F5 Local Traffic Manager w ofercie NASK
2 Dwa światy? Nowe luki bezpieczeństwa Słaba sklalowalność Słaba wydajność? Aplikacja Administrator sieci Programista Tradycyjnie sieci skupione są na zapewnieniu połączeń Aplikacje skupione na logice biznesowej i funkcjonalności
3 Jak sprostać wymaganiom? Wiele punktów Application Większa Przepust. Administrator sieci Programista Kolejne skrzynki w infrastrukturze? Armia programistów?
Rezultat: Rosnąca sieć 4 UŜytkownicy Pojedyncze rozwiązania Aplikacje Komórka DoS Protection PDA Rate Shaping SSL Acceleration CRM CRM SFA ERP Server Load Balancer Laptop Content Acceleration Application Firewall ERP CRM ERP SFA Desktop Connection Optimisation Traffic Compression Aplikacja natywna SFA Zdalne biuro
5 Zintegrowane rozwiązanie F5 Uzytkownicy Rozwiazanie F5 Aplikacje Tel komórkowe PDA Laptop Desktop Sieć aplikacyjna TMOS CRM Bazy danych Siebel BEA Legacy.NET SAP PeopleSoft IBM ERP SFA Własne Biuro zapasowe
6 Wirtualizacja i unifikacja usług oraz aplikacji Optymailzacja Sieć BIG-IP W W A Baza danych A Bezpieczeństwo DoS and SYN Flood Protection Network Address/Port Translation Application Attack Filtering Certificate Management Resource Cloaking Advanced Client Authentication Firewall - Packet Filtering Selective Content Encryption Cookie Encryption Content Protection Protocol Sanitization Application Security Module SSL Acceleration Quality of Service Connection Pooling Intelligent Compression L7 Rate Shaping Content Spooling/Buffering TCP Optimization Content Transformation Caching Dostępność Comprehensive Load Balancing Advanced Application Switching Customized Health Monitoring Intelligent Network Address Translation Intelligent Port Mirroring Universal Persistence Response Error Handling Session / Flow Switching IPv6 Gateway Advanced Routing
7 Architektura irules i icontrol Język programowania F5 kontroli aplikacji w sieci Programowalna sieć aplikacji Profile aplikacji oparte o GUI Powtarzalne reguły Zunifikowane usługi infrastruktury aplikacji Dedykowane i adaptowalne funkcje Bezpieczeństwo Optymalizacja Dostępność Nowe usługi Uniwersalny silnik kontroli (Universal Inspection Engine UIE) TMOS Szybkie Proxy aplikacji Całkowicie widoczny i kontrolowany ruch danych aplikacji Klient Server
Wiodące na rynku funkcjonalności 8 DoS and SYN Flood Protection Network Address/Port Translation Application Attack Filtering Certificate Management DoS and DDos protection Brute Force attacks protection Resource Cloaking Advanced Client Authentication Firewall - Packet Filtering Selective Content Encryption Cookie Encryption Content Protection Protocol Sanitization Comprehensive Load Balancing Advanced Application Switching Customized Health Monitoring Intelligent Network Address Translation Advanced Routing Intelligent Port Mirroring IPv6 Gateway Universal Persistence Response Error Handling Session / Flow Switching Network Virtualization System Resource Control Application Templates Dashboard Secure and Accelerated DC to DC data flow SSL Acceleration Quality of Service Connection Pooling Intelligent Compression L7 Rate Shaping Content Spooling/Buffering TCP Optimization Content Transformation Caching TCP Express
9 Funkcjonalności Prostota wdrożenia i supportu Łatwa integracja w sieci Możliwość działania również jako urządzenie warstwy 2 lub 3 Prosty i kompletny graficzny interfejs użytkownika Usługi instalacji przez F5 i/lub partnera BIG-IP działa z każdym serwerem lub usługą oparta na IP icontrol pozwala na integrację z aplikacjami własnymi i/lub firm trzecich
10 Funkcjonalności Sprawdzanie dostępności Pre definiowane i modyfikowalne monitory Również możliwość użycia skryptów Sprawdzanie dowolnych procesów back-end Działa z każda aplikacja IP Stateful failover między urządzeniami Bezpieczeństwo Zabezpieczenie podobne do firewalla, chroni przed wieloma popularnymi atakami Administracja przez połączenia szyfrowane Zintegrowane SSL/FIPS i secure NAT Moduł dodatkowy: Web Application Firewall (ASM)
Funkcjonalności 11 SSL i E-Commerce Zintegrowany SSL Akceleracja SSL Zarządzanie Certyfikatami Obniża koszty certyfikatów Sprawdzanie certyfikatu klienta(autentykacja) Funkcjonalności Layer 7 Może wykorzystać zarówno nagłówek/zawartość HTTP lub każdą zawartość TCP w decyzjach kierowania ruchem Może bazować na czymkolwiek HTTP 1.1 keep-alives ogromnie zwiększają wydajność
Integracja i rozszerzenia - irules 12
Prostota i moŝliwości irules 13 Centralized Transaction Assurance: Proactive Response Error Handling for Higher Availability rule redirect_error_code { when HTTP_REQUEST { set my_uri [HTTP::uri] } when HTTP_RESPONSE { if { [HTTP::status] == 500 } { HTTP::redirect http://192.168.33.131$my_uri } Host to URI mapping: Faster Access to Data through Automatic Re-direction when HTTP_REQUEST { # www.a.com -- domain == A.com, company == A regexp {\.([\w]+)\.com} [HTTP::host] domain company If { "" ne $company } { # look for the second string in the data group set mapping [findclass $company $::valid_company_mappings " "] if { "" ne $mapping } { HTTP::redirect "http://www.my_vs.com/$mapping" } } } Centralized Data Protection: Rewrite, Remove, Block and or Log Sensitive Content rule protect_content { when HTTP_RESPONSE_DATA { set payload [HTTP::payload [HTTP::payload length]] # # Find and replace SSN numbers. # regsub -all {\d{3}-\d{2}-\d{4}} $payload "xxx-xxxxxx" new_response # # Replace only if necessary. # if {$new_response!= 0} { HTTP::payload replace 0 [HTTP::payload length] $new_response } }
Skuteczne i proste zarządzanie 14 We have to deal with multiple products. The new user interface makes every other solution in this space look absolutely immature. F5 s solutions are 10 times easier to manage than Cisco. - Major US Hosting Provider
Profile (Szablony) NiŜszy TCO: Profil moŝna uŝyć dla wielu aplikacji, ułatwiają stosowanie polityk do zarządzania ruchem NiŜszy TCO: Prostsze zarządzanie, lepszy widok wszystkich zasobów powiązanych z jednostka wirtualną 15 Deliver Optimize Secure
16 Przyspieszanie (wdroŝenia) aplikacji Gotowe schematy wdroŝeń dla konkretnych aplikacji IIS, Sharepoint, Siebel, BEA, OWA, SAP
Devcentral i askf5 17
18 Moduły dodatkowe - bezpieczeństwo Application Security Module Protect applications and data SSL Acceleration Protect data over the Internet Advanced Client Authentication Module Protect against unauthorised access
Moduły dodatkowe Szybka adaptacja do potrzeb biznesowych 19 Compression Module Increase performance Webaccelerator - Fast Cache Module Offload servers Rate Shaping Module Reserve bandwidth
20 Rodzina sprzętowa
Big-IP Platformy sprzętowe 21 Cena BIG-IP 8900 BIG-IP 6900 BIG-IP 1600 Dual core CPU 4 10/100/1000 + 2x 1GB SFP 1x 160GB HD 4 GB memory SSL @ 5K TPS / 1 Gb Bulk 1 Gbps max software compression 1 Gbps Traffic 1 Basic Product Module BIG-IP 3600 Dual core CPU 8 10/100/1000 + 2x 1GB SFP 1x 160 GB HD + 8GB CF 4 GB memory SSL @ 10K TPS / 2 Gb bulk 1 Gbps max software compression 2 Gbps Traffic 1 Multiple Product Modules 2 x Dual core CPU 16 10/100/1000 + 8x 1GB SFP 2x 320 GB HD (S/W RAID) + 8GB CF 8 GB memory SSL @ 25K TPS / 4 Gb bulk 5 Gbps max hardware compression 6 Gbps Traffic Multiple Product Modules 2 x Quad core CPU 16 10/100/1000 + 8x 1GB SFP 2x 320 GB HD (S/W RAID) + 8GB CF 16 GB memory SSL @ 58K TPS / 9.6Gb bulk 6 Gbps max hardware compression 12 Gbps Traffic Multiple Product Modules VIPRION Funkcjonalność / Wydajność
Nowa Architectura 22 LCD-Panel TMM: Traffic Management Microkernel HDD1 1 / 2 HDD2* 1 / 2 CFlash* RAM SSL SSL* FIPS*: Federal Information Processing Standards AOM: Always On Module (sukcesor SCCP) Karta kompresji sprzętowej* CPU CPU CPU* CPU* BCM: Broadcom Asic Zasilacz AOM TMM (Warstwa4-7) Failover Serial Zarządzanie Zasilacz* BCM (Warstwa 2) * ZaleŜnie od platformy (opcjonalny) x*10/100/1000base-t Copper/SFP-GBIC 10GbEth*
23 Wydajność (najlepsze przypadki) BIG-IP 1600 BIG-IP 3600 BIG-IP 6900 BIG-IP 8900 Max. throughput 1 Gbps 2 Gbps 6 Gbps 12 Gbps Layer 4 Connections/sec Layer 7 Requests/sec (inf-inf) 60,000 115,000 220,000 400,000 100,000 135,000 600,000 1,200,000 Max. conc. conn. 4 Million 4 Million 8 Million 16 Million Max. SSL TPS 5,000 10,000 25,000 58,000 Max. SSL Bulk 1 Gbps 1.5 Gbps 4 Gbps 9.6 Gbps Max. SSL conc. conn. 1 Million 1 Million 2 Million 4 Million Max. compression 1 Gbps 1 Gbps 5 Gbps 9.6 Gbps Switch backplane 14 Gbps 24 Gbps 68 Gbps 112 Gbps
Wydajność 24