F5 应用交付网络如何提升用户体验-案例分析

主题：应用交付网络如何提升用户体验-案例分析

F5销售总监 吴若松：

使用F5解决方案到底能给客户带来什么实际效果？可以更多的探讨这几年做的客户成功的经验，跟大家分享。

应用交付网络，现在这个时代是应用为王。在座各位只要是信息中心的主任，都会发现一个关键的问题，应用 不断承受迅速增长的使用。同时，应用系统到为止，随着应用越来越丰富，53%的性能不断忍受这些应用。在IT技术里有著名的定律，每18个月运算能力翻一 倍。企业的ERP系统，真正的核心应用系统，到现在为止，并不能随着摩尔定律的提升而提升。这是应用交付方面最大的挑战。

今年所有的应用系统将会开放给所有的员工，所有企业的公众，还有企业用户、合作伙伴、供应商。在这种情 况下，一个企业是不是能够保证应用系统能够在7×24小时，任何设备、任何地点都能够访问，随时确保安全，同时能够访问保证有效的人员访问有效的资源，防 范非法的访问和窃听，提高系统的高可用性，同时确保能够在容灾系统方面，达到5分钟之内达到。

流量大幅增长，自从有了网络电视以后，到现在为止，所有的流量基本不能满足各位的要求。预计到未来的发 展，还有更可怕的，没有F5的解决方案，应用交付网络数据中心，产生的故障和风险将会是扩散性的，并不是单点。假设HTTP服务器出现文章，Web服务器 产生故障，用户的访问就会失败。第一，访问速度比较慢，第二，安全性问题，将会越来越严重。在座的各位能够进行网银的访问，有没有交易的内容？为什么在座 的各位不愿在网上做交易？害怕窃听数据，害怕信用卡和银行帐号被窃听。2005年的3月份，美国发生一起很大的事件，三千万银行卡系统被窃听，传出消息的 时候，所有中国的报纸都在跟踪报道，当时新京报有一篇文章说三千万信用卡信息被窃听，中国的信用卡非常安全，21号的报道是九千个中国特种银行的信用卡数 据被窃听，22号报道的内容是中国银行的长城卡信用卡里有些资料已经被人窃取，23号内容，中国国内居民用的是长城国际卡，被人盗了540多美金，整个报 道是连续一个星期内。在座各位不敢进行网上交易的原因在于害怕哪天谁用我们的帐号窃取，用我们的资金购买很多物品。2003年很著名的黑客，通过一种手段 直接窃取了很著名的网上交易网站的信息，维多利亚的秘密是非常高档的。这种方式非常简洁，直接把数据窃取。通过这种手段，为他的女朋友订了很多各种各样的 女性内衣。刷卡达到十万美金额度的信用卡，用户名和所有的家庭住址以及联系信息，给你500美金，在网上买很多东西。在这种情况下，信息系统安全问题不是 简单的问题，所有的黑客都开沃尔沃，西装笔挺的在豪华酒店里居住，可以不花钱的住到任何一个酒店，不花钱订到任何机票，可以窃听商业资产，在保加利亚有一 家公司直接在网上，如果给他十万美金攻破一个网站，网站一天不能提供工作。整个信息系统，黑客技术已经变成强大的信息方面的获取财富的非法手段。

还有可用性的问题，希望访问ERP系统、在线系统，最希望用手机访问，每天随时带着手机。网站进行任何 股票交易，希望随时能看到丰富的内容。当然现在手机屏幕没有那么大，随着时间的变化，任何地点、任何设备、任何时间，随时随地通过各种各样的方式，能够安 全、有效的7×24小时访问，是可用性问题。

易用性的问题，对于企业的网管来看，整个信息太复杂的设备。我们需要学习很多厂商的产品。真正的CIO或者CTO需要的技术含量已经超过了很多信息，我们希望虚拟化的，无缝生存。当然还有可扩展性。

常见的网上效果，可以看到应用的可用性问题，应用的安全性问题，应用的效率问题，这几个成为现在核心的 三大问题。第一个挑战是大集中。第二，摩尔定律和整个信息系统处理能力，实际的效果跟应用处理效果完全相反的结论。第三，存储。第四，应用安全。现在整个 IT系统的开发人员必须要掌握的四个要素和关键应用的三个问题，应用、性能、安全和高可用，谈到核心技术。

今天的应用交付网络不像以前要考虑路由器、防火墙、交换机。考虑更多的是应用到客户端六个环节，服务 器、应用系统、门户、数据中心、ISP和客户端。最大的问题是很多技术都已经超出了我们能想象的，一个服务器可能变得很简单，现在有了数据系统以后，服务 器的管理非常复杂。应用系统，自从有Web2.0这些技术，应用系统也变得复杂。门户经常会出现故障，数据中心经常会出现停电事故，实际上这些环节是应用 的压力和挑战。

我们的理想是数据中心前端只要放一个设备，解决所有的竞争对手需要12台设备才能解决和处理的问题。我们希望通过它能够实现所有的要求。正因为F5很理想，所以Gartner连续六年把F5评为第一。

F5在高端产品方面，连续提供四个功能在一台设备上，企业的数据中心不能忍受放12台设备。我们有很多成功案例和中国的客户群，有1500个客户，6000多个设备运行。

我们在哪些行业运行的更好？设备有在哪里，甚至见到大量用户的时候，第一句话说这个设备对我有用吗。所有的行业，所有的客户都需要F5解决他的问题。

第一个实际应用，如何通过应用交付控制系统能够加速网站访问。用户的选择常常是根据网络体验，在互联网 的7秒钟延迟。如果哪个网站的访问时间在8秒钟以内，就可以长期在网上交易。测试效果，没有F5的网站应用加速器，最长的蓝线，结果是12秒以上。很多客 户都会不满意，称为8秒钟平衡度，有的人称为7秒钟平衡度。我们的效果是如果采用F5的Web  Accelerator，最长的是8秒。设备如何编写，都能达到客户满意度。假设需要42.6秒才能访问文档，通过我们加速访问，7.0秒就可以访问。针 对网上证券交易，施乐或者希尔顿酒店预定服务网站，所提供的网上应用服务，可以有2-3.7倍的提升。

多运营商的瓶颈，传统的方案，希望多个运营商突破通信障碍。到现在为止还有访问的瓶颈，采用传统的BGP方式，效率不好。中国的网银、证券交易系统，还有中国所有的VRP，称为链路负载均衡解决方案。

广域网的备份和容灾的问题。在广域网上最关键的协议是他们之间的通信。如果在局域网上传一百兆的文件， 只需要十几秒钟。而带宽很可能只有一百兆，北京到新疆延迟是300毫秒，也是ATM1555兆，传一百兆的文件，需要的不是原来的17秒，而是8.5分。 如果在北京到新疆之间虽然带宽是150兆，原因是有太多的跳点，造成延迟，每一个会话需要300毫秒。原来的协议从来没有为了应用优化。最好的办法是采用 F5立体化解决方案，只需要进行六次传输，最后的结果是1.8秒，跟局域网传输是一样的。我们现在能够跟很多企业的容灾企业进行有效的结合，实现提高整个 系统。当然还有很多软件巨人，包括Oracle、SAP、bea，这些软件非常丰富，而且非常强大，最重要的结果是客户的访问速度可能会惊人的下降。最早 做的案例是北京移动，为了提高客户满意度、水准，但是SIEBEL部署效率降低。我们能够有效的提升它的速率。F5的应用交付控制器的解决方 案，IIS6.0、OWA、SharePoint。

应用级的安全，如果没有在Web服务器前端把应用解开的话是一个虚假的应用。一个黑客申请一百块钱，申 请中国工商银行网银的帐号，就拥有了IIS的处理能力，采用各种手段，只需要一两个包就可以把整个系统攻摊。最重要的是他追求窃取更多的信息资产。IDS 和IBS部署在网络层面，基本上没有能力防止。最大的问题是全世界每一千万个发生的安全事故里，64%通过80端口进行访问。防火墙好像越来越没有用，很 多攻击行为，防火墙也没有报警。当然，防火墙并不是完全没有用，�防范其它方面有很多的作用。应用系统完****露在所有高精尖的黑客面前。

应用的攻击实际上是现在黑客所攻击的唯一手段，自从2005年以后，再也没有黑客对外扬名立万说公开哪 个系统，已经没有用了，中国、台湾黑客、红客之间打了一个仗，全都攻摊了，他们现在开始联盟，在家里不用花任何手段，窃取所有人的信息，很容易看到黑客越 来越聪明。未来的财富掠夺者将会出现新的手段，他甚至是温文尔雅的书生，但他抢劫的手段永远不比武力很强大的真正现实中犯罪的人弱，更厉害，我们必须采用 新的手段保护在座的各位信息资产。

这是新的Phishina技术，工商银行、网银，在网上都有假的银行，经常收到邮件说用户名、密码过期 了，登记一下，底下有个链接，标准的工商银行、农业银行，一不小心点了链接，上去以后发现很像是工商银行，不断变换URL，总之你觉得是ICBC，一点击 就死了，那是传统的。现在已经改了，黑客手段，只要侵入你的系统，知道你经常上网，直接把这个东西嵌上去，访问了网页，有用户名和密码的输出，直接把这个 东西嵌上，让屏幕刷一下，会感觉出现老的屏幕，马上有一个新的屏幕出来，输入用户名、密码的时候，源源不断地把信息直接传到黑客我们称为“钓鱼”的网站， 有你所有的行为。而采用F5应用防火墙技术，保护所有防火墙的行为，对所有输入端的端口，所有用户键盘输入的信息全部进行过滤。根据企业的漏洞，定了企业 合法访问网站应该有的行为。这种理论技术解决的保护是有效规避了称为黑客的攻击。

我们在全世界发现一个现象，40%的垃圾邮件来自于中国。我们这一辈子可能最主要的应用是电子邮件，忽 然有一天邮件没有办法用了，我们跟世界完全失去联系了有了邮件，随时可以自由的处理，最重要的应用是电子邮件，可能一辈子不会用ERP，也可能不会上网 银。1997年我开研讨会的时候曾经问谁有电子邮件，500人的会场只有7个人举手。电子邮件所产生的风险越来越大，非常恐怖，尤其是通过SSL传输的电 子邮件，关口设置25、110，如果采用SSL加密手段，端口变成995，所有的ADSL防火墙不知道传什么东西，需要专有的设备解决，必须有反垃圾邮件 系统，但是反垃圾邮件系统必须智能，随着邮件的不断增加，以前收三封邮件已经很高兴了，1992年收到第一封邮件，大家非常激动，现在发邮件每天要写很多 中文和英文，邮件激增的时代到来，反垃圾邮件系统迅速膨胀，开始变成了压力。F5应用解决方案，如果对方有很多邮件过来，先经过F5的过滤，直接把客户的 IP地址传到专门的数据中心，这个数据中心是全世界很大的，它来分配到底发送邮件的IP地址是不是黑客、垃圾邮件的策源地，如果百分之百确认，F5先把它 过滤了。这样的解决方案在F5马上先过滤掉70%的垃圾邮件，另外30%的垃圾邮件将由高智能的Security服务器解决。

提供灵活、安全的应用和资源的访问控制。除了解决数据中心的安全问题之外，还有访问，用户能不能有效的 访问数据中心，一个很重要的要求，用户必须随时随地任何设备、任何地点，能够安全的根据身份和角色，随时访问，有一个前提条件。假如用公司的笔记本电脑， 在网吧里访问，在家里的电脑访问，用朋友的电脑访问，代表安全性和安全级别。未来的某些时候，你们的局域网、广域网所有的设备都是SSLVPA的内容。 IPSec、WEP这些信息失窃的可能性是最大的。国内著名的网络公司，上市的几大公司之一，有一天他们的办公室里有一个人放了笔记本电脑，攻击了两个小 时，把整个内部系统全部攻瘫了，他们刚刚定位为IP发生地，好不容易找到了，但是人已经跑了。办公室里有多个以太网的接口，随时随地可以访问的情况 下，F5的FirePass可以统一的访问，都是加密的，只有自己看得见。访问的时候进行详细的身份认证，进行详细的角色授权，用笔记本或手机、家用电 脑、网吧里访问。最近有了成功案例以后，很多电信运营商，网上营业厅的解决方案，和网站加速器结合在一起，规避了原来加密造成了整个系统的下降。

电信运营商需要DNS系统升级。DNS请求很多是错误的，客户看到错误的并不是很好的感觉。我们的广告服务既能让客户满意，又能让广告商获得新的途径。我们采用了双向检查，有一个好处，F5自动截获。

如何清理管道的内容？在中国其实很多带宽都很宽，包括北京的三环很宽，但一样还是堵车，原因是管理的问 题。很多宽带运营商并不知道带宽里到底跑什么流量，没法进行统计和管理，必须有一种手段简洁高效的解决这个问题，F5提供有效的解决方案，恰恰是有可编程 的网络解决忙按，有效控制和绿化带宽。

还有很多解决方案，如何推动高可用性的环境，提高整个企业的效率？现在整个访问，很多时候访问某些应用 系统，压力变得非常大，1.14亿访问量，这是国外著名的网站，MSNBC，每天的访问量是1.14亿，F5的解决方案，对服务器的压力直接改变成 IMillion，削减了5%，服务器的压力迅速降低。

IPTV的解决方案，有效提供很多视频服务，通过F5的技术能够进行加速提供有效的视频转播。

全世界前十一大银行，全部采用了F5的解决方案。第十大银行是工商银行，全世界的证券交易系统，中国大部分基金系统。在座的各位现在所上的网上银行，后边用的都是F5的设备，提供7×24小时的服务。中国的网上征税，税务征集系统也采用F5的配套解决方案。

最典型的具有ADN的数据中心解决方案的特点，就是存储虚拟化，应用服务和服务器虚拟化，还有门户和网站虚拟化，整个数据中心最终实现虚拟化的解决方案，才是真正有效的，能够随时满足未来发展压力和挑战的数据中心。

今天的解决方案实际上还有很多台设备，理想是明天的解决方案只需要一台设备，可以解决面临的所有问题。

未来三到五年为企业的成功奠定坚实的基础。因为采用F5的设备能够解决数据中心达到5个9的高可用性。第二，可以节约至少三分之一的服务器资源，能够节约66%的带宽，速度提高3-5倍，应用级的安全。

问：
   
请问贵公司今后几年的研发方向是否会有拓展或调整？网关设备会融入更多的安全特性吗？

吴若松：

我们现在研发的方向，最大的挑战是把所有的功能结合成一个高端的产品，保证这样的性能。当然，还有一 个，我们谈到ADN的解决方案，所有的F5的产品，每个产品，每个环节都希望体验安全、快速、高可用，研发到为止还有很多事情要做。我们也可以叫网关，针 对服务器，我像一个客户端，针对一个客户端，我像一个服务器，内部进行处理。到现在为止，研发的方向我们投入了最大的研发费用。

问：

进行F5架构改造时，如何解决对其它厂商网络设备的兼容性？难道要将现有设备全部丢弃吗？

吴若松：

我们做F5的产品，大家注意一个特点，是四到七层待工作的特点。所谓四到七层，跟所有的网络产品，在三 层。现在的路由器、防火墙设备，基本上没有任何设备可以丢弃，我们希望是平滑过渡。最初可能用来做负载均衡，将来可能用来做ADN，中间还有别的设备运 行，没有问题。我们到现在为止，从来没有听过任何一个客户的任何设备，是逐步的切换过程。把F5用来做应用交付网络的某些功能，传统的已经购买的设备继续 工作，直到生命周期在三到五年之内，任何一个IT设备的使用价值开始降低为0的时候，就把F5的功能应用上去。将F5的应用升级测试。我们为了所有的企业 能够升级更方便，更灵活。正因为如此，我们将来的理想是在一台设备上，一个操作系统，多个CPU，运行所有的模块。

问：

您公司如何提高产品的前瞻性，保障对用户的满意服务？

吴若松：

提高前瞻性的方法，F5在全球有1000多个员工，其中50%的员工是工程师和研发人员。F5每年最大 的投入是研发。作为一个企业，最大的问题是必须自己能够有很强的研发能力，必须理解所有互联网最新的潮流，我们认为很多互联网的问题将来会引申到企业所有 的环节中。今后在座的各位生活都会依赖于Web这种方式去运行和工作。

最大的问题是服务，F5自己有自己的服务队伍，我们在全球建了7个技术服务中心，在中国建立授权服务中 心，确保每个工程师能够提高服务质量。在中国我们还有最重要的投入，投入很多精力和时间，每个季度连续大概十几个季度，每个季度培训中国的代理商工程师， 最强的代理商工程师有23个认证过。我们必须保证他们有一定的质量，因为我们也是一个代表处。我们在中国有260名的F5的认证工程师。但是我们发现有的 竞争友商们，在中国的认证工程师，有经验的几乎只有两到三个。正因为如此，在中国不是靠宣传和广告，而是靠用户给朋友推荐使用F5的产品。我相信在座的各 位都有同感，使用一个产品的好和坏，不在于有多少知名的品牌，而是在于它能不能7×24小时，乘以4在线提供服务，一定要解决问题，要具有跟F5工程师同 样水平的，现在做到成功，也依赖于在座各位的合作伙伴对F5的巨大投入。我们对合作伙伴从来不是要求有多少销售量，而是要求有多少认证有经验的能够提前售 前和售后服务的工程师。当然，工程师和销售人员的比例，一年5：1，工程师占多数。

问：

F5如何提高多CPU情况下的处理器利用率？如何更好的解决网络安全性和系统延时问题？

吴静涛：

从多CPU利用率来讲，我们在CMP上投入了非常大的精力。竞争友商一般会拿两个CPU，这个CPU跑 最主要的负载均衡的功能，另外的CPU可能跑加速。大家要注意到一点，最大的瓶颈，两个CPU，四个核，一个核跑负载均衡，一个核跑加速，另外两个核在干 什么。如果不需要加速，只需要负载均衡，四个核能跑到一起吗？很明显答案是不能。F5的CMP技术，如果有必要，可以把四个核全部跑上去，或者全部跑在负 载均衡或者加速上，在F5的概念是完全允许的。多CPU技术，多核技术非常快，一个CPU四个核，两个CPU八个核，F5的CMP技术就非常有价值了。 2004年，F5的2400交换平台、四层交换机出来，大家才感觉到F5的性能很好。现在的F5在CPU利用率上，投入了非常大的研发，这是我们最自豪的 实力。

延迟问题上，我可以透露F5内部的工作原理，有点开发的概念。F5的内存在工作的时候，一个流量进来， 对它要进行负载均衡的处理，要对它进行HTTP的压缩、便捷优化。一段数据这个工作一下，那个工作一下，势必存在内存互相拷贝的过程，即使内存互相拷贝， 也比在网上传好。F5利用更特别的技术，把用户的数据固定在内存当中的某一块，这块数据是不动的，而当他需要某些功能的时候，是F5让那些功能调用这块内 存，用的数据一旦进了F5的设备，并不存在F5设备当中互相调用问题，是零拷贝技术，在解决延迟上是带来很大的好处。

我们在网络安全上带来非常多的帮助。第一点，半连接防护，TCP每一项东西都可以作为攻击你的理由，不 要光谈握手攻击，Resert攻击也可以存在。F5在整个DBU防护攻击，你有本事就把我打死，而这个可能性不是非常大。我们的内部测试表明，两三个G半 连接攻击基本不会造成灾难性的后果。后台应用是不倒的，我是全代理的结构，后面仍然是安全的。