LTM工作原理.ppt

SNAT的全称 * Secure Network Address Translation SNAT = NAT的工作模式 * 0 NAT Address: 0 SNAT的工作模式 * 0 SNAT Address: 0 NAT和SNAT之间的差别 * NAT 1比1 接收所有发往NAT地址的连接 所有的连接只是通过LTM的连接表管理，但是是无状态的，连接不会被Timeout 连接不能被镜像 SNAT 多对一或者多对多 拒绝所有发往SNAT地址的连接请求. 连接通过LTM的连接表管理，有timeout设置 连接可以被镜像 SNAT AutoMap 当配置SNAT AutoMap的时候，请求从那个VLAN发出去，则SNAT的源地址为VLAN上的SelfIP 当一个VLAN上有多个SelfIP存在的时候，SNAT的源地址是在多个SelfIP之间轮询 * SNAT Pool的工作模式 SNATPool是提供了一个可用于SNAT源地址的列表 BIGIP采用最小连接数的方式在SNAT的源地址之间进行选择 * 通过iRules控制SNAT when CLIENT_ACCEPTED { set snat_addr } when HTTP_REQUEST { set snat_addr [HTTP::header X-Forwarded-For] log X-Fowarded-For is [HTTP::header X-Forwarded-For] } when LB_SELECTED { snat $snat_addr } * HTTPS SSL Offload 替换源地址 Server 端需要在TCP连接里面获取客户端源地址 SNAT的源地址会话保持 when RULE_INIT { #log local5.warning --------$cnc_snatpool set snat_length [llength $cnc_snatpool] log local5.warning --------snat pool length is $snat_length } when LB_SELECTED { #set client_addr 3 set client_ip [IP::client_addr] set client_last [getfield $client_ip . 4] #log local5.warning --------client last is $client_last set snat_addr [lindex $cnc_snatpool [expr $client_last%$snat_length] ] #log local5.warning ------------client snat addr $snat_addr snat $snat_addr } * Timeout定义和镜像 SNAT可以在两台设备之间镜像 SNAT对于TCP idle Timeout 和UDP idle Timeout可以有独立的设置 * Monitor工作原理 * Monitor如何向外发送请求 所有的Monitor请求都是由bigd进程发起 Monitor流量要穿过TMM发送到Server或者其他位置 在b conn中可以看到Monitor的流量 * TMM bigd 重要的Monitor-TCP Send String: 发送的请求字符串，支持C语言的转义符 Receive String:在返回的内容中查询的字符串 Transparent:数据包内的三层发送目的地是Alias Address，二层的发送目的地是Node Address的MAC地址 * 重要的Monitor-External Monitor MEMBER=${1}; PORT=${2}; HOST_2_RESOLV=${3}; [ ${#} -ne 3 ] exit 255 PIDFILE=/var/run/pinger.${MEMBER}.eav.${PORT}.pid if [ -f ${PIDFILE} ] then kill -9 `cat ${PIDFILE}` /dev/null 21 fi echo $$ ${PIDFILE} MEMBER=`echo $1 | sed s/::ffff://` 2/dev/null log_info() { echo ${*} | logger -p # # stock syslog-ng destinations - # - /var/log/ltm # - /var/log/ltm # -