F5+BIGIP+V9优点rv3.docx

F5+BIGIP+V9优点rv3.docx

《F5+BIGIP+V9优点rv3.docx》由会员分享，可在线阅读，更多相关《F5+BIGIP+V9优点rv3.docx（25页珍藏版）》请在冰豆网上搜索。

F5+BIGIP+V9优点rv3

F5新一代应用交换机BIG-IPV9的特点与优点介绍

F5Networks

目录

一、真正的应用交换，灵活的应用控制能力4

1.1广泛的应用支持，软件与应用开发商的首选流量管理产品4

1.2高级的应用健康检查功能5

1.2.1内置丰富的高级应用健康检查方法5

1.2.2基于脚本的可定制的应用健康检查方法5

1.3强大的应用会话保持功能6

1.3.1内置多种会话保持方式6

1.3.2支持复杂的的、可定制的会话保持功能6

1.4UIE＋iRule提供了对应用的可编程控制7

1.4.1UIE实现了对所有TCP、UDP应用的数据包分析与信息提取功能7

1.4.2iRule基于事件驱动的编程方式、功能强大、扩充性极强的开发语言TCL8

1.5选择性地址转换（iSNAT）9

1.6双向的数据流改写功能9

1.7基于脚本的系统控制手段10

1.8开放的APIiControl，实现与应用的无缝集成与互动10

1.9D网站提供了iRule与iControl的技术支持与知识共享10

二、集成的应用优化能力10

2.1SSL加速11

2.2动态智能HTTP压缩11

2.3TCP优化（TCPEXPRESS）12

2.4RAMCache13

2.5OneConnect连接复用13

2.6七层带宽管理14

三、先进的体系结构15

3.1软件架构――革命性的TM/OS体系结构设计15

3.2硬件架构――新一代的应用交换机硬件平台17

四、高可用性17

4.1双机采用专用的心跳线，支持毫秒级切换17

4.2支持双机连接状态镜像（ConnectionMirroring）17

4.3高级的应用健康检查方法17

4.4服务器错误回应再处理机制，减少Down机时间17

4.5专用的双机“HA”进程表实现对系统状态的全面监控18

五、提高网络与应用安全18

5.1防DOS攻击18

5.2强大的应用内容保护功能18

5.2.1过滤非法的用户请求18

5.2.2隐藏服务器端敏感信息19

5.2.3对应用数据选择性加密19

5.4高级客户端验证功能20

5.5网络包过滤和应用级防火墙（PacketFilter）能力20

六、扩展性与性价比20

6.1模块化的设计，可选的功能模块，按需增加可选模块进行扩充性，投资保护20

6.2领先的性能指标、强大的功能、独立的第三方测试报告、实际的业务流量下的测试结果21

七、易管理性21

7.1配置界面基于对象的命名方式、基于Profile的配置管理方式21

7.2配置界面提供了对对象与日志的搜索功能21

7.3内置的实时数据包分析工具、iRule跟踪调试接口，为故障诊断带来便利21

7.4独立的管理端口与管理子系统（LightOutSystem）21

7.5前面板LCD实时监控系统运行状态与告警信息21

7.6丰富的、图形化的流量与系统统计信息22

八、产品比较表22

F5的优势

概述

本文从以下几个方面介绍了F5BIG-IPV9应用交换机的特性与优点：

●强大的应用交换、灵活的应用控制能力；

●集成的应用优化与加速能力；

●高可用性；

●先进的体系结构设计；

●安全性;

●扩展性与性价比；

●易管理性；

一、真正的应用交换，灵活的应用控制能力

1.1广泛的应用支持，软件与应用开发商的首选流量管理产品

F5　BIG-IP应用交换机有广泛的应用支持支流，它已经成主流应用软件提供商首选推荐的硬件负载均衡解决方案。

以下应用都可以用F5BIG－IP应用交换机作到很好的支持：

Apache

BEAWebLogic

CheckPointVPN-1/FireWall-1

CitrixMetaframePresentationServer

HPOpenView

Lotus/DominoNotesServers

IBMWebSphere

Oracle:

–9iApplicationServer

–10gApplicationServer

–E-BusinessSuite11i

–CollaborationSuite.

SiebeleBusinessApplications

PeopleSoftEnterprise

MacromediaColdFusion

TrendMicroInterScan

MercuryBusinessAvailabilityCenter

SAPmySAPBusinessSuite

RealNetworksRealSystemServers

SuniPlanetServers

Microsoft：

–ApplicationCenter

–CommerceServer

–ExchangeSever

–OutlookWebAccess

–WindowsTerminalServices

–SharePointPortalServer

–InternetInformationServices（IIS）

–LiveCommunicationsServer

–SQLServer

–MicrosoftOperationsManager

–MobileInformationServer

–InternetSecurityandAccelerationServer

–VisualStudio.NET

NetegritySiteMinder

WebMethodsEnterpriseServicesPlatform

TivoliAccessManager

RSASecureID

……

注：

上述所列清单以外的TCP/UDP应用（不仅仅局限于HTTP/HTTPS应用），都可以采用BIG-IP应用交换机作负载均衡。

1.2高级的应用健康检查功能

当应用交换机对服务器作负载均衡时，应用交换机对服务器上应用的运行状况的监控能力十分重要。

只有及时发现有故障的服务器或应用，才能保证用户的访问请求会分发到可以正常工作的服务器上。

而F5　BIG-IP应用交换机具有强大的应用健康检查能力：

1.2.1内置丰富的高级应用健康检查方法

F5BIG-IP应用交换机不仅仅从网络连通性与端口是否打开来判断服务器上应用的可用性，还内置了丰富的高级应用健康检查功能：

ICMPMonitor

FTPMonitor

WAPMonitor

POP3Monitor

GatewayICMPMonitor

SIPMonitor

IMAPMonitor

RADIUSMonitor

TCPMonitor

SMTPMonitor

LDAPMonitor

RDPMonitor

TCPEchoMonitor

SNMPMonitor

LDAPoverSSLMonitor

RealNMonitor

UDPMonitor

SoapMonitor

MicrosoftSQLMonitor

OracleMonitor

HTTPMonitors

HTTPSMonitor

NNTPMonitor

WMIMonitor

EAVMonitor

ReverseKeywordMonitor

TransparentDeviceMonitor

MonitorScripting

CompositeMonitors（thisisanMofNmonitorrule）

1.2.2基于脚本的可定制的应用健康检查方法

对于BIG-IP内置没有提供健康检查方法的应用，可以通过编写脚本的方式来定制相应的健康检查方法。

例如对某一特定的中间件服务器可以通过编写以下的脚本来实现对应用的检查：

#!

/bin/sh

#theseargumentssuppliedautomaticallyforallexternalpingers:

#$1=IP（nnn.nnn.nnn.nnnnotationorhostname）

#$2=port（decimal,hostbyteorder）

#$3andhigher=additionalarguments

#

#Inthissamplescript,$3istheregularexpression

#

pidfile="/var/run/pinger.$1..$2.pid"

if[-f$pidfile]

then

kill-9`cat$pidfile`>/dev/null2>&1

fi

echo"$$">$pidfile

node_ip=`echo$1|sed's/:

:

ffff:

//'`

#echo"GET/"|/usr/bin/nc$node_ip$22>/dev/null|grep-E-i$3>/dev/null

/usr/bin/curl-m3http:

//$node_ip:

$2$32>/dev/null|grep$4>/dev/null

status=$?

if[$status-eq0]

then

echo"up"

fi

rm-f$pidfile

1.3强大的应用会话保持功能

当采用多台服务器以负载均衡的方式对外提供服务时，对来自同一个用户的多次请求往往会被要求由同一台服务器处理，否则服务器之间的会话状态没有同步会导致用户的交易请求失败。

因此应用交换机的应用会话保持能力也十分重要。

F5BIG-IPV9应用交换机具有强大的应用会话保持功能：

1.3.1内置多种会话保持方式

F5BIG-IP已经内置支持了多种会话保持方式：

◆源地址相关性持续性

也称为简单持续性，源地址相关性持续性支持TCP和UDP协议，完全根据数据包的源IP地址，将对话请求定向至同一台服务器。

◆cookie持续性

cookie持续性使用存储在客户端计算机上的HTTPcookie，从而允许客户机重新连接到之前在网站访问的那台服务器。

◆目的地地址相关性持续性

也称为粘着持续性，目的地地址相关性持续性支持TCP和UDP协议，完全根据数据包的目的地IP地址，将对话请求定向至同一台服务器。

◆Hash持续性

Hash持续性允许您基于现有的iRule创建持续性散列。

◆微软远程桌面协议持续性（MSRDP）

微软远程桌面协议（MSRDP）持续性跟踪那些运行Microsoft®远程桌面协议（RDP）服务的客户机和服务器之间的对话。

◆SIP持续性

SIP持续性是用于以下这些服务器的持续性类型：

它们接收通过UDP发送的对话启动协议（SIP）消息。

SIP是一种支持实时消息传递、语音、数据和视频的协议。

◆SSL持续性

SSL持续性是使用SSL对话ID来跟踪未中断的SSL对话的持续性类型。

即使客户机的IP地址发生了变化，LTM系统仍根据对话ID将连接识别为持续连接。

◆通用持续性

通用持续性允许您编写表达式，定义数据包中要持续的内容。

此表达式以iRules™中使用的表达式语法编写而成，定义用作对话标识符的字节序列。

1.3.2支持复杂的的、可定制的会话保持功能

对于BIG-IP没有提供会话保持方法的特定应用，可以通过脚本来进行定制会话保持方法。

例如对于许多中间件服务器，JSESSIONID往往会被作为会话保持的依据，但对于用户的首次访问，用户请求中是没有JSESSIONID的，这样往往会现现第一次请求被按负载均衡分配到一台服务器上，而随后的访问却被JSESSIONID保持到别的服务器上的情况，原因是在应用交换机上，没有JSESSIONID与服务器的对应表。

但BIG-IP　V9应用交换机却可以在系统中维护这么一张JSESSIONID与服务器的对应表，分析用户的第一个请求所触发的服务器回应内容，从中提取JSESSIONID信息并与产生回应的服务器相对应。

这样对随后的用户访问，BIG-IP应用交换机就可以查找JSESSIONID与服务器的对应表，保证用户请求自始至终由同一台服务器处理。

以下是用iRule所实现的例子：

whenCLIENT_ACCEPTED{

setadd_persist1

}

whenHTTP_RESPONSE{

if{[HTTP:

:

cookieexists"JSESSIONID"]and$add_persist}{

loglocal0."responsesetcookie[HTTP:

:

cookie"JSESSIONID"]"

persistadduie[HTTP:

:

cookie"JSESSIONID"]

setadd_persist0

}

}

whenHTTP_REQUEST{

if{[HTTP:

:

cookieexists"JSESSIONID"]}{

persistuie[HTTP:

:

cookie"JSESSIONID"]

}else{

setjsess[findstr[HTTP:

:

uri]"jsessionid"1132]

if{$jsess!

=""}{

loglocal0."requestinclude$jsess"

persistuie$jsess

}

}

}

1.4UIE＋iRule提供了对应用的可编程控制

TM/OS集成了可编程控制的iRules和通用检查引擎（UIE），凭借完整的应用数据包检查及转换能力、可扩展的事件驱动iRules以及面向会话层的交换（session-awareswitching）技术、BIG-IP提供了业内最智能的流量控制能务，配于强大的硬件加速处理能力，最终可以保证在极高的速度下处理各种复杂的应用交换与控制问题。

1.4.1UIE实现了对所有TCP、UDP应用的数据包分析与信息提取功能

TM/OS集成了F5新版定制的iRules和通用检查引擎（UIE），为应用交易或应用流内任何时刻的应用流量处理都供了无与伦比的控制能力。

凭借完整的有效载荷检验及转换能力、可扩展的事件驱动iRules以及面向会话层的交换（session-awareswitching）技术，BIG-IP提供了业内最智能的流量控制点，以（以网速）解决各种应用交付问题。

UIE支持完全的双向应用数据流分析，包换Inbound与Outbound流量。

业内唯一一款可提供完整应用流的解决方案--能够高速进行的全面的有效负载检查和基于事件的可编程流量管理，以及时掌握流量信息，并采取相应控制与转换措施。

UIE--UniversalInspectionEngine通用搜索引擎，可以检查TCP/UDP数据中的任何内容，包括TCPHeader，TCPPayload等。

与其它的状态监测方式不同，通过UIE，甚至可以实现数据流的双向监测。

图表1UIE通用搜索引擎工作示意图

UIE可以在多个条件下触发，包括客户端建立连接时、客户端TCP三次握手完成后数据传输时、服务器端建立连接时和服务器返回数据时等。

针对特殊的应用，还具有应用触发条件如SSL连接建立和客户端证书提交等。

UIE可检测的内容包括：

客户端IP、客户端源端口、服务器端IP、服务器端口、客户端数据、服务器端数据。

通过一系列的字符串和二进制处理机制，可将处理的结果提交iRules进行判别和处理。

1.4.2iRule基于事件驱动的编程方式、功能强大、扩充性极强的开发语言TCL

iRules可以根据UIE监测到的数据来对流量进行处理。

例如，Rules可以配置为判断以下条件：

●是否在数据包中包含以”cgi”作为结尾的HTTP请求？

●是否数据包的源地址是以八进制“206”为开头？

●是否在TCP的数据包中包含字符串“ABC”。

在获取判断条件后，iRules则可对该数据流进行处理。

例如：

如果数据包源IP为20.1.1.2则将其分配到服务器A；

如数据包前50个字符包含字母“REAL”则将其丢弃；

如果数据包第一个字符为0xE3则将其放入4Mbps的一个RateClass进行带宽控制。

1.5选择性地址转换（iSNAT）

应用交换机对服务器实现负载均衡时，往往需要将一组服务器虚拟成一台服务器对外提供服务。

与此相应的，当这一组服务器对外通讯时也会要求采用虚拟服务器的地址与外界通讯，这就需要在应用交换机上通过网络地址转换（NAT）来实现。

当应用交换机同时对多组服务器进行负载均衡，而单台服务器同时参与到多个负载均衡器组的时候，对网络地址转换的要求变得复杂。

而F5BIG-IP应用交换机所提供的可编程控制的地址转换能力（iSNAT），可以胜任上述要求。

1.6双向的数据流改写功能

TM/OS的FullProxy结构使BIG-IP具有了双向数据流改写的能力。

以下是对服务器端的回应内容进行匹配修改的例子，BIG-IP应用交换机可以将服务器回应内容中的所有http转换成https,同时特别对链接转换成

whenHTTP_REQUEST{

#Don'tallowdatatobechunked.

if{[HTTP:

:

version]=="1.1"}{

if{[HTTP:

:

headeris_keepalive]}{

#AdjusttheConnectionheader.

HTTP:

:

headerreplace"Connection""Keep-Alive"

}

HTTP:

:

version"1.0"

}

}

whenHTTP_RESPONSE{

if{[HTTP:

:

headerexists"Content-Length"]}{

setcontent_len[HTTP:

:

header"Content-Length"]

}else{

setcontent_len4294967295

}

if{$content_len>0}{

HTTP:

:

collect$content_len

}

}

whenHTTP_RESPONSE_DATA{

setpayload[HTTP:

:

payload]

setlength[HTTP:

:

payloadlength]

setnew_payload[stringmap{\

http%https%\

\

}$payload]

if{$new_payloadne$payload}{

#Replacethecontentiftherewasanymatches

HTTP:

:

payloadreplace0$length$new_payload

}

}

1.7基于脚本的系统控制手段

BIG-IP支持在系统中运行脚本，并可以设定为定时执行，这样可以让脚本定期检查系统的运行状态，并相应地调整系统运行参数或应用交换控制规则，从而真定做到对应用的动态适应用控制。

1.8开放的APIiControl，实现与应用的无缝集成与互动

F5的iControlTMAPI与SDK帮助实现了第三方应用和BIG-IP之间的自动通信，从而消除了繁琐的手工操作。

经扩展后，iControl现在已可支持真正的发布/订阅模式。

这一模式大大降低了网络开销，改善了通过iControl接口与BIG-IP相集成的应用的性能。

对于大多数应用而言，该模式能够显著降低客户机和服务器的网络带宽与处理时间。

1.9D网站提供了iRule与iControl的技术支持与知识共享

为了帮助用户掌握BIG-IP应用交换机的强大编程能力，分享iRule与iControl的编程经验，F5专门提供了一个了开发网站。

用户可以通过它免费获得编程开发的技术支持，同时可以了解别的用户利用BIG-IP的编程能力所实现的应用控制。

二、集成的应用优化能力

BIG-IP提供了一套有针对性的方法来减少流量，降低互联网延迟和客户机连接瓶颈对其应用性能所造成的影响。

通过综合采用多种应用优化手段以后，应用访问的性能可以得到显著提高，与此同时，由于服务器性能的提高，还可以达到减少服务器数量、从而节省投资的目的。

例如，通过智能压缩、带宽管理等特性等先进特性，BIG-IP可支持对各种文件类型的压缩（如HTTP、XML、Javascript、J2EE应用等），从而在将带宽利用率降低80%的同时，将应用性能提高了3倍；

通过OneConnect技术，把任何特定客户的所有TCP/IPsession合并到一个session；通过SSL加速卸载来自Web服务器的SSL处理，这些加速技术的组合可以使得服务器性能得到很大的提高。

以下是通过BIG-IP的应用优化与加速功能，对常见的应用所带来的优化效果。

具体来说，BIG-IP的应用优化与加速包含以下功能（有些功能需要在标准的配置上增加附加的License才能激活）：

2.1SSL加速

当企业的关键应用通过互联网进行部署时，往往需要采SS来提高应用的安全性。

而SSL流量的快速增加，往往使服务器的CPU不堪重负。

F5BIG-IP应用交换机集成了硬件SSL加速处理能力，使客户能够有效地管理通过SSL提供的企业应用，并进行先进的智能流量管理检查。

从而，提供了更强大的性能，并降低了实施安全应用的成本。

F5BIG-IP应用交换机对SSL会话第一阶段的非对称加密和第二阶段的对称加密都实现了硬件加速，真正卸载CPU处理SSL加密解密的带来的沉重负担。

通过iRule提供的强大编程处理能力，F5BIG-IP应用交换机还可以实现对应用内容有选择性的加密。

BIG-IP应用交换机在基本配置中已经包含了100TPS的SSL加速处理能力。

通过购买附加的License可以将额外SSL的加速处理能力在BIG-IP应用交换机上激活。

BIG-IP1500

BIG-IP3400

BIG-IP6400

BIG-IP6800

Max.SSLTPS

2,000

8,000

15,000

20,000

Max.SSLBulk

500Mbps

1Gbps

2Gbps

2Gbps

Max.SSLconc.conn.

100,000

200,000

500,000

500,