F5 BIGIP LTM部署方案组建网络部分Word格式.docx
《F5 BIGIP LTM部署方案组建网络部分Word格式.docx》由会员分享,可在线阅读,更多相关《F5 BIGIP LTM部署方案组建网络部分Word格式.docx(23页珍藏版)》请在冰豆网上搜索。
4.2.1接入方式一10
4.2.2接入方式二11
4.2.3接入方式三12
4.3HA部署分析14
4.3.1部署方式一14
4.3.2部署方式二15
4.3.3部署方式三15
4.4Channel部署16
4.5组网结构对比总表18
第5章、F5LTM网络配置20
5.1F5LTM端口类型20
5.2F5LTM端口连接方式21
5.2.1Trunk连接21
5.2.2Tag-baseaccesstovlans连接22
5.2.3Port-basedaccessvlan连接23
5.3F5LTMVLAN划分23
5.4F5LTMSelfIP划分26
5.5F5LTM路由配置28
第1章、前言
根据目前F5BIG-IPLTM设备在网络环境中部署的需求不断增加,为了能够使BIG-IPLTM组建的网络环境更加有效提高网络安全、稳定性及业务的整体性能,我们对BIG-IPLTM在组网结构方面进行了细致分析,介绍使用现状,以便为部署F5BIG-IPLTM设备的人员提供帮助和参考。
第2章、概述
2.1文档目的
该文档的主要目的是能够帮助部署F5BIG-IPLTM人员,在BIG-IPLTM网络方面的组网结构选择、部署方法等提供有效的分析和参考,使F5BIG-IPLTM在网络环境中更加规范有效。
2.2文档范围
该文档主要针对F5BIG-IPLTM设备在构建整体网络环境,BIG-IP在网络环境中的位置,连接方式等方面进行了详细的描述和分析。
同时介绍了F5BIG-IPLTM设备本身物理端口特性、工作模式,VLAN划分方法、IP地址分配原则、路由配置策略等方面的细节。
2.3目标读者
该文档主要阅读对象为F5BIG-IPLTM部署的设计和管理人员,借此文档对F5BIG-IPLTM组网规范和在现有网络环境中部署进行了解。
也适用于对F5BIG-IPLTM设备有所了解的其他网络设计、管理或工程人员。
第3章、F5LTM组网原则
在应用F5BIG-IPLTM在网络环境中进行组网时,根据系统的原有架构设计,及业务的应用模式,在保证原有业务的正常运行条件下,本着能够满足功能、具备可靠性、可扩展性、可管理性的原则,建立规范的负载均衡网络,顺利实现安全、优化、可用的目标。
同时在部署F5BIG-IPLTM时要最大化的保护既有投资,确保F5BIG-IP应用在综合组网环境的正常运行,避免设备之间的依赖行,设备的更新必须具有独立性,支持网络的逐渐升级。
避免把简单易于实现的组网模式变成复杂的组网过程,如网络和应用部门各自为战,各个应用系统之间相对独立的部署,由于没有及时沟通,导致了应用的部署及其复杂,应用系统不断提出不同需求,使得网络部门为不同的应用系统准备不同的网络环境而致使网络结构的复杂,这样不仅增加了网络故障的发生几率,而且影响应用服务质量。
3.1可用性
F5BIG-IPLTM部署在网络环境中,最终目的是对业务应用流量的负载均衡,保证高性能的对外提供服务。
因此在部署F5BIG-IPLTM首先要满足所有的需求功能,包括网络功能、业务系统功能及BIG-IPLTM自身负载均衡功能,达到整个系统运行的可用性。
3.2可靠性
在网络环境中,所有应用均为关键性业务系统,因此要求由F5BIG-IPLTM组建的网络必须为高可靠型。
根据BIG-IPLTM自身的特性提供了高效的HA环境,在发生故障时可实现毫秒级的主备切换速度,为应用业务的持续运行提供了有效保障。
3.3扩展性
在F5BIG-IPLTM组建的网络环境里,BIG-IPLTM在应用服务中起到了核心的作用,在其组建网络时避免BIG-IPLTM与其他网络设备存在依赖性,随着以后性能需求的增加可以对BIG-IPLTM进行伸缩性的扩展。
同时F5BIG-IPLTM设备本身可支持对后端服务器横向扩展,支持动态的增加或删除负载均衡服务器组中任何数量的服务器,实现服务器的高扩展性。
3.4可管理
F5BIG-IPLTM组建的高性能负载均衡网络,要求对BIG-IPLTM设备本身及它所负载均衡的服务器必须能够实现可控制、可管理。
BIG-IPLTM支持灵活安全的命令行接口与WEB图形界面的管理。
同时遵循标注的SNMP协议第三方网管软件管理。
在对所负载均衡的服务器,BIG-IPLTM可以对服务器组中服务器进行灵活的操作,如在不影响业务情况下进行主机维护与软件升级等操作,实现对服务器的可管理性。
第4章、F5LTM组网结构
F5BIG-IPLTM设备在组建负载均衡网络过程中,该设备的部署位置至关重要,在一般的网络部署结构中以及目前F5BIG-IPLTM的组网结构成功案例中,通常的部署结构分为串行结构和并行结构。
在当前这种复杂的网络环境中,串行结构与并行结构在实际应用与运行中同样是相对较为规范合理的部署。
4.1串行结构
在部署F5BIG-IPLTM设备组网时,所谓的串行结构,指的是BIG-IPLTM在网络拓扑结构中位于上下两层网络设备之间,如位于交换机与交换机之间等,所有的网络流量在最终到达服务器或者返回客户端前必须经过BIG-IPLTM设备处理,因此整个网络结构,应用业务功能的实现对BIG-IPLTM设备依赖性较强。
在串行结构中,BIG-IPLTM与其他网络设备可以有不同的连接方式,每种连接方式都在网络结构中体现不同实施策略,包括从安全性、可靠性及可用性角度的分析考虑。
下面我们介绍两种常见且部署较为规范的串行结构。
4.1.1串行组网方式一
如下图:
在以上面的拓扑结构进行组网,F5BIG-IPLTM处于两组核心交换机中间,使用单条链路进行链接,形成整体的串行结构,同时为典型的口字型结构。
数据的访问流向均先经过上层核心交换机,通过上层核心交换机进入F5BIG-IPLTM负载均衡设备,根据BIG-IPLTM实施的负载均衡策略对流量进行负载均衡,经过下层交换机到达相应的服务器,返回的数据流亦然。
在F5BIG-IPLTM与下端交换机层面,BIG-IPLTM直接与交换机相连,所有被负载均衡的服务器与交换机相连,这种部署结构,当BIG-IPLTM的固有端口有限,而服务器的数量大于BIG-IPLTM端口数量时,此时通过该方法在逻辑上有效的增加了BIG-IPLTM端口数量。
同时可以根据应用业务的不同,在下层交换机上进行多VLAN的划分,以隔离不用业务的服务器,或在交换机上利用良好ACL执行服务器间访问策略。
从拓扑图中我们可以看到BIG-IPLTM的这种连接方式无论在网络结构以及数据流走向方面都比较清晰有序。
在可靠性方面两台F5BIG-IPLTM互为主备模式,同时BIG-IPLTM可以探测上下两层交换机状态,一旦检测到对应的交换机出现故障,BIG-IPLTM可以及时进行主备切换,保证应用业务的持续性。
4.1.2串行组网方式二
在以上面的拓扑结构进行组网,F5BIG-IPLTM同样处于两组核心交换机中间,分别使用双条链路与上下两组交换机进行链接,形成整体的串行结构中的交叉连接方式。
此连接方式需要BIG-IPLTM提供相应的端口密度,在网络环境中,负载均衡设备都为BIG-IPLTM6400以上型号,因此所提供的端口密度都能够满足不同的需求。
F5BIG-IPLTM的这种组网方式,数据流访问过程同样必须经过BIG-IPLTM传递到下层交换机,负载均衡到相应的服务器。
这种组网方式在数据的可靠性、冗余性上有了很大的提高,BIG-IPLTM通过与上下层核心交换机利用生成树协议(STP)使交叉连接的双链路其中一条成为备份状态,当其中一条链路出现故障,可利用另一条链路接管所有流量。
同时这种连接方式减少了BIG-IPLTM对上下层相关网络设备的依赖性,只有当与BIG-IPLTM连接的两条链路全部down掉后,BIG-IP才发生主备切换,减少了BIG-IPLTM由于其他网络设备引起的链路故障导致发生的切换。
通过以上的分析及拓扑图我们可以看到,F5BIG-IPLTM这种交叉连接方式增加链路的冗余度,使网络环境状态更趋于可靠、稳定。
为应用业务的有效运行提供了保障。
4.1.3两种方式比较分析
F5BIG-IPLTM串行结构的组网中,我们介绍了两种常见的BIG-IPLTM连接方式,一种为单链路连接,另一种为双链路的交叉连接方式。
两种方式在网络环境中有着各自的组网特点,发挥了不同的作用。
方式一,单条链路组建的F5BIG-IPLTM串行结构,整体网络结构比较单一整齐,业务数据流走向清晰可见,易于运维人员的设计、部署实施,及后续的维护、管理,相关故障的排查。
在可靠性方面,两台BIG-IPLTM采用主备(Active/Standby)模式,当BIG-IPLTM设备本身或者由于上下层对应交换机出现故障导致流量中断,BIG-IPLTM均可以进行毫秒级切换,保证应用业务的持续性。
由于采用的是单链路连接,因此在链路的可靠性、冗余性相对较弱,一条链路的故障必须导致F5BIG-IPLTM进行切换,同时BIG-IPLTM与上下层网络设备存有一定的相互依赖性,在某些环境下,相关网络设备的切换,BIG-IPLTM同时需要切换,即使BIG-IPLTM设备运行正常,增加了F5BIG-IPLTM设备主备切换的概率。
方式二,双链路交叉连接的串行结构,增强了网络整体结构的冗余性、可靠性,一条链路的故障不会引起BIG-IPLTM主备状态切换,应用业务流量可依靠另一链路进行传输,使整体网络环境状态更趋于稳定。
并且由于冗余链路的出现,减轻了BIG-IPLTM与其他网络设备的依赖性,数据流的走向可以根据不同链路进行传输。
虽然双链路的串行结构,加强了网络结构的冗余性与可靠性,但此连接方式相对较为复杂,数据流走向存在多种选择,同时与其他网络设备存在生成树(STP)计算问题,无论是在部署实施、还是日常的管理、维护及相关故障的排除但来了一定的难度。
以上两种串行连接方式,所有的网络流量在到达服务器前或者服务器主动发起的出访流量必须经过F5BIG-IPLTM设备,由于BIG-IPLTM在网络中的特殊位置,一些非负载均衡流量也需要经过BIG-IPLTM,此时我们需要在F5BIG-IPLTM进行ForwardingVS的配置,对不同流量经由BIG-IPLTM时进行转发,降低了BIG-IPLTM的使用性能。
通过对以上分析,及现有F5BIG-IPLTM所组建的网络结构运行稳定情况,一般我们建议应用BIG-IPLTM进行网络结构设计时,选择方式一的单链路口字型组网方式。
4.2并行结构
所谓的并行结构,指的是F5BIG-IPLTM以旁路的方式部署在现已运行(或新建)的网络环境中,通过这种组网结构方式,BIG-IPLTM可以方便、快速的部署到现有网络环境中,实现负载均衡功能,同时也是对现有网络结构,应用业务及服务器配置更改最少的一种接入方式。
典型的拓扑结构如下图:
在上图的组网结构中,我们可以直观看到F5BIG-IPLTM可以很容易的接入在现有网络环境中,原有的网络设备、物理链路连接和应用服务器在网络配置上均无需做任何改动,只需在BIG-IPLTM与核心交换机间配置相应的端口、VLAN及IP地址就可以完成设备互连,实现相关负载均衡技术,同时可以在接入交换机或核心交换机上对服务器进行横向扩展。
在将F5BIG-IPLTM以并行的结构部署在网络环境中时,与核心交换机的逻辑连接有不同的选择方式,根据不同的接入方式,在相关的配置及负载均衡数据流的走向上也略有不同。
在下面的小节中我们将做相关的介绍。
4.2.1接入方式一
F5BIG-IPLTM以并行结构接入现有网络环境中,在对BIG-IPLTM进行VLAN划分、IP地址分配时,可以将BIG-IPLTM与所需进行负载均衡的服务器处于相同VLAN中,所分配的IP地址与服务器原有IP地址在同一网段内。
如下图所示:
这种方式的接入,F5BIG-IPLTM与服务器在同一网段下,所有配置的VS地址与服务器IP地址均在同一网段下,通过这样的配置使网络层次结构、数据流量的传输看起来更加清晰,实施相对较为简单。
在这种方式下服务器的默认网关一般会设置为BIG-IPLTM上对应的SelfIP或者FloatingIP,使客户端流量通过BIG-IPLTM负载均衡后直接到达后端服务器时,无需做任何源地址转换及路由选择,保留了客户端源地址,可以很容易的满足应用上一些特定要求。
4.2.2接入方式二
F5BIG-IPLTM以并行的结构接入现有网络环境中,BIG-IPLTM与所负载均衡的服务器处于不同的VALN之中,IP地址属于不同的网段,该方式多应用在当部署BIG-IPLTM到网络环境后,现有的服务器IP地址空间不足以分配给BIG-IPLTM相应的SelfIP及VS,因此需要进行单独VLAN、IP地址的重新划分。
由于F5BIG-IPLTM与所负载均衡的服务器不在同一网段内,此时服务器的默认网关不能直接指向在BIG-IPLTM设备上,必须指向核心交换机三层地址。
这样在数据流量访问过程中会出现如下问题:
客户端可以正常通过BIG-IPLTM的VS将流量负载均衡到对应服务器,但当服务进行响应回包给客户端时,无法再次经过BIG-IPLTM,而是通过核心交换的路由直接回给了客户端,导致客户端访问的失败。
在这种情况下,在BIG-IPLTM上需要做特殊的配置,在客户端请求进入BIG-IPLTM时,改变客户端的源地址为BIG-IPLTM设备上的IP地址,强制使服务器的回包经过BIG-IPLTM回应给用户客户端,实现负载均衡。
该接入方式的另一个优势为,当由于极端情况下,两台F5BIG-IPLTM同时出现故障无法正常工作,为了保证业务的正常访问,可以临时通知用户后台服务器的真实地址或者将原来对外提供服务的VS地址直接配置到后台服务器上,以保证业务应用的持续性。
4.2.3接入方式三
F5BIG-IP在以并行结构的方式接入网络环境中时,可用双链路的连接方式接入核心交换,为不同的链路划分不同的VLAN,用以区分进出BIG-IPLTM的不同数据流,或者将不同业务的数据流在不同的线路上进行加以区分传输。
通过上面的拓扑图,不同的业务类型的数据流在不同的链路上进行传输,这样的结构能够使业务分类更加清晰,便于日常的流量观察及维护,甚至进行流量捕获分析,在相关业务出现问题后,可以有较清晰的思路加以研究,及时解决问题,保证应用业务的可用性。
该接入方式也用于对进入BIG-IPLTM数据流和流出BIG-IP的数据进行区分,也就是数据流可以按照需求从一条链路进出,从另一条链路流出,也能够达到对应用业务流的进出进行清晰判断的目的。
同时该接入方式由于F5BIG-IP上的不同链路与服务器在不同VLAN,各自的三层的网关可以设置在核心交换机上,通过调整核心交换机的路由或者在核心交换机配置相关的策略路由,根据需求调整不同的流量类型经过BIG-IPLTM进行负载均衡处理或者不经过BIG-IPLTM直接由对应服务器处理流量。
此时服务器网关需要设备在核心交换机上。
在可靠性上由于是双链路实现了不同业务或者不同数据流走向的区分,一旦某条链路出现故障,将会导致其中某一业务或者某一流向的业务中断,在F5BIG-IPLTM的冗余模式下,我们可以配置对每条链路的探测,当其中一条链路出现故障后,BIG-IPLTM立即进行切换,保证应用业务的持续性。
在不同的网络环境或应用需求下不仅可以双链路接入,还可以进行多链路的接入,但原则要以最简单、最清晰的网络结构实现最佳的性能,满足最大的需求。
4.3HA部署分析
在F5BIG-IPLTM进行组建网络结构中,为保证业务稳定、持续性的运行,BIG-IPLTM一般采用双机模式,构建高可靠的HA环境。
当其中一台设备出现故障无法处理相关网络流量,另一台设备立即接管处理所有网络流量,使应用业务不间断对外提供服务。
F5BIG-IPLTM在双机模式中,可配置为主备模式(Active/Standby)和主主模式(Active/Active),根据当前F5BIG-IPLTM的双机部署案例,以及目前所采有的模式,我们建议采用AS模式,即Active/Standby结构。
AA模式不在本文当中讨论。
处于HA环境的两台F5BIG-IPLTM设备使用Failover串口线交换心跳信息,通过网络传输数据信息,根据监控心跳信息和数据传送方式的不同,BIG-IPLTM双机连接可以有不同的方式。
以下是三种常见的部署连接方式。
4.3.1部署方式一
两台F5BIG-IPLTM间采用failover线监控设备心跳信息,数据同步信息与实际业务数据在同一线路上进行传递,具体如下图所示:
这样部署的优势使BIG-IPLTM设备心跳信息和数据信息在不同通道传送,保证了数据独立性,同时数据信息和业务信息在同一数据通道传送,节省了端口,但增加了数据信息传送的不稳定和易受干扰性。
建议在设备端口密度不足的情况下使用。
4.3.2部署方式二
两台F5BIG-IPLTM间采用Failover线缆监控设备心跳信息,数据同步信息与实际业务数据分别在单独的线路上传递,具体如下图所示:
这样部署的优势在于使BIG-IPLTM设备间心跳信息和数据信息在不同的通道传送,保证了数据独立性,同时数据信息和业务信息分开,保证了其安全稳定性,但增加了设备端口的使用数量。
建议在设备端口密度充足的情况下使用此种部署结构。
4.3.3部署方式三
两台F5BIG-IPLTM间采用网络线缆监控设备心跳信息,同时传递数据同步信息。
具体如下图所示:
这种部署方式的优势是两台F5BIG-IPLTM设备可以安装距离相距较远,但设备心跳信息和数据信息都通过网络传递,安全稳定性较差。
建议在设备安装位置相距较远时按照此结构进行部署。
此项部署需要在设备的system中HA中进行特殊指明。
建议在部署时尽量避免该结构的产生。
4.4Channel部署
在F5BIG-IPLTM的组网结构中,我们分别对串行结构、并行结构的各种组网方式,链路接入方式做了详细的分析和介绍。
在以上的所有结构组建的基础上,F5BIG-IPLTM均可以进行多链路的channel绑定,增强链路的冗余性,增加网络吞吐量,提高整体网络传输性能。
并行结构中的一个Channel示意图如下:
在F5BIG-IPLTM的网络Channel设置中,BIG-IPLTM能够与其他网络设备很好兼容,进行链路捆绑,支持IEEE802.3ad标准的LACP(链路汇聚控制协议)。
使能某端口的LACP协议后,该端口将通过发送LACPPDU向对端通告自己的优先级、系统MAC地址、端口优先级、端口号等,对端接收到这些信息后,将这些信息与其它端口所保存的信息比较以选择能够汇聚的端口,从而双方可以对端口加入或退出某个动态汇聚组,达成一致。
在F5BIG-IPLTM设备上可同时支持8个端口链路捆绑。
根据目前的Channel使用经验,当有对channel使用需求时,一般建议只采用双链路进行Channel绑定,提高链路冗余度,增强网络吞吐量。
4.5组网结构对比总表
组网结构
接入方式
优点
缺点
应用场景
备注
串行结构
串行方式一
(单链路)
1、网络结构简单、整齐,数据流量走向清晰。
2、易于设计、部署实施。
3、便于后期维护及故障排查。
1、可靠性、冗余性相对较弱。
2、与互连的网络设备存在一定依赖性,相对增加了HA切换概率。
1、多应用在新建网络
2、直接访问后台服务器需求较少的环境中。
少量用户采用
串行方式二
(双链路交叉)
1、增强网络结构可靠性、冗余性高。
2、与互连网路设备依赖性较小,减小了HA切换概率较。
1、设计、部署及数据流走向较为复杂。
2、存在生成树(STP)计算问题。
3、日常的维护及故障排查存在一定难度。
1、多应用在新建网络环境
2、直接访问后台服务器的需求较少
3、对可靠性、冗余性要求非常高。
较少采用
并行结构(旁路)
接入方式一
(F5、Server同VLAN)
1、易于接入现有网络环境,网络配置变更较小,整体网络结构简单清晰。
2、路由结构简单,服务器网关可指向F5,无需源地址转换,保留客户端源地址。
由于BIG-IPLTM与服务器在同一网段,需从技术上保证从服务器的返回数据包经过BIG-IP。
有两种可选方案:
1.保留客户端源IP,需变更原服务器网关指向BIG-IPLTM。
2.不改变服务器网关指向,在F5BIGIP-LTM上配置SNAT,这时客户端的源IP会被替换掉.
1、多应用在对现有网络中部署F5BIG-IPLTM。
2、直接访问后台服务器的需求较多3、服务器IP地址空间较大,足够分配给BIG-IPLTM的selfIP、VS等。
采用较多
接入方式二
(F5、Server异VLAN)
2、对BIG-IPLTM的IP地址分配较为灵活,便于规划。
1、BIG-IPLTM与服务器在不同网段,数据进入BIG-IPLTM需做客户端源IP转换。
2、预保留客户端IP,需在BIG-IPLTM特殊配置。
2、直接访问后台服务器的需求较多或服务器IP地址空间不足分配给BIG-IP
3、预同服务器进行广播隔离。
一般不建议采用此结构
接入方式三
(双链路不同VLAN接入)
1、易于接入现有网络环境。
2、可清晰判断进出数据流或者不同的业务类型数据流。
3、可调整其他网络设备上路由对进出BIG-IP流量灵活控制。
IP地址需求要较前两种并行方式多。
2、直接访问后台服务器的需求较多3、预对进出数据流或不同业务流加以区分,便于分析,及灵活控制进出BIG-IP数据流量。
4、应用需要看到客户端源IP.
采用较多,F5推荐的标准配置方案
第5章、F5LTM网络配置
F5BIG-IPLTM的产品有着自身的基本物理特性,在网络层面有着独有的配置方式,同时BIG-IPLTM处于网络与应用之间的设备,我们既不能单纯把BIG-IPLTM看做网络设备也不能单纯看做服务器。
因此我们需要对BIG-IPLTM产品物理特性,如端口类型、端口连接方式、VLAN、IP、路由划分有较为充分的理解,才能使BIG-IPLTM部署在网络环境中发挥最大的功能,提高整体网络性能和稳定性。
5.1F5LTM端口类型
在F5BIG-
升级会员 