【精品解決方案】服務(wù)器負(fù)載均衡解決方案(F5 LTM)

1、應(yīng)用服務(wù)器負(fù)載均衡解決方案建議書(shū)目錄一、概述31.為什么要進(jìn)行負(fù)載均衡32.什么是負(fù)載均衡3二、f5解決方案61.解決方案結(jié)構(gòu)提出62.方案說(shuō)明6a)部署說(shuō)明6b)方案優(yōu)勢(shì)7i.避免“不平衡”現(xiàn)象7ii.服務(wù)器的健康監(jiān)控和檢查8iii.uieiruels10iv.連接優(yōu)化11v.http壓縮12vi.負(fù)載均衡和應(yīng)用交換功能13三、產(chǎn)品介紹16big-ip統(tǒng)一應(yīng)用基礎(chǔ)設(shè)施服務(wù)19應(yīng)用狀態(tài)檢查20高可用性及交易保證20全面的負(fù)載平衡20智能應(yīng)用交換21完善的ipv6網(wǎng)關(guān)21廣域網(wǎng)（wan）優(yōu)化和應(yīng)用加速21智能的http壓縮功能22確保關(guān)鍵應(yīng)用性能22增加服務(wù)器容量，提高站點(diǎn)響應(yīng)性22加密無(wú)所不在

2、23內(nèi)容轉(zhuǎn)換23支持應(yīng)用安全性24增加關(guān)鍵內(nèi)容保護(hù)24防御海量攻擊25避免協(xié)議攻擊25防火墻包過(guò)濾25big-ip的性能及可靠性25創(chuàng)新的性能25系統(tǒng)ha和管理26提高可見(jiàn)性26豐富的用戶(hù)界面26支持stp、mstp、rstp27智能壓縮模塊28ssl加速模塊29第7層帶寬管理模塊29先進(jìn)的客戶(hù)認(rèn)證模塊29ipv6網(wǎng)關(guān)模塊29路由模塊29一、 概述1. 為什么要進(jìn)行負(fù)載均衡隨著internet的普及以及電子商務(wù)、電子政務(wù)的發(fā)展，越來(lái)越多的應(yīng)用系統(tǒng)需要面對(duì)更高的訪問(wèn)量和數(shù)據(jù)量。同時(shí)，企業(yè)對(duì)在線系統(tǒng)的依賴(lài)也越來(lái)越高，大量的關(guān)鍵應(yīng)用需要系統(tǒng)有足夠的在線率及高效率。這些要求使得單一的網(wǎng)絡(luò)服務(wù)設(shè)備已經(jīng)不

3、能滿足這些需要，由此需要引入服務(wù)器的負(fù)載平衡，實(shí)現(xiàn)客戶(hù)端同時(shí)訪問(wèn)多臺(tái)同時(shí)工作的服務(wù)器，一則避免服務(wù)器的單點(diǎn)故障，再則提高在線系統(tǒng)的服務(wù)處理能力。從業(yè)界環(huán)境來(lái)說(shuō)，如下的應(yīng)用需求更是負(fù)載均衡發(fā)展的推動(dòng)力：n 業(yè)務(wù)系統(tǒng)、關(guān)鍵系統(tǒng)需要高可用性。n 應(yīng)用服務(wù)的高負(fù)載能力需求。n 集群式服務(wù)系統(tǒng)的高可用性和高可靠性需要。n 應(yīng)用系統(tǒng)大集中的需要。n 數(shù)據(jù)中心降低成本,提高效率。2. 什么是負(fù)載均衡負(fù)載均衡技術(shù)在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上提供了一種廉價(jià)、有效、透明的方法，來(lái)擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性。它有兩方面的含義：首先，大量的并發(fā)訪問(wèn)或數(shù)據(jù)流量分擔(dān)到多臺(tái)

4、節(jié)點(diǎn)設(shè)備上分別處理，減少用戶(hù)等待響應(yīng)的時(shí)間；其次，單個(gè)重負(fù)載的運(yùn)算分擔(dān)到多臺(tái)節(jié)點(diǎn)設(shè)備上做并行處理，每個(gè)節(jié)點(diǎn)設(shè)備處理結(jié)束后，將結(jié)果匯總，返回給用戶(hù)，系統(tǒng)處理能力得到大幅度提高。big/ip利用定義在其上面的虛擬ip地址來(lái)為用戶(hù)的一個(gè)或多個(gè)應(yīng)用服務(wù)器提供服務(wù)。因此，它能夠?yàn)榇罅康幕趖cp/ip的網(wǎng)絡(luò)應(yīng)用提供服務(wù)器負(fù)載均衡服務(wù)。big/ip連續(xù)地對(duì)目標(biāo)服務(wù)器進(jìn)行l(wèi)4到l7合理性檢查，當(dāng)用戶(hù)通過(guò)vip請(qǐng)求目標(biāo)服務(wù)器服務(wù)時(shí)，big/ip根椐目標(biāo)服務(wù)器之間性能和網(wǎng)絡(luò)健康情況，選擇性能最佳的服務(wù)器響應(yīng)用戶(hù)的請(qǐng)求。下圖描述了一個(gè)負(fù)載平衡發(fā)生的流程： 1. 客戶(hù)發(fā)出服務(wù)請(qǐng)求到vip2. bigip接收到請(qǐng)求，

5、將數(shù)據(jù)包中目的ip地址改為選中的后臺(tái)服務(wù)器ip地址，然后將數(shù)據(jù)包發(fā)出到后臺(tái)選定的服務(wù)器3. 后臺(tái)服務(wù)器收到后，將應(yīng)答包按照其路由發(fā)回到bigip4. bigip收到應(yīng)答包后將其中的源地址改回成vip的地址，發(fā)回客戶(hù)端，由此就完成了一個(gè)標(biāo)準(zhǔn)的服務(wù)器負(fù)載平衡的流程。對(duì)于所有應(yīng)用服務(wù)器，可以在big-ip上配置virtual server實(shí)現(xiàn)負(fù)載均衡，同時(shí)big-ip可持續(xù)檢查服務(wù)器的健康狀態(tài)，一旦發(fā)現(xiàn)故障服務(wù)器，則將其從負(fù)載均衡組中摘除。二、 f5解決方案1. 解決方案結(jié)構(gòu)提出2. 方案說(shuō)明a) 部署說(shuō)明方案建議在應(yīng)用系統(tǒng)入口處各部署f5 ltm負(fù)載均衡設(shè)備。兩臺(tái)ltm采用active/stand

6、by接入方式，避免單點(diǎn)故障。兩臺(tái)ltm共享floating ip，保證在進(jìn)行毫秒級(jí)故障切換時(shí)不會(huì)影響正常的業(yè)務(wù)流量。將server服務(wù)器的網(wǎng)關(guān)指向ltm設(shè)備的floating ip，保證進(jìn)出的流量經(jīng)過(guò)ltm。b) 方案優(yōu)勢(shì)i. 避免“不平衡”現(xiàn)象big-ip利用virtual server虛擬服務(wù)器（vs由ip地址和tcp/udp應(yīng)用的端口組成）來(lái)為用戶(hù)的一個(gè)或多個(gè)目標(biāo)服務(wù)器（稱(chēng)為node：目標(biāo)服務(wù)器的ip地址和tcp/udp應(yīng)用的端口組成，它可以是私網(wǎng)地址）提供服務(wù)。因此，它能夠?yàn)榇罅康幕趖cp/ip的網(wǎng)絡(luò)應(yīng)用提供服務(wù)器負(fù)載均衡服務(wù)。根據(jù)服務(wù)類(lèi)型不同分別定義服務(wù)器群組，可以根據(jù)不同服務(wù)端口

7、將流量導(dǎo)向到相應(yīng)的服務(wù)器。big-ip連續(xù)地對(duì)目標(biāo)服務(wù)器進(jìn)行l(wèi)4到l7合理性檢查，當(dāng)用戶(hù)通過(guò)vip請(qǐng)求目標(biāo)服務(wù)器服務(wù)時(shí)，big-ip根椐目標(biāo)服務(wù)器之間性能和網(wǎng)絡(luò)健康情況，選擇性能最佳的服務(wù)器響應(yīng)用戶(hù)的請(qǐng)求。如果能夠充分利用所有的服務(wù)器資源，將所有流量均衡的分配到各個(gè)服務(wù)器，我們就可以有效地避免“不平衡”現(xiàn)象的發(fā)生。ii. 服務(wù)器的健康監(jiān)控和檢查服務(wù)器 (node) - ping (icmp)bigip可以定期的通過(guò)icmp包對(duì)后臺(tái)服務(wù)器的ip地址進(jìn)行檢測(cè)，如果在設(shè)定的時(shí)間內(nèi)能收到該地址的icmp的回應(yīng)，則認(rèn)為該服務(wù)器能提供服務(wù)服務(wù) (port) - connectbigip可以定期的通過(guò)tcp

8、包對(duì)后臺(tái)服務(wù)器的服務(wù)端口進(jìn)行檢測(cè)，如果在設(shè)定的時(shí)間內(nèi)能收到該服務(wù)器端口的回應(yīng)，則認(rèn)為該服務(wù)器能提供服務(wù)擴(kuò)展內(nèi)容查證(ecv: extended content verification)-ecvecv是一種非常復(fù)雜的服務(wù)檢查，主要用于確認(rèn)應(yīng)用程序能否對(duì)請(qǐng)求返回對(duì)應(yīng)的數(shù)據(jù)。如果一個(gè)應(yīng)用對(duì)該服務(wù)檢查作出響應(yīng)并返回對(duì)應(yīng)的數(shù)據(jù)，則big/ip控制器將該服務(wù)器標(biāo)識(shí)為工作良好。如果服務(wù)器不能返回相應(yīng)的數(shù)據(jù)，則將該服務(wù)器標(biāo)識(shí)為宕機(jī)。宕機(jī)一旦修復(fù)，big/ip就會(huì)自動(dòng)查證應(yīng)用已能對(duì)客戶(hù)請(qǐng)求作出正確響應(yīng)并恢復(fù)向該服務(wù)器傳送。該功能使big/ip可以將保護(hù)延伸到后端應(yīng)用如web內(nèi)容及數(shù)據(jù)庫(kù)。big/ip的ecv功

9、能允許您向web服務(wù)器、防火墻、緩存服務(wù)器、代理服務(wù)器和其它透明設(shè)備發(fā)送查詢(xún)，然后檢查返回的響應(yīng)。這將有助于確認(rèn)您為客戶(hù)提供的內(nèi)容正是其所需要的。擴(kuò)展應(yīng)用查證(eav: extended application verification)eav是另一種服務(wù)檢查，用于確認(rèn)運(yùn)行在某個(gè)服務(wù)器上的應(yīng)用能否對(duì)客戶(hù)請(qǐng)求作出響應(yīng)。為完成這種檢查，big/ip控制器使用一個(gè)被稱(chēng)作外部服務(wù)檢查者的客戶(hù)程序，該程序?yàn)閎ig/ip提供完全客戶(hù)化的服務(wù)檢查功能，但它位于big/ip控制器的外部。例如，該外部服務(wù)檢查者可以查證一個(gè)internet或intranet上的從后臺(tái)數(shù)據(jù)庫(kù)中取出數(shù)據(jù)并在html網(wǎng)頁(yè)上顯示的應(yīng)用能

10、否正常工作。eav是big/ip提供的非常獨(dú)特的功能，它提供管理者將big/ip客戶(hù)化后訪問(wèn)各種各樣應(yīng)用的能力，該功能使big/ip在提供標(biāo)準(zhǔn)的可用性查證之外能獲得服務(wù)器、應(yīng)用及內(nèi)容可用性等最重要的反饋。該功能對(duì)于電子商務(wù)和其它應(yīng)用至關(guān)重要，它用于從客戶(hù)的角度測(cè)試您的站點(diǎn)。例如，您可以模擬客戶(hù)完成交易所需的所有步驟連接到站點(diǎn)、從目錄中選擇項(xiàng)目以及驗(yàn)證交易使用的信用卡。一旦big/ip掌握了該可用性信息，即可利用負(fù)載平衡使資源達(dá)到最高的可用性。big/ip已經(jīng)為測(cè)試internet服務(wù)的健康情況和狀態(tài)，預(yù)定義的擴(kuò)展應(yīng)用驗(yàn)證(eav)，它有二種用戶(hù)界面：瀏覽器和cli配置。big/ip預(yù)定義的應(yīng)用

11、檢查：ftp、nntp、smtp、pop3和mssql。iii. uieiruelsbigip利用uie+irules技術(shù)，可以將tcp/udp數(shù)據(jù)包打開(kāi)，并搜索其中的特征數(shù)據(jù)，之后根據(jù)搜索到的特征數(shù)據(jù)作相應(yīng)的規(guī)則處理。因此可以根據(jù)用戶(hù)訪問(wèn)內(nèi)容的不同將流量導(dǎo)向到相應(yīng)的服務(wù)器，實(shí)現(xiàn)7層的負(fù)載均衡。例如：根據(jù)用戶(hù)訪問(wèn)請(qǐng)求的url將流量導(dǎo)向到相應(yīng)的服務(wù)器。big-ip提供了一套有針對(duì)性的方法來(lái)減少服務(wù)器壓力，降低互聯(lián)網(wǎng)延遲和客戶(hù)機(jī)連接瓶頸對(duì)其應(yīng)用訪問(wèn)性能所造成的影響。通過(guò)綜合采用多種應(yīng)用優(yōu)化手段以后，應(yīng)用訪問(wèn)的性能可以得到顯著提高。與此同時(shí)，由于服務(wù)器性能的提高，還可以達(dá)到減少服務(wù)器數(shù)量，減少帶寬占

12、用從而節(jié)省投資的目的。iv. 連接優(yōu)化bigip通過(guò)oneconnect技術(shù)，將所有客戶(hù)端的tcp連接轉(zhuǎn)移至bigip進(jìn)行處理；而bigip與服務(wù)器之間僅建立少量的、持續(xù)的tcp連接。使web服務(wù)器從處理大量的并發(fā)tcp請(qǐng)求和tcp連接建立/卸載的負(fù)擔(dān)中解脫出來(lái)，同時(shí)當(dāng)bigip收到用戶(hù)請(qǐng)求后才發(fā)送到服務(wù)器，服務(wù)器可免于受到客戶(hù)端和網(wǎng)絡(luò)異常的影響。bigip還會(huì)緩存所有服務(wù)器的響應(yīng)數(shù)據(jù)包，服務(wù)器以lan速度發(fā)送數(shù)據(jù)到 bigip，服務(wù)器不會(huì)受到慢速客戶(hù)端連接的牽累。服務(wù)器的大量cpu資源被釋放來(lái)提供數(shù)據(jù)，而不是管理連接。bigip通過(guò)控制容量需求和訪問(wèn)分析優(yōu)化了服務(wù)性能和帶寬。企業(yè)也因?yàn)樵黾恿?/p>

13、更多的計(jì)算資源，減少了出口帶寬需求而降低服務(wù)器和帶寬投資，并且減少服務(wù)響應(yīng)延遲和運(yùn)營(yíng)成本。v. http壓縮big-ip提供業(yè)內(nèi)最具擴(kuò)展性，最智能也最靈活的壓縮解決方案。big-ip 系統(tǒng)通過(guò)從服務(wù)器中不對(duì)稱(chēng)卸載 http 壓縮，降低了服務(wù)器開(kāi)銷(xiāo)，并通過(guò)實(shí)現(xiàn)服務(wù)器整合，將服務(wù)器總體擁有成本降低了高達(dá) 65%。big-ip 系統(tǒng)充分利用現(xiàn)有瀏覽器解壓縮能力，無(wú)需對(duì)客戶(hù)機(jī)進(jìn)行任何修改，亦無(wú)需下載任何可能帶來(lái)入侵威脅的軟件。big-ip 智能壓縮采用已申請(qǐng)專(zhuān)利的方法來(lái)測(cè)量客戶(hù)連接延遲，這使帶寬使用率降低了 60-80%，同時(shí)將用戶(hù)響應(yīng)時(shí)間提高了兩倍以上。big-ip 是業(yè)內(nèi)首款為企業(yè)提供的可擴(kuò)展式壓

14、縮解決方案，具有通過(guò)優(yōu)化硬件及其自適應(yīng)壓縮卸載 (adaptive compression offload) 壓縮 web 流量的可選功能。big-ip 系統(tǒng)的智能壓縮功能為企業(yè)提供了一種針對(duì)目標(biāo)用戶(hù)進(jìn)行壓縮的方式。壓縮流量不一定要以帶寬利用率的降低為代價(jià)。真正的挑戰(zhàn)在于把握如何最有效的定位，從而使用戶(hù)獲得最大優(yōu)勢(shì)。例如，由于撥號(hào)用戶(hù)延遲較高，所以，對(duì)其進(jìn)行壓縮可使這部分用戶(hù)獲得最大優(yōu)勢(shì)。而由于寬帶用戶(hù)的接收窗口尺寸較大，因此，他們因此獲得的優(yōu)勢(shì)則微乎其微，這是因?yàn)?，寬帶用?hù)現(xiàn)在需要等待更長(zhǎng)的時(shí)間來(lái)接收數(shù)據(jù)，這將導(dǎo)致響應(yīng)時(shí)間變慢，因此，壓縮的優(yōu)勢(shì)被抵消。big-ip 采用已申請(qǐng)專(zhuān)利的技術(shù)來(lái)動(dòng)態(tài)

15、檢測(cè)客戶(hù)連接延遲。big-ip 系統(tǒng)能夠監(jiān)控 tcp rtt （往返時(shí)間），以動(dòng)態(tài)計(jì)算用戶(hù)延遲，從而使 big-ip 能更專(zhuān)注于將流量壓縮并傳送給最需要它們的用戶(hù)。vi. 負(fù)載均衡和應(yīng)用交換功能bigip是一臺(tái)對(duì)流量和內(nèi)容進(jìn)行管理分配的設(shè)備。它提供12種靈活的算法將數(shù)據(jù)流有效地轉(zhuǎn)發(fā)到它所連接的服務(wù)器群。而面對(duì)用戶(hù)，只是一臺(tái)虛擬服務(wù)器。用戶(hù)此時(shí)只須記住一臺(tái)服務(wù)器，即虛擬服務(wù)器。但他們的數(shù)據(jù)流卻被bigip靈活地均衡到所有的服務(wù)器。這12種算法包括：l 輪詢(xún)（round robin）：順序循環(huán)將請(qǐng)求一次順序循環(huán)地連接每個(gè)服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障，big/ip就把其從順序循環(huán)隊(duì)

16、列中拿出，不參加下一次的輪詢(xún)，直到其恢復(fù)正常。l 比率（ratio）：給每個(gè)服務(wù)器分配一個(gè)加權(quán)值為比例，根椐這個(gè)比例，把用戶(hù)的請(qǐng)求分配到每個(gè)服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障，big/ip就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶(hù)請(qǐng)求的分配，直到其恢復(fù)正常。l 優(yōu)先權(quán)（priority）：給所有服務(wù)器分組，給每個(gè)組定義優(yōu)先權(quán)，big/ip用戶(hù)的請(qǐng)求，分配給優(yōu)先級(jí)最高的服務(wù)器組（在同一組內(nèi)，采用輪詢(xún)或比率算法，分配用戶(hù)的請(qǐng)求）；當(dāng)最高優(yōu)先級(jí)中所有服務(wù)器出現(xiàn)故障，big/ip才將請(qǐng)求送給次優(yōu)先級(jí)的服務(wù)器組。這種方式，實(shí)際為用戶(hù)提供一種熱備份的方式。l 最少的連接方式（least co

17、nnection）：傳遞新的連接給那些進(jìn)行最少連接處理的服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障，big/ip就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶(hù)請(qǐng)求的分配，直到其恢復(fù)正常。l 最快模式（fastest）：傳遞連接給那些響應(yīng)最快的服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障，big/ip就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶(hù)請(qǐng)求的分配，直到其恢復(fù)正常。l 觀察模式（observed）：連接數(shù)目和響應(yīng)時(shí)間以這兩項(xiàng)的最佳平衡為依據(jù)為新的請(qǐng)求選擇服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障，big/ip就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶(hù)請(qǐng)求的分配，直到其恢復(fù)正常。l

18、 預(yù)測(cè)模式（predictive）：big/ip利用收集到的服務(wù)器當(dāng)前的性能指標(biāo)，進(jìn)行預(yù)測(cè)分析，選擇一臺(tái)服務(wù)器在下一個(gè)時(shí)間片內(nèi)，其性能將達(dá)到最佳的服務(wù)器相應(yīng)用戶(hù)的請(qǐng)求。(被bigip進(jìn)行檢測(cè))l 動(dòng)態(tài)性能分配（dynamic ratio-apm):big/ip收集到的應(yīng)用程序和應(yīng)用服務(wù)器的各項(xiàng)性能參數(shù)，動(dòng)態(tài)調(diào)整流量分配。l 動(dòng)態(tài)服務(wù)器補(bǔ)充（dynamic server act.):當(dāng)主服務(wù)器群中因故障導(dǎo)致數(shù)量減少時(shí)，動(dòng)態(tài)地將備份服務(wù)器補(bǔ)充至主服務(wù)器群。l 服務(wù)質(zhì)量(qos)：按不同的優(yōu)先級(jí)對(duì)數(shù)據(jù)流進(jìn)行分配。l 服務(wù)類(lèi)型(tos)：按不同的服務(wù)類(lèi)型（在type of field中標(biāo)識(shí)）對(duì)數(shù)據(jù)流進(jìn)

19、行分配。l 規(guī)則模式：針對(duì)不同的數(shù)據(jù)流設(shè)置導(dǎo)向規(guī)則，用戶(hù)可自行編輯流量分配規(guī)則，big/ip利用這些規(guī)則對(duì)通過(guò)的數(shù)據(jù)流實(shí)施導(dǎo)向控制。 三、 產(chǎn)品介紹big-ip v9系列 數(shù)據(jù)資料本地流量管理器big-ip本地流量管理器應(yīng)用交付低效、遲延和失敗都會(huì)導(dǎo)致數(shù)百萬(wàn)美元的損失，包括預(yù)算浪費(fèi)、公司名譽(yù)受損、系統(tǒng)和應(yīng)用停機(jī)、法律責(zé)任以及錯(cuò)失良機(jī)等。big-ip 本地流量管理器是一款出色的應(yīng)用流量管理系統(tǒng)，可提供業(yè)內(nèi)最智能，最具適應(yīng)性的解決方案來(lái)保護(hù)、優(yōu)化和交付應(yīng)用，從而確保企業(yè)能夠在保持高效運(yùn)營(yíng)的同時(shí)提高其競(jìng)爭(zhēng)力。它是業(yè)內(nèi)唯一一款包含整套統(tǒng)一應(yīng)用基礎(chǔ)設(shè)施服務(wù)的系統(tǒng)，將總體控制、可見(jiàn)性以及靈活性出色地融合到

20、應(yīng)用安全、性能和交付中。好處？更高的業(yè)務(wù)靈敏性和當(dāng)今企業(yè)生命線（應(yīng)用）的成本實(shí)施。主要優(yōu)勢(shì)：可靠性提供業(yè)內(nèi)最可靠、最先進(jìn)的系統(tǒng)，以確保應(yīng)用始終可用。應(yīng)用加速提供無(wú)可比擬的控制能力將應(yīng)用性能提高3倍，確保高優(yōu)先級(jí)應(yīng)用得以?xún)?yōu)先處理，同時(shí)卸載昂貴的服務(wù)器循環(huán)。降低服務(wù)器和帶寬成本通過(guò)豐富的基礎(chǔ)設(shè)施優(yōu)化特性將服務(wù)器容量增加倍；同時(shí)通過(guò)智能http壓縮、帶寬管理等特性將帶寬成本降低80%。增強(qiáng)網(wǎng)絡(luò)和應(yīng)用安全性從拒絕服務(wù)（dos）保護(hù)到隱藏，再到過(guò)濾應(yīng)用攻擊，big-ip添加了多項(xiàng)不能在網(wǎng)絡(luò)中其它地方實(shí)現(xiàn)的關(guān)鍵安全特性。無(wú)可比擬的應(yīng)用智能與控制特性業(yè)內(nèi)唯一一款可提供完整應(yīng)用流的解決方案能夠以網(wǎng)速進(jìn)行全面的

21、有效負(fù)載檢查和基于事件的可編程流量管理，以及時(shí)掌握流量信息，并采取相應(yīng)措施。面向所有ip應(yīng)用的集成解決方案提供可與所有應(yīng)用（不僅是基于web的協(xié)議(http/s)）相集成的綜合解決方案，在單個(gè)統(tǒng)一系統(tǒng)內(nèi)為企業(yè)提供了面向所有ip應(yīng)用（包括傳統(tǒng)應(yīng)用和諸如voip等新興應(yīng)用）的集中解決方案。行業(yè)領(lǐng)先的性能提供行業(yè)內(nèi)最快的流量管理解決方案，來(lái)保護(hù)、交付和優(yōu)化應(yīng)用性能。作為行業(yè)內(nèi)當(dāng)之無(wú)愧的領(lǐng)導(dǎo)者，big-ip再次刷新了ssl tps、批量加密以及最大并發(fā)ssl連接的業(yè)內(nèi)記錄。簡(jiǎn)化管理，提高可見(jiàn)性全新的圖形用戶(hù)界面極大地簡(jiǎn)化了產(chǎn)品配置，提供了針對(duì)流量與插件資源的精細(xì)可見(jiàn)性，同時(shí)支持配置的批量快速修改。強(qiáng)大

22、的tm/os體系結(jié)構(gòu)：完善的應(yīng)用智能與網(wǎng)絡(luò)適應(yīng)性新型big-ip的核心是一款創(chuàng)新體系結(jié)構(gòu)，稱(chēng)為tm/os（流量管理/操作系統(tǒng)），它為企業(yè)提供了一套統(tǒng)一系統(tǒng)來(lái)幫助其實(shí)現(xiàn)最佳應(yīng)用交付。tm/os針對(duì)big-ip上的每項(xiàng)功能都做了改進(jìn)，在支持big-ip智能地適應(yīng)應(yīng)用與網(wǎng)絡(luò)日新月異的需求同時(shí)，提供了面向所有服務(wù)的完全可見(jiàn)性、靈活性和控制能力。tm/os快速應(yīng)用代理tm/os使big-ip能夠高效地將客戶(hù)機(jī)與服務(wù)器端數(shù)據(jù)流隔離開(kāi)來(lái)、獨(dú)立維持每個(gè)連接設(shè)備的最佳性能，并承擔(dān)起系統(tǒng)間的通信工作，以改進(jìn)應(yīng)用性能。如今，任何與big-ip相連的系統(tǒng)或ip應(yīng)用都將可以更高效地工作。irules和通用檢查引擎tm/

23、os 集成了f5新版定制的irules和通用檢查引擎（uie），為應(yīng)用交易或應(yīng)用流內(nèi)任何時(shí)刻的應(yīng)用流量處理都提供了無(wú)與倫比的控制能力。憑借完整的有效載荷檢驗(yàn)及轉(zhuǎn)換能力、可擴(kuò)展的事件驅(qū)動(dòng)irules以及面向會(huì)話層的交換（session-aware switching）技術(shù)，big-ip提供了業(yè)內(nèi)最智能的流量控制點(diǎn)，以（以網(wǎng)速）解決各種應(yīng)用交付問(wèn)題。big-ip統(tǒng)一應(yīng)用基礎(chǔ)設(shè)施服務(wù)通過(guò)易于管理的圖形用戶(hù)界面和流量“簡(jiǎn)檔”（profile）調(diào)用或通過(guò)irules調(diào)用，big-ip統(tǒng)一應(yīng)用基礎(chǔ)設(shè)施服務(wù)代表了一整套最全面的功能，使企業(yè)能夠更為高效地集成、定位和擴(kuò)展所要求的服務(wù)，以提高應(yīng)用部署效率。交付

24、優(yōu)化 安全交付.優(yōu)化.安全.全面的負(fù)載平衡先進(jìn)的應(yīng)用交換會(huì)話/流交換定制狀態(tài)監(jiān)控智能網(wǎng)絡(luò)地址轉(zhuǎn)換通用持續(xù)性響應(yīng)錯(cuò)誤處理ipv6網(wǎng)關(guān)（m）高級(jí)路由（m）智能端口鏡像ssl加速（m）智能http壓縮（m）tcp優(yōu)化第7層帶寬管理（m）內(nèi)容緩沖（content spooling/buffering）內(nèi)容轉(zhuǎn)換連接加速智能服務(wù)質(zhì)量廣域網(wǎng)優(yōu)化高級(jí)客戶(hù)機(jī)認(rèn)證（m）資源隱藏（resource cloaking）cookie加密 選擇內(nèi)容加密應(yīng)用攻擊過(guò)濾拒絕服務(wù)（dos）攻擊和syn flood保護(hù)防火墻包過(guò)濾包消毒（packet sanitization）(m) =作為插件模塊提供交付:最大可靠性和可擴(kuò)充性b

25、ig-ip通過(guò)提供業(yè)內(nèi)領(lǐng)先的第7層智能特性消除了單點(diǎn)故障，并實(shí)現(xiàn)了網(wǎng)絡(luò)與應(yīng)用的虛擬化。這樣可確保所有站點(diǎn)始終保持正常運(yùn)行，并使其更具可擴(kuò)充性和更易于管理。應(yīng)用狀態(tài)檢查big-ip提供了復(fù)雜的監(jiān)視器來(lái)檢查設(shè)備、應(yīng)用和內(nèi)容的可用性，其中包括支持許多應(yīng)用的專(zhuān)用監(jiān)視器（包括各種應(yīng)用服務(wù)器、sql、sip、ldap和xml/soap等）以及用以檢查內(nèi)容和模擬應(yīng)用呼叫的監(jiān)視器。此外，big-ip還能對(duì)共享服務(wù)器上的應(yīng)用進(jìn)行有效管理，并前瞻性地報(bào)告其狀態(tài)。高可用性及交易保證big-ip可提供次秒級(jí)系統(tǒng)故障切換和廣泛的連接鏡像，從而幫助用戶(hù)出色地解決各種類(lèi)型的系統(tǒng)、服務(wù)器或應(yīng)用故障。同時(shí)，它還能前瞻性地檢查并

26、對(duì)任何服務(wù)器或應(yīng)用錯(cuò)誤即時(shí)作出響應(yīng)，從而幫助企業(yè)在降低系統(tǒng)負(fù)載的同時(shí)，獲得出色的可靠性。全面的負(fù)載平衡big-ip采用多種靜態(tài)和動(dòng)態(tài)負(fù)載平衡方法（包括動(dòng)態(tài)比率、最小連接和觀測(cè)負(fù)載平衡），可跟蹤一組服務(wù)器的動(dòng)態(tài)性能級(jí)別，從而確?？墒冀K選中最佳資源以改進(jìn)性能。智能應(yīng)用交換由于big-ip可讀取所有ip應(yīng)用，所以它能夠基于特定廠商的應(yīng)用服務(wù)器（bea、微軟、ibm、oracle、sun等）信息、web服務(wù)應(yīng)用中的xml數(shù)據(jù)或移動(dòng)/無(wú)線應(yīng)用的設(shè)定值來(lái)實(shí)現(xiàn)持續(xù)性。憑借irules的深度分組檢驗(yàn)?zāi)芰蚥ig-ip的交換特性、日志記錄特性以及有效載荷或流持續(xù)性，企業(yè)可以為其所有應(yīng)用獲得更高的可靠性和可擴(kuò)充性

27、。完善的ipv6網(wǎng)關(guān)所有企業(yè)都需要制定一套明晰的無(wú)縫演進(jìn)戰(zhàn)略，以分階段進(jìn)行網(wǎng)絡(luò)移植，以支持不斷增長(zhǎng)的ipv6需求。通過(guò)ipv6網(wǎng)關(guān)模塊，big-ip提供了完整的v4與v6網(wǎng)絡(luò)間ip轉(zhuǎn)換與負(fù)載平衡能力。這使得用戶(hù)移植和混和ipv4與ipv6主機(jī)資源的共享更易于管理，同時(shí)也更為經(jīng)濟(jì)高效。優(yōu)化:降低基礎(chǔ)設(shè)施成本和加速應(yīng)用big-ip卓越的智能特性為企業(yè)提供了一款強(qiáng)大的解決方案，可幫助它們提高應(yīng)用性能、增加現(xiàn)有基礎(chǔ)設(shè)施的容量、降低基礎(chǔ)設(shè)施成本和加速其應(yīng)用。廣域網(wǎng)（wan）優(yōu)化和應(yīng)用加速big-ip提供了一套有針對(duì)性的方法來(lái)減少流量，降低互聯(lián)網(wǎng)延遲和客戶(hù)機(jī)連接瓶頸對(duì)其應(yīng)用性能所造成的影響。通過(guò)智能壓縮等

28、先進(jìn)特性，big-ip可支持對(duì)各種文件類(lèi)型的壓縮（如http、xml、javascript、j2ee應(yīng)用等），從而在將帶寬利用率降低80%的同時(shí)，將應(yīng)用性能提高了3倍。智能的http壓縮功能v9添加了綜合的，易配置的http壓縮功能，只需要在bigip上另外購(gòu)買(mǎi)對(duì)應(yīng)軟件模塊。http壓縮功能可以減少線路中傳輸?shù)臄?shù)據(jù)字節(jié)。這個(gè)功能可以實(shí)現(xiàn)兩個(gè)目的：1減少帶寬需要，降低花費(fèi)。2更好的穿越貸款瓶頸，提高傳輸速率。bigip系統(tǒng)通過(guò)以下方式實(shí)現(xiàn)對(duì)應(yīng)用程序的壓縮： uri/url mime l7 rule client aware based on rtt or ms java script確保關(guān)鍵應(yīng)用

29、性能big-ip靈活的第7層帶寬管理能力可使企業(yè)對(duì)帶寬進(jìn)行有效管理，以確保高優(yōu)先級(jí)應(yīng)用能夠得到按時(shí)交付。同時(shí)，它還提供了定制控制能力，以設(shè)定基于應(yīng)用的帶寬限制（容許的帶寬峰值），甚至還能在應(yīng)用之間建立隊(duì)列關(guān)系。增加服務(wù)器容量，提高站點(diǎn)響應(yīng)性big-ip可提供廣泛的連接管理以及tcp和內(nèi)容卸載能力，以?xún)?yōu)化服務(wù)器性能，顯著提高頁(yè)面加載速度。例如，big-ip的oneconnect能通過(guò)將數(shù)百萬(wàn)條客戶(hù)機(jī)請(qǐng)求匯聚到成百上千個(gè)服務(wù)器端連接中將服務(wù)器容量增加60%，從而確保了后端系統(tǒng)能夠高效地處理這些請(qǐng)求。通過(guò)其它優(yōu)化技術(shù)（比如內(nèi)容緩沖（content spooling），big-ip可充當(dāng)“中間人”來(lái)優(yōu)

30、化與任何端點(diǎn)之間的通信，使服務(wù)器能夠更有效地處理其工作負(fù)載，從而提高通過(guò)big-ip運(yùn)行的任何應(yīng)用的服務(wù)器容量。加密無(wú)所不在作為領(lǐng)先的ssl加速解決方案，big-ip提供了驚人的ssl處理擴(kuò)充性，持續(xù)ssl吞吐率可達(dá)2gbs。通過(guò)加速批量加密和設(shè)置加密，企業(yè)可使用更安全的加密方法將其全部通信移植到ssl上，同時(shí)不會(huì)對(duì)應(yīng)用性能帶來(lái)任何影響。內(nèi)容轉(zhuǎn)換big-ip提供了一款完善的解決方案，可將許多繁重或重復(fù)功能卸載至一個(gè)集中管理的大功率網(wǎng)絡(luò)設(shè)備上。除了ssl、壓縮和其他許多功能外，big-ip還提供了一個(gè)完整的內(nèi)容轉(zhuǎn)換網(wǎng)關(guān)，可對(duì)應(yīng)用內(nèi)容進(jìn)行重新引導(dǎo)、插入或進(jìn)行整體轉(zhuǎn)換，從而實(shí)現(xiàn)有效的應(yīng)用集成。安全：

31、更高的攻擊防護(hù)這種防護(hù)不僅可以阻止攻擊，同時(shí)還可以為合法用戶(hù)提供即時(shí)服務(wù)。從這兩方面來(lái)看，big-ip均提供了一整套安全服務(wù)，在提高網(wǎng)絡(luò)和應(yīng)用的安全性方面扮演了日益重要的角色。從增強(qiáng)網(wǎng)絡(luò)和協(xié)議級(jí)安全性到過(guò)濾應(yīng)用攻擊，big-ip都可以部署在關(guān)鍵網(wǎng)關(guān)上，來(lái)出色的保護(hù)您的珍貴資源：運(yùn)行業(yè)務(wù)的應(yīng)用。支持應(yīng)用安全性 資源隱藏big-ip將全部應(yīng)用、服務(wù)器錯(cuò)誤代碼和真實(shí)url地址進(jìn)行虛擬化并隱藏，因?yàn)檫@些信息可能會(huì)給黑客提供攻擊其基礎(chǔ)設(shè)施、服務(wù)以及相關(guān)漏洞的線索。 定制應(yīng)用攻擊過(guò)濾big-ip的完整檢查能力及基于事件的規(guī)則提供了一項(xiàng)強(qiáng)大的能力，可搜索并應(yīng)用各種規(guī)則來(lái)阻止l7層攻擊同時(shí)也可以定義策略來(lái)阻止

32、特定訪問(wèn)或禁止某些命令的執(zhí)行。此外，big-ip在為合法用戶(hù)持續(xù)提供流量的同時(shí)，還可提供其它安全保護(hù)層，以防范黑客、病毒和蠕蟲(chóng)的攻擊（如紅色代碼蠕蟲(chóng)）。 集中認(rèn)證big-ip可作為各種流量類(lèi)型的認(rèn)證代理，使企業(yè)能夠?yàn)閎ig-ip系統(tǒng)上的應(yīng)用提供最高級(jí)的認(rèn)證。這種功能使各類(lèi)應(yīng)用又多了一道遠(yuǎn)離自身的網(wǎng)絡(luò)安全防線，為其web和應(yīng)用層提供了進(jìn)一步的保護(hù)。增加關(guān)鍵內(nèi)容保護(hù) cookies加密和其它令牌都透明地分配給合法用戶(hù)。企業(yè)可獲得全部狀態(tài)應(yīng)用（電子商務(wù)、crp、epr和其它關(guān)鍵業(yè)務(wù)應(yīng)用等）出色的安全性和更高一級(jí)的用戶(hù)身份信任。 支持更高標(biāo)準(zhǔn)的aes（高級(jí)ssl加密標(biāo)準(zhǔn)）算法，采用市場(chǎng)上最安全的ssl

33、加密技術(shù)，無(wú)需額外處理成本。 內(nèi)容保護(hù)防止企業(yè)的敏感文件或內(nèi)容遺留在站點(diǎn)上。防御海量攻擊big-ip包含豐富的安全特性集，可全面防御拒絕服務(wù)（dos）攻擊、同步攻擊（syn flood）和其他基于網(wǎng)絡(luò)的攻擊。諸如syncheck等特性可為部署在big-ip設(shè)備后的服務(wù)器提供全面的同步攻擊（syn flood）保護(hù)。此時(shí)，big-ip作為安全代理，來(lái)有效地保護(hù)整個(gè)網(wǎng)絡(luò)。與dynamic reaping特性相結(jié)合，big-ip設(shè)備可安全地過(guò)濾海量攻擊，同時(shí)為合法連接用戶(hù)提供不間斷的服務(wù)。避免協(xié)議攻擊big-ip提供了“協(xié)議無(wú)害處理”（protocol sanitization）和“充分tcp終止”

34、（full tcp termination）點(diǎn)來(lái)單獨(dú)管理客戶(hù)機(jī)和服務(wù)器端連接，以保護(hù)所有后端系統(tǒng)和應(yīng)用免遭惡意攻擊。防火墻包過(guò)濾現(xiàn)在，big-ip集成了一個(gè)控制點(diǎn)來(lái)定義并執(zhí)行基于第4層的過(guò)濾規(guī)則（基于pcap，與網(wǎng)絡(luò)防火墻類(lèi)似），以提高網(wǎng)絡(luò)保護(hù)能力。big-ip的性能及可靠性創(chuàng)新的性能big-ip提供了業(yè)內(nèi)最快速的應(yīng)用流量管理解決方案，其特別設(shè)計(jì)的體系結(jié)構(gòu)將高性能交換結(jié)構(gòu)與一流ssl和第4層硬件優(yōu)化完美結(jié)合在一起，以徹底卸載系統(tǒng)cpu。big-ip確保了各項(xiàng)功能均可達(dá)到其真實(shí)性能，并能夠以網(wǎng)絡(luò)速度進(jìn)行深層次分組檢查。系統(tǒng)ha和管理big-ip通過(guò)多重啟動(dòng)、“熱”升級(jí)、無(wú)人值守管理等關(guān)鍵特性顯著

35、改善了系統(tǒng)管理。作為一款高可用性設(shè)備，big-ip還提供了對(duì)于“ha表”下所有處理器狀態(tài)無(wú)可比擬的可見(jiàn)性。全新圖形用戶(hù)界面和簡(jiǎn)化的管理先進(jìn)的全新圖形用戶(hù)界面極大地簡(jiǎn)化了產(chǎn)品配置，降低了設(shè)置和維護(hù)成本?；凇昂?jiǎn)檔”（profile）的配置全新的簡(jiǎn)檔對(duì)象（profile object）使企業(yè)可創(chuàng)建可應(yīng)用于不同資源的流量行為模板，從而減少重復(fù)操作并提供一致的設(shè)置修改方法。提高可見(jiàn)性big-ip能夠提供詳盡的流量統(tǒng)計(jì)數(shù)據(jù)（全局范圍或基于每個(gè)對(duì)象），以幫助企業(yè)更好的監(jiān)控全部活動(dòng)和資源。豐富的用戶(hù)界面big-ip全新的圖形用戶(hù)界面提供了多項(xiàng)可用性增強(qiáng)特性（通過(guò)一個(gè)安全的、基于ssl瀏覽器的接口提供），其中

36、包括在線幫助、搜索與分類(lèi)、在線創(chuàng)建等等，大大降低了花費(fèi)在大量配置上的設(shè)置與維護(hù)時(shí)間。icontrol 創(chuàng)建面向應(yīng)用的網(wǎng)絡(luò)f5的icontrol api和 sdk幫助實(shí)現(xiàn)了第三方應(yīng)用和big-ip之間的自動(dòng)通信，從而消除了繁瑣的手工操作。經(jīng)擴(kuò)展后，icontrol現(xiàn)在已可支持真正的發(fā)布/訂閱模式。這一模式大大降低了網(wǎng)絡(luò)開(kāi)銷(xiāo)，改善了通過(guò)icontrol接口與big-ip相集成的應(yīng)用的性能。對(duì)于大多數(shù)應(yīng)用而言，該模式能夠顯著降低客戶(hù)機(jī)和服務(wù)器的網(wǎng)絡(luò)帶寬與處理時(shí)間。網(wǎng)絡(luò)支持stp、mstp、rstp鏈路聚合vlan標(biāo)記qos/tos第三方mib支持：全部默認(rèn)net-snmpbig-ip 擴(kuò)充、安全和優(yōu)

37、化：apachebea weblogiccheck point vpn-1/firewall-1citrix metaframe presentation serverhp openviewlotus/domino notes serversibm websphere oracle: 9i application server 10g application server e-business suite 11i collaboration suite.微軟： application center commerce server exchange sever outlook web acces

38、s windows terminal services sharepoint portal server internet information services (iis) live communications server sql server microsoft operations manager mobile information server internet security and acceleration server visual studio .netsiebel ebusiness applicationspeoplesoft enterprisemacromedia coldfusiontrend micro interscanmercury business availability centersap mysap business suitenetegrity siteminderwebmethods e