应用负载均衡设计方案v1设计方案

1 应用负载均衡设计方案 计方案 1 需要有支持应用的负载均衡产品，具备多种负载均衡算法。 2 能够做到根据各个 务器的性能，合理地分配服务器群中的每台机器所要处理的请求。 3 能够及时的发现群中的某台机器当掉，从而不对此机器发送请求。当掉机器恢复正常后，自动进行业务处理。 4 可以应对大量的服务访问；至少 2, 000, 000 条的 时并发连接，至少每秒建立 100, 000 条连接。 5 有效直观的监控统计界面，包含当前时刻、过去一段时间的请求数量统计、性能统计、会话时间统计。 6 为个人业务提供 以将 服务器 解密前移，并提供高效的 /解密性能。 7 能够提供有效的机制缓解后台应用中间键服务器压力，提高业务的访问量。 2 一、 方方 案案 建建 议议 针对上一节提出的需求分析， 司充分考虑 有的实际状况，结合 司在国际上网络优化案例的经验，总结出以下应用交付优化设计方案。 方案采用 司的新一代 用交换机 提供后台 务器集群的负载均衡；同时，采用 另 两台 400 设备提供后台中间键服务器负载均衡，并减轻中间键服务器的压力。 在负责实 现 务器负载均衡的 400 上设置两个 分别是 责连接外部的防火墙系统 , 责连接内部 务器集群。 并且在该对 400 上，分别采用 务器实现业务的加密处理；还采用了动态智能压缩模块帮助 有限的带宽下实现访问速度的提高和访问量的增大。 在负责实现内部中间键服务器负载均衡的 400 也设置两个 别是 责连接外部的 务 器集群 , 责连接内部中间键服务器集群。并且在该对 400 上，采用 术降低后台中间键服务器集群的负载。 3 400 提供所有应用的负载均衡，并实时监控各台服务器的状态，自动屏蔽故障服务器，从而确保系统稳定工作。 同时，由于采用 有的动态攻击防御系统， 400 对恶意的海量攻击具有很强的抵御能力，确保了服务器和服务的正常运作。 4 1. 服务器负载均衡 P 利用虚拟 址（ 址和 用的端口组成，它是一个地址）来为用户的一个或多个目标服务器（称为节点：目标服务器的 址和 用的端口组成，它可以是 私网地址）提供服务。因此，它能够为大量的基于 P 连续地对目标服务器进行 理性检查，当用户通过 求目标服务器服务时， P 根椐目标服务器之间性能和网络健康情况，选择性能最佳的服务器响应用户的请求。如果能够充分利用所有的服务器资源，将所有流量均衡的分配到各个服务器，我们就可以有效地避免 不平衡 现象的发生。 一台对流量和内容进行管理分配的设备。它提供 12 种灵活的算法将数据流有效地转发到它所连接的服务器群。而面对用户，只是一台虚拟服务器。用户此时只须记住一台服务器，即虚拟服务器。但他们的数据流却被 活地均衡到所有的服务器。这 12 种算法包括： 轮询（ 顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第 7 层的故障， P 就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。 比率（ 给每个服务器分配一个 加权值为比例，根椐这个比例，把用户的请求分配到每个服务器。当其中某个服务器发生第二到第 7 层的故障， P 就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。 优先权（ 给所有服务器分组，给每个组定义优先权， P 用户的请求，分配给优先级最高的服务器组（在同一组内，采用轮询或比率算法，分配用户的请求）；当最高优先级中所有服务器出现故障， P 才将请求送给次优先级的服务器组。这种方式，实际为用户提供一种热备份的方式。 最少的连接方式（ 传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第 7 层的故障， P 就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。 最快模式（ 传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第 7 层的故障， P 就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。 观察模式（ 连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第 7 层的故障， P 就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。 预测模式（ P 利用收集到的服务器当前的性能指标，进行预测分析，选择一台服务器在下一个时间片内，其性能将达到最佳的服务器相应用户的请求。 (被 P 进行检测 ) 动态性能分配（ P 收集到的应用程序和应用服务器的各项性能参数，动态调整流量分配。 5 动态服务器补充（ :当主服务器群中因故障导致数量减少时，动态地将备份服务器补充至 主服务器群。 服务质量 (按不同的优先级对数据流进行分配。 服务类型 (按不同的服务类型（在 标识）对数据流进行分配。 规则模式：针对不同的数据流设置导向规则，用户可自行编辑流量分配规则， 当出现流量 峰值 时，如果能调配所有服务器的资源同时提供服务，所谓的 峰值堵塞 压力就会由于系统性能的大大提高而明显减弱。由于 秀的负载均衡能力，所有流量会被均衡的转发到各个服务器，即组织所有服务器提供服务。这时，系统性 能等于所有服务器性能的总和，远大于流量 峰值 。这样，即缓解了 峰值堵塞 的压力，又降低了为调整系统性能而增加的投资。 P 提供了基于应用的七层交换技术 , 可以根据任意制订的规则将用户的访问导向到不同的服务器群组 , 例如 , 址 , 的任何标识 (IE ). 6 2. 服务器健康检查 控制器将标准的第二层至第 三层网络技术与创新的第四层至第七层流量管理结合在一起，从而大幅度提高了现有 持 特别是 基础网络检查 层应用检查 DP 展内容查证 一种非常复杂的服务检查，主要用于确认应用程序能否对请求返回对应的数据。如果一个应用对该服务检查做出响应并返回对应的数据，则 P 控制器将该服务器标识为工作良好。如果服务器不能返回相应的数据，则将该服务器标识为宕机。宕机 一旦修复， P 就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。该功能使 P 可以将保护延伸到后端应用 , 如 容及数据库。 P 的 能允许您向 务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询，然后检查返回的响应。这将有助于确认您为客户提供的内容正是其所需要的。 扩展应用验证 于确认运行在某个服务器上的应用能否对客户请求作出响应。为完成这种检查， P 控制器使用一个被称作外部服 务检查者的客户程序，该程序为 P 提供完全客户化的服务检查功能，但它位于 P 控制器的外部。例如，该外部服务检查者可以查证一个 的从后台数据库中取出数据 , 并在 页上显示的应用能否正常工作。 P 提供的非常独特的功能，它提供管理者将 P 客户化后访问各种各样应用的能力，该功能使 P 在提供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要的反馈。 该功能对于电子商务和其它应用至关重要 , 它用于从客户的角度测试您的站点。例如，您可以模拟客户完成交易所需的所有步骤连接到站点、从目录中选择项目以及验证交易使用的信用卡。一旦 P 掌握了该 可用性 信息，即可利用负载平衡使资源达到最高的可用性。 P 已经为测试 务的健康情况和状态，预定义的扩展应用验证 (它有二种用户界面：浏览器和 置。 P 预定义的应用检查： 7 3. 与应用紧密结合的会话保持 P 控制器经过专门设计， 可以为关键业务站点提供高可用性和智能负载平衡。除这些能力外，它经过配置还可以识别用户固定访问特定服务器的要求，以支持用户重新建立到特定服务器的连接。在这些条件下， P 控制器会放弃负载平衡算法以支持对话持续性。 在大多数厂商只能提供非 续性时， 经可以提供 6 种持续性模式：源、服务器、 续性和目的地址相似性。凭借这些选项， P 可以随时准备满足您特殊的网络要求。 以下是对各种模式的简要说明。 源持续性模式 在这一模式下，只要持续性计数器尚未到时，指定流向某虚拟服务器的特定用户流量就会持续流向同一台服务器。每条连接都有其各自的持续性计数器。 80的计数器独立于 80 的计数器。 服务器持续性模式 最终用户请求 连接到 ： 用交换机 的任务 ： 1） 虚拟服务器 #1 0 用交换机 将为该虚拟服务器选择一台可用的服务器。来自源地址的80 流量将流至该服务器，直到计时停止为止。 2） 虚拟服务器 #2 1 （ 用交换机 将为该虚拟服务器选择一台可用的服务器。来自源地址的21 流量将流至该服务器，直到计时停止为止。 3） 虚拟服务器 #3 0 用交换机 将为该虚拟服务器选择一台可用的服务器 （ 不一定是与80 相同的那台 服务器 ） 。来自源地址的80 流量将流至该服务器，直到计时停止为止。 80 流量将继续流至其它服务器。 8 在该模式下，无论使用哪一台虚拟服务器，特定用户流量都将流向同一台服务器，除非 持续性计时器到时 ， 以前被连接到某台服务器上的用户将被连接到一台不包 含该特定服务器的新虚拟服务器上。这时， 用交换机将为这台新的虚拟服务器发送一条到达可用服务器的连接。 最终用户请求 连接到 ： 用交换机 的任务 ： 1） 虚拟服务器 #1 0 用交换机 将为该虚拟服务器选择一台可用的服务器。来自该 源地址的流量将流至该服务器，直到计时停止为止。 2） 虚拟服务器 #2 1 （ 用交换机 将试着将用户连接到步骤 #1 中所用的那台服务器上。 3） 虚拟服务器 #3 001 如果持续性计数器尚未到时 ， 该服务器被定义为虚拟服务器 #3 的服务器 ， 那么无论来自哪个虚拟地址 ， 用户都将被连接至同一台服务器。 9 续性模式 在该模式下，无论使用哪个端口，某用户指定流向某 流量都将流向同一台服务器，除非： 持续性计时器到时 服务器不再可用。在这种情形中 ， 用交换机 将发送一条到该虚拟服务器的其它可用服务器的连接。 续性模式 最终用户请求 连接到 ： 用交换机 的任务 ： 1） 虚拟服务器 #1 0 用交换机 将为该虚拟服务器选择一台可用的服务器。从该源地址流向 任何端口的流量将流至该服务器，直到计时停止为止。 2） 虚拟服务器 #2 1 （ 因为此时用户已经连接到 上 ， 用交换机 将为 择一个可用的服务器 ，并将流 量从源地址引导到被定义为虚拟服务器#2 的服务器。只要持续性计时器还没到时，用交换机都会把流向 任一端口的用户流量引导至该服务器上。 3） 虚拟服务器 #3 001 用户现已连接到端口 80 上。如果持续性计时器还没到时，用户将被连接到口 80 连接所用的同一台服务器上。 10 续性 模式 续性利用客户机存储的 息来把客户机连接到合适的服务器上。 用交换机提供 4 种不同的 续性模式以适应任何应用的要求：重写模式、插入模式、被动模式和散列模式。 在 写模式下，服务器将插入一个 然后 用交换机 将对其进行重写： 首次命中 求（不带有 入 用交换机 用交换机任选一台服务器，将请求发送至该服务器 来自该服务器的 复此时包括一个空白的 用交换机重写 在粘贴 一个特殊的 将 复发送回去。 再次命中 求（带有与上面同样的 入 用交换机 最终用户请求 连接到 ： 用交换机 的任务 1） 用户 1 连接到虚拟服务器 #1。 服务器 #1 确定唯一的 话 使用它来实现流量的 持续性 2） 用户 2 连接到虚拟服务器 #2。 服务器 #2 确定唯一的 话 使用它来实现流量的 持续性 3） 用户 1 连接到虚拟服务器 #1。 服务器 #1 确定唯一的 话 使用它来实现流量的 持续性 11 用交换机借助 息确定合适的服务器 求（带有与上面同样的 入服务器 复（带有空白 回 用交换机，后者将向客户机提供更新后的 续性重写模式 首次命中 求（不带 入 用交换机 用交换机任选一台服务器，将请求发送至该服务器 复（不带 发回 用交换机 用交换机插入 复返回到客户机 再次命中 求（带有与上面同样的 入 用交换机 定合适的服务器 求（带有与上面同 样的 入服务器 12 复（不带有 入 用交换机，后者将为客户机提供更新后的 在被动模式下，服务器使用特定信息来设置 首次命中 求（不带有 入 用交换机 用交换机任选一台服务器，将请求发送至该服务器 复（带有特定 回至 用交换机 用交换机将 复（带有特定 回客户机。 再次命中 发送 求（带有与上面同样的 定合适的服务器 求（带有与上面同样的 入服务器 复（带有特定 回至 用交换机，后者将 复（带有特定 送回客户机。 用交换机 续性模式与 续性模式之间的主要区别在于：对于续性而言，数据存储在客户机上，而不是 用交换机上，因此可充分使用客户机上的无限资源。 即 续性体现在 ，而信息则存储于客户机的磁盘驱动器上。 续性散列模式 该模式只能在 A 控制器和企业上使用。散列模式使您可以通过设定 模式用于将 映射到节点上，之后该值这将用于连接含该 客户机，从而实现了节点的持续性。 目标地址相关性 13 目标地址相关性适用于 P 应用交换机被用于对高速缓存进行负载 平衡的情形。在这种情形中， 用交换机把向相同内容的请求重发到同一 高速缓存上，从而实现高速缓存的高效利 用，并减少服务器阵列中的冗余数据量， 后者可降低整个站点 的运行性能。 举一个简单的例子，用户 2 从 内部网络通过互联网进入 站。高速缓存扮演 站的 存 储箱 角色。此时用户 1 是高速缓存 1 存储 内容。随后当用户 1 决定访问 ，因为高速缓存上已 经存储了所需的信息，因此就实现了更加 快速和高效的访问。 带有对话 续性的优势 当 户与服务器进行首次信息交换以： 1交换安全证书， 2）商议加密和压缩方法， 3）为每条对话建立对话 对话 能 会再次用到。当用户想与该服务器再次建立连接时，它可以通过提供上次会话中的对话 随意指定希望继续以前的某条 服务器同意之后，双方即可跳过信息交换建立起新的会话，该会话将使用与上次会话同样的加密方法，并继续上次的数据包排序，就好象上次会话从未结束一样。通常情况下，服务器将某条 后，服务器将删除这些对话信息。 例如，用户可以建立一条到旅游景点网站的 接并预订房间。旅游景点站点可以将用户的预订信息保存一段时间（如 60 分钟），从而使用户无需重新输入预订信息 即可再次连接到站点上以预付订金。如果旅游景点的网站仅将用户信息存储在进行初始对话的服务器上而不是后端数据库中，那么 用交换机的持续性设置将覆盖负载平衡设置，将用户再次发送到最初的服务器上。如果用户尝试重新建立一条已被遗弃的对话，那么服务器将忽略此请求而仅提供一个新的对话 的对话也将要求进行新的信息交换。 改善总体吞吐能力 延续先前的 这一处理是一项计算密集型任务，执行的次数越多，服务器的总体吞吐能力下降幅度就越大。如果能够跳过 除 网络流量上的额外负载，那么吞吐能力也将因为持续性而大为提高。这将为 14 诸如 协议带来显著改进，它们往往需要向同一台服务器几次建立连接就只是为了传输一个网页。因此， 需要 续性的环境 乍一看来，源持续性似乎与 是，当用户希望与同一台服务器重新建立会话，但两次连接中用户的 址又有所不同时，情况就不一样了。在这种情形中， 用交换机将没有所需的信息以将流量引导至合适的服务器。您可能会发出疑问：那么 我们为什么一定要讨论在与同一台服务器进行的两次会话中用户址发生变化的情形呢？许多网络都会定期更改用户的 址，当用户与 用交换机之间部署有防火墙时更是如此。 当用户的 址发生变化时 许多防火墙都会将网络所用的网络地址转换为一个或多个由防火墙管理的 址。使用这种方式，防火墙可以在不暴露网络内部实际使用的 址的前提下将流量引导至互联网，这时流量上的返回地址就是防火墙地址。反之，防火墙也可把地址转回用户地址，然后发送回受保护网络。同时再通过端口号转换，防火墙即可以在多个用户之间 使用相同的址了。这有时被称为地址重载，可支持网络（位于防火墙之后）使用一个 址与互联网建立上千条连接。 然而，在大型网络中，防火墙可能需要多个 址来分配流量。在使用一个以上防火墙来处理网络流量的情形中，每个防火墙都可以为通过的流量分配一个不同的 址。在这种情形中，防火墙或防火墙阵列可将用户 址转换为针对各条 话的不同地址。 在需要持续性的情形中，地址重载会引发各种问题。如果持续性仅由源地址决定，那么许多个人用户将被引导至一台服务器上，从而导致流量汇集在一台服务器上而不是分散到多 台服务器上。最终结果就是一台服务器过载而其它服务器未得到充分利用，最终用户得到极差的响应体验。 使用 D 持续性可以确保流量的平均分配，即使流量源使用 址重载也同样如此。 D 持续性的实现可以确保用户从关键 总之，源持续性不适用于用户 址改变的使用情形，例如在用户与互联网间部署有使用多个 址的服务器或服务器阵列。 使用带有源持续性的 续性 15 您可以同时使用 P 地址的源持续性，因为 P 地址的持续性拥有更高的优先级 。当自上一次连接后过去的时间超过 续性的时限时，用交换机可能会删除该 D。或者，也许用户的客户机没有对话 忆机制，也删除了该 这些情形中， 用交换机仍可根据基于用户 址的源持续性来将用户引导至同一台服务器。在这种模式中，源持续性用作 续性的后备。 16 4. 动态安全体系防御攻击 硬件平台上运行的 用流量管理软件可为所有基于 应用和 务提供原来只有 用才能享有的流量管理功能。在任何网络环境下， 能通过其功 能强大的通用扩展应用检测 扩展内容检测 服务器进行仔细检测，自动屏蔽故障服务器，以便准确、安全、经济高效地创建和提供所有基于 应用或 务。 确保所有 创建一个可控的执行点以对所有流量进行前瞻性安全控制 使服务器和应用能够及时准确地做出响应 无需额外硬件、软件或其它 轻松适应未来不断变化的业务需求 当大数据流 击进入的时候，服务器可能由于在瞬间接受超过服务器吞吐能力的数据流而直接导致系统崩溃，甚至导致数据丢失或客户资料遗失。而采用 护服务器，通过 确探测服务器的处理能力，从而在服务器处理能力饱和之前自动屏蔽新建链接。超过服务器吞吐能力的链接将在 处于 态，直至有服务器空闲或 与此同时，为进一步防止服务器遭受攻击过载， 用 术可以帮助服务器通知网络， 此时忙，暂停服务 ，然后，网络将停止再向它转发客户请求，而将客户请求继续转发至其它服务器，继续对客户应用请求提供服务。并且，服务器会同时通知 3个中心可用服务器数量减少一台，应相应减 少对这个中心的客户服务请求量。当这台服务器完成所有数据记录的备份后，服务器又会通知 3时它已恢复正常，可以提供服务。这时，系统又恢复原有的正常状态。 在系统的运行过程中，各种各样的变化是不可避免的，靠人工的方法毕竟不是一个灵活的、智能的方式。 帮助系统成为一个 自适应 的系统，使 网络真正感知应用，应用控制网络 。 同时，对于所有对外提供应用的服务器，由于有 供负载均衡，用户无法直接于服务器联系，必须与 建立的虚拟服务器建立链接，所以黑客无法获得服务器的真实 地址，增加了黑客攻击的难度。同时，由于虚拟服务器对外只提供应用服务端口，其余端口不响应且直接 而有效地屏蔽了黑客攻击的第一步 端口扫描。甚至以将虚拟服务器的 应屏蔽，从而使黑客无法 虚拟服务器。由于对外只 17 提供必须的应用端口，因而可以有效地屏蔽第一章常用黑客攻击手段的前四种方式，通过加强对应用服务器的 理可以有效避免黑客利用系统 击的手段。而对于击， 于常用的几种攻击手段，从内核级就予以屏蔽，具体实施如下： 1 该攻击以多个随机的源主机地址向目的主机发送 ，而在收到目的主机的 样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。 策略： 用特有的 有与虚拟服务器建立 请求均由 替服务器响应， 不将 求发送到服务器。只有当用于响应了 真正发送求时， 与服务器建立链接并发送 求。所 以普通的 5 通讯，无法攻击到服务器。而 够轻松支持高达 2,000,000 个会话的吞吐能力，能够应付绝大多数攻击。而如果攻击数量超过 能力， 能将自动启动保护系统自身。 2 根据 P 的规范，一个包的长度最大为 65536 字节。尽管一个包的长度不能超过 65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于 65536 字节的包时，就是受到了 击，该攻击会造成主机的宕机。 策略： 如前所述，在 可以将虚拟服务器的 蔽， 系统根本不响应。其次，虚拟服务器的 应是由 管理进程提供响应，当管理进程繁忙时，系统会自动降低虚拟服务器的 应的优先级甚至不响应，而管理进程与服务器负载均衡是两个完全不同 18 的进程，在 其内存和 用时间是严格分离的，所以 毫不会影响服务器负载均衡，也就是不会影响真正对外的服务响应端口。 3 骗 击 这种攻击利用 来实现。假设现在有一个合法用户 (经同服务 器建立了正常的连接，攻击者构造攻击的 据，伪装自己的 向服务器发送一个带有的 据段。服务器接收到这样的数据后，认为从 送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户 发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。 攻击时，伪造大量的 址，向目标发送 据，使服务器不对合法用户服务。 策略： 如前 1 所述， 有的 段握手作为判断合法用户的依据，同时所有的 不通服务器链接，只有当用户发送求时再与选定的服务器建立链接，所以 是拆除与 立额链接，并不影响合法用户访问服务器。 4 带宽 击 如果黑客的连接带宽足够大而服务器又不是很大，黑客可以通过发送大量请求，来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了，配合上 起实施 力巨大。 策略： 这种攻击发生时，从站点的路由器、交换机、防火墙到服务器的带宽均有可能被占满。所以如 果发生该种攻击，首要的任务是通过 护服务器不要溢出或崩溃。其次，采用 术配合 火墙、交换机、服务器、路由器形成整个系统的联动来予以抵御攻击。 19 5. 自身的高可用性 如前所述， 击主要是利用现有系统对外提供的正常业务服务，通过发送大量的非法数据流来达到阻止业务服务的目的。为了抵御 击，首先必须大力提升系统自身的吞吐能力，至少必须大于可能的 力，否则尽管系统能够抵御攻击，但性能无法满足，同样无法在攻击下保证正常业务，从而使黑客间接达到攻击目的。 为此， 过多年的研发推出精心打造的全新体系构架，大为提升 7 的吞吐性能。 随着企业部署更多的应用（从 统），应用流量管理产品必须能够支持庞大的且不断增加的流量。 以做到。它提供了其它解决方案无法企及的强大处理能力，能够深层检查流量。与分布式体系结构不同的是， 以随时将其全部处理能力集中应用于任何端口，以制定最佳决策。 如此强劲的处理能力，确保了 一般的攻击下仍然能够顺利地完成负载均衡的工作。当然，也会出现攻击 的流量大于 处理能力的情况，如果是其他 设备可能均会发生系统崩溃，甚至是导致网络崩溃。而 内核采用独有的 能，内置的 控程序会自动实时检测整个系统的 用率，如果超过低阀值（ 自动随意丢弃新建链接，如果达到高阀值（ 系统将丢弃所有的新建链接，将所有的攻击屏蔽，以达到保护自身系统的效果，等待 用率下降或攻击流下降时再开启新链接。 下图就是 遭受大量 击下 实时记录图表，可以看到，由于拥有 术，防止了 身在大量攻击下发生崩溃的情况。 20 21 6. 强大的 当 关键应用通过互联网进行部署时，需要采用 往 会 使服务器的 堪重负。 用交换机集成了硬件 够有效地管理通过 进行先进的智能流量管理检查。从而，提供了更强大的性能，并降低了实施安全应用的成本。 用交换机对 正 卸载 理 过 供的强大编程处理能力， 用交换机还可以实现对应用内容有选择性的加密。 同时， 用交换机具有支持三级证书，双向证书认证， 动下载，证书信息透传后台应用服务器等功能特色。 用交换机在基本配置中已经包含了 100 过购买附加的 以将额外 用交换机上激活。最大可以支持15, 000 2G 解密处理能力，足以 满足 务需求和一定时期内的发展。 22 7. 灵活而有效的 广域网访问的网络延时与带宽瓶颈经常给用户的 用的正常访问带来不便，通过在 用交换机上启用 缩功能，可以带来以下好处： 更快的页面下载速度； 更小的带宽消耗 (支持广泛数据类型的压缩：例如 启用带宽压缩所带来的带宽节省可以达到 80%。 客户端自适应的压缩处理能力 (技术专利 )： 用交换机可以通过探测到客户端的 识别用户是通过宽带还是窄带方式上网，然后决定是否要对该用户启用 缩功能。 对用户完全透明，不需要在客户端安装程序： 用交换机采用的压缩算法是目前常用 览器广泛支持的 法，因此对用户完全透明，不需要预先安装客户端解压程序。 23 8. 术 司的产品是业界唯一的可以达到 切换的产品，而且设计极为合理，所有会话通过 设备的同时，会把会话信息通过同步数据线同步到 设备上，保证在 备内也有所有的用户访问会话信息；另外每台设备中的 片通过心跳线监控对方设备的电频，当 备发生故障时， 首先发现，并通知 备接管 P， ，完成 A=B 的切换过程，因为 备中有事先同步好的会话信息，所以可以保持访问的畅通和在线会话的数据。 24 9. F5 i的 为了确保电子商务取得成功，应用和网络必须能够紧密结合。网络通知应用；应用指导网络。这就是 型体系结构的基础。 定义： 联网控制体系结构（图 1）是业界第一个集成的端到端互联网流量、内容和网络管理体系结构，该体系结构可以： 集成网络产品 促进网络与应用间的通信 现在就可使用 它提供了业界最紧密集成的产品套件，利用统一的设备活动协作来对互联网流量和内容部署 /提供进行端到端的控制。它提供了端到端集成所需要的产品间的安全通信，而且还可以通过开放式 品进行编 程，以支持客户与合作伙伴应用间的集成（ 部通信协议）。 图 1：业界第一个集成的端到端互联网流量、应用和网络管理体系结构 这种架构方式克服了多厂商解决方案的最大问题：互操作性和管理复杂性，而且还避免了单厂商套件的最大问题：有限的灵活性、缺乏足够的集成能力（图 3）。这种架构使服务提供商和企业能够： 管理和控制全球范围的互联网流量和内容 部署并实施 策 将政策应用到多种技术上，如防火墙、 备 接收告警并管理关于网络和设备活动的报告 25 保 持适当的系统配置 够使应用与网络流量管理和内容提供基础设施实现直接的互操作。通过放的安全通信协议和 络设备能够与应用进行通信，应用可以控制网络，从而避免出现易于出错的过程和人为干预。 够提供网络产品间安全、加密的互相通信能力，并为无缝应用集成带来了方便，其中包括： (1) 本地流量管理； (2) 分布于全球的流量管理； (3) 将内容部署到远程服务器上； (4) 管理网络中高速缓存提供的内容版本； (5) 显著减少管理分布式网络所需的资源。 客户、合作伙伴及第三方 集成商都可以使用 件开发套件（ 它具有开放式的 着 推出， 明了其对制定和采用开放式互联网流量和内容管理标准的支持。 通过将 业界领先 品相结合使用，可以实施并部署 完整互联网控制体系结构，从而增强了 7 层性能。任何第三方和客户都可以通过 自己的应用与网络系统集成在一起，从而提供无与伦比的 7 层性能。 26 二、 方方 案案 优优 势势 阐阐 述述 1. 拓扑结构的优点 1. 全冗余连接方法 , 绝对保证网络没有单点故 障的存在。 2. 所有网络设备都是可以直接相连，减少网络层次和避免新的单点故障。 3. 比较少的网络层次，避免运行维护时面对的大批网络设备。 4. 灵活的扩展空间，用户可以根据实际的网络流量和压力增加链路带宽，添加防火墙或增加服务器来提高整体的服务水平。 2. 安全机制方面 1. 加密的网络管理，避免明码通讯对网络设备控制时的安全隐患。 2. 旦规定成功 ,服务的 口也就同时确认，除特定服务外，其他的端口就全部被封闭了，保护服务器避免被端口扫描。 3. 在防止 击方面， 供免费的防护 ，特别对 于 旦规定成功就对 做中继处理，避免攻击对服务器的压力。 4. 所有关键业务都 可以 采用 障了用户隐私和安全。 3. 与应用的结合方面 1. 以通过 后台的多层结构的服务器进行健康检查，确保用户的正常访问。 2. 以通过 方式和后台应用服务器实现无缝集合的各种切换。 3. 一套全球唯一的网络产品提供的 可以允许用户根据自己的要求控制网 络设备。 27 三、 相相 关关 产产 品品 介介 绍绍 400 地流量管理器 应用交付低效、迟延和失败都会导致数百万美元的损失，包括预算浪费、公司名誉受损，系统和应用停机、法律责任以及错失良机等。 地流量管理器是一款出色的应用流量管理系统，可提供业内最智能，最具适应性的解决方案来保护、优化和交付应用，从而确保企业能够在保持高效运营的同时提高其竞争力。 它是业内唯一一款包含整套统一应用基础设施服务的系统，将总体控制、可见性以及灵活性出色地融合到应用安全、性能和交付中。优点？ 更高的业务灵敏性和当今企业生命线（应用）的成本实施。 主要优势 可靠性 提供业内最可靠、最先进的系统，以确保应用始终可用。 应用加速 提供无可比拟的控制能力将应用性能提高 3 倍，确保高优先级应用得以优先处理，同时卸载昂贵的服务器循环。 降低服务器和带宽成本 通过丰富的基础设施优化特性将服务器容量增加 3 倍；同时通过智能 缩、带宽管理等特性将带宽成本降低 80%。 增强网络和应用安全性 从拒绝服务（ 护到隐藏、再到过滤应用攻击， 加了多项不能在网络中其它地方实现的关键安全特性。 无可比 拟的应用智能与控制特性 业内唯一一款可提供完整应用流的解决方案 能够以网速进行全面的有效负载检查和基于事件的可编程流量管理，以及时掌握流量信息，并采取相应措施。 面向所有 用的集成解决方案 提供可与所有应用（不仅是基于 协议（ ）相集成的综合解决方案，在单个统一系统内为企业提供了面向所有 用（包括传统应用和诸如 新兴应用）的集中解决方案。 行业领先的性能 提供行业内最快的流量管理解决方案，来保护、交付和优化应用性能。作为行业内当之无愧的领导者，次刷新了 量加密以及最大并发 接的业内记录。 简化管理、提高可见性 全新的图形用户界面（ 大地简化了产品配置，提供了针对流量与插件资源的精细可见性，同时支持配置的批量快速修改。 28 强大的 S 体系结构：完善的应用智能与网络适应性 新型 核心是一款创新体系结构，称为 S（流量管理 /操作系统），它为企业提供了一套统一系统来帮助其实现最佳应用交付。 S 针对 的每项功能都做了改进，在支持 能地适应应用与网络日新月异的需求同时，提供了面向所有服务的 完全可见性、灵活性和控制能力。 S 快速应用代理 S 使 够高效地将客户机与服务器端数据流隔离开来、独立维持每个连接设备的最佳性能，并承担起系统间的通信工作，以改进应用性能。如今，任何与 连的系统或 用都将可以更高效地工作。 通用检查引擎 S 集成了 版定制的 通用检查引擎（ 为应用交易或应用流内任何时刻的应用流量处理都提供了无与伦比的控制能力。凭借完整的有效载荷检查及转换能力、可扩展的事件驱动 及面向会 话层的交换（ 术、 供了业内最智能的流量控制点，以（以网速）解决各种应用交付问题。 一应用基础设施服务 通过易于管理的图形用