F5-BIG-IP配置方法(PPT32頁(yè))

1、BIG_IP配置方法BY 杜貝典1.1 OSI七層模型圖1.2 OSI參考模型每層的任務(wù)7.應(yīng)用層:提供用戶接口 6.表示層:表述數(shù)據(jù);對(duì)數(shù)據(jù)的操作諸如加密,壓縮等等 5.會(huì)話層:建立會(huì)話,分隔不同應(yīng)用程序的數(shù)據(jù) 4.傳輸層:提供可靠和不可靠的數(shù)據(jù)投遞;在錯(cuò)誤數(shù)據(jù)重新傳輸前對(duì)其進(jìn)行更正 3.網(wǎng)絡(luò)層:提供邏輯地址,用于routers的路徑選擇 2.數(shù)據(jù)鏈路層:把字節(jié)性質(zhì)的包組成幀;根據(jù)MAC地址提供對(duì)傳輸介質(zhì)的訪問(wèn);實(shí)行錯(cuò)誤檢測(cè),但是不實(shí)行錯(cuò)誤更正 1.物理層:在設(shè)備之間傳輸比特(bit);定義電壓,線速,針腳等物理規(guī)范 1.3 OSI參考模型每層的功能7.應(yīng)用層:提供文件,打印,數(shù)據(jù)庫(kù),和其他

2、應(yīng)用程序等服務(wù) 6.表示層:數(shù)據(jù)加密,壓縮和翻譯等等 5.會(huì)話層:會(huì)話控制 4.傳輸層:提供端到端的連接 3.網(wǎng)絡(luò)層:路由(routing) 2.數(shù)據(jù)鏈路層:組成幀 1.物理層:定義物理拓?fù)浣Y(jié)構(gòu) 1.4 常見(jiàn)協(xié)議動(dòng)態(tài)主機(jī)配置協(xié)議(Dynamic Host Configuration Protocol ,DHCP)傳輸控制協(xié)議(Transmission Control Protocol,TCP) 用戶數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol,UDP) 網(wǎng)際協(xié)議(Internet Protocol,IP) Internet信報(bào)控制協(xié)議(Internet Control Messag

3、e Protocol,ICMP) 地址解析協(xié)議(Address Resolution Protocol,ARP)逆向地址解析協(xié)議(Reverse Address Resolution Protocol,RARP) WAN是覆蓋地理范圍相對(duì)較為廣闊的數(shù)據(jù)通信網(wǎng)絡(luò),它一般是利用公共載體(比如電信公司)提供的設(shè)備進(jìn)行傳輸.WAN技術(shù)運(yùn)行在OSI的最下3層1.5 IP Routing 的含義路由協(xié)議(routing protocol):用于routers動(dòng)態(tài)尋找網(wǎng)絡(luò)最佳路徑,保證所有routers擁有相同的路由表.一般,路由協(xié)議決定數(shù)據(jù)包在網(wǎng)絡(luò)上的行走的路徑.這類協(xié)議的例子有OSPF,RIP,IGRP

4、,EIGRP等 可路由協(xié)議(routed protocol):當(dāng)所有的routers知道了整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)以后,可路由協(xié)議就可以用來(lái)發(fā)送數(shù)據(jù).一般的,可路由協(xié)議分配給接口,用來(lái)決定數(shù)據(jù)包的投遞方式.這類例子有IP和IPX 2.1 網(wǎng)絡(luò)中存在的問(wèn)題隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，應(yīng)用類型呈爆炸式增長(zhǎng)，網(wǎng)絡(luò)應(yīng)用的問(wèn)題也層出不窮： 服務(wù)器壓力不均衡，無(wú)法充分利用服務(wù)器資源，不能保證服務(wù)器正常工作。 網(wǎng)絡(luò)應(yīng)用攻擊類型越來(lái)越多，越來(lái)越復(fù)雜。 無(wú)法保證員工隨時(shí)隨地與公司網(wǎng)絡(luò)保持安全便捷的遠(yuǎn)程接入。 網(wǎng)絡(luò)中大量重復(fù)數(shù)據(jù)的傳輸占用大量帶寬，造成嚴(yán)重網(wǎng)絡(luò)延時(shí)。 突發(fā)流量時(shí)，眾多非關(guān)鍵應(yīng)用搶占關(guān)鍵應(yīng)用帶寬，不能保證關(guān)鍵應(yīng)

5、用的性能。 對(duì)相同內(nèi)容的反復(fù)訪問(wèn)占用服務(wù)器資源，造成服務(wù)器巨大壓力。 電子商務(wù)交易大量損耗服務(wù)器資源，服務(wù)器性能急劇下降。 服務(wù)器很大部分資源用來(lái)處理網(wǎng)絡(luò)連接，響應(yīng)時(shí)間變慢 。 2.2 負(fù)載均衡器的概念負(fù)載均衡器通常稱為四層交換機(jī)或七層交換機(jī)。四層交換機(jī)主要分析IP層及TCP/UDP層，實(shí)現(xiàn)四層流量負(fù)載均衡。七層交換機(jī)除了支持四層負(fù)載均衡以外，還有分析應(yīng)用層的信息，如HTTP協(xié)議URI或Cookie信息。2.3 負(fù)載均衡器的作用2.4 用負(fù)載均衡器的好處方案優(yōu)勢(shì) 簡(jiǎn)化網(wǎng)絡(luò)部署。 減少網(wǎng)絡(luò)中單點(diǎn)故障點(diǎn)，提高網(wǎng)絡(luò)的可靠性。 保證服務(wù)器正常工作，均衡分配網(wǎng)絡(luò)流量，提高服務(wù)器高可用性。 先進(jìn)的應(yīng)用加速

6、技術(shù)，減少應(yīng)用響應(yīng)時(shí)間，提升服務(wù)器性能。 減少帶寬占用，降低網(wǎng)絡(luò)延時(shí)，提高帶寬利用率。 簡(jiǎn)化日常維護(hù)和管理，節(jié)省維護(hù)成本。 降低總體投資成本。 3.1 什么是VLAN?如何在1個(gè)交換性的網(wǎng)絡(luò)里,分割廣播域呢?答案是創(chuàng)建VLAN.VLAN是連接到定義好了的switch的端口的網(wǎng)絡(luò)用戶和資源的邏輯分組.給不同的子網(wǎng)分配不同的端口,就可以創(chuàng)建更小的廣播域.默認(rèn)情況下,在某個(gè)VLAN中的主機(jī)是不可以與其他VLAN通信的,除非你使用router來(lái)創(chuàng)建VLAN間的通信 VLAN的一些特點(diǎn): 1.網(wǎng)絡(luò)的增加,移動(dòng)和改變,只需要在適當(dāng)?shù)腣LAN中配置合適的端口 2.安全,因?yàn)椴煌琕LAN的用戶不能互相通信,除

7、非依靠router來(lái)做VLAN間的通信 3.因?yàn)閂LAN可以被認(rèn)為是按功能劃分的邏輯分組,所以VLAN和物理位置,地理位置無(wú)關(guān) 4.VLAN增加安全性 5.VLAN增加廣播域的數(shù)量,而減小廣播域的大小 VLAN的靈活性和可擴(kuò)展性: 1.可以不管物理位置如何,把適當(dāng)?shù)亩丝诜峙涞竭m當(dāng)?shù)?VLAN中就可以了.2.當(dāng)VLAN增加的太大以后,你可以劃分更多的VLAN,來(lái)減少?gòu)V播消耗掉更多帶寬的影響,在VLAN中的用戶越少,被廣播影響的就越少手動(dòng)由管理員分配端口劃分的VLAN叫靜態(tài)VLAN(static VLAN);使用智能管理軟件,動(dòng)態(tài)劃分VLAN的叫動(dòng)態(tài)VLAN(dynamic VLAN) 靜態(tài)VLA

8、N:靜態(tài)VLAN安全性較高,手動(dòng)劃分端口給VLAN,和設(shè)備的物理位置沒(méi)什么關(guān)系.而且,每個(gè)VLAN中的主機(jī)必須擁有正確的IP地址信息動(dòng)態(tài)VLAN:使用智能管理軟件,可以基于MAC地址,協(xié)議,甚至應(yīng)用程序來(lái)動(dòng)態(tài)創(chuàng)建VLAN.Cisco設(shè)備管理員可以使用VLAN管理策略服務(wù)器(VLAN Management Policy Server,VMPS)的服務(wù)來(lái)建立個(gè)MAC地址數(shù)據(jù)庫(kù),來(lái)根據(jù)這個(gè)動(dòng)態(tài)創(chuàng)建VLAN,VMPS數(shù)據(jù)庫(kù)把MAC地址映射VLAN上 3.2 路由原理路由原理:當(dāng)IP子網(wǎng)中的一臺(tái)主機(jī)發(fā)送IP包給同一IP子網(wǎng)的另一臺(tái)主機(jī)時(shí),它將直接把IP包送到網(wǎng)絡(luò)上,對(duì)方就能收到.而要送給不同IP于網(wǎng)上的

9、主機(jī)時(shí),它要選擇一個(gè)能到達(dá)目的子網(wǎng)上的router,把IP包送給該router,由它負(fù)責(zé)把IP包送到目的地.如果沒(méi)有找到這樣的router,主機(jī)就把IP包送給一個(gè)稱為缺省網(wǎng)關(guān)(default gateway)的router上.缺省網(wǎng)關(guān)是每臺(tái)主機(jī)上的一個(gè)配置參數(shù),它是接在同一個(gè)網(wǎng)絡(luò)上的某個(gè)router接口的IP地址 router轉(zhuǎn)發(fā)IP包時(shí),只根據(jù)IP包目的IP地址的網(wǎng)絡(luò)號(hào)部分,選擇合適的接口,把IP包送出去.同主機(jī)一樣,router也要判定接口所接的是否是目的子網(wǎng),如果是,就直接把包通過(guò)接口送到網(wǎng)絡(luò)上,否則,也要選擇下一個(gè)router來(lái)傳送包.router也有它的缺省網(wǎng)關(guān),用來(lái)傳送不知道往哪兒

10、送的IP包.這樣,通過(guò)router把知道如何傳送的IP包正確轉(zhuǎn)發(fā)出去,不知道的IP包送給缺省網(wǎng)關(guān),這樣一級(jí)級(jí)地傳送,IP包最終將送到目的地,送不到目的地的IP包則被網(wǎng)絡(luò)丟棄了 當(dāng)主機(jī)A發(fā)送個(gè)IP包到主機(jī)B,目標(biāo)MAC地址使用的是默認(rèn)網(wǎng)關(guān)的以太網(wǎng)接口地址.這是因?yàn)閹荒芊胖迷谶h(yuǎn)端網(wǎng)絡(luò). 3.3 什么是pool?Pool的特性3.4 什么是iRule?InternetCisco 6506Sun X4200M2案例:上海聯(lián)通GPRS加速系統(tǒng)物理連接圖GGSNF5-LBWFS服務(wù)器FW4.1 負(fù)載均衡器本地管理負(fù)載均衡器本地管理可利用設(shè)備正面面板左側(cè)管理接口，配置192.168.1.*/24網(wǎng)段地址，

11、負(fù)載均衡器管理地址分別為：LB：45/24然后使用45進(jìn)行操作界面的管理。負(fù)載均衡器（LB）WEB登錄：admin 密碼:shUnicom123負(fù)載均衡器（LB）命令行登錄：root 密碼:shUnicom1234.2 建立VLAN的名稱4.3 然后綁定端口4.4 Self ips建立VLAN的管理地址4.5綁定VLAN的IP地址4.6 建立POOL(地址池)4.7 把IP與POOL關(guān)聯(lián)起來(lái)4.8 設(shè)定IRULES設(shè)定POOL和POOL之間的關(guān)聯(lián)5.1 ROUTES路由策略來(lái)設(shè)定出口6.1 F5的virtual server配置(1)在配置工具Web頁(yè)面的導(dǎo)航面板中選擇“Virtual Servers”中的“Virtual Servers”標(biāo)簽，點(diǎn)擊“ADD”按鈕添加虛擬服務(wù)器。 (2)在“Add Virtual Server”窗口的“Address”文本框中輸入虛擬服務(wù)器IP地址，并在“Service”文本框中輸入服務(wù)端口號(hào)或在下拉框中選擇現(xiàn)有的服務(wù)名稱，點(diǎn)擊“Next”執(zhí)行下一步。 (3)在“Add Virtual Server”窗口的“Configure Basic Properties”頁(yè)面中點(diǎn)擊“Nex