SSL加速器内置与外挂的区别

SSL加速器内置与外挂的区别：

1.部署结构：

●内置SSL加速的结构：

如图：HTTPS流量到达BIGIP上的VS，由VS处理之后转换成HTTP流量直接发往服务器，服务器处理完成后返回给BIGIP，然后由BIGIP加密后返回给用户。

●外挂SSL加速器的结构：

通常情况下，考虑到系统的性能和高可用性，采用SSL加速服务时时会同时使用服务器负载均衡功能，所以建议的系统结构图如下：

在外挂方式下，通常加速器直接连接在BIGIP上，这样可以节省核心交换机的端口，减少数据包的往返传输。根据实际情况的不同，也可将加速器直接连接在主干交换机上。但无论如何连接，实际的数据流程如下：

上下的两台BIGIP 3400 LTM实际为同一台设备。采用外挂方式下，HTTPS流量首先到达BIGIP 3400LTM，然后由BIGIP 3400 LTM 分配到多台BIGIP 3400 ACC上，在BIGIP 3400 ACC处理完成后，再将HTTP流量返回到BIGIP 3400 LTM，并由BIGIP 3400 LTM发往后端的服务器，再后端服务器处理处理完成后原路返回。

2.两种结构的优缺点比较：

2.1系统执行效率比较：

●内置SSL加速方式：优点是效率较高，数据包不需要多次往返同一台设备，所有的SSL

加解密工作均在同一台设备内一次性完成。减小了中间环节。缺点是SSL加速与负载均衡业务均在同一台设备上，当SSL加解密时会带来CPU的损耗。

●外挂SSL加速方式：优点是可扩展性强，在需要时，可以几乎无限扩展SSL处理能力。

缺点是数据包在同一台设备上多次往返，执行效率较低。并且配置比较复杂，不便于维护。

2.2系统性能比较：

●内置SSL加速方式：从理论上看，内置SSL处理将导致同一台设备的处理能力分摊，

从而导致负载均衡处理和SSL加解密功能互相影响。但在与其他设备不同，在BIGIP 3400LTM中，采用了独立的NP来处理SSL非对称加解密和非对称加解密，这样可以基本实现零CPU占用率，将互相的影响降到最低。而通常其他设备均采用软件处理对称加密方式，所以处理SSL加速将带来巨大的CPU损耗，从而无法集成到同一设备中。

●外挂SSL加速方式：外挂SSL加速方式互相之间不影响，但多台SSL加速器同时工作

将在负载均衡设备上执行两次负载均衡，从而在实际上将负载均衡的处理增加了一倍。

降低了负载均衡处理器的性能。

2.3管理维护：

●内置SSL加速方式：由于SSL加解密和负载均衡在同一台设备内完成，BIGIP上采用

一个VS对应一个Pool配置即可完成所有工作，因此简化了系统的配置工作，结构和流程比较清晰，减小了系统的维护工作。

●外置SSL加速方式：SSL加解密和负载均衡在不同设备上完成，为完成一个业务需要

在不同设备上分别配置，增加了系统的维护复杂性。

3.系统建设建议：

在系统建设的初期，可以直接采用BIGIP内置的SSL加速能力提供用户服务。如果采用BIGIP 3400 LTM，可适当选择1000-2000TPS的License扩展。这样减少系统设计和管理维护的复杂性。在将来用户的需求上升后，再采用外挂的方式进行扩展。这样减少系统的复杂性。

F5 BIGIP 3400 LTM 与BIGIP 3400 ACC产品处理性能对比：

4.BIGIP系列产品SSL处理能力实测结果：

4.1非对称加密处理能力

4.2对称加密处理能力：