F5+负载均衡实施方案

Internet出口链路优化项目实施方案ConfidentialPagePAGE12ofNUMPAGES12Internet出口链路优化项目实施方案2005-09-28

目录TOC\o"1-5"\h\z\uChapter1 网络拓扑结构 31.1. 网络拓扑图 31.2. IP地址规划 4Chapter2 实施过程 42.1. 实施计划的完善 42.2. F5LinkController的离线配置 4用户访问dns的过程 8在dns服务器上设置的更改 92.3. 防火墙配置更改 10A) IP地址分配 10B) 路由配置 10增加规则设置 102.4. 对网络结构进行调整、接线、设备上线 112.5. 修改DNS服务器设置 112.6. 业务流程检查 112.7. 配置回滚过程 11Chapter3 实施时间表 12

网络拓扑结构网络拓扑图Internet出口链路优化方案的网络拓扑图见下图:改造后的网络拓扑图：InternetInternetFirewallIsp1ISP2DMZRouterFirewallBIG-IPController1000HeartbeatCableL2Switch内部网ServerVLANDBClusterAPPInternalDNSClientClientVLANL3SWDMZDNS1WWW/APPIP地址规划F5链路控制器公网IP地址规划:新增F5链路控制器在两条ISP链路分配公网ip地址。原来公网ip终结到F5链路控制器上，而F5链路控制器的内网vlan与防火墙通过私有地址相连。而新增的电信网与F5链路控制器电信网vlan相连。F5链路控制器私网IP地址规划:沿有原有的内网地址划分，地址分配以尽可能少地改动内网地址设置为原则。/27:LinkController内网与核心交换机相连网段使用;实施过程项目实施步骤分为以下几步实施计划的完善完善本配置计划中的不完备信息、LinkController以外设备的配置方案、上线失败后的回滚计划是否准备充分。F5LinkController的离线配置F5硬件自检、license激活F5vlan划分、ip地址分配VlanHostNameIPAddress网通（cnc）PortAssignment:1.11.2Lc1RealIP电信网（telecom）PortAssignment:1.3.14Lc1RealIPInternalPortAssignment:2.11.5-1.8,L4Switch#1RealIPL路由配置LinkController默认网关：cnc:93telecom:4内网网关：/8via(防火墙与F5linkcontroller内网相连的地址)内网网关：/8via(防火墙与F5linkcontroller内网相连的地址)内网网关：172.30.30/24via(防火墙与F5linkcontroller内网相连的地址)outbound访问配置内网普通用户的访问将按设定的链路选择办法（负载均衡算法）在两条链路上进行选择，并将访问包的源地址转换成相应ISP链路的IP地址。InternetInternetDefault_GW_PoolDefault_GW_Pool:;LoadBalancingMethod:RoundRobin;SNATAutoMapVLAN:tel_netVLAN:tel_netIP:EnableSNATAutomapVLAN:edu_netIP:EnableSNATAutomapMapstoPublicIPAddressNetworkAddressTranslationPrivateIPAddressIntranetMapstoPublicIPAddressNetworkAddressTranslationPrivateIPAddressIntranetVLAN:InternalVLAN:InternalCheckporintFwIPDefaultGW:InternetIPDefaultGW:InternetL2switchClientsIClientsInternalserver/24WildCastVirtual服务器:internal/0配置:Virtual服务器IP1:ServicePortPoolName:Default_GW_PoolLoadBalancingPolicy:RoundRobinPoolMemberAddress:;493特定用户对internet的访问某些用户访问外网特定的服务器时，外网的服务器要对访问的源地址进行限定。因此在LinkController上要对上述用户的地址转换设定特定的规则：SNAT规则用途源地址要求转换成的地址特定应用使用指定的链路特定应用使用指定链路应用、服务、端口指定的链路对应的GatewayPool虚拟服务器的配置AccessVirtualServerAccessVirtualServerIP16RouterFirewallTransparentFirewallTransparentVLAN:cncVLAN:cncVirtualServerIP1:16ClientClientMapstoVirtualServerAddressNetworkAddressTranslationMapstoVirtualServerAddressNetworkAddressTranslationRealServerAddressNodesVLAN:InternalVLAN:InternalPool:web0InternetVirtualServerVirtualServerSwitchSwitch00VirtualServer配置示例:Virtual服务器IP1:16ServicePoolName:Onlinebank_webLoadBalancingPolicy:RoundRobinPoolMemberAddress:0Persistence:EnableSimplePersistenceVirtualSever设置原始数据服务器功能内网地址端口公网地址（cnc）公网地址（telecom）域名用户访问dns的过程InternetInternetEnduserDNSEnduserDNS请求解析FF5.DNSserver:VLAN:tel_netVLAN:tel_netShareIP:VirtualServer:16:53VLAN:edu_netShareIP:VirtualServer:218.18.103.___:53MapstoVirtualServerAddressNetworkAddressTranslationMapstoVirtualServerAddressNetworkAddressTranslationRealServerAddressNodesVLAN:VLAN:InternalPool:Dns_srv_pool:8:53SwitchVirtualServerSwitchVirtualServerwwwwwwCNAMEwww.lclcNSns1.lcNSns2.lcNs1.lcAedu_netshareipNs2.lcAtel_netshareip8:538:53DNSVirtualServer配置示例:DNSVirtualSever设置VIP(IP:Port)PoolNamePoolMember(IP:Port)LoadBalanceMethodPersistence附注（Domain：功能）16

:53Dns_srv_pool8

:53--N218.18.103.___

:53Dns_srv_pool8

:53--N在dns服务器上设置的更改对外提供服务的dns是托管在新浪，需要在此dns上做修改以为例wwwCNAMEwww.lclcNSns1.lcNSns2.lcNs1.lcAedu_netshareipNs2.lcAtel_netshareipwideip配置InternetInternetEnduserDNSEnduserDNS请求解析LLnameserver:25,20,VLAN:tel_netVLAN:tel_netShareIP:20VLAN:edu_netShareIP:25WideIPWideIP:VirtualServerPool:218.18.103.___:80,16:80LoadBalancingMethod:QOS->RoundRobinVirtualServer:VirtualServer:218.18.103.___:80,16:80ServerPool:web:8:80SwitchSwitch8:80Firewall8:80FirewallWideIP的配置:WideIP:VirtualServerPool:218.18.103.___:80,16:80LoadBalancingMethod:QOS->RoundRobinWideIP设置WIPPoolNamePoolMember(IP:Port)LoadBalanceMethodDomainPersistence上线条件检查。（发通知给相关部门、所有所需设备、线缆是否准备充分、相关工程技术人员是否到位、DNS记录修改）防火墙配置更改在配置更改前，现将现有配置进行备份，以便恢复防火墙需要将原网通的untrust区用私用地址的替换，（因为网通的vlan已经终结在F5linkcontroller上）并更改默认的网关。并且去掉原来的对公网地址的nat规则，只做安全控制。IP地址分配Untrust区需更改地址为NameIPAddressFw1untrustipaddressFw2untrustipaddressFloatingipaddress路由配置默认网关：4增加规则设置SrcipDstiprules对网络结构进行调整、接线、设备上线修改DNS服务器设置参见2.2i）业务流程检查业务流程检查业务名称检查结果所需作的处理/责任人处理结果配置回滚过程如果出现需要回滚的情况，