F5LTM工作原理精梳版.ppt

Profile的作用和工作范围 基本流量处理类型Profile TCP, UDP, FastHTTP, Fast L4, SCTP 服务流量处理类型Profile HTTP, FTP, SMTP, RTSP, SIP, iSession SSL处理类型 Client SSL，Server SSL 会话保持类型 Cookie, Destination IP, hash, msrdp, source IP, Universal, SSL 认证处理类型 Radius, CRLDP, OCSP 其他处理类型 One Connect, Statistics, NTLM, Stream * 重要的Profile-FastL4 Reset on Timeout: 在连接达到Time out的是否向两端发送Reset包 Idel Timeout：多长时间连接里面没有数据流量的时候就删除连接表 Loose Initiation/Loose Close: 是否接收非Syn包建立连接 Softare Syn Cookie Protection:是否在VS上启用Syn Cookie，实现Syn攻击防护 * 可能调整的参数 重要的Profile-TCP 注意在Client Side和Server Side可以使用不同的TCP Profile 通常情况下建议： Client side：TCP WAN Optimized或LAN Optimized Server side: TCP LAN Optimized 除非你非常了解TCP的工作原理，否则不要调整除idel Timeout以外的任何参数 * 重要的Profile-Client SSL 对所有进入VS的流量按照SSL协议进行处理 注意Client SSL profile不一定只能使用在HTTPS上 使用Client SSL的VS不一定使用443端口 * TMM 客户端 客户端 客户端 服务器端 服务器端 服务器端 SSL SSL SSL 重要的Profile-FTP FTP的连接模式有两种，PORT（主动模式）和PASV（被动模式）， 主动模式的连接过程是：客户端动态的选择一个端口（这个端口号一定是1024以上的，因为1024以前的端口都已经预先被定义好）向服务器端的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一个命令连接。当需要传送数据时或者列出服务器的文件列表时（通常使用ls或dir命令），客户端通过命令连接告诉服务器（使用PORT命令）：“我已经打开了XX端口，请你过来连接”。于是服务器使用20端口向客户端的XX端口发送连接请求，建立一条数据连接来传送数据。 被动模式：客户端首先使用与主动连接模式相同的方法与服务器建立命令连接。当需要传送数据时，客户端通过命令连接告诉服务器（使用PASV命令）“我要连接你的XX端口，请问是否空闲”，如果恰好该端口空闲，服务器会告诉客户端：“你请求的端口空闲，可以建立连接（ACK确认信息）”，否则服务器会说“该端口已经占用，请换个端口（UNACK信息）”。如果客户端得到的是空闲的提示，就会利用该端口建立连接，否则就换个端口重新尝试，这也就是所谓的连接建立的协商过程. PORT模式建立数据传输通道是由服务器端发起的，服务器使用20端口连接客户端的某一个大于1024的端口；在PASV模式中，数据传输的通道的建立是由FTP客户端发起的，他使用一个大于1024的端口连接服务器的1024以上的某一个端口。如果从C/S模型这个角度来说，PORT对于服务器来说是OUTBOUND，而PASV模式对于服务器是INBOUND. * FTP Profile主要用于处理FTP的主动和被动传输两种模式 由于需要配置动态侦听端口，因此FTP协议必须进行单独处理 通过iRules也可以达到同样的目的，但由于FTP协议使用非常广泛，因此使用FTP profile来简化配置和处理 FTP Profile必须依赖于TCP profile工作 CMP工作原理 * 为什么要用CMP 性能增长要求 CPU的主频增加受到比较大的限制，目前的趋势是以多核扩展为主 ASIC、NP的处理架构并不适合于复杂、灵活的流量处理 对于不规范的流量，采用硬件加速将导致系统设计僵化，很难加入新的功能实现市场需求 需要充分利用CPU的多核处理能力来提升系统的整体性能 * CMP的硬件支持 * CMP工作模式 流量由HSB进行分配在多个TMM上，每个TMM占据一个CPU Core，每个TMM有自己独立的内存空间 每个TMM都具有相同的配置，包括VS/Profile/iRules/Pool/Persistence等 TMM之间通过内存高速总线进行通讯共享通用信息如会话保持表，SNAT源端口等 当CMP被