F5LinkController

多鏈路接入處理方案

北京華勝天成科技股份有限企業(yè)

服務交付中心

目錄

1.問題的提出...................................

1.1鏈路單點故障.............................

1.2Internet顧客訪問快慢差異..................

2.F5提供的最佳處理方案.........................

2.1使用F5企業(yè)的LinkControl多鏈路設計構(gòu)造圖

2.2網(wǎng)絡出口構(gòu)造提議.........................

2.3技術實現(xiàn)原理.............................

2.4技術實現(xiàn)原理講解.........................

鏈路的健康檢查..........................

根據(jù)鏈路健康狀態(tài)和流量來均衡處理DNS解析

系統(tǒng)切換時間.............................

2.4.4LinkController替代既有日勺DNS服務器.....

注冊多一種NS記錄.......................

服務器負載均衡...........................

訂購信息....

最低系統(tǒng)規(guī)定:

物理規(guī)范....

1.問題的提出

一般顧客系統(tǒng)構(gòu)造設計圖如下:

WEB/APP/DB月艮務器

1.1鏈路單點故障

在系統(tǒng)原有系統(tǒng)構(gòu)造中，采用單條鏈路接入，一種或多種DNS服務器，這些服務器對于

同一種域名均解析為同一種地址。

在該種網(wǎng)絡構(gòu)造之中，無論主機系統(tǒng)、網(wǎng)絡系統(tǒng)口勺規(guī)劃有多么完美，完全歐I排除了應用

瓶頸和單點故障，都還存在一種非常明顯的單點故障，就是國際網(wǎng)絡接入部分的方案不夠完

整，一旦國際網(wǎng)絡接入部分出現(xiàn)中斷就直接意味著所有應用的中斷。

1.2Internet顧客訪問快慢差異

伴隨國內(nèi)最大的JInternet接入提供商Chinanet被拆分為北方ChinaNetcom和南方

ChinaTelecom之后，兩方資源的互訪受到了很大程度的影響。其出現(xiàn)的主線原由于南北網(wǎng)

絡的互通互聯(lián)接點擁塞，導致顧客丟包、延遲較大，從而導致訪問緩慢，甚至對于某些應用

主線無法訪問。

如下是一張在真實環(huán)境下的實測數(shù)據(jù)表:

測試項目網(wǎng)通北京ADSL顧廣東電信顧客訪網(wǎng)通北京ADSL上海ADSL寬

客訪問問，寬帶顧客顧客訪問帶顧客訪問

DNSResult202.xxx.xxx.209219.xxx.xxx.11202.XXX.XXX.2092l9.xxx.xxx.11

網(wǎng)通電信網(wǎng)通電信網(wǎng)通電信網(wǎng)通電信

Numberofhits:726947652471935

RequestsperSecond1.201.150.071.270.870.780.320.58

SocketConnects737057753482036

TotalBytesSent(in14.1913.470.9614.9613.6112.233.877.03

KB)

BytesSentRate(in0.240.220.020.250.230.200.060.12

KB/s)

TotalBytesReev(in4148.244001.90256.584388.543019.942703.2621.7339.83

KB)

BytesReevRate(in69.1266.684.2873.1250.3245.050.360.66

KB/s)

表中可以看出，對于同一種站點，一種顧客分別從兩條線路進行訪問，得出的訪問速度

差異是非常大FI勺。最大的差值在廣東電信分別訪問站點的兩條線路，其速度差異靠近2。倍。

有效處理鏈路單點故障及為南北不一樣顧客提供相似服務質(zhì)量口勺需求與口俱增。

對于一種運行關鍵業(yè)務的網(wǎng)站來說，為顧客供24*7不間段口勺業(yè)務，并保持顧客的訪問

速度和訪問的成功率非常重要。

2.F5提供的最佳處理方案

2.1使用F5企業(yè)的LinkControl多鏈路設計構(gòu)造圖:

2.2網(wǎng)絡出口構(gòu)造提議

我們提議采用一對F5Linkcontroller設備接在兩個出口鏈路處，實現(xiàn)山內(nèi)向外和山

外向內(nèi)日勺出入站流量負載均衡。由外向內(nèi)的inbound訪問的智能性,通過Linkcontroller

提供的智能DNS解析功能，實現(xiàn)對兩條鏈路的負載均衡。Linkcontroller可以通過實時監(jiān)

控兩條鏈路的負教狀況及其健康狀況，也可以根據(jù)目前鏈路II勺負載狀況，顧客所處的位置

ip地址或顧客日勺特殊規(guī)定進行對應域名解析，指導顧客從最快的N最佳的、近來的I途徑訪

問到企業(yè)的站點。這里我們提議采用靜態(tài)負載（Topology）和動態(tài)負載（RTT）相結(jié)合日勺方

式，使得方案更能滿足客戶是實際需求，當顧客是來自國內(nèi)的顧客，在F5設備的Class中

能查到它是來自哪家運行商日勺地址，這時F5口勺設備將采用靜態(tài)H勺算法給顧客端一條最快的

鏈路，假如顧客不是來自國內(nèi)，是來自國外的顧客，F(xiàn)5設備將采用動態(tài)算法（RTT）,去

探測顧客的LDNS,然后算出來一種最佳途徑并提供應顧客，這樣從顧客端，不管是來自

國內(nèi)還是來自國外的顧客都能得到一條最佳的途徑來訪問顧客企業(yè)網(wǎng)站。

顧客在進行由內(nèi)向外的outbound訪問時，由F5Linkcontroller提供智能的鏈路選擇，

實現(xiàn)對兩條鏈路的負載均衡。F5LC可以通過實時監(jiān)控兩條鏈路H勺負載狀況及其健康狀況來

保證鏈路日勺高可用性，同步可以根據(jù)目前鏈路H勺負載狀況，顧客想要訪問的IP地址等信息

進行鏈路選擇，指導顧客從最快日勺、最佳日勺、近來的途徑訪問INTERNET,此外考慮到帶寬

等，我們可以在F5LC上通過添加方略來實現(xiàn)指定顧客走指定鏈路，只有當此鏈路出問題時

會自動切換到其他好的鏈路1.0

方案特點：

1、從整體構(gòu)造上來看，對入站鏈路選擇進行了優(yōu)化，處理了服務

器互訪慢時問題，使得web服務提高了響應速度，由于鏈路的優(yōu)化從而改

善了這些服務的的響應速度，國內(nèi)顧客和國外顧客通過F5設備的均衡最終

能得到一種相對最佳日勺鏈路，保證了內(nèi)部服務從外網(wǎng)訪問能通過一條最快的

鏈路，大大提高了網(wǎng)絡響應速度

2、采用F5的LC,同步也處理了出站時日勺鏈路優(yōu)化和當其中某個鏈

路中斷時，自動切換到其他口勺鏈路上去的功能，此外在BIGIP上設置不一

樣網(wǎng)段的鏈路選擇，如：可以將一段地址網(wǎng)絡只走某一條鏈路，其他的

地址走此外的鏈路，當此鏈路中斷時，BIGIP把所有流量切換到好的鏈路

上。

3、此外F5LC還同步具有服務器負載均衡的能力，可以處理企業(yè)

原有的服務器性能局限性打勺問題。

2.3技術實現(xiàn)原理

出站連接

為了向企業(yè)顧客訪問互聯(lián)網(wǎng)資源時提供高可性，LC使用defaultgatewaypooI和SNAT

(安全網(wǎng)絡地址轉(zhuǎn)換)將流量動態(tài)導向最佳鏈路。Defaultgatewaypool包括了多種網(wǎng)關，

F5LC將根據(jù)負載均衡算法選擇一種最優(yōu)網(wǎng)關，將目前數(shù)據(jù)發(fā)送到該網(wǎng)關，從而發(fā)送到對應

ISP。SNAT提供了一種安全機制，可將不能路由內(nèi)部地圮轉(zhuǎn)換為可路由的地址，并將流量導

向合適II勺上游網(wǎng)關路由器，運用LC的智能流量管理功能，可替代防火墻的NAT功能，并保

證流量可以通過與WAN或互聯(lián)網(wǎng)H勺最住連接來回發(fā)送。此外LC可以運用rules功能實現(xiàn)類

似方略路由H勺功能，LC可以根據(jù)數(shù)據(jù)源地址或目的地址來選擇途徑，從而實現(xiàn)outbound流

量的最優(yōu)鏈路選擇，防止針對某些鏈路的站點收費問題。

入站連接

為了保證顧客可以在24*7并且提高顧客的訪問速度，LC可以通過智能DNS解析功能，

動態(tài)選擇最佳鏈路，將外部顧客導向駐留在站點中日勺費源。

LC上可以配置多種VLAN,分別綁定多種ISP服務商的公網(wǎng)地址,解析來自互聯(lián)網(wǎng)顧客

的地址解析祈求。后臺服務器則由LC做成集群和虛擬化成針對ISPA的虛擬服務器Virtual

Server1和ISPB的J虛擬服務器VirtualServer2,這樣對于每個顧客到來的祈求，LC

都會分別檢測后臺服務器」勺狀態(tài)并選擇最佳U勺鏈路提供服務，到達顧客"勺就近性訪問及服務

器的負載均衡。LC在回應客戶的DNS解析祈求時，可以采用15種動態(tài)或者靜態(tài)H勺決策措施

中的任何一種措施并檢測鏈路H勺實際狀態(tài)將復合客戶規(guī)定H勺最佳狀態(tài)H勺鏈路H勺服務器公網(wǎng)

地址返回給客戶端，從而到達多鏈路動態(tài)負載均衡II勺效果。

2.4技術實現(xiàn)原理講解

2.4.1鏈路的健康檢查

怎樣有效地確定鏈路以及提供對外服務的服務器、應用、內(nèi)容的狀態(tài)，是提高系統(tǒng)可靠

多種服務器狀態(tài)監(jiān)測手段

?服務器(Node)-Ping(ICMP)

,服務(Port)Connect

?擴展H勺應用驗證(EAV)

?擴展的內(nèi)容驗證(ECV)?頻度,

性的關鍵。BIGIPlinkcontroller運用其獨到的、高效的“健康檢測”手段,識別服務器、

應用、內(nèi)容的狀態(tài)。它們包括L2~L3的icmp檢查，L4Wtcp/udpport檢查，L7的ECV檢

查和顧客可以任意定制W、JEAV檢查等多種措施。

擴展內(nèi)容查證(ECV:ExtendedContentVerification)

ECV是一種非常復雜的服務檢查，重要用于確認應用程序能否對祈求返回對應口勺數(shù)據(jù)。

假如一種應用對該服務檢查作出響應并返回對應的數(shù)據(jù)，則B1G1P控制器將該服務器標識為

工作良好。假如服務器不能返回對應H勺數(shù)據(jù)，則將該服務器標識為宕機。宕機一旦修復,EIGIP

就會自動查證應用已能對客戶祈求作出對的響應并恢復向該服務器傳送。該功能使BIGIP

可以將保護延伸到后端應用如Web內(nèi)容及數(shù)據(jù)庫。BIGIPU勺ECV功能容許您向Web服務器、

防火墻、緩存服務器、代理服務器和其他透明設備發(fā)送查詢，然后檢查返回的響應。這將行

助于確認您為客戶提供的內(nèi)容正是其所需要的。

2.4.2根據(jù)鏈路健康狀態(tài)和流量來均衡處理DNS解析

在確定了ISP接入鏈路H勺連通狀態(tài)后，linkcontroller可以根據(jù)ISP鏈路H勺實際流量，

鏈路品質(zhì)等原因來進行智能的DNS解析處理，假如出現(xiàn)某ISP鏈路中斷的狀況，在碓認后

及時的變化DNS解析的內(nèi)容，將中斷鏈路的)IP地址從DNS解析列表中刪除，保證解析出

的地址都一定是可以訪問得到的可用地址。

2.4.3系統(tǒng)切換時間

在采用DNS實現(xiàn)鏈路切換時，系統(tǒng)的切換時間重要取決于每個域名口勺TTL時間設置。在

LinkControl系統(tǒng)里，每個域名如5均可設置對應的TTL生存時間。在顧客口勺LocalDNS

得到域名解析紀錄后，將在當?shù)卦赥TL設定期間內(nèi)將該域名解析對應紀錄進行Cache,在

Cache期間所有到該LocalDNS上進行域名解析口勺顧客均將獲得該紀錄。在TTL時間timeout

之后，假如有顧客到LocalDNS上祈求解析，則此LocalDNS將重新發(fā)起一次祈求到

LinkController上獲得對應紀錄。

因此，當單條線路出現(xiàn)故障時，LinkConlroller將在系統(tǒng)定義的檢查間隔(該時間可

自行定義)內(nèi)檢查到線路的故障，并只解析正常的線路側(cè)地址。但此時在LocalDNS上也許

尚有未過時的Cache紀錄。在TTL時間timeout之后，該LocalDNS重新發(fā)起祈求的時候就

將從LinkConlroller上獲得對的的解析，從而引導顧客通過正常的線路進行訪問。系統(tǒng)檢

測間隔加上TTL時間之和則為系統(tǒng)切換的I最長時間。一般，系統(tǒng)檢測間隔設置為60秒，而

TTL時間設置為600秒，因此系統(tǒng)切換H勺整體時間為11分鐘。

2.4.4LinkController替代既有的DNS服務器

LinkControllcr在實現(xiàn)雙鏈路時的Inbound流量時，規(guī)定將DNS口勺最終解析權(quán)交由

UnkControllerp完畢，提議將站點時所有域名解析均放置到LinkController上進行解析,

長處是可以充足運用LinkController的動態(tài)顧客引導和強大H勺圖形化管理界面。

2.4.5注冊多一種NS記錄

LinkController取代目前DNS服務器后，需在上一級DNS服務器中添加一種新的NS記

錄，即指向新增長鏈路中的LinkController的IP地址。這樣，對應一種域名，將產(chǎn)生兩個

不一樣ISP的NS記錄。

2.4.6服務器負載均衡

LinkController在實現(xiàn)鏈路負載均衡H勺同步，企業(yè)可以免費得到該款產(chǎn)品提供的服務

器負載均衡功能，為服務器提供高可用性及高性能的保證。

LinkControl提供11種靈活的算法將數(shù)據(jù)流有效地轉(zhuǎn)發(fā)到它所連接的J服務器群。而面

對顧客，只是一臺虛擬服務器。顧客此時只須記住一臺服務器，即虛擬服務器。但他們口勺數(shù)

據(jù)流卻被BIGIP靈活地均衡到所有的服務器。這11種算法包括：

?輪詢(RoundRobin)：次序循環(huán)將祈求一次次序循環(huán)地連接每個服務器。

當其中某個服務器發(fā)生第二到第7層U勺故障，BIGIP就把其從次序循環(huán)隊列中拿

出，不參與卜一一次的輪詢，直到具恢復正常。

?比率(Ratio)：給每個服務器分派一種加權(quán)值為比例，根據(jù)這個比例，

把顧客的祈求分派到每個服務器。當其中某個服務器發(fā)生第二到第7層的故障，

BIGIP就把其從服務器隊列中拿出，不參與下一次的顧客祈求的分派，直到其恢

復正常。

?優(yōu)先權(quán)(Priority)：給所有服務器分組，給每個組定義優(yōu)先權(quán)，BIGIP

顧客的祈求，分派給優(yōu)先級最高H勺服務器組(在同一組內(nèi)，采用輪詢或比率算法,

分派顧客的祈求)；當最高優(yōu)先級中所有服務器出現(xiàn)故障，BIGIP才將祈求送給次

優(yōu)先級H勺服務器組。這種方式，實際為顧客提供一種熱備份的方式。

?至少口勺連接方式(LeastConnection)：傳遞新日勺連接給那些進行至少連

接處理日勺服務器。當其中某個服務器發(fā)生第二到第7層日勺故障，BIGIP就把其從

服務器隊列中拿出，不參與下一次的顧客祈求H勺分派，直到其恢復正常。

?最快模式(Fastest)：傳遞連接給那些響應最快的服務器。當其中某個

服務器發(fā)生第二到第7層的故障，BIGIP就把其從服務器隊列中拿出，不參與下

一次的顧客祈求的分派，直到其恢復正常。

?觀測模式(Observed)：連接數(shù)目和響應時間以這兩項的J最佳平衡為根據(jù)

為新的祈求選擇服務器。當其中某個服務器發(fā)生第二到第7層的故障，BIGIP就

把其從服務器隊列中拿出，不參與下一次的顧客祈求歐J分派，直到其恢復正常。

?預測模式(Predictive)：BIGIP運用搜集到的服務器目前的性能指標,

進行預測分析，選擇一臺服務器在下一種時間片內(nèi)，其性能將到達最佳的服務器

對應顧客口勺祈求。(被BIGIP進行檢測)

?動態(tài)性能分派(DynamicRatio-APM):BIGIP搜集到"勺應用程序和應用服

務器口勺各項性能參數(shù)，動態(tài)調(diào)整流量分派。

?動態(tài)服務器補充(DynamicServerAcl.):當主服務器群中因故障導致數(shù)

量減少時，動態(tài)地將備份服務器補充至主服務器群。

?服務質(zhì)量(QoS)：按不一樣的優(yōu)先級對數(shù)據(jù)流進行分派。

?服務類型(ToS)：按不一樣的服務類型(在TypeofField中標識)對數(shù)

據(jù)流進行分派。

2.4.7強大并且免費向安全防護功能

在圖中我們可以看到，前置服務器群或中間件服務器群在邏輯上位于BIGIP之后，

所有口勺數(shù)據(jù)流，包括“襲擊性”數(shù)據(jù)流都要通過BIGIP才可以流至服務器。BIGIP具有

如下優(yōu)秀H勺安全特性，對系統(tǒng)進行保護：

?訪問控制列表

?IP包過濾

?加密(SSL)的管理信息傳遞

?口令保護

?拒絕“DoS”襲擊

?免疫"PingofDeathM襲擊

?不用Ack緩沖應答未確認的JSY5I,防止SYK風暴

?通過對無效連接的管理來防止使用沒有開放的服務進行襲擊

?源路由檢查，防止IP欺騙

?NAT/SNATo通過設置，BIGIP?可以將一種端口映射到多種端口上。許多著名

日勺端口是，如80,443,20,21可以被映射到服務器上的任何一種端口上。此外，

BIGIP?可以將位于它背面的服務器的地址翻譯為那些對外公布的地址。這個安全特

性為網(wǎng)絡帶來了如下幾種好處：

＞入侵者無法確定哪些服務運行在哪些端口上，因而增長了襲擊H勺難

度;

＞使用非公開日勺路由地址、BIGIP⑥可以節(jié)省客戶的IP地址，減少客戶

的成本;

＞可以隱藏BIGIP?背后H勺服務器地址，防止這些服務器暴露到外部世

界,從而減少了黑客襲擊這些服務器的機會

?運用虛擬IP地址隱藏服務器實際地址。

同步，在BIGIP?的安全管理匯報中通過監(jiān)視下列參數(shù)，BIGIP?可以在安全匯報中列

出那些服務和端口受到了非法口勺訪問嘗試：

?IP地址：襲擊者的源IP地址

?頻率：襲擊者嘗試襲擊的數(shù)量

?端口：哪個端口受到襲擊

這些信息可以協(xié)助管理員發(fā)現(xiàn)他們網(wǎng)絡中存在的安全漏洞，并且可以鑒定哪些人是

潛在歐I襲擊者。

2.4.8有效處理防火墻的處理能力瓶頸

考慮到絕大多數(shù)的防火墻只能到達線速的I30%吞吐能力，故要使系統(tǒng)到達設計規(guī)定日勺

線速處理能力，必須添加多臺防火墻，以滿足系統(tǒng)規(guī)定。然而，防火墻必須規(guī)定數(shù)據(jù)同進同

出，否則數(shù)據(jù)將被拒絕。怎樣處理防火墻的負載均衡問題，是關系到整個系統(tǒng)的穩(wěn)定性U勺關

鍵問題。F5的防火墻負載均衡方案，可認為顧客提供異構(gòu)防火墻的負載均衡與故障自動排

除能力。

方案叢J特色：

?提供多臺防火墻U勺負載均衡能力

?提供在線維護防火墻的措施

?處理了單臺防火墻的處理能力瓶頸問題，提供了系統(tǒng)的擴展能力

同步對于實現(xiàn)了鏈路負載均衡和服務器負載均衡的企業(yè)來說，防火墻負載均衡相稱于免

費贈送，提高了顧客投資回報率。

2.4.9F5i-Control開放的API接口簡介

為了保證電子商務獲得成功，應用和網(wǎng)絡必須可以緊密結(jié)合。網(wǎng)絡告知應用；應用指導

網(wǎng)絡。這就是F5新型體系構(gòu)造的基礎。

定義：F5互聯(lián)網(wǎng)控制體系構(gòu)造（圖1）是業(yè)界第一種集成時端到端互聯(lián)網(wǎng)流量、內(nèi)容和網(wǎng)

絡管理體系構(gòu)造，該體系構(gòu)造可以：

—集成網(wǎng)絡產(chǎn)品

—增進網(wǎng)絡與應用間的通信

—目前就可使用

它提供了業(yè)界最緊密集成的產(chǎn)品套件，運用統(tǒng)一的設備活動協(xié)作來對互聯(lián)網(wǎng)流量和內(nèi)容

布署/提供進行端到端H勺控制。它提供了端到端集成所需要的產(chǎn)品間日勺安全通信，并且還可

以通過開放式XMLAPI對F5產(chǎn)品進行編程，以支持客戶與合作伙伴應用間的集成（F5的

iControl?內(nèi)部通信協(xié)議）。

圖1J5的處理方案是業(yè)界第一種集成的端到端互聯(lián)網(wǎng)流量、應用和網(wǎng)絡管理體系構(gòu)造。

這種架構(gòu)方式克服了多廠商處理方案的最大問題：互操作性和管理復雜性，并且還防止

了單廠商套件H勺最大問題：有限H勺靈活性、缺乏足夠的I集成能力(圖3)。這種架構(gòu)使服務

提供商和企業(yè)可以：

?管理和控制全球范圍U勺互聯(lián)網(wǎng)流量和內(nèi)容

?布署并實行SLA政策

?將政策應用到多種技術上，如防火墻、VPN和QoS設備

?接受告警并管理有關網(wǎng)絡和設備活動時匯報

?保持合適的系統(tǒng)配置

iControl可以使應用與網(wǎng)絡流量管理和內(nèi)容提供基礎設施實現(xiàn)直接的互操作。通過

iConlrol開放的安全通信協(xié)議和SOAP/XMLAPI,網(wǎng)絡設備可以與應用進行通信，應用可以

控制網(wǎng)絡，從而防止出現(xiàn)易于出錯的過程和人為干預。iControl可以提供網(wǎng)絡產(chǎn)品間安全、

加密的互相通信能力，并為無縫應用集成帶來了以便，其中包括：

(1)當?shù)亓髁抗芾恚?/p>

(2)分布于全球的流量管理；

(3)將內(nèi)容布署到遠程服務器上；

(4)管理網(wǎng)絡中高速緩存提供的內(nèi)容版本；

(5)明顯減少管理分布式網(wǎng)絡所需的資源。

客戶、合作伙伴及第三方集成商都可以使用iControl軟件開發(fā)套件(SDK),它具有開

放式的SOAP/XML或CORBAAPI。伴隨iControl的推出，F(xiàn)5證明了其對制定和采用開放式互

聯(lián)網(wǎng)流量和內(nèi)容管理原則的支持:。

通過將iControl與F5的業(yè)界領先iTCU產(chǎn)品相結(jié)合使用，可以實行并布署F5的完整互

聯(lián)網(wǎng)控制體系構(gòu)造，從而增強了7層性能。任何第三方和客戶都可以通過iConlrol將自己

時應用與網(wǎng)絡系統(tǒng)集成在一-起，從而提供無與倫比的7層性能。

3.方案優(yōu)勢論述

3.1.1設備及拓撲構(gòu)造的長處

1.采用一種硬件平臺同步實現(xiàn)鏈路負載均衡和服務器負載均衡，allin

one日勺硬件一體化處理方案，使網(wǎng)絡構(gòu)造簡樸實用，減少單點故障點同步也減少

網(wǎng)絡維護人員的承擔，防止運行維護時面對大批網(wǎng)絡設備。

2.F5LC具有強大日勺ASIC內(nèi)嵌芯片專門處理4層流量，提供每秒120,

000的14層新建連接，可以滿足企業(yè)H勺大量顧客訪問壓力。

3.1SP接入鏈路，服務器等網(wǎng)絡層次所的采用負栽均衡方式處埋網(wǎng)絡流

量，提高網(wǎng)絡服務能力和投資回報率.

4.靈活的擴展空間，顧客可以根據(jù)實際的網(wǎng)絡流量和壓力增長鏈路帶

寬，添加防火墻或增長服務器來提高整體的服務水平

3.1.2安全機制方面

1.S,SSH等加密H勺網(wǎng)絡管理，防止明碼通訊對網(wǎng)絡設備控制時的安全隱

患。

2.BIGIP具有如下優(yōu)秀的，免費日勺安全特性，對系統(tǒng)進行保護：

?訪問控制列表

?IP包過濾

?加密（SSL）的管理信息傳遞

?口令保護

?拒絕“DoS”襲擊

?免疫"PingofDeathw襲擊

?不用Ack緩沖應答未確認的SY5I,防止SYK風暴

?通過對無效連接的管理來防止使用沒有開放的服務進行襲擊

?源路由檢查，防止IP欺騙

?NAT/SNATo通過設置，BIGIP?可以將一種端口映射到多種端口上。許多著名

的端口是,如80,443,20,21可以被映射到服務器上的任何一種端口上。此外,

BIGI便可以將位于它背面的服務器的地址翻譯為那些對外公布的地址。這個安全特

性為網(wǎng)絡帶來了如下幾種好處：

＞入侵者無法確定哪些服務運行在哪些端口上，因而增長了襲擊日勺難

度；

＞使用非公開口勺路由地址、BIGIP⑥可以節(jié)省客戶的JIP地址，減少客戶

的成本；

＞可以隱藏BIGIP梵背后日勺服務器地址，防止這些服務器暴露到外部世

界,從而減少了黑客襲擊這些服務器叫機會

?運用虛擬IP地址隱藏服務器實際地址。

同步，在BIGIP?向安全管理匯報中通過監(jiān)視下列參數(shù)，BIGIP?可以在安全匯報中列

出那些服務和端口受到了非法II勺訪問嘗試：

?IP地址：襲擊者的源IP地址

?頻率：襲擊者嘗試襲擊的數(shù)量

?端口：哪個端口受到襲擊

這些信息可以協(xié)助管理員發(fā)現(xiàn)他們網(wǎng)絡中存在的安全漏洞，并且可以鑒定哪些人是

潛在口勺襲擊者。

3.1.3與應用的結(jié)合方面

1.F5可以通過ECV,EAV對后臺的多層構(gòu)造的服務器進行健康檢查，保證

顧客口勺正常訪問。

2.F5可以通過InsertCookies和Samplepersistence等方式和應用實現(xiàn)

無縫集合的多種切換。

3.F5WiControl是一套全球唯一的網(wǎng)絡產(chǎn)品提供的API/SDK,可以容許

顧客根據(jù)自己的規(guī)定控制網(wǎng)絡設備。

3.1.4投資回報方面

1.LC在提供鏈路負載均衡和服務器負載均衡的同步，免費提供對Firewall,IDS等口勺

負載均衡，可以在未來協(xié)助顧客處理安全性能瓶頸。

2.F5的LC產(chǎn)品已在cernet和網(wǎng)通及電信系統(tǒng)中大量使用，顧客采用F5產(chǎn)品可以充

足享有到F5產(chǎn)品在電信級網(wǎng)絡中運行所得到H勺經(jīng)驗，以及最新日勺ip地址劃分等附加資源。

3.記錄與匯報

LC鏈路應用互換機包括詳盡的實時匯報和歷史紀錄匯報，可供評測站點流量模式、有

關ISP性能和估計帶寬計費周期。全面的匯報功能為管理員提供了對帶寬資源的充足掌握，

從而使企業(yè)可以作出更合適的業(yè)務決策。

4.互聯(lián)網(wǎng)鏈路評估器

專用互聯(lián)網(wǎng)鏈路評估器提供了一種獨帶的查看功能，您可以用此米查看1SH為您的顧客

所提供的總體性能。目前，管理員可以非常輕松地：

確定慢速鏈路，通過ISP尋找性能故障

評估ISP為目口勺互聯(lián)網(wǎng)顧客群迅速提供服務的能力

評估您U勺網(wǎng)絡與您的顧客之間的ISP連接質(zhì)量。

AverageRoundTripTime(inseconds)

boldtype2beltuserjrov^underlinedtype=bestEnkforthe1

servedbythc：inku$ergroup

NorthSouth

DataCenterEuropeAsidAustraliaAftica

America

ISPl03S956O0467900(QJWSOO040I80O03925600483200

ISP20.1784900X0310032384O040560002599200404150

ISP3O.llgfflQ03inye[OTOIIe[cLzeoiio|o2?8e0448600

ntii

InternetLinkEvaluator

4.有關產(chǎn)品簡介

BIG-IP?v9系列

BIG-IP鏈路控制器數(shù)據(jù)表

Internet互聯(lián)網(wǎng)

Routers路由器

BIG-IPLinkControllerBIG-IP鏈路控制器

Firewall防火墻

CorporateNetwork企業(yè)網(wǎng)絡

CorporateServers企業(yè)服務器

CorporateUsers企業(yè)顧客

重要優(yōu)勢：

?構(gòu)建可靠的廣域網(wǎng)（WAN）連接，提供企業(yè)級互聯(lián)網(wǎng)連接能力

?借助速率調(diào)整（RateShaping）使WAN鏈路帶寬口勺使用更為高效

?采用壓縮技術減少WAN鏈路帶寬的消耗

?通過基于TCPExpressH勺TCP/IP優(yōu)化,明顯改善WAN鏈路性能

?保證將流量導向最佳鏈路和ISP,為顧客遑供最高質(zhì)量的服務和速度

?通過整合經(jīng)濟型鏈路最大程度地提高企業(yè)在連接能力方面的投資回報。

?通過邊界網(wǎng)關協(xié)議（BGP）消除俏署障礙，明顯減少多歸屬網(wǎng)絡1灼布署成本

BIG-IP鏈路控制器

用于最大程度提高鏈路性能與可用性的下一代廣域網(wǎng)鏈路流量管理

伴隨企業(yè)開始更多地使用互聯(lián)網(wǎng)來交付其應用,只保持?條到公共網(wǎng)絡的連接鏈路存在

著單點故障風險和脆弱的網(wǎng)絡安全性。BIGTP鏈路控制器可以無縫地監(jiān)控多條WANISP

接的可用性與性能,以智能地管理到某一站點的雙向流量,從而提供杰出的容錯性和優(yōu)化H勺

互聯(lián)網(wǎng)訪問。

BIGTP鏈路控制器充足運用了F5的7WS構(gòu)架,可帶來改善的鏈路性能與杰出的可

用性,同步還可提供靈活強大的狀態(tài)檢查功能、完善的安全性以及改善的易用性。

可靠的網(wǎng)絡連接

高可用性

BIG-IP鏈路控制器可檢測到整個鏈路中出現(xiàn)的錯誤，從而可以提供可靠的I端到端WAN

連接。它可以監(jiān)視每個連接的運行狀態(tài)和可用性，實時檢測鏈路或ISP口勺損耗狀況。一旦

出現(xiàn)故障，流量將被動態(tài)地傳遞給其他可用鏈路，從而保證顧客及外部客戶繼續(xù)保持連接。

全面的鏈路監(jiān)控能力

BIG-IP鏈路控制器可為您提供有關通過網(wǎng)關路由器日勺鏈路狀況與吞吐率日勺

詳細信息，從而提供有關任何指定鏈路帶寬及容量的詳細資料。同步它還可以檢

測出由ISP錯誤配置或其他人為原因所引起日勺故障。此類故障一般極易被忽視。

集合多種監(jiān)視器

多種監(jiān)視器共同工作，可以迅速精確地確定鏈路叢J狀態(tài)及可用性。一旦發(fā)現(xiàn)問題,BIGTP

鏈路控制器可以重新為流量選擇途徑，傳遞到其他可用鏈路，從而繼續(xù)保持客戶連接，防止

出現(xiàn)停機影響。

最大帶寬和投資回報

可節(jié)省WAN鏈路成本的壓縮模塊

BIGTP鏈路控制器的可選壓縮模塊使您可以智能壓縮流量、減少WAN鏈路帶寬擁有率

以節(jié)省ISP成本，同步處理帶寬瓶頸以加緊應用交付速度。通過對面向不一樣連接類型H勺

鏈路帶寬實行精細控制，將可以有效提高客戶體驗，并可以實現(xiàn)更高效的WAN鏈路管理和

改善的生產(chǎn)效率。您可以基于文檔類型、流量類型和其他網(wǎng)絡條件（如來回時間）配置靈活

且可可調(diào)整口勺壓縮引擎。

帶寬可擴展性

不管您使用何種鏈路類型或哪一家服務提供商的服務，BIG-IP鏈路控制器都可以支持

將小型經(jīng)濟型線路進行高效的整合，以提供成本更低口勺音寬冗余，同步將花在喑光纖或閑置

備用線路上的費用降至最低。

透明的流量分派

BIG-IP鏈路控制器提供了業(yè)內(nèi)最先進U勺鏈路流量分派能力，可以滿足如下最繁忙站點

的需求：

輪循-來回時間

-全局可用性-中繼

-靜態(tài)持續(xù)性-數(shù)據(jù)包完畢率

-拓撲-顧客定義的服務質(zhì)量(QoS)

-虛擬服務器容量-動態(tài)比率

-至少連接-隨機

-包速率-比率

-傳播速率

鏈路容量及吞吐率

BIG-IP鏈路控制器可容許您根據(jù)實時的流量與吞吐率來確定和控制流量在鏈路上H勺分

派方式。這將可以提高性能和增長包括線路冗余在內(nèi)的可用帶寬，同步消除鏈路飽和的風險。

當某條鏈路靠近其容量極限時，流量將被轉(zhuǎn)至相對寬松的鏈路上去，從而提高站點的整體性

能。

鏈路成本負載平衡

BIG-IP鏈路控制器可以支持您為通往數(shù)據(jù)中心的所有流量選擇最低成本連接：

?將流審導入花費最低的鏈路，從而將帶寬投資降至最低

?最大程度地提高不一樣連接"勺帶寬，包括可變成本線路，以消除帶寬瓶

頸，同步最大程度地減少低效帶寬運用狀況和有關成本。

?支持ISP計費模式，包括一次性付費、零碎計費和突發(fā)性計費

?支持單向或雙向計費

高級WAN鏈路管理

最佳性能鏈路

BIG-IP鏈路控制器通過使用來回時間和線路質(zhì)量計算，可測試哪條鏈路可認為顧客提

供最佳服務，然后將該顧客引導至此鏈路，保證他們能得到最快服務及最高質(zhì)量的連接。

針對壓縮技術的目的流量控制

假如不在詳細顧客類型（寬帶顧客、撥號顧客等）的基礎上控制流量壓縮工作，將會對

應用性能及客戶體驗產(chǎn)生負面影響。通過使用使用來回時間及線路質(zhì)量計算，BIG-IP鏈路

控制器可以動態(tài)計算出顧客延遲和帶寬吞吐率，為可以從中受益最大日勺顧客提供更多的壓縮

資源。

優(yōu)化的TCP性能

TCP協(xié)議的低效會產(chǎn)生不必要的干擾，進而對鏈路的帶寬運用產(chǎn)生不利影響。BIG-IP鏈

路控制器運用TCPExpress來克服TCP協(xié)議的低效狀況，同步提供了如下功能:

?WAN鏈路的有效帶寬運用

?以較低的J帶寬費用覆蓋長距離的通道

?為關鍵任務應用安排可用帶寬優(yōu)先級

?通過WAN為撥號和寬帶顧客提高端對端性能

?在布署全新應用時更為靈活

?無需布署多臺設備，減少了總擁有成本

集成速率調(diào)整

BIG-IP鏈路控制器為您在WAN鏈路上對應用流量進行分類并安排優(yōu)先級提供了一條高

效的途徑，以更有效地運用帶寬。您可以定義流量和應用限制，針對容許出現(xiàn)猝發(fā)狀況口勺資

源控制速率.，運用隊列劃分流量類型的優(yōu)先級，以及定義可互相進行借用的流量類型之間H勺

關系。在此基礎之上，您將可以明顯節(jié)省WAN鏈路帶寬，并改善應用響應時間。

可編程鏈路路由一一（Rule

BIG-IP鏈路控制器使您可以根據(jù)諸如源IP地址、目日勺IP地址和端口等TCP/IP參

數(shù)，在多條WAN鏈路上智能路由流量。借助iRulo,您可在根據(jù)應用類型、服務質(zhì)量和客

戶類型制定方略，以在最佳鏈路上分派流量，進而提高應用性能和提高客戶體驗。

流量優(yōu)先級安排：服務質(zhì)量（QoS）和配置服務類型（ToS）

BIG-IP鏈路控制器支持多種流量優(yōu)先級安排特性。企業(yè)可根據(jù)QoS和ToS對其關鍵

流量或應用做出定義，進而對上游路由器進行特殊處理。這就保證了具有較高優(yōu)先級的流量

可以優(yōu)先路由。

基于拓撲的路由

采用拓撲數(shù)據(jù)庫，BIG-IP鏈路控制器可精確確定顧客H勺位置.，并根據(jù)預定義的T方略通

過所需鏈路路由流量。這可以使您可以選擇最佳性能鏈路，以提供基于位置的最佳顧客體驗,

同步防止ISP之間日勺路由問題。此類問題會導致高延遲和減少性能。

爭用

OracleBIG-IP鏈路控制器Oracle

VoIPVoIP

SAPSAP

劃分應用流量優(yōu)先級以實既有效的鏈路帶寬運用

配置和管理

消除BGP多歸屬布署障礙

BIGTP鏈路控制器可借助邊界網(wǎng)關協(xié)議(BGP)消除布署障礙，并減少多歸屬網(wǎng)絡的布

署成本。借助BIG-IP鏈珞控制器，您無需再購置大型路由器、與ISP進行協(xié)作或安排專

門的人員和IP地址來運行BGP,同步仍可以將流量導向至最佳路由途徑。BIG-IP鏈路控

制器可明顯改善多歸屬環(huán)境的流量引導性能，并可提供：

?面向企業(yè)內(nèi)外顧客的雙向流量控制

?自動、即時ISP響應及鏈路故障切換一一無需等待布署路由變動

?流量將被路由至最佳途徑，從而優(yōu)化了帶寬運用率

?基于線路容量的流量分派，帶來了更高日勺帶寬可擴展性

IPv6網(wǎng)關

假如企業(yè)欲移植至IPv6,BIG-IP鏈路控制器是進行叉車式升級(forkliftupgrade)

的經(jīng)濟高效H勺選擇。通過興用BIG-IP鏈路控制器和可選H勺IPv6模塊，您可在提供IPv4服

務的同步訪問IPv6客戶，并在不增長網(wǎng)絡負載的狀況下實現(xiàn)兩者之間口勺轉(zhuǎn)換。

記錄與匯報

實時匯報和歷史記錄匯報可評估站點流量模式、相對ISP性能、以及估計H勺帶寬計

費周期，從而使您可以輕松監(jiān)控帶寬資源，作出明智的業(yè)務決策。

強化的安全性能

智能SNAT

借助BIG-IP鏈路控制器的iSNAT功能，您可以保留端口資源和轉(zhuǎn)換內(nèi)部地址。

通過使用iSNAT,您可以基于諸如客戶機地址和目的服務器端口編號等TCP/IP參

數(shù)從眾多轉(zhuǎn)換地址中靈活選擇，從而保證服務器地址不會暴露給外部環(huán)境。B1GTP

鏈路控制器可以通過屏蔽內(nèi)部地址保留端口資源和保護站點資源，同步還可通過更

高的流量類型誘明度來改善運彳J：效率。

網(wǎng)絡安全

BIG-IP鏈路控制器是缺省拒絕設備，它可增長額外的J安全保護層，從而杜絕一

般網(wǎng)絡襲擊。BIG-IP鏈路控制器可以：

?在面向命令行的SecureShell安全外殼（SSH）或面向瀏覽器管理U勺

SSL曰勺基礎上，進行安全遠程管理

?消除閑置連接，防止拒絕服務襲擊

?執(zhí)行源路由跟蹤，防止IP欺騙

?拒絕沒有ACK緩沖的未確認SYN,防止SYNFloods（溢滿襲擊）襲擊

?防止諸如WinNuke、Sub7和BackOrifice等片段儲存襲擊

?保護自己和服務器免受ICMP襲擊

?不運行SUTPd、FTPd、Telnctd或其他任何易受襲擊的J進程

?檢測任意受到非法訪問嘗試的服務和端口，包括：

頻率；嘗試次數(shù)

-端口：被襲擊的端口