1、湖南电力多链路远程VPN安全访问接入解决方案F5 NetworksF5 网络有限公司2006年10月目录第一章 简介.3第二章 需求分析42.1具体需求分析4第三章 多链路SSL-VPN接入 解决方案63.1网络拓扑图63.2方案分析6第四章 设备总体配置方案124.1 SSL VPN设备配置方案124.1.1 F5 FirePass 的关键技术124.1.2 F5 FirePass系统设备型号选择154.2 多链路接入设备配置方案18第五章 成功案例34 第一章 简介 什么是VPN: VPN就是指利用公共网络,如公共分组交换网、帧中继网、ISDN或Internet等的一部分来发送专用信息,形
2、成逻辑上的专用网络。VPN实际上就是一种服务,用户感觉好象直接和他们的个人网络相连,但实际上是通过服务商来实现连接的 用户、企业的需求正是 VPN 技术诞生的直接原因:l 高效的管理及信息的即时获取需要随时随地的访问l 需要强的安全控制l 需要容易部署和管理 VPN实现安全接入的两种主要办法l IPSec VPNl SSL VPN SSL VPN将成为远程访问技术主流l 降低维护费用并提高效率l 与IPSec 相比采用SSL VPN 在三年的时间内节省 $80,000 到 $260,000 (Breakaway Marketing Group August 2004)l 丰富的客户端活动日志和
3、审计功能l 优异的安全性l 精确适当的访问权限l IPSec 用来为子网对子网的安全通道而设计,不适用于远程客户端访问 远程访问系统是管理系统而非纯业务系统 第二章 需求分析现阶段湖南电力在本部建有完善的内部网络系统,并且随着公司业务的不断发展,各地办事机构与公司的信息交换越来越频繁,重要的信息和数据也越来越多,安全也越来越重要,而且随着业务发展,以后将在各地开设新的办事机构,这些分支机构的情况将汇聚到长沙公司本部,同时部分出差人员,需要通过移动方式访问公司。因此需要在确保数据安全的基础上建立VPN通道连接,以实现移动接入以及安全远程访问。同时,公司本部现有电信、联通2条100M专线,通过防火
4、墙与内部网联接,希望能为远程接入用户提供最佳链路和ISP选择,并实现基于策略的多链路负载均衡,可以让远程用户通过最佳链路、以最安全的方式接入公司内部进行应用访问。2.1具体需求分析根据客户的SSLVPN接入的要求,我们总结出来,具体需求如下:1通过SSL VPN来实现对总局内部网络的无客户端软件访问模式,实现方便快捷的访问;2SSLVPN并发用户数量目前预计有200人左右;以后随着业务的增长,可能达到几千个用户的规模,并发数有可能达2000个以上,因此系统必须有扩展能力以支持上述业务量;3系统必须具有高可靠性,并且要求提供一定的容错机制;4用户的认证管理支持外部LDAP、Radius Serv
5、er、及证书认证管理模式以及双因数认证方式,例如RSA的SecuID和RAINBOW的IEKY;5通过SSL VPN接入内部办公网以后,可以支持OA系统控件的访问及其它典型应用如邮件系统、Portal系统、电力业务系统等的访问。6灵活的扩展空间,根据实际应用的需求灵活投资,提高整体服务能力7. 支持多链路接入,VPN用户使用统一域名通过电信、联通等运营商专线访问SSL VPN,链路负载均衡器应能使用多种方式,如用户网络所在运营商、网络延时、链路负载等自动选择最佳链路接入,避免运营商间网络互联瓶颈、链路故障或拥塞等原因而影响用户访问效率;第三章 多链路SSL-VPN接入 解决方案3.1网络拓扑图
6、3.2方案分析将F5 FirePass 连接到湖南电力内部的核心交换机上,利用原有存在防火墙,在防火墙上映射一个合法可路由的IP地址为FirePass VPN设备,并添加相应的安全策略,在FirePass vpn 设备上添加用户组,并且为每个用户组添加相应的用户(如财务组、行政组等),为每个用户组设置相应的访问权限。远程分之机构用户、移动用户只需要在本机的IE浏览器输入映射的IP地址或者域名即可访问到FirePass vpn的首页内容,然后输入分配的用户名和密码,即可访问相应的内部资源。另外,在外部网络连接上,采用F5的BIGIP3400LTMLC连接电信、联通两条线路,BIGIP3400LT
7、MLC能够提供独具特色的解决方案,不但能够充分利用这两条链路(双向流量按照预设的算法分担到不同的链路上,一旦一条链路不通的情况下,能够无缝切换到另外一条可用链路上);而且可以根据对不同链路的侦测结果,将最快速的链路提供给外部用户进行响应,从而解决目前广泛存在的多个ISP之间的互联互通问题。该方案在SSL VPN远程接入访问方面有以下优点:1、适宜具体需求,满足用户的应用;2、可行性强,实施方便,减少整体投资,具有良好的性能价格比;3、系统可扩展性强,因为VPN是建立在公网上的私有连接,因此当网络拓扑改变时,不依附于资源提供商和物理设备;可以很好适宜各种网络结构,对网络的调整减少到最小;5、数据
8、高度保密, 提供最高级别的安全保护;6、可以设定每条vpn通道的策略,确保每个连接权限;7、易用性和灵活性好,用户可以通过固定网络(ADSL/DDN/FR/ISDN)或拨号随时随地通过VPN访问数据。如果专线出现问题或若分支机构地点改变不会影响同网络安全及VPN中心信息交换, 这很好解决由于专线出故障无法同网络安全及VPN中心信息交换的问题。方案具体说明:将F5 FirePass 连接到防火墙的DMZ区上,利用防火墙,在防火墙上映射一个合法可路由的IP地址为FirePass VPN设备,并添加相应的安全策略,可实现下列的安全远程访问:1、办公自动化系统的应用通过INTERNET,访问行内的办公
9、自动化系统,进行公文处理、文件传输、收发邮件等工作; 1)内部网邮件系统的使用支持microsoft outlook等客户端邮件系统的应用,支持采用pop3、smtp收发邮件的方式;支持基于web的邮件收发方式(http方式);2)文件传输支持ftp文件传输,包括normal、passive两种方式。3)文件共享支持与内部网microsoft windows桌面系统的文件共享。4)基于web的intranet系统的应用通过http方式,访问内部OA网站,进行办公自动化处理。5) 业务系统的应用通过Web或C/S方式,访问内部业务系统,实现安全的远程业务处理6) 支持视频会议 可以通过网络通道的
10、方式,全面支持各种方式的视频会议,实现移动视频会议接入。2、远程技术支持及维护当行内的计算机业务处理系统发生故障,而相关的科技部维护人员不在现场时,可以通过INTERNET,以最快速度连接我行的内部网络上,进行故障排查及系统维护,能够大大提高科技部人员对计算机业务处理系统的故障响应速度。1)telnet应用远程用户可以通过telnet程序,连接到内部网。2)支持client/server的应用模式支持基于tcp协议的、自定义端口的应用系统的远程应用。client端程序可以工作在远端,通过安全的vpn通道,连接到内部网的服务器或主机上。3、安全管理的需求1)用户角色划分及对网络资源的分权访问要求
11、根据实际需求,将vpn用户划分为不同角色,并根据不同角色,分配给用户不同的网络资源访问权限。用户可访问的网络资源需细化到应用层(如具有某个ip地址的主机上的使用某个特殊tcp端口的应用)。2)支持用户分组支持用户分组功能,支持基于用户组的权限管理。3)用户认证方式的灵活选择可以针对不同的用户或用户组,指定不同的用户认证方式。如可以强制部分用户必须通过第三方认证服务器提供的一次性口令认证,而其他用户则可以使用vpn系统的静态口令。而在多链路接入及带宽管理方面,该方案具有以下特色: 提供内网至internet流量的负载均衡(Outbound) 实现从Internet对服务器访问流量的负载均衡(In
12、bound) 支持自动检测和屏蔽故障Internet链路 支持多种静态和动态算法智能均衡多个ISP链路的流量 支持链路动态冗余,流量比率和切换 支持多种DNS解析和规划方式,适合各种用户网络环境 支持Layer27交换和流量管理控制功能 完全支持各种应用服务器负载均衡,防火墙负载均衡 多层安全增强防护,抵挡黑客攻击 业界领先的双机冗余切换机制,能够做到毫秒级切换 详细的链路监控报表,提供给网络管理员直观详细的图形界面 对于用户完全透明 对所有应用无缝支持 业界优异的硬件平台和性能 稳定,安全的设备运行记录而且,经过BIGIP3400LTMLC进行链路优化后,整体网络系统具有以下优点:l 拓扑结
13、构合理:整个网络结构布局合理,层次分明,便于管理与维护。1) 可以轻松形成全冗余连接方法, 保证网络没有单点故障的存在。2) 提供链路的负载均衡,今后,通过免费无缝拓展,可以对各种应用服务器,防火墙/VPN/IDS等网络设备全部可以采用负载均衡方式处理网络流量,提高网络服务能力和投资回报率。3) 比较少的网络层次,较少网络延迟,避免运行维护时面对大量网络设备。灵活的扩展空间, 用户可以根据实际的网络流量和压力增加带宽,增加链路, 添加防火墙或增加服务器来提高整体的服务水平。l 可用性高: BIGIP3400LTM+LC动态检查各条出口链路的健康状态,并将下一个请求分配给最有效率的链路,任何一条
14、链路发生故障时,BIGIP3400LTM+LC即刻将请求分配给其他的链路,从而达到99.999%系统有效性。l 可靠性高:BIGIP3400LTM+LC 产品是业界唯一的可以达到ms级切换的产品, 而且设计极为合理, 所有会话通过Active 的BIGIP3400LTM+LC 的同时, 会把会话信息通过同步数据线同步到Standby的BIGIP3400LTM+LC , 由设备中的watchdog芯片通过心跳线监控设备的电频, 当Active BIGIP3400LTM+LC故障时, watchdog会首先发现, 并通知Standby BIGIP3400LTM+LC接管Shared IP , VI
15、P , NAT, SNAT等, 保持访问的畅通和在线会话的数据. 在用户端的表现是在ping包上会有12个中断, 而应用上不会中断, 可以持续运行, 对于关键的应用系统是非常重要的。另外,BIGIP3400LTM+LC还可以允许手工切换Active/Standby的状态,来配合系统维护。并且,可以通过Session Mirror以及Persistence Mirror技术,保证F5设备在发生切换时,不影响在线业务的连续访问。l 安全性高: BIGIP3400LTM+LC支持地址翻译技术和安全地址翻译,这样一来客户不可能知道真正提供服务的服务器的IP地址与端口,BIGIP3400LTM+LC采用
16、SSH和SSL技术,可以防止来自内部或互联网上的黑客攻击。1)、HTTPS,SSH等加密的网络管理, 避免明码通讯对网络设备控制时的安全隐患。2)、F5的VIP一旦配置成功,服务的TCP/UDP端口也就同时确认,除特定服务外,其他的端口就全部被封闭了,保护服务器避免被端口扫描.3)、在防止DOS攻击方面,F5提供免费的防护 , 特别对于Ping of Death , F5 的VIP一旦规定成功就对Ping包做中继处理, 避免攻击对服务器的压力.4)、并且,F5具备攻击回收技术,同时可以设置在资源消耗在97%(可设)时重启,切换到备份设备工作。l 效率高: BIGIP3400LTM+LC可以智能
17、寻找最佳的出口链路,从而保证客户得到最快的上网访问速度。l 灵活的带宽管理技术:BIGIP3400LTM+LC通过为高优先级应用分配带宽,可以确保获得最佳应用性能;基于第4层或第7层参数来控制峰值流量并确定流量优先级。BIG-IP的带宽控制模块可保证关键应用的稳定性。在BIG-IP带宽控制模块中,可以对基本带宽,限制带宽、突发带宽,控制方向等进行配置。每个带宽控制单元在BIG-IP中被定义为一个Rate Class。Rate Class可以在Virtual Server、Packet Filter和Rules中进行灵活调用。在调用时,仅需要判断出需要进行带宽控制的流量条件满足,并将其放入相应的
18、Rate Class即可。通过与Virtual Server、Packet Filter和iRules配合,BIG-IP可实现基于IP、端口、应用协议以及七层内容进行带宽控制。在实现强大功能的同时保持配置的方便性和灵活性。由于BIG-IP硬件平台具有强大的扩展性,最大内存配置可达4GB,这样,则可以在TM/OS内建立超过1000个以上的Rate Class对列。从而实现带宽控制的精细和稳定。BIG-IP Rate Class的定义最小为296bps,最大可以Gbps为单位进行定义。定义时,可以bps、Kbps、Mbps和Gbps为控制单位。l 可扩展性高: BIGIP3400LTM+LC可以支
19、持动态增加或删除其负载均衡的链路群组的任何数量的链路,而不需要对客户端或后台做任何改变从而使得系统扩展轻松方便。l 可管理性高: BIGIP3400LTM+LC可以实时监控整个链路群组的流量状态,并分析发展趋势帮助客户及时根据流量增长增加出口带宽。l 保护投资: BIGIP3400LTM+LC还免费带有服务器负载均衡和防火墙负载均衡的功能。第四章 设备总体配置方案4.1 SSL VPN设备配置方案4.1.1 F5 FirePass 的关键技术安全管理访问权限可授予单个用户或用户群(例如:“销售人员、“合作伙伴”、“IT”)FirePass将单个用户和用户群的访问限制在具体的资源范围内。合作伙伴
20、可能只允许访问外联网服务器,而销售人员则可连接到电子邮件、公司内联网和CRM系统。客户机-服务器连接器许多企业都部署了像PeopleSoft、SAP、或Oracle ERP应用这样的传统“胖客户机”体系结构,并且在每个用户的设备上都配备ERP应用客户机。通常这些应用需要面向公司网络之外的外出办公人员或合作伙伴。直到现在,这些合作伙伴和外出办公人员都需要在每个远程设备上配备特别配置的“VPN”软件。这些软件可以使他们在互联网与公司网络之间建立起一条“隧道”。这样他们才能够访问整个目标网络。一种更好的方法:F5的FirePass不是利用传统的VPN客户机来提供全部网络接入支持,而是利用浏览器作为客
21、户机与服务器之间的连接器,来支持远程访问个别应用。支持从远端客户机访问应用服务器上的TCP应用。可支持本地客户机端应用通过浏览器与FirePass服务器之间的安全隧道,与公司的应用服务器进行通信。允许连接的用户将LAN驱动器映射到远程系统。无需用户预先安装或配置任何额外组件。在网络端,被访问的应用服务器上无需安装额外软件。采用标准HTTPS协议,并以SSL作为传输协议,因此可支持任何HTTP代理包括公共接入点、专用LAN以及任何不支持传统IPSec VPN的其它网络和ISP。标准的客户机-服务器连接器包括Outlook、Exchange Cluster、FTP、Citrix Nfuse。管理员
22、可以为那些使用静态TCP端口的应用建立客户的客户机-服务连接器。过滤技术 内容检查,FirePass对远程进入流量进行更深入的检查,FirePass 控制器能扫描Web流量中不适当的内容(如:在POST数据中深入的脚本)或者太长的数据包,当发现恶意的内容,FirePass 阻止用户的访问客户机端证书的动态政策FirePass支持管理员根据用于访问FirePass 服务器的设备类型来限制或允许访问。例如,用户在使用公司膝上型电脑时允许访问所有的内联网和客户机/服务器应用,而在公共热点上网时则只允许访问内联网。用户登录时,FirePass服务器还会核查客户机端的数字证书,这一证书将只授予膝上型电脑
23、。根据该证书的核查情况,FirePass服务器将允许更广泛的应用访问。身份认证技术1 用户鉴权缺省模式下,系统通过密码来对照内部FirePass数据库进行鉴权。FirePass经配置后可与RADIUS和LDAP鉴权方法、基于表格的基本HTTP鉴权以及负责鉴权与访问管理的Windows Domain Server联合运行。2 双因素鉴权许多公司都需要“双因素”鉴权,即使用用户ID与密码之外的信息进行鉴权。FirePass完全支持美国市场上领先的RSA SecurID 令牌式鉴权,并提供了内建的VASCO Digipass实施。同时可以支持“数字证书+用户名密码”的方式,来提高接入的安全性。Fir
24、ePass VPN连接器安全地访问所有基于IP的(TCP、UDP)应用。一旦VPN连接器被激活之后,所有指向公司网络的流量都将通过一条安全的SSL隧道进行发送。无需在远程系统上预先安装和配置任何VPN软件。现场员工和外出人员无需在他们的电脑上进行任何特别设置和配置即可访问其应用。升级或更换现场的电脑时不会带来任何与VPN有关的额外维护工作;对主机网络、用户密码或IP地址进行的任何改动会自动传播到用户的个人电脑上。利用GZIP压缩机制来在对流量进行加密之前进行压缩处理,从而减少互联网上传送的流量, 进一步改善性能。提供隧道分割(Split Tunneling)能力,只允许流向LAN的流量通过VP
25、N连接器进行传输。无需向每位访问用户开放整个网络,即可实现全部的客户机-服务器应用支持。不间断的故障切换通过在公司网络上配置一台在线备用FirePass服务器,用户可在发生故障时不间断地切换到备用服务器上。提供自动驱动器映射功能 一旦VPN连接器被激活,网络驱动器可自动被映射到用户的电脑上。提供代理遍历能力-支持通过本地(例如部署在公司网络上)代理服务器和远程(例如部署在远程接入点网络上)代理服务器来访问公司网络。审计服务FirePass可提供有关会话和活动日志的报告。汇总报告将按日期、时间、访问OS、使用特性、会话持续时间和会话终端类型来汇总提供网络的使用报告。UI定制管理员可以自由调整Fi
26、rePass标识与详细界面的外观,以更好地匹配公司的风格。高可用性集群FirePass设备可集群配置以在单条逻辑URL上支持10,000条并发连接,同时不会带来任何性能降级。高级负载平衡能够有效地在所有可用服务器上分配会话,以最大限度地提高吞吐量。 故障切换FirePass可支持在紧耦合服务器对(在线服务器与备用服务器)之间进行整个状态的热故障切换,不会导致任何的会话中断或终止。这意味着,当偶然发生服务器故障时,所有的会话数据都将得到保留,并切换到用户不可见的备用设备上。4.1.2 F5 FirePass系统设备型号选择在此方案中,根据我们在以往项目上的经验,我们推荐使用两台Firepass
27、4120。FirePass 4120系列产品是一种企业级高性能安全设备。它的标配支持250个并发数的用户,它单台最大可支持2000个以上并发用户,并带有两个光纤口,同时还支持集群功能,使得最大并发数可达到10000,完全可以满足日后扩展的需要。为以Web方式远程访问公司应用和服务器提供了一套全面的解决方案。FirePass4120支持全套FirePass软件特性。企业级高性能安全设备2.4GHz双处理器主板结合了创新的体系结构,可以为用户提供网速级的性能,支持安全可靠的应用访问。面向未来的网络采用千兆位铜线以太网和千兆位光纤以太网精心打造的全千兆位体系结构确保了网络可适应未来的要求,充分满足用
28、户对应用及服务器能力不断增长的需求。 SSL加速4100平台提供了内置的SSL加速功能,具有卸载SSL会话设置(握手)、块加密和解密能力,可提供优化的SSL性能。它卸载了SSL密钥交换和加密/解密功能,并交给新一代专门SSL组件来完成;即使在SSL容量实现最大化时,CPU的负荷也被降至最低。易于管理每个4100单元包括一个集成、独立的管理电脑,用来进行无人值守(light-out)远程管理和远程引导。另外,4100平台还支持多重引导、热升级和高级仪器的使用。降低拥有成本F5安全平台的热插拔组件能够减少停机时间、降低总体拥有成本,例如在每个单元安装的热插拔风扇、可访问的标准闪存(Compact
29、Flash闪存)、硬盘和热插拔电源。先进的设计使其具有无人值守(远程)管理、多重引导支持、USB支持、简化的安装和高级管理能力,它改善了冗余操作,并显著降低了操作成本及拥有成本。提高可见性通过液晶显示屏,用户可以执行基本的设备管理功能,并借肋更高的可见性从数据中心对F5设备进行远程管理,这有利于企业避免意外停机,节省大量时间。LCD可为用户提供详细信息,包括系统信息、流量统计、配置选项、设备状态、告警及更多信息(以帮助用户进行故障诊断和容量规划)。FirePass SSL VPN远程访问F5的FirePass通过标准Web浏览器技术对公司应用和数据进行安全远程访问。无需使用复杂的IPSec V
30、PN,它即可将公司的安全远程访问能力扩展到任何使用台式机、笔记本电脑、PDA、信息亭等设备连接到互联网上的用户。FirePass是第一个完全支持跨平台操作的SSL VPN解决方案。除了Windows系统以外,FirePass还把对任何IP应用的支持扩展到了Macintosh、PocketPC和Linux 客户端,这增强了客户机及应用对Web、电子邮件及文件应用进行访问的安全性。FirePass提供了业内应用最广的安全网络访问解决方案。 4100系列安全平台包括: 2U高新型USB端口,液晶显示器和键区 双2.4G的CPU 4个10/100/1000铜线以太网端口和2个GBIC口 可访问硬盘和可
31、移动风扇盘 FirePass4100可提供独特的硬件SSL加速芯片,以卸载SSL密钥交换,同时实现了SSL流量的加密和解决。这使大型企业环境下的处理器密集型“加密(ciphers)”(如3DES和AES)的性能显著增强。 集成的管理计算机(无人值守管理) 4100产品规范平台: FirePass 4100 基础内存(FirePass)4 MBSSL加速硬件电源:400W,带有冗余选件重量:36磅规格:17.5英寸 24.5英寸(OAL)/23.5英寸(安装把手后面)3.5英寸认证:美国/加拿大-UL-UL 1950欧盟 -低电压指令-EN 60950欧盟-EMC 指令EN 50081-2和EN
32、 61000-6-2CE温度(工作温度):5-40C湿度:5-85% 40 C (无冷凝)4.2 多链路接入设备配置方案根据湖南电力对于多链路接入设备的需求,我们建议采用两台F5的BIGIP-LTM-3400平台,加上Linkcontroller,链路控制模块和高级路由模块,主要的技术参数如下:技术参数指标和性能备注CPU2.8GHz内存配置:1G,可升级至:2G存储介质=512MB闪存IP Version内置支持ipv4 和ipv6,高可用支持基于串口电缆的毫秒级冗余切换方式,支持双机热备:专有Wacthdog芯片、failover线缆及时发现设备故障,可以实现内存同步,双机切换时间少于20
33、0msHTTP压缩可选内置支持, 处理能力=1G/s分析工具内置tcpdump抓包分析工具,能够快速准确的进行故障诊断应用健康检查支持ECV、EAV的高级健康检查方法应用交换可编程控制、导向或转换应用流量简单管理支持中文网管简单管理LCD显示当前状态高可用支持双机热备:支持基于串口、网络两种冗余切换方式, 专有Wacthdog芯片、可以实现内存同步,双机切换时间少于200ms端口=8个10/100/1000M RJ45以太网端口=2 个千兆位光纤端口电源可选支持冗余电源API接口要求提供全面的网络编程端口,支持关键任务应用、第三方解决方案和网络流量管理技术高效地结合起来,企业可以实现劳动密集型
34、功能的自动化,降低维护管理以及解决方案开发的相关成本;并扩展网络环境,以确保与其所支持的应用更协调地运作,提供SDK开发包。ASIC配备Packet Velocity ASIC 2 专用4层加速芯片交换背板=22Gb/sVLAN个数=4096SSL握手支持能力内置SSL芯片加速,标准配置100TPS,可扩充支持5000TPSSSL对称加密支持能力对称加密流量=1GIP路由表项无限制最大并发会话数=4,000,000四层处理能力=110,000 会话数/秒七层处理能力=75,000会话数/秒支持的虚拟服务器数量 VIP=40,000Real Server无限制支持的网络协议支持所有基于TCP/I
35、P的协议:Spanning Tree (IEEE 802.1d)VLAN(IEEE802.1q)Trunk(IEEE802.3ad)10BASE-T/100BASE-TX (IEEE 802.3, 802.3u) RMON (RFC 1757) SNMP (1213 MIB-II, 1643 Ethernet, 1493 Bridge) 1000BASE-SX (IEEE 802.3z) IP RIP v1 /v2OSPFBGPTFTP (RFC 783) BootP (RFC 1542) BootP (RFC 951) Telnet(RFC 854) VLAN与VLAN TAG支持802.1
36、q标准封装协议,链路聚合故障切换支持工业标准802.3ad链路聚合,支持MSTP光纤千兆端口支持全双工MiniGigabit Ethernet LC fiber connectors10/100/1000M端口10/100/1000 全/半双工自动协商防止Dos攻击防止Dos攻击,SYNC攻击以及Slasmmer蠕虫入侵安全的管理可以通过HTTPS、SSH进行安全的远程管理,本地可以通过CONSOLE终端进行管理RS-232C 控制口DB-9 serial connection, female DCE interface for out-of-band management尺寸17.5”宽 x
37、 25.0”(OAL)/23.5” (安装把手后面) x 1.75 ” (1U)重量22英镑(每单位,不包括发运包装)环境操作环境:温度: 41至104F(5至40C)湿度:40C时为10%至90%,Telcordia GR-63-CORE 5.1.1和5.1.2标准认证标准安全标准:UL 60950 (UL1950-3) CSA-C22.2标准第60950-00号(双边国家标准UL 60950) CB测试认证标准IEC 950 EN 60950 电磁辐射认证:EN55022 1998 Class A EN55024 1998 Class A FCC Part 15B Class A 最大功耗
38、300W主要优势: 构建可靠的广域网 (WAN) 连接,提供企业级互联网连接能力 借助速率调整 (Rate Shaping) 使 WAN 链路带宽的使用更为高效 采用压缩技术减少 WAN 链路带宽的消耗 通过基于 TCP Express 的 TCP/IP 优化,显著改善 WAN 链路性能 确保将流量导向最佳链路和 ISP,为用户提供最高质量的服务和速度 通过整合经济型链路最大限度地提高公司在连接能力方面的投资回报。 通过边界网关协议 (BGP) 消除部署障碍,显著降低多归属网络的部署成本BIG-IP 链路控制器用于最大限度提升链路性能与可用性的下一代广域网链路流量管理随着企业开始更多地使用互联
39、网来交付其应用,只保持一条到公共网络的连接链路存在着单点故障风险和脆弱的网络安全性。BIG-IP 链路控制器可以无缝地监控多条 WAN ISP 连接的可用性与性能,以智能地管理到某一站点的双向流量,从而提供出色的容错性和优化的互联网访问。BIG-IP 链路控制器充分利用了 F5 的 TMOS 构架,可带来改进的链路性能与出色的可用性,同时还可提供灵活强大的状态检查功能、完善的安全性以及改进的易用性。可靠的网络连接高可用性BIG-IP 链路控制器可检测到整个链路中出现的错误,从而能够提供可靠的端到端 WAN 连接。它可以监视每个连接的运行状态和可用性,实时检测链路或 ISP 的损耗情况。一旦出现
40、故障,流量将被动态地传递给其它可用链路,从而确保用户及外部客户继续保持连接。全面的链路监控能力BIG-IP 链路控制器可为您提供有关通过网关路由器的链路状况与吞吐率的详细信息,从而提供有关任何指定链路带宽及容量的详细资料。同时它还可以检测出由 ISP 错误配置或其它人为因素所引发的故障。此类故障通常极易被忽略。集合多个监视器多个监视器共同工作,能够迅速准确地确定链路的状态及可用性。一旦发现问题,BIG-IP 链路控制器可以重新为流量选择路径,传递到其它可用链路,从而继续保持客户连接,避免出现停机影响。最大带宽和投资回报可节省 WAN 链路成本的压缩模块BIG-IP 链路控制器的可选压缩模块使您
41、可以智能压缩流量、降低 WAN 链路带宽占有率以节省 ISP 成本,同时解决带宽瓶颈以加快应用交付速度。通过对面向不同连接类型的链路带宽实行精细控制,将可以有效提升客户体验,并能够实现更高效的 WAN 链路管理和改进的生产效率。您可以基于文档类型、流量类型和其它网络条件(如往返时间)配置灵活且可可调整的压缩引擎。带宽可扩展性不论您使用何种链路类型或哪一家服务提供商的服务,BIG-IP 链路控制器都能够支持将小型经济型线路进行高效的整合,以提供成本更低的带宽冗余,同时将花在暗光纤或闲置备用线路上的费用降至最低。透明的流量分配BIG-IP 链路控制器提供了业内最先进的链路流量分配能力,能够满足以下
42、最繁忙站点的需求:- 轮循-往返时间- 全局可用性-中继- 静态持续性-数据包完成率- 拓扑-用户定义的服务质量 (QoS)- 虚拟服务器容量-动态比率- 最少连接-随机- 包速率-比率-传输速率链路容量及吞吐率BIG-IP 链路控制器可允许您根据实时的流量与吞吐率来确定和控制流量在链路上的分配方式。这将可以提高性能和增加包含线路冗余在内的可用带宽,同时消除链路饱和的风险。当某条链路接近其容量极限时,流量将被转至相对宽松的链路上去,从而提高站点的整体性能。链路成本负载平衡BIG-IP 链路控制器能够支持您为通往数据中心的所有流量选择最低成本连接: 将流量导入花费最低的链路,从而将带宽投资降至最
43、低 最大限度地提高不同连接的带宽,包括可变成本线路,以消除带宽瓶颈,同时最大限度地减少低效带宽利用情况和相关成本。 支持 ISP 计费模式,包括一次性付费、零散计费和突发性计费 支持单向或双向计费高级 WAN 链路管理最佳性能链路BIG-IP 链路控制器通过使用往返时间和线路质量计算,可测试哪条链路可以为用户提供最佳服务,然后将该用户引导至此链路,确保他们能得到最快服务及最高质量的连接。针对压缩技术的目标流量控制如果不在具体用户类型(宽带用户、拨号用户等)的基础上控制流量压缩工作,将会对应用性能及客户体验产生负面影响。通过使用使用往返时间及线路质量计算,BIG-IP 链路控制器能够动态计算出用
44、户延迟和带宽吞吐率,为能够从中受益最大的用户提供更多的压缩资源。优化的 TCP 性能TCP 协议的低效会产生不必要的干扰,进而对链路的带宽利用产生不利影响。BIG-IP 链路控制器利用 TCP Express 来克服 TCP 协议的低效情况,同时提供了以下功能: WAN 链路的有效带宽利用 以较低的带宽费用覆盖长距离的通道 为关键任务应用安排可用带宽优先级 通过 WAN 为拨号和宽带用户提高端对端性能 在部署全新应用时更为灵活 无需部署多台设备,降低了总拥有成本集成速率调整BIG-IP 链路控制器为您在 WAN 链路上对应用流量进行分类并安排优先级提供了一条高效的途径,以更有效地利用带宽。您可
45、以定义流量和应用限制,针对允许出现猝发情况的资源控制速率,利用队列划分流量类型的优先级,以及定义可相互进行借用的流量类型之间的关系。在此基础之上,您将可以显著节省 WAN 链路带宽,并改进应用响应时间。可编程链路路由iRuleBIG-IP 链路控制器使您能够根据诸如源 IP 地址、目标 IP 地址和端口等 TCP/IP 参数,在多条 WAN 链路上智能路由流量。借助 iRule,您可在根据应用类型、服务质量和客户类型制定策略,以在最佳链路上分配流量,进而提高应用性能和提升客户体验。流量优先级安排:服务质量 (QoS) 和配置服务类型 (ToS)BIG-IP 链路控制器支持各种流量优先级安排特性。企业可根据 QoS 和 ToS 对其关键流量或应用做出定义,进而对上游路由器进行特殊处理。这就确保了具有较高优先级的流量可以优先路由。基于拓扑的路由采用拓扑数据库,BIG-IP 链路控制器可准确确定用户的位置,并根据预定义的策略通过所需链路路由流量。这可以使您能够选择最佳性能链路,以提供基于位置的最佳用户
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100