F5产品ICP行业解决方案.doc

《F5产品ICP行业解决方案.doc》由会员分享，可在线阅读，更多相关《F5产品ICP行业解决方案.doc（47页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流F5产品ICP行业解决方案.精品文档.F5 ICP行业解决方案 目录一概述- 3 -1.1 目前ICP网络结构现状- 4 -1.2 存在的问题- 4 -1.2.1 分布式站点没有合理利用- 5 -1.2.2 服务器缺乏缺乏高效的负载均衡技术- 6 -1.2.3 异地站点间数据同步缓慢- 7 -1.2.4 web应用性能缓慢- 7 -1.2.5 远程管理不够灵活- 9 -二F5解决方案- 9 -2.1 网络结构图- 10 -2.2 解决方案介绍- 10 -2.2.1 GTM实现智能广域网流量管理- 11 -2.2.2 BIGIP提供智能服务器负

2、载均衡- 12 -2.2.3 BIGIP优化技术提高用户访问质量，减少资源消耗- 14 -2.2.4 WANJet提供广域网优化传输- 16 -2.2.5 FirePass提供灵活的安全远程接入- 20 -三产品功能介绍- 22 -31 GTM广域网流量管理器- 22 -32 BIGIP局域网应用交付设备- 35 -33 Crescendo Maestro-web应用优化设备- 48 -34 WANJet广域网优化设备- 51 -3.5 FirePass SSL VPN安全远程接入- 55 -四成功案例- 61 -4.1 TOM网- 61 -4.2 sina网- 63 -4.3 sohu网-

3、66 -一概述今天，互联网内容提供商产业的发展已经趋于多元化，各种赢利模式交相辉映，给互联网内容提供商产业的发展注入了新的血液。但各种赢利模式都需要一个共同的基础就是庞大的用户群，拥有了用户也就拥有了赢利的前提条件。而现在随着互联网用户的成熟和市场的细分，对各个ICP来说除了要想尽办法去赢得更多的客户，更重要的是要去留住手中已有的客户，避免由于各种原因造成的客户流失。而提高用户访问质量，加快用户访问速度是提高用户满意度的一个非常有效的方式。F5的ICP行业解决方案将帮助企业极大提高用户访问质量，使企业在激烈的市场竞争中取得先机。1.1 目前ICP网络结构现状现在绝大多数ICP都采用多IDC站点

4、的分布式网络结构，在全国各地或者各个ISP的机房都设置站点，以便提高各地用户的访问速度。在单个IDC内部署了大量的服务器来处理用户访问，按功能划分为cache server, web server以及后台存储关键数据的NAS等。在单个IDC内网络通常划分为内，外两个网络，外网面向用户访问，内网在各主要IDC间都串连起来，以便同步数据和管理。而在异地的IDC间主要通过VPN网络来进行数据同步和管理动作。另外，网络管理人员在休息或出差期间都通过ipsec VPN连接到公司，再通过从公司直连到主要IDC的专线对IDC内的服务器进行管理。1.2 存在的问题1.2.1 分布式站点没有合理利用现在大多数I

5、CP都意识到，对于一个网站来说，它所具备的带宽和服务器的资源都是有限度的，在突发流量访问下，带宽资源和服务器的资源都可能成为用户访问的瓶颈，而影响访问质量。对于网络，传输的设备越多，每个设备都有故障的可能性，出现问题的潜在因素也会增加。传统互联网上内容的集中放置必然导致整个网络的无序流动，使资源整体性降低，从而无法保障有效的服务质量。另外，由于目前国内南北电信的分拆导致南北用户互访缓慢的问题，也增加了ICP使用CDN的决心。内容分布网络（CDN）从根本上区别于传统的内容发布模式，它的提出突破了传统的技术瓶颈，强调了网络在内容发布中的重要性和承载作用。通过引入主动的内容管理层和全局负载均衡，并结

6、合内容缓存等技术，CDN 构建了一个在现有的IP 网络基础上为ICP业务支撑而优化的中间层，使用户能以最快的速度，从最接近用户的地方网络边缘获得所需的内容信息，彻底解决网络拥塞，提高响应速度和服务质量。以前国内大多数ICP在网络建设初期，由于资金和技术等方面原因都曾通过租用CDN运营商的网络来解决以上问题。但租用CDN运营商的网络代价高昂，不是长久之计。而且将自己赖以生存的网络交付平台交予他人掌管，容易受制于人，成为公司发展壮大的制约因素。因此，随着各ICP的发展，大家都开始了搭建自己的CDN。很多ICP都采用自己搭建多个站点，然后通过自己开发的DNS软件根据客户端ip地址段来选择邻近的站点，

7、进行分发处理。但经过一段时间的运行后，大家发现自行开发的软件在实际运作中存在众多技术上的缺陷，包括： 1无法保证IDC站点的高可用性。由于DNS无法实现对IDC站点和应用内容的健康检查，所以当某个IDC的链路或IDC内的应用出现故障时，DNS软件无法得知IDC的状况，仍然会把用户请求发送到该IDC去，从而导致部分用户出现访问不到页面的状况。 2根据客户端ip地址段进行IDC选择的静态方式并不合理。首先，国内各ISP的ip地址段是不断变化的，要得到第一手的地址段资料不太容易，且频繁的修改也会增加出错的几率。其次，中国互联网结构复杂，未必同一ISP或地理相邻，网速就快，这一点已在众多企业中得到证明

8、，因此如何根据客户端ip地址选择IDC也是一个头痛的问题。最后，对于那些未知的ip地址段，如国外的ip地址，该如何选择IDC呢？ 3分析报告功能差。此类产品的所处位置要求产品必须具备强大而清晰的统计报告功能，从而为公司的决策提供判断依据。但通常自己开发使用的软件更注重功能和实用性，而对于管理，统计，报告等方面并不在意，从而导致无法满足公司决策层的要求。由此可见，目前这种结构下的分布式多站点，即无法实现实时的IDC容灾，更无法将多站点的资源进行最高效的利用。1.2.2 服务器缺乏缺乏高效的负载均衡技术在很长的一段时间里，许多ICP公司都通过循环DNS的方式来解决服务器的负载均衡问题。循环DNS（

9、Round-robin DNS）技术是负载均衡最常用的方法之一。最早的负载均衡技术是通过DNS服务中的随机名字解析来实现的。在DNS服务器中，可以为多个不同的地址配置同一个名字，这个数据被发送给其他名字服务器，而最终查询这个名字的客户机将在解析这个名字时随机使用其中一个地址。因此，对于同一个名字，不同的客户机会得到不同的地址，因此不同的客户访问的也就是不同地址的Web服务器，从而达到负载均衡的目的。但通过DNS进行服务器负载均衡所带来的众多缺陷，也是各公司头痛的问题：1循环DNS负载“不”均衡。由于DNS记录是可以被缓存的，当某个 Local DNS server已缓存了该DNS记录后，所有由

10、该LDNS提供服务的客户端都将直接解析到某个ip地址，这样DNS服务器提供的负载平衡功能被绕过去了，客户端将直接对该ip地址发起访问。这就产生了一个“热点”服务器，在这个“热点”上，过度使用的服务器继续接收额外的接入。2循环DNS无法对服务器进行健康检查。一旦某个服务器出现故障，由于DNS server不知道这一点，仍然会把该服务器地址解析给用户，从而造成用户无法访问的问题。即使及时修改了DNS设置，还是要等待足够的时间（刷新时间）才能发挥作用，在此期间保存了故障服务器地址的客户计算机将不能正常访问服务器。众所周知，DNS记录是具备TTL时间的。只有该DNS记录的TTL过期后，其他DNS se

11、rver才会重新来授权DNS解析该记录的ip地址。如果TTL时间较短，不同地方的DNS服务器能更新对应的地址，使出现故障的服务器地址可以及时删除，用户仍旧可以被引导到正常的服务器上，但如果用户缓冲了故障服务器的IP地址，这种方法也不能解决问题。同时将过期时间设置的过低将使DNS流量大增，而造成额外的网络问题。由于循环DNS没有区分端口的能力，不能意识到服务器的可用性并且不能考虑服务器上的现有负载，无法对服务器负载进行动态地分析从而使得下一个请求总是由负载最小的服务器处理，因此循环复用DNS还有太多的限制，只能算是一种勉强可接受的负载均衡方案。1.2.3 异地站点间数据同步缓慢由于采用分布式多站

12、点网络结构，各IDC站点间必需进行快速的数据同步才能保证信息发布的准确性，而且数据同步在广域网上传输时，内容也必须是加密的。但数据传输的高性能要求以及广域网 (WAN) 的高昂成本使得网络状况不甚理想，或是应用性能不尽人意，或是带宽帐单过高，甚或两者皆有。在同城的主要IDC间，通过内网的专线即可完成快速安全的数据同步。但在异地的IDC站点间，目前ICP都采用跨广域网(WAN)的VPN的方式来保证数据的安全传输。如果广域网 (WAN) 链路的使用接近饱和，在高峰使用时期运行数据同步应用就会显著降低数据传输的性能。VPN明显无法满足多站点间数据同步的快速实时特性，这也势必将造成异地数据发布的延迟。

13、您的企业需要在实现安全的同时，得到更快速的广域网(WAN)传输速度。任何带宽利用率的提高将有助于高效实现用于异地数据同步的流程。如果数据在广域网 (WAN) 中能够更为迅速地传输，您就能非常轻松地处理大型数据同步。提高带宽利用率的明显好处是：能够降低您的带宽成本，解决您的数据同步问题。1.2.4 web应用性能缓慢随着各ICP业务的增长，用户访问量越来越大，服务器的压力也同时增大，同时出口网络带宽占用的压力也增大了。随着各种资源的逐渐耗尽，客户端的访问质量也在逐渐降低，ICP厂家不得不投入大笔资金购买服务器和带宽，却最多只能维持原有服务质量，无法使服务质量得到提高。但在大访问量情况下，最消耗服

14、务器资源的却并不是web服务器真正应该提供的功能-生成页面内容，而是用作处理大量的TCP连接请求。TCP协议固有的复杂性被高分布的，以性能为导向的新数据中心模式所放大，在给网络带来拥堵，延迟和低效性能的同时，TCP的负担也给具有明显特点的web应用带来严重影响。例如，HTTP和HTTPS等web接入同时都需要大量的TCP连接建立和断开或安全处理。另外，e-mail，数据库接入，集群服务和文件传输都会有延迟并依赖于I/O，理想状态下，在服务器连接端需要一个高速的内部连接构造。最近，有关研究表明90的服务器CPU占用被用于TCP数据传输和连接管理任务。过去，这些问题一般都是通过增加更多的服务器，或

15、用更高性能的服务器来解决。实际上这些只是针对表象问题，他们对内在固有的TCP数据传输和连接管理的扩展性，持续性和高效性并没有进行解决。在新的数据中心时代，服务器资源应该是用在目标服务和web处理上而不是网络传输和连接管理的控制，这点非常重要。解决方案必须能针对所有的应用传输层面进行。同时，随着业务量不断增大，带宽需求呈指数级增长，诸如低带宽客户连接、高网络延迟，以及较差应用响应类型等问题，都会造成客户端获取数据缓慢。ICP企业解决应用性能问题的传统办法是不断增加出口带宽。但客户端产生的网络延迟根本无法得到缓解，而且由于带宽价格未能按预期迅速降低，这使得提升网络容量变得极为昂贵。企业需要在现有带

16、宽基础上提升客户响应速度的解决方案。另外，随着电子商务的发展，为了保证电子商务的安全性, 交易的不可否认性, 电子商务网站都开始部署SSL,SSL 提供安全的通信通道来解决电子商务的安全性。SSL 几乎成了事实上的加密标准，即大部分电子商务服务器是HTTPS 服务器。当一个客户端采用HTTPS 协议访问HTTPS 服务器时，因为双方要交换证书、协商密钥，并且要对传输的数据进行加密、解密。SSL 服务会大量的消耗服务器的资源，降低服务器的可用性，影响系统效率。根据有关测试，当服务器运行SSL的时候，性能降低40%，在许多情况下，只能完成很少的交易。据NETWORKSHOP的测试报告当一台SUNE

17、450服务器（250兆主频Ultra SPARC CPU，Solaris OS，Apache WWW Server）每秒钟能处理357 个HTTP请求，但如果是HTTPS 请求则每秒钟只能处理三个，并且CPU 负荷急剧增加，高达95 左右的CPU 占用率。为了解决上述问题，提高电子商务服务器的处理能力，电子商务网站需要SSL加速解决方案。通过专用的电子商务加密、解密加速设备将繁重的、极易消耗服务器CPU 资源的交换证书、协商加密算法及密钥，数据的加密解密工作从电子商务服务器上卸载下来，从而极大提高电子商务服务器的性能。而且这个过程对于客户端和服务器端都是透明的。1.2.5 远程管理不够灵活目前

18、各ICP的网络管理人员在休息或出差期间都通过ipsec VPN连接到公司，再通过从公司直连到主要IDC的专线对IDC内的服务器进行管理。但IPsec VPN已经逐渐无法满足业务的管理需要了。远程接入的需求就是随时随地接入，以往的IPSec VPN因为无法解决高可用性以及受网络接入条件的限制，无法满足随时随地接入的需求，具体表现在需要客户端，使用不方便、某些网络条件下无法接入、无法满足724小时的高可用要求。同时由于IPSec VPN连通后，整个内网对远程接入者来说是完全可见的，如果远程接入者不小心感染了病毒，木马等有害程序，都会对内网的应用产生严重影响，甚至有泄密的风险，此类案例已经屡见不鲜了

19、。另外对于企业IT主管来说，希望具有详细的用户级日志，必要时还可以将日志信息通过标准协议传送至公司的日志服务器，从而能够对网管人员的行为进行审计考核，这一点IPSec VPN同样做不到。 企业需要的是一种新的远程安全接入方式，来满足企业从客户端到应用的安全，确保任何认证用户，在任何地点，任何时间都能够轻松的接入内网，具备强大审计功能的同时，又能够严格限制访问者权限。二F5解决方案F5公司结合如前所述应用系统出现的问题，经过认真的分析，结合F5在业界多年的经验，利用F5的流量管理设备提供良好的解决方案。2.1 网络结构图如图所示，在某两个主要IDC站点内部署两台GTM（Global Traffi

20、c Management）设备，为分布式的多站点结构实现智能广域网流量管理。在每个IDC站点内部根据应用流量状况，部署一对或多对BIGIP设备，实现Cache server和Web server等各类应用服务器的服务器负载均衡和高可用。在每组应用服务器的前端，通过部署BIGIP的连接优化，HTTP压缩，RAM CACHE等功能，可以进一步节省对服务器性能，网络带宽占用上的资源消耗。另外BIGIP提供硬件的SSL加解密功能，可以将SSL的流量处理从服务器上卸载下来，提高服务器的处理性能。而在异地IDC站点之间，通过部署WANJet设备，保证异地IDC站点间的高速安全的数据传输。另外，在某几个主要

21、IDC内部通过部署FirePass SSL VPN设备，可以让企业的网络管理人员随时随地安全方便的接入IDC内网，对内网应用进行管理。2.2 解决方案介绍2.2.1 GTM实现智能广域网流量管理GTM是处理多IDC站点的并行工作和冗灾处理中的关键系统。通常我们建议企业在某两个主要站点中各部署一台GTM设备，这样两台GTM设备之间既可以互相冗余，又符合CNNIC的DNS管理规定，因为CNNIC只允许企业注册两个授权DNS SERVER。当用户访问ICP企业的网站时，域名解析请求将最终由GTM负责处理。GTM通过一组静态或动态的探测机制，判断出当时用户访问质量最佳的IDC节点，然后把该节点地址提供

22、给用户，使用户可以得到最优的服务。同时，它还与分布在各地的所有数据中心节点保持通讯，搜集各节点的健康状态，以保证不将用户的请求分配到任何一个已经不可用的节点上。当用户访问WEB服务时，首先将DNS解析请求发送到F5的GTM设备，然后通过F5的GTM确定用户访问质量最佳IDC节点，并把该节点的地址解析给用户。当用户的请求到达指定节点时，IDC的服务器负责将用户请求的内容提供给用户。用户访问的基本流程1用户在发起对特定域名服务的访问2向本地DNS请求对该域名的解析3本地DNS将请求发到ROOT NAME SERVER上，来查询该域的授权DNS server地址4本地DNS将请求发到网站的授权DNS

23、，接着，授权DNS再将域名解析请求转发到GTM5GTM根据一系列的动静态策略确定当时最适当的IDC节点6GTM将解析的结果（IP地址）发给用户的本地DNS7本地DNS将GTM的解析结果还给用户8用户向给定的IDC节点请求相应的内容，IDC节点中的服务器负责响应用户的请求，提供所需的内容GTM可采用的算法有： 循环法 全球可用性法 LDNS 持续性法 应用可用性法 地理布局法 虚拟服务器容量法 最少连接法 每秒数据包法 每秒KByte法 往返时间法 转发法 数据包完成率法 用户定义的服务质量法 动态比率法 LDNS循环法 比率法 随机法2.2.2 BIGIP提供智能服务器负载均衡对于所有应用服务

24、器，可以在BIG-IP上配置Virtual Server实现负载均衡，同时BIG-IP可持续检查服务器的健康状态，一旦发现故障服务器，则将其从负载均衡组中摘除。BIG-IP利用Virtual Server虚拟服务器（VS由IP地址和TCP/UDP应用的端口组成）来为用户的一个或多个目标服务器（称为Node：目标服务器的IP地址和TCP/UDP应用的端口组成，它可以是私网地址）提供服务。因此，它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。根据服务类型不同分别定义服务器群组，可以根据不同服务端口将流量导向到相应的服务器。BIG-IP连续地对目标服务器进行L4到L7合理性检查，当用

25、户通过VIP请求目标服务器服务时，BIG-IP根椐目标服务器之间性能和网络健康情况，选择性能最佳的服务器响应用户的请求。如果能够充分利用所有的服务器资源，将所有流量均衡的分配到各个服务器，我们就可以有效地避免“不平衡”现象的发生。BIGIP利用UIE+iRules技术，可以将TCP/UDP数据包打开，并搜索其中的特征数据，之后根据搜索到的特征数据作相应的规则处理。因此可以根据用户访问内容的不同将流量导向到相应的服务器，实现7层的负载均衡。例如：根据用户访问请求的URL将流量导向到相应的服务器。2.2.3 BIGIP优化技术提高用户访问质量，减少资源消耗BIG-IP提供了一套有针对性的方法来减少

26、服务器压力，降低互联网延迟和客户机连接瓶颈对其应用访问性能所造成的影响。通过综合采用多种应用优化手段以后，应用访问的性能可以得到显著提高。与此同时，由于服务器性能的提高，还可以达到减少服务器数量，减少带宽占用从而节省投资的目的。连接优化BIGIP通过Oneconnect技术，将所有客户端的TCP连接转移至BIGIP进行处理；而BIGIP与服务器之间仅建立少量的、持续的TCP连接。使Web服务器从处理大量的并发TCP请求和TCP连接建立/卸载的负担中解脱出来，同时当BIGIP收到用户请求后才发送到服务器，服务器可免于受到客户端和网络异常的影响。BIGIP还会缓存所有服务器的响应数据包，服务器以L

27、AN速度发送数据到 BIGIP，服务器不会受到慢速客户端连接的牵累。服务器的大量CPU资源被释放来提供数据，而不是管理连接。BIGIP通过控制容量需求和访问分析优化了服务性能和带宽。企业也因为增加了更多的计算资源，减少了出口带宽需求而降低服务器和带宽投资，并且减少服务响应延迟和运营成本。HTTP压缩BIG-IP提供业内最具扩展性，最智能也最灵活的压缩解决方案。BIG-IP 系统通过从服务器中不对称卸载 HTTP 压缩，降低了服务器开销，并通过实现服务器整合，将服务器总体拥有成本降低了高达 65%。BIG-IP 系统充分利用现有浏览器解压缩能力，无需对客户机进行任何修改，亦无需下载任何可能带来入

28、侵威胁的软件。BIG-IP 智能压缩采用已申请专利的方法来测量客户连接延迟，这使带宽使用率降低了 60-80%，同时将用户响应时间提高了两倍以上。BIG-IP 是业内首款为企业提供的可扩展式压缩解决方案，具有通过优化硬件及其自适应压缩卸载 (Adaptive Compression Offload) 压缩 web 流量的可选功能。BIG-IP 系统的智能压缩功能为企业提供了一种针对目标用户进行压缩的方式。压缩流量不一定要以带宽利用率的降低为代价。真正的挑战在于把握如何最有效的定位，从而使用户获得最大优势。例如，由于拨号用户延迟较高，所以，对其进行压缩可使这部分用户获得最大优势。而由于宽带用户的

29、接收窗口尺寸较大，因此，他们因此获得的优势则微乎其微，这是因为，宽带用户现在需要等待更长的时间来接收数据，这将导致响应时间变慢，因此，压缩的优势被抵消。BIG-IP 采用已申请专利的技术来动态检测客户连接延迟。BIG-IP 系统能够监控 TCP RTT （往返时间），以动态计算用户延迟，从而使 BIG-IP 能更专注于将流量压缩并传送给最需要它们的用户。BIG-IP 还为企业提供预定义过滤器功能，企业可用其来定位内容类型并进行异常处理。如需对服务器响应进行压缩，用户可定义“包括”和“排除”列表，以更好的定位压缩，或快速处理异常。该预定义过滤能力包括：URI （由客户发出请求）Content T

30、ype （内容类型）（由服务器响应）SSL加速加密套接层（SSL）交易的广泛采用和总体网络负载减缓了服务器的执行速度。企业需要将SSL加解密处理从服务器上卸载下来，并提供硬件级的SSL加速。BIG/IP内置的SSL加速芯片，可把CPU从繁重的加密与解密处理负荷中解放出来，从而将宝贵的资源归还给服务器。它可与任何操作系统或互联网服务器互操作，而不会出现服务器硬件、软件安装或兼容性问题。以后各个阶段通过从在这些阶段安装的高速缓存中检索静态且加过密的数据而受益。在每台BIG-IP上，都具有SSL硬件加速芯片，并且免费带有100个TPS的License，用户可以不通过单独付费，就可以拥有100个TPS

31、的SSL加速功能，节约了用户的投资。在将来系统扩展时，可以简单的通过License升级的方式，获得更高的SSL加速性能。2.2.4 WANJet提供广域网优化传输当今数据同步方案的分布式特性和高性能要求以及广域网 (WAN) 的高昂成本使得网络状况不甚理想，或是应用性能不尽人意，或是带宽帐单过高，甚或两者皆有。F5 WANJet 解决方案是一款易于安装的设备，它可显著地改善应用吞吐量，节省带宽成本。借助 WANJet，您的企业广域网 (WAN) 负载流量与数据传送速度平均皆可提高 10 倍。在特定条件下，数据传输性能可提高 500 倍。使用 WANJet，无需重新设计网络，您便可获得所有应用的

32、更优性能，同时花费较低的运营成本。图 1：WANJet 降低了带宽利用率，同时增加了应用吞吐量通过 WAN 链路传输数据，WANJet 能够表现出优异的性能。WANJet 利用两种方案达到这一目的：1.大部分数据存在重复和冗余现象。消除冗余现象，您就能有效地将 WAN 上的数据传输量平均提高 10 倍。一些数据传输类型可将吞吐量提高 500 倍。TCP 行为会降低许多广域应用的速度。如果您减少 TCP 开销并管理 TCP 行为，那么您就可以充分利用全部带宽并加速您的应用。对于数据复制应用，压缩与透明数据压缩能够增强大多数应用的性能。但最好还是要了解整体情况。当 TCP 延迟增加（指站点间距离）

33、时，WANJet 的 TCP 管理优势就会体现出来，从而使您以最大链接速度高效进行远距离数据传输。由于 WANJet 加速技术在第五层运行，因此它可完全控制连接性和数据流。这样，无需任何改变或调整，WANJet 便可对应用完全透明。实际上，利用 WANJet 独立管理带宽便可实现最优网络性能。 2.透明数据压缩：最佳带宽扩充解决方案。有人称其为带宽扩充；还有人则称其为数据压缩。但无论被称作什么，其目的一致：在成本昂贵的广域管道中塞进更多数据。同时，其依赖的基础技术也相同：数据流进入 WAN 时删除冗余位，数据流退出 WAN 时再进行恢复。如果运行顺利，带宽扩充功能将支持更多异地备份，从而用于备

34、份处理的时间会更短，同时，还为冗余应用提供了更为出色的性能。F5 带宽扩充解决方案被称为透明数据压缩 (TDR)，它在 OSI 模型的会话层中运行。TDR 在数据合并前即检查应用数据流，因此，与使用第三层方法相比，TDR 能够发现并移除更多冗余。TDR 在所有应用数据流中运行，因此它所能优化的流量类型大大超过了具备特殊协议的第七层技术能优化的流量类型。 另外WANJet设备之间可以进行点对点的SSL加密。确保数据在广域网上传输时得到有效的保护。管理员可以灵活的选择对哪些流量进行加密，比如所有流量, 某个特定的数据流, 特定的子网或者到达某个服务器的流量。并且这些加密操作是在不牺牲优化处理效果的

35、情况下进行，流量可以在用SSL加密的情况下得到完全的优化。2.2.5 FirePass提供灵活的安全远程接入F5的FirePass是一款SSL VPN设备。它可以通过任何标准Web浏览器为用户提供到公司网络的安全接入。它可在几个小时内完成安装，无需对公司应用进行任何修改，同时也无需在远程位置进行任何配置或安装工作。F5 FirePass包含IPSec VPN、网络访问、网上应用程序(My Intranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能，使用标准SSL安全协议，不需要专用客户端，可以完美的解决随时随地接入的需求，不仅可以满足B/S应用程序的

36、远程接入，也可以满足各种各样C/S应用程序的远程接入。通过利用浏览器作为便利的“瘦客户机”，FirePass可支持企业将安全远程访问轻松而经济高效地扩展到任何连接上互联网的用户 员工、客户和合作伙伴。 主要优势： 安全性 遵循最佳安全实践的最高标准；为安全通信提供标准的RCR、3DES加密；提供强大的用户与设备鉴权特性；提供精细的接入控制； 降低总保有成本（TCO） 降低支持开销；消除客户机系统的日程维护；减轻管理负担；无需修改网络资源、远程设备或网络体系结构； 易于使用 快速完成安装；提供直观熟悉的浏览器界面； 可扩充性 集群可在单个URL上支持10,000条并发连接，且对性能不造成任何影响

37、； 可靠性 可支持耦合服务器对（在线服务器与备用服务器）之间整个状态的热故障切换，不会导致任何的会话中断或终止； 可用性 基于web的远程访问适用于所有ISP连接；在其它防火墙背后也可正常运行；完全运行在HTTP(安全应用层互联网协议)之上。IPSec VPN的安全性一直是一个弱点，由于IPSec VPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题，而F5 FirePass可以很好的解决这个问题。在FirePass的门户站主机访问模式下，FirePass可以对上传的文件做病毒扫描，更可以与企业现有的防病毒软件联动，彻底解决病毒问题。而FirePass内带的内容检查功能，解决了Web攻

38、击问题。 F5 FirePass可以对客户端做各种扫描，如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等，从而堵住病毒、木马入侵的途径。 F5 FirePass可以对接入客户进行各种限制，如可以访问的地址、端口、URL等等。 F5 FirePass可以配置成在退出时自动清除高速缓存。 以上这些功能都大大增强了系统的安全性。 IPSec VPN的日志功能也非常薄弱，而FirePass可以提供非常丰富的用户级日志功能，更可以通过标准的日志协议将日志实时传送给企业中的日志服务器，便于审计。 三产品功能介绍31 GTM广域网流量管理器BIG-IP v9 系列技术资料全球流量管理器BIG-I

39、P 全球流量管理器凭借多个数据中心和分布式站点为企业带来最大投资回报 (ROI)、最高可用性和最佳客户体验。站点故障、攻击与应用构架故障是最终用户感到不满的主要原因，而客户不满会导致收入及客户的流失。BIG-IP 全球流量管理器（以前称为 3-DNS）可以为运行于众多全球分散数据中心的应用提供极高的可用性、最出色的性能和集中式管理功能。由于构建于 F5 模块化和可扩展的 TMOS 架构之上，BIG-IP 全球流量管理器能够根据业务政策、数据中心和网络条件分配最终用户应用请求，以确保最高可用性。主要优势： 支持应用和 Web 服务在多个站点间进行透明交付 确保全球业务的连续性和应用的可用性 引导

40、用户进入全球最佳站点，能够显著改进性能并提高客户的体验。 能够根据任何一项业务政策（包括地理信息、负载情况、时间等），并通过为直接用户交付全球流量控制，来增强灵活性。 能够从单一地点提供全面的应用和数据中心状态信息，降低管理开销 通过充分利用辅助数据中心，可提高全球网络的效率、可扩展性以及投资回报。 能够实现复杂任务的自动化流程，从而降低维护和管理开销。能够确保在全球获得出色的可用性和可靠性由于企业依赖其应用来保持竞争优势，因此确保应用的可用性至关重要。只有支持各种应用的 BIG-IP 全球流量管理器才能提供完善的状态监视功能，能够使企业快速适应变化并保持竞争优势。完善的状态监视功能BIG-I

41、P 全球流量管理器能够检查整个架构的运行状态，消除单点故障点引导流量远离运行状况不佳的站点。通过从每一数据中心、ISP 连接、服务器、高速缓存器甚至最终用户内容中收集性能及可用性指标，BIG-IP 全球流量管理器可确保在将流量引导至某站点之前、该站点就具有高可用性和充足的容量。以应用为中心的监视功能当前，应用不仅越来越完善，而且还需要具备智能状态检查特性以确定可用。BIG-IP 全球流量管理器集合有多个监视器，而不是仅依靠单一状态检查功能，因此您可以在多个级别检查应用的状态。这就能改进可用性、增强可靠性，并消除误报警 (false positives) 以降低管理开销。只有 BIG-IP 全球

42、流量管理器才能为超过 18 种不同的应用（包括 SIP、Oracle、 LDAP、mySQL 等）提供预定义的、无与伦比的状态监视支持功能。 BIG-IP 全球流量管理器通过对这些应用进行针对性的监控，来准确测定其状态、缩短停机时间，并改进客户的体验。BIG-IP 全球流量管理器还能跟踪这些应用（这些应用彼此相关联）的状态，如果在该组中对某一对象的状态检查失败，那么系统就会将所有相关对象标注为性能下降。这能够使您根据业务逻辑和盈利能力校准并监视应用对象，制订可扩展的流量分配政策，并更好地管理应用的相关性。灾难恢复/业务连续性BIG-IP 全球流量管理器为站点故障切换和业务连续性提供了业内最全面

43、的解决方案。除了可进行全面的站点可用性检查之外，您还可以通过定义某些条件，以便将全部流量转移至备份数据中心，或故障切换整个站点，或仅对受影响的应用进行控制。智能全球负载平衡，实现最佳性能并改进客户体验使用分布式数据中心的企业无法基于特定业务政策通过将用户路由至最佳和最近的数据中心来分配全球流量。在流量达到峰值时段，更改网络和用户条件将造成数据中心瘫痪。只有 BIG-IP 全球流量管理器才能提供全面的应用管理服务，该服务能够支持企业当前所面临的演进应用的需求。出色的全球负载平衡能力 BIG-IP 全球流量管理器包括业内最先进的流量分配能力，能够满足企业或全球部署应用的各种要求。这些要求包括：轮循

44、 地理信息全球可用性 虚拟服务器容量LDNS 持续性 最少连接应用可用性 每秒数据包数往返时间 动态比率中继 (Hop) LDNS 轮循数据包完成率 比率用户定义的服务质量 (QoS) 每秒千字节数高级智能特性BIG-IP 全球流量管理器可基于全面的站点和网络指标将用户路由至最佳全球资源。例如，QoS 负载平衡模式包括中继系数，该系数基于客户与本地 DNS 之间的中继数量。管理器可通过中继速率将用户发送至距其有着最少中继的数据中心，从而确保更快地进行访问。动态比率负载平衡模式可解决其它全球流量管理系统普遍存在的“赢者通吃”的问题。动态比率能够根据您网络和服务器资源的状态和性能，按比例将部分流量

45、发送至最佳性能站点，或次佳性能站点，等等。针对状态应用的客户端连续性BIG-IP 全球流量管理器是唯一一款能够跟踪应用状态并智能提供出色客户体验的解决方案。最终用户现在可以在应用和数据中心保持持续连接，并自动基于应用状态路由到相应的数据中心或服务器。应始终保持会话的完整性，确保不会出现会话中断、数据丢失或损坏的现象。这样，企业就能提高构架的可扩展性，降低总体拥有成本 (TCO)，并减少客户支持开支。智能流量路由控制iRules只有 BIG-IP 全球流量管理器才配有简单易懂但功能强大的 iRule 编程语言，您可以通过 iRule 定制全球流量的动态分配。BIG-IP 全球流量管理器能够查看

46、DNS 消息底层中的信息，从而将应用流量分配到所需的数据中心、池或虚拟服务器中。该功能能够降低延迟、增强应用保护功能、避免恶意攻击，并提高应用的性能。由于 iRules 是根据易用的基于 TCL 的脚本语言开发而成，因而其管理成本相当低。广域持续性BIG-IP 全球流量管理器提供了完善的持续模式，用户能够被引导至合适的资源。它能将流量智能地分布到同一个站点，从而可维护应用或交易的连续性。BIG-IP 全球流量管理器能够实现所有设备持续性信息的同步，从而确保了用户无论从哪一个进入点登录都能被引导至同一站点。最后，它还能将所需的持续性信息发送至本地 DNS 服务器，以减少后端数据库同步所需的频率。

47、地理负载平衡BIG-IP 全球流量管理器能够解析出 IP 地址的所属国家，从而增强对全球流量管理的拓扑控制。对于包含不同语言内容的站点，BIG-IP 全球流量管理器能够确保全球用户获取符合其语种的所需信息。定制拓朴映射BIG-IP 全球流量管理器能够使部署内联网应用的企业建立定制拓朴映射。通过定义和保存定制区域分组，您就能基于满足内部架构需求的流量分配政策，来配置拓朴结构。无与伦比的 DNS 性能BIG-IP 全球流量管理器提供优异的 DNS 性能，可处理互联网上最繁忙的站点。如今，企业可以为最终用户提供最出色的服务质量，同时避免了较差的应用性能。出色的管理能力以及较低的运营成本在单点的对跨多个站点的分布式网络进行管理是企业所面临的巨大挑战。BIG-IP 全球流量管理器提供了一种查看全球构架的工具，您能借助这种工具管理网络和业务策略，从而确保关键业务应用具有最出色的可用性。ZoneRunner只有 BIG-IP 全球流量管理器才能提供名为