南京财经大学F5链路负载均衡解决方案

南京财经大学南京财经大学 F5 Link Controller 多链路负载均衡多链路负载均衡 解决方案解决方案 2 目目 录录 1 项目背景分析 4 1 1 南京财经大学的现状 4 1 2 链路改造后的预期设想 4 2 F5 提供的最佳解决方案 6 2 1 设计结构图 6 2 2 实现原理 6 2 2 1 出站访问 6 2 2 2 入站访问 8 2 2 3 系统切换时间 9 3 解决方案功能介绍 10 3 1 高可用性 10 3 1 1 全面的链路监控能力 10 3 1 2 集合多个监视器 11 3 2 最大带宽和投资回报 12 3 2 1 可节省 WAN 链路成本的压缩模块 12 3 2 2 带宽可扩展性 12 3 2 3 强大的流量分配负载均衡算法 13 3 2 4 链路带宽控制 13 3 2 5 链路成本负载平衡 14 3 3 高级 WAN 链路管理 14 3 3 1 最佳性能链路 14 3 3 2 针对压缩技术的目标流量控制 15 3 3 3 优化的 TCP 性能 15 3 3 4 可编程链路路由 iRule 15 3 3 3 5 流量优先级安排 服务质量 QoS 和配置服务类型 ToS 16 3 4 配置和管理 16 3 4 1 消除 BGP 多归属部署障碍 16 3 4 2 BIG IP 的业界最快双机冗余切换 16 3 4 3 IPv6 网关 17 3 4 4 统计与报告 17 3 5 强化的安全性能 17 3 5 1 智能 SNAT 17 3 5 2 网络安全 18 3 5 3 简单 安全的管理 18 3 6 集成流量管理可扩展性 19 3 6 1 扩展的各类安全设备负载均衡 19 3 6 2 扩展的 SSL 加速适用于校园一卡通等 20 4 相关产品介绍 21 4 1 1 项目背景分析项目背景分析 1 11 1 南京财经大学的现状南京财经大学的现状 南京财经大学校园网建设始于 1997 年 2001 年升级改造 经多年建设已 形成一个运行稳定 可靠的多出口千兆以太网 在出口线路上采用多出口方式 目前采用策略路由进行路由选择来实现与教育网和公网的链接 我校目前网络 架构的拓扑如下图示 目前接入计算机终端约 10000 台 在线用户峰值 7 千左 右 根据学校发展的需要及目前 ISP 运营商所能提供的服务 下一阶段将对出 口进行改造 采用负载均衡设备的方式选择出口线路 目前南京财经大学的出 口线路包括 2 条单模 1000M 链路 cernet 和网通 和 1 条 100M 电缆的电信 拥有电信和网通地址各 64 个 改造后学校的所有访问经过网络安全设备 带宽 管理设备 暂不采购 接到链路均衡设备上 由链路均衡设备与引入的多条出 口线路直接链接 考虑目前学校的的实际需求和目前 ISP 运营商所能提供的服 务 本次出口链路改造需要适当考虑电信 100M 链路的扩展 先增加到 2 条 同时为了今后发展的需要 要留有相应扩充用的具备一定数量的万兆 千兆和 百兆出口接口 1 21 2 链路改造后的预期设想链路改造后的预期设想 改造后要求能实现当一条出口链路发生中断时 能按照设置的优先策略 5 动态地将故障链路流量转移到其它活动链路上 提高外界对学校各种网站的访问速度 是本次增加链路设备的核心需求之 一 能实现多种管理策略和路由策略 在保证链路带宽的情况下 能确实提高 我校的网络运行性能和带宽效率 保证学校进出口通畅 链路负载均衡设备必须具备智能 DNS 解析功能 同时不得改变校园网现 有的 DNS 解析方案 1 31 3 为什么推荐为什么推荐 F5F5 产品产品 对于此次南京财经大学参考品牌中列举的三家厂商 我公司经过仔细对比 慎重考虑之后 选择 F5 公司的产品进行投标 主要是因为 1 3 11 3 1 公司方面公司方面 1 美国著名第三方市场调查机构 Gartner 调查显示 F5 是应用流量管理领域公 认的领导者 2 独立式应用流量管理产品市场份额中 F5 全球市场份额第一 占 38 7 远远大于 Radware 6 和 Array 2 3 F5 全球 1200 员工 研发人员 400 人 多年以来 一直技术创新 引领 技术方向 4 F5 中国 30 人 工程师 10 人 渠道技术支持和服务体系完善 能够为南 京财经大学提供及时 优质的服务能力 6 1 3 21 3 2 产品硬件和性能方面产品硬件和性能方面 1 F5 在第四层流量处理时 使用专门的 ASIC 芯片 流量处理速度和吞吐量都 大大增加 在第三方的测试报告中 其各项性能远高于其他同档次产品 2 F5 在第七层流量处理时 使用 2 8GHz 主频的 CPU 流量处理速度和吞吐 量都大大增加 其他厂家对于第七层的流量处理通常只停留在 HTTP 数据流 上 3 F5 在存储介质方面 同时使用 CF 卡和硬盘 主 OS 运行在 CF 上 在硬盘 上可以备份两个 OS 并且增加日志存储量 系统稳定型提高 同时对于日 后日记审计有所帮助 4 F5 内存大 缺省 2G 可以升级到 4G 可以支持更大的并发会话数 可达 到 200 万以上 5 F5 带有 LCD 液晶屏 可以方便查看流量情况和报警情况 以便巡检 6 F5 内置了 SSL 加速芯片 并附送了 100TPS 并发新建 100SSL 连接 的 License 7 F5 内置了 Watchdog 芯片 支持双机冗余时 硬件检测并触发设备切换 切 换时间可以达到毫秒级 而其他厂商的产品只是基于网络层上的 HA 1 3 31 3 3 产品软件和功能方面产品软件和功能方面 1 F5 缺省支持丰富的软件功能 包括双向链路负载均衡 服务器负载均衡 Qos SSL 卸载和加速 包过滤防火墙和 DOS 防护功能 2 F5 还可以通过软件激活 实现流量压缩 内存 Cache MSM Web 加速等 应用优化功能 3 F5 可以通过软件激活 实现 IPv6 和 IPv4 网关功能 对于 Cernet2 教育网中 IPv6 的部署可以支持 4 在链路负载均衡中 F5 在 Inbound 和 Outbound 链路负载均衡时 使用两套 独立的算法系统 尤其在 Inbound 时 具备近二十种算法 并支持三个优先 级层次选择 这样可以达到最高的正确解析率 5 在服务器负载均衡中 F5 具备业界唯一的可编程流量控制 对于复杂的第 七层流量管理可以更好的支持 6 在服务器负载均衡中 F5 具备丰富的会话保持机制 支持更复杂的应用 7 F5 的 API 二次开发接口 可以更加灵活地跟应用结合 8 F5 管理界面非常友好 便于运维人员配置和维护 2 2 F5F5 提供的最佳解决方案提供的最佳解决方案 2 12 1 设计结构图 设计结构图 7 在多 ISP 接入时 各个 ISP 接入的线路通过防火墙连接到 F5 Link Controller 上 F5 Link Controller 工作在 3 层模式下 可划分为多个 VLAN 分 别连接各个 ISP 线路和内网核心交换机 核心交换机的默认路由指向 F5 Link Controller F5 Link Controller 可设置多个缺省网关 指向各个 ISP 的对端 ip 地 址 来确保多链路之间的高可用性和各 ISP 用户的就近性访问 2 22 2 实现原理实现原理 在学校使用了多条链路后 F5 Link Controller 主要负责出入站连接的高可 用性和智能链路选择 2 2 12 2 1 出站访问出站访问 对于内部办公用户由内向外的出站访问 F5 link controller 可检测到整个 链路中出现的错误 从而能够提供可靠的端到端 WAN 连接 它可以监视每个 连接的运行状态和可用性 实时检测链路或 ISP 的损耗情况 一旦某条链路出 现故障 流量将被动态地传递给其它可用链路 从而确保内部用户对外的访问 继续保持连接 F5 link controller 可设置多个缺省网关 ip 地址 构成 default gateway pool 然后根据所设定的负载均衡算法来为每个出站连接智能的选择某个缺省 8 网关 从而实现出站流量的链路负载均衡 F5 link controller 包括基于静态 IP 地址段或基于响应时间和线路质量计算等多种负载均衡算法 可探测哪条链路 可以为用户提供最佳服务 然后将该用户引导至此链路 确保他们能得到最快 服务及最高质量的连接 完整的数据连接包括 client 向 server 发起的请求数据和 server 向 client 返回 的响应数据 在出站的请求数据根据 lc 的负载均衡算法选择了某条链路后 为 了保证远端被访问的服务器的响应数据也能够从该链路返回 F5 LinkController 使用了 SNAT Automap 技术 此技术保证了请求数据在选择了某个 ISP 链路后 离开 LC 时 会被 NAT 成该 ISP 的 ip 地址 对外发送出去 这样远端被访问的 服务器自然就会把响应数据从该 ISP 线路发送回来 实现了出站连接进出数据 包都使用最优链路 利用 LC 的智能流量管理功能 可替代防火墙的 NAT 功能 并保证流量可以通过与互联网的最佳连接往返发送 2 2 22 2 2 入站访问入站访问 9 对于外部用户对学校内部应用的入站访问 F5 LinkController 可以通过智 能 DNS 解析功能 动态选择最佳链路 将外部用户导向到内部站点中的资源 同时 LC 会随时监测每条链路的状况 当发现任何一条 ISP 链路故障时 都不 会再把该 ISP 的 ip 地址解析给用户 从而保证用户可以 24 7 的访问到学校内 部应用并且提高各地区用户的访问速度 F5 Link Controller 中的 DNS 功能模块将分别绑定多个 ISP 服务商的公网 ip 地址 解析来自互联网用户的地址解析请求 后台服务器则由 BIG IP Link Controller 做成集群并虚拟化成针对 ISP A 的虚拟服务器 Virtual Server 1 和 ISP B 的虚拟服务器 Virtual Server 2 等 这样对于每个用户到来的请求 BIG IP Link Controller 都会分别检测后台服务器的状态并选择最佳的链路提供服务 达 到用户的就近性访问及服务器的负载均衡 同时 LC 还具备 lasthop 技术 保证 了服务器的响应数据会从请求数据的进入链路返回 Link Controller 在回应客 户的 DNS 解析请求时 可以采用 15 种动态或者静态的负载均衡算法 从而达 到入站流量的多链路动态负载均衡的效果 10 2 2 32 2 3 系统切换时间系统切换时间 在采用 DNS 实现链路切换时 系统的切换时间主要取决于每个域名的 TTL 时间设置 在 LinkControl 系统里 每个域名如 均可设置对 应的 TTL 生存时间 在用户的 LocalDNS 得到域名解析纪录后 将在本地在 TTL 设定时间内将该域名解析对应纪录进行 Cache 在 Cache 期间所有到该 LocalDNS 上进行域名解析的用户均将获得该纪录 在 TTL 时间 timeout 之后 如果有用户到 LocalDNS 上请求解析 则此 LocalDNS 将重新发起一次请求到 LinkController 上获得相应纪录 因此 当单条线路出现故障时 LinkController 将在系统定义的检查间隔 该时间可自行定义 内检查到线路的故障 并只解析正常的线路侧地址 但 此时在 LocalDNS 上可能还有未过时的 Cache 纪录 在 TTL 时间 timeout 之后 该 LocalDNS 重新发起请求的时候就将从 LinkController 上获得正确的解析 从 11 而引导用户通过正常的线路进行访问 系统检测间隔加上 TTL 时间之和则为系 统切换的最长时间 通常 系统检测间隔设置为 60 秒 而 TTL 时间设置为 300 秒 所以系统切换的最长时间为 6 分钟 3 3 解决方案功能介绍解决方案功能介绍 3 13 1 高可用性高可用性 Link Controller 可检测到整个链路中出现的错误 从而能够提供可靠的端到 端 WAN 连接 它可以监视每个连接的运行状态和可用性 实时检测链路或 ISP 的损耗情况 一旦出现故障 流量将被动态地传递给其它可用链路 从而 确保用户及外部客户继续保持连接 3 1 13 1 1 全面的链路监控能力全面的链路监控能力 如何有效地确定链路 服务器 应用 内容的状态 是提高系统可靠性 的关键 LC 利用其独到的 高效的 健康检测 手段 识别链路 服务器 应用 内容的状态 它们包括 服务器逻辑连接状态检测 ICMP 应用类型状态检测 TCP UDP 扩展内容查证 ECV Extended Content Verification ECV 是一种非常复 多种服务器状态监测手段多种服务器状态监测手段 服务器 Node Ping ICMP 服务 Port Connect 扩展的应用验证 EAV 扩展的内容验证 ECV 频度 e g 10seconds 响应 e g 5seconds 12 杂的服务检查 主要用于确认应用程序能否对请求返回对应的数据 如 果一个应用对该服务检查作出响应并返回对应的数据 则 BIGIP 控制器 将该服务器标识为工作良好 如果服务器不能返回相应的数据 则将该 服务器标识为宕机 宕机一旦修复 BIGIP 就会自动查证应用已能对客 户请求作出正确响应并恢复向该服务器传送 该功能使 BIGIP 可以将保 护延伸到后端应用如 Web 内容及数据库 BIGIP 的 ECV 功能允许您向 Web 服务器 防火墙 缓存服务器 代理服务器和其它透明设备发送查 询 然后检查返回的响应 这将有助于确认您为客户提供的内容正是其 所需要的 扩展应用查证 EAV Extended Application Verification EAV 是另一种服 务检查 用于确认运行在某个服务器上的应用能否对客户请求作出响应 为完成这种检查 BIGIP 控制器使用一个被称作外部服务检查者的客户 程序 该程序为 BIGIP 提供完全客户化的服务检查功能 但它位于 BIGIP 控制器的外部 例如 该外部服务检查者可以查证一个从后台数 据库中取出数据的应用能否正常工作 EAV 是 BIGIP 提供的非常独特的 功能 它提供管理者将 BIGIP 客户化后访问各种各样应用的能力 该功 能使 BIGIP 在提供标准的可用性查证之外能获得服务器 应用及内容可 用性等最重要的反馈 该功能对于提高系统可靠性至关重要 它用于从 客户的角度测试您的站点 例如 您可以模拟客户完成交易所需的所有 步骤 连接到前置服务器或中间件服务器 从目录中选择项目以及验证 交易使用的信用卡 一旦 BIGIP 掌握了该 可用性 信息 即可利用负载 平衡使资源达到最高的可用性 BIGIP 已经为测试多种服务的健康情况 和状态 预定义了扩展应用验证 EAV 如 FTP NNTP SMTP POP3 和 MSSQL 等 用户还可依据实际应用 自行编辑 EAV 脚本 Transparent 检测方式 Transparent 检测方式保证了 LC 的健康检查 可以通过被检察对象而不只是到达被检察对象 这种方式在链路负载均 衡中极为重要 它保证了整条链路的可用性而不只是对端路由器的可用 性 3 1 23 1 2 集合多个监视器集合多个监视器 多个监视器共同工作 能够迅速准确地确定链路的状态及可用性 例如用户 13 可以设置透过某 ISP 的路由器同时去检查 sina 工行等各类学校的多个 web 网站 只有当所有这些网站都无法检测通过时 LC 才会认为该链路已经 DOWN 掉 然后 Link Controller 可以重新为流量选择路径 传递到其它可用链路 从而继 续保持客户连接 避免出现停机影响 3 23 2 最大带宽和投资回报最大带宽和投资回报 3 2 13 2 1 可节省可节省 WANWAN 链路成本的压缩模块链路成本的压缩模块 BIG IP Link Controller 的可选压缩模块使您可以智能压缩 http 流量 将 Http 的响应数据以标准的压缩算法 Deflate 或 Gzip 方式进行压缩 一般的情况可以 减少 40 80 的数据流量 降低数据流对 WAN 带宽的要求以节省 ISP 成本 同时解决带宽瓶颈以加快应用交付速度 标准浏览器都可提供支持 IE 5 0 Netscape 4 0 解压缩功能 通过对面向不同连接类型的链路带宽实行精细 控制 将可以有效提升客户体验 并能够实现更高效的 WAN 链路管理和改进 的生产效率 您可以基于文档类型 流量类型和其它网络条件 如往返时间 配置灵活且可调整的压缩引擎 3 2 23 2 2 带宽可扩展性带宽可扩展性 14 Link Controller 支持 port channel 技术 因此不论您使用何种链路类型或哪一 家服务提供商的服务 BIG IP Link Controller 都能够支持将小型经济型线路进 行高效的整合 以提供成本更低的带宽冗余 同时将花在暗光纤或闲置备用线 路上的费用降至最低 3 2 33 2 3 强大的流量分配负载均衡算法强大的流量分配负载均衡算法 BIG IP Link Controller 提供了业内最先进的链路流量分配能力 能够满足最 繁忙站点的需求 轮循 往返时间 全局可用性 中继 静态持续性 数据包完成率 拓扑 用户定义的服务质量 QoS 虚拟服务器容量 动态比率 最少连接 随机 包速率 比率 传输速率 3 2 43 2 4 链路带宽控制链路带宽控制 BIG IP Link Controller 可根据所有网络 2 到 7 层的方法 对网络上的应用流 量进行分类控制 随着与网络流量有关的复杂性不断增加 因此应运而生的高 级分类技术变得非常重要 而简单的 IP 地址或静态端口方案便相形见绌了 LC 可检测动态或变动式端口分配的变化 区别使用同一端口的应用 并采用第 七层应用标识来识别不同应用 从而对不同应用进行动态控制 可允许您根据 实时的流量与吞吐率来确定和控制流量在链路上的分配方式 这将可以提高性 能和增加包含线路冗余在内的可用带宽 同时消除链路饱和的风险 当某条链 路接近其容量极限时 流量将被转至相对宽松的链路上去 从而提高站点的整 15 体性能 3 2 53 2 5 链路成本负载平衡链路成本负载平衡 BIG IP Link Controller 能够支持您为通往数据中心的所有流量选择最低成本 连接 将流量导入花费最低的链路 从而将带宽投资降至最低 最大限度地提高不同连接的带宽 包括可变成本线路 以消除带宽瓶 颈 同时最大限度地减少低效带宽利用情况和相关成本 支持 ISP 计费模式 包括一次性付费 零散计费和突发性计费 支持单向或双向计费 3 33 3 高级高级 WANWAN 链路管理链路管理 3 3 13 3 1 最佳性能链路最佳性能链路 BIG IP Link Controller通过使用往返时间和线路质量计算 可测试哪条链 16 路可以为用户提供最佳服务 然后将该用户引导至此链路 确保他们能得到最 快服务及最高质量的连接 另外LC还可以根据用户端的静态ip地址来为用户选 择对应的ISP线路 从而实现最安全和最稳定的链路选择 3 3 23 3 2 针对压缩技术的目标流量控制针对压缩技术的目标流量控制 如果不在具体用户类型 宽带用户 拨号用户等 的基础上控制流量压缩 工作 将会对应用性能及客户体验产生负面影响 通过使用使用往返时间及线 路质量计算 BIG IP Link Controller能够动态计算出用户延迟和带宽吞吐率 为能够从中受益最大的用户提供更多的压缩资源 3 3 33 3 3 优化的优化的 TCPTCP 性能性能 TCP 协议的低效会产生不必要的干扰 进而对链路的带宽利用产生不利影 响 BIG IP Link Controller利用 TCP Express 来克服 TCP 协议的低效情况 同时提供了以下功能 WAN 链路的有效带宽利用 以较低的带宽费用覆盖长距离的通道 为关键任务应用安排可用带宽优先级 通过 WAN 为拨号和宽带用户提高端对端性能 在部署全新应用时更为灵活 无需部署多台设备 降低了总拥有成本 3 3 43 3 4 可编程链路路由可编程链路路由 iRule iRule BIG IP Link Controller使您能够根据诸如源 IP 地址 目标 IP 地址和端 口等 TCP IP 参数 在多条 WAN 链路上智能路由流量 借助 iRule 您可在 根据应用类型 服务质量和客户类型制定策略 以在最佳链路上分配流量 进 而提高应用性能和提升客户体验 17 3 3 53 3 5 流量优先级安排 服务质量流量优先级安排 服务质量 QoS QoS 和配置服务类型和配置服务类型 ToS ToS BIG IP Link Controller支持各种流量优先级安排特性 学校可根据 QoS 和 ToS 对其关键流量或应用做出定义 进而对上游路由器进行特殊处理 这 就确保了具有较高优先级的流量可以优先路由 3 43 4 配置和管理配置和管理 3 4 13 4 1 消除消除 BGPBGP 多归属部署障碍多归属部署障碍 BIG IP Link Controller可借助边界网关协议 BGP 消除部署障碍 并降低 多归属网络的部署成本 借助 BIG IP Link Controller 您无需再购买大型路由 器 与 ISP 进行协作或安排专门的人员和 IP 地址来运行 BGP 同时仍能够 将流量导向至最佳路由路径 BIG IP Link Controller可显著改善多归属环境的 流量引导性能 并可提供 面向学校内外用户的双向流量控制 自动 即时 ISP 响应及链路故障切换 无需等待部署路由变动 流量将被路由至最佳路径 从而优化了带宽利用率 基于线路容量的流量分配 带来了更高的带宽可扩展性 3 4 23 4 2 BIG IPBIG IP 的业界最快双机的业界最快双机冗余切换冗余切换 18 两台BIG IP能工作在HA方式下 支持Active Active Active Standby工 作方式 当BIG IP产生从当前活动的BIG ip控制器到备用BIG IP控制器的自动故障 切换时 镜像连接为当前的连接提供无缝故障恢复保护 例如 如果客户正在 使用FTP传输较大的文件过程中 BIG IP发生从当前活动设备到备用设备的故 障恢复 则FTP文件传输将继续进行 不会中断 BIG IP除了基于硬件连线故障恢复之外 BIG ip还提供基于网络的故障恢 复功能 从而允许不在同一位置的一对BIG ip控制器实现冗余功能 进一步强 化了管理 BIG IP基于硬连线的故障切换时间 200毫秒 BIG IP基于网络的故障切换时间 3秒 3 4 33 4 3 IPv6IPv6 网关网关 如果学校欲移植至 IPv6 BIG IP Link Controller是进行叉车式升级 forklift upgrade 的经济高效的选择 通过采用 BIG IP Link Controller和可选 的 IPv6 模块 您可在提供 IPv4 服务的同时访问 IPv6 客户 并在不增加网 络负载的情况下实现两者之间的转换 3 4 43 4 4 统计与报告统计与报告 实时报告和历史记录报告可评估站点流量模式 相对 ISP 性能 以及预 计的带宽计费周期 从而使您能够轻松监控带宽资源 作出明智的业务决策 3 53 5 强化的安全性能强化的安全性能 3 5 13 5 1 智能智能 SNATSNAT 借助 BIG IP Link Controller的 iSNAT 功能 您可以保存端口资源和转换 内部地址 通过使用 iSNAT 您可以基于诸如客户机地址和目标服务器端口编 19 号等 TCP IP 参数从众多转换地址中灵活选择 从而确保服务器地址不会暴露 给外部环境 BIG IP Link Controller能够通过屏蔽内部地址保留端口资源和保 护站点资源 同时还可通过更高的流量类型透明度来改进运营效率 3 5 23 5 2 网络安全网络安全 BIG IP Link Controller是缺省拒绝设备 它可增加额外的安全保护层 从 而杜绝普通网络攻击 BIG IP Link Controller能够 在面向命令行的 Secure Shell 安全外壳 SSH 或面向浏览器管理的 SSL 的基础上 进行安全远程管理 消除闲置连接 防止拒绝服务攻击 执行源路由跟踪 防止 IP 欺骗 拒绝没有 ACK 缓冲的未确认 SYN 防止 SYN Floods 溢满攻击 攻击 防止诸如 WinNuke Sub7 和 Back Orifice 等片段储存攻击 保护自己和服务器免受 ICMP 攻击 不运行 SMTPd FTPd Telnetd 或其它任何易受攻击的进程 检测任意受到非法访问尝试的服务和端口 包括 频率 尝试次数 端口 被攻击的端口 IP 地址 攻击者的源 IP 地址 3 5 33 5 3 简单 安全的管理简单 安全的管理 BIG IP Link Controller提供了一个直观的用户界面 支持通过一个界面浏 览全部链路资源 进而高效管理 WAN 链路 排序和搜索功能使您能够更快地 访问链路对象 从而进行精确控制 唯一的链路对象名称可减少管理时间 并 帮助您围绕业务策略构建基础设施 20 3 63 6 集成流量管理可扩展性集成流量管理可扩展性 3 6 13 6 1 扩展的各类安全设备负载均衡扩展的各类安全设备负载均衡 您可以进一步扩展 BIG IP Link Controller 以满足 DMZ 内广泛的流量管 理需求 凭借强大的集成功能和可升级平台 BIG IP Link Controller是市场上 唯一一款能够提供可扩展解决方案的产品 其特性包括 集成防火墙负载平衡 为冗余防火墙部署提供了更高的可用性 集成第 4 层和基础服务器负载平衡 能够在服务器阵列中高效地分配 流量 集成安全性 能够帮助站点有效抵御普通攻击 可升级至增强的第 4 7 层本地流量管理服务器套件 完整的 F5 BIG IP 应用流量管理产品能力 和高级安全过滤功能 考虑到绝大多数的防火墙只能达到线速的 30 吞吐能力 故要使系统达 到设计要求的线速处理能力 必须添加多台防火墙 以满足系统要求 然而 防火墙必须要求数据同进同出 否则数据将被拒绝 如何解决防火墙的负载均 衡问