F5 BIG-IP LTM 详解(工作原理 配置手册)

F5BIG-IPLTM详解北京先进数通信息技术一月24整理课件LTM根底架构VSType详解Profile详解CMP工作原理OneConnect工作原理NAT、SNAT工作原理Monitor工作原理HA工作原理LTM工作原理整理课件LTM根底架构什么是TMMTrafficManagementModuleTMOS的核心进程，有自己独立的内存、CPU资源分配和I/O控制所有的生产流量都通过TMM接收一个CPUCore只能有一个TMM进程在V9版本上，15/34/64/68都是单TMM运行在V9版本上，16/36/69/89/84/88都是多TMM运行在V10版本上，16/36/69/89/84/88都是多TMM运行Viprion只支持9.6和10.0版本，默认都是多TMM运行整理课件TMM处理的范围TMM内部处理功能所有的VS入口流量LTMiRiules处理Profile处理会话保持处理负载均衡算法SSL加速〔和硬件结合〕HTTP压缩SNAT静态CRL〔Certificaterevocationlist证书撤消清单〕文件校验不在TMM里面处理的功能WebAcceleratorModule〔包括压缩〕ApplicationSecurityModuleGTM的分配算法处理〔包括GTMrules〕Named域名解析健康检查日志管理系统数据统计SNMP数据输出HA健康检查整理课件BIGIP内部结构-V9平台15/34/64/68TM/OS管理CPU万兆/千兆交换端口PVA〔PacketVelocityASIC〕四层交换专用ASICHostOSWeb界面管理健康检查SNMP……..BridgeTMM0独立的管理机SCCPSSL加解密HTTP压缩AdminConsole整理课件BIGIP内部结构-Mecury平台16/36/69/896TM/OS管理CPU万兆/千兆交换端口HiSpeedBridgeTMM2HostOSWeb界面管理健康检查SNMP……..TMM3TMM1TMM0独立的管理机AOMCluster

Muti

Processor多CPU并行处理SSL加解密HTTP压缩ConsoleAdmin整理课件Host和TMM的内存分配Host在启动的时候限定了内存分配的大小，在没有其他module的情况下是384MBTMM进程启动后，将自动获取余下的所有

物理内存HostMemoryTMMMemory整理课件查看Host内存占用情况#physmem/查看物理内存大小

8387584bmemoryshow/查看内存分配情况MEMORYSTATISTICS--|(Host)Total=3.835GBUsed=3.590GB|(TMM)Total=5.976GBUsed=93.22MB整理课件查看TMM内存占用情况TMM分配的内存是准确的，Host内存显示在这里有一些偏差整理课件VS

Type详解PerformanceL4StandardVSFastHTTPForwardingVS整理课件PerformanceL4TMM只是负责客户端连接的分配和转发，不改变TCP连接中的任何参数客户端和效劳器自行协商TCP传输参数在34/64/68平台上PerformanceL4可以有PVA参加实现硬件加速在15/16/36/69/89/Viprion平台上都通过TMM核心进行处理PerformanceL4VS上只有4层的iRules可以使用默认状态下，新建连接的第一个包必须是Syn包，如果是其他的数据包比方ACK、RST等如果不在连接表中，那么全部丢弃。在FastL4profile翻开Looseclose和LooseInitial的时候对非Syn包也可以建立连接表TMM客户端客户端客户端效劳器端效劳器端效劳器端整理课件Performance

L4攻击防护-SynCookie正常情况下客户端连接和效劳器端连接是1:1的关系TMM在第一次收到客户端Syn包时，并不建立连接表TMM的SynAck回应通过算法回应给客户端Syn，并期待客户端回应的值TMM对客户端ACK进行计算，确认是真实客户端，再和后台效劳器建立连接在84/88上可以实现硬件的SynCookie计算，其余的平台都是通过软件实现SynCookie计算SynCookie工作模式下，只有成功建立连接的TCP请求才转发到后台TMMSynSyn,Ack(syncookie)Ack(Cookie)SynSyn-AckAckData整理课件StandardVS正常情况下客户端连接和效劳器端连接是1:1的关系默认工作在全代理模式，客户端和效劳器端的TCP连接完全独立客户端和效劳器端的TCP参数都是由TMM和双方分别协商默认情况下以客户端源IP和后台建立连接，在翻开SNAT的情况下用SNAT地址和后台建立连接StandardVS的端口永远对外开放，无论后台是否有效劳器在工作TMMSynSyn,AckAckSynSyn-AckAckDataData整理课件Standard模式下的攻击防护StandardVS模式具有天然的防攻击功能在遇到Syn攻击的时候会导致系统的连接表过大通过System-SYNCheckActivationThreshold的设置，在到达设置值的时候系统自动启动SynCookie，防止建立过多连接，这个值对全局生效大局部的网络层攻击都无法通过Standard模式的VS整理课件FastHTTPFastHTTPVS仅用于HTTP协议默认开启OneConnectProfile，对客户端连接进行聚合处理默认开启SNATAutoMap，在效劳器端收到的TCP连接请求都是来自于TMM没有会话保持功能不能处理SSL，HTTPSTMM客户端客户端客户端效劳器端效劳器端效劳器端整理课件FowardingVS〔ForwardingIP〕只能使用FastL4Profile按照连接处理，类似于路由器工作，但不完全一样，在FastL4Profile中开启LooseInitial和LooseClose之后更为接近路由工作模式所有穿过FowardingVS的连接都将产生连接表没有PoolMember，转发完全取决于本地路由可以使用基于4层的RulesTMM客户端查询本地路由表转发客户端请求整理课件VS和ProfileVS作为所有流量的入口Profile依赖于VS，对进入VS的流量进行格式化处理不同的VS可以用同一个Profile或者不同的ProfileProfile之间存在有相互排斥和相互依存的关系VSTCPProfileUDPProfileFastL4ProfileHTTPRTSPClientSSLServerSSLStreamingSMTPSIPOneConnect整理课件Rules的处理必须依赖于VS对流量的接收通过事件触发机制，Rules可以控制流量在VS内部处理的整个过程SSLCompressionClientSideServerSideTCPExpressServerTCPExpressCachingMicrokernelVirtualServeriRulesClientiControlAPITCPProxyOneConnectXMLRateShapingTrafficShieldWebAccel3rdPartyVS和Rules整理课件ServeriRulesClientSideServerSideTCPProxyClientSideEventClient_acceptClient_dataCache_requestDNS_requestHTTP_REQUESTHTTP_REQUEST_DATARTSP_REQUEST....ServerSideEventServer_connectServer_dataCache_responseDNS_responseHTTP_RESPONSEHTTP_RESPONSE_DATARTSP_RESPONSE....整理课件大局部rules只在同一个VS之内有效Rules内创立的变量以连接为生命周期一个VS上可以有多个Rules，它们将被顺序执行CLIENT_ACCPTEDCLIENT_DATALB_SELECTEDLB_FAILEDSERVER_ACCPTEDSERVER_DATACLIENT_CLOSEDSERVER_CLOSEDRULE_INITVS整理课件Profile的作用和工作范围Profile依赖于VSProfile是对VS的流量进行格式化处理举例如果一个VS上配置了TCPProfile，那么该VS对所有的UDP流量都不会接收Profile详解整理课件根本流量处理类型ProfileTCP,UDP,FastHTTP,FastL4,SCTP〔StreamControlTransmissionProtocol〕效劳流量处理类型ProfileHTTP,FTP,SMTP,RTSP〔RealTimeStreamingProtocol〕,SIP〔SessionInitiationProtocol〕,iSessionSSL处理类型ClientSSL，ServerSSL会话保持类型Cookie,DestinationIP,hash,msrdp,sourceIP,Universal,SSL认证处理类型Radius,CRLDP〔Constraint-BasedLabelDistributionProtocol〕,OCSP〔OnlineCertificateStatusProtocol〕其他处理类型OneConnect,Statistics,NTLM〔NTLANManager〕,Stream整理课件重要的Profile-FastL4ResetonTimeout:在连接到达Timeout的是否向两端发送Reset包IdelTimeout：多长时间连接里面没有数据流量的时候就删除连接表LooseInitiation/LooseClose:是否接收非Syn包建立连接SoftareSynCookieProtection:是否在VS上启用SynCookie，实现Syn攻击防护可能调整的参数整理课件重要的Profile-TCP注意在ClientSide和ServerSide可以使用不同的TCPProfile通常情况下建议：Clientside：TCPWANOptimized或LANOptimizedServerside:TCPLANOptimized除非你非常了解TCP的工作原理，否那么不要调整除idelTimeout以外的任何参数整理课件重要的Profile-ClientSSL对所有进入VS的流量按照SSL协议进行处理注意ClientSSLprofile不一定只能使用在HTTPS上使用ClientSSL的VS不一定使用443端口TMM客户端客户端客户端效劳器端效劳器端效劳器端SSLSSLSSL整理课件重要的Profile-FTPFTPProfile主要用于处理FTP的主动和被动传输两种模式由于需要配置动态侦听端口，因此FTP协议必须进行单独处理通过iRules也可以到达同样的目的，但由于FTP协议使用非常广泛，因此使用FTPprofile来简化配置和处理FTPProfile必须依赖于TCPprofile工作整理课件为什么要用CMP〔ClusterMulti-Processor〕性能增长要求CPU的主频增加受到比较大的限制，目前的趋势是以多核扩展为主ASIC(ApplicationSpecificIntergratedCircuits)、NP(NetworkProcessor)的处理架构并不适合于复杂、灵活的流量处理对于不标准的流量，采用硬件加速将导致系统设计僵化，很难参加新的功能实现市场需求需要充分利用CPU的多核处理能力来提升系统的整体性能CMP工作原理整理课件CMP的硬件支持整理课件CMP工作模式流量由HSB进行分配在多个TMM上，每个TMM占据一个CPUCore，每个TMM有自己独立的内存空间每个TMM都具有相同的配置，包括VS/Profile/iRules/Pool/Persistence等TMM之间通过内存高速总线进行通讯共享通用信息如会话保持表，SNAT源端口等当CMP被Disable的时候，TMM0接管所有的流量64/68的硬件平台已经支持CMP，在10.0上自动开启VIPTMM0VIPTMM1VIPTMM2VIPTMM3HSBHSBSuperVIP整理课件如何查看CMP工作状态btmmshow可以观察每个TMM的状态整理课件关于CMP必须了解的内容V9平台启动WA(web应用加速器)和ASM〔应用平安管理器〕将DisableCMPiRules中定义全局变量将DisableCMP所有的非TCP/UDP流量都只使用TMM0进行处理V9中使用Sessionadd,SessionLookup命令将DisableCMPConnectionLimit和RateShaping的配置是针对每个TMM生效手工关闭CMP运行bdbProvision.tmmCount1调整后必须重启任何一个TMMCrash，将导致设备间FailoverTCPdump已经调整为可支持CMP整理课件查看VirtualServer的CMP工作状态整理课件如何查看TMMCPU占用率top命令可以显示每颗CPU的占用率和V9相比，TMM的CPU在Top命令中的显示发生了变化每颗CPU的CPU占用率目前在图形界面里都消失了，目前只有

整体的CPU占用率整理课件OneConnect工作原理连接聚合和内容交换index.htma.gifb.gifc.aspsales.htmd.gife.giff.aspsales.htmd.gife.gifindex.htma.gifb.gifc.aspServerf.aspindex.htma.gifb.gifc.aspsales.htmd.gife.giff.aspsales.htmd.gife.gifindex.htma.gifb.gifc.aspServerf.aspindex.htma.gifb.gifc.aspindex.htma.gifb.gifc.aspHTMLserverpoolGIFserverpoolASPserverpool连接聚合内容交换整理课件注：eligiblereuse符合条件的再利用整理课件OneConnect的典型工作场景实现连接聚合降低效劳器的连接总数需要对每一个请求都进行单独处理〔注意在多数情况下，LTM只对一个连接的第一个包进行处理〕典型的，翻开Cookie会话保持有时候会出现保持不正确的情况，这时就需要翻开OneConnect通过设置Mask=55，可以使后台服务器可以“看到〞客户端源IP，但这个时候One-connect只对一个客户端的连接起作用整理课件OneConnect和应用协议注意！OneConnectProfile不是必须和HTTPProfile

共用，也可以用于其他应用协议。用于其他应用协议的时候必须使用iRules编程

来调用OneConnect在需要对长连接进行拆分处理的时候，也需要用OneConnectProfile整理课件NAT的工作模式0NATAddress:0NAT和SNATSNAT全称：SecureNetworkAddressTranslation整理课件SNAT的工作模式0SNATAddress:0整理课件NAT和SNAT之间的差异NAT1比1接收所有发往NAT地址的连接所有的连接只是通过LTM的连接表管理，但是是无状态的，连接不会被Timeout连接不能被镜像SNAT多对一或者多对多拒绝所有发往SNAT地址的连接请求.连接通过LTM的连接表管理，有timeout设置连接可以被镜像整理课件SNATAutoMap当配置SNATAutoMap的时候，请求从那个VLAN发出去，那么SNAT的源地址为VLAN上的SelfIP当一个VLAN上有多个SelfIP存在的时候，SNAT的源地址是在多个SelfIP之间轮询整理课件SNATPool的工作模式SNATPool是提供了一个可用于SNAT源地址的列表BIGIP采用最小连接数的方式在SNAT的源地址之间进行选择整理课件通过iRules控制SNATwhenCLIENT_ACCEPTED{setsnat_addr}whenHTTP_REQUEST{setsnat_addr[HTTP::headerX-Forwarded-For]log"X-Fowarded-Foris[HTTP::headerX-Forwarded-For]"}whenLB_SELECTED{

snat$snat_addr}HTTPSSSLOffload替换源地址Server端需要在TCP连接里面获取客户端源地址整理课件SNAT的源地址会话保持whenRULE_INIT{#loglocal5.warning"--------$cnc_snatpool"setsnat_length[llength$cnc_snatpool]loglocal5.warning"--------snatpoollengthis$snat_length"}whenLB_SELECTED{#setclient_addr"3"setclient_ip[IP::client_addr]setclient_last[getfield$client_ip"."4]#loglocal5.warning"--------clientlastis$client_last"setsnat_addr[lindex$cnc_snatpool[expr$client_last%$snat_length]]#loglocal5.warning"------------clientsnataddr$snat_addr"snat$snat_addr}整理课件Timeout定义和镜像SNAT可以在两台设备之间镜像SNAT对于TCPidleTimeout和UDPidleTimeout可以有独立的设置整理课件Monitor如何向外发送请求所有的Monitor请求都是由bigd进程发起Monitor流量要穿过TMM发送到Server或者其他位置在bconn中可以看到Monitor的流量TMMbigdMonitor工作原理整理课件重要的Monitor-TCPSendString:发送的请求字符串，支持C语言

的转义符ReceiveString:在返回的内容中查询的字符串Transparent:数据包内的三层发送目的地是AliasAddress，二层的发送目的地是NodeAddress的MAC地址整理课件重要的Monitor-ExternalMonitorMEMBER="${1}";PORT="${2}";HOST_2_RESOLV="${3}";[${#}-ne3]&&exit255PIDFILE="/var/run/pinger.${MEMBER}.eav.${PORT}.pid"if[-f"${PIDFILE}"]then

kill-9`cat"${PIDFILE}"`>/dev/null2>&1fiecho"$$">"${PIDFILE}"MEMBER=`echo$1|sed's/::ffff://'`2>/dev/nulllog_info(){

echo${*}|logger-p##stocksyslog-ngdestinations-#

-/var/log/ltm#

-/var/log/ltm#

-/var/log/messages#

-/var/log/messages

#thisisfordebugonly!donotcalllog_infobelowunless

#youwanttoseeyoursyntaxandtheshellevaluationof

#variables(variableexansion)}整理课件HA工作模式-Active/Active每个VS对外提供不同的效劳效劳器必须分组，分别指不同的网关在使用SNAT的情况下不需要效劳器指不同的网关〔建议模式〕VS1VS2HA工作原理整理课件串口心跳线的工作模式没有数据在串口心跳线之间传输两台设备是通过监控Failover线上的电压来决定是否切换，备机一旦检测到主机电压为0那么进行接管动作切换时间在200-300毫秒之间SOD(SwitchOverDeamon)进程负责监控Failover线上的电压整理课件网络心跳线的工作模式两台设备之间通过网络互相发送心跳信号NetworkFailover可以设置2条路径NetworkFailover和串口心跳线Failover可以同时使用在10.0里的NetworkFailover有巨大的变化整理课件静态负载均衡算法轮询，比率，优先权动态负载均衡算法最少连接数,最快响应速度，观察方法，预测法，动态性能分配，动态效劳器补充，效劳质量，效劳类型，规那么模式F5负载均衡算法整理课件◆轮询〔RoundRobin〕：顺序循环将请求一次顺序循环地连接每个效劳器。当其中某个效劳器发生第二到第7层的故障，BIG-IP就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。整理课件◆比率〔Ratio〕：给每个效劳器分配一个加权值为比例，根椐这个比例，把用户的请求分配到每个效劳器。当其中某个效劳器发生第二到第7层的故障，BIG-IP就把其从效劳器队列中拿出，不参加下一次的用户请求的分配,直到其恢复正常。整理课件◆优先权〔Priority〕：给所有效劳器分组,给每个组定义优先权，BIG-IP用户的请求，分配给优先级最高的效劳器组〔在同一组内，采用轮询或比率算法，分配用户的请求〕；当最高优先级中所有效劳器出现故障，BIG-IP才将请求送给次优先级的效劳器组。这种方式，实际为用户提供一种热备份的方式。整理课件◆最少的连接方式〔LeastConnection〕：传递新的连接给那些进行最少连接处理的效劳器。当其中某个效劳器发生第二到第7层的故障，BIG-IP就把其从效劳器队列中拿出，不参加下一次的用户请求的分配,直到其恢复正常。整理课件◆最快模式〔Fastest〕：传递连接给那些响应最快的效劳器。当其中某个服务器发生第二到第7层的故障，BIG-IP就把其从效劳器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。整理课件◆观察模式〔Observed〕：连接数目和响应时间以这两项的最正确平衡为依据为新的请求选择效劳器。当其中某个效劳器发生第二到第7层的故障，BIG-IP就把其从效劳器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。整理课件◆预测模式〔Predictive〕：BIG-IP利用收集到的效劳器当前的性能指标，进行预测分析，选择一台效劳器在下一个时间片内，其性能将到达最正确的效劳器响应用户的请求。(被BIG-IP进行检测)整理课件◆动态性能分配(DynamicRatio-APM):BIG-IP收集到的应用程序和应用效劳器的各项性能参数，动态调整流量分配。◆动态效劳器补充(DynamicServerAct.):当主效劳器群中因故障导致数量减少时，动态地将备份效劳器补充至主效劳器群。◆效劳质量(QoS〕:按不同的优先级对数据流进行分配。◆效劳类型(ToS):按不同的效劳类型〔在TypeofField中标识〕对数据流进行分配。◆规那么模式：针对不同的数据流设置导向规那么，用户可自行。常用到的一般是最少连接数、最快反响、或者轮询，决定选用那种算法，主要还是要结合实际的需求整理课件F5会话保持F5BigIP支持多种的会话保持方法，其中包括：简单会话保持〔源地址会话保持〕、HTTPHeader的会话保持，基于SSLSessionID的会话保持，I-Rules会话保持以及基于HTTPCookie的会话保持，此外还有基于SIPID以及Cache设备的会话保持等，但常用的是简单会话保持，HTTPHeader的会话保持以及HTTPCookie会话保持以及基于I-Rules的会话保持。整理课件简单会话保持简单会话保持又称为基于源地址的会话保持，是指负载均衡器在作负载均衡时是根据访问请求的源地址作为判断关连会话的依据。对来自同一IP地址的所有访问请求都会被保持到一台效劳器上去。简单会话保持一个很重要的参数就是连接超时值，BIGIP会为每一个进行会话保持的会话设定一个时间值，两次会话之前的间隔如果小于这个超时值，BIGIP将会将新的连接进行会话保持，但如果这个间隔大于该超时值，BIGIP会将新来的连接认为是新的会话然后进行负载平衡。基于原地址的会话保持实现简单，效率较高。但是多个用户通过代理或地址转换的方式来访问效劳器时，会导致效劳器之间的负载严重失衡。另外当客户机数量很少，但每个客户机都产生多个并发访问，这时用这种方法也会导致负载均衡失效。整理课件基于Cookie的会话保持整理课件Cookie插入模式在Cookie插入模式下，BigIP将负责插入cookie，后端效劳器无需作出任何修改。当客户进行第一次请求时，客户HTTP请求〔不带cookie〕进入BIGIP，BIGIP根据负载平衡算法策略选择后端一台效劳器，并将请求发送至该效劳器，后端效劳器进行HTTP回复〔不带cookie〕被发回BIGIP，然后BIGIP插入cookie，将HTTP回复返回到客户端。当客户请求再次发生时，客户HTTP请求〔带有上次BIGIP插入的cookie〕进入BIGIP，然后BIGIP读出cookie里的会话保持数值，将HTTP请求〔带有与上面同样的cookie〕发到指定的效劳器，然后后端效劳器进行请求回复，由于效劳器并不写入cookie，HTTP回复将不带有cookie，恢复流量再次经过进入BIGIP时，BIGIP再次写入更新后的会话保持cookie。整理课件整理课件Cookie重写模式

当客户进行第一次请求时，客户HTTP请求〔不带cookie〕进入BIGIP，BIGIP根据负载均衡算法策略选择后端一台效劳器，并将请求发送至该效劳器，后端效劳器进行HTTP回复一个空白的cookie并发回BIGIP，然后BIGIP重新在cookie里写入会话保持数值，将HTTP回复返回到客户端。当客户请求再次发生时，客户HTTP请求〔带有上次BIGIP重写的cookie〕进入BIGIP，然后BIGIP读出cookie里的会话保持数值，将HTTP请求〔带有与上面同样的cookie〕发到指定的效劳器，然后后端效劳器进行请求回复，HTTP回复里又将带有空的cookie，恢复流量再次经过进入BIGIP时，BIGIP再次写入更新后会话保持数值到该cookie。整理课件整理课件PassiveCookie模式

效劳器使用特定信息来设置cookie。当客户进行第一次请求时，客户HTTP请求〔不带cookie〕进入BIGIP，BIGIP根据负载平衡算法策略选择后端一台效劳器，并将请求发送至该效劳器，后端效劳器进行HTTP回复一个cookie并发回BIGIP，然后BIGIP将带有效劳器写的cookie值的HTTP回复返回到客户端。当客户请求再次发生时，客户HTTP请求〔带有上次效劳器写的cookie〕进入BIGIP，然后BIGIP根据cookie里的会话保持数值，将HTTP请求〔带有与上面同样的cookie〕发到指定的效劳器，然后后端效劳器进行请求回复，HTTP回复里又将带有更新的会话保持cookie，恢复流量再次经过进入BIGIP时，BIGIP将带有该cookie的请求回复给客户端。整理课件整理课件CookieHash模式

当客户进行第一次请求时，客户HTTP请求〔不带cookie〕进入BIGIP，BIGIP根据负载均衡算法策略选择后端一台效劳器，并将请求发送至该效劳器，后端效劳器进行HTTP回复一个cookie并发回BIGIP，然后BIGIP将带有效劳器写的cookie值的HTTP回复返回到客户端。当客户请求再次发生时，客户HTTP请求〔带有上次效劳器写的cookie〕进入BIGIP，然后BIGIP根据cookie里的一定的某个字节的字节数来决定后台效劳器接受请求，将HTTP请求〔带有与上面同样的cookie〕发到指定的效劳器，然后后端效劳器进行请求回复，HTTP回复里又将带有更新后的cookie，恢复流量再次经过进入BIGIP时，BIGIP将带有该cookie的请求回复给客户端。整理课件整理课件SSLSessionID会话保持在用户的SSL访问系统的环境里，当SSL对话首次建立时，用户与效劳器进行首次信息交换以：1}交换平安证书，2〕商议加密和压缩方法，3〕为每条对话建立SessionID。由于该SessionID在系统中是一个唯一数值，由此，BIGIP可以应用该数值来进行会话保持。当用户想与该效劳器再次建立连接时，BIGIP可以通过会话中的SSLSessionID识别该用户并进行会话保持。基于SSLSessionID的会话保持就需要客户浏览器在进行会话的过程中始终保持其SSLSessionID不变，但实际上，微软InternetExplorer被发现在经过特定一段时间后将主动改变SSLSessionID，这就使基于SSLSessionID的会话保持实际应用范围大大缩小。整理课件基于HTTHeader的会话保持

BIGIP可以根据用户HTTP访问里包头信息信息进行会话保持，HTTP包头里包含以下信息，BIGIP可以将用户访问里这些信息通过表达式来获得相应的数值从而进行会话保持。

Accept：浏览器可接受的MIME类型。

Accept-Charset：浏览器可接受的字符集。

Accept-Encoding：浏览器能够进行解码的数据编码方式，比方gzip。Servlet能够向支持gzip的浏览器返回经gzip编码的HTML页面。许多情形下这可以减少5到10倍的下载时间。

Accept-Language：浏览器所希望的语言种类，当效劳器能够提供一种以上的语言版本时要用到。

Authorization：授权信息，通常出现在对效劳器发送的WWW-Authenticate头的应答中。

Connection：表示是否需要持久连接。如果Servlet看到这里的值为“Keep-Alive〞，或者看到请求使用的是HTTP1.1〔HTTP1.1默认进行持久连接〕，它就可以利用持久连接的优点，当页面包含多个元素时〔例如Applet，图片〕，显著地减少下载所需要的时间。要实现这一点，Servlet需要在应答中发送一个Content-Length头，最简单的实现方法是：先把内容写入ByteArrayOutputStream，然后在正式写出内容之前计算它的大小。整理课件

Content-Length：表示请求消息正文的长度。

Cookie：这是最重要的请求头信息之一，参见后面?Cookie处理?一章中的讨论。

From：请求发送者的email地址，由一些特殊的Web客户程序使用，浏览器不会用到它。

Host：初始URL中的主机和端口。

If-Modified-Since：只有当所请求的内容在指定的日期之后又经过修改才返回它，否那么返回304“NotModified〞应答。

Pragma：指定“no-cache〞值表示效劳器必须返回一个刷新后的文档，即使它是代理效劳器而且已经有了页面的本地拷贝。

Referer：包含一个URL，用户从该URL代表的页面出发访问当前请求的页面。

User-Agent：浏览器类型，如果Servlet返回的内容与浏览器类型有关那么该值非常有用。整理课件基于I-Rules的会话保持BIGIP交换机内置有强大的搜索引擎，可以高效的探测到网络流量中的IP包内容的局部，并可以读出该IP包内容部分进行会话保持这些内容局部包括如下局部:整理课件下面是一个BIGIP根据IRULES进行会话保持的范例：

if(_uriends_with“.gif〞){

usepoolimage_servers

}

elseif(_uristarts_with“/foo〞){

usepoolfoo_servers

}

elseif(_cookie(“XYZ-Type〞)==“direct〞){

usepoolcookie_servers

}

elseif(findstr(_uri,“?type=〞,6,“&〞)==“cgi〞){

usepoolcgi_servers

}

else{

usepoolweb_servers

}

在此I-Rules里，可以看到，如果用户的uri局部以.gif字段结尾，也就是说如果用户访问的是图片效劳器，那么将用户的访问会话保持在图片效劳器上；而如果用户的uri局部以/foo开始，那么将会话保持到相应的效劳器上。同样，根据用户访问中的cookie字段以及uri里面的某个特定字段里是否与规定的类型相符，从而进行相应的会话保持。整理课件LTM组网架构单臂接入模式双臂接入模式远程节点模式参加独立SSL/WA/ASM设备防火墙负载均衡多链路接入灾备站点静态路由注入整理课件LTM单臂接入模式单臂模式下的网络物理结构效劳器效劳器LTMLTM外部外部网络

核心三层交换

Vlan

1串口心跳线整理课件核心三层交换效劳器效劳器LTM01GW:54

GW:54VS:

:80SelfIP:

53GW:545454①②③④⑤SIPSportDIPDport①②

③

678753

8888

18080④18053

8888⑤⑥806787⑥单臂接入-源地址替换模式数据访问流程

Client整理课件源地址替换后的处理效劳器效劳器LTM01GW:54

GW:54VS:

：80SelfIP:

53GW:545454

核心三层交换①②③④⑤⑥HTTP

ProfilewhenHTTP_REQUEST{

HTTP::headerinsert"Client_IP=[IP::client_addr]"}Client

iRules只有HTTP协议的时候，可以通过将源地址插入到客户端请求的HTTPHeader里，然后在效劳器上通过读取这个Header，获得客户端的真实源IP地址整理课件单臂接入-npath模式数据访问流程Client 效劳器0Lo: 效劳器1Lo:GW:54

GW:54

LTMVS:

:80SelfIP:

53GW:54①②③

54

核心三层交换54

④⑤SIPSportDIPDport①②

6787

③

6787

8080④⑤

80

6787npath模式的关键在于效劳器上配置的loopback地址在adntech上能找到各种效劳器的loopback地址如何配置的文档整理课件单臂接入-效劳器非直连模式〔无源地址替换〕核心三层交换LTM

Client 效劳器0GW:54

GW:54VS:

:80SelfIP:

53GW:545454①②③④⑤⑦⑧ ⑥ 效劳器1SIPSportDIPDport①②③④⑤⑥⑦⑧

1

67876787

80

80

1

80

806787678754整理课件客户端效劳器LTM0GW:541GW:54VS:

：80IP:

53GW:54同网段访问处理-必须通过SNAT实现

54

核心三层交换SIPSportDIPDport①0678780②53

8888180③18053

8888④806787①②③④整理课件效劳器效劳器LTM单臂接入-效劳器更改网关数据访问流程

Client01GW:53

GW:53VS:

:80SelfIP:

53GW:545454

核心三层交换①②③④⑤①②

SIPSport

6787

DIPDport

80

③

④⑤⑥

1

6787

80

801

8067876787⑥整理课件Client效劳器更改网关后的直接访问效劳器问题

效劳器0GW:53

GW:53

LTMVS:

：80IP:

53GW:54

①SYN54

核心三层交换54

②SYN 效劳器③SYN-ACK1①②

③

SIP

1Sport

6787

80

DIP1

Dport

80

6787FastL4

Profile整理课件双臂接入模式双臂接入-效劳器直连

Client 效劳器0 效劳器1VS:

EXTIP:

53/VLAN

EXTINTIP:54/VLAN

INTGW:545454

核心三层交换SIPSportDIPDport①②③④

1

67876787

80

80

1

80

8067876787①②LTM

③④整理课件双臂接入-串联部署-扩展端口Client 效劳器0VS:

EXTIP:

53/VLAN

EXTINTIP:54/VLAN

INTGW:5454

核心三层交换54① ② 效劳器1③④ LTM效劳器接入交换SIPSportDIPDport①②③④

1

67876787

80

80

1

80

8067876787整理课件双臂接入-串联部署-扩展端口Client 效劳器0GW:54

GW:54VS:

EXTIP:

53/VLAN

EXTINTIP:54/VLAN

INTGW:5454

核心三层交换54① ② 效劳器1③④ LTM效劳器接入交换SIPSportDIPDport①②③④

1

67876787

80

80

1

80

8067876787整理课件双臂接入-旁挂模式核心三层交换效劳器效劳器LTMClient

0

1GW:54

GW:54VS:

:80EXTIP:

53/VLAN

EXTINTIP:54/VLAN

INTGW:545454①②③④SIPSportDIPDport①678780②③④

1

6787

80

801

8067876787External_vlanInternal_vlan旁挂模式下LTM可以用不同的端口接入核心交换，也可以采用端口捆绑模式接入核心交换，然后在端口捆绑里通过VLAN

tag方式来划分多个VLAN

整理课件旁挂模式下的效劳器直接访问核心三层交换LTMClient 效劳器0 效劳器1VS:

EXTIP:

53/VLAN

EXTINTIP:54/VLAN

INTGW: