F5-BigIP-3400产品技术介绍
一、产品概述 (4)
二、先进的体系结构 (7)
2.1硬件架构――新一代的应用交换机硬件平台 (7)
2.2软件架构――革命性的TM/OS体系结构设计 (8)
三、高可用性 (10)
3.1双机采用专用的心跳线,支持毫秒级切换 (10)
3.2支持双机连接状态镜像(Connection Mirroring) (11)
3.3高级的应用健康检查方法 (11)
3.4服务器错误回应再处理机制,减少Down机时间 (11)
3.5专用的双机“HA”进程表实现对系统状态的全面监控 (11)
四、性价比与扩展性 (11)
4.1领先的性能指标、强大的功能、独立的第三方测试报告、实际的业务流量下的测试
结果 (11)
4.2模块化的设计,可选的功能模块,按需增加可选模块进行扩充性,投资保护 (13)
五、易管理性 (14)
5.1配置界面基于对象的命名方式、基于Profile的配置管理方式 (14)
5.2配置界面提供了对对象与日志的搜索功能 (14)
5.3内置的实时数据包分析工具、iRule跟踪调试接口,为故障诊断带来便利 (14)
5.4独立的管理端口与管理子系统(LightOut System) (14)
5.5前面板LCD实时监控系统运行状态与告警信息 (14)
5.6丰富的、图形化的流量与系统统计信息 (14)
六、真正的应用交换,灵活的应用控制能力 (15)
6.1 广泛的应用支持,软件与应用开发商的首选流量管理产品 (15)
6.2 高级的应用健康检查功能 (15)
6.2.1内置丰富的高级应用健康检查方法 (15)
6.2.2基于脚本的可定制的应用健康检查方法 (16)
6.3 强大的应用会话保持功能 (16)
6.3.1内置多种会话保持方式 (16)
6.3.2支持复杂的的、可定制的会话保持功能 (17)
6.4 UIE+iRule提供了对应用的可编程控制 (18)
6.4.1UIE实现了对所有TCP、UDP应用的数据包分析与信息提取功能 (18)
6.4.2iRule基于事件驱动的编程方式、功能强大、扩充性极强的开发语言TCL (19)
6.5 选择性地址转换(iSNA T) (19)
6.6 双向的数据流改写功能 (20)
6.7 基于脚本的系统控制手段 (20)
6.8 开放的API iControl,实现与应用的无缝集成与互动 (21)
6.9 https://www.doczj.com/doc/0b8384868.html,网站提供了iRule与iControl的技术支持与知识共享 (25)
七、集成的应用优化能力 (26)
7.1 SSL加速 (27)
7.2动态智能HTTP压缩 (27)
7.3TCP优化(TCP EXPRESS) (28)
7.4RAM Cache (29)
7.5One Connect 连接复用 (29)
7.6七层带宽管理 (30)
八、提高网络与应用安全 (31)
8.1防DOS攻击 (31)
8.2强大的应用内容保护功能 (31)
8.2.1过滤非法的用户请求 (31)
8.2.2隐藏服务器端敏感信息 (32)
8.2.3对应用数据选择性加密 (32)
8.4高级客户端验证功能 (32)
8.5网络包过滤和应用级防火墙(Packet Filter)能力 (33)
九、产品详细信息概述 (33)
一、产品概述
BIGIP3400应用交换机是一款出色的应用流量管理系统,可提供业内最智能、最具适应性的解决方案来保护、优化和交付应用,从而确保企业能够在保持高效运营的同时提高其竞争力。
F5 BIGIP3400应用交换机,提供了统一的应用基础架构。它主要实现了应用交付、优化与安全三大功能:
F5 BIGIP3400是业内唯一一款包含整套统一应用基础设施服务的系统,将总体控制、可见性以及灵活性出色地融合到应用安全、性能和交付中,从而带来更高的业务适应性,并有效控制的成本。主要的技术参数如下:
通过采用F5 BIGIP3400应用交换机实现应用流理管理,具有大量的技术优势和应用特点,现在下面做一一描述。
二、 先进的体系结构
2.1硬件架构――新一代的应用交换机硬件平台
专用的加速芯片(Packet Velocity ASIC )PV A2,具有最佳的四层加速性能,支持
管理
完全加速、部份加速方式;真正的七层应用处理由CPU先定路径,后续交由专用
四层加速芯片线速处理,将四-七层应用处理性能发挥到极致。
SCCP:专门的Switch Card 控制处理器–该处理器及管理系统独立于L4-L7核心处理系统,使管理工作不会由于核心处理的繁忙或挂起而导致不能管理。
强大的CPU – Intel CPU已经将传统芯片的设计工艺和RISC技术的精华融入到一起了,对于支持复杂的七层应用流量管理的设备,高性能的CPU无疑是其处理七
层流量能力的关键因素之一。
10/100/1000M铜缆接口及Mini GBIC插槽–全千兆的接口适应数据大集中带来的端口大流量支持。
独立的设备管理子系统(Lightout System);
可以通过机身前面板LCD监控系统运行状态与告警信息–便于网管及巡检员快速直观的判断系统运行健康状态。
具有单独的双机心跳线– F5双机之间除了与其它厂商的产品一样支持网络心跳线之外,还支持专用非网络心跳线。专用的心跳线使双机的切换变得更加快速可靠。
双机的的切换可以在200毫秒以内完成。双机还可以支持基于应用服务级的监控切
换,或重启服务进程等。
双存贮质介质(Compact Disk & Hard Disk) 支持多重启动– CF卡预安装系统平台,大容量硬盘用来储存系统日誌及历史数据,以及作系统安装备份,以便需要时回退。
大容量的专用内存- 四七层交换的交换机需要有区分和存贮大量发送表项的能力,交换机在一个企业网的核心时尤其如此,大的表容量对制造支持线速发送第四
层流量的高性能交换机至关重要,因此F5 大容量的专用内存可以很好地支持各种
表项的存储。
2.2软件架构――革命性的TM/OS体系结构设计
BIGIP3400的核心是一款创新体系结构,称为TM/OS(流量管理/操作系统),它为企业提供了一套统一系统来帮助其实现最佳应用交付。TM/OS针对BIGIP3400 上的每项功能都做了改进,在支持BIGIP3400 智能地适应应用与网络日新月异的需求同时,提供了面向所有服务的完全可见性、灵活性和控制能力。
BIGIP3400的TM/OS 采用Fully Proxy 设计,TM/OS 是一个Full Proxy 的设计。Full Proxy 的意思是一个四层的Proxy ,这样可以对TCP 的行为与参数进行优化与控制。
TM/OS 使 BIGIP3400 能够高效地将客户机与服务器端数据流隔离开来、独立维持每个连接设备的最佳性能,并承担起系统间的通信工作,以改进应用性能。如今,任何与 BIGIP3400 相连的系统或IP 应用都将可以更高效地工作。
GUI-Based Application Profiles
Repeatable Policies
TM/OS
Fast Application Proxy
Programmable Application Network
Complete Visibility and Control of
Application Flows
Security
Optimisation
Delivery
New Service
Universal Inspection Engine (UIE)
Client Side
Server Side
Targeted and
Adaptable Functions
Unified Application Infrastructure Services
Compression
TCP Offloading
iRules
Programmable Network Language
模块的、Full Proxy 的设计还可以为BIGIP3400快速提供新的应用的支持带来便利。
三、 高可用性
F5 BIGIP3400应用交换机从规避应用交换机自身故障和规避服务器上应用故障两个方面来提高了应用的可用性:
3.1双机采用专用的心跳线,支持毫秒级切换
F5 BIGIP3400应用交换机采用双机运行方式时,双机之间除了与其它厂商的产品一样支持网络心跳线之外,还支持专用非网络心跳线。专用的心跳线使双机的切换变得更加快速可靠。双机的的切换可以在200毫秒以内完成。并可以通过监控服务进程,进行服务重启,切换等反应。
Client Side
Server
Side Received Request Send
Request
HTTP TM filter
TCP TM filter
SSL TM filter
TCP TM filter
3.2支持双机连接状态镜像(Connection Mirroring)
F5BIGIP3400应用交换机双机之间支持会话表有选择性状态同步,可以选择设定对哪些应用采用会话状态同步功能。这样即可减轻双机状态同步对系统带来的额外压力,又可以对要求不间断运行的应用,做到双机切换对应用没有影响。
3.3高级的应用健康检查方法
F5BIGIP3400应用交换机所提供的高级应用健康检查功能,可以真实反映服务器上的应用的运行状态,从而及时规避故障服务器,使用户访问不会有中断。
3.4服务器错误回应再处理机制,减少Down机时间
F5BIGIP3400应用交换机所提供的服务器错误回应现处理机制,可以提供对服务器故障最及时的响应,完全消除Down机时间,做到服务器故障对用户完全透明。
3.5专用的双机“HA”进程表实现对系统状态的全面监控
处于双机运行的设备,当处于Active的设备中某一进程发生故障,例如出现“进程挂死”现象时能否及时触发双机切换,将直接影响到应用的不间断运行。F5 BIGIP3400应用交换机提供了专门的双机“HA”进程表,可以设定对系统关键进程的实时监控,处于监控表中的任一进程发生意外都可以及时触发双机的切换。
四、性价比与扩展性
4.1领先的性能指标、强大的功能、独立的第三方测试报告、实际的业务流
量下的测试结果
真实的客户环境下的表现:
Broadband 第三方测试报告
4.2模块化的设计,可选的功能模块,按需增加可选模块进行扩充性,投
资保护
目前F5 BIGIP3400交换机在配准备置的基础上,可以通过购买附加的License扩展支持以下模块:
●SSL加速处理(SSL)
●动态智能压缩(CMP)
●内存缓存功能(Ram Cache)
●7层的带宽管理功能(L7 Rate Shaping)
●IP v6网关
●GTM/LC (全局/链路流量管理)
●带宽高级客户认证(ACA)
●高级路由模块( RIP , OSPF , BGP ,etc.)
由于BIGIP3400TM/OS采用的是模块化设计,可选模块可以按需加入,这样即可使
不需要的可选模块对系统影响最小,又可以使系统有很强的扩展能力。
五、易管理性
5.1配置界面基于对象的命名方式、基于Profile的配置管理方式
应该交换机需要对服务器的地址与端口进行配置。当应用交换机管理的服务器与应用数量比较多时,对管理对象的管理变得困难。F5应用交换机将所有管理对象都采用赋有含义的命名管理方式,给管理者对管理对象的查找与识别带来方便。
而对不同应用,通过简档对象(Profile Object)进行配置属性的管理,使用户为不同的应用创建不同资源的流量管理行为模板,然后应同到相应类型的应用上,从而减少重复操作并提供一致的设置修改方法
5.2配置界面提供了对对象与日志的搜索功能
对上述命名对象,BIGIP3400还支持搜索,过滤显示等功能,简化了管理。
5.3内置的实时数据包分析工具、iRule跟踪调试接口,为故障诊断带来便利
应用交换机需要对应用数据包作各种转换,当业务数据流比较复杂或需要对应用数据流作比较复杂的控制时,应用交换机对数据包的分析能力显得特别得要。F5 BIGIP3400应用交换机提供了实时的抓包分析工具,以及iRule跟踪调试接口,可以为故障诊断带来便利。
5.4独立的管理端口与管理子系统(LightOut System)
F5 BIGIP3400 V9应用交换机的设备管理子系统与四七层交换控制子系统相独立。通过设备管理子系统可以实现交换控制子系统失去响应时对交换控制子系统进行远程故障诊断与重启动等操作。
5.5前面板LCD实时监控系统运行状态与告警信息
F5 BIGIP3400 V9应用交换机机身前面板提供了LCD显示器,可以实时反映系统的运行状况,例如CPU、内存使用情况,以及系统受到攻击的告警信息。
5.6丰富的、图形化的流量与系统统计信息
BIGIP3400能够提供详尽的流量统计数据(全局范围或基于每个对象),以帮助企业更好的监控全部活动和资源。通过图形化的流量统计,可以清楚的看到应用流量经过BIGIP3400应用交换机优化以后的变化情况,例如客户端的连接数经BIGIP3400采用OneConnect复用以后的连接数,RAM
六、真正的应用交换,灵活的应用控制能力
6.1 广泛的应用支持,软件与应用开发商的首选流量管理产品
F5BIGIP3400应用交换机有广泛的应用支持支流,它已经成为主流应用软件提供商首选推荐的硬件负载均衡解决方案。以下应用都可以用F5 BIG-IP应用交换机作到很好的支
采用BIGIP3400应用交换机作负载均衡。
6.2 高级的应用健康检查功能
当应用交换机对服务器作负载均衡时,应用交换机对服务器上应用的运行状况的监控能力十分重要。只有及时发现有故障的服务器或应用,才能保证用户的访问请求会分发到可以正常工作的服务器上。而F5BIGIP3400应用交换机具有强大的应用健康检查能力:
6.2.1内置丰富的高级应用健康检查方法
F5 BIGIP3400应用交换机不仅仅从网络连通性与端口是否打开来判断服务器上应用的可用性,还内置了丰富的高级应用健康检查功能:
ICMP Monitor FTP Monitor WAP Monitor POP3 Monitor Gateway ICMP Monitor SIP Monitor IMAP Monitor RADIUS Monitor TCP Monitor SMTP Monitor LDAP Monitor RDP Monitor TCP Echo Monitor SNMP Monitor LDAP over SSL Monitor RealN Monitor UDP Monitor Soap Monitor Microsoft SQL Monitor Oracle Monitor
HTTP Monitors HTTPS Monitor NNTP Monitor WMI Monitor EAV Monitor Reverse Keyword Monitor Transparent Device Monitor Monitor Scripting Composite Monitors (this is an M of N monitor rule)
6.2.2基于脚本的可定制的应用健康检查方法
对于BIGIP3400内置没有提供健康检查方法的应用,可以通过编写脚本的方式来定制相应的健康检查方法。例如对某一特定的中间件服务器可以通过编写以下的脚本来实现对应用的检查:
#!/bin/sh
# these arguments supplied automatically for all external pingers:
# $1 = IP (nnn.nnn.nnn.nnn notation or hostname)
# $2 = port (decimal, host byte order)
# $3 and higher = additional arguments
#
# In this sample script, $3 is the regular expression
#
pidfile="/var/run/pinger.$1..$2.pid"
if [ -f $pidfile ]
then
kill -9 `cat $pidfile` > /dev/null 2>&1
fi
echo "$$" > $pidfile
node_ip=`echo $1 | sed 's/::ffff://'`
#echo "GET /" | /usr/bin/nc $node_ip $2 2> /dev/null | grep -E -i $3 > /dev/null
/usr/bin/curl -m 3 http://$node_ip:$2$3 2> /dev/null | grep $4 > /dev/null
status=$?
if [ $status -eq 0 ]
then
echo "up"
fi
rm -f $pidfile
6.3 强大的应用会话保持功能
当采用多台服务器以负载均衡的方式对外提供服务时,对来自同一个用户的多次请求往往会被要求由同一台服务器处理,否则服务器之间的会话状态没有同步会导致用户的交易请求失败。因此应用交换机的应用会话保持能力也十分重要。F5 BIGIP3400 V9应用交换机具有强大的应用会话保持功能:
6.3.1内置多种会话保持方式
F5 BIGIP3400已经内置支持了多种会话保持方式:
◆源地址相关性持续性
也称为简单持续性,源地址相关性持续性支持TCP和UDP协议,完全根据数据包
的源IP地址,将对话请求定向至同一台服务器。
◆cookie持续性
cookie持续性使用存储在客户端计算机上的HTTP cookie,从而允许客户机重新
连接到之前在网站访问的那台服务器。
◆目的地地址相关性持续性
也称为粘着持续性,目的地地址相关性持续性支持TCP和UDP协议,完全根据数
据包的目的地IP地址,将对话请求定向至同一台服务器。
◆Hash持续性
Hash持续性允许您基于现有的iRule创建持续性散列。
◆微软远程桌面协议持续性(MSRDP)
微软远程桌面协议(MSRDP)持续性跟踪那些运行Microsoft?远程桌面协议
(RDP)服务的客户机和服务器之间的对话。
◆SIP持续性
SIP持续性是用于以下这些服务器的持续性类型:它们接收通过UDP发送的对话
启动协议(SIP)消息。SIP是一种支持实时消息传递、语音、数据和视频的协议。
◆SSL持续性
SSL持续性是使用SSL对话ID来跟踪未中断的SSL对话的持续性类型。即使客户
机的IP地址发生了变化,LTM系统仍根据对话ID将连接识别为持续连接。
◆通用持续性
通用持续性允许您编写表达式,定义数据包中要持续的内容。此表达式以iRules?
中使用的表达式语法编写而成,定义用作对话标识符的字节序列。
6.3.2支持复杂的的、可定制的会话保持功能
对于BIGIP3400没有提供会话保持方法的特定应用,可以通过脚本来进行定制会话保持方法。例如对于许多中间件服务器,JSESSIONID往往会被作为会话保持的依据,但对于用户的首次访问,用户请求中是没有JSESSIONID的,这样往往会现现第一次请求被按负载均衡分配到一台服务器上,而随后的访问却被JSESSIONID保持到别的服务器上的情况,原因是在应用交换机上,没有JSESSIONID与服务器的对应表。
但BIGIP3400V9应用交换机却可以在系统中维护这么一张JSESSIONID与服务器的对应表,分析用户的第一个请求所触发的服务器回应内容,从中提取JSESSIONID信息并与产生回应的服务器相对应。这样对随后的用户访问,BIGIP3400应用交换机就可以查找JSESSIONID与服务器的对应表,保证用户请求自始至终由同一台服务器处理。以下是用iRule所实现的例子:
when CLIENT_ACCEPTED {
set add_persist 1
}
when HTTP_RESPONSE {
if { [HTTP::cookie exists "JSESSIONID"] and $add_persist } {
log local0. " response set cookie [HTTP::cookie "JSESSIONID"]"
persist add uie [HTTP::cookie "JSESSIONID"]
set add_persist 0
}
}
when HTTP_REQUEST {
if { [HTTP::cookie exists "JSESSIONID"] } {
persist uie [HTTP::cookie "JSESSIONID"]
} else {
set jsess [findstr [HTTP::uri] "jsessionid" 11 32]
if { $jsess != "" } {
log local0. "request include $jsess"
persist uie $jsess
}
}
}
6.4 UIE+iRule提供了对应用的可编程控制
TM/OS集成了可编程控制的iRules和通用检查引擎(UIE),凭借完整的应用数据包检查及转换能力、可扩展的事件驱动iRules以及面向会话层的交换(session-aware switching)技术、BIGIP3400提供了业内最智能的流量控制能务,配于强大的硬件加速处理能力,最终可以保证在极高的速度下处理各种复杂的应用交换与控制问题。
6.4.1UIE实现了对所有TCP、UDP应用的数据包分析与信息提取功能
TM/OS集成了F5新版定制的iRules 和通用检查引擎(UIE),为应用交易或应用流内任何时刻的应用流量处理都供了无与伦比的控制能力。凭借完整的有效载荷检验及转换能力、可扩展的事件驱动iRules 以及面向会话层的交换(session-aware switching )技术,BIGIP3400 提供了业内最智能的流量控制点,以(以网速)解决各种应用交付问题。
UIE支持完全的双向应用数据流分析,包换Inbound与Outbound流量。
业内唯一一款可提供完整应用流的解决方案--能够高速进行的全面的有效负载检查和基于事件的可编程流量管理,以及时掌握流量信息,并采取相应控制与转换措施。
UIE --Universal Inspection Engine 通用搜索引擎,可以检查TCP/UDP数据中的任何内容,包括TCP Header,TCP Payload等。与其它的状态监测方式不同,通过UIE,甚至可以实现数据流的双向监测。
图表 1 UIE通用搜索引擎工作示意图
UIE可以在多个条件下触发,包括客户端建立连接时、客户端TCP三次握手完成后数据传输时、服务器端建立连接时和服务器返回数据时等。针对特殊的应用,还具有应用触发条件如SSL连接建立和客户端证书提交等。
UIE可检测的内容包括:客户端IP、客户端源端口、服务器端IP、服务器端口、客户端数据、服务器端数据。通过一系列的字符串和二进制处理机制,可将处理的结果提交iRules 进行判别和处理。
6.4.2iRule基于事件驱动的编程方式、功能强大、扩充性极强的开发语言TCL
iRules可以根据UIE监测到的数据来对流量进行处理。例如,Rules可以配置为判断以下条件:
●是否在数据包中包含以”cgi”作为结尾的HTTP请求?
●是否数据包的源地址是以八进制“206”为开头?
●是否在TCP的数据包中包含字符串“ABC”。
在获取判断条件后,iRules则可对该数据流进行处理。例如:
如果数据包源IP为20.1.1.2则将其分配到服务器A;
如数据包前50个字符包含字母“REAL”则将其丢弃;
如果数据包第一个字符为0xE3则将其放入4Mbps的一个RateClass进行带宽控制。6.5 选择性地址转换(iSNAT)
应用交换机对服务器实现负载均衡时,往往需要将一组服务器虚拟成一台服务器对外提供服务。与此相应的,当这一组服务器对外通讯时也会要求采用虚拟服务器的地址与外界通讯,这就需要在应用交换机上通过网络地址转换(NAT)来实现。当应用交换机同时对多组服务器进行负载均衡,而单台服务器同时参与到多个负载均衡器组的时候,对网络地址转换的要求变得复杂。而F5 BIGIP3400应用交换机所提供的可编程控制的地址转换能力
(iSNA T),可以胜任上述要求。
6.6 双向的数据流改写功能
TM/OS的Full Proxy结构使BIGIP3400具有了双向数据流改写的能力。以下是对服务器端的回应内容进行匹配修改的例子,BIGIP3400应用交换机可以将服务器回应内容中的所有http转换成https,同时特别对链接https://www.doczj.com/doc/0b8384868.html,转换成https://https://www.doczj.com/doc/0b8384868.html,
when HTTP_REQUEST {
# Don't allow data to be chunked.
if {[HTTP::version] == "1.1"} {
if {[HTTP::header is_keepalive]} {
# Adjust the Connection header.
HTTP::header replace "Connection" "Keep-Alive"
}
HTTP::version "1.0"
}
}
when HTTP_RESPONSE {
if {[HTTP::header exists "Content-Length"]} {
set content_len [HTTP::header "Content-Length"]
} else {
set content_len 4294967295
}
if { $content_len > 0 } {
HTTP::collect $content_len
}
}
when HTTP_RESPONSE_DATA {
set payload [HTTP::payload]
set length [HTTP::payload length]
set new_payload [string map { \
http% https% \
https://www.doczj.com/doc/0b8384868.html, https://https://www.doczj.com/doc/0b8384868.html, \
} $payload]
if { $new_payload ne $payload } {
# Replace the content if there was any matches
HTTP::payload replace 0 $length $new_payload
}
}
6.7 基于脚本的系统控制手段
BIGIP3400支持在系统中运行脚本,并可以设定为定时执行,这样可以让脚本定期检查系统的运行状态,并相应地调整系统运行参数或应用交换控制规则,从而真定做到对应用的动态适应用控制。