F5 电信解决方案.doc

《F5 电信解决方案.doc》由会员分享，可在线阅读，更多相关《F5 电信解决方案.doc（25页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流F5 电信解决方案.精品文档.电信应用系统的高可用性解决方案F5 (中国) 有限公司2001年11月目录一.前言3二.电信应用系统概述51.电信综合业务支撑系统概述 (以中国移动为例)52.电信综合业务的结构5三.电信综合业务系统现存的问题61.综合业务系统问题综述61)“不平衡”现象62)“峰值”问题63)多米诺”现象64)“N+1”方式65)“扩展”不便66)“免疫力”差77)“容灾”78)应用与网络脱节7四.F5相关技术及产品8五.解决方案131)避免“不平衡”现象132)解决因“峰值堵塞”带来的性能调整“不平衡”143)避免“多米诺”

2、现象144)更好的提供系统容错，提高系统可靠性145)“扩展”灵活156)“免疫力”强157)“容灾”168)网络感知应用，应用控制网络16六.相关技术资料191.BIG-IP提供支持99.999%的正常运行192.利用F5的BIG-IP控制器负载平衡BEA WebLogic集群流量213.利用Oracle Application Server和BIGIP配置负载平衡22七.成功案例231.日本NTT i-Mode的应用系统F5负载均衡232.中国某某移动通信的负载均衡解决方案26八.公司简介27一. 前言在现今的企业中，不论是否提供关键性任务的服务，都需要一个持续运行不断的高可用性网络计算环

3、境以维持不间断的高品质服务。所谓高可用性的环境，也是信息管理人员所必须考虑的四件事： 1. 使数据有一个安全的存储和运作方式，即使在设备故障时仍能保持数据的完整一致。2. 使服务器系统持续运行，即使发生故障仍然让服务持续下去。3. 使整个计算环境能更好的管理，如何容错、容灾、集群共享。4. 如何使投资有最好的效益，使系统有最佳的扩充能力，有最低的整体拥有成本，也就是在任何情况之下均能确保数据的完整一致，系统持续运行，使服务不间断，同时有最好的投资回报率。高可用性被定义为计算系统的连续运行。根据故障停机的业务影响，应用系统需要不同的可用性水平。要想实现一个应用系统的高可用性，所有组件(包括应用和

4、数据库服务器、存储设备以及端到端网络)都需要提供连续的服务。 企业和机构对网络化应用及 Internet 的日益依赖，加上语音和数据的集成，创造了对高可用性应用的增加需求。任何类型的系统故障停机都可能意味着收入、信誉和客户满意的巨大损失。 高度网络可用性的利用，企业实施高可用性网络来： 防止财务损失 防止生产力损失 改进用户满意度 改进客户满意/信任 降低反应性IT支持成本，提高IT生产力 部署关键任务应用支持新业务实践的好处 典型的业务要求 为了实现高度的网络可用性，需要部署下列组件： 可靠的网络设备 H/W和S/W冗余及软件可靠性 弹性网络技术 确保任何设备或链路故障快速恢复的功能性 网络

5、设计 定义良好的网络拓扑和配置，旨在以一种优化和计划良好的方式利用网络弹性功能。 最佳实践 定义良好的网络部署和维护过程，以及简化这些政策实施所必需的事件和变化管理工具 全球性支持 全球性积极的支持和纠错支持，可以实现抢先的快速反应维护支持 行业伙伴关系 确保端到端应用可用性的技术、支持服务及最佳实践的集成二. 电信应用系统概述 1. 电信综合业务支撑系统概述 (以中国移动为例)2. 电信综合业务的结构三. 电信综合业务系统现存的问题1. 综合业务系统问题综述1) “不平衡”现象 当系统完成“物理集中”后，大量的数据等待前置服务器处理。现有的方式多为采取单台或单组服务器负责处理某一组地区的用户

6、数据。但是，由于地区发展的不平衡，人口密度的差别，业务量的不同，等等这些问题造成了这些负责不同区域的服务器上的数据量大小差别很大。这样，有些服务器上数据量不大，系统资源空闲量很大，“吃不饱”，而同时，有些服务器上数据量很大，系统资源又严重不足，“被撑死”。这就是系统资源利用的“不平衡”现象。 为了解决这种现象，往往以增加服务器的方式增加系统资源，但仍无法利用空闲的系统资源，不能有效的解决“不平衡”现象2) “峰值”问题 前置服务器的业务一般多为联机业务。联机业务的处理多存在“波峰”和“波谷”的变化。而且“波峰”时，业务量大小的变化又不规律，这就使前置服务器不得不面对“峰值堵塞”问题。原有解决方

7、法为增加前置服务器或主机数量，提高处理能力。但仍存在性能不平衡问题，且这样做，投资成本大。3) 多米诺”现象 单台服务器的设置，不可避免会出现“单点故障”，需要进行服务器“容错”。 为实现容错，往往在主服务器旁安置一台或多台备份服务器。但这样做，平时只有一台服务器工作，其它服务器处于空闲状态，无法完全利用所有服务器的处理资源，投资得不到充分利用。且当出现“峰值堵塞”时，所得到的往往是“多米诺”效应，即所有服务器连续被“堵”至“死”。并且，当所有服务器都损坏时，无法动态地、合理地利用其它资源提供服务或备份。4) “N+1”方式 这种方式也是在应对服务器“容错”时，提出的应用方式。“N”，即业务处

8、理集群，“1”，即一台备份机。 我们注意到，虽然存在一台备份机，随时准备对业务处理集群中的任意一台服务器进行备份，但是，如果又有服务器或更多服务器（软硬件）出现故障呢？所以“N+1”也不能很好地完成系统“容错”。5) “扩展”不便 随着物理和应用的集中，前置服务器上所要处理的数据量（traffic）增大，客户交易产生的同时连接（concurrentconnection）数量会越来越多。 若处理资源不够，在未超出系统容量时，往往是客户的请求回应越来越慢，可容纳的同时连接数量逐渐减小，系统性能严重下降。 当超出系统容量后，系统“死机”，银行业务中断。 为应对日益增多的业务量，系统的扩展性尤为重要。

9、当前所采用的扩展方式多为利用CLUSTER的方式。但这时，需要配置CLUSTER卡和CLUSTER集线器。这些硬件设备成本高，投资大。CLUSTER对硬件系统存在限制。CLUSTER的容量有限。所有这些都会使系统“扩展”不便。6) “免疫力”差 由于系统服务器“裸露”于网络连接中，而防火墙的安置又多在网络总入口处，所以服务器很容易受到来自各方面的“恶意性”或“无意”地攻击。 为每台或每组服务器单独设置防火墙，又会使系统投资加大，维护量大幅提高。7) “容灾” 随着数据中心的集中，数据中心的冗余或容错显得尤为重要。当建立备份中心或数据中心间形成备份后，在它们之间提供动态的、灵活的容错机制显得尤为

10、突出。8) 应用与网络脱节 系统的变化随时随地都会发生，完全靠人工的方式去调整网络与之适应，已经显出了其“非时时地”、“不灵活的”缺陷。如何使应用的变化动态地反映到网络的调整，已经成为现代化应用系统的一个新的课题。四. F5相关技术及产品5000BIG-IP 5000 IP 应 用 交 换 机BIG-IP 智 能 位 于 端 口 密 集 型 硬 件 平 台 之 上 ， 可 为 您 提 供 灵 活 、 快 速 、 安 全 的 IP 流 量 管 理 BIG-IP 5000 提 供 了 一 体 化 互 联 网 流 量 管 理 （ 流 量 管 理 ） ， 在 一 台 设 备 上 提 供 了 如 下 功

11、 能 ： 负 载 平 衡 内 容 交 换 流 量 管 理 千 兆 位 以 太 网 交 换 SSL 加 速 / 互 联 网 加 速 广 域 负 载 平 衡 从 而 大 幅 度 减 少 了 总 保 有 成 本 ， 并 为 企 业 和 服 务 提 供 商 降 低 了 管 理 复 杂 性 。 流 量 管 理 屡 获 殊 荣 的 BIG-IP 软 件 具 备 所 有 先 进 特 性 和 功 能 为 不 同 服 务 器 平 台 和 应 用 提 供 静 态 和 动 态 负 载 平 衡 在 线 / 在 线 控 制 器 特 性 可 支 持 额 外 性 能 、 可 扩 充 性 和 可 靠 性 两 种 会 话 故

12、障 切 换 方 法 ： 从 在 线 到 备 份 或 到 在 线 控 制 器 多 种 持 续 性 模 式 简 单 而 先 进 的 业 务 规 则 可 确 保 服 务 质 量 智 能 内 容 和 应 用 决 定 可 将 内 容 请 求 路 由 到 最 合 适 的 设 备 独 特 的 One ConnectTM 内 容 交 换 可 将 带 宽 成 本 和 服 务 器 开 销 降 低 20% 支 持 iControl 通 过 避 免 应 用 发 生 故 障 ， 使 应 用 能 够 直 接 控 制 网 络 流 量 支 持 屡 获 殊 荣 的 广 域 负 载 平 衡 实 时 性 能 监 视 和 统 计 易

13、 于 安 装 和 管 理 最 快 速 、 最 出 色 地 进 行 IP 流 量 管 理 支 持 高 流 量 随 着 新 企 业 和 服 务 提 供 商 应 用 的 出 现 ， 流 量 管 理 产 品 必 须 支 持 大 量 日 益 增 长 的 流 量 。 BIG-IP 5000 便 能 够 满 足 这 一 要 求 。 其 它 任 何 流 量 管 理 解 决 方 案 都 不 能 提 供 如 此 强 大 的 处 理 能 力 来 深 入 检 查 目 前 和 新 型 企 业 应 用 所 需 的 流 量 。 与 分 布 式 体 系 结 构 不 同 ， BIG-IP 5000 能 够 随 时 将 其 全

14、部 处 理 能 力 应 用 于 任 何 端 口 以 制 定 决 策 。 第 一 个 集 成 SSL 安 全 性 的 端 口 密 集 型 流 量 管 理 解 决 方 案 关 键 任 务 应 用 要 求 通 过 互 联 网 技 术 进 行 安 全 交 付 。 BIG-IP 5000 是 第 一 个 集 成 了 SSL 加 速 的 端 口 密 集 型 流量 管 理 设 备 。 这 使 客 户 能 够 有 效 地 管 理 通 过 SSL 提 供 的 企 业 应 用 ， 并 进 行 先 进 的 智 能 流 量 管 理 检 查 。 从 而 ， 提 供 了 更 强 大 的 性 能 ， 并 降 低 了 实 施

15、 安 全 应 用 的 成 本 。 而 且 ， 还 可 以 通 过 软 件 密 钥 增 加 额 外 SSL 容 量 ， 使 客 户 能 够 仅 在 其 需 要 时 购 买 SSL 容 量 。 最 佳 独 立 设 备 端 口 密 度 BIG-IP 5000 提 供 了 比 其 它 任 何 独 立 流 量 管 理 设 备 更 高 的 端 口 密 度 。 4GB 端 口 支 持 冗 余 链 路 和 全 啮 合 拓 扑 结 构 。 24 个 快 速 以 太 网 端 口 可 同 时 方 便 地 连 接 各 种 不 同 设 备 ， 包 括应 用 服 务 器、 防 火 墙 、 高 速 缓 存 、 web 服

16、务 器 和 VPN 网 关 。 最 强 大 的 处 理 能 力 BIG-IP 5000 经 过 专 门 设 计 ， 能 够 将 2 Ghz 的 处 理 能 力 用 来 进 行 全 部 智 能 流 量 处 理。 它 能 够 深 入 检 查 数 据 包 ， 并 将 现 有 和 新 型 流 量 智 能 地 导 向 正 确 的 目 的 地 。 通 过 在 需 要 时 为 流 量 提 供 智 能 和 安 全 性 ， BIG-IP 5000 可 确 保 为 应 用 和 基 础 设 施 提 供 最 高 可 靠 性 和 性 能 。 集 成 的 SSL 大 多 数 行 业 特 别 是 金 融 行 业 都 在 利

17、 用 SSL 来 保 护 其 不 断 增 长 的 通 信 和 应 用 的 安 全 。 因 此 ， 流 量 管 理 设 备 必 须 要 具 备 这 一 功 能 并 要 能 够 执 行 这 一 任 务 。 在 所 有 主 要 厂 商 中 ， 只 有 F5 的 BIG-IP 5000 具 有 100 TPS （ 每 秒 处 理 交 易 数 ） SSL 容 量 而 且 不 收 取 任 何 额 外 费 用 。 它 还 能 够 轻 松 升 级 ， 以 根 据 需 求 提 供 更 大 容 量 。 最 智 能 、 最 灵 活 的 流 量 管 理支 持 99.999% 正 常 运 行 时 间 的 智 能 对 于

18、 通 过 IP 技 术 可 靠 地 提 供 企 业 应 用 ， 领 先 性 能 和 创 新 是 负 载 平 衡 和 流 量 管 理 的 关 键 。 随 着 互 联 网 / 内 联 网 商 业 的 使 用 率 不 断 增 长 ， 新 型 数 据 和 应 用 使 内 容 管 理 越 来 越 复 杂 。 而 这 正 是 BIG-IP 要 解 决 的 问 题 。 不 只 是 交 换 机 的 智 能 为 了 制 定 智 能 负 载 平 衡 决 策 和 确 保 最 高 可 用 性 ， BIG-IP 5000 能 够 通 过 F5 的 开 放 式 iControl 接 口 直 接 从 应 用 服 务 器 （

19、 Windows 2000 、 Real Server 、 其 它 SNMP 系 统 ） 接 收 信 息 。 此 外 ， 它 还 能 够 读 取 请 求 包 头 上 的 详 细 信 息 （ 如 请 求 内 容 的 类 型 ） ， 以 将 请 求 路 由 最 符 合 要 求 的 服 务 器 上 。 最 快 的 第 七 层 性 能 BIG-IP 提 供 的 第 七 层 的 快 速 功 能 为 网 络 管 理 人 员 提 供 了 一 种 经 济 高 效 的 方 式 ， 可 确 保 用 户 在 每 次 通 过 互 联 网 或 企 业 内 联 网 进 行 交 易 时 将 能 获 得 轻 松 高 效 的

20、体 验 。 * 参 考 报 告 #200204 链 路 集 合 故 障 切 换 BIG-IP 支 持 工 业 标 准 802.3ad ， 以 支 持 链 路 集 合 ， 从 而 确 保 获 得 最 大 的 吞 吐 量 ， 并 使 您 系 统 的 每 个 端 口 都 获 得 出 色 的 可 用 性 。3-DNS 广 域 负 载 平 衡 为 BIG-IP 添 加 业 界 最 出 色 的 广 域 负 载 平 衡 器 ， 支 便 将 服 务 器 负 载 平 衡 和 全 局 负 载 平 衡 集 中 在 同 一 机 柜 中 ， 从 而 简 化 了 管 理 、 减 少 了 机 架 空 间 的 占 用 率 ，

21、 并 且 降 低 了 能 耗 。 VLAN 和 Tagged VLAN VLAN （ 虚 拟 局 域 网 ） 允 许 网 络 被 分 为 多 个 独 立 的 局 域 网 来 管 理 。 BIG-IP 支 持 大 多 数 现 代 交 换 机 所 使 用 的 熟 悉 的 VLAN 体 系 结 构 ， 在 改 变 网 络 拓 扑 结 构 时 提 供 更 大 的 灵 活 性 。 BIG-IP 5000 规 范 ： 服 务 器 / 节 点 操 作 系 统 兼 容 性 ： 任 何 TCP/IP 操 作 系 统 ， 包 括 Windows NT 、 Windows 95 ， 所 有 UNIX 平 台 和 M

22、ac/OS 互 联 网 / 企 业 内 联 网 协 议 支 持 ： 所 有 TCP 服 务 、 UDP 和 SSL ； 几 乎 所 有 基 于 IP 的 协 议 管 理 环 境 支 持 ：DNS 代 理 、 SMTP 、 F-secure SSH 、 SNMP 、 动 态 / 静 态 网 络 监 视 、 预 定 批 作 业 处 理 、 系 统 状 态 报 告 和 告 警 事 件 提 示 网 络 管 理 和 监 视 ： 基 于 安 全 SSL 浏 览 器 的 接 口 、 利 用 F-secure SSH 监 视 器 进 行 远 程 加 密 登 录 和 文 件 传 输 、 BIG-IP 系 统 网

23、 络 监 视 工 具 及 附 加 实 用 软 件 ； SNMP “ get ” 命 令 与 陷 阱 路 由 协 议 ： RIP 、 OSPF 、 BGP五. 解决方案如前所述电信应用系统出现的问题，经过认真的分析，结合F5在电信业多年的经验，利用F5的流量管理设备提供良好的解决方案。 如下图所示，在前置服务器或中间业务科服务器前放置两台BIGIP，利用其流量管理特性解决前面的问题。1) 避免“不平衡”现象如果能够充分利用所有的服务器资源，将所有流量均衡的分配到各个服务器，我们就可以有效地避免“不平衡”现象的发生。BIGIP是一台对流量和内容进行管理分配的设备。它提供12种灵活的算法将数据流有效

24、地转发到它所连接的服务器群。而面对用户，只是一台虚拟服务器。用户此时只须记住一台服务器，即虚拟服务器。但他们的数据流却被BIGIP灵活地均衡到所有的服务器。这12种算法包括： 轮询（Round Robin）：顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7层的故障，BIGIP就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。 比率（Ratio）：给每个服务器分配一个加权值为比例，根椐这个比例，把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障，BIGIP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。 优先权（P

25、riority）：给所有服务器分组，给每个组定义优先权，BIGIP用户的请求，分配给优先级最高的服务器组（在同一组内，采用轮询或比率算法，分配用户的请求）；当最高优先级中所有服务器出现故障，BIGIP才将请求送给次优先级的服务器组。这种方式，实际为用户提供一种热备份的方式。 最少的连接方式（Least Connection）：传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7层的故障，BIGIP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。 最快模式（Fastest）：传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7层的故障，BI

26、GIP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。 观察模式（Observed）：连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7层的故障，BIGIP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。 预测模式（Predictive）：BIGIP利用收集到的服务器当前的性能指标，进行预测分析，选择一台服务器在下一个时间片内，其性能将达到最佳的服务器相应用户的请求。(被BIGIP进行检测) 动态性能分配（Dynamic Ratio-APM):BIGIP收集到的应用程序和应用服务器的各项性能参数，动态调

27、整流量分配。 动态服务器补充（Dynamic Server Act.):当主服务器群中因故障导致数量减少时，动态地将备份服务器补充至主服务器群。 服务质量(QoS)：按不同的优先级对数据流进行分配。 服务类型(ToS)：按不同的服务类型（在Type of Field中标识）对数据流进行分配。 规则模式：针对不同的数据流设置导向规则，用户可自行编辑流量分配规则，BIGIP利用这些规则对通过的数据流实施导向控制。2) 解决因“峰值堵塞”带来的性能调整“不平衡”当出现流量“峰值”时，如果能调配所有服务器的资源同时提供服务，所谓的“峰值堵塞”压力就会由于系统性能的大大提高而明显减弱。由于BIGIP优秀

28、的负载均衡能力，所有流量会被均衡的转发到各个服务器，即组织所有服务器提供服务。这时，系统性能等于所有服务器性能的总和，远大于流量“峰值”。这样，即缓解了“峰值堵塞”的压力，又降低了为调整系统性能而增加的投资。3) 避免“多米诺”现象BIGIP将所有的服务器组织在一起提供服务，流量压力合理地分担到各个服务器，不会使服务器如同单台设备工作时出现“多米诺”现象。当本地服务器群中的服务器数量不能满足系统要求时，BIGIP会利用“动态服务器补充”功能自动调入服务器补充系统性能。并且即使当所有服务器都不能提供服务时，“Redirect”功能会把用户数据请求转发到“备份”点，满足系统的可靠性要求。4) 更好

29、的提供系统容错，提高系统可靠性“N+1”方式因备份服务器的数量少而不能有效的提供系统容错能力。BIGIP将用户的服务请求均衡到所有的服务器。服务器群中的任何一台或多台设备发生故障后，用户的服务请求被均衡到其它服务器。而且，当本地服务器群中的服务器数量不能满足系统要求时，BIGIP会利用“动态服务器补充”功能自动调入服务器补充系统性能。如何有效地确定服务器、应用、内容的状态，使提高系统可靠性的关键。BIGIP利用其独到的、高效的“健康检测”手段，识别服务器、应用、内容的状态。它们包括： 服务器逻辑连接状态检测 应用类型状态检测 扩展内容查证(ECV: Extended Content Verif

30、ication)-ECV是一种非常复杂的服务检查，主要用于确认应用程序能否对请求返回对应的数据。如果一个应用对该服务检查作出响应并返回对应的数据，则BIGIP控制器将该服务器标识为工作良好。如果服务器不能返回相应的数据，则将该服务器标识为宕机。宕机一旦修复，BIGIP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。该功能使BIGIP可以将保护延伸到后端应用如Web内容及数据库。BIGIP的ECV功能允许您向Web服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询，然后检查返回的响应。这将有助于确认您为客户提供的内容正是其所需要的。 扩展应用查证(EAV: Extend

31、ed Application Verification)EAV是另一种服务检查，用于确认运行在某个服务器上的应用能否对客户请求作出响应。为完成这种检查，BIGIP控制器使用一个被称作外部服务检查者的客户程序，该程序为BIGIP提供完全客户化的服务检查功能，但它位于BIGIP控制器的外部。例如，该外部服务检查者可以查证一个从后台数据库中取出数据的应用能否正常工作。EAV是BIGIP提供的非常独特的功能，它提供管理者将BIGIP客户化后访问各种各样应用的能力，该功能使BIGIP在提供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要的反馈。该功能对于提高系统可靠性至关重要，它用于从客户的角

32、度测试您的站点。例如，您可以模拟客户完成交易所需的所有步骤连接到前置服务器或中间件服务器、从目录中选择项目以及验证交易使用的信用卡。一旦BIGIP掌握了该“可用性”信息，即可利用负载平衡使资源达到最高的可用性。BIGIP已经为测试多种服务的健康情况和状态，预定义了扩展应用验证(EAV)，如：FTP、NNTP、SMTP、POP3和MSSQL等，用户还可依据实际应用，自行编辑EAV脚本。5) “扩展”灵活根据系统的发展、业务的增长，进行灵活的扩充，是不可避免的。这不仅要顾及到数量的增长，同时也要考虑到软硬件类型的区别。BIGIP对系统的扩充是非常灵活的。 BIGIP对所连接的服务器群的数量没有限制

33、，同时对服务器的软、硬件类型也没有任何限制。 BIGIP可最大同时容纳多达4百万个会话业务。6) “免疫力”强在图中我们可以看到，前置服务器群或中间件服务器群在逻辑上位于BIGIP之后，所有的数据流，包括“攻击性”数据流都要经过BIGIP才能够流至服务器。BIGIP具有以下优秀的安全特性，对系统进行保护： 访问控制列表 IP包过滤 加密（SSL）的管理信息传递 口令保护 拒绝“DoS”攻击 免疫“Ping of Death”攻击 不用Ack缓冲应答未确认的SYN，防止SYN风暴 通过对无效连接的管理来防止使用没有开放的服务进行攻击 源路由检查，防止IP欺骗 NAT/SNAT。通过设置，BIGI

34、P可以将一个端口映射到多个端口上。许多知名的端口是，如80，443，20，21可以被映射到服务器上的任何一个端口上。此外，BIGIP可以将位于它后面的服务器的地址翻译为那些对外公布的地址。这个安全特性为网络带来了以下几种好处： 入侵者无法确定哪些服务运行在哪些端口上，因而增加了攻击的难度； 使用非公开的路由地址、BIGIP可以节省客户的IP地址，降低客户的成本； 可以隐藏BIGIP背后的服务器地址，避免这些服务器暴露到外部世界，从而减少了黑客攻击这些服务器的机会 利用虚拟IP地址隐藏服务器实际地址。同时，在BIGIP的安全管理报告中通过监视下列参数，BIGIP可以在安全报告中列出那些服务和端口

35、受到了非法的访问尝试： IP地址：攻击者的源IP地址 频率：攻击者尝试攻击的数量 端口：哪个端口受到攻击这些信息可以帮助管理员发现他们网络中存在的安全漏洞，并且可以判定哪些人是潜在的攻击者。7) “容灾”数据中心的冗余设置常被用来提供数据中心的“容灾”。BIGIP与3DNS的结合，可以灵活的提供“容灾”保障。BIGIP可以通过设置“备份中心”，保证在主数据中心负载过重或发生故障，无法正常提供服务时，自动启用“备份中心”，继续为客户提供服务。3DNS可以帮助客户在系统寻找过程中，智能地找寻到合适的数据中心。并且3DNS还可以动态监测数据中心的状态，一旦主数据中心发生故障，无法正常提供服务，3DN

36、S可以自动将流量立即传送到备份“备份中心”。BIGIP与3DNS的结合应用，可以保证在局域和广域连接中为系统提供灵活的“容灾”策略。8) 网络感知应用，应用控制网络以下图为例，前置服务器或中间件服务器会定制完成与后台服务器进行数据记录的备份。这时，这台服务器会集中于交换数据，而影响正常的客户服务。若此时的客户请求再转向它，势必会对客户服务带来影响，如响应延迟太大，或服务中断。但是，F5利用“iControl”技术可以帮助服务器通知网络，“此时忙，暂停服务”，然后，网络将停止再向它转发客户请求，而将客户请求继续转发至其它服务器，继续对客户应用请求提供服务。并且，服务器会同时通知3DNS，这个中心

37、可用服务器数量减少一台，应相应减少对这个中心的客户服务请求量。当这台服务器完成所有数据记录的备份后，服务器又会通知BIGIP和3DNS，此时它已恢复正常，可以提供服务。这时，系统又恢复原有的正常状态。在系统的运行过程中，各种各样的变化是不可避免的，靠人工的方法毕竟不是一个灵活的、智能的方式。“iControl”可帮助系统成为一个“自适应”的系统，使“网络真正感知应用，应用控制网络”。另外，利用BIGIP、3DNS和iControl,还可以帮助系统提供增值应用： 配置灵活。BIGIP的放置非常灵活，即可放置在服务器群与网络的中间，也可与服务器群以平行的方式接入网络。 BIGIP可根据服务器的运行

38、状态，如“CPU性能”、“内存利用率”、“磁盘空间利用率”等服务器软、硬件状态，自动调整流量的分配。 BIGIP的高可靠性连接，提高了系统的可靠度。BIGIP之间可互相备份，并且，提供“客户连接状态”的备份，提供“冗余”操作。它们可工作与两种状态： Active/Standby Active/Active 可基于所有TCP/IP协议进行流量分发、管理和控制。 可对所有基于IP的设备提供流量的分发、管理和控制，包括防火墙、路由器、VPN路由器等网络设备。 Npath性能。BIGIP包括称作nPath的可选模式。该模式允许服务器绕过BIGIP直接将信息返回给客户。例如，涉及下载流式媒体的企业可以选

39、择采用该功能。BIGIP仅对用户的请求（即进入的流量）进行管理。 SSL加速加密套接字(Secure Socket)层交易的广泛采用和总体网络负载减缓了服务器的执行速度。SSL Gateway为SSL交易加速。 3DNS和BIGIP结合提供14种的全球流量分配策略： 轮询算法 比率 最少连接数 随机 用户定义的服务质量 往返时间（RTT） 完成率（数据包丢失） BIG-IP吞吐量（PPS） 全球可用性 HOPS 分布式拓扑 访问控制 LDNS轮询算法 动态比率六. 相关技术资料1. BIG-IP提供支持99.999%的正常运行1) 99.999%高可用性服务器系统的可用性指标可以用两个参数进行

40、简单的描述：平均无故障工作时间（MTBF），和平均修复时间（MTBR）。系统的可用性可用下式表示：系统可用性 MTBF/(MTBFMTBR)也就是说，如果系统的可用性达到99.9%，则每年的停止服务时间将达8.8小时，而当系统的可用性达到99.99%时，年停止服务时间是53分钟，当可用性达到99.999%时，每年的停止服务时间只有5分钟。对于网络时代的企业任何服务停止带来的损失都是巨大的，据国外权威机构对400家企业的调查，普通企业一次关键应用的停机平均损失达每小时1万美元，而对于一些金融企业每小时的停机损失竟达到100万美元。调查发现，造成系统停止服务的主要原因有三个：其一，硬件故障，在整个

41、停机原因中占30%，其二，操作系统和应用软件故障，占35%，其三是由于操作失误，程序错误和环境故障，占35%。可以看到，要提高系统的可用性必须从硬件和软件两个方面入手，对于硬件产品而言，运行的时间越长越易出故障，提高硬件系统的可用性必须要在故障出现时能够保证系统继续服务。硬件冗余技术可以很好的解决这一问题，通过对关键部件的冗余设计可以做到当系统中出现故障硬件时由冗余部件自动接替服务，不致造成系统停机。而对于软件系统而言，故障的产生难以进行有效的预测，通过快速地恢复软件系统降低平均平均修复时间（MTBR）也可以达到提高可用性的目的。服务器系统的电子部件和机械部件之间存在着可靠性的差异。电子电路的

42、可靠性根据其工作状态不同也存在一定的差异，通常工作在高压大电流情况下的部件可靠性较低，而工作在低压小电流状态的部件可靠性较高，工作温度较高的部件可靠性低，工作温度较低的部件可靠性高。通过分析可以看到，提高MTBF值和降低MTBR值对系统可用性设计具有相同的意义。2) BIG-IP Five 9s of Uptime What does 99.999% uptime mean? Statistically it means your system is available 99.999%of the time, or the reverse, only down %0.001 of the ti

43、me. During a one-year period this equals 5.25 minutes of unexpected downtime. Unexpected downtime does not include time that you may take the system down for normal operational and maintenance procedures. In a redundant pair, this is the best practices deployment; both BIG-IP systems would not be un

44、expectedly unavailable for a period of grater than 5.25 minutes.F5 states that BIG-IP will provide 99.999% uptime for your web applications. For this to be true BIG-IP itself must be available. To prove 99.999%availability many companies leave their systems running for one year. If the system does n

45、ot fail they can claim 99.999% availability. F5 has many systems around the world that have been up for a year or more. In the hardware the lowest common denominator is the power supply with a rating of 50,000 hours MTBF. 50,000 hours equals 5.7 years.But how do you measure 99.999% availability of t

46、he software? Yes, F5 has customers that are running versions of BIG-IP older than one year, and have been up one-year or longer. This is documented. But this is the exception to the rule. Why? Because the BIG-IP software is updated with major releases 2-3 times a year and minor releases 3-4 times a

47、year. So in most cases we cannot track the uptime of the systems beyond 3-4 months. 95% of the cases, when talking to customers, they have experienced no down time in the period between product updates.The question is what do you do when one system fails? What do you do when both systems fail? And what are the typical scenarios where both system fail?