多链路及服务器负载均衡

多链路及服务器负载均衡方案建议书目录一概述3二用户需求32.1 系统总体目标32.2系统功能需求42.3系统性能需求52.4 系统安全性需求52.5 可管理性需求52.6 网络安全需求6三 需求分析63.1 多链路的负载均衡和冗余63.2 系统高可用性73.3 高度的安全性73.4 系统管理83.5 其它9四方案设计94.1 网络拓扑图94.2方案设计描述10五关键技术介绍125.1 链路负载均衡技术特点125.1.1 LinkController工作原理125.1.2 链路负载均衡算法125.1.3 链路健康检查135.1.4 UIE + iRules145.1.5 带宽管理155.1.6 HTTP流量压缩155.1.7 设备自身冗余机制165.1.8 API接口-iControl介绍175.2 Cisco ASA5500系列防火墙技术特点21六新购设备226.1 F5 BIG-IP LTM 1600参数236.2 CISCO ASA5520-DC-K8 参数24七F5专业服务条款24八设备清单及报价25一概述 随着企业开始更多地使用互联网来交付其关键业务应用，只保持一条到公共网络的连接链路则意味着频繁的单点故障和脆弱的网络安全性。BIG-IP链路控制器可以无缝地监控多条WAN连接的可用性与性能，以智能地管理到某一站点的双向流量，从而提供出色的容错性和优化的互联网访问，保证关键业务的稳定运行。二用户需求2.1 系统总体目标系统建设的总体目标为：1高性能：采用丰富的负载均衡算法对多链路、防火墙、服务器进行负载均衡，使流量得以合理分配，从而保证系统的整体性能得以大幅度提升。2高可靠性：保证系统运行稳定，单一设备故障不能影响系统的正常运行。3高安全性：构建安全防预体系，防御网络攻击。4良好的系统扩充能力，随着访问量的增加能够满足系统不断扩充的需求。5系统具有良好的可管理性。6丰富的会话保持策略能够满足灵活多样的动态调整。7通过中文的监视平台，方便直观地管理与监视应用的状态及健康状况。2.2系统功能需求作为服务系统的核心，负载均衡系统必须满足以下业务需求：1冗余的系统实施方案，任何单点故障不影响系统的正常运营在接入系统的设计中，对于所有的设备，均采用冗余设计和实施，充分考虑到各种设备和线路的中断或故障情况，在发生故障时系统能迅速切换，保证系统的正常运营。2链路的负载均衡和冗余：要求在正常情况下将用户对外的访问流量负载均衡到多条链路上，在某链路故障时自动将其流量切换到另外的链路，自动的透明容错，当链路恢复时自动将其加入到负载均衡中来。3防火墙的负载均衡：对两台防火墙进行负载均衡，包括External、Internal、DMZ区的负载均衡。要求在正常情况下两台防火墙上的流量是均衡的，在某台防火墙故障时自动将其流量切换到另外的防火墙，自动的透明容错，当故障的防火墙恢复时自动将其加入到负载均衡中来。4设备自身的高可用性设备自身需要具备高可用性，能够在双机冗余模式下工作，冗余切换迅速。5带宽管理 提供基于IP地址或特定应用的带宽控制功能，针对某一IP地址或特定应用限制或者保证一定的网络带宽，保证关键应用的稳定运行。6升级能力负载均衡产品应当具有良好的系统和软件升级能力。7SSL加速 集中处理SSL加解密的工作，减轻服务器处理SSL的负担，搭建高性能的电子商务平台。 服务器状态监测，动态监测服务器状态。2.3系统性能需求系统的整体系统响应时间、整体系统性能和故障切换能力应达到或高于以下要求：1能够在一定的访问压力下提供正常服务；2单台设备出现故障后，冗余设备能达到毫秒级切换；3系统稳定性强，系统响应时间（例如服务器故障后负载均衡对故障的反映）短（几秒钟之内）。2.4 系统安全性需求1负载均衡产品本身具有良好的系统安全性，不存在安全漏洞；2产品提供安全的访问管理环境；3具有一定的安全防护能力，协助防火墙和其他IDS设备构建动态防御体系，防御网络常见攻击，提高系统整体的安全防护能力。2.5 可管理性需求在可管理性方面，需要具备以下几点：1机架式机箱；2客户端中文管理软件能够方便地安装到流行的操作系统上（如WinXP，Win2K等）；3提供有效的关于用户、流量等的报表、统计工具；4提供有效的备份恢复手段；5提供有效的故障报警手段；6提供有效的系统监控手段并为通用的监控工具（如OpenView，Tivoli）提供接口；7系统的配置管理方便，系统报告的可用性强，能提供完善的访问统计和流量管理；8能够提供GUI的良好的维护界面和日常维护方案；9加密通讯，保证安全的设备管理。2.6 网络安全需求网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听；服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲，只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要，采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后，网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。三 需求分析3.1 多链路的负载均衡和冗余与互联网络相关的关键业务都需要安排和配置多条ISP接入链路以保证网络服务的质量，消除单点故障，减少停机时间。多条ISP接入的方案并不是简单的多条不同的广域网络的路由问题，因为不同的ISP有不同自治域，所以必须考虑到两种情况下如何实现多条链路的负载均衡：内部的应用系统和网络工作站在访问互联网络的服务和网站时如何能够在多条不同的链路中动态分配和负载均衡，这也被称为OUTBOUND流量的负载均衡。互联网络的外部用户如何在外部访问内部的网站和应用系统时也能够动态的在多条链路上平衡分配，并在一条链路中断的时候能够智能地自动切换到另外一条链路到达服务器和应用系统，这也被称作为INBOUND流量的负载均衡。F5 的LinkController可以智能的解决以上两个问题： 对于OUTBOUND流量，LinkController接收到流量以后，可以智能的将OUTBOUND流量分配到不同的INTERNET接口，并做源地址的NAT，可以指定某一合法IP地址进行源地址的NAT，也可以用LinkController的接口地址自动映射，保证数据包返回时能够正确接收。 对于INBOUND流量，LinkController分别绑定两个ISP 服务商的公网地址，解析来自两个ISP服务商的DNS解析请求。LinkController不仅可以根据服务器的健康状况和响应速度回应LDNS相应的IP地址，还可以通过两条链路分别与LDNS建立连接，根据RTT时间判断链路的好坏，并且综合以上两个参数回应LDNS相应的IP地址。3.2 系统高可用性系统高可用性主要可以从以下几个方面考虑：1设备自身的高可用性：F5 BIG-IP专门优化的体系结构和卓越的处理能力保证99.999%的正常运行时间，在双机冗余模式下工作时可以实现毫秒级切换，保证系统稳定运行，另外还有冗余电源模块可选。在采用双机备份方式时，备机切换时间最快会在200ms之内进行切换。BIG-IP 产品是业界唯一的可以达到毫秒级切换的产品, 而且设计极为合理，所有会话通过Active 的BIG-IP 的同时，会把会话信息通过同步数据线同步到Backup的BIG-IP，保证在Backup BIG-IP内也有所有的用户访问会话信息；另外每台设备中的watchdog芯片通过心跳线监控对方设备的电频，当Active BIG-IP故障时，watchdog会首先发现，并通知Backup BIG-IP接管Shared IP，VIP等，完成切换过程，因为Backup BIG-IP中有事先同步好的会话信息，所以可以保证访问的畅通无阻。2链路冗余：BIG-IP可以检测每条链路的运行状态和可用性，做到链路和ISP故障的实时检测。一旦出现故障，流量将被透明动态的引导至其它可用链路。通过监控和管理出入数据中心的双向流量，内部和外部用户均可保持网络的全时连接。3服务器冗余，多台服务器同时提供服务，当某一台服务器故障不能提供服务时，用户的访问不会中断。BIG-IP可以在OSI七层模型中的不同层面上对服务器进行健康检查，实时监测服务器健康状况，如果某台服务器出现故障，BIG-IP确定它无法提供服务后，就会将其在服务队列中清除，保证用户正常的访问应用，确保回应内容的正确性。3.3 高度的安全性 BIG-IP采用防火墙的设计原理，是缺省拒绝设备，它可以为任何站点增加额外的安全保护，防御普通网络攻击。可以通过支持命令行的SSH或支持浏览器管理的SSL方便、安全的进行远程管理，提高设备自身的安全性；能够拆除空闲连接防止拒绝服务攻击；能够执行源路由跟踪防止IP欺骗；拒绝没有ACK缓冲确认的SYN防止SYN攻击；拒绝teartop和land攻击；保护自己和服务器免受ICMP攻击；不运行SMTP、FTP、TELNET或其它易受攻击的后台程序。 BIG-IP的Dynamic Reaping特性可以高效删除各类网络DoS攻击中的空闲连接，这可以保护BIG-IP不会因流量过多而瘫痪。BIG-IP可以随着攻击量的增加而加快连接切断速率，从而提供一种具有极强适应能力、能够防御最大攻击量的解决方案。 BIG-IP的Delay Binding技术可以为部署在BIG-IP后面的服务器提供全面地SYN Flood保护。此时，BIG-IP设备作为安全代理来有效保护整个网络。 BIG-IP可以和其它安全设备配合，构建动态安全防御体系。BIG-IP可以根据用户单位时间内的连接数生成控制访问列表，将该列表加载到其它安全设备上，有效控制攻击流量。3.4 系统管理 BIG-IP提供HTTPS、SSH、Telnet、SNMP等多种管理方式，用户客户端只需操作系统自带的浏览器软件即可，不需安装其它软件。可以通过支持命令行的SSH或支持浏览器管理的SSL方便、安全的进行远程管理。直观易用的Web图形用户界面大服务降低了多归属基础设施的实施成本和日常维护费用。BIG-IP包含详尽的实时报告和历史纪录报告，可供评测站点流量、相关ISP性能和预计带宽计费周期。管理员可以通过全面地报告功能充分掌握带宽资源的利用状况。另外，通过F5 的i-Control 开发包，目前国内已有基于i-Control开发的网管软件x-control, 可以定制针对系统服务特点的监控系统,比如服务的流量情况、各种服务连接数、访问情况、节点的健康状况等等，进行可视化显示。告警方式可以提供syslog、snmp trap、mail等方式。3.5 其它 BIG-IP内置i-Control SDK二次开发包，可以通过API接口方便的取得各种流量统计信息，作为计费的依据。在Web用户界面上面也可以方便的查看各种流量统计信息，如果需要按照流量计费，可以使用以上两种方式取得流量的统计信息。F5 NETWORKS免费提供安装在服务器端、动态获取服务器信息的agent软件，将其安装在服务器端以后，就可以动态获取服务器当前运行状态。内存扩充能力： F5 BIG-IP3400以上单机最大可扩充到4GB内存，此时可支持800万并发回话；BIG-IP 3400以及BIG-IP 1500单机最大可扩充至2GB内存，此时可支持400万并发会话数。升级能力：F5 所有设备均可通过软件方式升级，在服务有效期内，升级软件包由F5公司提供。IP地址过滤和带宽控制：BIG-IP可以根据访问控制列表对数据包进行过滤，并且针对某一关键应用进行带宽控制，确保关键应用的稳定运行。配置管理及系统报告：F5 BIG-IP提供WEB 界面配置方式和命令行方式进行配置管理，并在其中提供了丰富的系统报告，更可通过i-Control自行开发复杂的配置及报告生成。服务：在F5的体系中，拥有代理商、厂商等多级服务与支持体系，可以保证用户购买的产品得到优异的售后服务支持，提供24小时热线服务电话。四方案设计4.1 网络拓扑图 此方案设计中采用的拓扑图如下所示：链路负载均衡网络拓扑图4.2方案设计描述4.2.1方案设计总体描述 本方案设计采用F5 Networks公司链路负载均衡设备BIG-IP LTM1600来实现网络中多条链路Outbound（内部客户端发起对Internet的访问）方向负载均衡；采用CISCO ASA5520-AIP40-K9防火墙对企业网进行防护，并开启ssl vpn功能，实现外网用户对公司内网的安全访问。 整个系统采用全冗余网络连接方式设计，来保证系统的高可用性和高可靠性。 方案具体实现方式如下：1. 交换机实现多链路聚合，采用2台使ISP链路连入不同设备，实现ISP链路冗余，不会因设备故障导致网络中断。2. 对于Outbound流量，LinkController接收到流量以后，可以智能的将访问ISP1的资源的Outbound流量分配到ISP1的接口，并做源地址的NAT，（可以指定某一合法IP地址进行源地址的NAT，也可以用LinkController的接口地址自动映射），保证数据包返回时能够正确接收，其他的流量走ISP2的线路。3. 防护墙的接入对与来自外网流量进行检测和防护；开启ssl vpn功能，实现外网客户端安全接入。4.2.2 链路负载均衡及冗余 两台LinkController以Active-Backup方式实现网络中两条链路的负载均衡及冗余。LinkController可以根据相应的链路负载均衡算法和iRules规则来实现快速访问的智能引导，比如将访问电信的用户引导至电信链路，访问网通的用户引导至网通链路，解决了不同ISP之间的互连互通问题，保证了最好的访问速度和最高的访问效率。同时，LinkController的健康检查机制实现对链路健康状况的实时监控，当有链路出现故障时LinkController会屏蔽故障链路，并自动将流量切向其它正常工作的备份链路，实现了链路的高可用性。4.2.3 设备自身冗余性 BIGIP设备以Active-Backup的冗余方式方连接，处于Backup的设备采用“心跳线”监测Active的设备的状态，当检测出设备故障时，两台设备就会产生ms级切换，Backup设备会切换为Active，为用户提供服务，保证了系统的高可用性。4.2.4 易于管理性BIGIP产品不仅提供https的安全Web界面管理，本地基于Serial Console的管理和SSH安全远程命令行管理，还有基于中文网管软件XControl的管理，灵活多样的管理方式使日常的维护和Troubleshooting更加方便快捷。XControl是北京信诺瑞得信息技术有限公司基于F5开放API接口iControl和SDK开发包开发出来的，针对F5设备进行监控管理的软件产品。五关键技术介绍5.1 链路负载均衡技术特点5.1.1 LinkController工作原理 Link Controller的工作原理可以分成两部分介绍：Inbound流量(Internet用户访问内网服务器及DNS查询的流量)和Outbound流量(内网用户主动发起的访问Internet服务器的流量)，下面从这两方面介绍Link Controller的工作原理。Outbound流量 这部分流量主要是内部用户和服务器主动发起的对公网的访问，当这部分流量到达LinkController时，LinkController会判断两条链路的健康状况并决定将流量负载均衡到哪条链路，判断好将流量分配到哪条链路之后将数据包的源地址转换成相应ISP网段的公网地址(SNAT)后将该数据包发出；响应数据包返回到LinkController时，LinkController将目的地址进行转换之后将数据包发给内部的用户或服务器。5.1.2 链路负载均衡算法随机（Random）：随机返回给用户某一条链路的IP地址。比率（Ratio）：预先给每条链路定义一个权值，按照这个比率返回给用户某一条链路对应的IP地址。返回给LDNS（Return to DNS）：立即将连接请求返回给LDNS处理。轮询（Round Robin）：将提供某种应用的所有站点放在一个队列当中，按顺序依次返回给用户队列中下一个站点的IP地址。静态会话保持（Static Persist）：这种算法将维护一个LDNS到某一个站点的映射表，同一个LDNS的查询请求在预定的时间过期之前会返回同一个IP地址。完成比例(Completion Rate)：当接收到LDNS的查询请求的时候，LinkController会返回给用户丢包或超时数据包最少的链路对应的IP地址。跳数(Hops)：当接收到LDNS的查询请求的时候，LinkController会发起查询请求的LDNS之间的路由跳数。BIG-IP LC根据返回的跳数解析给LDNS跳数最少的站点的IP地址。千字节/秒(Kilobyte/second)：LinkController会选择一个当前处理的Kbyte/Sec数值最小的一个站点返回给发起查询请求的LDNS。最小连接数(Least Connection)：LinkController会选择一个当前处理连接最少的站点返回给发起查询请求的LDNS。包比例(Packet Rate)：LinkController会选择一个当前每秒钟处理数据包最少的一个站点返回给发起访问请求的LDNS。基于拓扑的路由（Topology）：采用拓扑数据库，LinkController 链路控制器可准确确定用户的位置，并根据预定义的策略通过所需链路路由流量。RTT(Round Trip Times)：当收到LDNS查询请求的时候，LinkController会反向探测发起查询请求的LDNS，并且计算从发起反向探测到接受到响应得时间间隔。LinkController根据这个时间间隔返回给LDNS一个间隔最短的链路对应的IP地址。服务质量(QoS)：LinkController通过收集每条链路中心RTT时间、跳数、完成比率、包比率、地理拓扑、链路容量、VS(Virtual Server)容量、Kbyte/Sec的数值进行综合计算，计算之后每个数据中心都会有一个权值，然后根据这个权值返回给LDNS相应的站点的IP地址。VS 容量(VS Capacity)：当使用这种算法的时候，LinkController将所有的Virtual Server放在一个队列当中，并把每个Virtual Server的容量作为他们的权重，按照这个权重返回给LDNS相应的站点Virtual Server的IP地址。5.1.3 链路健康检查在Layer 2 健康检查涉及到用来对给定的IP地址寻找MAC地址的地址分辨协议 (ARP) 请求。因为BIGIP设置了真实网络设备（链路对端网关）的IP地址，它会发送针对每一个真实网络设备（链路对端网关）的IP地址的ARP请求以找到相应的MAC地址，网络设备（链路对端网关）会响应这个ARP请求，除非它已经停机。在Layer 3 健康检查涉及到对真实路由器发送”ping”命令。“ping”是常用的程序来确认一个IP地址是否在网络中存在，或者用来确认链路是否正常工作。 在Layer 4，BIGIP会试图联接到一个特定应用在运行的TCP或UDP端口。举例来说，如果VIP是被绑定在端口80做Web应用的话，BIGIP试图建立一个联接到真实服务器的80端口。BIGIP发送一个TCP SYN 请求包到每个真实服务器的80端口，并检查回应的TCP SYN ACK数据包是否收到，如果哪一个没有收到，BIGIP就确认那台服务器不能正常提供服务，BIGIP单独针对服务器的每个应用端口做健康检查并单独做关于其服务器的诊断结果是非常重要的。这样一来真实服务器的80服务可能停机，但是端口21可能正常工作，BIGIP可以继续利用这个服务器的21端口提供FTP服务，同时确认这个服务器的Web应用已经停机，这样一来就提供了一个高效率的负载均衡解决方案，细分健康检查的做法有效地提高了服务器的处理能力。采用在链路对端放置服务器的方式可以判断链路是否正常工作5.1.4 UIE + iRules 在BIGIP上，我们还可以同过BIGIP的UIE和iRules来实现七层的流量检测和灵活的负载均衡策略定义。 UIEUniversal Inspection Engine 通用搜索引擎，可以检测TCP/UDP数据包中的任何内容，例如客户端IP、客户端源端口、服务端IP、服务端端口、客户端数据、服务端数据。通过一系列的字符串和二进制处理机制，可以将处理的结果交给iRules进行判断和处理。 iRules可以根据UIE监测到的数据来对流量进行处理。例如，iRules可以配置为判断以下条件：l 是否在数据包中包含以”cgi”作为结尾的HTTP请求？l 是否数据包的源地址是以八进制“206”为开头？l 是否在TCP的数据包中包含字符串“ABC”？在获取判断条件后，iRules则可对该数据流进行处理。例如： 如果数据包源IP为则将其分配到服务器如数据包前50个字符包含字母“REAL”则将其丢弃如果数据包第一个字符为0xE3则将其放入4Mbps的一个RateClass进行带宽控制。5.1.5 带宽管理BIGIP灵活的第7层带宽管理能力可使企业对带宽进行有效管理 ，以确保高优先级应用能够得到按时交付。同时，它还提供了定制控制能力，以设定基于应用的带宽限制（容许的带宽峰值），甚至还能在应用之间建立队列关系。 带宽管理的功能特点：1灵活的带宽管理1 灵活的带宽限制2 支持带宽借用3 根据应用进行带宽列队（带宽平均分配，FIFO）2从二层到七层的精细的流量分类可以根据IP地址，端口，以及基于七层内容进行流量分类，定制适合的带宽策略。3双向流量控制BIGIP可以提供双向流量的带宽管理，确保高优先级应用能够按时交付。5.1.6 HTTP流量压缩利用BIGIP的流量压缩功能，支持多种类型的文件压缩，从而在降低80%网络带宽的同时，将应用性能提高3倍以上，并且解决了互联网延迟和客户机连接瓶颈对其应用性能的所造成的影响。5.1.7 设备自身冗余机制 BIGIP可以实现两种方式实现冗余连接，一是Active-Backup方式，另一种是Active-Active方式。物理连接方式如下图所示： F5 Networks公司BIGIP产品是业界唯一实现双机冗余毫秒级切换的产品，而且设计合理。所有会话通过Active BIGIP同时，会话信息会通过同步数据线同步到Backup BIGIP，保证Active与Backup设备会话信息同步。且每台设备中的watchdog芯片通过心跳线检监测对方设备电平，当Active BIGIP故障时，watchdog会首先发现，并且通知Backup BIGIP接管shared ip,VIP等，完成冗余切换过程，Backup BIGIP变成Active Backup，由于Backup BIGIP事先已经保存了所有会话数据信息，可以保证所有在线会话的通畅和完整。两台设备的多种模式的冗余切换触发机制： Watch dog：完全通过“心跳线”监测物理信号判断设备的运行状况，适时进行冗余切换，采用这种方式，切换时间在50ms200ms。 Gateway failsafe：处于Active状态的BIGIP定期与网关设备取得联系，若在timeout时间内得不到任何响应，就自动切换为Standby状态。 Vlan Arm failsafe：通过判断某个Vlan是否有流量，触发切换。 5.1.8 API接口-iControl介绍为了确保电子商务取得成功，应用和网络必须能够紧密结合。网络通知应用；应用指导网络，这就是F5新型体系结构的基础。i-Control提供了业界最紧密集成的产品套件，利用统一的设备活动协作来对互联网流量和内容部署/提供进行端到端的控制。它提供了端到端集成所需要的产品间的安全通信，而且还可以通过开放式XML API对F5产品进行编程，以支持客户与合作伙伴应用间的集成（F5的i-Control内部通信协议）。F5互联网流量、应用和网络管理体系如下图所示：F5互联网流量、应用和网络管理体系结构这种架构方式克服了多厂商解决方案的最大问题：互操作性和管理复杂性，而且还避免了单厂商套件的最大问题：有限的灵活性、缺乏足够的集成能力。这种架构使服务提供商和企业能够：l 管理和控制全球范围的互联网流量和内容l 部署并实施SLA政策l 将政策应用到多种技术上，如防火墙、VPN和QoS设备l 接收告警并管理关于网络和设备活动的报告l 保持适当的系统配置i-Control能够使应用与网络流量管理和内容提供基础设施实现直接的互操作。通过i-Control开放的安全通信协议和SOAP/XML API，网络设备能够与应用进行通信，应用可以控制网络，从而避免出现易于出错的过程和人为干预。 i-Control能够提供网络产品间安全、加密的互相通信能力，并为无缝应用集成带来了方便，其中包括：l 本地流量管理l 分布于全球的流量管理l 将内容部署到远程服务器上l 管理网络中高速缓存提供的内容版本l 显著减少管理分布式网络所需的资源客户、合作伙伴及第三方集成商都可以使用i-Control软件开发套件（SDK），它具有开放式的SOAP/XML或CORBA API。随着i-Control的推出，F5证明了其对制定和采用开放式互联网流量和内容管理标准的支持。通过将i-Control与F5的业界领先iTCM产品相结合使用，可以实施并部署F5的完整互联网控制体系结构，从而增强了7层性能。任何第三方和客户都可以通过i-Control将自己的应用与网络系统集成在一起，从而提供无与伦比的7层性能。F5亚太区i-Control合作开发伙伴北京信诺瑞得信息技术有限公司已经利用i-Control软件开发套件（SDK）开发出了F5设备集中管理平台X-Control。它可以对F5设备进行集中、可视化的管理，主要有以下功能： 设备集中管理：设备的分区域、网络中心等多级管理体系、方便的拖放式设备管理。 可视化设备对象管理：可视化、直观、即时得到对象信息、Enable/Disable选中的对象、鼠标单击进行对象的监控、流量统计及预警。 对象监控：实时流量监控（VIP、Pool、节点、设备）、CPU监控、内存使用率监控、定制监控参数、监控图表导出。如下图所示：X-Control对象监控 监控数据导出：导出流量数据(文本、XML、HTML表格、Excel文档、导出图表、PDF、JPG、GIF等格式)、用户可以根据导出的数据定制个性化报表。 对象预警：实时预警（VIP、Pool、节点、设备）。 配置信息管理：配置备份、配置恢复、配置删除、HA的配置同步、配置激活、回滚、上传/下载。 获取设备信息：查看设备运行的服务、查看设备打开的端口、查看软件产品的详细信息。 控制设备运行的网络服务：方便控制设备运行的各种服务。 查看设备的全局统计信息：查看深入的统计信息、系统流量、运行时间、网络连接、拒绝访问信息等等。 自动发现设备：通过网络自动发现F5设备、自动添加发现的设备到设备分级目录。如下图所示： X-Control自动发现设备 数据采集：数据采集是将实时监控的数据存储在本地存储介质中。为统 计分析提供数据源。 统计报表：对采集的下线数据进行查询及报表输出。5.2 Cisco ASA5500系列防火墙技术特点 Cisco ASA 5500 系列内容安全版让企业不但能充分发挥互联网业务的优势，还能利用全面的网关安全性和VPN连接解决方案。Cisco ASA 5500 系列内容安全版具有集成式防火墙、内容安全和 VPN 功能，能够从电子邮件和互联网流量中删除恶意软件、间谍软件、垃圾邮件和诱骗企图，最大程度地提高业务连续性和安全性。由于Cisco ASA 5500 系列内容安全版与集成式URL过滤结合在一起，使各机构能够限制对非法Web站点的访问，从而控制员工对互联网的使用，因而能够提供灵活、全面的周边安全性和员工生产率管理。5.2.1最值得信赖已广泛部署的防火墙技术-Cisco ASA 5500 系列基于Cisco PIX 系列安全设备已经得到市场验证的功能，既允许合法业务流程通过，又能有效阻挡不受欢迎的访问者。利用其应用控制功能，该解决方案能够限制对等共享、即时消息传送和恶意流量，从