CCNP 筆記本

2010 年 03 月 31 日

ServerIron 筆記

Filed under: Foundry — nkongkimo @ 00:29:24

WSM(WEB Switching Managment)的比較

Capacity WSM6-1 WSM6-2 WSM6
concurrent session 5M 10M 15M
CPU Clocl speed 1GHz 1GHz 1GHz
Number of WSP’s 1 2 3
Packet Buffer Size 256MB 256MB 256MB

 

SLB(Server Load Balancing)

1.利用VIP來達到SLB的功能
2.有health Checks的機制 會自動偵測Real Server有沒有活著
3.提供dos、syn的攻擊

 

GSLB(Global Server Load Balancing)

1.需要有DNS的協助
2.利用在跨國的公司
3.最大的好處是可以跨國家
4.基本上第一次會走比較遠的路
5.當SI啟用GSLB時 dns的flash時間會被變更為5分鐘

 

Health Check的機制

L3:ARP or Ping
ARP:Real server 會被排除
Ping:使用ping去偵測Real server
每2秒Ping一次,連續4測沒有回應表示Real Server down
L4:TCP or UDP
TCP:當Real server被綁到VIP上面才會被偵測
TCP會只用3 way handshake的方式偵測:
1.SI會送出TCP SYN的封包
2.Real server會回TCP SYN+ACK的封包
3.SI接收到封包,會在回應TCP Reset的封包
UDP: 查看Real server有沒有回應ICMP Unreachable response的訊息
1.SI 會送出Garbage的封包給Real server
2.SI要是收到ICMP port Unreachable的封包表示Real Server目前down
3.SI要是沒有收到任何回應的訊息表示Real Server是alive的.
L7:Application Aware
1.SI會使用application Aware的方式針對已知的application,若是用戶自行定義的會用TCP or UDP的方式偵測
2.預測L7的偵測是關閉的,在定義的服務上使用keepalive的指令啟用L7的health check.

 

Health Check 的狀態

  Server Application
ENABLE 沒有link連到real server 沒有連到server
FAILED Real server沒有回應 L3的health check Application沒有回應 L4&L7的health check
TEST L3的health check有成功,但是L7的health check沒有回應 L3的health check有成功,但是L7的health check沒有回應
SUSPECT 增加最後回應與傳送的時間 增加最後回應與傳送的時間
GRACE_DN Gracefl Shutdown的訊息 Gracefl Shutdown的訊息
ACTIVE 全部的Server都完成檢測 Application都完成檢測
UNBND N/A Application 沒有綁到VIP上面

 

Application Security Function

DDoS攻擊的保護 SI可以當做SYN-Cookie 可以設定clint多久要回ACK
#ip icmp burst-normal 10 burst-max 100 lockuo 300
每秒10個ping 超過100個 300秒不收icmp的封包
Rate Limiting Connection的限制 可以限制connection的數量
SPAM的保護 要搭配sFlow

 

SLB Packet Walk

1.Dest MAC 會在第一個欄位,因為在sw的運作模式,會先看Dest MAC
2.基本上Src IP跟Dest IP都不會變,但是在經過SI時會被NAT,可以觀察第3跟第4流程.
3.Source NAT會發生在當real server要把封包送到SI的時候
4.基本上經過SI的VIP會被Dest NAT
5.若要多個VIP導到同一台real的同一個port可以使用no port http translate ,表示不管VIP的http bind那一個port 都會被導到http

 

DSR(Direct Server Return) Packet walk

1.會使用DSR是因為不想SI放在骨幹上,可能會是一個Bottleneck.
2.再來就是可能只需要導http or https的traffic
3.只需要在VIP上面輸入port http dsr即可,表示告知SI traffic只需要由外部來一次,不會再由SI流回去,看session table的時候不會有Return的traffic
4.需要在real-server設定loopback IP(IP相同VIP的ip)
5.DSR不需要設定Source-NAT
6.可以觀察到VIP的IP與Real-server的loopback介面相同,故再packet回去的時候不需要用到Source-NAT.
7.需要在router的介面上設定一個loopback ip

 

TCS(Transparent Cache Switching)

1.好處可以降低對外頻寬的使用率
2.可以使用多台cache達到load balance的效果
3.加速LAN瀏覽網頁的速度
4.可以使用cahe來filter網頁的內容
5.可針對ip URL 服務來做導向
6.可以降低server 查詢的loading
7.有外部進來的traffic也可以使用TCS,只有方向相反。
8.Cache必須接在SI上面
9.TCS最主要是針對Http & SSL的部份
10.TCS有防呆的機制,只要是cache server的IP不會有cache的機制,預設TCS會套用到所有的port
11.當所有的cache server都crash時,http/https會直接導到Internet
12.一台SI可以有4個cache-group
13.預設所有的port都套用cache-group 1
設定範例:
1.建立cache server:
   #server cache-name CS1 A.B.C.D
2.建議cache group
  #server cache-group 1
   #cache-name CS1
3.啟用TCS的功能
   #ip policy 1 cache tcp http global(local)
*global表示所有的port都套用
*local表示要手動對port宣告 那些port要使用cache
設定細節:
1.使用no-cache-group 定義這一個port不要啟用cache的服務
2.可以在cache server的設定模式下宣告:
   max-connction
   weight
   no port http keeplive
  description……等
3.可以是用hash mask來進行分流
IP Filter
使用Filter來過濾哪些要導到cache 哪些不導到cache
ip filter 1 deny any 目的地ip mask tcp eq http
ip filter 2 permit any any
套用到cache server上
廣告

2010 年 03 月 13 日

ARP 協定

Filed under: 網路基本服務原理 — nkongkimo @ 19:52:11

這裡我們要介紹的是 Address Resolution Protocol (ARP)。 ARP 是 TCP/IP 設計者利用乙太網的廣播性質﹐設計出來的位址解釋協定。它的主要特性和優點是它的位址對應關係是動態的﹐它以查詢的方式來獲得 IP 位址和實體位址的對應。它的工作原理非常簡單﹕

1. 首先﹐每一台主機都會在 ARP 快取緩衝區 (ARP Cache)中建立一個 ARP 表格﹐用來記錄 IP 位址和實體位址的對應關係。這個 Table 的每一筆資料會根據自身的存活時間遞減而最終消失﹐以確保資料的真實性。

2. 當發送主機有一個封包要傳送給目的主機的時候﹐並且獲得目的主機的 IP 位址﹔那發送主機會先檢查自己的 ARP 表格中有沒有該 IP 位址的實體位址對應。如果有﹐就直接使用此位址來傳送框包﹔如果沒有﹐則向網路發出一個 ARP Request 廣播封包﹐查詢目的主機的實體位址。這個封包會包含發送端的 IP 位址和實體位址資料。

3. 這時﹐網路上所有的主機都會收到這個廣播封包﹐會檢查封包的 IP 欄位是否和自己的 IP 位址一致。如果不是則忽略﹔如果是則會先將發送端的實體位址和 IP 資料更新到自己的 ARP 表格去﹐如果已經有該 IP 的對應﹐則用新資料覆蓋原來的﹔然後再回應一個 ARP Reply 封包給對方﹐告知發送主機關於自己的實體位址﹔

4. 當發送端接到 ARP Reply 之後﹐也會更新自己的 ARP 表格﹔然後就可以用此紀錄進行傳送了。

如果發送端沒有得到 ARP Reply ﹐則宣告查詢失敗。

ARP 的查詢過程可參考下圖﹕

 

前面說的 ARP 表格﹐只有在 TCP/IP 協定被載入核心之後才會建立﹐如果 TCP/IP 協定被卸載或關閉機器﹐那麼表格就會被清空﹔到下次協定載入或開機的時候再重新建立﹐而同時會向網路發出一個 ARP 廣播﹐告訴其它機器它的目前位址是什麼﹐以便所有機器都能保持最正確的資料。

然而﹐ARP cache 的大小是有所限制的﹐如果超過了界限﹐那麼越長時間沒被使用過渡資料就必須清理掉﹐以騰出空間來儲存更新的資料。所以﹐當機器收到 ARP equest 封包時﹐如果查詢對象不是自己﹐則不會根據發送端位址資料來更新自己的 ARP 表格﹐而是完全忽略該封包。同時﹐每筆存在 cache 中的資料﹐都不是永久保存的﹕每筆資料再更新的時候﹐都會被賦予一個存活倒數計時值﹐如果在倒數時間到達的時候﹐該資料就會被清掉。然而﹐如果該資料在倒數時間到達之前被使用過﹐則計時值會被重新賦予。

當然了﹐ARP 尚有一套機制來處理當 ARP 表格資料不符合實際位址資料的狀況(例如﹐在當前連線尚未結束前﹐收到目的端的位址資料更新訊息)﹔或是目的主機太忙碌而未能回答 ARP 請求等狀況。

ARP 和 RARP 之封包格式

讓我們溫習前面討論 OSI 層級時提到的乙太網路框包格式﹕

乙太網的框包格式

我們可以發現標準的乙太網框包其中有一段 46 到 1500 byte 長度的數據空間﹐假如這是一個 ARP 封包的話﹐那麼該段數據空間就用來包裝整個 ARP 封。ARP 和 RARP 的封包格式是一模一樣的﹕

ARP / ARAP 封包格式

下面我們就封包中每一欄位做一個簡單的說明﹕

Hardware Type

這是指網路界面卡的種類﹐如果該值為 1﹐則表示為乙太網 ( Ethernet )。

Protocol Type

這是指上層網路協定位址種類﹐如果該值為 0x0800﹐則表示為 IP 位址格式。

Hlen

這是指硬體位址長度(單位為 byte)﹐乙太網的位址長度為 6 。

Plen

這是指網路協定位址的長度(單位為 byte)﹐IP 協定位址長度為 4。

Operation

這是指封包類別﹐一共有四種﹕

1 ARP Request

2 ARP Reply

3 RARP Request

4 RARP Reply

Sender HA (Source MAC)

這是指發送端的實體位址﹐如果是乙太網的話﹐將會是一個 6 byte 長度的乙太網位址。

Sender IP(source IP)

這是指發送端的 IP 位址﹐會是一個 4 byte 長度的 IP 位址。

Traget HA(Destination MAC)

這是指目的端的實體位址﹐如果是乙太網的話﹐將會是一個 6 byte 長度的乙太網位址。

Target IP(Destination IP)

這是指目的端的 IP 位址﹐會是一個 4 byte 長度的 IP 位址。

ARP 之 RFC 文件

ARP 的詳細資料可以查詢 RFC-826﹑RFC-814﹑以及 RFC-1166 等文件。而 RARP 的資料則可以參考 RFC-903﹑RFC-906﹑還有 RFC-1293 等文件。

在WordPress.com寫網誌.