专用网络和安全设备采购项目实施方案（纯方案50页）.docx

目录一.工程概述及技术响应说明2二.需求分析22.1 互联网出口设备的需求2应用负载均设备的需求23.1 货物名称：互联网出口设备2货物名称：应用负载均衡8四 .技术方案设计13互联网出口设备134.1 应用负载均衡14.关键技术介绍17(-)本地服务器负载均衡算法17J/ J/ J/ 1/ / n/ 二三四五六七本地服务器/防火墙健康检查机制18会话保持技术20 智能流量压缩22连接优化和长连接负载均衡22API 接口 iControl24系统平安性25六、产品相关介绍32(一) 互联网出 口设备(F5 BIG IP 4000s) 32应用负载均衡(F5 Bigip 2000s LTM) 34七、技术支持服务367.2技术培训38八 保证工期的施工组织方案及人力资源安排40机房环境勘测及准备408.1 工程界面和责任分工41工程实施流程438.2 工程进度计划43工程实施内容448.3 工程实施控制46工程实施人员一览表50查和代码高亮显示。支持负载 均衡、DNS处理、用户认证、 NAT、路由转发、会话保持等功 能的可编程控制。支持主动向 第三方服务（如Web Service） 发起请求。如支持，请详细描 述提供的可编程语言、操作界 面及在中国相同行业已使用的 案例详细说明。具，支持语法检查和代 码高亮显示。支持负载 均衡、DNS处理、用户 认证、NAT、路由转 发、会话保持等功能的 可编程控制。支持主动 向第三方服务（如Web Service）发起请求。操 作界面及在中国相同行 业已使用的案例详细说 明请参考附件二 3、支持工业标准的SOAP和 REST API接口，实现与第三方 管理软件的无缝集成。提供主 流 编 程 语 言 Perl, PHP, Python, Java, Ruby 的 编程示范代码。提供API/SDK开发包， 具备二次开发能力，能 够定制应用健康检查机 制；便于 Microsoft, BEA, Oracle等应用软 件无缝结合。无偏禺4、支持四个以上的多重引导， 便于软件版本升级。支持四个以上的多重引 导，便于软件版本升级无偏离5、支持在线升级功能，并支持 基于Web的升级方式。支持在线升级功能，并 支持基于Web的升级方 式无偏离6、支持多台设备集群方式，问 一集群中的设备支持不同平台， 包括硬件平台和虚拟化平台。支持多台设备集群方 式，同一集群中的设备 支持不同平台，包括硬 件平台和虚拟化平台。无偏离应用交付要求：9应用负载均衡1、将一个用户的多个请求或者 多个用户的请求合成一个连接 发送到服务器，减小应用服务 器的压力，提升用户响应速 度。支持连接复用功能。供 将一个用户的多个请求 或者多个用户的请求 合成一个连接发送到服 务器，减小应用服务器 的压力，提升用户响应 速度无偏离2、使用工业标准的GZIP和 Deflate压缩算法来压缩 流量，缺省提供最大压缩处理 能力。供使用工业标准的GZIP 和Deflate压缩算法来 压缩 流量，降低 带宽消耗、缩短最终用 户在慢速/低带宽连接 条件下的下载时间无偏离3、利用内存来缓存用户频繁访 问的web动态和静态内容，从提供利用内存来缓存用 户频繁访问的web静态无偏离而减小应用服务器的压力，提 升用户响应速度。内容，从而减小应用服 务器的压力，提升用户 响应速度。4、支持 2. 0网关，在不改 变web服务器的情况下提供 2.0代理,提升终端用户使 用体验和业务平安性。支持 2. 0网关，在 不改变web服务器的情 况下提供 2. 0代 理，提升终端用户使用 体验和业务平安性。无偏离 5、完善的第四/七层交换功 能，支持可定制的基于应用层 的健康检查方式，支持基于IP 地址、Cookie等信息的会话保 持，并可根据特定信息定制会 话保持方式。完善的第四/七层交换 功能，支持可定制的基 于应用层的健康检查方 式，支持基于IP地 址、Cookie等信息的会 话保持，并可根据特定 信息定制会话保持方 式。无偏离6、提供基于源IP、URL、SIP、 SSL ID. HASH、插入 cookie 以 及自定义字段等多种方式多种 场景下的会话保持功能。提供基于源IP、URL、 SIP、SSL ID. HASH、插 入cookie以及自定义 字段等多种方式多种场 景下的会话保持功能。无偏离7、支持基于消息的负载均衡方 式。对于某些应用服务，尤其 是外联业务中的长连接服务， 可以将连接拆包，识别每个消 息后，基于消息分发请求。从 而解决前置应用一对一连接的 的单点问题。支持基于消息的负载均 衡方式。对于某些应用 服务，尤其是外联业务 中的长连接服务，可以 将连接拆包，识别每个 消息后，基于消息分发 请求。从而解决前置应 用一对一连接的的单点 问题。无偏禺8、支持出向Internet链路负 载均衡，具有动态就近性探 测，识别网络每一跳的延迟， 综合选出最正确链路资源（需提供 官方文档说明）。支持出向Internet链 路负载均衡，具有动态 就近性探测，识别网络 每一跳的延迟，综合 选出最正确链路资源，官 方说明文档参考附件 二。无偏离管理要求：9应用负载均衡1、提供免费的在线自助巡检系 统，可以随时对设备的运行状提供免费的在线自助巡 检系统，可以随时对设无偏离态、日志记录、异常报警、设 备配置、性能图表、软件版本 等进行检测和分析，生成状态 诊断和分析报告。备的运行状态、日志记 录、异常报警、设备配 置、性能图表、软件版 本等进行检测和分析， 生成状态诊断和分析报 告2、内置了对主流应用如 Weblogic, HS, SAP > Oracle ApplicationServer 、SharePoint> VMware View 的配 置模板，并可导入定制的应用 模板。支 持 application template,内置了对主 流应用如Weblogic, IIS,SAP 、 Oracle Application Server 的 配置策略建议，简化管 理。无偏禺3、在设备上可以根据访问业务 的客户的源IP来提供客户的具 体地域信息。在设备上可以根据访问 业务的客户的源IP来 提供客户的具体地域信无偏离4、无需利用端口镜向功能，系 统自身提供的类似tcpdump的 实时抓包工具，可以对通过自 身设备的数据包进行抓包分 析，可产生三个以上抓包文 件。无需利用端口镜向功 能，系统自身提供的 tcpdump的实时抓包工 具，可以对通过自身设 备的数据包进行抓包分 析，可产生三个以上抓 包文件无偏离设备售后服务要求：9应用负载均衡 1、要求提供三年原厂备件先 行服务，在第二个工作日，同 型号备机到达用户指定地点。提供三年原厂备件先行 服务，在第二个工作 日，同型号备机到达用 户指定地点无偏离 2、要求提供三年原厂软件升 级，故障修复，5X8小时的 400免费技术支持热线等服务。提供三年原厂软件升 级，故障修复，5义8小 时的400免费技术支持 热线等服务无偏离U!I.技术方案设计4互联网出口设备系统功能需求为了适应业务开展的需求，系统必须满足以下功能：1 .高性能一采用丰富的负载均衡架构实现；可实现多服务器负载，多链路负载，使流量 可以合理智能的分配，提高系统整体的性能。2 .高可用性一系统运行稳定，无单点故障。3 .智能性一自动将用户请求发送到就近中心进行访问4 .高可管理性一系统具有平安，方便的管理特点。5 .高可扩展性一可以随时根据需要添加站点以及服务器而不需要中断其它服务。6 .1.2两个站点负载均衡自动导向到预定制化好的站点F5上可以利用全球可用性算法实现自动导向到预定制化好的站点的需求。做到当某一 个站点出现问题后，自动切换到预先定义好的另一个站点上去。全球可用性算法主要用于 灾难备份系统。通过GTM的健康检查算法，可判断各站点或线路的健康状态。并在配置的 时候，将同一域名所对应的IP地址进行排序，在系统正常的时候，仅会有排名第一的服务 器对外提供服务。只有在排名第一的服务器无法对外提供服务的时候，由排名第二的服务 器接管服务。如果有多线路或者多站点那么依次类推。7 .1.3中心业务高可靠F5可以实现各个区域业务的多服务器负载分担，实现应用级别的高可靠，从而使用 户的应用效率得到整体的提升，可靠性得到更大的保障。当主中心多条线路接入时，F5 可以智能的将用户的请求分配到合理的线路上，使用户的访问效率提升3-5倍。任何一 条线路如果出现故障均不会影响业务访问，可靠性得到大幅提升。8 .1.4方案设计描述InternetInternet1111 1 rpl Si I内网服务器主楼数据中心内网服务器灾备数据中心多活业务部署在2个数据中心，针对互联网接入层，数据中心通过1对F5 4000s来实现 智能DNS解析功能，及进出方向链路的负载功能。针对多链路及WEB服务器进行负载均 衡，F5将客户端的请求平均分配给多台服务器处理，当任意一台服务器出现故障不影响 业务访问，实现了单中心的业务级高可靠。一旦双中心业务部署好后，F5 GTM进行Inbound流量的域名解析，实现双中心的容灾。 F5GTM设备是一台智能的DNS,它根据地理位置上分散用户根据不同数据中心的响应导向 响应最快的站点，并且在将用户导向到不同的数据中心的时候需要以下因素：站点故 障、软件故障、内容错误、网络故障、网络流量过载等。监视这些因素，定期与世界各 地的每一个站点进行通信，然后根据通信过程中得到的参数将客户的请求传送到性能最 佳的站点。4.2应用负载均衡针对应用负载，本系统中采用F5公司两台BIGIP 2000sLTM设备，实现系统中多种服 务器的负载均衡及会话保持，其中两台F5 BIGIP 2000s设备实现Active-Active或 Active-Standby冗余方式。支持N+M集群方式。两台BIGIP实现双机冗余，连接到交换 机，服务器也连接层交换机，实现服务器的负载均衡及冗余。采用F5 Networks公司BIGTP实现服务器负载均衡，对于需要定位在一台服务器上 访问的用户，可以采用BIGIP的源IP或者Cookie的会话保持法将用户会话保持在同一台 服务器，保证访问的持续性和完整性；通过提供内存Cache动态页面中的静态内容，在 不改变后台应用的情况下，提高用户的终端体验。同时采用整个系统采用全冗余网络连 接方式设计，来保证系统的高可用性和高可靠性。方案具体实现方式如下：1 ,服务器负载均衡及冗余服务器负载均衡包括三个方面，其一是将用户访问流量均衡分配到各台服务器，使服务 器资源得到充分利用，提高服务器群整体的性能；其二是对服务器节点的健康检查，保 证流量被负载均衡到正常工作的服务器；第三是对于需要定位到某台服务器进行访问的 用户来说，采用会话保持技术来保证用户会话的持续性。对于本系统中用到的服务器集群，BIGIP可以运用多种静态或动态的负载均衡算法，来实 现智能分配负载，确保客户最大限度发挥其服务器投资价值。同时，BIGIP可以利用 EAV/ECV （扩展应用查证/扩展内容查证）等精确的检测方法监视服务器的可用性和性能， 将用户的请求导向到集群中最符合要求的服务器，当某台服务器故障时，能从集群中被 隔离出来，直到故障服务器恢复后自动加入服务器集群，不影响用户的正常访问，从而 实现服务器的负载均衡及冗余特性。同时，BIGIP可利用其会话保持功能进行智能的流量 分配和处理，保证用户访问的持续性和完整性。2 .服务器负载均衡及冗余BIGIP设备以Active-Standby的冗余方式方连接，处于Standby的设备采用“心跳线” 监测Active的设备的状态，当检测出设备故障时，两台设备就会产生ms级切换， Standby设备会切换为Active,为用户提供服务，保证了系统的高可用性。3 .易于管理性BIGIP产品不仅提供 s的平安Web界面管理，本地基于Serial Console的管理和SSH 平安远程命令行管理，灵活多样的管理方式使日常的维护和Troubleshooting更加方便 快捷。4 . 2.1健康检查BIG-IP LTM提供了先进的监视器，用于检查设备、应用和内容的可用性，包括适合多种 应用的专用监视器(包括多种应用服务器、SQL、SIP、LDAP、XML/SOAP、RTSP、SASP、 SMB等)，以及用于检查内容和模拟应用调用的定制监视器。服务器(Node) - Ping (ICMP)BIGIP可以定期的通过ICMP包对后台服务器的IP地址进行检测，如果在设定的时间内能 收到该地址的ICMP的回应，那么认为该服务器能提供服务 服务(Port) - ConnectBIGIP可以定期的通过TCP包对后台服务器的服务端口进行检测，如果在设定的时间内能 收到该服务器端口的回应，那么认为该服务器能提供服务 扩展内容查证(ECV: Extended Content Verification)-ECVECV是一种非常复杂的服务检查，主要用于确认应用程序能否对请求返回对应的数据。如 果一个应用对该服务检查作出响应并返回对应的数据，那么BIG/IP控制器将该服务器标识 为工作良好。如果服务器不能返回相应的数据，那么将该服务器标识为宕机。宕机一旦修 复，BIG/IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。该 功能使BIG/IP可以将保护延伸到后端应用如Web内容及数据库。BIG/ip的ECV功能允许 您向Web服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询，然后检 查返回的响应。这将有助于确认您为客户提供的内容正是其所需要的。扩展应用查证(EAV: Extended Application Verification)EAV是另一种服务检查，用于确认运行在某个服务器上的应用能否对客户请求作出响应。 为完成这种检查，BIG/IP控制器使用一个被称作外部服务检查者的客户程序，该程序为 BIG/IP提供完全客户化的服务检查功能，但它位于BIG/IP控制器的外部。例如，该外部 服务检查者可以查证一个Internet或Intranet上的从后台数据库中取出数据并在HTML 网页上显示的应用能否正常工作。EAV是BIG/IP提供的非常独特的功能，它提供管理者 将BIG/IP客户化后访问各种各样应用的能力，该功能使BIG/IP在提供标准的可用性查证 之外能获得服务器、应用及内容可用性等最重要的反应。该功能对于电子商务和其它应用至关重要，它用于从客户的角度测试您的站点。例如， 您可以模拟客户完成交易所需的所有步骤一连接到站点、从目录中选择工程以及验证交 易使用的信用卡。一旦BIG/ip掌握了该可用性”信息，即可利用负载平衡使资源到达最 高的可用性。防止“不平衡”现象BIG-IP利用Virtual Server虚拟服务器（VS由IP地址和TCP/UDP应用的端口组成） 来为用户的一个或多个目标服务器（称为Node：目标服务器的IP地址和TCP/UDP应用的 端口组成，它可以是私网地址）提供服务。因此，它能够为大量的基于TCP/IP的网络应 用提供服务器应用交付服务。根据服务类型不同分别定义服务器群组，可以根据不同服 务端口将流量导向到相应的服务器。BIG-IP连续地对目标服务器进行L4到L7合理性检 查，当用户通过VIP请求目标服务器服务时，BIGTP根据目标服务器之间性能和网络健 康情况，选择性能最正确的服务器响应用户的请求。如果能够充分利用所有的服务器资 源，将所有流量均衡的分配到各个服务器，我们就可以有效地防止“不平衡”现象的发 生。BIGIP设备采用多种静态和动态负载均衡算法实现Web服务器负载均衡，并采用 EAV/ECV等精确的检测方法及时检测出服务器故障，隔离故障服务器，直到其恢复正常。 对于需要定位在一台服务器上访问的用户，可以采用BIGIP特有的Cookie的会话保持方 法将用户会话保持在同一台服务器，保证访问的持续性和完整性。五.关键技术介?（一）本地服务器负载均衡算法BIG-IP可以提供12种灵活的算法将数据流有效地转发到它所连接的服务器群、用户 此时只须记住一台服务器，即虚拟服务器。但他们的数据流却被BIG-IP灵活地均衡到所 有的服务器。这12种局域负载均衡算法包括：1 .静态负载均衡算法轮询（Round Robin）：顺序循环将请求一次顺序循环地连接每个服务器。当其中某 个服务器发生第二到第7层的故障，BIG-IP就把其从顺序循环队列中拿出，不参加下一次 的轮询，直到其恢复正常。比率（Ratio）：给每个服务器分配一个加权值为比例，根据这个比例，把用户的请求 分配到每个服务器。当其中某个服务器发生第二到第7层的故障，BIG-IP就把其从服务器 队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。优先权(Priority)：给所有服务器分组，给每个组定义优先权，BIG-IP用户的请求， 分配给优先级最高的服务器组(在同一组内，采用轮询或比率算法，分配用户的请求)； 当最高优先级中所有服务器出现故障，BIG-IP才将请求送给次优先级的服务器组。这种方 式，实际为用户提供一种热备份的方式。2 .动态负载均衡算法最少的连接方式(Least Connection)：传递新的连接给那些进行最少连接处理的服务 器。当其中某个服务器发生第二到第7层的故障，BIG-IP就把其从服务器队列中拿出，不 参加下一次的用户请求的分配，直到其恢复正常。最快模式(Fastest)：传递连接给那些响应最快的服务器。当其中某个服务器发生第 二到第7层的故障，BIG-IP就把其从服务器队列中拿出，不参加下一次的用户请求的分 配，直到其恢复正常。观察模式(Observed)：连接数目和响应时间以这两项的最正确平衡为依据为新的请求 选择服务器。当其中某个服务器发生第二到第7层的故障，BIG-IP就把其从服务器队列中 拿出，不参加下一次的用户请求的分配，直到其恢复正常。预测模式(Predictive)： BIG-IP利用收集到的服务器当前的性能指标，进行预测分析， 选择一台服务器在下一个时间片内，其性能将到达最正确的服务器相应用户的请求。(被 BIG-IP进行检测)动态性能分配(Dynamic Ratio-APM):BIG-IP收集到的应用程序和应用服务器的各项性 能参数，动态调整流量分配。动态服务器补充(Dynamic Server Act.):当主服务器群中因故障导致数量减少时，动态 地将备份服务器补充至主服务器群。服务质量(QoS)：按不同的优先级对数据流进行分配。服务类型(ToS)：按不同的服务类型(在Type of Field中标识)对数据流进行分配。规那么模式：针对不同的数据流设置导向规那么，用户可自行编辑流量分配规那么，BIG-IP 利用这些规那么对通过的数据流实施导向控制。(二)本地服务器/防火墙健康检查机制BIG-IP除了能够进行不同OSI层面的健康检查之外，还具有扩展内容验证(ECV)和扩展应用查证(EAV)两种健康检查方法。基本的健康检查方法有以下几种：在Layer 3健康检查涉及到对真实服务器发送ping命令。ping是常用的程序来确 认一个IP地址是否在网络中存在，或者用来确认主机是否正常工作。在Layer 4, BIG-IP会试图联接到一个特定应用在运行的TCP或UDP端口。举例来说， 如果VIP是被绑定在端口 80做Web应用的话，BIG-IP试图建立一个联接到真实服务器的 80端口。BIG-IP发送一个TCPSYN请求包到每个真实服务器的80端口，并检查回应的TCP SYN ACK数据包是否收到，如果哪一个没有收到，BIG-IP就确认那台服务器不能正常提供 服务，BIG-IP单独针对服务器的每个应用端口做健康检查并单独做关于其服务器的诊断结 果是非常重要的。这样一来真实服务器的80服务可能停机，但是端口 21可能正常工作， BIG-IP可以继续利用这个服务器的21端口提供FTP服务，同时确认这个服务器的Web应 用已经停机，这样一来就提供了一个高效率的负载均衡解决方案，细分健康检查的做法 有效地提高了服务器的处理能力。扩展内容查证(ECV： Extended Content Verification)：ECV是一种非常复杂的服务检查，主要用于确认应用程序能否对请求返回对应的数 据。如果一个应用对该服务检查做出响应并返回对应的数据，那么BIG-IP控制器将该服务 器标识为工作良好。如果服务器不能返回相应的数据，那么将该服务器标识为宕机。宕机 一旦修复，BIG-IP就会自动查证应用已能对客户请求做出正确响应并恢复向该服务器传 送。该功能使BIG-IP可以将保护延伸到后端应用如Web内容及数据库。BIG-IP的ECV功 能允许您向Web服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询， 然后检查返回的响应。这将有助于确认您为客户提供的内容正是其所需要的。用户可以定义发送和接收的字串，发送字串是指发送到一个服务器的请求命令，例 如：GET/字串发送到一个 服务器。服务器回应得字串必须与接收到的字串相匹配，例如f5 。ECV可以工作在正 常和透明节点模式。扩展应用查证(EAV: Extended Application Verification)：EAV是另一种服务检查，用于确认运行在某个服务器上的应用能否对客户请求做出 响应。为完成这种检查，BIG-IP控制器使用一个被称作外部服务检查者的客户程序，该程 序为BIG-IP提供完全客户化的服务检查功能，但它位于BIG-IP控制器的外部。例如，该外 部服务检查者可以查证一个从后台数据库中取出数据的应用能否正常工作。EAV是BIG-IP一.工程概述及技术响应说明我方受甲方的委托，现就专用网络和平安设备采购工程进行公开招标。其中购置 1批平安设备和1批网络设备，以及其后续三年维保服务。本次投标所用的型号F5 BIGIP 4000s和F5 BIGIP 2000s相关性能和功能，都 完全能满足工程需求。二.需求分析2.1 互联网出口设备的需求部署在互联网出口，提供链路负载、全局负载均衡及DNS功能，同时可提供平安 防护的功能，如防火墙、WAF及DD0S防护功能，针对应用还可提供加速功能。2.2 应用负载均设备的需求负载均衡设备利用多种静态和动态算法实现系统中多台服务器的负载均衡，使用 户访问流量能够均衡分配，提高服务器整体服务能力和性能。当有服务器发生故障时, 负载均衡设备利用EAV/ECV等精确的探测能力及时发现并隔离故障设备，直到其恢复 正常工作，实现服务器冗余。三.技术响应表分标：A3.1货物名称：互联网出口设备项号货物名称招标采购需求投标文件的响应情况偏离情况说明8互联网出口设备商务要求： 1、要求投标产品在最新 Gartner ADC应用交付魔力 象限中排名位于第一象限， 需提供Gartner官方链接或产品在最新Gartner ADC 应用交付魔力象限中排 名位于第一象限，相关 Gartner官方链接和报无偏离提供的非常独特的功能，它提供管理者将BIG-IP客户化后访问各种各样应用的能力，该 功能使BIG-IP在提供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要 的反应。该功能对于提高系统可靠性至关重要，它用于从客户的角度测试您的站点。例 如，您可以模拟客户完成交易所需的所有步骤一连接到前置服务器或中间件服务器、从 目录中选择工程以及验证交易使用的信用卡。一旦BIG-IP掌握了该“可用性”信息，即 可利用负载平衡使资源到达最高的可用性。BIG-IP已经为测试多种服务的健康情况和状 态，预定义了扩展应用验证(EAV),如：FTP、NNTP、SMTP、POP3和MSSQL等，用户还 可依据实际应用，自行编辑EAV脚本。F5产品健康检查的频度和间隔是可以根据用户的 要求而设置。通过F5灵活自定义方式的ECV健康检查方式，用户可以检查常见的应用如 、 SMTP、POP3等。而通过EAV健康检查方式，更可自行编写脚本，实现更加复杂的健康检 查方式，全面的检测后台服务器的运行状态，保证系统运行的高效，可靠。(三)会话保持技术当使用BIG-IP对服务器进行负载均衡时，就需要会话保持。如果某位用户连接到了 一台服务器上，那么我们肯定希望该用户在将来再次连接时将仍可连接到该台服务器 上。当该服务器存有用户相关数据，并且这些数据并不与其它服务器动态共享时，持续 性就显得十分有必要了。例如，假设一位用户在某网站采购了一 “购物车”的商品，然 后还未结帐就离开了该网站。如果在其重新登录网站后，BIG-IP应用交换机将客户请求路 由至不同的服务器，那么新的服务器对该用户的数据和其所购买的商品将一无所知。当 然，如果所有服务器都在同一个后台数据库服务器中存储用户信息及其选购商品的话， 那么一切就不成问题了。但是如果网站不是这样设计的，那么具体的购物车数据就只能 存储在特定的服务器上。这样，BIG-IP应用交换机就必需选择用户曾连接上的那台服务 器，以无缝地处理用户请求。BIG-IP 提供以下几种会话保持方法:Simple Persistence, SSL Session ID Persistence, SIP Persistence, Cookie Persistence, iMode Persistence,目的地址归类。Simple Persistence：根据源地址做会话保持，即相同源地址的访问请求定位在同一 台服务器上面。SSL Session ID Persistence：根据 SSL 会话 ID 做会话保持。SIP Persistence： SIP协议会话保持技术。 Cookie Persistence： BIG-IP支持四种Cookie会话保持技术，即：改写模式，插 入模式，被动的cookie, Cookie散列。1 .在Cookie改写模式下，服务器将插入一个cookie,然后BIG-IP应用交换机将对其进行 重写，访问流程如下：首次命中， 请求（不带有cookie）进入BIG-IP应用交换机，BIG-IP应用交换机任 选一台服务器，将请求发送至该服务器，来自该服务器的 回复此时包括一个空白的 cookie, BIG-IP应用交换机重写cookie,并在粘贴一个特殊的cookie后将 回复发送回 去。再次命中， 请求（带有与上面同样的cookie）进入BIG-IP应用交换机，BIG-IP应 用交换机借助cookie信息确定合适的服务器， 请求（带有与上面同样的cookie）进 入服务器， 回复（带有空白cookie）返回BIG-IP应用交换机，后者将向客户机提供 更新后的cookie。如图4.2所示：图4.1 Cookie会话保持改写模式.在Cookie插入模式下，BIG-IP插入一个cookie,服务器无需作出任何修改，访问流程 如下：首次命中， 请求（不带cookie）进入BIG-IP应用交换机，BIG-IP应用交换机任选 一台服务器，将请求发送至该服务器， 回复（不带cookie）被发回BIG-IP应用交换 机BIG-IP应用交换机插入cookie,将 回复返回到客户机。再次命中， 请求（带有与上面同样的cookie）进入BIG-IP应用交换机，Cookie 指定合适的服务器， 请求（带有与上面同样的cookie）进入服务器， 回复（不 带有cookie）进入BIG-IP应用交换机，后者将为客户机提供更新后的cookie。2 .在被动模式下，服务器使用特定信息来设置cookie,访问流程如下：首次命中， 请求（不带有cookie）进入BIG-IP应用交换机，BIG-IP应用交换机任 选一台服务器，将请求发送至该服务器， 回复（带有特定cookie）返回至BIG-IP应 用交换机，BIG-IP应用交换机将 回复（带有特定cookie）发回客户机。再次命中， 发送 请求（带有与上面同样的cookie） , Cookie指定合适的服务器， 请求（带 有与上面同样的cookie）进入服务器， 回复（带有特定cookie）返回至BIG-IP应用 交换机，后者将 回复（带有特定cookie）发送回客户机。BIG-IP应用交换机Cookie持续性模式与SSL持续性模式之间的主要区别在于：对于 Cookie持续性而言，数据存储在客户机上，而不是BIG-IP应用交换机上，因此可充分使用 客户机上的无限资源。即Cookie持续性表达在 Cookie上，而信息那么存储于客户机的 磁盘驱动器上。3 . Cookie会话保持散列模式该模式只能在BIG-IP HA控制器和企业上使用。散列模式使您可以通过设定cookie 中一定字节数的信息来确定连接的目的地。该模式用于将cookie值映射到节点上，之后 该值这将用于连接含该cookie的客户机，从而实现了节点的持续性。 智能流量压缩利用BIGIP的智能流量压缩功能，支持多种类型的文件压缩，从而在降低80%网络带 宽的同时，将应用性能提高3倍以上，并且解决了互联网延迟和客户机连接瓶颈对其应 用性能的所造成的影响。（五）连接优化和长连接负载均衡BIGIP可提供广泛的连接管理能力，以优化服务器性能，显著提高页面加载速度。连接优化可以实现以下功能：今可以提高服务器30%的服务能力-聚合大量用户请求为很少的服务器连接。令 将 1. 0的访问转化为 1. 1对服务器进行访问。令 智能的负载均衡连接聚合到不同的内容服务器（html, jpg, streaming等）。连接优化的几种方式及其原理: 令 OneConnect - Transformation:将一个用户的多个连接请求整合成一个连接对服务器进行访问。OneConnect 令 OneConnect - Content Switching将一个用户的多个请求拆开再重新整合，将整合后的结果负载均衡到不同的内容 服务器群。HTML SERVERGIF SERVERASP SERVER。 OneConnect - with client aggregation将多个用户的请求整合之后，将整合后的结果发送到不同的内容服务器群。增加了服务以上三种方式均对连接进行了优化，减少了服务器要处理的连接数, 器的容量，保证后端应用系统可以高效的处理这些请求。（六）API 接口 iControl为了确保电子商务取得成功，应用和网络必须能够紧密结合。网络通知应用；应用 指导网络，这就是F5新型体系结构的基础。i-Control提供了业界最紧密集成的产品套件，利用统一的设备活动协作来对互联网流 量和内容部署/提供进行端到端的控制。它提供了端到端集成所需要的产品间的平安通 信，而且还可以通过开放式XML API对F5产品进行编程，以支持客户与合作伙伴应用间 的集成（F5的i-Control内部通信协议）。F5互联网流量、应用和网络管理体系如图541 所示：外部设备和酶J（Control API & SDK动志负我均衡利健康救香(D-nd UOKBoAU(D£n/nd UOAU(D>ald uowpCD-ngqnQi三幺ms iwxqnQr (DpoliRules and Class ListsUniversal Inspection EnginePacket Velocity ASIC & HA/V ArchitectureIP Traffic on the Wire图5.4.1 F5互联网流量、应用和网络管理体系结构这种架构方式克服了多厂商解决方案的最大问题：互操作性和管理复杂性，而且还 防止了单厂商套件的最大问题：有限的灵活性、缺乏足够的集成能力。这种架构使服务 提供商和企业能够： 管理和控制全球范围的互联网流量和内容 部署并实施SLA政策 将政策应用到多种技术上，如防火墙、VPN和QoS设备 接收告警并管理关于网络和设备活动的报告 保持适当的系统配置i-Control能够使应用与网络流量管理和内容提供基础设施实现直接的互操作。通过 i-Control开放的平安通信协议和SOAP/XML API,网络设备能够与应用进行通信，应用可 以控制网络，从而防止出现易于出错的过程和人为干预。i-Control能够提供网络产品间平安、加密的互相通信能力，并为无缝应用集成带来了 方便，其中包括：.本地流量管理 分布于全球的流量管理 将内容部署到远程服务器上 管理网络中高速缓存提供的内容版本 显著减少管理分布式网络所需的资源客户、合作伙伴及第三方集成商都可以使用i-Control软件开发套件（SDK）,它具有 开放式的SOAP/XML或CORBAAPI。随着i-Control的推出，F5证明了其对制定和采用开放 式互联网流量和内容管理标准的支持。通过将i-Control与F5的业界领先iTCM产品相结合使用，可以实施并部署F5的完整 互联网控制体系结构，从而增强了 7层性能。任何第三方和客户都可以通过i-Control将自 己的应用与网络系统集成在一起，从而提供无与伦比的7层性能。（七）系统平安性由于互联网的传播，黑客攻击工具现今十分容易获得，导致针对互联网上的应用服 务的攻击日益增加。同时、各种各样的黑客攻击手段层出不穷，攻击手段越来越隐蔽， 破坏能力越来越大，危害也日益严重。而拒绝服务攻击一直是平安界迟迟没有解决的一 大问题，有的专家认为是网络协议本身的平安缺陷造成的，同时，基本上所有的防火墙 在解决拒绝服务攻击上都能力有限，而且很多防火墙或者入侵检测系统反而自己成了拒 绝服务攻击的目标。DOS （拒绝服务）攻击即攻击者想方法让目标机器停止提供服务或资 源访问，这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访 问。从大家认可这个对拒绝服务攻击的定义，我们看出，其实对网络带宽进行的消耗性 攻击只是DOS的一个小局部，只要能够对目标造成麻烦，从而使得某些服务被暂停甚至 主机当机，都是DOS。因此，对于平安系统而言，必须在以下三方面进行加强：1 .加强可靠性。鉴于平安系统产品所处的位置，如果出现因故障而宕机的现象，会 影响整个网络的运行，因此，它应该具有双机热备能力和自身抗打击能力，这对高可用 环境尤为重要。2 .进一步提高处理速率。当前对攻击进行的攻击特征模块检测均是基于软件的，为 提高处理速度，必须采用硬件构架，借助芯片能力的提升来实现。将来可能会把这些功 能全部移植到芯片上，彻底提升效率。