F5 BIG-IP配置方法.ppt

BIG IP配置方法 BY杜貝典 1 1OSI七層模型圖 1 2OSI參考模型每層的任務(wù) 7 應(yīng)用層 提供用戶(hù)接口6 表示層 表述數(shù)據(jù) 對(duì)數(shù)據(jù)的操作諸如加密 壓縮等等5 會(huì)話(huà)層 建立會(huì)話(huà) 分隔不同應(yīng)用程序的數(shù)據(jù)4 傳輸層 提供可靠和不可靠的數(shù)據(jù)投遞 在錯(cuò)誤數(shù)據(jù)重新傳輸前對(duì)其進(jìn)行更正3 網(wǎng)絡(luò)層 提供邏輯地址 用于routers的路徑選擇2 數(shù)據(jù)鏈路層 把字節(jié)性質(zhì)的包組成幀 根據(jù)MAC地址提供對(duì)傳輸介質(zhì)的訪(fǎng)問(wèn) 實(shí)行錯(cuò)誤檢測(cè) 但是不實(shí)行錯(cuò)誤更正1 物理層 在設(shè)備之間傳輸比特 bit 定義電壓 線(xiàn)速 針腳等物理規(guī)范 1 3OSI參考模型每層的功能 7 應(yīng)用層 提供文件 打印 數(shù)據(jù)庫(kù) 和其他應(yīng)用程序等服務(wù)6 表示層 數(shù)據(jù)加密 壓縮和翻譯等等5 會(huì)話(huà)層 會(huì)話(huà)控制4 傳輸層 提供端到端的連接3 網(wǎng)絡(luò)層 路由 routing 2 數(shù)據(jù)鏈路層 組成幀1 物理層 定義物理拓?fù)浣Y(jié)構(gòu) 1 4常見(jiàn)協(xié)議 動(dòng)態(tài)主機(jī)配置協(xié)議 DynamicHostConfigurationProtocol DHCP 傳輸控制協(xié)議 TransmissionControlProtocol TCP 用戶(hù)數(shù)據(jù)報(bào)協(xié)議 UserDatagramProtocol UDP 網(wǎng)際協(xié)議 InternetProtocol IP Internet信報(bào)控制協(xié)議 InternetControlMessageProtocol ICMP 地址解析協(xié)議 AddressResolutionProtocol ARP 逆向地址解析協(xié)議 ReverseAddressResolutionProtocol RARP WAN是覆蓋地理范圍相對(duì)較為廣闊的數(shù)據(jù)通信網(wǎng)絡(luò) 它一般是利用公共載體 比如電信公司 提供的設(shè)備進(jìn)行傳輸 WAN技術(shù)運(yùn)行在OSI的最下3層 1 5IPRouting的含義 路由協(xié)議 routingprotocol 用于routers動(dòng)態(tài)尋找網(wǎng)絡(luò)最佳路徑 保證所有routers擁有相同的路由表 一般 路由協(xié)議決定數(shù)據(jù)包在網(wǎng)絡(luò)上的行走的路徑 這類(lèi)協(xié)議的例子有OSPF RIP IGRP EIGRP等可路由協(xié)議 routedprotocol 當(dāng)所有的routers知道了整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)以后 可路由協(xié)議就可以用來(lái)發(fā)送數(shù)據(jù) 一般的 可路由協(xié)議分配給接口 用來(lái)決定數(shù)據(jù)包的投遞方式 這類(lèi)例子有IP和IPX 2 1網(wǎng)絡(luò)中存在的問(wèn)題 隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展 應(yīng)用類(lèi)型呈爆炸式增長(zhǎng) 網(wǎng)絡(luò)應(yīng)用的問(wèn)題也層出不窮 服務(wù)器壓力不均衡 無(wú)法充分利用服務(wù)器資源 不能保證服務(wù)器正常工作 網(wǎng)絡(luò)應(yīng)用攻擊類(lèi)型越來(lái)越多 越來(lái)越復(fù)雜 無(wú)法保證員工隨時(shí)隨地與公司網(wǎng)絡(luò)保持安全便捷的遠(yuǎn)程接入 網(wǎng)絡(luò)中大量重復(fù)數(shù)據(jù)的傳輸占用大量帶寬 造成嚴(yán)重網(wǎng)絡(luò)延時(shí) 突發(fā)流量時(shí) 眾多非關(guān)鍵應(yīng)用搶占關(guān)鍵應(yīng)用帶寬 不能保證關(guān)鍵應(yīng)用的性能 對(duì)相同內(nèi)容的反復(fù)訪(fǎng)問(wèn)占用服務(wù)器資源 造成服務(wù)器巨大壓力 電子商務(wù)交易大量損耗服務(wù)器資源 服務(wù)器性能急劇下降 服務(wù)器很大部分資源用來(lái)處理網(wǎng)絡(luò)連接 響應(yīng)時(shí)間變慢 2 2負(fù)載均衡器的概念 負(fù)載均衡器通常稱(chēng)為四層交換機(jī)或七層交換機(jī) 四層交換機(jī)主要分析IP層及TCP UDP層 實(shí)現(xiàn)四層流量負(fù)載均衡 七層交換機(jī)除了支持四層負(fù)載均衡以外 還有分析應(yīng)用層的信息 如HTTP協(xié)議URI或Cookie信息 2 3負(fù)載均衡器的作用 2 4用負(fù)載均衡器的好處 方案優(yōu)勢(shì)簡(jiǎn)化網(wǎng)絡(luò)部署 減少網(wǎng)絡(luò)中單點(diǎn)故障點(diǎn) 提高網(wǎng)絡(luò)的可靠性 保證服務(wù)器正常工作 均衡分配網(wǎng)絡(luò)流量 提高服務(wù)器高可用性 先進(jìn)的應(yīng)用加速技術(shù) 減少應(yīng)用響應(yīng)時(shí)間 提升服務(wù)器性能 減少帶寬占用 降低網(wǎng)絡(luò)延時(shí) 提高帶寬利用率 簡(jiǎn)化日常維護(hù)和管理 節(jié)省維護(hù)成本 降低總體投資成本 3 1什么是VLAN 如何在1個(gè)交換性的網(wǎng)絡(luò)里 分割廣播域呢 答案是創(chuàng)建VLAN VLAN是連接到定義好了的switch的端口的網(wǎng)絡(luò)用戶(hù)和資源的邏輯分組 給不同的子網(wǎng)分配不同的端口 就可以創(chuàng)建更小的廣播域 默認(rèn)情況下 在某個(gè)VLAN中的主機(jī)是不可以與其他VLAN通信的 除非你使用router來(lái)創(chuàng)建VLAN間的通信VLAN的一些特點(diǎn) 1 網(wǎng)絡(luò)的增加 移動(dòng)和改變 只需要在適當(dāng)?shù)腣LAN中配置合適的端口2 安全 因?yàn)椴煌琕LAN的用戶(hù)不能互相通信 除非依靠router來(lái)做VLAN間的通信3 因?yàn)閂LAN可以被認(rèn)為是按功能劃分的邏輯分組 所以VLAN和物理位置 地理位置無(wú)關(guān)4 VLAN增加安全性5 VLAN增加廣播域的數(shù)量 而減小廣播域的大小 VLAN的靈活性和可擴(kuò)展性 1 可以不管物理位置如何 把適當(dāng)?shù)亩丝诜峙涞竭m當(dāng)?shù)腣LAN中就可以了 2 當(dāng)VLAN增加的太大以后 你可以劃分更多的VLAN 來(lái)減少?gòu)V播消耗掉更多帶寬的影響 在VLAN中的用戶(hù)越少 被廣播影響的就越少手動(dòng)由管理員分配端口劃分的VLAN叫靜態(tài)VLAN staticVLAN 使用智能管理軟件 動(dòng)態(tài)劃分VLAN的叫動(dòng)態(tài)VLAN dynamicVLAN 靜態(tài)VLAN 靜態(tài)VLAN安全性較高 手動(dòng)劃分端口給VLAN 和設(shè)備的物理位置沒(méi)什么關(guān)系 而且 每個(gè)VLAN中的主機(jī)必須擁有正確的IP地址信息動(dòng)態(tài)VLAN 使用智能管理軟件 可以基于MAC地址 協(xié)議 甚至應(yīng)用程序來(lái)動(dòng)態(tài)創(chuàng)建VLAN Cisco設(shè)備管理員可以使用VLAN管理策略服務(wù)器 VLANManagementPolicyServer VMPS 的服務(wù)來(lái)建立個(gè)MAC地址數(shù)據(jù)庫(kù) 來(lái)根據(jù)這個(gè)動(dòng)態(tài)創(chuàng)建VLAN VMPS數(shù)據(jù)庫(kù)把MAC地址映射VLAN上 3 2路由原理 路由原理 當(dāng)IP子網(wǎng)中的一臺(tái)主機(jī)發(fā)送IP包給同一IP子網(wǎng)的另一臺(tái)主機(jī)時(shí) 它將直接把IP包送到網(wǎng)絡(luò)上 對(duì)方就能收到 而要送給不同IP于網(wǎng)上的主機(jī)時(shí) 它要選擇一個(gè)能到達(dá)目的子網(wǎng)上的router 把IP包送給該router 由它負(fù)責(zé)把IP包送到目的地 如果沒(méi)有找到這樣的router 主機(jī)就把IP包送給一個(gè)稱(chēng)為缺省網(wǎng)關(guān) defaultgateway 的router上 缺省網(wǎng)關(guān)是每臺(tái)主機(jī)上的一個(gè)配置參數(shù) 它是接在同一個(gè)網(wǎng)絡(luò)上的某個(gè)router接口的IP地址router轉(zhuǎn)發(fā)IP包時(shí) 只根據(jù)IP包目的IP地址的網(wǎng)絡(luò)號(hào)部分 選擇合適的接口 把IP包送出去 同主機(jī)一樣 router也要判定接口所接的是否是目的子網(wǎng) 如果是 就直接把包通過(guò)接口送到網(wǎng)絡(luò)上 否則 也要選擇下一個(gè)router來(lái)傳送包 router也有它的缺省網(wǎng)關(guān) 用來(lái)傳送不知道往哪兒送的IP包 這樣 通過(guò)router把知道如何傳送的IP包正確轉(zhuǎn)發(fā)出去 不知道的IP包送給缺省網(wǎng)關(guān) 這樣一級(jí)級(jí)地傳送 IP包最終將送到目的地 送不到目的地的IP包則被網(wǎng)絡(luò)丟棄了當(dāng)主機(jī)A發(fā)送個(gè)IP包到主機(jī)B 目標(biāo)MAC地址使用的是默認(rèn)網(wǎng)關(guān)的以太網(wǎng)接口地址 這是因?yàn)閹荒芊胖迷谶h(yuǎn)端網(wǎng)絡(luò) 3 3什么是pool Pool的特性 3 4什么是iRule Internet Cisco6506 SunX4200M2 案例 上海聯(lián)通GPRS加速系統(tǒng)物理連接圖 GGSN F5 LB WFS服務(wù)器 FW 4 1負(fù)載均衡器本地管理 負(fù)載均衡器本地管理可利用設(shè)備正面面板左側(cè)管理接口 配置192 168 1 24網(wǎng)段地址 負(fù)載均衡器管理地址分別為 LB 192 168 1 245 24然后使用https 192 168 1 245進(jìn)行操作界面的管理 負(fù)載均衡器 LB WEB登錄 admin密碼 shUnicom123負(fù)載均衡器 LB 命令行登錄 root密碼 shUnicom123 4 2建立VLAN的名稱(chēng) 4 3然后綁定端口 4 4Selfips建立VLAN的管理地址 4 5綁定VLAN的IP地址 4 6建立POOL 地址池 4 7把IP與POOL關(guān)聯(lián)起來(lái) 4 8設(shè)定IRULES設(shè)定POOL和POOL之間的關(guān)聯(lián) 5 1ROUTES路由策略來(lái)設(shè)定出口 6 1F5的virtualserver配置 1 在配置工具Web頁(yè)面的導(dǎo)航面板中選擇 VirtualServers 中的 VirtualServers 標(biāo)簽 點(diǎn)擊 ADD 按鈕添加虛擬服務(wù)器 2 在 AddVirtualServer 窗口的 Address 文本框中輸入虛擬服務(wù)器IP地址 并在 Service 文本框中輸入服務(wù)端口號(hào)或在下拉框中選擇現(xiàn)有的服務(wù)名稱(chēng) 點(diǎn)擊 Next 執(zhí)行下一步 3 在 AddVirtualServer 窗口的 ConfigureBasicPr