编者按：在网络应用时代的今天，路由/交换等设备越来越好，网络带宽越来越大，但为何关键业务的网络访问速度却瓶颈不断？网络时代的CIO将如何面对这个困惑？

今天，在2008中国IT技术精英年会网络安全分论坛上，让我们来听听F5的销售运营总监巩文坚先生关于应用交付的精彩演讲：应用交付改变网络应用瓶颈。

CIO的疑问：到底是网络问题，还是系统应用问题？

如今，网络基础链路越来越好，例如万兆交换、千兆路由的普及，另一边，是企业关键应用的不断多功能化、复杂化，然而，当我们的关键应用运行在网络上时，却或多或少地出现了关键应用访问速度慢等很多问题，这给企业用户带来了不少麻烦。

大家都知道，企业的物理网络基础网络是由企业的网络管理员来负责的，然而，对于关键业务系统的维护，却是由系统管理员承担的，很多企业都有两班人马去承担。

然而，当关键业务系统出现访问瓶颈时（例如远程访问网络版用友NC ERP系统时，出现不能访问的现象），大家都会去找维护应用系统的系统管理员。然而，这个问题又跟基础网络设施相关，从而导致系统管理员无法解决问题，同样，这是应用系统问题，网络管理员似乎也无能为力。

统计显示：53%的企业关键应用在忍受低下的网络访问性能

应用交付解决的是在基础网络设备和关键业务都已经部署好的情况下，解决集中化网络应用瓶颈的问题，所以，它有一个应用前提。它也是关键业务的应用问题。

另一个关键前提就是：企业关键应用在忍受低下的网络访问性能

巩文坚：

应用交付就是保证企业的关键业务应用可靠、安全、快速。

首先给大家介绍一下什么叫应用交付。这张图，是我们国贸桥上堵车的非常壮观的场景。其实你们去过国外的城市的话，你会发现我们国内城市的道路修得非常好，非常宽。比起在国外看到的几十年的老爷车来比，我们的车况也非常好。

反过来看我们IT这个行业也是一样。在座各位都是我们的客户，你们自己想想看，我们很多的单位，我们买了IBM惠普的小机，买了华三的交换机，买了Oracle的数据库等等，基本上把业界所能买到的最好的东西都买到了。但是你会发现用到的效果并不如人意，至少来说不像你当时设想的那样。这句话是我们一个客户讲的，买了辆宾利跑不过夏利，这是他的原话如此。

图1：F5销售运营总监巩文坚先生

宾利跑不过夏利，为什么呢？

我们再来看一项统计数据：在已经部署的所有应用里面，大概只有34%的应用被证明部署成功，有超过50%的应用是有各种各样性能的问题。还有15%的问题完全失败。右边这张图讲的同样的道路，有53%的应用忍受性能的问题，71%性能问题通常发生在生产环境中，尤其你被厂家忽悠的时候，厂家告诉你多么好，甚至当你上线运营的时候，试验环境下做的时候，通常也会取得非常好的结果。这时你会买，买了以后，真正一上线，流量一上来，发现满不是那么回事。这张图告诉我们50%的应用是忍受着各种各样性能的瓶颈，将近四分之三的应用得到的生产结果跟测试结果相差非常大。

原因是什么呢？

企业应用大集中趋势：导致网络访问问题严重

为何会出现53%的企业关键应用在忍受低下的网络访问性能的这种情况？还是让我们看看下面的企业应用现况吧。

巩文坚：

其实我想原因无非两个方面：

一、应用业务大集中

我们想，在银行的大集中已经基本结束了，在政府跟企业的大集中已经集中到省级了，还有一些垂直行业很快会集中到中央、部委这边。所以你会看到大集中是不可阻挡的趋势，因为企业的管理人员相信只有这个数据大集中的话，这个数据才有可能会变得更加安全和可靠。所以大集中是不可阻挡的趋势。但是大集中同样带来很多其他的问题。比如你有了大集中的话，数据本身的安全性、可靠性就是一回事了。所以你必须建第二、第三、第四个备份中心。这些多中心同步又会产生一系列的问题。

二、全球化发展 网络办公趋势已成必然

所谓全球化就是讲我们作为一个客户来讲，不管在任何地方，都要求能够随时随地的访问到企业内部的网络，访问一些机密的信息、关键的信息，这样帮助我赢得单子，打败我们的竞争对手。比如今天在这里，或者在机场或者在你的客户单位，你都希望能够随时随地访问到你们公司内部的网络。

举我自己的例子。前段时间，我到广州办事，身份证丢了。当时以为我暂时回不来了，后来有人告诉我可以办一个临时身份证。这在以前没有这种分布式，全球化这种趋势下，不能在任何地方访问到公安部内部网络的时候，这种事情是不可想象的。所以在全球下，任何地方我希望能够获得我的信息。而大集中就是恨不得在一间房子把所有的东西都集中在这里。这个是把人往两个方向去扯，所以今天造成的性能、安全上的瓶颈由这两个因素造成的，把人往两个极端的方向拉。

怎么去解决它？因为传统的这种方式，过去所讲的BS方式，传统方式不能解决问题了。我们需要产生新的网络架构去满足这种冲突和矛盾。因此在这种新架构的情况下，过去我们看摩尔定律每十八个月处理信息会翻一倍，我们靠多花钱可以解决这个问题。但是在新架构情况下，我们发现已经解决不了问题了。比如在网络上，造成网络速度真正慢的话，并不是网络速度本身，而是网络延迟造成的。再比如说处理器性能与日俱增，但是真正应用得到了增长确是非常的有限，所以我们说传统方式已经解决不了我们今天所面临的问题，因为新架构带来了新的问题。

CIO的六大困惑：访问控制、应用安全、访问效率、远程安全、高可用新和冗灾

总结来说，当前的CIO们有访问控制、应用安全、访问效率、远程安全、高可用新，冗灾几大困惑，而它们之间，又是相互关联的。

巩文坚：

由上可知，在今天的环境下，做CIO是非常痛苦的，我们总结了CIO的六大痛苦。访问控制、应用安全、访问效率、远程安全、高可用新，冗灾。

我们的客户：CIO们关心的是这些方面的问题，但是这些问题无一不例外的就是跟我们核心的圆圈里面东西打交道。比如我们的核心就是把数据透过应用传到客户手受，我们做服务器、软件开发等等也好，无非在这三个环当中，帮助客户解决这些方面的问题。所以我们讲，这是一个新的架构。

我们面临的CIO面临的六大问题，都无一不对这里面提出新的挑战，造成新的压力。所以我们想，CDN就是这样造成的。由于有这样的压力，我们就不得不去开发一系列的技术解决、应对这些方面的压力。F5，再把这些技术分别产品化了，把它变成一个一个独立的产品包，最后把这个产品包放在一个体系架构，这样就形成F5所谓的应用交付概念。

总结一下，把前面的，按照分门别类，分为三个图。ADN的作用就是把你的安全应用变得更加可靠、更加安全、更加快速。

ADN基本是F5所倡导的如何使你的应用更快速、安全、可靠的一系列的整体框架。

自从F5提出ADN架构以后，在这个市场引起了非常大的反响。包括市场上非常知名的统计公司也开始对ADN市场进行了分析。根据这些统计公司做的分析，它们预计在未来几年里，ADN这个市场会有非常快速的增长。具体来讲，就是不同的这些技术领域里面，在未来几年都会有一个非常大的增长趋势。

闯六关：解决关键业务网络访问瓶颈

接下来，让我们听听巩文坚先生对影响关键业务网络访问的关键原因的解释，以及如何解决问题的思路。F5把它总结成了六步措施。

巩文坚：

我们做IT人员的核心任务就是保证企业的关键商务信息、商业信息能够快速、安全、可靠的抵达到客户端，客户端可以依据这些信息，去帮助你赢得更多的商业机会或者帮你省钱、赚钱。

现在，我来讲讲影响关键业务网络访问的关键原因，以及解决思路。

第一关：解决关键应用的WEB化问题

再一个就是刚才讲的大集中跟分布式的要求，我们还有非常高的安全性要求，还有由于系统跟设备复杂度越来越高，客户也希望能够简化这种管理。

但是我们今天所面临的局面是非常复杂的局面，所以我们的商业信息，我们想象一下血管来讲的话，在内部的话，要有服务器这关，有应用这关，有门户、数据中心、IPS、客户端这关，在外部还要面临各种黑客的相关攻击。所以这个血管在内部有各种各样的血脂的阻塞，在外部随时有人想拿着刀子把这个血管捅破。我们F5就是希望能够保证血液顺顺利利的流动。

服务器这端，它本身是有性能瓶颈的，同时它在可靠性方面、安全性方面有局限性的存在。性能上的瓶颈，大家也非常好理解，一台服务器不够了，访问量非常集中的情况下，一台服务器不够了，可能两台服务器，十台服务器上。我们讲F5起家就是从这起来的，就是负载均衡。简单讲就是做人海战术。我们不是靠非常大的CPO带了非常大的服务器解决问题的，我们请蚂蚁雄兵解决问题的。关键是你是什么样的级别客户，根据我事先定义好的游戏规则，来根据你的用户身份，根据你的地域特点或者采购的特点、行为特点决定我把你导演到哪台相关的服务器上，保证你的速度，保证你的访问不会受到影响。而当其中的任何一台或者几台服务器发生宕机的话，也会顺利切换到其他的服务器里去。保证应用不会受到影响。

通过这种方式，首先把服务器这边存在的不可靠的因素，和性能的瓶颈克服掉。

第二关：应用端的瓶颈

第二点，讲应用端。我们讲应用这面也有很大的瓶颈。我们通常讲，其实很多人开发一些软件，不是特别的成熟，可能不是按照一个标准的流程化进行开发的，没有相关的质量检查和措施。所以你开发这些东西，可能过去我们讲，一讲死机，就讲系统死机掉了，现在随着Windows越来越稳定，基本上很难看到系统死机，更多是特定的应用导致死机。这种传统的多机FA是判定机器是不是死机，即使任务死了，也会导致这边的应用无法进行下去。F5，我们有一个探针加到你的应用里面去，即使你的应用没有死掉，但是探针判定特定应用没有死掉，这样就可以把这个工作全部切换过来。

我们今天花了很多时间讲安全。比如SSL的加速和SSL的建立拆除，这都是非常耗用服务器端的CPU机缘的。所以很难有服务器被大的访问量压垮的。F5在我们的设备上，把非常耗用CPU资源的非业务功能，抽出来，放在我们的硬件上通过我们的方式进行处理，这样服务器可以腾出75—80%的经历去处理你真正的应用。标准的非业务功能统统由F5处理。从这点，我们把在应用端的瓶颈和不可靠因素也把它去除掉。

第三关：如何克服网站12秒平均响应速度？

第三个瓶颈就会出现在门户端。刚才讲过，现在越来越多的应用是透过WEB的方式。很多人都知道，在WEB上有非常著名的七秒法则。事实上，根据一项统计，即使是一项大的公司，网站平均响应速度也就在12秒以上，基本上在Internet超过7秒钟是人的忍耐的一个极限。现在我们做了一个统计，是绝大多数大公司的内部网站响应速度都是在12秒钟以上。怎么样能够加快这些响应的速度，我们有一款叫WEB应用加速器。就可以根据里面WEB结构的特点，把WEB应用发布的速度提升到3到7倍。另外，我们还针对像TCP跟UDP网络进行优化，保证把你WEB的访问速度大大的提升。

第四关：多数据中心的就近访问问题

第四个瓶颈出现在数据中心。我们刚才讲过了，我们讲大集中，所有的数据都会放在这个数据中心里边来。我们希望所有数据都在我们眼皮底下看才安全。我们把所有数据集中过来以后，我们担心不能把所有的鸡蛋放在一个篮子，所以我们决定做第二个篮子在上海，做第三个篮子在广州。像联想在中国、美国、欧洲部署了四个篮子。这样鸡蛋之间怎么样去同步，这是讲同步的。第二个，我是一个普通的客户，我是联想内部的员工，我来访问的时候，应该访问到哪个服务器上。我在欧洲出差的时候，最好把我导引到欧洲那个服务中心区。所以我们面临两个问题。一个是智能的DNS，怎么样利用应用的特点，把你导引到最近的服务中心去。另外就是这些数据中心面临同步的问题。F5在这方面有很好的产品，刚才说的GTI这款产品，专门针对全国性、全球性的企业，在国内、国际有多个数据中心的情况下，怎么样部署数据中心的虚拟DNS，让全球客户、员工，可以在任何地方访问到最方便的内部资源。

另外，怎么样在广义网上，北京、上海网络就是这么宽，但是每天有几个GB或者几十个GB的数据传递。这样怎么保证我不想花这么多钱把我的网络升级到两百兆、六百兆更大的带宽怎么办？F5有一款产品，就是WANjet这款产品，可以减少数据流量，节省带宽。

第五关：如何解决南北互通问题

第五关，就是ISP这块。在其他国家别人都有一个大的运营商或者几个大的运营商提供整个跨国的网络连接。但是在中国，基本上北网通、南电信，基本上在这个地方，比如在北京就是拿网通的线好拿，速度能提升，南方的话，就是电信做得好。在以前我们经常会碰到一种情况，有的客户投诉，当我的数据中心建在南方的话，北方的客户就很难访问，相反也是一样。ISP，做了链路的虚拟化，多个ISP的智能化的管理，让多个ISP就像一个ISP在工作。另外，就是管理运营商而不是被运营商所管理。所以我们所提出这个产品的很主要的原因。这个产品全球80%的销量在中国，我们也通过这种方式消除了在ISP上面的瓶颈和不安全的现象。

第六关：客户端加密/加速问题

最后，就是在客户端这块。我们用了一些技术，我们搭建了一个安全通道，不管你在网吧、酒吧、或者客户端那里，或者单位也好，都可以建立起一个非常好的SSL的加密通道。透过这种方式，我们基本上做了一件事，就是把内部可能会产生的瓶颈、不安全现象，我们帮助客户建立了更加厚的血管壁，使得你能够充分抵抗内部、外部的各种不安全的损耗，保证你的信息安全从你的存储器设备达到你的客户端这边来。

这是F5整个所有产品的设计理念。

如果没有F5的话，基本上我们看到的数据中心是这样的。最右边的是讲到的大家看到的各种各样的存储设备。前面的是数据库服务器，再前面是应用服务器，再前面是WEB服务器，最后是各种各样的看端。这个对你来说是完全的乱线团，如果有任何地方出现了瓶颈、不安全、宕机的情况，会使你整个访问终端完全中断。有了F5，我们就做三层的虚拟化，在后面这边我们做了ARX，同样我们在这边做了LTM，应用的虚拟化，再往前就做了WEB的虚拟化。我们唯一不能提供的就是主机的虚拟化。

跟SAP等应用厂商密切相关：打通应用血管

F5提供了这样一系列产品，这里边都是F5的各种各样产品的组合。但是这些产品的组合基本上基于一个管理平台，F5叫TMOS，这个对于F5来讲，这些产品都不重要，真正重要的就是TMOS，因为这个是F5搭出了一个骨架子。基本上一提到F5所有的东西都是基于TMOS，它是我们自己内部的一个操作系统，你缺哪块产品的时候，就把哪块产品相关的功能像填空一样把它填进去。你在市面上可以在不同厂商买到我们的解决方案，你从十几个厂商买到二三十个不同的解决方案才能把上面的问题全部解决。这里面对客户来说是很大的挑战，就像不懂中医的去抓中药一样，你可能解决了这方面的病会把那方面的病加重了。这里面就是TMOS的架构问题，有了它，你不用担心F5上面的产品有没有互相的协同性，它整个搭了一个完整的架构，彼此之间系统有了非常还的互通性和互操作性。这时候你不需要自己一味的配中药，所以TMOS体系架构对F5来说是最宝贵的资产。

我们跟应用厂商走得非常近，比如像SAP，BEA、Oracle，当他们出现性能、安全瓶颈的时候，只有F5能帮它。F5基本上根据每一个厂商基于特定的应用去进行优化。对于它们来讲，F5，因为我们能够保证它的应用的安全性、速度和可靠性，是这些应用厂商的首选，所以我们跟任何一个厂商不存在，包括今天各位来的厂商来讲，我们跟大家都不是竞争关系，我们跟任何人都是合作的关系。基本上我们扮演画龙点睛的话，最后点睛的动作。

所以我们做的事情非常简单，就是把这根血管打通、加厚，最后变成加厚的血管，消除了里面的瓶颈，保证这些数据非常的安全、可靠，从数据中心端一直跑到客户端。这样可以提高客户的响应速度三到十倍，企业可以放80%的服务器资源，降低带宽75%以上，还有可以应用级的安全，保证数据中心99.999%的高可用性。

精彩用户提问：应用交付方案如何应用/部署？

在2008中国IT技术精英年会网络安全分论坛上，F5销售运营总监巩文坚先生对应用交付的讲解，引起了很多用户的关注，以及大量的提问。

其中有很多关于应用交付的应用/部署等问题，相信也是大家都比较关注的问题，在此，列举了部分提问，以供大家参考：

提问：

我对应用交付这块还不是特别的清楚。你们这种解决方案主要是软件提供还是有些专用的硬件设备？

巩文坚：

我们一直都在讲是一个软件公司。F5真正值钱的业绩装在硬件设备的软件。刚才前面也讲过了，它有很多的功能要从服务器那端卸载，很多时候为了保证性能，里面采取专用了芯片做这个功能，所以你最后看到的形式是一个硬件的盒子这是一个通用的平台，里面跑不同的软件模块。

在全球不同数据中心，TDM做协调功能的模块。另外LTM模块，是公用一个平台，包括刚才讲的智能链路管理的平台，都在一个平台上跑。你装上LC模块，就是专门再智能电路的。是一个类似服务器那样的硬件。

提问：

部署在哪里？

巩文坚：

不同产品部署在不同的位置。像LTM基本上部署在交换机上面。我们不能靠自己连接在服务器，要靠交换机连接服务器、连接资源。

提问：

是运营商范围还是企业内部的？

巩文坚：

企业内部的。到IDC那边，就无所谓了。要看你怎么定义，IDC自己也是一个企业。

像我们的ONEJipe是放在路由器上面的。

提问：

你这个描述，确实是很美妙，很不错。但是我觉得你有没有考虑过这么一点？现在是基于应用。因为我们IT做来做去，最终是要给人用的，就是最终的应用。你的应用改变的话，可能就会影响你整个的管道是怎么来布的？就是你修这条路的问题。到底从哪连到哪？比如从九华山庄一直连到大柳树环岛。现在应用改变了，不需要到那去了，需要直接有另外一条链路去别的地方，就是这个问题你怎么能够及时反应这种变化？实际上这个变化也是很重要的。

巩文坚：

我讲两件事情。

你说的非常对。就是因为变化，所以刚才讲就是因为大集中、全球化的趋势导致这个血管越来越长了。以前就是很短的情况下，数据中心跟用户就在一层楼的时候，根本不需要F5这样的厂商。访问者跟数据中心都在一个楼里面。

今天就是因为这个血管太长了，你的数据中心可能放在北京，你的访问可能在广州访问，或者在九寨沟玩的时候访问的，这时F5才会发挥作用。

第二个，我仔细分析过我们客户的类型。我们的客户类型，基本上都是买了一个宾利跑不过夏利的。我们的客户基本都是Juniper、华三等等这样的网络客户，IBM、惠普这样的小机客户，Oracle中间件等等这些数据库客户，ERP一定是SAP的等等，打个比方来说，这不是诋毁其他的厂商。比如你买了一个D—link网络，这时候你跑得慢，肯定不会想到买F5。所以基本上我们的客户都是走投无路的，跑过来才找F5，但凡它在它那个坎上的话，没有买到它那个档次的话，一个是应用这块，一个是小机这块，一个是网络这块，都会是路没有修好，是不是车不够好的想法。

我们做的事情，我们的软件是不断升级的，我进到公司里面，那时候应该是九点二几的版本，现在到九点四几了。做这件事情从本身来讲，对你来讲没有太大的变化，在目前的架构情况下，它就是做那些事情，它不断消除这个瓶颈。它唯一要做已经证明有漏洞瓶颈的地方想办法克服掉，另外，增加了许多新的功能，现在通过应用，这方面的血脂突然的加重。最近我们有一款产品叫反垃圾邮件，以前是没有这款产品的，后来客户反映，他要花大量的钱去部署反垃圾模块，他说F5能不能帮我们在前面略微的来一道。其实MSM，就是一千多行的指令，你自己有本事自己可以开发。我们有很多保管网站的，我们一些网站的朋友是不部署防火墙，它们直接打F5设备，它根本不去部署传统意义的防火墙，它就把F5的设备绑在前面，它编写一套指令，在上面直接用。这就是说明我们也在与时俱进。我们不介意我们大多数客户去买防火墙。对于绝大多数，超过99%的客户来讲，你可能对你内部系统没有那么了解的情况下，还是应该买公用的防火墙对你来说更安全。

提问：

您说的网站加速这块能不能大体说一下。

巩文坚：

最早来讲，我们以前做网站加速，最常用的技术就是所谓的Cathe。打个比方来说，你今天去ICBC的网站，要给当当买书，要给当当付钱，我帐户上一共有一千块钱，我三本书加起来一本块钱，我付了这个钱以后，最后帐面上应该剩九百块钱。这个流程中间，其实没有任何可以改变的东西，F5就是做了一个欺骗的动作，它让你的浏览器认为是哪些东西，基本上除了你这次帐面上有一千块钱，付了一百块钱，剩九百块钱，这些最关键的数据，真正要到服务器那端拿的数据以后，其他所有页面所有不变的地方，全部都通过欺骗你的浏览器的方式，让你的IE这种工具，把它存在你的本地上。讲白了就是非常简单的技术。所以它不适合你去部署在像新浪这种公开网页上，没有意义。它非常适合于部署在企业的内网上，因为企业的内网这次去和那次去几乎是一样的。企业内网几乎不会有变化特别多的东西。所以对企业内网的加速效果非常明显。

提问：

是不是可以理解为第一次访问并不能加速。

巩文坚：

第一次访问的时候已经加速很多了。因为我们不但有这个技术，还有其他方面的一些压缩技术，还有我们把很多功能卸载到服务器这端来做了。

提问：

在跨网传输的时候，是不是可以减少传输的数据量。

巩文坚：

压缩其实解决不了什么问题。如果压缩能解决问题的话，路由器厂商早就做了。压缩技术，讲白一点，它不是传你具体的内容，也不是做压缩，是根据你两边的两台设备，根据你的应用不断做分析，掌握一个数据辞典。打个比方，我今天给你传的时候，我要把这盒传给你的时候，并不是傻呵呵的把这盒烟给你传过去，而是你告诉你这里面有十根烟。透过这种方式才能解决方式。这里面怎么能做到，就是F5去做的。这就是类似像F5这种公司为什么在这段时间值钱，公司值钱就是值在这里，就是这种技术。

提问：

如果只有一个数据中心，我的用户北方是网通，南方是电信线路，我们的产品怎么进行解决？

巩文坚：

我们有两个产品，一个是解决你只有一个数据中心的话，但是你有两个链路。这种情况下，我们的产品可以保证你从任何地方来的访问，都能够拿到对它来说最后的访问，再通过这个链路把它送回去，这个产品是LC这样的产品，这个产品刚才讲过了，全球80%的销量在中国，因为这个特点只有中国才有。

另外一个特点就是讲多个数据中心的情况下，那个产品叫GTM。企业发展比较大，有多个数据中心的时候，需要有一个智能DNS的设备。GTM是LC的一个超级，它基本解决全球智能网络的问题。所以当你有多个数据中心的情况下，尤其现在像我们国内，很多企业当它发展到一定规模的情况下，基本上都要自建CDN，如果自建CDN的话，只能找到GTM，因为除了GTM，其他的产品都可能会涉及到BGB协议这样一些很稀缺的资源才能做到，或者非常复杂的技术才能做到。所以GTM对于那种复杂解决方案来说，GTM是非常廉价的解决方案能够解决你所有的问题。