在負載均衡器的市場領域里面，大家肯定不會對F5的產品陌生，那么前面我們介紹了不少相關的內容，現在針對F5 Bigip的展品來做一個具體的介紹吧。首先讓我們來了解一下F5 Bigip的優勢有哪些，具體內容請見下文。

Q:F5 Bigip 的優勢在哪?

A:
◆最多的負載均衡模式(12 種)其中觀察模式,預測模式是F5 的專利

◆會話保持技術最多(8 種)其中Cookie 會話保持技術向所有的競爭對手收取專利費

◆服務器健康檢查最徹底,專有的EAV､ECV 健康檢查模式

◆性能最好,速度最快: 125000 S/S Lay4(Bigip 2400); 19000 S/S Lay7(Bigip 5000);1.8Gbps;

◆會話保持數量第一達到:400 萬

◆支持最多的VIP : 4 萬個

◆唯一交換機廠商有開放的API, iControl

Q:請解釋Bigip負載均衡器上的SSL 加速功能?

A: Bigip SSL 加速功能是指通過在Bigip 上的專用的SSL 處理芯片,作為SSL 的代理,將來自客戶端的SSL 請求終結在Bigip 上,以此來卸載服務器上的SSL(安全套接層)處理對服務器CPU 資源的消耗,以提高其性能,同時大幅度縮短響應時間并增強客戶交易流量管理｡SSL 加速技術可以提高電子商務服務器的性能,并在關鍵業務在線交易過程中提供安全性､高速度和流量管理,所有這一切都是從同一地點進行的,無需費錢費力地在每臺服務器上安裝額外的硬件或軟件｡
通過Bigip SSL 加速｡

◆集中化的 SSL 處理方式:不需每個服務器安裝公司SSL 卡使服務器提供最好的服務響應,而不必處理 SSL 的令人頭疼問題

◆集中化的認證管理:不需每個服務器進行認證,目前Bigip 1000､2400､5000 標準配置已經包含了100TPS 的SSL 支持,通過額外購買License,可以擴展到400､800､1200｡注:TPS 是指每秒的交易數量

Q:Bigip負載均衡器的安全性如何?

A:F5 Bigip負載均衡器上通過以下機制提高系統的安全性:
◆缺省拒絕(Default deny)､Port Lockdown 機制
◆BIG-IP 用監察資料交易的起點,目的或入口來過濾封包和限制或拒絕雙向的流量
◆遠端管理,使用SSH 命令列或以SSL 來做瀏覽器介面管理
◆能把無用的連接關掉(阻擋拒絕服務攻擊)
◆能找起點路線(阻擋IP spoofing)
◆Syncookie 機制抵制SYN floods 攻擊
◆阻擋teardrop 和陸地攻擊
◆阻礙ICMP(網絡控制訊息協議)攻擊,保護它自己和其他服務器
◆不使用SMTPd,FTPd,Telnetd,或其它可攻擊的惡魔
◆可發現､記錄DOS 攻擊情況,能發現任何試圖非法存取的服務和端口:
企圖率:企圖多少次
端口:哪些端口被攻擊
IP 地址:攻擊者的IP 地址#p#

Q:Bigip負載均衡器的可靠性如何?

A:通過配置雙機運行于Redundant 模式,BIG-IP 提供支持99.999%的正常運行時間｡

Q:Bigip負載均衡器雙機是如何工作的?

A:F5 Bigip 雙機即支持Active-Standby 方式也支持Active-Active 方式｡如果是Active-Active 方式,采用的是路由分擔的模式｡運行于HA 方式的兩臺四層交換機通過Failover 串口線交換心跳信息(電壓信號不斷地由一方送到另外一方)｡處于Standby 的系統不斷監控Failover 上的電平,一旦發現電平降低,Standby Unit 會立即變成Active,會發生切換(Failover).通過串口監控電平信號引起的切換可以在一秒中以內完成(大概200~300ms).

四層交換機在系統啟動的時候也會監控Failover 線纜的電平以決定系統是處于Active 狀態還是Standby 狀態｡Failover 線纜也可以不采用串口線,而直接采用網絡線｡(但F5 不建議這樣做,因為網絡層故障就可能會兩臺負載均衡器都處于Active 狀態)｡如果采用網絡層監控實現Failover,Bigip負載均衡器將通過1027 與1028 端口交換心跳信息｡在串口Failover 線纜上不傳輸任何數據信息｡數據信息的傳輸通過網絡來完成｡因此運行于HA 方式的兩臺四層交換機在網絡層必須是相通的｡(可以用網線將兩臺四層交換機直接相連起來,也可以通過其它的二層設備將兩臺四層交換機相連,使四層交換機在網絡上可以連通對端的Failover IP 地址)｡
兩臺運行于HA 方式的四層交換機之間通過網絡層交互的信息主要包括:

用于配置同步的信息:通過手工執行config sync 會引起Active 到Standby 系統的配置信息傳輸｡用于在發生Failover 時連接維持的信息: 如果設置了Connection Mirroring,處于Active 的四層交換機會將連接表每十秒中發送一次到Standby 的系統｡ (The following TCP Connections can be mirrored:TCP､UDP､SNAT､FTP､Telnet )如果設置了Stateful Failover,Persistence 信息也會被發送到Standby 系統｡(The following persistence information for the virtual servers (VIPs) can be mirrored:SSL persistence､Sticky persistence､iRules Persistence )一般來說,對于長連接的應用如ftp,telnet 才需要將連接狀態進行同步,而一些短連接應用如http,并不需要進行連接狀態同步｡

Q:在Bigip 雙機處于一主一備的運行模式中,后臺的服務器通過雙網卡與兩臺Bigip 相連,是不是一個網卡down 掉或網卡所連的鏈路斷掉,就會引起Bigip 進行切換?

A:Bigip負載均衡器支持對某一VLAN 上所連鏈路狀態的檢測,但當配置雙網卡的服務器有一鏈路或網卡故障時,并不需要Bigip 進行切換,而只需要通過網卡的鏈路切換來保證服務器的連通性｡對Intel､Broadcom 等服務器網卡,都有相應的驅動程序實驗同一服務器上多網卡的failover 或負載均衡,而在SUN 服務器上solaris 操作系統已經帶了IP Multipathing 功能實現多網卡的互為備用及負載均衡｡

Q:什么是iControl?

A:iControl 是F5 的內部通信協議,它實現了產品間的安全網絡通信,用于對F5 設備進行配置､監控､測量､管理并進行數據傳輸｡F5 是業內第一個免費開發內部通信協議接口與開發包的網絡設備廠商｡iControl
◆包含一個基于安全版CORBA/IIOPS 的內部API
◆提供SOAP/XML 方式的外部API
◆輕松､快速地將應用與F5 Networks 設備進行集成
◆通過在API 級與F5 Networks 設備進行集成而最大限度地降低維護成本,確保未來可操作性