1.1.2 国外商业银行广域网数据传输加速
项目概况:
该用户为国外大型商业银行客户
用户有一个主数据中心,6个大型分支节点包括备份数据中心和开发中心 数据中心之间有大量的数据传输,包括数据库备份,CIFS文件复制,HTTP数据传输,远程数据库访问等。 由于数据传输量大,现有的OC3 155Mbps广域网线路已经不能满足需求 尽管带宽较大,但数据传输的速度仍然较慢
网络结构:
客户需求:
所有的数据传输必须保留源地址,便于安全审计。
每个数据中心之间需要有2万个左右的Session需要进行优化。
每个数据中心到中心节点的实际传输带宽超过400Mbps,中心节点的最高带宽容量为10Gbps。 设计必须考虑到冗余性和高可用性。
建议的方案必须最小限度的影响现有系统。
方案在将来有很好的扩展性,还可以继续增加广域网带宽。
要求方案设计简单,容易部署。
部署的最初考虑是从CIFS文件拷贝和远程数据库访问开始,然后再部署其他协议的优化。
F5的解决方案:
采用WANJet实现广域网数据传输优化,包括提高数据传输速度和减小广域网带宽占用,每台WANJet设备用于处理400Mbps的广域网流量。每4台WANJet用于处理一个分支机构的数据传输,最高可达到800Mbps的广域网流量。 由于带宽要求非常高,因此采用在中心节点采用BIGIP 8400,分支节点采用BIGIP 6800对WANJet进行负载均衡。 BIGIP 8400的最大带宽吞吐可到10Gbps, 6800可到4Gbps,在满足现有需求的前提下,还有很好的扩展性。 Reputation:f5是业界经过验证的成熟供应商,银行也认可这一点
为什么选择F5:
大流量的支持:用户需要在不增加物理带宽的前提下,将现有的155Mbps OC3线路提升到超过400Mbps的吞吐能力,中心节点的汇总流量达到了6.4Gbps。WANJet在单台设备时即可以处理400Mbps的流量,而竞争对手需要8台设备处理才能处理400Mbps流量。
大并发连接数支持:每个分支机构有大约2万个并发连接,中心节点超过12万个并发连接。WANJet单台设备支持14,000个并发连接,而竞争对手在开启协议加速后仅能达到2000个并发连接 稳定而简单的结构部署:在大流量下,无法使用WCCP等对路由器资源消耗巨大的协议。而在线部署为银行最担心的部署方式。
关键技术阐述:
CIFS Proxy: WANJet可完整的支持CIFS文件传输中的快速目录浏览和文件传输加速。通过本地应答、数据压缩、TDR II等多项技术极大的提高了Windows环境下的文件传输和客户端响应速度。
无硬盘缓存:WANJet采用高效的数据处理算法,没有内置硬盘,因此不存在本地数据Cache,从而不会给系统的安全性带来额外的隐患。同时提高了系统的稳定性,在数据传输的骨干链路上不会因为频繁存取硬盘而导致系统的不稳定状态。
BIGIP负载均衡:通过BIGIP对WANJet进行负载均衡,提高了系统的扩展性和稳定性。BIGIP可以动态监测WANJet的健康状态,如果某台WANJet出现故障,则将其从负载均衡组中摘除,保证系统的稳定运行。并且避免了采用WCCP,策略路由等技术带来的路由器高资源消耗。 TDR II技术:与传统的基于数据块压缩技术不同,WANJet采用基于应用层的字节压缩技术。该技术带来的最大优点就是采用更小(64K)的数据字典和得到更高的传输速度(622M)。同时提高了数据的压缩比,减小在广域网上的数据传输。
1.1.3 商业银行省级分行流量管理解决方案
项目概况:
该项目为总行推广省级数据大集中项目,省级Internet安全集中控管项目,Web应用集中代理服务器的负载均衡项目。
分行实施全省Internet安全集中控管项目,涉及到多链路的负载均衡解决方案,以及Web应用代理服务器的负载均衡解决方案。 该项目最后选择了2台F5 Linkcontroller 1500链路控制器来实现上述功能要求,并且满足目前的200M流量吞吐的性能要求。
网络结构:
客户需求:
多链路负载均衡
详细说明:在省级分行的多链路负载均衡需求中,主要是针对内网用户的Outbound链路负载均衡需求。要保证某一条链路断线时,内网用户能够正常访问Internet,而在多条链路都正常的时候,能够按照合适的负载均衡算法选择一条合理的链路。
内外网的DOS攻击防护
详细说明:考虑到传统防火墙对DOS攻击的防护能力较弱,在最外层的链路控制器上增进对DOS攻击的安全防护。
带宽管理
详细说明:对内网用户的Internet访问进行应用分类,保证最关键业务的带宽,减少非关键应用对带宽的占用和浪费,从而提高QOS。
Web应用集中代理服务器负载均衡
详细说明:省行一般使用多台Microsoft ISA作为Web代理服务器,为底下各个二级分行和营业点提供Web业务代理服务;为了保证服务器的高可靠性和高可用性,利用服务器负载均衡技术进行优化。
高可靠性
详细说明:所有网络设备必须通过HA方式保证系统的7x24小时服务,保证整个系统的高可靠性;同时提供会话镜像功能,保证设备切换时,应用的连续性。
F5的解决方案:
采用F5 LC1500实现多链路的负载均衡;在Outbound链路负载均衡时,可以根据预先导入的ISP地址列表进行链路的选择,当某一条链路断线时,透明地切换到另一条链路,对客户和应用透明。
利用F5 LC上自带的Syn Check机制,对TCP三次握手进行检查,丢弃非法的Syn数据包,并且输出报警和日志。 利用F5 LC上自带的Rate Shaping功能,可以定义最小保证带宽,最大限度带宽,并且可以通过iRules灵活地加载到相应IP地址和TCP/UDP端口等类型上。
利用F5 LC上自带的服务器负载均衡功能,对Web代理服务器进行负载均衡,如果希望简化负载均衡流程,也可以如“Web应用集中代理服务器负载均衡解决方案拓扑图”所示,再增加专门的F5 LTM产品进行Web代理服务器的负载均衡。 F5 LC1500配置成双机Active-Standby冗余模式,并且和下层外网防火墙进行联动切换,保证整个系统的可靠性。
为什么选择F5:
性价比最优的解决方案,保护用户的投资。
标配的F5 LC链路控制器,集成了DOS安全防护,Rate Shaping带宽管理和服务器负载均衡功能,满足用户对流量的高级管理需求。
F5的iRules可编程管理流量技术,是业界唯一地可以灵活控制和管理流量的工具。 F5的ADN整体解决方案可以为今后应用系统的发展提供网络平台基础,并可以进行套餐化定制。 F5设备的双机心跳线方式提供毫秒级快速切换,是银行关键业务系统所必需的。 F5在世界级银行以及全国性银行的成功案例和优异运行记录。
关键技术阐述:
通过iRules灵活地对各种流量进行Rate Shaping带宽管理
when CLIENT_ACCEPTED {
if { [matchclass [IP::remote_addr] equals $::it_class]} {
rateclass yewu1
pool ctcfirst_pool }
else {
if { [matchclass [IP::remote_addr] equals $::newlink_class]} {
rateclass yewu2 pool cncfirst_pool
} else {
pool default_gateway_pool }}}