puts \
if { [info exists ::active_clients($client_ip)] } {
puts \ if {$::active_clients($client_ip) > 3 } { reject
puts \ return
} else {
incr ::active_clients($client_ip)
puts \ } } else {
puts \ set ::active_clients($client_ip) 1 } }
when CLIENT_CLOSED {
puts \
if { [info exists ::active_clients($client_ip)] } { incr ::active_clients($client_ip) -1
if { $::active_clients($client_ip) <= 0 } { unset ::active_clients($client_ip) } } }
BIG-IP的SYNCheck特性提供全面的防SYN Flood攻击:
LTM6800可安全地过滤海量攻击,同时为合法连接用户提供不间断的服务。
双机采用专用的心跳线,支持毫秒级切换:专用的心跳线使双机的切换变得更加快速可靠。双机的切换可以在200毫秒以内完成。
双机连接状态镜像(Connection Mirroring):LTM设备支持会话表有选择性状态同步,可以选择设定对哪些应用采用会话状态同步功能。这样即可减轻双机状态同步对系统带来的额外压力,又可以对要求不间断运行的应用,做到双机切换对应用无影响。
1.2 证券
1.2.1 大型证券公司网上证券交易系统
项目概况:
原有的负载均衡设备故障频繁,性能已经不能满足发展需求 需要SSL加速,降低服务器资源损耗
由于业务发展迅速,需要预留较大的升级空间
网络结构:
客户需求:
对于行情和交易服务器,最重要的是需要具备应付突发行情的处理能力和高可用性,保证在任何时候行情和交易不会中断。
通过Cache Server提高Web服务的响应速度。
需要实现防火墙负载均衡保证防火墙系统的高性能和高可用性。 SSL卸载减小后台服务器的SSL处理压力
F5的解决方案:
4台BIGIP同时实现防火墙负载均衡和服务器负载均衡
在BIGIP中提供SSL加速功能
通过Rules实现Cache服务器的灵活定向和故障恢复 Why F5:
关键技术阐述:
防火墙负载均衡:通过BIGIP AutoLastHop特性,可以非常方便的部署防火墙负载均衡,可支持防火墙NAT、路由、透明等多种模式。并且可以混杂防火墙型号、模式。
SSL加速:BIGIP内置SSL加速芯片,可以将所有的SSL非对称加解密和对称加解密部分卸载到BIGIP上,降低了服务器的SSL处理压力。 iRules:可编程控制网络的经典体现。通过灵活的Rules,可以在BIGIP上对流量进行自定义分析、自定义控制、自定义转换和内容替换等功能。
在金融行业有大量成功案例。深得行业客户好评。 F5提供整体解决方案,面向安全、加速和高可用性。 系统运行稳定,保证交易通畅。
All in One设计,在达到高性能和复杂功能的同时保证了系统的设计、维护简单。
具有良好的扩展性。
1.3 保险
1.3.1 保险公司负载均衡应用解决方案
项目概况:
BIGIP为该集团所有生产系统以及网上业务系统提供应用负载功能
集团通过旗下各专业子公司共为3,700多万名个人客户及约200万名公司客户提供了保险保障、投资理财等各项金融服务。公司拥有20多万名销售人员及近4万名正式雇员,各级各类分支机构及营销服务部门3,000多个
集团内部包括有超过150个应用系统,应用系统之间有各种不同关联,需要在应用层处理上满足各种关联的处理流程
集团内部的应用系统架设在不同的应用平台上,包括有Windows、Linux,Weblogic、Websphare等,需要在跨平台的支持上满足各种灵活的处理方式
集团的应用系统全部为生产系统或网上业务系统,因此要求要对通信进行较高的加密处理和严格的证书处理
典型网络结构:
客户需求:
需要满足针对各种应用平台的深层次应用处理和健康检查,包括有Weblogic和Websphare,以及微软的AppCenter
需要支持各种形式的SSL加密处理以及证书处理,包括证书的透传等细节处理
需要满足针对应用的细节选择处理,包括根据不同的应用条件选择相应的应用服务器进行数据处理
需要满足各种会话保持要求,特别是根据应用条件的会话保持以及根据Cookie信息的会话保持处理
要保证高可用性,包括在发生应用切换时候的会话处理能力
要能支持高性能,支持数百万级的并发连接处理和十万级的新建会话处理。 要有高扩展性,能灵活增加新的处理设备
要满足无缝整合,能在任何时候部署新的设备,不影响应用的持续性
方案在将来有很好的扩展性,还可以灵活增加新的应用系统而不涉及内部改动 要能实现分布式部署,并且能进行统一规划,统一管理 要求方案设计简单,容易部署。
F5的解决方案:
使用多台BIGIP LTM来实现应用负载均衡,分别处理不同层面的应用系统 使用iRules来进行细节应用处理,凡是满足某种应用条件的数据包,都根据要求分配到相应的应用服务器进行相关处理
使用高级应用健康检查机制(EAV、ECV)来与各种不同的内部应用平台沟通,真正保证应用健康检查的准确性 使用BIGIP内部的SSL加速芯片来提供对基于SSL加密通道通信的高性能处理,并且通过F5的iRules实现各种证书内容的透传处理 使用基于Cooike信息的会话保持机制,来保证应用访问的完整性 通过iControl接口与内部网络管理系统进行结合,实现统一管理 通过Oneconnect功能实现连接优化,提升服务器的处理能力
为什么选择F5:
高效灵活的应用处理能力,通过iRules,可以根据应用的各种细节需求进行动静态的处理
稳定可靠的会话保持机制,通过基于Cookie信息的会话保持方式,能保证即使从同一台应用代理发出的多种应用访问,也能进行区分并实现应用会话自此至终在同一台应用服务器上完成
准确的高级应用健康检查,F5可以模拟客户端向服务器发出请求,检查接收数据中是否含有期望的字符串来确定应用的状态,并且可以使用shell script 或perl 语言等嵌入程序执行EAV,对服务器进行多层步骤、复杂的健康检查,从而准确定位服务器的工作状态
超强的SSL处理能力和全面的证书透传处理能力,可以通过F5内部的高性能SSL加解密芯片,来处理从客户端发送过来的大量SSL请求,将这些请求进行解密后,再以HTTP方式发送到后台的服务器,以节省服务器的CPU资源
高可用性的保证,F5采用自行设计的高速切换方式,现在最短的已经可以达到200ms的切换速度。并且在两台设备之间对数据流的状态信息进行复制,保证在切换后用户端和服务器端感觉不到切换,从而保证应用的持续运行。
关键技术阐述: