F5 负载均衡实施方案.docx
《F5 负载均衡实施方案.docx》由会员分享,可在线阅读,更多相关《F5 负载均衡实施方案.docx(12页珍藏版)》请在冰豆网上搜索。
![F5 负载均衡实施方案.docx](https://file1.bdocx.com/fileroot1/2023-1/10/1b6d72d8-a92d-4041-a1fd-dfa9baf4bc75/1b6d72d8-a92d-4041-a1fd-dfa9baf4bc751.gif)
F5负载均衡实施方案
Internet出口链路优化
项目实施方案
Chapter1网络拓扑结构
1.1.网络拓扑图
Internet出口链路优化方案的网络拓扑图见下图:
改造后的网络拓扑图:
1.2.IP地址规划
(1)F5链路控制器公网IP地址规划:
新增F5链路控制器在两条ISP链路分配公网ip地址。
原来公网ip终结到F5链路控制器上,而F5链路控制器的内网vlan与防火墙通过私有地址相连。
而新增的电信网与F5链路控制器电信网vlan相连。
(2)F5链路控制器私网IP地址规划:
沿有原有的内网地址划分,地址分配以尽可能少地改动内网地址设置为原则。
●172.31.1.0/27:
LinkController内网与核心交换机相连网段使用;
Chapter2实施过程
项目实施步骤分为以下几步
2.1.实施计划的完善
完善本配置计划中的不完备信息、LinkController以外设备的配置方案、上线失败后的回滚计划是否准备充分。
2.2.F5LinkController的离线配置
A)F5硬件自检、license激活
B)F5vlan划分、ip地址分配
Vlan
HostName
IPAddress
网通(cnc)
PortAssignment:
1.11.2
Lc1RealIP
电信网(telecom)
PortAssignment:
1.3.14
Lc1RealIP
Internal
PortAssignment:
2.11.5-1.8,
L4Switch#1RealIP
L
C)路由配置
LinkController默认网关:
●cnc:
221.4.104.193
●telecom:
202.104.115.94
●内网网关:
10.0.0.0/8via172.31.1.1(防火墙与F5linkcontroller内网相连的地址)
●内网网关:
9.0.0.0/8via172.31.1.1(防火墙与F5linkcontroller内网相连的地址)
●内网网关:
172.30.30/24via172.31.1.1(防火墙与F5linkcontroller内网相连的地址)
D)outbound访问配置
内网普通用户的访问将按设定的链路选择办法(负载均衡算法)在两条链路上进行选择,并将访问包的源地址转换成相应ISP链路的IP地址。
WildCastVirtual服务器0.0.0.0:
internal/0配置:
Virtual服务器IP1:
0.0.0.0
ServicePort:
0
PoolName:
Default_GW_Pool
LoadBalancingPolicy:
RoundRobin
PoolMemberAddress:
;202.104.115.94
221.4.104.193
E)特定用户对internet的访问
某些用户访问外网特定的服务器时,外网的服务器要对访问的源地址进行限定。
因此在LinkController上要对上述用户的地址转换设定特定的规则:
SNAT规则
用途
源地址
要求转换成的地址
F)特定应用使用指定的链路
特定应用使用指定链路
应用、服务、端口
指定的链路
对应的GatewayPool
G)虚拟服务器的配置
VirtualServer配置示例:
Virtual服务器IP1:
221.4.104.216
ServicePort:
80
PoolName:
Onlinebank_web
LoadBalancingPolicy:
RoundRobin
PoolMemberAddress:
172.30.30.30
Persistence:
EnableSimplePersistence
VirtualSever设置原始数据
服务器功能
内网地址
端口
公网地址
(cnc)
公网地址(telecom)
域名
用户访问dns的过程
DNS VirtualServer配置示例:
DNS VirtualSever设置
VIP
(IP:
Port)
PoolName
PoolMember
(IP:
Port)
LoadBalanceMethod
Persistence
附注
(Domain:
功能)
202.96.135.116 :
53
Dns_srv_pool
10.2.1.18 :
53
-
-
N
218.18.103.___ :
53
Dns_srv_pool
10.2.1.18 :
53
-
-
N
在dns服务器上设置的更改
对外提供服务的dns是托管在新浪,需要在此dns上做修改
以为例
wwwCNAMEwww.lc
lc NSns1.lc
NSns2.lc
Ns1.lc Aedu_netshareip
Ns2.lcAtel_netshareip
H)wideip配置
10.2.1.18:
80
WideIP的配置:
WideIP:
VirtualServerPool:
218.18.103.___:
80,202.96.135.116:
80
LoadBalancingMethod:
QOS->RoundRobin
WideIP设置
WIP
PoolName
PoolMember
(IP:
Port)
LoadBalanceMethod
Domain
Persistence
1.上线条件检查。
(发通知给相关部门、所有所需设备、线缆是否准备充分、相关工程技术人员是否到位、DNS记录修改)
2.3.防火墙配置更改
在配置更改前,现将现有配置进行备份,以便恢复
防火墙需要将原网通的untrust区用私用地址的替换,(因为网通的vlan已经终结在F5linkcontroller上)并更改默认的网关。
并且去掉原来的对公网地址的nat规则,只做安全控制。
A)IP地址分配
Untrust区需更改地址为
Name
IPAddress
Fw1untrustipaddress
Fw2untrustipaddress
Floatingipaddress
B)路由配置
●默认网关:
172.31.1.14
增加规则设置
Srcip
Dstip
rules
2.4.对网络结构进行调整、接线、设备上线
2.5.修改DNS服务器设置
参见2.2i)
2.6.业务流程检查
业务流程检查
业务名称
检查结果
所需作的处理/责任人
处理结果
2.7.配置回滚过程
如果出现需要回滚的情况,只需要将保存的防火墙配置恢复,恢复原来的连接网线,DNS配置恢复即可。
Chapter3实施时间表
实施时间表
实施步骤
时间(分钟)
实施方
F5
离
线
配
置
F5硬件自检、license激活
120
F5
F5vlan划分、ip地址分配
路由配置
outbound访问配置
虚拟服务器的配置
wideip配置
防火墙
配置
更改
现有配置进行备份
Untrust、Trust区IP地址更改
默认网关更改
增加规则设置
网络结构进行调整、接线、设备上线
5
DNS服务器设置更改
5
业务流程检查
30
实施不成功回滚操作
恢复网络连线
5
防火墙配置恢复
30
DNS配置恢复
5