F5負載均衡產(chǎn)品時我們常用的網(wǎng)絡負載控制的產(chǎn)品之一，那么在此我們對它的功能和特點進行一個全面的介紹。通過對這個產(chǎn)品的認識，我們也能發(fā)現(xiàn)，在網(wǎng)絡管理中我們需要注意哪些方面的問題。那么更多的內(nèi)容，還是從下文中了解吧。

F5負載均衡功能1.多鏈路的負載均衡和冗余

與互聯(lián)網(wǎng)絡相關的關鍵業(yè)務都需要安排和配置多條ISP接入鏈路以保證網(wǎng)絡服務的質(zhì)量,消除單點故障,減少停機時間｡多條ISP接入的方案并不是簡單的多條不同的廣域網(wǎng)絡的路由問題,因為不同的ISP有不同自治域,所以必須考慮到兩種情況下如何實現(xiàn)多條鏈路的負載均衡:內(nèi)部的應用系統(tǒng)和網(wǎng)絡工作站在訪問互聯(lián)網(wǎng)絡的服務和網(wǎng)站時如何能夠在多條不同的鏈路中動態(tài)分配和負載均衡,這也被稱為OUTBOUND流量的負載均衡｡互聯(lián)網(wǎng)絡的外部用戶如何在外部訪問內(nèi)部的網(wǎng)站和應用系統(tǒng)時也能夠動態(tài)的在多條鏈路上平衡分配,并在一條鏈路中斷的時候能夠智能地自動切換到另外一條鏈路到達服務器和應用系統(tǒng),這也被稱作為INBOUND流量的負載均衡｡

F5 的BIG-IP LC可以智能的解決以上兩個問題:對于OUTBOUND流量,BIG-IP LC接收到流量以后,可以智能的將OUTBOUND流量分配到不同的INTERNET接口,并做源地址的NAT,可以指定某一合法IP地址進行源地址的 NAT,也可以用BIG-IP LC的接口地址自動映射,保證數(shù)據(jù)包返回時能夠正確接收｡對于INBOUND流量,BIG-IP LC分別綁定兩個ISP 服務商的公網(wǎng)地址,解析來自兩個ISP服務商的DNS解析請求｡BIG-IP LC不僅可以根據(jù)服務器的健康狀況和響應速度回應LDNS相應的IP地址,還可以通過兩條鏈路分別與LDNS建立連接,根據(jù)RTT時間判斷鏈路的好壞,并且綜合以上兩個參數(shù)回應LDNS相應的IP地址｡

F5負載均衡功能2.防火墻負載均衡

考慮到絕大多數(shù)的防火墻只能達到線速的30%吞吐能力,故要使系統(tǒng)達到設計要求的線速處理能力,必須添加多臺防火墻,以滿足系統(tǒng)要求｡然而,防火墻必須要求數(shù)據(jù)同進同出,否則連接將被拒絕｡如何解決防火墻的負載均衡問題,是關系到整個系統(tǒng)的穩(wěn)定性的關鍵問題｡F5的防火墻負載均衡方案,能夠為用戶提供異構防火墻的負載均衡與故障自動排除能力｡典型的提高防火墻處理能力的方法是采用“防火墻三明治"的方法,以實現(xiàn)透明設備的持續(xù)性｡這可滿足某些要求客戶為成功安全完成交易必須通過同一防火墻的應用程序的要求,也能夠維護原來的網(wǎng)絡安全隔離的要求｡

F5負載均衡功能3.服務器負載均衡

對于所有的對外提供服務的服務器,均可以在BIG-IP上配置Virtual Server實現(xiàn)負載均衡,同時BIG-IP可持續(xù)檢查服務器的健康狀態(tài),一旦發(fā)現(xiàn)故障服務器,則將其從負載均衡組中摘除｡BIG-IP利用虛擬IP地址(VIP由IP地址和TCP/UDP應用的端口組成,它是一個地址)來為用戶的一個或多個目標服務器(稱為節(jié)點:目標服務器的IP地址和TCP/UDP應用的端口組成,它可以是internet的私網(wǎng)地址)提供服務｡因此,它能夠為大量的基于TCP/IP的網(wǎng)絡應用提供服務器負載均衡服務｡根據(jù)服務類型不同分別定義服務器群組,可以根據(jù)不同服務端口將流量導向到相應的服務器｡BIG-IP連續(xù)地對目標服務器進行L4到L7合理性檢查,當用戶通過VIP請求目標服務器服務時,BIG-IP根椐目標服務器之間性能和網(wǎng)絡健康情況,選擇性能最佳的服務器響應用戶的請求｡如果能夠充分利用所有的服務器資源,將所有流量均衡的分配到各個服務器,我們就可以有效地避免“不平衡"現(xiàn)象的發(fā)生｡利用UIE+iRules可以將TCP/UDP數(shù)據(jù)包打開,并搜索其中的特征數(shù)據(jù),之后根據(jù)搜索到的特征數(shù)據(jù)作相應的規(guī)則處理｡因此可以根據(jù)用戶訪問內(nèi)容的不同將流量導向到相應的服務器,例如:根據(jù)用戶訪問請求的URL將流量導向到相應的服務器｡

F5負載均衡功能4.系統(tǒng)高可用性

系統(tǒng)高可用性主要可以從以下幾個方面考慮:

4.1.設備自身的高可用性:F5 BIG-IP專門優(yōu)化的體系結構和卓越的處理能力保證99.999%的正常運行時間,在雙機冗余模式下工作時可以實現(xiàn)毫秒級切換,保證系統(tǒng)穩(wěn)定運行,另外還有冗余電源模塊可選｡在采用雙機備份方式時,備機切換時間最快會在200ms之內(nèi)進行切換｡BIG-IP 產(chǎn)品是業(yè)界唯一的可以達到毫秒級切換的產(chǎn)品, 而且設計極為合理,所有會話通過Active 的BIG-IP 的同時,會把會話信息通過同步數(shù)據(jù)線同步到Backup的BIG-IP,保證在Backup BIG-IP內(nèi)也有所有的用戶訪問會話信息;另外每臺設備中的watchdog芯片通過心跳線監(jiān)控對方設備的電頻,當Active BIG-IP故障時,watchdog會首先發(fā)現(xiàn),并通知Backup BIG-IP接管Shared IP,VIP等,完成切換過程,因為Backup BIG-IP中有事先同步好的會話信息,所以可以保證訪問的暢通無阻｡

4.2.鏈路冗余:BIG-IP可以檢測每條鏈路的運行狀態(tài)和可用性,做到鏈路和ISP故障的實時檢測｡一旦出現(xiàn)故障,流量將被透明動態(tài)的引導至其它可用鏈路｡通過監(jiān)控和管理出入數(shù)據(jù)中心的雙向流量,內(nèi)部和外部用戶均可保持網(wǎng)絡的全時連接｡#p#

4.3.服務器冗余,多臺服務器同時提供服務,當某一臺服務器故障不能提供服務時,用戶的訪問不會中斷｡BIG-IP可以在OSI七層模型中的不同層面上對服務器進行健康檢查,實時監(jiān)測服務器健康狀況,如果某臺服務器出現(xiàn)故障,BIG-IP確定它無法提供服務后,就會將其在服務隊列中清除,保證用戶正常的訪問應用,確?；貞獌?nèi)容的正確性｡

F5負載均衡功能5.高度的安全性

BIG-IP采用防火墻的設計原理,是缺省拒絕設備,它可以為任何站點增加額外的安全保護,防御普通網(wǎng)絡攻擊｡可以通過支持命令行的SSH或支持瀏覽器管理的SSL方便､安全的進行遠程管理,提高設備自身的安全性;能夠拆除空閑連接防止拒絕服務攻擊;能夠執(zhí)行源路由跟蹤防止IP欺騙;拒絕沒有ACK緩沖確認的SYN防止SYN攻擊;拒絕teartop和land攻擊;保護自己和服務器免受ICMP攻擊;不運行SMTP､FTP､TELNET或其它易受攻擊的后臺程序｡

BIG-IP的Dynamic Reaping特性可以高效刪除各類網(wǎng)絡DoS攻擊中的空閑連接,這可以保護BIG-IP不會因流量過多而癱瘓｡BIG-IP可以隨著攻擊量的增加而加快連接切斷速率,從而提供一種具有極強適應能力､能夠防御最大攻擊量的解決方案｡BIG-IP的Delay Binding技術可以為部署在BIG-IP后面的服務器提供全面地SYN Flood保護｡此時,BIG-IP設備作為安全代理來有效保護整個網(wǎng)絡｡BIG-IP可以和其它安全設備配合,構建動態(tài)安全防御體系｡BIG-IP可以根據(jù)用戶單位時間內(nèi)的連接數(shù)生成控制訪問列表,將該列表加載到其它安全設備上,有效控制攻擊流量｡F5負載均衡功能6.SSL加速,在每臺BIG-IP上,都具有SSL硬件加速芯片,并且自帶100個TPS的License,用戶可以不通過單獨付費,就可以擁有100個TPS的SSL 加速功能,節(jié)約了用戶的投資｡在將來系統(tǒng)擴展時,可以簡單的通過License升級的方式,獲得更高的SSL加速性能｡

F5負載均衡功能7.系統(tǒng)管理

BIG-IP提供HTTPS､SSH､Telnet､SNMP等多種管理方式,用戶客戶端只需操作系統(tǒng)自帶的瀏覽器軟件即可,不需安裝其它軟件｡可以通過支持命令行的SSH或支持瀏覽器管理的SSL方便､安全的進行遠程管理｡直觀易用的Web圖形用戶界面大服務降低了多歸屬基礎設施的實施成本和日常維護費用｡BIG-IP包含詳盡的實時報告和歷史紀錄報告,可供評測站點流量､相關ISP性能和預計帶寬計費周期｡管理員可以通過全面地報告功能充分掌握帶寬資源的利用狀況｡另外,通過F5 的i-Control 開發(fā)包,目前國內(nèi)已有基于i-Control開發(fā)的網(wǎng)管軟件x-control, 可以定制針對系統(tǒng)服務特點的監(jiān)控系統(tǒng),比如服務的流量情況､各種服務連接數(shù)､訪問情況､節(jié)點的健康狀況等等,進行可視化顯示｡告警方式可以提供syslog､snmp trap､mail等方式｡

F5負載均衡功能8.其它

內(nèi)存擴充能力:F5 BIG-IP 1000以上設備單機最大可擴充到2G內(nèi)存,此時可支持400萬并發(fā)回話｡升級能力:F5 所有設備均可通過軟件方式升級,在服務有效期內(nèi),升級軟件包由F5公司提供｡F5 NETWORKS已經(jīng)發(fā)布其系統(tǒng)的最新版本BIG-IP V9.0,主要有以下特性:虛擬 IPV4 / IPV6 應用､加速Web應用高達3倍､減少66%甚至更多的基礎架構成本､確保高優(yōu)先級應用的性能､確保更高級別的可用性､大幅提高網(wǎng)絡和應用安全性､強大的性能,簡單的管理方式､無以匹敵的自適應能力和延展能力和突破的性能表現(xiàn)力｡其強大的HTTP壓縮功能可以將用戶下載時間縮短50%,節(jié)省80%的帶寬｡IP地址過濾和帶寬控制:BIG-IP可以根據(jù)訪問控制列表對數(shù)據(jù)包進行過濾,并且針對某一關鍵應用進行帶寬控制,確保關鍵應用的穩(wěn)定運行｡配置管理及系統(tǒng)報告:F5 BIG-IP提供WEB 界面配置方式和命令行方式進行配置管理,并在其中提供了豐富的系統(tǒng)報告,更可通過i-Control自行開發(fā)復雜的配置及報告生成｡