1、Good is good, but better carries it.精益求精，善益求善。F5產品ICP行業解決方案F5ICP行業解決方案目錄TOCo1-3hzuHYPERLINKl_Toc141421847一概述PAGEREF_Toc141421847h-3-HYPERLINKl_Toc1414218481.1目前ICP網絡結構現狀PAGEREF_Toc141421848h-4-HYPERLINKl_Toc1414218491.2存在的問題PAGEREF_Toc141421849h-4-HYPERLINKl_Toc1414218501.2.1分布式站點沒有合理利用PAGEREF_Toc14

2、1421850h-5-HYPERLINKl_Toc1414218511.2.2服務器缺乏缺乏高效的負載均衡技術PAGEREF_Toc141421851h-6-HYPERLINKl_Toc1414218521.2.3異地站點間數據同步緩慢PAGEREF_Toc141421852h-7-HYPERLINKl_Toc1414218531.2.4web應用性能緩慢PAGEREF_Toc141421853h-7-HYPERLINKl_Toc1414218541.2.5遠程管理不夠靈活PAGEREF_Toc141421854h-9-HYPERLINKl_Toc141421855二F5解決方案PAGEREF

3、_Toc141421855h-9-HYPERLINKl_Toc1414218562.1網絡結構圖PAGEREF_Toc141421856h-10-HYPERLINKl_Toc1414218572.2解決方案介紹PAGEREF_Toc141421857h-10-HYPERLINKl_Toc1414218582.2.1GTM實現智能廣域網流量管理PAGEREF_Toc141421858h-11-HYPERLINKl_Toc1414218592.2.2BIGIP提供智能服務器負載均衡PAGEREF_Toc141421859h-12-HYPERLINKl_Toc1414218602.2.3BIGIP優

4、化技術提高用戶訪問質量，減少資源消耗PAGEREF_Toc141421860h-14-HYPERLINKl_Toc1414218612.2.4WANJet提供廣域網優化傳輸PAGEREF_Toc141421861h-16-HYPERLINKl_Toc1414218622.2.5FirePass提供靈活的安全遠程接入PAGEREF_Toc141421862h-20-HYPERLINKl_Toc141421863三產品功能介紹PAGEREF_Toc141421863h-22-HYPERLINKl_ToTM廣域網流量管理器PAGEREF_Toc141421864h-22-H

5、YPERLINKl_ToIGIP局域網應用交付設備PAGEREF_Toc141421874h-35-HYPERLINKl_TorescendoMaestroweb應用優化設備PAGEREF_Toc141421903h-48-HYPERLINKl_ToANJet廣域網優化設備PAGEREF_Toc141421904h-51-HYPERLINKl_Toc1414219053.5FirePassSSLVPN安全遠程接入PAGEREF_Toc141421905h-55-HYPERLINKl_Toc141421906四成功案例

6、PAGEREF_Toc141421906h-61-HYPERLINKl_Toc1414219074.1TOM網PAGEREF_Toc141421907h-61-HYPERLINKl_Toc1414219084.2sina網PAGEREF_Toc141421908h-63-HYPERLINKl_Toc1414219094.3sohu網PAGEREF_Toc141421909h-66-一概述今天，互聯網內容提供商產業的發展已經趨于多元化，各種贏利模式交相輝映，給互聯網內容提供商產業的發展注入了新的血液。但各種贏利模式都需要一個共同的基礎就是龐大的用戶群，擁有了用戶也就擁有了贏利的前提條件。而現在隨

7、著互聯網用戶的成熟和市場的細分，對各個ICP來說除了要想盡辦法去贏得更多的客戶，更重要的是要去留住手中已有的客戶，避免由于各種原因造成的客戶流失。而提高用戶訪問質量，加快用戶訪問速度是提高用戶滿意度的一個非常有效的方式。F5的ICP行業解決方案將幫助企業極大提高用戶訪問質量，使企業在激烈的市場競爭中取得先機。1.1目前ICP網絡結構現狀現在絕大多數ICP都采用多IDC站點的分布式網絡結構，在全國各地或者各個ISP的機房都設置站點，以便提高各地用戶的訪問速度。在單個IDC內部署了大量的服務器來處理用戶訪問，按功能劃分為cacheserver,webserver以及后臺存儲關鍵數據的NAS等。在單

8、個IDC內網絡通常劃分為內，外兩個網絡，外網面向用戶訪問，內網在各主要IDC間都串連起來，以便同步數據和管理。而在異地的IDC間主要通過VPN網絡來進行數據同步和管理動作。另外，網絡管理人員在休息或出差期間都通過ipsecVPN連接到公司，再通過從公司直連到主要IDC的專線對IDC內的服務器進行管理。1.2存在的問題1.2.1分布式站點沒有合理利用現在大多數ICP都意識到，對于一個網站來說，它所具備的帶寬和服務器的資源都是有限度的，在突發流量訪問下，帶寬資源和服務器的資源都可能成為用戶訪問的瓶頸，而影響訪問質量。對于網絡，傳輸的設備越多，每個設備都有故障的可能性，出現問題的潛在因素也會增加。傳

9、統互聯網上內容的集中放置必然導致整個網絡的無序流動，使資源整體性降低，從而無法保障有效的服務質量。另外，由于目前國內南北電信的分拆導致南北用戶互訪緩慢的問題，也增加了ICP使用CDN的決心。內容分布網絡（CDN）從根本上區別于傳統的內容發布模式，它的提出突破了傳統的技術瓶頸，強調了網絡在內容發布中的重要性和承載作用。通過引入主動的內容管理層和全局負載均衡，并結合內容緩存等技術，CDN構建了一個在現有的IP網絡基礎上為ICP業務支撐而優化的中間層，使用戶能以最快的速度，從最接近用戶的地方網絡邊緣獲得所需的內容信息，徹底解決網絡擁塞，提高響應速度和服務質量。以前國內大多數ICP在網絡建設初期，由于

10、資金和技術等方面原因都曾通過租用CDN運營商的網絡來解決以上問題。但租用CDN運營商的網絡代價高昂，不是長久之計。而且將自己賴以生存的網絡交付平臺交予他人掌管，容易受制于人，成為公司發展壯大的制約因素。因此，隨著各ICP的發展，大家都開始了搭建自己的CDN。很多ICP都采用自己搭建多個站點，然后通過自己開發的DNS軟件根據客戶端ip地址段來選擇鄰近的站點，進行分發處理。但經過一段時間的運行后，大家發現自行開發的軟件在實際運作中存在眾多技術上的缺陷，包括：1無法保證IDC站點的高可用性。由于DNS無法實現對IDC站點和應用內容的健康檢查，所以當某個IDC的鏈路或IDC內的應用出現故障時，DNS軟

11、件無法得知IDC的狀況，仍然會把用戶請求發送到該IDC去，從而導致部分用戶出現訪問不到頁面的狀況。2根據客戶端ip地址段進行IDC選擇的靜態方式并不合理。首先，國內各ISP的ip地址段是不斷變化的，要得到第一手的地址段資料不太容易，且頻繁的修改也會增加出錯的幾率。其次，中國互聯網結構復雜，未必同一ISP或地理相鄰，網速就快，這一點已在眾多企業中得到證明，因此如何根據客戶端ip地址選擇IDC也是一個頭痛的問題。最后，對于那些未知的ip地址段，如國外的ip地址，該如何選擇IDC呢？3分析報告功能差。此類產品的所處位置要求產品必須具備強大而清晰的統計報告功能，從而為公司的決策提供判斷依據。但通常自己

12、開發使用的軟件更注重功能和實用性，而對于管理，統計，報告等方面并不在意，從而導致無法滿足公司決策層的要求。由此可見，目前這種結構下的分布式多站點，即無法實現實時的IDC容災，更無法將多站點的資源進行最高效的利用。1.2.2服務器缺乏缺乏高效的負載均衡技術在很長的一段時間里，許多ICP公司都通過循環DNS的方式來解決服務器的負載均衡問題。循環DNS（Round-robinDNS）技術是負載均衡最常用的方法之一。最早的負載均衡技術是通過DNS服務中的隨機名字解析來實現的。在DNS服務器中，可以為多個不同的地址配置同一個名字，這個數據被發送給其他名字服務器，而最終查詢這個名字的客戶機將在解析這個名字

13、時隨機使用其中一個地址。因此，對于同一個名字，不同的客戶機會得到不同的地址，因此不同的客戶訪問的也就是不同地址的Web服務器，從而達到負載均衡的目的。但通過DNS進行服務器負載均衡所帶來的眾多缺陷，也是各公司頭痛的問題：1循環DNS負載“不”均衡。由于DNS記錄是可以被緩存的，當某個LocalDNSserver已緩存了該DNS記錄后，所有由該LDNS提供服務的客戶端都將直接解析到某個ip地址，這樣DNS服務器提供的負載平衡功能被繞過去了，客戶端將直接對該ip地址發起訪問。這就產生了一個“熱點”服務器，在這個“熱點”上，過度使用的服務器繼續接收額外的接入。2循環DNS無法對服務器進行健康檢查。一

14、旦某個服務器出現故障，由于DNSserver不知道這一點，仍然會把該服務器地址解析給用戶，從而造成用戶無法訪問的問題。即使及時修改了DNS設置，還是要等待足夠的時間（刷新時間）才能發揮作用，在此期間保存了故障服務器地址的客戶計算機將不能正常訪問服務器。眾所周知，DNS記錄是具備TTL時間的。只有該DNS記錄的TTL過期后，其他DNSserver才會重新來授權DNS解析該記錄的ip地址。如果TTL時間較短，不同地方的DNS服務器能更新對應的地址，使出現故障的服務器地址可以及時刪除，用戶仍舊可以被引導到正常的服務器上，但如果用戶緩沖了故障服務器的IP地址，這種方法也不能解決問題。同時將過期時間設置

15、的過低將使DNS流量大增，而造成額外的網絡問題。由于循環DNS沒有區分端口的能力，不能意識到服務器的可用性并且不能考慮服務器上的現有負載，無法對服務器負載進行動態地分析從而使得下一個請求總是由負載最小的服務器處理，因此循環復用DNS還有太多的限制，只能算是一種勉強可接受的負載均衡方案。1.2.3異地站點間數據同步緩慢由于采用分布式多站點網絡結構，各IDC站點間必需進行快速的數據同步才能保證信息發布的準確性，而且數據同步在廣域網上傳輸時，內容也必須是加密的。但數據傳輸的高性能要求以及廣域網(WAN)的高昂成本使得網絡狀況不甚理想，或是應用性能不盡人意，或是帶寬帳單過高，甚或兩者皆有。在同城的主要

16、IDC間，通過內網的專線即可完成快速安全的數據同步。但在異地的IDC站點間，目前ICP都采用跨廣域網(WAN)的VPN的方式來保證數據的安全傳輸。如果廣域網(WAN)鏈路的使用接近飽和，在高峰使用時期運行數據同步應用就會顯著降低數據傳輸的性能。VPN明顯無法滿足多站點間數據同步的快速實時特性，這也勢必將造成異地數據發布的延遲。您的企業需要在實現安全的同時，得到更快速的廣域網(WAN)傳輸速度。任何帶寬利用率的提高將有助于高效實現用于異地數據同步的流程。如果數據在廣域網(WAN)中能夠更為迅速地傳輸，您就能非常輕松地處理大型數據同步。提高帶寬利用率的明顯好處是：能夠降低您的帶寬成本，解決您的數據

17、同步問題。1.2.4web應用性能緩慢隨著各ICP業務的增長，用戶訪問量越來越大，服務器的壓力也同時增大，同時出口網絡帶寬占用的壓力也增大了。隨著各種資源的逐漸耗盡，客戶端的訪問質量也在逐漸降低，ICP廠家不得不投入大筆資金購買服務器和帶寬，卻最多只能維持原有服務質量，無法使服務質量得到提高。但在大訪問量情況下，最消耗服務器資源的卻并不是web服務器真正應該提供的功能生成頁面內容，而是用作處理大量的TCP連接請求。TCP協議固有的復雜性被高分布的，以性能為導向的新數據中心模式所放大，在給網絡帶來擁堵，延遲和低效性能的同時，TCP的負擔也給具有明顯特點的web應用帶來嚴重影響。例如，HTTP和H

18、TTPS等web接入同時都需要大量的TCP連接建立和斷開或安全處理。另外，e-mail，數據庫接入，集群服務和文件傳輸都會有延遲并依賴于I/O，理想狀態下，在服務器連接端需要一個高速的內部連接構造。最近，有關研究表明90的服務器CPU占用被用于TCP數據傳輸和連接管理任務。過去，這些問題一般都是通過增加更多的服務器，或用更高性能的服務器來解決。實際上這些只是針對表象問題，他們對內在固有的TCP數據傳輸和連接管理的擴展性，持續性和高效性并沒有進行解決。在新的數據中心時代，服務器資源應該是用在目標服務和web處理上而不是網絡傳輸和連接管理的控制，這點非常重要。解決方案必須能針對所有的應用傳輸層面進

19、行。同時，隨著業務量不斷增大，帶寬需求呈指數級增長，諸如低帶寬客戶連接、高網絡延遲，以及較差應用響應類型等問題，都會造成客戶端獲取數據緩慢。ICP企業解決應用性能問題的傳統辦法是不斷增加出口帶寬。但客戶端產生的網絡延遲根本無法得到緩解，而且由于帶寬價格未能按預期迅速降低，這使得提升網絡容量變得極為昂貴。企業需要在現有帶寬基礎上提升客戶響應速度的解決方案。另外，隨著電子商務的發展，為了保證電子商務的安全性,交易的不可否認性,電子商務網站都開始部署SSL,SSL提供安全的通信通道來解決電子商務的安全性。SSL幾乎成了事實上的加密標準，即大部分電子商務服務器是HTTPS服務器。當一個客戶端采用HTT

20、PS協議訪問HTTPS服務器時，因為雙方要交換證書、協商密鑰，并且要對傳輸的數據進行加密、解密。SSL服務會大量的消耗服務器的資源，降低服務器的可用性，影響系統效率。根據有關測試，當服務器運行SSL的時候，性能降低40%，在許多情況下，只能完成很少的交易。據NETWORKSHOP的測試報告當一臺SUNE450服務器（250兆主頻UltraSPARCCPU，SolarisOS，ApacheWWWServer）每秒鐘能處理357個HTTP請求，但如果是HTTPS請求則每秒鐘只能處理三個，并且CPU負荷急劇增加，高達95左右的CPU占用率。為了解決上述問題，提高電子商務服務器的處理能力，電子商務網站

21、需要SSL加速解決方案。通過專用的電子商務加密、解密加速設備將繁重的、極易消耗服務器CPU資源的交換證書、協商加密算法及密鑰，數據的加密解密工作從電子商務服務器上卸載下來，從而極大提高電子商務服務器的性能。而且這個過程對于客戶端和服務器端都是透明的。1.2.5遠程管理不夠靈活目前各ICP的網絡管理人員在休息或出差期間都通過ipsecVPN連接到公司，再通過從公司直連到主要IDC的專線對IDC內的服務器進行管理。但IPsecVPN已經逐漸無法滿足業務的管理需要了。遠程接入的需求就是隨時隨地接入，以往的IPSecVPN因為無法解決高可用性以及受網絡接入條件的限制，無法滿足隨時隨地接入的需求，具體表

22、現在需要客戶端，使用不方便、某些網絡條件下無法接入、無法滿足724小時的高可用要求。同時由于IPSecVPN連通后，整個內網對遠程接入者來說是完全可見的，如果遠程接入者不小心感染了病毒，木馬等有害程序，都會對內網的應用產生嚴重影響，甚至有泄密的風險，此類案例已經屢見不鮮了。另外對于企業IT主管來說，希望具有詳細的用戶級日志，必要時還可以將日志信息通過標準協議傳送至公司的日志服務器，從而能夠對網管人員的行為進行審計考核，這一點IPSecVPN同樣做不到。企業需要的是一種新的遠程安全接入方式，來滿足企業從客戶端到應用的安全，確保任何認證用戶，在任何地點，任何時間都能夠輕松的接入內網，具備強大審計功

23、能的同時，又能夠嚴格限制訪問者權限。二F5解決方案F5公司結合如前所述應用系統出現的問題，經過認真的分析，結合F5在業界多年的經驗，利用F5的流量管理設備提供良好的解決方案。2.1網絡結構圖如圖所示，在某兩個主要IDC站點內部署兩臺GTM（GlobalTrafficManagement）設備，為分布式的多站點結構實現智能廣域網流量管理。在每個IDC站點內部根據應用流量狀況，部署一對或多對BIGIP設備，實現Cacheserver和Webserver等各類應用服務器的服務器負載均衡和高可用。在每組應用服務器的前端，通過部署BIGIP的連接優化，HTTP壓縮，RAMCACHE等功能，可以進一步節省

24、對服務器性能，網絡帶寬占用上的資源消耗。另外BIGIP提供硬件的SSL加解密功能，可以將SSL的流量處理從服務器上卸載下來，提高服務器的處理性能。而在異地IDC站點之間，通過部署WANJet設備，保證異地IDC站點間的高速安全的數據傳輸。另外，在某幾個主要IDC內部通過部署FirePassSSLVPN設備，可以讓企業的網絡管理人員隨時隨地安全方便的接入IDC內網，對內網應用進行管理。2.2解決方案介紹2.2.1GTM實現智能廣域網流量管理GTM是處理多IDC站點的并行工作和冗災處理中的關鍵系統。通常我們建議企業在某兩個主要站點中各部署一臺GTM設備，這樣兩臺GTM設備之間既可以互相冗余，又符合

25、CNNIC的DNS管理規定，因為CNNIC只允許企業注冊兩個授權DNSSERVER。當用戶訪問ICP企業的網站時，域名解析請求將最終由GTM負責處理。GTM通過一組靜態或動態的探測機制，判斷出當時用戶訪問質量最佳的IDC節點，然后把該節點地址提供給用戶，使用戶可以得到最優的服務。同時，它還與分布在各地的所有數據中心節點保持通訊，搜集各節點的健康狀態，以保證不將用戶的請求分配到任何一個已經不可用的節點上。當用戶訪問WEB服務時，首先將DNS解析請求發送到F5的GTM設備，然后通過F5的GTM確定用戶訪問質量最佳IDC節點，并把該節點的地址解析給用戶。當用戶的請求到達指定節點時，IDC的服務器負責

26、將用戶請求的內容提供給用戶。用戶訪問的基本流程1用戶在發起對特定域名服務的訪問2向本地DNS請求對該域名的解析3本地DNS將請求發到ROOTNAMESERVER上，來查詢該域的授權DNSserver地址4本地DNS將請求發到網站的授權DNS，接著，授權DNS再將域名解析請求轉發到GTM5GTM根據一系列的動靜態策略確定當時最適當的IDC節點6GTM將解析的結果（IP地址）發給用戶的本地DNS7本地DNS將GTM的解析結果還給用戶8用戶向給定的IDC節點請求相應的內容，IDC節點中的服務器負責響應用戶的請求，提供所需的內容GTM可采用的算法有：循環法全球可用性法LDNS持續性法應用可用性法地理布

27、局法虛擬服務器容量法最少連接法每秒數據包法每秒KByte法往返時間法轉發法數據包完成率法用戶定義的服務質量法動態比率法LDNS循環法比率法隨機法2.2.2BIGIP提供智能服務器負載均衡對于所有應用服務器，可以在BIG-IP上配置VirtualServer實現負載均衡，同時BIG-IP可持續檢查服務器的健康狀態，一旦發現故障服務器，則將其從負載均衡組中摘除。BIG-IP利用VirtualServer虛擬服務器（VS由IP地址和TCP/UDP應用的端口組成）來為用戶的一個或多個目標服務器（稱為Node：目標服務器的IP地址和TCP/UDP應用的端口組成，它可以是私網地址）提供服務。因此，它能夠為

28、大量的基于TCP/IP的網絡應用提供服務器負載均衡服務。根據服務類型不同分別定義服務器群組，可以根據不同服務端口將流量導向到相應的服務器。BIG-IP連續地對目標服務器進行L4到L7合理性檢查，當用戶通過VIP請求目標服務器服務時，BIG-IP根椐目標服務器之間性能和網絡健康情況，選擇性能最佳的服務器響應用戶的請求。如果能夠充分利用所有的服務器資源，將所有流量均衡的分配到各個服務器，我們就可以有效地避免“不平衡”現象的發生。BIGIP利用UIE+iRules技術，可以將TCP/UDP數據包打開，并搜索其中的特征數據，之后根據搜索到的特征數據作相應的規則處理。因此可以根據用戶訪問內容的不同將流量

29、導向到相應的服務器，實現7層的負載均衡。例如：根據用戶訪問請求的URL將流量導向到相應的服務器。2.2.3BIGIP優化技術提高用戶訪問質量，減少資源消耗BIG-IP提供了一套有針對性的方法來減少服務器壓力，降低互聯網延遲和客戶機連接瓶頸對其應用訪問性能所造成的影響。通過綜合采用多種應用優化手段以后，應用訪問的性能可以得到顯著提高。與此同時，由于服務器性能的提高，還可以達到減少服務器數量，減少帶寬占用從而節省投資的目的。連接優化BIGIP通過Oneconnect技術，將所有客戶端的TCP連接轉移至BIGIP進行處理；而BIGIP與服務器之間僅建立少量的、持續的TCP連接。使Web服務器從處理大

30、量的并發TCP請求和TCP連接建立/卸載的負擔中解脫出來，同時當BIGIP收到用戶請求后才發送到服務器，服務器可免于受到客戶端和網絡異常的影響。BIGIP還會緩存所有服務器的響應數據包，服務器以LAN速度發送數據到BIGIP，服務器不會受到慢速客戶端連接的牽累。服務器的大量CPU資源被釋放來提供數據，而不是管理連接。BIGIP通過控制容量需求和訪問分析優化了服務性能和帶寬。企業也因為增加了更多的計算資源，減少了出口帶寬需求而降低服務器和帶寬投資，并且減少服務響應延遲和運營成本。HTTP壓縮BIG-IP提供業內最具擴展性，最智能也最靈活的壓縮解決方案。BIG-IP系統通過從服務器中不對稱卸載HT

31、TP壓縮，降低了服務器開銷，并通過實現服務器整合，將服務器總體擁有成本降低了高達65%。BIG-IP系統充分利用現有瀏覽器解壓縮能力，無需對客戶機進行任何修改，亦無需下載任何可能帶來入侵威脅的軟件。BIG-IP智能壓縮采用已申請專利的方法來測量客戶連接延遲，這使帶寬使用率降低了60-80%，同時將用戶響應時間提高了兩倍以上。BIG-IP是業內首款為企業提供的可擴展式壓縮解決方案，具有通過優化硬件及其自適應壓縮卸載(AdaptiveCompressionOffload)壓縮web流量的可選功能。BIG-IP系統的智能壓縮功能為企業提供了一種針對目標用戶進行壓縮的方式。壓縮流量不一定要以帶寬利用率

32、的降低為代價。真正的挑戰在于把握如何最有效的定位，從而使用戶獲得最大優勢。例如，由于撥號用戶延遲較高，所以，對其進行壓縮可使這部分用戶獲得最大優勢。而由于寬帶用戶的接收窗口尺寸較大，因此，他們因此獲得的優勢則微乎其微，這是因為，寬帶用戶現在需要等待更長的時間來接收數據，這將導致響應時間變慢，因此，壓縮的優勢被抵消。BIG-IP采用已申請專利的技術來動態檢測客戶連接延遲。BIG-IP系統能夠監控TCPRTT（往返時間），以動態計算用戶延遲，從而使BIG-IP能更專注于將流量壓縮并傳送給最需要它們的用戶。BIG-IP還為企業提供預定義過濾器功能，企業可用其來定位內容類型并進行異常處理。如需對服務器

33、響應進行壓縮，用戶可定義“包括”和“排除”列表，以更好的定位壓縮，或快速處理異常。該預定義過濾能力包括：URI（由客戶發出請求）ContentType（內容類型）（由服務器響應）SSL加速加密套接層（SSL）交易的廣泛采用和總體網絡負載減緩了服務器的執行速度。企業需要將SSL加解密處理從服務器上卸載下來，并提供硬件級的SSL加速。BIG/IP內置的SSL加速芯片，可把CPU從繁重的加密與解密處理負荷中解放出來，從而將寶貴的資源歸還給服務器。它可與任何操作系統或互聯網服務器互操作，而不會出現服務器硬件、軟件安裝或兼容性問題。以后各個階段通過從在這些階段安裝的高速緩存中檢索靜態且加過密的數據而受益

34、。在每臺BIG-IP上，都具有SSL硬件加速芯片，并且免費帶有100個TPS的License，用戶可以不通過單獨付費，就可以擁有100個TPS的SSL加速功能，節約了用戶的投資。在將來系統擴展時，可以簡單的通過License升級的方式，獲得更高的SSL加速性能。2.2.4WANJet提供廣域網優化傳輸當今數據同步方案的分布式特性和高性能要求以及廣域網(WAN)的高昂成本使得網絡狀況不甚理想，或是應用性能不盡人意，或是帶寬帳單過高，甚或兩者皆有。F5WANJet解決方案是一款易于安裝的設備，它可顯著地改善應用吞吐量，節省帶寬成本。借助WANJet，您的企業廣域網(WAN)負載流量與數據傳送速度平

35、均皆可提高10倍。在特定條件下，數據傳輸性能可提高500倍。使用WANJet，無需重新設計網絡，您便可獲得所有應用的更優性能，同時花費較低的運營成本。圖1：WANJet降低了帶寬利用率，同時增加了應用吞吐量通過WAN鏈路傳輸數據，WANJet能夠表現出優異的性能。WANJet利用兩種方案達到這一目的：1.大部分數據存在重復和冗余現象。消除冗余現象，您就能有效地將WAN上的數據傳輸量平均提高10倍。一些數據傳輸類型可將吞吐量提高500倍。TCP行為會降低許多廣域應用的速度。如果您減少TCP開銷并管理TCP行為，那么您就可以充分利用全部帶寬并加速您的應用。對于數據復制應用，壓縮與透明數據壓縮能夠增

36、強大多數應用的性能。但最好還是要了解整體情況。當TCP延遲增加（指站點間距離）時，WANJet的TCP管理優勢就會體現出來，從而使您以最大鏈接速度高效進行遠距離數據傳輸。由于WANJet加速技術在第五層運行，因此它可完全控制連接性和數據流。這樣，無需任何改變或調整，WANJet便可對應用完全透明。實際上，利用WANJet獨立管理帶寬便可實現最優網絡性能。2.透明數據壓縮：最佳帶寬擴充解決方案。有人稱其為帶寬擴充；還有人則稱其為數據壓縮。但無論被稱作什么，其目的一致：在成本昂貴的廣域管道中塞進更多數據。同時，其依賴的基礎技術也相同：數據流進入WAN時刪除冗余位，數據流退出WAN時再進行恢復。如果

37、運行順利，帶寬擴充功能將支持更多異地備份，從而用于備份處理的時間會更短，同時，還為冗余應用提供了更為出色的性能。F5帶寬擴充解決方案被稱為透明數據壓縮(TDR)，它在OSI模型的會話層中運行。TDR在數據合并前即檢查應用數據流，因此，與使用第三層方法相比，TDR能夠發現并移除更多冗余。TDR在所有應用數據流中運行，因此它所能優化的流量類型大大超過了具備特殊協議的第七層技術能優化的流量類型。另外WANJet設備之間可以進行點對點的SSL加密。確保數據在廣域網上傳輸時得到有效的保護。管理員可以靈活的選擇對哪些流量進行加密，比如所有流量,某個特定的數據流,特定的子網或者到達某個服務器的流量。并且這些

38、加密操作是在不犧牲優化處理效果的情況下進行，流量可以在用SSL加密的情況下得到完全的優化。2.2.5FirePass提供靈活的安全遠程接入F5的FirePass是一款SSLVPN設備。它可以通過任何標準Web瀏覽器為用戶提供到公司網絡的安全接入。它可在幾個小時內完成安裝，無需對公司應用進行任何修改，同時也無需在遠程位置進行任何配置或安裝工作。F5FirePass包含IPSecVPN、網絡訪問、網上應用程序(MyIntranet)、Windows文件共享、移動電子郵件、應用程序訪問、傳統主機、終端服務器等眾多功能，使用標準SSL安全協議，不需要專用客戶端，可以完美的解決隨時隨地接入的需求，不僅可

39、以滿足B/S應用程序的遠程接入，也可以滿足各種各樣C/S應用程序的遠程接入。通過利用瀏覽器作為便利的“瘦客戶機”，FirePass可支持企業將安全遠程訪問輕松而經濟高效地擴展到任何連接上互聯網的用戶員工、客戶和合作伙伴。主要優勢：安全性遵循最佳安全實踐的最高標準；為安全通信提供標準的RCR、3DES加密；提供強大的用戶與設備鑒權特性；提供精細的接入控制；降低總保有成本（TCO）降低支持開銷；消除客戶機系統的日程維護；減輕管理負擔；無需修改網絡資源、遠程設備或網絡體系結構；易于使用快速完成安裝；提供直觀熟悉的瀏覽器界面；可擴充性集群可在單個URL上支持10,000條并發連接，且對性能不造成任何影

40、響；可靠性可支持耦合服務器對（在線服務器與備用服務器）之間整個狀態的熱故障切換，不會導致任何的會話中斷或終止；可用性基于web的遠程訪問適用于所有ISP連接；在其它防火墻背后也可正常運行；完全運行在HTTP(安全應用層互聯網協議)之上。IPSecVPN的安全性一直是一個弱點，由于IPSecVPN而引起的病毒、木馬、Web攻擊一直是無法徹底解決的問題，而F5FirePass可以很好的解決這個問題。在FirePass的門戶站主機訪問模式下，FirePass可以對上傳的文件做病毒掃描，更可以與企業現有的防病毒軟件聯動，徹底解決病毒問題。而FirePass內帶的內容檢查功能，解決了Web攻擊問題。F5

41、FirePass可以對客戶端做各種掃描，如操作系統版本、補丁版本、防病毒軟件種類、病毒庫更新時間等等，從而堵住病毒、木馬入侵的途徑。F5FirePass可以對接入客戶進行各種限制，如可以訪問的地址、端口、URL等等。F5FirePass可以配置成在退出時自動清除高速緩存。以上這些功能都大大增強了系統的安全性。IPSecVPN的日志功能也非常薄弱，而FirePass可以提供非常豐富的用戶級日志功能，更可以通過標準的日志協議將日志實時傳送給企業中的日志服務器，便于審計。三產品功能介紹31GTM廣域網流量管理器BIG-IPv9系列技術資料全球流量管理器BIG-IP全球流量管理器憑借多個數據中心和分布

42、式站點為企業帶來最大投資回報(ROI)、最高可用性和最佳客戶體驗。站點故障、攻擊與應用構架故障是最終用戶感到不滿的主要原因，而客戶不滿會導致收入及客戶的流失。BIG-IP全球流量管理器（以前稱為3-DNS）可以為運行于眾多全球分散數據中心的應用提供極高的可用性、最出色的性能和集中式管理功能。由于構建于F5模塊化和可擴展的TMOS架構之上，BIG-IP全球流量管理器能夠根據業務政策、數據中心和網絡條件分配最終用戶應用請求，以確保最高可用性。主要優勢：支持應用和Web服務在多個站點間進行透明交付確保全球業務的連續性和應用的可用性引導用戶進入全球最佳站點，能夠顯著改進性能并提高客戶的體驗。能夠根據任

43、何一項業務政策（包括地理信息、負載情況、時間等），并通過為直接用戶交付全球流量控制，來增強靈活性。能夠從單一地點提供全面的應用和數據中心狀態信息，降低管理開銷通過充分利用輔助數據中心，可提高全球網絡的效率、可擴展性以及投資回報。能夠實現復雜任務的自動化流程，從而降低維護和管理開銷。能夠確保在全球獲得出色的可用性和可靠性由于企業依賴其應用來保持競爭優勢，因此確保應用的可用性至關重要。只有支持各種應用的BIG-IP全球流量管理器才能提供完善的狀態監視功能，能夠使企業快速適應變化并保持競爭優勢。完善的狀態監視功能BIG-IP全球流量管理器能夠檢查整個架構的運行狀態，消除單點故障點引導流量遠離運行狀況

44、不佳的站點。通過從每一數據中心、ISP連接、服務器、高速緩存器甚至最終用戶內容中收集性能及可用性指標，BIG-IP全球流量管理器可確保在將流量引導至某站點之前、該站點就具有高可用性和充足的容量。以應用為中心的監視功能當前，應用不僅越來越完善，而且還需要具備智能狀態檢查特性以確定可用。BIG-IP全球流量管理器集合有多個監視器，而不是僅依靠單一狀態檢查功能，因此您可以在多個級別檢查應用的狀態。這就能改進可用性、增強可靠性，并消除誤報警(falsepositives)以降低管理開銷。只有BIG-IP全球流量管理器才能為超過18種不同的應用（包括SIP、Oracle、LDAP、mySQL等）提供預定

45、義的、無與倫比的狀態監視支持功能。BIG-IP全球流量管理器通過對這些應用進行針對性的監控，來準確測定其狀態、縮短停機時間，并改進客戶的體驗。BIG-IP全球流量管理器還能跟蹤這些應用（這些應用彼此相關聯）的狀態，如果在該組中對某一對象的狀態檢查失敗，那么系統就會將所有相關對象標注為性能下降。這能夠使您根據業務邏輯和盈利能力校準并監視應用對象，制訂可擴展的流量分配政策，并更好地管理應用的相關性。災難恢復/業務連續性BIG-IP全球流量管理器為站點故障切換和業務連續性提供了業內最全面的解決方案。除了可進行全面的站點可用性檢查之外，您還可以通過定義某些條件，以便將全部流量轉移至備份數據中心，或故障

46、切換整個站點，或僅對受影響的應用進行控制。智能全球負載平衡，實現最佳性能并改進客戶體驗使用分布式數據中心的企業無法基于特定業務政策通過將用戶路由至最佳和最近的數據中心來分配全球流量。在流量達到峰值時段，更改網絡和用戶條件將造成數據中心癱瘓。只有BIG-IP全球流量管理器才能提供全面的應用管理服務，該服務能夠支持企業當前所面臨的演進應用的需求。出色的全球負載平衡能力BIG-IP全球流量管理器包括業內最先進的流量分配能力，能夠滿足企業或全球部署應用的各種要求。這些要求包括：輪循地理信息全球可用性虛擬服務器容量LDNS持續性最少連接應用可用性每秒數據包數往返時間動態比率中繼(Hop)LDNS輪循數據

47、包完成率比率用戶定義的服務質量(QoS)每秒千字節數高級智能特性BIG-IP全球流量管理器可基于全面的站點和網絡指標將用戶路由至最佳全球資源。例如，QoS負載平衡模式包括中繼系數，該系數基于客戶與本地DNS之間的中繼數量。管理器可通過中繼速率將用戶發送至距其有著最少中繼的數據中心，從而確保更快地進行訪問。動態比率負載平衡模式可解決其它全球流量管理系統普遍存在的“贏者通吃”的問題。動態比率能夠根據您網絡和服務器資源的狀態和性能，按比例將部分流量發送至最佳性能站點，或次佳性能站點，等等。針對狀態應用的客戶端連續性BIG-IP全球流量管理器是唯一一款能夠跟蹤應用狀態并智能提供出色客戶體驗的解決方案。

48、最終用戶現在可以在應用和數據中心保持持續連接，并自動基于應用狀態路由到相應的數據中心或服務器。應始終保持會話的完整性，確保不會出現會話中斷、數據丟失或損壞的現象。這樣，企業就能提高構架的可擴展性，降低總體擁有成本(TCO)，并減少客戶支持開支。智能流量路由控制iRules只有BIG-IP全球流量管理器才配有簡單易懂但功能強大的iRule編程語言，您可以通過iRule定制全球流量的動態分配。BIG-IP全球流量管理器能夠查看DNS消息底層中的信息，從而將應用流量分配到所需的數據中心、池或虛擬服務器中。該功能能夠降低延遲、增強應用保護功能、避免惡意攻擊，并提高應用的性能。由于iRules是根據易用

49、的基于TCL的腳本語言開發而成，因而其管理成本相當低。廣域持續性BIG-IP全球流量管理器提供了完善的持續模式，用戶能夠被引導至合適的資源。它能將流量智能地分布到同一個站點，從而可維護應用或交易的連續性。BIG-IP全球流量管理器能夠實現所有設備持續性信息的同步，從而確保了用戶無論從哪一個進入點登錄都能被引導至同一站點。最后，它還能將所需的持續性信息發送至本地DNS服務器，以減少后端數據庫同步所需的頻率。地理負載平衡BIG-IP全球流量管理器能夠解析出IP地址的所屬國家，從而增強對全球流量管理的拓撲控制。對于包含不同語言內容的站點，BIG-IP全球流量管理器能夠確保全球用戶獲取符合其語種的所需

50、信息。定制拓樸映射BIG-IP全球流量管理器能夠使部署內聯網應用的企業建立定制拓樸映射。通過定義和保存定制區域分組，您就能基于滿足內部架構需求的流量分配政策，來配置拓樸結構。無與倫比的DNS性能BIG-IP全球流量管理器提供優異的DNS性能，可處理互聯網上最繁忙的站點。如今，企業可以為最終用戶提供最出色的服務質量，同時避免了較差的應用性能。出色的管理能力以及較低的運營成本在單點的對跨多個站點的分布式網絡進行管理是企業所面臨的巨大挑戰。BIG-IP全球流量管理器提供了一種查看全球構架的工具，您能借助這種工具管理網絡和業務策略，從而確保關鍵業務應用具有最出色的可用性。ZoneRunner只有BIG

51、-IP全球流量管理器才能提供名為ZoneRunner的集成子域配置工具。ZoneRunner能夠降低DNS的風險、簡化DNS子域文件的管理。ZoneRunner能夠創造一個管理DNS架構的可靠環境，同時通過驗證和子域文件錯誤檢查可降低管理開銷。基于最新的BIND版本，ZoneRunner能夠提供如下特性：自動填充常用協議驗證/子域文件條目錯誤檢查返回到上一交易為DNS管理提供可靠的環境子域管理的命令行版本從外部服務器或文件中進行子域導入自動反向查詢輕松創建、編輯及搜索所有記錄通過降低管理負擔來降低總體擁有成本(TCO)改進架構的可擴展性ZoneRunner能夠降低DNS風險并簡化子域文件管理強

52、大的基于Web的用戶界面BIG-IP全球流量管理器為企業提供了一種簡單、經濟、高效地從集中位置管理全球構架的方法。通過高效的列表/對象管理，能夠完整地查看全球資源針對全局對象指定唯一名稱，能夠降低管理負擔，并有助于根據業務政策建立構架。更好地進行排序和搜索以快速訪問全球對象通過簡化設置及對象創建，能夠減少配置時間通過上下文幫助獲取有關對象、命令和配置實例信息能夠管理分布式應用，并將其作為整個體系中的一部分。IPv6支持隨著對IPv6需求的增長，許多站點正面臨新的要求以處理IPv6流量。BIG-IP全球流量管理器能夠支持并擴展至新一代網絡，通過改進那些不必升級整個網絡及應用的系統的可管理性，能夠

53、對AAAA查詢進行解析。分布式應用管理企業已努力確保將其應用和架構與業務目標和策略保持一致。BIG-IP全球流量管理器能夠使企業部署相關應用服務并對其進行高效的管理。通過分布式應用管理，企業能夠降低管理成本、制訂可擴展流量分配政策，并能通過對數據中心對象進行精密控制來提高效率。BIG-IP全球流量管理器提供簡單但功能強大的工具以管理您的全球資源。設置與同步的自動化自動同步(Autosync)功能能夠實現設置的自動化，實現冗余BIG-IP全球流量管理器設備的可靠同步。通過自動同步功能，您能從網絡中任意一臺BIG-IP全球流量管理器上更改配置，從而消除DNS普遍存在的層級管理難題。配置檢索VS自動

54、查找(VSAutoDiscovery)功能使BIG-IP全球流量管理器修改任意數量的分布式BIG-IP系統的配置。SNMP管理應用支持BIG-IP全球流量管理器集成了MIB和帶有DNS的SNMP代理。這能夠使SNMP管理應用（例如HPOverview）讀取有關BIG-IP全球流量管理器當前性能的統計數據。SNMP管理數據包能夠準確查看BIG-IP全球流量管理器的工作情況，同時密切關注標準DNS信息。數據中心和同步分組BIG-IP全球流量管理器能夠創建網絡設備邏輯組以確保高效利用監視和指標收集功能。從而提供出色的可擴充的解決方案，這種解決方案通過智能地與邏輯組的成員共享信息來支持互聯網上最繁忙的

55、站點。網絡集成和靈活性第三方集成BIG-IP全球流量管理器還通過實現與廣泛網絡設備的通信與集成而提供業內最為靈活的解決方案。這會對以下各類遠程主機（包括SNMP代理）進行支持：UCD、snmpd、SolsticeEnterprise和NT/4.0SNMP代理。BIG-IP全球流量管理器還可與第三方高速緩存器、服務器、路由器和負載平衡器進行通信，以準確診斷網絡終點的狀態，從而提供各種全球流量管理解決方案。主要站點資源的安全性在DNS級別中企業日益受到入侵以及DoS的攻擊，這樣會降低企業站點的安全性。區分合法DNS請求和攻擊的難點也是非常重要的問題。BIG-IP全球流量管理器包括固有安全控制能力和

56、特性，以避免攻擊并使應用和合法流量持續運行。安全控制BIG-IP全球流量管理器加強了站點的安全性并在啟動前解決攻擊所帶來的問題。IRules能夠幫助您制訂政策，這些政策能夠在造成破壞前阻止來自欺詐站點或已知攻擊源的DNS請求。固有安全性BIG-IP全球流量管理器包含其它眾多固有的安全特性，能夠有效保護您的站點免受一般攻擊，并為您的站點提供多一層的保護。在缺省情況下，BIG-IP全球流量管理器發運時將采用高度安全的模式，并具備如下特性：使用數據包過濾功能，根據對流量源、目的地或端口的監視情況來限制或拒絕對互聯網站點的往返訪問堅若磐石，能夠有效防御一般攻擊：-防御teardrop攻擊-保護自己和服

57、務器免受ICMP攻擊-不運行SMTPd、FTPd、Telnetd或其它任何易受攻擊的守護進程可擴充的安全性BIG-IP全球流量管理器無與倫比的DNS性能能夠承受更高級別的DNS攻擊，保護企業同時確保持續為應用和服務提供高可用性。堅實的基礎TMOSBIG-IP全球流量管理器的核心是一種稱為TMOS的創新體系結構。此平臺具有智能化、模塊化和可擴展的特點，是快速適應未來業務挑戰和降低管理任務的基礎所在。TMOS增強了BIG-IP全球流量管理器中的每項功能可以全面了解所有服務，并提高服務靈活性和控制能力，同時還能夠使BIG-IP全球流量管理器智能地適應各種不斷變化的分布式應用的需求。32BIGIP局域

58、網應用交付設備BIG-IPV9系列數據資料本地流量管理器BIG-IP本地流量管理器應用交付低效、遲延和失敗都會導致數百萬美元的損失，包括預算浪費、公司名譽受損、系統和應用停機、法律責任以及錯失良機等。BIG-IP本地流量管理器是一款出色的應用流量管理系統，可提供業內最智能，最具適應性的解決方案來保護、優化和交付應用，從而確保企業能夠在保持高效運營的同時提高其競爭力。它是業內唯一一款包含整套統一應用基礎設施服務的系統，將總體控制、可見性以及靈活性出色地融合到應用安全、性能和交付中。好處？更高的業務靈敏性和當今企業生命線（應用）的成本實施。主要優勢可靠性提供業內最可靠、最先進的系統，以確保應用始終

59、可用。應用加速提供無可比擬的控制能力將應用性能提高3倍，確保高優先級應用得以優先處理，同時卸載昂貴的服務器循環。降低服務器和帶寬成本通過豐富的基礎設施優化特性將服務器容量增加倍；同時通過智能HTTP壓縮、帶寬管理等特性將帶寬成本降低80%。增強網絡和應用安全性從拒絕服務（DoS）保護到隱藏，再到過濾應用攻擊，BIG-IP添加了多項不能在網絡中其它地方實現的關鍵安全特性。無可比擬的應用智能與控制特性業內唯一一款可提供完整應用流的解決方案能夠以網速進行全面的有效負載檢查和基于事件的可編程流量管理，以及時掌握流量信息，并采取相應措施。面向所有IP應用的集成解決方案提供可與所有應用（不僅是基于Web的

60、協議(HTTP/S)）相集成的綜合解決方案，在單個統一系統內為企業提供了面向所有IP應用（包括傳統應用和諸如VOIP等新興應用）的集中解決方案。行業領先的性能提供行業內最快的流量管理解決方案，來保護、交付和優化應用性能。作為行業內當之無愧的領導者，BIG-IP再次刷新了SSLTPS、批量加密以及最大并發SSL連接的業內記錄。簡化管理，提高可見性全新的圖形用戶界面極大地簡化了產品配置，提供了針對流量與插件資源的精細可見性，同時支持配置的批量快速修改。強大的TM/OS體系結構：完善的應用智能與網絡適應性新型BIG-IP的核心是一款創新體系結構，稱為TM/OS（流量管理/操作系統），它為企業提供了一