F5应用流量管理解决方案2

F5应用流量管理解决方案1.F5公司概况F5Networks是应用流量管理领域的行业领导者,为客户成功发布网络服务和应用提供一流的网络平台，它使企业和服务提供商能够优化任何关键任务应用或web服务，从而在不可预测的环境中提供安全、可预测的应用流量交付。F5Networks成立于1996年,在1999年上市,Nasdaq(FFIV)，总部在西雅图。在流量管理领域，F5的主要产品系列包括BIG-IP--提供本地应用流量管理和3-DNS—提供广域应用流量管理。同时，在安全领域，F5于2003年7月收购Urom–SSLVPN产品，目前提供FirePassSSLVPN，使得用户可以通过任何浏览器来远程控制公司网络。本文将主要介绍应用流量管理产品和解决方案。2.应用流量管理产品系列介绍2.1BIG-IP—本地流量管理应用交换机BIG-IP是一款出色的局域应用流量管理解决方案，可确保为Web应用提供出色的可用性、可靠性、安全性及可扩充性。它可以提供高可用性负载平衡、快速与超智能的第7层交换、精细的互动控制、DoS保护、资源共享以及其它诸多特性，从而为企业的互联网网络提供最好的保护。BIG-IP产品系列包括F5NetworksBIG-IP应用交换机--5100系列、2400系列、1000系列。BIG-IP5100系列作为最出色的第7层交换机，BIG-IP5000系列通过其强大的应用级事务（第7层）处理能力优化了应用和Web服务的交付。配置：2枚1.26GHz奔腾处理器、1GB内存、24个10/100和4GB端口、以及集成的SSL（无需额外费用）。BIG-IP2400系列作为当今业界最出色的第4层交换机，BIG-IP集成了F5全新的PacketVelocityASIC，加速了站点响应速度，每秒可处理多达250,000个第4层（IP地址和端口）请求。配置：1枚1.26GHz奔腾处理器、512MB内存、16个10/100和2GB端口、以及集成的SSL（无需额外费用）。BIG-IP1000系列作为性价比最高的交换机，BIG-IP1000系列具备BIG-IP应用流量管理软件的全部功能，并可提供1（Gb）X8（10/100）交换机的能力和端口更少的平台，并有集成的SSL可供选购。2.2BIG-IP链路应用交换机随着企业开始更多地使用互联网来交付其关键业务应用，只保持一条到公共网络的连接链路则意味着频繁的单点故障和脆弱的网络安全性。BIG－IP®链路控制器可以无缝地监控多条WAN连接的可用性与性能，以智能地管理到某一站点的双向流量，从而提供出色的容错性和优化的互联网访问。提供企业可靠的WAN连接，提供企业级互联网连接能力。BIG-IP链路应用交换机为多归属网络提供高可用性及智能路由能力。它可作为独立交换机（BIG-IP链路应用交换机1000或2400）或添加到任何完全BIG-IP产品的软件模块来实现其功能。将“链路控制模块”添加到BIG-IP平台上，客户即可获得全功能的第4-7层应用流量管理和多归属支持。BIG-IP链路应用交换机产品型号有BIG-IP链路应用交换机2400和BIG-IP链路应用交换机1000，链路应用交换高性能解决方案包含业界最快速的多归属网络路由功能，并受F5最新PacketVelocityASIC支持，具有最理想的性价比，可为中等规模企业提供全套BIG-IP链路应用交换机软件功能。2.33DNS®控制器--高可用性、智能流量管理3-DNS(R)控制器可为运行在多个数据中心的IP应用/服务提供出色的广域流量管理和高可用性。它可根据数据中心和网络状况（如往返时间、数据包丢失和其它QOS指标）来分配最终用户请求，以确保为您的站点提供最高的可用性。利用3DNS®控制器，可以确保所有互联网站点的最佳可靠性和一致性，无论它们位于何处。3－DNS为工业标准DNS增添了智能特性，确保将最终用户送到一个可提供最佳响应的可用站点。3－DNS独有的智能特性可以检查数据中心和网络的运行状态以及各用户的地理分布状况，然后根据定制的商业规则来引导流量。3-DNS控制器520，配置一枚(1)1GHzPIII处理器、40GB硬盘、512MB（可扩充至2GB）。可以在一体化的设计中提供了集成的广域负载平衡与本地负载平衡能力。3.典型应用与解决方案BIG-IP3.1平衡应用服务器资源当系统完成“物理集中”后，大量的数据等待前置服务器处理。现有的方式多为采取单台或单组服务器负责处理某一组地区的用户数据。但是，由于地区发展的不平衡，人口密度的差别，业务量的不同，等等这些问题造成了这些负责不同区域的服务器上的数据量大小差别很大。这样，有些服务器上数据量不大，系统资源空闲量很大，“吃不饱”，而同时，有些服务器上数据量很大，系统资源又严重不足，“被撑死”。这就是系统资源利用的“不平衡”现象。BIGIP是一台对流量和内容进行管理分配的设备，结合BIGIP能够充分利用所有的服务器资源，将所有流量均衡的分配到各个服务器。它提供12种灵活的算法将数据流有效地转发到它所连接的服务器群。而面对用户，只是一台虚拟服务器。用户此时只须记住一台服务器，即虚拟服务器。但他们的数据流却被BIGIP灵活地均衡到所有的服务器。这12种算法包括：轮询（RoundRobin）：顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7层的故障，BIGIP就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。比率（Ratio）：给每个服务器分配一个加权值为比例，根椐这个比例，把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障，BIGIP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。优先权（Priority）：给所有服务器分组，给每个组定义优先权，BIGIP用户的请求，分配给优先级最高的服务器组（在同一组内，采用轮询或比率算法，分配用户的请求）；当最高优先级中所有服务器出现故障，BIGIP才将请求送给次优先级的服务器组。这种方式，实际为用户提供一种热备份的方式。最少的连接方式（LeastConnection）：传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7层的故障，BIGIP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。最快模式（Fastest）：传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7层的故障，BIGIP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。观察模式（Observed）：连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7层的故障，BIGIP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。预测模式（Predictive）：BIGIP利用收集到的服务器当前的性能指标，进行预测分析，选择一台服务器在下一个时间片内，其性能将达到最佳的服务器相应用户的请求。(被BIGIP进行检测)动态性能分配（DynamicRatio-APM):BIGIP收集到的应用程序和应用服务器的各项性能参数，动态调整流量分配。动态服务器补充（DynamicServerAct.):当主服务器群中因故障导致数量减少时，动态地将备份服务器补充至主服务器群。服务质量(QoS)：按不同的优先级对数据流进行分配。服务类型(ToS)：按不同的服务类型（在TypeofField中标识）对数据流进行分配。规则模式：针对不同的数据流设置导向规则，用户可自行编辑流量分配规则，BIGIP利用这些规则对通过的数据流实施导向控制。3.2提高应用服务器性能前置服务器的业务一般多为联机业务。联机业务的处理多存在“波峰”和“波谷”的变化。而且“波峰”时，业务量大小的变化又不规律，这就使前置服务器不得不面对“峰值堵塞”问题。原有解决方法为增加前置服务器或主机数量，提高处理能力。但仍存在性能不平衡问题，且这样做，投资成本大。利用BIGIP优秀的负载均衡能力，所有流量会被均衡的转发到各个服务器，即组织所有服务器提供服务当出现流量“峰值”时，如果能调配所有服务器的资源同时提供服务，所谓的“峰值堵塞”压力就会由于系统性能的大大提高而明显减弱。这时，系统性能等于所有服务器性能的总和，远大于流量“峰值”。这样，即缓解了“峰值堵塞”的压力，又降低了为调整系统性能而增加的投资。3.3冗余备份—〉负载均衡单台服务器的设置，不可避免会出现“单点故障”，需要进行服务器“容错”。为实现容错，往往在主服务器旁安置一台或多台备份服务器。但这样做，平时只有一台服务器工作，其它服务器处于空闲状态，无法完全利用所有服务器的处理资源，投资得不到充分利用。且当出现“峰值堵塞”时，所有服务器连续被“堵”至“死”。并且，当所有服务器都损坏时，无法动态地、合理地利用其它资源提供服务或备份。BIGIP将所有的服务器组织在一起提供服务，流量压力合理地分担到各个服务器。当服务器群中的任何一台或多台设备发生故障后，用户的服务请求被均衡到其它服务器。本地服务器群中的服务器数量不能满足系统要求时，BIGIP会利用“动态服务器补充”功能自动调入服务器补充系统性能。并且即使当所有服务器都不能提供服务时，“Redirect”功能会把用户数据请求转发到“备份”点，满足系统的可靠性要求。3.4应用服务器灵活扩展根据系统的发展、业务的增长，进行灵活的扩充，是不可避免的。这不仅要顾及到数量的增长，同时也要考虑到软硬件类型的区别。BIGIP对系统的扩充是非常灵活的。BIGIP对所连接的服务器群的数量没有限制，同时对服务器的软、硬件类型也没有任何限制。BIGIP可最大同时容纳多达4百万个会话业务。BIGIP的高可靠性连接和对多条链路的负载均衡都是非常成熟应用.3.5应用服务器安全保护对应用服务器进行安全防护，除了采用传统意义上的防火墙、IDS等安全防护设备外，基于内容检查的BIG-IP也可以提供应用服务器4—7层的内容检测，并提供用户标准的安全防护策略。前置服务器群或中间件服务器群在逻辑上位于BIGIP之后，所有的数据流，包括“攻击性”数据流都要经过BIGIP才能够流至服务器。BIGIP具有以下优秀的安全特性，对系统进行保护：访问控制列表IP包过滤加密（SSL）的管理信息传递口令保护拒绝“DoS”攻击免疫“PingofDeath”攻击不用Ack缓冲应答未确认的SYN，防止SYN风暴通过对无效连接的管理来防止使用没有开放的服务进行攻击源路由检查，防止IP欺骗NAT/SNAT。通过设置，BIGIP®可以将一个端口映射到多个端口上。许多知名的端口是，如80，443，20，21可以被映射到服务器上的任何一个端口上。利用虚拟IP地址隐藏服务器实际地址。同时，在BIGIP®的安全管理报告中通过监视下列参数，BIGIP®可以在安全报告中列出那些服务和端口受到了非法的访问尝试：IP地址：攻击者的源IP地址频率：攻击者尝试攻击的数量端口：哪个端口受到攻击这些信息可以帮助管理员发现他们网络中存在的安全漏洞，并且可以判定哪些人是潜在的攻击者。3.6应用容灾随着数据中心的集中，数据中心的冗余或容错显得尤为重要。当建立备份中心或数据中心间形成备份后，在它们之间提供动态的、灵活的容错机制显得尤为突出。数据中心的冗余设置常被用来提供数据中心的“容灾”。BIGIP与3DNS的结合，可以灵活的提供“容灾”保障。BIGIP可以通过设置“备份中心”，保证在主数据中心负载过重或发生故障，无法正常提供服务时，自动启用“备份中心”，继续为客户提供服务。3DNS可以帮助客户在系统寻找过程中，智能地找寻到合适的数据中心。并且3DNS还可以动态监测数据中心的状态，一旦主数据中心发生故障，无法正常提供服务，3DNS可以自动将流量立即传送到备份“备份中心”。BIGIP与3DNS的结合应用，可以保证在局域和广域连接中为系统提供灵活的“容灾”策略。BIG-IPLINKCONTRILLER随着企