1、F5 BIG-IP LTMF5 BIG-IP LTM详解详解北京先进数通信息技术有限公司北京先进数通信息技术有限公司20222022年年1010月月 LTMLTM基础架构基础架构 VS TypeVS Type详解详解 ProfileProfile详解详解 CMP CMP 工作原理工作原理 One ConnectOne Connect工作原理工作原理 NATNAT、SNATSNAT工作原理工作原理 MonitorMonitor工作原理工作原理 HAHA工作原理工作原理LTM工作原理LTM基础架构什么是TMM Traffic Management ModuleTraffic Management
2、Module TMOS的核心进程,有自己独立的内存、CPU资源分配和I/O控制 所有的生产流量都通过TMM接收 一个CPU Core只能有一个TMM进程 在V9版本上,15/34/64/68都是单TMM运行 在V9版本上,16/36/69/89/84/88都是多TMM运行 在V10版本上,16/36/69/89/84/88都是多TMM运行 Viprion只支持9.6和10.0版本,默认都是多TMM运行TMM处理的范围TMM内部处理功能所有的VS入口流量LTM iRiules处理Profile处理会话保持处理负载均衡算法SSL加速(和硬件结合)HTTP 压缩SNAT静态CRL(Certifica
3、te revocation list证书吊销清单)文件校验不在TMM里面处理的功能Web Accelerator Module(包括压缩)Application Security ModuleGTM的分配算法处理(包括GTM rules)Named域名解析健康检查日志管理系统数据统计SNMP数据输出HA健康检查BIGIP 内部结构-V9平台15/34/64/68TM/OS管理CPU万兆/千兆交换端口PVA(Packet Velocity ASIC)四层交换专用ASICHost OSWeb 界面管理健康检查SNMP.BridgeTMM0独立的管理机SCCPSSL加解密HTTP压缩AdminCon
4、soleBIGIP 内部结构-Mecury平台16/36/69/896TM/OS管理CPU万兆/千兆交换端口HiSpeed BridgeTMM2Host OSWeb 界面管理健康检查SNMP.TMM3TMM1TMM0独立的管理机AOMCluster Muti Processor多CPU并行处理SSL加解密HTTP压缩ConsoleAdminHost和TMM的内存分配Host在启动的时候限 定了内存分配的大小 ,在没有其他module 的情况下是384MBTMM进程启动后,将 自动获取余下的所有 物理内存Host MemoryTMM Memory查看Host内存占用情况#physmem#phys
5、mem /查看物理内存大小 8387584b memory show b memory show/查看内存分配情况MEMORY STATISTICS-|(Host)Total=3.835GB Used=3.590GB|(TMM)Total=5.976GB Used=93.22MB查看TMM内存占用情况TMM分配的内存是准确的,Host内存显示在这里有一些偏差VS Type详解 Performance L4 Standard VS Fast HTTP Forwarding VSPerformance L4TMM只是负责客户端连接的分配和转发,不改变TCP连接中的任何参数客户端和服务器自行协商TC
6、P传输参数在34/64/68平台上Performance L4可以有PVA加入实现硬件加速在15/16/36/69/89/Viprion平台上都通过TMM核心进行处理Performance L4 VS上只有4层的iRules可以使用默认状态下,新建连接的第一个包必须是默认状态下,新建连接的第一个包必须是SynSyn包,如果是其他的数据包比包,如果是其他的数据包比如如ACKACK、RSTRST等如果不在连接表中,则全部丢弃。等如果不在连接表中,则全部丢弃。在在Fast L4 profileFast L4 profile打开打开Loose closeLoose close和和Loose Initi
7、alLoose Initial的时候对非的时候对非SynSyn包包也可以建立连接表也可以建立连接表TMM客户端客户端客户端服务器端服务器端服务器端Performance L4 攻击防护-Syn Cookie正常情况下客户端连接和服务器端连接是1:1的关系TMM在第一次收到客户端Syn包时,并不建立连接表TMM的Syn Ack回应通过算法回应给客户端Syn,并期待客户端回应的值TMM对客户端ACK进行计算,确认是真实客户端,再和后台服务器建立连接在84/88上可以实现硬件的Syn Cookie计算,其余的平台都是通过软件实现SynCookie计算Syn Cookie工作模式下,只有成功建立连接的
8、TCP请求才转发到后台TMMSynSyn,Ack(syncookie)Ack(Cookie)SynSyn-AckAckDataStandard VS正常情况下客户端连接和服务器端连接是1:1的关系默认工作在全代理模式,客户端和服务器端的TCP连接完全独立客户端和服务器端的TCP参数都是由TMM和双方分别协商默认情况下以客户端源IP和后台建立连接,在打开SNAT的情况下用SNAT地址和后台建立连接Standard VS的端口永远对外开放,无论后台是否有服务器在工作TMMSynSyn,AckAckSynSyn-AckAckDataDataStandard 模式下的攻击防护Standard VS模式
9、具有天然的防攻击功能在遇到Syn攻击的时候会导致系统的连接表过大通过System-SYN Check Activation Threshold 的设置,在达到设置值的时候系统自动启动 Syn Cookie,避免建立过多连接,这个值对全局生效大部分的网络层攻击都无法通过Standard模式的VSFast HTTPFast HTTP VS仅用于HTTP协议默认开启One Connect Profile,对客户端连接进行聚合处理默认开启SNAT AutoMap,在服务器端收到的TCP连接请求都是来自于TMM没有会话保持功能不能处理SSL,HTTPSTMM客户端客户端客户端服务器端服务器端服务器端Fo
10、warding VS(Forwarding IP)只能使用Fast L4 Profile按照连接处理,类似于路由器工作,但不完全一样,在Fast L4 Profile中开启Loose Initial和Loose Close之后更为接近路由工作模式所有穿过Fowarding VS的连接都将产生连接表没有Pool Member,转发完全取决于本地路由可以使用基于4层的RulesTMM客户端查询本地路由表转发客户端请求VS和Profile VS作为所有流量的入口 Profile依赖于VS,对进入VS的流量进行格式化处理 不同的VS可以用同一个Profile或者不同的Profile Profile之间
11、存在有相互排斥和相互依存的关系VSTCP ProfileUDP ProfileFastL4 ProfileHTTPRTSPClient SSLServer SSLStreamingSMTPSIPOne ConnectRules的处理必须依赖于VS对流量的接收通过事件触发机制,Rules可以控制流量在VS内部处理的整个过程SSLSSLCompressionCompressionClientClientSideSideServerServerSideSideTCP ExpressTCP ExpressServerServerTCP ExpressTCP ExpressCachingCachingM
12、icrokernelMicrokernelVirtual ServerVirtual ServeriRulesiRulesClientClientiControl APIiControl APITCP ProxyTCP ProxyOneConnectOneConnectXMLXMLRate ShapingRate ShapingTrafficShieldTrafficShieldWeb AccelWeb Accel3 3rdrd Party PartyVS和RulesServerServeriRulesiRulesClientSideServerSideTCP ProxyClient Side
13、 EventClient Side EventClient_acceptClient_acceptClient_dataClient_dataCache_requestCache_requestDNS_requestDNS_requestHTTP_REQUESTHTTP_REQUESTHTTP_REQUEST_DATAHTTP_REQUEST_DATARTSP_REQUESTRTSP_REQUEST.Server Side EventServer Side EventServer_connectServer_connectServer_dataServer_dataCache_response
14、Cache_responseDNS_responseDNS_responseHTTP_RESPONSEHTTP_RESPONSEHTTP_RESPONSE_DATAHTTP_RESPONSE_DATARTSP_RESPONSERTSP_RESPONSE.大部分rules只在同一个VS之内有效Rules内创建的变量以连接为生命周期一个VS上可以有多个Rules,它们将被顺序执行CLIENT_ACCPTEDCLIENT_DATALB_SELECTEDLB_FAILEDSERVER_ACCPTEDSERVER_DATACLIENT_CLOSEDSERVER_CLOSEDRULE_INITVSVSPr
15、ofile的作用和工作范围Profile依赖于VSProfile是对VS的流量进行格式化处理举例如果一个VS上配置了TCP Profile,则该VS对所有的UDP流量都不会接收Profile详解基本流量处理类型ProfileTCP,UDP,FastHTTP,Fast L4,SCTP(Stream Control Transmission Protocol)服务流量处理类型ProfileHTTP,FTP,SMTP,RTSP(Real Time Streaming Protocol),SIP(Session Initiation Protocol),iSessionSSL处理类型Client SS
16、L,Server SSL会话保持类型Cookie,Destination IP,hash,msrdp,source IP,Universal,SSL认证处理类型Radius,CRLDP(Constraint-Based Label Distribution Protocol ),OCSP(Online Certificate Status Protocol)其他处理类型One Connect,Statistics,NTLM(NT LAN Manager),Stream重要的重要的Profile-FastL4Profile-FastL4Reset on Timeout:在连接达到Time out
17、的是否向两端发送Reset包Idel Timeout:多长时间连接里面没有数据流量的时候就删除连接表Loose Initiation/Loose Close:是否接收非Syn包建立连接Softare Syn Cookie Protection:是否在VS上启用Syn Cookie,实现Syn攻击防护可能调整的参数重要的重要的Profile-TCPProfile-TCP注意在Client Side和Server Side可以使 用不同的TCP Profile通常情况下建议:Client side:TCP WAN Optimized 或LAN OptimizedServer side:TCP LA
18、N Optimized除非你非常了解TCP的工作原理,否则不 要调整除idel Timeout以外的任何参数重要的重要的Profile-Client SSLProfile-Client SSL对所有进入VS的流量按照SSL协议进行处理注意Client SSL profile不一定只能使用在HTTPS上使用Client SSL的VS不一定使用443端口TMM客户端客户端客户端服务器端服务器端服务器端SSLSSLSSL重要的重要的Profile-FTPProfile-FTPFTP Profile主要用于处理FTP的主动 和被动传输两种模式由于需要配置动态侦听端口,因此FTP 协议必须进行单独处理通
19、过iRules也可以达到同样的目的,但 由于FTP协议使用非常广泛,因此使用 FTP profile来简化配置和处理FTP ProfileFTP Profile必须依赖于必须依赖于TCP profileTCP profile工作工作为什么要用CMP(Cluster Multi-Processor)性能增长要求CPU的主频增加受到比较大的限制,目前的趋势是以多 核扩展为主ASIC(Application Specific Intergrated Circuits)、NP(Network Processor)的处理架构并不适合于复杂、灵活的流量处理对于不规范的流量,采用硬件加速将导致系统设计僵化,
20、很难加入新的功能实现市场需求需要充分利用CPU的多核处理能力来提升系统的整体性能CMP工作原理CMP的硬件支持CMP工作模式流量由HSB进行分配在多个TMM上,每个TMM占据一个CPU Core,每个TMM有自己独立的内存空间每个TMM都具有相同的配置,包括VS/Profile/iRules/Pool/Persistence等TMM之间通过内存高速总线进行通讯共享通用信息如会话保持表,SNAT源端口等当CMP被Disable的时候,TMM0接管所有的流量64/68的硬件平台已经支持CMP,在10.0上自动开启VIPTMM0VIPTMM1VIPTMM2VIPTMM3HSBHSBSuper VIP
21、如何查看如何查看CMPCMP工作状态工作状态b tmm showb tmm show可以观察每个可以观察每个TMMTMM的状态的状态关于CMP必须了解的内容V9平台启动WA(web应用加速器)和ASM(应用安全 管理器)将Disable CMPiRules中定义全局变量将Disable CMP所有的非所有的非TCP/UDPTCP/UDP流量都只使用流量都只使用TMM0TMM0进行处理进行处理V9中使用Session add,Session Lookup命令将 Disable CMPConnection Limit和Rate Shaping的配置是针对每 个TMM生效手工关闭CMP运行b db
22、Provision.tmmCount 1调整后必须重启任何一个任何一个TMM CrashTMM Crash,将导致设备间,将导致设备间FailoverFailoverTCPdump已经调整为可支持CMP查看查看Virtual ServerVirtual Server的的CMPCMP工作状态工作状态如何查看TMM CPU占用率top命令可以显示每颗CPU的占用率和V9相比,TMM的CPU在Top命令中的显示发生了变化每颗CPU的CPU占用率目前在图形界面里都消失了,目前只有 整体的CPU占用率One Connect工作原理连接聚合和内容交换index.htma.gifb.gifc.aspsale
23、s.htmd.gife.giff.aspsales.htmsales.htmd.gifd.gife.gife.gifindex.htmindex.htma.gifa.gifb.gifb.gif c.aspc.aspServerServerf.aspf.aspindex.htma.gifb.gifc.aspsales.htmd.gife.giff.aspsales.htmsales.htmd.gifd.gife.gife.gifindex.htmindex.htma.gifa.gifb.gifb.gif c.aspc.aspServerServerf.aspf.aspindex.htmindex
24、.htma.gifa.gifb.gifb.gif c.aspc.aspindex.htmindex.htma.gifa.gifb.gifb.gifc.aspc.aspHTML server poolGIF server poolASP server pool连接聚合内容交换注:eligible reuse 符合条件的再利用One Connect的典型工作场景实现连接聚合降低服务器的连接总数需要对每一个请求都进行单独处理(注意在多数 情况下,LTM只对一个连接的第一个包进行处理)典型的,打开Cookie会话保持有时候会出现保持 不正确的情况,这时就需要打开One Connect通过设置Mask=
25、255.255.255.255,可以使后台服 务器可以“看到”客户端源IP,但这个时候 One-connect只对一个客户端的连接起作用One Connect和应用协议注意!One Connect Profile不是必须和HTTP Profile 共用,也可以用于其他应用协议。用于其他应用协议的时候必须使用iRules编程 来调用One Connect在需要对长连接进行拆分处理的时候,也需要用 One Connect ProfileNAT的工作模式206.142.12.10NAT Address:197.12.100.50NAT和SNATSNAT全称:Secure Network Addres
26、s TranslationSNAT的工作模式206.142.12.10172.16.12.1172.16.12.7172.16.12.8SNAT Address:197.12.100.50NAT和SNAT之间的差别NAT1比1接收所有发往NAT地址的连接所有的连接只是通过LTM的连接表管理,但是是无状态的,连接不会被Timeout连接不能被镜像SNAT多对一或者多对多拒绝所有发往SNAT地址的连接请求.连接通过LTM的连接表管理,有timeout设置连接可以被镜像SNAT AutoMap当配置SNAT AutoMap的时候,请求从那个VLAN 发出去,则SNAT的源地址为VLAN上的SelfI
27、P当一个VLAN上有多个SelfIP存在的时候,SNAT 的源地址是在多个SelfIP之间轮询SNAT Pool的工作模式SNATPool是提供了一个可用于SNAT源地址的列表BIGIP采用最小连接数的方式在SNAT的源地址之间进行选择通过iRules控制SNATwhen CLIENT_ACCEPTED set snat_addr 1.1.1.1when HTTP_REQUEST set snat_addr HTTP:header X-Forwarded-For log X-Fowarded-For is HTTP:header X-Forwarded-Forwhen LB_SELECTED
28、snat$snat_addrHTTPSSSL Offload替换源地址Server 端需要在TCP连接里面获取客户端源地址SNAT的源地址会话保持when RULE_INIT#log local5.warning-$cnc_snatpoolset snat_length llength$cnc_snatpoollog local5.warning-snat pool length is$snat_lengthwhen LB_SELECTED#set client_addr 10.1.1.33set client_ip IP:client_addrset client_last getfield
29、$client_ip.4#log local5.warning-client last is$client_last set snat_addr lindex$cnc_snatpool expr$client_last%$snat_length#log local5.warning-client snat addr$snat_addrsnat$snat_addrTimeout定义和镜像SNAT可以在两台设备之间镜像SNAT对于TCP idle Timeout 和UDP idle Timeout可以有独立的设置Monitor如何向外发送请求所有的Monitor请求都是由bigd进程发起Monit
30、or流量要穿过TMM发送到Server或者其他位置在b conn中可以看到Monitor的流量TMMbigdMonitor工作原理重要的Monitor-TCPSend String:发送的请求字符串,支持C语言 的转义符Receive String:在返回的内容中查询的字符串Transparent:数据包内的三层发送目的地是 Alias Address,二层的发送目的地是 Node Address的MAC地址重要的Monitor-External MonitorMEMBER=$1;MEMBER=$1;PORT=$2;PORT=$2;HOST_2_RESOLV=$3;HOST_2_RESOLV=
31、$3;$#-ne 3&exit 255$#-ne 3&exit 255PIDFILE=/var/run/pinger.$MEMBER.eav.$PORT.pidPIDFILE=/var/run/pinger.$MEMBER.eav.$PORT.pidif -f$PIDFILE if -f$PIDFILE thenthen kill-9 cat$PIDFILE /dev/null 2&1kill-9 cat$PIDFILE /dev/null 2&1fifiecho$PIDFILEecho$PIDFILEMEMBER=echo$1|sed s/:ffff:/2/dev/nullMEMBER=ec
32、ho$1|sed s/:ffff:/2/dev/nulllog_info()log_info()echo$echo$*|logger-p local0.info|logger-p local0.info#stock syslog-ng destinations-#stock syslog-ng destinations-#local0.info-/var/log/ltmlocal0.info-/var/log/ltm#local4.info-/var/log/ltmlocal4.info-/var/log/ltm#local1.info-/var/log/messageslocal1.info
33、-/var/log/messages#local3.info-/var/log/messageslocal3.info-/var/log/messages#this is for debug only!do not call log_info below unless#this is for debug only!do not call log_info below unless#you want to see your syntax and the shell evaluation of#you want to see your syntax and the shell evaluation
34、 of#variables(variable exansion)#variables(variable exansion)HA工作模式-Active/Active每个VS对外提供不同的服务服务器必须分组,分别指不同的网关在使用SNAT的情况下不需要服务器指不同的网关(建议模式)VS 1VS 2HA工作原理串口心跳线的工作模式没有数据在串口心跳线之间传输两台设备是通过监控Failover 线上的电压来决定是否切 换,备机一旦检测到主机电压为0则进行接管动作切换时间在200-300毫秒之间SOD(Switch Over Deamon)进程负责监控Failover线上 的电压网络心跳线的工作模式两台
35、设备之间通过网络互相发送心跳信号Network Failover 可以设置2条路径Network Failover和串口心跳线Failover可以同时使用在10.0里的Network Failover有巨大的变化 静态负载均衡算法 轮询,比率,优先权 动态负载均衡算法 最少连接数,最快响应速度,观察方法,预测法,动态性能分配,动态服务器补充,服务质量,服务类型,规则模式F5负载均衡算法轮询(Round Robin):顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7 层的故障,BIG-IP 就把其从顺序循环队列中拿出,不参加下一次的轮询,直到其恢复正常。比率(Ratio
36、):给每个服务器分配一个加权值为比例,根椐这个比例,把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7 层的故障,BIG-IP 就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。优先权(Priority):给所有服务器分组,给每个组定义优先权,BIG-IP 用户的请求,分配给优先级最高的服务器组(在同一组内,采用轮询或比率算法,分配用户的请求);当最高优先级中所有服务器出现故障,BIG-IP 才将请求送给次优先级的服务器组。这种方式,实际为用户提供一种热备份的方式。最少的连接方式(Least Connection):传递新的连接给那些进行最少连接处理的服务器。当
37、其中某个服务器发生第二到第7 层的故障,BIG-IP 就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。最快模式(Fastest):传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7 层的故障,BIG-IP 就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。观察模式(Observed):连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7 层的故障,BIG-IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。预测模式(Predictive):BIG-IP利用收集到的服务器当
38、前的性能指标,进行预测分析,选择一台服务器在下一个时间片内,其性能将达到最佳的服务器响应用户的请求。(被BIG-IP 进行检测)动态性能分配(Dynamic Ratio-APM):BIG-IP 收集到的应用 程序和应用服务器的各项性能参数,动态调整流量分配。动态服务器补充(Dynamic Server Act.):当主服务器群中因 故障导致数量减少时,动态地将备份服务器补充至主服务 器群。服务质量(QoS):按不同的优先级对数据流进行分配。服务类型(ToS):按不同的服务类型(在Type of Field中标识)对数据流进行分配。规则模式:针对不同的数据流设置导向规则,用户可自行。常用到的一般
39、是最少连接数、最快反应、或者轮询,决定选用那种算法,主要还是要结合实际的需求F5会话保持F5 BigIP支持多种的会话保持方法,其中包括:简单会话保持(源地址会话保持)、HTTP Header的会话保持,基于SSL Session ID的会话保持,I-Rules会话保持以及基于 HTTP Cookie的会话保持,此外还有基于SIP ID以及Cache设备的会话保持等,但常用的是简单会话保持,HTTP Header的会话保持以及 HTTP Cookie会话保持以及基于I-Rules的会话保持。简单会话保持简单会话保持又称为基于源地址的会话保持,是指负载均衡器在作负载均衡时是根据访问请求的源地址作
40、为判断关连会话的依据。对来自同一IP地址的所有访问请求都会被保持到一台服务器上去。简单会话保持一个很重要的参数就是连接超时值,BIGIP会为每一个进行会话保持的会话设定一个时间值,两次会话之前的间隔如果小于这个超时值,BIGIP将会将新的连接进行会话保持,但如果这个间隔大于该超时值,BIGIP会将新来的连接认为是新的会话然后进行负载平衡。基于原地址的会话保持实现简单,效率较高。但是多个用户通过代理或地址转换的方式来访问服务器时,会导致服务器之间的负载严重失衡。另外当客户机数量很少,但每个客户机都产生多个并发访问,这时用这种方法也会导致负载均衡失效。基于基于CookieCookie的会话保持的会
41、话保持Cookie插入模式在Cookie插入模式下,BigIP将负责插入cookie,后端服务器无需作出任何修改。当客户进行第一次请求时,客户HTTP请求(不带cookie)进入BIGIP,BIGIP根据负载平衡算法策略选择后端一台服务器,并将请求发送至该服务器,后端服务器进行HTTP回复(不带cookie)被发回BIGIP,然后BIGIP插入cookie,将HTTP回复返回到客户端。当客户请求再次发生时,客户HTTP请求(带有上次BIGIP插入的cookie)进入BIGIP,然后BIGIP读出cookie里的会话保持数值,将HTTP请求(带有与上面同样的cookie)发到指定的服务器,然后后
42、端服务器进行请求回复,由于服务器并不写入cookie,HTTP回复将不带有cookie,恢复流量再次经过进入BIGIP时,BIGIP再次写入更新后的会话保持cookie。Cookie 重写模式 当客户进行第一次请求时,客户HTTP请求(不带cookie)进入BIGIP,BIGIP根据负载均衡算法策略选择后端一台服务器,并将请求发送至该服务器,后端服务器进行HTTP回复一个空白的cookie并发回BIGIP,然后BIGIP重新在cookie里写入会话保持数值,将HTTP回复返回到客户端。当客户请求再次发生时,客户HTTP请求(带有上次BIGIP重写的 cookie)进入BIGIP,然后BIGIP
43、读出cookie里的会话保持数值,将HTTP请求(带有与上面同样的cookie)发到指定的服务器,然后后端服务器进行请求回复,HTTP回复里又将带有空的cookie,恢复流量再次经过进入BIGIP时,BIGIP再次写入更新后会话保持数值到该 cookie。Passive Cookie 模式 服务器使用特定信息来设置cookie。当客户进行第一次请求时,客户HTTP请求(不带cookie)进入BIGIP,BIGIP根据负载平衡算法策略选择后端一台服务器,并将请求发送至该服务器,后端服务器进行HTTP回复一个cookie并发回BIGIP,然后 BIGIP将带有服务器写的cookie值的HTTP回复
44、返回到客户端。当客户请求再次发生时,客户HTTP请求(带有上次服务器写的cookie)进入 BIGIP,然后BIGIP根据cookie里的会话保持数值,将HTTP请求(带有与上面同样的cookie)发到指定的服务器,然后后端服务器进行请 求回复,HTTP回复里又将带有更新的会话保持cookie,恢复流量再次经过进入BIGIP时,BIGIP将带有该cookie的请求回复给客户端。Cookie Hash模式 当客户进行第一次请求时,客户HTTP请求(不带cookie)进入BIGIP,BIGIP根据负载均衡算法策略选择后端一台服务器,并将请求发送至该服务器,后端服务器进行HTTP回复一个cookie
45、并发回BIGIP,然后 BIGIP将带有服务器写的cookie值的HTTP回复返回到客户端。当客户请求再次发生时,客户HTTP请求(带有上次服务器写的cookie)进入 BIGIP,然后BIGIP根据cookie里的一定的某个字节的字节数来决定后台服务器接受请求,将HTTP请求(带有与上面同样的cookie)发到指定的服务器,然后后端服务器进行请求回复,HTTP回复里又将带有更新后的cookie,恢复流量再次经过进入BIGIP时,BIGIP将带有该 cookie的请求回复给客户端。SSL Session ID会话保持在用户的SSL访问系统的环境里,当SSL对话首次建立时,用户与服务器进行首次信
46、息交换以:1交换安全证书,2)商议加密和压缩方法,3)为每条对话建立Session ID。由于该Session ID在系统中是一个唯一数值,由此,BIGIP可以应用该数值来进行会话保持。当用户想与该服务器再次建立连接时,BIGIP可以通过会话中的 SSL Session ID识别该用户并进行会话保持。基于SSL Session ID的会话保持就需要客户浏览器在进行会话的过程中始终保持其SSLSession ID不变,但实际上,微软Internet Explorer被发现在经过特定一段时间后将主动改变SSL Session ID,这就使基于SSL Session ID的会话保持实际应用范围大大缩
47、小。基于HTT Header的会话保持BIGIP可以根据用户HTTP访问里http包头信息信息进行会话保持,HTTP包头里包含以下信息,BIGIP可以将用户访问里这些信息通过表达式来获得相应的数值从而进行会话保持。Accept:浏览器可接受的MIME类型。Accept-Charset:浏览器可接受的字符集。Accept-Encoding:浏览器能够进行解码的数据编码方式,比如gzip。Servlet能够向支持gzip的浏览器返回经gzip编码的HTML页面。许多情形下这可以减少5到10倍的下载时间。Accept-Language:浏览器所希望的语言种类,当服务器能够提供一种以上的语言版本时要用
48、到。Authorization:授权信息,通常出现在对服务器发送的WWW-Authenticate头的应答中。Connection:表示是否需要持久连接。如果Servlet看到这里的值为“Keep-Alive”,或者看到请求使用的是HTTP 1.1(HTTP 1.1默认进行持久连接),它就可以利用持久连接的优点,当页面包含多个元素时(例如Applet,图片),显著地减少下载所需要的时间。要实现这一点,Servlet需要在应答中发送一个Content-Length头,最简单的实现方法是:先把内容写入ByteArrayOutputStream,然后在正式写出内容之前计算它的大小。Content-L
49、ength:表示请求消息正文的长度。Cookie:这是最重要的请求头信息之一,参见后面Cookie处理一章中的讨论。From:请求发送者的email地址,由一些特殊的Web客户程序使用,浏览器不会用到它。Host:初始URL中的主机和端口。If-Modified-Since:只有当所请求的内容在指定的日期之后又经过修改才返回它,否则返回304“Not Modified”应答。Pragma:指定“no-cache”值表示服务器必须返回一个刷新后的文档,即使它是代理服务器而且已经有了页面的本地拷贝。Referer:包含一个URL,用户从该URL代表的页面出发访问当前请求的页面。User-Agent
50、:浏览器类型,如果Servlet返回的内容与浏览器类型有关则该值非常有用。基于I-Rules的会话保持BIGIP交换机内置有强大的搜索引擎,可以高效的探测到网络流量中的IP包内容的部分,并可以读出该IP包内容部分进行会话保持这些内容部分包括如下部分:下面是一个BIGIP根据IRULES进行会话保持的范例:if(http_uri ends_with“.gif”)use pool image_serverselse if(http_uri starts_with“/foo”)use pool foo_serverselse if(http_cookie(“XYZ-Type”)=“direct”)u
