多鏈路負載均衡方案建議書

多鏈路負載均衡方案建議書目錄一．概述 3二．用戶需求 32.1系統(tǒng)總體目標 32.2系統(tǒng)功能需求 32.3系統(tǒng)性能需求 42.4系統(tǒng)安全性需求 42.5可管理性需求 4三需求分析 53.1多鏈路的負載均衡和冗余 53.2服務器負載均衡及冗余 63.3系統(tǒng)高可用性 63.4高度的安全性 73.5系統(tǒng)管理 83.6其它 8四．方案設(shè)計 94.1網(wǎng)絡拓撲圖 94.2方案設(shè)計描述 104.2.1方案設(shè)計總體描述 104.2.2鏈路負載均衡及冗余 114.2.3設(shè)備自身冗余性 114.2.4易于管理性 11五．關(guān)鍵技術(shù)介紹 125.1LinkController工作原理 125.2鏈路負載均衡算法 135.3鏈路健康檢查 145.4UIE+iRules 155.5帶寬管理 165.6HTTP流量壓縮 165.7設(shè)備自身冗余機制 165.8API接口--iControl介紹 17六．F5專業(yè)服務條款 21七．設(shè)備清單及報價 22一．概述隨著企業(yè)開始更多地使用互聯(lián)網(wǎng)來交付其關(guān)鍵業(yè)務應用，只保持一條到公共網(wǎng)絡的連接鏈路則意味著頻繁的單點故障和脆弱的網(wǎng)絡安全性。BIG-IP鏈路控制器可以無縫地監(jiān)控多條WAN連接的可用性與性能，以智能地管理到某一站點的雙向流量，從而提供出色的容錯性和優(yōu)化的互聯(lián)網(wǎng)訪問，保證關(guān)鍵業(yè)務的穩(wěn)定運行。二．用戶需求2.1系統(tǒng)總體目標系統(tǒng)建設(shè)的總體目標為：1．高性能：采用豐富的負載均衡算法對多鏈路進行負載均衡，使流量得以合理分配，從而保證系統(tǒng)的整體性能得以大幅度提升。2．高可靠性：保證系統(tǒng)運行穩(wěn)定，單一設(shè)備、單一鏈路故障不能影響系統(tǒng)的正常運行。3．高安全性：構(gòu)建安全防預體系，防御網(wǎng)絡攻擊。4．良好的系統(tǒng)擴充能力，隨著訪問量的增加能夠滿足系統(tǒng)不斷擴充的需求。5．系統(tǒng)具有良好的可管理性。6．通過中文的監(jiān)視平臺，方便直觀地管理與監(jiān)視應用的狀態(tài)及健康狀況。2.2系統(tǒng)功能需求作為服務系統(tǒng)的核心，負載均衡系統(tǒng)必須滿足以下業(yè)務需求：1．冗余的系統(tǒng)實施方案，任何單點故障不影響系統(tǒng)的正常運營在接入系統(tǒng)的設(shè)計中，對于所有的設(shè)備，均采用冗余設(shè)計和實施，充分考慮到各種設(shè)備和線路的中斷或故障情況，在發(fā)生故障時系統(tǒng)能迅速切換，保證系統(tǒng)的正常運營。2．鏈路的負載均衡和冗余：要求在正常情況下將用戶對外的訪問流量和外部用戶對內(nèi)部服務器的訪問流量負載均衡到兩條鏈路上，在某鏈路故障時自動將其流量切換到另外的鏈路，自動的透明容錯，當鏈路恢復時自動將其加入到負載均衡中來。3．設(shè)備自身的高可用性設(shè)備自身需要具備高可用性，能夠在雙機冗余模式下工作，冗余切換迅速。4．帶寬管理提供基于IP地址或特定應用的帶寬控制功能，針對某一IP地址或特定應用限制或者保證一定的網(wǎng)絡帶寬，保證關(guān)鍵應用的穩(wěn)定運行。5．升級能力負載均衡產(chǎn)品應當具有良好的系統(tǒng)和軟件升級能力。2.3系統(tǒng)性能需求系統(tǒng)的整體系統(tǒng)響應時間、整體系統(tǒng)性能和故障切換能力應達到或高于以下要求：1．能夠在一定的訪問壓力下提供正常服務；2．單臺設(shè)備出現(xiàn)故障后，冗余設(shè)備能達到毫秒級切換；3．系統(tǒng)穩(wěn)定性強，系統(tǒng)響應時間（例如服務器故障后負載均衡對故障的反映）短（幾秒鐘之內(nèi)）。2.4系統(tǒng)安全性需求1．負載均衡產(chǎn)品本身具有良好的系統(tǒng)安全性，不存在安全漏洞；2．產(chǎn)品提供安全的訪問管理環(huán)境；3．具有一定的安全防護能力，協(xié)助防火墻和其他IDS設(shè)備構(gòu)建動態(tài)防御體系，防御網(wǎng)絡常見攻擊，提高系統(tǒng)整體的安全防護能力。2.5可管理性需求在可管理性方面，需要具備以下幾點：1．機架式機箱；2．客戶端中文管理軟件能夠方便地安裝到流行的操作系統(tǒng)上（如WinXP，Win2K等）；3．提供有效的關(guān)于用戶、流量等的報表、統(tǒng)計工具；4．提供有效的備份恢復手段；5．提供有效的故障報警手段；6．提供有效的系統(tǒng)監(jiān)控手段并為通用的監(jiān)控工具（如OpenView，Tivoli）提供接口；7．系統(tǒng)的配置管理方便，系統(tǒng)報告的可用性強，能提供完善的訪問統(tǒng)計和流量管理；8．能夠提供GUI的良好的維護界面和日常維護方案；9．加密通訊，保證安全的設(shè)備管理。三需求分析3.1多鏈路的負載均衡和冗余與互聯(lián)網(wǎng)絡相關(guān)的關(guān)鍵業(yè)務都需要安排和配置多條ISP接入鏈路以保證網(wǎng)絡服務的質(zhì)量，消除單點故障，減少停機時間。多條ISP接入的方案并不是簡單的多條不同的廣域網(wǎng)絡的路由問題，因為不同的ISP有不同自治域，所以必須考慮到兩種情況下如何實現(xiàn)多條鏈路的負載均衡：內(nèi)部的應用系統(tǒng)和網(wǎng)絡工作站在訪問互聯(lián)網(wǎng)絡的服務和網(wǎng)站時如何能夠在多條不同的鏈路中動態(tài)分配和負載均衡，這也被稱為OUTBOUND流量的負載均衡?；ヂ?lián)網(wǎng)絡的外部用戶如何在外部訪問內(nèi)部的網(wǎng)站和應用系統(tǒng)時也能夠動態(tài)的在多條鏈路上平衡分配，并在一條鏈路中斷的時候能夠智能地自動切換到另外一條鏈路到達服務器和應用系統(tǒng)，這也被稱作為INBOUND流量的負載均衡。F5的LinkController可以智能的解決以上兩個問題：對于OUTBOUND流量，LinkController接收到流量以后，可以智能的將OUTBOUND流量分配到不同的INTERNET接口，并做源地址的NAT，可以指定某一合法IP地址進行源地址的NAT，也可以用LinkController的接口地址自動映射，保證數(shù)據(jù)包返回時能夠正確接收。對于INBOUND流量，LinkController分別綁定兩個ISP服務商的公網(wǎng)地址，解析來自兩個ISP服務商的DNS解析請求。LinkController不僅可以根據(jù)服務器的健康狀況和響應速度回應LDNS相應的IP地址，還可以通過兩條鏈路分別與LDNS建立連接，根據(jù)RTT時間判斷鏈路的好壞，并且綜合以上兩個參數(shù)回應LDNS相應的IP地址。3.2系統(tǒng)高可用性系統(tǒng)高可用性主要可以從以下幾個方面考慮：1．設(shè)備自身的高可用性：F5BIG-IP專門優(yōu)化的體系結(jié)構(gòu)和卓越的處理能力保證99.999%的正常運行時間，在雙機冗余模式下工作時可以實現(xiàn)毫秒級切換，保證系統(tǒng)穩(wěn)定運行，另外還有冗余電源模塊可選。在采用雙機備份方式時，備機切換時間最快會在200ms之內(nèi)進行切換。BIG-IP產(chǎn)品是業(yè)界唯一的可以達到毫秒級切換的產(chǎn)品,而且設(shè)計極為合理，所有會話通過Active的BIG-IP的同時，會把會話信息通過同步數(shù)據(jù)線同步到Backup的BIG-IP，保證在BackupBIG-IP內(nèi)也有所有的用戶訪問會話信息；另外每臺設(shè)備中的watchdog芯片通過心跳線監(jiān)控對方設(shè)備的電頻，當ActiveBIG-IP故障時，watchdog會首先發(fā)現(xiàn)，并通知BackupBIG-IP接管SharedIP，VIP等，完成切換過程，因為BackupBIG-IP中有事先同步好的會話信息，所以可以保證訪問的暢通無阻。2．鏈路冗余：BIG-IP可以檢測每條鏈路的運行狀態(tài)和可用性，做到鏈路和ISP故障的實時檢測。一旦出現(xiàn)故障，流量將被透明動態(tài)的引導至其它可用鏈路。通過監(jiān)控和管理出入數(shù)據(jù)中心的雙向流量，內(nèi)部和外部用戶均可保持網(wǎng)絡的全時連接。3.3高度的安全性BIG-IP采用防火墻的設(shè)計原理，是缺省拒絕設(shè)備，它可以為任何站點增加額外的安全保護，防御普通網(wǎng)絡攻擊?？梢酝ㄟ^支持命令行的SSH或支持瀏覽器管理的SSL方便、安全的進行遠程管理，提高設(shè)備自身的安全性；能夠拆除空閑連接防止拒絕服務攻擊；能夠執(zhí)行源路由跟蹤防止IP欺騙；拒絕沒有ACK緩沖確認的SYN防止SYN攻擊；拒絕teartop和land攻擊；保護自己和服務器免受ICMP攻擊；不運行SMTP、FTP、TELNET或其它易受攻擊的后臺程序。BIG-IP的DynamicReaping特性可以高效刪除各類網(wǎng)絡DoS攻擊中的空閑連接，這可以保護BIG-IP不會因流量過多而癱瘓。BIG-IP可以隨著攻擊量的增加而加快連接切斷速率，從而提供一種具有極強適應能力、能夠防御最大攻擊量的解決方案。BIG-IP的DelayBinding技術(shù)可以為部署在BIG-IP后面的服務器提供全面地SYNFlood保護。此時，BIG-IP設(shè)備作為安全代理來有效保護整個網(wǎng)絡。BIG-IP可以和其它安全設(shè)備配合，構(gòu)建動態(tài)安全防御體系。BIG-IP可以根據(jù)用戶單位時間內(nèi)的連接數(shù)生成控制訪問列表，將該列表加載到其它安全設(shè)備上，有效控制攻擊流量。3.4系統(tǒng)管理BIG-IP提供HTTPS、SSH、Telnet、SNMP等多種管理方式，用戶客戶端只需操作系統(tǒng)自帶的瀏覽器軟件即可，不需安裝其它軟件?？梢酝ㄟ^支持命令行的SSH或支持瀏覽器管理的SSL方便、安全的進行遠程管理。直觀易用的Web圖形用戶界面大服務降低了多歸屬基礎(chǔ)設(shè)施的實施成本和日常維護費用。BIG-IP包含詳盡的實時報告和歷史紀錄報告，可供評測站點流量、相關(guān)ISP性能和預計帶寬計費周期。管理員可以通過全面地報告功能充分掌握帶寬資源的利用狀況。另外，通過F5的i-Control開發(fā)包，目前國內(nèi)已有基于i-Control開發(fā)的網(wǎng)管軟件x-control,可以定制針對系統(tǒng)服務特點的監(jiān)控系統(tǒng),比如服務的流量情況、各種服務連接數(shù)、訪問情況、節(jié)點的健康狀況等等，進行可視化顯示。告警方式可以提供syslog、snmptrap、mail等方式。3.5其它BIG-IP內(nèi)置i-ControlSDK二次開發(fā)包，可以通過API接口方便的取得各種流量統(tǒng)計信息，作為計費的依據(jù)。在Web用戶界面上面也可以方便的查看各種流量統(tǒng)計信息，如果需要按照流量計費，可以使用以上兩種方式取得流量的統(tǒng)計信息。F5NETWORKS免費提供安裝在服務器端、動態(tài)獲取服務器信息的agent軟件，將其安裝在服務器端以后，就可以動態(tài)獲取服務器當前運行狀態(tài)。內(nèi)存擴充能力：F5bigip3400以上單機最大可擴充到4GB內(nèi)存，此時可支持800萬并發(fā)回話；bigip3400以及bigip1500單機最大可擴充至2GB內(nèi)存，此時可支持400萬并發(fā)會話數(shù)。升級能力：F5所有設(shè)備均可通過軟件方式升級，在服務有效期內(nèi)，升級軟件包由F5公司提供。IP地址過濾和帶寬控制：BIG-IP可以根據(jù)訪問控制列表對數(shù)據(jù)包進行過濾，并且針對某一關(guān)鍵應用進行帶寬控制，確保關(guān)鍵應用的穩(wěn)定運行。配置管理及系統(tǒng)報告：F5BIG-IP提供WEB界面配置方式和命令行方式進行配置管理，并在其中提供了豐富的系統(tǒng)報告，更可通過i-Control自行開發(fā)復雜的配置及報告生成。服務：在F5的體系中，擁有代理商、廠商等多級服務與支持體系，可以保證用戶購買的產(chǎn)品得到優(yōu)異的售后服務支持，提供24小時熱線服務電四．方案設(shè)計4.1網(wǎng)絡拓撲圖此方案設(shè)計中采用的拓撲圖如下所示：鏈路負載均衡網(wǎng)絡拓撲圖4.2方案設(shè)計描述4.2.1方案設(shè)計總體描述本方案設(shè)計采用F5Networks公司鏈路負載均衡設(shè)備LinkController來實現(xiàn)網(wǎng)絡中兩條鏈路Inbound（從Internet發(fā)起對內(nèi)部服務器的訪問）和Outbound（內(nèi)部客戶端發(fā)起對Internet的訪問）方向負載均衡；整個系統(tǒng)采用全冗余網(wǎng)絡連接方式設(shè)計，來保證系統(tǒng)的高可用性和高可靠性。方案具體實現(xiàn)方式如下：1．對于Outbound流量，LinkController接收到流量以后，可以智能的將訪問ISP1的資源的Outbound流量分配到ISP1的接口，并做源地址的NAT，（可以指定某一合法IP地址進行源地址的NAT，也可以用LinkController的接口地址自動映射），保證數(shù)據(jù)包返回時能夠正確接收，其他的流量走ISP2的線路。對于Inbound流量，LinkController分別綁定兩個ISP服務商的公網(wǎng)地址，解析來自兩個ISP服務商的DNS解析請求。ISP1的用戶訪問通過ISP1的線路訪問內(nèi)部，其他的用戶訪問通過ISP2的線路來訪問內(nèi)部。LinkController不僅可以根據(jù)服務器的健康狀況和響應速度回應LDNS相應的IP地址，還可以通過兩條鏈路分別與LDNS建立連接，根據(jù)RTT時間判斷鏈路的好壞，并且綜合以上兩個參數(shù)回應LDNS相應的IP地址。4.2.2鏈路負載均衡及冗余兩臺LinkController以Active-Backup方式實現(xiàn)網(wǎng)絡中兩條鏈路的負載均衡及冗余。LinkController可以根據(jù)相應的鏈路負載均衡算法和iRules規(guī)則來實現(xiàn)快速訪問的智能引導，比如將訪問電信的用戶引導至電信鏈路，訪問網(wǎng)通的用戶引導至網(wǎng)通鏈路，解決了不同ISP之間的互連互通問題，保證了最好的訪問速度和最高的訪問效率。同時，LinkController的健康檢查機制實現(xiàn)對鏈路健康狀況的實時監(jiān)控，當有鏈路出現(xiàn)故障時LinkController會屏蔽故障鏈路，并自動將流量切向其它正常工作的備份鏈路，實現(xiàn)了鏈路的高可用性。4.2.3設(shè)備自身冗余性BIGIP設(shè)備以Active-Backup的冗余方式方連接，處于Backup的設(shè)備采用“心跳線”監(jiān)測Active的設(shè)備的狀態(tài)，當檢測出設(shè)備故障時，兩臺設(shè)備就會產(chǎn)生ms級切換，Backup設(shè)備會切換為Active，為用戶提供服務，保證了系統(tǒng)的高可用性。4.2.4易于管理性BIGIP產(chǎn)品不僅提供https的安全Web界面管理，本地基于SerialConsole的管理和SSH安全遠程命令行管理，還有基于中文網(wǎng)管軟件XControl的管理，靈活多樣的管理方式使日常的維護和Troubleshooting更加方便快捷。XControl是北京信諾瑞得信息技術(shù)有限公司基于F5開放API接口iControl和SDK開發(fā)包開發(fā)出來的，針對F5設(shè)備進行監(jiān)控管理的軟件產(chǎn)品。五．關(guān)鍵技術(shù)介紹5.1LinkController工作原理LinkController的工作原理可以分成兩部分介紹：Inbound流量(Internet用戶訪問內(nèi)網(wǎng)服務器及DNS查詢的流量)和Outbound流量(內(nèi)網(wǎng)用戶主動發(fā)起的訪問Internet服務器的流量)，下面從這兩方面介紹LinkController的工作原理。Inbound流量Inbound流量包括內(nèi)部服務器域名的DNS查詢請求以及對內(nèi)部服務器進行訪問的流量。有兩條鏈路接入，分別對應不同的IP地址段。內(nèi)部每一種服務在LinkController上面的不同網(wǎng)段分別對應一個IP地址，LinkController通過對不同的LDNS解析不同的地址來實現(xiàn)Inbound流量在多條鏈路上面的負載均衡。假定現(xiàn)在外部公網(wǎng)一個用戶發(fā)起對Web服務器的訪問，LinkController負責處理該域名最終的A記錄查詢，具體訪問流程如下：1)：Client向其本地DNS（LDNS）發(fā)出域名解析請求，請求解析域名的IP地址。2)：LDNS首先搜索本地的高速緩存里面是否有相應的記錄，如果沒有就向ROOT服務器發(fā)起查詢的地址，得到兩個NS記錄，它們分別對應LinkController在兩個ISP網(wǎng)段的地址(兩臺LinkController冗余工作模式下為兩個VLAN的漂移地址)。3)：LDNS將向得到的第一個IP地址發(fā)起對的查詢。如果這第一個地址在允許的連接條件下，無法連接到或得到解析結(jié)果，則LDNS將對第二個地址發(fā)起DNS查詢請求。4)：這時，請求由LDNS到達LinkController。LinkController首先判斷服務器的健康狀況，并且根據(jù)預先定義的負載均衡算法決定返回給LDNS那個IP地址。5)：LDNS得到解析結(jié)果，并將結(jié)果返回給Client端。6)：Client對得到的IP地址發(fā)起連接請求，請求最終到達LinkController。7)：LinkController將客戶端的連接請求負載均衡到內(nèi)部的服務器或?qū)⒘髁控撦d均衡到防火墻并將響應結(jié)果返回給客戶端。Outbound流量這部分流量主要是內(nèi)部用戶和服務器主動發(fā)起的對公網(wǎng)的訪問，當這部分流量到達LinkController時，LinkController會判斷兩條鏈路的健康狀況并決定將流量負載均衡到哪條鏈路，判斷好將流量分配到哪條鏈路之后將數(shù)據(jù)包的源地址轉(zhuǎn)換成相應ISP網(wǎng)段的公網(wǎng)地址(SNAT)后將該數(shù)據(jù)包發(fā)出；響應數(shù)據(jù)包返回到LinkController時，LinkController將目的地址進行轉(zhuǎn)換之后將數(shù)據(jù)包發(fā)給內(nèi)部的用戶或服務器。5.2鏈路負載均衡算法隨機（Random）：隨機返回給用戶某一條鏈路的IP地址。比率（Ratio）：預先給每條鏈路定義一個權(quán)值，按照這個比率返回給用戶某一條鏈路對應的IP地址。返回給LDNS（ReturntoDNS）：立即將連接請求返回給LDNS處理。輪詢（RoundRobin）：將提供某種應用的所有站點放在一個隊列當中，按順序依次返回給用戶隊列中下一個站點的IP地址。靜態(tài)會話保持（StaticPersist）：這種算法將維護一個LDNS到某一個站點的映射表，同一個LDNS的查詢請求在預定的時間過期之前會返回同一個IP地址。完成比例(CompletionRate)：當接收到LDNS的查詢請求的時候，LinkController會返回給用戶丟包或超時數(shù)據(jù)包最少的鏈路對應的IP地址。跳數(shù)(Hops)：當接收到LDNS的查詢請求的時候，LinkController會發(fā)起查詢請求的LDNS之間的路由跳數(shù)。BIG-IPLC根據(jù)返回的跳數(shù)解析給LDNS跳數(shù)最少的站點的IP地址。千字節(jié)/秒(Kilobyte/second)：LinkController會選擇一個當前處理的Kbyte/Sec數(shù)值最小的一個站點返回給發(fā)起查詢請求的LDNS。最小連接數(shù)(LeastConnection)：LinkController會選擇一個當前處理連接最少的站點返回給發(fā)起查詢請求的LDNS。包比例(PacketRate)：LinkController會選擇一個當前每秒鐘處理數(shù)據(jù)包最少的一個站點返回給發(fā)起訪問請求的LDNS。基于拓撲的路由（Topology）：采用拓撲數(shù)據(jù)庫，LinkController鏈路控制器可準確確定用戶的位置，并根據(jù)預定義的策略通過所需鏈路路由流量。RTT(RoundTripTimes)：當收到LDNS查詢請求的時候，LinkController會反向探測發(fā)起查詢請求的LDNS，并且計算從發(fā)起反向探測到接受到響應得時間間隔。LinkController根據(jù)這個時間間隔返回給LDNS一個間隔最短的鏈路對應的IP地址。服務質(zhì)量(QoS)：LinkController通過收集每條鏈路中心RTT時間、跳數(shù)、完成比率、包比率、地理拓撲、鏈路容量、VS(VirtualServer)容量、Kbyte/Sec的數(shù)值進行綜合計算，計算之后每個數(shù)據(jù)中心都會有一個權(quán)值，然后根據(jù)這個權(quán)值返回給LDNS相應的站點的IP地址。VS容量(VSCapacity)：當使用這種算法的時候，LinkController將所有的VirtualServer放在一個隊列當中，并把每個VirtualServer的容量作為他們的權(quán)重，按照這個權(quán)重返回給LDNS相應的站點VirtualServer的IP地址。5.3鏈路健康檢查在Layer2健康檢查涉及到用來對給定的IP地址尋找MAC地址的地址分辨協(xié)議(ARP)請求。因為BIGIP設(shè)置了真實網(wǎng)絡設(shè)備（鏈路對端網(wǎng)關(guān)）的IP地址，它會發(fā)送針對每一個真實網(wǎng)絡設(shè)備（鏈路對端網(wǎng)關(guān)）的IP地址的ARP請求以找到相應的MAC地址，網(wǎng)絡設(shè)備（鏈路對端網(wǎng)關(guān)）會響應這個ARP請求，除非它已經(jīng)停機。在Layer3健康檢查涉及到對真實路由器發(fā)送”ping”命令。“ping”是常用的程序來確認一個IP地址是否在網(wǎng)絡中存在，或者用來確認鏈路是否正常工作。在Layer4，BIGIP會試圖聯(lián)接到一個特定應用在運行的TCP或UDP端口。舉例來說，如果VIP是被綁定在端口80做Web應用的話，BIGIP試圖建立一個聯(lián)接到真實服務器的80端口。BIGIP發(fā)送一個TCPSYN請求包到每個真實服務器的80端口，并檢查回應的TCPSYNACK數(shù)據(jù)包是否收到，如果哪一個沒有收到，BIGIP就確認那臺服務器不能正常提供服務，BIGIP單獨針對服務器的每個應用端口做健康檢查并單獨做關(guān)于其服務器的診斷結(jié)果是非常重要的。這樣一來真實服務器的80服務可能停機，但是端口21可能正常工作，BIGIP可以繼續(xù)利用這個服務器的21端口提供FTP服務，同時確認這個服務器的Web應用已經(jīng)停機，這樣一來就提供了一個高效率的負載均衡解決方案，細分健康檢查的做法有效地提高了服務器的處理能力。采用在鏈路對端放置服務器的方式可以判斷鏈路是否正常工作5.4UIE+iRules在LinkController上，我們還可以同過LinkController的UIE和iRules來實現(xiàn)四層的流量檢測和靈活的負載均衡策略定義。UIE—UniversalInspectionEngine通用搜索引擎，可以檢測TCP/UDP數(shù)據(jù)包中的任何內(nèi)容，例如客戶端IP、客戶端源端口、服務端IP、服務端端口、客戶端數(shù)據(jù)、服務端數(shù)據(jù)。通過一系列的字符串和二進制處理機制，可以將處理的結(jié)果交給iRules進行判斷和處理。iRules可以根據(jù)UIE監(jiān)測到的數(shù)據(jù)來對流量進行處理。例如，iRules可以配置為判斷以下條件：是否數(shù)據(jù)包的目的地址是電信的？是否數(shù)據(jù)包中目的端口是”80”在獲取判斷條件后，iRules則可對該數(shù)據(jù)流進行處理。例如：如果數(shù)據(jù)包目的地址是電信地址的，將流量導向到電信鏈路；如果數(shù)據(jù)包目的端口為1863，就將其放入rateclass里限制帶寬為1M；5.5帶寬管理BIGIP靈活的第7層帶寬管理能力可使企業(yè)對帶寬進行有效管理，以確保高優(yōu)先級應用能夠得到按時交付。同時，它還提供了定制控制能力，以設(shè)定基于應用的帶寬限制（容許的帶寬峰值），甚至還能在應用之間建立隊列關(guān)系。帶寬管理的功能特點：1．靈活的帶寬管理靈活的帶寬限制支持帶寬借用根據(jù)應用進行帶寬列隊（帶寬平均分配，F(xiàn)IFO）2．從二層到七層的精細的流量分類可以根據(jù)IP地址，端口，以及基于七層內(nèi)容進行流量分類，定制適合的帶寬策略。3．雙向流量控制BIGIP可以提供雙向流量的帶寬管理，確保高優(yōu)先級應用能夠按時交付。5.6HTTP流量壓縮利用BIGIP的流量壓縮功能，支持多種類型的文件壓縮，從而在降低80%網(wǎng)絡帶寬的同時，將應用性能提高3倍以上，并且解決了互聯(lián)網(wǎng)延遲和客戶機連接瓶頸對其應用性能的所造成的影響。5.7設(shè)備自身冗余機制BIGIP可以實現(xiàn)兩種方式實現(xiàn)冗余連接，一是Active-Backup方式，另一種是Active-Active方式。物理連接方式如下圖所示：F5Networks公司BIGIP產(chǎn)品是業(yè)界唯一實現(xiàn)雙機冗余毫秒級切換的產(chǎn)品，而且設(shè)計合理。所有會話通過ActiveBIGIP同時，會話信息會通過同步數(shù)據(jù)線同步到BackupBIGIP，保證Active與Backup設(shè)備會話信息同步。且每臺設(shè)備中的watchdog芯片通過心跳線檢監(jiān)測對方設(shè)備電平，當ActiveBIGIP故障時，watchdog會首先發(fā)現(xiàn)，并且通知BackupBIGIP接管sharedip,VIP等，完成冗余切換過程，BackupBIGIP變成ActiveBackup，由于BackupBIGIP事先已經(jīng)保存了所有會話數(shù)據(jù)信息，可以保證所有在線會話的通暢和完整。兩臺設(shè)備的多種模式的冗余切換觸發(fā)機制：Watchdog：完全通過“心跳線”監(jiān)測物理信號判斷設(shè)備的運行狀況，適時進行冗余切換，采用這種方式，切換時間在50ms—200ms。Gatewayfailsafe：處于Active狀態(tài)的BIGIP定期與網(wǎng)關(guān)設(shè)備取得聯(lián)系，若在timeout時間內(nèi)得不到任何響應，就自動切換為Standby狀態(tài)。VlanArmfailsafe：通過判斷某個Vlan是否有流量，觸發(fā)切換。5.8API接口--iControl介紹為了確保電子商務取得成功，應用和網(wǎng)絡必須能夠緊密結(jié)合。網(wǎng)絡通知應用；應用指導網(wǎng)絡，這就是F5新型體系結(jié)構(gòu)的基礎(chǔ)。i-Control提供了業(yè)界最緊密集成的產(chǎn)品套件，利用統(tǒng)一的設(shè)備活動協(xié)作來對互聯(lián)網(wǎng)流量和內(nèi)容部署/提供進行端到端的控制。它提供了端到端集成所需要的產(chǎn)品間的安全通信，而且還可以通過開放式XMLAPI對F5產(chǎn)品進行編程，以支持客戶與合作伙伴應用間的集成（F5的i-Control內(nèi)部通信協(xié)議）。F5互聯(lián)網(wǎng)流量、應用和網(wǎng)絡管理體系如下圖所示：F5互聯(lián)網(wǎng)流量、應用和網(wǎng)絡管理體系結(jié)構(gòu)這種架構(gòu)方式克服了多廠商解決方案的最大問題：互操作性和管理復雜性，而且還避免了單廠商套件的最大問題：有限的靈活性、缺乏足夠的集成能力。這種架構(gòu)使服務提供商和企業(yè)能夠：管理和控制全球范圍的互聯(lián)網(wǎng)流量和內(nèi)容部署并實施