F5LTM工作原理ppt.ppt
《F5LTM工作原理ppt.ppt》由会员分享,可在线阅读,更多相关《F5LTM工作原理ppt.ppt(66页珍藏版)》请在咨信网上搜索。
1、F5 LTM工作原理工作原理杨明非F5北方区技术经理LTMLTM基础架构基础架构VS TypeVS Type详解详解ProfileProfile详解详解CMP CMP 工作原理工作原理One ConnectOne Connect工作原理工作原理NATNAT、SNATSNAT工作原理工作原理MonitorMonitor工作原理工作原理HAHA工作原理工作原理AgendaAgendaLTM基础架构基础架构3什么是什么是TMMTraffic Management ModuleTMOS的核心进程,有自己独立的内存、CPU资源分配和I/O控制所有的生产流量都通过TMM接收一个CPU Core只能有一个T
2、MM进程在V9版本上,15/34/64/68都是单TMM运行在V9版本上,16/36/69/89/84/88都是多TMM运行在V10版本上,16/36/69/89/84/88都是多TMM运行Viprion只支持9.6和10.0版本,默认都是多TMM运行4TMM处理的范围处理的范围5TMM内部处理功能所有的VS入口流量LTM iRiules处理Profile处理会话保持处理负载均衡算法SSL加速(和硬件结合)HTTP 压缩SNAT静态CRL文件校验不在TMM里面处理的功能Web Accelerator Module(包括压缩)Application Security ModuleGTM的分配算法
3、处理(包括GTM rules)Named域名解析健康检查日志管理系统数据统计SNMP数据输出HA健康检查BIGIP 内部内部结结构构-V9平台平台15/34/64/686TM/OS管理CPU万兆/千兆交换端口PVA四层交换专用ASICHost OSWeb 界面管理健康检查SNMP.BridgeTMM0独立的管理机SCCPSSL加解密HTTP压缩AdminConsoleBIGIP 内部内部结结构构-Mecury平台平台16/36/69/897TM/OS管理CPU万兆/千兆交换端口HiSpeed BridgeTMM2Host OSWeb 界面管理健康检查SNMP.TMM3TMM1TMM0独立的管理
4、机AOMCluster Muti Processor多CPU并行处理SSL加解密HTTP压缩ConsoleAdminHost和和TMM的内存分配的内存分配Host在启动的时候限定了内存分配的大小,在没有其他module的情况下是384MBTMM进程启动后,将自动获取余下的所有物理内存8Host MemoryTMM Memory查看查看Host内存占用情况内存占用情况#physmem /查看物理内存大小 8387584b memory show/查看内存分配情况MEMORY STATISTICS-|(Host)Total=3.835GB Used=3.590GB|(TMM)Total=5.976
5、GB Used=93.22MB9查看查看TMM内存占用情况内存占用情况TMM分配的内存是准确的,Host内存显示在这里有一些偏差10BIGIP 的重要进程的重要进程bigstart status/查看F5进程状态top/查看Host进程状态top bcn 1/显示Host的所有进程 11TomCat4TMMTMMMCPDbigdbig3d业务数据处理本地健康检查GTM/Mpack通讯配置管理界面Tamd外部认证bcm56xxd交换芯片管理Module工作模式工作模式-GTM所有的请求接收和响应都通过TMM进行gtmd负责动态策略解析,并将不在策略制定内的请求转发给namedgtmd的所有状态来
6、源均由big3d汇报gtmd不会直接与bigd通讯,而是从big3d去获得信息12TMM客户端请求gtmdnamedbigdbig3dmcpdListener接收请求动态策略解析静态策略解析RTT探测iQuery信息收集和发送本地健康检查Module工作模式工作模式-WAPVAC是WA Module处理的主进程,与TMM之间采用Plugin模式通讯PVAC可以以多线程方式运行所有的流量由TMM发送到pvac,pvac处理完成之后返回给TMM,再通过负载均衡策略转发到服务器13TMM客户端请求pvacWeb/应用服务器Web/应用服务器Web/应用服务器pvacModule工作模式工作模式-AS
7、M14asm是ASM处理的主进程,与TMM之间采用Plugin模式通讯asm可以以多线程方式运行所有的流量由TMM发送到asm,asm处理完成之后返回给TMM,再通过负载均衡策略转发到服务器14TMM客户端请求asmWeb/应用服务器Web/应用服务器Web/应用服务器asmModule工作模式工作模式-SAMTMM接收所有流量请求SSL VPN通道建立处理在TMM内部完成APD(Application Policy Daemon)负责策略执行,用户认证等,不处理具体的业务流量15TMM客户端请求APDWeb/应用服务器Web/应用服务器Web/应用服务器VS Type 详解详解16VS Ty
8、pe详解详解Performance L4Standard VSFast HTTPFowarding VS17Performance L4TMM只是负责客户端连接的分配和转发,不改变TCP连接中的任何参数客户端和服务器自行协商TCP传输参数在34/64/68平台上Performance L4可以有PVA加入实现硬件加速在15/16/36/69/89/Viprion平台上都通过TMM核心进行处理Performance L4 VS上只有4层的iRules可以使用默认状态下,新建连接的第一个包必须是Syn包,如果是其他的数据包比如ACK、RST等如果不在连接表中,则全部丢弃。在Fast L4 prof
9、ile打开Loose close和Loose Initial的时候对非Syn包也可以建立连接表18TMM客户端客户端客户端服务器端服务器端服务器端Performance L4 攻击防护攻击防护-Syn Cookie正常情况下客户端连接和服务器端连接是1:1的关系TMM在第一次收到客户端Syn包时,并不建立连接表TMM的Syn Ack回应通过算法回应给客户端Syn,并期待客户端回应的值TMM对客户端ACK进行计算,确认是真实客户端,再和后台服务器建立连接在84/88上可以实现硬件的Syn Cookie计算,其余的平台都是通过软件实现SynCookie计算Syn Cookie工作模式下,只有成功建
10、立连接的TCP请求才转发到后台19TMMSynSyn,Ack(syncookie)Ack(Cookie)SynSyn-AckAckDataStandard VS正常情况下客户端连接和服务器端连接是1:1的关系默认工作在全代理模式,客户端和服务器端的TCP连接完全独立客户端和服务器端的TCP参数都是由TMM和双方分别协商默认情况下以客户端源IP和后台建立连接,在打开SNAT的情况下用SNAT地址和后台建立连接Standard VS的端口永远对外开放,无论后台是否有服务器在工作20TMMSynSyn,AckAckSynSyn-AckAckDataDataStandard 模式下的攻击防护模式下的攻
11、击防护Standard VS模式具有天然的防攻击功能在遇到Syn攻击的时候会导致系统的连接表过大通过System-SYN Check Activation Threshold的设置,在达到设置值的时候系统自动启动Syn Cookie,避免建立过多连接,这个值对全局生效大部分的网络层攻击都无法通过Standard模式的VS21Fast HTTPFast HTTP VS仅用于HTTP协议默认开启One Connect Profile,对客户端连接进行聚合处理默认开启SNAT AutoMap,在服务器端收到的TCP连接请求都是来自于TMM没有会话保持功能不能处理SSL,HTTPS22TMM客户端客户
12、端客户端服务器端服务器端服务器端Fowarding VS(Forwarding IP)只能使用Fast L4 Profile按照连接处理,类似于路由器工作,但不完全一样,在Fast L4 Profile中开启Loose Initial和Loose Close之后更为接近路由工作模式所有穿过Fowarding VS的连接都将产生连接表没有Pool Member,转发完全取决于本地路由可以使用基于4层的Rules23TMM客户端查询本地路由表转发客户端请求VS和和ProfileVS作为所有流量的入口Profile依赖于VS,对进入VS的流量进行格式化处理不同的VS可以用同一个Profile或者不同
13、的ProfileProfile之间存在有相互排斥和相互依存的关系24VSTCP ProfileUDP ProfileFastL4 ProfileHTTPRTSPClient SSLServer SSLStreamingSMTPSIPOne ConnectVS和和RulesRules的处理必须依赖于VS对流量的接收通过事件触发机制,Rules可以控制流量在VS内部处理的整个过程25SSLCompressionClientSideServerSideTCP ExpressServerTCP ExpressCachingMicrokernelVirtual ServeriRulesClientiCo
14、ntrol APITCP ProxyOneConnectXMLRate ShapingTrafficShieldWeb Accel3rd PartyVS和和Rules26ServeriRulesClientSideServerSideTCP ProxyClient Side EventClient_acceptClient_dataCache_requestDNS_requestHTTP_REQUESTHTTP_REQUEST_DATARTSP_REQUEST.Server Side EventServer_connectServer_dataCache_responseDNS_respons
15、eHTTP_RESPONSEHTTP_RESPONSE_DATARTSP_RESPONSE.VS和和Rules大部分rules只在同一个VS之内有效Rules内创建的变量以连接为生命周期一个VS上可以有多个Rules,它们将被顺序执行27CLIENT_ACCPTEDCLIENT_DATALB_SELECTEDLB_FAILEDSERVER_ACCPTEDSERVER_DATACLIENT_CLOSEDSERVER_CLOSEDRULE_INITVSProfile详解详解28Profile的作用和工作范围的作用和工作范围Profile依赖于VSProfile是对VS的流量进行格式化处理举例如果一
16、个VS上配置了TCP Profile,则该VS对所有的UDP流量都不会接收29Profile的作用和工作范围的作用和工作范围基本流量处理类型ProfileTCP,UDP,FastHTTP,Fast L4,SCTP服务流量处理类型ProfileHTTP,FTP,SMTP,RTSP,SIP,iSessionSSL处理类型Client SSL,Server SSL会话保持类型Cookie,Destination IP,hash,msrdp,source IP,Universal,SSL认证处理类型Radius,CRLDP,OCSP其他处理类型One Connect,Statistics,NTLM,S
17、tream30重要的重要的Profile-FastL4Reset on Timeout:在连接达到Time out的是否向两端发送Reset包Idel Timeout:多长时间连接里面没有数据流量的时候就删除连接表Loose Initiation/Loose Close:是否接收非Syn包建立连接Softare Syn Cookie Protection:是否在VS上启用Syn Cookie,实现Syn攻击防护31可能调整的参数重要的重要的Profile-TCP注意在Client Side和Server Side可以使用不同的TCP Profile通常情况下建议:Client side:TCP
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- F5LTM 工作 原理 ppt
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。