您现在的位置：>网上竞价成交公告
中央国家机关政府采购中心网上竞价项目——成交公告
成交供应商：
武汉联钢科技有限公司
(受采购人委托，采购中心确定其为成交供应商)
公告时间：
项目名称：
湖北省气象信息与技术保障中心网络安全设备及配件采购项目
项目编号：
查看需求公告
采购单位：
湖北省气象信息与技术保障中心
成交供应商：
武汉联钢科技有限公司
采购单位联系人：
成交供应商联系人：
武汉联钢科技有限公司
采购单位电话：
成交供应商电话：
027- ( 政府采购专用）
027-（售后服务专用）
张华（长江水利委员会、长江航道局、长江海事局)
付旭（中科院、中国地质大学、协和）
万平平（气象局）
采购单位邮箱：
成交供应商邮箱：
lgkj@vip.163.com
需求公告发布时间：
收货地点：
武汉市洪山区东湖东路3号
报价截止时间：
到货时间：
合同签订后3个日历日到货
纪检监察电话：
售后服务网点：
要求当地有售后服务网点
销售资质需求：
协议供货商
售后上门服务要求：
上门服务年限:3年
上门服务时限：接到报修后24小时
电话技术支持服务响应要求：
免费维保质保期：
踏勘地点：
踏勘时间：
联系电话：
收货地点：
到货时间：
服务承诺：
供应商简介：
(供应商自行录入公司简介，不代表本中心意见)
报价总金额：
362,600.00
供应商名称
是否是中小企业
是否是环保产品
[协议供货代理商]
362,600.00
[协议供货代理商]
365,400.00
[协议供货代理商]
366,900.00
[协议供货代理商]
368,800.00
注：请采购单位和成交供应商在规定的期限内及时签订书面采购合同，
&&&采购中心感谢各方的积极参与。如有问题，请联系采购一处网上竞价电话(http://oa.zycg.cn/home/contactus)
&&&&网上竞价按照满足竞价需求、有效报价最低的原则，确定成交供应商。网上竞价项目报价时间截止后，系统自动按以下原则确定成交供应商候选人排序，并由采购人确认：
&&&&（一）报价低的排序在先；
&&&&（二）报价相同，按报价时间的先后排序。
&&&&采购人选择中标（成交）供应商时因遵循以下原则：采购人应按中标（成交）供应商候选人排序确认排名第一的中标（成交）供应商为中标（成交）供应商。但出现以下情形时，采购人可按照中标（成交）供应商候选人排序选择排名在次的候选人为中标（成交）供应商，依此类推：
&&&&（一）排名在先的中标（成交）供应商候选人放弃中标的；
&&&&（二）排名在先的中标（成交）供应商候选人未实质性响应采购人的竞价要求的，采购人可拒绝该中标候选人的报价，但应对拒绝原因予以详细说明。
提示:&&&&成交资格被拒绝的供应商可在成交公告发布之日起七个工作日内按照平台中公告的联系方式向采购人的纪检监察或其政府集中采购管理部门反映，也可向我中心综合处提出质疑。博客访问： 27790
博文数量： 17
注册时间：
分类： Linux操作系统 11:26:35
基于庞大的网络结构，集群服务器的使用带来了不少流量等负载问题。那么相对的，负载均衡的技术也应运而生。每一种技术都需要产品的支持，那么现在我们来认识一下F5负载均衡器的一种。那么首先我们先把产品的结构功能进行一下介绍。
许多厂商推出了专用于平衡服务器负载的负载均衡器,如F5 Network公司的BIG-IP,Citrix公司的NetScaler｡F5 BIG-IP LTM 的官方名称叫做本地流量管理器,可以做4-7层负载均衡,具有负载均衡､应用交换､会话交换､状态监控､智能网络地址转换､通用持续性､响应错误处理､IPv6网关､高级路由､智能端口镜像､SSL加速､智能HTTP压缩､TCP优化､第7层速率整形､内容缓冲､内容转换､连接加速､高速缓存､Cookie加密､选择性内容加密､应用攻击过滤､拒绝服务(DoS)攻击和SYN Flood保护､防火墙—包过滤､包消毒等功能｡
F5负载均衡产品时我们常用的网络负载控制的产品之一，那么在此我们对它的功能和特点进行一个全面的介绍。通过对这个产品的认识，我们也能发现，在网络管理中我们需要注意哪些方面的问题。
F5负载均衡功能1.多链路的负载均衡和冗余
与互联网络相关的关键业务都需要安排和配置多条ISP接入链路以保证网络服务的质量,消除单点故障,减少停机时间｡多条ISP接入的方案并不是简单的多条不同的广域网络的路由问题,因为不同的ISP有不同自治域,所以必须考虑到两种情况下如何实现多条链路的负载均衡:内部的应用系统和网络工作站在访问互联网络的服务和网站时如何能够在多条不同的链路中动态分配和负载均衡,这也被称为OUTBOUND流量的负载均衡｡互联网络的外部用户如何在外部访问内部的网站和应用系统时也能够动态的在多条链路上平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路到达服务器和应用系统,这也被称作为INBOUND流量的负载均衡｡
F5 的BIG-IP LC可以智能的解决以上两个问题:对于OUTBOUND流量,BIG-IP LC接收到流量以后,可以智能的将OUTBOUND流量分配到不同的INTERNET接口,并做源地址的NAT,可以指定某一合法IP地址进行源地址的 NAT,也可以用BIG-IP LC的接口地址自动映射,保证数据包返回时能够正确接收｡对于INBOUND流量,BIG-IP LC分别绑定两个ISP 服务商的公网地址,解析来自两个ISP服务商的DNS解析请求｡BIG-IP LC不仅可以根据服务器的健康状况和响应速度回应LDNS相应的IP地址,还可以通过两条链路分别与LDNS建立连接,根据RTT时间判断链路的好坏,并且综合以上两个参数回应LDNS相应的IP地址｡
F5负载均衡功能2.防火墙负载均衡
考虑到绝大多数的防火墙只能达到线速的30%吞吐能力,故要使系统达到设计要求的线速处理能力,必须添加多台防火墙,以满足系统要求｡然而,防火墙必须要求数据同进同出,否则连接将被拒绝｡如何解决防火墙的负载均衡问题,是关系到整个系统的稳定性的关键问题｡F5的防火墙负载均衡方案,能够为用户提供异构防火墙的负载均衡与故障自动排除能力｡典型的提高防火墙处理能力的方法是采用“防火墙三明治"的方法,以实现透明设备的持续性｡这可满足某些要求客户为成功安全完成交易必须通过同一防火墙的应用程序的要求,也能够维护原来的网络安全隔离的要求｡
F5负载均衡功能3.服务器负载均衡
对于所有的对外提供服务的服务器,均可以在BIG-IP上配置Virtual Server实现负载均衡,同时BIG-IP可持续检查服务器的健康状态,一旦发现故障服务器,则将其从负载均衡组中摘除｡BIG-IP利用虚拟IP地址(VIP由IP地址和TCP/UDP应用的端口组成,它是一个地址)来为用户的一个或多个目标服务器(称为节点:目标服务器的IP地址和TCP/UDP应用的端口组成,它可以是internet的私网地址)提供服务｡因此,它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务｡根据服务类型不同分别定义服务器群组,可以根据不同服务端口将流量导向到相应的服务器｡BIG-IP连续地对目标服务器进行L4到L7合理性检查,当用户通过VIP请求目标服务器服务时,BIG-IP根椐目标服务器之间性能和网络健康情况,选择性能最佳的服务器响应用户的请求｡如果能够充分利用所有的服务器资源,将所有流量均衡的分配到各个服务器,我们就可以有效地避免“不平衡"现象的发生｡利用UIE+iRules可以将TCP/UDP数据包打开,并搜索其中的特征数据,之后根据搜索到的特征数据作相应的规则处理｡因此可以根据用户访问内容的不同将流量导向到相应的服务器,例如:根据用户访问请求的URL将流量导向到相应的服务器｡
F5负载均衡功能4.系统高可用性
系统高可用性主要可以从以下几个方面考虑:
4.1.设备自身的高可用性:F5 BIG-IP专门优化的体系结构和卓越的处理能力保证99.999%的正常运行时间,在双机冗余模式下工作时可以实现毫秒级切换,保证系统稳定运行,另外还有冗余电源模块可选｡在采用双机备份方式时,备机切换时间最快会在200ms之内进行切换｡BIG-IP 产品是业界唯一的可以达到毫秒级切换的产品, 而且设计极为合理,所有会话通过Active 的BIG-IP 的同时,会把会话信息通过同步数据线同步到Backup的BIG-IP,保证在Backup BIG-IP内也有所有的用户访问会话信息;另外每台设备中的watchdog芯片通过心跳线监控对方设备的电频,当Active BIG-IP故障时,watchdog会首先发现,并通知Backup BIG-IP接管Shared IP,VIP等,完成切换过程,因为Backup BIG-IP中有事先同步好的会话信息,所以可以保证访问的畅通无阻｡
4.2.链路冗余:BIG-IP可以检测每条链路的运行状态和可用性,做到链路和ISP故障的实时检测｡一旦出现故障,流量将被透明动态的引导至其它可用链路｡通过监控和管理出入数据中心的双向流量,内部和外部用户均可保持网络的全时连接｡
4.3.服务器冗余,多台服务器同时提供服务,当某一台服务器故障不能提供服务时,用户的访问不会中断｡BIG-IP可以在OSI七层模型中的不同层面上对服务器进行健康检查,实时监测服务器健康状况,如果某台服务器出现故障,BIG-IP确定它无法提供服务后,就会将其在服务队列中清除,保证用户正常的访问应用,确保回应内容的正确性｡
F5负载均衡功能5.高度的安全性
BIG-IP采用防火墙的设计原理,是缺省拒绝设备,它可以为任何站点增加额外的安全保护,防御普通网络攻击｡可以通过支持命令行的SSH或支持浏览器管理的SSL方便､安全的进行远程管理,提高设备自身的安全性;能够拆除空闲连接防止拒绝服务攻击;能够执行源路由跟踪防止IP欺骗;拒绝没有ACK缓冲确认的SYN防止SYN攻击;拒绝teartop和land攻击;保护自己和服务器免受ICMP攻击;不运行SMTP､FTP､TELNET或其它易受攻击的后台程序｡
BIG-IP的Dynamic Reaping特性可以高效删除各类网络DoS攻击中的空闲连接,这可以保护BIG-IP不会因流量过多而瘫痪｡BIG-IP可以随着攻击量的增加而加快连接切断速率,从而提供一种具有极强适应能力､能够防御最大攻击量的解决方案｡BIG-IP的Delay Binding技术可以为部署在BIG-IP后面的服务器提供全面地SYN Flood保护｡此时,BIG-IP设备作为安全代理来有效保护整个网络｡BIG-IP可以和其它安全设备配合,构建动态安全防御体系｡BIG-IP可以根据用户单位时间内的连接数生成控制访问列表,将该列表加载到其它安全设备上,有效控制攻击流量｡F5负载均衡功能6.SSL加速,在每台BIG-IP上,都具有SSL硬件加速芯片,并且自带100个TPS的License,用户可以不通过单独付费,就可以拥有100个TPS的SSL 加速功能,节约了用户的投资｡在将来系统扩展时,可以简单的通过License升级的方式,获得更高的SSL加速性能｡
F5负载均衡功能7.系统管理
BIG-IP提供HTTPS､SSH､Telnet､SNMP等多种管理方式,用户客户端只需操作系统自带的浏览器软件即可,不需安装其它软件｡可以通过支持命令行的SSH或支持浏览器管理的SSL方便､安全的进行远程管理｡直观易用的Web图形用户界面大服务降低了多归属基础设施的实施成本和日常维护费用｡BIG-IP包含详尽的实时报告和历史纪录报告,可供评测站点流量､相关ISP性能和预计带宽计费周期｡管理员可以通过全面地报告功能充分掌握带宽资源的利用状况｡另外,通过F5 的i-Control 开发包,目前国内已有基于i-Control开发的网管软件x-control, 可以定制针对系统服务特点的监控系统,比如服务的流量情况､各种服务连接数､访问情况､节点的健康状况等等,进行可视化显示｡告警方式可以提供syslog､snmp trap､mail等方式｡
F5负载均衡功能8.其它
内存扩充能力:F5 BIG-IP 1000以上设备单机最大可扩充到2G内存,此时可支持400万并发回话｡升级能力:F5 所有设备均可通过软件方式升级,在服务有效期内,升级软件包由F5公司提供｡F5 NETWORKS已经发布其系统的最新版本BIG-IP V9.0,主要有以下特性:虚拟 IPV4 / IPV6 应用､加速Web应用高达3倍､减少66%甚至更多的基础架构成本､确保高优先级应用的性能､确保更高级别的可用性､大幅提高网络和应用安全性､强大的性能,简单的管理方式､无以匹敌的自适应能力和延展能力和突破的性能表现力｡其强大的HTTP压缩功能可以将用户下载时间缩短50%,节省80%的带宽｡IP地址过滤和带宽控制:BIG-IP可以根据访问控制列表对数据包进行过滤,并且针对某一关键应用进行带宽控制,确保关键应用的稳定运行｡配置管理及系统报告:F5 BIG-IP提供WEB 界面配置方式和命令行方式进行配置管理,并在其中提供了丰富的系统报告,更可通过i-Control自行开发复杂的配置及报告生成｡
以下是F5 BIG-IP用作HTTP负载均衡器的主要功能:
①､F5 BIG-IP提供12种灵活的算法将所有流量均衡的分配到各个服务器,而面对用户,只是一台虚拟服务器｡
②､F5 BIG-IP可以确认应用程序能否对请求返回对应的数据｡假如F5 BIG-IP后面的某一台服务器发生服务停止､死机等故障,F5会检查出来并将该服务器标识为宕机,从而不将用户的访问请求传送到该台发生故障的服务器上｡这样,只要其它的服务器正常,用户的访问就不会受到影响｡宕机一旦修复,F5 BIG-IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送｡
③､F5 BIG-IP具有动态Session的会话保持功能｡
④､F5 BIG-IP的iRules功能可以做HTTP内容过滤,根据不同的域名､URL,将访问请求传送到不同的服务器｡
下面,结合实例,配置F5 BIG-IP LTM v9.x负载均衡器:
①､如图,假设域名blog.s135.com被解析到F5负载均衡器的外网/公网虚拟IP:61.1.1.3(vs_squid),该虚拟IP下有一个服务器池(pool_squid),该服务器池下包含两台真实的Squid服务器(192.168.1.11和192.168.1.12)｡
②､如果Squid缓存未命中,则会请求F5的内网虚拟IP:192.168.1.3(vs_apache),该虚拟IP下有一个默认服务器池(pool_apache_default),该服务器池下包含两台真实的Apache服务器(192.168.1.21和192.168.1.22),当该虚拟IP匹配iRules规则时,则会访问另外一个服务器池(pool_apache_irules),该服务器池下同样包含两台真实的Apache服务器(192.168.1.23和192.168.1.24)｡
③､另外,所有真实服务器的默认网关指向F5负载均衡器的自身内网IP,即192.168.1.2｡
④､所有的真实服务器通过SNAT IP地址61.1.1.4访问互联网｡
阅读(9082) | 评论(0) | 转发(0) |
相关热门文章
给主人留下些什么吧！~~
请登录后评论。当前位置： >
应用与数据安全防护系列
应用交付（负载均衡）
随着网络应用日益复杂，WEB2.0、云计算、移动应用、虚拟化数据中心等海量数据的出现，应用交付产品在新一代互联网络中的作用凸显。网御应用交付控制系统依托网御星云自身强大的安全研发实力，创造性的将安全和应用交付结合起来，为传统运营商、门户网站、大中型企业IT系统的应用提供更全面安全、快速、可靠的应用交付能力支撑。
网御应用交付控制系统在同一平台上实现了服务器负载均衡、多链路负载均衡、全局负载均衡、应用优化与加速、应用安全防护等功能；具备高智能的流量均衡算法和会话保持策略，可以有效的解决应用系统的可靠性和性能瓶颈；在此基础上网御应用交付控制系统能更好的理解您的应用系统，对整个系统和网络进行优化和加速，并具备更深层次的安全防护功能。
产品特点：
²提高应用系统的高可用性，实现智能化的流量均衡
实时监控应用系统状态，保障业务的不间断运行，根据系统状态把流量分发给最佳服务器。通过全局流量管理，可以智能识别终端类型和地理属性，把用户请求分发给最佳数据中心，有效改善高延迟网络访问速度，企业可以方便快捷的实现应用系统分布式部署。
²提高应用系统响应速度，节约服务器和带宽成本
智能识别移动终端和PC浏览器，网御应用交付控制系统通过多种加速手段使您的应用系统响应速度提升3倍以上。通过数据压缩、连接复用、内存缓存、硬件加速等手段实现成本节约。
²实现应用层安全防护，保障应用交付链的每个环节
实现对应用系统4-7层的访问控制，防护4-7层DDoS攻击.专业级应用防火墙可以有效抵御SQL注入，跨站脚本等多种应用层攻击。
多链路负载均衡，智能出入站流量管理，动态监控链路的实时状态，提供多种静态和动态流量分担方法，实现多条链路整合、备份和捆绑，提升整体接入的效率、可靠性和整体性能。
²实现应用系统运维的可视化
多种图表展示，使管理员直观了解当前应用系统的运行状态，及时有效的进行重新部署和调整。
²避免链路拥塞，实现高可靠的互联网接入
实时监控各条链路的状态，当链路出现中断或者拥塞时智能把流量分发给其他链路，确保接入可靠性的同时，避免链路流量不均衡 出现带宽拥挤或带宽闲置。
²内置智能路由，避免跨运营商访问
内置运营商IP地址信息库，出站流量根据访问目标所处的运营商，智能选择相应的链路；内置智能DNS模块，可以根据入站请求的 源地址所处运营商，动态返回与之对应的应用服务器地址，避免跨运营商访问带来的低带宽，高延迟问题。
²动态就近访问，实时选择最优线路
同时使用多种探测方式，评估各条链路到某区域地址的网络延迟，跳数等实时信息，动态选择最优线路。
²具备单边加速功能，节省带宽投资
不需要对用户电脑和网络做任何修改，通过部署网御应用交付控制系统，动态评估当前网络的时延、丢包、重传等实时信息，智能调整网络传输机制，最大限度的减少拥塞和重传，使其达到最佳工作状态，从而减少网络时延，降低带宽成本。
²按需购买、弹性扩展、实现投资保护
网御应用交付控制系统的所有硬件平台都实现了按需购买的灵活性。企业可以根据当前的业务规模，花费较低的价格获得更高性能的硬件平台。随着业务的增长，只需要通过软件License升级，就可以使应用交付具备与之相适应的处理能力，不用再担心昂贵的硬件更换费用，较长购买周期等因素，完全实现业务的弹性扩展。
²支持虚拟化环境
网御应用交付平台支持完备的基于硬件Hypervisor实现的虚拟化特性。每一个虚拟应用交付实例（vADC）相互独立的运行而互不影响，可显著提升网御应用交付平台的使用效率，提高客户的投入产出比。
产品特性与功能
L4层应用负载
²支持TCP、UDP、IP报文负载分担；
²支持轮询、加权轮询、最小连接、加权最小连接、最快响应等负载分担算法；
²支持源IP、IP HASH会话保持算法；
L7层应用负载
²支持HTTP、FTP、SIP、RTSP、MMS、数据库的应用负载；
²支持基于COOKIE、URL、HTTP头、User-Agent的负载分担；
²支持数据库的读写分离；
²支持HTTP头擦除、重定向信息改写、COOKIE加密；
²支持源IP、Cookie、SSL session id、Server-ID in URL Query、Custermer-ServerID、Rule Based的会话保持；
²支持轮询、加权轮询、加权最小连接、动态反馈、最快响应、最小流量、带宽比例、哈希、主备、首个可用、UDP强行负载等算法；
²支持基于ICMP、TCP、UDP、FTP、HTTP、HTTPS、LDAP、NTP、POP3、Radius、RTSP、SIP、SMTP、SNMP等协议的服务器健康检查；
链路负载均衡
²支持1-8条链路的动态负载均衡及相互备份；
²支持轮询、加权轮询、最小连接、加权最小连接、带宽比率、静态就进行、动态就近性的分担算法；
²内置多运营商路由，支持根据访问目标自动选择最优链路；
²多链路情况下，外部访问可自动路由到最佳的反向出接口；
²智能DNS解析，支持根据用户IP的运营商返回相应服务器地址；
²支持基于Ping、HTTP、TCP等多种方式进行多重链路健康检查；
全局负载均衡
²支持DNS服务代理、支持DNS缓存；
²支持IP anycast，通过路由协议导入VIP；
²支持地域、静态、动态就近性、基于权重、基于session、基于服务器数量的选择策略；
²抵御拒绝服务攻击，支持对SYN FLOOD/JOLT2/Land-Base/Ping of Death等扫描及攻击的防御；
²网络层防火墙，基于源IP、目的IP、源端口、目的端口、协议、时间的访问控制；
²应用层防火墙，基于HTTP head、Cookie、请求速率、VS地址、URL的访问控制；
²支持HTTP压缩，支持URI、content压缩（可选外置硬件加速模块）；
²支持HTTP动态缓存；
²支持TCP连接复用；
²SSL卸载（可选外置硬件加速模块）；
广域网加速
²支持快速TCP和HTP传输协议，自适应延迟丢包网络环境畅联技术解决跨运营商高丢包的影响；优化TCP、CIFS、HTTP、HTTPS、FTP、POP3/SMTP、MAPI、RDP、ICA、Oracle EBS等协议；
²支持TCP单边加速；
²支持对视频会议、WEB、HTTPS、FTP、网上邻居、Lotus Notes、MS Exchange、Oracle、MS-SQL、SAP NetWeaver、金蝶EAS、用友NC以及Windows远程桌面/Citrix/Vmware桌面虚拟化等应用加速；
网络及管理
²支持主备、主主、集群工作模式；
²支持透明、路由工作模式；
²支持在线、旁路、三角传输、&三明治&部署模式；
²支持RIP\OSPF\BGP动态路由协议；
²支持流量管理，带宽限制及保证；
²支持动态图表对系统的监控；
²支持SYSLOG日志格式的记录及导入导出；
²支持WEB、CONSOLE的管理方式；
网御ADC应用交付平台串行接入到网络中，所有流量都先经过ADC设备处理，通常情况下，ADC设备上的虚拟服务（VS）配置为公网IP地址，内部的服务器则配置为私有IP地址。典型的串行网络结构如下，网御ADC应用交付平台采用HA方式，和上下层交换机采用双链路交叉连接，网络结构清晰，并且具备很强的冗余性和可靠性。
旁路方式部署ADC产品，不需要对现有运行着网络结构进行改变，可以方便快速的把ADC部署到网络中，ADC的工作模式和串行部署比较相近，ADC的虚拟服务配置为公有地址，内部服务器配置为私有IP地址。ADC设备和服务器分别属于交换机不同的VLAN，ADC在分发数据给服务器时，进行源IP地址转换，把发给服务器的报文源IP地址改为ADC设备自身的IP地址，以保证服务器返回的流量也经过网御ADC应用交付平台。
三角传输,也叫Direct Server Return(DSR)模式，是旁路部署的一个特例，这种模式下只有入站方向流量进入到ADC设备，由ADC设备根据预先配置好的负载分担策略进行流量分发，而服务器返回的流量不经过ADC设备。由于互联网的流量具有典型的非对称性，即请求方向上的流量比较小，绝大多数流量集中在服务器响应的方向上，所以如果让ADC设备只处理请求方向的流量，服务器返回的流量直接返回给客户端不经过ADC设备，就大大提升了ADC的处理能力。电力 BOSS 系统负载均衡建议书F5 Network Inc. 吴锦涛2006 年 2 月 28 日目录§第一章、概述 ..........................................................3§ 1.1、综述 .......................................................................................................................................................................... 3 § 1.2、目前可能存在的问题综述 ...................................................................................................................................... 3 § 1.3、系统的建设目标 ...................................................................................................................................................... 5 § 1.3、可靠性要求 .............................................................................................................................................................. 6§第二章 负载均衡方案设计 ...............................................7§ 2.1、方案拓朴结构、 ...................................................................................................................................................... 7 § 2.1.1 防火墙负载均衡 .................................................................................................................................................. 7 § 2.1.2 服务器的负载均衡............................................................................................................................................... 8 § 2.2、千兆主干交换系统 .................................................................................................................................................. 9 § 2.3、负载均衡控制系统 ................................................................................................................................................ 10 § 2.3.1、BIG/IP 的工作模式 ......................................................................................................................................... 10 § 2.3.2、避免“不平衡”现象 ..................................................................................................................................... 11 § 2.3.3、解决因“峰值堵塞”带来的性能调整“不平衡” ...................................................................................... 11 § 2.3.4、避免“多米诺”现象 ..................................................................................................................................... 12 § 2.3.5、更好的提供系统容错，提高系统可靠性...................................................................................................... 12 § 2.3.6、“免疫力”强 ................................................................................................................................................. 12 § 2.3.7、网络感知应用控制网络 ................................................................................................................................. 13 § 2.3.8、BIG/IP 的可靠性 ............................................................................................................................................. 14 § 2.3.9、BIG/IP 处理能力 ............................................................................................................................................. 14 § 2.3.10、防火墙负载均衡 ........................................................................................................................................... 14 § 2.4、采用 F5 的 SSL 集中硬件加密/解密提高交易处理能力 ............................................................................... 15 § 2.5、采用 F5 的动态智能 HTTP 压缩提高访问效率和响应速度 .......................................................................... 16第三章、方案优势 .......................................................18§ 3.1、具有高度的可靠性和快速自愈能力 .................................................................................................................... 18 § 3.2、高可用性 ................................................................................................................................................................ 18 § 3.3、智能内容访问 ........................................................................................................................................................ 18 § 3.4、系统的安全性 ........................................................................................................................................................ 19 § 3.5、可扩展性 ................................................................................................................................................................ 19 § 3.6、灵活性 .................................................................................................................................................................... 19 § 3.7、可管理性 ................................................................................................................................................................ 19§第四章、设备介绍 .....................................................20§ 4.1、F5 流量管理设备 ................................................................................................................................................... 20§ 一章、概述 第§1.1、综述电力 BOSS 系统方案共分为几个部分，电力 BOSS 系统网络系统，按照计费处理的数据流程和采用的集中处 理方式。系统分为处理中心和远程采集两部分；远程通信网是指用于实现从采集终端到处理中心的数据传输的网 络，局域网是指处理中心中连接主机的网络。原始数据从采集终端收取，这样要求计费系统建设一个远程通信 网，连接全省的交换机，通信线路可采用 ISDN 或 DDN 实现。在计费中心局域网中，每个请求数据，都是非常重 要的。每个数据的丢失都可能直接造成经济损失。 在局域网中，怎样充分发挥网络设备的作用，保证网络应用达到最佳，充分协调网络应中各服务器的工 作，消除网络出现不可预知故障和瞬间超负荷造成的网络阻塞，是关系到网络运行正常与否的关键。网络应用的 设计，均是在相对理想的情况进行的，在实际的应用中，所有的网络数据并非象我们期望的那样传输。 网络运行性能从来没有像今天这样显得重要，尤其是有大量的并行访问用户的网络。任何这样网络的业务 流程都是“关键任务”。意外的通信峰值、服务器停机、内容更新、服务器超载、容错可靠性以及不断增大的业 务应用，对网络应用的智能化提出了期望，所面临的选择就是根据不断优化的网络性能指导来管理这些商业系统 －－向着为网络访问者提供及时、可靠、差别服务、智能化的方向发展。在网络高速发展的今天，网络对于负载 平衡，灾难恢复，内容加速的需求越来越强烈。 同时网络安全运行，是一切应用的基础。一个完整的网络，数据安全性要求是必然的，特别是有大量接入 用户的情况下。对于系统安全的考虑是非常重要的。网络安全来源于以下方面：外界非法用户闯入的恶意攻击、 非授权的资料存取、假冒合法用户和病毒等。基于以上安全的考虑，网络建设时，要充分考虑网络安全的要求。 网络系统将承载大量的信息传输。网络系统的维护管理至关重要。网络管理好坏，会影响到网络的整体性 能。我们在设计网络的同时，充分考虑到网络管理的重要性。网络管理方案越好，管理网络花费的时间和资源就 越少。一个良好的网管方案，使得网络管理员能全面监控和管理网络。简化维护的任务，实现维护自动化，也降 低了成本。 我们将基于当前网络应用的需求，及网络将来应用的发展，考虑到网络的安全性、可靠性、容错性和智能 性的特点，来组建电力 BOSS 系统网络工程。§1.2、目前可能存在的问题综述随着 BOSS 系统业务量的扩大，经济的高速发展,各个业务系统的启用，使得现在电力 BOSS 系统面 临的问题也相应增多,特别是在应用和服务方面,不在象以前的单一应用或简单服务,应用的多样性和复杂 的服务内容带来很多新的问题,讨论如下:o“不平衡”现象 当系统完成“物理集中”后，大量的数据等待集中的服务器处理。现有的方式多为采取单台或处 于备份状态的双机系统提供服务,存在一半的资源浪费的情况,而在压力不断上升的情况下，往往 以增加服务器的方式增加系统资源，但仍无法利用空闲的系统资源，不能有效的解决“不平衡” 现象。o“峰值”问题 服务器的处理多存在“波峰”和“波谷”的变化。而且“波峰”时，业务量大小的变化又不规 律，这就使服务器不得不面对“峰值堵塞”问题。原有解决方法为增加服务器或主机数量，提高 处理能力。但仍存在性能不平衡问题，且这样做，投资成本大。o多米诺”现象 单台服务器的设置，不可避免会出现“单点故障”，需要进行服务器“容错”。为实现容错，往 往在主服务器旁安置一台或多台备份服务器。但这样做，平时只有一台服务器工作，其它服务器 处于空闲状态，无法完全利用所有服务器的处理资源，投资得不到充分利用。且当出现“峰值堵 塞”时，所得到的往往是“多米诺”效应，即所有服务器连续被“堵”至“死”。并且，当所有 服务器都损坏时，无法动态地、合理地利用其它资源提供服务或备份。o“N+1”方式 这种方式也是在应对服务器“容错”时，提出的应用方式。“N”，即业务处理集群，“1”，即 一台备份机。我们注意到，虽然存在一台备份机，随时准备对业务处理集群中的任意一台服务器 进行备份，但是，如果又有服务器或更多服务器（软硬件）出现故障呢？所以“N+1”也不能很好 地完成系统“容错”。o“扩展”不便 随着物理和应用的集中，服务器上所要处理的数据量（traffic）增大，客户交易产生的同时连接 （concurrentconnection）数量会越来越多。?若处理资源不够，在未超出系统容量时，往往是客户的请求回应越来越慢，可容纳的 同时连接数量逐渐减小，系统性能严重下降。?当超出系统容量后，系统“死机”，业务中断。为应对日益增多的业务量，系统的扩展性尤为重要。当前所采用的扩展方式多为利用 CLUSTER 的 方式。但这时，需要配置 CLUSTER 卡和 CLUSTER 集线器。? ? ?这些硬件设备成本高，投资大。 CLUSTER 对硬件系统存在限制。 CLUSTER 的容量有限。所有这些都会使系统“扩展”不便。o“免疫力”差 由于系统服务器“裸露”于网络连接中，而防火墙的安置又多在网络总入口处，所以服务器很容 易受到来自各方面的“恶意性”或“无意”地攻击。 为每台或每组服务器单独设置防火墙，又会使系统投资加大，维护量大幅提高。o“通讯平台”稳定性差 大集中后,所有用户的访问直接通过网络平台连接数据中心的服务器,一旦线路故障会直接造成服 务的中断,而租用一个 ISP 的线路的可靠性不可能达到要求.o“容灾” 随着数据中心的集中，数据中心的冗余或容错显得尤为重要。当建立备份中心或数据中心间形成 备份后，在它们之间提供动态的、灵活的容错机制显得尤为突出。o应用与网络脱节系统的变化随时随地都会发生，完全靠人工的方式去调整网络与之适应，已经显出了其“非时时地”、“不 灵活的”缺陷。如何使应用的变化动态地反映到网络的调整，已经成为现代化应用系统的一个新的课题。§1.3、系统的建设目标1) 具备系统级的能力,即能达到完全的目标 2) 使网络的应用具有准确集中批价、各分支实时分布处理的能力 3) 使网络具备完整计费、结算、统计分析的功能、可灵活适应业务拓展的需要 4) 使网络应用具有校验系统正常与否的能力5) 使网络具有远程、实时联机采集的能力 6) 网络系统容量具有较强的可扩充性 7) 具有完善的网络管理能力（包括远程管理） 8) 使网络可靠、数据安全和应用智能化，能够侦测到故障的硬件设备，能侦测到系统软件工作正常与否和 应用软件接口，实现应用软件级错误的切换§1.3、可靠性要求1) 网络设备应该能够 365 天*24 小时地连续工作，平均无故障时间(MTBF)〉100000 小时 2) 主要的部件采用冗余配置，网络中某个单点部件的故障不应导致整机瘫痪 很显然，所有的一切说明，要为所有的用户提供最经济高效的、可扩充性、高可用性（每年高达 99.999% 的可用性或 99.999%的端到端正常运行时间）和可靠性的服务。就必须能出色地管理和监视这些站点所使用的基 础设施，包括服务器、网络、应用和内容。只有当企业拥有适当的系统来有效控制这些组件时，才能确保用户获 得满意可靠的网络服务。才能真正做到提供高质量的服务。§ 二章 负载均衡方案设计 第§2.1、方案拓朴结构、基于以上的分析，我们在组建电力BOSS系统网络工程时，将主要从高带宽的网络通道、可靠安全的网络应 用服务、智能化的网络服务请求等方面来组建电力BOSS系统局域网系统。 电力BOSS系统网络，根据网络需求和特性，网络接入用户通过DDN接入到局域网，路由器是局域网的网络入 口。为了将内外网络进行有效隔离，确保局域网的各种数据，免受外部非法用户的破坏。在局域网的入口路由器 后面，放置防火墙。§ 2.1.1 防火墙负载均衡由于防火墙的处理能力有限，防止防火墙成为本系统的瓶颈，本方案配置多台防火墙，从而提高防火墙的 处理能力，同时提高防火墙的能力。由于保证通过防火墙通信的连续性（同一个连接，必须由同一路由器完 成）。同时对防火墙进行合理的流量分配，提高防火墙的综全处理能力，因此我们采用BIGIP3400 三明治方式对 防火墙进行流量管理。外面的一对BIGIP3400实现对防火墙实现智能动态均衡。里面的一对BIGIP3400保证用户通过用一防火墙返 回。所有数据经过防火墙过滤后，将要访问采集机群服务器。§ 2.1.2 服务器的负载均衡为了确保每个采集数据的正常，不会因网络的并行用户的增加、服务器的单点故障、某些服务器的应用故 障等难以预期的问题的出现，而影响到数据的采集，在防火墙与交换机之间接入负载均衡控制器 ，一对 BIGIP3400，对所有访问服务器的服务应用请求，根据多种策略，动态分配到每一台服务器上，克服以上难以预 期问题的出现。由于采集服务器、处理集群服务器和存储主机采用流式处理方式：为了保证系统的高性能和高可靠，就必须对采集服务器、处理集群服务器和存储主机所有访问服务器的服 务应用请求，根据多种策略，动态分配到每一台服务器上，克服以上难以预期问题的出现。如图：若采用上述方案，系统可得到最好的可靠性和最佳的性能。但投资大。因此为了达到同样的可靠性，同时 性能变化不大。本方案推荐的交换机和BIGIP3400均支持VLAN 802.1Q 中继技技术，实现各服务器属于不同的 VLAN，如：采集服务器属于VLAN1、分拣批价服务器属于VLAN2、出帐合并清单集群服务器属于VLAN3、统计集群服务器属于VLAN4和存储主机属于VLAN5。VLAN1、VLAN2、VLAN3、VLAN4、VLAN5通过VLAN Trunk 与BIGIP3400 连 接，从而BIGIP同时对采集服务器属于、分拣批价服务器属于、出帐合并清单集群服务器属于、统计 集群服务器和存储主机所有访问应用请求进行流量控制。 数据采集完成后，将发送到处理集群服务器。在负载均衡控制器―BIG?IP上，将设置多个VLAN ，每个 VLAN设有一个VLAN的IP，同时为各类应用设定一个对应的Vitrual IP (VIP)。用户通过采集数据VIP向采集服务 器发送数据；采集服务器通过分拣批价服务器VIP向分拣批价服务器发送请求；分拣批价服务器通过出帐合并清 单集群服务器VIP向出帐合并清单集群服务器发送请求；出帐合并清单集群服务器通过统计集群服务器VIP统计集 群服务器发向送请求；统计集群服务器通过存储主机VIP向存储主机发送请求。各类请求发送时，通过负载均衡 控制器―BIG?IP，动态分配到每一台服务器上。为到被免网络设备硬件故障引起的网络通信中断，建议采用冗 余的网络结构设计，即从网络入口的负载均衡控制器―BIG?IP到中心交换机，均采用冗余的网络结构，具体见 网络结构图和逻辑拓朴图：§2.2、千兆主干交换系统在局域网中心配置两台电信级千兆路由交换机，每台交换机配置一块管理模块（可选配二块），一些千兆 光纤模块和100M/UTP模块，根据以上的计算，交换机采用光纤分别与两台负载均衡控制器―BIG?IP连接，以1000M速率通信，采集机群服务器、处理机群服务器和存储主机、管理终端，根据服务器本身所使用的网卡不 同，分别以1000M、100M连接到中心交换机上。考虑到冗余连接，每台服务器需要配置二块网卡，分别连接到两 台中心交换机上。每台交换机可以提供73个千兆线速端口或120个线速100M端口，完全能够满足以上计算的带宽 要求，具体如下图： 本方案主干网，是高性能的千兆以太网，我们设计方案时，采用了当今最先进和标准成熟的千兆以太技术 和设备。核心双链路结构，可以用2个千兆口组成TRUNK链路进行全双工4Gbps速率通讯；不同层次的速率通讯设 计为整个网络规划了很好的流量分配，可以确保整个网络以高带宽通讯，减少网络瓶颈；中心交换机具有独创的 并行访问共享内存结构，最高可高达可高达110Mpps的第二、三层包转发率，可使网络在最繁忙时也能完成高速 的、无阻塞的第二、第三层交换。能实现数据、语音、图象、视频通信，中心交换机能够基于IPTOS的路由和优 先分配，优先级标记，以及RSVP来保护应用。路由交换机硬件支持在每一端口的应用标准的八种优先级队列，并 通过权衡公平排队来管理它们。通过在第2层、第3层和第4层基于应用的交通分级，QoS信息映射，支持802.1p， 802.1Q，RSVP等国际标准。网络具有高度的可靠性和快速自愈能力，中心交换机关键部件电源、管理模块、主干 模块都可做冗余配置。网络核心实现链路冗余结构，中心交换机支持802.1D生成树协议和802.1W快速生成数协 议，支持支路由冗余协议VRRP和HSRP，使链路冗余和路由具有自愈的能力，物理失败恢复小于10 msec.，链路失 败恢复小于50 msec，启动小于17sec，使网络具有快速的自愈能力。§2.3、负载均衡控制系统为了满足网络通信智能化的需要，本网络方案设计时，重点考虑了负载均衡。根据以上的策划，负载均衡 控制器BIGIP3400与防火墙和交换机之间，根据以上的计算，均采用光纤连接，以千兆速率通信。 BIG/IP在OSI模型的所有主要层上进行性能验证：第2层（网络）、第3层（服务器）、第4层（个别服务） 和第7层（验证应用程序是否向客户发送正确的应答）。使您的客户将不会因为服务器过载、软件故障、错误或 丢失的内容而收到错误消息，从而将确保网络应用的正常。BIG/IP将确保其应用程序和服务器在能提供正确的内 容的前提下，始终能够为其用户提供快速响应。从而避免由于故障、软件故障、内容错误、网络流量过载，导致 用户的不可访问。BIG/IP将监控这些因素并将客户引导到可用服务器。结构如下：BIG?IP3400防火墙BIG?IP3400交换机§ 2.3.1、BIG/IP 的工作模式F5 BIG/IP控制器工作模式为主动式，它会连续监控网络内容的可用性，而其它负载均衡产品则是被动式工 作模式，这样的产品必须等到客户数据流失败后才能查觉到问题。BIG/IP把用户在指定的响应时间内导向相应的 能给出正确内容的服务器，而决不会将用户送到一个不能正常响应的服务器或应用。BIG/IP利用虚拟IP地址（VIP由IP地址和TCP/UDP应用的端口组成，它是一个地址）来为用户的一个或多个 目标服务器（称为节点：目标服务器的IP地址和TCP/UDP应用的端口组成，它可以是internet的私网地址）提供 服务。因此，它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。BIG/IP连续地对目标服务器进行 L2到L7合理性检查，当用户通过VIP请求目标服务器服务时，BIG/IP根椐目标服务器之间性能和网络健康情况， 选择性能最佳的服务器响应用户的请求。§ 2.3.2、避免“不平衡”现象如果能够充分利用所有的服务器资源，将所有流量均衡的分配到各个服务器，我们就可以有效地避免“不 平衡”现象的发生。BIGIP是一台对流量和内容进行管理分配的设备。它提供12种灵活的算法将数据流有效地转 发到它所连接的服务器群。而面对用户，只是一台虚拟服务器。用户此时只须记住一台服务器，即虚拟服务器。 但他们的数据流却被BIGIP灵活地均衡到所有的服务器。这12种算法包括： ? ? 轮询（RoundRobin）：顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到 第 7 层的故障，BIG/IP 就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。 比率（Ratio）：给每个服务器分配一个加权值为比例，根椐这个比例，把用户的请求分配到每个服务 器。当其中某个服务器发生第二到第 7 层的故障，BIG/IP 就把其从服务器队列中拿出，不参加下一次的 用户请求的分配，直到其恢复正常。 优先权（Priority）：给所有服务器分组，给每个组定义优先权，BIG/IP 用户的请求，分配给优先级最 高的服务器组（在同一组内，采用轮询或比率算法，分配用户的请求）；当最高优先级中所有服务器出 现故障，BIG/IP 才将请求送给次优先级的服务器组。这种方式，实际为用户提供一种热备份的方式。 最少的连接方式（LeastConnection）：传递新的连接给那些进行最少连接处理的服务器。当其中某个服 务器发生第二到第 7 层的故障，BIG/IP 就把其从服务器队列中拿出，不参加下一次的用户请求的分配， 直到其恢复正常。 最快模式（Fastest）：传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第 7 层的故 障，BIG/IP 就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。 观察模式（Observed）：连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其 中某个服务器发生第二到第 7 层的故障，BIG/IP 就把其从服务器队列中拿出，不参加下一次的用户请求 的分配，直到其恢复正常。 预测模式（Predictive）：BIG/IP 利用收集到的服务器当前的性能指标，进行预测分析，选择一台服务 器在下一个时间片内，其性能将达到最佳的服务器相应用户的请求。(被 big/ip 进行检测) 动态性能分配（DynamicRatio-APM):BIG/IP 收集到的应用程序和应用服务器的各项性能参数，动态调整 流量分配。 动态服务器补充（DynamicServerAct.):当主服务器群中因故障导致数量减少时，动态地将备份服务器补 充至主服务器群。 服务质量(QoS)：按不同的优先级对数据流进行分配。 服务类型(ToS)：按不同的服务类型（在 TypeofField 中标识）对数据流进行分配。 规则模式：针对不同的数据流设置导向规则，用户可自行编辑流量分配规则，BIG/IP 利用这些规则对通 过的数据流实施导向控制。??? ?? ? ? ? ? ?§ 2.3.3、解决因“峰值堵塞”带来的性能调整“不平衡”当出现流量“峰值”时，如果能调配所有服务器的资源同时提供服务，所谓的“峰值堵塞”压力就会由于 系统性能的大大提高而明显减弱。由于BIGIP优秀的负载均衡能力，所有流量会被均衡的转发到各个服务器，即 组织所有服务器提供服务。这时，系统性能等于所有服务器性能的总和，远大于流量“峰值”。这样，即缓解了 “峰值堵塞”的压力，又降低了为调整系统性能而增加的投资。§ 2.3.4、避免“多米诺”现象BIGIP将所有的服务器组织在一起提供服务，流量压力合理地分担到各个服务器，不会使服务器如同单台设 备工作时出现“多米诺”现象。当本地服务器群中的服务器数量不能满足系统要求时，BIGIP会利用“动态服务 器补充”功能自动调入服务器补充系统性能。并且即使当所有服务器都不能提供服务时，“HTTPredirect”功能 会把用户数据请求转发到“备份”点，满足系统的可靠性要求。§ 2.3.5、更好的提供系统容错，提高系统可靠性“N+1”方式因备份服务器的数量少而不能有效的提供系统容错能力。BIGIP将用户的服务请求均衡到所有 的服务器。服务器群中的任何一台或多台设备发生故障后，用户的服务请求被均衡到其它服务器。而且，当本地 服务器群中的服务器数量不能满足系统要求时，BIGIP会利用“动态服务器补充”功能自动调入服务器补充系统 性能。 如何有效地确定服务器、应用、内容的状态，使提高系统可靠性的关键。BIGIP利用其独到的、高效的“健 康检测”手段，识别服务器、应用、内容的状态。它们包括： ? ? ? 服务器逻辑连接状态检测 应用类型状态检测 扩展内容查证(ECV:ExtendedContentVerification)--ECV 是一种非常复杂的服务检查，主要用于确认应 用程序能否对请求返回对应的数据。如果一个应用对该服务检查作出响应并返回对应的数据，则 BIG/IP 控制器将该服务器标识为工作良好。如果服务器不能返回相应的数据，则将该服务器标识为宕机。宕机 一旦修复，BIG/IP 就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。该功能使 BIG/IP 可以将保护延伸到后端应用如 Web 内容及数据库。BIG/ip 的 ECV 功能允许您向 Web 服务器、防火 墙、缓存服务器、代理服务器和其它透明设备发送查询，然后检查返回的响应。这将有助于确认您为客 户提供的内容正是其所需要的。 扩展应用查证(EAV:ExtendedApplicationVerification)EAV 是另一种服务检查，用于确认运行在某个服 务器上的应用能否对客户请求作出响应。为完成这种检查，BIG/IP 控制器使用一个被称作外部服务检查 者的客户程序，该程序为 BIG/IP 提供完全客户化的服务检查功能，但它位于 BIG/IP 控制器的外部。例 如，该外部服务检查者可以查证一个从后台数据库中取出数据的应用能否正常工作。EAV 是 BIG/IP 提供 的非常独特的功能，它提供管理者将 BIG/IP 客户化后访问各种各样应用的能力，该功能使 BIG/IP 在提 供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要的反馈。该功能对于提高系统可靠 性至关重要，它用于从客户的角度测试您的站点。例如，您可以模拟客户完成交易所需的所有步骤－连 接到前置服务器或中间件服务器、从目录中选择项目以及验证交易使用的信用卡。一旦 BIG/ip 掌握了该 “可用性”信息，即可利用负载平衡使资源达到最高的可用性。BIG/ip 已经为测试多种服务的健康情况 和状态，预定义了扩展应用验证(EAV)，如：FTP、NNTP、SMTP、POP3 和 MSSQL 等，用户还可依据实际应 用，自行编辑 EAV 脚本。?§ 2.3.6、“免疫力”强在图中我们可以看到，前置服务器群或中间件服务器群在逻辑上位于BIGIP之后，所有的数据流，包括“攻 击性”数据流都要经过BIGIP才能够流至服务器。BIGIP具有以下优秀的安全特性，对系统进行保护： ? ? ? ? ? 访问控制列表 IP 包过滤 加密（SSL）的管理信息传递 口令保护 拒绝“DoS”攻击? ? ? ? ?免疫“PingofDeath”攻击 不用 Ack 缓冲应答未确认的 SYN，防止 SYN 风暴 通过对无效连接的管理来防止使用没有开放的服务进行攻击 源路由检查，防止 IP 欺骗 NAT/SNAT。通过设置，BIG/ip?可以将一个端口映射到多个端口上。许多知名的端口是，如 80，443， 20，21 可以被映射到服务器上的任何一个端口上。此外，BIG/ip?可以将位于它后面的服务器的地址翻译 为那些对外公布的地址。这个安全特性为网络带来了以下几种好处：1) 2) 3) 入侵者无法确定哪些服务运行在哪些端口上，因而增加了攻击的难度； 使用非公开的路由地址、BIG/ip?可以节省客户的 IP 地址，降低客户的成本； 可以隐藏 BIG/ip?背后的服务器地址，避免这些服务器暴露到外部世界，从而减少了黑客攻击这些服务 器的机会? ?利用虚拟 IP 地址隐藏服务器实际地址。 同时，在 BIG/ip?的安全管理报告中通过监视下列参数，BIG/ip?可以在安全报告中列出那些服务和端口 受到了非法的访问尝试： ? IP 地址：攻击者的源 IP 地址 ? 频率：攻击者尝试攻击的数量 ? 端口：哪个端口受到攻击 这些信息可以帮助管理员发现他们网络中存在的安全漏洞，并且可以判定哪些人是潜在的攻击者。§ 2.3.7、网络感知应用控制网络以下图为例，前置服务器或中间件服务器会定制完成与后台服务器进行数据记录的备份。这时，这台服务 器会集中于交换数据，而影响正常的客户服务。若此时的客户请求再转向它，势必会对客户服务带来影响，如响 应延迟太大，或服务中断。 但是，F5利用“iControl”技术可以帮助服务器通知网络，“此时忙，暂停服务”，然后，网络将停止再 向它转发客户请求，而将客户请求继续转发至其它服务器，继续对客户应用请求提供服务。并且，服务器会同时 通知3DNS，这个中心可用服务器数量减少一台，应相应减少对这个中心的客户服务请求量。当这台服务器完成所 有数据记录的备份后，服务器又会通知BIGIP，此时它已恢复正常，可以提供服务。这时，系统又恢复原有的正 常状态。在系统的运行过程中，各种各样的变化是不可避免的，靠人工的方法毕竟不是一个灵活的、智能的方式。“iControl”可帮助系统成为一个“自适应”的系统，使“网络真正感知应用，应用控制网络”。另外，利用 BIGIP、3DNS 和 iControl,还可以帮助系统提供增值应用：? ? ? ? ? ? ? ??配置灵活。BIGIP 的放置非常灵活，即可放置在服务器群与网络的中间，也可与服务器群以平行的方式接 入网络。 BIGIP 可根据服务器的运行状态，如“CPU 性能”、“内存利用率”、“磁盘空间利用率”等服务器软、 硬件状态，自动调整流量的分配。 BIGIP 的高可靠性连接，提高了系统的可靠度。BIGIP 之间可互相备份，并且，提供“客户连接状态”的 备份，提供“冗余”操作。它们可工作与两种状态： Active/Standby Active/Active 可基于所有 TCP/IP 协议进行流量分发、管理和控制。 可对所有基于 IP 的设备提供流量的分发、管理和控制，包括防火墙、路由器、VPN 路由器等网络设备。 Npath? 性能。BIG/ip?包括称作 nPath 的可选模式。该模式允许服务器绕过 BIG/ip?直接将信息返回给客 户。如，涉及下载流式媒体的企业可以选择采用该功能。BIG/ip?仅对用户的请求（即进入的流量）进行 管理。 SSL 加速加密套接字(SecureSocket)层交易的广泛采用和总体网络负载减缓了服务器的执行速度。 SSLGateway 为 SSL 交易加速。§ 2.3.8、BIG/IP 的可靠性两台BIG/IP能工作在HA方式下，支持Active―Active、Active---Standby工作方式。当BIG/IP产生从当前 活动的BIG/IP控制器到备用BIG/IP控制器的自动故障切换时，镜像连接为当前的连接提供无缝故障恢复保护。例 如，如果客户正在使用FTP传输较大的文件过程中，BIG/IP发生从当前活动设备到备用设备的故障恢复，则FTP文 件传输将继续进行，不会中断。BIG-IP 支持工业标准802.3ad 链路集合，可确保实现最大吞吐量，并为您的整 个网络提供最高可靠性和可用性。 BIG/IP除了基于硬件连线故障恢复之外，BIG/IP还提供基于网络的故障恢复 功能，从而允许不在同一位置的一对BIG/IP控制器实现冗余功能，进一步强化了管理。 BIG/IP基于硬连线的故障切换时间：200毫秒 BIG/IP基于网络的故障切换时间：3秒§ 2.3.9、BIG/IP 处理能力BIG/IP是目前处理L4－－L7最快的Internet流量控制器。它具有独特的FastFlow 体系结构， BIG-IP提供 的第7 层性能比同档产品快三到四倍。第7层的快速功能为网络管理人员提供了一种经济高效的方式，借助该方 式可以确保用户在每次通过网络时都能获得轻松高效的体验。? ? ? ? 网络吞吐量达：2Gbps(Active/Active 方式下) 每秒能建立第四层会话超过 21000 个 BIGIP 对所连接的服务器群的数量没有限制，同时对服务器的软、硬件类型也没有任何限制。 BIGIP 可最大同时容纳多达 4 百万个（Cocurrent）会话业务。§ 2.3.10、防火墙负载均衡关键任务网络依赖于防火墙来提供安全保证。但它所带来的负面影响是站点可用性降低了，性能也受到了 极大影响。现在您再也不必为此而担心了。 F5的BIG-IP能够为防火墙提供智能负载平衡能力和高可用性。99.999% 的正常运行时间。 BIG-IP能够自动将用户流量导向正常运行的防火墙，从而为防火墙提供可扩展性和容错能力。BIG-IP能够 及时发现防火墙故障，并引导流量远离出现异常的防火墙，从而最大限度地延长了网络的正常运行时间和ROI， 而且丝毫不会影响设备提供的保护功能。 BIG-IP的ECV能够验证您的防火墙是否处于正常工作状态。如果某个防火墙没有在预定时间内做出响应， BIG-IP就会自动将请求导向其它防火墙－－从而为用户提供持续的高可用性。它提供了比简单的接口脉冲信号更 高的可用性。BIG-IP控制器可安装于网络内部或外部，为从外部进入站点的流量以及从局域网进入互联网的流量 创建一个安全、可靠、持续的流程。它还可以充分利用那些为成功、安全地完成交易而要求用户返回到同一防火 墙的应用。无与伦比的负载平衡安全性BIG-IP的安全性优势是其它任何防火墙负载平衡产品所无法比拟的。通过缺省拒绝、IP地址检查和端口映 射、NAT、SNAT（安全NAT）、以及全面的SSH/SSL管理，BIG-IP 网络安全性 。 能够更好地保护防火墙免遭攻击，从而增强了支持现有的防火墙BIG-IP进一步增强了您的防火墙产品的保护功能，它能够限制或拒绝对您的服务器的访问： ? ? ? ? ? ? ? ? 阻挡拒绝服务攻击（获得空闲连接） 阻挡 IP 电子欺骗（进行源线路跟踪） 拒绝没有 ACK 缓冲的未确认 SYN （防止 SYN 泛滥） 阻挡 teardrop 和 land 攻击 保护其自己和服务器免遭 ICMP 攻击 不运行 SMTPd 、 FTPd 、 Telnetd 或其它易受攻击的服务程序 通过包过滤来限制或拒绝对互联网站点的访问 通过支持命令行的安全外壳（SSH）或支持浏览器管理的 SSL 进行安全远程管理§ 2.4、采用 F5 的 SSL 集中硬件加密/解密提高交易处理能力当 BOSS 系统的关键应用通过互联网进行部署时，往往需要采 SSL 来提高应用的安全性。而 SSL 流量 的快速增加，往往使服务器的 CPU 不堪重负。F5 BIG-IP 应用交换机集成了硬件 SSL 加速处理能力，使客户能够 有效地管理通过 SSL 提供的企业应用，并进行先进的智能流量管理检查。从而，提供了更强大的性能，并降低了 实施安全应用的成本。 F5 BIG-IP 应用交换机对 SSL 会话第一阶段的非对称加密和第二阶段的对称加密都实现了硬件加速，真正卸 载 CPU 处理 SSL 加密解密的带来的沉重负担。通过 iRule 提供的强大编程处理能力，F5 BIG-IP 应用交换机还可 以实现对应用内容有选择性的加密。 BIG-IP 应用交换机在基本配置中已经包含了 100TPS 的 SSL 加速处理能力。通过购买附加的 License 可以将 额外 SSL 的加速处理能力在 BIG-IP 应用交换机上激活。 BIG-IP 1500 BIG-IP 3400 BIG-IP 6400 BIG-IP 6800 Max. SSL TPS Max. SSL Bulk 2,000 500 Mbps 8,000 1 Gbps 15,000 2 Gbps 20,000 2 GbpsMax. SSL conc. conn.100,000200,000500,000500,000§ 2.5、采用 F5 的动态智能 HTTP 压缩提高访问效率和响应速度在实际应用处理中，除了使用 F5 设备进行负载均衡，提高系统性能以外，还可以利用 F5 的动态智能压缩 功能，来提高服务器的访问效率和响应速度。Client 1 BIG-IP Web ServerCompression on the BIG-IP Client 2使用工业标准的 GZIP 和 Deflate 压缩算法来压缩 HTTP 流量；降低带宽消耗、缩短最终用户在慢速 / 低带宽连接 条件下的下载时间。 广域网访问的网络延时与带宽瓶颈经常给用户的 WEB 应用的正常访问带来不便，通过在 F5 BIG-IP 应用交换机上 启用 HTTP 压缩功能，可以带来以下好处： ? 更快的页面下载速度； ? 更小的带宽消耗(支持广泛数据类型的压缩：例如 HTTP, XML, Javascript, J2EE applications and many others)， 启用带宽压缩所带来的带宽节省可以达到 80%。 ? 客户端自适应的压缩处理能力(技术专利)：F5 BIG-IP 应用交换机可以通过探测到客户端的 Round Trip Time 来识别用户是通过宽带还是窄带方式上网，然后决定是否要对该用户启用 HTTP 压缩功能。 ? 对用户完全透明，不需要在客户端安装程序：F5 BIG-IP 应用交换机采用的压缩算法是目前常用 WEB 浏览器 广泛支持的 GZIP 和 Deflate 算法，因此对用户完全透明，不需要预先安装客户端解压程序。 Bytes before compression IIS 6.0 (Standard Web Content) Oracle 10g Portal OWA 2003 Sharepoint Portal Services 2003 Siebel Call Center 7.7 Weblogic Portal v8.1 538,318 305,001 790,652 2,053,366 217,970 Bytes after compression 97,875 100,192 203,400 275,343 66,093 % bandwidth saved 82 67 74 87 70以下是各种型号 BIG-IP 应用交换机所能支持的最大压缩处理能力： BIG-IP 1500 Max. compression 100 Mbps BIG-IP
Mbps BIG-IP 6400 2 Gbps BIG-IP 6800 2 Gbps第三章、方案优势§3.1、具有高度的可靠性和快速自愈能力网络在选用设备时充分考虑到了将来网络运行的可靠性，中心交换机关键部件电源、管理模块、主干模块 都可做冗余配置。网络核心实现链路冗余，这两条链路可以实现负载均衡，在发生链路故障时，故障链路流量将 自动切换到另一链路。从而保障了网络运行的可靠性。实现链路冗余。中心交换机支持802.1D生成树协议和 802.1W快速生成数协议，使链路冗余和路由具有自愈的能力，OSPF等路由路径失败恢复小于3sec.。物理失败恢 复小于 10 msec.，链路失败恢复 小于50 msec，使网络具有快速的自愈能力。 负载均衡控制器，采用双机方式，提高可靠性。在配置两台BIG/IP时可以有效地避免单点故障。两台 BIG/IP一台Primary一台Slave，当一台失效时第二台自动工作，也可同时工作，确保网络工作不间断。采用 BIG/IP的健康检查功能，实现对服务器的实时监测和故障自动屏蔽功能。它可以检测到服务器集群的HA心跳线。 采用BIG/IP实现对客户服务器的吞吐能力的动态冗余备份能力，帮助用户在不增加服务器的情况下，响应访问高 峰时的突发流量，避免服务器过载。§3.2、高可用性BIG/IP控制器工作模式为主动式，它会连续监控网络内容的可用性，BIG/IP把用户在指定的响应时间内导 向相应的能给出正确内容的服务器，而决不会将用户送到一个不能正常响应的服务器或应用。§3.3、智能内容访问管理对你的网络内容及应用的访问的重要性是决不能低估的，它是保证你的站点可用、全时以最佳性能工 作中的一个关键的成功因素。了解对网站可用性及性能产生影响的各种情形才能完全理解对内容管理良好的必要 性。下表列出了四种情形及BIG/IP控制器的对应的智能特性是如何防止它们对站点产生影响的。情形服务器失败描述由于硬件或操作系统坏使服务 器不可用 单个应用挂死或停止响应即使 其它应用正常BIG/IP 特性用 BIG/IP 配以多个服务器，信息 流会自动绕过不可用服务器 BIG/IP 控制器主动检查监控该失败 并将请求转到其它正常服务好处通过主动监控服务器，BIG/IP 控制 器使坏服务器对用户透明。而坏服务 器修复后则自动加入服务，易于管理 主动对单个服务进行监控使失败对用 户透明。一旦服务再次可用后， BIG/IP 则恢复向它发送请求，易于 管理 用户决不会收到 “404ObjectNotFound”(目标未被找 到)或其它出错信息。它也允许站点 将保护延伸到后端应用如数据库 用户常常体验到的是可接受的响应 时间及需要的服务质量。服务器决 不会因为最近的那个连接而使已存 在的连接变慢软件失败内容失败太多流量服务器及应用正常工作但对请 求响应以 “404ObjectNotFound”(目标 未被找到)或其它出错信息 随着流量增长，服务器在某个 时候出现对任何请求均停止响 应BIG/IP 控制器在应用层对单个服务 器进行查询，如果某个应用未返回 正确内容，它会把请求转向正常运 行的应用 BIG/IP 控制器可让你设置性能门 限，如果服务器、服务或应用对请 求的响应性能超过可接受值，则会 自动将请求转向。也可服务器的最 大连接数以避免服务器过载§3.4、系统的安全性网络设计时，在网络入口放置了两台防火墙，把内网和外网有效隔离，以确保网络的数据安全，加强了网 络的可靠性。同时网络也考虑这样一种事实，即一旦网络受到黑客的袭击、破坏后，网络如何能在最短的时间内 恢复各种业务的正常运行。BIG/IP专门设计用于加强、提高网络的安全性，并且能够保护网络中的服务器，使他 们抗拒那些来自黑客的攻击。 BIG/IP已经成功地运行在世界上许多著名公司的网络系统中，例如微软公司所有的电子商务网站上，阿拉 斯加航空公司的网上售票系统，及Egghead公司软件销售系统。BIG/IP为这些公司庞大的网络系统的安全运行发 挥了巨大的作用。越来越多的用户已经认识到F5公司的BIG/IP不但可以实现对防火墙、代理服务器的智能的负载 均衡处理，同时利用BIG/IP还可以加强系统的安全性，提高系统的可用性。 BIG/IP是一款灵活的、适应力非常强的产品，与防火墙、路由器ACL、邮件过滤器及内容过滤器等产品配合 使用可以极大地提高网络的安全性，即使F5的BIG/IP产品在市场上的定位并不是防火墙或安全产品，但是BIG/IP 的众多安全特性的确为这些网站系统的安全运行提供了必要的支持，许多知名公司如微软，USAToday，ANS及阿 拉斯加航空公司等，BIG/IP也在这些公司庞大的网站的高效、健康地运行中赢得了巨大的声誉。§3.5、可扩展性网络可扩展的关键在于能否实现合理的模块化设计，采取模块化的设计可以可以根据网络需求的变化，可 在不影响现有网络运行的状况下，迅速扩展。网络中心交换机、防火墙均具有强大的扩展能力。负载均衡控制器 提供的网络方案L4、L7层的服务，大量的以百兆和千兆以太端口，它完全独立与网络设备、服务器设备，具有极 强的扩展能力。§3.6、灵活性灵活的目的是要实现“根据用户具体需求进行定制”，负载均衡控制器具有灵活的策略控制功能，可根据 业务的不同需求进行取舍，使得数据中心可实现对于不同业务的定制服务，体现“为用户服务的原则”。§3.7、可管理性对于数据中心而言，网络的可管理性是网络运营管理成功的基础。网络提供统一以网络管理平台，在F5的 网络方案中，Xcontrol能对网络的应用进行全面的管理，可提供多种优化的可管理信息。§ 四章、设备介绍 第§4.1、F5 流量管理设备BIG-IP? V9 系列BIG-IP?本地流量管理器应用交付低效、迟延和失败都会导致数百万美元的损失，包括预算浪费、公司名誉受损，系统和应用停机、法律责任 以及错失良机等。 BIG-IP?本地流量管理器是一款出色的应用流量管理系统，可提供业内最智能，最具适应性的解决方案来保护、优化和 交付应用，从而确保企业能够在保持高效运营的同时提高其竞争力。 它是业内唯一一款包含整套统一应用基础设施服务的系统，将总体控制、可见性以及灵活性出色地融合到应用安全、 性能和交付中。优点？更高的业务灵敏性和当今企业生命线（应用）的成本实施。主要优势可靠性提供业内最可靠、最先进的系统，以确保应用始终可用。应用加速 提供无可比拟的控制能力将应用性能提高 3 倍，确保高优先级应用得以优先处理，同时卸载昂贵的服务器循环。 降低服务器和带宽成本 通过丰富的基础设施优化特性将服务器容量增加 3 倍；同时通过智能 HTTP 压缩、带宽管理等特性将带宽成本降低 80%。 增强网络和应用安全性 从拒绝服务（DoS）保护到隐藏、再到过滤应用攻击，BIG-IP 添加了多项不能在网络中其它地方实现的关键安全特性。 无可比拟的应用智能与控制特性 业内唯一一款可提供完整应用流的解决方案――能够以网速进行全面的有效负载检查和基于事件的可编程流量管理，以及时掌握流 量信息，并采取相应措施。 面向所有 IP 应用的集成解决方案 提供可与所有应用（不仅是基于 Web 的协议（HTTP/S））相集成的综合解决方案，在单个统一系统内为企业提供了面向所有 IP 应 用（包括传统应用和诸如 VOIP 等新兴应用）的集中解决方案。 行业领先的性能 提供行业内最快的流量管理解决方案，来保护、交付和优化应用性能。作为行业内当之无愧的领导者，BIG-IP 再次刷新了 SSL TPS、批量加密以及最大并发 SSL 连接的业内记录。 简化管理、提高可见性 全新的图形用户界面（GUI）极大地简化了产品配置，提供了针对流量与插件资源的精细可见性，同时支持配置的批量快速修改。强大的 TM/OS 体系结构：完善的应用智能与网络适应性 新型 BIG-IP 的核心是一款创新体系结构，称为 TM/OS（流量管理/操作系统），它为企业提供了一套统一系统 来帮助其实现最佳应用交付。TM/OS 针对 BIG-IP 上的每项功能都做了改进，在支持 BIG-IP 智能地适应应用与 网络日新月异的需求同时，提供了面向所有服务的完全可见性、灵活性和控制能力。TM/OS 快速应用代理 TM/OS 使 BIG-IP 能够高效地将客户机与服务器端数据 流隔离开来、独立维持每个连接设备的最佳性能，并 承担起系统间的通信工作，以改进应用性能。如今， 任何与 BIG-IP 相连的系统或 IP 应用都将可以更高效地 工作。iRules 和通用检查引擎 TM/OS 集成了 F5 新版定制的 iRules 和通用检查引擎（UIE），为应用交 易或应用流内任何时刻的应用流量处 理都提供了无与伦比的控制能力。凭 借完整的有效载荷检查及转换能力、 可扩展的事件驱动 iRules 以及面向会 话层的交换（session-aware switching）技术、BIG-IP 提供了业内 最智能的流量控制点，以（以网速） 解决各种应用交付问题。BIG-IP 统一应用基础设施服务 通过易于管理的图形用户界面（GUI）和流量“简档”（profile）调用或通过 iRules 调用，BIG-IP 统一应用基础设施服务代表了一整套最全面的功能，使企业能够更为高 效地集成、定位和扩展所要求的服务，以提高应用部署效率。全面的负载均衡 先进的应用交换 会话/流交换 定制状态监控 智能网络地址转换 通用持续性 响应错误处理 IPv6 网关（M） 高级路由（M） 智能端口镜像 （M）=作为插件模块提供SSL 加速（M） 智能 HTTP 压缩（M） TCP 优化 第 7 层带宽管理（M） 内容缓冲（Content Spooling/Buffering）内容转换 连接加速 智能服务质量 广域网优化高级客户机认证（M） 资源隐藏（Resource Cloaking） Cookie 加密 选择内容加密 应用攻击过滤 拒绝服务（DoS）攻击和 SYN Flood 保护 防火墙―包过滤 包消毒（Packet Sanitization）交付：最大可靠性和可扩充性BIG-IP 通过提供业内领先的第 7 层智能特性消除了单点故 障，并实现了网络与应用的虚拟化。这样可确保所有站点 始终保持正常运行，并使其更具可扩充性和更易于管理。 BIG-IP 卓越的智能特性为企业提供了一款强大的解决方 应用状态检查 BIG-IP 提供了复杂的监视器来检查设备、应用和内容的可 用性，其中包括支持许多应用的专用监视器（包括各种应 用服务器、SQL、SIP、LDAP 和、XML/SOAP 等）以及用 以检查内容和模拟应用呼叫的监视器。此外，BIG-IP 还能 对共享服务器上的应用进行有效管理，并前瞻性地报告其 状态。 高可用性及交易保证 BIG-IP 可提供次秒级系统故障切换和广泛的连接镜像，从 而帮助用户出色地解决各种类型的系统、服务器或应用故 障。同时，它还能前瞻性地检查并对任何服务器或应用错 误即时作出响应，从而帮助企业在降低系统负载的同时， 获得出色的可靠性。 全面的负载均衡 BIG-IP 采用多种静态和动态负载均衡方法（包括动态比 率、最小连接和观测负载均衡），可跟踪一组服务器的动 态性能级别，从而确保可始终选中最佳资源以改进性能。 智能应用交换 由于 BIG-IP 可读取所有 IP 应用，所以它能够基于特定厂 商的应用服务器（BEA、微软、IBM、Oracle、SUN 等） 信息、Web 服务应用中的 XML 数据或移动/无线应用的设 备值来实现持续性。凭借 iRules 的深度分组检验能力和 BIG-IP 的交换特性、日志记录特性以及有效载荷或流持续 性，企业可以为其所有应用获得更高的可靠性和可扩充 性。 完善的 IPv6 网关 所有企业都需要制定一套明晰的无缝演进战略，以分阶段 进行网络移植，以支持不断增长的 IPv6 需求。 通过 IPv6 网关模块，BIG-IP 提供了完整的 v4 与 v6 网络间 IP 转换与负载均衡能力。这使得用户移值和混和 IPv4 与 IPv6 主机资源的共享更易于管理，同时也更为经济高效。 内容转换 增加服务器容量，提高站点响应性 BIG-IP 可提供广泛的连接管理以及 TCP 和内容卸载能力， 以优化服务器性能，显著提高页面加载速度。例如，BIGIP 的 OneConnectTCM 能通过将数百万条客户机请求汇聚到 成百上千个服务器端连接中将服务器容量增加 60%，从而 确保了后端系统能够高效地处理这些请求。 通过其它优化技术（比如内容缓冲（content spooling）），BIG-IP 可充当“中间人”来优化与任何端 点之间的通信，使服务器能够更有效地处理其工作负载， 从而提高通过 BIG-IP 运行的任何应用的服务器容量。 加密无所不在 作为领先的 SSL 加速解决方案，BIG-IP 提供了惊人的 SSL 处理扩充性，持续 SSL 吞吐率可达 2Gbs。通过加速批量加 密和设置加密，企业可使用更安全的加密方法将其全部通 信移植到 SSL 上，同时不会对应用性能带来任何影响。 确保关键应用性能 BIG-IP 灵活的第 7 层带宽管理能力可使企业对带宽进行有 效管理，以确保高优先级应用能够得到按时交付。同时， 它还提供了定制控制能力，以设定基于应用的带宽限制 （容许的带宽峰值），甚至还能在应用之间建立队列关 系。 广域网（WAN）优化和应用加速 BIG-IP 提供了一套有针对性的方法来减少流量，降低互联 网延迟和客户机连接瓶颈对其应用性能所造成的影响。通 过智能压缩等先进特性，BIG-IP 可支持对各种文件类型的 压缩（如 HTTP、XML、Javascript、J2EE 应用等），从而 在将带宽利用率降低 80%的同时，将应用性能提高了 3 倍。 案，可帮助它们提高应用性能、增加现有基础设施的容 量、降低基础设施成本和加速其应用。优化：降低基础设施成本和加速应用BIG-IP 提供了一款完善的解决方案，可将许多繁重或重复 功能卸载至一个集中管理的大功率网络设备上。除了 SSL、压缩和其它许多功能外，BIG-IP 还提供了一个完整 的内容转换网关，可对应用内容进行重新引导、插入或进 行整体转换，从而实现有效的应用集成。安全：更高的攻击防护这种防护不仅可以阻止攻击，同时还可以为合法用户提供即时服务。从这两方面来看，BIG-IP 均提供了一整 套安全服务，在提高网络和应用的安全性方面扮演了日益重要的角色。从增强网络和协议级安全性到过滤应用 攻击，BIG-IP 都可以部署在关键网关上，来出色的保护您的珍贵资源：运行业务的应用。 支持应用安全性? 资源隐藏――BIG-IP 将全部应用、服务器错误代码和 真实 URL 地址进行虚拟化并隐藏，因为这些信息可能 会给黑客提供攻击其基础设施、服务以及相关漏洞的 线索。 定制应用攻击过滤―BIG-IP 的完整检查能力及基于事 件的规则提供了一项强大的能力，可搜索并应用各种 规则来阻止 L7 层攻击――同时也可以定义策略来阻止 特定访问或禁止某些命令的执行。此外，BIG-IP 在为 合法用户持续提供流量的同时，还可提供其它安全保 护层，以防范黑客、病毒和蠕虫的攻击（如红色代码 蠕虫） 集中认证――BIG-IP 可作为各种流量类型的认证代 理，使企业能够为 BIG-IP 系统上的应用提供最高级的 认证。这种功能使各类应用又多了一道远离自身的网 络安全防线，为其 Web 和应用层提供了进一步的保 护。 ? 支持更高标准的 AES（高级 SSL 加密标准）算法，采 用市场上最安全的 SSL 加密技术，无需额外处理成 本。 内容保护――防止企业的敏感文件或内容遗留在站点 上。??防御海量攻击BIG-IP 包含丰富的安全特性集，可全面防御拒绝服务 （DoS）攻击、同步攻击（SYN Flood）、和其他基于网络 的攻击。诸如 SYNCheck 等特性可为部署在 BIG-IP 设备后 的服务器提供全面的同步攻击（SYN Flood）保护。此时， BIG-IP 作为安全代理，来有效地保护整个网络。与 Dynamic Reaping 特性相结合，BIG-IP 设备可安全地过滤海量攻击， 同时为合法连接用户提供不间断的服务。?避免协议攻击BIG-IP 提供了“协议无害处理”（Protocol Sanitization）和 “充分 TCP 终止”（Full TCP Termination）点来单独管理 客户机和服务器端连接，以保护所有后端系统和应用免遭恶 意攻击。增加关键内容保护? 提供行业内最具选择性的加密方法，来对数据进行整 体、部分或有条件地加密。这种精细的控制方法可保 护并优化不同环境下的通信。 Cookies 加密和其它令牌都透明地分配给合法用户。企 业可获得全部状态应用（电子商务、CRP、ERP 和其 它关键业务应用等）出色的安全性和更高一级的用户 身份信任。防火墙――包过滤现在，BIG-IP 集成了一个控制点来定义并执行基于第 4 层的 过滤规则（基于 PCAP，与网络防火墙类似），以提高网络 保护能力。?BIG-IP 的性能及可靠性创新的性能 BIG-IP 提供了业内最快速的应用流量管理方案，其 特别设计的体系结构将高性能交换结构与一流 SSL 和第 4 层硬件优化完美结合一起，以彻底卸载系统 CPU。BIG-IP 确保了各项功能均可达到其真实性 能，并能够以网络速度进行深层次分组检查。 系统 HA 和管理 BIG-IP 通过多重启动、“热”升级、无人值守管理 等关键特性改善了系统管理。 作为一款高可用性设备，BIG-IP 还提供了对于“HA 表”下所有处理器状态无可比拟的可见性。 F5 的 iControlTMAPI 与 SDK 帮助实现了第三方应用 和 BIG-IP 之间的自动通信，从而消除了繁琐的手工 操作。经扩展后，iControl 现在已可支持真正的发布/ 订阅模式。这一模式大大降低了网络开销，改善了通 过 iControl 接口与 BIG-IP 相集成的应用的性能。对 于大多数应用而言，该模式能够显著降低客户机和服 务器的网络带宽与处理时间。iControl―创建面向应用的网络网络支持 STP、MSTP、RSTP 链路聚合 VLAN 标记 Qos/ToS 第三方 MIB 支持：全部默认 Net-SNMP BIG-IP――扩充、安全和优化：全新图形用户界面和简化的管理先进的全新图形用户界面极大地简化了产品配置，降 低了设置和维护成本上升。ApacheBEA WebLogic Check Point VPN-1/FireWall-1 Citrix Metaframe Presentation Server HP OpenView Lotus/Domino Notes servers IBM WebSphere Oracle: C 9i Application Server C 10g Application Server C E-Business Suite 11i C Collaboration Suite.微软:基于“简档”（Profile）的配置 全新的简档对象（Profile Object）使企业用户可创建 应用于不同资源的流量行为模板，从而减少重复操作 并提供一致的设置修改方法。 提高可见性 BIG-IP 能够提供详尽的流量统计数据（全局范围或 基于每个对象），以帮助企业更好的监控全部活动和 资源。 丰富的用户界面 BIG-IP 全新的图形用户界面提供了多项可用性增强 特性（通过一个安全的、基于 SSL 浏览器的接口提 供），其中包括在线帮助、搜索与分类、在线创建 等，大大降低了用于配置的设置与维护时间。C Application Center C Commerce Server C Exchange Sever C Outlook Web Access C Windows Terminal Services C SharePoint Portal Server C Internet Information Services (IIS) C Live Communications Server C SQL Server C Microsoft Operations Manager C Mobile Information Server C Internet Security and Acceleration Server C Visual Studio .NET Siebel eBusiness Applications PeopleSoft EnterpriseMacromedia ColdFusionTrend Micro InterScan Mercury Business Availability Center SAP mySAP Business Suite Netegrity SiteMinderwebMethods Enterprise Services Platform Tivoli Access Manager RSA SecureID RealNetworks RealSystem ServersSun iPlanet Servers...更多可用的插件模块智能压缩模块 使用工业标准的 GZIP 和 Deflate 压缩算法来压缩 HTTP 流量；降低带宽消耗、缩短最终用户在慢速/低带宽连接条件下的下载时间。 SSL 加速模块 在关键业务在线交易期间提供安全、速度和流量管理的同时，显著改善服务器性能。BIG-IP6800 可支持高达 20,000 个 SSL TPS，所 有 BIP-IP 系统均包含 100 个 TPS 许可证。 第 7 层带宽管理模块 通过为高优先级应用分配带宽，确保获得最佳应用性能；基于第 4 层或第 7 层参数来控制峰值流量并确定流量优先级。 先进的客户认证模块 允许 BIG-IP 提供到 LDAP、Radius、TACAS 和其它集中认证设备的顶级 HTTP 和其它流量类型的客户机认证。 IPv6 网关模块 提供 v4 和 v6 网络之间完全的 IP 转换与负载均衡能力，使用户移植和混和 IPv4 与 IPv6 主机资源的共享更易于管理，也更为经济高 效。 路由模块 针对 BGP、RIP 和 OSPF 提供不同的网络路由模块。订购信息BIG-IP 本地流量管理器有以下四款规格：更多的软件模块可按您的实际需要快速添加。6800 系列―― 超级多用途流量管理 处理器：双 CPU 基本内存：2GB ASIC：Packet Velocity ASIC2 千兆位 CU 端口：16 个 千兆位光纤端口：(SFP - GBIC Mini)4个（2个标准、2个可选） 包括：SSL TPS/Max TPS/Bulk 加速模块：（100/20,000/2GB/秒） 流量吞吐量：4GB/秒 可选硬件设备：硬件压缩*（2GB/ 秒） 6400 系列―― 高级多用途流量管理 处理器：双 CPU 基本内存：2GB ASIC：Packet Velocity ASIC2 千兆位 CU 端口：16 个 千兆位光纤端口：(SFP - GBIC Mini)4个（2个标准、2个可选） 包括：SSL TPS/Max TPS/Bulk 加速模块：（100/15,000/2GB/秒） 流量吞吐量：2GB/秒 可选硬件设备：硬件压缩*（2GB/ 秒） FIPS 处理**（8,000TPS/1GB SSL 吞吐量） *业内第一款硬件压缩 ASIC，集中流量压缩处理，提高服务器容量多达 20%，同时加快了对终端用户的应用响应，并降低成本。 **FIPS141-2 二级认证处理通过将 SSL 密钥存贮到硬件安全模块中，增强了 SSL 密钥的安全性。防止企业的敏感文件或内容遗留在站点上。 3400 系列―― 中级多用途流量管理 处理器：单 CPU 基本内存：1GB ASIC：Packet Velocity ASIC2 千兆位 CU 端口：8 个 千兆位光纤端口：(SFP - GBIC Mini)2个可选 包括：SSL TPS/Max TPS/Bulk 加速模块：（100/5,000/1GB/秒） 流量吞吐量：1GB/秒 1500 系列―― 普通多用途流量管理 处理器：单 CPU 基本内存：768MB ASIC：无 千兆位 CU 端口：2 个 千兆位光纤端口：2个可选 包括：SSL TPS/Max TPS/Bulk 加速模块：（100/2,500 MB/秒） 流量吞吐量：500GB/秒F5 网络公司背景信息 F5 公司可为企业成功地提供关键业务应用和最出色的灵活性来充分满足其业务需求。 作为应用流量管理的先行者和全球领先厂商，F5 将致力于不断为网络添加更多智能特性来提供先进的应用灵活性，使企业保持领先 地位。
赞助商链接
racktom.com
copyright &copyright 。共享资料网内容来自网络，如有侵犯请联系客服。