F5负载均衡设备组网架构

1、F5 LTM组网架构组网架构李兴华F5 售前工程师 F5 Networks 单臂接入模式单臂接入模式 双臂接入模式双臂接入模式 远程节点模式远程节点模式 加入独立加入独立SSL/WA/ASMSSL/WA/ASM设备设备 防火墙负载均衡防火墙负载均衡 多链路接入多链路接入 灾备站点静态路由注入灾备站点静态路由注入AgendaAgenda F5 NetworksLTM单臂接入模式单臂接入模式3 F5 Networks单臂接入模式下的网络物理结构单臂接入模式下的网络物理结构4核心三层交换服务器服务器LTMLTM外部网络Vlan 1串口心跳线 F5 NetworksLTM单臂源地址替换接入典型架构设计

2、单臂源地址替换接入典型架构设计5Core SwitchCore SwitchServerServer网络同步-独立Vlan串口心跳NetworkIP:GW:54IP:GW:54SelfIP:00GW:54VS:00SNAT AutomapSelfIP:01GW:54VS:00SNAT AutomapHSRP 54TrunkTrunkTrunkActiveB

3、ackup F5 Networks单臂接入单臂接入-源地址替换模式数据访问流程源地址替换模式数据访问流程6核心三层交换服务器服务器LTMClient0GW:541GW:54VS: :80SelfIP: 53GW:545454SIPSportDIPDport678780538888180192

4、.168.1.1180538888806787 F5 Networks源地址替换后的处理源地址替换后的处理7核心三层交换服务器服务器LTMClient0GW:541GW:54VS: ：80SelfIP: 53GW:545454HTTP Profilewhen HTTP_REQUEST HTTP:header in

5、sert Client_IP= IP:client_addriRules只有HTTP协议的时候，可以通过将源地址插入到客户端请求的HTTP Header里，然后在服务器上通过读取这个Header，获得客户端的真实源IP地址 F5 Networks单臂接入单臂接入-npath模式数据访问流程模式数据访问流程8核心三层交换服务器服务器LTMClient0Lo:GW:541Lo:GW:54VS: :80SelfIP: 192.

6、168.1.253GW:545454SIPSportDIPDport 6787 80 6787 80 80 6787 F5 Networks单臂接入单臂接入-服务器非直连模式（无源地址替换）服务器非直连模式（无源地址替换）9核心三层交换服务器服务器LTMClient0GW:541GW:54

7、VS: :80SelfIP: 53GW:545454SIPSportDIPDport67878067871801806787806787无源地址替换的单臂接入模式使用比较少，通常用于对现网不能改造的情况这种模式下需要在核心三层交换上启用源地址路由，将服务器的所有返回数据包转向LTM，这样才能保证进出的连接完整性建

8、议在这种结构下采用源地址替换以减小网络复杂程度54 F5 Networks同网段访问处理同网段访问处理-必须通过必须通过SNAT实现实现10核心三层交换客户端服务器LTM0GW:541GW:54VS: ：80IP: 53GW:5454SIPSportDIPDport0678780538888180192.168.

9、1.1180538888806787 F5 Networks单臂接入单臂接入-服务器更改网关数据访问流程服务器更改网关数据访问流程11核心三层交换服务器服务器LTMClient0GW:531GW:53VS: :80SelfIP: 53GW:545454SIPSportDIPDport6787

10、8067871801806787806787 F5 Networks服务器更改网关后的直接访问服务器问题服务器更改网关后的直接访问服务器问题12核心三层交换服务器服务器LTMClient0GW:531GW:53VS: ：80IP: 53GW:545

11、454SYNSYNSYN-ACKSIPSportDIPDport67871801806787FastL4 Profile F5 Networks双臂接入模式双臂接入模式13 F5 NetworksLTM双臂接入模式典型架构设计双臂接入模式典型架构设计14VLAN EXTServerServer网络同步-独立Vlan串口心跳NetworkIP:GW:54IP:GW:54SelfIP EXT:192.1

12、68.1.200SelfIP INT:00GW:54VS:00HSRP 54ActiveBackupVLAN INTVLAN EXTVLAN INTSelfIP EXT:00SelfIP INT:00GW:54VS:00 FIP:54LB ServerIP:GW:50LB ServerIP:GW:50 FIP:1

13、54HSRP 54 F5 Networks双臂接入双臂接入-服务器直连服务器直连15核心三层交换服务器服务器LTMClient0GW:541GW:54VS: EXTIP: 53/VLAN EXTINTIP:54/VLAN INTGW:545454SIPSportDIPDport6787192.

14、168.1.18067871801806787806787 F5 Networks双臂接入双臂接入-串联部署串联部署-扩展端口扩展端口16核心三层交换服务器服务器LTMClient0GW:541GW:54VS: EXTIP: 53/VLAN EXTINTIP:54/VLAN INTGW:19

15、545454服务器接入交换SIPSportDIPDport67878067871801806787806787 F5 Networks双臂接入双臂接入-旁挂模式旁挂模式17核心三层交换服务器服务器LTMClient0GW:541GW:54VS: 192

16、.168.1.1:80EXTIP: 53/VLAN EXTINTIP:54/VLAN INTGW:545454SIPSportDIPDport67878067871801806787806787External_vlanInternal_vlan旁挂模式下LTM可以用不同的端口接入核心交换，也可以采用端口捆绑模式

17、接入核心交换，然后在端口捆绑里通过VLAN tag方式来划分多个VLAN F5 Networks旁挂模式下的服务器直接访问旁挂模式下的服务器直接访问18核心三层交换服务器服务器LTMClient0GW:541GW:54VS: EXTIP: 53/VLAN EXTINTIP:54/VLAN INTGW:545454SIPSportDIPDport192.16

18、8.0.1678718067871801806787FastL4 Profile F5 Networks双臂接入双臂接入-避免避免Spanning TreeF5 LTM有非常快速的切换机制（200ms），切换完成后会发送ARP广播Spanning Tree的重算机制在一些情况下会阻止对端设备收到ARP广播不同设备的ARP更新机制有时会带来很大的麻烦通常情况下，也不建议采用服务器双网卡接入19核心三层交换服务器服务器LTMClient服务器接入交换核心三层交换LTM服务器接入交换Clie

19、nt F5 Networks远程节点模式远程节点模式20 F5 Networks远程节点模式远程节点模式21核心三层交换服务器服务器LTMClient0GW:541GW:54VS: :80SelfIP: 53GW:545454SIPSportDIPDport678780538888

20、180180538888806787三层交换54远程节点模式通常用于服务器不在本地的情况只要路由可达，LTM就可以配置远程服务器作为节点必须采用源地址替换方式，保证服务器返回数据包回到LTM进行处理在同一个VS里面，可以同时存在有本地节点和远程节点，并且可以通过iRules控制在发往不同节点的时候是否启用源地址替换 F5 Networks加入独立加入独立SSL/WA/ASM设备设备22 F5 Networks应用加速和应用安全外挂典型架构设计应用加速和应用安全外挂典型架构设计23V

21、LAN EXT网络同步-独立Vlan串口心跳NetworkHSRP 54ActiveBackupVLAN INTVLAN EXTVLAN INTSelfIP EXT:00SelfIP INT:00GW:54VS:00 FIP:54LB ServerIP:GW:50LB ServerIP:GW:50 FIP:54HSRP 54SelfI

22、P EXT:00SelfIP INT:00GW:54VS:00IP:GW:50IP:GW:50WA/ASMWA/ASM F5 Networks加入独立加入独立SSL/WA/ASM设备设备业务逻辑流程设备设备业务逻辑流程24VS ExternalMember 1Member 20SSL/WA/ASMVS InternalMember 1Member 2192

23、.168.2.10ClientSIPSportDIPDport6787806787008067870080678708008067870080678700806787806787:80192.168.2.

24、10000:80VS External:ADDR：Pool：M1::80 P1 M2:0:80 P1 M3:00:80 P10VS Internal:Addr:00Pool:M1::80 M2:0:80 F5 Networks防火墙负载均衡组网结构防火墙负载均衡组网结构25 F5 Networks防火墙负载均衡处理防火墙负载均衡处理-物理连接结构物理连接结构26LTM服务器服务器防火墙接入交换机LTMLTMLTM接入交换

25、机服务器服务器接入交换机接入交换机防火墙防火墙防火墙建议所有的SSL/WA/ASM独立设备自身都以单臂模式接入在独立设备上无须开启源地址替换，保证在服务器上接收到的请求源地址为真实的客户端源地址F5所有的独立应用加速/安全设备均支持源地址透传 F5 Networks防火墙负载均衡处理防火墙负载均衡处理-业务逻辑流程业务逻辑流程27LTMLTM防火墙防火墙Client服务器SIPSportDIPDport678700806787008067870080192.168

26、.0.16787008000806787008067870080678700806787EXT:54INT:EXT:00INT:00EXT:01INT:01EXT:INT:5400防

27、火墙负载均衡模式下，数据包的信息在所有穿过整体系统的过程中都不会被改变3层以上的信息LTM依靠Auto LastHop记录的源MAC地址来确定将服务器返回数据发送到那个防火墙，而不是依靠路由防火墙可以工作在路由模式或者NAT模式，两种模式下都可以正常工作 F5 Networks链路负载均衡链路负载均衡28 F5 Networks链路负载均衡链路负载均衡-Link Controller部署物理结构部署物理结构29LC客户端服务器防火墙接入交换机LC接入交换机客户端服务器核心交换机核心交换机防火墙互联网ISP1ISP2HA在每台LC上都划分3个Vlan: ISP1, ISP2和Internal两台

28、LC之间建议采用Trunk方式连接划分在Internal Vlan里作为数据流量两台LC之间的同步/Failover采用另外的网络连线（在端口不足的情况下可以使用数据连线）建议防火墙采用路由模式，并且放置在LC的后端接入交换机通常建议采用低端的比较可靠的二层交换机，每增加一个ISP，增加一台接入交换机如果接入交换机支持VLAN划分，也可以通过VLAN tag模式将LC的外网接入部分统一连接在接入交换机上 F5 Networks链路负载均衡链路负载均衡-GTM+LTM防火墙在外部防火墙在外部30LTM客户端服务器防火墙接入路由器LTM接入路由器客户端服务器核心交换机核心交换机防火墙互联网ISP1ISP2GTM