F BIG-IP LTM配置指导手册.doc

XXX负载均衡设备(F5 BIG-IP LTM)配置规范V1.0中国电信XXX分公司2010年10月Confidential版本更新说明V1.0版本为文档定稿版，后期的版本为修订版，版本的序号为XXX业务平台负载均衡设备(F5 BIG-IP LTM)配置规范VX.X-YYYYMMDD，修订说明填写在“主要更新内容”中。项目编号文档编号Q3-WL-43版本号编制人/时间审核人/时间主要更新内容目录组 网 篇6第1章 概述61.1文档目的61.2文档范围61.3目标读者61.4术语和缩写语表61.5网络结构说明8第2章 业务平台负载均衡设备命名规范92.1设备命名规范92.1.1适用范围92.1.2设备命名规范格式9第3章、F5 BIG-IP 本地流量管理(以下简称LTM)组网原则103.1可用性113.2可靠性113.3扩展性113.4可管理11第4章、F5 BIG-IP LTM组网结构124.1串行结构124.1.1串行组网方式一124.1.2串行组网方式二144.1.3两种方式比较分析154.2并行结构164.2.1接入方式一174.2.2接入方式二174.2.3接入方式三194.3 High Availability (高可用性，以下简称HA)部署分析204.3.1部署方式一204.3.2部署方式二214.3.3部署方式三214.4 Channel部署224.5 组网结构对比总表24第5章、F5 BIG-IP LTM网络配置275.1 F5 LTM端口类型275.2 F5 BIG-IP LTM端口连接方式285.2.1Trunk连接285.2.2Tag-base access to vlans连接295.2.3 Port-based access vlan连接305.3 F5 BIG-IP LTM VLAN划分305.4 F5 BIG-IP LTM Self IP划分335.5 F5 BIG-IP LTM路由配置34配 置 篇36第6章 连接BIG-IP LTM以及进行初始配置366.1 Console方式366.2基于WEB的网络连接方式366.2.2基于SSH方式386.3 网络初始配置396.3.1 BIG-IP LTM资源分配设置：396.3.2 BIG-IP 基本属性设置：406.3.3 VLAN设置：40第7章 不同连接模式下的VLAN和IP建议配置建议以及路由添加417.1串行单链路结构网络配置417.1.1 VLAN划分417.1.2 IP地址划分427.2 串行Full Mesh结构网络配置437.2.1 VLAN划分437.2.2 IP地址划分447.3并行模式网络配置457.3.1 VLAN划分467.3.2 IP地址划分467.4 静态路由的添加47第8章 BIG-IP LTM负载均衡相关配置488.1 负载均衡的概念488.2 Pool配置508.3 Virtual Server配置528.4 会话保持配置538.4.1会话保持的概念538.4.2 会话保持配置548.4.2.1基于源IP的会话保持558.4.2.2 Cookie 会话保持568.5 iRules配置568.6 Monitor配置578.7 SNAT配置598.7.1 SNAT的概念598.7.2 NAT配置598.7.3 SNAT配置608.7.4 SNAT AutoMap配置60第9章 BIG-IP LTM系统维护部分配置619.1 SNMP配置619.2 NTP配置629.3 用户管理639.4 Active Directory、RADIUS和TACACS+等远程认证配置64第10章 BIG-IP命令行常用命令解释6510.1 系统配置相关命令6510.2 系统维护相关命令65组 网 篇第1章 概述本规范只针对XX电信城域网中业务平台网络中的负载均衡设备而制定，其它设备另行规范。为保证电信城域网业务平台中网络设备的运行稳定，实现易维护、可统一、集中管理的需要，必须在设备支持能力、网络架构设计、网络设备配置、日常维护和故障处理流程等环节予以保障。网络设备配置主要是指通过在设备上实施具体配置规范，开启网络设备和具体支撑业务相关的功能和特性，实现网络的互通，保证网络具备预期的业务承载能力和要求。根据目前F5 BIG-IP LTM设备在网络环境中部署的需求不断增加，为了能够使BIG-IP LTM组建的网络环境更加有效提高网络安全、稳定性及业务的整体性能，我们对BIG-IP LTM在组网结构方面进行了细致分析，介绍使用现状，以便为部署BIG-IP LTM设备的人员提供帮助和参考。1.1文档目的该文档的主要目的是能够帮助部署F5 BIG-IP LTM人员，在BIG-IP LTM网络方面的组网结构选择、部署方法等提供有效的分析和参考，使F5 BIG-IP LTM在网络环境中更加规范有效。1.2文档范围该文档主要针对F5 BIG-IP LTM设备在构建整体网络环境，BIG-IP在网络环境中的位置，连接方式等方面进行了详细的描述和分析。同时介绍了F5 BIG-IP LTM设备本身物理端口特性、工作模式，VLAN划分方法、IP地址分配原则、路由配置策略等方面的细节。1.3目标读者该文档主要阅读对象为F5 BIG-IP LTM部署的设计和管理人员，借此文档对F5 BIG-IP LTM组网规范和在现有网络环境中部署进行了解。也适用于对F5 BIG-IP LTM设备有所了解的其他网络设计、管理或工程人员。1.4术语和缩写语表本文中将使用下列术语和缩写，除非文中特别说明，否则意义如下；对于下表中未说明的术语和缩写，应做业界标准或惯例理解。AAAAutentication Authorization and Accounting 认证、授权与计费ACLAccess Control List 访问控制列表ASAutonomous System 自治系统BGPBoarder Gateway Protocol 边界网关协议CARCommitted Access Rate 承诺访问速率CECustomer Edge 客户边缘设备CRCore Router 核心路由器CRS-1Carrier Routing System DDoSDistributed Deny of Service 分布式拒绝服务攻击DiffServDifferentiated Services 差分服务DSCPDifferentiated Service Code Point 差分服务代码点FRRFast Re-route 快速重路由GEGigabyte Ethernet 千兆以太网GRGraceful Restart 平滑重启动HAHigh Availability 高可用性HDLCHigh Data Link Control 高级数据链路控制H-QOSHierarchical Quality of ServieIPInternet Protocol 互联网协议ISISInter System to Inter System 中间系统到中间系统LDPLabel Distribution Protocol 标记分发协议LSPLabel Switching Path 标记交换路径LSRLabel Switch Router 标记交换路由器MP-BGPMulti-protocol Boarder Gate Protocol 多协议边界网关协议MIBManagement Information Base 管理信息库MPLSMultiple Protocol Label Switching 多协议标签交换NSFNon Stop Fowarding 不间断转发NSRNon Stop Routing 不间断路由NTPNetwork Time ProtocolOAMOperation Administration and Maintenance 操作维护管理OSPFOpen Shortest Path FirstPEProvider Edge 运营商边缘设备POSPacket over SDH SDH封装数据包PPPPoint to Point Protocol 点到点协议QoSQuality of Service 服务质量RRRoute Reflector 路由反射器RSVPResource Reservation Protocol 资源预留协议SDHSymMetric Digital Hierarchy 同步数字序列SNMPSimple Network Management Protocol 简单网络管理协议SRService Router 业务路由器TCPTransfer Control Protocol 传输控制协议TETraffic Engineering 流量工程UDPUser Data Protocol 用户数据报协议uRPFReverse Path Fowarding 反向路径转发VPLSVirtual Private LAN Service 虚拟专用局域网业务VPNVirtual Private Network虚拟专用网VRFVirtual Routing and Forwarding 虚拟路由转发实例VRRPVirtual Routing Redundancy Protocol 虚拟路由冗余协议上行流量用户发出的流量下行流量用户收到的流量1.5网络结构说明现行业务平台目标网络结构如下图所示。目前业务平台服务器群集是通过两台作为核心的6506交换机接入到ChinaNet和CN2，两台交换机分别并联 虽然目前电信网络结构是并联方式连接F5，但是鉴于本文是总则性质的规范，所以在下面同样会介绍串联等其他连接方式，并将各种负载均衡方式做对比，以便让管理人员尽可能全面地了解F5负载均衡设备的不同操作方式。一台F5的BIG-IP 3400负载均衡设备用来对业务平台服务器群集进行负载均衡达到服务器负载平均分担的目的。业务平台服务器集群骨干网核心层业务接入层S6506-B骨干网S6506-ABIG-IP-AChinaNetBIG-IP-BCN2骨干网IP城域网第2章 业务平台负载均衡设备命名规范2.1设备命名规范2.1.1适用范围本部分规定的业务平台负载均衡设备的命名规范，适用于业务平台负载均衡设备：F5 BIG-IP LTM 3400 2.1.2设备命名规范格式|城市缩写-节点缩写-设备属性.网络(业务)类型.设备型号-设备序号符号字符字符字符字符字符字符字符字符字符字符数字字符数61813141713选项必选必选必选必选必选必选必选必选可选可选可选 字母大小各市需要采用统一标准，全部大写。 两端、中间不带任何空格。 城市标识，取城市名称拼音的首字母大写NJ。 节点标识，取节点名称拼音的首字母大写，如两节点的首字母有重叠则取拼音不相同的字用全拼，分两种情况：当前一个字不同，则前个字用全拼，如汉中门（HanZM）和后宰门（HouZM）；当后一个字不同时则后一个用全拼。 各厂家规定的设备名称最多字符数：1、 CISCO ：CRS、GSR最多63个字符；2、 华为：NE5000E、ME60、5200G、NE80E最多30个字符；3、 阿尔卡特：SR7750最多32个字符；4、 REDBACK：SE800最多63个字符；5、 JUNIPER：ERX最多63个字符。6、 F5：Fully Qualified DNS Name 设备属性标识，规定如下出口/核心路由器：CR业务路由器：SR路由反射器：RR汇聚交换机：BS（BackboneSwitch）接入交换机：AS负载均衡器：LB（Load Balance） 设备序号，取阿拉伯数字，从1开始。同节点的相同属性的设备间以设备序号区别。 网络类型：MAN (城域网)，MAN2（第2平面设备） 设备型号：设备型号编码。第3章、F5 BIG-IP 本地流量管理(以下简称LTM)组网原则在应用F5 BIG-IP LTM在网络环境中进行组网时，根据系统的原有架构设计，及业务平台各种应用的应用模式，在保证原有业务的正常运行条件下，本着能够满足功能、具备可靠性、可扩展性、可管理性的原则，建立规范的负载均衡网络，顺利实现安全、优化、可用的目标。同时在部署F5 BIG-IP LTM时要最大化的保护既有投资，确保F5 BIG-IP应用在业务平台综合环境下的正常运行，避免设备之间的依赖性，设备的更新必须具有独立性，支持网络的平滑过渡和升级。在设备的安装配置过程中应避免把简单易于实现的组网模式变成复杂的组网过程，如网络和应用部门各自为战，各个应用系统之间相对独立的部署，避免由于没有及时充分沟通，导致应用的部署及其复杂，应用系统不断提出不同需求，使得网络部门为不同的应用系统准备不同的网络环境而致使网络结构的复杂，这样不仅增加了网络故障的发生几率，而且影响应用服务质量最终导致客户体验下降。3.1可用性F5 BIG-IP LTM部署在网络环境中，最终目的是对业务平台的应用流量进行负载均衡，保证高性能地对外服务。因此在部署F5 BIG-IP LTM首先要满足所有的需求功能，包括网络功能、业务系统功能及BIG-IP LTM自身负载均衡功能，达到整个系统的高可用性。3.2可靠性在业务平台中，所有应用均为关键性业务系统，因此要求由F5 BIG-IP LTM组建的网络必须具有高可靠性。根据BIG-IP LTM自身的特性提供了高效的HA环境，在发生故障时可实现毫秒级的主备切换速度，为应用业务的持续运行提供了有效保障。3.3扩展性在业务平台的网络环境中，BIG-IP LTM在应用服务中起到了举足轻重的作用，在其组建网络时避免BIG-IP LTM与其他网络设备存在依赖性，随着以后性能需求的增加可以对BIG-IP LTM进行伸缩性的扩展。同时F5 BIG-IP LTM设备本身可支持对后端服务器横向扩展，支持动态的增加或删除负载均衡服务器组中任何数量的服务器，实现业务平台后台服务器的高扩展性。3.4可管理F5 BIG-IP LTM 组建的高性能负载均衡网络，要求对BIG-IP LTM设备本身及它所负载均衡的服务器必须能够实现可控制、可管理。BIG-IP LTM支持灵活安全的命令行接口与WEB图形界面的管理。同时遵循标准的SNMP协议第三方网管软件管理。针对所负载均衡的服务器，BIG-IP LTM可以对服务器组中服务器进行灵活的操作，如在不影响业务情况下进行主机维护与软件升级等操作，实现对服务器的可管理性。第4章、F5 BIG-IP LTM组网结构F5 BIG-IP LTM设备在组建负载均衡网络过程中，该设备的部署位置至关重要，在一般的网络部署结构中以及目前F5 BIG-IP LTM的组网结构成功案例中，通常的部署结构分为串行结构和并行结构。在当前各种复杂的网络环境中，串行结构与并行结构在实际应用与运行中同样是相对较为规范合理的部署。4.1串行结构在部署F5 BIG-IP LTM设备组网时，所谓的串行结构，指的是BIG-IP LTM在网络拓扑结构中位于上下两层网络设备之间，如位于交换机与交换机之间等，所有的网络流量在最终到达服务器或者返回客户端前必须经过BIG-IP LTM设备处理，因此整个网络结构，应用业务功能的实现对BIG-IP LTM设备依赖性较强。在串行结构中，BIG-IP LTM与其他网络设备可以有不同的连接方式，每种连接方式都在网络结构中体现不同实施策略，包括从安全性、可靠性及可用性角度的分析考虑。下面介绍两种常见且部署较为规范的串行结构。4.1.1串行组网方式一如下图：在以上面的拓扑结构进行组网，F5 BIG-IP LTM处于两组核心交换机中间，使用单条链路进行链接，形成整体的串行结构，同时为典型的口字型结构。数据的访问流向均先经过上层核心交换机，通过上层核心交换机进入F5 BIG-IP LTM负载均衡设备，根据BIG-IP LTM实施的负载均衡策略对流量进行负载均衡，经过下层交换机到达相应的服务器，返回的数据流亦然。在F5 BIG-IP LTM与下端交换机层面，BIG-IP LTM直接与交换机相连，所有被负载均衡的服务器与交换机相连，这种部署结构，当BIG-IP LTM的固有端口有限，而服务器的数量大于BIG-IP LTM端口数量时，此时通过该方法在逻辑上有效的增加了BIG-IP LTM端口数量。同时可以根据应用业务的不同，在下层交换机上进行多VLAN的划分，以隔离业务平台各种不同业务的服务器，或在交换机上利用ACL执行服务器间的访问策略。从拓扑图中我们可以看到BIG-IP LTM的这种连接方式无论在网络结构以及数据流向方面都比较清晰有序。在可靠性方面两台BIG-IP LTM互为主备模式，同时BIG-IP LTM可以探测上下两层交换机状态，一旦检测到对应的交换机出现故障，BIG-IP LTM可以及时进行主备切换，保证应用业务的持续性。4.1.2串行组网方式二如下图：在以上面的拓扑结构进行组网，BIG-IP LTM同样处于两组核心交换机中间，分别使用双条链路与上下两组交换机进行链接，形成整体的串行结构中的交叉连接方式。此连接方式需要BIG-IP LTM提供相应的端口密度，在实际此种连接方式的网络环境中，负载均衡设备一般都为BIG-IP LTM 6400以上型号，因此所提供的端口密度都能够满足不同的需求。F5 BIG-IP LTM的这种组网方式，数据流访问过程同样必须经过BIG-IP LTM传递到下层交换机，负载均衡到相应的服务器。这种组网方式在数据的可靠性、冗余性上有了很大的提高，BIG-IP LTM通过与上下层核心交换机利用生成树协议（STP）使交叉连接的双链路其中一条成为备份状态，当其中一条链路出现故障，可利用另一条链路接管所有流量。同时这种连接方式减少了BIG-IP LTM对上下层相关网络设备的依赖性，只有当与BIG-IP LTM连接的两条链路全部down掉后，BIG-IP LTM才发生主备切换，减少了BIG-IP LTM由于其他网络设备引起的链路故障导致发生切换的可能性。通过以上的分析及拓扑图我们可以看到，F5 BIG-IP LTM这种交叉连接方式增加了链路的冗余度，使网络环境状态更趋于可靠、稳定。为业务平台各种应用的有效运行提供了保障。4.1.3两种方式比较分析F5 BIG-IP LTM串行结构的组网中，介绍了两种常见的BIG-IP LTM连接方式，一种为单链路连接，另一种为双链路的交叉连接方式。两种方式在网络环境中有着各自的组网特点，发挥了不同的作用。方式一，单条链路组建的F5 BIG-IP LTM串行结构，整体网络结构比较单一整齐，业务数据流走向清晰可见，易于运维人员的设计、部署实施，及后续的维护、管理，相关故障的排查。在可靠性方面，两台BIG-IP LTM采用主备（Active/Standby）模式，当BIG-IP LTM设备本身或者由于上下层对应交换机出现故障导致流量中断，BIG-IP LTM均可以进行毫秒级切换，保证应用业务的持续性。但是由于采用的是单链路连接，因此在链路的可靠性、冗余性相对较弱，单条链路的故障就会导致BIG-IP LTM进行切换，同时BIG-IP LTM与上下层网络设备存在一定的相互依赖性，在某些环境下，相关网络设备的切换，BIG-IP LTM同时需要切换，即使BIG-IP LTM设备运行正常，亦增加了BIG-IP LTM设备主备切换的概率。方式二，双链路交叉连接的串行结构，增强了网络整体结构的冗余性、可靠性，单条链路故障不会引起BIG-IP LTM主备状态切换，应用业务流量可依靠另一链路进行传输，使整体网络环境状态更趋于稳定。并且由于冗余链路的出现，减轻了BIG-IP LTM对于其他网络设备的依赖性，数据流的走向可以根据不同链路进行传输。虽然双链路的串行结构，加强了网络结构的冗余性与可靠性，但此连接方式相对较为复杂，数据流走向存在多种选择，同时与其他网络设备存在生成树（STP）计算问题，无论是在部署实施、还是日常的管理、维护及相关故障的排除都带来了一定的难度。以上两种串行连接方式，所有的网络流量在到达服务器前或者服务器主动发起的出访流量必须经过BIG-IP LTM设备，由于BIG-IP LTM在网络中的特殊位置，一些非负载均衡流量也需要经过BIG-IP LTM，此时我们需要在F5 BIG-IP LTM进行Forwarding Virtual Server(以下简称VS)的配置，对不同流量经由BIG-IP LTM时进行转发，降低了BIG-IP LTM的使用性能。通过对以上分析，及现有F5 BIG-IP LTM所组建的网络结构运行稳定情况，一般建议应用BIG-IP LTM进行网络结构设计时，选择方式一的单链路口字型组网方式。4.2并行结构所谓的并行结构，指的是BIG-IP LTM以旁路的方式部署在现已运行（或新建）的网络环境中，通过这种组网结构方式，BIG-IP LTM可以方便、快速的部署到现有网络环境中，实现负载均衡功能，同时也是对现有网络结构，应用业务及服务器配置更改最少的一种接入方式。典型的拓扑结构如下图：在上图的组网结构中，我们可以直观地看到BIG-IP LTM可以很容易的接入在现有网络环境中，原有的网络设备、物理链路连接和应用服务器在网络配置上均无需做任何改动，只需在BIG-IP LTM与核心交换机间配置相应的端口、VLAN及IP地址就可以完成设备互连，实现相关负载均衡技术，同时可以在接入交换机或核心交换机上对服务器进行横向扩展。在将BIG-IP LTM以并行的结构部署在网络环境中时，与核心交换机的逻辑连接有不同的选择方式，根据不同的接入方式，在相关的配置及负载均衡数据流的走向上也略有不同。下面小节将做相关介绍。4.2.1接入方式一F5 BIG-IP LTM以并行结构接入现有网络环境中，在对BIG-IP LTM进行VLAN划分、IP地址分配时，可以将BIG-IP LTM与所需进行负载均衡的服务器处于相同VLAN中，所分配的IP地址与服务器原有IP地址在同一网段内。如下图所示：这种方式的接入，F5 BIG-IP LTM与服务器在同一网段下，所有配置的VS地址与服务器IP地址均在同一网段下，通过这样的配置使网络层次结构、数据流量的传输看起来更加清晰，实施相对较为简单。在这种方式下服务器的默认网关一般会设置为BIG-IP LTM上对应的Self IP或者Floating IP，使客户端流量通过BIG-IP LTM负载均衡后直接到达后端服务器时，无需做任何源地址转换及路由选择，保留了客户端源地址，可以很容易的满足应用上一些特定要求。4.2.2接入方式二F5 BIG-IP LTM以并行的结构接入现有网络环境中，BIG-IP LTM与所负载均衡的服务器处于不同的VALN之中，IP地址属于不同的网段，该方式多应用在当部署BIG-IP LTM到网络环境后，现有的服务器IP地址空间不足以分配给BIG-IP LTM相应的Self IP及VS，因此需要进行单独VLAN、IP地址的重新划分。如下图所示：由于F5 BIG-IP LTM与所负载均衡的服务器不在同一网段内，此时服务器的默认网关不能直接指向BIG-IP LTM设备，必须指向核心交换机三层地址。这样在数据流量访问过程中会出现如下问题：客户端可以正常通过BIG-IP LTM 的VS将流量负载均衡到对应服务器，但当服务进行响应回包给客户端时，无法再次经过BIG-IP LTM，而是通过核心交换的路由直接回给了客户端，导致客户端访问的失败，即路由不对称问题。在这种情况下，在BIG-IP LTM上需要做SNAT的配置，在客户端请求进入BIG-IP LTM时，改变客户端的源地址为BIG-IP LTM设备上的IP地址，强制使服务器的回包经过BIG-IP LTM回应给用户客户端，实现负载均衡。该接入方式的另一个优势为，当由于极端情况下，两台F5 BIG-IP LTM同时出现故障无法正常工作，为了保证业务的正常访问，可以临时通知用户后台服务器的真实地址或者将原来对外提供服务的VS地址直接配置到后台服务器上，以保证业务应用的持续性。4.2.3接入方式三F5 BIG-IP LTM在以并行结构的方式接入网络环境中时，可用双链路的连接方式接入核心交换，为不同的链路划分不同的VLAN，用以区分进出BIG-IP LTM的不同数据流，或者将不同业务的数据流在不同的线路上进行加以区分传输。如下图所示：通过上面的拓扑图，不同的业务类型的数据流在不同的链路上进行传输，这样的结构能够使业务分类更加清晰，便于日常的流量观察及维护，甚至进行流量捕获分析，在相关业务出现问题后，可以有较清晰的思路加以研究，及时解决问题，保证应用业务的可用性。该接入方式也用于对进入BIG-IP LTM数据流和流出BIG-IP的数据进行区分，也就是数据流可以按照需求从一条链路进入，从另一条链路流出，也能够达到对应用业务流的进出进行清晰判断的目的。同时该接入方式由于BIG-IP LTM上的不同链路与服务器在不同VLAN,各自的三层的网关可以设置在核心交换机上，通过调整核心交换机的路由或者在核心交换机配置相关的策略路由，根据需求调整不同的流量类型经过BIG-IP LTM进行负载均衡处理或者不经过BIG-IP LTM直接由对应服务器处理流量。此时服务器网关需要设置为核心交换机的三层地址。在可靠性上由于是双链路实现了不同业务或者不同数据流走向的区分，一旦某条链路出现故障，将会导致其中某一业务或者某一流向的业务中断，在BIG-IP LTM的冗余模式下，我们可以配置对每条链路的探测，当其中一条链路出现故障后，BIG-IP LTM立即进行切换，保证应用业务的持续性。在不同的网络环境或应用需求下不仅可以双链路接入，还可以进行多链路的接入，但原则要以最简单、最清晰的网络结构实现最佳的性能，满足最大的需求。4.3 High Availability (高可用性，以下简称HA)部署分析在F5 BIG-IP LTM 进行组建网络结构中，为保证业务稳定、持续地运行，BIG-IP LTM一般采用双机模式，构建高可靠的HA环境。当其中一台设备出现故障无法处理相关网络流量，另一台设备立即接管处理所有网络流量，使应用业务不间断对外提供服务。F5 BIG-IP LTM在双机模式中，可配置为主备模式（Active/Standby）和主主模式（Active/Active），根据当前F5 BIG-IP LTM的双机部署结构，以及目前所采用的负载均衡模式，建议采用AS模式，即Active/Standby结构。AA模式不在本文当中讨论。处于HA环境的两台F5 BIG-IP LTM设备使用Failover串口线交换心跳信息，通过网络传输数据信息，根据监控心跳信息和数据传送方式的不同，BIG-IP LTM双机连接可以有不同的方式。以下是三种常见的部署连接方式。4.3.1部署方式一两台BIG-IP LTM间采用failover线监控设备心跳信息，数据同步信息与实际业务数据在同一线路上进行传递，具体如下图所示：这样部署的优势使BIG-IP LTM设备心跳信息和数据信息在不同通道传送，保证了数据独立性，同时数据信息和业务信息在同一数据通道传送，节省了端口，但增加了数据信息传送的不稳定和易受干扰性。建议在只设备端口密度不足的情况下使用。4.3.2部署方式二两台F5 BIG-IP LTM间采用Failover线缆监控设备心跳信息，数据同步信息与实际业务数据分别在单独的线路上传递，具体如下图所示： 这样部署的优势在于使BIG-IP LTM设备间心跳信息和数据信息在不同的通道传送，保证了数据独立性，同时数据信息和业务信息分开，保证了其安全稳定性，但增加了设备端口的使用数量。建议在设备端口密度充足的情况下使用此种部署结构。4.3.3部署方式三两台F5 BIG-IP LTM间采用网络线缆监控设备心跳信息，同时传递数据同步信息。具体如下图所示：这种部署方式的优势是两台F5 BIG-IP LTM设备可以安装距离相距较远，但设备心跳信息和数据信息都通过网络传递，安全稳定性较差。建议在设备安装位置相距较远时按照此结构进行部署。此项部署需要在设备的system中HA中进行特殊指明。建议在部署时尽量避免该结构的产生。4.4 Channel部署在F5 BIG-IP LTM的组网结构中，我们分别对串行结构、并行结构的各种组网方式，链路接入方式做了详细的分析和介绍。在以上的所有结构组建的基础上，在端口密度允许的情况下，BIG-IP LTM均可以进行多链路的channel绑定，增强链路的冗余性，增加网络吞吐量，提高整体网络传输性能。并行结构中的一个Channel示意图如下：在BIG-IP LTM的网络Channel设置中，BIG-IP LTM能够与其他网络设备很好兼容，进行链路捆绑，支持IEEE802.3ad标准的LACP（链路汇聚控制协议）。激活某端口的LACP协议后，该端口将通过发送LACP PDU向对端通告自己的优先级、系统MAC地址、端口优先级、端口号等，对端接收到这些信息后，将这些信息与其它端口所保存的信息比较以选择能够汇聚的端口，从而双方可以对端口加入或退出某个动态汇聚组，达成一致。在F5 BIG-IP LTM设备上可同时支持8个端口链路捆绑。根据目前的Channel使用经验，当有对channel使用需求时，一般建议只采用双链路进行Channel绑定，提高链路冗余度，增强网络吞吐量。4.5 组网结构对比总表组网结构接入方式优点缺点应用场景备注串行结构串行方式一（单链路）1、网络结构简单、整齐，数据流量走向清晰。2、易于设计、部署实施。3、便于后期维护及故障排查。1、可靠性、冗余性相对较弱。2、与互连的网络设备存在一定依赖性，相对增加了HA切换概率。1、多应用在新建网络2、直接访问后台服务器需求较少的环境中。少量用户采用串行方式二（双链路交叉）1、增强网络结构可靠性、冗余性高。2、与互连网路设备依赖性较小，减小了HA切换概率较。1、设计、部署及数据流走向较为复杂。2、存在生成树（STP）计算问题。3、日常的维护及故障排查存在一定难度。1、多应用在新建网络环境2、直接访问后台服务器的需求较少3、对可靠性、冗余性要求非常高。较少采用并行结构（旁路）接入方式一（F5、Server同VLAN）1、易于接入现有网络环境，网络配置变更较小，整体网络结构简单清晰。2、路由结构简单，服务器网关可指向F5，无需源地址转换，保留客户端源地址。由于BIG-IP LTM与服务器在同一网段，需从技术上保证从服务器的返回数据包经过BIG-IP。有两种可选方案:1.保留客户端源IP，需变更原服务器网 关指向BIG-IP LTM。2.不改变服务器网关指向,在F5 BIG-IP-LTM上配置SNAT,这时客户端的源IP会被替换掉.1、多应用在对现有网络中部署F5BIG-IP LTM。2、直接访问后台服务器的需求较多3、服务器IP地址空间较大，足够分配给BIG-IP LTM的selfIP、VS等。采用较多接入方式二（F5、Server异VLAN）1、易于接入现有网络环境，网络配置变更较小，整体网络结构简单清晰。2、对BIG-IP LTM的IP地址分配较为灵活，便于规划。1、BIG-IP LTM与服务器在不同网段，数据进入BIG-IP LTM需做客户端源IP转换。2、预保留客户端IP，需在BIG-IP LTM特殊配置。1、多应用在对现有网络中部署F5BIG-IP LTM。2、直接访问后台服务器的需求较多或服务器IP地址空间不足分配给BIG-IP3、预同服务器进行广播隔离。一般不建议采用此结构接入方式三（双链路不同VLAN接入）1、易于接入现有网络环境。2、可清晰判断进出数据流或者不同的业务类型数据流。3、可调整其他网络设备上路由对进出BIG-IP流量灵活控制。IP地址需求要较前两种并行方式多。1、多应用在对现有网络中部署F5BIG-IP LTM。2、直接访问后台服务器的需求较多3、预对进出数据流或不同业务流加以区分，便于分析，及灵活控制进出BIG-IP数据流量。4、应用需要看到客户端源IP.采用较多,F5推荐的标准配置方案第5章、F5 BIG-IP LTM网络配置 因为本篇重在描述如何用F5 BIG-IP LTM进行组网规划，所以本章将只对相关网络配置作简单介绍，有关BIG-IP本身的配置以及更加详细的网络配置将在“配置篇”进行阐述。F5 BIG-IP LTM产品有着自身的基本物理特性，在网络层面有着独有的配置方式，同时BIG-IP LTM处于网络与应用之间的设备，我们既不能单纯把BIG-IP LTM看做网络设备也不能单纯看做服务器。因此我们需要对BIG-IP LTM产品物理特性，如端口类型、端口连接方式、VLAN、IP、路由划分有较为充分的理解，才能使BIG-IP LTM部署在网络环境中发挥最大的功能，提高整体网络性能和稳定性。5.1 F5 LTM端口类型在F5 BIG-IP LTM产品中支持10/100/1000BASE-TX的以太网物理端口和标准的千兆光纤接口，并且根据需求可以选用单模或多模的光纤模块，在高端的F5 BIG-IP LTM产品支持万兆（10G）端口，如BIG-IP LTM8400、BIG-IP LTM8800产品，并且随着F5 BIG-IP LTM不同的产品型号，各种端口的密度也不尽相同。如图：目前在业务平台网络环境中，所应用的F5 BIG-IP LTM产品为LTM6400、LTM8400、LTM8800，以下为常用的F5 BIG-IP LTM型号物理相关特性统计。端口类型F5 BIG-IP LTM6400F5 BIG-IP LTM8400F5 BIG-IP LTM8800总端口数20262610/100/1000BASE-T161212SFP-GBIC (Fiber GE412（与电口共用）12（与电口共用）10G FiberN/A225.2 F5 BIG-IP LTM端口连接方式在规范性网络环境中，对网络整体性能、带宽、传输速率都有着较高的要求，保证数据应用业务高效、可靠的传输。根据当前部署规范要求，在F5 BIG-IP LTM在与其他网络设备互连时，采用光纤接口进行互连。在F5 BIG-IP LTM与服务器直接互联时采用10/100/1000M以太网端口互连。在利用F5 BIG-IP LTM进行组网与其他网络设备进行互连时，互连方式在逻辑上我们可以有Trunk、Tag-base access to vlans（一个端口跑多VLAN）、port-based access vlan（VLAN接口互连）。5.2.1Trunk连接在F5 BIG-IP LTM设备里，Trunk的概念相当于Channel的技术（4.4节有介绍），也就是链路聚合的连接方式，将多个F5 BIG-IP LTM的端口捆绑成一条高带宽的链路与对端的网络设备进行互连，提高数据的传输性能，有效避免链路出现拥塞现象。在BIG-IP LTM设备上最多可以聚合八个端口与对端设备进行互连。逻辑示意图如下：通过Trunk的互连方式，增加的带宽的同时也对该链路提供了可靠的冗余度，当某条链路出现故障或者端口出现故障，均不会导致该链路数据传输的失败。因此在进行该方式进行互连后，建议对所有的互连端口、链路做好充分冗余性测试，保证互连后设备间高可靠性。5.2.2Tag-base access to vlans连接F5 BIG-IP LTM设备可以提供在一条链路承载多个VLAN的流量进行传输。该情况多用于在BIG-LTM对后端服务器进行负载均衡时，服务器在BIG-IP LTM下划分了多个VLAN，因此多个VLAN的流量需要在一条链路上通过BIG-IP LTM传输到其他的网络核心交换机。F5 BIG-IP LTM支持了标准802.1Q协议封装，与其他网络设备能很好兼容。通这种连接方式，当新增某种应用业务，且该业务的服务器需要与现有的应用服务器进行广播隔离，保证相关安全性，所以新增服务器需要划入单独新的VLAN。为了能够通过BIG-IP LTM 对新VLAN下的服务器进行负载均衡，如果不采用该种模式，则需要在BIG-IP LTM与核心交换机新添物理线路，对网络改动变更配置较大，当应用了一条链路承载多个VLAN进行流量传输后，只需在该链路的端口将新增VLAN加入，对其数据流量进行传输，无需改动物理连接结构，把网络变更变为最小，使风险较低最小化。该连接方式的示意图如下：在以上示意图我们可以看到，三个VLAN的流量可以通过BIG-IP LTM与核心交换机的一条链路进行传输，这就是该方法的端口连接方式。在进行802.1Q协议封装数据包时，核心交换机与BIG-IP LTM的TAGID必须保持一致，在配置BIG-IP LTM时要多注意这一点。5.2.3 Port-based access vlan连接F5 BIG-IP LTM该方法的端口连接，属于最简单有效的端口连接方式，由于BIG-IP LTM不允许在接口上配置IP地址，因此需要在BIG-IP LTM上将互连端口划入VLAN，并配置VLAN接口IP地址，以到达于其他网络设备进行互连的目的。该连接方式示意图如下：F5 BIG-IP LTM的这种互连方式不仅可以与上层核心交换机进行连接，同样可以与路由器、防火墙等其他网络设备进行互连，达到网络的连通性。5.3 F5 BIG-IP LTM VLAN划分F5 BIG-IP LTM设备上VLAN定义与其他网络中的VLAN概念一样，Virtual Local Area Network虚拟局域网。通过VLAN的划分，根据服务器提供不同的服务，进行逻辑VLAN划分，从而隔离广播流量，缩小了广播范围，在网络中有效的控制了广播风暴的产生。应用VLAN技术，还可以控制用户或者服务器之间的访问权限及逻辑网段的大小，从而提高交换式网络的整体性能和安全性。在网络管理上也更加简单、直观。在VLAN的划分方法上BIG-IP LTM仅支持基于端口的VLAN划分，该方法也是最简单、最有效的划分方法，只需对网络设备的端口进行相应的VLAN分配即可，不用过多考虑端口所连接的设备类型。由于F5 BIG-IP LTM在功能上主要执行四至七层的流量控制，因此在BIG-IP LTM的VLAN划分我们本着以最少的VLAN分配达到最大的功能原则，为对四至七层的流量处理打下良好的基础。不建议在BIG-IP LTM设备上配置过多的VLAN或者相对复杂的逻辑结构。根据BIG-IP LTM的组网结构和在网络中的部署方式，在VLAN的划分上也有了一定规范性。5.3.1 单链路VLAN划分如下图：从上面的示意图中，F5 BIG-IP LTM是以单链路的结构接入在网络环境中，在这种情况下我们一般会划分两个VLAN，一个Internal VLAN，一个为Failover VLAN。Internal VLAN一般用于与核心交换机进行互连，同时用于连接后端服务器，被负载均衡的服务器可以于BIG-IP LTM直接相连，或者连接在核心交换机上，此时服务器一般都会部署在Internal VLAN之中。在BIG-IP LTM端口数量足够时，建议用单独的端口划分Failover VLAN，主要用于两台BIG-IP LTM之间配置信息同步和会话Session同步。5.3.2 双链路VLAN划分如下图：F5 BIG-IP LTM以双链路结构部署在网络环境中，通常我们建议划分三个VLAN，Internal VLAN、External VLAN和Failover VLAN。在第4章我们介绍了双链路接入结构时，可能我们需要对某种业务上的区分，还可能是对进出数据流向的区分，因此在对前两个VLAN的命名上，我们可以根据自己的需要进行对VLAN的命名，便于不同业务的管理与操作。Failover VLAN同样主要用于两台F5 BIG-IP LTM之间配置同步和会话Session同步。在BIG-IP LTM端口数量足够时，建议用单独的端口划分Failover VLAN。5.3.3 其它模式VLAN划分F5 BIG-IP LTM在网络环境中进行组网部署，最终的目的是对各种应用服务器进行负载均衡，因此BIG-IP LTM设备常常部署在了网络结构的分布层，即服务器的前端。由于不同的业务服务器在网络环境中的位置不同或者不同的网络结构，需要在BIG-IP LTM划分多个VLAN以达到对原有服务器进行负载均衡的目的。由于BIG-IP LTM设备不算单纯的网络层设备，而主要是用