1、F5 Link controller V9 Config SOPShanghaiChengDigitalchina Lei第 1 頁 共 29 頁第 2 頁 共 29 頁第 3 頁 共 29 頁目 錄設(shè)計需求及目標(biāo)：5部署方式及要求：6F5 Link Controller 對流量的處理7地址規(guī)劃和具體拓?fù)溥B接8實施工藝配置：10初始化配置：10配置 Vlan：10配置 Self IP：11Outbound：121、2、3、4、5、...7建立 POOL:12建立 Class:14建立 SNAT_pool14建

2、立建立建立Rate class16Irule17link monitor18路由配置：205.5Inbound：..45.5.5WEB 負(fù)載均衡.22建立 VS22建立 LINKS26建立 listeners27建立 Topology 和 Ragion28第 4 頁 共 29 頁1、設(shè)計需求及目標(biāo)：目前1.Xernet 出口和使用情況如下：ernet 出口現(xiàn)在有 ISP1 10M 鏈路, ISP2 100M 鏈路，ISP 3 100M 鏈路，ISP 4100M 鏈路，將來也有再增加其他帶寬的可能，用戶對互聯(lián)網(wǎng)的流量比較大，但各出口分配并不平均，其中 ISP

3、1 和 ISP2 出口比較擁擠，而網(wǎng)通則相對空閑。2. 現(xiàn)有的公網(wǎng) IP 地址是教科網(wǎng)4個C 類地址，電信網(wǎng)通各有 16 個。部分用戶ernet。實 IP 地址，大部分區(qū)域采用私有地址，并通過方式3. 現(xiàn)有各類服務(wù)器 30 臺以上，在中心機房集中運行 20各類服務(wù)器。其余服務(wù)器分布在內(nèi)。二、根據(jù)上述情況和日常管理題：負(fù)載均衡：中經(jīng)驗以及用戶具體需求需要解決如下三類問1.要求設(shè)備或方案能夠?qū)ι鲜鲞\營商鏈路提供共享、流量負(fù)載均衡功能；支持基于動態(tài)最佳路徑選擇和固定等方式（響應(yīng)速度優(yōu)先）。2.要求用戶互聯(lián)網(wǎng)采用 NAT 方式，支持 Sic NAT （單一 IP 對單一 IP）Dynamic NAT

4、（網(wǎng)段對單一 IP）、網(wǎng)段對網(wǎng)段 NAT。3.要求支持 Inbound 的負(fù)載均衡，能夠為服務(wù)器（配置私有地址或公有地址）提供靜態(tài)和動態(tài)鏈路負(fù)載均衡功能，實現(xiàn)對學(xué)校服務(wù)器的經(jīng)過優(yōu)化處理后，用戶的信息從最快捷的路由送回。4.要求能夠?qū)崿F(xiàn)校內(nèi)用戶能夠按優(yōu)化的路徑互聯(lián)網(wǎng)資源。同時，管理員也能夠?qū)μ囟ǖ脑?IP 范圍用戶按指定鏈路通信。要求設(shè)備自動偵測對外連接狀態(tài)（非端口狀態(tài)），當(dāng)任一條對外鏈路中斷或不穩(wěn)時，會自動將流量切換至其它可用的外連線路，以確保整體對外連接永不中斷。一旦發(fā)生問題的連接回復(fù)正常時，也能自動偵測，并重新分配每條連接的流量負(fù)載，將整體對外連接的使用率做最有效的分配。5.管理1.2.該

5、方案應(yīng)該對服務(wù)器管理員透明；并且能夠詳細(xì)的日志。管理者可方便了解網(wǎng)絡(luò)帶寬使用狀態(tài)、數(shù)據(jù)流量、網(wǎng)絡(luò)信息過濾情況等內(nèi)容，另需具有一定的管理方式靈活，操作簡便。功能。3.三、建設(shè)目標(biāo)實現(xiàn)多條鏈路的流量智能動態(tài)負(fù)載均衡。某條鏈路出現(xiàn)故障時，能自動的切換到健康的鏈，不會影響到現(xiàn)有網(wǎng)絡(luò)應(yīng)用（包括流入和流出流量）。第 5 頁 共 29 頁2、部署方式及要求：拓?fù)淙缦拢篒SP3ISP4ISP 1ISP 2Si鏈路負(fù)載均衡主要用于 4 個 ISP 的負(fù)載均衡和冗余使用，其中 ISP1，ISP2，ISP3 和 ISP4 各一條。對于流量，采用 F5 的 AutolastHop 功能，可以保證來自于電信的流量由電信

6、線路返回，來自于網(wǎng)通的流量由網(wǎng)通線路返回。而對于出口流量，可以根據(jù) F5 對聯(lián)路健康檢查的結(jié)果（對互聯(lián)網(wǎng)上的地址包測試速度），選擇最優(yōu)路徑。也可以配置策略，實現(xiàn)出口流量分流。第 6 頁 共 29 頁3、F5 Link Controller 對流量的處理目前X 有四條 ISP 線路,為了保證服務(wù)器能夠可靠的對外提供服務(wù),分別要求對四條鏈路作 outbound 負(fù)載均衡，對提供了 Global 負(fù)載均衡。服務(wù)器的接入任何一條線路出現(xiàn)故障的時候,都不會影響網(wǎng)絡(luò)的正常,服務(wù)器仍然可以通過另外一條線路正常對外提供服務(wù).對 Inbound 流量的處理:對于 Inbound 的服務(wù)器的流量,F5 鏈路負(fù)載均

7、衡設(shè)備實現(xiàn) ISP1 和ISP2，ISP3 和 ISP4 四條鏈路的負(fù)載均衡,F5 Link controller 實現(xiàn)對多條鏈路狀態(tài)的實時探測,保證應(yīng)用的都是通過健康的鏈路進行.另外,通過 F5Linkcontroller 的 Widip 的配置,即一個對應(yīng)多個 ISP 的公網(wǎng)地址.客戶該的時候,最終的需要通過 F5 Link controller 來完成,由 F5Linkcontroller 返回給客戶某一條鏈路的公網(wǎng)地址,即實現(xiàn)兩條接入鏈路的負(fù)載均衡.F5 Link controller 通過健康檢查的方式兩條鏈路的狀態(tài),當(dāng)某條鏈路的狀態(tài)出現(xiàn)故障的時候, F5 Linkcontrolle

8、r 將不會返回給客戶該鏈路的相應(yīng)的服務(wù)器的公網(wǎng)地址.保證用戶的不會中斷.對 Outbound 流量的處理:F5 Link controller 可以對出去的 Outbound 流量進行分配,可以采用輪詢等負(fù)載均衡算法分配流量.還可以根據(jù)應(yīng)用,地址等來分配 ISP 資源的使用.可以根據(jù)需要調(diào)整.目前X 的 ISP 資源使用分配計劃如下:第 7 頁 共 29 頁4、地址規(guī)劃和具體拓?fù)溥B接端口配置F5-LC如圖：第 8 頁 共 29 頁接口名稱所屬 Vlan2.2需要在 F5-LC 上配置的 Vlan 及地址：F5-LC:如圖：第 9 頁 共 2

9、9 頁Vlan地址用途Self:連接 ISP1Gw:Self:連接 ISP2Gw:Self:連接 ISP3Gw:Self:連接 ISP4Gw:IternalSelf:連接網(wǎng)絡(luò)5、實施工藝配置：5.1初始化配置：安裝 4.8 版本，最好是全新安裝方式，不要做 IM 升級打的 Hotfix，目前版本為 HF65528-CR67648-ENG，地址：.cn/f5gz/james配置管理地址如果使用默認(rèn)地址，管理口為 45/24如果需要使用其他地址，可通過 config 命令在命令行配置界面下進行設(shè)置激活 License設(shè)置正確的時區(qū)( 在命令行下使用 date 命

10、令修改日期）。設(shè)定管理員5.2配置 Vlan：建立 5 個 VLAN:Vlan1,Vlan2,Vlan3,Vlan4,Vlan5五個 VLAN 分別對應(yīng) 7 個接口(1.1,1.2,1.3,1.4，1.5,1.6, 1.7)。選擇 Network，然后選擇 vlan 選項，選擇 create，創(chuàng)建相應(yīng)的 vlan 并綁定接口，創(chuàng)建完成選擇 update 進行保存。1、ernal第 10 頁 共 29 頁2.Vlan23Vlan34Vlan45Vlan55.32、配置 Self IP：首先配置接口地址，然后配置接口的雙機虛擬地址。選擇 Network，然后選擇 self ips 選項，選擇cre

11、ate，創(chuàng)建相應(yīng)的vlan并綁定接口，創(chuàng)建完成選擇 update 進行保存。1、ernal 接口：2、Vlan2 接口第 11 頁 共 29 頁3、Vlan3 接口4、Vlan4 接口5、Vlan5 接口5.4Outbound：Outbound 出口數(shù)據(jù)處理原理為用戶發(fā)起對外的數(shù)據(jù)包到 F5,F5 首先有一個 VS 對應(yīng)此數(shù)據(jù)包，然后此 VS 有對應(yīng)的一個 gatewaypool，VS 選擇這個 pool 后。F5 再根據(jù)此 gateway pool 對應(yīng)進行路由選路。對于 outbound 的X 希望目標(biāo)地址為 ISP1 從 ISP1 鏈路出去，ISP3 目標(biāo)地址的數(shù)據(jù)包通過必須通過 ISP

12、3規(guī)則，ISP2 從ISP2 鏈路出去，同時所有鏈路。為了滿足 outbound 最優(yōu)分別建立ISP1_地址段。Xoutbound互聯(lián)網(wǎng)的需求，使用 F5 強大的 irule 功能實現(xiàn)，分別建立 ISP1 class, ISP2 class, ISP3class 三個 ISP 的地址列表，然后_pool,ISP2_pool,ISP3_pool，以及 default_gateway_pool 四個pool5.4.1建立POOL:因為F5 對應(yīng)有 4 條ernet 出口鏈路，所以需要建立一個， ISP1_pool,ISP2_pool,ISP3_pool,Default_Gateway_POOL，包

13、含 4 條鏈路的網(wǎng)關(guān)地址，這樣從ernal 接口過來的數(shù)據(jù)將命中默認(rèn)路由的default_gateway pool，然后對應(yīng) Pool 成員進行選擇從哪條鏈路出去。ISP1_pool:第 12 頁 共 29 頁ISP2_pool:ISP3_pool:Default_gateway_pool:如上圖所示：每一個 pool 包含 4 個 member，在各自以鏈路命名的 pool 中，相對應(yīng)的鏈路gw 地址的proirity 最高，其他的鏈路較次。并且使用gateway_icmp 的monitor方式第 13 頁 共 29 頁5.4.2建立 Class:ISP1_classISP2_class:C

14、ernet_class:5.4.3建立 SNAT_pool由于客戶為帶寬較大，在正常的流量使用中平均并發(fā)連接數(shù)300000 connection，所以為了建立 SNAT_pool 并作 用在 能夠有足夠的端口讓內(nèi)網(wǎng)用戶 Default_gateway_vs (:0)中。如圖：互聯(lián)網(wǎng)， 第 14 頁 共 29 頁第 15 頁 共 29 頁5.4.4建立 Rate class為了實現(xiàn)一定的帶寬管理功能，限制指定內(nèi)網(wǎng)上網(wǎng)的帶寬限制，分別建立不同的 class:第 16 頁 共 29 頁其中： Rate_300M: Rate_100M:Rate_20M:/255.25

15、5.0.0////5.4.5建立 Irule在建立以上的參數(shù)之后，如下：用戶上網(wǎng)必須建立 irule 來實現(xiàn) outbound 上網(wǎng)的策略規(guī)測：when CNT_ACCEPTED if matchclass IP:local_addr equals $:ISP1_class pool ISP1_poolelse if matchclass IP:local_addr equals $:ISP2_classpool

16、 ISP2_poolelse if matchclass IP:local_addr equals $:ISP3_classpool ISP3_pool第 17 頁 共 29 頁else pool Defaulte_gateway_pool snatpool out_poolRate irule:when CNT_ACCEPTED if matchclass IP:cnt_addr equals $:Rate_20M rateclass Rate_20Melse if matchclass IP:cnt_addr equals $:Rate_100M rateclass Rate_100Mel

17、se rateclass Rate_300M5.4.6建立 link monitor考慮到 pool 中的 4 條節(jié)點的路由器的內(nèi)，如果路由器的發(fā)生網(wǎng)絡(luò)中斷則如果此路由器的不做的話，F(xiàn)5 會認(rèn)為網(wǎng)絡(luò)連通，所以要對這兩個 default_gateway_pool mumber 進行自定義的策略。如下圖：首先自定義 4 個 monitor 規(guī)則：1）monitor ISP1 路由器接口地址第 18 頁 共 29 頁2）monitorISP2 路由器 monitor3）monitorISP3 路由器 monitor:40 monitorISP4 路由器 monitor第 19 頁 共 29 頁5.4

18、.7路由配置：1）對外默認(rèn)路由 defaultgateway，應(yīng)用 pool：default_gateway_pool.2）往的路由,所有路由都扔給路由器 IP 第 20 頁 共 29 頁5.4.8建立 Vs：建立 default_gateway VS,針對對外部進行處理。第 21 頁 共 29 頁通過以上五步的配置，用戶即可實現(xiàn)5.5Inbound：5.5.1WEB 負(fù)載均衡外部對內(nèi)的 Web 等，通過 4 條鏈路進行 inbound 負(fù)載均衡。F5 針對 Web等主機進行DNS，當(dāng)確定DNS 查詢的源地址為電信或網(wǎng)通的地址時，F(xiàn)5 會根據(jù) LC wideip 下對應(yīng) VS 地址，分配 web 服務(wù)器對應(yīng)的電信或網(wǎng)通地址，然后用戶根據(jù) DNS 返回的地址對服務(wù)器進行。F5 通過 RTT 的方式實現(xiàn)動態(tài)的探測鏈路就近的方式解決互聯(lián)互通。具體配置 F5 DNS過程如下:5.5.2建立VS建立針對 WEB 服務(wù)器對應(yīng)的 ISP1，ISP2 或者 ISP3 的對應(yīng)的 VS，用于 F5 做 DNS時選擇哪一個地址進行給客戶端。針對每一條線路設(shè)定一個 VirtualServer。比如：dzjc 應(yīng)用dzjc_CERNET_VS:第 22 頁 共 29 頁C_VS第 23 頁 共 29 頁Dzj