F5能源媒体制造业交通企业解决方案.docx
- 文档编号:30479464
- 上传时间:2023-08-15
- 格式:DOCX
- 页数:53
- 大小:879.72KB
F5能源媒体制造业交通企业解决方案.docx
《F5能源媒体制造业交通企业解决方案.docx》由会员分享,可在线阅读,更多相关《F5能源媒体制造业交通企业解决方案.docx(53页珍藏版)》请在冰豆网上搜索。
F5能源媒体制造业交通企业解决方案
F5能源-媒体-制造业-交通企业
解决方案
能源
省级石油公司-加油站SSLVPN接入系统
项目概况:
加油站比较分散,现场维护困难
每个加油站两台机器需要连接市公司机房,然后再通过专线连接到省公司机房。
原采用拨号方式,费用高、速度慢、掉线率高
每个加油站按照每天拨号总共2小时计算,每个月的通讯费用为720元,而ADSL包月才120元。
在采用拨号方式时、由于速度太慢,无法对油站机器进行远程维护
采用ERP以后,需要实现实时联机交易,如果仍然采用拨号需要8000多元/月
网络结构:
客户需求:
使用ADSL+SSLVPN实现安全宽带接入
2000个并发用户实时在线
远程加油站接入零维护
可双向通讯,从总部即可直接维护加油站设备
同时支持Linux和Windows两种客户端的B/S和C/S应用
可持续扩展
F5的解决方案:
2台FirePass4140,每台提供1000并发用户处理能力
采用BIGIP1500对两台4140进行负载均衡
WhyF5:
在石油、制造业等有大量成功案例。
深得行业客户好评。
在天津石油加油站系统中已经成功部署
系统运行稳定,保证加油站交易通畅
最好的Linux客户端支持,不需要下在巨大的Java虚拟机包
具有良好的扩展性。
关键技术阐述:
FirePassSSLVPN:
提供Portal、AppTunnel和NetworkAccess三种模式,支持从最方便的HTTPSWeb代理到最开放的三层网络通道方式,满足各种复杂应用需求。
SSLVPN负载均衡:
通过BIGIP-LTM,可以将两台以上的SSLVPN设备组成最佳的Cluster解决方案,保证多台设备的协同工作和健康状态监控。
严格访问控制:
包括WebACL,NetworkACL等多种手段来限制用户的访问范围。
端点检查:
可检查客户端的安全状况,如防火墙开放情况、防病毒软件安装情况等。
对不符合安全条件的客户端可做隔离处理。
充分保证内网安全。
内置Web攻击防护和杀毒网关,保护内网服务器。
Aramco石油SSLVPN安全接入系统
客户背景:
沙特阿拉伯石油公司(SaudiAramco)成立迄今六十七年,为全世界最大的产油公司,掌握全球四分之一的石油蕴藏(已证实蕴藏量二、五九二亿桶),为亚洲、欧洲、及美国地区能源主要来源,于国际能源界占举足轻重地位。
SaudiAramco总部位于阿拉伯半岛东岸达兰,为世界十大石油公司之一,目前有56,500名员工,分布在五十个国家以上,其中八成为沙特阿拉伯人;本身拥有世界最大的陆上和海上油田,及先进的探勘及石油工程中心,并建构纵横国际的营销体系;在新的世纪里,SaudiAramco探勘人员在全球找寻新的油气投资机会,并积极推动强化措施,以期永保在能源业界的领先地位。
项目概况:
Aramco的五万多名员工分布在全球各地。
原采用IPSECVPN访问总部应用。
IPSEC客户端维护复杂,系统维护成本极高。
员工使用不便,并且和合作企业互联时具有很高的风险性。
曾多次发生外部染毒用户接入内网后,导致内网大规模瘫痪和中毒事件
需要真正的远程安全接入方案
网络结构:
客户需求:
传输安全,应该使用公开的协议保证信息传输的机密性;
可以适应多种接入平台,适应多种应用运行:
该解决方案要能够满足所有基于IP的应用都可以接入,包括基于TCP、UDP的C/S应用以及B/S应用,提供与应用无关的特性,可以使用各种windows平台,包括windows98、windows2000、windowsXP、windows2003;
提供完善的客户端安全检查手段:
可以根据系统预定义的安全策略对客户端做各种扫描,如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等,然后根据用户的不同情况访问不同的网络资源;
提供高可用性:
系统对全球员工服务,需要24小时不间断运行。
提供多种身份认证手段:
应提供多种身份认证手段,以满足多种应用的需求;
支持网络隧道方式:
可以让安全的客户端像在内网一样访问内部的所有基于IP技术的资源。
F5的解决方案:
推荐采用FirePassSSLVPN安全接入网关作为远程安全接入平台
FirePass内置的端点检查功能可以确保每个接入的客户端均满足内网的安全需求。
FirePass支持多种客户端,包括Windows、Linux、MAC、WinCE等客户端。
根据客户端的端点检查结果赋予每个用户不同的访问权限
单台SSLVPN可接入2000个并发用户
采用11台FirePass4150形成Cluster模式,实现20,000并发用户的接入能力。
系统将来还可以采用BIGIP对FirePass负载均衡实现更高的并发客户处理能力。
WhyF5:
内置端点检查功能,而竞争对手提出的同样功能解决方案必须配合第三方产品,导致系统造价的直线上升。
图形化的检查流程配置减小了网管人员的工作强度
Cluster单点配置,统一管理
实际测试运行期间工作最稳定
通过与BIGIP配合,系统还有扩展的空间
F5提供整体解决方案,面向安全、加速和高可用性。
关键技术阐述:
端点安全检查:
在F5FirePass内置了客户端安全检查功能,可以在客户端登陆FirePass之前就对客户端的安全状况进行彻底检查,包括是否开启防火墙、是否安装防毒软件、防毒软件的版本和病毒库是否最新等进行检查。
并根据检查的结果允许或者不允许客户登陆。
Post-LogonSequece:
根据端点检查的结果,FirePass还将对后台的资源进行保护,对于不满足特定条件的客户端只开放有限的资源。
集群扩展:
FirePass支持自身集群扩展和BIGIP负载均衡两种扩展模式,可以在任何扩展要求下满足客户的需求。
电力行业关键业务–电力调度营销应用流量解决方案
项目概况:
某市电力局是省电力公司所辖的大Ⅱ型供电企业,全局职工总数为2337人。
下辖5县(市)供电局和城郊供电分局,3个直属生产单位,59家多种经营企业。
2001年全局固定资产规模达34.26亿元,其中部属达到22.5亿元,省属达到11.76亿元;电力销售收入26.06亿元。
县(市)局用电营销系统全面进入试运行,在提高营业窗口效率,规范业扩流程等方面发挥效用。
调度自动化主站--OPEN2000系统,完善了MIS系统、电能量计费系统、EMS/DTS接口的能力,真正实现信息共享,满足了电网技术发展的要求。
为了更好地服务下属用户群,决定对电力调度和用电营销等关键应用进行优化。
关键业务系统的7*24小时不中断,同时在每个月的高峰时间不仅要保证应用不中断,还要提高访问速度。
随着应用数据不断的增加,能够实现业务主机的无缝扩展。
通过架构流量管理产品,改进服务器和应用在运维时对在线业务的影响。
网络结构:
客户需求:
提供全面的服务器负载均衡算法,不仅要有常见的算法,还需要有能根据用户要求特别订制的算法。
提供基于应用的健康检查机制,不但能检测服务器故障,还可以检测应用故障。
通过HA方式保证系统的7x24小时服务,保证系统的高可靠性;同时提供会话镜像功能,保证设备切换时,应用的连续性。
要求方案设计简单,容易部署,不改变现有的网络结构。
F5的解决方案:
采用F5LTM1500双机HA冗余结构,实现电力调度和用电营销等应用的负载均衡。
采用F5特有的负载均衡算法和健康检查方法保证业务负载实时、高效均衡。
采用F5丰富的会话保持机制,对应用访问的一致性进行流量控制。
以F5独有的毫秒级切换和StatefulFailover技术实现系统切换时应用的连贯性。
采用双千兆链路聚合的全冗余、少层次的网络结构,保证不会因为线路故障影响业务。
基于应用的结构,便于以后业务系统无缝拓展。
为什么选择F5:
LTM产品能够满足要求严格的应用健康检查要求,是最贴近应用的健康检查,保证了各个服务器,更重要的是应用业务系统的正常运行。
LTM产品能够满足特殊的应用会话保持机制,特别是F5专利的cookie会话保持技术解决了源地址会话保持的局限性。
F5负载均衡器内置业界唯一专有的四层ASIC芯片,加速对数据处理的性能。
F5负载均衡器双机心跳线方式提供毫秒级快速切换,是CTAIS系统这样的关键业务系统所必需的。
简单而稳定的结构部署,实施容易,以后的扩容也容易。
F5在国内税务行业中拥有众多的成功案例和优异的运行记录。
专业的技术支撑和服务团队,第一时间对用户响应和解决问题。
关键技术阐述:
UIE+iRule提供了对应用的可编程控制:
UIE实现了对所有TCP、UDP应用的数据包分析与信息提取功能;iRule则是基于事件驱动的编程方式、功能强大、扩充性极强的开发语言。
UIE--UniversalInspectionEngine通用搜索引擎,可以检查TCP/UDP数据中的任何内容,包括TCPHeader,TCPPayload等。
与其它的状态监测方式不同,通过UIE,甚至可以实现数据流的双向监测。
图表1UIE通用搜索引擎工作示意图
UIE可以在多个条件下触发,包括客户端建立连接时、客户端TCP三次握手完成后数据传输时、服务器端建立连接时和服务器返回数据时等。
针对特殊的应用,还具有应用触发条件如SSL连接建立和客户端证书提交等。
UIE可检测的内容包括:
客户端IP、客户端源端口、服务器端IP、服务器端口、客户端数据、服务器端数据。
通过一系列的字符串和二进制处理机制,可将处理的结果提交iRules进行判别和处理。
强大的应用会话保持功能:
内置多种会话保持方式(源地址相关性持续性、cookie持续性、目的地地址相关性持续性、Hash持续性、微软远程桌面协议持续性、SIP持续性、SSL持续性、通用持续性);支持复杂的的、可定制的会话保持功能。
完善的基于应用的健康检查:
在对用户的访问请求作负载均衡的同时,应用交换机还必须不断地监控服务器上服务的运行状态。
LTM应用交换机支持以下服务器健康检查方法:
●服务器(Node)-Ping(ICMP)
●服务(Port)–Connect
●可扩展的应用验证(EAV):
不仅仅检查服务器上指定服务的端口是否处于监听状态,还要检查该服务端口能否对应用访问请求做出回应,例如可以检查对http请求或对数据库的查询能否做出回应。
●可扩展的内容验证(ECV):
LTM除了可以通过EAV对服务进行检查,还可以通过ECV对服务器的响应作进一步分析,通过分析读取服务器回应中的指定内容来判断服务器上服务的运行情况。
双机采用专用的心跳线,支持毫秒级切换:
专用的心跳线使双机的切换变得更加快速可靠。
双机的的切换可以在200毫秒以内完成。
媒体
报业多链路及服务器负载均衡解决方案
项目概况:
某市报业集团出版社成立于2004年6月,是全国第一家由国家新闻出版总署按企业批准新建的出版机构。
该报业集团出版社是地区最大的新闻门户,包括新闻,电子报,电子杂志,论坛,网视,彩票,交友,购物指南,商城,手机报,手机短信,彩信,WAP,游戏,手机等频道,每天发布大量各类信息及文章专题。
集团应用及各媒体业务的发展,对原有系统都提出新的挑战。
优化/改造原有应用IT架构成为集团面临的首要任务。
原有的单链路接入,单应用服务器/应用服务器软件集群等架构都远远不能满足现有的业务/应用需求。
在链路及应用服务器方面,急需保证业务访问的快速,安全,高可用。
因此,急需链路及服务器负载均衡来解决燃眉之急。
网络结构:
客户需求:
由原来的单链路接入改为双链路接入(网通和电信)。
不希望改变原有网络架构。
实现从Internet对服务器访问流量的负载均衡(Inbound)。
支持自动检测和屏蔽故障Internet链路。
支持多种静态和动态算法智能均衡多个ISP链路的流量,可方便扩展到多出口(2个ISP以上)。
提供客户端就近性访问。
支持双出口链路动态冗余,流量比率和切换。
支持多种DNS解析和规划方式,适合各种用户网络环境。
完全支持各种应用服务器负载均衡。
多层安全增强防护,抵挡黑客攻击。
业界领先的双机冗余切换机制,能够做到毫秒级切换。
F5的解决方案:
结构采用F5BIGIP3400LTM+LC做链路及服务器负载均衡。
F5各种灵活的网络接入及数据处理方式保证了原有网络架构基本不需要改动。
F5BIGIPLC链路控制器可以智能寻找最佳的出口链路,从而保证客户得到最快的上网访问速度。
确定最接近用户的最佳ISP的动静态结合算法合理有效,灵活。
本设计可动态检查各条出口链路的健康状态,并将下一个请求分配给最有效率的链路,任何一条链路发生故障时,即刻将请求分配给其他的链路,从而达到99.999%系统有效性。
本设计支持地址翻译技术和安全地址翻译,这样一来客户不可能知道真正提供服务的服务器的IP地址与端口,链路负载均衡设备采用SSH和SSL技术,可以防止来自内部或互联网上的黑客攻击。
本设计可以支持动态增加或删除其负载均衡的链路群组的任何数量的链路,而不需要对客户端或后台做任何改变从而使得系统扩展轻松方便。
可以实时监控整个链路群组的流量状态,并分析发展趋势帮助客户及时根据流量增长增加出口带宽。
同时对内部应用服务器负载均衡。
为什么选择F5:
F5产品的稳定性,是集团关键业务系统所必需的。
负载均衡算法:
有多种算法可选择,并且可以定义顺序执行,可先动态,后静态或先静态,后动态,高效灵活。
静态表定义可以多重嵌套,可在大区域中包含小区域,可灵活定制,并且有优先级划分。
动态探测机制灵活,探测结果以文件方式存放在设备中,设备重起时可直接导入系统
生产规则:
可对系统的特定事件进行特定处理,如根据时间进行算法调整,针对某段地址请求进行特殊处理
整合方案:
链路负载均衡与服务器负载均衡整合在同一设备中
F5强大的iRules提供真正的四七层交换,为客户实际需求提供灵活的解决方法。
F5各种灵活的网络接入及数据处理方式保证了原有网络架构基本不需要改动。
实施及维护的简易性得到保证。
关键技术阐述:
智能DNS解析功能
为了更好的分析F5的BIG-IP3400是如何实现对不同ISP用户访问提供不同的访问链路的,以一个电信用户的访问过程来详细讲解一下。
图例如上图。
首先,在LC上将会有两条ISP的链路连接,可以在其上层的交换机上通过VLAN来划分开两条链路,然后接入到不同ISP的路由器上。
同时在LC上不同的ISP接口上配置上不同ISP的连接IP。
然后,在域名解析的DNS上做一个别名的DNS解析条目,如下:
INCNAMEwww.sub.
……
.INNSf5a.。
INNSf5b.。
f5a..INAxx.xx.xx.xx(F5设备电信地址)
f5b.INAxx.xx.xx.xx(F5设备网通地址)
F5:
配置:
.INAxx.xx.xx.xx
INAxx.xx.xx.xx
其中SUB是一个在LC上配置的虚拟域名,可以自己来定义。
通过一个DNS的别名和NS域名解析指向,就可以让用户本地的DNS去LC上取相应的域名解析结果,而LC通过对不同链路状态的检测,回复最优路径的访问IP,这样就可以实现访问速度的提高了。
具体流程如下:
1、电信用户在IE浏览器上访问这个域名,本地机器会向其本地DNS服务器查询该域名的解析IP。
2、如果本地DNS上没有该域名的条目,它会向根询问该条目;如果已经有,则马上回应一个解析条目。
3、由于在根DNS上已经做了一个别名的DNS解析条目,当本地DNS向根DNS询问解析的时候,根DNS会通知该本地DNS向LC获取这个域名的解析条目。
4、本地DNS联系LC询问解析,这时LC会动态检测两条通往不同ISP路道,测试那条到达该本地DNS相对较优,然后选择相对较优的链路的地址去回应本地DNS,在本例中会使用中国电信的IP对www.这个域名做解析。
5、本地DNS会根据从LC收到的域名解析条目回应提出要求的中国电信访问用户。
6、中国电信的访问用户使用中国电信的地址去访问www.这个域名。
从上面的过程可见,通过LC的链路检测功能,可以为用户提供最优的访问链路,同时解决不同ISP接入速度慢的影响。
大型电视台国际网站解决方案
项目概况:
该网站是中国最大的电视台网站主节点。
做为中央重点新闻网站,是新闻媒体网站的国家队和主力军,是节目宣传的另外一个渠道。
网站是一个集新闻、信息、娱乐、服务为一体的具有视听、互动特色的综合性网络媒体,目前已实现12套节目网上同步视频直播。
网络结构:
客户需求:
此次的项目客户只考虑到由于电信运营商的拆分拆分,造成的南北互访问题。
要求确保访问网站的客户能够得到最快的相应。
如果是南电信的访问用户,最好选择电信的线路,如果是北网通的访问用户,最好选择北网通的线路,如果是其它的访问用户,希望能给予最快的访问相应。
如果单条线路出问题时,可以由另外一条线路提供服务
F5的解决方案:
采用F5BIG-IPGTM应用交换机分别部署在客户的两条出口链路上。
F5BIG-IPGTM通过静态的负载算法保证哪个运营商的用户就从此运营商的链路访问进来。
F5BIG-IPGTM通过动态的负载算法保证当用户不在我们设定的地址访问内时,可以动态的去探测路径,这样就能给出一条相对快速的访问路径,确保访问用户的最快相应。
为什么选择F5:
F5 BIG-IPGTM应用交换机消除因为电信运营商而造成的网络访问延时,做到用户的快速访问。
F5 BIG-IPGTM应用交换机有着强大的性能,每秒中几万次DNS解析相应。
F5BIG-IPGTM中的多种算法可选择,通过定义顺序,采用动静态结合的算法,能够准确的确保网通的客户访问网通的节点,电信的客户访问电信的节点,不在定义范围内的用户访问相对快速的节点
F5BIG-IPGTM在各个大的网站和金融等行业的广泛应用
快捷的部署,详细日志和统计,自身的安全可靠和容易管理。
关键技术阐述:
GTM/3DNS工作原理:
GTM/3DNS是IDC/CDN服务中的关键系统。
当用户访问加入CDN服务的网站时,域名解析请求将最终由GTM/3DNS负责处理。
它通过一组预先定义好的策略,将当时最接近用户的节点地址提供给用户,使用户可以得到快速的服务。
同时,它还与分布在各地的所有IDC/CDN节点保持通讯,搜集各节点的健康状态,以保证不将用户的请求分配到任何一个已经不可用的节点上。
RTT(动态探测)工作原理图:
制造业
大型制造业集团ADN整体解决方案
项目概况:
用户是涉足零售、旅游、金融、国际贸易、电子商务等诸多领域,融产业资本、商业资本和金融资本于一身的跨国企业集团。
业务辐射全球190多个国家和地区,拥有全球1200万个家庭的固定消费群体和5万个加盟连锁店,在105个国家和地区建立了分公司;并做到了研发、生产、物流、营销一体化;与美国、法国、德国、马来西亚、西班牙等二十多个国家的一流企业结成了战略联盟;经国家工商管理部门批准,在国内注册了111家分公司,下设4000多家授权经销店。
原有的IT架构远远不能满足该用户公司及业务的飞速发展。
需要一整套的ADN(应用交付网络)解决方案来满足他们对应用及管理的安全,快速,高可用的IT架构需求。
网络结构:
客户需求:
节点站间的负载均衡,即全球多个站点间的全局负载均衡。
做到最佳站点访问及站点间互为备份。
站点内多链路负载均衡,做到最佳链路访问及链路间互为备份。
特别在中国,解决南北对连问题。
服务器负载均衡,做到服务器负载的最佳分配及服务器/应用高可用。
安全方便的远程接入方案,安全且便于管理。
F5的解决方案:
多站点间采用F5特有的3DNS解决方案,在各个站点间部署3DNS,做到做到最佳站点访问及站点间互为备份。
采用F5BIGIP链路控制器解决站点内多链路负载均衡,做到最佳链路访问及链路间互为备份,解决多ISP间互访互连问题。
采用F5BIGIP本地流量管理器解决服务器负载均衡。
做到服务器负载的最佳分配及服务器/应用高可用。
采用F5FirePassSSLVPN安全接入网关作为远程安全接入平台。
安全且方便管理。
WhyF5:
唯一能提供整体ADN(应用交付网络)解决方案的厂商。
是行业领导者。
ADN的倡导者。
F5提供ADN整体解决方案,面向安全、快速和高可用性。
全局负载均衡:
负载均衡算法:
3DNS采用了完善的负载均衡算法和业界最先进的流量分配方法
生产规则:
可对系统的特定事件进行特定处理,如根据时间进行算法调整,针对某段地址请求进行特殊处理
全DNS域名解析:
可支持标准DNS所有记录格式,包括SOA,NS,MX,CNAME,A记录和反向解析记录,效率高
性能:
高性能,可支持每秒35,000次以上解析
设备间协作性:
3DNS可与F5BIGIP,Cisco,Foundry,NetApp,NortelAlteon等设备协同工作
多链路负载均衡:
负载均衡算法:
完善的负载均衡算法和业界最先进的流量分配方法
同时解决外往内,内往外的多链路负载均衡。
解决中国特有的南北互连互通问题。
保证线路的7x24小时不中断。
负载均衡器双机心跳线方式提供毫秒级快速切换,是保证链路高可用所必需的。
服务器负载均衡:
F5负载均衡器双机心跳线方式提供毫秒级快速切换,是关键业务系统实现高可用所必需的。
F5负载均衡器高性能高稳定性在中国诸多用户业务环境中得到证实。
F5是业界唯一采用专有四层加速芯片的负载均衡厂商。
F5与全球著名的应用供应商建立了全球合作伙伴关系。
他们在全球相关负载均衡应用推荐使用F5。
F5强大的iRules为应用提供灵活的负载均衡解决方案。
安全应用接入网关:
SSLVPN
F5FirePassSSLVPN设备可提供多种不同的接入方式,既满足B/S应用用户不需额外负担的要求
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- F5 能源 媒体 制造业 交通 企业 解决方案