IDC应用解决方案.ppt

1、F5 解决方案,吴栋Presales Consultant F5 Networks,议程,案例介绍 1、BEA Tuxedo应用 2、DNS应用 3、IMS/NGN应用 4、家庭网关应用 5、全球眼应用 6、IDC增值应用,关键的信息神经中枢流转管理,应用,网络,Routers, L2/L3 switches, firewalls, caches, ISP links,Web servers, application servers, databases,Microsoft, Oracle, BEA, Citrix, Siebel, SAP,服务器,Transaction for UNIX h

2、as been Extended for Distributed Operation（被分布式操作扩展之后的UNIX事务系统 ） 目前，BEA Tuxedo广泛应用于银行、金融、电信、交通、零售、制造、医疗、政府等领域，这些用户的共同特点是具有复杂、高端的信息管理系统，应用环境多种多样且系统用户在地域上分布很广，其应用通常建立在主机或大规模客户机服务器系统之上，且业务处理量极大。,Bea Tuxedo 简介,原有tuxedo 结构和问题的存在 问题1 单点故障,Client,Switch,Tuxedo Master,Tuxedo node,原有tuxedo 结构和问题的存在 Master 是一

3、个非常明显的单点故障 系统的整体服务能力受到Master的瓶颈制约, 而tuxedo 的多次短连接对Master存在很大压力.,经过抓包分析和应用访问流程分析, 每个访问的Source IP 是相同的, 并且每次访问的Source Port是随机的; 而访问的目标地址是VIP, 但第一次的WSH的访问是固定的, 6667; 而WSL连接时的目标端口是服务器通知用户的;,原有tuxedo 结构和问题的存在 问题2 普通负载均衡产品无法成功建立连接,Source IP: Client IP ; port : random like 1111 Dest IP : vip ; port : WSH l

4、ike 6667,Source IP: server 01 ; port : 6667 Dest IP : Client IP ; port : 1111 TCP 内容通知Client 可以连接一个WSL 端口, 在规定范围内随机产生一个; 例如8888,Client 受到回应后发起对WSL的访问 Source IP: Client IP ; port : random like 1112 Dest IP : server ip ; port : WSL 8888,目的ip与端口6667不匹配,端口不可达!连接关闭,Source IP: Client IP ; port : random li

5、ke 1111 Dest IP : Server 01 ; port : WSH like 6667,Source IP: VIP ; port : 6667 Dest IP : Client IP ; port : 1111 TCP 内容通知Client 可以连接一个WSL 端口, 在规定范围内随机产生一个; 例如8888,Tuxedo 应用访问流程分析,Client,Switch,Tuxedo node,经过抓包分析和应用访问流程分析, 每个访问的Source IP 是相同的, 并且每次访问的Source Port是随机的; 而访问的目标地址是VIP, 但第一次的WSH的访问是固定的, 6

6、667; 而WSL连接时的目标端口是服务器通知用户的; 结论:在网络层完全无迹可寻; 负载均衡失败,F5 BigIP,Client,Switch,Tuxedo node,在很多实际网络结构中存在一个特别的大机, 作为所有用户端访问的一个代理. 如果 配置Source IP 的会话保持方式,所有的访问都会定位到同一台服务器, 破坏了负载均衡的处理; 如果没有会话保持又会破坏用户访问的连接中断, 可能跟一个node WSH后却和另外一个node WSL,Load balance,原有tuxedo 结构和问题的存在 问题3 一般负载均衡方法无法实现负载均衡,改变后的结构和标准使用方法,Client,

7、Switch,Tuxedo node,改变后由BigIP的VIP取代原有Master 的功能 在tuxedo node上配置单独的WSH功能, 为配合原有由Master提供的WSH功能, 在每个node上配置类似防火墙的NAT后的处理方法, 保证连接的建立. 为保证用户和Tuxedo node 建立连接后的多次访问, 在BigIP上配置Source IP 的会话保持方式, 来保证相同的客户IP地址都会被定位到同一台服务器提供服务.,F5 BigIP,会话保持的概念,将从一个客户的后续的连接送到同一台服务器 与负载均衡的模式相对应,1,2,3,1,2,3,服务器监控和健康检查,服务器(Node)

8、-Ping(ICMP) 服务(Port)-Connect 扩展的应用验证(EAV) 扩展的内容验证(ECV) 针对VOD服务器的专用健康检查机制 针对节点的检查频率和超时频度,e.g.10seconds响应,e.g.5seconds,市场现象:,监视行为消耗掉我们流量的10% 以上 F500 Financial 76% 的用户在看到一个断掉的联接时,会离开该站点 Gomez 互联网用户的忍耐度不超过 20 秒 Gartner,应用流量,Authentication,SSL,Certificate Management,Application Servers,Databases,Web Serv

9、ers,Application Filtering,应用逻辑 安全性 高可用性 外部专家,DoS protection,Web Services Security,Intelligent Port Mirroring,利用F5独有的irules满足用户个性需求,iRules 基于UIE识别的值，灵活指向，保持，或过滤流量,Universal Inspection Engine (UIE) 识别TCP/IP包头或数据包中的任何值的能力.,Mobile Applications,Web Services,QoS,Link Management,Web Accleration,Health Chec

10、king,Load-Balancing,Prioritization,Persistence,Open API port : random like 1111 Dest IP : VIP ; port : WSH like 6667,Source IP: Client IP ; port : random like 1111 Dest IP : Server 01 ; port : WSH like 6667,Source IP: server 01 ; port : 6667 Dest IP : Client IP ; port : 1111 TCP 内容通知Client 可以连接一个WSL

11、 端口, 在规定范围内随机产生一个; 例如8888,Source IP: VIP ; port : 6667 Dest IP : Client IP ; port : 1111 TCP 内容通知Client 可以连接一个WSL 端口, 在规定范围内随机产生一个; 例如8888,Client 受到回应后发起对WSL的访问 Source IP: Client IP ; port : random like 1112 Dest IP : VIP ; port : WSL 8888,Source IP: Client IP ; port : random like 1112 Dest IP : Ser

12、ver 01 ; port : WSL 8888,Server 01在8888的WSL端口接收到用户的访问, 真正建立访问连接,高级功能,通过telnet的方式登录到BEA Tuxedo服务器上，执行tmadmin，再执行psr可以得到如下数据，通过获取最后一个字段的IDLE的个数，当IDLE的个数为0时候希望能够disable服务器，不再往服务器发送新的请求；当IDLE大于0的时候还能enable服务器，重新把请求发送给服务器。,DNS应用增值,传统的电信DNS/Radius 解决方案,DNS重定向解决方案,找不到！,返回Portal页面,DNS,WEB,对于运营商的Portal部分，需要两

13、个方面的强力支持： 1、DNS服务系统如何盈利 2、Portal如何提高访问量，以提高广告收入。,Mirror,F5设备,攻击数据,攻击源,IDS,Notify,Block,Inspect,DNS安全防护,Sun,Sun,Sun,Sun,GSR,GSR,Switch,Switch,BIG-IP 6400,BIG-IP 6400,HSRP,DNS安全防护,GE,GE,应用管理系统,DNS,DNS,DNS,DNS,业务智能化,DNS业务管理智能化,GE,GE,应用管理系统,DNS,DNS,DNS,DNS,DNS业务分析系统,DNS分析系统,F5 带来的价值,通过F5提高了DNS的可靠性和可扩展性；

14、 通过F5的综合安全体系，为DNS应用提供了全面的安全保护； 通过F5实现了对互联网用户行为的模型分析，可细分用户并针对不同用户实现针对性的增值服务； 将DNS由投入部门转变为运营部门/产出部门,F5: IMS ready,What is IMS,IMS即IP多媒体子系统。作为下一代“融合”的核心，简单地说它就是实现IP多媒体业务的建立、维护及管理等功能的核心网络体系结构。 基于IP的多媒体业务与会话控制核心网络; 支持各种融合业务的公共平台，不依赖于任何接入技术和接入方式; SIP的灵活性和标准化的开放接口，为支持广泛业务提供可能。,What is IMS,IMS以IP核心网标准为基础，最初

15、由3GPP Release 5定义。作为端到端的标准体系，IMS提供了与接入和终端类型无关的核心网络，支持固网IP、xDSL、UMTS、CDMA、WLAN等接入到统一的IP核心网络和应用环境。 业务应用层:由应用和内容服务器组成，负责为用户提供增值业务。 控制层:由网络控制服务器组成，负责管理呼叫或会话设置、修改和释放。 这些服务器中最重要的是CSCF(呼叫会话控制功能)，也就是常说的SIP服务器。 而且，该层还包括多种支持功能如配置、计费以及运营维护功能。 边界网关负责与其他运营商网络和其他类型的网络之间的互通， 或者它们彼此内部的网络互通。 连接层:由用于骨干和接入网络的路由器及交换机组成

16、。,Next Generation Networks,3GPP 传输层已确定 IMS 处于早期阶段, v1 systems 没有IMS 移动video布署 没有Non-IMS IPTV 解决方案 没有IMS VoIP 解决方案 F5 IMS ready! SIP 负载均衡 和 高可用性 RTSP 负载均衡和 高可用性 SCTP负载均衡和 高可用性（IP网络传输PSTN信令报文） QoS features Security features,SSL,Compression,Client Side,Server Side,TCP Express,Server,TCP Express,Caching

17、,Microkernel,High Performance HW,iRules,Client,iControl API,TCP Proxy,OneConnect,Rate Shaping,TrafficShield,Web Accel,SIP,TMOS: NGN Ready!,SIP,SIP 应用,SIP 的Load Balancing SIP message 检查和处理,用户面临的问题: “无法扩展 Call Proxy servers” Cisco Call Proxy servers 能够处理 100 calls/sec,100 calls/sec,100 calls/sec 丢弃,解决

18、方案: SIP 负载均衡 识别、解析 SIP messages 和基于SIP Call ID 使用SIP options 消息对SIP Proxy进行健康检查,Cisco SIP Server,Cisco SIP Server,SIP Phone,SBC #2,SBC #3,BIG-IP,VoIP G/W,SIP Phone,SBC #1,SBC Load Balancing,070-700-XXXX,070-710-XXXX,Proxy / Register Server,负载均衡的会话保持控制,SIP 的负载均衡 SIP 设备,Media Servers Session Boarder C

19、ontrollers（会话边界控制器） SIP proxies Softswitches（软交换） Application Servers（AS） Other SIP 组成部分,SIP 交互问题,Customer Problem: Caller ID 导致的VoIP问题 彻底的解决方案: 改变到 soft switch software，但需要1年和 $1M 的投入.,Call setup phase,SG/MGCF and MGW,Public Switched Telephone or Public Land Mobile Networks,IP,CSCF - SIP server,SG/

20、MGCF and MGW,SETUP *67 (feature 184) CallerID=524-1111 CalledID =524-2222,INVITE (CallerID= , CalledID=524-2222),524-1111,524-2222,INVITE (CallerID= , CalledID=524-2222),SETUP CallerID= CalledID =524-2222,Authenticates user Locates destination MGW,RTP flow,Registration, Location, AAA, billing,SIP,SI

21、P 交互问题,Call cancel problem,SG/MGCF and MGW,Public Switched Telephone or Public Land Mobile Networks,IP,CSCF - SIP server,SG/MGCF and MGW,RELEASE CallerID=524-1111 CalledID =524-2222,CANCEL (CallerID= , CalledID=524-2222, P-Asserted ID=524-1111),524-1111,524-2222,RTP flow,? SIP server doesnt know whi

22、ch session to clean up,Registration, Location, AAA, billing,SIP,SIP 交互问题,Solution!,SG/MGCF and MGW,Public Switched Telephone or Public Land Mobile Networks,IP,CSCF - SIP server,SG/MGCF and MGW,RELEASE CallerID=524-1111 CalledID =524-2222,CANCEL (CallerID= , CalledID=524-2222, P-Asserted ID=524-1111)

23、,524-1111,524-2222,RTP flow,BIG-IP插入 CallID=524-1111 从P-Asserted ID 字段,CANCEL (CallerID=524-1111 , CalledID=524-2222),CANCEL (CallerID=524-1111 , CalledID=524-2222),Registration, Location, AAA, billing,SIP,SIP 交互问题,Call “all gone”,SG/MGCF and MGW,Public Switched Telephone or Public Land Mobile Netwo

24、rks,IP,CSCF - SIP server,SG/MGCF and MGW,524-1111,524-2222,Registration, Location, AAA, billing,SIP,SIP 交互问题,提供附加的服务,SIP Load Balancing 基于connection 基于消息 高级 LB HP 和 Soft SIP 高可用性 健康检查 SIP 安全 NAT 地址翻译, sRTP, SIP 防火墙 SIP 优化 信令压缩,RTSP 同样可做Load Balancing,针对Video Server 移动 video, IPTV 鉴别、分析 RTSP messages

25、 健康检查 PERL script,RTSP Server,RTSP Server,RTSP Server,支持 RealNetworks 使用 RTSP ports for HTTP 数据流,F5已为 NGN/IMS做好准备,可伸缩的 (负载均衡和HA) 实时应用协议 SIP RTSP SCTP 修复交互问题 安全特性 QoS 特性,IMS,IMS域中3种类型的呼叫会话控制功能（CSCF）承担着不同的功能。 P-CSCF是SIP2中的代理服务器，它负责接受请求或响应并进行转发。 S-CSCF执行会话控制服务，包括注册并维持会话的状态，担任SIP服务器的功能。 I-CSCF则是外部网络访问IM

26、S与之进行交互通信的接口，通过这种方式可实现对本网络结构的隐藏。,IMS,F5 在中国应用中实际案例,BIG-IP 对SIP 支持,BIG-IP 支持大规模的 SIP 部属 支持 SIP 在 UDP 协议的应用 对SIP服务器的负载均衡 BIG-IP 可根据 SIP Caller-ID做会话保持 BIG-IP 提供会话冗错恢复功能 BIG-IP 提供 SIP 软交换机的ICMP 健康监控 性能 1050 CPS 或 3.7m BHCA (BIG-IP 理论上能够处理更多),SIP的其它应用场合,IM互通互联 中移动飞信 腾讯QQ、 微软MSN 网易泡泡 ICQ 雅虎通,F5 SIP 总结,为S

27、IP软交换机提供智能的流量管理 支持可扩展的 Dynamicsoft 路由引擎对 SIP 应用 iControl 为在整个网络架构提供管理和控制支持,电信家庭网关,基于家庭网关串联的家庭应用场景,宽带固网支付,家庭网关需求点分析,家庭网关用户上网前需要访问在本地的Portal，以完成各类应用和费用结算及管理，本地Portal服务器是家庭网关应用实现的基础，本地Portal需要实现负载均衡 在本地Portal出现故障时，本地家庭网关需要被引导到备份节点Portal或其它城市Portal，需要实现广域负载均衡 大量家庭网关用户和非家庭网关用户需要访问本地DNS地址，DNS需要负载均衡，同时DNS

28、Server对两类用户需要区分引导,F5解决方案与业务价值,F5 通过GTM实现各个Portal节点间的冗余备份，将家庭网关引导向最合适的Portal,F5解决方案与业务价值,F5 通过在本地DNS前布署LTM和GTM，LTM完成对DNS负载均衡的同时，检查用户的DNS请求，将家庭网关用户和非家庭网关区分开来。 家庭网关用户的DNS请求由GTM解析。 非家庭网关用户的DNS请由本地的DNS服务器解析,F5解决方案与业务价值,通过F5 GTM的智能DNS引导技术，解决了本地Portal的广域冗余备份问题，保证了家庭网关业务的顺利进行； 通过F5本地的LTM，实现了本地DNS服务器的负载均衡，提高

29、了每台DNS服务器的利用率，同时通过F5 iRules，可在DNS上实现多种增值应用； 通过DNS服务器前端的LTM，将本地普通用户和家庭网关用户区别开来，分别进行流量引导，满足了不同层次用户的不同需求，实现了服务的差异化；,全球眼业务,组网架构单级组网架构,主要分为三个部分： 1、PU（前端单元） 主要实现音视频信息、报警信息的采集、网络传输以及辅助设备（如云台、矩阵等）的控制。它包括音频采集设备、视频采集设备、报警输入输出设备、云台设备、云台解码器设备及网络视频编码设备等。 2、CU（客户端单元） 是远程图像集中监控和维护管理的应用平台，实现客户接入、单画面/多画面图像浏览、报警联动、前端

30、设备控制、码流分发管理以及权限管理等功能。 3、中心平台 中心服务平台由CMS、VTDU、NRU、AAA服务器几部分组成。,中心平台逻辑层次,PU,PU,CU,中心平台,CMS,NRU(1.n),NRU(1.n),VTDU(1.n),VTDU(1.n),AAA,NMS,接入服务器,运营支撑层,媒体交换层,中心平台可再分为两个逻辑层次运营支撑层和媒体交换层。运营支撑层主要完成管理工作，媒体交换层主要完成媒体平台功能。,挑战性能瓶颈点,核心控制单元（CMS）： 是中心平台的核心控制单元，实现PU、CU的鉴权和接入、信令转发处理、信息管理、对VTDU和NRU等媒体设备的控制、以及CMU之间的级联，以

31、实现分布式部署。 媒体处理单元（VTDU）： 负责音视频的请求、接收和分发，实现多级级联和分布式部署。一路视频通过VTDU可以被复制成多路送给不同的访问方。 网络录像单元（NRU）： NRU是中心平台的网络录像单元，可实现媒体数据的数字化存储，并提供媒体数据的检索、回放和管理。 接入服务器（ULS）： 为客户端用户提供全网统一的登录接口，并根据用户所归属的平台重定向到相应的CMU上。,挑战性能瓶颈点,按照电信2.5 规范要求：平台应具有支持5万个以上摄像头、5000个客户端同时在线的能力要求则则图像传输时所用的带宽： 实现全实时25fps,4CIF（704576）图像的编码传输，图像延迟400

32、ms，速率满足在1M2MKbps或以上 5-10G 实现全实时25fps,CIF（352288）图像的编码传输，图像延迟400ms，速率应在800Kbps1Mkbps。 4-5G 实现高质量15fps,CIF（352288）图像的编码传输，图像延迟400ms，速率在300Kbps800Kbps。1.5-4G 实现中等质量10fps,CIF（352288）图像的编码传输，图像延迟400ms，速率应在300Kbps左右。1.5G 而单台VTDU的吞吐量上限仅为1G，存在着巨大的性能瓶颈。,其它的挑战,目前全球眼业务由视频集成商单独为客户各自组网搭建的，其所采用的设备各不相同，平台也互不兼容，开放性

33、比较差； 各个集成商将在应用上采用软件方式实现高可用性，负载均衡与应用无法区分，业务逻辑不清晰，难以扩展； 对SIP、RTSP等标准协议的支持性存在问题； 应用服务器对带宽及Qos难以保证； 应用不具备灵活、快速的二次开发能力； 因IP资源的稀缺性，考虑对IPV6的支持；,F5 解决方案,多级系统由多个单级系统通过CMU分级级联的方式构成。 全球眼以省为单位，ULS可部署一台，提供全网统一的登录接口，可根据用户设置的所归属的平台信息与AAA服务器进行交互，从而将用户从定向到相应的CMU上。 AAA以省为单位进行配置，负责省所辖的所有平台的客户认证与客户信息记录。 NMS负责远程管理所辖的AAA

34、、CMS、VTDU、NRU及PU等设备，并提供级联管理功能。NMS可以省为单位进行配置，对全省相关设备进行统一管理。 CMS采用树状结构进行级联。高级CMS负责管理其子CMS并负责转发各子CMS间的信令，所有跨域的业务都需要高级CMS转发信令、统一管理。各级CMS都可提供PU及CU接入功能。 VTDU和NRU采用分布式部署，一个中心平台可包括多台VTDU及NRU。为了实现大容量的PU和CU的接入和管理，PU和CU的接入模块也可采用分布式部署。,全国中心,A省,接入 服务器,AAA,管理 服务器,A省地市,CMS,VTDU,NRU,B省地市,VTDU,NRU,CMS,ULS,管理 服务器,CMS

35、,B省,AAA,信令交互及调用,CMS,F5 解决方案,F5布署在ULS（接入服务器）前，对客户端发起的到ULS 的登录请求进行负载均衡，ULS根据用户所归属的平台重定向到相向的CMS上。 由于VTDU负责视频的请求、接收和分发，吞吐压力非常大、 通过布署F5，可大大降低服务器压力，可使用F5 nPath来提高吞吐率。 F5对NRU（网络录像单元）做负载均衡，可降低来自各个PU的写入、存储压力。 在各级地市的CMS（中心管理单元）前布署F5，实现CMS的负载均衡。,F5 解决方案特点,RTSP 服务器的负载均衡，需要负载均衡器支持RTP,RCTP 等协议。F5 TMOS架构可以完全支持这些协议

36、。,RAM Cache 集成在TMOS 里面，BIGIP LTM 可以在负载均衡的同时进行RAMCache，可以提高Portal 10 倍的服务能力。,公众平台模式收费（例）,面向公众客户而提供的平台服务，投资回收期一般为23年。客户无需考虑平台投资，节省了前期的投入，在购买了监控前端设备后，经过网络接到电信公众平台，每月交纳业务使用费后即可享受服务。而且采用这种接入模式的客户，其自身无需考虑平台的系统维护，也节省了人力资源。,F5 IDC一体化解决方案,网络应用优化的技术层出不穷，但众多单一技术，单一产品针对的是单一的市场，解决的是单一的问题，然而现实的网络环境往往同时存在多种问题，传统的网络单点解决方案存在以下诸多问题： 单一技术，单一产品 增加网络部署复杂度 网络中单点故障点增多，无法保证网络稳定性 配置和维护繁琐 因没有集成的一体化的方案，需要更多的花费,传统解决方案存在的问题,采用集成的一体化解决方案，全面解决网络应用中存在的诸多问题，构建了一个 集高性能、高可靠、高安全、易