F5_BIGIP_LinkController_v9_配置指南v5.ppt

Aug 2007DingYunfengdyf antai ModifiedbyAntai Sec F5NetworksBIGIPLinkController配置指南 初始化设备 安装9 3的最新版本 国内下载链接 ftp 如果不熟悉BIG IPV9的基本设置 请参考BIG IPLTM的相关文档 LinkController实施前的准备 确定网络结构图 确定网络结构图 确定网络结构图 确定应用的访问流程 确定应用的访问流程 确定应用的访问流程 典型网络拓扑 电信 网通 内 网 防火墙 VLANCT Link VLANInternal VPN WEB DMZ区 服务器区 wideips CNCip CTCip F5BIG IPLC EMAIL VLANCNC Link ISP 1 ISP 2 LinkController的主要功能 Internet LoadBalanceServers LBInboundLinks LBOutboundLinks 处理3种负载均衡流量 LinkController基本网络设置 配置VLAN LinkControllerv9基本网络配置 配置SelfIP LinkControllerv9基本网络配置 LinkControllerv9Outbound配置步骤 LinkControllerv9逻辑结构图 Outbound Link1 Link2 0 0 0 0 0VS0 0 0 0 21VS Clients Default Gateway Pool LinkController iRules Link1 Link2 LinkController是通过0 0 0 0的VirtualServer来引导由内向外 Outbound 的流量的 建立一个Default Gateway Pool LinkControllerv9Outbound配置步骤 Outbound流量以轮询的方式在两个ISP链路之间分发 当LC检测到链路Down时会变为红色 如链路正常为绿色 如是蓝色则表示没有设置健康检查方式 链路健康检查 网关健康检查 gateway icmp的monitor 以实现链路故障切换链路全路径检查设置全路径检查一般是配置网关的下一跳的IP地址 GatewayPool属性的设置 在轮询方式下记住将ActionOnServiceDown改为Reject 配置LinkController的缺省路由 1 需要先建立一个default gateway pool2 在network route中进行配置 Outbound配置步骤 配置Outbound的VS 0 0 0 0 0Type Performance Layer4 Protocol AllProtocols Outbound配置步骤 配置OutboundFTP的VS 0 0 0 0 ftp Outbound配置步骤 为什么要对FTP作特殊处理 PerformanceLayer4不修改应用层数据 FTP会将协商好的端口放在应用层报文中 FTP主动模式 client高端口连接server21端口然后client使用port命令如192 168 1 15 18 119就是client告诉server往这个地址和端口号传输数据IP 192 168 1 15portnumber 18 256 119 4727这个时候client在监听这个端口 同时server使用20号端口来连接client4727端口来传输数据 FTPProfile的作用 BIG IP会监测client端连接server的21端口 在控制命令中的ip和端口都做了相应的修改 把client的ip修改成映射后的地址 同时打开相应的端口 在0 0 0 0的virtualServer上设置源地址转换SNAT的相关设置 通过在VirtualServer上设置SNATAutoMap可以让Outbound流量从哪个ISP链路出去 就用LC上哪个ISP链路相应VLAN的SelfIP作为转换后的IP地址出去 如果LC是采用双机配置 则SNATAutoMap将采用LC双机的FloatingIP作为转换后的地址 Outbound配置步骤 这样 基本的Outbound负载均衡的配置就结束了 内部的用户 可以通过轮询的方式在两条线路之间进行选择来访问外面了 下面我们要继续进一步讨论如何优化Outbound负载均衡的策略和满足一些特殊的需求 根据运营商选择线路 主要是通过Rules来实现的 有选择性地进行SNAT对Outbound流量进行带宽限制 Outbound配置步骤 Outbound的高级配置 根据运营商选择线路 需求 对于去往中国电信的访问 走电信的线路CT Pool 当电信的线路故障时 走网通的线路 对于去往中国网通的访问 走网通的线路CNC Pool 当网通的线路故障时 走电信的线路 其他的访问在中国电信和中国网通之间负载均衡Default Gateway Pool Outbound的高级配置 根据运营商选择线路 建立CT Pool 由于当电信的线路故障时候需要用网通的线路做备份 所以在CT Pool里面启用了 PriorityGroupActivation 把电信线路的Priority设置高一些 而网通线路的Priority设置低一些 Outbound的高级配置 根据运营商选择线路 建立CNC Pool 由于当网通的线路故障时候需要用电信的线路做备份 所以在CNC Pool里面启用了 PriorityGroupActivation 把网通线路的Priority设置高一些 而电信线路的Priority设置低一些 Outbound的高级配置 根据运营商选择线路 所有的Pool设定好以后如下 Outbound的高级配置 根据运营商选择线路 设定好Pool以后 我们需要定义中国电信和中国网通地址段的Class 然后在Rules中根据class来识别用户去往那个运营商 Outbound的高级配置 根据运营商选择线路 中国电信的地址段Class 部分 classtelcom class network58 32 0 0mask255 224 0 0network59 32 0 0mask255 224 0 0network60 63 0 0mask255 255 0 0network60 160 0 0mask255 224 0 0network61 128 0 0mask255 252 0 0network61 132 0 0mask255 255 0 0network61 133 128 0mask255 255 128 0 Outbound的高级配置 根据运营商选择线路 中国网通的地址段Class 部分 classcnc class network58 16 0 0mask255 248 0 0network60 0 0 0mask255 224 0 0network60 55 0 0mask255 255 0 0network60 208 0 0mask255 240 0 0network61 48 0 0mask255 248 0 0network61 133 0 0mask255 255 128 0network61 134 96 0mask255 255 224 0 Outbound的高级配置 根据运营商选择线路 根据去往不同的运营商 目的地址 进行选择不同线路的RulesruleRule Destination Base Route timingonwhenCLIENT ACCEPTED if matchclass IP local addr equals ct class poolCT Pool elseif matchclass IP local addr equals cnc class poolCNC Pool else poolDefault Gateway Pool IP local addr 代表的是内网要访问的目的地址 Outbound常用Rules参考 对指定源IP地址设定SNATPool规则 根据到不同的运营商选定不同的NAT Pool的RulesruleDNS Outbound Snat Rules whenLB SELECTED if matchclass IP remote addr equals dns class if IP addr LB serveraddr equals219 1 1 1 snatpoolDNS SNAT CT Pool elseif IP addr LB serveraddr equals211 1 1 1 snatpoolDNS SNAT CNC Pool else snatautomap IP remote addr 代表的是内网客户端的IP地址 对于某些内网是公网地址不需要做NAT的RuleswhenCLIENT ACCEPTED if matchclass IP local addr equals cernet add if matchclass IP remote addr equals donot snat cernet poolcernet donot snat pool else poolcernetnat pool else pooltel pool Outbound常用Rules参考 Outbound常用Rules参考 whenCLIENT ACCEPTED if matchclass IP local addr equals ip ct poolct poolsnatautomap elseif matchclass IP local addr equals ip cnc poolcnc poolsnatautomap else poolcnc poolsnatautomap LinkControllerv9Inbound配置步骤 LinkControllerv9逻辑结构图 Inbound Link1 Link2 wideip VS Link1 WWW VS Link2 WWW WWW Server Pool WWW Listener1 Listener2 wideip VS Link1 FTP VS Link2 FTP FTP Server Pool FTP LinkController 设定ServerPool Pool是用来代表服务器的 VirtualServer将通过调用Pool来把请求转到真实的服务器上 Inbound配置步骤 设定完ServerPool 接下来要针对每一条线路设定一个VirtualServer 每个VirtualServer都会调用相同的Pool LinkControllerv9Inbound配置步骤 同样方法建立一个VS CT web的VirtualServer VirtualServer列表如下 LinkControllerv9Inbound配置步骤 VirtualServer建立完后 建立Listeners LinkControllerv9Inbound配置步骤 Listeners在双机情况下采用FloatingIP每条链路都要建Listerner 下一步需要配置Link CT Link CNC Link LinkControllerv9Inbound配置步骤 RouterAddress为线路的网关地址 UplinkAddress则不用填 关键的wideip部分 LinkControllerv9Inbound配置步骤 推荐的Wideip的LB算法为RTTTopologyGA 添加Topology记录 创建各ISP的Region 创建Topology记录 同一线路有多段IP时的topology的处理 两种解决方法 a 每一网段地址创建一条相应的topology记录b 所有地址包含在一个region中 创建一条topology记录 LinkControllerv9DNS迁移指南 修改之前的DNS设置 以为例 NSNSA202 99 8 1修改之后的DNS设置 以为例 NSNSCNAMENSNSAA219 141 225 11 LinkControllerV9DNS迁移指南 DNS转向设置举例 LinkControllerv9双机冗余配置指南 LinkController双机配置 LinkController是LTM和GTM的结合 所以在左HA的时候 需要分LTM和GTM两个部分 LinkControllerLTM部分的同步跟LTM的同步一样配置GTM同步部分比较新一些 我们来详细介绍一下 LinkController双机配置 准备条件1 两台设备的IP地址配置完毕2 两台设备的时间差不要超过30秒 LinkController双机配置 system globalproperties globaltrafficEnableSynchronization设定SynchronizationTimeToleranceEnableSynchronizeDNSZonefiles设定SynchronizationGroupName 手工修改wideip conf文件 修改前的wideip例子 server datacenter DefaultDC VS 0name typebigipbox gtmaddress10 1 10 251address10 2 10 251unit id1 autoconfenablemonitor bigip LinkController双机配置 适用于9 2 3以前的版本 9 3的版本不需要修改了 修改后的wideip文件例子 datacenter 1server s name DefaultDC server 把名字改为代表floatingip的FQDNlink es link2 link es link1 server datacenter DefaultDC VS 0name 把名字改为代表floatingip的FQDNtypebigipbox gtmaddress10 1 10 251address10 2 10 251unit id1 box address10 1 10 252把lc2的selfIP添加近来address10 2 10 252 autoconfenablemonitor bigip 修改完毕后 gtmload一下 缺省证书只有一年有效期因此LC配置双机前需要Renew一个自签发证书 LinkController双机配置 Renew证书 gtmparsegtmloadLc1和lc2交换SSL证书并且建立iqueryFromlc1issuecommand bigip addFromlc1verifyiquerytolc2 iqdumpFromlc2issuecommand bigip addFromlc2verifyiquerytolc1 iqdump LinkController双机配置 证书交换成功后可以在TrustedDeviceCertificates中看到对端的证书信息 lc1和lc2建立好iquery后 可以在lc2上把lc1的GTM配置导过来在lc2执行 gtm add此时可以测试GTM的同步了 可以在lc1上添加一个新的link 看lc2上是否自动同步过来 同样 可以在lc2上删除某个link或者某个wideip 看看lc1上相应的元素是否也删除掉了 如果成功的完成了以上的步骤 那么恭喜你LC的双机冗余成功了 LinkController双机配置 LinkControllerv9常见问题以及解决办法 添加Link时候提示DataCenter错误信息 报错信息 error theXXXlinkmusthaveaDataCenter原因 在添加Link时候wideip文件不存在 而Link的添加需要同DefaultDataCenter进行关联解决方法 需要手工添加wideip文件 并且把link信息在wideip文件里面添加然后gtmload 添加wideip时候提示VS不显示 错误信息 在VS的下拉列表里面看不到在LTM里面设定VS 原因 wideip文件里面没有vs的配置信息 解决方法 手工在wideip文件里面添加vs 并且要gtmload 不跟selfip在同一网段VS的Link绑定问题 需要进一步确认实现方法 错误信息 不跟selfip在同一网段的VS在Link绑定时候会出现属于CNC的VS被绑定到CT Link上去 原因 LinkController缺省是把VS同本网段的Link进行绑定 如果VS的地址不跟selfip在同一网段 那么LC将会根据ip地址的十六进制的靠近关系进行Link的绑定 解决方法 添加一个同VS在一个网段的Link 在923打最新Hotfix下面 该方法似乎失效 有待实验室测试一下 在LinkController中如何将VS和链路绑定 在9 3 0里面已经可以完全实现了 但是需要手工修改配置文件 在9 4 2也可以的 还没有发布 最近准备开始Beta了 AfterconfiguringtheGTMwideip confandalltheserverobjectsyouwillneedtomanuallyassociateeachvirtualserverwithalinkbye