F5 负载均衡实施方案.docx

F5 负载均衡实施方案.docx

《F5 负载均衡实施方案.docx》由会员分享，可在线阅读，更多相关《F5 负载均衡实施方案.docx（12页珍藏版）》请在冰豆网上搜索。

F5负载均衡实施方案

Internet出口链路优化

项目实施方案

Chapter1网络拓扑结构

1.1.网络拓扑图

Internet出口链路优化方案的网络拓扑图见下图:

改造后的网络拓扑图：

1.2.IP地址规划

（1）F5链路控制器公网IP地址规划:

新增F5链路控制器在两条ISP链路分配公网ip地址。

原来公网ip终结到F5链路控制器上，而F5链路控制器的内网vlan与防火墙通过私有地址相连。

而新增的电信网与F5链路控制器电信网vlan相连。

（2）F5链路控制器私网IP地址规划:

沿有原有的内网地址划分，地址分配以尽可能少地改动内网地址设置为原则。

●172.31.1.0/27:

LinkController内网与核心交换机相连网段使用;

Chapter2实施过程

项目实施步骤分为以下几步

2.1.实施计划的完善

完善本配置计划中的不完备信息、LinkController以外设备的配置方案、上线失败后的回滚计划是否准备充分。

2.2.F5LinkController的离线配置

A）F5硬件自检、license激活

B）F5vlan划分、ip地址分配

Vlan

HostName

IPAddress

网通（cnc）

PortAssignment:

1.11.2

Lc1RealIP

电信网（telecom）

PortAssignment:

1.3.14

Lc1RealIP

Internal

PortAssignment:

2.11.5-1.8,

L4Switch#1RealIP

L

C）路由配置

LinkController默认网关：

●cnc:

221.4.104.193

●telecom:

202.104.115.94

●内网网关：

10.0.0.0/8via172.31.1.1（防火墙与F5linkcontroller内网相连的地址）

●内网网关：

9.0.0.0/8via172.31.1.1（防火墙与F5linkcontroller内网相连的地址）

●内网网关：

172.30.30/24via172.31.1.1（防火墙与F5linkcontroller内网相连的地址）

D）outbound访问配置

内网普通用户的访问将按设定的链路选择办法（负载均衡算法）在两条链路上进行选择，并将访问包的源地址转换成相应ISP链路的IP地址。

WildCastVirtual服务器0.0.0.0:

internal/0配置:

Virtual服务器IP1:

0.0.0.0

ServicePort:

0

PoolName:

Default_GW_Pool

LoadBalancingPolicy:

RoundRobin

PoolMemberAddress:

;202.104.115.94

221.4.104.193

E）特定用户对internet的访问

某些用户访问外网特定的服务器时，外网的服务器要对访问的源地址进行限定。

因此在LinkController上要对上述用户的地址转换设定特定的规则：

SNAT规则

用途

源地址

要求转换成的地址

F）特定应用使用指定的链路

特定应用使用指定链路

应用、服务、端口

指定的链路

对应的GatewayPool

G）虚拟服务器的配置

VirtualServer配置示例:

Virtual服务器IP1:

221.4.104.216

ServicePort:

80

PoolName:

Onlinebank_web

LoadBalancingPolicy:

RoundRobin

PoolMemberAddress:

172.30.30.30

Persistence:

EnableSimplePersistence

VirtualSever设置原始数据

服务器功能

内网地址

端口

公网地址

（cnc）

公网地址（telecom）

域名

用户访问dns的过程

DNS　VirtualServer配置示例:

DNS　VirtualSever设置

VIP

（IP:

Port）

PoolName

PoolMember

（IP:

Port）

LoadBalanceMethod

Persistence

附注

（Domain：

功能）

202.96.135.116 :

53

Dns_srv_pool

10.2.1.18 :

53

-

-

N

218.18.103.___ :

53

Dns_srv_pool

10.2.1.18 :

53

-

-

N

在dns服务器上设置的更改

对外提供服务的dns是托管在新浪，需要在此dns上做修改

以为例

wwwCNAMEwww.lc

lc　　NSns1.lc

　　NSns2.lc

Ns1.lc　Aedu_netshareip

Ns2.lcAtel_netshareip

H）wideip配置

10.2.1.18:

80

WideIP的配置:

WideIP:

VirtualServerPool:

218.18.103.___:

80,202.96.135.116:

80

LoadBalancingMethod:

QOS->RoundRobin

WideIP设置

WIP

PoolName

PoolMember

（IP:

Port）

LoadBalanceMethod

Domain

Persistence

1．上线条件检查。

（发通知给相关部门、所有所需设备、线缆是否准备充分、相关工程技术人员是否到位、DNS记录修改）

2.3.防火墙配置更改

在配置更改前，现将现有配置进行备份，以便恢复

防火墙需要将原网通的untrust区用私用地址的替换，（因为网通的vlan已经终结在F5linkcontroller上）并更改默认的网关。

并且去掉原来的对公网地址的nat规则，只做安全控制。

A）IP地址分配

Untrust区需更改地址为

Name

IPAddress

Fw1untrustipaddress

Fw2untrustipaddress

Floatingipaddress

B）路由配置

●默认网关：

172.31.1.14

增加规则设置

Srcip

Dstip

rules

2.4.对网络结构进行调整、接线、设备上线

2.5.修改DNS服务器设置

参见2.2i）

2.6.业务流程检查

业务流程检查

业务名称

检查结果

所需作的处理/责任人

处理结果

2.7.配置回滚过程

如果出现需要回滚的情况，只需要将保存的防火墙配置恢复，恢复原来的连接网线，DNS配置恢复即可。

Chapter3实施时间表

实施时间表

实施步骤

时间（分钟）

实施方

F5

离

线

配

置

F5硬件自检、license激活

120

F5

F5vlan划分、ip地址分配

路由配置

outbound访问配置

虚拟服务器的配置

wideip配置

防火墙

配置

更改

现有配置进行备份

Untrust、Trust区IP地址更改

默认网关更改

增加规则设置

网络结构进行调整、接线、设备上线

5

DNS服务器设置更改

5

业务流程检查

30

实施不成功回滚操作

恢复网络连线

5

防火墙配置恢复

30

DNS配置恢复

5