FLTM原理实验的学习材料.pptxVIP

FLTM原理实验的学习材料第1页/共49页第2页/共49页AgendaLTM基础VS Type详解（参考：SOL8082:?Overview of TCP connection set-up for BIG-IP LTM virtual server types）第3页/共49页实验拓扑（旁挂模式）Vmnet1:/24Vmnet2:/24 Vmnet0:bridgeMGMTExternal（1.2）/24虚拟F5虚拟SWInternal （1.1）/24Win7 VM60/24GW:Win7 VM40/24GW:Win7 VM50/24GW:第4页/共49页双臂接入-旁挂模式　SIPSportDIPDport①678780②6787180③1806787④806787Client①④VS: :80EXTIP: 53/VLAN EXTGW:54INTIP:54/VLAN INTExternal_vlan核心三层交换LTMInternal_vlan③②旁挂模式下LTM可以用不同的端口接入核心交换，也可以采用端口捆绑模式接入核心交换，然后在端口捆绑里通过VLAN tag方式来划分多个VLAN服务器服务器0GW:541GW:54第5页/共49页VS Type详解Standard VSPerformance L4Performance HTTPFowarding VSReject VS第6页/共49页Standard VSSynTMMSyn,AckAckSynSyn-AckAckDataData正常情况下客户端连接和服务器端连接是1:1的关系默认工作在全代理模式，客户端和服务器端的TCP连接完全独立客户端和服务器端的TCP参数都是由TMM和双方分别协商默认情况下以客户端源IP和后台建立连接，在打开SNAT的情况下用SNAT地址和后台建立连接Standard VS的端口永远对外开放，无论后台是否有服务器在工作第7页/共49页示意图第8页/共49页Standard virtual server with TCP profile第9页/共49页Standard virtual server with Layer 7 functionality第10页/共49页F5配置第11页/共49页TCP连接的变化---看时间与SEQ的变化1、VM2 上的抓包（客户端与F5的通信）2、VM1 上的抓包（F5与服务器的通信）结论：1、只有等客户端发起GET后，F5与后台服务器建立TCP连接； 2、SEQ值发生改变，说明F5分别与客户端和服务器建立连接关系； 3、启用snat-pool后源IP及端口都发生变化第12页/共49页F5设备上的TCP变化第13页/共49页Standard 模式下的攻击防护Standard VS模式具有天然的防攻击功能在遇到Syn攻击的时候会导致系统的连接表过大通过System-SYN Check Activation Threshold的设置，在达到设置值的时候系统自动启动Syn Cookie，避免建立过多连接，这个值对全局生效大部分的网络层攻击都无法通过Standard模式的VS第14页/共49页Performance L4TMM客户端服务器端服务器端客户端服务器端客户端TMM只是负责客户端连接的分配和转发，不改变TCP连接中的任何参数客户端和服务器自行协商TCP传输参数在34/64/68平台上Performance L4可以有PVA加入实现硬件加速在15/16/36/69/89/Viprion平台上都通过TMM核心进行处理Performance L4 VS上只有4层的iRules可以使用默认状态下，新建连接的第一个包必须是Syn包，如果是其他的数据包比如ACK、RST等如果不在连接表中，则全部丢弃。在Fast L4 profile打开Loose close和Loose Initial的时候对非Syn包也可以建立连接表第15页/共49页示意图第16页/共49页TCP的变化过程第17页/共49页F5配置第18页/共49页TCP连接的变化---看时间与SEQ的变化1、VM2 上的抓包（客户端与F5的通信）2、VM1 上的抓包（F5与服务器的通信）结论： SEQ值保持不变，F5只是透传TCP连接，客户端与实际上是和服务器建立连接关系，不管有没有启用snat都一样(对于performance layer4 )第19页/共49页F5设备上的TCP变化第20页/共49页Performance L4 攻击防护-Syn CookieSynTMMSyn,Ack (syncookie)Ack(Cookie)SynSyn-AckAckData正常情况下客户端连接和服务器端连接是1:1的关系TMM在第一次收到客户端Syn包时，并不建立连接表TMM的S