F5 负载均衡实施方案.docx

1、F5 负载均衡实施方案Internet出口链路优化项目实施方案Chapter 1网络拓扑结构1.1.网络拓扑图Internet出口链路优化方案的网络拓扑图见下图: 改造后的网络拓扑图：1.2.IP 地址规划(1)F5链路控制器公网IP 地址规划: 新增F5链路控制器在两条ISP链路分配公网ip地址。原来公网ip终结到F5链路控制器上，而F5链路控制器的内网vlan与防火墙通过私有地址相连。而新增的电信网与F5链路控制器电信网vlan相连。(2)F5链路控制器私网IP地址规划:沿有原有的内网地址划分，地址分配以尽可能少地改动内网地址设置为原则。172.31.1.0/27: Link Contro

2、ller内网与核心交换机相连网段使用; Chapter 2实施过程项目实施步骤分为以下几步2.1.实施计划的完善完善本配置计划中的不完备信息、Link Controller以外设备的配置方案、上线失败后的回滚计划是否准备充分。2.2.F5 Link Controller的离线配置A)F5硬件自检、license激活B)F5 vlan划分、 ip地址分配 VlanHost NameIP Address网通（cnc）Port Assignment:1.1 1.2 Lc1 Real IP电信网（telecom） Port Assignment:1.3 .14 Lc1 Real IPInternalP

3、ort Assignment:2.1 1.5 - 1.8, L4 Switch#1 Real IPLC)路由配置 Link Controller默认网关： cnc : 221.4.104.193telecom: 202.104.115.94内网网关：10.0.0.0/8 via 172.31.1.1 (防火墙与F5 link controller内网相连的地址)内网网关：9.0.0.0/8 via 172.31.1.1 (防火墙与F5 link controller内网相连的地址)内网网关：172.30.30/24 via 172.31.1.1 (防火墙与F5 link controller内

4、网相连的地址)D)outbound访问配置 内网普通用户的访问将按设定的链路选择办法（负载均衡算法）在两条链路上进行选择，并将访问包的源地址转换成相应ISP链路的IP地址。WildCast Virtual 服务器 0.0.0.0:internal/0 配置:Virtual 服务器 IP1: 0.0.0.0Service Port: 0Pool Name: Default_GW_PoolLoad Balancing Policy: Round RobinPool Member Address:;202.104.115.94221.4.104.193E)特定用户对internet的访问 某些用户访

5、问外网特定的服务器时，外网的服务器要对访问的源地址进行限定。因此在Link Controller上要对上述用户的地址转换设定特定的规则：SNAT规则用途源地址要求转换成的地址 F)特定应用使用指定的链路 特定应用使用指定链路应用、服务、端口指定的链路对应的Gateway Pool G)虚拟服务器的配置 Virtual Server配置示例:Virtual 服务器 IP1: 221.4.104.216Service Port: 80Pool Name: Onlinebank_webLoad Balancing Policy: Round RobinPool Member Address: 172

6、.30.30.30Persistence: Enable Simple PersistenceVirtual Sever设置原始数据服务器功能内网地址端口公网地址（cnc）公网地址（telecom）域名用户访问dns的过程 DNSVirtual Server配置示例:DNSVirtual Sever设置VIP(IP:Port)Pool NamePool Member(IP:Port)Load Balance MethodPersistence附注（Domain：功能）202.96.135.116:53Dns_srv_pool10.2.1.18:53-N218.18.103._:53Dns_sr

7、v_pool10.2.1.18:53-N在dns服务器上设置的更改 对外提供服务的dns是托管在新浪，需要在此dns上做修改以为例www CNAME www.lclc NS ns1.lc NS ns2.lcNs1.lc A edu_net share ip Ns2.lc A tel_net share ipH)wideip 配置 10.2.1.18:80WideIP的配置:WideIP:Virtual Server Pool: 218.18.103._:80, 202.96.135.116:80Load Balancing Method: QOS-Round RobinWideIP设置WIPP

8、ool NamePool Member(IP:Port)Load Balance MethodDomainPersistence 1上线条件检查。（发通知给相关部门、所有所需设备、线缆是否准备充分、相关工程技术人员是否到位、DNS记录修改）2.3.防火墙配置更改在配置更改前，现将现有配置进行备份，以便恢复 防火墙需要将原网通的untrust区用私用地址的替换，（因为网通的vlan已经终结在F5 link controller上）并更改默认的网关。并且去掉原来的对公网地址的nat规则，只做安全控制。A)IP地址分配Untrust区需更改地址为 NameIP AddressFw1 untrust

9、ip addressFw2 untrust ip addressFloating ip addressB)路由配置默认网关： 172.31.1.14增加规则设置Src ipDst iprules2.4.对网络结构进行调整、接线、设备上线2.5.修改DNS服务器设置参见2.2 i）2.6.业务流程检查业务流程检查业务名称检查结果所需作的处理/责任人处理结果2.7.配置回滚过程如果出现需要回滚的情况，只需要将保存的防火墙配置恢复，恢复原来的连接网线，DNS配置恢复即可。Chapter 3实施时间表实施时间表实施步骤时间（分钟）实施方F5离线配置F5硬件自检、license激活120F5F5 vlan划分、 ip地址分配路由配置outbound访问配置虚拟服务器的配置wideip 配置防火墙配置更改现有配置进行备份Untrust、Trust区IP地址更改默认网关更改增加规则设置网络结构进行调整、接线、设备上线5DNS服务器设置更改5业务流程检查30实施不成功回滚操作恢复网络连线5防火墙配置恢复30DNS配置恢复5