F5产品案例分析

F5案例分析

Application问题的提出:网络和应用的间隙应用着眼于商业逻辑和功能传统网络注重连接能力NetworkAdministratorApplicationDeveloperNewSecurityHoleHighCostToScaleSlowPerformance?Application企业如何解决应用/网络的瓶颈?NetworkAdministratorApplicationDeveloper雇用一个军团的研发人员?增加更多的根底设施?MoreBandwidthMultiplePointSolutionsApplicationDeliveryNetwork理解应用交付问题所在UsersFromWhat:PCLaptopHomePCPDAKioskMobileFromWhere:LANHomeBranch/WANRoad/WANPrivateUsersPublicUsersFromWhat:PCLaptopHomePCPDAKioskMobileFromWho:CustomersPartnersSuppliersConsultantsHTTP/HTML,SIP,RTP,SRTP,RTCP,SMTP,FTP,SFTP,RTSP,SQL,CIFS,MAPI,IIOP,SOAP,XMLetc…DataCenterMicrosoftSAPOracleIBMBEA商业目标：以最有效的、可操作的方式实现应用交付F5应用交付网络体系架构

EnablingOrganizationandBusinessSuccess应用使用者InternationalDataCenterEnterpriseManagerTMOSiControlBIG-IPGlobalTrafficManagerWANJetFirePassBIG-IPLocalTrafficManagerTrafficShieldWebAcceleratorBIG-IPLinkControllerF5的价值提高端对端的应用交付能力提高可用性,可扩展性,性能,和平安性推动企业实现高效率和高投资回报率提高应用性能与用户体验最大化和保护应用投资,降低运营和资本开支保护应用躲避平安威胁与网络故障降低部署和维护的本钱与风险~2,000u安装在中国4大电信运营商(1,000+在中移动)FinancialGovtandEducationsEnterprsieTelcoms/Services/ITOthers

EthernetEthernet数据库效劳器F5负载均衡器冗余系统应用效劳器必然的根本需求-效劳器负载均衡核心交换机但请切记：F5BIG-IP将所有功能聚合一身完整BIG-IP流量管理功能SSL加密加速内置HTTP压缩功能RamCache功能RateShaping带宽管理IPV6支持模块ASMMSMUniversalInspectionEngine和XML交换技术OneConnect技术等iRulesiControl9SwitchSwitchrInternetWebServerSOAP/XMLＣacheCacheFirewallMobileFirewallWebServerMobile真正变成系统的一局部案例1：某银行网上银行防火墙负载均衡及多链路接入该用户为大型银行客户用户有一个主数据中心，同时接入电信和网通线路，另外建立了一个分支数据中心，也同时接入电信和网通线路客户拥有国内最完善的网上银行系统，每天流量以及交易数量日益增长由于数据传输量大和访问数量的暴增，目前原有的防火墙平安系统已经无法承担,需要使用多台防火墙共同工作，来分担压力尽管带宽较大，但数据传输的速度仍然较慢，希望通过改造提高数据处理和传输效率单个数据中心防火墙负载均衡结构图多数据中心接入客户需求

要满足高可用性，包括防火墙的状态信息处理，线路故障的切换处理，因为涉及网上交易，需要在绝大局部情况下保证应用的持续性要有高扩展性，能灵活增加新的处理设备要满足无缝整合，能在任何时候部署新的设备，不影响应用的持续性设计必须考虑到设备本身的冗余性和高可用性。建议的方案必须最小限度的影响现有系统方案在将来有很好的扩展性，还可以灵活增加新的接入链路而不涉及内部改动要求方案设计简单，容易部署。F5的解决方案

采用6台BIGIP6400来实现链路接入负载、效劳器负载均衡和防火墙负载均衡由于要求可用性和无缝整合及切换，因此在链路接入层，采用两台BIGIP6400来同时实现链路负载以及效劳器负载均衡另外在第二层采用两台BIGIP6400来对4台Checkpoint防火墙进行负载均衡，并采用会话保持技术保证应用的持续性在效劳器群前面，再采用两台BIGIP6400，通过F5的Autolasthop功能，来保证同一访问的数据来回都固定在一台防火墙进行处理，保证应用的持续性Reputation：f5是业界经过验证的成熟供给商，银行也认可这一点为什么选择F5

高性能、高流量的数据处理能力，BIGIP6400能支持2G的七层应用流量，并且支持针对高强度的DOS攻击防御，有效保证在各种高强度访问压力下的处理效率。超高新建连接数与并发连接数支持：BIGIP6400支持每秒22万的四层新建连接能力，以及每秒7.5万的七层新建连接能力，同时支持800万的并发连接数，具有很高的连接处理能力灵活的应用处理能力：F5具有UIE+iRuls，UIE可以高效率地将TCP/UDP的数据包翻开，并搜索其中的特征数据。然后iRules可以根据UIE搜索到的数据进行应用规那么处理。这样，F5可以真正搭建起网络与应用之间的桥梁，实现很多应用开发以及网络配置无法实现的应用需求。稳定而简单的结构部署：整个部署和实施过程，不需要影响到原有的拓扑结构，在经过实验验证可行后，可以整套架构直接插入原有拓扑结构中间，不涉及任何网络改动，实现无缝的整合和接入。在线部署为银行最担忧的部署方式，能实现无缝接入部署是F5的最大优势。在最终部署时，5分钟内已经完成所有切换连接，半个小时后，通过所有应用部门的应用验证，最终确认上线部署成功。关键技术阐述

UIE＋iRules：UIE--UniversalInspectionEngine通用搜索引擎，可以将TCP/UDP的数据包翻开，并搜索其中的特征数据。i-rules–可以根据UIE搜索到的数据进行应用规那么处理。UIE+I-rules可以帮助客户实现以下功能：应用流量管理针对复杂应用的负载均衡和会话保持处理应用平安处理灵活可靠的高级状态健康检查BIGIP支持采用ICMP，TCP/UDP，ECV，EAV，iControl等各种方法对效劳器或应用状态进行健康检查。ICMP：第2/3层的健康检查方法，采用Ping的方法检查效劳器是否alive。TCP/UDP：第4层的健康检查方法，检查相应的TCP/UDP端口是否激活来确定Service的状态。ECV：扩展内容验证，第7层的健康检查方法。模拟客户端向效劳器发出请求，检查接收数据中是否含有期望的字符串来确定应用的状态。EAV：扩展应用验证，嵌入式、个性化的健康检查方法。可以使用shellscript或perl语言等嵌入程序执行EAV，对效劳器进行多层步骤、复杂的健康检查。一般开发EAV需要三天左右的时间。iControl：主动式的健康检查方法。让效劳器或应用来告诉BIGIP，它的健康状态。一般开发iControl需要三个月甚至更长的时间。高可用性：F5的BIGIP采用了独立的管理CPU支持带外管理，称为SCCP模块，SCCP为一个独立的系统，具备自己的独立的OS、Memory和FlashDisk。在电源接通并翻开电源开关的情况下，SCCP即已经启动，并且不受HOST系统重起、挂起等影响。SCCP在正常工作时，运行在Bridge模式下，将所有管理以太网口和Console的连接传递给HOST系统，以对HOST直接进行管理。同时，也可以给SCCP配置自己的独立IP地址和路由。SCCP在配置IP地址后，仅对外提供SSH效劳。在重起SCCP的时候，整个系统，包括HOST均会被重新启动。利用SCCP，F5可以对正在运作的所有系统进程和硬件的运作状态进行有效监控案例2：省级分行流量管理解决方案某银行在全国分行陆续推广省级数据大集中工程，省级Internet平安集中控管工程，Web应用集中代理效劳器的负载均衡工程。某银行省分行实施全省Internet平安集中控管工程，涉及到多链路的负载均衡解决方案，以及Web应用代理效劳器的负载均衡解决方案。该工程最后选择了2台F5Linkcontroller1500链路控制器来实现上述功能要求，并且满足目前的200M流量吞吐的性能要求。省级分行流量管理解决方案拓扑图Web应用集中代理效劳器负载均衡解决方案拓扑图客户需求

多链路负载均衡详细说明：在省级分行的多链路负载均衡需求中，主要是针对内网用户的Outbound链路负载均衡需求。要保证某一条链路断线时，内网用户能够正常访问Internet，而在多条链路都正常的时候，能够按照适宜的负载均衡算法选择一条合理的链路。内外网的DOS攻击防护详细说明：考虑到传统防火墙对DOS攻击的防护能力较弱，在最外层的链路控制器上增进对DOS攻击的平安防护。带宽管理详细说明：对内网用户的Internet访问进行应用分类，保证最关键业务的带宽，减少非关键应用对带宽的占用和浪费，从而提高QOS。Web应用集中代理效劳器负载均衡详细说明：省行一般使用多台MicrosoftISA作为Web代理效劳器，为底下各个二级分行和营业点提供Web业务代理效劳；为了保证效劳器的高可靠性和高可用性，利用效劳器负载均衡技术进行优化。高可靠性详细说明：所有网络设备必须通过HA方式保证系统的7x24小时效劳，保证整个系统的高可靠性；同时提供会话镜像功能，保证设备切换时，应用的连续性。F5的解决方案

采用F5LC1500实现多链路的负载均衡；在Outbound链路负载均衡时，可以根据预先导入的ISP地址列表进行链路的选择，当某一条链路断线时，透明地切换到另一条链路，对客户和应用透明。利用F5LC上自带的SynCheck机制，对TCP三次握手进行检查，丢弃非法的Syn数据包，并且输出报警和日志。利用F5LC上自带的RateShaping功能，可以定义最小保证带宽，最大限度带宽，并且可以通过iRules灵活地加载到相应IP地址和TCP/UDP端口等类型上。利用F5LC上自带的效劳器负载均衡功能，对Web代理效劳器进行负载均衡，如果希望简化负载均衡流程，也可以如“Web应用集中代理效劳器负载均衡解决方案拓扑图〞所示，再增加专门的F5LTM产品进行Web代理效劳器的负载均衡。F5LC1500配置成双机Active-Standby冗余模式，并且和下层外网防火墙进行联动切换，保证整个系统的可靠性。为什么选择F5

性价比最优的解决方案，保护用户的投资。标配的F5LC链路控制器，集成了DOS平安防护，RateShaping带宽管理和效劳器负载均衡功能，满足用户对流量的高级管理需求。F5的iRules可编程管理流量技术，是业界唯一地可以灵活控制和管理流量的工具。F5的ADN整体解决方案可以为今后应用系统的开展提供网络平台根底，并可以进行套餐化定制。F5设备的双机心跳线方式提供毫秒级快速切换，是银行关键业务系统所必需的。F5在世界级银行以及全国性银行的成功案例和优异运行记录。关键技术阐述

通过iRules灵活地对各种流量进行RateShaping带宽管理案例3：某地方银行总部网银流量管理解决方案某地方商业银行为著名的城市商业银行，总部设在当地，业务辐射全国。在全国城市商业银行中率先推出网上银行业务。为了更好地效劳网银用户，决定对网银系统进行链路和应用方面的优化。考虑到中国特有的南北电信互联互通问题，需要将客户访问正确导向到适宜的ISP链路，并且多条链路之间互为冗余对于网站Web效劳器，SSL平安网关，网银Web效劳器和应用效劳器进行负载均衡优化通过架构流量管理产品，改进效劳器和应用在运维时对在线业务的影响。网银流量管理解决方案拓扑图客户需求

多链路负载均衡详细说明：用户在建立域名请求连接时，能够根据链路的健康检查结果和相应的算法〔Topology，RTT等〕，智能选择适宜的链路来提供用户响应各种业务效劳器负载均衡〔包括网站Web效劳器，SSL平安网关，网银Web效劳器和应用效劳器〕详细说明：根据预设的负载策略，将不同的访问请求分发到相应的效劳器。并能够通过规定方式检查效劳器是否正常提供相应的效劳，假设发现某个效劳出现异常，那么采用设定的方案进行隔离，保证正常效劳不受其影响。要求在正常情况下两台或多台效劳器的负载根本相同，在某台效劳器停机的情况下透明的容错，保证关键应用的持续,提供特别的会话保持能力,可以根据不同应用的特点保证特定用户的访问会定位在特定的效劳器,只有在这台效劳器出现故障时再将访问导向到其他效劳器。温暖关机详细说明：在需要对网银业务效劳器进行升级维护的时候，利用F5温暖关机的特性，disable需要下线维护的效劳器，阻止用户的新建连接，保持用户的在线连接，直到在线连接数下降到零，再由网管人员将效劳器下线。高可靠性详细说明：通过HA方式保证系统的7x24小时效劳，保证系统的高可靠性；同时提供会话镜像功能，保证设备切换时，应用的连续性。F5的解决方案

采用F5LC1500双机HA冗余结构，实现中国电信和中国网通链路双向负载均衡，保证电信用户解析出电信地址，网通用户解析出网通地址。在链路负载均衡情况下，解决外部邮件效劳器的域名反向解析问题，保证银行的邮件效劳器收发邮件正常。采用F5LTM3400双机HA冗余结构，实现网银系统各种业务效劳器的负载均衡。F5负载均衡器内置业界唯一专有的四层ASIC芯片，加速对数据处理的性能。采用F5特有的负载均衡算法和健康检查方法保证网银各种业务负载实时高效均衡。采用F5丰富的会话保持机制，对应用访问的一致性进行流量控制。采用F5的温暖关机特性，优化运维时对用户在线访问的影响。为什么选择F5

多链路负载均衡算法:LC中有多种算法可选择，并且可以定义顺序执行，可先动态，后静态或先静态，后动态,高效灵活，正确解析率高。效劳器负载均衡产品能够满足要求严格的应用健康检查要求效劳器负载均衡产品能够满足特殊的应用会话保持机制，并且可以配置备份的会话保持方式F5负载均衡器双机心跳线方式提供毫秒级快速切换，是网银系统这样的关键业务系统所必需的。F5在世界级银行〔例如：花旗银行，美洲银行等〕以及全国性银行〔例如：工行，农行，建行，中行，招行等〕成功案例和优异运行记录。效劳器负载均衡产品能够集成其它的流量处理和优化模块，如RamCache，HTTPCompression，WebAccelerator，ApplicationSecurity等功能模块，今后可以拓展对应用进行更加高级的优化。关键技术阐述1

F5链路负载均衡器丰富的Inbound算法静态负载均衡算法：全局可用性(GlobalAvailability)：LC将所有提供某种特定应用的链路放在一个队列中，把用户访问请求的流量导向该队列中第一个可用的链路，当该链路到达连接限制或者出现故障部可用时，将流量导向下一个可用链路。当使用这种算法的时候，处在队列中第一个链路将接受到大局部的流量，队列中的最后一个链路接收到非常少的流量。无〔None〕：LC针对某一种应用可以定义三种负载均衡算法，优先采用第一种算法，当第一种算法失效时，启用第二种算法，第二种算法也失效时启用第三种算法。假定第二种算法使用None，当第一种算法失效时直接启用第三种算法。随机〔Random〕：随机返回给用户某一个链路的IP地址。比率〔Ratio〕：预先给每个链路定义一个权值，按照这个比率返回给用户某一个链路的IP地址。返回给LDNS〔ReturntoDNS〕：立即将连接请求返回给LDNS处理。轮询〔RoundRobin〕：将提供某种应用的所有链路放在一个队列当中，按顺序依次返回给用户队列中下一个链路的IP地址。静态会话保持〔StaticPersist〕：这种算法将维护一个LDNS到某一个链路的映射表，同一个LDNS的查询请求在预定的时间过期之前会返回同一个IP地址。拓扑(Topology)：可以地理位置、IP划分预先定义一些规那么，按照这些规那么返回给用户相应得IP地址。例如：预先定义中国电信LDNS地址范围，并规定所有中国电信用户的请求都访问电信链路。当有符合条件的LDNS发起查询请求的时候，都会返回电信链路的IP地址。丢弃请求数据包(DropPacket)：当使用此种负载均衡算法的时候，LC不做任何事，直接将数据包丢弃。外部IP(ExplicitIP)：当使用此种负载均衡算法的时候，LC返回给LDNS一个外部的IP地址，该地址可以在FallbackIP中设置。可以使用此种算法做备用，当所有正常链路都不能访问的时候，返回给LDNS备份链路的IP地址。关键技术阐述2动态负载均衡算法：完成比例(CompletionRate)：当接收到LDNS的查询请求的时候，LC会返回给用户丢包或超时数据包最少的链路的IP地址。跳数(Hops)：当接收到LDNS的查询请求的时候，LC会让数据中心的F5设备探测该数据中心到发起查询请求的LDNS之间的路由跳数。LC根据返回的跳数解析给LDNS跳数最少的链路的IP地址。千字节/秒(Kilobyte/second)：LC会选择一个当前处理的Kbyte/Sec数值最小的一个链路返回给发起查询请求的LDNS。最小连接数(LeastConnection)：LC会选择一个当前处理连接最少的链路返回给发起查询请求的LDNS。包比例(PacketRate)：LC会选择一个当前每秒钟处理数据包最少的一个链路返回给发起访问请求的LDNS。RTT(RoundTripTimes)：当收到LDNS查询请求的时候，LC会让每个数据中心里面的F5设备反向探测发起查询请求的LDNS，并且计算从发起反向探测到接受到响应得时间间隔。LC根据这个时间间隔返回给LDNS一个间隔最短的数据中心的IP地址。效劳质量(QoS)：LC通过收集每个数据中心RTT时间、跳数、完成比率、包比率、地理拓扑、链路容量、VS(VirtualServer)容量、Kbyte/Sec的数值进行综合计算，计算之后每个数据中心都会有一个权值，然后根据这个权值返回给LDNS相应的链路的IP地址。VS容量(VSCapacity)：当使用这种算法的时候，LC将所有的VirtualServer放在一个队列当中，并把每个VirtualServer的容量作为他们的权重，按照这个权重返回给LDNS相应的链路VirtualServer的IP地址。案例4：银行主机前置网关负载均衡多台主机前置网关同时工作，但人为指定片区使用不同的前置网关负载分配非常不均衡，有些压力过大，有些过于轻松网关故障将导致整个负责片区的业务瘫痪由于更靠近主机系统，因此影响面非常大改造前应用流程改造后应用流程客户需求

采用负载均衡设备对多台前置网关自动进行流量分配，尽量使负载均衡。通过健康检查机制对前置网关进行关联业务检查，保证整个网关的可用性。由于下级网点数量较多，因此在迁移时需要在负载均衡设备上完全取代原效劳器IP。下级网点访问其中任何一个IP地址都会平均分配到多台前置网关上。前置网关上不保存中间数据，但客户端连接均为长连接，并且需要负载均衡设备在切换时不中断长连接F5的解决方案

采用BIGIP对多台前置网关进行负载均衡在BIGIP上配置多个VS，对应后台同一个真实的效劳器组BIGIP对每台效劳器上的多个业务端口同时进行健康检查，只要有其中一个端口发生故障，那么停止整台前置网关的工作。两台HA的BIGIP之间配置会话同步，保证在BIGIP发生切换的时候，已经建立的长连接不会中断。为什么选择F5稳定性：BIGIP完善的冗余和实际应用中的稳定性是保证工程成功的决定性因素。由于前置机靠近主机，影响面非常大，因此设备本身的稳定性是第一位的多VS处理：BIGIP上可以对同一个效劳器组对外提供多个VS，保证了在系统进行切割时的顺利进行。会话同步：由于所有的应用均是长连接，因此在BIGIP进行HA切换时，必须保证所有的长连接均可正常保持。BIGIP快速而准确的会话同步保证了在BIGIP进行切换时，应用不会发生中断。关键技术阐述

HA技术：BIGIP在设备故障时，可以实现毫秒级切换，使应用感觉不到BIGIP的状态变化会话同步：BIGIP可配置完全会话同步和会话保持同步，可以适应在不同情况下BIGIP切换时的应用保证需求。多VS处理：BIGIP具备非常灵活的VS定义方式，可支持一个效劳器组多个VS，也可支持一个VS多个效劳器组。更可以定义网络VS等来满足各种环境和应用的需求。案例5：分行中间业务分行的中间业务一共包括20多种应用连接来自五个方向，分别是柜面、网银、银行、ATM/POS、人行前置在以前的结构设计中，所有的中间业务均在一台效劳器上处理。该效劳器上运行有20多个不同的应用系统。一旦机器出现硬件故障或者某个应用出现故障，那么影响到所有的应用系统。不同的应用系统对系统造成的压力也不同，应用之间的相互影响比较严重。网络结构

客户需求

采用多台设备进行并行处理20多个应用系统，减轻效劳器的压力。提高系统的负载能力和扩展能力采用应用交换机对效劳器进行检测，并对每个应用进行独立检测，当某台机器的某个应用出现故障的时候不会影响到其他的业务系统。F5的解决方案

系统采用了两台BIGIP应用交换机对多台中间业务效劳器实现负载均衡处理。BIGIP将来自于柜面、网银、银行、ATM/POS、人行前置的各类请求均衡的分布到4台中间业务效劳器上。BIGIP对每台效劳器上的不同业务进行健康检查。当其中某个应用出现故障的时候，那么将其从负载均衡组中摘除，保证整体业务系统的持续运行。为什么选择F5中间业务的流程极其复杂，包括TCP短连接、TCP长连接、UDP、HTTP等多种应用协议。同时，还存在同步通讯与异步通讯。因此负载均衡处理时必须具备非常灵活的处理机制，iRules在其中扮演了非常重要的角色。由于应用的复杂性，对应用的健康检查手段也非常的重要，BIGIP支持四级健康检查体系，从简单的ICMP到复杂的SQL查询，甚至是用户自编程的健康检查手段带来了检查的多样灵活型BIGIP灵活的会话保持机制，也进一步完善了负载均衡的整体处理。关键技术阐述

iRules：F5独创的网络应用可编程控制体系，包含有50多个事件处理，200多个函数处理，可以对流经BIGIP的流量几乎做任何方式的处理。高级健康检查：BIGIP支持ICMP、TCP/UDPPort、ECV、EAV等多种健康检查方式，可以对任何一种应用进行健康检查，保证业务的持续运行。会话保持：BIGIP具备多种系统预定义的会话保持手段，包括典型的源IP、目的IP、HTTPHeader、Cookie等，更可以通过可编程控制体系来完成用户的自定义会话保持机制，充分保证应用在实现负载均衡的时候，无须更改源代码。案例6：银行总部内网OA系统防攻击解决方案首家全国性股份制商业银行，是中国金融体制改革的先行者。某某银行改革开展的实践，为我国股份制商业银行的开展开辟了道路，对金融改革起到了催化、推动和示范作用。2005年，该银行在香港成功上市，成为首家在境外上市的内地商业银行。内部portal系统是银行内部的OA核心系统,各个分行均会连接到内部portal系统。该业务是一个银行的核心系统，且涉及到所有的分行，用户希望能够提供一个平安、可靠、持续稳定运行的门户。通过架构流量管理产品，改进效劳器和应用在运维时对在线业务的影响。网络结构

客户需求

用户需要对在两台IBM主机上的4个OA业务同时实现负载均衡，并且要求系统能够实现无缝切换、在线维护。由于发生过分行设备故障导致发送大量half－sync连接到portal效劳器，导致核心的portal效劳器故障。所以用户要求提供抵御核心系统防御half－sync的DDOS功能，以及阻止单一IP发起超过规定连接数的访问请求。高可靠性，通过HA方式保证系统的7x24小时效劳，保证系统的高可靠性。提供有选择性的会话镜像功能，保证设备切换时，关键的指定应用的连续性。F5的解决方案

采用F5公司提供的应用流量管理器LTM6800两台做HA冗余结构，不但可以实现两台效劳器的负载均衡，而且在系统级别实现了动态攻击抵御。系统采用了独特的TMOS系统，从内核就自动可以防范通常的DoS/DDos攻击建立half－Sync的请求。采用系统内部提供的TCL脚本，我们轻松的实现了阻止同一IP客户建立超过规定的连接而不影响其已经建立的连接。F5负载均衡器内置业界唯一专有的四层ASIC芯片，加速对数据处理的性能。采用F5特有的负载均衡算法和健康检查方法保证各种业务负载实时高效均衡。采用F5丰富的会话保持机制，对应用访问的一致性进行流量控制。采用F5的温暖关机特性，减少系统运维时对用户在线访问的影响。为什么选择F5

可以支持所有基于TCP/IP的应用。可以自动抵御大量DoS/DDoS攻击，使后台的效劳器不遭到任何攻击。在大量攻击情况下，正常的用户访问仍然能够被转发到效劳器采用sync－cookie技术可以轻易的区分出攻击请求和正常访问请求。采用内嵌的TCL脚本，可以阻止用户建立n个连接以上的请求。并且，系统在阻止第n+1个请求时，并不会影响现有的n个连接。尤其重要的是，这种设置是基于每一个对外效劳单独设置的，带来了极大的系统灵活性。F5负载均衡器双机心跳线方式提供毫秒级快速切换，是OA系统这样的关键业务系统所必需的。F5在世界级银行〔例如：花旗银行，美洲银行等〕以及全国性银行〔例如：工行，农行，建行，中行，招行等〕成功案例和优异运行记录。关键技术阐述

UIE＋iRule提供了对应用的可编程控制：UIE--UniversalInspectionEngine,可以将TCP/UDP的数据包翻开，并搜索其中的特征数据。iRules--可以根据UIE搜索到的数据进行应用规那么处理。UIE+iRules可以帮助用户实现以下功能：应用流量管理针对复杂应用的负载均衡和会话保持处理应用平安处理典型的UIE命令：Findstr(_uri,“user=〞,5,‘&’)可以得到uri内的〞user=〞字符后到〞&〞前的所有字符user1&andskhfsksubstr(tcp_content(100),50,3))偏移量可以得到TCP内容中第50个字符后的3个字符Findstr(udp_content,<0x8c,0x81>,2)可以得到UDP包内的<0x8c,0x81>后的2个字符BIG-IP的SYNCheck特性提供全面的防SYNFlood攻击：LTM6800可平安地过滤海量攻击，同时为合法连接用户提供不间断的效劳。双机采用专用的心跳线，支持毫秒级切换：专用的心跳线使双机的切换变得更加快速可靠。双机的切换可以在200毫秒以内完成。双机连接状态镜像(ConnectionMirroring)：LTM设备支持会话表有选择性状态同步，可以选择设定对哪些应用采用会话状态同步功能。这样即可减轻双机状态同步对系统带来的额外压力，又可以对要求不间断运行的应用，做到双机切换对应用无影响。案例7：银河证券网上交易系统原有的负载均衡设备故障频繁，性能已经不能满足开展需求需要SSL加速，降低效劳器资源损耗由于业务开展迅速，需要预留较大的升级空间网络结构

客户需求

对于行情和交易效劳器，最重要的是需要具备应付突发行情的处理能力和高可用性，保证在任何时候行情和交易不会中断。通过CacheServer提高Web效劳的响应速度。需要实现防火墙负载均衡保证防火墙系统的高性能和高可用性。SSL卸载减小后台效劳器的SSL处理压力F5的解决方案

4台BIGIP同时实现防火墙负载均衡和效劳器负载均衡在BIGIP中提供SSL加速功能通过Rules实现Cache效劳器的灵活定向和故障恢复为什么选择F5在金融行业有大量成功案例。深得行业客户好评。F5提供整体解决方案，面向平安、加速和高可用性。系统运行稳定，保证交易通畅。AllinOne设计，在到达高性能和复杂功能的同时保证了系统的设计、维护简单。具有良好的扩展性。关键技术阐述

防火墙负载均衡：通过BIGIPAutoLastHop特性，可以非常方便的部署防火墙负载均衡，可支持防火墙NAT、路由、透明等多种模式。并且可以混杂防火墙型号、模式。SSL加速：BIGIP内置SSL加速芯片，可以将所有的SSL非对称加解密和对称加解密局部卸载到BIGIP上，降低了效劳器的SSL处理压力。iRules：可编程控制网络的经典表达。通过灵活的Rules，可以在BIGIP上对流量进行自定义分析、自定义控制、自定义转换和内容替换等功能。案例8：平安保险负载均衡应用解决方案BIGIP为平安集团所有生产系统以及网上业务系统提供给用负载功能平安集团通过旗下各专业子公司共为3,700多万名个人客户及约200万名公司客户提供了保险保障、投资理财等各项金融效劳。公司拥有20多万名销售人员及近4万名正式雇员，各级各类分支机构及营销效劳部门3,000多个。平安集团内部包括有超过150个应用系统，应用系统之间有各种不同关联，需要在应用层处理上满足各种关联的处理流程平安集团内部的应用系统架设在不同的应用平台上，包括有Windows、Linux，Weblogic、Websphare等，需要在跨平台的支持上满足各种灵活的处理方式平安集团的应用系统全部为生长系统或网上业务系统，因此要求要对通信进行较高的加密处理和严格的证书处理网络结构

客户需求

需要满足针对各种应用平台的深层次应用处理和健康检查，包括有Weblogic和Websphare，以及微软的AppCenter需要支持各种形式的SSL加密处理以及证书处理，包括证书的透传等细节处理需要满足针对应用的细节选择处理，包括根据不同的应用条件选择相应的应用效劳器进行数据处理需要满足各种会话保持要求，特别是根据应用条件的会话保持以及根据Cookie信息的会话保持处理要保证高可用性，包括在发生应用切换时候的会话处理能力要能支持高性能，支持数百万级的并发连接处理和十万级的新建会话处理。要有高扩展性，能灵活增加新的处理设备要满足无缝整合，能在任何时候部署新的设备，不影响应用的持续性方案在将来有很好的扩展性，还可以灵活增加新的应用系统而不涉及内部改动要能实现分布式部署，并且能进行统一规划，统一管理要求方案设计简单，容易部署。F5的解决方案

使用多台带有BIGIPLTM3400来实现应用负载均衡，分别处理不同层面的应用系统使用iRules来进行细节应用处理，但凡满足某种应用条件的数据包，都根据要求分配到相应的应用效劳器进行相关处理使用高级应用健康检查机制〔EAV、ECV〕来与各种不同的内部应用平台沟通，真正保证应用健康检查的准确性使用BIGIP内部的SSL加速芯片来提供对基于SSL加密通道通信的高性能处理，并且通过F5的iRules实现各种证书内容的透传处理使用基于Cooike信息的会话保持机制，来保证应用访问的完整性通过iControl接口与内部网络管理系统进行结合，实现统一管理通过Oneconnect功能实现连接优化，提升效劳器的处理能力为什么选择F5

高效灵活的应用处理能力，通过iRules，可以根据应用的各种细节需求进行动静态的处理稳定可靠的会话保持机制，通过基于Cookie信息的会话保持方式，能保证即使从同一台应用代理发出的多种应用访问，也能进行区分并实现应用会话自此至终在同一台应用效劳器上完成准确的高级应用健康检查，F5可以模拟客户端向效劳器发出请求，检查接收数据中是否含有期望的字符串来确定应用的状态，并且可以使用shellscript或perl语言等嵌入程序执行EAV，对效劳器进行多层步骤、复杂的健康检查，从而准确定位效劳器的工作状态超强的SSL处理能力和全面的证书透传处理能力，可以通过F5内部的高性能SSL加解密芯片，来处理从客户端发送过来的大量SSL请求，将这些请求进行解密后，再以HTTP方式发送到后台的效劳器，以节省效劳器的CPU资源高可用性的保证，F5采用自行设计的高速切换方式，现在最短的已经可以到达200ms的切换速度。并且在两台设备之间对数据流的状态信息进行复制，保证在切换后用户端和效劳器端感觉不到切换，从而保证应用的持续运行。关键技术阐述

通过iRules来进行深层应用的灵活处理：所有F5设备的底层均由TM/OS实现，在其根底之上，是一个基于数据流技术的通用检查引擎〔UIE〕。构建在对所有数据流内容的理解上，设计了与平安、优化和交付相关的所有模块。这些模块的配置均通过Profile进行，Profile按照对象建模方式可以继承、修改。在所有配置的顶端，由iRules对整个系统的运行进行可编程控制。在iRules语法结构中，可以使用50多个事件，200多个函数，可以实现丰富而灵活的功能通过SSL加速芯片来进行加密通信处理：由于网络通讯的平安性和保密性的要求，许多关键业务必须通过HTTPS方式进行访问，将明文方式传输的HTTP请求和回应包含在SSL通道中。同时，通过证书体系或动态口令方式对效劳器和客户端进行唯一性验证。由于SSL在带来应用平安性的同时，将会给效劳器带来巨大的负担，因此在这类应用中，F5将会启用设备本身的SSL加速功能，通过硬件SSL处理芯片对SSL通信进行加解密处理，从而卸载效劳器的处理能力，保证应用的平安，稳定运行。基于Cookie信息的会话保持机制Cookie持续性利用客户机存储的cookie信息来把客户机连接到适宜的效劳器上。F5提供4种不同的Cookie持续性模式以适应任何应用的要求：重写模式、插入模式、被动模式和散列模式。健康检查方法BIGIP支持采用ICMP，TCP/UDP，ECV，EAV，iControl等各种方法对效劳器或应用状态进行健康检查。ØICMP：第2/3层的健康检查方法，采用Ping的方法检查效劳器是否alive。ØTCP/UDP：第4层的健康检查方法，检查相应的TCP/UDP端口是否激活来确定Service的状态。ØECV：扩展内容验证，第7层的健康检查方法。模拟客户端向效劳器发出请求，检查接收数据中是否含有期望的字符串来确定应用的状态。ØEAV：扩展应用验证，嵌入式、个性化的健康检查方法。可以使用shellscript或perl语言等嵌入程序执行EAV，对效劳器进行多层步骤、复杂的健康检查。案例9：广发基金多链路接入及效劳器负载均衡“这是跳跃式开展的一年。〞基金业人士如此评价即将过去的2006年。今天的中国基金业已经站到了新的起点。公司数量到达58家，基金数量294只，资产总规模已达6312亿元。随着基金业的炽热开展，基金公司的网上交易，网上查询，网上论坛，Email等应用访问量都呈指数级增长，对基金公司应用，网站等原有系统都提出新的挑战。优化/改造原有应用IT架构成为各基金公司面临的首要任务。广发基金portal原有的单链路接入,单应用效劳器/应用效劳器软件集群等架构都远远不能满足现有的业务需求。在链路及应用效劳器方面，广发基金急需保证业务访问的快速，平安，高可用。因此，急需链路及效劳器负载均衡来解决燃眉之急。改造前网络结构

改造后网络结构客户需求

由原来的单链路(网通)接入改为双链路接入(网通和电信)。实现从Internet对效劳器访问流量的负载均衡〔Inbound〕。支持自动检测和屏蔽故障Internet链路。支持多种静态和动态算法智能均衡多个ISP链路的流量，可方便扩展到多出口〔2个ISP以上〕。提供客户端就近性访问。支持双出口链路动态冗余，流量比率和切换。支持多种DNS解析和规划方式，适合各种用户网络环境。完全支持各种应用效劳器负载均衡。多层平安增强防护，抵挡黑客攻击。业界领先的双机冗余切换机制，能够做到毫秒级切换。F5的解决方案

结构采用F5BIGIP3400LTM+LC双机HA冗余做链路及效劳器负载均衡。双机采用心跳及网络方式HA，保证系统效劳不中断。F5BIGIPLC链路控制器可以智能寻找最正确的出口链路，从而保证客户得到最快的上网访问速度。确定最接近用户的最正确ISP的动静态结合算法合理有效，灵活。本设计可动态检查各条出口链路的健康状态，并将下一个请求分配给最有效率的链路，任何一条链路发生故障时，即刻将请求分配给其他的链路，从而到达99.999%系统有效性。本设计支持地址翻译技术和平安地址翻译，这样一来客户不可能知道真正提供效劳的效劳器的IP地址与端口，链路负载均衡设备采用SSH和SSL技术，可以防止来自内部或互联网上的黑客攻击。本设计可以支持动态增加或删除其负载均衡的链路群组的任何数量的链路，而不需要对客户端或后台做任何改变从而使得系统扩展轻松方便。可以实时监控整个链路群组的流量状态，并分析开展趋势帮助客户及时根据流量增长增加出口带宽。同时对内部应用效劳器负载均衡。为什么选择F5

F5负载均衡器双机心跳线方式提供毫秒级快速切换，是网上交易等关键业务系统所必需的。负载均衡算法:有多种算法可选择，并且可以定义顺序执行，可先动态，后静态或先静态，后动态,高效灵活。静态表定义可以多重嵌套，可在大区域中包含小区域，可灵活定制，并且有优先级划分。动态探测机制灵活，探测结果以文件方式存放在设备中，设备重起时可直接导入系统整合方案:链路负载均衡与效劳器负载均衡整合在同一设备中该系统的应用效劳器采用IBMWebsphere,WebSphere是IBM在WebServices策略中的核心平台，支持所有应用的开放标准和技术，包括UDDI，SOAP，J2EE，WSDL，以及对XML技术集成的增强。其与F5建立了全球合作伙伴关系。IBMWebsphere在全球相关负载均衡应用推荐使用F5。F5强大的iRules提供真正的四七层交换,为客户实际需求提供灵活的解决方法。F5在金融行业的成功案例不胜枚举，全国17家专业银行无一例外使用F5负载均衡器。在基金业也有诸多成功案例,例如易方达基金，博时基金等等都是采用F5负载均衡器解决类似需求。关键技术阐述

智能DNS解析功能为了更好的分析F5的BIG-IP3400是如何实现对不同ISP用户访问提供不同的访问链路的，以一个电信用户的访问过程来详细讲解一下。首先，在LC上将会有两条ISP的链路连接，可以在其上层的交换机上通过VLAN来划分开两条链路，然后接入到不同ISP的路由器上。同时在LC上不同的ISP接口上配置上不同ISP的连接IP。然后，在域名解析的DNS上做一个别名的DNS解析条目，如下：……。 。f5a.gffunds. INAxx.xx.xx.xx〔F5设备电信地址〕f5b.gffunds. INAxx.xx.xx.xx(F5设备网通地址〕F5：配置：其中SUB是一个在LC上配置的虚拟域名，可以自己来定义。通过一个DNS的别名和NS域名解析指向，就可以让用户本地的DNS去LC上取相应的域名解析结果，而LC通过对不同链路状态的检测，回复最优路径的访问IP，这样就可以实现访问速度的提高了。具体流程如下：电信用户在IE浏览器上访问gffunds这个域名，本地机器会向其本地DNS效劳器查询该域名的解析IP。如果本地DNS上没有该域名的条目，它会向根询问该条目；如果已经有，那么马上回应一个解析条目。由于在根DNS上已经做了一个别名的DNS解析条目，当本地DNS向根DNS询问解析的时候，根DNS会通知该本地DNS向LC获取这个域名的解析条目。本地DNS联系LC询问解析，这时LC会动态检测两条通往不同ISP路道，测试那条到达该本地DNS相对较优，然后选择相对较优的链路的地址去回应本地DNS，在本例中会使用中国电信的IP对gffunds这个域名做解析。本地DNS会根据从LC收到的域名解析条目回应提出要求的中国电信访问用户。中国电信的访问用户使用中国电信的地址去访问gffunds这个域名。从上面的过程可见，通过LC的链路检测功能，可以为用户提供最优的访问链路，同时解决不同ISP接入速度慢的影响。案例10：南方基金多链路及效劳器负载均衡解决方案“这是跳跃式开展的一年。〞基金业人士如此评价即将过去的2006年。今天的中国基金业已经站到了新的起点。公司数量到达58家，基金数量294只，资产总规模已达6312亿元。随着基金业的炽热开展，基金公司的网上交易，网上查询，网上论坛，Email等应用访问量都呈指数级增长，对基金公司应用，网站等原有系统都提出新的挑战。优化/改造原有应用IT架构成为各基金公司面临的首要任务。南方基金portal原有的单链路接入,单应用效劳器/应用效劳器软件集群等架构都远远不能满足现有的业务需求。在链路及应用效劳器方面，南方基金急需保证业务访问的快速，平安，高可用。因此，急需链路及效劳器负载均衡来解决燃眉之急。网络结构

客户需求

由原来的单链路接入改为多链路接入。实现从Internet对效劳器访问流量的负载均衡〔Inbound〕。支持自动检测和屏蔽故障Internet链路。支持多种静态和动态算法智能均衡多个ISP链路的流量，可方便扩展到多出口〔2个ISP以上〕。提供客户端就近性访问。支持双出口链路动态冗余，流量比率和切换。支持多种DNS解析和规划方式，适合各种用户网络环境。完全支持各种应用效劳器负载均衡。多层平安增强防护，抵挡黑客攻击。Web内容缓存，提高访问速度，降低效劳器压力。F5的解决方案

结构采用F5BIGIP1500LTM+LC做链路及效劳器负载均衡。F5BIGIPLC链路控制器可以智能寻找最正确的出口链路，从而保证客户得到最快的上网访问速度。确定最接近用户的最正确ISP的动静态结合算法合理有效，灵活。本设计可动态检查各条出口链路的健康状态，并将下一个请求分配给最有效率的链路，任何一条链路发生故障时，即刻将请求分配给其他的链路，从而到达99.999%系统有效性。本设计支持地址翻译技术和平安地址翻译，这样一来客户不可能知道真正提供效劳的效劳器的IP地址与端口，链路负载均衡设备采用SSH和SSL技术，可以防止来自内部或互联网上的黑客攻击。本设计可以支持动态增加或删除其负载均衡的链路群组的任何数量的链路，而不需要对客户端或后台做任何改变从而使得系统扩展轻松方便。可以实时监控整个链路群组的流量状态，并分析开展趋势帮助客户及时根据流量增长增加出口带宽。同时对内部应用效劳器负载均衡。并且通过附加Ramcache的软件功能模块来实现Web静态页面缓存，大大提供网页访问速度。为什么选择F5

客户对F5Ramcache内容缓存的软件功能模块产生的效果很满意。负载均衡算法:有多种算法可选择，并且可以定义顺序执行，可先动态，后静态或先静态，后动态,高效灵活。静态表定义可以多重嵌套，可在大区域中包含小区域，可灵活定制，并且有优先级划分。动态探测机制灵活，探测结果以文件方式存放在设备中，设备重起时可直接导入系统生产规那么：可对系统的特定事件进行特定处理，如根据时间进行算法调整，针对某段地址请求进行特殊处理整合方案:链路负载均衡与效劳器负载均衡整合在同一设备中F5强大的iRules提供真正的四七层交换,为客户实际需求提供灵活的解决方法。F5在金融行业的成功案例不胜枚举，全国17家专业银行无一例外使用F5负载均衡器。在基金业也有诸多成功案例,例如易方达基金，博时基金等等都是采用F5负载均衡器解决类似需求。关键技术阐述

Ramcache内容缓存通过在F5BIG-IP应用交换机的内存上对效劳器上被反复存取的内容作缓存，可以大大减轻效劳器上的压力(可以减轻50%以上日效劳器性能压力)。F5BIG-IP应用交换机提供了内存缓存的灵活控制能力，可以对指定应用的指定内容在指定条件下进行缓存与刷新。支持静态与动态内容的缓存，对动态页面(例如动态HTML)，可以根据预先定义的缓存内容刷新条件对内容进行刷新。而每个应用进行高速缓存可以消耗的内存容量也可以灵活定制。案例11：中国外汇交易中心–多链路负载均衡解决方案中国外汇交易中心暨全国银行间同业拆借中心〔简称交易中心〕，为中国人民银行直属事业单位，主要职能是：提供银行间外汇交易、人民币同业拆借、债券交易系统并组织市场交易；办理外汇交易的资金清算、交割，提供人民币同业拆借及债券交易的清算提示效劳；提供网上票据报价系统；提供外汇市场、债券市场和货币市场的信息效劳；开展经人民银行批准的其他业务。交易中心总部设在上海，备份中心建在北京，目前在广州、深圳、天津、济南、大连、南京、厦门、青岛、武汉、重庆、成都、珠海、汕头、福州、宁波、西安、沈阳、海口18个中心城市设有分中心。外汇交易中心的货币网系统已经顺利切换到张江机房内，为了保证外汇交易中心货币网的高可靠性和提高用户的访问速度，外汇货币网系统已经申请了两条ISP线路，一条电信，一条网通，希望能够实现两条链路的负载均衡和自动冗余切换。关键业务系统的7*24小时不中断，能够提高访问速度，改善用户体验。网络结构

客户需求

如果电信的用户过来访问，那么返回电信的地址给客户，自动分配电信的线路供用户接入，用户通过电信的线路访问货币网网站系统。如果网通的用户过来访问，那么返回网通的地址给客户，自动分配网通的线路供用户接入，用户通过网通的线路访问货币网网站系统。如果其中的一条线路出现故障，用户的请求会自动转载到另外一条正常线路上，不会影响用户对货币网网站系统的访问。根据带宽负载情况，限制流量。通过HA方式保证系统的7x24小时效劳，保证系统的高可靠性。要求方案设计简单，容易部署。F5的解决方案

采用F5LC1500双机HA冗余结构，实现双链路基于应用访问的负载均衡。采用F5特有的链路负载均衡算法〔RTT+Topology〕，解决了南北电信问题。当某条链路上Inbound的流量超过预先设定的阀值时，会分配流量给其它链路。以F5独有的毫秒级切换和StatefulFailover技术实现系统切换时应用的连贯性。采用双千兆链路聚合的全冗余网络结构，保证不会因为网络或线路故障影响业务。基于应用的结构，可以灵活增加新的接入链路而不涉及内部改动。为什么选择F5

高效灵活的链路选择能