F5 BIG-IP V9应用交换机产品资料
F5 BIG-IP V9应用交换机产品资料 (1)
1. BIG-IP V9应用交换机简介 (2)
2. 用BIG-IP 应用交换机实现服务器负载均衡 (4)
2.1负载均衡工作构成 (4)
2.2网络地址转换 (4)
2.3负载均衡算法 (5)
2.4服务器健康检查 (6)
2.5会话保持 (7)
2.6应用内容控制与转换 (8)
3. 硬件平台 (10)
4. 性能指标 (12)
5. 典型组网结构 (12)
6.BIG-IP Add-On Modules说明 (15)
(1)SSL加速处理 (15)
(2)动态智能压缩模块 (15)
(3)Fast Cache功能模块 (16)
(4)7层带宽管理功能 (16)
(5)高级客户端认证模块 (17)
(6)IPv6网关模块 (17)
(7)高级路由模块 (18)
7. BIG-IP Add-On Modules编号 (18)
8. Hardware Platform Specifications (English) (18)
1500 specifications (19)
3400 specifications (20)
6400 specifications (21)
6800 specifications (21)
9. BIG-IP Load Balancer Limited 1500 与BIG-IP Local Traffic Manager 1500的功能差异22
10. 常见问题简答 (24)
1. BIG-IP V9应用交换机简介
BIG-IP应用交换机是一款出色的应用流量管理系统,可提供业内最智能、最具适应性的解决方案来保护、优化和交付应用,从而确保企业能够在保持高效运营的同时提高其竞争力。
F5 BIG-IP应用交换机,提供了统一的应用基础架构。它主要实现了应用交付、优化与安全三大功能:
注:(M) = 作为插件模块提供
它是业内唯一一款包含整套统一应用基础设施服务的系统,将总体控制、可见性以及灵活性出色地融合到应用安全、性能和交付中,从而带来更高的业务适应性,并有效控制的成本。通过采用F5 BIG-IP应用交换机实现应用流理管理,具用以下优点:
可靠性
提供业内最可靠、最先进的系统,以确保应用始终可用。
应用加速
提供无可比拟的控制能力,可以将应用性能提高3倍,确保高优先级应用得以优先处理,同时卸载昂贵的服务器循环。
降低服务器和带宽成本
通过丰富的基础设施优化特性,可以将服务器容量增加3倍;同时通过智能 HTTP 压缩、带宽管理等特性将带宽成本降低80%左右。
增强网络和应用安全性
支持对拒绝服务(DoS)攻击的保护、安全内容隐藏、应用攻击过滤等应用安全功能,从而使BIG-IP添加了多项不能在网络中其它地方实现的关键安全特性。
面向所有 IP 应用的集成解决方案
提供可与所有应用(不仅是基于Web的HTTP和HTTPS协议)相集成的综合解决方案,在单个统一系统内为企业提供了面向所有 IP应用(包括传统应用和诸如VOIP等新兴应用)的集中解决方案。
行业领先的性能
提供行业内最快的流量管理解决方案,来保护、交付和优化应用性能。作为行业内当之无愧的领导者,BIG-IP再次刷新了SSL TPS、批量加密以及最大并发SSL连接的业内记录。
简化管理,提高可见性
全新的图形用户界面极大地简化了产品配置,提供了针对流量与插件资源的精细可见性,同时支持配置的批量快速修改。
无可比拟的应用智能与控制特性--UIE+iRules
业内唯一一款可提供完整应用流的解决方案--能够高速进行的全面的有效负载检查和基于
事件的可编程流量管理,以及时掌握流量信息,并采取相应控制与转换措施。
2. 用BIG-IP 应用交换机实现服务器负载均衡
2.1负载均衡工作构成
F5 BIG-IP 应用交换机对服务器作负载均衡时主要包括以下几个过程:
? 截获和检查分析流量:保证只有合适的数据包才能通过; ? 服务器监控和健康检查:随时了解服务器群的可用性状态; ? 负载均衡和应用交换功能:通过各种策略或负载均衡算法将访问请求导向到合适的服务
器,这一过程包括目标服务器的选择及地址转换(NAT )过程。
? 会话的保持(Persistence):通过会话保持,保证一系列相关连的会话不会被负载均衡到不
同的服务器上。
? 应用内容转换与应用加速:通过F5特有的流量管理操作系统TM/OS 及完全代理的体
系架构,实现对应用内容的双向改写与转换,以及通过SSL 加速、HTTP 压缩、RAM Cache 、TCP 优化等功能实现对应用的加速与优化。
2.2网络地址转换
F5 BIG-IP 应用交换机对服务器作负载均衡是采用基于网络地址转换(NA T)的负载均衡技术 。 下图所示是一个典型的F5 L4/L7层交换机对服务器作负载均衡的网络拓扑:
Web/APP Server Web/APP Server
Cisco6009
Bigip 3400
BIG-IP 应用交换机后面的一组服务器10.1.1.4:80、10.1.1.5:80、10.1.1.6:80对外构成一台虚拟的服务器(Virtual Server )192.168.101.1:80,对外提供服务。当一个访问虚拟服务器
192.168.101.1:80的请求到达负载均衡器以后,负载均衡器根据预先设定的负载均衡算法从服务器pool(WEB_POOL)中挑选一台服务器来服务该请求,例如选定的是10.1.1.4:80;然后通过网络地址转换(NAT )将访问请求包的目的地址与端口转换成10.1.1.4:80,并将数据包发给10.1.1.4。服务器10.1.1.4处理访问请求,并作出回应。回应的包必须返回到负载均衡器上,由负载均衡器将回应包的源地址与端口转换回虚拟服务器的地址与端口,并返回给客户。这样完成一次访问过程。
2.3负载均衡算法
BIG-IP 应用交换机支持的负载均衡算法包括:
?轮询(RoundRobin ):顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7层的故障,BIG/IP 就把其从顺序循环队列中拿出,不参加下一次的轮询,直到其恢复正常。
?比率(Ratio ):给每个服务器分配一个加权值为比例,根椐这个比例,把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障,BIG/IP 就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
?优先权(Priority ):给所有服务器分组,给每个组定义优先权,BIG/IP 用户的请求,分配给优先级最高的服务器组(在同一组内,采用轮询或比率算法,分配用户的请求);
Loa d Bala ncin g
当最高优先级中所有服务器出现故障,BIG/IP才将请求送给次优先级的服务器组。这种方式,实际为用户提供一种热备份的方式。
?最小的连接数(LeastConnection):传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7层的故障,BIG/IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
?最快模式(Fastest):传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7层的故障,BIG/IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
?观察模式(Observed):连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7层的故障,BIG/IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
?预测模式(Predictive):BIG/IP利用收集到的服务器当前的性能指标,进行预测分析,选择一台服务器在下一个时间片内,其性能将达到最佳的服务器相应用户的请求。(被big/ip进行检测)
?规则模式(iRule):针对不同的数据流设置导向规则,用户可自行编辑流量分配规则,BIG/IP利用这些规则对通过的数据流实施导向控制。
2.4服务器健康检查
在对用户的访问请求作负载均衡的同时,应用交换机还必须不断地监控服务器上服务的运行状态。5 BIG-IP的应用交换机支持以下服务器健康检查方法:
●服务器(Node) - Ping (ICMP)
●服务(Port) – Connect
●可扩展的应用验证(EAV) :不仅仅检查服务器上指定服务的端口是否处于监听状态,
还要检查该服务端口能否对应用访问请求作出回应,例如可以检查对http请求或对数据库的查询能否作出回应。
●可扩展的内容验证(ECV):Bigip除了可以通过EAV对服务进行检查,还可以通过
ECV对服务器的响应作进一步分析,通过分析读取服务器回应中的指定内容来判断服务器上服务的运行情况。
F5 BIG-IP的应用交换机内置了丰富的高级应用健康检查功能:
ICMP Monitor FTP Monitor WAP Monitor POP3 Monitor Gateway ICMP Monitor SIP Monitor IMAP Monitor RADIUS Monitor TCP Monitor SMTP Monitor LDAP Monitor RDP Monitor
TCP Echo Monitor SNMP Monitor LDAP over SSL Monitor RealN Monitor UDP Monitor Soap Monitor Microsoft SQL Monitor Oracle Monitor HTTP Monitors HTTPS Monitor NNTP Monitor WMI Monitor
EAV Monitor Reverse Keyword Monitor Transparent Device Monitor Monitor Scripting Composite Monitors (this is an M of N monitor rule)
上述检查方法的检查频度(e.g. 10 seconds)与检查响应Timeout时间( e.g. 5 seconds)都可以根据应用情况进行灵活定制。
对于ECV、EAV,在Bigip中已经包含了一些常见应用的检查与内容验证的方法,例如http
的检查、Ldap、SQL Server等。如果碰到一些应用、Bigip上没有提供相应的检查方法,Bigip 还提供了一个扩展的接口,用户只需要编写相应的应用检查脚本或程序并加载到Bigip就可实现对该应用的检查或内容验证。
2.5会话保持
会话保持(persistence)是负载均衡中一个特定而重要的概念。
一个客户与服务器经常经过好几次的交互过程才能完成一笔交易。由于这几次交互过程是密切相关的,服务器在进行这些交互过程的某一个交互步骤时,往往需要了解上一次交互过程的处理结果,这就要求所有这些相关的交互过程都由一台服务器完成,而不能被负载均衡器分散到不同的服务器上。
而这一系列的相关的交互过程可能是由客户到服务器的一个连接的多次会话完成,也可能是在客户与服务器之间的多个不同连接里的多次会话完成。不同连接的多次会话,最典型的例子就是基于http的访问,一个客户完成一笔交易可能需多次点击,而一个新的点击产生的请求,可能会重用上一次点击建立起来的连接,也可能是一个新建的连接。
会话保持就是指在负载均衡器上有这么一种机制,可以识别做客户与服务器之间交互过程的关连性,在作负载均衡的同时,还保证一系列相关连的访问请求会保持分配到一台服务器上。
F5 BIG-IP已经内置支持了多种会话保持方式:
◆源地址相关性持续性
也称为简单持续性,源地址相关性持续性支持TCP和UDP协议,完全根据数据包的源
IP地址,将对话请求定向至同一台服务器。
◆cookie持续性
cookie持续性使用存储在客户端计算机上的HTTP cookie,从而允许客户机重新连接
到之前在网站访问的那台服务器。
◆目的地地址相关性持续性
也称为粘着持续性,目的地地址相关性持续性支持TCP和UDP协议,完全根据数据包
的目的地IP地址,将对话请求定向至同一台服务器。
◆Hash持续性
Hash持续性允许您基于现有的iRule创建持续性散列。
◆微软远程桌面协议持续性(MSRDP)
微软远程桌面协议(MSRDP)持续性跟踪那些运行Microsoft?远程桌面协议(RDP)
服务的客户机和服务器之间的对话。
◆SIP持续性
SIP持续性是用于以下这些服务器的持续性类型:它们接收通过UDP发送的对话启动
协议(SIP)消息。SIP是一种支持实时消息传递、语音、数据和视频的协议。
◆SSL持续性
SSL持续性是使用SSL对话ID来跟踪未中断的SSL对话的持续性类型。即使客户机的IP
地址发生了变化,LTM系统仍根据对话ID将连接识别为持续连接。
◆通用持续性
通用持续性允许您编写表达式,定义数据包中要持续的内容。此表达式以iRules?中
使用的表达式语法编写而成,定义用作对话标识符的字节序列。
2.6应用内容控制与转换
F5 BIG-IP应用交换机提供了强大灵活的手段,在对服务器作负载均衡的同时,可以对应用内容进行控制与转换:
UIE --Universal Inspection Engine 通用搜索引擎,可以检查TCP/UDP数据中的任何内容,包括TCP Header,TCP Payload等。与其它的状态监测方式不同,通过UIE,甚至可以实现数据流的双向监测。
图表 1 UIE通用搜索引擎工作示意图
UIE可以在多个条件下触发,包括客户端建立连接时、客户端TCP三次握手完成后数据传输时、服务器端建立连接时和服务器返回数据时等。针对特殊的应用,还具有应用触发条件如SSL 连接建立和客户端证书提交等。
UIE可检测的内容包括:客户端IP、客户端源端口、服务器端IP、服务器端口、客户端数据、服务器端数据。通过一系列的字符串和二进制处理机制,可将处理的结果提交iRules进行判别和处理。
iRules可以根据UIE监测到的数据来对流量进行处理。例如,Rules可以配置为判断以下条件:
●是否在数据包中包含以”cgi”作为结尾的HTTP请求?
●是否数据包的源地址是以八进制“206”为开头?
●是否在TCP的数据包中包含字符串“ABC”。
在获取判断条件后,iRules则可对该数据流进行处理。例如:
如果数据包源IP为20.1.1.2则将其分配到服务器A;
如数据包前50个字符包含字母“REAL”则将其丢弃;
如果数据包第一个字符为0xE3则将其放入4Mbps的一个RateClass进行带宽控制。
3. 硬件平台
BIG-IP本地流量管理器有以下四款规格:更多的软件模块可按您的实际需要快速添加。
6800系列——
超级多用途流量管理
处理器:双CPU
基本内存:2GB
ASIC:Packet Velocity ASIC2 千兆位CU端口:16个
千兆位光纤端口:(SFP - GBIC Mini)4个(2个标准、2个可选)包括:SSL TPS/Max TPS/Bulk 加速模块:(100/20,000/2GB/秒)
流量吞吐量:4GB/秒
可选硬件设备:硬件压缩*(2GB/秒)6400系列——
高级多用途流量管理
处理器:双CPU
基本内存:2GB
ASIC:Packet Velocity ASIC2
千兆位CU端口:16个
千兆位光纤端口:(SFP - GBIC
Mini)4个(2个标准、2个可选)
包括:SSL TPS/Max TPS/Bulk
加速模块:(100/15,000/2GB/
秒)
流量吞吐量:2GB/秒
可选硬件设备:硬件压缩*(2GB/
秒)
FIPS处理**(8,000TPS/1GB
SSL吞吐量)
3400系列——
中级多用途流量管理
处理器:单CPU
基本内存:1GB
ASIC:Packet Velocity ASIC2
千兆位CU端口:8个
千兆位光纤端口:(SFP - GBIC
Mini)2个可选
包括:SSL TPS/Max TPS/Bulk
加速模块:(100/8,000/1GB/秒)
流量吞吐量:1GB/秒
1500系列——
普通多用途流量管理
处理器:单CPU
基本内存:768MB
ASIC:无
千兆位CU端口:2个
千兆位光纤端口:2个可选
包括:SSL TPS/Max TPS/Bulk
加速模块:(100/2,000/500 MB/
秒)
流量吞吐量:500MB/秒
*业内第一款硬件压缩ASIC,集中流量压缩处理,提高服务器容量多达20%,同时加快了对终端用户的应用响应,并降低成本。
Note 1: All BIG-IP application switches include a 100 TPS SSL license at no additional charge. This can be upgraded to higher capacity, see section "SSL Acceleration Options for BIG-IP Application Switches".
Note 2: For service pricing, see section "Service Agreement".
Note 3: BIG-IP Load Balancer Limited 1500 contains a limited set of functions available in full BIG-IP Local Traffic Manager switches. Contact F5 for details.
Note 4: BIG-IP 1500, 3400, and 6400 are only available with v9 software. No other software version, including v4.x, will
work on these platforms.
Note 5: It is strongly recommended to always configure BIG-IP systems with the maximum supported memory. This will accomodate flexibility for new features and functionality in the future. For factory installed memory options, see "Memory Upgrade Options for BIG-IP & 3-DNS".
Note 6: For help configuring BIG-IP systems, use the online F5 Product Configurator:
https://www.doczj.com/doc/e116585698.html,/partners/resource/configurator/index.html
Note 7: Use the BIG-IP specifications matrix for a complete list of hardware and software specifications, as well as supported options. Also, the "Platform Sizing Guide" helps select the appropriate BIG-IP 1500, 3400 or 6400 platform. Contact F5 for a copy of these documents.
4. 性能指标
注:具体产品型号的选择可以参见文档<
5. 典型组网结构
F5 BIG-IP应用交换机的典型组网方式有以下几种:
(1)BIG-IP单机组网结构
SWITCH
应用交换机Server3
Server2Server1Internet 应用交换机
Server3Server4Server2Server1Internet
Server6
Server5服务器与BIG-IP 直接相连
通过交换机扩展端口
(2) BIG-IP 双机,服务器与BIG-IP 直接相连
Web/APP Server Web/APP Server
(3) BIG-IP 双机,服务器经由交换机与BIG-IP 直接相连
BIGIP BIGIP 1500/3400
Weblogic Weblogic
Web Server Server 中心交换
Internet
(4) BIG-IP 双机,同时支持多组服务器器的负载均衡(不同功能服务器通过VLAN 进行
隔离)
Server3Server4Server2Server1核心交换机
Intranet
Server3Server4
Server2Server1
6.BIG-IP Add-On Modules说明
新一代的F5 BIG-IP应用交换机被设计为模块化的和可扩展的,通过激活相应软件模块的License,BIG-IP应用交换机可以灵活地扩充支持新的功能,以满足应用变化的需要。
目前F5 BIG-IP交换机在基本模块的基础上,可以扩展支持以下模块:
SSL加速处理(SSL)
动态智能压缩(CMP)
内存缓存功能(Cache)
7层的带宽管理功能(RS)
带宽高级客户认证(ACA)
IP v6网关
高级路由模块
注:对特定型号的应用交换机是否支持上述模块,请与F5销售代表联系确认。
(1) SSL加速处理
当企业的关键应用通过互联网进行部署时,往往需要采用SSL来提高应用的安全性。而SSL流量的快速增重,往往使服务器的CPU不堪重负。F5 BIG-IP应用交换机集成了硬件SSL 加速处理能力,使客户能够有效地管理通过SSL提供的企业应用,并进行先进的智能流量管理检查。从而,提供了更强大的性能,并降低了实施安全应用的成本。
F5 BIG-IP应用交换机对SSL会话第一阶段的非对称加密和第二阶段的对称加密都实现了硬件加速,真正卸载CPU处理SSL加密解密的带来的沉重负担。通过iRule提供的强大编程处理能力,F5 BIG-IP应用交换机还可以实现对应用内容有选择性的加密。
BIG-IP应用交换机在基本配置中已经包含了100TPS的SSL加速处理能力。通过购买附加的License可以将额外SSL的加速处理能力在BIG-IP应用交换机上激活。
(2)动态智能压缩模块
广域网访问的网络延时与带宽瓶颈经常给用户的WEB应用的正常访问带来不便,通过在F5 BIG-IP应用交换机上启用HTTP压缩功能,可以带来以下好处:
更快的页面下载速度;
更小的带宽消耗(支持广泛数据类型的压缩:例如HTTP, XML, Javascript, J2EE applications and many others),启用带宽压缩所带来的带宽节省可以达到80%。
客户端自适应的压缩处理能力(技术专利):F5 BIG-IP应用交换机可以通过探测到客户端的Round Trip Time来识别用户是通过宽带还是窄带方式上网,然后决定是否要对该用户启用HTTP压缩功能。
对用户完全透明,不需要在客户端安装程序:F5 BIG-IP应用交换机采用的压缩算法是目前常用WEB浏览器广泛支持的GZIP和Deflate算法,因此对用户完全透明,不需要预先安装客户端解压程序。
(3) Fast Cache功能模块
通过在F5 BIG-IP应用交换机的内存上对服务器上被反复存取的内容作缓存,可以大大减轻服务器上的压力(可以减轻50%以上日服务器性能压力)。
F5 BIG-IP应用交换机提供了内存缓存的灵活控制能力,可以对指定应用的指定内容在指定条件下进行缓存与刷新。支持静态与动态内容的缓存,对动态页面(例如动态HTML),可以根据预先定义的缓存内容刷新条件对内容进行刷新。
而每个应用进行高速缓存可以消耗的内存容量也可以灵活定制。
(4) 7层带宽管理功能
BIG-IP的带宽控制模块可保证关键应用的稳定性。在BIG-IP带宽控制模块中,可以对基本带宽,限制带宽、突发带宽,控制方向等进行配置。每个带宽控制单元在BIG-IP中被定义为一个Rate Class。Rate Class可以在Virtual Server、Packet Filter和Rules中进行灵活调用。在调用时,仅需要判断出需要进行带宽控制的流量条件满足,并将其放入相应的Rate Class即可。
图表 2 流量控制示意图
通过与Virtual Server、Packet Filter和iRules配合,BIG-IP可实现基于IP、端口、应用协议以及七层内容进行带宽控制。在实现强大功能的同时保持配置的方便性和灵活性。
由于BIG-IP硬件平台具有强大的扩展性,最大内存配置可达4GB,这样,则可以在TM/OS 内建立超过1000个以上的Rate Class对列。从而实现带宽控制的精细和稳定。
BIG-IP Rate Class的定义最小为296bps,最大可以Gbps为单位进行定义。定义时,可以bps、Kbps、Mbps和Gbps为控制单位。
(5)高级客户端认证模块
BIG-IP可作为各种流量类型的认证代理,使企业能够为 BIG-IP 系统上的应用提供最高级的认证。这种功能使各类应用又多了一道远离自身的网络安全防线,为其Web和应用层提供了进一步的保护。
允许 BIG-IP提供到LDAP 、 Radius 、 TACAS 和其它集中认证设备的顶级 HTTP和其它流量类型的客户机认证。
(6) IPv6网关模块
所有企业都需要制定一套明晰的无缝演进战略,以分阶段进行网络移植,以支持不断增长的 IPv6 需求。
通过 IPv6 网关模块,BIG-IP 提供了完整的 v4 与 v6 网络间 IP 转换与负载平衡能
力。
这使得用户移植和混和 IPv4 与 IPv6 主机资源的共享更易于管理,同时也更为经济高效。使用户移植和混和 IPv4与IPv6主机资源的共享更易于管理,也更为经济高效。
(7)高级路由模块
BIG-IP还可以扩充支持BGP、RIP和OSPF等动态路由协议,以适应复杂网络环境的需求。
7. BIG-IP Add-On Modules编号
8. Hardware Platform Specifications (English)
The following section contains additional information about the IP Application Switch hardware platforms.
1500 specifications
The following specifications apply to only the 1500 platform.
Important
Specifications are subject to change without notification.
3400 specifications
The following specifications apply to only the 3400 platform.
1Copper Gigabit Ethernet Interface: 4-pair UTP Cat. 5 plus, up to 100Meter, 1000Mbps (half/full duplex),LED indicators:Per Copper Gigabit port – Link/ACT , 1000M, 100M
Per GBIC Gigabit Port – Link/ACT, 1000M
2Copper Gigabit Ethernet Interface: 4-pair UTP Cat. 5 plus, up to 100Meter, 1000Mbps (half/full duplex),LED indicators:Per Copper Gigabit port – Link/ACT , 1000M, 100M
Per GBIC Gigabit Port – Link/ACT, 1000M