F5架构解决方案

F5解决方案介绍2F5各种架构设计•应用交付网络架构（Availability,Fast,Security)•存储虚拟化架构（针对非结构化数据）•数据中心虚拟化架构•两地三中心架构（A-ADCorA-SDC)•整体IT架构3应用交付的架构设计要求应用服务层/虚拟化服务器层统一应用交付层站点高可用链路高可用服务器高可用应用高可用网络卸载服务器卸载应用卸载主动安全被动安全协议层安全网络层安全应用级管理开放管理配置模板Network应用监控系统自动化资源配置管理ApacheWeblogicIISPeopleSoftOtherPortalBISiebelEBSSAPJDE44WebPortalBIG-IPLTMWebPortalWebPortalApplicationBIG-IPLTMApplicationApplicationNetwork根据部署的规模可选独立设备或者BIG-IPLTM上的模块Web加速器Web防火墙在大型部署结构中，通常分为两个层面分别实现负载均衡部署WebPortal主要用于提供静态内容Application主要用于提供动态内容F5同时提供完备的应用加速和应用安全解决方案BIG-IPLTM负载均衡与应用交换5F5应用交换机的逻辑结构•虚拟服务器–服务器池w/Rules举例virtualserver192.168.101.1:80pool(name=cgi_boxes)member(server=10.1.1.3:80)member(server=10.1.1.2:80)member(server=10.1.1.1:80)pool(name=asp_boxes)member(server=10.1.1.6:80)member(server=10.1.1.5:80)member(server=10.1.1.4:80)virtualaddr192.168.101.1virtualserver192.168.101.1:443pool(name=ssl_boxes)member(server=10.1.1.6:443)member(server=10.1.1.2:443)member(server=10.1.1.1:443)virtualaddr192.168.101.2LoadBalancingIntelligentTrafficControl(lookatURL,clientIPaddr.,etc.)Port-basedTrafficDirectionIPAddr.-basedTrafficDirectionIncomingrequest6SLB服务器负载均衡的要点InternetVirtualServerServerPool•流量截获•健康检查•均衡算法•会话保持•应用优化7提高系统高可用性-健康检查•通过标准配置ECV可以对Weblogic进行深度检查•通过EAV可编程方式还可以实现更为灵活、复杂的检查方式DatabaseSystemWWABIG-IPANetwork8•用户/应用访问与实际文件存储设备物理上紧密互联–不灵活:改变配置非常繁杂–复杂:多连接到对应的存储设备–低效率:较差的整体利用率•文件访问与物理上的存储设备相剥离–灵活性:改变配置简单化–简单:单一连接到存储池–高效:最大化使用率以前以后存储虚拟化架构设计要求9F5ARX智能文件虚拟化解决方案简单,合理的访问物理文件系统数据迁移在不同类型的存储间移动数据而不发生混乱存储分级自动的将数据存储在适当级别的存储上数据复制高效经济的复制数据负载均衡自动的将需求平均分配到现有设备10NFS/CIFSPC-HomeApp.ServerApp.ServerWebServerWebServerWebServerApp.ServerApp.ServerWebServerWebServerWebServerPC-LANWLANCIFSNFSCellRemote-WANFileStorageVirtualizationARXApplicationServerVirtualizationLTMWebServerVirtualizationLTMDataCenter&LinkVirtualizationGTM&LCDataCenterCloudProvider数据中心虚拟化架构设计要求11F5UnifiedADN解决方案NASSTORAGEWindowsfilestorageWindowsfilestorageWEBSERVERSAPPLICATIONSERVERSNetAppEMC简化IT架构的复杂性，无以伦比的扩展性DataSolutionFileStorageVirtualizationADNSolutionWeb/ApplicationServerVirtualization12RouterL-DNSBIG-IPGTMCorporateServersIDCAClientRouterCorporateServersIDCBBIG-IPGTMBIG-IPLTMBIG-IPLTM专线ISPRouterISPRouter13双IDC（A-S，ForAPP&DB）数据中心结构设计BIG-IPGTMBIG-IPGTMBIG-IPLCBIG-IPLTMBIG-IPLTMBIG-IPLCBIG-IPLTMBIG-IPLTM14DMZSAMFirewallsRouterRouterPrimaryDataCenterRemoteOfficesSecondaryDataCenterorDisasterRecoverSiteInternetISPISPISP1ISP2F5SolutionOverviewMakingapplicationsFast,Available&SecureBIG-IPLocalTrafficManagerWANOptManagerWOMFirewallsWOMLANWANPEERMGMTPowerStatusLANWANPEERMGMTPowerStatusBIG-IPLocalTrafficManagerRemoteUsersISPApplicationSecurityManagerEnterpriseManagerRouterRouterRouterRouterWebAcceleratorDatabaseApplicationServersBladeServersWebServersBIG-IPLinkControllerFirewallsSAMBIG-IPGlobalTrafficManagerSecureAccessManagerDMZDMZWM6.0XP,Vista,MacBIG-IPGlobalTrafficManagerUsersWOMWOM15Agenda•F5架构介绍•F5解决方案介绍•Q&A16BIG-IPApplianceLine-upDualcoreCPU410/100/1000+2x1GBSFP1x160GBHD4GBmemorySSL@5KTPS/1GbBulk1Gbpsmaxsoftwarecompression1GbpsL7TrafficBIG-IP1600DualcoreCPU810/100/1000+2x1GBSFP1x160GBHD+8GBCF4GBmemorySSL@10KTPS/2Gbbulk1Gbpsmaxsoftwarecompression2GbpsL7TrafficBIG-IP3600QuadcoreCPU810/100/1000+4x1GBSFP1x300GBHD+8GBCF8GBmemorySSL@15KTPS/3.8Gbbulk3.8Gbpsmaxsoftwarecompression4GbpsL7TrafficBIG-IP39002xDualcoreCPU1610/100/1000+8x1GBSFP2x320GBHD(S/WRAID)+8GBCF8GBmemorySSL@25KTPS/4Gbbulk5Gbpsmaxhardwarecompression6GbpsL7TrafficBIG-IP69002xQuadcoreCPU1610/100/1000+8x1GBSFP2x320GBHD(S/WRAID)+8GBCF16GBmemorySSL@58KTPS/9.6Gbbulk8Gbpsmaxhardwarecompression12GbpsL7TrafficBIG-IP8900VIPRION72GbpsTraffic17ARXPlatformsARX-60002GBytes/Sec2BFiles600KOps/secARX-1000400MBytes/Sec400MFiles100KOps/SecARX-500100MBytes/Sec400MFiles25KOps/SecARX-40001GByte/Sec2BFiles300KOps/Sec10GbeScalePerformanceSameARXsoftwareacrossallplatforms18解决方案一：站点容灾和负载均衡19解决方案-镜像/灾备•引导用户到最快/正确的站点，检测切换与自动恢复RouterL-DNSBIG-IPGTMBIG-IPLTMCorporateServersSite1(Primary)ClientRouterBIG-IPLTMCorporateServersSite2(Backup)BIG-IPGTM20解决方案二：链路智能选择和负载均衡21解决方案-多链路接入•保证业务的24小时不间断型•外部用户可随时登录内网•解决ISP之间的互联互通问题•提高系统的整体可靠性InternetBIG-IPLinkControllerCorporateServersCorporateUsersISP1ISP2ISP3FirewallsCorporateNetwork21211)InboundClientRequest2)CorporateServerResponse1)OutboundCorporateUserRequest2)InternetServerResponseClientServer22解决方案三：SSLVPN数据中心安全接入23•通过端点安全检查器确认终端安全•认证，授权，审计•高性能（单台最大支持25000并发用户）InternetInternalLANsegment1QuarantinenetworkWirelessLANSegment2UserdirectorySSLCorporatedesktopRemotelaptopVLAN1SSLSSLInternalLANsegment2SSLVPN解决方案-统一安全访问控制APM/EdgeGW24SSLVPN解决方案-统一安全访问控制25解决方案四：本地流量管理和负载均衡2626WebPortalBIG-IPLTMWebPortalWebPortalApplicationBIG-IPLTMApplicationApplicationNetwork根据部署的规模可选独立设备或者BIG-IPLTM上的模块Web加速器Web防火墙在大型部署结构中，通常分为两个层面分别实现负载均衡部署WebPortal主要用于提供静态内容Application主要用于提供动态内容F5同时提供完备的应用加速和应用安全解决方案BIG-IPLTM负载均衡与应用交换27服务器SSL卸载NetworkApplicationApplicationBIG-IPLTMDomainServer1Server2CRLDPAuthOCSPAuthSSL加密通道提供高级别安全加密支持百万级客户端同时接入完善的SSL证书验证体系支持卸载服务器SSL处理性能问题28应用安全设计网络层安全防范基本的网络层攻击协议层安全完整的协议符合性检查被动安全模式通过可动态更新的特征判断主动安全模式定义数据流程的允许访问策略防止Syn、ACK、RST等网络层DDOS攻击模式对HTTP、SMTP、FTP等协议在协议层面上进行