F5组网模式精编版

1、F5 LTM组网架构组网架构 杨明非 F5北方区技术经理 AgendaAgenda ?单臂接入模式单臂接入模式 双臂接入模式双臂接入模式 远程节点模式远程节点模式 加入独立加入独立SSL/WA/ASMSSL/WA/ASM设备设备 防火墙负载均衡防火墙负载均衡 多链路接入多链路接入 灾备站点静态路由注入灾备站点静态路由注入 ? F5 Networks LTM单臂接入模式单臂接入模式 ? F5 Networks 3 单臂接入模式下的网络物理结构单臂接入模式下的网络物理结构 外部网络 核心三层交换 Vlan 1 LTM 服务器 服务器 LTM 串口心跳线 ? F5 Networks 4 LTM单臂源

2、地址替换接入典型架构设计单臂源地址替换接入典型架构设计 Network Trunk Core Switch SelfIP:00 GW:54 VS:00 SNAT Automap Core Switch SelfIP:01 GW:54 VS:00 SNAT Automap HSRP 54 Trunk Trunk Server Active IP: GW:54 Server IP:

3、 GW:54 Backup 网络同步-独立Vlan 串口心跳 ? F5 Networks 5 单臂接入单臂接入-源地址替换模式数据访问流程源地址替换模式数据访问流程 Client SIP Sport DIP Dport 6787 80 53 8888 1 80 1 80 53 8888 80 6787 54 核心三层交换 5

4、4 服务器 服务器 LTM VS: :80 SelfIP: 53 GW:54 ? F5 Networks 0 1 GW:54 GW:54 6 源地址替换后的处理源地址替换后的处理 Client iRules HTTP Profile 54 when HTTP_REQUEST HTTP:header insert Client_IP= IP:client_addr 核心三层交换 192.168.1.

5、254 只有HTTP协议的时候，可以通 过将源地址插入到客户端请求的HTTP Header里，然后在服 务器上通过读取这个Header， 获得客户端的真实源IP地址 服务器 服务器 LTM VS: ： 80 SelfIP: 53 GW:54 ? F5 Networks 0 1 GW:54 GW:54 7 单臂接入单臂接入-npath模式数据访问流程模式数据访问流程 Client 54 核心三层交换

6、 54 SIP Sport DIP Dport 6787 80 6787 80 80 6787 npath模式的关键在于服务器上配置的loopback地址 在上能找到各种服务器的loopback地址如何配置的文档 服务器 服务器 0 1 Lo: Lo: GW:54 GW:54 LTM VS: 192.

7、168.1.1:80 SelfIP: 53 GW:54 ? F5 Networks 8 单臂接入单臂接入-服务器非直连模式（无源地址替换）服务器非直连模式（无源地址替换） Client 54 核心三层交换 54 服务器 服务器 SIP Sport DIP Dport 6787 80 6787 1 80 1 80 6787

8、80 6787 54 LTM VS: :80 SelfIP: 53 GW:54 无源地址替换的单臂接入模式使用比较少，通常用于对现网不能改造的情况 这种模式下需要在核心三层交换上启用源地址路由，将服务器的所有返回数据包转向LTM， 这样才能保证进出的连接完整性 建议在这种结构下采用源地址替换以减小网络复杂程度 ? F5 Networks 0 1 GW:54 GW:54 9 同网段访问处理同网段访问

9、处理-必须通过必须通过SNAT实现实现 54 核心三层交换 LTM 服务器 1 GW:54 客户端 0 VS: ： 80 GW:54 IP: 53 GW:54 SIP Sport DIP Dport 0 6787 80 53 8888 1 80 1 80 53 8888 192.168.1

10、.1 80 6787 10 ? F5 Networks 单臂接入单臂接入-服务器更改网关数据访问流程服务器更改网关数据访问流程 Client 54 核心三层交换 54 SIP Sport DIP Dport 6787 80 6787 1 80 1 80 6787 80 6787 服务器 服务器 LTM VS: 192.

11、168.1.1:80 SelfIP: 53 GW:54 ? F5 Networks 0 1 GW:53 GW:53 11 服务器更改网关后的直接访问服务器问题服务器更改网关后的直接访问服务器问题 Client SYN 54 核心三层交换 54 SYN SIP Sport DIP Dport 6787 1 80 1 80 192.1

12、68.0.1 6787 FastL4 Profile 服务器 服务器 SYN-ACK LTM VS: ： 80 IP: 53 GW:54 ? F5 Networks 0 1 GW:53 GW:53 12 双臂接入模式双臂接入模式 ? F5 Networks 13 LTM双臂接入模式典型架构设计双臂接入模式典型架构设计 Network SelfIP EXT:00 SelfIP INT:00 GW:19

13、54 VS:00 HSRP 54 SelfIP EXT:00 SelfIP INT:00 GW:54 VS:00 VLAN EXT VLAN INT VLAN EXT Active FIP:54 VLAN INT FIP:54 Backup HSRP 54 LB Server IP: GW:50 Server IP:

14、 GW:54 Server IP: GW:54 LB Server IP: GW:50 网络同步-独立Vlan 串口心跳 14 ? F5 Networks 双臂接入双臂接入-服务器直连服务器直连 Client SIP Sport DIP Dport 6787 80 6787 1 80 1 80 6787 192.168.1.

15、1 80 6787 54 核心三层交换 54 LTM VS: EXTIP: 53/VLAN EXT INTIP:54/VLAN INT GW:54 服务器 15 服务器 0 1 GW:54 GW:54 ? F5 Networks 双臂接入双臂接入-串联部署串联部署-扩展端口扩展端口 Client 54 核心三层交换 192.168

16、.1.254 LTM 服务器接入交换 服务器 服务器 16 SIP Sport DIP Dport 6787 80 6787 1 80 1 80 6787 80 6787 VS: EXTIP: 53/VLAN EXT INTIP:54/VLAN INT GW:54 0 192

17、.168.2.11 GW:54 GW:54 ? F5 Networks 双臂接入双臂接入-旁挂模式旁挂模式 Client 54 External_vlan SIP Sport DIP Dport 6787 80 6787 1 80 1 80 6787 80 6787 核心三层交换 Internal_vlan LTM 19

18、54 服务器 服务器 VS: :80 EXTIP: 53/VLAN EXT INTIP:54/VLAN INT GW:54 旁挂模式下LTM可以用不同的端口接入核心交换，也可以采用端口捆 绑模式接入核心交换，然后在端口捆绑里通过VLAN tag方式来划分多个VLAN 0 1 GW:54 GW:54 ? F5 Networks 17 旁挂模式下的服务器直接访问旁挂模式下的服务器直接访问 192.168.0

19、.1 Client 54 核心三层交换 LTM SIP Sport DIP Dport 6787 1 80 6787 1 80 1 80 6787 54 VS: EXTIP: 53/VLAN EXT INTIP:54/VLAN INT GW:54 FastL4 Profile 服务器 服务器 0 192.

20、168.2.11 GW:54 GW:54 ? F5 Networks 18 双臂接入双臂接入-避免避免Spanning Tree Client 核心三层交换 Client 核心三层交换 LTM LTM 服务器接入交换 服务器 ?服务器接入交换 服务器 F5 LTM有非常快速的切换机制（200ms），切换完成后会发送ARP广播 Spanning Tree的重算机制在一些情况下会阻止对端设备收到ARP广播 不同设备的ARP更新机制有时会带来很大的麻烦 通常情况下，也不建议采用服务器双网卡接入 ? F5 Networks 19 远程节点模式远程节点模式 ?

21、 F5 Networks 20 远程节点模式远程节点模式 Client 54 核心三层交换 54 LTM VS: :80 SelfIP: 53 GW:54 SIP Sport DIP Dport 6787 80 53 8888 1 80 1 80 53 8888 80 6787

22、 54 服务器 三层交换 0 GW:54 服务器 1 GW:54 远程节点模式通常用于服务器不在本地的情况 只要路由可达， LTM就可以配置远程服务器作为节点 必须采用源地址替换方式，保 证服务器返回数据包回到LTM进行处理 在同一个VS里面，可以同时存在有本地节点和远程节点，并且可以通 过iRules控制在发往不同节点的时候是否启用源地址替换 ? F5 Networks 21 加入独立加入独立SSL/WA/ASM设备设备 ? F5 Networks 22 应用加速和应用安全

23、外挂典型架构设计应用加速和应用安全外挂典型架构设计 Network SelfIP EXT:00 SelfIP INT:00 GW:54 VS:00 HSRP 54 SelfIP EXT:00 SelfIP INT:00 GW:54 VS:00 VLAN EXT VLAN INT VLAN EXT Active FIP:54 VLAN INT FIP:54

24、Backup HSRP 54 WA/ASM WA/ASM LB Server IP: GW:50 IP: GW:50 LB Server IP: GW:50 IP: GW:50 网络同步-独立Vlan 串口心跳 23 ? F5 Networks 加入独立加入独立SSL/WA/ASM设备设备业务逻辑流程设备设备业务逻辑流程 Client :80 SIP S

25、port DIP Dport 6787 80 6787 00 80 6787 00 80 6787 0 80 0 80 6787 00 80 6787 00 80 6787 80 6787 VS External Member

26、2 0 Member 1 SSL/WA/ASM 00:80 VS External: ADDR： Pool： M1::80 P1 M2:0:80 P1 M3:00:80 P10 VS Internal: Addr:00 Pool:M1::80 M2:0:80 ? F5 Networks 00 VS Internal Member 1 192.168.2

27、.9 Member 2 0 24 防火墙负载均衡组网结构防火墙负载均衡组网结构 ? F5 Networks 25 防火墙负载均衡处理防火墙负载均衡处理-物理连接结构物理连接结构 接入交换机 LTM 防火墙 防火墙 接入交换机 LTM 防火墙 LTM 接入交换机 防火墙 LTM 接入交换机 建议所有的SSL/WA/ASM独立设备自身都以单臂模式接入 在独立设备上无须开启源地址替换，保 证在服务器上接收到的请求源地址为真实的客户端源地址 F5所有的独立应用加速/安全设备均支持源地址透传 服务器 服务器 服务器 服务器 ? F5 Networks 26 防火墙负载均衡处理防火墙

28、负载均衡处理-业务逻辑流程业务逻辑流程 Client EXT:54 LTM INT: EXT:01 INT:01 防火墙 EXT: INT:54 SIP Sport DIP Dport 6787 00 80 6787 00 80 6787 00 80 6787 192.168.4.

29、100 80 00 80 6787 00 80 6787 00 80 6787 00 80 6787 EXT:00 防火墙 INT:00 防火墙负载均衡模式下，数据包的信息在所有穿 过整体系统的过程中都不会被改变3层以上的信息 LTM依靠Auto LastHop记录的源MAC地址来确定将服务器返回数据发送到那个防火墙，而不是依靠路由 防火墙可以工作在路由模式或者NAT模

30、式，两种模式下都可以正常工作 LTM 服务器 00 ? F5 Networks 27 链路负载均衡链路负载均衡 ? F5 Networks 28 链路负载均衡链路负载均衡-Link Controller部署物理结构部署物理结构 互联网 在每台LC上都划分3个Vlan: ISP1, ISP2和Internal 两台LC之间建议采用Trunk方式连接划分在Internal Vlan里作为数据流量 两台LC之间的同步/Failover采用另外的网络连线（在端口不足的情况下可以使用数据连线） 建议防火墙采用路由模式，并且放置在 LC的后端 接入交换机通常建议采用低端的比较可靠的二层交换机，每增加一个 ISP，增加一台接入交 换机 如果接入交换机支持VLAN划分，也可以通 过VLAN tag模式将LC的外网接入部分统一连接在接入交换机上 ISP1 接入交换机 LC 防火墙 核心交换机 客户端 客户端 ISP2 接入交换机 LC HA 防火墙 核心交换机 服务器 服务器 ? F5 Networks 29 链路负载均衡链路负载均衡-GTM+LTM防火墙在外部防火墙在外部 互联网 ISP1 接入路由器 ISP2 接入路由器 防火墙 接入交换机 LTM GTM 在每台LTM上都划分3个Vlan: 防火墙1, 防火墙2和Interna