F产品技术售前培训资料PPT课件

F5产品技术售前培训资料 F5UADN及技术介绍产品线配置及注意事项售后服务成功案例 Agenda F5UADN介绍unifiedapplicationdeliverynetwork 3 总部员工LAN WLAN CloudServices HostedApplications SAAS AppsandDataintheBranch CorporateDataCenter 远程接入的员工 移动员工Mobile 分部的员工LAN WLAN 客户 合作伙伴或供应商 IT架构的困扰 业务感知型的应用交付网络 应用交付应用高可用应用优化优化应用缩减CAPEX OPEX F5的目标 统一的应用和数据交付 F5虚拟架构下的数据中心 6 PC Home PC LAN WLAN Phone Remote WAN DataCenter LinkVirtualization GTM LC PDA F5与企业解决方案一览 7 分支机构 EnterpriseManager Firewalls BIG IPGlobalTrafficManager InternetorWAN 总部生产数据中心 BIG IPLocalTrafficManager 移动用户 FirePass BIG IPLinkController BIG IPApplicationSecurityManager BIG IPWebAccelerator DMZ OFM 10gASPortal EBS RAC F5TMOS F5TMOS Firewalls BIG IPGlobalTrafficManager 灾备数据中心 BIG IPLocalTrafficManager FirePass BIG IPLinkController DMZ OraclePortal OracleE BusinessSuiteApplications RAC F5TMOS Psft Siebel BIG IPWebAccelerator 高可用性增强 8 高可用性的四个层面 9 服务高可用 性能高可用 站点高可用 运维高可用 通过基于应用层面的健康检查 判断服务的工作状态 避免通过进程检查方式无法准确判断真实服务状态的问题 通过对提供同样应用的服务实例进行负载均衡处理 实现对外统一服务 对内将请求分发到多个应用实例上 提高系统的处理能力 减小应用响应时间 通过站点间动态客户调度系统 实现多数据中心灾备模式 多主模式的运行 实现站点高可用 通过本地负载均衡和广域网负载均衡处理 屏蔽用户端对真实服务的感知 使系统运维可以实时 在线进行 应用高可用需求 F5解决方案 应用负载均衡工作原理 BIGIPLTM对外提供一个虚拟的应用服务器 接收所有的客户端请求BIGIPLTM通过负载均衡算法处理 将客户端请求转发到后台的多个应用实例BIGIPLTM内置可编程控制接口 可以对流量进行编程控制处理BIGIPLTM通过应用健康检查 准确的判断应用程序的工作和服务状态 一旦发现应用不能提供服务 则将其从负载均衡组中摘除 10 VirtualServer Network Application Application 负载均衡处理可编程控制应用健康检查 BIG IPLTM Domain Server1 Server2 Web APP 多层结构大型部署 11 WebServer BIG IPLTM WebServer WebServer APPServer BIG IPLTM APPServer APPServer Network 根据部署的规模可选独立设备或者BIG IPLTM上的模块 WebAccelerator ApplicationSecurityManager 在大型部署结构中 通常分为两个层面分别实现负载均衡部署WebServer主要用于提供静态内容APPServer主要用于提供动态内容F5同时提供完备的应用加速和应用安全解决方案 选择更为优化的负载均衡算法 对于JAVA DotNet应用系统 为达到最佳系统性能 需要逐步增加访问客户端 因此采用SlowRampup模式来保护刚启动或者是刚恢复的服务器剧烈的流量颠簸状态会导致系统性能急剧下降 因此采用Predictive或者observe算法将使分配到服务器的流量更加平稳 12 运行时间 并发用户 应用启动 典型工作状态 服务器慢启动 最小连接数 基于URI的七层交换 13 index htm a gif b gif c jsp index htm a gif b gif c jsp HTMLserverpool GIFserverpool JSPserverpool 基于Object类型进行交换 基于URI目录结构进行交换 Client WebServer WebServer JSPServer Client Client abc a jsp abc cde b jsp WebLogic cde WebLogic WebLogic WebLogic Application1 VS Start with abc Pool1Start with cde Pool2 Application2 BIG IPLTM BIG IPLTM 基于iRules的可编程控制 通过事件触发机制 Rules可以处理流量在BIG IPLTM内部处理的整个过程 14 SSL Compression ClientSide ServerSide TCPExpress Server TCPExpress Caching Microkernel VirtualServer iRules Client iControlAPI TCPProxy OneConnect XML RateShaping TrafficShield WebAccel 3rdParty 基于iRules的可编程控制 15 whenCLIENT ACCEPTED setadd persist1 whenHTTP RESPONSE if HTTP cookieexists JSESSIONID and add persist persistadduie HTTP cookieJSESSIONID setadd persist0 whenHTTP REQUEST setjsess findstr HTTP uri jsessionid 1163 if jsess persistuie jsess 基于JessionID的会话保持 whenCLIENTSSL CLIENTCERT setssl status0 X509 verify cert error string SSL verify result setssl cert0 SSL cert0 setssl stuff0 list ssl status0 ssl cert0 sessionaddssl SSL sessionid ssl stuff0180 whenHTTP REQUEST setssl stuff sessionlookupssl SSL sessionid setssl status lindex ssl stuff0 if ssl statuseq ok setssl cert lindex ssl stuff1 setssl cert content findstr X509 whole ssl cert BEGINCERTIFICATE 27 ENDCERTIFICATE setspace count0setssl cert for wl setssl cert fragment lindex ssl cert content0 while ssl cert fragment appendssl cert for wl ssl cert fragmentincrspace countsetssl cert fragment lindex ssl cert content space count HTTP headerinsertWL Proxy SSL true HTTP headerinsertWL Proxy Client Cert ssl cert for wlHTTP headerinsertWL Proxy Client IP IP client addr else HTTP redirect SSLOffload证书解析和关键信息插入 whenHTTP REQUEST if HTTP uri starts with Portal poolpool1 elseif HTTP uri starts with CoperateBank poolpool2 elseif HTTP uri starts with Personalbank poolpool3 基于URI的七层交换 基于iRules的可编程控制 16 集中交易保证 正向错误处理 ruleredirect error code whenHTTP REQUEST setmy uri HTTP uri whenHTTP RESPONSE if HTTP status 500 HTTP redirecthttp 192 168 33 131 my uri whenHTTP REQUEST www A com domain A com company Aregexp w com HTTP host domaincompanyIf ne company lookforthesecondstringinthedatagroupsetmapping findclass company valid company mappings if ne mapping HTTP redirect http www my Host到URI对应 通过重定向快速存取数据 ruleprotect content whenHTTP RESPONSE DATA setpayload HTTP payload HTTP payloadlength FindandreplaceSSNnumbers regsub all d 3 d 2 d 4 payload xxx xx xxxx new response Replaceonlyifnecessary if new response 0 HTTP payloadreplace0 HTTP payloadlength new response 集中数据保护 重写 删除 阻止或者Log关键内容 服务健康状态检查 BIG IPLTM的Monitor以固定的间隔时间检查应用的真实健康状态一旦发现应用的响应失败或者不正常 则将其从负载均衡组中摘除应用级的健康检查避免了HA软件依靠进程状态进行健康检查的问题 17 WebLogic WebLogic GET monitor test jspHTTP1 1Host BIG IPLTM 建立多应用动态架构集群 18 Application Application Application Application Network Start with abc Pool1Start with cde Pool2 ApplicationCluster1 ApplicationCluster2 单一VS对外提供服务 BIG IPLTM 根据部署的规模可选独立设备或者BIGIPLTM上的模块 WebAccelerator ApplicationSecurityManager 互联网多链路接入 19 Application Application EnterpriseApplication 互联网 ISP1 ISP2 BIG IPLC BIG IPLinkController可以实现多链路接入处理 有效的解决了运营商之间的互联互通导致的用户访问速度慢 丢包等网络层问题 客户端只需要访问统一的域名即可 BIG IPLC会智能的引导客户端通过最佳的链路访问后台的应用系统 保证在正常情况下的最佳客户体验当某一条链路出现故障的时候 BIG IPLC会判断链路的故障 从而将所有的用户引导到仍然可以对外提供服务的链路上 保证业务的持续运行 城域网和广域网冗灾系统建设 20 Application Application EnterpriseApplication 互联网 ISP1 ISP2 BIG IPLTM LC Application Application EnterpriseApplication ISP3 ISP4 BIG IPLC BIG IPGTM BIG IPGTM 系统安全性增强 21 安全的4个层面 22 网络层安全FullProxy运行模式 协议层安全完整的协议符合性检查 被动安全模式通过可动态更新的特征判断 主动安全模式定义数据流程的允许访问策略 采用代理模式运行 双TCP堆栈 可以阻止任何的网络层面攻击 可对HTTP SMTP FTP等协议在协议层面上进行严格检查 对于不符合协议规范的请求一律拒绝访问 通过速率限制防止应用层DDOS攻击 内置动态可更新的攻击特征代码 对请求内容进行分析 防止通用型攻击手段 通过应用访问流程制定 用户提交信息分析等策略 只放过在安全策略定义范围内的客户端请求 对不认识的请求一律拒绝 攻击危险程度 安全防护级别 应用安全需求 F5解决方案 网络层安全 FullProxy工作模式 23 ClientSideTCPStack ServerSideTCPStack 客户端 客户端 客户端 客户端 VirtualServersPoolsProfilesiRulesTMOS 服务器 服务器 服务器 服务器 传输数据 TCP连接 TCP连接 TCP连接 TCP连接 TCP连接 TCP连接 TCP连接 TCP连接 黑客 SYNFlood ACKFlood RSTFlood FullProxy模式下 绝大部分的网络层攻击无法穿越BIG IPLTM 协议层安全 强制协议规范符合 24 被动安全模式 动态更新攻击代码特征库 25 主动安全模式 基于应用流程防护 26 Shouldthisbeaviolation Theusermayhavebookmarkedthepage Unnecessarilyenforcingflowcanleadtofalsepositives Thispartofthesiteisafinancialtransactionthatrequiresauthentication weshouldenforcestrictflowandparametervalidation FromAcc Transfer Amount ToAcc Password Username 远程SSLVPN安全接入 27 Internet Laptop MobileDevice Partner CRM Portal 动态策略 后端访问 任何用户任何设备 Kiosk SecuredbySSL FirePassSecurityAccessManager ERP Finance HR SSL加密通道提供高级别安全加密支持几十个到上万个客户端同时接入同时支持B S访问和C S访问双向数据传输压缩完善的多链路接入支持能力 系统快速增强 28 应用加速的三个层面 29 应用层卸载 服务器卸载 网络层卸载 通过动态Cache减小应用服务器和数据库计算压力 通过MutiConnect提高浏览器并行处理能力 通过PDF线性化提升PDF内容显示速度 通过静态Cache减小服务器数据输出压力 OneConnect减小服务器对TCP连接建立和撤销的压力 带宽控制和链接数限制防止服务器过载 硬件SSL和压缩卸载使服务器更加关注于应用逻辑处理 应用加速需求 F5解决方案 通过IBR消除重复下载对象 内容通过HTTP压缩对明文数据进行压缩处理 减小带宽占用 SSLOffload降低服务器压力 30 Network Application Application BIG IPLTM Domain Server1 Server2 CRLDPAuth OCSPAuth SSL加密通道提供高级别安全加密支持百万级客户端同时接入完善的SSL证书验证体系支持卸载服务器SSL处理性能问题 RamCache降低服务器压力 31 HTTP内存高速缓存 images a gif 客户端 客户端 TMOS 服务器 Get images a gif HTTP200a gif 客户端 Get images a gif HTTP200a gif Get images a gif HTTP200a gif Get images a gif HTTP200a gif BIG IPLTM内置RamCache功能 可以将BIG IP的内存使用为高速缓存空间RamCache特别针对诸如首页元素之类的大访问量请求当WebContainer合EJBContainer采用同一台物理服务器的时候特别有效使服务器更加专注于处理应用逻辑和客户端展现 客户端 Get images a gif HTTP200a gif 动态页面缓存降低服务器压力 32 客户端 WebServer AppServer DB 互联网 Get main info jsp id 1Response goodnews Get main info jsp id 1Response goodnews Select id 1 fromnewsdbResult goodnews 客户端 WebServer AppServer DB Get main info jsp id 1Response goodnews Select id 1 fromnewsdbResult goodnews Get main info jsp id 1Response goodnews 客户端 Get main info jsp id 1Response goodnews main info jsp id 1Content goodnews SmartCacheTMOS main info jsp id 2Content badnews BIG IPWebAccelerator模块具备动态页面Cache能力 可以将动态页面按照不同的QueryParameter进行缓存 有效的减轻后台App和DB的运算和查询计算需求主要针对新闻发布类型的页面有效 不能对交易类型页面进行缓存 传统的动态页面访问流程 动态页面缓存开启之后的访问流程 OneConnect降低服务器压力 33 HTTP1 1 客户端 客户端 客户端 客户端 HTTP1 1 HTTP1 1 HTTP1 1 HTTP1 1 Application Server BIG IPLTM F5BIG IPLTM强大的应用层交换引擎 可以对多个客户端的TCP连接进行合并 通过少量的长连接与后台应用通讯适合于大并发量的系统使用 尤其对于基于JVM的应用系统 可以有效的降低系统在频繁建立和关闭TCP连接时所带来的巨大开销完全兼容HTTP1 1标准协议 对后台应用透明 IBR减小客户端请求数量 Compression Cache ServersendsNoCacheExpireorVeryShortExpire 应用策略 计算对象的PVCode并设置相应的客户端Cache失效时间 Cache 应用对象客户端Cache失效时间 直接从本地硬盘读取 客户端 WebServer WebServer 客户端 WebServer 客户端 第一次请求 第二次请求 后续请求 WebAccelerator使客户端浏览器重复使用可缓存的内容 无需下载客户端软件 无需改变浏览器 保持内容刷新度 HTTP压缩处理提高页面打开速度 35 压缩数据 Ygh gThkjdf 明文数据 2234234234234234234234James2342342342342356567983738627 客户端 WebServer F5BIG IPLTM采用业界标准gzip deflate压缩算法高端平台内置有硬件压缩芯片 可达到上Gbps的实时数据压缩处理通常情况下对文本型内容可实现80 以上的压缩率通过 Response 100KB Response 20KB 系统可管理性增强 36 OracleEnterpriseManager 37 MicrosoftSystemCenterOperationManager 38 动态企业数据中心架构 云计算 39 监控F5BIG IPLTM收集LTM上的数据和配置变化在数据达到阀值或健康检查变化的时候提供警告提供对数据的报表提供远程代理程序支持数据收集 Zone Zone Zone Zone F5iControlWebServices 系统监控节点Up Down监控自动资源规划动态调配资源 门户 基础应用系统配置模板 40 应用加速配置模板 41 应用安全配置模板 42 F5产品线介绍 配置指南 43 F5产品选购指南 功能模块选择 基本系统 BIGIPLocalTrafficManager 1600 3600 6900 8900 负载均衡 iRules RamCache SSLoffload HTTP压缩 网络层安全Web应用加速 WebAccelerator WAModule WA3600 Module IBR 动态页面Cache HTTP压缩 3600以上平台支持独立设备 iRules SSLoffload RamCache HTTP压缩 IBR 动态页面Cache 网络层安全Web应用安全 ProtocolSecurityManager ApplicationSecurityManager PSMModule ASMModule ASM3600 ASM6900 PSM 协议层安全 只能以模块方式添加在LTM上 不进行阻断工作的模式免费在LTM中提供 3600以上平台支持ASMModule 网络层安全 协议层安全 基于特征代码防护和应用流程安全控制 3600以上平台支持ASM独立设备 iRules 网络层安全 协议层安全 基于特征代码防护和应用流程安全控制 44 F5产品选购指南 功能模块选择 cont SSLVPN远程安全接入 SecurityAccessManager Firepass1200 4300 SAM4300 以独立设备方式提供 Firepass适合于小规模客户 2000并发以下 SAM适合于大规模用户接入 2000以上 多链路接入 BIGIPLinkController LCModule LC1600 可以以模块方式添加在LTM上可以是独立的设备广域网冗灾 多中心建设 BIGIPGlobalTrafficManager GTMModule GTM1600 GTM3600 可以以模块方式添加在LTM上通常使用独立设备 45 BIG IP平台系列 46 Price Function Performance VIPRION BIG IP3600 DualcoreCPU810 100 1000 2x1GBSFP1x160GBHD 8GBCF4GBmemorySSL 10KTPS 2Gbbulk1Gbpsmaxsoftwarecompression2GbpsTraffic1AdvancedProductModule BIG IP8900 BIG IP1600 DualcoreCPU410 100 1000 2x1GBSFP1x160GBHD4GBmemorySSL 5KTPS 1GbBulk1Gbpsmaxsoftwarecompression1GbpsTraffic1BasicProductModule 2xDualcoreCPU1610 100 1000 8x1GBSFP2x320GBHD S WRAID