F5 负载均衡实施方案.docx

该【F5 负载均衡实施方案 】是由【碎碎念的折木】上传分享，文档一共【12】页，该文档可以免费在线阅读，需要了解更多关于【F5 负载均衡实施方案 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。Internet出口链路优化工程实施方案
Internet出口链路优化工程实施方案
Confidential 1of12
Internet出口链路优化工程实施方案
目录
Chapter1 网络拓扑构造 3
网络拓扑图 3
IP地址规划 4
Chapter2 实施过程 4
实施打算的完善 4
F5LinkController的离线配置 4
用户访问dns的过程 8
在dns效劳器上设置的更改 9
防火墙配置更改 10
IP地址安排 10
路由配置 10
增加规章设置 10
对网络构造进展调整、接线、设备上线 11
修改DNS效劳器设置 11
业务流程检查 11
配置回滚过程 11
Chapter3 实施时间表 11
Confidential 2of12
Internet出口链路优化工程实施方案
Chapter1网络拓扑构造
网络拓扑图
Internet出口链路优化方案的网络拓扑图见以下图:改造后的网络拓扑图:
Isp1
Internet

ISP2
Router
BIG-IP
Controller1000

L2Switch
Firewall

DMZ

DMZ

DNS1 WWW/APP
Firewall HeartbeatCable
L3SW
内部网
ServerVLAN ClientVLAN
DB
Cluster
APP Internal
DNS

Client
Confidential 3of12
Internet出口链路优化工程实施方案
IP地址规划
F5链路掌握器公网IP地址规划:
增F5链路掌握器在两条ISP链路安排公网ip地址。原来公网ip终结到F5链路掌握器上,而F5链路掌握器的内网vlan与防火墙通过私有地址相连。而增的电信网与F5链路掌握器电信网vlan相连。
F5链路掌握器私网IP地址规划:
沿有原有的内网地址划分,地址安排以尽可能少地改动内网地址设置为原则。
:LinkController内网与核心交换机相连网段使用;
Chapter2实施过程
工程实施步骤分为以下几步
实施打算的完善
完善本配置打算中的不完备信息、LinkController以外设备的配置方案、上线失败后的回滚打算是否预备充分。
F5LinkController的离线配置
F5硬件自检、license激活
F5vlan划分、ip地址安排
Vlan HostName IPAddress
网通〔cnc〕
PortAssignment:
电信网〔telecom〕
PortAssignment:
Internal
PortAssignment:-,
L4Switch#1RealIP
路由配置
LinkController默认网关:
cnc:
telecom:
内网网关: (防火墙与F5linkcontroller内网相连的地址)
内网网关: (防火墙与F5linkcontroller内网相连的地址)
内网网关:. (防火墙与F5linkcontroller内网相连的地址)
outbound访问配置
内网一般用户的访问将按设定的链路选择方法〔负载均衡算法〕在两条链路上进展选择,并将访问包的源地址转换成相应ISP链路的IP地址。
Confidential 4of12
Internet出口链路优化工程实施方案
Internet
Default_GW_Pool:;
LoadBalancingMethod:RoundRobin;SNATAutoMap
VLAN:edu_netIP:
EnableSNATAutomap
VLAN:tel_netIP:
EnableSNATAutomap
VLAN:Internal
CheckporintFw
Internet PublicAddress
Network
Mapsto Address
Translation
IP DefaultGW:
IP L2switch
Clients Private IPAddress
Internalserver
Intranet
:internal/0配置:
Virtual效劳器IP1::0
PoolName:Default_GW_Pool
LoadBalancingPolicy:RoundRobinPoolMemberAddress:
;
Confidential 5of12
Internet出口链路优化工程实施方案

特定用户对internet的访问
某些用户访问外网特定的效劳器时,外网的效劳器要对访问的源地址进展限定。因此在LinkController上要对上述用户的地址转换设定特定的规章:
SNAT规章
用途 源地址 要求转换成的地址
特定应用使用指定的链路
特定应用使用指定链路
应用、效劳、端口 指定的链路 对应的GatewayPool
Confidential 6of12
Internet出口链路优化工程实施方案
虚拟效劳器的配置

Router
Internet
Firewall
Transparent
Client
VLAN:cnc
VirtualServerIP1:
VLAN:Internal
Pool:
VirtualServer VirtualServerAddress
Network

Switch
Mapsto
Address
Translation


Nodes RealServerAddress
VirtualServer配置例如:
Virtual效劳器IP1::80
PoolName:Onlinebank_web
LoadBalancingPolicy:RoundRobinPoolMemberAddress:

Persistence:EnableSimplePersistence
效劳器功能 内网地址
VirtualSever设置原始数据
端 公网地址 公网地址
口 〔cnc〕 〔telecom〕 域名
Confidential 7of12
Internet出口链路优化工程实施方案
用户访问dns的过程
EnduserDNS恳求解析

Internet
:
VLAN:edu_netShareIP:
VirtualServer:. :53

VLAN:tel_netShareIP:
VirtualServer::53
VLAN:Internal
Pool:Dns_srv_pool::53
VirtualServer VirtualServerAddress
Network
Mapsto Address
Translation
Nodes RealServerAddress
Switch
www CNAME lclc NS
NS
A edu_netshareip
:53 A tel_netshareip
Confidential 8of12
Internet出口链路优化工程实施方案
DNS VirtualServer配置例如:
PoolName
Member
Balance
Persistence
Dns_srv_pool
(IP:Port)
:53
Method
-
-
Dns_srv_pool
:53
-
-
VIP

DNS VirtualSever设置
Pool Load 附注
(IP:Port) 〔Domain:功能〕
:53
. :53

在dns效劳器上设置的更改
对外供给效劳的dns是托管在浪,
www CNAME lc
lc NS
NS
A A tel_netshareip
wideip配置
EnduserDNS恳求解析

Internet
:,,
WideIP::
VLAN:edu_net
ShareIP:
VLAN:tel_net
ShareIP:
. :80,:80
LoadBalancingMethod:QOS->RoundRobin
VirtualServer:
. :80,:80
ServerPool: web::80
Switch
Confidential 9of12
Internet出口链路优化工程实施方案
Firewall
:80
WideIP的配置:WideIP::
. :80,:80
LoadBalancingMethod:QOS->RoundRobin
WIP

PoolName
WideIP设置PoolMember
(IP:Port)

LoadBalanceMethod

Domain Persistence
。〔发通知给相关部门、全部所需设备、线缆是否预备充分、相关工程技术人员是否到位、DNS记录修改〕
防火墙配置更改
在配置更改前,现将现有配置进展备份,以便恢复
防火墙需要将原网通的untrust区用私用地址的替换,〔由于网通的vlan已经终结在F5linkcontroller
上〕并更改默认的网关。并且去掉原来的对公网地址的nat规章,只做安全掌握。
IP地址安排
Untrust区需更改地址为
NameFw1untrustipaddressFw2untrustipaddressFloating ipaddress
IPAddress
路由配置
默认网关:
增加规章设置
Srcip Dstip rules
Confidential 10of12