南京财经大学F5链路负载均衡解决方案(共23页).doc

《南京财经大学F5链路负载均衡解决方案(共23页).doc》由会员分享，可在线阅读，更多相关《南京财经大学F5链路负载均衡解决方案(共23页).doc（23页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上南京财经大学F5 Link Controller多链路负载均衡解决方案 目 录1. 项目背景分析1.1 南京财经大学的现状南京财经大学校园网建设始于1997年，2001年升级改造，经多年建设已形成一个运行稳定、可靠的多出口千兆以太网。在出口线路上采用多出口方式，目前采用策略路由进行路由选择来实现与教育网和公网的链接。我校目前网络架构的拓扑如下图示。目前接入计算机终端约10000台，在线用户峰值7千左右。根据学校发展的需要及目前ISP运营商所能提供的服务，下一阶段将对出口进行改造，采用负载均衡设备的方式选择出口线路。目前南京财经大学的出口线路包括2条单模1000M链路（

2、cernet和网通）和1条100M电缆的电信。拥有电信和网通地址各64个。改造后学校的所有访问经过网络安全设备、带宽管理设备（暂不采购）接到链路均衡设备上，由链路均衡设备与引入的多条出口线路直接链接。考虑目前学校的的实际需求和目前ISP运营商所能提供的服务，本次出口链路改造需要适当考虑电信100M链路的扩展（先增加到2条），同时为了今后发展的需要，要留有相应扩充用的具备一定数量的万兆、千兆和百兆出口接口。1.2 链路改造后的预期设想改造后要求能实现当一条出口链路发生中断时，能按照设置的优先策略，动态地将故障链路流量转移到其它活动链路上。提高外界对学校各种网站的访问速度，是本次增加链路设备的核心

3、需求之一。能实现多种管理策略和路由策略，在保证链路带宽的情况下，能确实提高我校的网络运行性能和带宽效率，保证学校进出口通畅。链路负载均衡设备必须具备智能DNS解析功能，同时不得改变校园网现有的DNS解析方案。1.3 为什么推荐F5产品对于此次南京财经大学参考品牌中列举的三家厂商，我公司经过仔细对比、慎重考虑之后，选择F5公司的产品进行投标，主要是因为：1.3.1 公司方面1、 美国著名第三方市场调查机构Gartner调查显示，F5是应用流量管理领域公认的领导者；2、 独立式应用流量管理产品市场份额中，F5全球市场份额第一，占38.7%，远远大于Radware（6%）和Array（2%）；3、

4、F5全球1200员工，研发人员400人，多年以来，一直技术创新，引领技术方向；4、 F5中国30人，工程师10人；渠道技术支持和服务体系完善，能够为南京财经大学提供及时，优质的服务能力1.3.2 产品硬件和性能方面1、 F5在第四层流量处理时，使用专门的ASIC芯片，流量处理速度和吞吐量都大大增加，在第三方的测试报告中，其各项性能远高于其他同档次产品；2、 F5在第七层流量处理时，使用2.8GHz主频的CPU，流量处理速度和吞吐量都大大增加，其他厂家对于第七层的流量处理通常只停留在HTTP数据流上；3、 F5在存储介质方面，同时使用CF卡和硬盘，主OS运行在CF上，在硬盘上可以备份两个OS，并

5、且增加日志存储量，系统稳定型提高，同时对于日后日记审计有所帮助；4、 F5内存大，缺省2G，可以升级到4G，可以支持更大的并发会话数（可达到200万以上）；5、 F5带有LCD（液晶屏），可以方便查看流量情况和报警情况，以便巡检；6、 F5内置了SSL加速芯片，并附送了100TPS（并发新建100SSL连接）的License；7、 F5内置了Watchdog芯片，支持双机冗余时，硬件检测并触发设备切换，切换时间可以达到毫秒级，而其他厂商的产品只是基于网络层上的HA。1.3.3 产品软件和功能方面1、 F5缺省支持丰富的软件功能，包括双向链路负载均衡，服务器负载均衡，Qos，SSL卸载和加速，包

6、过滤防火墙和DOS防护功能；2、 F5还可以通过软件激活，实现流量压缩，内存Cache，MSM，Web加速等应用优化功能。3、 F5可以通过软件激活，实现IPv6和IPv4网关功能，对于Cernet2教育网中IPv6的部署可以支持4、 在链路负载均衡中，F5在Inbound和Outbound链路负载均衡时，使用两套独立的算法系统。尤其在Inbound时，具备近二十种算法，并支持三个优先级层次选择，这样可以达到最高的正确解析率。5、 在服务器负载均衡中，F5具备业界唯一的可编程流量控制，对于复杂的第七层流量管理可以更好的支持。6、 在服务器负载均衡中，F5具备丰富的会话保持机制，支持更复杂的应用

7、。7、 F5的API二次开发接口，可以更加灵活地跟应用结合。8、 F5管理界面非常友好，便于运维人员配置和维护。2. F5提供的最佳解决方案2.1 设计结构图：在多ISP接入时，各个ISP接入的线路通过防火墙连接到F5 Link Controller上, F5 Link Controller工作在3层模式下，可划分为多个VLAN，分别连接各个ISP线路和内网核心交换机。核心交换机的默认路由指向F5 Link Controller; F5 Link Controller可设置多个缺省网关，指向各个ISP的对端ip地址，来确保多链路之间的高可用性和各ISP用户的就近性访问。2.2 实现原理在学校使

8、用了多条链路后，F5 Link Controller主要负责出入站连接的高可用性和智能链路选择：2.2.1 出站访问对于内部办公用户由内向外的出站访问，F5 link controller可检测到整个链路中出现的错误，从而能够提供可靠的端到端 WAN 连接。它可以监视每个连接的运行状态和可用性，实时检测链路或 ISP 的损耗情况。一旦某条链路出现故障，流量将被动态地传递给其它可用链路，从而确保内部用户对外的访问继续保持连接。F5 link controller可设置多个缺省网关ip地址，构成default gateway pool。然后根据所设定的负载均衡算法来为每个出站连接智能的选择某个缺省

9、网关，从而实现出站流量的链路负载均衡。F5 link controller包括基于静态IP地址段或基于响应时间和线路质量计算等多种负载均衡算法，可探测哪条链路可以为用户提供最佳服务，然后将该用户引导至此链路，确保他们能得到最快服务及最高质量的连接。完整的数据连接包括client向server发起的请求数据和server向client返回的响应数据。在出站的请求数据根据lc的负载均衡算法选择了某条链路后，为了保证远端被访问的服务器的响应数据也能够从该链路返回，F5 LinkController使用了SNAT Automap技术。此技术保证了请求数据在选择了某个ISP链路后离开LC时，会被NAT成

10、该ISP的ip地址，对外发送出去，这样远端被访问的服务器自然就会把响应数据从该ISP线路发送回来，实现了出站连接进出数据包都使用最优链路。利用LC的智能流量管理功能，可替代防火墙的NAT功能，并保证流量可以通过与互联网的最佳连接往返发送。 2.2.2 入站访问 对于外部用户对学校内部应用的入站访问，F5 LinkController可以通过智能DNS解析功能，动态选择最佳链路，将外部用户导向到内部站点中的资源。同时LC会随时监测每条链路的状况，当发现任何一条ISP链路故障时，都不会再把该ISP的ip地址解析给用户，从而保证用户可以24*7的访问到学校内部应用并且提高各地区用户的访问速度。F5

11、Link Controller 中的DNS功能模块将分别绑定多个ISP 服务商的公网ip地址，解析来自互联网用户的地址解析请求。后台服务器则由BIG IP Link Controller做成集群并虚拟化成针对ISP A的虚拟服务器Virtual Server 1 和ISP B的虚拟服务器Virtual Server 2等 ，这样对于每个用户到来的请求, BIG IP Link Controller都会分别检测后台服务器的状态并选择最佳的链路提供服务,达到用户的就近性访问及服务器的负载均衡。同时LC还具备lasthop技术，保证了服务器的响应数据会从请求数据的进入链路返回。 Link Contr

12、oller 在回应客户的DNS解析请求时, 可以采用15种动态或者静态的负载均衡算法，从而达到入站流量的多链路动态负载均衡的效果。2.2.3 系统切换时间在采用DNS实现链路切换时，系统的切换时间主要取决于每个域名的TTL时间设置。在LinkControl系统里，每个域名如均可设置对应的TTL生存时间。在用户的LocalDNS得到域名解析纪录后，将在本地在TTL设定时间内将该域名解析对应纪录进行Cache，在Cache期间所有到该LocalDNS上进行域名解析的用户均将获得该纪录。在TTL时间timeout之后，如果有用户到LocalDNS上请求解析，则此LocalDNS将重新发起一次请求到L

13、inkController上获得相应纪录。因此，当单条线路出现故障时，LinkController将在系统定义的检查间隔（该时间可自行定义）内检查到线路的故障，并只解析正常的线路侧地址。但此时在LocalDNS上可能还有未过时的Cache纪录。在TTL时间timeout之后，该LocalDNS重新发起请求的时候就将从LinkController上获得正确的解析，从而引导用户通过正常的线路进行访问。系统检测间隔加上TTL时间之和则为系统切换的最长时间。通常，系统检测间隔设置为60秒，而TTL时间设置为300秒，所以系统切换的最长时间为6分钟。3. 解决方案功能介绍3.1 高可用性Link Con

14、troller可检测到整个链路中出现的错误，从而能够提供可靠的端到端 WAN 连接。它可以监视每个连接的运行状态和可用性，实时检测链路或 ISP 的损耗情况。一旦出现故障，流量将被动态地传递给其它可用链路，从而确保用户及外部客户继续保持连接。3.1.1 全面的链路监控能力如何有效地确定链路，服务器、应用、内容的状态，是提高系统可靠性的关键。LC利用其独到的、高效的“健康检测”手段，识别链路，服务器、应用、内容的状态。它们包括：多种服务器状态监测手段服务器(Node)-Ping(ICMP)服务(Port)-Connect扩展的应用验证(EAV)扩展的内容验证(ECV)频度,e.g.10secon

15、ds响应,e.g.5seconds 服务器逻辑连接状态检测ICMP 应用类型状态检测TCP/UDP 扩展内容查证(ECV: Extended Content Verification)-ECV是一种非常复杂的服务检查，主要用于确认应用程序能否对请求返回对应的数据。如果一个应用对该服务检查作出响应并返回对应的数据，则BIGIP控制器将该服务器标识为工作良好。如果服务器不能返回相应的数据，则将该服务器标识为宕机。宕机一旦修复，BIGIP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。该功能使BIGIP可以将保护延伸到后端应用如Web内容及数据库。BIGIP的ECV功能允许您向Web

16、服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询，然后检查返回的响应。这将有助于确认您为客户提供的内容正是其所需要的。 扩展应用查证(EAV: Extended Application Verification)EAV是另一种服务检查，用于确认运行在某个服务器上的应用能否对客户请求作出响应。为完成这种检查，BIGIP控制器使用一个被称作外部服务检查者的客户程序，该程序为BIGIP提供完全客户化的服务检查功能，但它位于BIGIP控制器的外部。例如，该外部服务检查者可以查证一个从后台数据库中取出数据的应用能否正常工作。EAV是BIGIP提供的非常独特的功能，它提供管理者将BIGIP客户

17、化后访问各种各样应用的能力，该功能使BIGIP在提供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要的反馈。该功能对于提高系统可靠性至关重要，它用于从客户的角度测试您的站点。例如，您可以模拟客户完成交易所需的所有步骤连接到前置服务器或中间件服务器、从目录中选择项目以及验证交易使用的信用卡。一旦BIGIP掌握了该“可用性”信息，即可利用负载平衡使资源达到最高的可用性。BIGIP已经为测试多种服务的健康情况和状态，预定义了扩展应用验证(EAV)，如：FTP、NNTP、SMTP、POP3和MSSQL等，用户还可依据实际应用，自行编辑EAV脚本。 Transparent检测方式。- Tran

18、sparent检测方式保证了LC的健康检查可以通过被检察对象而不只是到达被检察对象。这种方式在链路负载均衡中极为重要，它保证了整条链路的可用性而不只是对端路由器的可用性。3.1.2 集合多个监视器多个监视器共同工作，能够迅速准确地确定链路的状态及可用性。例如用户可以设置透过某ISP的路由器同时去检查sina,工行等各类学校的多个web网站。只有当所有这些网站都无法检测通过时，LC才会认为该链路已经DOWN掉，然后Link Controller可以重新为流量选择路径，传递到其它可用链路，从而继续保持客户连接，避免出现停机影响。3.2 最大带宽和投资回报3.2.1 可节省 WAN 链路成本的压缩模

19、块BIG-IP Link Controller的可选压缩模块使您可以智能压缩http流量，将Http的响应数据以标准的压缩算法Deflate或Gzip方式进行压缩，一般的情况可以减少4080的数据流量，降低数据流对WAN带宽的要求以节省 ISP 成本，同时解决带宽瓶颈以加快应用交付速度。标准浏览器都可提供支持 （IE 5.0 +，Netscape 4.0 +）解压缩功能。通过对面向不同连接类型的链路带宽实行精细控制，将可以有效提升客户体验，并能够实现更高效的 WAN 链路管理和改进的生产效率。您可以基于文档类型、流量类型和其它网络条件（如往返时间）配置灵活且可调整的压缩引擎。3.2.2 带宽可

20、扩展性Link Controller支持port channel技术，因此不论您使用何种链路类型或哪一家服务提供商的服务，BIG-IP Link Controller都能够支持将小型经济型线路进行高效的整合，以提供成本更低的带宽冗余，同时将花在暗光纤或闲置备用线路上的费用降至最低。3.2.3 强大的流量分配负载均衡算法BIG-IP Link Controller提供了业内最先进的链路流量分配能力，能够满足最繁忙站点的需求：- 轮循-往返时间- 全局可用性-中继- 静态持续性-数据包完成率- 拓扑-用户定义的服务质量 (QoS)- 虚拟服务器容量-动态比率- 最少连接-随机- 包速率-比率-传输

21、速率3.2.4 链路带宽控制BIG-IP Link Controller可根据所有网络2到7层的方法，对网络上的应用流量进行分类控制。随着与网络流量有关的复杂性不断增加，因此应运而生的高级分类技术变得非常重要。而简单的 IP 地址或静态端口方案便相形见绌了。LC可检测动态或变动式端口分配的变化，区别使用同一端口的应用，并采用第七层应用标识来识别不同应用，从而对不同应用进行动态控制。可允许您根据实时的流量与吞吐率来确定和控制流量在链路上的分配方式。这将可以提高性能和增加包含线路冗余在内的可用带宽，同时消除链路饱和的风险。当某条链路接近其容量极限时，流量将被转至相对宽松的链路上去，从而提高站点的整

22、体性能。3.2.5 链路成本负载平衡BIG-IP Link Controller能够支持您为通往数据中心的所有流量选择最低成本连接： 将流量导入花费最低的链路，从而将带宽投资降至最低 最大限度地提高不同连接的带宽，包括可变成本线路，以消除带宽瓶颈，同时最大限度地减少低效带宽利用情况和相关成本。 支持 ISP 计费模式，包括一次性付费、零散计费和突发性计费 支持单向或双向计费3.3 高级 WAN 链路管理3.3.1 最佳性能链路BIG-IP Link Controller通过使用往返时间和线路质量计算，可测试哪条链路可以为用户提供最佳服务，然后将该用户引导至此链路，确保他们能得到最快服务及最高质

23、量的连接。另外LC还可以根据用户端的静态ip地址来为用户选择对应的ISP线路，从而实现最安全和最稳定的链路选择。3.3.2 针对压缩技术的目标流量控制如果不在具体用户类型（宽带用户、拨号用户等）的基础上控制流量压缩工作，将会对应用性能及客户体验产生负面影响。通过使用使用往返时间及线路质量计算，BIG-IP Link Controller能够动态计算出用户延迟和带宽吞吐率，为能够从中受益最大的用户提供更多的压缩资源。3.3.3 优化的 TCP 性能TCP 协议的低效会产生不必要的干扰，进而对链路的带宽利用产生不利影响。BIG-IP Link Controller利用 TCP Express 来克

24、服 TCP 协议的低效情况，同时提供了以下功能： WAN 链路的有效带宽利用 以较低的带宽费用覆盖长距离的通道 为关键任务应用安排可用带宽优先级 通过 WAN 为拨号和宽带用户提高端对端性能 在部署全新应用时更为灵活 无需部署多台设备，降低了总拥有成本3.3.4 可编程链路路由iRuleBIG-IP Link Controller使您能够根据诸如源 IP 地址、目标 IP 地址和端口等 TCP/IP 参数，在多条 WAN 链路上智能路由流量。借助 iRule，您可在根据应用类型、服务质量和客户类型制定策略，以在最佳链路上分配流量，进而提高应用性能和提升客户体验。3.3.5 流量优先级安排：服务

25、质量 (QoS) 和配置服务类型 (ToS)BIG-IP Link Controller支持各种流量优先级安排特性。学校可根据 QoS 和 ToS 对其关键流量或应用做出定义，进而对上游路由器进行特殊处理。这就确保了具有较高优先级的流量可以优先路由。3.4 配置和管理3.4.1 消除 BGP 多归属部署障碍BIG-IP Link Controller可借助边界网关协议 (BGP) 消除部署障碍，并降低多归属网络的部署成本。借助 BIG-IP Link Controller，您无需再购买大型路由器、与 ISP 进行协作或安排专门的人员和 IP 地址来运行 BGP，同时仍能够将流量导向至最佳路由路

26、径。BIG-IP Link Controller可显著改善多归属环境的流量引导性能，并可提供： 面向学校内外用户的双向流量控制 自动、即时 ISP 响应及链路故障切换无需等待部署路由变动 流量将被路由至最佳路径，从而优化了带宽利用率 基于线路容量的流量分配，带来了更高的带宽可扩展性3.4.2 BIG/IP的业界最快双机冗余切换两台BIG/IP能工作在HA方式下，支持ActiveActive、Active-Standby工作方式。当BIG/IP产生从当前活动的BIG/ip控制器到备用BIG/IP控制器的自动故障切换时，镜像连接为当前的连接提供无缝故障恢复保护。例如，如果客户正在使用FTP传输较大

27、的文件过程中，BIG/IP发生从当前活动设备到备用设备的故障恢复，则FTP文件传输将继续进行，不会中断。BIG/IP除了基于硬件连线故障恢复之外，BIG/ip还提供基于网络的故障恢复功能，从而允许不在同一位置的一对BIG/ip控制器实现冗余功能，进一步强化了管理。BIG/IP基于硬连线的故障切换时间：200毫秒BIG/IP基于网络的故障切换时间：3秒3.4.3 IPv6 网关如果学校欲移植至 IPv6，BIG-IP Link Controller是进行叉车式升级 (forklift upgrade) 的经济高效的选择。通过采用 BIG-IP Link Controller和可选的 IPv6 模

28、块，您可在提供 IPv4 服务的同时访问 IPv6 客户，并在不增加网络负载的情况下实现两者之间的转换。3.4.4 统计与报告实时报告和历史记录报告可评估站点流量模式、相对 ISP 性能、以及预计的带宽计费周期，从而使您能够轻松监控带宽资源，作出明智的业务决策。3.5 强化的安全性能3.5.1 智能 SNAT借助 BIG-IP Link Controller的 iSNAT 功能，您可以保存端口资源和转换内部地址。通过使用 iSNAT，您可以基于诸如客户机地址和目标服务器端口编号等 TCP/IP 参数从众多转换地址中灵活选择，从而确保服务器地址不会暴露给外部环境。BIG-IP Link Cont

29、roller能够通过屏蔽内部地址保留端口资源和保护站点资源，同时还可通过更高的流量类型透明度来改进运营效率。3.5.2 网络安全BIG-IP Link Controller是缺省拒绝设备，它可增加额外的安全保护层，从而杜绝普通网络攻击。BIG-IP Link Controller能够： 在面向命令行的 Secure Shell 安全外壳 (SSH) 或面向浏览器管理的 SSL 的基础上，进行安全远程管理 消除闲置连接，防止拒绝服务攻击 执行源路由跟踪，防止 IP 欺骗 拒绝没有 ACK 缓冲的未确认 SYN，防止 SYN Floods（溢满攻击）攻击 防止诸如 WinNuke、Sub7 和 B

30、ack Orifice 等片段储存攻击 保护自己和服务器免受 ICMP 攻击 不运行 SMTPd、FTPd、Telnetd 或其它任何易受攻击的进程 检测任意受到非法访问尝试的服务和端口，包括：- 频率：- 尝试次数- 端口：被攻击的端口- IP 地址：攻击者的源 IP 地址3.5.3 简单、安全的管理BIG-IP Link Controller提供了一个直观的用户界面，支持通过一个界面浏览全部链路资源，进而高效管理 WAN 链路。排序和搜索功能使您能够更快地访问链路对象，从而进行精确控制。唯一的链路对象名称可减少管理时间，并帮助您围绕业务策略构建基础设施。3.6 集成流量管理可扩展性3.6.

31、1 扩展的各类安全设备负载均衡您可以进一步扩展 BIG-IP Link Controller，以满足 DMZ 内广泛的流量管理需求。凭借强大的集成功能和可升级平台，BIG-IP Link Controller是市场上唯一一款能够提供可扩展解决方案的产品，其特性包括： 集成防火墙负载平衡，为冗余防火墙部署提供了更高的可用性 集成第 4 层和基础服务器负载平衡，能够在服务器阵列中高效地分配流量 集成安全性，能够帮助站点有效抵御普通攻击 可升级至增强的第 4-7 层本地流量管理服务器套件（完整的 F5 BIG-IP 应用流量管理产品能力）和高级安全过滤功能。考虑到绝大多数的防火墙只能达到线速的30吞

32、吐能力，故要使系统达到设计要求的线速处理能力，必须添加多台防火墙，以满足系统要求。然而，防火墙必须要求数据同进同出，否则数据将被拒绝。如何解决防火墙的负载均衡问题，是关系到整个系统的稳定性的关键问题。F5的防火墙负载均衡方案，能够为用户提供异构防火墙的负载均衡与故障自动排除能力。方案的特色： 提供多台防火墙的负载均衡能力 提供在线维护防火墙的方法 解决了单台防火墙的处理能力瓶颈问题,提供了系统的扩展能力同时对于实现了链路负载均衡和服务器负载均衡的学校来说，防火墙负载均衡相当于免费赠送，提高了用户投资回报率。3.6.2 扩展的SSL加速适用于校园一卡通等加密套接(SecureSocket)层交易

33、的广泛采用和总体网络负载减缓了服务器的执行速度。要求SSL交易加速。校园一卡通属于电子商务业务。电子商务业务是基于互联网进行的。每笔进入数据中心的交易均进行了SSL加密处理。由于每秒可执行多达2000个新的安全连接。BIG/IP内置的SSL加速芯片，可把CPU从繁重的加密与解密处理负荷中解放出来，从而将宝贵的资源归还给服务器群。它可与任何操作系统或互联网服务器互操作，而不会出现服务器硬件、软件安装或兼容性问题。以后各个阶段通过从在这些阶段安装的高速缓存中检索静态且加过密的数据而受益。4. 相关产品介绍BIG-IP v9 系列BIG-IP 链路控制器数据表Internet互联网Routers路由

34、器BIG-IP Link ControllerBIG-IP 链路控制器Firewall防火墙Corporate Network企业网络Corporate Servers企业服务器Corporate Users企业用户主要优势： 构建可靠的广域网 (WAN) 连接，提供企业级互联网连接能力 借助速率调整 (Rate Shaping) 使 WAN 链路带宽的使用更为高效 采用压缩技术减少 WAN 链路带宽的消耗 通过基于 TCP Express 的 TCP/IP 优化，显著改善 WAN 链路性能 确保将流量导向最佳链路和 ISP，为用户提供最高质量的服务和速度 通过整合经济型链路最大限度地提高公司

35、在连接能力方面的投资回报。 通过边界网关协议 (BGP) 消除部署障碍，显著降低多归属网络的部署成本BIG-IP 链路控制器用于最大限度提升链路性能与可用性的下一代广域网链路流量管理随着学校开始更多地使用互联网来交付其应用，只保持一条到公共网络的连接链路存在着单点故障风险和脆弱的网络安全性。BIG-IP 链路控制器可以无缝地监控多条 WAN ISP 连接的可用性与性能，以智能地管理到某一站点的双向流量，从而提供出色的容错性和优化的互联网访问。BIG-IP 链路控制器充分利用了 F5 的 TMOS 构架，可带来改进的链路性能与出色的可用性，同时还可提供灵活强大的状态检查功能、完善的安全性以及改进的易用性。专心-专注-专业