F5网络解决方案论坛文字整理记录(下) F5应用交付解决方案吴静涛

主题：F5应用交付解决方案

F5技术总监 吴静涛

我是F5的技术总监吴静涛，在F5待了六年。

首先跟大家共享一个问题，我在F5六年了，而F5存在已经快十年了，凭什么这么多年还可以活得这么好， 到底我们为什么活得这么好？鱼缸里的鱼很可怜，缸就那么大。F5为什么可以长的这么大，因为我们有足够的市场空间。2008年，应用交付控制器、SSL VPN、WOC市场有4%的增长。虽然这么多年跟这么多大头在竞争，但是F5今天没有倒下去，反而越活越好，这是真正原因所在。市场还是在上升，但是稍微 仔细一点，会发现F5原来是干吗的，到今天为止，很多客户的标书上还在说负载均衡、四层交换。四、七层交换的市场终于有一天出现了萎缩。F5会萎缩吗？会 下去吗？不会，为什么？因为F5在2004年开始开发了另外一块市场，不够大，是Advanced  ADC，加强型的应用交付控制器。真正的F5市场变得越来越大，我可以再清晰地告诉大家，以后不要跟F5说你是四层交换的，负载均衡的，好一点的说是应用 交换的，都不是了，我现在是应用交付市场。全球最有名的评测机构也跟着F5改了这个称呼，叫ADC的评测。我讲讲新的动向，应用交付四个字到底是什么含 义，有什么整合概念，有什么平台支持。

这张图是很多人不愿意承认，34%的应用投放是可以成功的，15%的应用本身没有问题，在投放过程中出 现的问题，是完全失败的，而中间半死不活的不正常的有51%。当一个客户开发一个应用，希望得到使用的时候，一大半的可能性会用的不好，或者干脆不用，风 险有多大？更细致的阐述应用开发好了，在实验当中能做，可是当你真正去用的时候，用户反馈说慢，打不开，密码被人家偷了，总之最后没有成功。你做这些是为 什么呢？是为了交付出去，应用交付的需求确实就在于这儿。

在没有F5之前，手工指向APP的服务器，数据库，存储，如果有某个东西坏了，会意味着后面坏一路，凡是跟它相关的那路全停在那儿，你希望应用的环境是这样的吗？

F5为了解决这些问题，一年一年发展不同的技术。F5当年是做负载均衡的，可是我们在成长，猿人都可以敲计算机了，四层交换，有防火墙，IPS、IDS，之后的应用管理、远程访问F5不接入，最后开发了V9，同时还可以涉及到安全网关，最后F5把他们都集成在一起。

1997年之前F5改变了什么样的架构？之前通过防火墙直接访问服务器。1997年F5提出把Web服 务器做出来了，2004年推出V9平台，我跟BEA做测试，做负载均衡，F5进一步扩大了自己在数据中心当中的占有，同时Web服务器负载均衡在做，又变 大了一圈。今天F5再一次做了变化，2007年，花了210亿收购了一家公司，F5一步步扩展自己在数据中心中的地位，而现在已经慢慢变成非常核心的部 分。F5机构下的数据中心跟原来的数据中心最大的区别，首先巨大的变化是时代不同，以前只是电脑而已，而今天不知道有什么样的终端，手机也可以上网，笔记 本电脑、网吧都可以上网。他们在接入IDC之前就可以经过GTM和LC的产品，数据中心和链路的负载均衡，虚拟的数据中心，用户只要访问，一定有一个数据 中心，一定有一个链路是可以访问的。做完了数据中心和链路的虚拟化连 接之后，再做Web服务器的虚拟化，无论死掉多少台，只要有足够强的服务能力，还可以提供服务。再往下面走，只要有中间件的服务器，有一台能够用，节能够 把流量挡过来，如果一台不够，十台一起上，一直到保证服务能力为止，做APP服务器。今年可以实现文件存储的增长，今天的F5把整个数据中心虚拟化了。为 什么F5今天在市场上有这么强的领导地位，或者有这么强的技术领先性，就在于这里。

应用交付细节的解释，看看几个热门的词，在座的有渠道，也可能也客户，这几年都在想这几个问题，渠道天 天跟着客户一起想，容灾、提高用户体验、加强应用安全，强调安全策略，访问安全控制，大集中。这些热门的词语事实上就是F5的生意来源之所在。 F52007年在全球推动的Solution  selling。这张图在2007年学习的时候，讲的是应用交付控制器，包含哪些产品，哪些产品服务了哪项事情，当时所说的是HA，用户体验，应用安全， 大集中。事实上今天如果把这些东西摘出来，容灾、应用安全、大集中、访问控制、用户体验，再加上F5刚刚提出的存储增长，用户当时想什么？用户想面对这些 问题吗？不会，用户的希望很简单，希望用户能够访问我的应用，访问到我的数据，得到应用服务就可以了，用户只是想解决这个问题，可是你跟他说要解决那么多 问题，如果这些问题不解决，那些问题解决不了，本来只是花十块钱搭一个小应用就可以了，现在需要花一千万，用户要不要做？要做，他有需求，有需求怎么办？ 需要有人帮助你去把这些压力扛在外面。要解决哪些问题，要扛哪些问题？如果提高用户体验，对称投放或者不对称投放，或者放IDC，或者两边都放，加速。服 务器压力大，快是第一的，这是用户体验。

下面是容灾，有GTM，双A的数据中心，或者HA的数据中心，即时的切换。我还写过特别的报告，数据中 心不能即时的切换，为什么？要等待行政指令之后即时切换。同时在多个数据中心容灾的时候，又存在数据同步的问题，如何加速，如何做广域网数据同步的加速， 有一系列的问题需要处理。用户安全，F5两年前推出用户安全的概念，应用安全跟网络安全是完全不同的概念。一直到两个多月前，我才真的知道应用安全的价值 所在。一个证券公司或是银行说全网络跑的都是ITTS的，加密，要跑证书，有防火墙、IPS、审计一系列的东西。前两天跟某行业专家讨论，他说你千万不要 信那句话，为什么？全网都是SLL，都已经被加密过了，全网络只能做网络而言，所有人谈应用都是废话。是不是所有的网络都存在这个问题？是的。在什么地方 能够看到明码呢？只有在Web服务器前面，解密之后才能看到明码。只有看到明码之后才能解决所有的问题。现在有几个人在业务上跑明码？要不要做应用级的安 全，要不要保护业务交易？要，大集中谈了这么多年，大集中业务压力就大了，所有的服务器压力大了，离客户端远了，还有延迟的问题，当然要解决，服务器的负 载均衡、业务卸载都跑过来了。F5今天越来越多的涉及到每一个客户应用所需要的应用交付问题。在访问控制，现在可以完全实现强制安全认证、3A代理、安全 检查等等。最后一个，存储增长了。我学这门课程的时候，当时讲师跟我说一句话，今天企业的存储管理人员，20%的时间在干什么，是调哪个东西应该存在什么 地方，因为存储空间不够了，再买新的存储又很贵。存储的虚拟化需求已经来了，在买存储的时候，有些存储贵，有些存储便宜，如果经常用的东西放在贵的、快的 上，也是一个挑战。存储增长，存储虚拟化的需求也来了。

如果今天有一个人能够把小小的应用，提供用户的服务，访问数据的流程变得顺畅一些，需要新的体系结构， 它能够提高各种功能去满足应用交付的需求，解决应用交付的问题，这里会涉及到多少产品，多少技术？确实很多。今天的F5已经做了足够多的产品、技术、解决 方案，解决用户交付里所有的问题，这是F5的精神所在，今后在座的渠道也要讲应用交付，恳请各位客户招标的时候，不要再招负载均衡，招应用交付，对以后的 业务真的很有帮助。

那么多产品，那么多功能，那么多技术，下面的问题是怎么用。我以前跟某些渠道讲过这个问题，如果今天有 一个人，就是有钱，F5有260几项技术，我挨个技术买，跟你斗，答案是肯定斗不过，收购那么多东西，如何做整合，如何放到一起？大家千万不要忘记了，只 要多一个盒子，每个拆几包，最后都是延迟。只要多一个盒子就是一个单点故障，就要全网络连接，就是HA，多少延迟，多少维护，不可能。今天的F5提出来另 外一个真正的概念之所在，在于ADN的交付存在应用高速、应用快速、应用安全的需求，F5针对每一项需求已经开发了N多技术，这些技术不是F5自己开发出 来的，很多都是大家很熟悉的东西。HTTP压缩，在Win98的时候已经提出来的技术。带宽管理有N多，QoS的管理。服务器很快，客户端很慢，可不可以 慢慢卸载下来，缓解服务器的压力。内容缓存，当年F5做过这些产品，集中认证、协议优化、快速、高可用方面，这是F5以前讲的最多的，而今天F5讲安全， 就像徐超跟大家共享2003年当他们接受攻击的时候，如何采用F5的设备解决了攻击的问题，之后我们曾经找非常多的技术人员讨论过当时的攻击，客户端、访 问是真实的，协议完全是正常的，真实的攻击到底应该怎样防护。到今天为止，能解决这个问题的技术不是很多，当时是2003、2004年。要想解决所有这么 多的功能，需要一个特别的东西把它能够包容在一起，而不是每项功能都提供一个产品，都提供一项技术，怎么办？这个时候是F5真正的东西来了，TMOS。

TMOS的概念非常简单，所有的攻击到不了服务器，应用保证安全了。坏处是什么？有本事把你打死。第二 个可能性，你做了两个站，会不会慢呢？如果想采用其中三项技术，三项技术里有三个设备，每个设备都要把包拆开处理、分包，再重新往外发。一个三层交换机或 者三层路由器的普通延迟应该是毫秒级的。如果有三提这样的设备拆包解包是多少毫秒级的，应该是10毫秒级的延迟。如果在内存里做这样的结构会意味着什么？ 内存的数据，最慢的内存都是纳秒级的，再延迟，两台设备之间串联。事实上TMOS的体系，不但可以解决所有功能的融合问题，还解决了延迟的问题。之后如果 再开发新东西，意味着任何一个新的东西都可以做成软件的功能，插在TMOS里。任何功能插在TMOS的结构里，不是一块插卡，不是硬件，是软件而已。我非 常荣幸的大家，如果有一天F5能够把这个故事全部讲完，那个时候的F5，如果我还在，我将会是卖纸片的公司，收到你的一张传真。而你得到的是什么好处？买 一个统一的平台，需要任何功能，只要在上面激活就可以，甚至可以不买，先测试一个月，可以，没问题，先测试一个月，应用交付所有的产品都是跟应用相关，加 一次就要改一次结构，而TMOS是一个统一的平台，不需要改，我会变成卖纸片的公司，而你往那儿一坐发个邮件，说我现在需要这样的功能，人都不需要到，发 过去就可以了，很方便。更重要的是你的网络里不会再有新设备的改变，不会再出现新设备的延迟，不需要让员工学这个产品的界面，那个产品的界面，结果那个员 工一走你什么都没有，维护的问题该怎么解决，TMOS的威力就是这么强大。今天F5的精髓之所在就是TMOS。

都做在TMOS，系统会不会下降？会下降，会下降的少呢？拿什么保证呢？品牌的保证，F5的1500、 8800、6800、3400。最近这半年，8400跟8800卖的特别火，为什么？百兆升千兆，千兆升万兆是非常顺畅的事情。时间点应该是什么？当年百 兆是如何升成千兆的？时间点应该怎么算？很简单的算法，如果千兆的点的成本只低于3倍的百兆点，这个杠杆就倾斜了，千兆就可以成型了，而今年大家回去查查 报表，一个实际端口的价格已经接近了三个前兆端口的价格，实际的时代已经来了。

刷新了新的性能指标，其它的某两个业界的知名厂商，都说自己是最强的，真的拿出数字，四层交换每秒，基 本接近一倍的差值，七层交换的每秒非常高，有一个厂商的数字不是很稳定。F5在做功能的时候，很少谈性能，而事实上F5的性能到底好坏？最后都只说两句 话，第一，看第三方报告，第二，如果你有环境，有本事自己测，都可以，没问题。防病毒攻击方面，F5已经把防病毒攻击放在芯片里。真实的故事就是 TMOS，开发了一项新技术叫CMP，CMP是很多年的技术，多CPU并行处理，谁做得好？IBM这些做大型主机的厂商，还有以前超大型的主机都是并行 的，有哪个网络设备的CPU是做的最好的？有一个人有一天提出来网络设备的CPU，F5研发了Cluster的技术。8400一个CPU的一个核就可以开 发出TMOS的性能，如果有四个核放在一起，就可以跑四个性能，性能会不会提高？当F5的竞争对手还沾沾自喜于他们采用了英特尔架构的CPU，英特尔的 CGU比较快，升级比较快，所以性能会涨的不错的情况下，以前F5也在应用这个方式。用英特尔的CPU，你快性能就涨了。而今天F5既可以CPU快了，性 能跟得上，同时可以多个CPU并行处理，如果一个机器里有两个CPU，每个人有四个核，就是8个CPU，就是8台八层的性能了，F5再一次领先业界，突破 性能的瓶颈。如果今天再存在性能压力，F5会怎么做？是一个大的插卡的盒子，每一片板是F5的一台8400，里面有两个CPU，两个核，就是4个核，现在 可以做到4块卡，16个核并行跑，16个8400的性能。如果你们买了F5的6800，现在非常满意，性能非常不错，一上就是两三个G往前冲。6800是 第一个，是最差的一个，8400、8800，当6800已经在中国取得大家的认可，得到大家赞赏的时候，F5公司并没有停下来，做了这么高的机器给大家。

这是七层处理交换的性能，6400、8400、8800，可以做到120万的HTTP请求每秒，如果用 户十秒走，十秒之内可以累计1200万人，可以想想在线程度可以做到什么程度。我们要讨论的不是2007年，要讨论的是2008年，这是2010年应该是 什么样的，F5进入2.0的时代不远了，我加入F5才2002年，都快2008年了，很有可能2010年再讲2015年的时候应该怎么规划。这个时候完全 可以实现，某高层出差到一个地方，那个地方有人把邮件摘下来了，拿着高层的邮件密码破坏，什么都可以做，这种事情很可怕，如果一个企业存在这种可能性，要 怎么去做？老板丢一份邮件，IT主管直接拿下去。强制安全策略，很多相关的策略可以非常好的解决这个问题，为什么不可以把整个数据中心全部口之在应用交付 体系之下，同时实现访问控制、应用安全、应用高可用性，甚至可以把网络安全做在里面，做到文件虚拟化，在边缘服务上可以做类似的东西，远程服务方面可以做应急的VPN，数据管理、网络加速、链路均衡。2010年，我相信F5的灯泡会红遍所有的数据中心，这是我的期望，也希望大家能够多多配合，渠道多卖，客户多买。

F5说业界将来的变化，F5做了这样的配合。做应用交付的，应用在说什么呢？应用的人说不要买 F5，F5很滥，我们从来不用它。应用的厂商是不是在推F5。2007年F5做的很重要的事情，跟微软在全球范围内做了很多场的ARN的研讨会，把ARN 跟硬件结合，可以做微软、BEA、Oracle，2007年两万多人在全球范围内，配合ARN做展示，2007年给F5带来多大利益呢？1500多个订单 在展会中体现出来了。2008年会继续做。

SAP，在中国谈ERP，便宜的有国产的，贵的只有一个人，F5已经做了SAP的ARN，我们解决 SAP的应用交付问题，而且是SAP认可的，更重要的一点是SAP是跟F5一起合建的，公司自己内部的Lab。应用是不是在推崇F5？如果以后听到SAP 在中国投放，尽量介入一下。SAP跟F5配合，2007年，F5一共是60个项目，中国也有很多跟SAP合作的，是没有上报的。一般一个SAP的配合最少 上百万，这样的机会应不应该去抓住？2008年当然要继续。

Oracle跟F5的配合一直非常多，8I、9I、10G，今年最重要的是PeopleSoft  Solution。特别是在实际的10G  Application  Server上。中国在中间件上做的不是特别多，但是我们仍然有些非常好的配合。

EMC，F5收购了Icontrol广域网优化的是存储，如果不把存储厂商配合进来，是没有意义的。 EMC跟应用厂商是完全一样的，我们怎么做呢？很简单，这是刚刚宣布的消息，EMC在全球范围内配合F5的关键产品做广域网优化，EMC全球500多个销 售在卖F5的设备会算。以后各位听到有EMC的SRDF的时候，就知道钱来了。

到底F5跟微软应用的典范，做ARN应用的时候是什么情况。当时微软邀请了F5和戴尔一起配合做巡展。 当时提出了两个实际的应用软件，一个是Exchange2007，现在在F5的网站上完全能找到F5跟每一个应用厂商配合所有的相关文档，包括示意图、销 售方法，希望在座的各位回去的时候上F5的网站，看F5跟哪些应用厂商的合作。

F5在1.5兆的线路上推出了6.5兆的链路数据。北美的带宽不是2兆，是1.5兆，是非常常见的带 宽，跟中国很多银行用2兆带宽是一样的，推动了6.5兆的实际数据。Share  Point2007，实际的使用效果，如果直接做访问，在12秒的平均时间，加上F5的优化，只有8.8秒，第二次访问时间只有3.22秒。F5实际的使 用过程中，确实为微软的整个业务系统提供了非常好的高效、可靠的应用交付服务，在安全方面F5能提供安全保护，提供已知和未知的攻击。COD攻击，目前没 有任何人有相关的解决方案，F5有主动式安全概念的策略，大家想象一下，任何防火墙都是怎样规避攻击的，特征码，有十万个特征码，任何攻击都能装得下。明 天有新的攻击怎么办？加进去来得及吗？F5的思路并不是规定什么是攻击，而是规定什么叫应用，应用再复杂，都可以规定的非常详细。凡是不符合应用的都叫攻 击。只要能把应用规定好了，凡是不符合用户规范的一定拿下，如果符合应用规范就是正常应用。反向思维的思路，可以非常好的解决攻击。我们刚刚接受了应用安 全方面的培训，如果大家需要，我们可以做更新。统一认证网关，包括强制安全的策略，F5又有以边缘性故事为特色的反垃圾邮件系统，能够把垃圾邮件抵挡在网 络之外，这是边缘型的，给微软的应用带来安全性的配合。F5做加速，我不敢说天经地义，都是众所周知，都认可的一件事情了。三到五倍的加速，CPU利用率 80%下降一系列的好处。为微软这个用户而特别定义的优化规则，是专门为他定制的，他够大，我一定要为他做点事情，可以做特别的规定。高可用性上，F5本 身就是解决高可用性的，整个系统的可扩展性有很大的发挥，特别是比较大的企业或者比较大的客户应用，可能不只一个站点，多个站点，不同的站点之间，不同的 服务器之间，不同的结构之间高可用性，是F5提供的应用交付的范围所在。

F5所构建的应用交付整体的架构，F5认为世界很简单，互联网很简单，一边是用户，一边是应用，而F5 在用户和应用之间，能够保证应用安全、快速、高效。所有的功能都集中在一个TMOS体系结构范围之内，最大的好处，F5以TMOS架构为基础的应用交付解 决方案，最大特点在于是一个盒子，不需要非常多的设备，只要激活上面的各种功能就可以了。规避了延迟，规避了很多设备的叠加，HA的问题，运维的问题。第 二，是统一的盒子，比较不错的规划界面，无论在里面配什么样的功能，在一个界面里可以完全实现，事实上是目前业界能够做这么多功能厂商里，唯一的一家在一 个界面里做，这是非常不容易做到的事情。面对着同样的一批人，应用交付最大的风险在什么地方？应用与网络的结合点。如果有这个问题，到底是应用的问题还是 网络的问题？大家会推责任。买任何应用交付的产品，都可以说我配好了，是你应用的问题，或者是网络的问题，到底怎么解决，推来推去，会造成实际的效果下 降。如果有F5介入，面对的是同一批人，没有推卸的可能性，就是我，我帮你做好了吗，你满意了吗，不存在任何推卸的可能性。如果F5为大家提供了以 TMOS架构为基础的整体的ADN解决方案的特色而言，就是一个盒子，一个统一的界面，面对的是同样一批人。而如果采用了这个架构，得到的是什么好处？5 个9的高可用性，应用级的安全，80%的服务器资源利用率的下降，资源的释放，带宽节约是2-5倍，我说的比较温柔一些，事实上更高。同时外部的应用可以 提高3-7倍，这就是F5今天为大家带来的应用交付相关的解决方案。

谢谢大家。

问：

第一个问题，相比思科等众多竞争对手，F5的核心竞争和优势在哪里？
吴静涛：

从我内心角度来讲，竞争对手不知道是谁选的，比较特色。思科跟F5是同一阵营的，确实是这个业界的领导 者，有互相对打的可能性。而Reder在对打中是比较弱势的，基本是四分之一或五分之一的市场占有率。对eRer不是上市公司，市场占用率更少一点，让我 在非常短的时间内解决三个人的问题，很有挑战。F5真正的优势之所在，第一在于TMOS的体系结构，他们都需要不同的设备，不同的盒子，思科有插卡，构建 一个整体解决方案，有非常多的问题，而且界面不是完全统一。从Web服务器到路由器之间有十几个，所有的产品都在里面。当这样的结构拿给客户看，F5怎么 就这么几台设备，当时我做解决方案的时候F5很简单，是集成化的功能，一两个盒子，两三个盒子解决所有的问题，而其它的往往有很多，连接不同的结构，延迟 怎么办，HA怎么办，不同的界面。真正的F5优势之所在是统一化的平台，能够把所有的都集中在一起。想尝试新技术，不需要破坏结构，只要在上面激活就可以 了，不需要加新的盒子，连新的部件。我们最大的优势在于TMOS结构，能够提出一个概念、架构来解决这个问题。在今天的业界，只有三个人提出架构，思科、 F5跟SAP。思科的架构是网络规划。

问：

TOM在线用Biger设备替换了防火墙，是否说明它的功能可以取代防火墙，何种模式的用户更适合做此类优化调整？

吴静涛：

首先我不建议大家任何人拿F5取代防火墙，因为F5是防火墙。防火墙这三个字，如果单纯从功能来讲，规 定某些业务可以访问，某些业务不可以访问。交换机可不可以做？服务器有没有防火墙？当然有。F5上可不可以规定防火墙？随便写几句话就能写出防火墙，可 以，问题是F5不是防火墙，业务市场不是在这儿。F5的功能里有很多规定、编写，都是解决防火墙的问题，但我不是防火墙。如果公司内部规划，需要安全的设 备，应用安全我管，网络安全我不管，虽然可以帮到你很多。真实的原因，如果是防火墙，就有很多地方不能卖了，我为了做防火墙这块市场，不可能丢弃更大的市 场。我不建议任何人拿F5取代防火墙。如果你自己愿意做当然是可以的，TOM是一个比较高科技的公司，他认为F5的设备能够有这些功能，就不要用这些设 备，并没有考虑这是安全设备，只要这个功能而已。可是很多企业或者很多客户有专门的安全部门，防火墙毕竟是安全产品，而F5的定义是网络产品，有互补。

问：

北京奥运会票务中心是否用了F5的产品？

吴静涛：