IDC應(yīng)用解決方案

1 F5 解決方案 吳棟 Presales Consultant F5 Networks 2 議 程 案例介 紹 1、BEA Tuxedo應(yīng) 用 2、DNS應(yīng) 用 3、IMS/NGN應(yīng) 用 4、家庭網(wǎng)關(guān) 應(yīng) 用 5、全球眼 應(yīng) 用 6、IDC增 值應(yīng) 用 3 關(guān)鍵的信息神經(jīng)中樞流轉(zhuǎn)管理 應(yīng)用 網(wǎng)絡(luò) Routers, L2/L3 switches, firewalls, caches, ISP links Web servers, application servers, databases Microsoft, Oracle, BEA, Citrix, Siebel, SAP 服務(wù)器 4 Transaction for UNIX has been Extended for Distributed Operation（被分布式操作 擴(kuò) 展之后的 UNIX事 務(wù) 系 統(tǒng) ） 目前， BEA Tuxedo廣泛 應(yīng) 用于 銀 行、金融、 電 信、交通、零售、制造、醫(yī) 療 、政府等 領(lǐng) 域， 這些用 戶 的共同特點(diǎn)是具有復(fù) 雜 、高端的信息管理系 統(tǒng) ，應(yīng) 用 環(huán) 境多種多 樣 且系 統(tǒng) 用 戶 在地域上分布很廣，其 應(yīng) 用通常建立在主機(jī)或大 規(guī) ?？?戶 機(jī)服 務(wù) 器系 統(tǒng) 之上，且 業(yè)務(wù)處理量極大。 Bea Tuxedo 簡介 5 原有 tuxedo 結(jié)構(gòu)和問題的存在 問題 1 單點(diǎn)故障 Client Switch Tuxedo Master Tuxedo node 原有 tuxedo 結(jié)構(gòu)和問題的存在 Master 是一個(gè)非常明顯的單點(diǎn)故障 系統(tǒng)的整體服務(wù)能力受到Master的瓶頸制約 , 而tuxedo 的多次短連接對Master存在很大壓力 . 6 經(jīng)過抓包分析和應(yīng)用訪問流程分析 , 每個(gè)訪問的 Source IP 是相同的 , 并且每次訪問的 Source Port是隨機(jī)的 ； 而訪問的目標(biāo)地址是 VIP, 但第一次的 WSH的訪問是固定的 , 6667； 而WSL連接時(shí)的目標(biāo)端口是服務(wù)器通知用戶的 ； 原有 tuxedo 結(jié)構(gòu)和問題的存在 問題 2 普通負(fù)載均衡產(chǎn)品無法成功建立連接 Source IP: Client IP ； port : random like 1111 Dest IP : vip ； port : WSH like 6667 Source IP: server 01 ； port : 6667 Dest IP : Client IP ； port : 1111 TCP 內(nèi)容通知 Client 可以連接一個(gè) WSL 端口 , 在規(guī)定范圍內(nèi)隨機(jī)產(chǎn)生一個(gè) ； 例如8888 Client 受到回應(yīng)后發(fā)起對 WSL的訪問 Source IP: Client IP ； port : random like 1112 Dest IP : server ip ； port : WSL 8888 目的 ip與端口 6667不匹配 ,端口不可達(dá) !連接關(guān)閉 Source IP: Client IP ； port : random like 1111 Dest IP : Server 01 ； port : WSH like 6667 Source IP: VIP ； port : 6667 Dest IP : Client IP ； port : 1111 TCP 內(nèi)容通知 Client 可以連接一個(gè) WSL 端口, 在規(guī)定范圍內(nèi)隨機(jī)產(chǎn)生一個(gè) ； 例如 8888 7 Tuxedo 應(yīng)用訪問流程分析 Client Switch Tuxedo node 經(jīng)過抓包分析和應(yīng)用訪問流程分析 , 每個(gè)訪問的 Source IP 是相同的 , 并且每次訪問的 Source Port是隨機(jī)的 ； 而訪問的目標(biāo)地址是 VIP, 但第一次的 WSH的訪問是固定的 , 6667； 而WSL連接時(shí)的目標(biāo)端口是服務(wù)器通知用戶的 ； 結(jié)論 :在網(wǎng)絡(luò)層完全無跡可尋 ； 負(fù)載均衡失敗 F5 BigIP 8 Client Switch Tuxedo node 在很多實(shí)際網(wǎng)絡(luò)結(jié)構(gòu)中存在一個(gè)特別的大機(jī) , 作為所有用戶端訪問的一個(gè)代理 . 如果 配置 Source IP 的會話保持方式 ,所有的訪問都會定位到同一臺服務(wù)器 , 破壞了負(fù)載均衡的處理 ； 如果沒有會話保持又會破壞用戶訪問的連接中斷 , 可能跟一個(gè) node WSH后卻和另外一個(gè) node WSL Load balance 原有 tuxedo 結(jié)構(gòu)和問題的存在 問題 3 一般負(fù)載均衡方法無法實(shí)現(xiàn)負(fù)載均衡 9 改變后的結(jié)構(gòu)和標(biāo)準(zhǔn)使用方法 Client Switch Tuxedo node 改變后由 BigIP的 VIP取代原有Master 的功能 在 tuxedo node上配置單獨(dú)的 WSH功能 , 為配合原有由 Master提供的WSH功能 , 在每個(gè) node上配置類似防火墻的 NAT后的處理方法 , 保證連接的建立 . 為保證用戶和 Tuxedo node 建立連接后的多次訪問 , 在 BigIP上配置Source IP 的會話保持方式 , 來保證相同的客戶 IP地址都會被定位到同一臺服務(wù)器提供服務(wù) . F5 BigIP 10 會話保持的概念 將從一個(gè)客戶的后續(xù)的連接送到同一臺服務(wù)器 與負(fù)載均衡的模式相對應(yīng) 1 2 3 1 2 3 11 服務(wù)器監(jiān)控和健康檢查 服務(wù)器 (Node)-Ping(ICMP) 服務(wù) (Port)-Connect 擴(kuò)展的應(yīng)用驗(yàn)證 (EAV) 擴(kuò)展的內(nèi)容驗(yàn)證 (ECV) 針對 VOD服務(wù)器的專用健康檢查機(jī)制 針對節(jié)點(diǎn)的檢查頻率和超時(shí)頻度 ,e.g.10seconds響應(yīng) ,e.g.5seconds 市場現(xiàn)象 : 監(jiān)視行為消耗掉我們流量的 10% 以上 F500 Financial 76% 的用戶在看到一個(gè)斷掉的聯(lián)接時(shí) ,會離開該站點(diǎn) Gomez 互聯(lián)網(wǎng)用戶的忍耐度不超過 20 秒 Gartner 12 應(yīng)用流量 Authentication SSL Certificate Management Application Servers Databases Web Servers Application Filtering 1. 應(yīng)用邏輯 2. 安全性 3. 高可用性 4. 外部專家 DoS protection Web Services Security Intelligent Port Mirroring 利用 F5獨(dú)有的 irules滿足用戶個(gè)性需求 iRules 基于 UIE識別的值，靈活指向，保持，或過濾流量 Universal Inspection Engine (UIE) 識別 TCP/IP包頭或數(shù)據(jù)包中的任何值的能力 . Mobile Applications Web Services QoS Link Management Web Accleration Health Checking Load-Balancing Prioritization Persistence Open API & SDK Security Systems (IDS, Virus Scanning, Firewalls) 13 BigIP配合 tuxedo的應(yīng)用邏輯的應(yīng)用交換處理 在與 BEA的技術(shù)人員討論后可以配合應(yīng)用的特別配置來進(jìn)行負(fù)載均衡和會話保持的處理 . 在不同的 tuxedo node上配置不同的WSL 端口范圍 , 例如在 node 1上是2100030000, 而在 node2上是1000019000 在用戶訪問 WSH時(shí)是負(fù)載均衡的處理 , 而在 WSL的連接時(shí)就可以根據(jù)目標(biāo)端口的高低來進(jìn)行應(yīng)用交換處理和會話保持了 . 14 Tuxedo With F5 應(yīng)用訪問流程分析 Source IP: Client IP ； port : random like 1111 Dest IP : VIP ； port : WSH like 6667 Source IP: Client IP ； port : random like 1111 Dest IP : Server 01 ； port : WSH like 6667 Source IP: server 01 ； port : 6667 Dest IP : Client IP ； port : 1111 TCP 內(nèi)容通知 Client 可以連接一個(gè) WSL 端口 , 在規(guī)定范圍內(nèi)隨機(jī)產(chǎn)生一個(gè) ； 例如 8888 Source IP: VIP ； port : 6667 Dest IP : Client IP ； port : 1111 TCP 內(nèi)容通知 Client 可以連接一個(gè)WSL 端口 , 在規(guī)定范圍內(nèi)隨機(jī)產(chǎn)生一個(gè) ； 例如 8888 Client 受到回應(yīng)后發(fā)起對 WSL的訪問 Source IP: Client IP ； port : random like 1112 Dest IP : VIP ； port : WSL 8888 Source IP: Client IP ； port : random like 1112 Dest IP : Server 01 ； port : WSL 8888 Server 01在 8888的 WSL端口接收到用戶的訪問 , 真正建立訪問連接 15 高 級 功能 通過 telnet的方式登錄到 BEA Tuxedo服務(wù)器上，執(zhí)行tmadmin，再執(zhí)行 psr可以得到如下數(shù)據(jù)，通過獲取最后一個(gè)字段的 IDLE的個(gè)數(shù)，當(dāng) IDLE的個(gè)數(shù)為 0時(shí)候希望能夠disable服務(wù)器，不再往服務(wù)器發(fā)送新的請求；當(dāng) IDLE大于0的時(shí)候還能 enable服務(wù)器，重新把請求發(fā)送給服務(wù)器。 16 DNS應(yīng)用增值 17 互聯(lián)網(wǎng) RAS Back Bone POTS ISDN XDSL DNS服務(wù)器集群 Radius服務(wù)器集群 XX省數(shù)據(jù)局 DNS和 Radius負(fù)載均衡解決方案 傳統(tǒng)的電信 DNS/Radius 解決方案 18 DNS重定向解決方案 找不到！ 返回 Portal頁面 DNS WEB 對于運(yùn)營商的 Portal部分，需要兩個(gè)方面的強(qiáng)力支持： 1、DNS服 務(wù) 系 統(tǒng) 如何盈利 2、Portal如何提高 訪問 量，以提高廣告收入。 19 Mirror F5設(shè)備 攻擊數(shù)據(jù) 攻擊源 IDS Notify Block Inspect DNS安全防護(hù) 20 Sun Sun Sun Sun GSR GSR Switch Switch BIG-IP 6400 BIG-IP 6400 HSRP DNS安全防護(hù) 21 GE GE 應(yīng)用管理系統(tǒng) DNS DNS DNS DNS 業(yè)務(wù) 智能化 DNS業(yè)務(wù)管理智能化 22 GE GE 應(yīng)用管理系統(tǒng) DNS DNS DNS DNS DNS業(yè)務(wù)分析系統(tǒng) DNS分析系 統(tǒng) 23 F5 帶 來的價(jià) 值 通 過 F5提高了 DNS的可靠性和可 擴(kuò) 展性； 通 過 F5的 綜 合安全體系， 為 DNS應(yīng) 用提供了全面的安全保 護(hù) ； 通 過 F5實(shí)現(xiàn) 了 對 互 聯(lián) 網(wǎng)用 戶 行 為 的模型分析，可 細(xì)分用 戶 并 針對 不同用 戶實(shí)現(xiàn)針對 性的增 值 服 務(wù) ； 將 DNS由投入部 門轉(zhuǎn)變?yōu)?運(yùn) 營 部 門 /產(chǎn) 出部 門 24 F5: IMS ready 25 What is IMS IMS即 IP多媒體子系 統(tǒng) 。作 為 下一代“融合”的核心，簡單 地 說 它就是 實(shí)現(xiàn) IP多媒體 業(yè)務(wù) 的建立、 維護(hù) 及管理等功能的核心網(wǎng) 絡(luò) 體系 結(jié) 構(gòu)。 基于 IP的多媒體 業(yè)務(wù) 與會 話 控制核心網(wǎng) 絡(luò) ； 支持各種融合 業(yè)務(wù) 的公共平臺，不依 賴 于任何接入技 術(shù)和接入方式 ； SIP的靈活性和 標(biāo) 準(zhǔn)化的開放接口， 為 支持廣泛 業(yè)務(wù) 提供可能。 26 What is IMS IMS以 IP核心網(wǎng) 標(biāo) 準(zhǔn) 為 基 礎(chǔ) ，最初由 3GPP Release 5定 義 。作為 端到端的 標(biāo) 準(zhǔn)體系， IMS提供了與接入和 終 端 類 型無關(guān)的核心網(wǎng) 絡(luò) ，支持固網(wǎng) IP、xDSL、UMTS、CDMA、WLAN等接入到 統(tǒng) 一的 IP核心網(wǎng) 絡(luò) 和 應(yīng) 用 環(huán) 境。 業(yè)務(wù)應(yīng)用層 :由應(yīng)用和內(nèi)容服務(wù)器組成，負(fù)責(zé)為用戶提供增值業(yè)務(wù)。 控制層 :由網(wǎng)絡(luò)控制服務(wù)器組成，負(fù)責(zé)管理呼叫或會話設(shè)置、修改和釋放。 這些服務(wù)器中最重要的是 CSCF(呼叫會話控制功能 )，也就是常說的 SIP服務(wù)器。 而且，該層還包括多種支持功能如配置、計(jì)費(fèi)以及運(yùn)營維護(hù)功能。 邊界網(wǎng)關(guān)負(fù)責(zé)與其他運(yùn)營商網(wǎng)絡(luò)和其他類型的網(wǎng)絡(luò)之間的互通， 或者它們彼此內(nèi)部的網(wǎng)絡(luò)互通。 連接層 :由用于骨干和接入網(wǎng)絡(luò)的路由器及交換機(jī)組成。 27 Next Generation Networks 3GPP 傳輸層 已確定 IMS 處 于早期 階 段 , v1 systems 沒有 IMS 移 動 video布署 沒有 Non-IMS IPTV 解決方案 沒有 IMS VoIP 解決方案 F5 IMS ready! SIP 負(fù)載 均衡 和 高可用性 RTSP 負(fù)載 均衡和 高可用性 SCTP負(fù)載 均衡和 高可用性（ IP網(wǎng) 絡(luò)傳輸 PSTN信令 報(bào) 文） QoS features Security features 28 SSL Compression Client Side Server Side TCP Express Server TCP Express Caching Microkernel High Performance HW iRules Client iControl API TCP Proxy OneConnect Rate Shaping TrafficShield Web Accel SIP TMOS: NGN Ready! SIP 29 SIP 應(yīng) 用 SIP 的 Load Balancing SIP message 檢查 和 處 理 30 用 戶 面 臨 的 問題 : “無法 擴(kuò) 展 Call Proxy servers” Cisco Call Proxy servers 能 夠處 理 100 calls/sec 100 calls/sec 100 calls/sec 丟 棄 31 解決方案 : SIP 負(fù)載 均衡 識別 、解析 SIP messages 和基于 SIP Call ID 使用 SIP options 消息 對 SIP Proxy進(jìn) 行健康 檢查 SIP1 SIP2 SIP3 conn2/SIP2 SIP4 Cisco SIP Server Cisco SIP Server 32 SIP Phone SBC #2 SBC #3 BIG-IP VoIP G/W SIP Phone SBC #1 SBC Load Balancing 070-700-XXXX 070-710-XXXX Proxy / Register Server 負(fù)載 均衡的 會話 保持控制 33 SIP 的 負(fù)載 均衡 SIP 設(shè)備 Media Servers Session Boarder Controllers（會 話邊 界控制器） SIP proxies Softswitches（軟 交 換 ） Application Servers（AS） Other SIP 組 成部分 34 SIP 交互 問題 Customer Problem: Caller ID 導(dǎo) 致的 VoIP問題 徹 底的解決方案 : 改 變 到 soft switch software，但需要 1年和 $1M 的投入 . 35 Call setup phase SG/MGCF and MGW Public Switched Telephone or Public Land Mobile Networks IP CSCF - SIP server SG/MGCF and MGW INVITE (CallerID= , CalledID=524-2222) 524-1111 524-2222 INVITE (CallerID= , CalledID=524-2222) Authenticates user Locates destination MGW RTP flow Registration, Location, AAA, billing SIP SIP 交互 問題 36 Call cancel problem SG/MGCF and MGW Public Switched Telephone or Public Land Mobile Networks IP CSCF - SIP server SG/MGCF and MGW CANCEL (CallerID= , CalledID=524-2222, P-Asserted ID=524-1111) 524-1111 524-2222 RTP flow ? SIP server doesnt know which session to clean up Registration, Location, AAA, billing SIP SIP 交互 問題 37 Solution! SG/MGCF and MGW Public Switched Telephone or Public Land Mobile Networks IP CSCF - SIP server SG/MGCF and MGW 524-1111 524-2222 RTP flow BIG-IP插入 CallID=524-1111 從 P-Asserted ID 字段 Registration, Location, AAA, billing SIP SIP 交互 問題 38 Call all gone SG/MGCF and MGW Public Switched Telephone or Public Land Mobile Networks IP CSCF - SIP server SG/MGCF and MGW 524-1111 524-2222 Registration, Location, AAA, billing SIP SIP 交互 問題 39 提供附加的服 務(wù) SIP Load Balancing 基于 connection 基于消息 高 級 LB HP 和 Soft SIP 高可用性 健康 檢查 SIP 安全 NAT 地址翻 譯 , sRTP, SIP 防火 墻 SIP 優(yōu) 化 信令 壓縮 40 RTSP 同 樣 可做 Load Balancing 針對 Video Server 移 動 video, IPTV 鑒別 、分析 RTSP messages 健康 檢查 PERL script RTSP1 conn2 RTSP Server RTSP Server RTSP Server RTSP2 RTSP3 RTSP4 支持 RealNetworks 使用 RTSP ports for HTTP 數(shù)據(jù)流 41 F5已 為 NGN/IMS做好準(zhǔn) 備 可伸 縮 的 (負(fù)載 均衡和 HA) 實(shí)時(shí)應(yīng) 用 協(xié)議 SIP RTSP SCTP 修復(fù)交互 問題 安全特性 QoS 特性 43 IMS 44 F5 在中國 應(yīng) 用中 實(shí)際 案例 F 5 ( S i p P r o x y )S o f t s w i t c hS I P 消 息S I PP a r l a y 網(wǎng)關(guān) 2業(yè) 務(wù) 邏 輯處 理P a r l a y 網(wǎng)關(guān) 3業(yè) 務(wù) 邏 輯處 理數(shù) 據(jù) 庫P a r l a y 網(wǎng) 關(guān)非 Z T E 應(yīng)用S o f t s w i t c h S o f t s w i t c h S o f t s w i t c hS M P I I SE M SS N M PS N M PS N M PP a r l a y 網(wǎng)關(guān) 1業(yè) 務(wù) 邏 輯處 理P a r l a y 網(wǎng)關(guān) 5業(yè) 務(wù) 邏 輯處 理P a r l a y 網(wǎng)關(guān) 6業(yè) 務(wù) 邏 輯處 理數(shù) 據(jù) 庫P a r l a y 網(wǎng)關(guān) 4業(yè) 務(wù) 邏 輯處 理G r o u p 1G r o u p 245 BIG-IP 對 SIP 支持 BIG-IP 支持大規(guī)模的 SIP 部屬 支持 SIP 在 UDP 協(xié)議的應(yīng)用 對 SIP服務(wù)器的負(fù)載均衡 BIG-IP 可根據(jù) SIP Caller-ID做會話保持 BIG-IP 提供會話冗錯(cuò)恢復(fù)功能 BIG-IP 提供 SIP 軟交換機(jī)的 ICMP 健康監(jiān)控 性能 1050 CPS 或 3.7m BHCA (BIG-IP 理論上能夠處理更多 ) 46 SIP的其它 應(yīng) 用 場 合 IM互通互 聯(lián) 中移 動飛 信 騰訊 QQ、 微軟 MSN 網(wǎng)易泡泡 ICQ 雅虎通 原 有 I B M 雙 機(jī)I n t e r n e t微 軟 方騰 訊 方發(fā) 包 地 址 ：收 包 地 址 ：收 ， 發(fā) 包 地 址 ：C I S C O 防 火 墻B j i m 1B j i m 2網(wǎng) 管 接 口 機(jī) 交 換 機(jī)話 單 接 口 機(jī) 交 換 機(jī)新 增 I B M 1新 增 I B M 247 F5 SIP 總結(jié) 為 SIP軟交換機(jī)提供智能的流量管理 支持可擴(kuò)展的 Dynamicsoft 路由引擎對 SIP 應(yīng)用 iControl 為在整個(gè)網(wǎng)絡(luò)架構(gòu)提供管理和控制支持 48 電信家庭網(wǎng)關(guān) 49 基于家庭網(wǎng)關(guān)串聯(lián)的家庭應(yīng)用場景 寬帶固網(wǎng)支付 家庭綜合門戶 差異化