1. F5公司概况
F5 Networks是应用流量治理领域的行业领导者,为客户成功发布网络服务和应用提供一流的网络平台,它使企业和服务提供商能够优化任何要害任务应用或web服务,从而在不可猜测的环境中提供安全、可猜测的应用流量交付。
F5 Networks成立于1996年, 在1999年上市, Nasdaq (FFIV),总部在西雅图。在流量治理领域,F5的主要产品系列包括BIG-ip--提供本地应用流量治理和3-DNS—提供广域应用流量治理。同时,在安全领域,F5于2003年 7 月收购Urom – SSL VPN产品,目前提供FirePass SSL VPN,使得用户可以通过任何浏览器来远程控制公司网络。本文将主要介绍应用流量治理产品和解决方案。
2. 应用流量治理产品系列介绍
2.1 BIG-IP—本地流量治理应用交换机
BIG-IP是一款出色的局域应用流量治理解决方案,可确保为Web应用提供出色的可用性、可靠性、安全性及可扩充性。它可以提供高可用性负载平衡、快速与超智能的第7层交换、精细的互动控制、DoS保护、资源共享以及其它诸多特性,从而为企业的互联网网络提供最好的保护。
BIG-IP产品系列包括F5 Networks BIG-IP应用交换机--5100系列、2400系列、1000系列。
BIG-IP 5100系列作为最出色的第7层交换机,BIG-IP 5000系列通过其强大的应用级事务(第7层)处理能力优化了应用和Web服务的交付。配置:2枚1.26 GHz奔腾处理器、1GB内存、24个10/100和4GB端口、以及集成的SSL(无需额外费用)。
BIG-IP 2400系列作为当今业界最出色的第4层交换机,BIG-IP集成了F5全新的Packet Velocity ASIC,加速了站点响应速度,每秒可处理多达250,000个第4层(IP地址和端口)请求。配置:1枚1.26 GHz奔腾处理器、512MB内存、16个10/100和2GB端口、以及集成的SSL(无需额外费用)。
BIG-IP 1000系列作为性价比最高的交换机,BIG-IP 1000系列具备BIG-IP应用流量治理软件的全部功能,并可提供1(Gb)X8(10/100)交换机的能力和端口更少的平台,并有集成的SSL可供选购。
2.2 BIG-IP链路应用交换机
随着企业开始更多地使用互联网来交付其要害业务应用,只保持一条到公共网络的连接链路则意味着频繁的单点故障和脆弱的网络安全性。BIG-IP®链路控制器可以无缝地监控多条WAN连接的可用性与性能,以智能地治理到某一站点的双向流量,从而提供出色的容错性和优化的互联网访问。提供企业可靠的WAN连接,提供企业级互联网连接能力。
BIG-IP链路应用交换机为多归属网络提供高可用性及智能路由能力。它可作为独立交换机(BIG-IP链路应用交换机 1000或2400)或添加到任何完全BIG-IP产品的软件模块来实现其功能。将“链路控制模块”添加到BIG-IP平台上,客户即可获得全功能的第4-7层应用流量治理和多归属支持。
BIG-IP链路应用交换机产品型号有BIG-IP链路应用交换机2400和BIG-IP链路应用交换机1000,链路应用交换高性能解决方案包含业界最快速的多归属网络路由功能,并受F5最新Packet Velocity ASIC支持,具有最理想的性价比,可为中等规模企业提供全套BIG-IP链路应用交换机软件功能。
2.3 3DNS®控制器--高可用性、智能流量治理
3-DNS(R)控制器可为运行在多个数据中心的IP应用/服务提供出色的广域流量治理和高可用性。 它可根据数据中心和网络状况(如往返时间、数据包丢失和其它QOS指标)来分配最终用户请求,以确保为您的站点提供最高的可用性。利用3DNS®控制器,可以确保所有互联网站点的最佳可靠性和一致性,无论它们 位于何处。3-DNS为工业标准DNS增添了智能特性,确保将最终用户送到一个可提供最佳响应的可用站点。3-DNS独有的智能特性可以检查数据中心和网络的运行状态以及各用户的地理分布状况,然后根据定制的商业规则来引导流量。
3-DNS控制器520,配置一枚(1) 1 GHz PIII 处理器、40GB硬盘、512MB(可扩充至2GB)。可以在一体化的设计中提供了集成的广域负载平衡与本地负载平衡能力。
3. 典型应用与解决方案
BIG-IP
3.1 平衡应用服务器资源
当系统完成“物理集中”后,大量的数据等待前置服务器处理。现有的方式多为采取单台或单组服务器负责处理某一组地区的用户数据。但是,由于地区发展的不平衡,人口密度的差别,业务量的不同,等等这些问题造成了这些负责不同区域的服务器上的数据量大小差别很大。这样,有些服务器上数据量不大,系统资源空闲量很大,“吃不饱”,而同时,有些服务器上数据量很大,系统资源又严重不足,“被撑死”。这就是系统资源利用的“不平衡”现象。
BIGIP是一台对流量和内容进行治理分配的设备,结合BIGIP能够充分利用所有的服务器资源,将所有流量均衡的分配到各个服务器。它提供12种灵活的算法将数据流有效地转发到它所连接的服务器群。而面对用户,只是一台虚拟服务器。用户此时只须记住一台服务器,即虚拟服务器。但他们的数据流却被BIGIP灵活地均衡到所有的服务器。这12种算法包括:
3.2 提高应用服务器性能
前置服务器的业务一般多为联机业务。联机业务的处理多存在“波峰”和“波谷”的变化。而且“波峰”时,业务量大小的变化又不规律,这就使前置服务器不得不面对“峰值堵塞”问题。
QQRead.com 推出数据恢复指南教程 数据恢复指南教程 数据恢复故障解析 常用数据恢复方案 硬盘数据恢复教程
原有解决方法为增加前置服务器或主机数量,提高处理能力。但仍存在性能不平衡问题,且这样做,投资成本大。
利用BIGIP优秀的负载均衡能力,所有流量会被均衡的转发到各个服务器,即组织所有服务器提供服务当出现流量“峰值”时,假如能调配所有服务器的资源同时提供服务,所谓的“峰值堵塞”压力就会由于系统性能的大大提高而明显减弱。这时,系统性能等于所有服务器性能的总和,远大于流量“峰值”。这样,即缓解了“峰值堵塞”的压力,又降低了为调整系统性能而增加的投资。
3.3 冗余备份—〉负载均衡
单台服务器的设置,不可避免会出现“单点故障”,需要进行服务器“容错”。为实现容错,往往在主服务器旁安置一台或多台备份服务器。但这样做,平时只有一台服务器工作,其它服务器处于空闲状态,无法完全利用所有服务器的处理资源,投资得不到充分利用。且当出现“峰值堵塞”时,所有服务器连续被“堵”至“死”。并且,当所有服务器都损坏时,无法动态地、合理地利用其它资源提供服务或备份。
BIGIP将所有的服务器组织在一起提供服务,流量压力合理地分担到各个服务器。当服务器群中的任何一台或多台设备发生故障后,用户的服务请求被均衡到其它服务器。本地服务器群中的服务器数量不能满足系统要求时,BIGIP会利用“动态服务器补充”功能自动调入服务器补充系统性能。并且即使当所有服务器都不能提供服务时,“Redirect”功能会把用户数据请求转发到“备份”点,满足系统的可靠性要求。
3.4 应用服务器灵活扩展
根据系统的发展、业务的增长,进行灵活的扩充,是不可避免的。这不仅要顾及到数量的增长,同时也要考虑到软硬件类型的区别。
BIGIP对系统的扩充是非常灵活的。
· BIGIP对所连接的服务器群的数量没有限制,同时对服务器的软、硬件类型也没有任何限制。
· BIGIP可最大同时容纳多达4百万个会话业务。
· BIGIP的高可靠性连接和对多条链路的负载均衡都是非常成熟应用.
3.5 应用服务器安全保护
对应用服务器进行安全防护,除了采用传统意义上的防火墙、IDS等安全防护设备外,基于内容检查的BIG-IP也可以提供给用服务器4—7层的内容检测,并提供用户标准的安全防护策略。
前置服务器群或中间件服务器群在逻辑上位于BIGIP之后,所有的数据流,包括“攻击性”数据流都要经过BIGIP才能够流至服务器。BIGIP具有以下优秀的安全特性,对系统进行保护:
· 访问控制列表
· IP包过滤
· 加密(SSL)的治理信息传递
· 口令保护
· 拒绝“DoS”攻击
· 免疫“Ping of Death”攻击
· 不用Ack缓冲应答未确认的SYN,防止SYN风暴
· 通过对无效连接的治理来防止使用没有开放的服务进行攻击
· 源路由检查,防止IP欺骗
· NAT/SNAT。通过设置,BIGIP®可以将一个端口映射到多个端口上。许多知名的端口是,如80,443,20,21可以被映射到服务器上的任何一个端口上。
· 利用虚拟IP地址隐藏服务器实际地址。
同时,在BIGIP®的安全治理报告中通过监视下列参数,BIGIP®可以在安全报告中列出那些服务和端口受到了非法的访问尝试:
这些信息可以帮助治理员发现他们网络中存在的安全漏洞,并且可以判定哪些人是潜在的攻击者。
3.6 应用容灾
随着数据中心的集中,数据中心的冗余或容错显得尤为重要。当建立备份中心或数据中心间形成备份后,在它们之间提供动态的、灵活的容错机制显得尤为突出。
数据中心的冗余设置常被用来提供数据中心的“容灾”。BIGIP与3DNS的结合,可以灵活的提供“容灾”保障。BIGIP可以通过设置“备份中心”,保证在主数据中心负载过重或发生故障,无法正常提供服务时,自动启用“备份中心”,继续为客户提供服务。3DNS可以帮助客户在系统寻找过程中,智能地找寻到合适的数据中心。并且3DNS还可以动态监测数据中心的状态,一旦主数据中心发生故障,无法正常提供服务,3DNS可以自动将流量立即传送到备份“备份中心”。
BIGIP与3DNS的结合应用,可以保证在局域和广域连接中为系统提供灵活的“容灾”策略。
BIG-IP LINK CONTRILLER
随着企业越来越多地使用互联网来传送要害任务应用,只有一个链路连接到公共网络将导致单点失败和网络极其脆弱。一旦出现网络中断,企业在冗余系统方面的所有的投资立即付诸东流,它和它的客户都会面临长时间停机,遭受严重的财务损失。BIG-IP链路控制器提供一个更简单、成本更低的方式使多网络连接的站点更可靠。使用BIG-IP链路控制器,企业能够建立可靠、容错,并且具备高可用性的多归属网络。
如上图部署BIG-IP LINK CONTRILLER,BIG-IP链路控制器为企业站点提供了高可用性的多个互联网链路和ISP提供商。它可监测各个连接的正常运行情况和可用性,将入站/出站流量导向最佳的可用WAN网关,从而使用户的响应时间和带宽成本最小化。不管采用何种连接形式或提供商情况如何,BIG-IP链路控制器都能进行运作,而不需要ISP的协作,选定的IP地址块,ASN以及使用BGP的多归属治理面临的其它部署障碍。通过实现现有带宽投资基础上的流量治理最佳化,BIG-IP链路控制器为企业提高网络连接的投资回报。
对企业用户,采用BIG-IP LINK CONTRILLER保证互联网链路连接可达到下述作用:
保证可用性
BIG-IP链路控制器通过检测任何类型的连接损耗来保证可靠的网络连接,避免出现停机状态。在ISP或链路失灵的情况下,流量被透明动态地导向其它可用链路从而保证无缝的流量传输。它通过转移断路或拥塞的互联网或专线连接上的IP流量来为企业站点提供完全的可靠性,不管这些断路或拥塞是由于网络错误(如路由器出现故障),还是ISP提供的服务出现中断造成的。
提高升级能力的和链路性能
BIG-IP链路控制器为站点提供灵活的升级能力,减少成本。它根据已有带宽的使用极限和价格结构等指标,基于性能、带宽成本和带宽可用性等因素来路由流量,使客户能够利用他所有连接的带宽灵活创建一个虚拟链路。同时,BIG-IP链路控制器还提供不同大小的链路和连接形式的带宽治理灵活性,在最小化无效带利用的同时防止出现带宽瓶颈。链路控制器答应用户集合线路来提供更便宜的带宽冗余,同时使其对暗纤和闲置线路的投资降到最低。
互联网链路评估
互联网链路评估器衡量 ISP 为您的用户提供的总体性能。通过测量往返时间、完成率和每个链路的平均路由器跳线次数,企业可总体了解链路和ISP性能。该信息可助您选择最佳的服务提供商,进行要害业务决策,为企业节省成本,提高业绩。
有了互联网链路评估器,企业就能够:
● 发现ISP链路上出现的链路性能降低或故障排除能力减弱
● 评估 ISP 提供商为您的互联网用户提供快速服务的能力(往返时间)
● 评估从您的网络到用户的提供商连接质量(完成率)
3-DNS
利用3DNS®控制器,您可以确保所有互联网站点的最佳可靠性和一致性,无论它们 位于何处。3-DNS为工业标准DNS增添了智能特性,确保将最终用户送到一个可提供最佳响应的可用站点。3-DNS独有的智能特性可以检查数据中心和网络的运行状态以及各用户的地理分布状况,然后根据定制的商业规则来引导流量。
u - 用户查询本地 DNS来解析域名
-本地 DNS查询作为主DNS的3DNS--解析内容和国家源地址
v - 3DNS触发每个位置和各个服务器上对BIG/IP控制器的标准查询
-收集查询响应,然后确定“最佳”服务器决定
-标准查询的频率可由用户定义
w -3DNS以“最佳的”IP地址作为响应
x -流量在用户和远程站点之间传输
3-DNS主要应用于IDC等大型用户,对一般企业用户,可以将3-DNS作为标准DNS服务器进行销售。
新闻热点
疑难解答