F5组网模式ppt课件.ppt

F5LTM组网架构,1,单臂接入模式双臂接入模式远程节点模式加入独立SSL/WA/ASM设备防火墙负载均衡多链路接入灾备站点静态路由注入,Agenda,2,LTM单臂接入模式,3,单臂接入模式下的网络物理结构,核心三层交换,服务器,服务器,LTM,LTM,外部网络,Vlan1,串口心跳线,4,LTM单臂源地址替换接入典型架构设计,CoreSwitch,CoreSwitch,Server,Server,网络同步-独立Vlan,串口心跳,Network,IP:GW:54,IP:GW:54,SelfIP:00GW:54VS:00SNATAutomap,SelfIP:01GW:54VS:00SNATAutomap,HSRP54,Trunk,Trunk,Trunk,Active,Backup,5,单臂接入-源地址替换模式数据访问流程,核心三层交换,服务器,服务器,LTM,Client,,0GW:54,1GW:54,VS::80SelfIP:53GW:54,54,54,6,源地址替换后的处理,核心三层交换,服务器,服务器,LTM,Client,,0GW:54,1GW:54,VS:：80SelfIP:53GW:54,54,54,HTTPProfile,whenHTTP_REQUESTHTTP:headerinsertClient_IP=IP:client_addr,iRules,只有HTTP协议的时候，可以通过将源地址插入到客户端请求的HTTPHeader里，然后在服务器上通过读取这个Header，获得客户端的真实源IP地址,7,单臂接入-npath模式数据访问流程,核心三层交换,服务器,服务器,LTM,Client,,0Lo:GW:54,1Lo:GW:54,VS::80SelfIP:53GW:54,54,54,npath模式的关键在于服务器上配置的loopback地址在上能找到各种服务器的loopback地址如何配置的文档,8,单臂接入-服务器非直连模式（无源地址替换）,核心三层交换,服务器,服务器,LTM,Client,,0GW:54,1GW:54,VS::80SelfIP:53GW:54,54,54,无源地址替换的单臂接入模式使用比较少，通常用于对现网不能改造的情况这种模式下需要在核心三层交换上启用源地址路由，将服务器的所有返回数据包转向LTM，这样才能保证进出的连接完整性建议在这种结构下采用源地址替换以减小网络复杂程度,54,9,同网段访问处理-必须通过SNAT实现,核心三层交换,客户端,服务器,LTM,0GW:54,1GW:54,VS:：80IP:53GW:54,54,10,单臂接入-服务器更改网关数据访问流程,核心三层交换,服务器,服务器,LTM,Client,,0GW:53,1GW:53,VS::80SelfIP:53GW:54,54,54,11,服务器更改网关后的直接访问服务器问题,核心三层交换,服务器,服务器,LTM,Client,,0GW:53,1GW:53,VS:：80IP:53GW:54,54,54,SYN,SYN,SYN-ACK,FastL4Profile,12,双臂接入模式,13,LTM双臂接入模式典型架构设计,VLANEXT,Server,Server,网络同步-独立Vlan,串口心跳,Network,IP:GW:54,IP:GW:54,SelfIPEXT:00SelfIPINT:00GW:54VS:00,HSRP54,Active,Backup,VLANINT,VLANEXT,VLANINT,SelfIPEXT:00SelfIPINT:00GW:54VS:00,FIP:54,LBServer,IP:GW:50,LBServer,IP:GW:50,FIP:54,HSRP54,14,双臂接入-服务器直连,核心三层交换,服务器,服务器,LTM,Client,,0GW:54,1GW:54,VS:EXTIP:53/VLANEXTINTIP:54/VLANINTGW:54,54,54,15,双臂接入-串联部署-扩展端口,核心三层交换,服务器,服务器,LTM,Client,,0GW:54,1GW:54,VS:EXTIP:53/VLANEXTINTIP:54/VLANINTGW:54,54,54,服务器接入交换,16,双臂接入-旁挂模式,核心三层交换,服务器,服务器,LTM,Client,,0GW:54,1GW:54,VS::80EXTIP:53/VLANEXTINTIP:54/VLANINTGW:54,54,54,External_vlan,Internal_vlan,旁挂模式下LTM可以用不同的端口接入核心交换，也可以采用端口捆绑模式接入核心交换，然后在端口捆绑里通过VLANtag方式来划分多个VLAN,17,旁挂模式下的服务器直接访问,核心三层交换,服务器,服务器,LTM,Client,,0GW:54,1GW:54,VS:EXTIP:53/VLANEXTINTIP:54/VLANINTGW:54,54,54,FastL4Profile,18,双臂接入-避免SpanningTree,F5LTM有非常快速的切换机制（200ms），切换完成后会发送ARP广播SpanningTree的重算机制在一些情况下会阻止对端设备收到ARP广播不同设备的ARP更新机制有时会带来很大的麻烦通常情况下，也不建议采用服务器双网卡接入,核心三层交换,服务器,服务器,LTM,Client,服务器接入交换,核心三层交换,LTM,服务器接入交换,Client,19,远程节点模式,20,远程节点模式,核心三层交换,服务器,服务器,LTM,Client,,0GW:54,1GW:54,VS::80SelfIP:53GW:54,54,54,三层交换,54,远程节点模式通常用于服务器不在本地的情况只要路由可达，LTM就可以配置远程服务器作为节点必须采用源地址替换方式，保证服务器返回数据包回到LTM进行处理在同一个VS里面，可以同时存在有本地节点和远程节点，并且可以通过iRules控制在发往不同节点的时候是否启用源地址替换,21,加入独立SSL/WA/ASM设备,22,应用加速和应用安全外挂典型架构设计,VLANEXT,网络同步-独立Vlan,串口心跳,Network,HSRP54,Active,Backup,VLANINT,VLANEXT,VLANINT,SelfIPEXT:00SelfIPINT:00GW:54VS:00,FIP:54,LBServer,IP:GW:50,LBServer,IP:GW:50,FIP:54,HSRP54,SelfIPEXT:00SelfIPINT:00GW:54VS:00,IP:GW:50,IP:GW:50,WA/ASM,WA/ASM,23,加入独立SSL/WA/ASM设备设备业务逻辑流程,VSExternal,Member1,,Member2,0,SSL/WA/ASM,VSInternal,Member1,,Member2,0,Client,:80,,00,00:80,VSExternal:ADDR：Pool：M1::80P1M2:0:80P1M3:00:80P10VSInternal:Addr:00Pool:M1::80M2:0:80,24,防火墙负载均衡组网结构,25,防火墙负载均衡处理-物理连接结构,LTM,服务器,服务器,防火墙,接入交换机,LTM,LTM,LTM,接入交换机,服务器,服务器,接入交换机,接入交换机,防火墙,防火墙,防火墙,建议所有的SSL/WA/ASM独立设备自身都以单臂模式接入在独立设备上无须开启源地址替换，保证在服务器上接收到的请求源地址为真实的客户端源地址F5所有的独立应用加速/安全设备均支持源地址透传,26,防火墙负载均衡处理-业务逻辑流程,LTM,LTM,防火墙,防火墙,Client,服务器,,EXT:54INT:,EXT:00INT:00,EXT:01INT:01,EXT:INT:54,00,防火墙负载均衡模式下，数据包的信息在所有穿过整体系统的过程中都不会被改变3层以上的信息LTM依靠AutoLastHop记录的源MAC地址来确定将服务器返回数据发送到那个防火墙，而不是依靠路由防火墙可以工作在路由模式或者NAT模式，两种模式下都可以正常工作,27,链路负载均衡,28,链路负载均衡-LinkController部署物理结构,LC,客户端,服务器,防火墙,接入交换机,LC,接入交换机,客户端,服务器,核心交换机,核心交换机,防火墙,互联网,ISP1,ISP2,HA,在每台LC上都划分3个Vlan:ISP1,ISP2和Internal两台LC之间建议采用Trunk方式连接划分在InternalVlan里作为数据流量两台LC之间的同步/Failover采用另外的网络连线（在端口不足的情况下可以使用数据连线）建议防火墙采用路由模式，并且放置在LC的后端接入交换机通常建议采用低端的比较可靠的二层交换机，每增加一个ISP，增加一台接入交换机如果接入交换机支持VLAN划分，也可以通过VLANtag模式将LC的外网接入部分统一连接在接入交换机上,29,链路负载均衡-GTM+LTM防火墙在外部,LTM,客户端,服务器,防火墙,接入路由器,LTM,接入路由器,客户端,服务器,核心交换机,核心交换机,防火墙,互联网,ISP1,ISP2,GTM,GTM,在每台LTM上都划分3个Vlan:防火墙1,防火墙2和Internal两台LTM之间没有数据流量发生两台LTM之间的同步/Failover采用另外的网络连线（在端口不足的情况下可以使用数据连线）建议防火墙采用路由模式，并且放置在LTM的前端，针对每条链路上的防火墙也可以采用HA模式部署接入交换机通常建议采用低端的比较可靠的二层交换机，每增加一个ISP，增加一台接入交换机如果接入交换机支持V