Pages

Profiles on F5 Big-ip

POSTED BY :
ON
/

Dùng để thay đổi luồng traffic mặc định thông qua 1 VS cụ thể.

1. Persistence

Dùng để cấu hình cho Virtual Server
Khi có 1 kết nối tới 1 server thì nó sẽ giữ session này cho hết thời gian timeout, và chỉ chuyển các gói tin của client này đến server đó, vì nếu chuyển đến server khác thì gói tin sẽ bị drop.

Nếu nhiều client được NAT trước khi đến VS thì tất cả các request sẽ dc gửi tới 1 pool number. Vì vậy, nếu 1 lượng lớn request của nhóm này gửi đến thì việc phân phối request trên các pool Number sẽ ko đồng đều.

1.1. Source Address Persistence (SAP)

Nếu các client cùng 1 source sẽ được lưu vào persistence record và được đẩy request tới cùng 1 pool number. Có thể dùng netmask là /24 hoặc /32.

==>sử dụng cách này thì F5 sẽ có 1 lượng lớn dư liệu cần xử lý trong persistence record.

1.2. Cookie Persistence (CP)

Khi muốn add thêm các clients trong internal vào Persistence Profile thì sẽ xảy ra nghẽn cục bộ. vì tất cả các internal clients thuộc nhiều subnet /24 khác nhau sẽ match cùng 1 persistence record (NAT ra cùng 1 ip public???) --> sử dụng cùng 1 pool member =>nghẽn.
Sử dụng  SAP trong trường hợp này sẽ dẫn đến tải không đồng đều khi traffic thông qua trên 10 pool member khác nhau.
==> sử dụng CP giúp giải quyết vấn đề  xử lý client internal từ những ứng dụng của họ là http hay web-based.
Có 3 modes CP: (insert mode, Rewrite, Passive mode)
-Insert mode: F5 sẽ insert 1 cookie trong response của server trước khi gửi nó đến client.
                + Bất kể chọn giải pháp cookie nào, thì F5 cũng phải thiết lập tcp với client và kiểm tra request trước khi xử lý cookie hoặc chọn 1 pool member.
                +Với Insert mode, đầu tiên client kết nối tới VS ,các web browser của client ko chưa từng có cookie.
                + F5 nhận thấy nó hiện tại ko có cookie và chuyển nó tới pool member phù hợp. Các member tạo ra 1 http reply tới client maf ko có F5 cookie.
                + F5 sau đó insert 1 cookie với nhãn time và thông tin member cụ thể.
                + Trong thời gian này, khi lần thứ 2 client kết nối tới (còn timeout) thì F5 sẽ đọc cookie và sau đó thực hiện persist. Nếu hết timeout thì làm như ban đầu.
=> Ưu nhược điêm: ưu điểm là các application còn lại ko bị ảnh hưởng, nhược điểm là tăng khối lượng công việc cho F5.

-Rewrite mode: Các Pool member sẽ insert 1 cookie trống, và F5 sẽ viết lại cookie đó với các thông tin thích hợp như pool member.

Ưu điểm : chắc chắn chiều dài giới hạn cookie ko quá 4K. Trong insert mode có thể xảy ra lỗi này.
Nhược điểm: phải cấu hình content servers để thêm vào blank cookie.
-Passive mode: các pool member sẽ insert 1 cookie đúng format and F5 sẽ ko thay đổi nó.

Ưu điểm: giảm tải cho F5
Nhược điểm là: mỗi content server phải tạo ta 1 cấu hình cho F5 cookie.

==>> Vấn đề là ai tạo cookie: F5 alone (insert), server, F5 (rewrite) hay server alone (passive)
* có 2 vấn về hạn chế của CP là
1. CP chỉ cover đc http protocol
2. nếu users disable cookie, hoặc time,date trên pc bị off sẽ ko dc gửi từ browser client đến F5 để kiểm tra .
(*) Cấu hình cookie: phải cấu hình TCP profile và http profile trước, vì nó phụ thuộc.


Administrative state : dùng khi maintain
-Có 3 trạng thái members và nodes
            + Enable: cho phép tất cả các traffic: kết nối mới, persistence sessions và các kết nối hiện đang mở.
            + Disabled: chấp nhận những kết nối mới, nhưng chỉ trả lời clients những kết nối chưa hết timeout persistence
            +  Forced Offine: chỉ phục vụ những kết nối hiện đang mở(đang thao tác).
   =>khác nhau giữa Disabled và Forced Offine là có cookie persistence. Nếu Disable ko có Persistence Record thì giống Forced Offine.

2. SSL termination

Khi client gửi gói https đến server, mà F5 muốn đọc content của gói tin thì phải làm thế nào??
Phải dùng ssl profile, để session ssl chấm dứt tại F5 chứ không phải tại server vì những lý do sau.
- F5 chứa đựng phần cứng tăng tốc ssl. F5 có thể tăng tốc độ xử lý ssl.
- Cho phép server dành chu kỳ CPU của nó phục vụ nội dung gói tin hơn là việc giải mã và mã hóa ssl.
- Quản trị certificate dễ dàng hơn vì admin chỉ cần cài đặt ssl certificate trên 1 thiết bị(f5) hơn là trên mỗi pool member.
- Cho phép iRule xử lý và cookie persistence ( nếu ssl sd giữa client vs server thì F5 sẽ ko đọc được data và sẽ ko sử dụng dc cookie persistence).
- F5 có chứa card ssl accelerator, là gia tăng tốc độ trao đổi khóa và mã hóa vì nó thực hiện phần lớn trên phần cứng. Giúp tiết kiệm tiền cho việc mua ssl accelerator card cho mỗi server.

Nếu bất kỳ vị trí nào cũng cần phải mã hóa(việc này sẽ làm tăng thời gian xử lý) thì làm như sau:

Lời khuyên răng: khi sử dụng ssl certificate thì nên như sau: đối với mạng internal thì sử dụng ssl cer self-sign, còn đối với internet thì sử dụng(mua) cer từ 1 CA nào đó
Các bước khi sử dụng ssl Certificate (có thể self-sign hay mua)
(*) Các generate / import ssl (
- Import ssl mua từ 1 CA
--

- Generate ssl self-signed
Nơi lưu trữ Cer này trên F5 là
Bước 2:
Bước 3:
Tạo Server ssl profile


 

3. FPT profile

4 . Profile service

4.1. HTTP


- Fallback host: khi tất cả các thành viên trong pool hoặc pool number không sẵn sàng thì nó sẽ redirect tới 1 ip hoặc 1 url đã cấu hình (eg: client đang request tới vs:10.10.1.100 và cấu hình fallback vs: http://10.10.1.101 ==> khi các number trong pool của vs 100 ko sẵn sàng thì sẽ chuyển sang 101)
thudinh Network and Security

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

Adsense

Translate

Copyright © THU DINH. Created By