BIGIP2层透明模式部署方式讨论

2007-10-02 16:50:59作者：Metoo 来源：F5 Netoworks 浏览次数：13 文字大小：【大】所有数据，当然包括 SSL 控制协议的数据， SSL 控制协议包含:【中】【小】 简介：F5 BIG IP-LTM SSL 应用加速技术白皮书1 SSL 加速原理 SSL 简要介绍SSL 是被设计用来保证信息安全的一个协议，它依赖于可靠的TCP 协议来传输数据。

它的特点之一是独立于上层的应用层协议(如：HTTP, FTP, TELNET ...关键字：SSL 加速F5 BIGIP1 SSL 加速原理 SSL 简要介绍SSL 是被设计用来保证信息安全的一个协议，它依赖于可靠的点之一是独立于上层的应用层协议(如：HTTP FTP, TELNET 等)，这些应用层协议可以透明使地用SSL 协议。

SSL 协议可以协商一个对称加密算法和会话密钥，同时可以在通信之前认 证服务器的合法性。

SSL 协议提供了一种“管道式安全”，它具有三个特征:管道是保密的，保密性是通过使用加密技术来保证的， 在通过一个简单的握手过程之后获 得一个共同的密钥，作为对称加密算法的密钥。

管道是认证过的，服务器端总是需要把自己的证书递交给客户端, 行认证。

服务器可以选择是否需要客户端递交证书。

管道是可靠的，消息的传输包含了消息完整性检查。

SSL 协议实际上由两个协议构成， 位于下面的一层为 SSL 记录协议(SSL Record Protocol )，其上为SSL 控制协议(SSL Control Protocols)，SSL 记录协议用于封装上层发送和接收的SSL 握手协议(SSL Handshake Protocol) SSL 密钥交换协议(SSL Change CiphersSpecification)TCP 协议来传输数据。

它的特以便客户端对服务器进SSL报警协议(SSL Alert Protocol)SSL的握手过程是建立SSL的主要加密和安全参数的过程，它是SSL的控制协议执行的控制功能。

实验V3防火墙透明模式（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2 六、实验思考：1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网S3100交换机有什么特殊要求？1.3 附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

F5 Application Management Products 用户会话完整性的保持F5 Networks Inc2004-11-301．什么是会话保持？ (3)2． F5支持什么样的会话保持方法？ (4)2.1 简单会话保持 (4)2.2 基于Cookie的会话保持 (4)2.2.1 cookie插入模式： (4)2.2.2 Cookie 重写模式 (6)2.2.3 Passive Cookie 模式，服务器使用特定信息来设置cookie。

(7)2.2.4 Cookie Hash模式： (8)2.3 SSL Session ID会话保持 (9)2.4 基于HTTP Header的会话保持 (9)2.5 基于I-Rules的会话保持 (11)1．什么是会话保持？在大多数电子商务的应用系统或者需要进行用户身份认证的在线系统中，一个客户与服务器经常经过好几次的交互过程才能完成一笔交易或者是一个请求的完成。

由于这几次交互过程是密切相关的，服务器在进行这些交互过程的某一个交互步骤时，往往需要了解上一次交互过程的处理结果，或者上几步的交互过程结果，服务器进行下一步操作时需要这就要求所有这些相关的交互过程都由一台服务器完成，而不能被负载均衡器分散到不同的服务器上。

而这一系列的相关的交互过程可能是由客户到服务器的一个连接的多次会话完成，也可能是在客户与服务器之间的多个不同连接里的多次会话完成。

不同连接的多次会话，最典型的例子就是基于http的访问，一个客户完成一笔交易可能需多次点击，而一个新的点击产生的请求，可能会重用上一次点击建立起来的连接，也可能是一个新建的连接。

会话保持就是指在负载均衡器上有这么一种机制，可以识别做客户与服务器之间交互过程的关连性，在作负载均衡的同时，还保证一系列相关连的访问请求会保持分配到一台服务器上。

2． F5支持什么样的会话保持方法？F5 BigIP支持多种的会话保持方法，其中包括：简单会话保持（源地址会话保持）、HTTP Header的会话保持，基于SSL Session ID的会话保持，I-Rules会话保持以及基于HTTP Cookie的会话保持，此外还有基于SIP ID以及Cache设备的会话保持等，但常用的是简单会话保持，HTTP Header的会话保持以及HTTP Cookie会话保持以及基于I-Rules 的会话保持。

闲话大二层网络（4）—跨数据中心的大二层网络怎么实现？上一篇我们谈了很多大二层网络的技术和流派，但是细心的读者可能已经发现，我们谈这些方案和技术，实际上都是讲的同一个数据中心内的大二层网络技术，未考虑跨数据中心的情况。

跨数据中心情况下，那么如果要实现跨数据中心的VM动态迁移，就要保证不同数据中心的服务器也都在同一个二层域内。

也就是说要构建一个覆盖所有数据中心的大二层网络。

在讨论跨数据中心的大二层网络时，我们可以从数据中心内的情况往跨数据中心的情况进行延伸。

看看对于釜底抽薪派、移花接木派、瞒天过海派的技术来说，一旦要跨数据中心构建大二层网络时，又会遇到什么？该如何解决？1釜底抽薪派的跨数据中心互联方案釜底抽薪派通过网络设备虚拟化来消除二层网络环路，从而实现大二层网络。

比如通过CSS/iStack技术，把接入、汇聚、核心层的交换机都虚拟成单节点设备。

当釜底抽薪派遇到跨数据中心的情况时，有两种方式可以实现跨数据中心的大二层网络：1.1跨数据中心堆叠这种方式就是把网络设备虚拟化的范围扩大到所有数据中心，把不同数据中心里的交换机堆叠成单台交换机，这种方式就把所有数据中心都当成一体来处理。

但是这种方式要求数据中心之间可以实现堆叠线缆和光纤线路的直连，所以数据中心之间距离一般不能太远，通常不超过10km。

而且最重要的一点，很多企业是不具备自己铺设长距离光纤或者传输设备的条件的。

所以，这种方式局限性非常大，一般很少采用。

1.2L2 over L3如果不具备跨数据中心堆叠的条件，那么想通过纯二层的方式实现跨数据中心的互联就不太现实了。

而在一般情况下，多数据中心之间是通过三层路由互通的，那么就只能把每个数据中心内的二层网络作为大二层网络的一个局部，再把这些局部网络通过L2 over L3的方式进行互联，进而构建一个全局范围的大二层网络。

所谓L2 over L3，是指借助隧道的方式，将二层数据报文封装在三层报文中，跨越中间的三层网络，实现两地二层数据的互通。

BIG-IP®系列2000s应用交付低效、迟延和失败都会导致数百万美元的损失，包括预算浪费、公司名誉受损、系统和应用停机、法律责任以及错失良机等。

BIG-IP® 本地流量管理器是一款出色的应用流量管理系统，可提供业内最智能，最具适应性的解决方案来保护、优化和交付应用，从而确保企业能够在保持高效运营的同时提高其竞争力。

它是业内唯一一款包含整套统一应用基础设施服务的系统，将总体控制、可见性以及灵活性出色地融合到应用安全、性能和交付中。

好处？更高的业务灵敏性和当今企业生命线（应用）的成本实施。

主要优势可靠性提供业内最可靠、最先进的系统，以确保应用始终可用。

应用加速提供无可比拟的控制能力将应用性能提高3倍，确保高优先级应用得以优先处理，同时卸载昂贵的服务器循环。

降低服务器和带宽成本通过丰富的基础设施优化特性将服务器容量增加３倍；同时通过智能HTTP压缩、带宽管理等特性将带宽成本降低80%。

增强网络和应用安全性从拒绝服务（DoS）保护到隐藏，再到过滤应用攻击，BIG-IP添加了多项不能在网络中其它地方实现的关键安全特性。

无可比拟的应用智能与控制特性业内唯一一款可提供完整应用流的解决方案－能够以网速进行全面的有效负载检查和基于事件的可编程流量管理，以及时掌握流量信息，并采取相应措施。

面向所有IP应用的集成解决方案提供可与所有应用（不仅是基于Web的协议(HTTP/S)）相集成的综合解决方案，在单个统一系统内为企业提供了面向所有IP应用（包括传统应用和诸如VOIP等新兴应用）的集中解决方案。

行业领先的性能提供行业内最快的流量管理解决方案，来保护、交付和优化应用性能。

作为行业内当之无愧的领导者，BIG-IP再次刷新了SSL TPS、批量加密以及最大并发SSL连接的业内记录。

简化管理，提高可见性全新的图形用户界面极大地简化了产品配置，提供了针对流量与插件资源的精细可见性，同时支持配置的批量快速修改。

山石网科防火墙在接入方面为我们提供了四个方面的选择1. 透明模式2. 路由模式3. 混合模式4. 旁路模式今天我们简单的看下透明模式的接入，首先我们来看下拓扑图。

通过这样的一个拓扑图我们发现，在防火墙的左边和右边都是连接的同一个网络，但是我们并没有给防火墙分配地址，而是让防火墙透明的存在这个网络中，这种接入方式就是我们的接入方式的透明模式。

既然是透明的，并且没有IP地址，那么我们让他们正常的进行通信就需要通过二层来实现。

山石网科的设备在设备内部默认存在一个虚拟交换机，通过这个交换机来实现二层的互联。

下面我们有两种方式来为配置我们的透明模式，一种是命令行方式，还有一种是网页方式。

一：命令行模式先要把对应的接口划入到对应的zone，如我们的拓扑图所示。

QYTANG(config)# int e0/1QYTANG(config-if-eth0/1)# zone l2-trustQYTANG(config-if-eth0/1)# no shutdownQYTANG(config-if-eth0/1)# exitQYTANG(config)# int e0/2QYTANG(config-if-eth0/2)# zone l2-untrustQYTANG(config-if-eth0/2)# no shutdown现在我们需要在两边的路由器上配置相应的ip地址。

R1(config)#int e0/0R1(config-if)#ip address 10.1.1.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR2(config)#int e0/0R2(config-if)#ip address 10.1.1.2 255.255.255.0R2(config-if)#no shutdownR2(config-if)#exit在没有做策略之前做测试，看是否能够通信。

外网F5配置步骤：一、登录到F5 BIG-IP管理界面：1、初次使用：①、打开F5 BIG-IP电源，用一根网线（直连线和交叉线均可）连接F5 BIG-IP的3.1管理网口和笔记本电脑的网口，将笔记本电脑的IP地址配置为“192.168.1.*”，子网掩码配置为“255.255.255.0”。

②、用浏览器访问F5 BIG-IP的出厂默认管理IP地址https://192.168.1.245或https://192.168.245.245③、输入出厂默认用户名：admin，密码：admin④、点击Activate进入F5 BIG-IP License申请与激活页面，激活License。

⑤、修改默认管理密码。

2、以后登录：通过F5 BIG-IP的自身外网IP登录。

①、假设设置的F5自身外网IP为61.1.1.2，就可以通过https://61.1.1.2/登录。

②、还可以通过SSH登录，用户名为root，密码跟Web管理的密码相同。

二、创建两个VLAN：internal和external，分别表示内网和外网。

1、创建VLAN：internal（内网）在“Network→VLANs”页面点击“create”按钮：①、Name栏填写：internal（填一个英文名称）②、Tag栏填写：4093（填一个数字）③、Interfaces栏：将Available列的“1.1”拉到Untagged列。

1.1表示F5 BIG-IP的第一块网卡。

2、创建VLAN：external（外网）在“Network→VLANs”页面点击“create”按钮创建VLAN：①、Name栏填写：external（填一个英文名称）②、Tag栏填写：4094（填一个数字）③、Interfaces栏：将Available列的“1.2”拉到Untagged列。

1.2表示F5 BIG-IP的第二块网卡。

三、创建F5 BIG-IP的自身IP：分别对应internal（内网）和external（外网）。