多链路及服务器负载均衡

-z.多链路及效劳器负载均衡方案建议书目录TOC\o"1-2"\h\z\u一．概述3二．用户需求32.1系统总体目标32.2系统功能需求42.3系统性能需求52.4系统平安性需求52.5可管理性需求52.6网络平安需求6三需求分析63.1多链路的负载均衡和冗余63.2系统高可用性73.3高度的平安性73.4系统管理83.5其它9四．方案设计94.1网络拓扑图94.2方案设计描述10五．关键技术介绍125.1链路负载均衡技术特点125.1.1LinkController工作原理125.1.2链路负载均衡算法125.1.3链路安康检查135.1.4UIE+iRules145.1.5带宽管理155.1.6流量压缩155.1.7设备自身冗余机制165.1.8API接口--iControl介绍175.2CiscoASA5500系列防火墙技术特点21六．新购设备226.1F5BIG-IPLTM1600参数236.2CISCOASA5520-DC-K8参数24七．F5专业效劳条款24八．设备清单及报价25一．概述随着企业开场更多地使用互联网来交付其关键业务应用，只保持一条到公共网络的连接链路则意味着频繁的单点故障和脆弱的网络平安性。BIG-IP链路控制器可以无缝地监控多条WAN连接的可用性与性能，以智能地管理到*一站点的双向流量，从而提供出色的容错性和优化的互联网访问，保证关键业务的稳定运行。二．用户需求2.1系统总体目标系统建立的总体目标为：1．高性能：采用丰富的负载均衡算法对多链路、防火墙、效劳器进展负载均衡，使流量得以合理分配，从而保证系统的整体性能得以大幅度提升。2．高可靠性：保证系统运行稳定，单一设备故障不能影响系统的正常运行。3．高平安性：构**全防预体系，防御网络攻击。4．良好的系统扩大能力，随着访问量的增加能够满足系统不断扩大的需求。5．系统具有良好的可管理性。6．丰富的会话保持策略能够满足灵活多样的动态调整。7．通过中文的监视平台，方便直观地管理与监视应用的状态及安康状况。2.2系统功能需求作为效劳系统的核心，负载均衡系统必须满足以下业务需求：1．冗余的系统实施方案，任何单点故障不影响系统的正常运营在接入系统的设计中，对于所有的设备，均采用冗余设计和实施，充分考虑到各种设备和线路的中断或故障情况，在发生故障时系统能迅速切换，保证系统的正常运营。2．链路的负载均衡和冗余：要求在正常情况下将用户对外的访问流量负载均衡到多条链路上，在*链路故障时自动将其流量切换到另外的链路，自动的透明容错，当链路恢复时自动将其参加到负载均衡中来。3．防火墙的负载均衡：对两台防火墙进展负载均衡，包括E*ternal、Internal、DMZ区的负载均衡。要求在正常情况下两台防火墙上的流量是均衡的，在*台防火墙故障时自动将其流量切换到另外的防火墙，自动的透明容错，当故障的防火墙恢复时自动将其参加到负载均衡中来。4．设备自身的高可用性设备自身需要具备高可用性，能够在双机冗余模式下工作，冗余切换迅速。5．带宽管理提供基于IP地址或特定应用的带宽控制功能，针对*一IP地址或特定应用限制或者保证一定的网络带宽，保证关键应用的稳定运行。6．升级能力负载均衡产品应当具有良好的系统和软件升级能力。7．SSL加速集中处理SSL加解密的工作，减轻效劳器处理SSL的负担，搭建高性能的电子商务平台。效劳器状态监测，动态监测效劳器状态。2.3系统性能需求系统的整体系统响应时间、整体系统性能和故障切换能力应到达或高于以下要求：1．能够在一定的访问压力下提供正常效劳；2．单台设备出现故障后，冗余设备能到达毫秒级切换；3．系统稳定性强，系统响应时间〔例如效劳器故障后负载均衡对故障的反映〕短〔几秒钟之内〕。2.4系统平安性需求1．负载均衡产品本身具有良好的系统平安性，不存在平安漏洞；2．产品提供平安的访问管理环境；3．具有一定的平安防护能力，协助防火墙和其他IDS设备构建动态防御体系，防御网络常见攻击，提高系统整体的平安防护能力。2.5可管理性需求在可管理性方面，需要具备以下几点：1．机架式机箱；2．客户端中文管理软件能够方便地安装到流行的操作系统上〔如Win*P，Win2K等〕；3．提供有效的关于用户、流量等的报表、统计工具；4．提供有效的备份恢复手段；5．提供有效的故障报警手段；6．提供有效的系统监控手段并为通用的监控工具〔如OpenView，Tivoli〕提供接口；7．系统的配置管理方便，系统报告的可用性强，能提供完善的访问统计和流量管理；8．能够提供GUI的良好的维护界面和日常维护方案；9．加密通讯，保证平安的设备管理。2.6网络平安需求网络平安可以分为数据平安和效劳平安两个层次。数据平安是防止信息被非法探听；效劳平安是使网络系统提供不连续的通畅的对外效劳。从严格的意义上讲，只有物理上完全隔离的网络系统才是平安的。但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络平安很少被采用。在有了对外的联系之后，网络平安的目的就是使不良用心的人窃听数据、破坏效劳的本钱提高到他们不能承受的程度。三需求分析3.1多链路的负载均衡和冗余与互联网络相关的关键业务都需要安排和配置多条ISP接入链路以保证网络效劳的质量，消除单点故障，减少停机时间。多条ISP接入的方案并不是简单的多条不同的广域网络的路由问题，因为不同的ISP有不同自治域，所以必须考虑到两种情况下如何实现多条链路的负载均衡：内部的应用系统和网络工作站在访问互联网络的效劳和网站时如何能够在多条不同的链路中动态分配和负载均衡，这也被称为OUTBOUND流量的负载均衡。互联网络的外部用户如何在外部访问内部的网站和应用系统时也能够动态的在多条链路上平衡分配，并在一条链路中断的时候能够智能地自动切换到另外一条链路到达效劳器和应用系统，这也被称作为INBOUND流量的负载均衡。F5的LinkController可以智能的解决以上两个问题：对于OUTBOUND流量，LinkController接收到流量以后，可以智能的将OUTBOUND流量分配到不同的INTERNET接口，并做源地址的NAT，可以指定*一合法IP地址进展源地址的NAT，也可以用LinkController的接口地址自动映射，保证数据包返回时能够正确接收。对于INBOUND流量，LinkController分别绑定两个ISP效劳商的公网地址，解析来自两个ISP效劳商的DNS解析请求。LinkController不仅可以根据效劳器的安康状况和响应速度回应LDNS相应的IP地址，还可以通过两条链路分别与LDNS建立连接，根据RTT时间判断链路的好坏，并且综合以上两个参数回应LDNS相应的IP地址。3.2系统高可用性系统高可用性主要可以从以下几个方面考虑：1．设备自身的高可用性：F5BIG-IP专门优化的体系构造和卓越的处理能力保证99.999%的正常运行时间，在双机冗余模式下工作时可以实现毫秒级切换，保证系统稳定运行，另外还有冗余电源模块可选。在采用双机备份方式时，备机切换时间最快会在200ms之内进展切换。BIG-IP产品是业界唯一的可以到达毫秒级切换的产品,而且设计极为合理，所有会话通过Active的BIG-IP的同时，会把会话信息通过同步数据线同步到Backup的BIG-IP，保证在BackupBIG-IP内也有所有的用户访问会话信息；另外每台设备中的watchdog芯片通过心跳线监控对方设备的电频，当ActiveBIG-IP故障时，watchdog会首先发现，并通知BackupBIG-IP接收SharedIP，VIP等，完成切换过程，因为BackupBIG-IP中有事先同步好的会话信息，所以可以保证访问的畅通无阻。2．链路冗余：BIG-IP可以检测每条链路的运行状态和可用性，做到链路和ISP故障的实时检测。一旦出现故障，流量将被透明动态的引导至其它可用链路。通过监控和管理出入数据中心的双向流量，内部和外部用户均可保持网络的全时连接。3．效劳器冗余，多台效劳器同时提供效劳，当*一台效劳器故障不能提供效劳时，用户的访问不会中断。BIG-IP可以在OSI七层模型中的不同层面上对效劳器进展安康检查，实时监测效劳器安康状况，如果*台效劳器出现故障，BIG-IP确定它无法提供效劳后，就会将其在效劳队列中去除，保证用户正常的访问应用，确保回应内容的正确性。3.3高度的平安性BIG-IP采用防火墙的设计原理，是缺省拒绝设备，它可以为任何站点增加额外的平安保护，防御普通网络攻击。可以通过支持命令行的SSH或支持浏览器管理的SSL方便、平安的进展远程管理，提高设备自身的平安性；能够撤除空闲连接防止拒绝效劳攻击；能够执行源路由跟踪防止IP欺骗；拒绝没有ACK缓冲确认的SYN防止SYN攻击；拒绝teartop和land攻击；保护自己和效劳器免受ICMP攻击；不运行SMTP、FTP、TELNET或其它易受攻击的后台程序。BIG-IP的DynamicReaping特性可以高效删除各类网络DoS攻击中的空闲连接，这可以保护BIG-IP不会因流量过多而瘫痪。BIG-IP可以随着攻击量的增加而加快连接切断速率，从而提供一种具有极强适应能力、能够防御最大攻击量的解决方案。BIG-IP的DelayBinding技术可以为部署在BIG-IP后面的效劳器提供全面地SYNFlood保护。此时，BIG-IP设备作为平安代理来有效保护整个网络。BIG-IP可以和其它平安设备配合，构建动态平安防御体系。BIG-IP可以根据用户单位时间内的连接数生成控制访问列表，将该列表加载到其它平安设备上，有效控制攻击流量。3.4系统管理BIG-IP提供S、SSH、Telnet、SNMP等多种管理方式，用户客户端只需操作系统自带的浏览器软件即可，不需安装其它软件。可以通过支持命令行的SSH或支持浏览器管理的SSL方便、平安的进展远程管理。直观易用的Web图形用户界面大效劳降低了多归属根底设施的实施本钱和日常维护费用。BIG-IP包含详尽的实时报告和历史纪录报告，可供评测站点流量、相关ISP性能和预计带宽计费周期。管理员可以通过全面地报告功能充分掌握带宽资源的利用状况。另外，通过F5的i-Control开发包，目前国内已有基于i-Control开发的网管软件*-control,可以定制针对系统效劳特点的监控系统,比方效劳的流量情况、各种效劳连接数、访问情况、节点的安康状况等等，进展可视化显示。告警方式可以提供syslog、snmptrap、mail等方式。3.5其它BIG-IP内置i-ControlSDK二次开发包，可以通过API接口方便的取得各种流量统计信息，作为计费的依据。在Web用户界面上面也可以方便的查看各种流量统计信息，如果需要按照流量计费，可以使用以上两种方式取得流量的统计信息。F5NETWORKS免费提供安装在效劳器端、动态获取效劳器信息的agent软件，将其安装在效劳器端以后，就可以动态获取效劳器当前运行状态。内存扩大能力：F5BIG-IP3400以上单机最大可扩大到4GB内存，此时可支持800万并发回话；BIG-IP3400以及BIG-IP1500单机最大可扩大至2GB内存，此时可支持400万并发会话数。升级能力：F5所有设备均可通过软件方式升级，在效劳有效期内，升级软件包由F5公司提供。IP地址过滤和带宽控制：BIG-IP可以根据访问控制列表对数据包进展过滤，并且针对*一关键应用进展带宽控制，确保关键应用的稳定运行。配置管理及系统报告：F5BIG-IP提供WEB界面配置方式和命令行方式进展配置管理，并在其中提供了丰富的系统报告，更可通过i-Control自行开发复杂的配置及报告生成。效劳：在F5的体系中，拥有代理商、厂商等多级效劳与支持体系，可以保证用户购置的产品得到优异的售后效劳支持，提供24小时热线效劳。四．方案设计4.1网络拓扑图此方案设计中采用的拓扑图如下所示：链路负载均衡网络拓扑图4.2方案设计描述4.2.1方案设计总体描述本方案设计采用F5Networks公司链路负载均衡设备BIG-IPLTM1600来实现网络中多条链路Outbound〔内部客户端发起对Internet的访问〕方向负载均衡；采用CISCOASA5520-AIP40-K9防火墙对企业网进展防护，并开启sslvpn功能，实现外网用户对公司内网的平安访问。整个系统采用全冗余网络连接方式设计，来保证系统的高可用性和高可靠性。方案具体实现方式如下：1.交换机实现多链路聚合，采用2台使ISP链路连入不同设备，实现ISP链路冗余，不会因设备故障导致网络中断。2.对于Outbound流量，LinkController接收到流量以后，可以智能的将访问ISP1的资源的Outbound流量分配到ISP1的接口，并做源地址的NAT，〔可以指定*一合法IP地址进展源地址的NAT，也可以用LinkController的接口地址自动映射〕，保证数据包返回时能够正确接收，其他的流量走ISP2的线路。3.防护墙的接入对与来自外网流量进展检测和防护；开启sslvpn功能，实现外网客户端平安接入。4.2.2链路负载均衡及冗余两台LinkController以Active-Backup方式实现网络中两条链路的负载均衡及冗余。LinkController可以根据相应的链路负载均衡算法和iRules规则来实现快速访问的智能引导，比方将访问电信的用户引导至电信链路，访问网通的用户引导至网通链路，解决了不同ISP之间的互连互通问题，保证了最好的访问速度和最高的访问效率。同时，LinkController的安康检查机制实现对链路安康状况的实时监控，当有链路出现故障时LinkController会屏蔽故障链路，并自动将流量切向其它正常工作的备份链路，实现了链路的高可用性。4.2.3设备自身冗余性BIGIP设备以Active-Backup的冗余方式方连接，处于Backup的设备采用“心跳线〞监测Active的设备的状态，当检测出设备故障时，两台设备就会产生ms级切换，Backup设备会切换为Active，为用户提供效劳，保证了系统的高可用性。4.2.4易于管理性BIGIP产品不仅提供s的平安Web界面管理，本地基于SerialConsole的管理和SSH平安远程命令行管理，还有基于中文网管软件*Control的管理，灵活多样的管理方式使日常的维护和Troubleshooting更加方便快捷。*Control是北京信诺瑞得信息技术基于F5开放API接口iControl和SDK开发包开发出来的，针对F5设备进展监控管理的软件产品。五．关键技术介绍5.1链路负载均衡技术特点5.1.1LinkController工作原理LinkController的工作原理可以分成两局部介绍：Inbound流量(Internet用户访问内网效劳器及DNS查询的流量)和Outbound流量(内网用户主动发起的访问Internet效劳器的流量)，下面从这两方面介绍LinkController的工作原理。Outbound流量这局部流量主要是内部用户和效劳器主动发起的对公网的访问，当这局部流量到达LinkController时，LinkController会判断两条链路的安康状况并决定将流量负载均衡到哪条链路，判断好将流量分配到哪条链路之后将数据包的源地址转换成相应ISP网段的公网地址(SNAT)后将该数据包发出；响应数据包返回到LinkController时，LinkController将目的地址进展转换之后将数据包发给内部的用户或效劳器。5.1.2链路负载均衡算法随机〔Random〕：随机返回给用户*一条链路的IP地址。比率〔Ratio〕：预先给每条链路定义一个权值，按照这个比率返回给用户*一条链路对应的IP地址。返回给LDNS〔ReturntoDNS〕：立即将连接请求返回给LDNS处理。轮询〔RoundRobin〕：将提供*种应用的所有站点放在一个队列当中，按顺序依次返回给用户队列中下一个站点的IP地址。静态会话保持〔StaticPersist〕：这种算法将维护一个LDNS到*一个站点的映射表，同一个LDNS的查询请求在预定的时间过期之前会返回同一个IP地址。完成比例(CompletionRate)：当接收到LDNS的查询请求的时候，LinkController会返回给用户丢包或超时数据包最少的链路对应的IP地址。跳数(Hops)：当接收到LDNS的查询请求的时候，LinkController会发起查询请求的LDNS之间的路由跳数。BIG-IPLC根据返回的跳数解析给LDNS跳数最少的站点的IP地址。千字节/秒(Kilobyte/second)：LinkController会选择一个当前处理的Kbyte/Sec数值最小的一个站点返回给发起查询请求的LDNS。最小连接数(LeastConnection)：LinkController会选择一个当前处理连接最少的站点返回给发起查询请求的LDNS。包比例(PacketRate)：LinkController会选择一个当前每秒钟处理数据包最少的一个站点返回给发起访问请求的LDNS。基于拓扑的路由〔Topology〕：采用拓扑数据库，LinkController链路控制器可准确确定用户的位置，并根据预定义的策略通过所需链路路由流量。RTT(RoundTripTimes)：当收到LDNS查询请求的时候，LinkController会反向探测发起查询请求的LDNS，并且计算从发起反向探测到承受到响应得时间间隔。LinkController根据这个时间间隔返回给LDNS一个间隔最短的链路对应的IP地址。效劳质量(QoS)：LinkController通过收集每条链路中心RTT时间、跳数、完成比率、包比率、地理拓扑、链路容量、VS(VirtualServer)容量、Kbyte/Sec的数值进展综合计算，计算之后每个数据中心都会有一个权值，然后根据这个权值返回给LDNS相应的站点的IP地址。VS容量(VSCapacity)：当使用这种算法的时候，LinkController将所有的VirtualServer放在一个队列当中，并把每个VirtualServer的容量作为他们的权重，按照这个权重返回给LDNS相应的站点VirtualServer的IP地址。5.1.3链路安康检查在Layer2安康检查涉及到用来对给定的IP地址寻找MAC地址的地址分辨协议(ARP)请求。因为BIGIP设置了真实网络设备〔链路对端网关〕的IP地址，它会发送针对每一个真实网络设备〔链路对端网关〕的IP地址的ARP请求以找到相应的MAC地址，网络设备〔链路对端网关〕会响应这个ARP请求，除非它已经停机。在Layer3安康检查涉及到对真实路由器发送〞ping〞命令。“ping〞是常用的程序来确认一个IP地址是否在网络中存在，或者用来确认链路是否正常工作。在Layer4，BIGIP会试图联接到一个特定应用在运行的TCP或UDP端口。举例来说，如果VIP是被绑定在端口80做Web应用的话，BIGIP试图建立一个联接到真实效劳器的80端口。BIGIP发送一个TCPSYN请求包到每个真实效劳器的80端口，并检查回应的TCPSYNACK数据包是否收到，如果哪一个没有收到，BIGIP就确认那台效劳器不能正常提供效劳，BIGIP单独针对效劳器的每个应用端口做安康检查并单独做关于其效劳器的诊断结果是非常重要的。这样一来真实效劳器的80效劳可能停机，但是端口21可能正常工作，BIGIP可以继续利用这个效劳器的21端口提供FTP效劳，同时确认这个效劳器的Web应用已经停机，这样一来就提供了一个高效率的负载均衡解决方案，细分安康检查的做法有效地提高了效劳器的处理能力。采用在链路对端放置效劳器的方式可以判断链路是否正常工作5.1.4UIE+iRules在BIGIP上，我们还可以同过BIGIP的UIE和iRules来实现七层的流量检测和灵活的负载均衡策略定义。UIE—UniversalInspectionEngine通用搜索引擎，可以检测TCP/UDP数据包中的任何内容，例如客户端IP、客户端源端口、效劳端IP、效劳端端口、客户端数据、效劳端数据。通过一系列的字符串和二进制处理机制，可以将处理的结果交给iRules进展判断和处理。iRules可以根据UIE监测到的数据来对流量进展处理。例如，iRules可以配置为判断以下条件：是否在数据包中包含以〞cgi〞作为结尾的请求？是否数据包的源地址是以八进制“206〞为开头？是否在TCP的数据包中包含字符串“ABC〞？在获取判断条件后，iRules则可对该数据流进展处理。例如：如果数据包源IP为则将其分配到效劳器如数据包前50个字符包含字母“REAL〞则将其丢弃如果数据包第一个字符为0*E3则将其放入4Mbps的一个RateClass进展带宽控制。5.1.5带宽管理BIGIP灵活的第7层带宽管理能力可使企业对带宽进展有效管理，以确保高优先级应用能够得到按时交付。同时，它还提供了定制控制能力，以设定基于应用的带宽限制〔容许的带宽峰值〕，甚至还能在应用之间建立队列关系。带宽管理的功能特点：1．灵活的带宽管理灵活的带宽限制支持带宽借用根据应用进展带宽列队〔带宽平均分配，FIFO〕2．从二层到七层的精细的流量分类可以根据IP地址，端口，以及基于七层内容进展流量分类，定制适合的带宽策略。3．双向流量控制BIGIP可以提供双向流量的带宽管理，确保高优先级应用能够按时交付。5.1.6流量压缩利用BIGIP的流量压缩功能，支持多种类型的文件压缩，从而在降低80%网络带宽的同时，将应用性能提高3倍以上，并且解决了互联网延迟和客户机连接瓶颈对其应用性能的所造成的影响。5.1.7设备自身冗余机制BIGIP可以实现两种方式实现冗余连接，一是Active-Backup方式，另一种是Active-Active方式。物理连接方式如下列图所示：F5Networks公司BIGIP产品是业界唯一实现双机冗余毫秒级切换的产品，而且设计合理。所有会话通过ActiveBIGIP同时，会话信息会通过同步数据线同步到BackupBIGIP，保证Active与Backup设备会话信息同步。且每台设备中的watchdog芯片通过心跳线检监测对方设备电平，当ActiveBIGIP故障时，watchdog会首先发现，并且通知BackupBIGIP接收sharedip,VIP等，完成冗余切换过程，BackupBIGIP变成ActiveBackup，由于BackupBIGIP事先已经保存了所有会话数据信息，可以保证所有在线会话的通畅和完整。两台设备的多种模式的冗余切换触发机制：Watchdog：完全通过“心跳线〞监测物理信号判断设备的运行状况，适时进展冗余切换，采用这种方式，切换时间在50ms—200ms。Gatewayfailsafe：处于Active状态的BIGIP定期与网关设备取得联系，假设在timeout时间内得不到任何响应，就自动切换为Standby状态。VlanArmfailsafe：通过判断*个Vlan是否有流量，触发切换。5.1.8API接口--iControl介绍为了确保电子商务取得成功，应用和网络必须能够严密结合。网络通知应用；应用指导网络，这就是F5新型体系构造的根底。i-Control提供了业界最严密集成的产品套件，利用统一的设备活动协作来对互联网流量和内容部署/提供进展端到端的控制。它提供了端到端集成所需要的产品间的平安通信，而且还可以通过开放式*MLAPI对F5产品进展编程，以支持客户与合作伙伴应用间的集成〔F5的i-Control内部通信协议〕。F5互联网流量、应用和网络管理体系如下列图所示：F5互联网流量、应用和网络管理体系构造这种架构方式克制了多厂商解决方案的最大问题：互操作性和管理复杂性，而且还防止了单厂商套件的最大问题：有限的灵活性、缺乏足够的集成能力。这种架构使效劳提供商和企业能够：管理和控制全球范围的互联网流量和内容部署并实施SLA政策将政策应用到多种技术上，如防火墙、VPN和QoS设备接收告警并管理关于网络和设备活动的报告保持适当的系统配置i-Control能够使应用与网络流量管理和内容提供根底设施实现直接的互操作。通过i-Control开放的平安通信协议和SOAP/*MLAPI，网络设备能够与应用进展通信，应用可以控制网络，从而防止出现易于出错的过程和人为干预。i-Control能够提供网络产品间平安、加密的互相通信能力，并为无缝应用集成带来了方便，其中包括：本地流量管理分布于全球的流量管理将内容部署到远程效劳器上管理网络中高速缓存提供的内容版本显著减少管理分布式网络所需的资源客户、合作伙伴及第三方集成商都可以使用i-Control软件开发套件〔SDK〕，它具有开放式的SOAP/*ML或CORBAAPI。随着i-Control的推出，F5证明了其对制定和采用开放式互联网流量和内容管理标准的支持。通过将i-Control与F5的业界领先iTCM产品相结合使用，可以实施并部署F5的完整互联网控制体系构造，从而增强了7层性能。任何第三方和客户都可以通过i-Control将自己的应用与网络系统集成在一起，从而提供无与伦比的7层性能。F5亚太区i-Control合作开发伙伴北京信诺瑞得信息技术已经利用i-Control软件开发套件〔SDK〕开发出了F5设备集中管理平台*-Control。它可以对F5设备进展集中、可视化的管理，主要有以下功能：设备集中管理：设备的分区域、网络中心等多级管理体系、方便的拖放式设备管理。可视化设备对象管理：可视化、直观、即时得到对象信息、Enable/Disable选中的对象、鼠标单击进展对象的监控、流量统计及预警。对象监控：实时流量监控〔VIP、Pool、节点、设备〕、CPU监控、内存使用率监控、定制监控参数、监控图表导出。如下列图所示：*-Control对象监控监控数据导出：导出流量数据(文本、*ML、HTML表格、E*cel文档、导出图表、PDF、JPG、GIF等格式)、用户可以根据导出的数据定制个性化报表。对象预警：实时预警〔VIP、Pool、节点、设备〕。配置信息管理：配置备份、配置恢复、配置删除、HA的配置同步、配置激活、回滚、上传/下载。获取设备信息：查看设备运行的效劳、查看设备翻开的端口、查看软件产品的详细信息。控制设备运行的网络效劳：方便控制设备运行的各种效劳。查看设备的全局统计信息：查看深入的统计信息、系统流量、运行时间、网络连接、拒绝访问信息等等。自动发现设备：通过网络自动发现F5设备、自动添加发现的设备到设备分级目录。如下列图所示：*-Control自动发现设备数据采集：数据采集是将实时监控的数据存储在本地存储介质中。为统计分析提供数据源。统计报表：对采集的下线数据进展查询及报表输出。5.2CiscoASA5500系列防火墙技术特点CiscoASA5500系列内容平安版让企业不但能充分发挥互联网业务的优势，还能利用全面的网关平安性和VPN连接解决方案。CiscoASA5500系列内容平安版具有集成式防火墙、内容平安和VPN功能，能够从电子邮件和互联网流量中删除恶意软件、间谍软件、垃圾邮件和诱骗企图，最大程度地提高业务连续性和平安