湖南电力多链路远程F5-VPN访问接入解决方案及设备配置方案

湖南电力多链路远程VPN平安访问接入解决方案F5NetworksF5网络有限公司2006年10月书目第一章简介 ….3其次章需求分析 42.1具体需求分析 4第三章多链路SSL-VPN接入解决方案 63.1网络拓扑图 63.2方案分析 6第四章设备总体配置方案 124.1SSLVPN设备配置方案 124.1.1F5FirePass的关键技术 124.1.2F5FirePass系统设备型号选择 154.2多链路接入设备配置方案 18第五章胜利案例 34第一章简介什么是VPN:VPN就是指利用公共网络，如公共分组交换网、帧中继网、ISDN或Internet等的一部分来发送专用信息，形成逻辑上的专用网络。VPN事实上就是一种服务，用户感觉好象干脆和他们的个人网络相连，但事实上是通过服务商来实现连接的用户、企业的需求正是VPN技术诞生的干脆缘由：高效的管理及信息的即时获得须要随时随地的访问须要强的平安限制须要简洁部署和管理VPN实现平安接入的两种主要方法IPSecVPNSSLVPNSSLVPN将成为远程访问技术主流降低维护费用并提高效率与IPSec相比采纳SSLVPN在三年的时间内节约$80,000到$260,000(BreakawayMarketingGroupAugust2004)丰富的客户端活动日志和审计功能优异的平安性精确适当的访问权限IPSec用来为子网对子网的平安通道而设计，不适用于远程客户端访问远程访问系统是管理系统而非纯业务系统其次章需求分析现阶段湖南电力在本部建有完善的内部网络系统，并且随着公司业务的不断发展,各地办事机构与公司的信息交换越来越频繁,重要的信息和数据也越来越多,平安也越来越重要,而且随着业务发展,以后将在各地开设新的办事机构,这些分支机构的状况将汇聚到长沙公司本部,同时部分出差人员,须要通过移动方式访问公司。因此须要在确保数据平安的基础上建立VPN通道连接，以实现移动接入以及平安远程访问。同时，公司本部现有电信、联通2条100M专线，通过防火墙与内部网联接，希望能为远程接入用户供应最佳链路和ISP选择，并实现基于策略的多链路负载均衡，可以让远程用户通过最佳链路、以最平安的方式接入公司内部进行应用访问。2.1具体需求分析依据客户的SSLVPN接入的要求,我们总结出来，具体需求如下:1． 通过SSLVPN来实现对总局内部网络的无客户端软件访问模式，实现便利快捷的访问；2． SSLVPN并发用户数量目前预料有200人左右；以后随着业务的增长，可能达到几千个用户的规模，并发数有可能达2000个以上，因此系统必需有扩展实力以支持上述业务量；3． 系统必需具有高牢靠性，并且要求供应肯定的容错机制；4． 用户的认证管理支持外部LDAP、RadiusServer、及证书认证管理模式以及双因数认证方式，例如RSA的SecuID和RAINBOW的IEKY；5． 通过SSLVPN接入内部办公网以后，可以支持OA系统控件的访问及其它典型应用如邮件系统、Portal系统、电力业务系统等的访问。6． 敏捷的扩展空间，依据实际应用的需求敏捷投资，提高整体服务实力7.支持多链路接入，VPN用户运用统一域名通过电信、联通等运营商专线访问SSLVPN，链路负载均衡器应能运用多种方式，如用户网络所在运营商、网络延时、链路负载等自动选择最佳链路接入，避开运营商间网络互联瓶颈、链路故障或拥塞等缘由而影响用户访问效率；

第三章多链路SSL-VPN接入解决方案3.1网络拓扑图3.2方案分析将F5FirePass连接到湖南电力内部的核心交换机上，利用原有存在防火墙，在防火墙上映射一个合法可路由的IP地址为FirePassVPN设备，并添加相应的平安策略，在FirePassvpn设备上添加用户组，并且为每个用户组添加相应的用户（如财务组、行政组等），为每个用户组设置相应的访问权限。远程分之机构用户、移动用户只须要在本机的IE阅读器输入映射的IP地址或者域名即可访问到FirePassvpn的首页内容，然后输入安排的用户名和密码，即可访问相应的内部资源。另外，在外部网络连接上，采纳F5的BIGIP3400LTM＋LC连接电信、联通两条线路，BIGIP3400LTM＋LC能够供应独具特色的解决方案，不但能够充分利用这两条链路（双向流量依据预设的算法分担到不同的链路上，一旦一条链路不通的状况下，能够无缝切换到另外一条可用链路上）；而且可以依据对不同链路的侦测结果，将最快速的链路供应应外部用户进行响应，从而解决目前广泛存在的多个ISP之间的互联互通问题。该方案在SSLVPN远程接入访问方面有以下优点：1、相宜具体需求，满意用户的应用；2、可行性强，实施便利，削减整体投资，具有良好的性能价格比；3、系统可扩展性强，因为VPN是建立在公网上的私有连接，因此当网络拓扑变更时，不依附于资源供应商和物理设备；可以很好相宜各种网络结构，对网络的调整削减到最小；5、数据高度保密,供应最高级别的平安爱护；6、可以设定每条vpn通道的策略，确保每个连接权限；7、易用性和敏捷性好，用户可以通过固定网络（ADSL/DDN/FR/ISDN）或拨号随时随地通过VPN访问数据。假如专线出现问题或若分支机构地点变更不会影响同网络平安及VPN中心信息交换，这很好解决由于专线出故障无法同网络平安及VPN中心信息交换的问题。方案具体说明：将F5FirePass连接到防火墙的DMZ区上，利用防火墙，在防火墙上映射一个合法可路由的IP地址为FirePassVPN设备，并添加相应的平安策略，可实现下列的平安远程访问：1、 办公自动化系统的应用通过INTERNET，访问行内的办公自动化系统，进行公文处理、文件传输、收发邮件等工作；1) 内部网邮件系统的运用 支持microsoftoutlook等客户端邮件系统的应用，支持采纳pop3、smtp收发邮件的方式； 支持基于web的邮件收发方式（方式）；2) 文件传输支持ftp文件传输，包括normal、passive两种方式。3) 文件共享支持与内部网microsoftwindows桌面系统的文件共享。4) 基于web的intranet系统的应用通过方式，访问内部OA网站，进行办公自动化处理。5)业务系统的应用通过Web或C/S方式，访问内部业务系统，实现平安的远程业务处理6)支持视频会议可以通过网络通道的方式，全面支持各种方式的视频会议，实现移动视频会议接入。2、 远程技术支持及维护当行内的计算机业务处理系统发生故障，而相关的科技部维护人员不在现场时，可以通过INTERNET，以最快速度连接我行的内部网络上，进行故障排查及系统维护，能够大大提高科技部人员对计算机业务处理系统的故障响应速度。1) telnet应用远程用户可以通过telnet程序，连接到内部网。2) 支持client/server的应用模式支持基于tcp协议的、自定义端口的应用系统的远程应用。client端程序可以工作在远端，通过平安的vpn通道，连接到内部网的服务器或主机上。3、 平安管理的需求1) 用户角色划分及对网络资源的分权访问要求依据实际需求，将vpn用户划分为不同角色，并依据不同角色，安排给用户不同的网络资源访问权限。用户可访问的网络资源需细化到应用层（如具有某个ip地址的主机上的运用某个特殊tcp端口的应用）。2) 支持用户分组支持用户分组功能，支持基于用户组的权限管理。3) 用户认证方式的敏捷选择可以针对不同的用户或用户组，指定不同的用户认证方式。如可以强制部分用户必需通过第三方认证服务器供应的一次性口令认证，而其他用户则可以运用vpn系统的静态口令。而在多链路接入及带宽管理方面，该方案具有以下特色：供应内网至internet流量的负载均衡（Outbound）实现从Internet对服务器访问流量的负载均衡（Inbound）支持自动检测和屏蔽故障Internet链路支持多种静态和动态算法智能均衡多个ISP链路的流量支持链路动态冗余，流量比率和切换支持多种DNS解析和规划方式，适合各种用户网络环境支持Layer2－7交换和流量管理限制功能完全支持各种应用服务器负载均衡，防火墙负载均衡多层平安增加防护，抵抗黑客攻击业界领先的双机冗余切换机制，能够做到毫秒级切换具体的链路监控报表，供应应网络管理员直观具体的图形界面对于用户完全透亮对全部应用无缝支持业界优异的硬件平台和性能稳定，平安的设备运行记录而且，经过BIGIP3400LTM＋LC进行链路优化后，整体网络系统具有以下优点：拓扑结构合理：整个网络结构布局合理，层次分明，便于管理与维护。可以轻松形成全冗余连接方法,保证网络没有单点故障的存在。供应链路的负载均衡，今后，通过免费无缝拓展，可以对各种应用服务器，防火墙/VPN/IDS等网络设备全部可以采纳负载均衡方式处理网络流量,提高网络服务实力和投资回报率。比较少的网络层次,较少网络延迟，避开运行维护时面对大量网络设备。敏捷的扩展空间,用户可以依据实际的网络流量和压力增加带宽，增加链路,添加防火墙或增加服务器来提高整体的服务水平。可用性高:BIGIP3400LTM+LC动态检查各条出口链路的健康状态，并将下一个恳求安排给最有效率的链路，任何一条链路发生故障时，BIGIP3400LTM+LC即刻将恳求安排给其他的链路，从而达到99.999%系统有效性。牢靠性高：BIGIP3400LTM+LC产品是业界唯一的可以达到ms级切换的产品,而且设计极为合理,全部会话通过Active的BIGIP3400LTM+LC的同时,会把会话信息通过同步数据线同步到Standby的BIGIP3400LTM+LC,由设备中的watchdog芯片通过心跳线监控设备的电频,当ActiveBIGIP3400LTM+LC故障时,watchdog会首先发觉,并通知StandbyBIGIP3400LTM+LC接管SharedIP,VIP,NAT,SNAT等,保持访问的畅通和在线会话的数据.在用户端的表现是在ping包上会有1~2个中断，而应用上不会中断，可以持续运行，对于关键的应用系统是特别重要的。另外，BIGIP3400LTM+LC还可以允许手工切换Active/Standby的状态，来协作系统维护。并且，可以通过SessionMirror以及PersistenceMirror技术，保证F5设备在发生切换时，不影响在线业务的连续访问。平安性高:BIGIP3400LTM+LC支持地址翻译技术和平安地址翻译，这样一来客户不行能知道真正供应服务的服务器的IP地址与端口，BIGIP3400LTM+LC采纳SSH和SSL技术，可以防止来自内部或互联网上的黑客攻击。1)、S,SSH等加密的网络管理,避开明码通讯对网络设备限制时的平安隐患。2)、F5的VIP一旦配置胜利,服务的TCP/UDP端口也就同时确认,除特定服务外,其他的端口就全部被封闭了,爱护服务器避开被端口扫描.3)、在防止DOS攻击方面,F5供应免费的防护,特殊对于PingofDeath,F5的VIP一旦规定胜利就对Ping包做中继处理,避开攻击对服务器的压力.4)、并且，F5具备攻击回收技术，同时可以设置在资源消耗在97%（可设）时重启，切换到备份设备工作。效率高:BIGIP3400LTM+LC可以智能找寻最佳的出口链路，从而保证客户得到最快的上网访问速度。敏捷的带宽管理技术：BIGIP3400LTM+LC通过为高优先级应用安排带宽，可以确保获得最佳应用性能；基于第4层或第7层参数来限制峰值流量并确定流量优先级。BIG-IP的带宽限制模块可保证关键应用的稳定性。在BIG-IP带宽限制模块中，可以对基本带宽，限制带宽、突发带宽，限制方向等进行配置。每个带宽限制单元在BIG-IP中被定义为一个RateClass。RateClass可以在VirtualServer、PacketFilter和Rules中进行敏捷调用。在调用时，仅须要推断出须要进行带宽限制的流量条件满意，并将其放入相应的RateClass即可。通过与VirtualServer、PacketFilter和iRules协作，BIG-IP可实现基于IP、端口、应用协议以及七层内容进行带宽限制。在实现强大功能的同时保持配置的便利性和敏捷性。由于BIG-IP硬件平台具有强大的扩展性，最大内存配置可达4GB，这样，则可以在TM/OS内建立超过1000个以上的RateClass对列。从而实现带宽限制的精细和稳定。BIG-IPRateClass的定义最小为296bps，最大可以Gbps为单位进行定义。定义时，可以bps、Kbps、Mbps和Gbps为限制单位。可扩展性高:BIGIP3400LTM+LC可以支持动态增加或删除其负载均衡的链路群组的任何数量的链路，而不须要对客户端或后台做任何变更从而使得系统扩展轻松便利。可管理性高:BIGIP3400LTM+LC可以实时监控整个链路群组的流量状态，并分析发展趋势帮助客户刚好依据流量增长增加出口带宽。爱护投资：BIGIP3400LTM+LC还免费带有服务器负载均衡和防火墙负载均衡的功能。

第四章设备总体配置方案4.1SSLVPN设备配置方案4.1.1F平安管理访问权限可授予单个用户或用户群（例如：“销售人员、“合作伙伴”、“IT”）FirePass将单个用户和用户群的访问限制在具体的资源范围内。合作伙伴可能只允许访问外联网服务器，而销售人员则可连接到电子邮件、公司内联网和CRM系统。客户机-服务器连接器很多企业都部署了像PeopleSoft®、SAP®、或Oracle®ERP应用这样的传统“胖客户机”体系结构，并且在每个用户的设备上都配备ERP应用客户机。通常这些应用须要面对公司网络之外的外出办公人员或合作伙伴。直到现在，这些合作伙伴和外出办公人员都须要在每个远程设备上配备特殊配置的“VPN”软件。这些软件可以使他们在互联网与公司网络之间建立起一条“隧道”。这样他们才能够访问整个目标网络。一种更好的方法：F5的FirePass不是利用传统的VPN客户机来供应全部网络接入支持，而是利用阅读器作为客户机与服务器之间的连接器，来支持远程访问个别应用。• 支持从远端客户机访问应用服务器上的TCP应用。• 可支持本地客户机端应用通过阅读器与FirePass服务器之间的平安隧道，与公司的应用服务器进行通信。• 允许连接的用户将LAN驱动器映射到远程系统。• 无需用户预先安装或配置任何额外组件。• 在网络端，被访问的应用服务器上无需安装额外软件。• 采纳标准S协议，并以SSL作为传输协议，因此可支持任何代理–包括公共接入点、专用LAN以及任何不支持传统IPSecVPN的其它网络和ISP。• 标准的客户机-服务器连接器包括Outlook、ExchangeCluster、FTP、CitrixNfuse。管理员可以为那些运用静态TCP端口的应用建立客户的客户机-服务连接器。过滤技术内容检查，FirePass对远程进入流量进行更深化的检查，FirePass限制器能扫描Web流量中不适当的内容（如：在POST数据中深化的脚本）或者太长的数据包，当发觉恶意的内容，FirePass阻挡用户的访问客户机端证书的动态政策FirePass支持管理员依据用于访问FirePass服务器的设备类型来限制或允许访问。例如，用户在运用公司膝上型电脑时允许访问全部的内联网和客户机/服务器应用，而在公共热点上网时则只允许访问内联网。用户登录时，FirePass服务器还会核查客户机端的数字证书，这一证书将只授予膝上型电脑。依据该证书的核查状况，FirePass服务器将允许更广泛的应用访问。身份认证技术1．用户鉴权缺省模式下，系统通过密码来比照内部FirePass数据库进行鉴权。FirePass经配置后可与RADIUS和LDAP鉴权方法、基于表格的基本鉴权以及负责鉴权与访问管理的WindowsDomainServer联合运行。2．双因素鉴权很多公司都须要“双因素”鉴权，即运用用户ID与密码之外的信息进行鉴权。FirePass完全支持美国市场上领先的RSASecurID®令牌式鉴权，并供应了内建的VASCODigipass®实施。同时可以支持“数字证书+用户名密码”的方式，来提高接入的平安性。FirePassVPN连接器平安地访问全部基于IP的（TCP、UDP）应用。一旦VPN连接器被激活之后，全部指向公司网络的流量都将通过一条平安的SSL隧道进行发送。• 无需在远程系统上预先安装和配置任何VPN软件。现场员工和外出人员无需在他们的电脑上进行任何特殊设置和配置即可访问其应用。• 升级或更换现场的电脑时不会带来任何与VPN有关的额外维护工作；对主机网络、用户密码或IP地址进行的任何改动会自动传播到用户的个人电脑上。• 利用GZIP压缩机制来在对流量进行加密之前进行压缩处理，从而削减互联网上传送的流量,进一步改善性能。• 供应隧道分割(SplitTunneling)实力，只允许流向LAN的流量通过VPN连接器进行传输。• 无需向每位访问用户开放整个网络，即可实现全部的客户机-服务器应用支持。• 不间断的故障切换—通过在公司网络上配置一台在线备用FirePass服务器，用户可在发生故障时不间断地切换到备用服务器上。• 供应自动驱动器映射功能–一旦VPN连接器被激活，网络驱动器可自动被映射到用户的电脑上。供应代理遍历实力--支持通过本地（例如部署在公司网络上）代理服务器和远程(例如部署在远程接入点网络上)代理服务器来访问公司网络。审计服务FirePass可供应有关会话和活动日志的报告。汇总报告将按日期、时间、访问OS、运用特性、会话持续时间和会话终端类型来汇总供应网络的运用报告。UI定制管理员可以自由调整FirePass标识与具体界面的外观，以更好地匹配公司的风格。高可用性集群FirePass设备可集群配置以在单条逻辑URL上支持10,000条并发连接，同时不会带来任何性能降级。高级负载平衡能够有效地在全部可用服务器上安排会话，以最大限度地提高吞吐量。故障切换FirePass可支持在紧耦合服务器对（在线服务器与备用服务器）之间进行整个状态的热故障切换，不会导致任何的会话中断或终止。这意味着，当偶然发生服务器故障时，全部的会话数据都将得到保留，并切换到用户不行见的备用设备上。4.1.2F在此方案中，依据我们在以往项目上的阅历，我们举荐运用两台Firepass4120。FirePass4120系列产品是一种企业级高性能平安设备。它的标配支持250个并发数的用户，它单台最大可支持2000个以上并发用户，并带有两个光纤口，同时还支持集群功能，使得最大并发数可达到10000，完全可以满意日后扩展的须要。为以Web方式远程访问公司应用和服务器供应了一套全面的解决方案。FirePass4120支持全套FirePass软件特性。企业级高性能平安设备2.4GHz双处理器主板结合了创新的体系结构，可以为用户供应网速级的性能，支持平安牢靠的应用访问。面对将来的网络采纳千兆位铜线以太网和千兆位光纤以太网细心打造的全千兆位体系结构确保了网络可适应将来的要求，充分满意用户对应用及服务器实力不断增长的需求。SSL加速4100平台供应了内置的SSL加速功能，具有卸载SSL会话设置（握手）、块加密和解密实力，可供应优化的SSL性能。它卸载了SSL密钥交换和加密/解密功能，并交给新一代特地SSL组件来完成；即使在SSL容量实现最大化时，CPU的负荷也被降至最低。易于管理每个4100单元包括一个集成、独立的管理电脑，用来进行无人值守（light-out）远程管理和远程引导。另外，4100平台还支持多重引导、热升级和高级仪器的运用。降低拥有成本F5平安平台的热插拔组件能够削减停机时间、降低总体拥有成本，例如在每个单元安装的热插拔风扇、可访问的标准闪存（CompactFlash闪存）、硬盘和热插拔电源。先进的设计使其具有无人值守（远程）管理、多重引导支持、USB支持、简化的安装和高级管理实力，它改善了冗余操作，并显著降低了操作成本及拥有成本。提高可见性通过液晶显示屏，用户可以执行基本的设备管理功能，并借肋更高的可见性从数据中心对F5设备进行远程管理，这有利于企业避开意外停机，节约大量时间。LCD可为用户供应具体信息，包括系统信息、流量统计、配置选项、设备状态、告警及更多信息（以帮助用户进行故障诊断和容量规划）。FirePass®SSLVPN远程访问F5的FirePass通过标准Web阅读器技术对公司应用和数据进行平安远程访问。无

需运用困难的IPSecVPN，它即可将公司的平安远程访问实力扩展到任何运用台式机、笔记本电脑、PDA、信息亭等设备连接到互联网上的用户。FirePass是第一个完全支持跨平台操作的SSLVPN解决方案。除了Windows系统以

外，FirePass还把对任何IP应用的支持扩展到了Macintosh、PocketPC和Linux客户端，这增加了客户机及应用对Web、电子邮件及文件应用进行访问的平安性。FirePass供应了业内应用最广的平安网络访问解决方案。4100系列平安平台包括：2U高－新型USB端口，液晶显示器和键区双2.4G的CPU4个10/100/1000铜线以太网端口和2个GBIC口可访问硬盘和可移动风扇盘FirePass4100可供应独特的硬件SSL加速芯片，以卸载SSL密钥交换，同时实现了SSL流量的加密和解决。这使大型企业环境下的处理器密集型“加密（ciphers）”（如3DES和AES）的性能显著增加。集成的管理计算机（无人值守管理）4100产品规范平台：FirePass4100基础内存（FirePass）4MBSSL加速硬件电源：400W，带有冗余选件重量：36磅规格：17.5英寸╳24.5英寸（OAL）/23.5英寸（安装把手后面）╳3.5英寸认证：美国/加拿大-UL-UL1950欧盟-低电压指令-EN60950欧盟-EMC指令EN50081-2和EN61000-6-2CE温度（工作温度）：5-40°C湿度：5-85%@40°4.2多链路接入设备配置方案依据湖南电力对于多链路接入设备的需求，我们建议采纳两台F5的BIGIP-LTM-3400平台，加上Linkcontroller，链路限制模块和高级路由模块，主要的技术参数如下：技术参数指标和性能备注CPU2.8GHz内存配置：1G，可升级至：存储介质>=512MB闪存IPVersion内置支持ipv4和ipv6，高可用支持基于串口电缆的毫秒级冗余切换方式，支持双机热备：专有Wacthdog芯片、failover线缆刚好发觉设备故障，可以实现内存同步，双机切换时间少于200ms压缩可选内置支持，处理实力>=1G分析工具内置tcpdump抓包分析工具，能够快速精确的进行故障诊断应用健康检查支持ECV、EAV的高级健康检查方法应用交换可编程限制、导向或转换应用流量简洁管理支持中文网管简洁管理LCD显示当前状态高可用支持双机热备：支持基于串口、网络两种冗余切换方式，专有Wacthdog芯片、可以实现内存同步，双机切换时间少于200ms端口>=8个10/100/1000MRJ45以太网端口>=2个千兆位光纤端口电源可选支持冗余电源API接口要求供应全面的网络编程端口，支持关键任务应用、第三方解决方案和网络流量管理技术高效地结合起来，企业可以实现劳动密集型功能的自动化，降低维护管理以及解决方案开发的相关成本；并扩展网络环境，以确保与其所支持的应用更协调地运作，供应SDK开发包。ASIC配备PacketVelocityASIC2专用4层加速芯片交换背板>=22Gb/sVLAN个数>=4096SSL握手支持实力内置SSL芯片加速，标准配置100TPS，可扩充支持5000TPSSSL对称加密支持实力对称加密流量>=1IP路由表项无限制最大并发会话数>=4,000,000四层处理实力>=110,000会话数/秒七层处理实力>=75，000会话数/秒支持的虚拟服务器数量VIP>=40,000RealServer无限制支持的网络协议支持全部基于TCP/IP的协议：SpanningTree(IEEE802.1d)VLAN（IEEE802.1q）Trunk（IEEE802.3ad）10BASE-T/100BASE-TX(IEEE802.3,802.3u)RMON(RFC1757)SNMP(1213MIB-II,1643Ethernet,1493Bridge)1000BASE-SX(IEEE802.3z)IPRIPv1/v2OSPFBGPTFTP(RFC783)BootP(RFC1542)BootP(RFC951)Telnet(RFC854)VLAN与VLANTAG支持802.1q标准封装协议，链路聚合故障切换支持工业标准802.3ad链路聚合，支持MSTP光纤千兆端口支持全双工MiniGigabitEthernetLCfiberconnectors10/100/1000M端口10/100/1000全/半双工自动协商防止Dos攻击防止Dos攻击,SYNC攻击以及Slasmmer蠕虫入侵平安的管理可以通过S、SSH进行平安的远程管理，本地可以通过CONSOLE终端进行管理RS-232C限制口DB-9serialconnection,femaleDCEinterfaceforout-of-bandmanagement尺寸17.5”宽x25.0”(OAL)/23.5”

（安装把手后面）x1.75”(1U)重量22英镑（每单位，不包括发运包装）环境操作环境：温度：41°至104°F（5°湿度：40°C时为10%至90%，TelcordiaGR-63-CORE认证标准平安标准：UL60950(UL1950-3)CSA-C22.2标准第60950-00号（双边国家标准UL60950）CB测试认证标准IEC950EN60950电磁辐射认证：EN550221998ClassAEN550241998ClassAFCCPart15BClassA最大功耗300W主要优势：构建牢靠的广域网(WAN)连接，供应企业级互联网连接实力借助速率调整(RateShaping)使WAN链路带宽的运用更为高效采纳压缩技术削减WAN链路带宽的消耗通过基于TCPExpress的TCP/IP优化，显著改善WAN链路性能确保将流量导向最佳链路和ISP，为用户供应最高质量的服务和速度通过整合经济型链路最大限度地提高公司在连接实力方面的投资回报。通过边界网关协议(BGP)消退部署障碍，显著降低多归属网络的部署成本BIG-IP链路限制器用于最大限度提升链路性能与可用性的下一代广域网链路流量管理随着企业起先更多地运用互联网来交付其应用，只保持一条到公共网络的连接链路存在着单点故障风险和脆弱的网络平安性。BIG-IP链路限制器可以无缝地监控多条WANISP连接的可用性与性能，以智能地管理到某一站点的双向流量，从而供应精彩的容错性和优化的互联网访问。BIG-IP链路限制器充分利用了F5的TMOS构架，可带来改进的链路性能与精彩的可用性，同时还可供应敏捷强大的状态检查功能、完善的平安性以及改进的易用性。牢靠的网络连接高可用性BIG-IP链路限制器可检测到整个链路中出现的错误，从而能够供应牢靠的端到端WAN连接。它可以监视每个连接的运行状态和可用性，实时检测链路或ISP的损耗状况。一旦出现故障，流量将被动态地传递给其它可用链路，从而确保用户及外部客户接着保持连接。全面的链路监控实力BIG-IP链路限制器可为您供应有关通过网关路由器的链路状况与吞吐率的具体信息，从而供应有关任何指定链路带宽及容量的具体资料。同时它还可以检测出由ISP错误配置或其它人为因素所引发的故障。此类故障通常极易被忽视。集合多个监视器多个监视器共同工作，能够快速精确地确定链路的状态及可用性。一旦发觉问题，BIG-IP链路限制器可以重新为流量选择路径，传递到其它可用链路，从而接着保持客户连接，避开出现停机影响。最大带宽和投资回报可节约WAN链路成本的压缩模块BIG-IP链路限制器的可选压缩模块使您可以智能压缩流量、降低WAN链路带宽占有率以节约ISP成本，同时解决带宽瓶颈以加快应用交付速度。通过对面对不同连接类型的链路带宽实行精细限制，将可以有效提升客户体验，并能够实现更高效的WAN链路管理和改进的生产效率。您可以基于文档类型、流量类型和其它网络条件（如来回时间）配置敏捷且可可调整的压缩引擎。带宽可扩展性不论您运用何种链路类型或哪一家服务供应商的服务，BIG-IP链路限制器都能够支持将小型经济型线路进行高效的整合，以供应成本更低的带宽冗余，同时将花在暗光纤或闲置备用线路上的费用降至最低。透亮的流量安排BIG-IP链路限制器供应了业内最先进的链路流量安排实力，能够满意以下最繁忙站点的需求：轮循 - 来回时间全局可用性 - 中继静态持续性 - 数据包完成率拓扑 - 用户定义的服务质量(QoS)虚拟服务器容量 - 动态比率最少连接 - 随机包速率 - 比率 - 传输速率链路容量及吞吐率BIG-IP链路限制器可允许您依据实时的流量与吞吐率来确定和限制流量在链路上的安排方式。这将可以提高性能和增加包含线路冗余在内的可用带宽，同时消退链路饱和的风险。当某条链路接近其容量极限时，流量将被转至相对宽松的链路上去，从而提高站点的整体性能。链路成本负载平衡BIG-IP链路限制器能够支持您为通往数据中心的全部流量选择最低成本连接：将流量导入花费最低的链路，从而将带宽投资降至最低最大限度地提高不同连接的带宽，包括可变成本线路，以消退带宽瓶颈，同时最大限度地削减低效带宽利用状况和相关成本。支持ISP计费模式，包括一次性付费、零散计费和突发性计费支持单向或双向计费高级WAN链路管理最佳性能链路BIG-IP链路限制器通过运用来回时间和线路质量计算，可测试哪条链路可以为用户供应最佳服务，然后将该用户引导至此链路，确保他们能得到最快服务及最高质量的连接。针对压缩技术的目标流量限制假如不在具体用户类型（宽带用户、拨号用户等）的基础上限制流量压缩工作，将会对应用性能及客户体验产生负面影响。通过运用运用来回时间及线路质量计算，BIG-IP链路限制器能够动态计算出用户延迟和带宽吞吐率，为能够从中受益最大的用户供应更多的压缩资源。优化的TCP性能TCP协议的低效会产生不必要的干扰，进而对链路的带宽利用产生不利影响。BIG-IP链路限制器利用TCPExpress来克服TCP协议的低效状况，同时供应了以下功能：WAN链路的有效带宽利用以较低的带宽费用覆盖长距离的通道为关键任务应用支配可用带宽优先级通过WAN为拨号和宽带用户提高端对端性能在部署全新应用时更为敏捷无需部署多台设备，降低了总拥有成本集成速率调整BIG-IP链路限制器为您在WAN链路上对应用流量进行分类并支配优先级供应了一条高效的途径，以更有效地利用带宽。您可以定义流量和应用限制，针对允许出现猝发状况的资源限制速率，利用队列划分流量类型的优先级，以及定义可相互进行借用的流量类型之间的关系。在此基础之上，您将可以显著节约WAN链路带宽，并改进应用响应时间。可编程链路路由――iRuleBIG-IP链路限制器使您能够依据诸如源IP地址、目标IP地址和端口等TCP/IP参数，在多条WAN链路上智能路由流量。借助iRule，您可在依据应用类型、服务质量和客户类型制定策略，以在最佳链路上安排流量，进而提高应用性能和提升客户体验。流量优先级支配：服务质量(QoS)和配置服务类型(ToS)BIG-IP链路限制器支持各种流量优先级支配特性。企业可依据QoS和ToS对其关键流量或应用做出定义，进而对上游路由器进行特殊处理。这就确保了具有较高优先级的流量可以优先路由。基于拓扑的路由采纳拓扑数据库，BIG-IP链路限制器可精确确定用户的位置，并依据预定义的策略通过所需链路路由流量。这可以使您能够选择最佳性能链路，以供应基于位置的最佳用户体验，同时避开ISP之间的路由问题。此类问题会导致高延迟和降低性能。争用OracleBIG-IP链路限制器OracleVoIPVoIPSAPSAP划分应用流量优先级以实现有效的链路带宽利用配置和管理消退BGP多归属部署障碍BIG-IP链路限制器可借助边界网关协议(BGP)消退部署障碍，并降低多归属网络的部署成本。借助BIG-IP链路限制器，您无需再购买大型路由器、与ISP进行协作或支配特地的人员和IP地址来运行BGP，同时仍能够将流量导向至最佳路由路径。BIG-IP链路限制器可显著改善多归属环境的流量引导性能，并可供应：面对企业内外用户的双向流量限制自动、即时ISP响应及链路故障切换――无需等待部署路由变动流量将被路由至最佳路径，从而优化了带宽利用率基于线路容量的流量安排，带来了更高的带宽可扩展性IPv6网关假如企业欲移植至IPv6，BIG-IP链路限制器是进行叉车式升级(forkliftupgrade)的经济高效的选择。通过采纳BIG-IP链路限制器和可选的IPv6模块，您可在供应IPv4服务的同时访问IPv6客户，并在不增加网络负载的状况下实现两者之间的转换。统计与报告实时报告和历史记录报告可评估站点流量模式、相对ISP性能、以及预料的带宽计费周期，从而使您能够轻松监控带宽资源，作出明智的业务决策。强化的平安性能智能SNAT借助BIG-IP链路限制器的iSNAT功能，您可以保存端口资源和转换内部地址。通过运用iSNAT，您可以基于诸如客户机地址和目标服务器端口编号等TCP/IP参数从众多转换地址中敏捷选择，从而确保服务器地址不会暴露给外部环境。BIG-IP链路限制器能够通过屏蔽内部地址保留端口资源和爱护站点资源，同时还可通过更高的流量类型透亮度来改进运营效率。网络平安BIG-IP链路限制器是缺省拒绝设备，它可增加额外的平安爱护层，从而杜绝一般网络攻击。BIG-IP链路限制器能够：在面对吩咐行的SecureShell平安外壳(SSH)或面对阅读器管理的SSL的基础上，进行平安远程管理消退闲置连接，防止拒绝服务攻击执行源路由跟踪，防止IP欺瞒拒绝没有ACK缓冲的未确认SYN，防止SYNFloods（溢满攻击）攻击防止诸如WinNuke、Sub7和BackOrifice等片段储存攻击爱护自己和服务器免受ICMP攻击不运行SMTPd、FTPd、Telnetd或其它任何易受攻击的进程检测随意受到非法访问尝试的服务和端口，包括：频率：尝试次数端口：被攻击的端口IP地址：攻击者的源IP地址简洁、平安的管理BIG-IP链路限制器供应了一个直观的用户界面，支持通过一个界面阅读全部链路资源，进而高效管理WAN链路。排序和搜寻功能使您能够更快地访问链路对象，从而进行精确限制。唯一的链路对象名称可削减管理时间，并帮助您围绕业务策略构建基础设施。集成流量管理可扩展性您可以进一步扩展BIG-IP链路限制器，以满意DMZ内广泛的流量管理需求。凭借强大的集胜利能和可升级平台，BIG-IP链路限制器是市场上唯一一款能够供应可扩展解决方案的产品，其特性包括：集成防火墙负载平衡，为冗余防火墙部署供应了更高的可用性集成第4层和基础服务器负载平衡，能够在服务器阵列中高效地安排流量集成平安性，能够帮助站点有效抵挡一般攻击可升级至增加的第4-7层本地流量管理服务器套件（完整的F5BIG-IP应用流量管理产品实力）和高级平安过滤功能。强大基础TMOSBIG-IP流量限制器的核心是TMOS架构。该架构供应了一个智能、可扩展的模块化基础，能够依据将来业务挑战进行快速调整，并优化管理任务。TMOS改进了驻留于BIG-IP链路限制器之上的各项功能，在供应具体信息、敏捷性和可控性的同时，使BIG-IP链路限制能够依据各种不断演进的WAN链路挑战智能进行调整。强大的TM/OS体系结构：完善的应用智能与网络适应性新型BIGIP的核心是一款创新体系结构，称为TM/OS（流量管理/操作系统），它为企业供应了一套统一系统来帮助其实现最佳应用交付。TM/OS针对BIGIP上的每项功能都做了改进，在支持BIGIP智能地适应应用与网络日新月异的需求同时，供应了面对全部服务的完全可见性、敏捷性和限制实力。TM/OS快速应用代理TM/OS使BIGIP能够高效地将客户机与服务器端数据流隔离开来、独立维持每个连接设备的最佳性能，并担当起系统间的通信工作，以改进应用性能。如今，任何与BIGIP相连的系统或IP应用都将可以更高效地工作。iRules和通用检查引擎TM/OS集成了F5新版定制的iRules和通用检查引擎（UIE），为应用交易或应用流内任何时刻的应用流量处理都供应了无与伦比的限制实力。凭借完整的有效载荷检查及转换实力、可扩展的事务驱动iRules以及面对会话层的交换（session-awareswitching）技术、BIGIP供应了业内最智能的流量限制点，以（以网速）解决各种应用交付问题。BIGIP统一应用基础设施服务通过易于管理的图形用户界面（GUI）和流量“简档”（profile）调用或通过iRules调用，BIGIP统一应用基础设施服务代表了一整套最全面的功能，使企业能够更为高效地集成、定位和扩展所要求的服务，以提高应用部署效率。全面的负载均衡先进的应用交换会话/流交换定制状态监控智能网络地址转换通用持续性响应错误处理IPv6网关（M）高级路由（M）智能端口镜像SSL加速（M）智能压缩（M）TCP优化第7层带宽管理（M）内容缓冲（ContentSpooling/Buffering）内容转换连接加速智能服务质量广域网优化高级客户机认证（M）资源隐藏（ResourceCloaking）Cookie加密选择内容加密应用攻击过滤拒绝服务（DoS）攻击和SYNFlood爱护防火墙—包过滤包消毒（PacketSanitization）（M）=作为插件模块供应交付：最大牢靠性和可扩充性BIGIP通过供应业内领先的第7层智能特性消退了单点故障，并实现了网络与应用的虚拟化。这样可确保全部站点始终保持正常运行，并使其更具可扩充性和更易于管理。应用状态检查BIGIP供应了困难的监视器来检查设备、应用和内容的可用性，其中包括支持很多应用的专用监视器（包括各种应用服务器、SQL、SIP、LDAP和、XML/SOAP等）以及用以检查内容和模拟应用呼叫的监视器。此外，BIGIP还能对共享服务器上的应用进行有效管理，并前瞻性地报告其状态。高可用性及交易保证BIGIP可供应次秒级系统故障切换和广泛的连接镜像，从而帮助用户精彩地解决各种类型的系统、服务器或应用故障。同时，它还能前瞻性地检查并对任何服务器或应用错误即时作出响应，从而帮助企业在降低系统负载的同时，获得精彩的牢靠性。全面的负载均衡BIGIP采纳多种静态和动态负载均衡方法（包括动态比率、最小连接和观测负载均衡），可跟踪一组服务器的动态性能级别，从而确保可始终选中最佳资源以改进性能。智能应用交换由于BIGIP可读取全部IP应用，所以它能够基于特定厂商的应用服务器（BEA、微软、IBM、Oracle、SUN等）信息、Web服务应用中的XML数据或移动/无线应用的设备值来实现持续性。凭借iRules的深度分组检验实力和BIGIP的交换特性、日志记录特性以及有效载荷或流持续性，企业可以为其全部应用获得更高的牢靠性和可扩充性。完善的IPv6网关全部企业都须要制定一套明晰的无缝演进战略，以分阶段进行网络移植，以支持不断增长的IPv6需求。通过IPv6网关模块，BIGIP供应了完整的v4与v6网络间IP转换与负载均衡实力。这使得用户移值和混和IPv4与IPv6主机资源的共享更易于管理，同时也更为经济高效。优化：降低基础设施成本和加速应用BIGIP卓越的智能特性为企业供应了一款强大的解决方案，可帮助它们提高应用性能、增加现有基础设施的容量、降低基础设施成本和加速其应用。广域网（WAN）优化和应用加速BIGIP供应了一套有针对性的方法来削减流量，降低互联网延迟和客户机连接瓶颈对其应用性能所造成的影响。通过智能压缩等先进特性，BIGIP可支持对各种文件类型的压缩（如、XML、Javascript、J2EE应用等），从而在将带宽利用率降低80%的同时，将应用性能提高了3倍。确保关键应用性能BIGIP敏捷的第7层带宽管理实力可使企业对带宽进行有效管理，以确保高优先级应用能够得到按时交付。同时，它还供应了定制限制实力，以设定基于应用的带宽限制（容许的带宽峰值），甚至还能在应用之间建立队列关系。增加服务器容量，提高站点响应性BIGIP可供应广泛的连接管理以及TCP和内容卸载实力，以优化服务器性能，显著提高页面加载速度。例如，BIGIP的OneConnectTCM能通过将数百万条客户机恳求汇聚到成百上千个服务器端连接中将服务器容量增加60%，从而确保了后端系统能够高效地处理这些恳求。通过其它优化技术（比如内容缓冲（contentspooling）），BIGIP可充当“中间人”来优化与任何端点之间的通信，使服务器能够更有效地处理其工作负载，从而提高通过BIGIP运行的任何应用的服务器容量。加密无所不在作为领先的SSL加速解决方案，BIGIP供应了惊人的SSL处理扩充性，持续SSL吞吐率可达2Gbs。通过加速批量加密和设置加密，企业可运用更平安的加密方法将其全部通信移植到SSL上，同时不会对应用性能带来任何影响。内容转换BIGIP供应了一款完善的解决方案，可将很多繁重或重复功能卸载至一个集中管理的大功率网络设备上。除了SSL、压缩和其它很多功能外，BIGIP还供应了一个完整的内容转换网关，可对应用内容进行重新引导、插入或进行整体转换，从而实现有效的应用集成。平安：更高的攻击防护这种防护不仅可以阻挡攻击，同时还可以为合法用户供应即时服务。从这两方面来看，BIGIP均供应了一整套平安服务，在提高网络和应用的平安性方面扮演了日益重要的角色。从增加网络和协议级平安性到过滤应用攻击，BIGIP都可以部署在关键网关上，来精彩的爱护您的宝贵资源：运行业务的应用。支持应用平安性资源隐藏——BIGIP将全部应用、服务器错误代码和真实URL地址进行虚拟化并隐藏，因为这些信息可能会给黑客供应攻击其基础设施、服务以及相关漏洞的线索。定制应用攻击过滤—BIGIP的完整检查实力及基于事务的规则供应了一项强大的实力，可搜寻并应用各种规则来阻挡L7层攻击——同时也可以定义策略来阻挡特定访问或禁止某些吩咐的执行。此外，BIGIP在为合法用户持续供应流量的同时，还可供应其它平安爱护层，以防范黑客、病毒和蠕虫的攻击（如红色代码蠕虫）集中认证——BIGIP可作为各种流量类型的认证代理，使企业能够为BIGIP系统上的应用供应最高级的认证。这种功能使各类应用又多了一道远离自身的网络平安防线，为其Web和应用层供应了进一步的爱护。增加关键内容爱护供应行业内最具选择性的加密方法，来对数据进行整体、部分或有条件地加密。这种精细的限制方法可爱护并优化不同环境下的通信。Cookies加密和其它令牌都透亮地安排给合法用户。企业可获得全部状态应用（电子商务、CRP、ERP和其它关键业务应用等）精彩的平安性和更高一级的用户身份信任。支持更高标准的AES（高级SSL加密标准）算法，采纳市场上最平安的SSL加密技术，无需额外处理成本。内容爱护——防止企业的敏感文件或内容遗留在站点上。防卫海量攻击BIGIP包含丰富的平安特性集，可全面防卫拒绝服务（DoS）攻击、同步攻击（SYNFlood）、和其他基于网络的攻击。诸如SYNCheck等特性可为部署在BIGIP设备后的服务器供应全面的同步攻击（SYNFlood）爱护。此时，BIGIP作为平安代理，来有效地爱护整个网络。与DynamicReaping特性相结合，BIGIP设备可平安地过滤海量攻击，同时为合法连接用户供应不间断的服务。避开协议攻击BIGIP供应了“协议无害处理”（ProtocolSanitization）和“充分TCP终止”（FullTCPTermination）点来单独管理客户机和服务器端连接，以爱护全部后端系统和应用免遭恶意攻击。防火墙——包过滤现在，BIGIP集成了一个限制点来定义并执行基于第4层的过滤规则（基于PCAP，与网络防火墙类似），以提高网络爱护实力。BIGIP的性能及牢靠性创新的性能BIGIP供应了业内最快速的应用流量管理方案，其特