F負載均衡設(shè)備組網(wǎng)架構(gòu)

F5LTM組網(wǎng)架構(gòu)李興華F5

售前工程師單臂接入模式雙臂接入模式遠程節(jié)點模式加入獨立SSL/WA/ASM設(shè)備防火墻負載均衡多鏈路接入災(zāi)備站點靜態(tài)路由注入AgendaLTM單臂接入模式3單臂接入模式下的網(wǎng)絡(luò)物理結(jié)構(gòu)4核心三層交換服務(wù)器服務(wù)器LTMLTM外部網(wǎng)絡(luò)Vlan1串口心跳線LTM單臂源地址替換接入典型架構(gòu)設(shè)計5CoreSwitchCoreSwitchServerServer網(wǎng)絡(luò)同步-獨立Vlan串口心跳NetworkIP:GW:54IP:GW:54SelfIP:00GW:54VS:00SNATAutomapSelfIP:01GW:54VS:00SNATAutomapHSRP54TrunkTrunkTrunkActiveBackup單臂接入-源地址替換模式數(shù)據(jù)訪問流程6核心三層交換服務(wù)器服務(wù)器LTMClient0GW:541GW:54VS::80SelfIP:53GW:545454①②③④⑤

SIPSportDIPDport①②678780③538888180④180538888⑤⑥806787⑥源地址替換后的處理7核心三層交換服務(wù)器服務(wù)器LTMClient0GW:541GW:54VS:：80SelfIP:53GW:545454①②③④⑤⑥HTTPProfilewhenHTTP_REQUEST{HTTP::headerinsert"Client_IP=[IP::client_addr]"}iRules只有HTTP協(xié)議的時候，可以通過將源地址插入到客戶端請求的HTTPHeader里，然后在服務(wù)器上通過讀取這個Header，獲得客戶端的真實源IP地址單臂接入-npath模式數(shù)據(jù)訪問流程8核心三層交換服務(wù)器服務(wù)器LTMClient0Lo:GW:541Lo:GW:54VS::80SelfIP:53GW:545454①②③④⑤

SIPSportDIPDport①②678780③678780④⑤806787單臂接入-服務(wù)器非直連模式（無源地址替換）9核心三層交換服務(wù)器服務(wù)器LTMClient0GW:541GW:54VS::80SelfIP:53GW:545454①②③④⑤⑦⑧⑥

SIPSportDIPDport①②678780③④6787180⑤⑥1806787⑦⑧806787無源地址替換的單臂接入模式使用比較少，通常用于對現(xiàn)網(wǎng)不能改造的情況這種模式下需要在核心三層交換上啟用源地址路由，將服務(wù)器的所有返回數(shù)據(jù)包轉(zhuǎn)向LTM，這樣才能保證進出的連接完整性建議在這種結(jié)構(gòu)下采用源地址替換以減小網(wǎng)絡(luò)復(fù)雜程度54同網(wǎng)段訪問處理-必須通過SNAT實現(xiàn)10核心三層交換客戶端服務(wù)器LTM0GW:541GW:54VS:：80IP:53GW:5454

SIPSportDIPDport①0678780②538888180③180538888④806787①②③④單臂接入-服務(wù)器更改改網(wǎng)關(guān)數(shù)據(jù)據(jù)訪問流程程11核心三層交交換服務(wù)器服務(wù)器LTMClient0GW:531GW:53VS::80SelfIP:53GW:545454①②③④⑤

SIPSportDIPDport①②678780③6787180④1806787⑤⑥806787⑥服務(wù)器更改改網(wǎng)關(guān)后的的直接訪問問服務(wù)器問問題12核心三層交交換服務(wù)器服務(wù)器LTMClient0GW:531GW:53VS:：80IP:53GW:545454①SYN②SYN③SYN-ACK

SIPSportDIPDport①②6787180③1806787FastL4Profile雙臂臂接接入入模模式式13LTM雙臂臂接接入入模模式式典典型型架架構(gòu)構(gòu)設(shè)設(shè)計計14VLANEXTServerServer網(wǎng)絡(luò)同步步-獨立Vlan串口心跳跳NetworkIP:GW:54IP:GW:54SelfIPEXT:00SelfIPINT:00GW:54VS:00HSRP54ActiveBackupVLANINTVLANEXTVLANINTSelfIPEXT:00SelfIPINT:00GW:54VS:00FIP:54LBServerIP:GW:50LBServerIP:GW:50FIP:54HSRP54雙臂接入入-服務(wù)器直直連15核心三層層交換服務(wù)器服務(wù)器LTMClient0GW:541GW:54VS:EXTIP:53/VLANEXTINTIP:54/VLANINTGW:545454

SIPSportDIPDport①678780②6787180③1806787④806787①②③④雙臂接入-串聯(lián)部署-擴展端口16核心三層交交換服務(wù)器服務(wù)器LTMClient0GW:541GW:54VS:EXTIP:53/VLANEXTINTIP:54/VLANINTGW:545454①②③④服務(wù)器接入入交換

SIPSportDIPDport①678780②6787180③1806787④806787雙臂接入-旁掛模式17核心三層交交換服務(wù)器服務(wù)器LTMClient0GW:541GW:54VS::80EXTIP:53/VLANEXTINTIP:54/VLANINTGW:545454①②③④

SIPSportDIPDport①678780②6787180③1806787④806787External_vlanInternal_vlan旁掛模式下下LTM可以用不同同的端口接接入核心交交換，也可可以采用端端口捆綁模模式接入核核心交換，，然后在端端口捆綁里里通過VLANtag方式來劃分分多個VLAN旁掛模式下下的服務(wù)器器直接訪問問18核心三層交交換服務(wù)器服務(wù)器LTMClient0GW:541GW:54VS:EXTIP:53/VLANEXTINTIP:54/VLANINTGW:545454①②③

SIPSportDIPDport①6787180②6787180③1806787FastL4Profile雙臂接入-避免SpanningTreeF5LTM有非?？焖偎俚那袚Q機機制（200ms），切換完完成后會發(fā)發(fā)送ARP廣播SpanningTree的重算機制制在一些情情況下會阻阻止對端設(shè)設(shè)備收到ARP廣播不同設(shè)備的的ARP更新機制有有時會帶來來很大的麻麻煩通常情況下下，也不建建議采用服服務(wù)器雙網(wǎng)網(wǎng)卡接入19核心三層交交換服務(wù)器服務(wù)器LTMClient服務(wù)器接入入交換核心三層交交換LTM服務(wù)器接入入交換Client遠程節(jié)點模模式20遠程節(jié)點模模式21核心三層交交換服務(wù)器服務(wù)器LTMClient0GW:541GW:54VS::80SelfIP:53GW:545454①②③④⑤

SIPSportDIPDport①②678780③538888180④180538888⑤⑥806787⑥三層交換54遠程節(jié)點模模式通常用用于服務(wù)器器不在本地地的情況只要路由可可達，LTM就可以配置置遠程服務(wù)務(wù)器作為節(jié)節(jié)點必須采用源源地址替換換方式，保保證服務(wù)器器返回數(shù)據(jù)據(jù)包回到LTM進行處理在同一個VS里面，可以以同時存在在有本地節(jié)節(jié)點和遠程程節(jié)點，并并且可以通通過iRules控制在發(fā)往往不同節(jié)點點的時候是是否啟用源源地址替換換加入獨立SSL/WA/ASM設(shè)備22應(yīng)用加速和和應(yīng)用安全全外掛典型型架構(gòu)設(shè)計計23VLANEXT網(wǎng)絡(luò)同步-獨立Vlan串口心跳NetworkHSRP54ActiveBackupVLANINTVLANEXTVLANINTSelfIPEXT:00SelfIPINT:00GW:54VS:00FIP:54LBServerIP:GW:50LBServerIP:GW:50FIP:54HSRP54SelfIPEXT:00SelfIPINT:00GW:54VS:00IP:GW:50IP:GW:50WA/ASMWA/ASM加入獨獨立SSL/WA/ASM設(shè)備設(shè)設(shè)備業(yè)業(yè)務(wù)邏邏輯流流程24VSExternalMember1Member20SSL/WA/ASMVSInternalMember1Member20Client

SIPSportDIPDport①678780②67870080③67870080④6787080⑤0806787⑥00806787⑦00806787⑧806787①②③④⑤⑥⑦⑧:800000:80VSExternal:ADDR：Pool：M1::80P1M2:0:80P1M3:00:80P10VSInternal:Addr:00Pool:M1::80M2:0:80防火墻負負載均衡衡組網(wǎng)結(jié)結(jié)構(gòu)25防火墻負負載均衡衡處理-物理連接接結(jié)構(gòu)26LTM服務(wù)器服務(wù)器防火墻接入交換換機LTMLTMLTM接入交換換機服務(wù)器服務(wù)器接入交換換機接入交換換機防火墻防火墻防火墻建議所有有的SSL/WA/ASM獨立設(shè)備備自身都都以單臂臂模式接接入在獨立設(shè)設(shè)備上無無須開啟啟源地址址替換，，保證在在服務(wù)器器上接收收到的請請求源地地址為真真實的客客戶端源源地址F5所有的獨獨立應(yīng)用用加速/安全設(shè)備備均支持持源地址址透傳防火墻負負載均衡衡處理-業(yè)務(wù)邏輯流流程27LTMLTM防火墻防火墻Client服務(wù)器

SIPSportDIPDport①67870080②67870080③67870080④67870080⑤00806787⑥00806787⑦00806787⑧00806787EXT:54INT:EXT:00INT:00EXT:01INT:01EXT:INT:5400①②③④⑤⑥⑦⑧防火墻負載載均衡模式式下，數(shù)據(jù)據(jù)包的信息息在所有穿穿過整體系系統(tǒng)的過程程中都不會會被改變3層以上的信信息LTM依靠AutoLastHop記錄的源MAC地址來確定定將服務(wù)器器返回數(shù)據(jù)據(jù)發(fā)送到那那個防火墻墻，而不是是依靠路由由防火墻可以以工作在路路由模式或或者NAT模式，兩種模模式下都可以以正常工作鏈路負載均衡衡28鏈路負載均衡衡-LinkController部署物理結(jié)構(gòu)構(gòu)29LC客戶端服務(wù)器防火墻接入交換機LC接入交換機客戶端服務(wù)器核心交換機核心交換機防火墻互聯(lián)網(wǎng)ISP1ISP2HA在每臺LC上都劃分3個Vlan:ISP1,ISP2和Internal兩臺LC之間建議采用用Trunk方式連接劃分分在InternalVlan里作為數(shù)據(jù)流流量兩臺LC之間的同步/Failover采用另外的網(wǎng)網(wǎng)絡(luò)連線（在在端口不足的的情況下可以以使用數(shù)據(jù)連連線）建議議防防火火墻墻采采用用路路由由模模式式，，并并且且放放置置在在LC的后后端端接入入交交換換機機通通常常建建議議采采用用低低端端的的比比較較可可靠靠的的二二層層交交換換機機，，每每增增加加一一個個ISP，增增加加一一臺臺接接入入交交換換機機如果果接接入入交交換換機機支支持持VLAN劃分分，，也也可可以以通通過過VLANtag模式式將將LC的外外網(wǎng)網(wǎng)接接入入部部分分統(tǒng)統(tǒng)一一連連接接在在接接入入交交換換機機上上鏈路路負負載載均均衡衡-GTM+LTM防火火墻墻在在外外部部30LTM客戶戶端端服務(wù)務(wù)器器防火火墻墻接入入路由由器器LTM接入入路路由由器器客戶戶端端服務(wù)務(wù)器器核心心交交換換機機核心心交交換換機機防火火墻墻互聯(lián)聯(lián)網(wǎng)網(wǎng)ISP1ISP2GTMGTM在每每臺臺LTM上都都劃劃分分3個Vlan:防火火墻墻1,防火火墻墻2和Internal兩臺臺LTM之間間沒沒有有數(shù)數(shù)據(jù)據(jù)流流量量發(fā)發(fā)生生兩臺LTM之間間的的同同步步/Failover采用用另另外外的的網(wǎng)網(wǎng)絡(luò)絡(luò)連連線線（（在在端端口口不不足足的的情情況況下下可可以以使使用用數(shù)數(shù)據(jù)據(jù)連連線線））建議議防防火火墻墻采采用用路路由由模模式式，，并并且且放放置置在在LTM的前端，，針對每每條鏈路路上的防防火墻也也可以采采用HA模式部署署接入交換換機通常常建議采采用低端端的比較較可靠的的二層交交換機，，每增加加一個ISP，增加一一臺接入入交換機機如果接入入交換機機支持VLAN劃分，也也可以通通過VLANtag模式將LTM的外網(wǎng)接接入部分分統(tǒng)一連連接在接接入交換換機上GTM部署在防防火墻的的DMZ區(qū)，配置置公網(wǎng)地地址接入交換換機接入交換換機鏈路負載載均衡-GTM+LTM防火墻墻在內(nèi)內(nèi)部31LTM客戶端端服務(wù)器器防火墻墻接入交交換機機LTM接入交交換機機客戶端端服務(wù)器器核心交交換機機核心交交換機機防火墻墻互聯(lián)網(wǎng)網(wǎng)ISP1ISP2HAGTMGTM在每臺臺LTM上都劃劃分3個Vlan:ISP1,ISP2和Internal兩臺LTM之間建建議采采用Trunk方式連連接劃劃分在在InternalVlan里作為為數(shù)據(jù)據(jù)流量量兩臺LTM之間的的同步步/Failover采用另另外的的網(wǎng)絡(luò)絡(luò)連線線（在在端口口不足足的情情況下下可以以使用用數(shù)據(jù)據(jù)連線線）建議防防火墻墻采用用路由由模式式，并并且放放置在在LTM的后端端接入交交換機機通常常建議議采用用低端端的比比較可可靠的的二層層交換換機，，每增增加一一個ISP，增加加一臺臺接入入交換換機如果接接入交交換機機支持持VLAN劃分，，也可可以通通過VLANtag模式將將LTM的外網(wǎng)網(wǎng)接入入部分分統(tǒng)一一連接接在接接入交交換機機上GTM直接連連接在在接入入交換換機上上或者者LTM的外網(wǎng)網(wǎng)VLAN，配置置公網(wǎng)網(wǎng)地址址災(zāi)備站站點靜靜態(tài)路路由注注入32災(zāi)備站站點靜靜態(tài)路路由注注入33核心交交換機機核心交交換機機核心交交換機機核心交交換機機LTMLTM服務(wù)器服務(wù)器服務(wù)器服務(wù)器客戶端客戶端OSPF環(huán)網(wǎng)VS:VS:靜態(tài)路由注注入模式下下，兩臺LTM同時對外發(fā)發(fā)布相同的的VirtualServer地址的主機機路由，但但是采用不不同的路由由優(yōu)先級在主設(shè)備上上的VSDown的時候?qū)⒆宰詣咏档吐仿酚蓛?yōu)先級級，并對OSPF路由廣播必須在LTM上增加相應(yīng)應(yīng)的路由模模塊349、靜靜夜夜四四無無鄰鄰，，荒荒居居舊舊業(yè)業(yè)貧貧。。。。12月月-2212月月-22Wednesday,December7,202210、雨中黃葉葉樹，燈下下白頭人。。。22:02:2822:02:2822:0212/7/202210:02:28PM11、以以我我獨獨沈沈久久，，愧愧君君相相見見頻頻。。。。12月月-2222:02:2822:02Dec-2207-Dec-2212、故人江江海別，，幾度隔隔山川。。。22:02:2822:02:2822:02Wednesday,December7,202213、乍見見翻疑疑夢，，相悲悲各問問年。。。12月月-2212月月-2222:02:2822:02:28December7,202214、他鄉(xiāng)生白白發(fā)，舊國國見青山。。。07十二二月202210:02:28下下午22:02:2812月-2215、比不了得就就不比，得不不到的就不要要。。。十二月2210:02下下午12月-2222:02December7,202216、行動出成果果，工作出財財富。。2022/12/722:02:2822:02:2807December202217、做前，能夠夠環(huán)視四周；；做時，你只只能或者最好好沿著以腳為為起點的射線線向前。。10:02:28下午午10:02下下午22:02:2812月-229、沒有失失敗，只只有暫時時停止成成功！。。12月-2212月-22Wednesday,December7,202210、很多多事情情努力力了未未必有有結(jié)果果，但但是不不努力力卻什什么改改變也也沒有有。。。22:02:2822:02:2822:0212/7/202210:02:28PM11、成功就是是日復(fù)一日日那一點點點小小努力力的積累。。。12月-2222:02:2822:02Dec-2207-Dec-2212、世間成事事，不求其其絕對圓滿滿，留一份份不足，可可得無限完完美。。22:02:2822:02:2822:02Wednesday,December7,202213、不不知知香香積積寺寺，，數(shù)數(shù)里里入入云云峰峰。。。。12月月-2212月月-2222:02:2822:02:28December7,202214、意志堅強強的人能把把世界放在在手中像泥泥塊一樣任任意揉捏。。07十二二月202210:02:28下下午22:02:2812月-2215、楚塞三三湘接，，荊門九九派通。。。。十二月2210:02下下午12月-2222:02December7,202216、少年十十五二十十時，步步行奪得得胡馬騎騎。。2022/12/722:02:2822:02:2807December202217、空山新雨雨后，天氣氣晚來秋。。。10:02:28下下午10:02下午22:02:2812月-229