F5鏈路負載均衡解決方案實例

1、南京財經(jīng)大學(xué)南京財經(jīng)大學(xué)F5 Link Controller 多鏈路負載均衡解決方案1南京財經(jīng)大學(xué)1. 項目背景分析 4.1.1 南京財經(jīng)大學(xué)的現(xiàn)狀 4.1.2 鏈路改造后的預(yù)期設(shè)想 4.2. F5 提供的最佳解決方案 6.2.1 設(shè)計結(jié)構(gòu)圖： 6.2.2 實現(xiàn)原理 出站訪問 入站訪問 系統(tǒng)切換時間 1.03. 解決方案功能介紹 1.13.1 高可用性 .1 全面的鏈路監(jiān)控能力 集合多個監(jiān)視器 1.23.2 最大帶寬和投資回報 可節(jié)省 WAN 鏈路成本的壓縮模塊 1. 33.2.2 帶寬可擴展性

2、 強大的流量分配負載均衡算法 1. 43.2.4 鏈路帶寬控制 鏈路成本負載平衡 1.53.3 高級 WAN 鏈路管理 最佳性能鏈路 針對壓縮技術(shù)的目標流量控制 1. 63.3.3 優(yōu)化的 TCP 性能 可編程鏈路路由 iRule 流量優(yōu)先級安排：服務(wù)質(zhì)量 (QoS) 和配置服務(wù)類型 (ToS) .173.4 配置和管理 .1 消除 BGP 多歸屬部署障礙 BIG/IP 的業(yè)界最快雙機冗余切換 1. 73.4.3 IPv6 網(wǎng)關(guān) 統(tǒng)計與報告

3、 1.83.5 強化的安全性能 智能 SNAT 網(wǎng)絡(luò)安全 簡單、安全的管理 1.93.6 集成流量管理可擴展性 2.03.6.1 擴展的各類安全設(shè)備負載均衡 2. 03.6.2 擴展的 SSL 加速適用于校園一卡通等 2. 1相關(guān)產(chǎn)品介紹 2.2.3南京財經(jīng)大學(xué)1. 項目背景分析1.1南京財經(jīng)大學(xué)的現(xiàn)狀南京財經(jīng)大學(xué)校園網(wǎng)建設(shè)始于1997年，2001年升級改造，經(jīng)多年建設(shè)已 形成一個運行穩(wěn)定、可靠的多出口千兆以太網(wǎng)。在出口線路上采用多出口方式， 目前采用策略路由進行路由選擇來實現(xiàn)與教育網(wǎng)和公網(wǎng)的鏈接。我校目前網(wǎng)絡(luò)架構(gòu)的拓撲如下圖示。目前接入計

4、算機終端約10000臺，在線用戶峰值7千左右。|詢南京財經(jīng)大學(xué)網(wǎng)絡(luò)拓撲姑構(gòu)圖根據(jù)學(xué)校發(fā)展的需要及目前ISP運營商所能提供的服務(wù)，下一階段將對出 口進行改造，采用負載均衡設(shè)備的方式選擇出口線路。目前南京財經(jīng)大學(xué)的出口線路包括2條單模1000M鏈路（cernet和網(wǎng)通）和1條100M電纜的電信。擁有 電信和網(wǎng)通地址各64個。改造后學(xué)校的所有訪問經(jīng)過網(wǎng)絡(luò)安全設(shè)備、帶寬管理 設(shè)備（暫不采購）接到鏈路均衡設(shè)備上，由鏈路均衡設(shè)備與引入的多條出口線路 直接鏈接。考慮目前學(xué)校的的實際需求和目前ISP運營商所能提供的服務(wù)，本次 出口鏈路改造需要適當考慮電信100M鏈路的擴展（先增加到2條），同時為了 今后發(fā)展的

5、需要，要留有相應(yīng)擴充用的具備一定數(shù)量的萬兆、 千兆和百兆出口接 口。1.2鏈路改造后的預(yù)期設(shè)想改造后要求能實現(xiàn)當一條出口鏈路發(fā)生中斷時，能按照設(shè)置的優(yōu)先策略, 動態(tài)地將故障鏈路流量轉(zhuǎn)移到其它活動鏈路上。提高外界對學(xué)校各種網(wǎng)站的訪問速度，是本次增加鏈路設(shè)備的核心需求之一。能實現(xiàn)多種管理策略和路由策略，在保證鏈路帶寬的情況下，能確實提高我 校的網(wǎng)絡(luò)運行性能和帶寬效率，保證學(xué)校進出口通暢。鏈路負載均衡設(shè)備必須具備智能 DNS解析功能，同時不得改變校園網(wǎng)現(xiàn)有 的DNS解析方案。8000橋頭檢K8600ER16仙2滬汕-汕創(chuàng)行政樓圖I訓(xùn)8000 N78600后的南京»大學(xué)（«撲給構(gòu)B

6、91.3為什么推薦F5產(chǎn)品對于此次南京財經(jīng)大學(xué)參考品牌中列舉的三家廠商，我公司經(jīng)過仔細對比、慎重考慮之后，選擇F5公司的產(chǎn)品進行投標，主要是因為：1.3.1公司方面1、美國著名第三方市場調(diào)查機構(gòu) Gartner調(diào)查顯示，F(xiàn)5是應(yīng)用流量管理領(lǐng)域公 認的領(lǐng)導(dǎo)者；2、 獨立式應(yīng)用流量管理產(chǎn)品市場份額中，F(xiàn)5全球市場份額第一，占38.7%，遠 遠大于 Radware （6%）和 Array （ <2%）；3、 F5全球1200員工，研發(fā)人員400人，多年以來，一直技術(shù)創(chuàng)新，弓I領(lǐng)技 術(shù)方向；4、 F5中國30人，工程師10人；渠道技術(shù)支持和服務(wù)體系完善，能夠為南 京財經(jīng)大學(xué)提供及時，優(yōu)質(zhì)的服務(wù)能

7、力1.3.2產(chǎn)品硬件和性能方面1、F5在第四層流量處理時，使用專門的 ASIC芯片，流量處理速度和吞吐量都 大大增加，在第三方的測試報告中，其各項性能遠高于其他同檔次產(chǎn)品；2、F5在第七層流量處理時，使用 2.8GHz主頻的CPU,流量處理速度和吞吐量 都大大增加，其他廠家對于第七層的流量處理通常只停留在 HTTP 數(shù)據(jù)流上；3、 F5在存儲介質(zhì)方面，同時使用CF卡和硬盤，主OS運行在CF 上,在硬盤上 可以備份兩個OS,并且增加日志存儲量，系統(tǒng)穩(wěn)定型提高，同時對于日后日 記審計有所幫助；4、F5內(nèi)存大，缺省2G,可以升級到4G,可以支持更大的并發(fā)會話數(shù)（可達到 200 萬以上）；5、F5帶有

8、LCD （液晶屏），可以方便查看流量情況和報警情況，以便巡檢；6 F5內(nèi)置了 SSL加速芯片，并附送了 100TPS（并發(fā)新建100SSL連接）的 License；7、F5內(nèi)置了 Watchdog芯片，支持雙機冗余時，硬件檢測并觸發(fā)設(shè)備切換，切 換時間可以達到毫秒級，而其他廠商的產(chǎn)品只是基于網(wǎng)絡(luò)層上的 HA。1.3.3 產(chǎn)品軟件和功能方面1、F5 缺省支持豐富的軟件功能， 包括雙向鏈路負載均衡， 服務(wù)器負載均衡， Qos，SSL 卸載和加速，包過濾防火墻和 DOS 防護功能；2、F5還可以通過軟件激活，實現(xiàn)流量壓縮，內(nèi)存 Cache MSM , Web加速等應(yīng) 用優(yōu)化功能。3、F5可以通過軟件

9、激活，實現(xiàn)IPv6和IPv4網(wǎng)關(guān)功能，對于Cernet2教育網(wǎng)中 IPv6的部署可以支持4、在鏈路負載均衡中， F5 在 Inbound 和 Outbound 鏈路負載均衡時，使用兩套 獨立的算法系統(tǒng)。尤其在 Inbound 時，具備近二十種算法，并支持三個優(yōu)先 級層次選擇，這樣可以達到最高的正確解析率。5、在服務(wù)器負載均衡中，F(xiàn)5具備業(yè)界唯一的可編程流量控制，對于復(fù)雜的第七 層流量管理可以更好的支持。6在服務(wù)器負載均衡中，F(xiàn)5具備豐富的會話保持機制，支持更復(fù)雜的應(yīng)用。7、F5的API二次開發(fā)接口，可以更加靈活地跟應(yīng)用結(jié)合。8、F5管理界面非常友好，便于運維人員配置和維護。2. F5 提供的最

10、佳解決方案2.1 設(shè)計結(jié)構(gòu)圖：8000橋頭檢I*86008000ER16禍住躋檢IX0業(yè)細才彳亍政嘍N78600 后的南京財統(tǒng)大學(xué)剛絡(luò)押撲結(jié)構(gòu)圖在多ISP接入時，各個ISP接入的線路通過防火墻連接到F5 Link Controller上,F5 Link Controller工作在3層模式下，可劃分為多個 VLAN，分別連接各個 ISP線路和內(nèi)網(wǎng)核心交換機。核心交換機的默認路由指向F5 Link Controller; F5Link Controller可設(shè)置多個缺省網(wǎng)關(guān)，指向各個ISP的對端ip地址，來確保多鏈 路之間的高可用性和各ISP用戶的就近性訪問。2.2實現(xiàn)原理在學(xué)校使用了多條鏈路后，

11、F5 Link Controller主要負責出入站連接的高可用性和智能鏈路選擇：2.2.1出站訪問對于內(nèi)部辦公用戶由內(nèi)向外的出站訪問，F(xiàn)5 link controller可檢測到整個鏈 路中出現(xiàn)的錯誤，從而能夠提供可靠的端到端WAN連接。它可以監(jiān)視每個連接的運行狀態(tài)和可用性，實時檢測鏈路或ISP的損耗情況。一旦某條鏈路出現(xiàn)故障，流量將被動態(tài)地傳遞給其它可用鏈路，從而確保內(nèi)部用戶對外的訪問繼續(xù)保持連接。F5 link controller可設(shè)置多個缺省網(wǎng)關(guān)ip地址，構(gòu)成default gateway pool。 然后根據(jù)所設(shè)定的負載均衡算法來為每個出站連接智能的選擇某個缺省網(wǎng)關(guān)，從而實現(xiàn)出站流量

12、的鏈路負載均衡。F5 link controller包括基于靜態(tài)IP地址段或基 于響應(yīng)時間和線路質(zhì)量計算等多種負載均衡算法，可探測哪條鏈路可以為用戶提供最佳服務(wù)，然后將該用戶引導(dǎo)至此鏈路，確保他們能得到最快服務(wù)及最高質(zhì)量 的連接。完整的數(shù)據(jù)連接包括client向server發(fā)起的請求數(shù)據(jù)和server向client返回 的響應(yīng)數(shù)據(jù)。在出站的請求數(shù)據(jù)根據(jù) lc的負載均衡算法選擇了某條鏈路后，為 了保證遠端被訪問的服務(wù)器的響應(yīng)數(shù)據(jù)也能夠從該鏈路返回，F(xiàn)5 Lin kCo ntroller使用了 SNAT Automap技術(shù)。此技術(shù)保證了請求數(shù)據(jù)在選擇了某個ISP鏈路后離 開LC時，會被NAT成該I

13、SP的ip地址，對外發(fā)送出去，這樣遠端被訪問的服 務(wù)器自然就會把響應(yīng)數(shù)據(jù)從該ISP線路發(fā)送回來，實現(xiàn)了出站連接進出數(shù)據(jù)包都 使用最優(yōu)鏈路。利用LC的智能流量管理功能，可替代防火墻的 NAT功能，并 保證流量可以通過與互聯(lián)網(wǎng)的最佳連接往返發(fā)送。Internet Server(e.g. )ISP ARouter ALANInternetIFPB/ ftouier B. .n二A4皿5叫BIG-IPLink Controller1 . BIGIP與ISP相連的VLAN分配公網(wǎng)IP 地址；2、BIGIP內(nèi)網(wǎng)VLAN采用保留IP地址3、BIGIP作為內(nèi)網(wǎng)出口網(wǎng)關(guān)4、在BIGIP上配置兩臺ISP rout

14、e啲地 址作為default g就eway pool.設(shè)定負載均 衡如豪 £ Link ControllerOutbound 流量在鏈路之間分配5、在BIGIP上實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換(SNAT Automap),將內(nèi)網(wǎng)IP翻譯成 公網(wǎng)IP6、由?Outbound流量離開BIGIP時已 經(jīng)轉(zhuǎn)換成對應(yīng)ISP的公網(wǎng)IP.服務(wù)器回應(yīng) 的網(wǎng)絡(luò)流量也將由原路返回Mamaged Client(筑g, carporate desktop)Outbound訪問過程9南京財經(jīng)大學(xué)#南京財經(jīng)大學(xué)2.2.2入站訪問#南京財經(jīng)大學(xué)對于外部用戶對學(xué)校內(nèi)部應(yīng)用的入站訪問， F5 LinkController 可以通過

15、智能 DNS 解析功能，動態(tài)選擇最佳鏈路，將外部用戶導(dǎo)向到內(nèi)部站點中的資源。同 時 LC 會隨時監(jiān)測每條鏈路的狀況，當發(fā)現(xiàn)任何一條 ISP 鏈路故障時，都不會再 把該ISP的ip地址解析給用戶，從而保證用戶可以24*7的訪問到學(xué)校內(nèi)部應(yīng)用并且提高各地區(qū)用戶的訪問速度。F5 Link Controller中的DNS功能模塊將分別綁定多個ISP服務(wù)商的公網(wǎng)ip 地址，解析來自互聯(lián)網(wǎng)用戶的地址解析請求。后臺服務(wù)器則由BIG IP LinkController做成集群并虛擬化成針對ISP A的虛擬服務(wù)器Virtual Server 1和ISP B 的虛擬服務(wù)器 Virtual Server 2 等 ，

16、這樣對于每個用戶到來的請求 , BIG IP Link Controller 都會分別檢測后臺服務(wù)器的狀態(tài)并選擇最佳的鏈路提供服務(wù),達到用戶的就近性訪問及服務(wù)器的負載均衡。同時LC還具備lasthop技術(shù)，保證了服務(wù)器的響應(yīng)數(shù)據(jù)會從請求數(shù)據(jù)的進入鏈路返回。Link Controller 在回應(yīng)客戶的DNS 解析請求時 , 可以采用 15種動態(tài)或者靜態(tài)的負載均衡算法，從而達到入站 流量的多鏈路動態(tài)負載均衡的效果。10南京財經(jīng)大學(xué)11南京財經(jīng)大學(xué)ISPARouler AIlnlennel Clienl(e.g. home user)Internet1£Rouler B(Link Gnlr

17、nl)LDNSVIP?9IG-IPLink ControllerJ_wnwM_ 丿11 <Local dm的解祈過程仙 <囲戶訪問WIKHIflWfiigLasthapfi1.在BIGIP的每一個與ISP相連的 VLAN建立一個Virtual IP對應(yīng)內(nèi)網(wǎng)的 服務(wù)器口例如WWW服務(wù)器在ISPA 有地iEVIPt在ISPB有地址VIP2；2> F5設(shè)備作為DNS SERVER,提 供域名解析并配置了 www,domain,com 對應(yīng)了 VIP1 和VIP2；3. F5設(shè)備根據(jù)負載均衡弟略實現(xiàn)對 內(nèi)部服務(wù)器的訪問的解析，即決定該 域名解析地址VIP1或VIP2；4. 用戶得到域

18、名解析結(jié)果后，直接 通過訪問VIP,實現(xiàn)對具體服務(wù)器的 訪問口5. F5設(shè)備通過仙thop技術(shù)能夠自動 記錄連接進入時選擇的ISP router, 從而保證數(shù)據(jù)握回時也從該rout導(dǎo)返 回保證連接的正常完成Inbound訪問過程wwwrdamainxDm223系統(tǒng)切換時間在采用DNS實現(xiàn)鏈路切換時，系統(tǒng)的切換時間主要取決于每個域名的 TTL 時間設(shè)置。在LinkControl系統(tǒng)里，每個域名如 均可設(shè)置對應(yīng)的 TTL生存時間。在用戶的LocalDNS得到域名解析紀錄后，將在本地在 TTL設(shè) 定時間內(nèi)將該域名解析對應(yīng)紀錄進行 Cache在Cache期間所有到該LocalDNS 上進行域名解析的用

19、戶均將獲得該紀錄。 在TTL時間timeout之后，如果有用戶 到LocalDNS上請求解析，則此LocalDNS將重新發(fā)起一次請求到 LinkController 上獲得相應(yīng)紀錄。因此，當單條線路出現(xiàn)故障時，LinkController將在系統(tǒng)定義的檢查間隔（該 時間可自行定義）內(nèi)檢查到線路的故障，并只解析正常的線路側(cè)地址。但此時在 LocalDNS上可能還有未過時的 Cache紀錄。在 TTL時間timeout之后，該 LocalDNS重新發(fā)起請求的時候就將從LinkController上獲得正確的解析，從而引導(dǎo)用戶通過正常的線路進行訪問。系統(tǒng)檢測間隔加上 TTL時間之和則為系統(tǒng)切 換的最

20、長時間。通常，系統(tǒng)檢測間隔設(shè)置為 60秒，而TTL時間設(shè)置為300秒, 所以系統(tǒng)切換的最長時間為6分鐘。3. 解決方案功能介紹3.1高可用性Link Controller可檢測到整個鏈路中出現(xiàn)的錯誤，從而能夠提供可靠的端到端WAN連接。它可以監(jiān)視每個連接的運行狀態(tài)和可用性， 實時檢測鏈路或ISP的 損耗情況。一旦出現(xiàn)故障，流量將被動態(tài)地傳遞給其它可用鏈路，從而確保用戶 及外部客戶繼續(xù)保持連接3.1.1全面的鏈路監(jiān)控能力如何有效地確定鏈路，服務(wù)器、應(yīng)用、內(nèi)容的狀態(tài)，是提高系統(tǒng)可靠性的 關(guān)鍵。LC利用其獨到的、高效的“健康檢測”手段，識別鏈路，服務(wù)器、應(yīng) 用、內(nèi)容的狀態(tài)。它們包括：多種服務(wù)器狀態(tài)監(jiān)

21、測手段?服務(wù)器(Node)-Ping(ICMP)?服務(wù)(Port)-Connect?擴展的應(yīng)用驗證(EAV)?擴展的內(nèi)容驗證(ECV) ?頻度,e.g.10sec onds?響應(yīng)，e.g.5seconds*服務(wù)器邏輯連接狀態(tài)檢測ICMP*應(yīng)用類型狀態(tài)檢測TCP/UDP* 擴展內(nèi)容查證(ECV: Extended Content Verification)-ECV是一種非常復(fù)雜的服務(wù)檢查，主要用于確認應(yīng)用程序能否對請求返回對應(yīng)的數(shù)據(jù)。如果 一個應(yīng)用對該服務(wù)檢查作出響應(yīng)并返回對應(yīng)的數(shù)據(jù)，則BIGIP控制器將該服務(wù)器標識為工作良好。如果服務(wù)器不能返回相應(yīng)的數(shù)據(jù)，則將該服務(wù) 器標識為宕機。宕機一旦修復(fù)

22、，BIGIP就會自動查證應(yīng)用已能對客戶請求 作出正確響應(yīng)并恢復(fù)向該服務(wù)器傳送。該功能使BIGIP可以將保護延伸到后端應(yīng)用如 Web內(nèi)容及數(shù)據(jù)庫。BIGIP的ECV功能允許您向Web服 務(wù)器、防火墻、緩存服務(wù)器、代理服務(wù)器和其它透明設(shè)備發(fā)送查詢，然后 檢查返回的響應(yīng)。這將有助于確認您為客戶提供的內(nèi)容正是其所需要的。* 擴展應(yīng)用查證(EAV: Extended Application Verification)EAV 是另一種服 務(wù)檢查，用于確認運行在某個服務(wù)器上的應(yīng)用能否對客戶請求作出響應(yīng)。為完成這種檢查，BIGIP控制器使用一個被稱作外部服務(wù)檢查者的客戶程 序，該程序為BIGIP提供完全客戶化

23、的服務(wù)檢查功能，但它位于BIGIP控制器的外部。例如，該外部服務(wù)檢查者可以查證一個從后臺數(shù)據(jù)庫中取 出數(shù)據(jù)的應(yīng)用能否正常工作。EAV是BIGIP提供的非常獨特的功能，它 提供管理者將BIGIP客戶化后訪問各種各樣應(yīng)用的能力，該功能使BIGIP 在提供標準的可用性查證之外能獲得服務(wù)器、應(yīng)用及內(nèi)容可用性等最重要 的反饋。該功能對于提高系統(tǒng)可靠性至關(guān)重要，它用于從客戶的角度測試您的站點。例如，您可以模擬客戶完成交易所需的所有步驟-連接到前置 服務(wù)器或中間件服務(wù)器、從目錄中選擇項目以及驗證交易使用的信用卡。一旦BIGIP掌握了該“可用性”信息，即可利用負載平衡使資源達到最 高的可用性。BIGIP已經(jīng)為

24、測試多種服務(wù)的健康情況和狀態(tài)，預(yù)定義了擴 展應(yīng)用驗證(EAV)，如：FTP、NNTP、SMTP、POP3 和 MSSQL 等，用 戶還可依據(jù)實際應(yīng)用，自行編輯 EAV腳本。 Tran spare nt檢測方式。-Tran spare nt檢測方式保證了 LC的健康檢查可 以通過被檢察對象而不只是到達被檢察對象。這種方式在鏈路負載均衡中 極為重要，它保證了整條鏈路的可用性而不只是對端路由器的可用性。3.1.2集合多個監(jiān)視器多個監(jiān)視器共同工作，能夠迅速準確地確定鏈路的狀態(tài)及可用性。例如用戶 可以設(shè)置透過某ISP的路由器同時去檢查sina工行等各類學(xué)校的多個 web網(wǎng)站。 只有當所有這些網(wǎng)站都無法檢

25、測通過時，LC才會認為該鏈路已經(jīng) DOWN掉，然后Link Controller可以重新為流量選擇路徑，傳遞到其它可用鏈路，從而繼續(xù)保持客戶連接，避免出現(xiàn)停機影響實時健康監(jiān)測-路由可用性及鏈路帶寬全路徑檢查-確保整個連接的可用性 -透明Ping到目標設(shè)備透明路由流量繞過故障的鏈路提供者，鏈路及路由器等LAN)3.2最大帶寬和投資回報3.2.1可節(jié)省WAN鏈路成本的壓縮模塊BIG-IP Link Controller的可選壓縮模塊使您可以智能壓縮 http流量，將Http 的響應(yīng)數(shù)據(jù)以標準的壓縮算法 Deflate或Gzip方式進行壓縮，一般的情況可以減 少40% 80%的數(shù)據(jù)流量，降低數(shù)據(jù)流對

26、 WAN帶寬的要求以節(jié)省ISP成本， 同時解決帶寬瓶頸以加快應(yīng)用交付速度。標準瀏覽器都可提供支持（IE 5.0 +，Netscape 4.0 +解壓縮功能。通過對面向不同連接類型的鏈路帶寬實行精細控制， 將可以有效提升客戶體驗，并能夠?qū)崿F(xiàn)更高效的WAN鏈路管理和改進的生產(chǎn)效率。您可以基于文檔類型、流量類型和其它網(wǎng)絡(luò)條件（如往返時間）配置靈活 且可調(diào)整的壓縮引擎。3.2.2帶寬可擴展性Link Controller支持port channel技術(shù)，因此不論您使用何種鏈路類型或哪一家服務(wù)提供商的服務(wù)，BIG-IP Link Controller都能夠支持將小型經(jīng)濟型線路進行高效的整合，以提供成本更

27、低的帶寬冗余，同時將花在暗光纖或閑置備用線路上 的費用降至最低。323強大的流量分配負載均衡算法BIG-IP Link Controller提供了業(yè)內(nèi)最先進的鏈路流量分配能力，能夠滿足最繁忙站點的需求：- 輪循- 全局可用性- 靜態(tài)持續(xù)性- 拓撲- 虛擬服務(wù)器容量- 最少連接- 包速率往返時間中繼數(shù)據(jù)包完成率用戶定義的服務(wù)質(zhì)量（QoS）動態(tài)比率隨機比率傳輸速率3.2.4鏈路帶寬控制BIG-IP Link Controller可根據(jù)所有網(wǎng)絡(luò)2到7層的方法，對網(wǎng)絡(luò)上的應(yīng)用流 量進行分類控制。隨著與網(wǎng)絡(luò)流量有關(guān)的復(fù)雜性不斷增加，因此應(yīng)運而生的高級分類技術(shù)變得非常重要。而簡單的IP地址或靜態(tài)端口方案便

28、相形見絀了。LC可檢測動態(tài)或變動式端口分配的變化，區(qū)別使用同一端口的應(yīng)用，并采用第七層應(yīng)用標識來識別不同應(yīng)用，從而對不同應(yīng)用進行動態(tài)控制。可允許您根據(jù)實時的 流量與吞吐率來確定和控制流量在鏈路上的分配方式。這將可以提高性能和增加 包含線路冗余在內(nèi)的可用帶寬，同時消除鏈路飽和的風險。當某條鏈路接近其容 量極限時，流量將被轉(zhuǎn)至相對寬松的鏈路上去，從而提高站點的整體性能。帶寬管理maBIG-IP管理片應(yīng)用挑戰(zhàn)-低優(yōu)先流量影響關(guān)鍵應(yīng)用-帶寬緊張導(dǎo)致性能嚴重降低用戶受益-保證高優(yōu)先級應(yīng)用性能-允許但控制對非優(yōu)先級流量的影響-封掉不要的流量-減少帶寬成本325鏈路成本負載平衡BIG-IP Link Con

29、troller能夠支持您為通往數(shù)據(jù)中心的所有流量選擇最低成本 連接：* 將流量導(dǎo)入花費最低的鏈路，從而將帶寬投資降至最低* 最大限度地提高不同連接的帶寬，包括可變成本線路，以消除帶寬瓶頸, 同時最大限度地減少低效帶寬利用情況和相關(guān)成本。- 支持ISP計費模式，包括一次性付費、零散計費和突發(fā)性計費* 支持單向或雙向計費3.3高級WAN鏈路管理3.3.1最佳性能鏈路BIG-IP Link Controller通過使用往返時間和線路質(zhì)量計算，可測試哪條鏈路 可以為用戶提供最佳服務(wù)，然后將該用戶引導(dǎo)至此鏈路，確保他們能得到最快服 務(wù)及最高質(zhì)量的連接。另外LC還可以根據(jù)用戶端的靜態(tài)ip地址來為用戶選擇對

30、應(yīng) 的ISP線路，從而實現(xiàn)最安全和最穩(wěn)定的鏈路選擇。332針對壓縮技術(shù)的目標流量控制如果不在具體用戶類型（寬帶用戶、撥號用戶等）的基礎(chǔ)上控制流量壓縮工 作，將會對應(yīng)用性能及客戶體驗產(chǎn)生負面影響。通過使用使用往返時間及線路質(zhì) 量計算，BIG-IP Link Controller能夠動態(tài)計算出用戶延遲和帶寬吞吐率，為能夠 從中受益最大的用戶提供更多的壓縮資源。3.3.3優(yōu)化的TCP性能TCP協(xié)議的低效會產(chǎn)生不必要的干擾，進而對鏈路的帶寬利用產(chǎn)生不利影 響。BIG-IP Link Controller利用TCP Express 來克服 TCP協(xié)議的低效情況, 同時提供了以下功能：* WAN鏈路的有效

31、帶寬利用* 以較低的帶寬費用覆蓋長距離的通道* 為關(guān)鍵任務(wù)應(yīng)用安排可用帶寬優(yōu)先級* 通過WAN為撥號和寬帶用戶提高端對端性能* 在部署全新應(yīng)用時更為靈活* 無需部署多臺設(shè)備，降低了總擁有成本3.3.4可編程鏈路路由iRuleBIG-IP Link Controller使您能夠根據(jù)諸如源IP地址、目標IP地址和端口 等TCP/IP參數(shù)，在多條 WAN鏈路上智能路由流量。借助 iRule，您可在根 據(jù)應(yīng)用類型、服務(wù)質(zhì)量和客戶類型制定策略，以在最佳鏈路上分配流量，進而提 高應(yīng)用性能和提升客戶體驗。20南京財經(jīng)大學(xué)335流量優(yōu)先級安排：服務(wù)質(zhì)量（QoS）和配置服務(wù)類型（ToS）BIG-IP Link

32、Controller支持各種流量優(yōu)先級安排特性。學(xué)?？筛鶕?jù)QoS和ToS對其關(guān)鍵流量或應(yīng)用做出定義，進而對上游路由器進行特殊處理。這就確保了具有較高優(yōu)先級的流量可以優(yōu)先路由。3.4配置和管理3.4.1消除BGP多歸屬部署障礙BIG-IP Link Controller可借助邊界網(wǎng)關(guān)協(xié)議（BGP）消除部署障礙，并降低 多歸屬網(wǎng)絡(luò)的部署成本。借助 BIG-IP Link Controller，您無需再購買大型路由 器、與ISP進行協(xié)作或安排專門的人員和 IP地址來運行BGP，同時仍能夠 將流量導(dǎo)向至最佳路由路徑。BIG-IP Link Controller可顯著改善多歸屬環(huán)境的流 量引導(dǎo)性能，并可

33、提供：* 面向?qū)W校內(nèi)外用戶的雙向流量控制* 自動、即時ISP響應(yīng)及鏈路故障切換一一無需等待部署路由變動* 流量將被路由至最佳路徑，從而優(yōu)化了帶寬利用率* 基于線路容量的流量分配，帶來了更高的帶寬可擴展性3.4.2 BIG/IP的業(yè)界最快雙機冗余切換常規(guī)的出錯切換-新請求尋找激活的負載均衡-當前的連接將丟失Stateful FaiJover-新的請求通過激活的BIGIP-當前的連接繼續(xù)保持十儷功熊-指定的熱備份設(shè)備存有智箭官經(jīng)建立的連接連接鏡像功能適用于長連接如t telnet, ftp. udp. etc .連接不能去夾Persistence 鏡像-For Persrstent session

34、s-Does not niaintain timer duringFsilover南京財經(jīng)大學(xué)兩臺 BIG/IP 能工作在 HA方式下，支持 Active Active、Active-Standby 工 作方式。當BIG/IP產(chǎn)生從當前活動的BIG/ip控制器到備用BIG/IP控制器的自動故障 切換時，鏡像連接為當前的連接提供無縫故障恢復(fù)保護。 例如，如果客戶正在使 用FTP傳輸較大的文件過程中，BIG/IP發(fā)生從當前活動設(shè)備到備用設(shè)備的故障恢 復(fù)，則FTP文件傳輸將繼續(xù)進行，不會中斷。BIG/IP除了基于硬件連線故障恢復(fù)之外，BIG/ip還提供基于網(wǎng)絡(luò)的故障恢復(fù) 功能，從而允許不在同一位置的

35、一對 BIG/ip控制器實現(xiàn)冗余功能，進一步強化了 管理。BIG/IP 基于硬連線的故障切換時間： 200毫秒BIG/IP 基于網(wǎng)絡(luò)的故障切換時間： 3秒3.4.3 IPv6 網(wǎng)關(guān)如果學(xué)校欲移植至 IPv6， BIG-IP Link Controller 是進行叉車式升級 (forklift upgrade) 的經(jīng)濟高效的選擇。通過采用 BIG-IP Link Controller 和可選的 IPv6 模塊，您可在提供 IPv4 服務(wù)的同時訪問 IPv6 客戶，并在不增加網(wǎng)絡(luò)負載的情 況下實現(xiàn)兩者之間的轉(zhuǎn)換。3.4.4 統(tǒng)計與報告實時報告和歷史記錄報告可評估站點流量模式、相對 ISP 性能、以

36、及預(yù)計 的帶寬計費周期，從而使您能夠輕松監(jiān)控帶寬資源，作出明智的業(yè)務(wù)決策。3.5 強化的安全性能3.5.1 智能 SNAT借助 BIG-IP Link Controller 的 iSNAT 功能，您可以保存端口資源和轉(zhuǎn)換 內(nèi)部地址。通過使用iSNAT，您可以基于諸如客戶機地址和目標服務(wù)器端口編 號等TCP/IP參數(shù)從眾多轉(zhuǎn)換地址中靈活選擇，從而確保服務(wù)器地址不會暴露 給外部環(huán)境。BIG-IP Link Controller能夠通過屏蔽內(nèi)部地址保留端口資源和保護 站點資源，同時還可通過更高的流量類型透明度來改進運營效率。3.5.2網(wǎng)絡(luò)安全BIG-IP Link Controller是缺省拒絕設(shè)備

37、，它可增加額外的安全保護層，從而 杜絕普通網(wǎng)絡(luò)攻擊。BIG-IP Link Controller能夠：* 在面向命令行的Secure Shell安全外殼（SSH）或面向瀏覽器管理的 SSL的基礎(chǔ)上，進行安全遠程管理消除閑置連接，防止拒絕服務(wù)攻擊* 執(zhí)行源路由跟蹤，防止IP欺騙* 拒絕沒有ACK緩沖的未確認SYN，防止SYN Floods （溢滿攻擊） 攻擊* 防止諸如 WinNuke、Sub7和Back Orifice 等片段儲存攻擊* 保護自己和服務(wù)器免受ICMP攻擊* 不運行SMTPd、FTPd、Telnetd或其它任何易受攻擊的進程* 檢測任意受到非法訪問嘗試的服務(wù)和端口，包括：- 頻率

38、：嘗試次數(shù)- 端口：被攻擊的端口-IP地址：攻擊者的源IP地址3.5.3簡單、安全的管理BIG-IP Link Controller提供了一個直觀的用戶界面，支持通過一個界面瀏覽 全部鏈路資源，進而高效管理WAN鏈路。排序和搜索功能使您能夠更快地訪問鏈路對象，從而進行精確控制。唯一的鏈路對象名稱可減少管理時間，并幫助您圍繞業(yè)務(wù)策略構(gòu)建基礎(chǔ)設(shè)施。3.6集成流量管理可擴展性3.6.1擴展的各類安全設(shè)備負載均衡您可以進一步擴展 BIG-IP Link Controller ，以滿足 DMZ內(nèi)廣泛的流量管 理需求。憑借強大的集成功能和可升級平臺，BIG-IP Link Controller是市場上唯 一一款能夠提供可擴展解決方案的產(chǎn)品，其特性包括：* 集成防火墻負載平衡，為冗余防火墻部署提供了更高的可用性 集成第4層和基礎(chǔ)服務(wù)器負載平衡，能夠在服務(wù)器陣列中高效地分配