F5培训---6组网架构

1、单臂接入模式 双臂接入模式 远程节点模式 加入独立SSL/WA/ASM设备 防火墙负载均衡 多链路接入 灾备站点静态路由注入,Agenda,2,LTM单臂接入模式,3,单臂接入模式下的网络物理结构,核心三层交换,服务器,服务器,LTM,LTM,外部网络,Vlan 1,串口心跳线,4,LTM单臂源地址替换接入典型架构设计,Core Switch,Core Switch,Server,Server,网络同步-独立Vlan,串口心跳,Network,IP: GW:54,IP: GW:54,SelfIP:192.1

2、68.0.200 GW:54 VS:00 SNAT Automap,SelfIP:01 GW:54 VS:00 SNAT Automap,HSRP 54,Trunk,Trunk,Trunk,Active,Backup,5,单臂接入-源地址替换模式数据访问流程,核心三层交换,服务器,服务器,LTM,Client,,0 GW:54,1 GW:54,VS: 19

3、:80 SelfIP: 53 GW:54,54,54,6,源地址替换后的处理,核心三层交换,服务器,服务器,LTM,Client,,0 GW:54,1 GW:54,VS: ：80 SelfIP: 53 GW:54,54,54,HTTP Profile,when HTTP_R

4、EQUEST HTTP:header insert Client_IP= IP:client_addr ,iRules,只有HTTP协议的时候，可以通过将源地址插入到客户端请求的HTTP Header里，然后在服务器上通过读取这个Header，获得客户端的真实源IP地址,7,单臂接入-npath模式数据访问流程,核心三层交换,服务器,服务器,LTM,Client,,0 Lo: GW:54,1 Lo: GW:54,VS:

5、:80 SelfIP: 53 GW:54,54,54,npath模式的关键在于服务器上配置的loopback地址 在上能找到各种服务器的loopback地址如何配置的文档,8,单臂接入-服务器非直连模式（无源地址替换）,核心三层交换,服务器,服务器,LTM,Client,,0 GW:54,1 GW:54,VS: :80 SelfIP: 53 GW:192.

6、168.1.254,54,54,无源地址替换的单臂接入模式使用比较少，通常用于对现网不能改造的情况 这种模式下需要在核心三层交换上启用源地址路由，将服务器的所有返回数据包转向LTM，这样才能保证进出的连接完整性 建议在这种结构下采用源地址替换以减小网络复杂程度,54,9,同网段访问处理-必须通过SNAT实现,核心三层交换,客户端,服务器,LTM,0 GW:54,1 GW:54,VS: ：80 IP: 192.168.1.

7、253 GW:54,54,10,单臂接入-服务器更改网关数据访问流程,核心三层交换,服务器,服务器,LTM,Client,,0 GW:53,1 GW:53,VS: :80 SelfIP: 53 GW:54,54,54,11,服务器更改网关后的直接访问服务器问题,核心三层交换,服务器,服务器,LTM,Client,

8、,0 GW:53,1 GW:53,VS: ：80 IP: 53 GW:54,54,54,SYN,SYN,SYN-ACK,FastL4 Profile,12,双臂接入模式,13,LTM双臂接入模式典型架构设计,VLAN EXT,Server,Server,网络同步-独立Vlan,串口心跳,Network,IP: GW:54,IP: GW

9、:54,SelfIP EXT:00 SelfIP INT:00 GW:54 VS:00,HSRP 54,Active,Backup,VLAN INT,VLAN EXT,VLAN INT,SelfIP EXT:00 SelfIP INT:00 GW:54 VS:00,FIP:54,LB Server,IP: GW:

10、50,LB Server,IP: GW:50,FIP:54,HSRP 54,14,双臂接入-服务器直连,核心三层交换,服务器,服务器,LTM,Client,,0 GW:54,1 GW:54,VS: EXTIP: 53/VLAN EXT INTIP:54/VLAN INT GW:54,54,

11、54,15,双臂接入-串联部署-扩展端口,核心三层交换,服务器,服务器,LTM,Client,,0 GW:54,1 GW:54,VS: EXTIP: 53/VLAN EXT INTIP:54/VLAN INT GW:54,54,54,服务器接入交换,16,双臂接入-旁挂模式,核心三层交换,服务器,服务器,LTM,Client,192

12、.168.0.1,0 GW:54,1 GW:54,VS: :80 EXTIP: 53/VLAN EXT INTIP:54/VLAN INT GW:54,54,54,External_vlan,Internal_vlan,旁挂模式下LTM可以用不同的端口接入核心交换，也可以采用端口捆绑模式接入核心交换，然后在端口捆绑里通过VLAN tag方式来划分多个VLAN,17,旁挂模式下的

13、服务器直接访问,核心三层交换,服务器,服务器,LTM,Client,,0 GW:54,1 GW:54,VS: EXTIP: 53/VLAN EXT INTIP:54/VLAN INT GW:54,54,54,FastL4 Profile,18,双臂接入-避免Spanning Tree,F5 LTM有非常快速的切换机制（200ms），切换完成后会发送ARP

14、广播 Spanning Tree的重算机制在一些情况下会阻止对端设备收到ARP广播 不同设备的ARP更新机制有时会带来很大的麻烦 通常情况下，也不建议采用服务器双网卡接入,核心三层交换,服务器,服务器,LTM,Client,服务器接入交换,核心三层交换,LTM,服务器接入交换,Client,19,远程节点模式,20,远程节点模式,核心三层交换,服务器,服务器,LTM,Client,,0 GW:54,1 GW:54,VS: :80 SelfIP: 192.1

15、68.1.253 GW:54,54,54,三层交换,54,远程节点模式通常用于服务器不在本地的情况 只要路由可达，LTM就可以配置远程服务器作为节点 必须采用源地址替换方式，保证服务器返回数据包回到LTM进行处理 在同一个VS里面，可以同时存在有本地节点和远程节点，并且可以通过iRules控制在发往不同节点的时候是否启用源地址替换,21,加入独立SSL/WA/ASM设备,22,应用加速和应用安全外挂典型架构设计,VLAN EXT,网络同步-独立Vlan,串口心跳,Network,HSRP 192.168.

16、0.254,Active,Backup,VLAN INT,VLAN EXT,VLAN INT,SelfIP EXT:00 SelfIP INT:00 GW:54 VS:00,FIP:54,LB Server,IP: GW:50,LB Server,IP: GW:50,FIP:54,HSRP 54,SelfIP EXT:00 SelfI

17、P INT:00 GW:54 VS:00,IP: GW:50,IP: GW:50,WA/ASM,WA/ASM,23,加入独立SSL/WA/ASM设备设备业务逻辑流程,VS External,Member 1,,Member 2,0,SSL/WA/ASM,VS Internal,Member 1,,Member 2,0,Client,:

18、80,,00,00:80,VS External: ADDR： Pool：M1::80 P1 M2:0:80 P1 M3:00:80 P10 VS Internal: Addr:00 Pool:M1::80 M2:0:80,24,防火墙负载均衡组网结构,25,防火墙负载均衡处理-物理连接结构,LTM,服务器,服务器,防火墙,接入交换机,LTM,LTM,LTM,接入交换机,服务器,服务器,接入交换机,接入交换机,防火墙,防火墙,防火墙,建议所有的SSL/WA/ASM独立设备自身都以单臂模式接入 在独立设备上无须开启源地址替换，保证在服务器上接收到的请求源地址为真实的客户端源地址 F5所有的独立应用加速/安全设备均支持源地址透传,26,防火墙负载均衡处理-业务逻辑流程,LTM,LTM,防火墙,防火墙,Client,服务器,192.