Bigip负载均衡器的问题汇总(1)

文章中我们主要针对Bigip负载均衡器的相关内容进行了提问和解答，想必已经包含了不少大家想要了解的内容了。具体请见下文。

在负载均衡器的市场领域里面，大家肯定不会对F5的产品陌生，那么前面我们介绍了不少相关的内容，现在针对F5 Bigip的展品来做一个具体的介绍吧。首先让我们来了解一下F5 Bigip的优势有哪些，具体内容请见下文。

Q:F5 Bigip 的优势在哪?

A:

◆最多的负载均衡模式(12 种)其中观察模式,预测模式是F5 的专利

◆会话保持技术最多(8 种)其中Cookie 会话保持技术向所有的竞争对手收取专利费

◆服务器健康检查最彻底,专有的EAV?ECV 健康检查模式

◆性能最好,速度最快: 125000 S/S Lay4(Bigip 2400); 19000 S/S Lay7(Bigip 5000);1.8Gbps;

◆会话保持数量第一达到:400 万

◆支持最多的VIP : 4 万个

◆唯一交换机厂商有开放的API, iControl

Q:请解释Bigip负载均衡器上的SSL 加速功能?

A: Bigip SSL 加速功能是指通过在Bigip 上的专用的SSL 处理芯片,作为SSL 的代理,将来自客户端的SSL 请求终结在Bigip 上,以此来卸载服务器上的SSL(安全套接层)处理对服务器CPU 资源的消耗,以提高其性能,同时大幅度缩短响应时间并增强客户交易流量管理?SSL 加速技术可以提高电子商务服务器的性能,并在关键业务在线交易过程中提供安全性?高速度和流量管理,所有这一切都是从同一地点进行的,无需费钱费力地在每台服务器上安装额外的硬件或软件?

通过Bigip SSL 加速?

◆集中化的 SSL 处理方式:不需每个服务器安装公司SSL 卡使服务器提供最好的服务响应,而不必处理 SSL 的令人头疼问题

◆集中化的认证管理:不需每个服务器进行认证,目前Bigip 1000?2400?5000 标准配置已经包含了100TPS 的SSL 支持,通过额外购买License,可以扩展到400?800?1200?注:TPS 是指每秒的交易数量

Q:Bigip负载均衡器的安全性如何?

A:F5 Bigip负载均衡器上通过以下机制提高系统的安全性:

◆缺省拒绝(Default deny)?Port Lockdown 机制

◆BIG-IP 用监察资料交易的起点,目的或入口来过滤封包和限制或拒绝双向的流量

◆远端管理,使用SSH 命令列或以SSL 来做浏览器介面管理

◆能把无用的连接关掉(阻挡拒绝服务攻击)

◆能找起点路线(阻挡IP spoofing)

◆Syncookie 机制抵制SYN floods 攻击

◆阻挡teardrop 和陆地攻击

◆阻碍ICMP(网络控制讯息协议)攻击,保护它自己和其他服务器

◆不使用SMTPd,FTPd,Telnetd,或其它可攻击的恶魔

◆可发现?记录DOS 攻击情况,能发现任何试图非法存取的服务和端口:

企图率:企图多少次

端口:哪些端口被攻击

IP 地址:攻击者的IP 地址

编辑推荐

负载均衡技术基础专题

当前，无论在企业网、园区网还是在广域网上，即使按照当时最优配置建设的网络，业务量的发展都超出了过去..

文章中我们主要针对Bigip负载均衡器的相关内容进行了提问和解答，想必已经包含了不少大家想要了解的内容了。具体请见下文。

Q:Bigip负载均衡器的可靠性如何?

A:通过配置双机运行于Redundant 模式,BIG-IP 提供支持99.999%的正常运行时间?

Q:Bigip负载均衡器双机是如何工作的?

A:F5 Bigip 双机即支持Active-Standby 方式也支持Active-Active 方式?如果是Active-Active 方式,采用的是路由分担的模式?运行于HA 方式的两台四层交换机通过Failover 串口线交换心跳信息(电压信号不断地由一方送到另外一方)?处于Standby 的系统不断监控Failover 上的电平,一旦发现电平降低,Standby Unit 会立即变成Active,会发生切换(Failover).通过串口监控电平信号引起的切换可以在一秒中以内完成(大概200~300ms).

四层交换机在系统启动的时候也会监控Failover 线缆的电平以决定系统是处于Active 状态还是Standby 状态?Failover 线缆也可以不采用串口线,而直接采用网络线?(但F5 不建议这样做,因为网络层故障就可能会两台负载均衡器都处于Active 状态)?如果采用网络层监控实现Failover,Bigip负载均衡器将通过1027 与1028 端口交换心跳信息?在串口Failover 线缆上不传输任何数据信息?数据信息的传输通过网络来完成?因此运行于HA 方式的两台四层交换机在网络层必须是相通的?(可以用网线将两台四层交换机直接相连起来,也可以通过其它的二层设备将两台四层交换机相连,使四层交换机在网络上可以连通对端的Failover IP 地址)?

两台运行于HA 方式的四层交换机之间通过网络层交互的信息主要包括:

用于配置同步的信息:通过手工执行config sync 会引起Active 到Standby 系统的配置信息传输?用于在发生Failover 时连接维持的信息: 如果设置了Connection Mirroring,处于Active 的四层交换机会将连接表每十秒中发送一次到Standby 的系统? (The following TCP Connections can be mirrored:TCP?UDP?SNAT?FTP?Telnet )如果设置了Stateful Failover,Persistence 信息也会被发送到Standby 系统?(The following persistence information for the virtual servers (VIPs) can be mirrored:SSL persistence?Sticky persistence?iRules Persistence )一般来说,对于长连接的应用如ftp,telnet 才需要将连接状态进行同步,而一些短连接应用如http,并不需要进行连接状态同步?

Q:在Bigip 双机处于一主一备的运行模式中,后台的服务器通过双网卡与两台Bigip 相连,是不是一个网卡down 掉或网卡所连的链路断掉,就会引起Bigip 进行切换?

A:Bigip负载均衡器支持对某一VLAN 上所连链路状态的检测,但当配置双网卡的服务器有一链路或网卡故障时,并不需要Bigip 进行切换,而只需要通过网卡的链路切换来保证服务器的连通性?对Intel?Broadcom 等服务器网卡,都有相应的驱动程序实验同一服务器上多网卡的failover 或负载均衡,而在SUN 服务器上solaris 操作系统已经带了IP Multipathing 功能实现多网卡的互为备用及负载均衡?

Q:什么是iControl?

A:iControl 是F5 的内部通信协议,它实现了产品间的安全网络通信,用于对F5 设备进行配置?监控?测量?管理并进行数据传输?F5 是业内第一个免费开发内部通信协议接口与开发包的网络设备厂商?iControl

◆包含一个基于安全版CORBA/IIOPS 的内部API

◆提供SOAP/XML 方式的外部API

◆轻松?快速地将应用与F5 Networks 设备进行集成

◆通过在API 级与F5 Networks 设备进行集成而最大限度地降低维护成本,确保未来可操作性

佟媛微

编辑推荐

负载均衡技术基础专题

当前，无论在企业网、园区网还是在广域网上，即使按照当时最优配置建设的网络，业务量的发展都超出了过去..