IDC出口链路改造实施方案Word格式文档下载.docx
《IDC出口链路改造实施方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《IDC出口链路改造实施方案Word格式文档下载.docx(11页珍藏版)》请在冰豆网上搜索。
CISCO3750-B
Chapter2实施过程
项目实施步骤分为以下两大步,并在每一步中细分。
第一步:
实现linkcontrol1500上线,实现outbound负载均衡,但是由于不能改动外部DNS所以,只会做外部到内部的负载均衡测试。
在第一步中主要是实现以下工作
1.实施计划的完善:
完善本配置计划中的不完备信息、LinkController以外设备的配置方案、上线失败后的回退计划是否准备充分。
2.F5LinkControllerTMOS升级到9.4.5,并且打上最新的hotfix。
3.上线条件检查。
4.对网络结构进行调整、接线、设备上线。
5.功能测试。
6.决定是否回退。
第二步:
在第一步稳定后的情况下,迁移DNS数据到linkcontrol上,实现inbound的负载均衡
1.修改一个应用的DNS记录,在f5上配置此应用的DNS信息实现inbound的负载均衡
2.测试,使用f5作为dns进行inbound的测试,根据测试结果决定是否回退
3.申请修改一个外部DNS记录,实现inbound的负载均衡
4.决定是否回退。
5.重复以上步骤,实现其他DNS记录的修改
Chapter3配置f5
3.1.基本网络配置
3.1.1.VLAN和IP,端口配置
Vlan
HostName
IPAddress
VLAN_FW_CT
PortAssignment:
1.1TAGGED
172.16.2.250
VLAN_FW_CNC
PortAssignment:
1.1TAGEED
172.16.3.250
Internal
1.3
L
172.16.1.254
3.1.2.路由配置
∙LinkController默认网关
●Default_gateway_pool:
Member172.16.2.254
Member172.16.3.254
3.2.内部用户到Internet访问负载均衡配置
3.2.1.内网普通用户的访问
内网普通用户的访问将按设定的链路选择办法(负载均衡算法)在两条链路上进行选择,并将访问包的源地址转换成相应的防火墙IP地址。
WildCastVirtual服务器0.0.0.0:
internal/0配置:
Virtual服务器IP1:
0.0.0.0
ServicePort:
0
PoolName:
Default_GW_Pool
LoadBalancingPolicy:
RoundRobin
3.2.2.特定用户对Internet的访问
如果有用户访问外网特定的服务器时,外网的服务器要对访问的源地址进行限定。
因此在LinkController上要对上述用户的地址转换设定特定的规则:
SNAT规则
用途
源地址
要求转换成的地址
3.2.3.特定的应用使用指定的链路
特定应用使用指定链路
应用、服务、端口
指定的链路
对应的GatewayPool
3.3.Internet用户对内网服务器(WEB)的访问负载均衡配置
3.3.1.虚拟服务器(VirtualServer)的配置
VirtualServer配置示例:
F5linkcontrol上配置
a.a.a.a
80
internal_fw
PoolMemberAddress:
Firewalluntrustipaddress
Persistence:
EnableSimplePersistence
Disableaddress/porttranslate
F5bigip上配置
Online_web
b.b.b.b/,c.c.c.c
VirtualSever设置原始数据
服务器功能
内网地址
公网地址
(CT)
公网地址(CNC)
域名
VirtualSever设置
VIP
(IP:
Port)
PoolName
PoolMember
LoadBalanceMethod
Persistence
附注
(Domain:
功能)
3.3.2.
从PC发起的DNS解析请求
DNS VirtualServer配置示例:
DNS VirtualSever设置
a.a.a.a
:
53
Dns_srv_pool
c.c.c.c:
-
N
b.b.b.b:
3.3.3.在内网DNS服务器上设置的更改
以为例
wwwNSwww.
lc NSns1.lc
NSns2.lc
Ns1.lc ACTshareip
Ns2.lcACNCshareip
3.3.4.WideIP设置
WideIP的配置:
WideIP:
VirtualServerPool:
80,d.d.d.d:
80
LoadBalancingMethod:
QOS->
RoundRobin
WideIP设置
WIP
Domain
Persistence
3.3.5.服务器SSL加速设置
Chapter4更改netscreen配置
4.1.更改netscreen的外网ip
配置防火墙的端口为trunk模式
setinterface"
ethernet0/1.20"
tag20
ethernet0/1.30"
tag30
4.2.更改netscreen为路由方式,重新设置路由
setroutesource172.16.2.0/24interfaceethernet1/1gateway119.145.40.1
setroutesource172.16.3.0/24interfaceethernet1/2gateway58.251.132.129
4.3.取消netscreenNAT策略,修改过滤策略
172.16.2.1NATCNC
172.16.2.2NATCNC
172.16.2.81NATCNC
4.4.增加下列NAT记录和策略
172.16.3.1NATCNC(上一步释放的地址)
172.16.3.2NATCNC(上一步释放的地址)
172.16.3.81NATCNC(上一步释放的地址)
172.16.3.250NATCNC58.251.132.148(新增地址)
172.16.2.250NATCT119.145.40.51(新增地址)
其中172.16.2.250和172.16.3.250的策略为放开DNS
Chapter5服务器的网络配置
5.1.检查defaultgateway设置
修改默认网关为F5的internalvlan的浮动IP172.16.1.254
Chapter6功能检查
6.1.LinkController的功能检查
6.2.业务流程检查
业务流程检查
业务名称
检查结果
所需作的处理
处理结果
Chapter7回退
7.1.决定回退条件
当上线环境在一定时间内不能实现用户提出的要求,或者在一定时间内不能恢复用户的正常应用,将执行回退。
根据上面所做的netscreen配置的备份和线路标识,根据以下步骤进行回退
回退时间设定为上线测试后的2个小时。
7.2.回退步骤
(1)恢复两台netscreen的配置
导入改造前备份的配置文件
(2)根据原来的接线方式,重新恢复
接线列表如下
设备名称
设备端口
(3)测试应用是否正常运行
按照下列测试列表进行测试
所需作的处理/责任人
Chapter8实现inbound的负载均衡
8.1.检查linkcontrol上GTM设置,按照以下列表实现功能
8.2.测试f5GTM功能,确认实现inbound负载均衡功能
使用一台pc,设置pc的dns地址为f5的地址,并对上面应用进行dns解析测试
建立一台dnsserver,并按照以下列表配置dnsserver
domain
Ns1IP
Ns2IP
设定pc的DNSserver的地址为这台DNS机器,并测试通过DNS能做到inbound的负载均衡
8.3.申请外部dns记录修改
8.4.重复以上步骤,实现其他DNS记录的修改
Chapter9测试环境中F5LC配置文件
升级会员 