F5产品ICP行业解决方案讲课讲稿

1、Good is good, but better carries it.精益求精，善益求善。F5产品ICP行业解决方案F5ICP行业解决方案目录TOCo1-3hzuHYPERLINKl_Toc141421847一概述PAGEREF_Toc141421847h-3-HYPERLINKl_Toc1414218481.1目前ICP网络结构现状PAGEREF_Toc141421848h-4-HYPERLINKl_Toc1414218491.2存在的问题PAGEREF_Toc141421849h-4-HYPERLINKl_Toc1414218501.2.1分布式站点没有合理利用PAGEREF_Toc14

2、1421850h-5-HYPERLINKl_Toc1414218511.2.2服务器缺乏缺乏高效的负载均衡技术PAGEREF_Toc141421851h-6-HYPERLINKl_Toc1414218521.2.3异地站点间数据同步缓慢PAGEREF_Toc141421852h-7-HYPERLINKl_Toc1414218531.2.4web应用性能缓慢PAGEREF_Toc141421853h-7-HYPERLINKl_Toc1414218541.2.5远程管理不够灵活PAGEREF_Toc141421854h-9-HYPERLINKl_Toc141421855二F5解决方案PAGEREF

3、_Toc141421855h-9-HYPERLINKl_Toc1414218562.1网络结构图PAGEREF_Toc141421856h-10-HYPERLINKl_Toc1414218572.2解决方案介绍PAGEREF_Toc141421857h-10-HYPERLINKl_Toc1414218582.2.1GTM实现智能广域网流量管理PAGEREF_Toc141421858h-11-HYPERLINKl_Toc1414218592.2.2BIGIP提供智能服务器负载均衡PAGEREF_Toc141421859h-12-HYPERLINKl_Toc1414218602.2.3BIGIP优

4、化技术提高用户访问质量，减少资源消耗PAGEREF_Toc141421860h-14-HYPERLINKl_Toc1414218612.2.4WANJet提供广域网优化传输PAGEREF_Toc141421861h-16-HYPERLINKl_Toc1414218622.2.5FirePass提供灵活的安全远程接入PAGEREF_Toc141421862h-20-HYPERLINKl_Toc141421863三产品功能介绍PAGEREF_Toc141421863h-22-HYPERLINKl_ToTM广域网流量管理器PAGEREF_Toc141421864h-22-H

5、YPERLINKl_ToIGIP局域网应用交付设备PAGEREF_Toc141421874h-35-HYPERLINKl_TorescendoMaestroweb应用优化设备PAGEREF_Toc141421903h-48-HYPERLINKl_ToANJet广域网优化设备PAGEREF_Toc141421904h-51-HYPERLINKl_Toc1414219053.5FirePassSSLVPN安全远程接入PAGEREF_Toc141421905h-55-HYPERLINKl_Toc141421906四成功案例

6、PAGEREF_Toc141421906h-61-HYPERLINKl_Toc1414219074.1TOM网PAGEREF_Toc141421907h-61-HYPERLINKl_Toc1414219084.2sina网PAGEREF_Toc141421908h-63-HYPERLINKl_Toc1414219094.3sohu网PAGEREF_Toc141421909h-66-一概述今天，互联网内容提供商产业的发展已经趋于多元化，各种赢利模式交相辉映，给互联网内容提供商产业的发展注入了新的血液。但各种赢利模式都需要一个共同的基础就是庞大的用户群，拥有了用户也就拥有了赢利的前提条件。而现在随

7、着互联网用户的成熟和市场的细分，对各个ICP来说除了要想尽办法去赢得更多的客户，更重要的是要去留住手中已有的客户，避免由于各种原因造成的客户流失。而提高用户访问质量，加快用户访问速度是提高用户满意度的一个非常有效的方式。F5的ICP行业解决方案将帮助企业极大提高用户访问质量，使企业在激烈的市场竞争中取得先机。1.1目前ICP网络结构现状现在绝大多数ICP都采用多IDC站点的分布式网络结构，在全国各地或者各个ISP的机房都设置站点，以便提高各地用户的访问速度。在单个IDC内部署了大量的服务器来处理用户访问，按功能划分为cacheserver,webserver以及后台存储关键数据的NAS等。在单

8、个IDC内网络通常划分为内，外两个网络，外网面向用户访问，内网在各主要IDC间都串连起来，以便同步数据和管理。而在异地的IDC间主要通过VPN网络来进行数据同步和管理动作。另外，网络管理人员在休息或出差期间都通过ipsecVPN连接到公司，再通过从公司直连到主要IDC的专线对IDC内的服务器进行管理。1.2存在的问题1.2.1分布式站点没有合理利用现在大多数ICP都意识到，对于一个网站来说，它所具备的带宽和服务器的资源都是有限度的，在突发流量访问下，带宽资源和服务器的资源都可能成为用户访问的瓶颈，而影响访问质量。对于网络，传输的设备越多，每个设备都有故障的可能性，出现问题的潜在因素也会增加。传

9、统互联网上内容的集中放置必然导致整个网络的无序流动，使资源整体性降低，从而无法保障有效的服务质量。另外，由于目前国内南北电信的分拆导致南北用户互访缓慢的问题，也增加了ICP使用CDN的决心。内容分布网络（CDN）从根本上区别于传统的内容发布模式，它的提出突破了传统的技术瓶颈，强调了网络在内容发布中的重要性和承载作用。通过引入主动的内容管理层和全局负载均衡，并结合内容缓存等技术，CDN构建了一个在现有的IP网络基础上为ICP业务支撑而优化的中间层，使用户能以最快的速度，从最接近用户的地方网络边缘获得所需的内容信息，彻底解决网络拥塞，提高响应速度和服务质量。以前国内大多数ICP在网络建设初期，由于

10、资金和技术等方面原因都曾通过租用CDN运营商的网络来解决以上问题。但租用CDN运营商的网络代价高昂，不是长久之计。而且将自己赖以生存的网络交付平台交予他人掌管，容易受制于人，成为公司发展壮大的制约因素。因此，随着各ICP的发展，大家都开始了搭建自己的CDN。很多ICP都采用自己搭建多个站点，然后通过自己开发的DNS软件根据客户端ip地址段来选择邻近的站点，进行分发处理。但经过一段时间的运行后，大家发现自行开发的软件在实际运作中存在众多技术上的缺陷，包括：1无法保证IDC站点的高可用性。由于DNS无法实现对IDC站点和应用内容的健康检查，所以当某个IDC的链路或IDC内的应用出现故障时，DNS软

11、件无法得知IDC的状况，仍然会把用户请求发送到该IDC去，从而导致部分用户出现访问不到页面的状况。2根据客户端ip地址段进行IDC选择的静态方式并不合理。首先，国内各ISP的ip地址段是不断变化的，要得到第一手的地址段资料不太容易，且频繁的修改也会增加出错的几率。其次，中国互联网结构复杂，未必同一ISP或地理相邻，网速就快，这一点已在众多企业中得到证明，因此如何根据客户端ip地址选择IDC也是一个头痛的问题。最后，对于那些未知的ip地址段，如国外的ip地址，该如何选择IDC呢？3分析报告功能差。此类产品的所处位置要求产品必须具备强大而清晰的统计报告功能，从而为公司的决策提供判断依据。但通常自己

12、开发使用的软件更注重功能和实用性，而对于管理，统计，报告等方面并不在意，从而导致无法满足公司决策层的要求。由此可见，目前这种结构下的分布式多站点，即无法实现实时的IDC容灾，更无法将多站点的资源进行最高效的利用。1.2.2服务器缺乏缺乏高效的负载均衡技术在很长的一段时间里，许多ICP公司都通过循环DNS的方式来解决服务器的负载均衡问题。循环DNS（Round-robinDNS）技术是负载均衡最常用的方法之一。最早的负载均衡技术是通过DNS服务中的随机名字解析来实现的。在DNS服务器中，可以为多个不同的地址配置同一个名字，这个数据被发送给其他名字服务器，而最终查询这个名字的客户机将在解析这个名字

13、时随机使用其中一个地址。因此，对于同一个名字，不同的客户机会得到不同的地址，因此不同的客户访问的也就是不同地址的Web服务器，从而达到负载均衡的目的。但通过DNS进行服务器负载均衡所带来的众多缺陷，也是各公司头痛的问题：1循环DNS负载“不”均衡。由于DNS记录是可以被缓存的，当某个LocalDNSserver已缓存了该DNS记录后，所有由该LDNS提供服务的客户端都将直接解析到某个ip地址，这样DNS服务器提供的负载平衡功能被绕过去了，客户端将直接对该ip地址发起访问。这就产生了一个“热点”服务器，在这个“热点”上，过度使用的服务器继续接收额外的接入。2循环DNS无法对服务器进行健康检查。一

14、旦某个服务器出现故障，由于DNSserver不知道这一点，仍然会把该服务器地址解析给用户，从而造成用户无法访问的问题。即使及时修改了DNS设置，还是要等待足够的时间（刷新时间）才能发挥作用，在此期间保存了故障服务器地址的客户计算机将不能正常访问服务器。众所周知，DNS记录是具备TTL时间的。只有该DNS记录的TTL过期后，其他DNSserver才会重新来授权DNS解析该记录的ip地址。如果TTL时间较短，不同地方的DNS服务器能更新对应的地址，使出现故障的服务器地址可以及时删除，用户仍旧可以被引导到正常的服务器上，但如果用户缓冲了故障服务器的IP地址，这种方法也不能解决问题。同时将过期时间设置

15、的过低将使DNS流量大增，而造成额外的网络问题。由于循环DNS没有区分端口的能力，不能意识到服务器的可用性并且不能考虑服务器上的现有负载，无法对服务器负载进行动态地分析从而使得下一个请求总是由负载最小的服务器处理，因此循环复用DNS还有太多的限制，只能算是一种勉强可接受的负载均衡方案。1.2.3异地站点间数据同步缓慢由于采用分布式多站点网络结构，各IDC站点间必需进行快速的数据同步才能保证信息发布的准确性，而且数据同步在广域网上传输时，内容也必须是加密的。但数据传输的高性能要求以及广域网(WAN)的高昂成本使得网络状况不甚理想，或是应用性能不尽人意，或是带宽帐单过高，甚或两者皆有。在同城的主要

16、IDC间，通过内网的专线即可完成快速安全的数据同步。但在异地的IDC站点间，目前ICP都采用跨广域网(WAN)的VPN的方式来保证数据的安全传输。如果广域网(WAN)链路的使用接近饱和，在高峰使用时期运行数据同步应用就会显著降低数据传输的性能。VPN明显无法满足多站点间数据同步的快速实时特性，这也势必将造成异地数据发布的延迟。您的企业需要在实现安全的同时，得到更快速的广域网(WAN)传输速度。任何带宽利用率的提高将有助于高效实现用于异地数据同步的流程。如果数据在广域网(WAN)中能够更为迅速地传输，您就能非常轻松地处理大型数据同步。提高带宽利用率的明显好处是：能够降低您的带宽成本，解决您的数据

17、同步问题。1.2.4web应用性能缓慢随着各ICP业务的增长，用户访问量越来越大，服务器的压力也同时增大，同时出口网络带宽占用的压力也增大了。随着各种资源的逐渐耗尽，客户端的访问质量也在逐渐降低，ICP厂家不得不投入大笔资金购买服务器和带宽，却最多只能维持原有服务质量，无法使服务质量得到提高。但在大访问量情况下，最消耗服务器资源的却并不是web服务器真正应该提供的功能生成页面内容，而是用作处理大量的TCP连接请求。TCP协议固有的复杂性被高分布的，以性能为导向的新数据中心模式所放大，在给网络带来拥堵，延迟和低效性能的同时，TCP的负担也给具有明显特点的web应用带来严重影响。例如，HTTP和H

18、TTPS等web接入同时都需要大量的TCP连接建立和断开或安全处理。另外，e-mail，数据库接入，集群服务和文件传输都会有延迟并依赖于I/O，理想状态下，在服务器连接端需要一个高速的内部连接构造。最近，有关研究表明90的服务器CPU占用被用于TCP数据传输和连接管理任务。过去，这些问题一般都是通过增加更多的服务器，或用更高性能的服务器来解决。实际上这些只是针对表象问题，他们对内在固有的TCP数据传输和连接管理的扩展性，持续性和高效性并没有进行解决。在新的数据中心时代，服务器资源应该是用在目标服务和web处理上而不是网络传输和连接管理的控制，这点非常重要。解决方案必须能针对所有的应用传输层面进

19、行。同时，随着业务量不断增大，带宽需求呈指数级增长，诸如低带宽客户连接、高网络延迟，以及较差应用响应类型等问题，都会造成客户端获取数据缓慢。ICP企业解决应用性能问题的传统办法是不断增加出口带宽。但客户端产生的网络延迟根本无法得到缓解，而且由于带宽价格未能按预期迅速降低，这使得提升网络容量变得极为昂贵。企业需要在现有带宽基础上提升客户响应速度的解决方案。另外，随着电子商务的发展，为了保证电子商务的安全性,交易的不可否认性,电子商务网站都开始部署SSL,SSL提供安全的通信通道来解决电子商务的安全性。SSL几乎成了事实上的加密标准，即大部分电子商务服务器是HTTPS服务器。当一个客户端采用HTT

20、PS协议访问HTTPS服务器时，因为双方要交换证书、协商密钥，并且要对传输的数据进行加密、解密。SSL服务会大量的消耗服务器的资源，降低服务器的可用性，影响系统效率。根据有关测试，当服务器运行SSL的时候，性能降低40%，在许多情况下，只能完成很少的交易。据NETWORKSHOP的测试报告当一台SUNE450服务器（250兆主频UltraSPARCCPU，SolarisOS，ApacheWWWServer）每秒钟能处理357个HTTP请求，但如果是HTTPS请求则每秒钟只能处理三个，并且CPU负荷急剧增加，高达95左右的CPU占用率。为了解决上述问题，提高电子商务服务器的处理能力，电子商务网站

21、需要SSL加速解决方案。通过专用的电子商务加密、解密加速设备将繁重的、极易消耗服务器CPU资源的交换证书、协商加密算法及密钥，数据的加密解密工作从电子商务服务器上卸载下来，从而极大提高电子商务服务器的性能。而且这个过程对于客户端和服务器端都是透明的。1.2.5远程管理不够灵活目前各ICP的网络管理人员在休息或出差期间都通过ipsecVPN连接到公司，再通过从公司直连到主要IDC的专线对IDC内的服务器进行管理。但IPsecVPN已经逐渐无法满足业务的管理需要了。远程接入的需求就是随时随地接入，以往的IPSecVPN因为无法解决高可用性以及受网络接入条件的限制，无法满足随时随地接入的需求，具体表

22、现在需要客户端，使用不方便、某些网络条件下无法接入、无法满足724小时的高可用要求。同时由于IPSecVPN连通后，整个内网对远程接入者来说是完全可见的，如果远程接入者不小心感染了病毒，木马等有害程序，都会对内网的应用产生严重影响，甚至有泄密的风险，此类案例已经屡见不鲜了。另外对于企业IT主管来说，希望具有详细的用户级日志，必要时还可以将日志信息通过标准协议传送至公司的日志服务器，从而能够对网管人员的行为进行审计考核，这一点IPSecVPN同样做不到。企业需要的是一种新的远程安全接入方式，来满足企业从客户端到应用的安全，确保任何认证用户，在任何地点，任何时间都能够轻松的接入内网，具备强大审计功

23、能的同时，又能够严格限制访问者权限。二F5解决方案F5公司结合如前所述应用系统出现的问题，经过认真的分析，结合F5在业界多年的经验，利用F5的流量管理设备提供良好的解决方案。2.1网络结构图如图所示，在某两个主要IDC站点内部署两台GTM（GlobalTrafficManagement）设备，为分布式的多站点结构实现智能广域网流量管理。在每个IDC站点内部根据应用流量状况，部署一对或多对BIGIP设备，实现Cacheserver和Webserver等各类应用服务器的服务器负载均衡和高可用。在每组应用服务器的前端，通过部署BIGIP的连接优化，HTTP压缩，RAMCACHE等功能，可以进一步节省

24、对服务器性能，网络带宽占用上的资源消耗。另外BIGIP提供硬件的SSL加解密功能，可以将SSL的流量处理从服务器上卸载下来，提高服务器的处理性能。而在异地IDC站点之间，通过部署WANJet设备，保证异地IDC站点间的高速安全的数据传输。另外，在某几个主要IDC内部通过部署FirePassSSLVPN设备，可以让企业的网络管理人员随时随地安全方便的接入IDC内网，对内网应用进行管理。2.2解决方案介绍2.2.1GTM实现智能广域网流量管理GTM是处理多IDC站点的并行工作和冗灾处理中的关键系统。通常我们建议企业在某两个主要站点中各部署一台GTM设备，这样两台GTM设备之间既可以互相冗余，又符合

25、CNNIC的DNS管理规定，因为CNNIC只允许企业注册两个授权DNSSERVER。当用户访问ICP企业的网站时，域名解析请求将最终由GTM负责处理。GTM通过一组静态或动态的探测机制，判断出当时用户访问质量最佳的IDC节点，然后把该节点地址提供给用户，使用户可以得到最优的服务。同时，它还与分布在各地的所有数据中心节点保持通讯，搜集各节点的健康状态，以保证不将用户的请求分配到任何一个已经不可用的节点上。当用户访问WEB服务时，首先将DNS解析请求发送到F5的GTM设备，然后通过F5的GTM确定用户访问质量最佳IDC节点，并把该节点的地址解析给用户。当用户的请求到达指定节点时，IDC的服务器负责

26、将用户请求的内容提供给用户。用户访问的基本流程1用户在发起对特定域名服务的访问2向本地DNS请求对该域名的解析3本地DNS将请求发到ROOTNAMESERVER上，来查询该域的授权DNSserver地址4本地DNS将请求发到网站的授权DNS，接着，授权DNS再将域名解析请求转发到GTM5GTM根据一系列的动静态策略确定当时最适当的IDC节点6GTM将解析的结果（IP地址）发给用户的本地DNS7本地DNS将GTM的解析结果还给用户8用户向给定的IDC节点请求相应的内容，IDC节点中的服务器负责响应用户的请求，提供所需的内容GTM可采用的算法有：循环法全球可用性法LDNS持续性法应用可用性法地理布

27、局法虚拟服务器容量法最少连接法每秒数据包法每秒KByte法往返时间法转发法数据包完成率法用户定义的服务质量法动态比率法LDNS循环法比率法随机法2.2.2BIGIP提供智能服务器负载均衡对于所有应用服务器，可以在BIG-IP上配置VirtualServer实现负载均衡，同时BIG-IP可持续检查服务器的健康状态，一旦发现故障服务器，则将其从负载均衡组中摘除。BIG-IP利用VirtualServer虚拟服务器（VS由IP地址和TCP/UDP应用的端口组成）来为用户的一个或多个目标服务器（称为Node：目标服务器的IP地址和TCP/UDP应用的端口组成，它可以是私网地址）提供服务。因此，它能够为

28、大量的基于TCP/IP的网络应用提供服务器负载均衡服务。根据服务类型不同分别定义服务器群组，可以根据不同服务端口将流量导向到相应的服务器。BIG-IP连续地对目标服务器进行L4到L7合理性检查，当用户通过VIP请求目标服务器服务时，BIG-IP根椐目标服务器之间性能和网络健康情况，选择性能最佳的服务器响应用户的请求。如果能够充分利用所有的服务器资源，将所有流量均衡的分配到各个服务器，我们就可以有效地避免“不平衡”现象的发生。BIGIP利用UIE+iRules技术，可以将TCP/UDP数据包打开，并搜索其中的特征数据，之后根据搜索到的特征数据作相应的规则处理。因此可以根据用户访问内容的不同将流量

29、导向到相应的服务器，实现7层的负载均衡。例如：根据用户访问请求的URL将流量导向到相应的服务器。2.2.3BIGIP优化技术提高用户访问质量，减少资源消耗BIG-IP提供了一套有针对性的方法来减少服务器压力，降低互联网延迟和客户机连接瓶颈对其应用访问性能所造成的影响。通过综合采用多种应用优化手段以后，应用访问的性能可以得到显著提高。与此同时，由于服务器性能的提高，还可以达到减少服务器数量，减少带宽占用从而节省投资的目的。连接优化BIGIP通过Oneconnect技术，将所有客户端的TCP连接转移至BIGIP进行处理；而BIGIP与服务器之间仅建立少量的、持续的TCP连接。使Web服务器从处理大

30、量的并发TCP请求和TCP连接建立/卸载的负担中解脱出来，同时当BIGIP收到用户请求后才发送到服务器，服务器可免于受到客户端和网络异常的影响。BIGIP还会缓存所有服务器的响应数据包，服务器以LAN速度发送数据到BIGIP，服务器不会受到慢速客户端连接的牵累。服务器的大量CPU资源被释放来提供数据，而不是管理连接。BIGIP通过控制容量需求和访问分析优化了服务性能和带宽。企业也因为增加了更多的计算资源，减少了出口带宽需求而降低服务器和带宽投资，并且减少服务响应延迟和运营成本。HTTP压缩BIG-IP提供业内最具扩展性，最智能也最灵活的压缩解决方案。BIG-IP系统通过从服务器中不对称卸载HT

31、TP压缩，降低了服务器开销，并通过实现服务器整合，将服务器总体拥有成本降低了高达65%。BIG-IP系统充分利用现有浏览器解压缩能力，无需对客户机进行任何修改，亦无需下载任何可能带来入侵威胁的软件。BIG-IP智能压缩采用已申请专利的方法来测量客户连接延迟，这使带宽使用率降低了60-80%，同时将用户响应时间提高了两倍以上。BIG-IP是业内首款为企业提供的可扩展式压缩解决方案，具有通过优化硬件及其自适应压缩卸载(AdaptiveCompressionOffload)压缩web流量的可选功能。BIG-IP系统的智能压缩功能为企业提供了一种针对目标用户进行压缩的方式。压缩流量不一定要以带宽利用率

32、的降低为代价。真正的挑战在于把握如何最有效的定位，从而使用户获得最大优势。例如，由于拨号用户延迟较高，所以，对其进行压缩可使这部分用户获得最大优势。而由于宽带用户的接收窗口尺寸较大，因此，他们因此获得的优势则微乎其微，这是因为，宽带用户现在需要等待更长的时间来接收数据，这将导致响应时间变慢，因此，压缩的优势被抵消。BIG-IP采用已申请专利的技术来动态检测客户连接延迟。BIG-IP系统能够监控TCPRTT（往返时间），以动态计算用户延迟，从而使BIG-IP能更专注于将流量压缩并传送给最需要它们的用户。BIG-IP还为企业提供预定义过滤器功能，企业可用其来定位内容类型并进行异常处理。如需对服务器

33、响应进行压缩，用户可定义“包括”和“排除”列表，以更好的定位压缩，或快速处理异常。该预定义过滤能力包括：URI（由客户发出请求）ContentType（内容类型）（由服务器响应）SSL加速加密套接层（SSL）交易的广泛采用和总体网络负载减缓了服务器的执行速度。企业需要将SSL加解密处理从服务器上卸载下来，并提供硬件级的SSL加速。BIG/IP内置的SSL加速芯片，可把CPU从繁重的加密与解密处理负荷中解放出来，从而将宝贵的资源归还给服务器。它可与任何操作系统或互联网服务器互操作，而不会出现服务器硬件、软件安装或兼容性问题。以后各个阶段通过从在这些阶段安装的高速缓存中检索静态且加过密的数据而受益

34、。在每台BIG-IP上，都具有SSL硬件加速芯片，并且免费带有100个TPS的License，用户可以不通过单独付费，就可以拥有100个TPS的SSL加速功能，节约了用户的投资。在将来系统扩展时，可以简单的通过License升级的方式，获得更高的SSL加速性能。2.2.4WANJet提供广域网优化传输当今数据同步方案的分布式特性和高性能要求以及广域网(WAN)的高昂成本使得网络状况不甚理想，或是应用性能不尽人意，或是带宽帐单过高，甚或两者皆有。F5WANJet解决方案是一款易于安装的设备，它可显著地改善应用吞吐量，节省带宽成本。借助WANJet，您的企业广域网(WAN)负载流量与数据传送速度平

35、均皆可提高10倍。在特定条件下，数据传输性能可提高500倍。使用WANJet，无需重新设计网络，您便可获得所有应用的更优性能，同时花费较低的运营成本。图1：WANJet降低了带宽利用率，同时增加了应用吞吐量通过WAN链路传输数据，WANJet能够表现出优异的性能。WANJet利用两种方案达到这一目的：1.大部分数据存在重复和冗余现象。消除冗余现象，您就能有效地将WAN上的数据传输量平均提高10倍。一些数据传输类型可将吞吐量提高500倍。TCP行为会降低许多广域应用的速度。如果您减少TCP开销并管理TCP行为，那么您就可以充分利用全部带宽并加速您的应用。对于数据复制应用，压缩与透明数据压缩能够增

36、强大多数应用的性能。但最好还是要了解整体情况。当TCP延迟增加（指站点间距离）时，WANJet的TCP管理优势就会体现出来，从而使您以最大链接速度高效进行远距离数据传输。由于WANJet加速技术在第五层运行，因此它可完全控制连接性和数据流。这样，无需任何改变或调整，WANJet便可对应用完全透明。实际上，利用WANJet独立管理带宽便可实现最优网络性能。2.透明数据压缩：最佳带宽扩充解决方案。有人称其为带宽扩充；还有人则称其为数据压缩。但无论被称作什么，其目的一致：在成本昂贵的广域管道中塞进更多数据。同时，其依赖的基础技术也相同：数据流进入WAN时删除冗余位，数据流退出WAN时再进行恢复。如果

37、运行顺利，带宽扩充功能将支持更多异地备份，从而用于备份处理的时间会更短，同时，还为冗余应用提供了更为出色的性能。F5带宽扩充解决方案被称为透明数据压缩(TDR)，它在OSI模型的会话层中运行。TDR在数据合并前即检查应用数据流，因此，与使用第三层方法相比，TDR能够发现并移除更多冗余。TDR在所有应用数据流中运行，因此它所能优化的流量类型大大超过了具备特殊协议的第七层技术能优化的流量类型。另外WANJet设备之间可以进行点对点的SSL加密。确保数据在广域网上传输时得到有效的保护。管理员可以灵活的选择对哪些流量进行加密，比如所有流量,某个特定的数据流,特定的子网或者到达某个服务器的流量。并且这些

38、加密操作是在不牺牲优化处理效果的情况下进行，流量可以在用SSL加密的情况下得到完全的优化。2.2.5FirePass提供灵活的安全远程接入F5的FirePass是一款SSLVPN设备。它可以通过任何标准Web浏览器为用户提供到公司网络的安全接入。它可在几个小时内完成安装，无需对公司应用进行任何修改，同时也无需在远程位置进行任何配置或安装工作。F5FirePass包含IPSecVPN、网络访问、网上应用程序(MyIntranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能，使用标准SSL安全协议，不需要专用客户端，可以完美的解决随时随地接入的需求，不仅可

39、以满足B/S应用程序的远程接入，也可以满足各种各样C/S应用程序的远程接入。通过利用浏览器作为便利的“瘦客户机”，FirePass可支持企业将安全远程访问轻松而经济高效地扩展到任何连接上互联网的用户员工、客户和合作伙伴。主要优势：安全性遵循最佳安全实践的最高标准；为安全通信提供标准的RCR、3DES加密；提供强大的用户与设备鉴权特性；提供精细的接入控制；降低总保有成本（TCO）降低支持开销；消除客户机系统的日程维护；减轻管理负担；无需修改网络资源、远程设备或网络体系结构；易于使用快速完成安装；提供直观熟悉的浏览器界面；可扩充性集群可在单个URL上支持10,000条并发连接，且对性能不造成任何影

40、响；可靠性可支持耦合服务器对（在线服务器与备用服务器）之间整个状态的热故障切换，不会导致任何的会话中断或终止；可用性基于web的远程访问适用于所有ISP连接；在其它防火墙背后也可正常运行；完全运行在HTTP(安全应用层互联网协议)之上。IPSecVPN的安全性一直是一个弱点，由于IPSecVPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题，而F5FirePass可以很好的解决这个问题。在FirePass的门户站主机访问模式下，FirePass可以对上传的文件做病毒扫描，更可以与企业现有的防病毒软件联动，彻底解决病毒问题。而FirePass内带的内容检查功能，解决了Web攻击问题。F5

41、FirePass可以对客户端做各种扫描，如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等，从而堵住病毒、木马入侵的途径。F5FirePass可以对接入客户进行各种限制，如可以访问的地址、端口、URL等等。F5FirePass可以配置成在退出时自动清除高速缓存。以上这些功能都大大增强了系统的安全性。IPSecVPN的日志功能也非常薄弱，而FirePass可以提供非常丰富的用户级日志功能，更可以通过标准的日志协议将日志实时传送给企业中的日志服务器，便于审计。三产品功能介绍31GTM广域网流量管理器BIG-IPv9系列技术资料全球流量管理器BIG-IP全球流量管理器凭借多个数据中心和分布

42、式站点为企业带来最大投资回报(ROI)、最高可用性和最佳客户体验。站点故障、攻击与应用构架故障是最终用户感到不满的主要原因，而客户不满会导致收入及客户的流失。BIG-IP全球流量管理器（以前称为3-DNS）可以为运行于众多全球分散数据中心的应用提供极高的可用性、最出色的性能和集中式管理功能。由于构建于F5模块化和可扩展的TMOS架构之上，BIG-IP全球流量管理器能够根据业务政策、数据中心和网络条件分配最终用户应用请求，以确保最高可用性。主要优势：支持应用和Web服务在多个站点间进行透明交付确保全球业务的连续性和应用的可用性引导用户进入全球最佳站点，能够显著改进性能并提高客户的体验。能够根据任

43、何一项业务政策（包括地理信息、负载情况、时间等），并通过为直接用户交付全球流量控制，来增强灵活性。能够从单一地点提供全面的应用和数据中心状态信息，降低管理开销通过充分利用辅助数据中心，可提高全球网络的效率、可扩展性以及投资回报。能够实现复杂任务的自动化流程，从而降低维护和管理开销。能够确保在全球获得出色的可用性和可靠性由于企业依赖其应用来保持竞争优势，因此确保应用的可用性至关重要。只有支持各种应用的BIG-IP全球流量管理器才能提供完善的状态监视功能，能够使企业快速适应变化并保持竞争优势。完善的状态监视功能BIG-IP全球流量管理器能够检查整个架构的运行状态，消除单点故障点引导流量远离运行状况

44、不佳的站点。通过从每一数据中心、ISP连接、服务器、高速缓存器甚至最终用户内容中收集性能及可用性指标，BIG-IP全球流量管理器可确保在将流量引导至某站点之前、该站点就具有高可用性和充足的容量。以应用为中心的监视功能当前，应用不仅越来越完善，而且还需要具备智能状态检查特性以确定可用。BIG-IP全球流量管理器集合有多个监视器，而不是仅依靠单一状态检查功能，因此您可以在多个级别检查应用的状态。这就能改进可用性、增强可靠性，并消除误报警(falsepositives)以降低管理开销。只有BIG-IP全球流量管理器才能为超过18种不同的应用（包括SIP、Oracle、LDAP、mySQL等）提供预定

45、义的、无与伦比的状态监视支持功能。BIG-IP全球流量管理器通过对这些应用进行针对性的监控，来准确测定其状态、缩短停机时间，并改进客户的体验。BIG-IP全球流量管理器还能跟踪这些应用（这些应用彼此相关联）的状态，如果在该组中对某一对象的状态检查失败，那么系统就会将所有相关对象标注为性能下降。这能够使您根据业务逻辑和盈利能力校准并监视应用对象，制订可扩展的流量分配政策，并更好地管理应用的相关性。灾难恢复/业务连续性BIG-IP全球流量管理器为站点故障切换和业务连续性提供了业内最全面的解决方案。除了可进行全面的站点可用性检查之外，您还可以通过定义某些条件，以便将全部流量转移至备份数据中心，或故障

46、切换整个站点，或仅对受影响的应用进行控制。智能全球负载平衡，实现最佳性能并改进客户体验使用分布式数据中心的企业无法基于特定业务政策通过将用户路由至最佳和最近的数据中心来分配全球流量。在流量达到峰值时段，更改网络和用户条件将造成数据中心瘫痪。只有BIG-IP全球流量管理器才能提供全面的应用管理服务，该服务能够支持企业当前所面临的演进应用的需求。出色的全球负载平衡能力BIG-IP全球流量管理器包括业内最先进的流量分配能力，能够满足企业或全球部署应用的各种要求。这些要求包括：轮循地理信息全球可用性虚拟服务器容量LDNS持续性最少连接应用可用性每秒数据包数往返时间动态比率中继(Hop)LDNS轮循数据

47、包完成率比率用户定义的服务质量(QoS)每秒千字节数高级智能特性BIG-IP全球流量管理器可基于全面的站点和网络指标将用户路由至最佳全球资源。例如，QoS负载平衡模式包括中继系数，该系数基于客户与本地DNS之间的中继数量。管理器可通过中继速率将用户发送至距其有着最少中继的数据中心，从而确保更快地进行访问。动态比率负载平衡模式可解决其它全球流量管理系统普遍存在的“赢者通吃”的问题。动态比率能够根据您网络和服务器资源的状态和性能，按比例将部分流量发送至最佳性能站点，或次佳性能站点，等等。针对状态应用的客户端连续性BIG-IP全球流量管理器是唯一一款能够跟踪应用状态并智能提供出色客户体验的解决方案。

48、最终用户现在可以在应用和数据中心保持持续连接，并自动基于应用状态路由到相应的数据中心或服务器。应始终保持会话的完整性，确保不会出现会话中断、数据丢失或损坏的现象。这样，企业就能提高构架的可扩展性，降低总体拥有成本(TCO)，并减少客户支持开支。智能流量路由控制iRules只有BIG-IP全球流量管理器才配有简单易懂但功能强大的iRule编程语言，您可以通过iRule定制全球流量的动态分配。BIG-IP全球流量管理器能够查看DNS消息底层中的信息，从而将应用流量分配到所需的数据中心、池或虚拟服务器中。该功能能够降低延迟、增强应用保护功能、避免恶意攻击，并提高应用的性能。由于iRules是根据易用

49、的基于TCL的脚本语言开发而成，因而其管理成本相当低。广域持续性BIG-IP全球流量管理器提供了完善的持续模式，用户能够被引导至合适的资源。它能将流量智能地分布到同一个站点，从而可维护应用或交易的连续性。BIG-IP全球流量管理器能够实现所有设备持续性信息的同步，从而确保了用户无论从哪一个进入点登录都能被引导至同一站点。最后，它还能将所需的持续性信息发送至本地DNS服务器，以减少后端数据库同步所需的频率。地理负载平衡BIG-IP全球流量管理器能够解析出IP地址的所属国家，从而增强对全球流量管理的拓扑控制。对于包含不同语言内容的站点，BIG-IP全球流量管理器能够确保全球用户获取符合其语种的所需

50、信息。定制拓朴映射BIG-IP全球流量管理器能够使部署内联网应用的企业建立定制拓朴映射。通过定义和保存定制区域分组，您就能基于满足内部架构需求的流量分配政策，来配置拓朴结构。无与伦比的DNS性能BIG-IP全球流量管理器提供优异的DNS性能，可处理互联网上最繁忙的站点。如今，企业可以为最终用户提供最出色的服务质量，同时避免了较差的应用性能。出色的管理能力以及较低的运营成本在单点的对跨多个站点的分布式网络进行管理是企业所面临的巨大挑战。BIG-IP全球流量管理器提供了一种查看全球构架的工具，您能借助这种工具管理网络和业务策略，从而确保关键业务应用具有最出色的可用性。ZoneRunner只有BIG

51、-IP全球流量管理器才能提供名为ZoneRunner的集成子域配置工具。ZoneRunner能够降低DNS的风险、简化DNS子域文件的管理。ZoneRunner能够创造一个管理DNS架构的可靠环境，同时通过验证和子域文件错误检查可降低管理开销。基于最新的BIND版本，ZoneRunner能够提供如下特性：自动填充常用协议验证/子域文件条目错误检查返回到上一交易为DNS管理提供可靠的环境子域管理的命令行版本从外部服务器或文件中进行子域导入自动反向查询轻松创建、编辑及搜索所有记录通过降低管理负担来降低总体拥有成本(TCO)改进架构的可扩展性ZoneRunner能够降低DNS风险并简化子域文件管理强

52、大的基于Web的用户界面BIG-IP全球流量管理器为企业提供了一种简单、经济、高效地从集中位置管理全球构架的方法。通过高效的列表/对象管理，能够完整地查看全球资源针对全局对象指定唯一名称，能够降低管理负担，并有助于根据业务政策建立构架。更好地进行排序和搜索以快速访问全球对象通过简化设置及对象创建，能够减少配置时间通过上下文帮助获取有关对象、命令和配置实例信息能够管理分布式应用，并将其作为整个体系中的一部分。IPv6支持随着对IPv6需求的增长，许多站点正面临新的要求以处理IPv6流量。BIG-IP全球流量管理器能够支持并扩展至新一代网络，通过改进那些不必升级整个网络及应用的系统的可管理性，能够

53、对AAAA查询进行解析。分布式应用管理企业已努力确保将其应用和架构与业务目标和策略保持一致。BIG-IP全球流量管理器能够使企业部署相关应用服务并对其进行高效的管理。通过分布式应用管理，企业能够降低管理成本、制订可扩展流量分配政策，并能通过对数据中心对象进行精密控制来提高效率。BIG-IP全球流量管理器提供简单但功能强大的工具以管理您的全球资源。设置与同步的自动化自动同步(Autosync)功能能够实现设置的自动化，实现冗余BIG-IP全球流量管理器设备的可靠同步。通过自动同步功能，您能从网络中任意一台BIG-IP全球流量管理器上更改配置，从而消除DNS普遍存在的层级管理难题。配置检索VS自动

54、查找(VSAutoDiscovery)功能使BIG-IP全球流量管理器修改任意数量的分布式BIG-IP系统的配置。SNMP管理应用支持BIG-IP全球流量管理器集成了MIB和带有DNS的SNMP代理。这能够使SNMP管理应用（例如HPOverview）读取有关BIG-IP全球流量管理器当前性能的统计数据。SNMP管理数据包能够准确查看BIG-IP全球流量管理器的工作情况，同时密切关注标准DNS信息。数据中心和同步分组BIG-IP全球流量管理器能够创建网络设备逻辑组以确保高效利用监视和指标收集功能。从而提供出色的可扩充的解决方案，这种解决方案通过智能地与逻辑组的成员共享信息来支持互联网上最繁忙的

55、站点。网络集成和灵活性第三方集成BIG-IP全球流量管理器还通过实现与广泛网络设备的通信与集成而提供业内最为灵活的解决方案。这会对以下各类远程主机（包括SNMP代理）进行支持：UCD、snmpd、SolsticeEnterprise和NT/4.0SNMP代理。BIG-IP全球流量管理器还可与第三方高速缓存器、服务器、路由器和负载平衡器进行通信，以准确诊断网络终点的状态，从而提供各种全球流量管理解决方案。主要站点资源的安全性在DNS级别中企业日益受到入侵以及DoS的攻击，这样会降低企业站点的安全性。区分合法DNS请求和攻击的难点也是非常重要的问题。BIG-IP全球流量管理器包括固有安全控制能力和

56、特性，以避免攻击并使应用和合法流量持续运行。安全控制BIG-IP全球流量管理器加强了站点的安全性并在启动前解决攻击所带来的问题。IRules能够帮助您制订政策，这些政策能够在造成破坏前阻止来自欺诈站点或已知攻击源的DNS请求。固有安全性BIG-IP全球流量管理器包含其它众多固有的安全特性，能够有效保护您的站点免受一般攻击，并为您的站点提供多一层的保护。在缺省情况下，BIG-IP全球流量管理器发运时将采用高度安全的模式，并具备如下特性：使用数据包过滤功能，根据对流量源、目的地或端口的监视情况来限制或拒绝对互联网站点的往返访问坚若磐石，能够有效防御一般攻击：-防御teardrop攻击-保护自己和服

57、务器免受ICMP攻击-不运行SMTPd、FTPd、Telnetd或其它任何易受攻击的守护进程可扩充的安全性BIG-IP全球流量管理器无与伦比的DNS性能能够承受更高级别的DNS攻击，保护企业同时确保持续为应用和服务提供高可用性。坚实的基础TMOSBIG-IP全球流量管理器的核心是一种称为TMOS的创新体系结构。此平台具有智能化、模块化和可扩展的特点，是快速适应未来业务挑战和降低管理任务的基础所在。TMOS增强了BIG-IP全球流量管理器中的每项功能可以全面了解所有服务，并提高服务灵活性和控制能力，同时还能够使BIG-IP全球流量管理器智能地适应各种不断变化的分布式应用的需求。32BIGIP局域

58、网应用交付设备BIG-IPV9系列数据资料本地流量管理器BIG-IP本地流量管理器应用交付低效、迟延和失败都会导致数百万美元的损失，包括预算浪费、公司名誉受损、系统和应用停机、法律责任以及错失良机等。BIG-IP本地流量管理器是一款出色的应用流量管理系统，可提供业内最智能，最具适应性的解决方案来保护、优化和交付应用，从而确保企业能够在保持高效运营的同时提高其竞争力。它是业内唯一一款包含整套统一应用基础设施服务的系统，将总体控制、可见性以及灵活性出色地融合到应用安全、性能和交付中。好处？更高的业务灵敏性和当今企业生命线（应用）的成本实施。主要优势可靠性提供业内最可靠、最先进的系统，以确保应用始终

59、可用。应用加速提供无可比拟的控制能力将应用性能提高3倍，确保高优先级应用得以优先处理，同时卸载昂贵的服务器循环。降低服务器和带宽成本通过丰富的基础设施优化特性将服务器容量增加倍；同时通过智能HTTP压缩、带宽管理等特性将带宽成本降低80%。增强网络和应用安全性从拒绝服务（DoS）保护到隐藏，再到过滤应用攻击，BIG-IP添加了多项不能在网络中其它地方实现的关键安全特性。无可比拟的应用智能与控制特性业内唯一一款可提供完整应用流的解决方案能够以网速进行全面的有效负载检查和基于事件的可编程流量管理，以及时掌握流量信息，并采取相应措施。面向所有IP应用的集成解决方案提供可与所有应用（不仅是基于Web的

60、协议(HTTP/S)）相集成的综合解决方案，在单个统一系统内为企业提供了面向所有IP应用（包括传统应用和诸如VOIP等新兴应用）的集中解决方案。行业领先的性能提供行业内最快的流量管理解决方案，来保护、交付和优化应用性能。作为行业内当之无愧的领导者，BIG-IP再次刷新了SSLTPS、批量加密以及最大并发SSL连接的业内记录。简化管理，提高可见性全新的图形用户界面极大地简化了产品配置，提供了针对流量与插件资源的精细可见性，同时支持配置的批量快速修改。强大的TM/OS体系结构：完善的应用智能与网络适应性新型BIG-IP的核心是一款创新体系结构，称为TM/OS（流量管理/操作系统），它为企业提供了一