F5鏈路負(fù)載均衡解決方案實(shí)例

1、南京財(cái)經(jīng)大學(xué)南京財(cái)經(jīng)大學(xué)F5 Link Controller 多鏈路負(fù)載均衡解決方案1南京財(cái)經(jīng)大學(xué)1. 項(xiàng)目背景分析 4.1.1 南京財(cái)經(jīng)大學(xué)的現(xiàn)狀 4.1.2 鏈路改造后的預(yù)期設(shè)想 4.2. F5 提供的最佳解決方案 6.2.1 設(shè)計(jì)結(jié)構(gòu)圖： 6.2.2 實(shí)現(xiàn)原理 出站訪問(wèn) 入站訪問(wèn) 系統(tǒng)切換時(shí)間 1.03. 解決方案功能介紹 1.13.1 高可用性 .1 全面的鏈路監(jiān)控能力 集合多個(gè)監(jiān)視器 1.23.2 最大帶寬和投資回報(bào) 可節(jié)省 WAN 鏈路成本的壓縮模塊 1. 33.2.2 帶寬可擴(kuò)展性

2、 強(qiáng)大的流量分配負(fù)載均衡算法 1. 43.2.4 鏈路帶寬控制 鏈路成本負(fù)載平衡 1.53.3 高級(jí) WAN 鏈路管理 最佳性能鏈路 針對(duì)壓縮技術(shù)的目標(biāo)流量控制 1. 63.3.3 優(yōu)化的 TCP 性能 可編程鏈路路由 iRule 流量?jī)?yōu)先級(jí)安排：服務(wù)質(zhì)量 (QoS) 和配置服務(wù)類型 (ToS) .173.4 配置和管理 .1 消除 BGP 多歸屬部署障礙 BIG/IP 的業(yè)界最快雙機(jī)冗余切換 1. 73.4.3 IPv6 網(wǎng)關(guān) 統(tǒng)計(jì)與報(bào)告

3、 1.83.5 強(qiáng)化的安全性能 智能 SNAT 網(wǎng)絡(luò)安全 簡(jiǎn)單、安全的管理 1.93.6 集成流量管理可擴(kuò)展性 2.03.6.1 擴(kuò)展的各類安全設(shè)備負(fù)載均衡 2. 03.6.2 擴(kuò)展的 SSL 加速適用于校園一卡通等 2. 1相關(guān)產(chǎn)品介紹 2.2.3南京財(cái)經(jīng)大學(xué)1. 項(xiàng)目背景分析1.1南京財(cái)經(jīng)大學(xué)的現(xiàn)狀南京財(cái)經(jīng)大學(xué)校園網(wǎng)建設(shè)始于1997年，2001年升級(jí)改造，經(jīng)多年建設(shè)已 形成一個(gè)運(yùn)行穩(wěn)定、可靠的多出口千兆以太網(wǎng)。在出口線路上采用多出口方式， 目前采用策略路由進(jìn)行路由選擇來(lái)實(shí)現(xiàn)與教育網(wǎng)和公網(wǎng)的鏈接。我校目前網(wǎng)絡(luò)架構(gòu)的拓?fù)淙缦聢D示。目前接入計(jì)

4、算機(jī)終端約10000臺(tái)，在線用戶峰值7千左右。|詢南京財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)拓?fù)涔脴?gòu)圖根據(jù)學(xué)校發(fā)展的需要及目前ISP運(yùn)營(yíng)商所能提供的服務(wù)，下一階段將對(duì)出 口進(jìn)行改造，采用負(fù)載均衡設(shè)備的方式選擇出口線路。目前南京財(cái)經(jīng)大學(xué)的出口線路包括2條單模1000M鏈路（cernet和網(wǎng)通）和1條100M電纜的電信。擁有 電信和網(wǎng)通地址各64個(gè)。改造后學(xué)校的所有訪問(wèn)經(jīng)過(guò)網(wǎng)絡(luò)安全設(shè)備、帶寬管理 設(shè)備（暫不采購(gòu)）接到鏈路均衡設(shè)備上，由鏈路均衡設(shè)備與引入的多條出口線路 直接鏈接?？紤]目前學(xué)校的的實(shí)際需求和目前ISP運(yùn)營(yíng)商所能提供的服務(wù)，本次 出口鏈路改造需要適當(dāng)考慮電信100M鏈路的擴(kuò)展（先增加到2條），同時(shí)為了 今后發(fā)展的

5、需要，要留有相應(yīng)擴(kuò)充用的具備一定數(shù)量的萬(wàn)兆、 千兆和百兆出口接 口。1.2鏈路改造后的預(yù)期設(shè)想改造后要求能實(shí)現(xiàn)當(dāng)一條出口鏈路發(fā)生中斷時(shí)，能按照設(shè)置的優(yōu)先策略, 動(dòng)態(tài)地將故障鏈路流量轉(zhuǎn)移到其它活動(dòng)鏈路上。提高外界對(duì)學(xué)校各種網(wǎng)站的訪問(wèn)速度，是本次增加鏈路設(shè)備的核心需求之一。能實(shí)現(xiàn)多種管理策略和路由策略，在保證鏈路帶寬的情況下，能確實(shí)提高我 校的網(wǎng)絡(luò)運(yùn)行性能和帶寬效率，保證學(xué)校進(jìn)出口通暢。鏈路負(fù)載均衡設(shè)備必須具備智能 DNS解析功能，同時(shí)不得改變校園網(wǎng)現(xiàn)有 的DNS解析方案。8000橋頭檢K8600ER16仙2滬汕-汕創(chuàng)行政樓圖I訓(xùn)8000 N78600后的南京»大學(xué)（«撲給構(gòu)B

6、91.3為什么推薦F5產(chǎn)品對(duì)于此次南京財(cái)經(jīng)大學(xué)參考品牌中列舉的三家廠商，我公司經(jīng)過(guò)仔細(xì)對(duì)比、慎重考慮之后，選擇F5公司的產(chǎn)品進(jìn)行投標(biāo)，主要是因?yàn)椋?.3.1公司方面1、美國(guó)著名第三方市場(chǎng)調(diào)查機(jī)構(gòu) Gartner調(diào)查顯示，F(xiàn)5是應(yīng)用流量管理領(lǐng)域公 認(rèn)的領(lǐng)導(dǎo)者；2、 獨(dú)立式應(yīng)用流量管理產(chǎn)品市場(chǎng)份額中，F(xiàn)5全球市場(chǎng)份額第一，占38.7%，遠(yuǎn) 遠(yuǎn)大于 Radware （6%）和 Array （ <2%）；3、 F5全球1200員工，研發(fā)人員400人，多年以來(lái)，一直技術(shù)創(chuàng)新，弓I領(lǐng)技 術(shù)方向；4、 F5中國(guó)30人，工程師10人；渠道技術(shù)支持和服務(wù)體系完善，能夠?yàn)槟?京財(cái)經(jīng)大學(xué)提供及時(shí)，優(yōu)質(zhì)的服務(wù)能

7、力1.3.2產(chǎn)品硬件和性能方面1、F5在第四層流量處理時(shí)，使用專門的 ASIC芯片，流量處理速度和吞吐量都 大大增加，在第三方的測(cè)試報(bào)告中，其各項(xiàng)性能遠(yuǎn)高于其他同檔次產(chǎn)品；2、F5在第七層流量處理時(shí)，使用 2.8GHz主頻的CPU,流量處理速度和吞吐量 都大大增加，其他廠家對(duì)于第七層的流量處理通常只停留在 HTTP 數(shù)據(jù)流上；3、 F5在存儲(chǔ)介質(zhì)方面，同時(shí)使用CF卡和硬盤，主OS運(yùn)行在CF 上,在硬盤上 可以備份兩個(gè)OS,并且增加日志存儲(chǔ)量，系統(tǒng)穩(wěn)定型提高，同時(shí)對(duì)于日后日 記審計(jì)有所幫助；4、F5內(nèi)存大，缺省2G,可以升級(jí)到4G,可以支持更大的并發(fā)會(huì)話數(shù)（可達(dá)到 200 萬(wàn)以上）；5、F5帶有

8、LCD （液晶屏），可以方便查看流量情況和報(bào)警情況，以便巡檢；6 F5內(nèi)置了 SSL加速芯片，并附送了 100TPS（并發(fā)新建100SSL連接）的 License；7、F5內(nèi)置了 Watchdog芯片，支持雙機(jī)冗余時(shí)，硬件檢測(cè)并觸發(fā)設(shè)備切換，切 換時(shí)間可以達(dá)到毫秒級(jí)，而其他廠商的產(chǎn)品只是基于網(wǎng)絡(luò)層上的 HA。1.3.3 產(chǎn)品軟件和功能方面1、F5 缺省支持豐富的軟件功能， 包括雙向鏈路負(fù)載均衡， 服務(wù)器負(fù)載均衡， Qos，SSL 卸載和加速，包過(guò)濾防火墻和 DOS 防護(hù)功能；2、F5還可以通過(guò)軟件激活，實(shí)現(xiàn)流量壓縮，內(nèi)存 Cache MSM , Web加速等應(yīng) 用優(yōu)化功能。3、F5可以通過(guò)軟件

9、激活，實(shí)現(xiàn)IPv6和IPv4網(wǎng)關(guān)功能，對(duì)于Cernet2教育網(wǎng)中 IPv6的部署可以支持4、在鏈路負(fù)載均衡中， F5 在 Inbound 和 Outbound 鏈路負(fù)載均衡時(shí)，使用兩套 獨(dú)立的算法系統(tǒng)。尤其在 Inbound 時(shí)，具備近二十種算法，并支持三個(gè)優(yōu)先 級(jí)層次選擇，這樣可以達(dá)到最高的正確解析率。5、在服務(wù)器負(fù)載均衡中，F(xiàn)5具備業(yè)界唯一的可編程流量控制，對(duì)于復(fù)雜的第七 層流量管理可以更好的支持。6在服務(wù)器負(fù)載均衡中，F(xiàn)5具備豐富的會(huì)話保持機(jī)制，支持更復(fù)雜的應(yīng)用。7、F5的API二次開發(fā)接口，可以更加靈活地跟應(yīng)用結(jié)合。8、F5管理界面非常友好，便于運(yùn)維人員配置和維護(hù)。2. F5 提供的最

10、佳解決方案2.1 設(shè)計(jì)結(jié)構(gòu)圖：8000橋頭檢I*86008000ER16禍住躋檢IX0業(yè)細(xì)才彳亍政嘍N78600 后的南京財(cái)統(tǒng)大學(xué)剛絡(luò)押撲結(jié)構(gòu)圖在多ISP接入時(shí)，各個(gè)ISP接入的線路通過(guò)防火墻連接到F5 Link Controller上,F5 Link Controller工作在3層模式下，可劃分為多個(gè) VLAN，分別連接各個(gè) ISP線路和內(nèi)網(wǎng)核心交換機(jī)。核心交換機(jī)的默認(rèn)路由指向F5 Link Controller; F5Link Controller可設(shè)置多個(gè)缺省網(wǎng)關(guān)，指向各個(gè)ISP的對(duì)端ip地址，來(lái)確保多鏈 路之間的高可用性和各ISP用戶的就近性訪問(wèn)。2.2實(shí)現(xiàn)原理在學(xué)校使用了多條鏈路后，

11、F5 Link Controller主要負(fù)責(zé)出入站連接的高可用性和智能鏈路選擇：2.2.1出站訪問(wèn)對(duì)于內(nèi)部辦公用戶由內(nèi)向外的出站訪問(wèn)，F(xiàn)5 link controller可檢測(cè)到整個(gè)鏈 路中出現(xiàn)的錯(cuò)誤，從而能夠提供可靠的端到端WAN連接。它可以監(jiān)視每個(gè)連接的運(yùn)行狀態(tài)和可用性，實(shí)時(shí)檢測(cè)鏈路或ISP的損耗情況。一旦某條鏈路出現(xiàn)故障，流量將被動(dòng)態(tài)地傳遞給其它可用鏈路，從而確保內(nèi)部用戶對(duì)外的訪問(wèn)繼續(xù)保持連接。F5 link controller可設(shè)置多個(gè)缺省網(wǎng)關(guān)ip地址，構(gòu)成default gateway pool。 然后根據(jù)所設(shè)定的負(fù)載均衡算法來(lái)為每個(gè)出站連接智能的選擇某個(gè)缺省網(wǎng)關(guān)，從而實(shí)現(xiàn)出站流量

12、的鏈路負(fù)載均衡。F5 link controller包括基于靜態(tài)IP地址段或基 于響應(yīng)時(shí)間和線路質(zhì)量計(jì)算等多種負(fù)載均衡算法，可探測(cè)哪條鏈路可以為用戶提供最佳服務(wù)，然后將該用戶引導(dǎo)至此鏈路，確保他們能得到最快服務(wù)及最高質(zhì)量 的連接。完整的數(shù)據(jù)連接包括client向server發(fā)起的請(qǐng)求數(shù)據(jù)和server向client返回 的響應(yīng)數(shù)據(jù)。在出站的請(qǐng)求數(shù)據(jù)根據(jù) lc的負(fù)載均衡算法選擇了某條鏈路后，為 了保證遠(yuǎn)端被訪問(wèn)的服務(wù)器的響應(yīng)數(shù)據(jù)也能夠從該鏈路返回，F(xiàn)5 Lin kCo ntroller使用了 SNAT Automap技術(shù)。此技術(shù)保證了請(qǐng)求數(shù)據(jù)在選擇了某個(gè)ISP鏈路后離 開LC時(shí)，會(huì)被NAT成該I

13、SP的ip地址，對(duì)外發(fā)送出去，這樣遠(yuǎn)端被訪問(wèn)的服 務(wù)器自然就會(huì)把響應(yīng)數(shù)據(jù)從該ISP線路發(fā)送回來(lái)，實(shí)現(xiàn)了出站連接進(jìn)出數(shù)據(jù)包都 使用最優(yōu)鏈路。利用LC的智能流量管理功能，可替代防火墻的 NAT功能，并 保證流量可以通過(guò)與互聯(lián)網(wǎng)的最佳連接往返發(fā)送。Internet Server(e.g. )ISP ARouter ALANInternetIFPB/ ftouier B. .n二A4皿5叫BIG-IPLink Controller1 . BIGIP與ISP相連的VLAN分配公網(wǎng)IP 地址；2、BIGIP內(nèi)網(wǎng)VLAN采用保留IP地址3、BIGIP作為內(nèi)網(wǎng)出口網(wǎng)關(guān)4、在BIGIP上配置兩臺(tái)ISP rout

14、e啲地 址作為default g就eway pool.設(shè)定負(fù)載均 衡如豪 £ Link ControllerOutbound 流量在鏈路之間分配5、在BIGIP上實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換(SNAT Automap),將內(nèi)網(wǎng)IP翻譯成 公網(wǎng)IP6、由?Outbound流量離開BIGIP時(shí)已 經(jīng)轉(zhuǎn)換成對(duì)應(yīng)ISP的公網(wǎng)IP.服務(wù)器回應(yīng) 的網(wǎng)絡(luò)流量也將由原路返回Mamaged Client(筑g, carporate desktop)Outbound訪問(wèn)過(guò)程9南京財(cái)經(jīng)大學(xué)#南京財(cái)經(jīng)大學(xué)2.2.2入站訪問(wèn)#南京財(cái)經(jīng)大學(xué)對(duì)于外部用戶對(duì)學(xué)校內(nèi)部應(yīng)用的入站訪問(wèn)， F5 LinkController 可以通過(guò)

15、智能 DNS 解析功能，動(dòng)態(tài)選擇最佳鏈路，將外部用戶導(dǎo)向到內(nèi)部站點(diǎn)中的資源。同 時(shí) LC 會(huì)隨時(shí)監(jiān)測(cè)每條鏈路的狀況，當(dāng)發(fā)現(xiàn)任何一條 ISP 鏈路故障時(shí)，都不會(huì)再 把該ISP的ip地址解析給用戶，從而保證用戶可以24*7的訪問(wèn)到學(xué)校內(nèi)部應(yīng)用并且提高各地區(qū)用戶的訪問(wèn)速度。F5 Link Controller中的DNS功能模塊將分別綁定多個(gè)ISP服務(wù)商的公網(wǎng)ip 地址，解析來(lái)自互聯(lián)網(wǎng)用戶的地址解析請(qǐng)求。后臺(tái)服務(wù)器則由BIG IP LinkController做成集群并虛擬化成針對(duì)ISP A的虛擬服務(wù)器Virtual Server 1和ISP B 的虛擬服務(wù)器 Virtual Server 2 等 ，

16、這樣對(duì)于每個(gè)用戶到來(lái)的請(qǐng)求 , BIG IP Link Controller 都會(huì)分別檢測(cè)后臺(tái)服務(wù)器的狀態(tài)并選擇最佳的鏈路提供服務(wù),達(dá)到用戶的就近性訪問(wèn)及服務(wù)器的負(fù)載均衡。同時(shí)LC還具備lasthop技術(shù)，保證了服務(wù)器的響應(yīng)數(shù)據(jù)會(huì)從請(qǐng)求數(shù)據(jù)的進(jìn)入鏈路返回。Link Controller 在回應(yīng)客戶的DNS 解析請(qǐng)求時(shí) , 可以采用 15種動(dòng)態(tài)或者靜態(tài)的負(fù)載均衡算法，從而達(dá)到入站 流量的多鏈路動(dòng)態(tài)負(fù)載均衡的效果。10南京財(cái)經(jīng)大學(xué)11南京財(cái)經(jīng)大學(xué)ISPARouler AIlnlennel Clienl(e.g. home user)Internet1£Rouler B(Link Gnlr

17、nl)LDNSVIP?9IG-IPLink ControllerJ_wnwM_ 丿11 <Local dm的解祈過(guò)程仙 <囲戶訪問(wèn)WIKHIflWfiigLasthapfi1.在BIGIP的每一個(gè)與ISP相連的 VLAN建立一個(gè)Virtual IP對(duì)應(yīng)內(nèi)網(wǎng)的 服務(wù)器口例如WWW服務(wù)器在ISPA 有地iEVIPt在ISPB有地址VIP2；2> F5設(shè)備作為DNS SERVER,提 供域名解析并配置了 www,domain,com 對(duì)應(yīng)了 VIP1 和VIP2；3. F5設(shè)備根據(jù)負(fù)載均衡弟略實(shí)現(xiàn)對(duì) 內(nèi)部服務(wù)器的訪問(wèn)的解析，即決定該 域名解析地址VIP1或VIP2；4. 用戶得到域

18、名解析結(jié)果后，直接 通過(guò)訪問(wèn)VIP,實(shí)現(xiàn)對(duì)具體服務(wù)器的 訪問(wèn)口5. F5設(shè)備通過(guò)仙thop技術(shù)能夠自動(dòng) 記錄連接進(jìn)入時(shí)選擇的ISP router, 從而保證數(shù)據(jù)握回時(shí)也從該rout導(dǎo)返 回保證連接的正常完成Inbound訪問(wèn)過(guò)程wwwrdamainxDm223系統(tǒng)切換時(shí)間在采用DNS實(shí)現(xiàn)鏈路切換時(shí)，系統(tǒng)的切換時(shí)間主要取決于每個(gè)域名的 TTL 時(shí)間設(shè)置。在LinkControl系統(tǒng)里，每個(gè)域名如 均可設(shè)置對(duì)應(yīng)的 TTL生存時(shí)間。在用戶的LocalDNS得到域名解析紀(jì)錄后，將在本地在 TTL設(shè) 定時(shí)間內(nèi)將該域名解析對(duì)應(yīng)紀(jì)錄進(jìn)行 Cache在Cache期間所有到該LocalDNS 上進(jìn)行域名解析的用

19、戶均將獲得該紀(jì)錄。 在TTL時(shí)間timeout之后，如果有用戶 到LocalDNS上請(qǐng)求解析，則此LocalDNS將重新發(fā)起一次請(qǐng)求到 LinkController 上獲得相應(yīng)紀(jì)錄。因此，當(dāng)單條線路出現(xiàn)故障時(shí)，LinkController將在系統(tǒng)定義的檢查間隔（該 時(shí)間可自行定義）內(nèi)檢查到線路的故障，并只解析正常的線路側(cè)地址。但此時(shí)在 LocalDNS上可能還有未過(guò)時(shí)的 Cache紀(jì)錄。在 TTL時(shí)間timeout之后，該 LocalDNS重新發(fā)起請(qǐng)求的時(shí)候就將從LinkController上獲得正確的解析，從而引導(dǎo)用戶通過(guò)正常的線路進(jìn)行訪問(wèn)。系統(tǒng)檢測(cè)間隔加上 TTL時(shí)間之和則為系統(tǒng)切 換的最

20、長(zhǎng)時(shí)間。通常，系統(tǒng)檢測(cè)間隔設(shè)置為 60秒，而TTL時(shí)間設(shè)置為300秒, 所以系統(tǒng)切換的最長(zhǎng)時(shí)間為6分鐘。3. 解決方案功能介紹3.1高可用性Link Controller可檢測(cè)到整個(gè)鏈路中出現(xiàn)的錯(cuò)誤，從而能夠提供可靠的端到端WAN連接。它可以監(jiān)視每個(gè)連接的運(yùn)行狀態(tài)和可用性， 實(shí)時(shí)檢測(cè)鏈路或ISP的 損耗情況。一旦出現(xiàn)故障，流量將被動(dòng)態(tài)地傳遞給其它可用鏈路，從而確保用戶 及外部客戶繼續(xù)保持連接3.1.1全面的鏈路監(jiān)控能力如何有效地確定鏈路，服務(wù)器、應(yīng)用、內(nèi)容的狀態(tài)，是提高系統(tǒng)可靠性的 關(guān)鍵。LC利用其獨(dú)到的、高效的“健康檢測(cè)”手段，識(shí)別鏈路，服務(wù)器、應(yīng) 用、內(nèi)容的狀態(tài)。它們包括：多種服務(wù)器狀態(tài)監(jiān)

21、測(cè)手段?服務(wù)器(Node)-Ping(ICMP)?服務(wù)(Port)-Connect?擴(kuò)展的應(yīng)用驗(yàn)證(EAV)?擴(kuò)展的內(nèi)容驗(yàn)證(ECV) ?頻度,e.g.10sec onds?響應(yīng)，e.g.5seconds*服務(wù)器邏輯連接狀態(tài)檢測(cè)ICMP*應(yīng)用類型狀態(tài)檢測(cè)TCP/UDP* 擴(kuò)展內(nèi)容查證(ECV: Extended Content Verification)-ECV是一種非常復(fù)雜的服務(wù)檢查，主要用于確認(rèn)應(yīng)用程序能否對(duì)請(qǐng)求返回對(duì)應(yīng)的數(shù)據(jù)。如果 一個(gè)應(yīng)用對(duì)該服務(wù)檢查作出響應(yīng)并返回對(duì)應(yīng)的數(shù)據(jù)，則BIGIP控制器將該服務(wù)器標(biāo)識(shí)為工作良好。如果服務(wù)器不能返回相應(yīng)的數(shù)據(jù)，則將該服務(wù) 器標(biāo)識(shí)為宕機(jī)。宕機(jī)一旦修復(fù)

22、，BIGIP就會(huì)自動(dòng)查證應(yīng)用已能對(duì)客戶請(qǐng)求 作出正確響應(yīng)并恢復(fù)向該服務(wù)器傳送。該功能使BIGIP可以將保護(hù)延伸到后端應(yīng)用如 Web內(nèi)容及數(shù)據(jù)庫(kù)。BIGIP的ECV功能允許您向Web服 務(wù)器、防火墻、緩存服務(wù)器、代理服務(wù)器和其它透明設(shè)備發(fā)送查詢，然后 檢查返回的響應(yīng)。這將有助于確認(rèn)您為客戶提供的內(nèi)容正是其所需要的。* 擴(kuò)展應(yīng)用查證(EAV: Extended Application Verification)EAV 是另一種服 務(wù)檢查，用于確認(rèn)運(yùn)行在某個(gè)服務(wù)器上的應(yīng)用能否對(duì)客戶請(qǐng)求作出響應(yīng)。為完成這種檢查，BIGIP控制器使用一個(gè)被稱作外部服務(wù)檢查者的客戶程 序，該程序?yàn)锽IGIP提供完全客戶化

23、的服務(wù)檢查功能，但它位于BIGIP控制器的外部。例如，該外部服務(wù)檢查者可以查證一個(gè)從后臺(tái)數(shù)據(jù)庫(kù)中取 出數(shù)據(jù)的應(yīng)用能否正常工作。EAV是BIGIP提供的非常獨(dú)特的功能，它 提供管理者將BIGIP客戶化后訪問(wèn)各種各樣應(yīng)用的能力，該功能使BIGIP 在提供標(biāo)準(zhǔn)的可用性查證之外能獲得服務(wù)器、應(yīng)用及內(nèi)容可用性等最重要 的反饋。該功能對(duì)于提高系統(tǒng)可靠性至關(guān)重要，它用于從客戶的角度測(cè)試您的站點(diǎn)。例如，您可以模擬客戶完成交易所需的所有步驟-連接到前置 服務(wù)器或中間件服務(wù)器、從目錄中選擇項(xiàng)目以及驗(yàn)證交易使用的信用卡。一旦BIGIP掌握了該“可用性”信息，即可利用負(fù)載平衡使資源達(dá)到最 高的可用性。BIGIP已經(jīng)為

24、測(cè)試多種服務(wù)的健康情況和狀態(tài)，預(yù)定義了擴(kuò) 展應(yīng)用驗(yàn)證(EAV)，如：FTP、NNTP、SMTP、POP3 和 MSSQL 等，用 戶還可依據(jù)實(shí)際應(yīng)用，自行編輯 EAV腳本。 Tran spare nt檢測(cè)方式。-Tran spare nt檢測(cè)方式保證了 LC的健康檢查可 以通過(guò)被檢察對(duì)象而不只是到達(dá)被檢察對(duì)象。這種方式在鏈路負(fù)載均衡中 極為重要，它保證了整條鏈路的可用性而不只是對(duì)端路由器的可用性。3.1.2集合多個(gè)監(jiān)視器多個(gè)監(jiān)視器共同工作，能夠迅速準(zhǔn)確地確定鏈路的狀態(tài)及可用性。例如用戶 可以設(shè)置透過(guò)某ISP的路由器同時(shí)去檢查sina工行等各類學(xué)校的多個(gè) web網(wǎng)站。 只有當(dāng)所有這些網(wǎng)站都無(wú)法檢

25、測(cè)通過(guò)時(shí)，LC才會(huì)認(rèn)為該鏈路已經(jīng) DOWN掉，然后Link Controller可以重新為流量選擇路徑，傳遞到其它可用鏈路，從而繼續(xù)保持客戶連接，避免出現(xiàn)停機(jī)影響實(shí)時(shí)健康監(jiān)測(cè)-路由可用性及鏈路帶寬全路徑檢查-確保整個(gè)連接的可用性 -透明Ping到目標(biāo)設(shè)備透明路由流量繞過(guò)故障的鏈路提供者，鏈路及路由器等LAN)3.2最大帶寬和投資回報(bào)3.2.1可節(jié)省WAN鏈路成本的壓縮模塊BIG-IP Link Controller的可選壓縮模塊使您可以智能壓縮 http流量，將Http 的響應(yīng)數(shù)據(jù)以標(biāo)準(zhǔn)的壓縮算法 Deflate或Gzip方式進(jìn)行壓縮，一般的情況可以減 少40% 80%的數(shù)據(jù)流量，降低數(shù)據(jù)流對(duì)

26、 WAN帶寬的要求以節(jié)省ISP成本， 同時(shí)解決帶寬瓶頸以加快應(yīng)用交付速度。標(biāo)準(zhǔn)瀏覽器都可提供支持（IE 5.0 +，Netscape 4.0 +解壓縮功能。通過(guò)對(duì)面向不同連接類型的鏈路帶寬實(shí)行精細(xì)控制， 將可以有效提升客戶體驗(yàn)，并能夠?qū)崿F(xiàn)更高效的WAN鏈路管理和改進(jìn)的生產(chǎn)效率。您可以基于文檔類型、流量類型和其它網(wǎng)絡(luò)條件（如往返時(shí)間）配置靈活 且可調(diào)整的壓縮引擎。3.2.2帶寬可擴(kuò)展性Link Controller支持port channel技術(shù)，因此不論您使用何種鏈路類型或哪一家服務(wù)提供商的服務(wù)，BIG-IP Link Controller都能夠支持將小型經(jīng)濟(jì)型線路進(jìn)行高效的整合，以提供成本更

27、低的帶寬冗余，同時(shí)將花在暗光纖或閑置備用線路上 的費(fèi)用降至最低。323強(qiáng)大的流量分配負(fù)載均衡算法BIG-IP Link Controller提供了業(yè)內(nèi)最先進(jìn)的鏈路流量分配能力，能夠滿足最繁忙站點(diǎn)的需求：- 輪循- 全局可用性- 靜態(tài)持續(xù)性- 拓?fù)? 虛擬服務(wù)器容量- 最少連接- 包速率往返時(shí)間中繼數(shù)據(jù)包完成率用戶定義的服務(wù)質(zhì)量（QoS）動(dòng)態(tài)比率隨機(jī)比率傳輸速率3.2.4鏈路帶寬控制BIG-IP Link Controller可根據(jù)所有網(wǎng)絡(luò)2到7層的方法，對(duì)網(wǎng)絡(luò)上的應(yīng)用流 量進(jìn)行分類控制。隨著與網(wǎng)絡(luò)流量有關(guān)的復(fù)雜性不斷增加，因此應(yīng)運(yùn)而生的高級(jí)分類技術(shù)變得非常重要。而簡(jiǎn)單的IP地址或靜態(tài)端口方案便

28、相形見絀了。LC可檢測(cè)動(dòng)態(tài)或變動(dòng)式端口分配的變化，區(qū)別使用同一端口的應(yīng)用，并采用第七層應(yīng)用標(biāo)識(shí)來(lái)識(shí)別不同應(yīng)用，從而對(duì)不同應(yīng)用進(jìn)行動(dòng)態(tài)控制?？稍试S您根據(jù)實(shí)時(shí)的 流量與吞吐率來(lái)確定和控制流量在鏈路上的分配方式。這將可以提高性能和增加 包含線路冗余在內(nèi)的可用帶寬，同時(shí)消除鏈路飽和的風(fēng)險(xiǎn)。當(dāng)某條鏈路接近其容 量極限時(shí)，流量將被轉(zhuǎn)至相對(duì)寬松的鏈路上去，從而提高站點(diǎn)的整體性能。帶寬管理maBIG-IP管理片應(yīng)用挑戰(zhàn)-低優(yōu)先流量影響關(guān)鍵應(yīng)用-帶寬緊張導(dǎo)致性能嚴(yán)重降低用戶受益-保證高優(yōu)先級(jí)應(yīng)用性能-允許但控制對(duì)非優(yōu)先級(jí)流量的影響-封掉不要的流量-減少帶寬成本325鏈路成本負(fù)載平衡BIG-IP Link Con

29、troller能夠支持您為通往數(shù)據(jù)中心的所有流量選擇最低成本 連接：* 將流量導(dǎo)入花費(fèi)最低的鏈路，從而將帶寬投資降至最低* 最大限度地提高不同連接的帶寬，包括可變成本線路，以消除帶寬瓶頸, 同時(shí)最大限度地減少低效帶寬利用情況和相關(guān)成本。- 支持ISP計(jì)費(fèi)模式，包括一次性付費(fèi)、零散計(jì)費(fèi)和突發(fā)性計(jì)費(fèi)* 支持單向或雙向計(jì)費(fèi)3.3高級(jí)WAN鏈路管理3.3.1最佳性能鏈路BIG-IP Link Controller通過(guò)使用往返時(shí)間和線路質(zhì)量計(jì)算，可測(cè)試哪條鏈路 可以為用戶提供最佳服務(wù)，然后將該用戶引導(dǎo)至此鏈路，確保他們能得到最快服 務(wù)及最高質(zhì)量的連接。另外LC還可以根據(jù)用戶端的靜態(tài)ip地址來(lái)為用戶選擇對(duì)

30、應(yīng) 的ISP線路，從而實(shí)現(xiàn)最安全和最穩(wěn)定的鏈路選擇。332針對(duì)壓縮技術(shù)的目標(biāo)流量控制如果不在具體用戶類型（寬帶用戶、撥號(hào)用戶等）的基礎(chǔ)上控制流量壓縮工 作，將會(huì)對(duì)應(yīng)用性能及客戶體驗(yàn)產(chǎn)生負(fù)面影響。通過(guò)使用使用往返時(shí)間及線路質(zhì) 量計(jì)算，BIG-IP Link Controller能夠動(dòng)態(tài)計(jì)算出用戶延遲和帶寬吞吐率，為能夠 從中受益最大的用戶提供更多的壓縮資源。3.3.3優(yōu)化的TCP性能TCP協(xié)議的低效會(huì)產(chǎn)生不必要的干擾，進(jìn)而對(duì)鏈路的帶寬利用產(chǎn)生不利影 響。BIG-IP Link Controller利用TCP Express 來(lái)克服 TCP協(xié)議的低效情況, 同時(shí)提供了以下功能：* WAN鏈路的有效

31、帶寬利用* 以較低的帶寬費(fèi)用覆蓋長(zhǎng)距離的通道* 為關(guān)鍵任務(wù)應(yīng)用安排可用帶寬優(yōu)先級(jí)* 通過(guò)WAN為撥號(hào)和寬帶用戶提高端對(duì)端性能* 在部署全新應(yīng)用時(shí)更為靈活* 無(wú)需部署多臺(tái)設(shè)備，降低了總擁有成本3.3.4可編程鏈路路由iRuleBIG-IP Link Controller使您能夠根據(jù)諸如源IP地址、目標(biāo)IP地址和端口 等TCP/IP參數(shù)，在多條 WAN鏈路上智能路由流量。借助 iRule，您可在根 據(jù)應(yīng)用類型、服務(wù)質(zhì)量和客戶類型制定策略，以在最佳鏈路上分配流量，進(jìn)而提 高應(yīng)用性能和提升客戶體驗(yàn)。20南京財(cái)經(jīng)大學(xué)335流量?jī)?yōu)先級(jí)安排：服務(wù)質(zhì)量（QoS）和配置服務(wù)類型（ToS）BIG-IP Link

32、Controller支持各種流量?jī)?yōu)先級(jí)安排特性。學(xué)?？筛鶕?jù)QoS和ToS對(duì)其關(guān)鍵流量或應(yīng)用做出定義，進(jìn)而對(duì)上游路由器進(jìn)行特殊處理。這就確保了具有較高優(yōu)先級(jí)的流量可以優(yōu)先路由。3.4配置和管理3.4.1消除BGP多歸屬部署障礙BIG-IP Link Controller可借助邊界網(wǎng)關(guān)協(xié)議（BGP）消除部署障礙，并降低 多歸屬網(wǎng)絡(luò)的部署成本。借助 BIG-IP Link Controller，您無(wú)需再購(gòu)買大型路由 器、與ISP進(jìn)行協(xié)作或安排專門的人員和 IP地址來(lái)運(yùn)行BGP，同時(shí)仍能夠 將流量導(dǎo)向至最佳路由路徑。BIG-IP Link Controller可顯著改善多歸屬環(huán)境的流 量引導(dǎo)性能，并可

33、提供：* 面向?qū)W校內(nèi)外用戶的雙向流量控制* 自動(dòng)、即時(shí)ISP響應(yīng)及鏈路故障切換一一無(wú)需等待部署路由變動(dòng)* 流量將被路由至最佳路徑，從而優(yōu)化了帶寬利用率* 基于線路容量的流量分配，帶來(lái)了更高的帶寬可擴(kuò)展性3.4.2 BIG/IP的業(yè)界最快雙機(jī)冗余切換常規(guī)的出錯(cuò)切換-新請(qǐng)求尋找激活的負(fù)載均衡-當(dāng)前的連接將丟失Stateful FaiJover-新的請(qǐng)求通過(guò)激活的BIGIP-當(dāng)前的連接繼續(xù)保持十儷功熊-指定的熱備份設(shè)備存有智箭官經(jīng)建立的連接連接鏡像功能適用于長(zhǎng)連接如t telnet, ftp. udp. etc .連接不能去夾Persistence 鏡像-For Persrstent session

34、s-Does not niaintain timer duringFsilover南京財(cái)經(jīng)大學(xué)兩臺(tái) BIG/IP 能工作在 HA方式下，支持 Active Active、Active-Standby 工 作方式。當(dāng)BIG/IP產(chǎn)生從當(dāng)前活動(dòng)的BIG/ip控制器到備用BIG/IP控制器的自動(dòng)故障 切換時(shí)，鏡像連接為當(dāng)前的連接提供無(wú)縫故障恢復(fù)保護(hù)。 例如，如果客戶正在使 用FTP傳輸較大的文件過(guò)程中，BIG/IP發(fā)生從當(dāng)前活動(dòng)設(shè)備到備用設(shè)備的故障恢 復(fù)，則FTP文件傳輸將繼續(xù)進(jìn)行，不會(huì)中斷。BIG/IP除了基于硬件連線故障恢復(fù)之外，BIG/ip還提供基于網(wǎng)絡(luò)的故障恢復(fù) 功能，從而允許不在同一位置的

35、一對(duì) BIG/ip控制器實(shí)現(xiàn)冗余功能，進(jìn)一步強(qiáng)化了 管理。BIG/IP 基于硬連線的故障切換時(shí)間： 200毫秒BIG/IP 基于網(wǎng)絡(luò)的故障切換時(shí)間： 3秒3.4.3 IPv6 網(wǎng)關(guān)如果學(xué)校欲移植至 IPv6， BIG-IP Link Controller 是進(jìn)行叉車式升級(jí) (forklift upgrade) 的經(jīng)濟(jì)高效的選擇。通過(guò)采用 BIG-IP Link Controller 和可選的 IPv6 模塊，您可在提供 IPv4 服務(wù)的同時(shí)訪問(wèn) IPv6 客戶，并在不增加網(wǎng)絡(luò)負(fù)載的情 況下實(shí)現(xiàn)兩者之間的轉(zhuǎn)換。3.4.4 統(tǒng)計(jì)與報(bào)告實(shí)時(shí)報(bào)告和歷史記錄報(bào)告可評(píng)估站點(diǎn)流量模式、相對(duì) ISP 性能、以

36、及預(yù)計(jì) 的帶寬計(jì)費(fèi)周期，從而使您能夠輕松監(jiān)控帶寬資源，作出明智的業(yè)務(wù)決策。3.5 強(qiáng)化的安全性能3.5.1 智能 SNAT借助 BIG-IP Link Controller 的 iSNAT 功能，您可以保存端口資源和轉(zhuǎn)換 內(nèi)部地址。通過(guò)使用iSNAT，您可以基于諸如客戶機(jī)地址和目標(biāo)服務(wù)器端口編 號(hào)等TCP/IP參數(shù)從眾多轉(zhuǎn)換地址中靈活選擇，從而確保服務(wù)器地址不會(huì)暴露 給外部環(huán)境。BIG-IP Link Controller能夠通過(guò)屏蔽內(nèi)部地址保留端口資源和保護(hù) 站點(diǎn)資源，同時(shí)還可通過(guò)更高的流量類型透明度來(lái)改進(jìn)運(yùn)營(yíng)效率。3.5.2網(wǎng)絡(luò)安全BIG-IP Link Controller是缺省拒絕設(shè)備

37、，它可增加額外的安全保護(hù)層，從而 杜絕普通網(wǎng)絡(luò)攻擊。BIG-IP Link Controller能夠：* 在面向命令行的Secure Shell安全外殼（SSH）或面向?yàn)g覽器管理的 SSL的基礎(chǔ)上，進(jìn)行安全遠(yuǎn)程管理消除閑置連接，防止拒絕服務(wù)攻擊* 執(zhí)行源路由跟蹤，防止IP欺騙* 拒絕沒有ACK緩沖的未確認(rèn)SYN，防止SYN Floods （溢滿攻擊） 攻擊* 防止諸如 WinNuke、Sub7和Back Orifice 等片段儲(chǔ)存攻擊* 保護(hù)自己和服務(wù)器免受ICMP攻擊* 不運(yùn)行SMTPd、FTPd、Telnetd或其它任何易受攻擊的進(jìn)程* 檢測(cè)任意受到非法訪問(wèn)嘗試的服務(wù)和端口，包括：- 頻率

38、：嘗試次數(shù)- 端口：被攻擊的端口-IP地址：攻擊者的源IP地址3.5.3簡(jiǎn)單、安全的管理BIG-IP Link Controller提供了一個(gè)直觀的用戶界面，支持通過(guò)一個(gè)界面瀏覽 全部鏈路資源，進(jìn)而高效管理WAN鏈路。排序和搜索功能使您能夠更快地訪問(wèn)鏈路對(duì)象，從而進(jìn)行精確控制。唯一的鏈路對(duì)象名稱可減少管理時(shí)間，并幫助您圍繞業(yè)務(wù)策略構(gòu)建基礎(chǔ)設(shè)施。3.6集成流量管理可擴(kuò)展性3.6.1擴(kuò)展的各類安全設(shè)備負(fù)載均衡您可以進(jìn)一步擴(kuò)展 BIG-IP Link Controller ，以滿足 DMZ內(nèi)廣泛的流量管 理需求。憑借強(qiáng)大的集成功能和可升級(jí)平臺(tái)，BIG-IP Link Controller是市場(chǎng)上唯 一一款能夠提供可擴(kuò)展解決方案的產(chǎn)品，其特性包括：* 集成防火墻負(fù)載平衡，為冗余防火墻部署提供了更高的可用性 集成第4層和基礎(chǔ)服務(wù)器負(fù)載平衡，能夠在服務(wù)器陣列中高效地分配