在負(fù)載均衡器的市場(chǎng)領(lǐng)域里面，大家肯定不會(huì)對(duì)F5的產(chǎn)品陌生，那么前面我們介紹了不少相關(guān)的內(nèi)容，現(xiàn)在針對(duì)F5 Bigip的展品來做一個(gè)具體的介紹吧。首先讓我們來了解一下F5 Bigip的優(yōu)勢(shì)有哪些，具體內(nèi)容請(qǐng)見下文。

Q:F5 Bigip 的優(yōu)勢(shì)在哪?

A:
◆最多的負(fù)載均衡模式(12 種)其中觀察模式,預(yù)測(cè)模式是F5 的專利

◆會(huì)話保持技術(shù)最多(8 種)其中Cookie 會(huì)話保持技術(shù)向所有的競(jìng)爭(zhēng)對(duì)手收取專利費(fèi)

◆服務(wù)器健康檢查最徹底,專有的EAV､ECV 健康檢查模式

◆性能最好,速度最快: 125000 S/S Lay4(Bigip 2400); 19000 S/S Lay7(Bigip 5000);1.8Gbps;

◆會(huì)話保持?jǐn)?shù)量第一達(dá)到:400 萬

◆支持最多的VIP : 4 萬個(gè)

◆唯一交換機(jī)廠商有開放的API, iControl

Q:請(qǐng)解釋Bigip負(fù)載均衡器上的SSL 加速功能?

A: Bigip SSL 加速功能是指通過在Bigip 上的專用的SSL 處理芯片,作為SSL 的代理,將來自客戶端的SSL 請(qǐng)求終結(jié)在Bigip 上,以此來卸載服務(wù)器上的SSL(安全套接層)處理對(duì)服務(wù)器CPU 資源的消耗,以提高其性能,同時(shí)大幅度縮短響應(yīng)時(shí)間并增強(qiáng)客戶交易流量管理｡SSL 加速技術(shù)可以提高電子商務(wù)服務(wù)器的性能,并在關(guān)鍵業(yè)務(wù)在線交易過程中提供安全性､高速度和流量管理,所有這一切都是從同一地點(diǎn)進(jìn)行的,無需費(fèi)錢費(fèi)力地在每臺(tái)服務(wù)器上安裝額外的硬件或軟件｡
通過Bigip SSL 加速｡

◆集中化的 SSL 處理方式:不需每個(gè)服務(wù)器安裝公司SSL 卡使服務(wù)器提供最好的服務(wù)響應(yīng),而不必處理 SSL 的令人頭疼問題

◆集中化的認(rèn)證管理:不需每個(gè)服務(wù)器進(jìn)行認(rèn)證,目前Bigip 1000､2400､5000 標(biāo)準(zhǔn)配置已經(jīng)包含了100TPS 的SSL 支持,通過額外購(gòu)買License,可以擴(kuò)展到400､800､1200｡注:TPS 是指每秒的交易數(shù)量

Q:Bigip負(fù)載均衡器的安全性如何?

A:F5 Bigip負(fù)載均衡器上通過以下機(jī)制提高系統(tǒng)的安全性:
◆缺省拒絕(Default deny)､Port Lockdown 機(jī)制
◆BIG-IP 用監(jiān)察資料交易的起點(diǎn),目的或入口來過濾封包和限制或拒絕雙向的流量
◆遠(yuǎn)端管理,使用SSH 命令列或以SSL 來做瀏覽器介面管理
◆能把無用的連接關(guān)掉(阻擋拒絕服務(wù)攻擊)
◆能找起點(diǎn)路線(阻擋IP spoofing)
◆Syncookie 機(jī)制抵制SYN floods 攻擊
◆阻擋teardrop 和陸地攻擊
◆阻礙ICMP(網(wǎng)絡(luò)控制訊息協(xié)議)攻擊,保護(hù)它自己和其他服務(wù)器
◆不使用SMTPd,FTPd,Telnetd,或其它可攻擊的惡魔
◆可發(fā)現(xiàn)､記錄DOS 攻擊情況,能發(fā)現(xiàn)任何試圖非法存取的服務(wù)和端口:
企圖率:企圖多少次
端口:哪些端口被攻擊
IP 地址:攻擊者的IP 地址#p#

Q:Bigip負(fù)載均衡器的可靠性如何?

A:通過配置雙機(jī)運(yùn)行于Redundant 模式,BIG-IP 提供支持99.999%的正常運(yùn)行時(shí)間｡

Q:Bigip負(fù)載均衡器雙機(jī)是如何工作的?

A:F5 Bigip 雙機(jī)即支持Active-Standby 方式也支持Active-Active 方式｡如果是Active-Active 方式,采用的是路由分擔(dān)的模式｡運(yùn)行于HA 方式的兩臺(tái)四層交換機(jī)通過Failover 串口線交換心跳信息(電壓信號(hào)不斷地由一方送到另外一方)｡處于Standby 的系統(tǒng)不斷監(jiān)控Failover 上的電平,一旦發(fā)現(xiàn)電平降低,Standby Unit 會(huì)立即變成Active,會(huì)發(fā)生切換(Failover).通過串口監(jiān)控電平信號(hào)引起的切換可以在一秒中以內(nèi)完成(大概200~300ms).

四層交換機(jī)在系統(tǒng)啟動(dòng)的時(shí)候也會(huì)監(jiān)控Failover 線纜的電平以決定系統(tǒng)是處于Active 狀態(tài)還是Standby 狀態(tài)｡Failover 線纜也可以不采用串口線,而直接采用網(wǎng)絡(luò)線｡(但F5 不建議這樣做,因?yàn)榫W(wǎng)絡(luò)層故障就可能會(huì)兩臺(tái)負(fù)載均衡器都處于Active 狀態(tài))｡如果采用網(wǎng)絡(luò)層監(jiān)控實(shí)現(xiàn)Failover,Bigip負(fù)載均衡器將通過1027 與1028 端口交換心跳信息｡在串口Failover 線纜上不傳輸任何數(shù)據(jù)信息｡數(shù)據(jù)信息的傳輸通過網(wǎng)絡(luò)來完成｡因此運(yùn)行于HA 方式的兩臺(tái)四層交換機(jī)在網(wǎng)絡(luò)層必須是相通的｡(可以用網(wǎng)線將兩臺(tái)四層交換機(jī)直接相連起來,也可以通過其它的二層設(shè)備將兩臺(tái)四層交換機(jī)相連,使四層交換機(jī)在網(wǎng)絡(luò)上可以連通對(duì)端的Failover IP 地址)｡
兩臺(tái)運(yùn)行于HA 方式的四層交換機(jī)之間通過網(wǎng)絡(luò)層交互的信息主要包括:

用于配置同步的信息:通過手工執(zhí)行config sync 會(huì)引起Active 到Standby 系統(tǒng)的配置信息傳輸｡用于在發(fā)生Failover 時(shí)連接維持的信息: 如果設(shè)置了Connection Mirroring,處于Active 的四層交換機(jī)會(huì)將連接表每十秒中發(fā)送一次到Standby 的系統(tǒng)｡ (The following TCP Connections can be mirrored:TCP､UDP､SNAT､FTP､Telnet )如果設(shè)置了Stateful Failover,Persistence 信息也會(huì)被發(fā)送到Standby 系統(tǒng)｡(The following persistence information for the virtual servers (VIPs) can be mirrored:SSL persistence､Sticky persistence､iRules Persistence )一般來說,對(duì)于長(zhǎng)連接的應(yīng)用如ftp,telnet 才需要將連接狀態(tài)進(jìn)行同步,而一些短連接應(yīng)用如http,并不需要進(jìn)行連接狀態(tài)同步｡

Q:在Bigip 雙機(jī)處于一主一備的運(yùn)行模式中,后臺(tái)的服務(wù)器通過雙網(wǎng)卡與兩臺(tái)Bigip 相連,是不是一個(gè)網(wǎng)卡down 掉或網(wǎng)卡所連的鏈路斷掉,就會(huì)引起B(yǎng)igip 進(jìn)行切換?

A:Bigip負(fù)載均衡器支持對(duì)某一VLAN 上所連鏈路狀態(tài)的檢測(cè),但當(dāng)配置雙網(wǎng)卡的服務(wù)器有一鏈路或網(wǎng)卡故障時(shí),并不需要Bigip 進(jìn)行切換,而只需要通過網(wǎng)卡的鏈路切換來保證服務(wù)器的連通性｡對(duì)Intel､Broadcom 等服務(wù)器網(wǎng)卡,都有相應(yīng)的驅(qū)動(dòng)程序?qū)嶒?yàn)同一服務(wù)器上多網(wǎng)卡的failover 或負(fù)載均衡,而在SUN 服務(wù)器上solaris 操作系統(tǒng)已經(jīng)帶了IP Multipathing 功能實(shí)現(xiàn)多網(wǎng)卡的互為備用及負(fù)載均衡｡

Q:什么是iControl?

A:iControl 是F5 的內(nèi)部通信協(xié)議,它實(shí)現(xiàn)了產(chǎn)品間的安全網(wǎng)絡(luò)通信,用于對(duì)F5 設(shè)備進(jìn)行配置､監(jiān)控､測(cè)量､管理并進(jìn)行數(shù)據(jù)傳輸｡F5 是業(yè)內(nèi)第一個(gè)免費(fèi)開發(fā)內(nèi)部通信協(xié)議接口與開發(fā)包的網(wǎng)絡(luò)設(shè)備廠商｡iControl
◆包含一個(gè)基于安全版CORBA/IIOPS 的內(nèi)部API
◆提供SOAP/XML 方式的外部API
◆輕松､快速地將應(yīng)用與F5 Networks 設(shè)備進(jìn)行集成
◆通過在API 級(jí)與F5 Networks 設(shè)備進(jìn)行集成而最大限度地降低維護(hù)成本,確保未來可操作性