500021cn上海節(jié)點CoreSwitchInternetWEB/StreamingServerBigIP2400CoreSwitch21cn河北節(jié)點議程F5產品應用及解決方案應用流量管理（負載均衡）

局域網流量管理（服務器負載均衡-Bigip）廣域網流量管理（全局負載均衡-3DS）

多鏈路流量管理（鏈路負載均衡-Linkcontroller）成功案例總結什么是鏈路/ISP負載平衡?為流量通過多互聯網連接，智能地選擇鏈路鏈路的高可用性鏈路的性能和價格等因素實時管理雙向信息流對外訪問Outbound對內訪問Inbound獨特的Inbound負載均衡算法，實現ISP互聯互通的問題！監(jiān)控和管理問題的提出：ISPALANRouterAISPBInternetRouterB(LinkControl)(AnyBIG-IP)InternetServers()InternetClients(e.g.homeuser)ManagedClients(e.g.corpuser)ManagedServers()???通路可靠效率連接的高可用性為流量通過多互聯網連接，智能地選擇鏈路鏈路故障時的快速切換流量優(yōu)化實時管理雙向信息流Inbound:來自互聯網的訪問請求，進入到企業(yè)內部的服務器Outbound:用戶或服務器向外到互聯網的訪問中國南北電信鏈路質量對比傳統(tǒng)的鏈路冗余方案通過設定多個缺省網關實現多出口功能可以做到一定程度的鏈路備份當首選網關故障后，由路由器自動起用第二條缺省路由無法實線對鏈路狀況的完整檢查無法實現流量在鏈路之間的優(yōu)化分配路由器通過默認網關及靜態(tài)路由的方式可以實現流量分流，但不能實現自動切換不能探測最優(yōu)鏈路，對于用戶指定目的地址以外的流量，不能自動選擇最優(yōu)鏈路。通過BGP實現多出口功能部署復雜并且昂貴需要管理專家需要昂貴的高端路由器對性能影響大，并且造成延遲ISPs們必須合作–manywillnot…當故障發(fā)生時，擁有和控制成為大問題必須獲得ASN(AutonomousSystemNumber)為大ISPs預留在很多地方無法獲得(Asia,Australia,Europe)需進30分鐘整合到表中由外到內的流量？？？業(yè)界領先解決方案F5LinkController多鏈路負載均衡解決方案廣域網鏈路的負載均衡和高可用性實現鏈路的故障自動切換與流量優(yōu)化可實時監(jiān)控連線的可用性和性能基于DNS的向內流量負載平衡可擴展支持服務器負載均衡與防火墻負載均衡高可用性、安全性解決方案，實時鏈路監(jiān)視:確?？煽康幕ヂ摼W連接

實時健康監(jiān)測路由可用性及鏈路帶寬全路徑檢查確保整個連接的可用性透明Ping到目標設備透明路由流量繞過故障的鏈路提供者，鏈路及路由器等InternetISPALANRoutersISPBTarget由內到外的訪問（Outbound)ISPALANRouterAISPBInternetInternetServer(e.g.)RouterBManagedClient(e.g.corporatedesktop)2a2c2b2a2bOutbound訪問過程ISPALANRouterAISPBInternetInternetServer(e.g.)BIG-IPLinkControllerRouterBManagedClient(e.g.corporatedesktop)2a2c2b(LinkControl)2a2b1、LinkController與ISP相連的VLAN分配公網IP地址；2、LinkController內網VLAN采用保留IP地址3、LinkController作為內網出口網關4、在LinkController上設定負載均衡算法，由LinkController將Outbound流量在鏈路之間分配5、在LinkController上實現網絡地址轉換（SNAT

Automap)，將內網IP翻譯成公網IP6、由于Outbound流量離開LinkController時已經轉換成對應ISP的公網IP，服務器回應的網絡流量也將由原路返回Outbound支持的負載均衡算法平均(RoundRobin)比率(ratio)最小連接數(LeastConnections)優(yōu)先級(Priority)觀測法(Observed)預測法(Predicted)最快鏈路（Fastest）動態(tài)比率法(DynamicRatio)商業(yè)智能可定制的流量管理帶寬鏈路成本性能源、目的和應用控制流媒體應用分配到最佳線路的鏈路上企業(yè)FTP流量除非故障，全部導向連接CInternetISPARoutersISPBISPC100%98%FTPTrafficCompletionRate

由外到內的訪問（Inbound)InternetISPALANRouterAISPBInternetClient(e.g.homeuser)RouterBVSAVSB1a1b1cInternetInbound訪問過程ISPALANRouterAISPBInternetClient(e.g.homeuser)BIG-IPLinkControllerRouterBVSAVSB1a1b1c(LinkControl)1、在LinkController的每一個與ISP相連的VLAN建立一個VirtualServer對應內網的服務器。例如WWW服務器在ISPA有地址IP1，在ISPB有地址IP2；2、F5設備作為入網負載均衡服務器的名字服務器，提供域名解析；3、LinkController根據負載均衡策略實現對內部服務器的訪問的解析，即決定選擇地址IP1還是地址IP2；4、緩存TTL設置可根據實現情況進行調整，默認為30秒鐘；5、用戶得到域名解析結果后，直接通過訪問虛擬IP，實現對具體服務器的訪問。AuthoritativenameserverN如何使DNS由LinkController進行解析requestinghostrootnameserver123476LinkController58localnameserverDwww86400INCNAMEwww.lclc86400INNSns1.lc86400INNSns2.lc@86400INNS.Ns1.lc86400INA22Ns2.lc86400INA26Inbound支持的負載均衡算法完成率（CompletionRate）優(yōu)先級（GlobalAvailability）跳數（Hops）速率（Kilobytes/Second）最小連接數（LeastConnections）包轉發(fā)率（PacketRate）

綜合服務質量（QualityofService）隨機（Random）比率（Ratio）輪流（RoundRobin）反應速度（RoundTripTime）靜態(tài)持續(xù)一致性（StaticPersist）虛擬服務器的負荷（VSCapacity）

服務器負載均衡123123

最多的負載均衡模式(12種)其中觀察模式,預測模式是F5的專利會話保持技術最多(8種)其中Cookie會話保持技術向所有的競爭對手收取專利費服務器健康檢查最徹底專有的EAV、ECV健康檢查模式性能最好,速度最快:125000S/SLay4;19000S/SLay7;1.8Gbps;會話保持數量第一達到:400萬支持最多的VIP:4萬個唯一交換機廠商有開放的APIBIG-IP

applicationswitchcomboLinkController防火墻負載均衡

InternetISPARouterAISPBRouterBIntranet防火墻三明治，利用Bigip的LastHop特性，解決了防火墻要求數據必須同進同出，否則數據將被拒絕的問題提供多臺防火墻的負載均衡能力提供在線維護防火墻的方法解決了單臺防火墻的處理能力瓶頸問題提供了系統(tǒng)的擴展能力BIG-IP

applicationswitchcomboLinkControllerBIG-IP

applicationswitchWEB1WEB2Switch客戶端服務器cInternetISPAISPBSwitch全冗余支持、完全消除單點故障LinkController實現了最為快速的故障切換－－200ms完成切換MTBFforaredundantpair應用3–完全的鏈路負載平衡LLBISPALANRouterAISPBInternetInternetServer(e.g.)BIG-IPLinkControllerRouterBManagedClient(e.g.corporatedesktop)InternetClient(e.g.homeuser)1a1b1c(LinkControl)鏈路負載均衡防火墻負載均衡FirewallLBandOutboundLCServerLBandInboundLC必須滿足應用1&2需求2a2c2b2a2b(AnyBIG-IP)安全性：F5的動態(tài)攻擊防御系統(tǒng)提高自身的高可用性PortLockDown抗DOS攻擊