第一章:BIG-IP 系统介绍
基于包转发和全代理架构的区别(packet-based vs full proxy architeture)
一个网络设备如果是基于包转发的,则他是一个会话流(communication stream)的中间设备,而不是端点(endpoint)的设备,比如,路由器改变了二层报文信息,但是他仅仅只转发了这个数据报文,却无法对更高层级的数据进行解析。
全代理模式不同于基于包转发的模式,全代理模式需要了解整个报文协议,这个设备就是一个会话的端点设备也是一个协议的发起者(itself an endpoint and an originator for the protocol),比如F5设备就可以解析出数据包的全链路7层信息。
全代理在四层将一个会话分离开,一边是用户侧(client-side),一边是服务器侧(server-side)。如下图,F5可以将数据包信息进行更改,比如将加密的报文解密之后转发给后端或者修改该协议字段等。
由于BIG-IP 代理是一个协议端点,即充当服务端又充当客户端,这就意味着他有自己的tcp连接行为,比如buffering,retransmitting和tcp options。
默认拒接
F5设备默认情况是不会转发报文的,只有配置了监听器才能将指定的数据报文进行转发。他不像交换机,接入即转发。
BIG-IP系统包含什么
分两个部分,一个是操作管理(operational management),另一个是流量管理(traffic management)。如下图
流量管理包括
- access control(APM)
- application security(ASM)
- network firewall(AFM)
- application acceleration(AAM)
- load balancing(LTM)
- DNS server (DNS)
- carrier-grade NAT(CGNAT)
- encrption and decryption(SSL)
- compression
- caching
- iRules
- iControl
操作管理
管理系统是一个和BIG-IP主系统相对独立的部分,开发在linux系统之上。你可以使用bash,tmsh和图形界面三种方式对F5进行管理。
接入F5
两个接入方式:TMM(traffic management microkernel)switch interface和MGMT(management interface),其中管理口只能转发管理流量,但是TMM交换接口可以转发管理流量和业务流量。
配置BIG-IP系统
- 配置管理界面进行管理访问
- 配置许可证
- 选择所需的 BIG-IP 产品模块(例如 LTM、APM、ASM 等)。
- 安装合适的设备证书
- 配置平台通用属性和用户管理
- 配置VLANS和IP
- 配置NTP服务器
- 配置设备DNS设置
- 配置高可用
存档(备份)
备份文件叫做UCS(user configuration set)备份文件,默认可以保存所有现有配置,包括:
- 系统配置文件(system configuration)
- 产品许可证(license)
- 用户认证信息(account and paasword)
- DNS区域文件(dns zone files)
- 秘钥和证书(ssl key and certificates)
存储位置:/var/local/ucs
图形界面保存路径:system->archive->create
tmsh命令:
save sys ucs {name}.ucs
注:1、如果不想保存证书和秘钥,可以在图形界面中勾选去掉此内容。2、license强绑定硬件。
