GughpBNym0yJ
第一章:BIG-IP系统介绍 基于包转发和全代理架构的区别(packet-basedvsfullproxyarchiteture) 一个网络设备如果是基于包转发的,则他是一个会话流(communicationstream)的中间设备,而不是端点(endpoint)的设备,比如,路由器改变了二层报文信息,但是他仅仅只转发了这个数据报文,却无法对更高层级的数据进行解析。 全代理模式不同于基于包转发的模式,全代理模式需要了解整个报文协议,这个设备就是一个会话的端点设备也是一个协议的发起者(itselfanendpointandanoriginatorfortheprotocol),比如F5设备就可以...
第三章:负载均衡中的负载算法 负载算法分为静态的和动态的。静态的连接分布模式是预先设置的,流量处理中是不会变化的,动态的连接分布模式也是预先设置的,但是连接分布会根据某些因素的改变而调整。 轮询(roundrobin): 将新建的链接逐一转发到每一个后端服务器上。静态的。 比率轮询(ratio): 可以根据赋予的权重将流量分不到后端服务器上,ratio可以根据member或者node为单位进行赋予。静态的。 最小连接数(leastconnnection): 将新建的链接分发到当前连接最少的后端。对于长连接场景有很好的均衡效果,随着时间推移,设备的连接数会比较均匀。 最快(fastest)...
第四章:持久化 持久化: 大多数应用都是有状态的,比如,使用一个购物网站,最重要的是用户在放入一个商品之后,刷新网页要能继续看到购物车里的东西,这就需要请求报文发到同一个后端服务器上,持久化就能完成这个功能。 持久化支持一下几种场景: 源地址 目标地址 SSL SIP Hash 通用 默认和备用持久化: 默认情况,持久化能力没有配置在vs中,持久化有两个配置项,默认和备用,备用持久化是在默认持久化不起作用的时候起作用的,比如默认是cookie持久化,但是担心一些用户可能会在浏览器中关闭cookie,那么你可以将源地址持久化作为备用。 持久化超时,取决于持久化配置,当有链接匹配到持久化表里...
第六章:使用虚拟服务器处理流量 virtualserver类型 前几章描述的场景,可以简单总结为,F5设备终结了一个会话,在client-side充当服务端,在server-side充当客户端,完成了一个全代理过程,这种模型的vs类型被称为标准类型。一般在你需要将流量做负载等场景时需要。 但是你也许不需要对流量做代理,而是要透传到另一个网络中,也许需要通过公网出口的路由器或者防火墙设备负载流量,还有可能你觉得7层开销过大,只需要4层负载等。 我们在配置vs的是时候,有一栏成为type,里边包含了很多种类。 Forwarding(IP):应用在不希望进行负载情况下将流量从一个网络传递到另一个网...
第七章:使用SNATs处理流量 SNATs: 传统的vs都是对目的地址和端口进行改变,而源地址没有改变,如果你需要对源地址和源端口进行更改,则需要使用SNAT能力,好处在于:1、允许不可路由地址(网络内部)的设备获得可路由地址以进入网络外部。2、确保目标服务器通过BIG-IP系统返回响应,而不是直接发送到原始客户端IP地址。 SNAT提供多个节点的映射,通常是内部设备与SNAT地址之间。与nat一样,SNAT地址需要外部可路由的,而节点地址一般不可路由。与nat不同,不能向SNAT地址发起连接。这就是snat比NATs更安全的原因。只有节点可以发起连接。当BIG-IP系统看到来自SNAT关联...
第八章:配置和管理高可用性部署 设备集群(deviceserviceclustering) 与许多关键网络和IT基础设施组件一样,BIGIP系统可以部署在高可用性(HA)配置中,以支持持续的应用程序交付,而不会在很长一段时间内中断服务。当前BIG-IP系统的HA功能主要由DSC(DeviceServiceClustering)特性提供。(ha和DSC这两个术语在整个F5文档中可以互换使用。)提供了几个配置选项,每个选项都有其优点和挑战。 主备: active/standby是BIG-IP系统中最常见的DSC部署。有时也称为冗余对,这个选项早在BIG-IP版本10之前和v11中DSC可用之前就已...
第九章:使用配置文件修改流行为 profile 配置文件是一个功能强大的配置工具,提供了定义和应用流量策略的简单方法跨多个虚拟服务器的策略。通过配置文件,您还可以更改跨流量的设置许多不同的应用。概要文件定义虚拟服务器的功能和操作。 profile能提供: 定义特定流量行为(如压缩、SSL和身份验证)的集中式位置,可应用于多个虚拟服务器。 修改已经存在的profile文件。 配置文件告诉虚拟服务器如何根据配置文件的参数处理收到的数据包。例如,如果希望通过BIG-IP系统加密/解密流量,可以创建一个虚拟服务器,该服务器具有与之关联的clientssl和/或serverssl配置文件。如果希望基...
第十章基础配置 VLAN VLAN是对物理网络进行逻辑分区的一种方式,可以创建不同的广播域。将具有共同要求的主机分组在一个VLAN中——不管它们的物理位置如何——提供了明显的优势,包括: 减小广播域的大小,从而提高网络的整体性能显著 减少系统和网络维护任务(功能相关的主机不再需要物理地驻留在一起以实现最佳网络性能) 通过对传输敏感数据的主机进行分段,提高网络安全性 BIG-IP系统是一个基于端口的交换机,提供多层处理能力。这些功能通过提供以下特性来支持标准VLAN行为: 在BIG-IP系统中,接口可以直接关联VLAN(一个接口对应一个VLAN、多个接口对应一个VLAN或一个接口对应多个V...
第十一章:iapp(忽略) 第十二章:使用规则和本地流量策略定制应用程序交付 用最简单的术语来说,iRule是在网络流量通过BIGIP系统时对其执行的脚本。其思想非常简单:规则使您能够编写简单的网络感知代码片段,这些代码以各种方式影响您的网络流量。无论您是希望以BIG-IP内置选项中目前无法提供的方式进行某种形式的自定义应用程序交付,还是希望通过细粒度控制流甚至给定数据包的内容来完全自定义用户体验,这都是构建irrules的目的。 规则可以路由、重路由、重定向、检查、修改、延迟、丢弃或拒绝、记录,或者对通过BIG-IP系统的网络流量做任何其他事情。irules背后的想法是使BIG-IP几乎无...