IDC应用解决方案

1 F5 解决方案 吴栋 Presales Consultant F5 Networks 2 议 程 案例介 绍 1、BEA Tuxedo应 用 2、DNS应 用 3、IMS/NGN应 用 4、家庭网关 应 用 5、全球眼 应 用 6、IDC增 值应 用 3 关键的信息神经中枢流转管理 应用 网络 Routers, L2/L3 switches, firewalls, caches, ISP links Web servers, application servers, databases Microsoft, Oracle, BEA, Citrix, Siebel, SAP 服务器 4 Transaction for UNIX has been Extended for Distributed Operation（被分布式操作 扩 展之后的 UNIX事 务 系 统 ） 目前， BEA Tuxedo广泛 应 用于 银 行、金融、 电 信、交通、零售、制造、医 疗 、政府等 领 域， 这些用 户 的共同特点是具有复 杂 、高端的信息管理系 统 ，应 用 环 境多种多 样 且系 统 用 户 在地域上分布很广，其 应 用通常建立在主机或大 规 模客 户 机服 务 器系 统 之上，且 业务处理量极大。 Bea Tuxedo 简介 5 原有 tuxedo 结构和问题的存在 问题 1 单点故障 Client Switch Tuxedo Master Tuxedo node 原有 tuxedo 结构和问题的存在 Master 是一个非常明显的单点故障 系统的整体服务能力受到Master的瓶颈制约 , 而tuxedo 的多次短连接对Master存在很大压力 . 6 经过抓包分析和应用访问流程分析 , 每个访问的 Source IP 是相同的 , 并且每次访问的 Source Port是随机的 ； 而访问的目标地址是 VIP, 但第一次的 WSH的访问是固定的 , 6667； 而WSL连接时的目标端口是服务器通知用户的 ； 原有 tuxedo 结构和问题的存在 问题 2 普通负载均衡产品无法成功建立连接 Source IP: Client IP ； port : random like 1111 Dest IP : vip ； port : WSH like 6667 Source IP: server 01 ； port : 6667 Dest IP : Client IP ； port : 1111 TCP 内容通知 Client 可以连接一个 WSL 端口 , 在规定范围内随机产生一个 ； 例如8888 Client 受到回应后发起对 WSL的访问 Source IP: Client IP ； port : random like 1112 Dest IP : server ip ； port : WSL 8888 目的 ip与端口 6667不匹配 ,端口不可达 !连接关闭 Source IP: Client IP ； port : random like 1111 Dest IP : Server 01 ； port : WSH like 6667 Source IP: VIP ； port : 6667 Dest IP : Client IP ； port : 1111 TCP 内容通知 Client 可以连接一个 WSL 端口, 在规定范围内随机产生一个 ； 例如 8888 7 Tuxedo 应用访问流程分析 Client Switch Tuxedo node 经过抓包分析和应用访问流程分析 , 每个访问的 Source IP 是相同的 , 并且每次访问的 Source Port是随机的 ； 而访问的目标地址是 VIP, 但第一次的 WSH的访问是固定的 , 6667； 而WSL连接时的目标端口是服务器通知用户的 ； 结论 :在网络层完全无迹可寻 ； 负载均衡失败 F5 BigIP 8 Client Switch Tuxedo node 在很多实际网络结构中存在一个特别的大机 , 作为所有用户端访问的一个代理 . 如果 配置 Source IP 的会话保持方式 ,所有的访问都会定位到同一台服务器 , 破坏了负载均衡的处理 ； 如果没有会话保持又会破坏用户访问的连接中断 , 可能跟一个 node WSH后却和另外一个 node WSL Load balance 原有 tuxedo 结构和问题的存在 问题 3 一般负载均衡方法无法实现负载均衡 9 改变后的结构和标准使用方法 Client Switch Tuxedo node 改变后由 BigIP的 VIP取代原有Master 的功能 在 tuxedo node上配置单独的 WSH功能 , 为配合原有由 Master提供的WSH功能 , 在每个 node上配置类似防火墙的 NAT后的处理方法 , 保证连接的建立 . 为保证用户和 Tuxedo node 建立连接后的多次访问 , 在 BigIP上配置Source IP 的会话保持方式 , 来保证相同的客户 IP地址都会被定位到同一台服务器提供服务 . F5 BigIP 10 会话保持的概念 将从一个客户的后续的连接送到同一台服务器 与负载均衡的模式相对应 1 2 3 1 2 3 11 服务器监控和健康检查 服务器 (Node)-Ping(ICMP) 服务 (Port)-Connect 扩展的应用验证 (EAV) 扩展的内容验证 (ECV) 针对 VOD服务器的专用健康检查机制 针对节点的检查频率和超时频度 ,e.g.10seconds响应 ,e.g.5seconds 市场现象 : 监视行为消耗掉我们流量的 10% 以上 F500 Financial 76% 的用户在看到一个断掉的联接时 ,会离开该站点 Gomez 互联网用户的忍耐度不超过 20 秒 Gartner 12 应用流量 Authentication SSL Certificate Management Application Servers Databases Web Servers Application Filtering 1. 应用逻辑 2. 安全性 3. 高可用性 4. 外部专家 DoS protection Web Services Security Intelligent Port Mirroring 利用 F5独有的 irules满足用户个性需求 iRules 基于 UIE识别的值，灵活指向，保持，或过滤流量 Universal Inspection Engine (UIE) 识别 TCP/IP包头或数据包中的任何值的能力 . Mobile Applications Web Services QoS Link Management Web Accleration Health Checking Load-Balancing Prioritization Persistence Open API & SDK Security Systems (IDS, Virus Scanning, Firewalls) 13 BigIP配合 tuxedo的应用逻辑的应用交换处理 在与 BEA的技术人员讨论后可以配合应用的特别配置来进行负载均衡和会话保持的处理 . 在不同的 tuxedo node上配置不同的WSL 端口范围 , 例如在 node 1上是2100030000, 而在 node2上是1000019000 在用户访问 WSH时是负载均衡的处理 , 而在 WSL的连接时就可以根据目标端口的高低来进行应用交换处理和会话保持了 . 14 Tuxedo With F5 应用访问流程分析 Source IP: Client IP ； port : random like 1111 Dest IP : VIP ； port : WSH like 6667 Source IP: Client IP ； port : random like 1111 Dest IP : Server 01 ； port : WSH like 6667 Source IP: server 01 ； port : 6667 Dest IP : Client IP ； port : 1111 TCP 内容通知 Client 可以连接一个 WSL 端口 , 在规定范围内随机产生一个 ； 例如 8888 Source IP: VIP ； port : 6667 Dest IP : Client IP ； port : 1111 TCP 内容通知 Client 可以连接一个WSL 端口 , 在规定范围内随机产生一个 ； 例如 8888 Client 受到回应后发起对 WSL的访问 Source IP: Client IP ； port : random like 1112 Dest IP : VIP ； port : WSL 8888 Source IP: Client IP ； port : random like 1112 Dest IP : Server 01 ； port : WSL 8888 Server 01在 8888的 WSL端口接收到用户的访问 , 真正建立访问连接 15 高 级 功能 通过 telnet的方式登录到 BEA Tuxedo服务器上，执行tmadmin，再执行 psr可以得到如下数据，通过获取最后一个字段的 IDLE的个数，当 IDLE的个数为 0时候希望能够disable服务器，不再往服务器发送新的请求；当 IDLE大于0的时候还能 enable服务器，重新把请求发送给服务器。 16 DNS应用增值 17 互联网 RAS Back Bone POTS ISDN XDSL DNS服务器集群 Radius服务器集群 XX省数据局 DNS和 Radius负载均衡解决方案 传统的电信 DNS/Radius 解决方案 18 DNS重定向解决方案 找不到！ 返回 Portal页面 DNS WEB 对于运营商的 Portal部分，需要两个方面的强力支持： 1、DNS服 务 系 统 如何盈利 2、Portal如何提高 访问 量，以提高广告收入。 19 Mirror F5设备 攻击数据 攻击源 IDS Notify Block Inspect DNS安全防护 20 Sun Sun Sun Sun GSR GSR Switch Switch BIG-IP 6400 BIG-IP 6400 HSRP DNS安全防护 21 GE GE 应用管理系统 DNS DNS DNS DNS 业务 智能化 DNS业务管理智能化 22 GE GE 应用管理系统 DNS DNS DNS DNS DNS业务分析系统 DNS分析系 统 23 F5 带 来的价 值 通 过 F5提高了 DNS的可靠性和可 扩 展性； 通 过 F5的 综 合安全体系， 为 DNS应 用提供了全面的安全保 护 ； 通 过 F5实现 了 对 互 联 网用 户 行 为 的模型分析，可 细分用 户 并 针对 不同用 户实现针对 性的增 值 服 务 ； 将 DNS由投入部 门转变为 运 营 部 门 /产 出部 门 24 F5: IMS ready 25 What is IMS IMS即 IP多媒体子系 统 。作 为 下一代“融合”的核心，简单 地 说 它就是 实现 IP多媒体 业务 的建立、 维护 及管理等功能的核心网 络 体系 结 构。 基于 IP的多媒体 业务 与会 话 控制核心网 络 ； 支持各种融合 业务 的公共平台，不依 赖 于任何接入技 术和接入方式 ； SIP的灵活性和 标 准化的开放接口， 为 支持广泛 业务 提供可能。 26 What is IMS IMS以 IP核心网 标 准 为 基 础 ，最初由 3GPP Release 5定 义 。作为 端到端的 标 准体系， IMS提供了与接入和 终 端 类 型无关的核心网 络 ，支持固网 IP、xDSL、UMTS、CDMA、WLAN等接入到 统 一的 IP核心网 络 和 应 用 环 境。 业务应用层 :由应用和内容服务器组成，负责为用户提供增值业务。 控制层 :由网络控制服务器组成，负责管理呼叫或会话设置、修改和释放。 这些服务器中最重要的是 CSCF(呼叫会话控制功能 )，也就是常说的 SIP服务器。 而且，该层还包括多种支持功能如配置、计费以及运营维护功能。 边界网关负责与其他运营商网络和其他类型的网络之间的互通， 或者它们彼此内部的网络互通。 连接层 :由用于骨干和接入网络的路由器及交换机组成。 27 Next Generation Networks 3GPP 传输层 已确定 IMS 处 于早期 阶 段 , v1 systems 没有 IMS 移 动 video布署 没有 Non-IMS IPTV 解决方案 没有 IMS VoIP 解决方案 F5 IMS ready! SIP 负载 均衡 和 高可用性 RTSP 负载 均衡和 高可用性 SCTP负载 均衡和 高可用性（ IP网 络传输 PSTN信令 报 文） QoS features Security features 28 SSL Compression Client Side Server Side TCP Express Server TCP Express Caching Microkernel High Performance HW iRules Client iControl API TCP Proxy OneConnect Rate Shaping TrafficShield Web Accel SIP TMOS: NGN Ready! SIP 29 SIP 应 用 SIP 的 Load Balancing SIP message 检查 和 处 理 30 用 户 面 临 的 问题 : “无法 扩 展 Call Proxy servers” Cisco Call Proxy servers 能 够处 理 100 calls/sec 100 calls/sec 100 calls/sec 丢 弃 31 解决方案 : SIP 负载 均衡 识别 、解析 SIP messages 和基于 SIP Call ID 使用 SIP options 消息 对 SIP Proxy进 行健康 检查 SIP1 SIP2 SIP3 conn2/SIP2 SIP4 Cisco SIP Server Cisco SIP Server 32 SIP Phone SBC #2 SBC #3 BIG-IP VoIP G/W SIP Phone SBC #1 SBC Load Balancing 070-700-XXXX 070-710-XXXX Proxy / Register Server 负载 均衡的 会话 保持控制 33 SIP 的 负载 均衡 SIP 设备 Media Servers Session Boarder Controllers（会 话边 界控制器） SIP proxies Softswitches（软 交 换 ） Application Servers（AS） Other SIP 组 成部分 34 SIP 交互 问题 Customer Problem: Caller ID 导 致的 VoIP问题 彻 底的解决方案 : 改 变 到 soft switch software，但需要 1年和 $1M 的投入 . 35 Call setup phase SG/MGCF and MGW Public Switched Telephone or Public Land Mobile Networks IP CSCF - SIP server SG/MGCF and MGW INVITE (CallerID= , CalledID=524-2222) 524-1111 524-2222 INVITE (CallerID= , CalledID=524-2222) Authenticates user Locates destination MGW RTP flow Registration, Location, AAA, billing SIP SIP 交互 问题 36 Call cancel problem SG/MGCF and MGW Public Switched Telephone or Public Land Mobile Networks IP CSCF - SIP server SG/MGCF and MGW CANCEL (CallerID= , CalledID=524-2222, P-Asserted ID=524-1111) 524-1111 524-2222 RTP flow ? SIP server doesnt know which session to clean up Registration, Location, AAA, billing SIP SIP 交互 问题 37 Solution! SG/MGCF and MGW Public Switched Telephone or Public Land Mobile Networks IP CSCF - SIP server SG/MGCF and MGW 524-1111 524-2222 RTP flow BIG-IP插入 CallID=524-1111 从 P-Asserted ID 字段 Registration, Location, AAA, billing SIP SIP 交互 问题 38 Call all gone SG/MGCF and MGW Public Switched Telephone or Public Land Mobile Networks IP CSCF - SIP server SG/MGCF and MGW 524-1111 524-2222 Registration, Location, AAA, billing SIP SIP 交互 问题 39 提供附加的服 务 SIP Load Balancing 基于 connection 基于消息 高 级 LB HP 和 Soft SIP 高可用性 健康 检查 SIP 安全 NAT 地址翻 译 , sRTP, SIP 防火 墙 SIP 优 化 信令 压缩 40 RTSP 同 样 可做 Load Balancing 针对 Video Server 移 动 video, IPTV 鉴别 、分析 RTSP messages 健康 检查 PERL script RTSP1 conn2 RTSP Server RTSP Server RTSP Server RTSP2 RTSP3 RTSP4 支持 RealNetworks 使用 RTSP ports for HTTP 数据流 41 F5已 为 NGN/IMS做好准 备 可伸 缩 的 (负载 均衡和 HA) 实时应 用 协议 SIP RTSP SCTP 修复交互 问题 安全特性 QoS 特性 43 IMS 44 F5 在中国 应 用中 实际 案例 F 5 ( S i p P r o x y )S o f t s w i t c hS I P 消 息S I PP a r l a y 网关 2业 务 逻 辑处 理P a r l a y 网关 3业 务 逻 辑处 理数 据 库P a r l a y 网 关非 Z T E 应用S o f t s w i t c h S o f t s w i t c h S o f t s w i t c hS M P I I SE M SS N M PS N M PS N M PP a r l a y 网关 1业 务 逻 辑处 理P a r l a y 网关 5业 务 逻 辑处 理P a r l a y 网关 6业 务 逻 辑处 理数 据 库P a r l a y 网关 4业 务 逻 辑处 理G r o u p 1G r o u p 245 BIG-IP 对 SIP 支持 BIG-IP 支持大规模的 SIP 部属 支持 SIP 在 UDP 协议的应用 对 SIP服务器的负载均衡 BIG-IP 可根据 SIP Caller-ID做会话保持 BIG-IP 提供会话冗错恢复功能 BIG-IP 提供 SIP 软交换机的 ICMP 健康监控 性能 1050 CPS 或 3.7m BHCA (BIG-IP 理论上能够处理更多 ) 46 SIP的其它 应 用 场 合 IM互通互 联 中移 动飞 信 腾讯 QQ、 微软 MSN 网易泡泡 ICQ 雅虎通 原 有 I B M 双 机I n t e r n e t微 软 方腾 讯 方发 包 地 址 ：收 包 地 址 ：收 ， 发 包 地 址 ：C I S C O 防 火 墙B j i m 1B j i m 2网 管 接 口 机 交 换 机话 单 接 口 机 交 换 机新 增 I B M 1新 增 I B M 247 F5 SIP 总结 为 SIP软交换机提供智能的流量管理 支持可扩展的 Dynamicsoft 路由引擎对 SIP 应用 iControl 为在整个网络架构提供管理和控制支持 48 电信家庭网关 49 基于家庭网关串联的家庭应用场景 宽带固网支付 家庭综合门户 差异化