F5 BIG-IP LTM 详解(工作原理 配置手册).pptx
《F5 BIG-IP LTM 详解(工作原理 配置手册).pptx》由会员分享,可在线阅读,更多相关《F5 BIG-IP LTM 详解(工作原理 配置手册).pptx(96页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、F5 BIG-IP LTM 详解(工作原理 配置手册) Four short words sum up what has lifted most successful Four short words sum up what has lifted most successful individuals above the crowd: a little bit more. individuals above the crowd: a little bit more. -author -author -date-date精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除 LTMLT
2、M基础架构基础架构 VS TypeVS Type详解详解 ProfileProfile详解详解 CMP CMP 工作原理工作原理 One ConnectOne Connect工作原理工作原理 NATNAT、SNATSNAT工作原理工作原理 MonitorMonitor工作原理工作原理 HAHA工作原理工作原理LTM工作原理精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除LTM基础架构什么是TMM Traffic Management Module TMOS的核心进程,有自己独立的内存、CPU资源分配和I/O控制 所有的生产流量都通过TMM接收 一个CPU Core只能有一个TM
3、M进程 在V9版本上,15/34/64/68都是单TMM运行 在V9版本上,16/36/69/89/84/88都是多TMM运行 在V10版本上,16/36/69/89/84/88都是多TMM运行 Viprion只支持9.6和10.0版本,默认都是多TMM运行精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除TMM处理的范围TMM内部处理功能所有的VS入口流量LTM iRiules处理Profile处理会话保持处理负载均衡算法SSL加速(和硬件结合)HTTP 压缩SNAT静态CRL( Certificate revocation list证书吊销清单)文件校验不在TMM里面处理的功
4、能Web Accelerator Module(包括压缩)Application Security ModuleGTM的分配算法处理(包括GTM rules)Named域名解析健康检查日志管理系统数据统计SNMP数据输出HA健康检查精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除BIGIP 内部结构-V9平台15/34/64/68TM/OS管理CPU万兆/千兆交换端口PVA(Packet Velocity ASIC)四层交换专用ASICHost OSWeb 界面管理健康检查SNMP.BridgeTMM0独立的管理机SCCPSSL加解密HTTP压缩AdminConsole精品pp
5、t文档收集于网络,仅供学习交流,如有侵权请联系管理员删除BIGIP 内部结构-Mecury平台16/36/69/896TM/OS管理CPU万兆/千兆交换端口HiSpeed BridgeTMM2Host OSWeb 界面管理健康检查SNMP.TMM3TMM1TMM0独立的管理机AOMCluster Muti Processor多CPU并行处理SSL加解密HTTP压缩ConsoleAdmin精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除Host和TMM的内存分配Host在启动的时候限 定了内存分配的大小 ,在没有其他module 的情况下是384MBTMM进程启动后,将 自动获取
6、余下的所有 物理内存Host MemoryTMM Memory精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除查看Host内存占用情况# physmem /查看物理内存大小 8387584b memory show /查看内存分配情况MEMORY STATISTICS -| (Host) Total = 3.835GB Used = 3.590GB| (TMM) Total = 5.976GB Used = 93.22MB精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除查看TMM内存占用情况TMM分配的内存是准确的,Host内存显示在这里有一些偏差精品ppt文档
7、收集于网络,仅供学习交流,如有侵权请联系管理员删除VS Type详解 Performance L4 Standard VS Fast HTTP Forwarding VS精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除Performance L4TMM只是负责客户端连接的分配和转发,不改变TCP连接中的任何参数客户端和服务器自行协商TCP传输参数在34/64/68平台上Performance L4可以有PVA加入实现硬件加速在15/16/36/69/89/Viprion平台上都通过TMM核心进行处理Performance L4 VS上只有4层的iRules可以使用默认状态下,新
8、建连接的第一个包必须是默认状态下,新建连接的第一个包必须是Syn包,如果是其他的数据包包,如果是其他的数据包比如比如ACK、RST等如果不在连接表中,则全部丢弃。等如果不在连接表中,则全部丢弃。在在Fast L4 profile打开打开Loose close和和Loose Initial的时候对非的时候对非Syn包也包也可以建立连接表可以建立连接表TMM客户端客户端客户端服务器端服务器端服务器端精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除Performance L4 攻击防护-Syn Cookie正常情况下客户端连接和服务器端连接是1:1的关系TMM在第一次收到客户端Syn
9、包时,并不建立连接表TMM的Syn Ack回应通过算法回应给客户端Syn,并期待客户端回应的值TMM对客户端ACK进行计算,确认是真实客户端,再和后台服务器建立连接在84/88上可以实现硬件的Syn Cookie计算,其余的平台都是通过软件实现SynCookie计算Syn Cookie工作模式下,只有成功建立连接的TCP请求才转发到后台TMMSynSyn,Ack (syncookie)Ack(Cookie)SynSyn-AckAckData精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除Standard VS正常情况下客户端连接和服务器端连接是1:1的关系默认工作在全代理模式,
10、客户端和服务器端的TCP连接完全独立客户端和服务器端的TCP参数都是由TMM和双方分别协商默认情况下以客户端源IP和后台建立连接,在打开SNAT的情况下用SNAT地址和后台建立连接Standard VS的端口永远对外开放,无论后台是否有服务器在工作TMMSynSyn,AckAckSynSyn-AckAckDataData精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除Standard 模式下的攻击防护Standard VS模式具有天然的防攻击功能在遇到Syn攻击的时候会导致系统的连接表过大通过System-SYN Check Activation Threshold 的设置,在
11、达到设置值的时候系统自动启动 Syn Cookie,避免建立过多连接,这个值对全局生效大部分的网络层攻击都无法通过Standard模式的VS精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除Fast HTTPFast HTTP VS仅用于HTTP协议默认开启One Connect Profile,对客户端连接进行聚合处理默认开启SNAT AutoMap,在服务器端收到的TCP连接请求都是来自于TMM没有会话保持功能不能处理SSL,HTTPSTMM客户端客户端客户端服务器端服务器端服务器端精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除Fowarding VS(Fo
12、rwarding IP)只能使用Fast L4 Profile按照连接处理,类似于路由器工作,但不完全一样,在Fast L4 Profile中开启Loose Initial和Loose Close之后更为接近路由工作模式所有穿过Fowarding VS的连接都将产生连接表没有Pool Member,转发完全取决于本地路由可以使用基于4层的RulesTMM客户端查询本地路由表转发客户端请求精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除VS和ProfileVS作为所有流量的入口Profile依赖于VS,对进入VS的流量进行格式化处理不同的VS可以用同一个Profile或者不同的P
13、rofileProfile之间存在有相互排斥和相互依存的关系VSTCP ProfileUDP ProfileFastL4 ProfileHTTPRTSPClient SSLServer SSLStreamingSMTPSIPOne Connect精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除Rules的处理必须依赖于VS对流量的接收通过事件触发机制,Rules可以控制流量在VS内部处理的整个过程SSLCompressionClientSideServerSideTCP ExpressServerTCP ExpressCachingMicrokernelVirtual Serv
14、eriRulesClientiControl APITCP ProxyOneConnectXMLRate ShapingTrafficShieldWeb Accel3rd PartyVS和Rules精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除ServeriRulesClientSideServerSideTCP ProxyClient Side EventClient_acceptClient_dataCache_requestDNS_requestHTTP_REQUESTHTTP_REQUEST_DATARTSP_REQUEST.Server Side EventServ
15、er_connectServer_dataCache_responseDNS_responseHTTP_RESPONSEHTTP_RESPONSE_DATARTSP_RESPONSE.精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除大部分rules只在同一个VS之内有效Rules内创建的变量以连接为生命周期一个VS上可以有多个Rules,它们将被顺序执行CLIENT_ACCPTEDCLIENT_DATALB_SELECTEDLB_FAILEDSERVER_ACCPTEDSERVER_DATACLIENT_CLOSEDSERVER_CLOSEDRULE_INITVS精品ppt文档
16、收集于网络,仅供学习交流,如有侵权请联系管理员删除Profile的作用和工作范围Profile依赖于VSProfile是对VS的流量进行格式化处理举例如果一个VS上配置了TCP Profile, 则该VS对所有的UDP流量都不会接收Profile详解精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除基本流量处理类型Profile TCP, UDP, FastHTTP, Fast L4, SCTP( Stream Control Transmission Protocol )服务流量处理类型Profile HTTP, FTP, SMTP, RTSP( Real Time Strea
17、ming Protocol ), SIP( Session Initiation Protocol ), iSessionSSL处理类型 Client SSL,Server SSL会话保持类型 Cookie, Destination IP, hash, msrdp, source IP, Universal, SSL认证处理类型 Radius, CRLDP( Constraint-Based Label Distribution Protocol ), OCSP( Online Certificate Status Protocol )其他处理类型 One Connect, Statistic
18、s, NTLM( NT LAN Manager ), Stream精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除重要的重要的Profile-FastL4Reset on Timeout: 在连接达到Time out的是否向两端发送Reset包Idel Timeout:多长时间连接里面没有数据流量的时候就删除连接表Loose Initiation/Loose Close: 是否接收非Syn包建立连接Softare Syn Cookie Protection:是否在VS上启用Syn Cookie,实现Syn攻击防护可能调整的参数精品ppt文档收集于网络,仅供学习交流,如有侵权请联
19、系管理员删除重要的重要的Profile-TCP注意在Client Side和Server Side可以使 用不同的TCP Profile通常情况下建议: Client side:TCP WAN Optimized 或LAN Optimized Server side: TCP LAN Optimized除非你非常了解TCP的工作原理,否则不 要调整除idel Timeout以外的任何参数精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除重要的重要的Profile-Client SSL对所有进入VS的流量按照SSL协议进行处理注意Client SSL profile不一定只能使用在
20、HTTPS上使用Client SSL的VS不一定使用443端口TMM客户端客户端客户端服务器端服务器端服务器端SSLSSLSSL精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除重要的重要的Profile-FTPFTP Profile主要用于处理FTP的主动 和被动传输两种模式由于需要配置动态侦听端口,因此FTP 协议必须进行单独处理通过iRules也可以达到同样的目的,但 由于FTP协议使用非常广泛,因此使用 FTP profile来简化配置和处理FTP Profile必须依赖于必须依赖于TCP profile工作工作精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员
21、删除为什么要用CMP(Cluster Multi-Processor)性能增长要求CPU的主频增加受到比较大的限制,目前的趋势是以多 核扩展为主ASIC(Application Specific Intergrated Circuits)、NP(Network Processor)的处理架构并不适合于复杂、灵活的流量处理对于不规范的流量,采用硬件加速将导致系统设计僵化, 很难加入新的功能实现市场需求需要充分利用CPU的多核处理能力来提升系统的整体性能CMP工作原理精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除CMP的硬件支持精品ppt文档收集于网络,仅供学习交流,如有侵权请联
22、系管理员删除CMP工作模式流量由HSB进行分配在多个TMM上,每个TMM占据一个CPU Core,每个TMM有自己独立的内存空间每个TMM都具有相同的配置,包括VS/Profile/iRules/Pool/Persistence等TMM之间通过内存高速总线进行通讯共享通用信息如会话保持表,SNAT源端口等当CMP被Disable的时候,TMM0接管所有的流量64/68的硬件平台已经支持CMP,在10.0上自动开启VIPTMM0VIPTMM1VIPTMM2VIPTMM3HSBHSBSuper VIP精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除如何查看如何查看CMP工作状态工作
23、状态b tmm show可以观察每个可以观察每个TMM的状态的状态精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除关于CMP必须了解的内容V9平台启动WA(web应用加速器)和ASM(应用安全 管理器)将Disable CMPiRules中定义全局变量将Disable CMP所有的非所有的非TCP/UDP流量都只使用流量都只使用TMM0进行处理进行处理V9中使用Session add, Session Lookup命令将 Disable CMPConnection Limit和Rate Shaping的配置是针对每 个TMM生效手工关闭CMP运行 b db Provision.
24、tmmCount 1 调整后必须重启任何一个任何一个TMM Crash,将导致设备间,将导致设备间FailoverTCPdump已经调整为可支持CMP精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除查看查看Virtual Server的的CMP工作状态工作状态精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删除如何查看TMM CPU占用率top命令可以显示每颗CPU的占用率和V9相比,TMM的CPU在Top命令中的显示发生了变化每颗CPU的CPU占用率目前在图形界面里都消失了,目前只有 整体的CPU占用率精品ppt文档收集于网络,仅供学习交流,如有侵权请联系管理员删
25、除One Connect工作原理连接聚合和内容交换index.htma.gifb.gifc.aspsales.htmd.gife.giff.aspsales.htmd.gife.gifindex.htma.gifb.gifc.aspServerf.aspindex.htma.gifb.gifc.aspsales.htmd.gife.giff.aspsales.htmd.gife.gifindex.htma.gifb.gifc.aspServerf.aspindex.htma.gifb.gifc.aspindex.htma.gifb.gifc.aspHTML server poolGIF ser
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- F5 BIG-IP LTM 详解工作原理 配置手册 BIG IP 详解 工作 原理 配置 手册
限制150内