《F5能源-媒体-制造业-交通企业解决方案》由会员分享,可在线阅读,更多相关《F5能源-媒体-制造业-交通企业解决方案(36页珍藏版)》请在金锄头文库上搜索。
1、F5能源-媒体-制造业-交通企业解决方案目录1.1 能源31.1.1省级石油公司-加油站SSLVPN接入系统31.1.2Aramco石油SSLVPN安全接入系统51.1.3电力行业关键业务-电力调度营销应用流量解决方案71.2 媒体101.2.1 报业多链路及服务器负载均衡解决方案101.2.2 大型电视台国际网站解决方案131.3 制造业151.3.1大型制造业集团ADN整体解决方案151.3.2汽车生产企业-4S店SLVPN整体解决方案181.3.3大型汽车生产企业4S店SSLVPN接入201.3.4家电集团邮件系统负载均衡221.4 交通251.4.1 铁路客票系统服务器负载均衡解决方案
2、251.4.2 航空公司-网上订票系统负载均衡271.4.3 航空公司链路负载均衡311.5 物流341.5.1 货运物流公司-互联网安全接入系统341.1 能源1.1.1省级石油公司-加油站SSLVPN接入系统项目概况:加油站比较分散,现场维护困难每个加油站两台机器需要连接市公司机房,然后再通过专线连接到省公司机房。原采用拨号方式,费用高、速度慢、掉线率高A每个加油站按照每天拨号总共2小时计算,每个月的通讯费用为720元,而ADSL包月才120元。在采用拨号方式时、由于速度太慢,无法对油站机器进行远程维护采用ERP以后,需要实现实时联机交易,如果仍然采用拨号需要8000多元/月网络结构:BI
3、6IP.I5G0OOMPW台吧虽可妄氐却芫溺揍可曲库FiZ如4140Switth酋程厅唸唱中心MicrosoftCheM./VOp/&SLHOAServer册一1LIiukClffinl&r*rPSTN加油站督檯Vft卡茱述5厂卫ICServtf-客户需求;使用ADSL+SSLVPN实现安全宽带接入2000个并发用户实时在线远程加油站接入零维护可双向通讯,从总部即可直接维护加油站设备A同时支持Linux和Windows两种客户端的B/S和C/S应用A可持续扩展F5的解决方案:A2台FirePass4140,每台提供1000并发用户处理能力A采用BIGIP1500对两台4140进行负载均衡Why
4、F5:在石油、制造业等有大量成功案例。深得行业客户好评。在天津石油加油站系统中已经成功部署系统运行稳定,保证加油站交易通畅最好的Linux客户端支持,不需要下在巨大的Java虚拟机包具有良好的扩展性。关键技术阐述:AFirePassSSLVPN:提供Portal、AppTunnel和NetworkAccess三种模式,支持从最方便的HTTPSWeb代理到最开放的三层网络通道方式,满足各种复杂应用需求。ASSLVPN负载均衡:通过BIGIP-LTM,可以将两台以上的SSLVPN设备组成最佳的Cluster解决方案,保证多台设备的协同工作和健康状态监控。严格访问控制:包括WebACL,Networ
5、kACL等多种手段来限制用户的访问范围。A端点检查:可检查客户端的安全状况,如防火墙开放情况、防病毒软件安装情况等。对不符合安全条件的客户端可做隔离处理。充分保证内网安全。A内置Web攻击防护和杀毒网关,保护内网服务器。1.1.2 Aramco石油SSLVPN安全接入系统客户背景;沙特阿拉伯石油公司(SaudiAramco)成立迄今六十七年,为全世界最大的产油公司,掌握全球四分之一的石油蕴藏(已证实蕴藏量二、五九二亿桶),为亚洲、欧洲、及美国地区能源主要来源,于国际能源界占举足轻重地位。SaudiAramco总部位于阿拉伯半岛东岸达兰,为世界十大石油公司之一,目前有56,500名员工,分布在五
6、十个国家以上,其中八成为沙特阿拉伯人;本身拥有世界最大的陆上和海上油田,及先进的探勘及石油工程中心,并建构纵横国际的营销体系;在新的世纪里,SaudiAramco探勘人员在全球找寻新的油气投资机会,并积极推动强化措施,以期永保在能源业界的领先地位。项目概况:AAramco的五万多名员工分布在全球各地。原采用IPSECVPN访问总部应用。IPSEC客户端维护复杂,系统维护成本极高。员工使用不便,并且和合作企业互联时具有很高的风险性。曾多次发生外部染毒用户接入内网后,导致内网大规模瘫痪和中毒事件A需要真正的远程安全接入方案网络结构:客户需求;传输安全,应该使用公开的协议保证信息传输的机密性;A可以
7、适应多种接入平台,适应多种应用运行:该解决方案要能够满足所有基于IP的应用都可以接入,包括基于TCP、UDP的C/S应用以及B/S应用,提供与应用无关的特性,可以使用各种windows平台,包括windows98、windows2000、windowsXP、windows2003;A提供完善的客户端安全检查手段:可以根据系统预定义的安全策略对客户端做各种扫描,如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等,然后根据用户的不同情况访问不同的网络资源;提供高可用性:系统对全球员工服务,需要24小时不间断运行。提供多种身份认证手段:应提供多种身份认证手段,以满足多种应用的需求;A支持网
8、络隧道方式:可以让安全的客户端像在内网一样访问内部的所有基于IP技术的资源。F5的解决方案:推荐采用FirePassSSLVPN安全接入网关作为远程安全接入平台FirePass内置的端点检查功能可以确保每个接入的客户端均满足内网的安全需求。AFirePass支持多种客户端,包括Windows、Linux、MAC、WinCE等客户端。根据客户端的端点检查结果赋予每个用户不同的访问权限单台SSLVPN可接入2000个并发用户采用11台FirePass4150形成Cluster模式,实现20,000并发用户的接入能力。A系统将来还可以采用BIGIP对FirePass负载均衡实现更高的并发客户处理能力
9、。WhyF5:A内置端点检查功能,而竞争对手提出的同样功能解决方案必须配合第三方产品,导致系统造价的直线上升。图形化的检查流程配置减小了网管人员的工作强度Cluster单点配置,统一管理实际测试运行期间工作最稳定通过与BIGIP配合,系统还有扩展的空间AF5提供整体解决方案,面向安全、加速和高可用性。关键技术阐述:A端点安全检查:在F5FirePass内置了客户端安全检查功能,可以在客户端登陆FirePass之前就对客户端的安全状况进行彻底检查,包括是否开启防火墙、是否安装防毒软件、防毒软件的版本和病毒库是否最新等进行检查。并根据检查的结果允许或者不允许客户登陆。APost-LogonSequ
10、ece:根据端点检查的结果,FirePass还将对后台的资源进行保护,对于不满足特定条件的客户端只开放有限的资源。A集群扩展:FirePass支持自身集群扩展和BIGIP负载均衡两种扩展模式,可以在任何扩展要求下满足客户的需求。113电力行业关键业务-电力调度营销应用流量解决方案项目概况:A某市电力局是省电力公司所辖的大II型供电企业,全局职工总数为2337人。下辖5县(市)供电局和城郊供电分局,3个直属生产单位,59家多种经营企业。2001年全局固定资产规模达3426亿元,其中部属达到225亿元,省属达到1176亿元;电力销售收入26.06亿元。A县(市)局用电营销系统全面进入试运行,在提高
11、营业窗口效率,规范业扩流程等方面发挥效用。调度自动化主站一0PEN2000系统,完善了MIS系统、电能量计费系统、EMS/DTS接口的能力,真正实现信息共享,满足了电网技术发展的要求。为了更好地服务下属用户群,决定对电力调度和用电营销等关键应用进行优化。A关键业务系统的7*24小时不中断,同时在每个月的高峰时间不仅要保证应用不中断,还要提高访问速度。随着应用数据不断的增加,能够实现业务主机的无缝扩展。A通过架构流量管理产品,改进服务器和应用在运维时对在线业务的影响。用电营各基(市)供电品LTM干兆以太心跳拔7数J1双千症以丈檢心交换机核心交换和2应用I应用I服备黠上Iy客户需求:A提供全面的服
12、务器负载均衡算法,不仅要有常见的算法,还需要有能根据用户要求特别订制的算法。提供基于应用的健康检查机制,不但能检测服务器故障,还可以检测应用故障。A通过HA方式保证系统的7x24小时服务,保证系统的高可靠性;同时提供会话镜像功能,保证设备切换时,应用的连续性。A要求方案设计简单,容易部署,不改变现有的网络结构。F5的解决方案:采用F5LTM1500双机HA冗余结构,实现电力调度和用电营销等应用的负载均衡。采用F5特有的负载均衡算法和健康检查方法保证业务负载实时、高效均衡。采用F5丰富的会话保持机制,对应用访问的一致性进行流量控制。以F5独有的毫秒级切换和StatefulFailover技术实现
13、系统切换时应用的连贯性。A采用双千兆链路聚合的全冗余、少层次的网络结构,保证不会因为线路故障影响业务。A基于应用的结构,便于以后业务系统无缝拓展。为什么选择F5:ALTM产品能够满足要求严格的应用健康检查要求,是最贴近应用的健康检查,保证了各个服务器,更重要的是应用业务系统的正常运行。ALTM产品能够满足特殊的应用会话保持机制,特别是F5专利的cookie会话保持技术解决了源地址会话保持的局限性。F5负载均衡器内置业界唯一专有的四层ASIC芯片,加速对数据处理的性能。AF5负载均衡器双机心跳线方式提供毫秒级快速切换,是CTAIS系统这样的关键业务系统所必需的。简单而稳定的结构部署,实施容易,以
14、后的扩容也容易。F5在国内税务行业中拥有众多的成功案例和优异的运行记录。A专业的技术支撑和服务团队,第一时间对用户响应和解决问题。关键技术阐述:AUIE+iRule提供了对应用的可编程控制:UIE实现了对所有TCP、UDP应用的数据包分析与信息提取功能;iRule则是基于事件驱动的编程方式、功能强大、扩充性极强的开发语言。UIEUniversalInspectionEngine通用搜索引擎,可以检查TCP/UDP数据中的任何内容,包括TCPHeader,TCPPayload等。与其它的状态监测方式不同,通过UIE,甚至可以实现数据流的双向监测。AppmBcti也J-W图表1UIE通用搜索引擎工
15、作示意图UIE可以在多个条件下触发,包括客户端建立连接时、客户端TCP三次握手完成后数据传输时、服务器端建立连接时和服务器返回数据时等。针对特殊的应用,还具有应用触发条件如SSL连接建立和客户端证书提交等。UIE可检测的内容包括:客户端IP、客户端源端口、服务器端IP、服务器端口、客户端数据、服务器端数据。通过一系列的字符串和二进制处理机制,可将处理的结果提交iRules进行判别和处理。A强大的应用会话保持功能:内置多种会话保持方式(源地址相关性持续性、cookie持续性、目的地地址相关性持续性、Hash持续性、微软远程桌面协议持续性、SIP持续性、SSL持续性、通用持续性);支持复杂的的、可定制的会话保持功能。A完善的基于应用的健康检査:在对用户的访问请求作负载均衡的同时,应用交换机还必须不断地监控服务器上服务的运行状态。LTM应用交换机支持以下服务器健康检查方法: 服务器(Node)-Ping(ICMP) 服务(Port)-Connect 可扩展的应用验证(EAV):不仅仅检查服务器上指定服务的端口是否处于监听状态,还要检查该服务端口能否对应用访问请求做出回应
