文本案例f5模擬器link controller config sop

1、F5 Link controller V9 Config SOPShanghaiChengDigitalchina Lei第 1 頁(yè) 共 29 頁(yè)第 2 頁(yè) 共 29 頁(yè)第 3 頁(yè) 共 29 頁(yè)目 錄設(shè)計(jì)需求及目標(biāo)：5部署方式及要求：6F5 Link Controller 對(duì)流量的處理7地址規(guī)劃和具體拓?fù)溥B接8實(shí)施工藝配置：10初始化配置：10配置 Vlan：10配置 Self IP：11Outbound：121、2、3、4、5、...7建立 POOL:12建立 Class:14建立 SNAT_pool14建

2、立建立建立Rate class16Irule17link monitor18路由配置：205.5Inbound：..45.5.5WEB 負(fù)載均衡.22建立 VS22建立 LINKS26建立 listeners27建立 Topology 和 Ragion28第 4 頁(yè) 共 29 頁(yè)1、設(shè)計(jì)需求及目標(biāo)：目前1.Xernet 出口和使用情況如下：ernet 出口現(xiàn)在有 ISP1 10M 鏈路, ISP2 100M 鏈路，ISP 3 100M 鏈路，ISP 4100M 鏈路，將來(lái)也有再增加其他帶寬的可能，用戶對(duì)互聯(lián)網(wǎng)的流量比較大，但各出口分配并不平均，其中 ISP

3、1 和 ISP2 出口比較擁擠，而網(wǎng)通則相對(duì)空閑。2. 現(xiàn)有的公網(wǎng) IP 地址是教科網(wǎng)4個(gè)C 類地址，電信網(wǎng)通各有 16 個(gè)。部分用戶ernet。實(shí) IP 地址，大部分區(qū)域采用私有地址，并通過(guò)方式3. 現(xiàn)有各類服務(wù)器 30 臺(tái)以上，在中心機(jī)房集中運(yùn)行 20各類服務(wù)器。其余服務(wù)器分布在內(nèi)。二、根據(jù)上述情況和日常管理題：負(fù)載均衡：中經(jīng)驗(yàn)以及用戶具體需求需要解決如下三類問(wèn)1.要求設(shè)備或方案能夠?qū)ι鲜鲞\(yùn)營(yíng)商鏈路提供共享、流量負(fù)載均衡功能；支持基于動(dòng)態(tài)最佳路徑選擇和固定等方式（響應(yīng)速度優(yōu)先）。2.要求用戶互聯(lián)網(wǎng)采用 NAT 方式，支持 Sic NAT （單一 IP 對(duì)單一 IP）Dynamic NAT

4、（網(wǎng)段對(duì)單一 IP）、網(wǎng)段對(duì)網(wǎng)段 NAT。3.要求支持 Inbound 的負(fù)載均衡，能夠?yàn)榉?wù)器（配置私有地址或公有地址）提供靜態(tài)和動(dòng)態(tài)鏈路負(fù)載均衡功能，實(shí)現(xiàn)對(duì)學(xué)校服務(wù)器的經(jīng)過(guò)優(yōu)化處理后，用戶的信息從最快捷的路由送回。4.要求能夠?qū)崿F(xiàn)校內(nèi)用戶能夠按優(yōu)化的路徑互聯(lián)網(wǎng)資源。同時(shí)，管理員也能夠?qū)μ囟ǖ脑?IP 范圍用戶按指定鏈路通信。要求設(shè)備自動(dòng)偵測(cè)對(duì)外連接狀態(tài)（非端口狀態(tài)），當(dāng)任一條對(duì)外鏈路中斷或不穩(wěn)時(shí)，會(huì)自動(dòng)將流量切換至其它可用的外連線路，以確保整體對(duì)外連接永不中斷。一旦發(fā)生問(wèn)題的連接回復(fù)正常時(shí)，也能自動(dòng)偵測(cè)，并重新分配每條連接的流量負(fù)載，將整體對(duì)外連接的使用率做最有效的分配。5.管理1.2.該

5、方案應(yīng)該對(duì)服務(wù)器管理員透明；并且能夠詳細(xì)的日志。管理者可方便了解網(wǎng)絡(luò)帶寬使用狀態(tài)、數(shù)據(jù)流量、網(wǎng)絡(luò)信息過(guò)濾情況等內(nèi)容，另需具有一定的管理方式靈活，操作簡(jiǎn)便。功能。3.三、建設(shè)目標(biāo)實(shí)現(xiàn)多條鏈路的流量智能動(dòng)態(tài)負(fù)載均衡。某條鏈路出現(xiàn)故障時(shí)，能自動(dòng)的切換到健康的鏈，不會(huì)影響到現(xiàn)有網(wǎng)絡(luò)應(yīng)用（包括流入和流出流量）。第 5 頁(yè) 共 29 頁(yè)2、部署方式及要求：拓?fù)淙缦拢篒SP3ISP4ISP 1ISP 2Si鏈路負(fù)載均衡主要用于 4 個(gè) ISP 的負(fù)載均衡和冗余使用，其中 ISP1，ISP2，ISP3 和 ISP4 各一條。對(duì)于流量，采用 F5 的 AutolastHop 功能，可以保證來(lái)自于電信的流量由電信

6、線路返回，來(lái)自于網(wǎng)通的流量由網(wǎng)通線路返回。而對(duì)于出口流量，可以根據(jù) F5 對(duì)聯(lián)路健康檢查的結(jié)果（對(duì)互聯(lián)網(wǎng)上的地址包測(cè)試速度），選擇最優(yōu)路徑。也可以配置策略，實(shí)現(xiàn)出口流量分流。第 6 頁(yè) 共 29 頁(yè)3、F5 Link Controller 對(duì)流量的處理目前X 有四條 ISP 線路,為了保證服務(wù)器能夠可靠的對(duì)外提供服務(wù),分別要求對(duì)四條鏈路作 outbound 負(fù)載均衡，對(duì)提供了 Global 負(fù)載均衡。服務(wù)器的接入任何一條線路出現(xiàn)故障的時(shí)候,都不會(huì)影響網(wǎng)絡(luò)的正常,服務(wù)器仍然可以通過(guò)另外一條線路正常對(duì)外提供服務(wù).對(duì) Inbound 流量的處理:對(duì)于 Inbound 的服務(wù)器的流量,F5 鏈路負(fù)載均

7、衡設(shè)備實(shí)現(xiàn) ISP1 和ISP2，ISP3 和 ISP4 四條鏈路的負(fù)載均衡,F5 Link controller 實(shí)現(xiàn)對(duì)多條鏈路狀態(tài)的實(shí)時(shí)探測(cè),保證應(yīng)用的都是通過(guò)健康的鏈路進(jìn)行.另外,通過(guò) F5Linkcontroller 的 Widip 的配置,即一個(gè)對(duì)應(yīng)多個(gè) ISP 的公網(wǎng)地址.客戶該的時(shí)候,最終的需要通過(guò) F5 Link controller 來(lái)完成,由 F5Linkcontroller 返回給客戶某一條鏈路的公網(wǎng)地址,即實(shí)現(xiàn)兩條接入鏈路的負(fù)載均衡.F5 Link controller 通過(guò)健康檢查的方式兩條鏈路的狀態(tài),當(dāng)某條鏈路的狀態(tài)出現(xiàn)故障的時(shí)候, F5 Linkcontrolle

8、r 將不會(huì)返回給客戶該鏈路的相應(yīng)的服務(wù)器的公網(wǎng)地址.保證用戶的不會(huì)中斷.對(duì) Outbound 流量的處理:F5 Link controller 可以對(duì)出去的 Outbound 流量進(jìn)行分配,可以采用輪詢等負(fù)載均衡算法分配流量.還可以根據(jù)應(yīng)用,地址等來(lái)分配 ISP 資源的使用.可以根據(jù)需要調(diào)整.目前X 的 ISP 資源使用分配計(jì)劃如下:第 7 頁(yè) 共 29 頁(yè)4、地址規(guī)劃和具體拓?fù)溥B接端口配置F5-LC如圖：第 8 頁(yè) 共 29 頁(yè)接口名稱所屬 Vlan2.2需要在 F5-LC 上配置的 Vlan 及地址：F5-LC:如圖：第 9 頁(yè) 共 2

9、9 頁(yè)Vlan地址用途Self:連接 ISP1Gw:Self:連接 ISP2Gw:Self:連接 ISP3Gw:Self:連接 ISP4Gw:IternalSelf:連接網(wǎng)絡(luò)5、實(shí)施工藝配置：5.1初始化配置：安裝 4.8 版本，最好是全新安裝方式，不要做 IM 升級(jí)打的 Hotfix，目前版本為 HF65528-CR67648-ENG，地址：.cn/f5gz/james配置管理地址如果使用默認(rèn)地址，管理口為 45/24如果需要使用其他地址，可通過(guò) config 命令在命令行配置界面下進(jìn)行設(shè)置激活 License設(shè)置正確的時(shí)區(qū)( 在命令行下使用 date 命

10、令修改日期）。設(shè)定管理員5.2配置 Vlan：建立 5 個(gè) VLAN:Vlan1,Vlan2,Vlan3,Vlan4,Vlan5五個(gè) VLAN 分別對(duì)應(yīng) 7 個(gè)接口(1.1,1.2,1.3,1.4，1.5,1.6, 1.7)。選擇 Network，然后選擇 vlan 選項(xiàng)，選擇 create，創(chuàng)建相應(yīng)的 vlan 并綁定接口，創(chuàng)建完成選擇 update 進(jìn)行保存。1、ernal第 10 頁(yè) 共 29 頁(yè)2.Vlan23Vlan34Vlan45Vlan55.32、配置 Self IP：首先配置接口地址，然后配置接口的雙機(jī)虛擬地址。選擇 Network，然后選擇 self ips 選項(xiàng)，選擇cre

11、ate，創(chuàng)建相應(yīng)的vlan并綁定接口，創(chuàng)建完成選擇 update 進(jìn)行保存。1、ernal 接口：2、Vlan2 接口第 11 頁(yè) 共 29 頁(yè)3、Vlan3 接口4、Vlan4 接口5、Vlan5 接口5.4Outbound：Outbound 出口數(shù)據(jù)處理原理為用戶發(fā)起對(duì)外的數(shù)據(jù)包到 F5,F5 首先有一個(gè) VS 對(duì)應(yīng)此數(shù)據(jù)包，然后此 VS 有對(duì)應(yīng)的一個(gè) gatewaypool，VS 選擇這個(gè) pool 后。F5 再根據(jù)此 gateway pool 對(duì)應(yīng)進(jìn)行路由選路。對(duì)于 outbound 的X 希望目標(biāo)地址為 ISP1 從 ISP1 鏈路出去，ISP3 目標(biāo)地址的數(shù)據(jù)包通過(guò)必須通過(guò) ISP

12、3規(guī)則，ISP2 從ISP2 鏈路出去，同時(shí)所有鏈路。為了滿足 outbound 最優(yōu)分別建立ISP1_地址段。Xoutbound互聯(lián)網(wǎng)的需求，使用 F5 強(qiáng)大的 irule 功能實(shí)現(xiàn)，分別建立 ISP1 class, ISP2 class, ISP3class 三個(gè) ISP 的地址列表，然后_pool,ISP2_pool,ISP3_pool，以及 default_gateway_pool 四個(gè)pool5.4.1建立POOL:因?yàn)镕5 對(duì)應(yīng)有 4 條ernet 出口鏈路，所以需要建立一個(gè)， ISP1_pool,ISP2_pool,ISP3_pool,Default_Gateway_POOL，包

13、含 4 條鏈路的網(wǎng)關(guān)地址，這樣從ernal 接口過(guò)來(lái)的數(shù)據(jù)將命中默認(rèn)路由的default_gateway pool，然后對(duì)應(yīng) Pool 成員進(jìn)行選擇從哪條鏈路出去。ISP1_pool:第 12 頁(yè) 共 29 頁(yè)ISP2_pool:ISP3_pool:Default_gateway_pool:如上圖所示：每一個(gè) pool 包含 4 個(gè) member，在各自以鏈路命名的 pool 中，相對(duì)應(yīng)的鏈路gw 地址的proirity 最高，其他的鏈路較次。并且使用gateway_icmp 的monitor方式第 13 頁(yè) 共 29 頁(yè)5.4.2建立 Class:ISP1_classISP2_class:C

14、ernet_class:5.4.3建立 SNAT_pool由于客戶為帶寬較大，在正常的流量使用中平均并發(fā)連接數(shù)300000 connection，所以為了建立 SNAT_pool 并作 用在 能夠有足夠的端口讓內(nèi)網(wǎng)用戶 Default_gateway_vs (:0)中。如圖：互聯(lián)網(wǎng)， 第 14 頁(yè) 共 29 頁(yè)第 15 頁(yè) 共 29 頁(yè)5.4.4建立 Rate class為了實(shí)現(xiàn)一定的帶寬管理功能，限制指定內(nèi)網(wǎng)上網(wǎng)的帶寬限制，分別建立不同的 class:第 16 頁(yè) 共 29 頁(yè)其中： Rate_300M: Rate_100M:Rate_20M:/255.25

15、5.0.0////5.4.5建立 Irule在建立以上的參數(shù)之后，如下：用戶上網(wǎng)必須建立 irule 來(lái)實(shí)現(xiàn) outbound 上網(wǎng)的策略規(guī)測(cè)：when CNT_ACCEPTED if matchclass IP:local_addr equals $:ISP1_class pool ISP1_poolelse if matchclass IP:local_addr equals $:ISP2_classpool

16、 ISP2_poolelse if matchclass IP:local_addr equals $:ISP3_classpool ISP3_pool第 17 頁(yè) 共 29 頁(yè)else pool Defaulte_gateway_pool snatpool out_poolRate irule:when CNT_ACCEPTED if matchclass IP:cnt_addr equals $:Rate_20M rateclass Rate_20Melse if matchclass IP:cnt_addr equals $:Rate_100M rateclass Rate_100Mel

17、se rateclass Rate_300M5.4.6建立 link monitor考慮到 pool 中的 4 條節(jié)點(diǎn)的路由器的內(nèi)，如果路由器的發(fā)生網(wǎng)絡(luò)中斷則如果此路由器的不做的話，F(xiàn)5 會(huì)認(rèn)為網(wǎng)絡(luò)連通，所以要對(duì)這兩個(gè) default_gateway_pool mumber 進(jìn)行自定義的策略。如下圖：首先自定義 4 個(gè) monitor 規(guī)則：1）monitor ISP1 路由器接口地址第 18 頁(yè) 共 29 頁(yè)2）monitorISP2 路由器 monitor3）monitorISP3 路由器 monitor:40 monitorISP4 路由器 monitor第 19 頁(yè) 共 29 頁(yè)5.4

18、.7路由配置：1）對(duì)外默認(rèn)路由 defaultgateway，應(yīng)用 pool：default_gateway_pool.2）往的路由,所有路由都扔給路由器 IP 第 20 頁(yè) 共 29 頁(yè)5.4.8建立 Vs：建立 default_gateway VS,針對(duì)對(duì)外部進(jìn)行處理。第 21 頁(yè) 共 29 頁(yè)通過(guò)以上五步的配置，用戶即可實(shí)現(xiàn)5.5Inbound：5.5.1WEB 負(fù)載均衡外部對(duì)內(nèi)的 Web 等，通過(guò) 4 條鏈路進(jìn)行 inbound 負(fù)載均衡。F5 針對(duì) Web等主機(jī)進(jìn)行DNS，當(dāng)確定DNS 查詢的源地址為電信或網(wǎng)通的地址時(shí)，F(xiàn)5 會(huì)根據(jù) LC wideip 下對(duì)應(yīng) VS 地址，分配 web 服務(wù)器對(duì)應(yīng)的電信或網(wǎng)通地址，然后用戶根據(jù) DNS 返回的地址對(duì)服務(wù)器進(jìn)行。F5 通過(guò) RTT 的方式實(shí)現(xiàn)動(dòng)態(tài)的探測(cè)鏈路就近的方式解決互聯(lián)互通。具體配置 F5 DNS過(guò)程如下:5.5.2建立VS建立針對(duì) WEB 服務(wù)器對(duì)應(yīng)的 ISP1，ISP2 或者 ISP3 的對(duì)應(yīng)的 VS，用于 F5 做 DNS時(shí)選擇哪一個(gè)地址進(jìn)行給客戶端。針對(duì)每一條線路設(shè)定一個(gè) VirtualServer。比如：dzjc 應(yīng)用dzjc_CERNET_VS:第 22 頁(yè) 共 29 頁(yè)C_VS第 23 頁(yè) 共 29 頁(yè)Dzj