F5BIGIPLTM详解(工作原理配置用户手册).ppt

F5 BIG-IP LTM详解 北京先进数通信息技术有限公司 2011年10月 • LTM基础架构 • VS Type详解 • Profile详解 • CMP 工作原理 • One Connect工作原理 • NAT、SNAT工作原理 • Monitor工作原理 • HA工作原理 LTM工作原理 LTM基础架构 什么是TMM • Traffic Management Module • TMOS的核心进程，有自己独立的内存、CPU资源分配和 I/O控制 • 所有的生产流量都通过TMM接收 • 一个CPU Core只能有一个TMM进程 • 在V9版本上，15/34/64/68都是单TMM运行 • 在V9版本上，16/36/69/89/84/88都是多TMM运行 • 在V10版本上，16/36/69/89/84/88都是多TMM运行 • Viprion只支持9.6和10.0版本，默认都是多TMM运行 TMM处理的范围 TMM内部处理功能 所有的VS入口流量 LTM iRiules处理 Profile处理 会话保持处理 负载均衡算法 SSL加速（和硬件结合） HTTP 压缩 SNAT 静态CRL（ Certificate revocation list 证书吊销清单）文件校验 不在TMM里面处理的功能 Web Accelerator Module（包括压缩） Application Security Module GTM的分配算法处理（包括GTM rules） Named域名解析 健康检查 日志管理 系统数据统计 SNMP数据输出 HA健康检查 BIGIP 内部结构-V9平台15/34/64/68 TM/OS 管理CPU 万兆/千兆交换端口 PVA（Packet Velocity ASIC ） 四层交换专用ASIC Host OS Web 界面管理 健康检查 SNMP …….. Bridge TMM 0 独立的管理机 SCCP SSL加解密 HTTP压缩 AdminConsole BIGIP 内部结构-Mecury平台16/36/69/89 6 TM/OS 管理CPU 万兆/千兆交换端口 HiSpeed Bridge TMM 2 Host OS Web 界面管理 健康检查 SNMP …….. TMM 3 TMM 1 TMM 0 独立的管理机 AOM Cluster Muti Processor 多CPU并行处理 SSL加解密 HTTP压缩 ConsoleAdmin Host和TMM的内存分配 •Host在启动的时候限 定了内存分配的大小 ，在没有其他module 的情况下是384MB •TMM进程启动后，将 自动获取余下的所有 物理内存 Host Memory TMM Memory 查看Host内存占用情况 •# physmem /查看物理内存大小 8387584 •b memory show /查看内存分配情况 MEMORY STATISTICS -- | (Host) Total = 3.835GB Used = 3.590GB | (TMM) Total = 5.976GB Used = 93.22MB 查看TMM内存占用情况 •TMM分配的内存是准确的，Host内存显示在这里有一些偏差 VS Type详解 • Performance L4 • Standard VS • Fast HTTP • Forwarding VS Performance L4 •TMM只是负责客户端连接的分配和转发，不改变TCP连接中的任何参数 •客户端和服务器自行协商TCP传输参数 •在34/64/68平台上Performance L4可以有PVA加入实现硬件加速 •在15/16/36/69/89/Viprion平台上都通过TMM核心进行处理 •Performance L4 VS上只有4层的iRules可以使用 •默认状态下，新建连接的第一个包必须是Syn包，如果是其他的数据包比 如ACK、RST等如果不在连接表中，则全部丢弃。

•在Fast L4 profile打开Loose close和Loose Initial的时候对非Syn包也 可以建立连接表 TMM 客户端 客户端 客户端 服务器端 服务器端 服务器端 Performance L4 攻击防护-Syn Cookie •正常情况下客户端连接和服务器端连接是1:1的关系 •TMM在第一次收到客户端Syn包时，并不建立连接表 •TMM的Syn Ack回应通过算法回应给客户端Syn，并期待客户端回应的值 •TMM对客户端ACK进行计算，确认是真实客户端，再和后台服务器建立连接 •在84/88上可以实现硬件的Syn Cookie计算，其余的平台都是通过软件实现 SynCookie计算 •Syn Cookie工作模式下，只有成功建立连接的TCP请求才转发到后台 TMM Syn Syn,Ack (syncookie) Ack(Cookie) Syn Syn-Ack Ack Data Standard VS •正常情况下客户端连接和服务器端连接是1:1的关系 •默认工作在全代理模式，客户端和服务器端的TCP连接完全独立 •客户端和服务器端的TCP参数都是由TMM和双方分别协商 •默认情况下以客户端源IP和后台建立连接，在打开SNAT的情况下用 SNAT地址和后台建立连接 •Standard VS的端口永远对外开放，无论后台是否有服务器在工作 TMM Syn Syn,Ack Ack Syn Syn-Ack Ack DataData Standard 模式下的攻击防护 •Standard VS模式具有天然的防攻击功能 •在遇到Syn攻击的时候会导致系统的连接表过大 •通过System-SYN Check Activation Threshold 的设置，在达到设置值的时候系统自动启动 Syn Cookie，避免建立过多连接，这个值对全局生效 •大部分的网络层攻击都无法通过Standard模式的VS Fast HTTP •Fast HTTP VS仅用于HTTP协议 •默认开启One Connect Profile，对客户端连接进行聚合处理 •默认开启SNAT AutoMap，在服务器端收到的TCP连接请求都是来自 于TMM •没有会话保持功能 •不能处理SSL，HTTPS TMM 客户端 客户端 客户端 服务器端 服务器端 服务器端 Fowarding VS（Forwarding IP） •只能使用Fast L4 Profile •按照连接处理，类似于路由器工作，但不完全一样，在Fast L4 Profile中开启Loose Initial和Loose Close之后更为接近路由工作模式 •所有穿过Fowarding VS的连接都将产生连接表 •没有Pool Member，转发完全取决于本地路由 •可以使用基于4层的Rules TMM 客户端 查询本地路由表 转发客户端请求 VS和Profile •VS作为所有流量的入口 •Profile依赖于VS，对进入VS的流量进行格式化处理 •不同的VS可以用同一个Profile或者不同的Profile •Profile之间存在有相互排斥和相互依存的关系 VS TCP ProfileUDP ProfileFastL4 Profile HTTPRTSP Client SSLServer SSLStreaming SMTPSIPOne Connect •Rules的处理必须依赖于VS对流量的接收 •通过事件触发机制，Rules可以控制流量在VS内部处理的整个过程 SSL Compression Client Side Server Side TCP Express Server TCP Express Caching Microkernel Virtual Server iRules Client iControl API TCP Proxy OneConnect XML Rate Shaping TrafficShield Web Accel 3rd Party VS和Rules Server iRules Client Side Server Side TCP Proxy Client Side Event Client_accept Client_data Cache_request DNS_request HTTP_REQUEST HTTP_REQUEST_DATA RTSP_REQUEST . . . . Server Side Event Server_connect Server_data Cache_response DNS_response HTTP_RESPONSE HTTP_RESPONSE_DATA RTSP_RESPONSE . . . . •大部分rules只在同一个VS之内有效 •Rules内创建的变量以连接为生命周期 •一个VS上可以有多个Rules，它们将被顺序执行 CLIENT_ACCPTED CLIENT_DATA LB_SELECTEDLB_FAILED SERVER_ACCPTED SERVER_DATA CLIENT_CLOSED SERVER_CLOSED RULE_INIT VS Profile的作用和工作范围 •Profile依赖于VS •Profile是对VS的流量进行格式化处理 •举例如果一个VS上配置了TCP Profile， 则该VS对所有的UDP流量都不会接收 Profile详解 •基本流量处理类型Profile – TCP, UDP, FastHTTP, Fast L4, SCTP（ Stream Control Transmission Protocol ） •服务流量处理类型Profile – HTTP, FTP, SMTP, RTSP（ Real Time Streaming Protocol ）, SIP（ Session Initiation Protocol ）, iSession •SSL处理类型 – Client SSL，Server SSL •会话保持类型 – Cookie, Destination IP, hash, msrdp, source IP, Universal, SSL •认证处理类型 – Radius, CRLDP（ Constraint-Based Label Distribution Protocol ）, OCSP（ Online Certificate Status Protocol ） •其他处理类型 – One Connect, Statistics, NTLM（ NT LAN Manager ）, Stream 重要的Profile-FastL4 •Reset on Timeout: 在连 接达到Time out的是否 向两端发送Reset包 •Idel Timeout：多长时间 连接里面没有数据流量 的时候就删除连接表 •Loose Initiation/Loose Close: 是否接收非Syn 包建立连接 •Softare Syn Cookie Protection:是否在VS上 启用Syn Cookie，实现 Syn攻击防护 可能调整的参数 重要的Profile-TCP •注意在Client Side和Server Side可以使 用不同的TCP Profile •通常情况下建议： – Client side：TCP WAN Optimized 或LAN Optimized – Server side: TCP LAN Optimized •除非你非常了解TCP的工作原理，否则不 要调整除idel Ti。