F5 金融行业解决方案Word格式.docx
《F5 金融行业解决方案Word格式.docx》由会员分享,可在线阅读,更多相关《F5 金融行业解决方案Word格式.docx(51页珍藏版)》请在冰点文库上搜索。
![F5 金融行业解决方案Word格式.docx](https://file1.bingdoc.com/fileroot1/2023-5/9/ac7db239-b370-4dbc-8fa4-a04a375ff7aa/ac7db239-b370-4dbc-8fa4-a04a375ff7aa1.gif)
f5是业界经过验证的成熟供应商,银行也认可这一点
为什么选择F5:
高性能、高流量的数据处理能力,BIGIP6400能支持2G的七层应用流量,并且支持针对高强度的DOS攻击防御,有效保证在各种高强度访问压力下的处理效率。
超高新建连接数与并发连接数支持:
BIGIP6400支持每秒22万的四层新建连接能力,以及每秒7.5万的七层新建连接能力,同时支持800万的并发连接数,具有很高的连接处理能力
灵活的应用处理能力:
F5具有UIE+iRuls,UIE可以高效率地将TCP/UDP的数据包打开,并搜索其中的特征数据。
然后iRules可以根据UIE搜索到的数据进行应用规则处理。
这样,F5可以真正搭建起网络与应用之间的桥梁,实现很多应用开发以及网络配置无法实现的应用需求。
稳定而简单的结构部署:
整个部署和实施过程,不需要影响到原有的拓扑结构,在经过实验验证可行后,可以整套架构直接插入原有拓扑结构中间,不涉及任何网络改动,实现无缝的整合和接入。
在线部署为银行最担心的部署方式,能实现无缝接入部署是F5的最大优势。
在最终部署时,5分钟内已经完成所有切换连接,半个小时后,通过所有应用部门的应用验证,最终确认上线部署成功。
关键技术阐述:
UIE+iRules:
UIE--UniversalInspectionEngine通用搜索引擎,可以将TCP/UDP的数据包打开,并搜索其中的特征数据。
i-rules–可以根据UIE搜索到的数据进行应用规则处理。
UIE+I-rules可以帮助客户实现以下功能:
1.应用流量管理
2.针对复杂应用的负载均衡和会话保持处理
3.应用安全处理
灵活可靠的高级状态健康检查
BIGIP支持采用ICMP,TCP/UDP,ECV,EAV,iControl等各种方法对服务器或应用状态进行健康检查。
●ICMP:
第2/3层的健康检查方法,采用Ping的方法检查服务器是否alive。
●TCP/UDP:
第4层的健康检查方法,检查相应的TCP/UDP端口是否激活来确定Service的状态。
●ECV:
扩展内容验证,第7层的健康检查方法。
模拟客户端向服务器发出请求,检查接收数据中是否含有期望的字符串来确定应用的状态。
●EAV:
扩展应用验证,嵌入式、个性化的健康检查方法。
可以使用shellscript或perl语言等嵌入程序执行EAV,对服务器进行多层步骤、复杂的健康检查。
一般开发EAV需要三天左右的时间。
●iControl:
主动式的健康检查方法。
让服务器或应用来告诉BIGIP,它的健康状态。
一般开发iControl需要三个月甚至更长的时间。
高可用性:
F5的BIGIP采用了独立的管理CPU支持带外管理,称为SCCP模块,SCCP为一个独立的系统,具备自己的独立的OS、Memory和FlashDisk。
在电源接通并打开电源开关的情况下,SCCP即已经启动,并且不受HOST系统重起、挂起等影响。
SCCP在正常工作时,运行在Bridge模式下,将所有管理以太网口和Console的连接传递给HOST系统,以对HOST直接进行管理。
同时,也可以给SCCP配置自己的独立IP地址和路由。
SCCP在配置IP地址后,仅对外提供SSH服务。
在重起SCCP的时候,整个系统,包括HOST均会被重新启动。
利用SCCP,F5可以对正在运作的所有系统进程和硬件的运作状态进行有效监控
国外商业银行广域网数据传输加速
该用户为国外大型商业银行客户
用户有一个主数据中心,6个大型分支节点包括备份数据中心和开发中心
数据中心之间有大量的数据传输,包括数据库备份,CIFS文件复制,HTTP数据传输,远程数据库访问等。
由于数据传输量大,现有的OC3155Mbps广域网线路已经不能满足需求
尽管带宽较大,但数据传输的速度仍然较慢
所有的数据传输必须保留源地址,便于安全审计。
每个数据中心之间需要有2万个左右的Session需要进行优化。
每个数据中心到中心节点的实际传输带宽超过400Mbps,中心节点的最高带宽容量为10Gbps。
设计必须考虑到冗余性和高可用性。
建议的方案必须最小限度的影响现有系统。
方案在将来有很好的扩展性,还可以继续增加广域网带宽。
部署的最初考虑是从CIFS文件拷贝和远程数据库访问开始,然后再部署其他协议的优化。
采用WANJet实现广域网数据传输优化,包括提高数据传输速度和减小广域网带宽占用,每台WANJet设备用于处理400Mbps的广域网流量。
每4台WANJet用于处理一个分支机构的数据传输,最高可达到800Mbps的广域网流量。
由于带宽要求非常高,因此采用在中心节点采用BIGIP8400,分支节点采用BIGIP6800对WANJet进行负载均衡。
BIGIP8400的最大带宽吞吐可到10Gbps,6800可到4Gbps,在满足现有需求的前提下,还有很好的扩展性。
大流量的支持:
用户需要在不增加物理带宽的前提下,将现有的155MbpsOC3线路提升到超过400Mbps的吞吐能力,中心节点的汇总流量达到了6.4Gbps。
WANJet在单台设备时即可以处理400Mbps的流量,而竞争对手需要8台设备处理才能处理400Mbps流量。
大并发连接数支持:
每个分支机构有大约2万个并发连接,中心节点超过12万个并发连接。
WANJet单台设备支持14,000个并发连接,而竞争对手在开启协议加速后仅能达到2000个并发连接
在大流量下,无法使用WCCP等对路由器资源消耗巨大的协议。
而在线部署为银行最担心的部署方式。
CIFSProxy:
WANJet可完整的支持CIFS文件传输中的快速目录浏览和文件传输加速。
通过本地应答、数据压缩、TDRII等多项技术极大的提高了Windows环境下的文件传输和客户端响应速度。
无硬盘缓存:
WANJet采用高效的数据处理算法,没有内置硬盘,因此不存在本地数据Cache,从而不会给系统的安全性带来额外的隐患。
同时提高了系统的稳定性,在数据传输的骨干链路上不会因为频繁存取硬盘而导致系统的不稳定状态。
BIGIP负载均衡:
通过BIGIP对WANJet进行负载均衡,提高了系统的扩展性和稳定性。
BIGIP可以动态监测WANJet的健康状态,如果某台WANJet出现故障,则将其从负载均衡组中摘除,保证系统的稳定运行。
并且避免了采用WCCP,策略路由等技术带来的路由器高资源消耗。
TDRII技术:
与传统的基于数据块压缩技术不同,WANJet采用基于应用层的字节压缩技术。
该技术带来的最大优点就是采用更小(64K)的数据字典和得到更高的传输速度(622M)。
同时提高了数据的压缩比,减小在广域网上的数据传输。
商业银行省级分行流量管理解决方案
该项目为总行推广省级数据大集中项目,省级Internet安全集中控管项目,Web应用集中代理服务器的负载均衡项目。
分行实施全省Internet安全集中控管项目,涉及到多链路的负载均衡解决方案,以及Web应用代理服务器的负载均衡解决方案。
该项目最后选择了2台F5Linkcontroller1500链路控制器来实现上述功能要求,并且满足目前的200M流量吞吐的性能要求。
多链路负载均衡
详细说明:
在省级分行的多链路负载均衡需求中,主要是针对内网用户的Outbound链路负载均衡需求。
要保证某一条链路断线时,内网用户能够正常访问Internet,而在多条链路都正常的时候,能够按照合适的负载均衡算法选择一条合理的链路。
内外网的DOS攻击防护
考虑到传统防火墙对DOS攻击的防护能力较弱,在最外层的链路控制器上增进对DOS攻击的安全防护。
带宽管理
对内网用户的Internet访问进行应用分类,保证最关键业务的带宽,减少非关键应用对带宽的占用和浪费,从而提高QOS。
Web应用集中代理服务器负载均衡
省行一般使用多台MicrosoftISA作为Web代理服务器,为底下各个二级分行和营业点提供Web业务代理服务;
为了保证服务器的高可靠性和高可用性,利用服务器负载均衡技术进行优化。
高可靠性
所有网络设备必须通过HA方式保证系统的7x24小时服务,保证整个系统的高可靠性;
同时提供会话镜像功能,保证设备切换时,应用的连续性。
采用F5LC1500实现多链路的负载均衡;
在Outbound链路负载均衡时,可以根据预先导入的ISP地址列表进行链路的选择,当某一条链路断线时,透明地切换到另一条链路,对客户和应用透明。
利用F5LC上自带的SynCheck机制,对TCP三次握手进行检查,丢弃非法的Syn数据包,并且输出报警和日志。
利用F5LC上自带的RateShaping功能,可以定义最小保证带宽,最大限度带宽,并且可以通过iRules灵活地加载到相应IP地址和TCP/UDP端口等类型上。
利用F5LC上自带的服务器负载均衡功能,对Web代理服务器进行负载均衡,如果希望简化负载均衡流程,也可以如“Web应用集中代理服务器负载均衡解决方案拓扑图”所示,再增加专门的F5LTM产品进行Web代理服务器的负载均衡。
F5LC1500配置成双机Active-Standby冗余模式,并且和下层外网防火墙进行联动切换,保证整个系统的可靠性。
性价比最优的解决方案,保护用户的投资。
标配的F5LC链路控制器,集成了DOS安全防护,RateShaping带宽管理和服务器负载均衡功能,满足用户对流量的高级管理需求。
F5的iRules可编程管理流量技术,是业界唯一地可以灵活控制和管理流量的工具。
F5的ADN整体解决方案可以为今后应用系统的发展提供网络平台基础,并可以进行套餐化定制。
F5设备的双机心跳线方式提供毫秒级快速切换,是银行关键业务系统所必需的。
F5在世界级银行以及全国性银行的成功案例和优异运行记录。
通过iRules灵活地对各种流量进行RateShaping带宽管理
whenCLIENT_ACCEPTED{
if{[matchclass[IP:
:
remote_addr]equals$:
it_class]}{
rateclassyewu1
poolctcfirst_pool
}
else{
newlink_class]}{
rateclassyewu2
poolcncfirst_pool
}
pooldefault_gateway_pool
}}}
地区级商业银行总部网银流量管理解决方案
该地区级商业银行为著名的城市商业银行,业务辐射全国。
按照中国银监会的综合排名,在全国113家城市商业银行中位居前列;
在全国城市商业银行中率先推出网上银行业务。
为了更好地服务网银用户,决定对网银系统进行链路和应用方面的优化。
考虑到中国特有的南北电信互联互通问题,需要将客户访问正确导向到合适的ISP链路,并且多条链路之间互为冗余
对于网站Web服务器,SSL安全网关,网银Web服务器和应用服务器进行负载均衡优化
通过架构流量管理产品,改进服务器和应用在运维时对在线业务的影响。
网银流量管理解决方案拓扑图
用户在建立域名请求连接时,能够根据链路的健康检查结果和相应的算法(Topology,RTT等),智能选择合适的链路来提供用户响应
各种业务服务器负载均衡(包括网站Web服务器,SSL安全网关,网银Web服务器和应用服务器)
根据预设的负载策略,将不同的访问请求分发到相应的服务器。
并能够通过规定方式检查服务器是否正常提供相应的服务,若发现某个服务出现异常,则采用设定的方案进行隔离,保证正常服务不受其影响。
要求在正常情况下两台或多台服务器的负载基本相同,在某台服务器停机的情况下透明的容错,保证关键应用的持续,提供特别的会话保持能力,可以根据不同应用的特点保证特定用户的访问会定位在特定的服务器,只有在这台服务器出现故障时再将访问导向到其他服务器。
温暖关机
在需要对网银业务服务器进行升级维护的时候,利用F5温暖关机的特性,disable需要下线维护的服务器,阻止用户的新建连接,保持用户的在线连接,直到在线连接数下降到零,再由网管人员将服务器下线。
通过HA方式保证系统的7x24小时服务,保证系统的高可靠性;
采用F5LC1500双机HA冗余结构,实现中国电信和中国网通链路双向负载均衡,保证电信用户解析出电信地址,网通用户解析出网通地址。
在链路负载均衡情况下,解决外部邮件服务器的域名反向解析问题,保证银行的邮件服务器收发邮件正常。
采用F5LTM3400双机HA冗余结构,实现网银系统各种业务服务器的负载均衡。
F5负载均衡器内置业界唯一专有的四层ASIC芯片,加速对数据处理的性能。
采用F5特有的负载均衡算法和健康检查方法保证网银各种业务负载实时高效均衡。
采用F5丰富的会话保持机制,对应用访问的一致性进行流量控制。
采用F5的温暖关机特性,优化运维时对用户在线访问的影响。
多链路负载均衡算法:
LC中有多种算法可选择,并且可以定义顺序执行,可先动态,后静态或先静态,后动态,高效灵活,正确解析率高。
服务器负载均衡产品能够满足要求严格的应用健康检查要求
服务器负载均衡产品能够满足特殊的应用会话保持机制,并且可以配置备份的会话保持方式
F5负载均衡器双机心跳线方式提供毫秒级快速切换,是网银系统这样的关键业务系统所必需的。
F5在世界级银行(例如:
花旗银行,美洲银行等)以及全国性银行(例如:
工行,农行,建行,中行,招行等)成功案例和优异运行记录。
服务器负载均衡产品能够集成其它的流量处理和优化模块,如RamCache,HTTPCompression,WebAccelerator,ApplicationSecurity等功能模块,今后可以拓展对应用进行更加高级的优化。
F5链路负载均衡器丰富的Inbound算法
静态负载均衡算法:
全局可用性(GlobalAvailability):
LC将所有提供某种特定应用的链路放在一个队列中,把用户访问请求的流量导向该队列中第一个可用的链路,当该链路到达连接限制或者出现故障部可用时,将流量导向下一个可用链路。
当使用这种算法的时候,处在队列中第一个链路将接受到大部分的流量,队列中的最后一个链路接收到非常少的流量。
●无(None):
LC针对某一种应用可以定义三种负载均衡算法,优先采用第一种算法,当第一种算法失效时,启用第二种算法,第二种算法也失效时启用第三种算法。
假定第二种算法使用None,当第一种算法失效时直接启用第三种算法。
●随机(Random):
随机返回给用户某一个链路的IP地址。
●比率(Ratio):
预先给每个链路定义一个权值,按照这个比率返回给用户某一个链路的IP地址。
●返回给LDNS(ReturntoDNS):
立即将连接请求返回给LDNS处理。
●轮询(RoundRobin):
将提供某种应用的所有链路放在一个队列当中,按顺序依次返回给用户队列中下一个链路的IP地址。
●静态会话保持(StaticPersist):
这种算法将维护一个LDNS到某一个链路的映射表,同一个LDNS的查询请求在预定的时间过期之前会返回同一个IP地址。
●拓扑(Topology):
可以地理位置、IP划分预先定义一些规则,按照这些规则返回给用户相应得IP地址。
例如:
预先定义中国电信LDNS地址范围,并规定所有中国电信用户的请求都访问电信链路。
当有符合条件的LDNS发起查询请求的时候,都会返回电信链路的IP地址。
●丢弃请求数据包(DropPacket):
当使用此种负载均衡算法的时候,LC不做任何事,直接将数据包丢弃。
●外部IP(ExplicitIP):
当使用此种负载均衡算法的时候,LC返回给LDNS一个外部的IP地址,该地址可以在FallbackIP中设置。
可以使用此种算法做备用,当所有正常链路都不能访问的时候,返回给LDNS备份链路的IP地址。
动态负载均衡算法:
●完成比例(CompletionRate):
当接收到LDNS的查询请求的时候,LC会返回给用户丢包或超时数据包最少的链路的IP地址。
●跳数(Hops):
当接收到LDNS的查询请求的时候,LC会让数据中心的F5设备探测该数据中心到发起查询请求的LDNS之间的路由跳数。
LC根据返回的跳数解析给LDNS跳数最少的链路的IP地址。
●千字节/秒(Kilobyte/second):
LC会选择一个当前处理的Kbyte/Sec数值最小的一个链路返回给发起查询请求的LDNS。
●最小连接数(LeastConnection):
LC会选择一个当前处理连接最少的链路返回给发起查询请求的LDNS。
●包比例(PacketRate):
LC会选择一个当前每秒钟处理数据包最少的一个链路返回给发起访问请求的LDNS。
●RTT(RoundTripTimes):
当收到LDNS查询请求的时候,LC会让每个数据中心里面的F5设备反向探测发起查询请求的LDNS,并且计算从发起反向探测到接受到响应得时间间隔。
LC根据这个时间间隔返回给LDNS一个间隔最短的数据中心的IP地址。
●服务质量(QoS):
LC通过收集每个数据中心RTT时间、跳数、完成比率、包比率、地理拓扑、链路容量、VS(VirtualServer)容量、Kbyte/Sec的数值进行综合计算,计算之后每个数据中心都会有一个权值,然后根据这个权值返回给LDNS相应的链路的IP地址。
●VS容量(VSCapacity):
当使用这种算法的时候,LC将所有的VirtualServer放在一个队列当中,并把每个VirtualServer的容量作为他们的权重,按照这个权重返回给LDNS相应的链路VirtualServer的IP地址。
银行主机前置网关负载均衡
多台主机前置网关同时工作,但人为指定片区使用不同的前置网关
负载分配非常不均衡,有些压力过大,有些过于轻松
网关故障将导致整个负责片区的业务瘫痪
由于更靠近主机系统,因此影响面非常大
应用流程:
采用负载均衡设备对多台前置网关自动进行流量分配,尽量使负载均衡。
通过健康检查机制对前置网关进行关联业务检查,保证整个网关的可用性。
由于下级网点数量较多,因此在迁移时需要在负载均衡设备上完全取代原服务器IP。
下级网点访问其中任何一个IP地址都会平均分配到多台前置网关上。
前置网关上不保存中间数据,但客户端连接均为长连接,并且需要负载均衡设备在切换时不中断长连接
采用BIGIP对多台前置网关进行负载均衡
在BIGIP上配置多个VS,对应后台同一个真实的服务器组
BIGIP对每台服务器上的多个业务端口同时进行健康检查,只要有其中一个端口发生故障,则停止整台前置网关的工作。
两台HA的BIGIP之间配置会话同步,保证在BIGIP发生切换的时候,已经建立的长连接不会中断。
WhyF5
稳定性:
BIGIP完善的冗余和实际应用中的稳定性是保证项目成功的决定性因素。
由于前置机靠近主机,影响面非常大,因此设备本身的稳定性是第一位的
多VS处理:
BIGIP上可以对同一个服务器组对外提供多个VS,保证了在系统进行切割时的顺利进行。
会话同步:
由于所有的应用均是长连接,因此在BIGIP进行HA切换时,必须保证所有的长连接均可正常保持。
BIGIP快速而准确的会话同步保证了在BIGIP进行切换时,应用不会发生中断。
HA技术:
BIGIP在设备故障时,可以实现毫秒级切换,使应用感觉不到BIGIP的状态变化
BIGIP可配置完全会话同步和会话保持同步,可以适应在不同情况下BIGIP切换时的应用保证需求。
BIGIP具备非常灵活的VS定义方式,可支持一个服务器组多个VS,也可支持一个VS多个服务器组。
更可以定义网络VS等来满足各种环境和应用的需求。
分行中间业务
在一个大型银行中,分行的中间业务为分行非常重要的业务内容,不同的分行可以有20-40种中间业务应用系统。
连接来自五个方向,分别是柜面、网银、电话银行、ATM/POS、人行前置