lc访问out配置总结.doc

LC配置步骤：1 建立4个VLAN ：HA ,INTERNAL ,TEL,CNC并且划分接口给这些VLAN2 配置self IP和Floating IP ： 2条链路的Self IP( 给的公网IP地址/掩码) 。3 配置route: Default Getaway Pool建立默认网关池（2条链路的Self IP的各自的网关）4 建立VS: / 协议：FastL4 地址转换和端口转换都不打勾 默认Pool：Default Getaway pool I Rules: 5 建立TEL网关的 pool： 名字tel_pool Monitor: ICMP 优先级：Less than 1 池内：加入默认网关池公网IP （2条链路的Self IP的各自的网关） 端口为：0TEL的那条为5，CNC的为1 建立CNC 网关的pool：名字tel_pool Monitor: ICMP 优先级：Less than 1 池内：加入默认网关池公网IP （2条链路的Self IP的各自的网关） 端口为：0CNC的那条为5，TEL的为16 建立SNAT pool Snat_tel_pool：将电信TEL给的2个公网IP放入（一个Self IP和一个送的公网ip:21）CNC只有一个公网Self IP，直接Automap即可7. 建立DATA GROUP：LTMI Rulesdate groupscreate格式： / 定义TEL_CLASS和CNC_CLASS（放入电信和网通的网段）定义client_cnc（只能走CNC线路的内网客户端）8 写I Rules: 1）选择只走网通的客户IP(CNC断了可以走电信)，可以用作内网是网通的公网地址客户，或者只有单个VS在网通的服务器的外出访问包 when CLIENT_ACCEPTED if matchclass IP:client_addr equals $:client_cnc pool cnc_pool2） 访问电信走电信，访问网通走网通,都不匹配走默认POOL（轮询于电信网通间）when CLIENT_ACCEPTED if matchclass IP:local_addr equals $:tel_classpool tel_Pool elseif matchclass IP:local_addr equals $:cnc_classpool CNC_Pool else pool Default_Gateway_Pool上半段的Rules是判断用户的外出包采用哪个Gateway即哪个ISP外出，这半段Rules则在用户已经选择了外出的ISP后，判断用户究竟用哪个Source IP外出！3) 在前面的基础上我们的客户一定会又提出了一些具体的需求，某些应用需要以VS的地址 SNAT出去，这时需要将该VS对应的服务器组POOL中的所有服务器做1对1或N对1的SNAT; 例如：VS (2) POOL (2 + 3) 电信网关93对于这种NAT应用，我们判定其数据流有如下几步：1 当源地址等于特定服务器地址时，将优先选用该特定服务器对应的VS所处的Gateway；2 如果选定了VS所对应的Gateway，则将该服务器的源地址SNAT成其VS的地址；3 如果对应的gateway故障，且用户运行切换使用别的Gateway，此时该服务器的源地址应该SNAT Automap成对应选定Gateway的地址。 when LB_SELECTED If IP:addr LB:server addr equals 93 and IP:addr IP:client_addr equals 2 snat 2 elseif IP:addr LB:server addr equals 93 snat pool snat_tel_pool else snat automap 4) ISNAT应用指得是内网的服务器组（1台或N台），已经按照链路负载均衡在多个ISP上构筑了VS。当服务器主动向外发起请求时，其外出的源地址按照其选定ISP而采用该ISP上的VS地址。我们来整理一下其数据流：1 服务器发起对外的请求，达到F5后选择一个ISP的网关转发外出包；2 当决定了转发的ISP网关后，将服务器的源地址改为该ISP上的对应VS地址；3 如果含有VS的ISP都故障，是否让服务器采用别的ISP外出？4 如果采用别的ISP外出是否采用SNAT Automap解决源地址问题？我们首先要建立一个class将VS对应的所有服务器组pool成员添加进去，当然如果服务器只有一台就无需建立。举个例子我们的mail服务器1,对外发布两个VS （在CNC VS为01 ,网关为93; 在telecom VS为7 ,网关为9）when LB_SELECTED if IP:addr LB:server addr equals 93 and IP:addr IP:client_addr equals 1 snat 01 elseif IP:addr LB:server addr equals 9 and IP:addr IP:client_addr equals 1 snat 7 else snat automap 5） 公网地址应用如果F5里面的某些服务器使用了公网地址，不做任何设置的时候是命中Automap，即使打开了：0 forwarding VS 同样如此，如果希望以自己的地址路由出去，就必须不做SNAT出去。我们再来整理一下其数据流：1 当客户的源地址是公网地址，外出访问internet时，我们需要把它转发到该公网地址所属的ISP；2 由于其是公网地址，我们在外出SNAT中应该明确标注其SNAT none；3 如果该公网地址所属ISP故障，是否切换到其它ISP；4 当切换到其它ISP时，外出时必须选用其它ISP地址作为SNAT地址才能外出；when LB_SELECTED if IP:addr LB:server addr equals 9 and IP:addr IP:client_addr equals / snat none。 6）f5利用I Rules同样可以完成packet filter功能when CLIENT_ACCEPTED if IP:addr IP:local_addr equals / and IP:addr IP:client_addr equals 1 forwardelseif IP:addr IP:local_addr equals / discard附一我们在v9 的outbound的测试经常会碰这样的问题， 向外一直ping 一个电信的地址，拔掉电信得链路的时候会发现ping 包会丢包会很长时间恢复，但是向外的FTP,HTTP SNTP都不受影响，迅速的切换回来。 这是因为v9中吧ping作为一个长连接，所以timeout时间过来才会切换到另一条联路。 如果要解决这个问题就是，在Default_Gateway_pool中auctioned service down中选择reselect 的option. 这样就能够实现ping 包的快速切换。 discard Causes the current packet or connection to be discarded. This statement must be conditionally associated with an if statement. drop discard forward Sets the connection to forward IP packets reject Causes the connection to be rejected Return Terminates execution of the iRule eventLB_SELECTED事件中if的优化按照前面所述，我们在LB_SELECTED事件中采用gatewaysource IP绑定的方式书写if判定。这种方式在少量SNAT设置中十分简单易懂，但当SNAT数量达到十多个时，对性能影响甚大。为什么？因为如果你有30个判定，则SNAT Automap必将作30个if判定后才到达最后的Automap，性能影响甚大。最简单的方式就是按照Gateway先规类判定一次后，再接下去判定source IP，如此可以减少大量if判定。如下：when LB_SELECTED if IP:addr LB:server addr equals 93 and IP:addr IP:client_addr equals 1 snat 21 elseif IP:addr LB:server addr equals 93 and IP:addr IP:client_addr equals 2 snat 3 elseif IP:addr LB:server addr equals 93 and IP:addr IP:client_addr equals 3 snat 4 elseif IP:addr LB:server addr equals 93 and IP:addr IP:client_addr equals 4 snat 5 我们可以先判定网关是CNC的93，再分析源地址。这样如果客户选定的是telecom gateway就可以避免后续的if判定。如下：when LB_SELECTED if IP:addr LB:server addr equals 93 if IP:addr IP:client_addr equals 1 snat 1 elseif IP:addr IP:client_addr equals 2 snat 3 elseif IP:addr IP:client_addr equals 3 snat 4 elseif IP:addr IP:client_addr equals 4 snat 5 else snat automap 一般情况配置如下：Irule 如下：when CLIENT_ACCEPTED if matchclass IP:local_addr equals $:CTC_class pool out_CT_first_poolelse if matchclass IP:local_addr equals $:CNC_class pool out_CNC_first_poolelse pool out_default_gwStatic SNAT：由于涉及到双链路的访问，所以在本案中Static SNAT 是通过编写Irule 的方式来实现，如下：when LB_SELECTED if IP:addr LB:server addr equals 222.X.X.X if IP:addr IP:client_addr equals 172.28.168.X snat 222.X.X.Xelseif IP:addr IP:client_addr equals 172.28.168.X snat 222.X.X.Xelse snat automapelseif IP:addr LB:server addr equals 210.X.X.X if IP:addr IP:client_addr equals 172.28.168.X snat 210.X.X.Xelse