F5解決方案交流

行業(yè)應用加速與網(wǎng)絡平安

F5解決方案Presentedby:

WuDong

F5PresalesConsultantApplication網(wǎng)絡和應用之間巨大的縫隙應用關注業(yè)務邏輯和功能傳統(tǒng)網(wǎng)絡關注連通網(wǎng)管應用開發(fā)人員新的平安漏洞高代價的擴展性能低下?應用與網(wǎng)絡之間的問題分析效勞器端的問題客戶端的問題應用網(wǎng)絡應用整合導致速度變慢應用擴展性限制應用平安性受到挑戰(zhàn)高資源消耗和應用配合性很差應用復雜導致使用困難網(wǎng)絡擁擠不堪，訪問速度很慢客戶端平安性受到挑戰(zhàn)接入環(huán)境差異導致使用困難應用高可用性需求增強現(xiàn)有的應用架構廣域網(wǎng)/InternetWEB/應用效勞器數(shù)據(jù)庫效勞器數(shù)據(jù)庫客戶端行業(yè)應用面臨的問題1-WEB/應用效勞器瓶頸產(chǎn)生的原因應用的整合導致業(yè)務邏輯復雜大數(shù)據(jù)量查詢與分析導致應用效勞器資源占用上升JAVA技術的廣泛使用在帶來開發(fā)和使用的易用性的同時導致了系統(tǒng)性能瓶頸B/S結構的易用性決定了需求的持續(xù)增長傳統(tǒng)的解決方法更換更強的應用效勞器優(yōu)化代碼仍然存在的問題單點故障硬件投資急劇上升新硬件平臺帶來的性能提升有限隨著需求的增長維護與遷移導致更高的維護本錢行業(yè)應用面臨的問題1-數(shù)據(jù)庫性能瓶頸產(chǎn)生的原因歷史數(shù)據(jù)累積，導致數(shù)據(jù)庫越來越龐大高性能計算要求，對數(shù)據(jù)庫性能要求越來越高數(shù)據(jù)深度挖掘，數(shù)據(jù)庫整合，跨表查詢等大量的數(shù)據(jù)分析工作消耗大型主機資源傳統(tǒng)解決方法更換性能更強的數(shù)據(jù)庫效勞器HA架構并不能帶來性能的提升仍然存在的問題硬件投資急劇上升單點故障，管理維護復雜F5ADN解決方案-F5應用交換機BIGIP-LTM截取監(jiān)控保持負載均衡截獲和檢查流量,保證只有適宜的數(shù)據(jù)包才能通過效勞器監(jiān)控和健康檢查,隨時了解效勞器群的可用性狀態(tài)負載均衡和應用交換功能,通過各種策略導向到適宜的效勞器會話保持以實現(xiàn)與應用系統(tǒng)完美結合BIGIP-LTM的作用范圍-Layer4-7Lay4-7層交換機別名:負載均衡交換機內(nèi)容交換機應用交換機主動式流量管理Lay4-7層交換機工作在網(wǎng)絡第4-7層協(xié)議上Lay4-7層交換機的作用提高應用系統(tǒng)/效勞器的可用性提高應用系統(tǒng)的平安性降低IT系統(tǒng)的管理和升級的本錢提高IT系統(tǒng)的效率和容量表示層會話層傳輸層網(wǎng)絡層鏈路層物理層應用層PHYMACIPTCP/UDP/其他FTPSMTP/POP3SIP/H.323SMS/MMSSQLIIOPHTTP/HTTPS……Lay4-7SwitchBIGIP-LTM應用的物理結構客戶端將請求發(fā)送到BIGIP-LTM對外的虛擬地址BIGIP-LTM將請求轉(zhuǎn)發(fā)到效勞器群組中BIGIP-LTM將效勞器的返回發(fā)送到最初發(fā)起請求的客戶端在BIGIP-LTM上制定負載均衡策略及會話保持策略在BIGIP-LTM上制定效勞器健康檢查策略客戶端請求負載均衡分配應用交換機BIGIP-LTM的邏輯結構虛擬效勞器–效勞器池w/Rules舉例virtualserver

:80pool(name=cgi_boxes)member(server=:80)member(server=:80)member(server=:80)pool(name=asp_boxes)member(server=:80)member(server=:80)member(server=:80)virtualaddr

virtualserver

:443pool(name=ssl_boxes)member(server=:443)member(server=:443)member(server=:443)virtualaddr

Load

BalancingIntelligent

TrafficControl

(lookatURL,clientIPaddr.,etc.)Port-based

TrafficDirectionIPAddr.-based

TrafficDirectionIncomingrequestBIGIP-LTM在應用系統(tǒng)中的部署存儲設備中間件應用服務器后端效勞器前端Web/接入服務器BIGIP-LTMBIGIP-LTMBIGIP-LTM數(shù)據(jù)流BIGIP-LTM關于數(shù)據(jù)庫負載均衡的特別說明在BIGIP-LTM上尚未提供數(shù)據(jù)庫讀寫分開的能力需要對應用層進行改動行業(yè)應用面臨的問題2-SSL壓力產(chǎn)生的原因交易中SSL應用越來越普遍，防止中途竊聽和篡改SSL平安傳輸廣泛部署于Internet和內(nèi)部網(wǎng)絡訪問效勞器對SSL處理能力有限SSL對稱加密和非對稱加密占用大量計算資源傳統(tǒng)的解決方案采用更多的效勞器負載均衡在效勞器端安裝硬件加速卡采用基于主機方式的SSL網(wǎng)關仍然存在的問題管理維護復雜增加SSL網(wǎng)關的軟件和硬件投資巨大在更換或者增加CA時維護復雜或難以實現(xiàn)普通加速卡只能解決非對稱加密的部份而不能解決對稱加密局部F5ADN解決方案-F5LTMSSLOffloadHTTPSHTTP/HTTPSCRLDPServerOCSPServer作廢證書驗證SSL加速/應用交換效勞器群組CAServer證書發(fā)放，更新作廢證書列表集中處理SSL流量，轉(zhuǎn)換為HTTP之后發(fā)送給效勞器減小效勞器端壓力同時處理非對稱加密和對稱加密支持多種CA和證書應用，支持多CA同時處理F5BIGIP-LTMSSL加速性能與功能SSL性能參數(shù)BIG-IP1500BIG-IP3400BIG-IP6400BIG-IP6800MaxSSLTPS2,1005,10015,10020,100MaxSSLBulk500Mb/s1Gb/s

2Gb/s

2Gb/sMaxSSLCC100,000200,000500,000500,000客戶機到BIGIP端到端加密通道–保證電子交易傳輸平安，可靠證書認證功能-支持多種CA證書體系效勞器SSL傳輸–實現(xiàn)后端效勞器加密傳輸，提供最大平安性資源訪問控制–控制客戶端訪問資源內(nèi)容證書信息透傳-提供效勞器更多信息，減小效勞器端壓力多應用系統(tǒng)支持-支持典型的WebSphere、WebLogic、Tomcat等應用效勞器完善的日志輸出-加強平安審計功能行業(yè)應用面臨的問題3-廣域網(wǎng)B/S帶寬占用產(chǎn)生的原因B/S開發(fā)相對簡單，結構清晰，無須客戶端維護大量的傳統(tǒng)C/S應用在進行B/S轉(zhuǎn)換B/S應用的帶寬占用遠遠大于C/S應用在處理中參加了大量界面代碼，導致單筆交易的數(shù)據(jù)傳輸量增加傳統(tǒng)的解決方法增加廣域網(wǎng)帶寬仍然存在的問題增加帶寬仍然可能速度沒有提升〔網(wǎng)絡延遲〕增加帶寬的資金投入為持續(xù)性，沒有回報F5ADN解決方案-HTTP壓縮/Cache/連接優(yōu)化對效勞器返回頁面進行壓縮文本的通常壓縮比可達5:1選擇性壓縮，對不可壓縮內(nèi)容不壓縮。對高速訪問用戶端不壓縮減小廣域網(wǎng)傳輸流量提高客戶端頁面加載速度連接優(yōu)化可以將一個用戶的多個請求或者多個用戶的請求合成一個連接發(fā)送到效勞器，減小應用效勞器的壓力HTTPHTTPHTTP動態(tài)壓縮/CacheHTTP壓縮的效果Company(homepage)BytesSavedwithCompressionPercentageSavedwithCompressionTransferSpeedImprovementOracle71,89573%3.7xE*trade46,77270%3.3xLubrizol86,73266%2.9xXerox73,04464%2.8xHiltonHotels102,48755%2.2xNorthWesternMutual55,54153%2.1xBestBuy127,29951%2.1xBedBathandBeyond114,85451%2.1xInsightEnterprise53,77750%2.0xProgressive47,70152%2.1xHTTP優(yōu)化壓縮/連接優(yōu)化后的實際效果效勞器占用減少1/3授權費用減少1/3管理時間減少1/3114.8Million5Million95%FewerConnections1.87Terabyte621Gigabytes帶寬占用減少66%3Seconds1Seconds快3倍端到端的頁面加載時間行業(yè)應用面臨的問題4-遠程平安訪問使用者輕車熟路–針對真正使用者任何時間，任何地點，任何系統(tǒng)平臺。與內(nèi)網(wǎng)訪問方式相同，不需額外負擔，請不要再給我負擔！系統(tǒng)平安性--針對平安管理人員端點自檢查方式，完全符合企業(yè)對平安管理的需求。防范病毒入侵防范應用攻擊管理輕松方便–針對系統(tǒng)管理員與現(xiàn)有的認證系統(tǒng)輕松融合，如此多遠程用戶，別再給我添亂了！方便靈巧的跟蹤報告方式，輕松記錄遠程訪問人員何時訪問過何種資源全中文界面，方便使用者和管理者雙向訪問模式，可提供信息主動推送到端點，并對端點有效維護。F5ADN解決方案-F5FirePassSSLVPNInternetLaptopMobileDevicePartner應用訪問門戶訪問網(wǎng)絡訪問動態(tài)策略后端訪問任何用戶任何設備KioskSecuredbySSLIntranetFirePass用戶認證系統(tǒng)FirePassSSLVPN的應用部署簡化策略管理集成終端平安檢查高性能

Internet內(nèi)部非平安網(wǎng)段隔離區(qū)網(wǎng)絡無線網(wǎng)接入用戶認證系統(tǒng)SSL企業(yè)桌面系統(tǒng)遠程筆記本電腦VLAN1SSLSSL內(nèi)部平安網(wǎng)段VLAN2F5FirePass的特色提供全網(wǎng)絡訪問功能：基于IP的應用都可以訪問集成終端平安檢查：可以檢查客戶端的軟件安裝、防火墻、防病毒軟件的使用、WindowsPatch是否安裝等。與內(nèi)網(wǎng)訪問方式相同：不需額外負擔隨時隨地接入：使用SSL協(xié)議作為接入?yún)f(xié)議，與具體接入條件無關，有效的防止了IPSecVPN在某些網(wǎng)絡條件下無法接入的弊端多種多樣的接入客戶端：可以使用多種客戶端接入，包括Mac、Linux、Solaris、WindowsCE等等，大大擴展了客戶端的使用便利性行業(yè)應用面臨的問題5-廣域網(wǎng)數(shù)據(jù)傳輸客戶端效勞器時間文件OpenFID300ms廣域網(wǎng)延遲Read(1)300msRead(2)300msRead(n)300msRead(2)Read(1)Read(n)File一個Windows文件共享拷貝100MB文件大約產(chǎn)生1,700個來回局域網(wǎng):1,700x1毫秒=1.7秒廣域網(wǎng):1,700x300毫秒

=

8.5分鐘！標準TCP協(xié)議的傳輸問題廣域網(wǎng)延遲廣域網(wǎng)延遲F5ADN解決方案-WANJet廣域網(wǎng)加速客戶端效勞器時間文件300ms局域網(wǎng)存取文件:1,700x1毫秒=1.7秒加速后第一次存取文件延遲減小:200x300毫秒=1分鐘：8.5分鐘〔沒有加速〕加速后第二次存取文件速度:6x300毫秒=1.8秒WANJet透明加速廣域網(wǎng)Client加速隧道CIFS請求CIFS應答CIFS請求CIFS應答CIFSProxy技術動態(tài)減小數(shù)據(jù)包往返次數(shù)WANJetWANJetF5ADN解決方案-WANJet廣域網(wǎng)加速顯著的減少在WAN上的帶寬消耗完全透明：用戶端和效勞端感覺不到加速設備的應用廣泛的協(xié)議支持：包括FTP,HTTP,CIFS的任何協(xié)議廣泛的文件類型支持：包括Powerpoint,PDF,CAD等任何文件類型已經(jīng)壓縮的數(shù)據(jù)也可以減少數(shù)據(jù)的傳輸：ZIP，rar，jpeg圖片等沒有文件的緩存或預存TDR數(shù)據(jù)字典技術具有LAN性能的WANSSL加密傳輸解密數(shù)據(jù)解密數(shù)據(jù)廣域網(wǎng)加速的實際效果應用類型實際應用的最佳狀態(tài)平均狀態(tài)文件傳輸500X10X數(shù)據(jù)庫(SQL)90X10X網(wǎng)絡存儲(iSCSI)50X10X備份(Veritas)15X5X遠程接入(Microsoft)5X2XF5WANJet廣域網(wǎng)加速的部署成熟解決方案，在大型銀行中應用提高分部到數(shù)據(jù)中心，數(shù)據(jù)中心到備份中心的傳輸速度行業(yè)應用面臨的問題6-流量平安監(jiān)控瓶頸產(chǎn)生的原因網(wǎng)絡中傳輸數(shù)據(jù)的不可知性，視頻會議、郵件、HTTP、即時通訊、OA、FTP。。。網(wǎng)絡攻擊敏感數(shù)據(jù)明文傳輸平安監(jiān)控設備處理能力有限傳統(tǒng)處理方法采用更高端的硬件采集設備采用NetFlow等協(xié)議進行簡單分析仍然存在的問題實時性無法保證無法做到協(xié)議級分析投資持續(xù)增高迄今還沒有能支持到10Gbps的獨立式監(jiān)控系統(tǒng)F5ADN解決方案-F5LTM鏡像流量分配可以根據(jù)協(xié)議、IP等條件，對鏡像流量進行分配多臺入侵檢測/流量分析設備共同工作高可擴展性，當帶寬增加的時候只需要增加前端處理設備最大可到10Gbps的流量分配入侵檢測設備廣域網(wǎng)TAP局域網(wǎng)TAP可以是一個被動的分光器,主動式的TAP,或者是內(nèi)置在以太網(wǎng)交換機內(nèi)的鏡像功能.應用交換機入侵檢測設備入侵檢測設備協(xié)議級分析的內(nèi)容-第三方產(chǎn)品協(xié)議分析層：主要分析的協(xié)議及內(nèi)容Radius協(xié)議：帳號、IP、上線時間、下線時間、上傳流量、下載流量、上傳包數(shù)、下載包數(shù)HTTP協(xié)議：帳號、源IP/端口、目的IP/端口、訪問時間、域名/HOST、URL、網(wǎng)站類別、流量郵件〔SMTP/POP〕協(xié)議：帳號、源IP、發(fā)件人帳號、收件人帳號、收發(fā)時間、協(xié)議類型〔smtp/pop3〕、收發(fā)工具、流量即時通信〔MSN/QQ/ICQ/YMSG/UC〕協(xié)議：帳號、源IP、登錄帳號、上線時間、下線時間、協(xié)議類型〔MSN/QQ/ICQ/YMSG/UC〕、流量P2P〔BT/EDONKEY等〕協(xié)議：帳號、源IP、P2P應用類型〔BT/EDONKEY〕、HTTPURL、種子文件名、開始時間、結束時間、上傳流量、下載流量TrackerIP列表VOIP協(xié)議：帳號、源IP、目的IP、目的IP類型〔網(wǎng)關/網(wǎng)守〕、協(xié)議類型〔H.323/SIP〕、開始時間、結束時間、流量流媒體協(xié)議：帳號、源IP、目的IP、流媒體類型〔RTSP/MMS〕、流媒體文件名、開始時間、結束時間、上傳流量、下載流量……行業(yè)應用面臨的問題7-多鏈路接入測試項目網(wǎng)通北京ADSL用戶訪問12月2日凌晨1時廣東電信用戶訪問，寬帶用戶，帶寬未知，12月2日16:30網(wǎng)通北京ADSL用戶訪問，12月2日16:00上海ADSL寬帶用戶訪問，12月2日20:00應用3DNS后DNS解析結果091091網(wǎng)通電信網(wǎng)通電信網(wǎng)通電信網(wǎng)通電信Numberofhits:726947652471935RequestsperSecond1.201.150.071.270.870.780.320.58SocketConnects737057753482036TotalBytesSent(inKB)14.1913.470.9614.9613.6112.233.877.03BytesSentRate(inKB/s)0.240.220.020.250.230.200.060.12TotalBytesRecv(inKB)4148.244001.90256.584388.543019.942703.2621733983BytesRecvRate(inKB/s)69.1266.684.2873.1250.3245.050.360.66網(wǎng)通電信拆分后，南北網(wǎng)絡訪問速度差異極大，接近20倍證券用戶訪問困難，客戶投訴增加單鏈路中斷導致全部訪問中斷F5ADN解決方案-F5GTM/LTM網(wǎng)通電信電信線路接入路由器網(wǎng)通線路接入路由器外層防火墻BIGIP-LTM外層防火墻BIGIP-LTMBIGIP-LTMBIGIP-LTMBIGIP-GTMBIGIP-GTMBIGIP-GTM負責Internet用戶的訪問引導BIGIP-LTM負責多鏈路處理、防火墻負載均衡、效勞器負載均衡將DNS處理與鏈路處理放在獨立的設備上，提高系統(tǒng)平安型、抗攻擊能力和擴展性可以完成多種復雜的功能配置和需求F5ADN解決方案-F5LinkControler實現(xiàn)多鏈路的高可用性動態(tài)選擇最正確鏈路根據(jù)應用需求可靈活定義內(nèi)置帶寬控制功能，保證優(yōu)先業(yè)務運行可選壓縮功能可減小帶寬占用簡化設備配置，減小維護工作量InternetBIG-IPLinkController效勞器集群內(nèi)部客戶端ISP1ISP2ISP3防火墻內(nèi)部網(wǎng)絡2121證券用戶遠端效勞器什么是ADN？-ApplicationDeliveryNetworkADN的目標：通過最有效率，最方便的實現(xiàn)方式來實現(xiàn)應用的Secure、Fast和AvailableApplicationDeliveryNetworkUsersDataCenterSAPMicrosoftOracleAtHomeIntheOfficeOntheRoadF5ADN的全家福應用系統(tǒng)用戶異地數(shù)據(jù)中心EnterpriseManagerTMOSiControlBIG-IPGlobalTrafficManagerWANJetFirePassBIG-IPLocalTrafficManagerTrafficShieldWebAccelerato