所有BIG-IP硬件和软件产品都以F5专有的操作系统TMOS为基础,该系统提供统一的智能、灵活性和可编程性。凭借其应用控制层面体系结构,TMOS使能控制应用所需的加速、安全性和可用性服务。
利用TMOS的开放式API:在TMOS基础上构建的F5产品通过开放式API提供灵活性。应用可以使用icontrol API提示基于TMOS的设备控制流量并最大限度地提高性能。
TMOS路由管理 1、Interfaces(接口) 1.1 BIG-IP系统接口介绍 BIG-IP ®系统配置的一项关键任务是配置 BIG-IP 系统接口。BIG-IP 系统上的接口是用于将 BIG-IP 系统连接到网络上其他设备的物理端口。这些其他设备可以是下一跳路由器、第 2 层设备、目标服务器等。通过其接口,BIG-IP 系统可以将流量转发到或来自其他网络设备。
术语interface指 BIG-IP 系统上的物理端口。
每个 BIG-IP 系统都包含多个接口。BIG-IP 系统上的确切接口数量取决于平台类型。
BIG-IP 系统有两种类型的接口:
一个管理接口
这管理接口是专用于执行一组特定系统管理功能的特殊接口。
TMM 开关接口
TMM 开关接口是 BIG-IP 系统用来发送或接收应用程序流量(即计划用于应用程序交付的流量)的那些接口。
BIG-IP 系统上的每个接口都具有独特的属性,例如 MAC 地址、媒体速度、双工模式以及对链路层发现协议 (LLDP) 的支持。
除了配置接口属性之外,您还可以实现一个称为接口镜像,您可以使用它来将流量从一个或多个接口复制到另一个。您还可以查看每个接口上的流量统计信息。
一旦您配置了每个接口的属性,您就可以配置 BIG-IP 系统的其他几个功能来控制接口的操作方式。例如,通过创建虚拟局域网 (VLAN) 并为其分配接口,BIG-IP 系统可以将 VLAN ID 或标记插入通过这些接口的帧中。这样,单个接口可以为多个 VLAN 转发流量。
BIG-IP 系统支持链路层发现协议 (LLDP)。LLDP 是第 2 层行业标准协议 (IEEE 802.1AB),它使 BIG-IP 系统等网络设备能够向网络上的多供应商邻居设备通告其身份和功能。该协议还使网络设备能够接收来自相邻设备的信息。
LLDP 以称为 LLDP 数据单元 (LLDPDU) 的 LLDP 消息的形式传输设备信息。一般来说,这个协议:
* 向同一 IEEE 802 LAN 上的相邻设备通告有关本地 BIG-IP 设备的连接和管理信息。
* 从同一 IEEE 802 LAN 上的相邻设备接收网络管理信息。
* 适用于所有 IEEE 802 访问协议和网络媒体。
使用 BIG-IP 配置实用程序或tmsh,您可以配置 BIG-IP 系统接口以发送或接收 LLDPDU。更具体地说,您可以:
* 指定 BIG-IP 系统接口传输到相邻设备的 LLDPDU 的确切内容。您可以通过在每个单独的接口上配置 LLDP 属性设置来指定此内容。
* 全局指定各种消息传输属性的频率,并指定每个接口可以接收消息的邻居数量。这些属性适用于 BIG-IP 系统上的所有接口。
此图显示了一个本地启用 LLDP 的 BIG-IP 系统,配置为从 LAN 上的相邻设备发送和接收 LLDP 消息。
发送和接收 LLDPDU 的本地 BIG-IP 系统
当 BIG-IP ®系统接口接收到来自相邻设备的 LLDP 消息时,BIG-IP 系统会显示有关这些消息内容的机箱、端口和系统信息。具体来说,系统会显示每个邻居的标准 TLV 值。这些 TLV 是:
机箱编号
标识包含与传输 LLDP 代理关联的 IEEE 802 LAN 站的机箱。
端口号
标识与传输 LLDP 代理关联的媒体服务接入点 (MSAP) 标识符的端口组件。
端口说明
描述接口的字母数字字符串。
系统名称
一个字母数字字符串,指示相邻设备的管理分配名称。
系统描述
一个字母数字字符串,它是网络实体的文本描述。系统描述应包括邻居设备的硬件类型、软件操作系统和联网软件的全名和版本标识。
系统能力
系统的主要功能以及这些主要功能是否启用。
管理地址
与用于到达更高层实体的本地 LLDP 代理关联的地址。此 TLV 还可能包括与管理地址关联的系统接口编号(如果已知)。
BIG-IP ®系统上的每个接口都有一组可以配置的属性,例如启用或禁用接口、设置请求的媒体类型和双工模式以及配置流量控制。配置每个接口的属性是您在 BIG-IP 系统上运行设置实用程序后首先要做的任务之一。虽然您可以更改其中一些属性,例如媒体速度和双工模式,但您不能更改其他属性,例如媒体访问控制 (MAC) 地址。
您可以通过配置生成树协议之一在接口上配置与 STP 相关的属性。
在配置接口属性之前,了解接口命名约定会很有帮助。只有具有管理员或资源管理员用户角色的用户才能创建和管理界面。
按照惯例,BIG-IP ®系统上的接口名称使用格式< s>.< p> ,其中s 是网络接口卡(NIC) 的插槽号,p 是NIC 上的端口号。接口名称的示例是1.1, 1.2, 和2.1、BIG-IP 系统接口已经分配了名称;您没有明确分配它们。
接口命名约定的一个例外是管理接口,它有一个特殊的名称,MGMT。
使用 BIG-IP 配置实用程序,您可以显示一个屏幕,其中列出了所有 BIG-IP 系统接口及其当前状态 (向上或者向下)。您还可以查看有关每个接口的其他信息:
* 接口的MAC地址
* 接口可用性
* 媒体类型
* 媒体速度
* 活动模式(如完全)
当您要评估特定接口转发流量的方式时,此信息很有用。例如,您可以使用此信息来确定接口当前正在为其转发流量的特定 VLAN。您还可以使用此信息来确定接口当前运行的速度。
1.7 接口状态您可以启用或禁用 BIG-IP ®系统上的接口。默认情况下,每个接口都设置为启用,它可以接受入口或出口流量。当您将接口设置为禁用时,接口将无法接受入口或出口流量。
1.8 固定请求的媒体Fixed Requested Media 属性显示接口自动检测接口的双工模式。
1.9 关于流量控制 您可以配置接口处理暂停帧以进行流量控制的方式。Pause frames是接口发送到对等接口的frames,作为控制从该对等接口传输的frame的一种方式。暂停对等方的frame传输可防止接口的先进先出 (FIFO) 队列填满并导致数据丢失。此属性的可能值为:
暂停 无
禁用流量控制。
暂停发送/接收
指定接口接受来自其对等体的暂停frames,并在必要时生成暂停frames。这是默认值。
暂停发送
指定接口忽略来自其对等体的暂停frames,并在必要时生成暂停frames。
暂停接收
指定接口接受来自其对等体的暂停frames,但不生成暂停frames。
仅当系统包含 ePVA 硬件支持时,以太网类型属性才会出现在 BIG-IP ®配置实用程序中。一个醚型是以太网帧中的两个八位字节字段,用于指示封装在负载中的协议。当接口或中继与 IEEE 802.1QinQ(双标记)VLAN 关联时,BIG-IP 系统使用此属性的值。默认情况下,系统将此值设置为 0x8100
1.11 关于 LLDP 属性 LLDP 属性是您可以为特定接口配置的与 LLDP 相关的两个属性之一。此设置的可能值为:
已禁用
设置为该值时,接口既不会向相邻设备传输(发送)LLDP 消息,也不会从相邻设备接收 LLDP 消息。
仅传输
设置为该值时,接口将 LLDP 消息传输到邻居设备,但不接收来自邻居设备的 LLDP 消息。
只接收
设置为该值时,接口从邻居设备接收 LLDP 消息,但不向邻居设备传输 LLDP 消息。
发送和接收
设置为该值时,接口将 LLDP 消息传输到相邻设备并从相邻设备接收 LLDP 消息。
除了可以为每个接口配置的 LLDP 相关设置之外,您还可以配置一些适用于系统上所有接口的全局 LLDP 设置。
此外,您可以查看有关已将 LLDP 消息传输到本地 BIG-IP ®系统的任何相邻设备的统计信息。
这LLDP 属性设置是您可以为特定接口配置的与 LLDP 相关的两个设置之一。您可以使用此接口设置来指定正在发送或接收的 LLDP 消息的内容。您使用此设置指定的每个 LLDP 属性都是可选的,并且采用类型、长度、值 (TLV) 的形式。
机箱编号
标识包含与传输 LLDP 代理关联的 IEEE 802 LAN 站的机箱。此 TLV 仅适用于 VIPRION 平台。
端口说明
包含描述接口的字母数字字符串。如果实施 RFC 2863,请使用如果描述 该字段的对象。
系统名称
包含一个字母数字字符串,指示系统管理分配的名称。的价值系统名称LLDP 消息中的字段应该是系统的完全限定域名 (FQDN)。如果实现支持 IETF RFC 3418,请使用 系统名称 该字段的对象。
系统描述
包含一个字母数字字符串,它是网络实体的文本描述。这 系统描述LDDP 消息中的字段应包括系统硬件类型、软件操作系统和网络软件的全名和版本标识。如果实现支持 IETF RFC 3418,请使用系统描述 该字段的对象。
系统能力
系统的主要功能以及这些主要功能是否启用。
端口 VLAN ID
允许 VLAN 桥接端口通告与未标记或优先标记帧关联的端口 VLAN 标识符 (PVID)(请参阅 IEEE 802.1Q-1998, 8.4.4)。
VLAN 名称
允许与 IEEE 802.1Q 兼容的 IEEE 802 LAN 站通告其配置的任何 VLAN 的分配名称。这VLAN 名称LLDP 消息中的字段必须包含 VLAN 名称。如果实现支持 IETF RFC 2674,请使用 dot1QVLANStaticName 该字段的对象。
端口和协议 VLAN ID
允许网桥端口通告端口和协议 VLAN ID。这端口和协议 VLAN IDLLDP 消息中的字段必须包含此 IEEE 802 LAN 站的 PPVID 编号。如果端口不支持端口和协议 VLAN 和/或端口未启用任何端口和协议 VLAN,则 PPVID 编号应为零。
协议标识
允许 IEEE 802 LAN 站通告可通过端口访问的特定协议。这协议标识LLDP 消息中的字段必须包含发送方需要通告的第 2 层地址(例如,以 Ethertype 字段开头)之后的协议的前 n 个八位字节。n 的值取决于协议消除歧义的需要。协议信息字符串必须包含足够的八位位组,以允许接收方正确识别协议及其版本。例如,要宣传生成树协议,协议标识字段必须包含至少八个八位字节:IEEE 802.3 长度(两个八位字节)、LLC 地址(两个八位字节)、IEEE 802.3 控制(一个八位字节)、协议 ID(两个八位字节)、和协议版本(一个八位字节)。
PAC/PHY 配置状态
标识以下信息: 连接到物理介质的发送 IEEE 802.3 LAN 节点的双工和比特率能力。发送 IEEE 802.3 LAN 节点的当前双工和比特率设置。这些设置是链路启动期间自动协商的结果还是手动设置覆盖操作的结果。
链路聚合
链路聚合能力和链路当前聚合状态的位图。
最大帧大小
指示实现的 MAC 和 PHY 的最大帧大小能力。该值必须是一个整数,以八位字节表示支持的最大帧大小,由以下内容确定: 如果 MAC/PHY 仅支持 IEEE Std 802.3-2002 的 3.1.1 中定义的基本 MAC 帧格式,请将其设置为 1518 、如果 MAC/PHY 支持 IEEE 802.3-2002 中定义的标记 MAC 帧的基本 MAC 帧格式的扩展,请将其设置为 1522。如果 MAC/PHY 支持的 MAC 帧格式的扩展不同于任一以上,将其设置为支持的最大值。
产品型号
BIG-IP 产品模型。
管理地址
与用于到达更高层实体的本地 LLDP 代理关联的地址。此 TLV 还可能包括与管理地址关联的系统接口编号(如果已知)。如果 BIG-IP 系统配置了两个管理 IP 地址(IPv4 和 IPv6),则这两个 IP 地址都包含在 LLDP 消息的内容中。
BIG-IP ®系统上的每个物理接口都有一个可以设置的转发模式。这转发模式接口上的设置有以下值可供选择:
转发
这是 BIG-IP 系统上接口的正常默认操作模式。在这种模式下,BIG-IP 根据其内部指令转发接口接收到的数据。
被动的
BIG-IP 接口接受从另一个网络设备镜像的客户端或服务器流量,并通过流量管理微内核 (TMM) 进行处理。但是,系统从不将流量转发出 BIG-IP 系统。相反,BIG-IP 系统通常在收集分析和记录数据并将其发送到分析/记录服务器之后丢弃流量。这种模式有时被称为跨度模式.
虚拟线
该接口是虚拟线路的一部分。一个虚拟线逻辑上以任意组合将两个接口或中继相互连接,使 BIG-IP 系统能够将流量从一个接口转发到另一个接口,在任一方向。这种类型的配置通常用于安全监控,其中 BIG-IP 系统检查入口数据包而不以任何方式修改它们。
交换机端口分析器端口,或跨度端口, 是一个在被动模式下运行的接口。您可以在网络上部署以被动模式运行的 BIG-IP 设备,以非侵入方式收集流量数据。然后,您可以使用收集的数据进行流量分析和可见性。
这可以用于不同的应用程序。以下是将 BIG-IP 接口设置为被动模式的一些原因:
* 收集 HTTP AVR 分析
* 检测 DDoS 攻击
* 收集 PEM 提供的应用程序分析以及订阅者意识
* 使用报告可能的侵权行为的防火墙服务
* 分析交通行为
出于可靠性原因,您可以配置称为接口镜像的功能。当你配置接口镜像,您使 BIG-IP 系统将一个或多个接口上的流量复制到您指定的另一个接口。缺省情况下,接口镜像功能处于关闭状态。
1.16 相关配置任务 在 BIG-IP ®系统上配置接口后,您执行的主要任务之一是将这些接口分配给您创建的虚拟 LAN (VLAN)。一个VLAN是位于同一 IP 地址空间中的局域网 (LAN) 上主机的逻辑子集。当您将多个接口分配给单个 VLAN 时,发往该 VLAN 中主机的流量可以通过这些接口中的任何一个到达其目的地。相反,当您将单个接口分配给多个 VLAN 时,BIG-IP 系统可以将该单个接口用于那些打算用于这些 VLAN 中的主机的任何流量。
另一个可用于 BIG-IP 系统接口的强大功能是具有链路聚合的中继。一个树干是一个在逻辑上将物理接口组合在一起以增加带宽的对象。链路聚合通过使用行业标准的链路聚合控制协议 (LACP),提供对链路状态的定期监控,以及在接口不可用时进行故障转移。
最后,您可以配置 BIG-IP 系统接口以使用生成树协议(STP、RSTP 和 MSTP)之一。 生成树协议 通过阻止重复路由以防止桥接环路来减少内部网络上的流量。