CCNP 筆記本

2010 年 03 月 31 日

ServerIron 筆記

Filed under: Foundry — nkongkimo @ 00:29:24

WSM(WEB Switching Managment)的比較

Capacity WSM6-1 WSM6-2 WSM6
concurrent session 5M 10M 15M
CPU Clocl speed 1GHz 1GHz 1GHz
Number of WSP’s 1 2 3
Packet Buffer Size 256MB 256MB 256MB

 

SLB(Server Load Balancing)

1.利用VIP來達到SLB的功能
2.有health Checks的機制 會自動偵測Real Server有沒有活著
3.提供dos、syn的攻擊

 

GSLB(Global Server Load Balancing)

1.需要有DNS的協助
2.利用在跨國的公司
3.最大的好處是可以跨國家
4.基本上第一次會走比較遠的路
5.當SI啟用GSLB時 dns的flash時間會被變更為5分鐘

 

Health Check的機制

L3:ARP or Ping
ARP:Real server 會被排除
Ping:使用ping去偵測Real server
每2秒Ping一次,連續4測沒有回應表示Real Server down
L4:TCP or UDP
TCP:當Real server被綁到VIP上面才會被偵測
TCP會只用3 way handshake的方式偵測:
1.SI會送出TCP SYN的封包
2.Real server會回TCP SYN+ACK的封包
3.SI接收到封包,會在回應TCP Reset的封包
UDP: 查看Real server有沒有回應ICMP Unreachable response的訊息
1.SI 會送出Garbage的封包給Real server
2.SI要是收到ICMP port Unreachable的封包表示Real Server目前down
3.SI要是沒有收到任何回應的訊息表示Real Server是alive的.
L7:Application Aware
1.SI會使用application Aware的方式針對已知的application,若是用戶自行定義的會用TCP or UDP的方式偵測
2.預測L7的偵測是關閉的,在定義的服務上使用keepalive的指令啟用L7的health check.

 

Health Check 的狀態

  Server Application
ENABLE 沒有link連到real server 沒有連到server
FAILED Real server沒有回應 L3的health check Application沒有回應 L4&L7的health check
TEST L3的health check有成功,但是L7的health check沒有回應 L3的health check有成功,但是L7的health check沒有回應
SUSPECT 增加最後回應與傳送的時間 增加最後回應與傳送的時間
GRACE_DN Gracefl Shutdown的訊息 Gracefl Shutdown的訊息
ACTIVE 全部的Server都完成檢測 Application都完成檢測
UNBND N/A Application 沒有綁到VIP上面

 

Application Security Function

DDoS攻擊的保護 SI可以當做SYN-Cookie 可以設定clint多久要回ACK
#ip icmp burst-normal 10 burst-max 100 lockuo 300
每秒10個ping 超過100個 300秒不收icmp的封包
Rate Limiting Connection的限制 可以限制connection的數量
SPAM的保護 要搭配sFlow

 

SLB Packet Walk

1.Dest MAC 會在第一個欄位,因為在sw的運作模式,會先看Dest MAC
2.基本上Src IP跟Dest IP都不會變,但是在經過SI時會被NAT,可以觀察第3跟第4流程.
3.Source NAT會發生在當real server要把封包送到SI的時候
4.基本上經過SI的VIP會被Dest NAT
5.若要多個VIP導到同一台real的同一個port可以使用no port http translate ,表示不管VIP的http bind那一個port 都會被導到http

 

DSR(Direct Server Return) Packet walk

1.會使用DSR是因為不想SI放在骨幹上,可能會是一個Bottleneck.
2.再來就是可能只需要導http or https的traffic
3.只需要在VIP上面輸入port http dsr即可,表示告知SI traffic只需要由外部來一次,不會再由SI流回去,看session table的時候不會有Return的traffic
4.需要在real-server設定loopback IP(IP相同VIP的ip)
5.DSR不需要設定Source-NAT
6.可以觀察到VIP的IP與Real-server的loopback介面相同,故再packet回去的時候不需要用到Source-NAT.
7.需要在router的介面上設定一個loopback ip

 

TCS(Transparent Cache Switching)

1.好處可以降低對外頻寬的使用率
2.可以使用多台cache達到load balance的效果
3.加速LAN瀏覽網頁的速度
4.可以使用cahe來filter網頁的內容
5.可針對ip URL 服務來做導向
6.可以降低server 查詢的loading
7.有外部進來的traffic也可以使用TCS,只有方向相反。
8.Cache必須接在SI上面
9.TCS最主要是針對Http & SSL的部份
10.TCS有防呆的機制,只要是cache server的IP不會有cache的機制,預設TCS會套用到所有的port
11.當所有的cache server都crash時,http/https會直接導到Internet
12.一台SI可以有4個cache-group
13.預設所有的port都套用cache-group 1
設定範例:
1.建立cache server:
   #server cache-name CS1 A.B.C.D
2.建議cache group
  #server cache-group 1
   #cache-name CS1
3.啟用TCS的功能
   #ip policy 1 cache tcp http global(local)
*global表示所有的port都套用
*local表示要手動對port宣告 那些port要使用cache
設定細節:
1.使用no-cache-group 定義這一個port不要啟用cache的服務
2.可以在cache server的設定模式下宣告:
   max-connction
   weight
   no port http keeplive
  description……等
3.可以是用hash mask來進行分流
IP Filter
使用Filter來過濾哪些要導到cache 哪些不導到cache
ip filter 1 deny any 目的地ip mask tcp eq http
ip filter 2 permit any any
套用到cache server上
廣告

2010 年 01 月 18 日

Foundry ServerIron 匯入SSL憑證

Filed under: Foundry, 未分類 — nkongkimo @ 12:03:45

建立一個SSL Key
To generate a Secure Sockets Layer (SSL) key, follow these steps:
1.    Click the Security button in the context bar.

2.    進入 SSL Switching link.

3.    點選 SSL Keys tab

4.點選“ Key Generation on ServerIron”的箭頭,可以看到建立SSL的參數.

5.    輸入以下資訊:
•      Key File Name: For example, sslkey2

•      Encryption Algorithm: Only RSA is currently supported

•      Key Length: Choose from the entries in the drop down list. The default is 1024.

•      Password: For example, foundry will be the password for the key file.

6.    Click Generate.
若SSL Key建立成功會出現 "The operation was successful" 的文字並且會顯示在SSL Summary裡面.

2010 年 01 月 17 日

Foundry Note

Filed under: Foundry, 未分類 — nkongkimo @ 17:47:04

Web Switching Modules 6硬體架構

WSM6(Web Switching Modules)是Foundry網路設備的管理模組,Traffic從連接Port進入ServerIron後,會由WSM6模組接手,然後再將處理後的資料,透過連接埠輸出到其他網路設備。

WSM6上共有2種處理器模組,分別是BP(Barrel Processors)及MP(Management Processor),BP處理Layer 4~7層的封包資料,MP負責管理設備情況,而Layer 3的路由服務則可能是MP或BP處理,當我們進入管理介面時,都是由MP處理指令,然後再交給BP處理封包。

目前WSM6分為WSM6、WSM6-1及WSM6-2等3種模組,每個模組具備1個MP,差別在於WSM6有3個BP、WSM6-2有2個BP、WSM6-1有1個BP。

值得注意的是,WSM6還有整合SSL加速的模組WSM6-SSL-1(1個BP)及WSM6-SSL-2(2個BP),若不想讓WSM6板卡同時處理SSL加速,還可以額外採購獨立的SSL加速模組板卡,有助於專門處理SSL資料。

WSM7=有1個MP和3個BP,與WSM6相比只有BP的PROCESS處理效能比較好

SRVC-SSL6-1 Module 專注在SSL的服務有1個BP專門在處理SSL的Traffic

SRVC-SSL6-2 Module 專注在SSL的服務有2個BP專門在處理SSL的Traffic

建議事項

WSM6、7建議插在solt1的插槽上
若有2個WSM要插在同一個Chassis裡面必須要相同的行號
你不可混插IronCore和JetCore 在同一個Chassis的設備上
插2片WSM模組就有2倍的效能,加上Redundancy的效果
WSM6-1 and WSM6-2 支援 IronCore的模組

 

WSM模組的燈號狀況

Reset Button
在面板的右方有一個小凹洞就是Reset Burron的按鈕。

 

SRVC-SSL6 Module

 

更新硬體/軔體步驟:

詳細可以查看releaseNode會更清楚

1.Power down the chassis and remove the Web Switching Management Module from the chassis and place it  on a static-free work area.

  關閉電源移除WSM 並插入新的WSM

2.Copy the flash code and startup-config files that are currently in flash memory onto a TFTP server for backup.

  儲存Flash code和設定檔在TFTP Server

3. Copy the MP boot code and WSM CPU boot code onto a TFTP server to which the ServerIron has network access.

  儲存MP Boot code和CPU Boot code在TFTP Server

4.Enter the following command at the Privileged Exec level of the CLI to copy the MP boot code onto the ServerIron

  輸入指令把MP Boot code上傳到ServerIron 

  copy tftp flash <ip-addr> <image-file-name> boot

5. Enter the following command at the Privileged Exec level of the CLI to copy the WSM CPU boot code onto the ServerIron:

   輸入指令把WSM CPU boot code 上傳到 ServerIron

   wsm copy tftp flash <ip-addr> <image-file-name> boot

6. Enter the following command to at the Privileged Exec level of the CLI to copy the MP flash code onto the ServerIron:

   輸入指令把WSM MP flash code 上傳到 ServerIron

 copy tftp flash <ip-addr> <image-file-name> primary

7.Enter the following command to at the Privileged Exec level of the CLI to copy the WSM CPU flash code onto the ServerIron:

  輸入指令把WSM CPU flash code 上傳到 ServerIron 

  wsm copy tftp flash <ip-addr> <image-file-name> primary

8.Reload the software by entering the following command to at the Privileged Exec level of the CLI:

   reload   重開機

9.輸入指令把第2個WSM MP flash code 上傳到 ServerIron

  copy tftp flash <ip-addr> <image-file-name> secondary

在 WordPress.com 建立免費網站或網誌.