F5 BIGIP SSL 加速全攻略

基础平台部署说明文档F5交换机S S L配置技术文档项目及文档信息发布日期：2015-03-13 项目名称文档编号承建方责任人建设方责任人版本信息版本号发布日期提交人审阅人更新位置更新摘要0.1 2015-03-13 李建树拟初稿目录1生成证书请求 (3)2安装服务器证书 (6)2.1获取服务器证书 (6)2.2安装服务器证书 (6)2.3导入CA中级证书 (7)3配置服务器证书 (8)3.1单向认证的配置 (8)3.2双向认证的配置 (10)1生成证书请求生成证书请求：选择Local Traffic-〉SSL Certificates-〉Create参考证书申请表填写证书请求信息新建证书请求时，请设置“Challenge Password” 为空。

Symantec证书暂不支持在F5中指定该参数。

证书密钥长度请选额2048位。

点击Download test_cert.csr。

将证书请求文件(yourname.csr文件)提交给CA认证机构，并等待证书的签发点击Finished完成证书请求操作。

完成后，在SSL Ceritificates 的页面中能看到一个只有key的条目。

如需备份证书私钥，您可在此位置选择“Export”将证书私钥导出备份。

2安装服务器证书2.1获取服务器证书将服务器证书文件中的内容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘贴到记事本等文本编辑器中，保存为server.cer的文件。

2.2安装服务器证书点击您创建证书请求时设置定证书别名，如“test_cert”。

进入 Key 栏目后，选择“Certificate”标签，并选则“Import”，将证书对应私钥文件导入。

导入成功后，证书“Contents”属性将显示为“Certificate & Key”。

2.3导入CA中级证书从邮件中获取中级CA证书：将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘贴到记事本等文本编辑器中，两段编码之间用回车换行分隔，修改文件扩展名，保存为 ca-bundle.cer 文件（如证书签发邮件中只有一张中级证书，则只需要保存一张中级证书代码）。

前言：最近一直在对比测试F5 BIG-IP和Citrix NetScaler负载均衡器的各项性能，于是写下此篇文章，记录F5 BIG-IP的常见应用配置方法。

目前，许多厂商推出了专用于平衡服务器负载的负载均衡器，如F5 Network公司的BIG-IP，Citrix公司的NetScaler。

F5 BIG-IP LTM 的官方名称叫做本地流量管理器，可以做4-7层负载均衡，具有负载均衡、应用交换、会话交换、状态监控、智能网络地址转换、通用持续性、响应错误处理、IPv6网关、高级路由、智能端口镜像、SSL加速、智能HTTP压缩、TCP优化、第7层速率整形、内容缓冲、内容转换、连接加速、高速缓存、Cookie加密、选择性内容加密、应用攻击过滤、拒绝服务(DoS)攻击和SYN Flood保护、防火墙—包过滤、包消毒等功能。

以下是F5 BIG-IP用作HTTP负载均衡器的主要功能：①、F5 BIG-IP提供12种灵活的算法将所有流量均衡的分配到各个服务器，而面对用户，只是一台虚拟服务器。

②、F5 BIG-IP可以确认应用程序能否对请求返回对应的数据。

假如F5 BIG-IP后面的某一台服务器发生服务停止、死机等故障，F5会检查出来并将该服务器标识为宕机，从而不将用户的访问请求传送到该台发生故障的服务器上。

这样，只要其它的服务器正常，用户的访问就不会受到影响。

宕机一旦修复，F5 BIG-IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。

.1③、F5 BIG-IP具有动态Session的会话保持功能。

④、F5 BIG-IP的iRules功能可以做HTTP内容过滤，根据不同的域名、URL，将访问请求传送到不同的服务器。

.2.3①、如图，假设域名被解析到F5的外网/公网虚拟IP：61.1.1.3（vs_squid），该虚拟IP下有一个服务器池（pool_squid），该服务器池下包含两台真实的Squid服务器（192.168.1.11和192.168.1.12）。

F5 4.5的SSL配置（v 1.0）版本说明F5 SSL加速功能一、实现SSL加速功能 (3)由F5设备申请及导入证书的过程 (3)二、建立Proxy，实现双向认证 (7)1. 在F5中导入根证书 (7)2. 建立proxy (8)3. 更改Proxy的SSL选项。

(9)实现SSL加速功能由F5设备申请及导入证书的过程首先进入F5的WEB管理界面，点击Configure your BIG-IP using the Configuration Utility链接。

进入配置界面后，点击左侧Proxies菜单后，再进入Cert Admin页面。

可以点击Generate New Key Pair / Certificatre Request来产生密钥对和申请书。

在由F5提交证书申请的过程中，由于F5在WEB界面的申请项中没有Common Name项，只能使用F5的特殊方法来解决这个问题。

具体方法如下：1)在F5的WEB界面中先产生一个申请请求，产生申请后，在F5中同时会产生一个私钥。

如：建立一个名为f5test的请求，点击Generate Key Pair/Ceerticate Request，会生成一个请求。

与此同时，F5会自动生成一个unipay_f5.key的私钥：2)进入命令行界面，进行如下操作：(使用ssh客户端，如putty工具登录，用户名和密码和WEB方式的相同)a.删除位于/config/bigconfig/ssl.key/unipay_f5.key文件（如果不删除这个文件，下个操作将不能完成）b.运行/usr/local/bin/genconf unipay_f5.key（这是一个基于命令行的证书申请命令）c.回车后，将出现申请的填写项。

d.在这些项中，将出现Common Name，将授权码输入到这里，再填写一些相关信息即可。

在运行完上述操作后，这些信息将保存在RAM 中。

e. 再运行/usr/local/bin/genkey unipay_f5.key (这是一个基于命令行的证书申请及产生证书的命令)f. 回车后，将调用出RAM 中保存的证书申请信息g. 输入yes 后回车，需要用户逐一确认所输入的信息是否正确。

F5 BIG-IP 配置介绍目前，许多厂商推出了专用于平衡服务器负载的负载均衡器，如F5 Network公司的BIG-IP，Citrix公司的NetScaler。

F5 BIG-IP LTM 的官方名称叫做本地流量管理器，可以做4-7层负载均衡，具有负载均衡、应用交换、会话交换、状态监控、智能网络地址转换、通用持续性、响应错误处理、IPv6网关、高级路由、智能端口镜像、SSL加速、智能HTTP压缩、TCP优化、第7层速率整形、内容缓冲、内容转换、连接加速、高速缓存、Cookie加密、选择性内容加密、应用攻击过滤、拒绝服务(DoS)攻击和SYN Flood保护、防火墙—包过滤、包消毒等功能。

以下是F5 BIG-IP用作HTTP负载均衡器的主要功能：①、F5 BIG-IP提供12种灵活的算法将所有流量均衡的分配到各个服务器，而面对用户，只是一台虚拟服务器。

②、F5 BIG-IP可以确认应用程序能否对请求返回对应的数据。

假如F5 BIG-IP后面的某一台服务器发生服务停止、死机等故障，F5会检查出来并将该服务器标识为宕机，从而不将用户的访问请求传送到该台发生故障的服务器上。

这样，只要其它的服务器正常，用户的访问就不会受到影响。

宕机一旦修复，F5 BIG-IP 就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。

③、F5 BIG-IP具有动态Session的会话保持功能。

④、F5 BIG-IP的iRules功能可以做HTTP内容过滤，根据不同的域名、URL，将访问请求传送到不同的服务器。

下面，结合实例，配置F5 BIG-IP LTM v9.x：①、如图，假设域名被解析到F5的外网/公网虚拟IP：61.1.1.3（vs_squid），该虚拟IP下有一个服务器池（pool_squid），该服务器池下包含两台真实的Squid服务器（192.168.1.11和192.168.1.12）。

②、如果Squid缓存未命中，则会请求F5的内网虚拟IP：192.168.1.3（vs_apache），该虚拟IP下有一个默认服务器池（pool_apache_default），该服务器池下包含两台真实的Apache服务器（192.168.1.21和192.168.1.22），当该虚拟IP匹配iRules规则时，则会访问另外一个服务器池（pool_apache_irules），该服务器池下同样包含两台真实的Apache服务器（192.168.1.23和192.168.1.24）。

BIGIP标准配置文档目录1. 连接BIGIP (4)1.1 Console方式 (4)1.2 网络连接方式 (4)1.2.1 基于WEB方式 (4)1.2.2 基于SSH方式 (7)2.网络配置 (9)2.1 网络配置步骤及流程 (9)2.1.1 L2 Vlan 配置 (10)2.1.2 L3 self ip 配置 (11)2.2 服务器直连模式网络配置 (12)2.2.1 网络连接拓扑图 (12)2.2.2 VLAN划分 (12)2.2.3 IP地址划分 (13)2.3 服务器非直连模式网络配置 (14)2.3.1 网络拓扑结构 (14)2.3.2 VLAN划分 (14)2.3.3 IP地址划分 (15)2.4 透明模式网络配置 (16)2.4.1 网络拓扑结构 (16)2.4.2 VLAN划分 (16)2.4.3 IP地址划分 (16)2.5 静态路由的添加 (17)3.负载均衡配置 (17)3.2 Pool配置 (19)3.3 Virtual Server配置 (22)3.4 会话保持配置 (24)3.4.1 会话保持的概念 (24)3.4.2 Simple会话保持 (25)3.4.3 Cookie 会话保持 (26)3.5 iRules配置 (27)3.6 Monitor配置 (30)3.6.1 Monitor的添加 (30)3.6.2 Node Address Monitor配置 (33)3.6.3 Node Association Monitor配置 (35)3.6.4 Monitor 的验证 (36)4. SNAT配置 (37)4.1 SNAT的概念 (37)4.2 NAT配置 (38)4.3 SNAT配置 (39)4.3.1 SNAT IP配置 (39)4.3.2 SNAT AutoMap配置 (41)5. Redundent配置 (42)6. 系统维护部分配置 (46)6.1 SNMP配置 (46)6.2 Syslog配置 (47)6.3 NTP配置 (47)6.4 用户管理 (50)7. BIGIP命令行常用命令解释 (57)7.1 系统配置相关命令 (57)7.2 系统维护相关命令 (57)1.连接BIGIP1.1Console方式基于Console终端配置BIG-IP 的准备安装Windows操作系统的PC一台（装有超级终端）BIGIP设备自带的Console电缆一条使用超级终端建立一个连接，通过Console电缆一端连接BIGIP，一端连接COM，COM的参数设置如图：1.2网络连接方式1.2.1基于WEB方式在浏览器地址栏键入https://（BIGIP 设备IP地址），如下图：回车后，出现以下界面：此对话框为浏览器与BIGIP通讯交换的证书提示，点击“是”继续输入用户名和密码点击确定继续点击Configure your BIGIP Using Configration Utility进入BIGIP配置主界面。

F5ＷＥＢ加速技术方案2011年2月目录1. 前言 (2)2. 加速WEB应用，大幅提高用户体验效果 (4)2.1 HTTPS Offload (4)2.2 One Connect降低服务器TCP连接数量 (5)2.3 HTTP页面压缩降低带宽占用和提高客户端响应速度 (5)2.4 RAM Cache减小服务器端压力 (7)2.5 应用智能缓存优化动态内容 (9)2.6 IBR 浏览器智能控制 (10)2.7 Express Documents加速文档下载 (12)2.8 Express Connects并行处理页面下载 (13)3. 结论 (14)1.前言一直以来，通过低速链路连接的远程站点都使用专用服务器硬件以便实现最佳性能。

但由于成本压力、技能欠缺以及需要更好地处理安全问题等原因。

将服务器功能整合到主数据中心，是实现服务器整合的主要方法。

应用网络化也带来了类似的问题，但稍有区别。

许多常用的应用平台都从客户端-服务器模式向基于web的模式迁移。

这样一来，便可通过HTTP提供应用，而不必在每个终端用户的PC上安装客户端。

Web浏览器成为通用客户端。

虽然这种方法避免了在每个PC上安装客户端，确实会减轻应用的管理负担（某些情况下，在客户端-服务器互动设计不理想且涉及到多次数据库来回操作的广域网上，这种方法还可帮助提高应用性能），但通常会增加网络压力（由于需要传递数据的格式化信息，因此增加了网络流量）。

在最糟糕的情况下，可将用户响应时间延长10倍。

广域网加速设备采用了多种技术。

这些技术可以大致分为四类，每一类技术都可解决广域网中的某个特定问题。

•带宽：带宽通常是稀缺资源，因此必须要节约使用。

带宽瓶颈可通过压缩技术得以解决。

压缩技术通常分两类，第一类是基于字典流的传统压缩技术。

在此类技术中，每一端的设备都构建通用模式字典，然后以短标识符替代它们。

因此，从理论上说，带宽可节省近90%，但未经压缩且未经加密的数据通常占到50%左右。

F5 BIG-IP负载均衡器配置指导书华为技术有限公司版权所有侵权必究F5 BIG-IP负载均衡器配置指导书文档密级：内部公开修订记录F5 BIG-IP负载均衡器配置指导书文档密级：内部公开目录第1章 F5负载均衡器简介 (1)1.1 负载均衡技术简介 (1)1.2 F5负载均衡产品介绍 (1)1.3 几个常用术语说明 (3)第2章 BIG-IP配置步骤与规划准备工作 (5)2.1 BIG-IP配置步骤 (5)2.2 准备要点 (5)2.3 组网和IP地址规划 (6)2.4 BIG-IP接口编号说明 (9)第3章命令行进行Setup配置 (11)3.1 配置终端 (11)3.2 启动F5 (11)3.3 输入用户名口令 (13)3.4 设置终端类型 (13)3.5 Setup初始化配置 (13)3.5.1 提示系统License不存在 (13)3.5.2 设置键盘类型 (15)3.5.3 设置root密码 (15)3.5.4 设置主机名 (16)3.5.5 双机系统设置 (17)3.5.6 设置接口速率和双工类型 (19)3.5.7 配置VLAN和IP地址 (20)3.5.8 添加接口到VLAN中 (23)3.5.9 选择VLAN IP地址与主机名关联 (23)3.5.10 配置默认网关 (25)3.5.11 配置WEB访问 (26)3.5.12 配置SSH访问 (29)3.5.13 配置F5支持访问 (30)3.5.14 设置时区 (31)3.5.15 配置NTP支持 (32)3.5.16 配置DNS代理转发 (33)3.5.17 用户认证配置 (33)3.5.18 Setup配置完成 (34)F5 BIG-IP负载均衡器配置指导书文档密级：内部公开第4章激活License (35)4.1 通过Web访问BIG-IP (35)4.2 激活License步骤 (35)第5章系统时钟更改 (39)第6章 Web Configuration Utility进行配置 (40)6.1 进入配置工具 (40)6.2 配置VLAN和端口 (41)6.3 配置VLAN IP地址 (42)6.4 配置负载均衡池 (42)6.4.1 配置池名、成员IP地址和负载均衡策略 (43)6.4.2 会话保持配置 (43)6.5 配置节点状态监控 (45)6.5.1 自定义节点状态监控 (46)6.5.2 监控与节点相关联 (47)6.6 配置虚拟服务器 (48)6.6.1 创建虚拟服务器 (48)6.6.2 虚拟服务器属性修改配置 (49)6.6.3 检查系统状态 (51)6.7 配置SNAT (52)6.7.1 配置步骤 (53)6.7.2 验证SNAT配置 (54)第7章双机配置 (58)7.1 注意事项 (58)7.2 初始化后配置步骤 (59)7.3 上行连接的监控设置 (59)第8章附录A 常见问题说明 (61)8.1 BIG-IP单机或两台双机系统处于Standby状态，为什么 (61)8.2 BIG-IP系统root密码忘记了，如何恢复 (61)8.3 默认的用户名和口令不安全，如何添加新用户或修改现有用户 (62)8.4 BIG-IP系统如何进行配置备份和恢复 (63)8.5 SSH访问具有密码加密传输的优点，请问从哪里获取SSH客户端 (63)8.6 网络设备通常有收集系统信息的宏命令，F5有没有相应命令 (64)8.7 如何使用TCPDUMP进行Troubleshooting (64)8.8 如何实时监视BIG-IP的连接状态 (66)F5 BIG-IP负载均衡器配置指导书文档密级：内部公开关键词：负载均衡池、虚拟服务器，节点、会话保持、监控、ECV、EAV、SNAT摘要：按照常见的配置步骤，本文对F5 BIG-IP负载均衡器设备配置进行说明，并对负载均衡器的基本概念和F5 BIG-IP设备使用过程中遇到的常见问题进行解答。

BIG-IP 广域流量管理器产品资料无与伦比的 DNS 性能BIG-IP GTM 交付的 DNS 性能甚至可以应对最繁忙的站点。

当站点因为合法请求或分布式拒绝服务（DDoS）攻击而出现 DNS 查询突然激增时，BIG-IP GTM 可以通过多内核处理和 F5 DNS Express™对请求进行管理，将权威 DNS 性能大幅增加至最高 2000 万 RPS，进而可以对所有查询做出快速响应。

这有助于您的企业为您的用户提供最佳的服务质量（QoS），同时保证了应用的性能。

通过以一个权威 DNS 服务器的方式卸载 DNS 响应，DNS Express 可以改进标准 DNS 服务器的功能。

BIG-IP GTM 接受来自主 DNS 服务器的 DNS 记录区传送，并以权威应答返回 DNS 查询。

多内核处理以及 DNS Express 的优势和功能包括：•通过内存处理 DNS 请求，以实现高速响应和 DDoS 攻击保护•通过在多个 BIG-IP 或 DNS 服务部署中复制权威 DNS，实现更快速的响应•在虚拟云中的权威 DNS 和 DNSSEC 有助于实现灾难恢复和快速、安全的响应•可扩展的 DNS 性能有助于提高应用质量和服务体验•能够整合加强 DNS 服务器并提升 ROI在发生巨量的应用和服务请求或发生 DNS DDoS 攻击时，BIG-IP GTM 可进行超大规模扩展，在快速响应模式下最高能够以正常限制的 200% 对查询进行处理和响应，从而能够增强可用性，实现无与伦比的性能。

DNS 高速缓存与解析通过在 BIG-IP GTM 上启用 DNS 高速缓存，使它对客户端请求即时响应，大幅降低 DNS 延迟。

BIG-IP GTM 可以整合高速缓存和提高高速缓存的命中率。

采用这种方法后，DNS 延迟降低了多达 80%，同时 DNS 高速缓存还为同一个站点降低了 DNS 查询的数量。

除了高速缓存外，BIG-IP GTM 还支持设备在不使用一个上游 DNS 解析器的情况下就能自行实现 DNS 解析。

F5-BIGIP服务器负载均衡解决方案广州神州数码有限公司增值网络事业部郑锦明2005年10月一、系统设计原则系统的网络设计和软硬件配臵遵循下述原则:高性能具有较高的吞吐能力和处理能力，网络各层均不存在阻塞，具备对突发流量的承受能力。

扩展性为方便地实现扩展，系统的设计应具有灵活的扩展能力。

包括：端口的扩展，带宽容量的扩展，处理用户访问的能力的扩展等。

高可靠性为保证服务器的不中断运行，在网络设备的关键部件配臵上应是按照双备份要求设计的。

在网络连接上应消除单点故障，提供关键设备的故障切换。

关键网络设备之间的物理链路采用双路冗余连接。

全冗余的方式使系统的可靠性达到99.999%。

适用性系统设计应该是高吞吐量、无阻塞的，能快速响应用户的请求。

对不同应用应满足不同的带宽和服务质量的需求。

安全性系统应具有网络和系统的安全性保护部署。

二、负载均衡方案建议针对用户提出的需求分析，F5充分考虑现有的实际状况，结合F5在国际上网络优化案例的经验，总结出以下流量管理和均衡解决方案：1． 拓扑图2． 方案描述此方案中采用F5-BIG-2400设备实现服务器负载均衡，分别建立external 和internal 两个Vlan 。

External Vlan 提供给客户端访问的Virtual Server ，internal Vlan 提供真实服务器的接入。

当客户端访问时，F5设备会截获需要做负载均衡的访问流量，通过设定的负载均衡策略，流量会智能分配到真实服务器上。

三、F5负载均衡相关技术阐述服务器负载均衡BIG/IP 利用虚拟IP 地址（VIP 由IP 地址和TCP/UDP 应用的端口组成，它是一ClientF5-BIGIP 2400App servers个地址）来为用户的一个或多个目标服务器（称为节点：目标服务器的IP地址和TCP/UDP应用的端口组成，它可以是internet的私网地址）提供服务。

因此，它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。

F5 FirePass SSL 安全的远程接入解决方案目录1. 前言 (3)2. F5 FirePass 关键技术 (4)2.1 管理安全 (4)2.2 防火墙 (4)2.3 客户机-服务器连接器 (4)2.4 过滤技术 (5)2.5 客户机端证书的动态政策 (5)2.6 身份认证技术 (6)2.7 FirePass VPN连接器 (6)2.7 审计服务 (7)2.8 UI定制 (7)2.9 高可用性 (7)3. SSL VPN 在xxx企业的应用 (8)4. F5 FirePass系统设备型号选择 (9)5. SSL VPN 和IPSec VPN比较 (10)6. FirePass 典型案例介绍 (12)联合国 (12)中国华北电力集团 (12)用友软件集团 (12)中国 (12)7. FirePass 中国区公开报价 (13)8. F5公司 (14)1. 前言随着信息技术的快速发展，为了提高服务的质量和水平、在市场竞争中取得优势，企业建立了内部局域网，使内部办公人员通过网络可以迅速地获取信息。

然而，随着个人电脑和互联网应用技术的普及，“在家办公”、“异地办公”、“移动办公”等多种远程办公模式逐渐普及，同时合作伙伴的人员也希望能访问到相应的信息资源，企业的IT管理人员面临将远程办公模式作为内部办公网络的延伸和对合作伙伴人员提供外联网接入的需求，为远程办公的员工提供访问内部信息和为合作伙伴人员访问与其身份相符的信息的方便。

然而，要享受通过互联网访问企业内部的信息资源的便利，就需要实施适当的信息安全策略，在严格防止企业信息资源被非法窃取的同时，对合法的访问要提供方便，同时还需尽量降低信息安全策略的实施和维护成本。

企业通过Internet数据传输平台，实施加密的VPN实现安全接入的办法主要有两种：一种是IPsec VPN，另一种是SSL VPN。

两种技术在不同领域各有其优势，我们建议：在实施固定的站点到站点的VPN，采用IPsec技术；在实施应用的移动用户接入VPN时，采用SSL 技术，原因是SSL无需在客户端安装客户端软件、实施和维护灵活简单、不受地址翻译影响、控制策略更加细化、总体拥有成本较低，而且由于SSL VPN不是打开一个网络层通道，而只是提供了联系应用层请求的固化网络接口，所以提高了与VPN相关的整个系统的安全性。

BigIP配置目录一、网络结构 (3)二、本项目中F5的功能及配置介绍 (4)三、F5配置步骤及项目 (5)1.进入系统 (5)2.激活License (5)3.系统基本配置(hostname,TimeZone,password etc) (5)4.设备网络配置(vlan,self ip,router,floating ip etc) (5)5.负载均衡节点建立配置 (5)6.负载均衡POOL及算法建立配置 (5)7.Virtual Server建立并关联POOL配置 (5)四、F5配置信息列表 (5)1、Pool (6)2、Virtual Server (6)五、F5详细配置步骤 (8)1.进入系统配置GUI (8)2.激活License (10)3.系统基本参数配置步骤 (14)4.基本网络参数配置步骤 (15)c)配置默认路由 (21)5．Monitor的建立 (22)6．负载均衡POOL及均衡算法建立配置 (23)7．Profile的建立 (24)8．iRules建立 (26)9．Virtual Server建立配置 (26)10．配置High Availability (29)1、F5负载均衡算法及原理 (31)2、会话保持的概念 (31)一、网络结构Outside Vlan (IP Segment 172.16.6.0/24)VPN and Management Vlan (IP Segment 172.16.6.X/24)Production HTTP Proxy Vlan (IP segment 192.168.100/0/24)Production APP and DB Servers Vlan (IP segment 192.168.90.0/24) Staging Proxy Vlan (IP segment 192.168.80.0/24)Staging APP and DB Vlan (IP segment 192.168.70.0/24)Test Proxy Vlan (IP segment 192.168.60.0/24)Test APP and DB Vlan (IP segment 192.168.50.0/24)802.1Q Trunk for Vlans of Production Systems 802.1Q Trunk for Vlans of Staging and Test Systems2.12.2Failover 1.1 1.11.21.21.4 1.51.51.61.6Tape DriverManagement Vlan在SW1上预留6个端口G1/0/25G1/0/26G1/0/27G1/0/28G1/0/30G1/0/32G1/0/33G1/0/34G1/0/35G1/0/36G1/0/38 – G1/0/43G1/0/37二、本项目中F5的功能及配置介绍1. F5实现的功能When configured properly, the The BIG-IP local traffic management (LTM) systemcan perform a wide variety of traffic-management functions, such as:• Balancing traffic to tune and distribute server lo ad on the network for scalability.• Off-loading standard server tasks, such as HTTP data compression, SSL authentication, and SSL encryption to improve server performance.• Monitoring the health and performance of servers on the network for availability.• Establishing and managing session and connection persistence.• Handling application-traffic authentication and authorization functions based on username/password and SSL certificate credentials.• Managing packet throughput to optimize performance for specific types of connections.• Improving performance by aggregating multiple client requests into a server-side connection pool. This aggregation of client requests is part of the LTM system’s OneConnectTM feature.• Applying configuration settings to c ustomize the flow of application-specific traffic (such as HTTP and SSL traffic).• Customizing the management of specific connections according to user-written scripts based on the industry-standard Tool Command Language (Tcl).While some of the functions on this list offer the basic ability to balance the load on your network servers, other functions on the list offer specialized abilities that are worth noting. These abilities include managing specific types of application traffic, optimizing server performance, and enhancingthe security of your network. The following sections describe these specialized capabilities. 2. F5配置介绍1. Once you have set up your base network and you have administrative access to the LTM system, and atleast a default VLAN assignment for each interface, the next step is to configure a network for managing traffic targeted to your internal servers.2．At the heart of the LTM system are virtual servers and load balancing pools.Virtual servers receive incoming traffic, perform basic source IP anddestination IP address translation, and direct traffic to servers, which aregrouped together in load balancing pools.The three most important objects in the LTM system that you mustconfigure for local traffic management are:• Virtual servers• Load balancing pools• ProfilesThese objects are:●Virtual ServerVirtual servers receive requests and distribute them to pool members.When you create a virtual server, you specify the type of virtual server you want, that is, a hostvirtual server or a network virtual server. Then you can attach various properties and resources to it, such as application-specific profiles, session persistence, and user-written scripts called iRules thatdefine pool-selection criteria. All of these properties and resources, when associated with a virtualserver, determine how the LTM system manages local traffic.●Load balancing poolsLoad balancing pools contain servers to which requests can be sent for processing.A load balancing pool is a collection of internal servers that you group together to service clientrequests. A server in a pool is referred to as a pool member. Using the default load balancingalgorithm, known as Round Robin, the LTM system sends a client request to a member of that pool.Every pool must be associated with a virtual server. A virtual server sends client requests to thepool or pools that are associated with it.POOL. Pools have settings associated with them, such as IP addresses for pool members, load balancing modes, and health and performance monitors.● NodesNodes represent server IP addresses on your network that you can enable and disable, and forwhich you can obtain status.● ProfileProfiles contain settings that define the behavior of various traffic types.A profile is a group of configuration settings that apply to a specific type of network traffic,such as HTTP connections. If you want the virtual server to manage a type of traffic, you canassociate the applicable profile with the virtual server, and the virtual server applies that profile’ssettings to all traffic of that type.●iRULEiRules can define criteria for pool-member selection, as well as perform content transformations, logging, custom protocol support, and so on.●Rate Shaping：Rate shaping controls bandwidth consumption.●SNAT ：Secure Network Address Translations (SNATs) translate the source IP address in a client request, allowing multiple hosts to share the same address.三、F5配置步骤及项目1.进入系统2.激活License3.系统基本配置(hostname,TimeZone,password etc)4.设备网络配置(vlan,self ip,router,floating ip etc)5.负载均衡节点建立配置6.负载均衡POOL及算法建立配置7.Virtual Server建立并关联POOL配置四、F5配置信息列表F5 BigIP-3400-1F5 BigIP-3400-21、Pool2、Virtual Server五、F5详细配置步骤在本次项目中，需要将两台F5 BIGIP 3400配置成Active-Standby的双机冗余模式，除了在L2-L3层的配置和Hostname外，L4-L7及其他配置相同，故以一台BIGIP 3400的配置为例。

（商务智能)FBIGIPSSL加速全攻略F5 BIGIP-LTM SSL应用加速技术白皮书2007-10-02 16:50:59 作者：Metoo 来源：F5 Netoworks 浏览次数：13 文字大小：【大】【中】【小】简介：F5 BIGIP-LTM SSL应用加速技术白皮书1 SSL加速原理1.1 SSL简要介绍SSL是被设计用来保证信息安全的一个协议，它依赖于可靠的TCP协议来传输数据。

它的特点之一是独立于上层的应用层协议(如：HTTP，FTP，TELNET ...关键字：SSL 加速F5 BIGIP1 SSL加速原理1.1 SSL简要介绍SSL是被设计用来保证信息安全的一个协议，它依赖于可靠的TCP协议来传输数据。

它的特点之一是独立于上层的应用层协议(如：HTTP，FTP，TELNET等)，这些应用层协议可以透明使地用SSL协议。

SSL协议可以协商一个对称加密算法和会话密钥，同时可以在通信之前认证服务器的合法性。

SSL协议提供了一种“管道式安全”，它具有三个特征：管道是保密的，保密性是通过使用加密技术来保证的，在通过一个简单的握手过程之后获得一个共同的密钥，作为对称加密算法的密钥。

λ管道是认证过的，服务器端总是需要把自己的证书递交给客户端，以便客户端对服务器进行认证。

服务器可以选择是否需要客户端递交证书。

λ管道是可靠的，消息的传输包含了消息完整性检查。

λSSL协议实际上由两个协议构成，位于下面的一层为SSL记录协议（SSL Record Protoc ol），其上为SSL控制协议(SSL Control Protocols)，SSL记录协议用于封装上层发送和接收的所有数据，当然包括SSL控制协议的数据，SSL控制协议包含：SSL握手协议(SSL Handshake Protocol)λSSL密钥交换协议(SSL Change CiphersλSpecification)SSL报警协议(SSL Alert Protocol)λSSL的握手过程是建立SSL的主要加密和安全参数的过程，它是SSL的控制协议执行的控制功能。