F5负载均衡平台部署方案

1、F5 负载均衡部署方案LTM 基础原理单臂接入模式双臂接入模式远程节点模式加入独立SSL/WA/ASM设备防火墙负载均衡多链路接入灾备站点静态路由注入AgendaLTM 基础原理3几个概念Load BalanceMember & NodeVirtual Server & PoolSNAT & NATPersistenceCMPLoad Balancing12345678InternetPools, Members and NodesNode = IP address:80:80:80Pool Member = Node + PortPool = Group of pool membersVir

2、tual ServerInternet:8080:4002:80Virtual ServerIP Address + Service (Port) Combination“Listens” for and manages traffic 7:80 Normally Associated with a PoolVirtual Server to Pool MembersInternet:8080:80:4002:80Virtual Server7:80Pool MembersMaps toVirtual Server - Address TranslationBIG-IP LTM perform

3、s network address translation to real server addresses such that all machines are viewed as one Virtual ServerReal Server AddressNetwork Address TranslationVirtual Server AddressInternet7:80:8080:80:4002:80SNAT的工作模式100SNAT Address:0SNAT AutoMap当配置SNAT AutoMap的时候，请求从那个VLAN发出去，则SNAT的源地址为VLAN上的SelfIP当一

4、个VLAN上有多个SelfIP存在的时候，SNAT的源地址是在多个SelfIP之间轮询SNAT Automap优先选用该VLAN上的Floating IP11Persistence12312312CMP工作模式流量由HSB进行分配在多个TMM上，每个TMM占据一个CPU Core，每个TMM有自己独立的内存空间每个TMM都具有相同的配置，包括VS/Profile/iRules/Pool/Persistence等TMM之间通过内存高速总线进行通讯共享通用信息如会话保持表，SNAT源端口等当CMP被Disable的时候，TMM0接管所有的流量13VIPTMM0VIPTMM1VIPTMM2VIPTM

5、M3HSBHSBSuper VIPLTM单臂接入模式14单臂接入模式下的网络物理结构15核心三层交换服务器服务器LTMLTM外部网络Vlan 1串口心跳线单臂接入-源地址替换接入典型架构设计16Core SwitchCore SwitchServerServer网络同步-独立Vlan串口心跳NetworkIP:GW:54IP:GW:54SelfIP:01GW:54VS:00:80SNAT AutomapSelfIP:02GW:54VS:00:80SNAT AutomapHSRP 54TrunkTrunkTrunkActiveBackup单臂接入-源地址替换模式数据访问流程17核心三层交换服务器

6、服务器LTMClientGW:54GW:54VS: 00:80Floating IP: 00GW:545454SIPSportDIPDport67870080008888808000888800806787源地址替换后的处理18HTTP Profilewhen HTTP_REQUEST HTTP:header insert X-Forwarded-For IP:remote_addriRules只有HTTP协议的时候，可以通过将源地址插入到客户端请求的HTTP Header里，然后在服务器上通过读取这个Header，获得客户端的真实源IP地址单臂接入-服务器更改网关接入典型架构设计19Core

7、 SwitchCore SwitchServerServer网络同步-独立Vlan串口心跳NetworkIP:GW:00IP:GW:00SelfIP:01Floating IP：00GW:54VS:00:80SelfIP:02Floating IP：00GW:54VS:00:80HSRP 54TrunkTrunkTrunkActiveBackup单臂接入-服务器更改网关数据访问流程20核心三层交换服务器服务器LTMClientGW:00GW:00VS: 00:80Floating IP: 00GW:545454SIPSportDIPDport67870080678780806787008067

8、87单臂接入-服务器更改网关模式的同网段访问情况21核心三层交换服务器服务器LTMClient1GW:00GW:00VS: 00:80Floating IP: 00GW:5454SIPSportDIPDport16787008016787808016787我向00发的请求，给我的回应。Drop！同网段访问解决办法SNAT22 when CLIENT_ACCEPTED if IP:addr IP:remote_addr equals /24 snat automapelse snat none单臂接入-服务器更改网关后的直接访问服务器问题23核心三层交换服务器服务器LTMClientGW:00G

9、W:00VS: 00：80Floating IP: 00GW:545454SYNSYNSYN-ACKSIPSportDIPDport678780806787FastL4 Profile没有SYN，直接收到SYN-ACK？单臂接入-npath模式典型架构设计24Core SwitchCore SwitchServerServer网络同步-独立Vlan串口心跳NetworkIP:LO：00GW:54IP:LO：00GW:54SelfIP:00GW:54VS:00：80POOL：80 ：80SelfIP:01GW:54VS:00：80POOL：80 ：80HSRP 54TrunkTrunkTrunk

10、ActiveBackup单臂接入-npath模式数据访问流程25核心三层交换服务器服务器LTMClientLo:00GW:54Lo:00GW:54VS: 00:80Floating IP: 00GW:54POOL：80 ：805454SIPSportDIPDport678700806787008000806787npath模式的配置26关键配置点：Pool Member是服务器的实际地址关闭VS上的上Address Translation服务器上设置loopback地址，并在loopback地址上侦听服务请求npath模式的几个问题27LTM必须与服务器处于同一个二层网络内（即ARP可达）使用

11、npath必须打开CMP保留源端口的设置npath真的能提高吞吐吗？单臂接入-服务器非直连模式（跨路由、无源地址替换）28核心三层交换服务器服务器LTMClientGW:54GW:54VS: 00:80SelfIP: 00GW:545454SIPSportDIPDport6787008067878080678700806787无源地址替换的单臂接入模式使用比较少，通常用于对现网不能改造的情况这种模式下需要在核心三层交换上启用源地址路由，将服务器的所有返回数据包转向LTM，这样才能保证进出的连接完整性建议在这种结构下采用源地址替换以减小网络复杂程度54双臂接入模式29LTM双臂接入模式典型架构设

12、计30VLAN EXTServerServer网络同步-独立Vlan串口心跳NetworkIP:GW:54IP:GW:54Floating EXT:00Floating INT:00GW:54VS:00HSRP 54ActiveBackupVLAN INTVLAN EXTVLAN INTFloating EXT:00Floating INT:00GW:54VS:00LB ServerIP:GW:00LB ServerIP:GW:00HSRP 54双臂接入-服务器直连31核心三层交换服务器服务器LTMClientGW:54GW:54EXT Floating：53INT Floating：54GW

13、:54VS: 00：805454SIPSportDIPDport6787008067878080678700806787双臂接入-串联部署-交换机扩展端口32核心三层交换服务器服务器LTMClientGW:54GW:54EXT Floating：53INT Floating：54GW:54VS: 00：805454二层交换机SIPSportDIPDport6787008067878080678700806787双臂接入-旁挂模式33核心三层交换服务器服务器LTMClientGW:53GW:53EXT Floating：53INT Floating：53GW:54VS: 00：805454EXT

14、_vlanINT vlan二层交换机服务器服务器LTMClient二层交换机旁挂模式下的服务器直接访问34核心三层交换服务器服务器LTMClientGW:53GW:53EXT Floating：53INT Floating：53GW:54VS: 00：805454SYNSYNSYN-ACKSIPSportDIPDport678780678780806787FastL4 Profile双臂接入-VLAN Group35核心三层交换服务器服务器LTMClientGW:54GW:54VG Floating：53GW:54VS: 00：805454EXT_vlanINT vlan核心三层交换服务器服务

15、器LTMClient二层交换机二层交换机EXT_vlanINT vlan二层交换机VLAN Group的几个问题36LTM充当ARP代理会有莫名其妙的包，有可能导致服务器宕机慎用！双臂接入-注意Spanning Tree37核心三层交换服务器服务器LTMClient服务器接入交换核心三层交换LTM服务器接入交换Client保持默认的Pass Through模式远程节点模式38远程节点模式39核心三层交换服务器服务器LTMClient0GW:541GW:54VS: :80SelfIP: 53GW:545454SIPSportDIPDport6787805388881801805388888067

16、87三层交换54远程节点模式通常用于服务器不在本地的情况只要路由可达，LTM就可以配置远程服务器作为节点必须采用源地址替换方式，保证服务器返回数据包回到LTM进行处理在同一个VS里面，可以同时存在有本地节点和远程节点，并且可以通过iRules控制在发往不同节点的时候是否启用源地址替换加入独立SSL/WA/ASM设备40应用加速和应用安全外挂典型架构设计41VLAN EXT网络同步-独立Vlan串口心跳NetworkHSRP 54ActiveBackupVLAN INTVLAN EXTVLAN INTEXT Floating:00INT Floating:00GW:54VS:00LB Serve

17、rIP:GW:00LB ServerIP:GW:00HSRP 54EXT Floating:00INT Floating:00GW:54VS:00IP:GW:00IP:GW:00WA/ASMWA/ASM加入独立SSL/WA/ASM设备设备业务逻辑流程42VS ExternalMember 1Member 2SSL/WA/ASMVS InternalMember 1Member 2ClientSIPSportDIPDport67870080678700806787008067878080678700806787008067870080678700:8000：8000:80VS External:

18、ADDR：00Pool：M1:80 P1 M2:80 P1 M3:00:80 P10VS Internal:Addr:00Pool:M1:80 M2:80防火墙负载均衡组网结构43防火墙负载均衡处理-物理连接结构44LTM服务器服务器防火墙接入交换机LTMLTMLTM接入交换机服务器服务器接入交换机接入交换机防火墙防火墙防火墙建议所有的SSL/WA/ASM独立设备自身都以单臂模式接入在独立设备上无须开启源地址替换，保证在服务器上接收到的请求源地址为真实的客户端源地址F5所有的独立应用加速/安全设备均支持源地址透传防火墙负载均衡处理-业务逻辑流程45LTMLTM防火墙防火墙Client服务器SI

19、PSportDIPDport678700806787008067870080678780806787008067870080678700806787EXT:54INT:54EXT:EXT:EXT:53INT:54VS:00:80防火墙负载均衡模式下，数据包的信息在所有穿过整体系统的过程中都不会被改变3层以上的信息LTM依靠Auto LastHop记录的源MAC地址来确定将服务器返回数据发送到那个防火墙，而不是依靠路由防火墙可以工作在路由模式或者NAT模式，两种模式下都可以正常工作服务器链路负载均衡46链路负载均衡-Link Controller部署物理结构47LC客户端服务器防火墙接入交换机L

20、C接入交换机客户端服务器核心交换机核心交换机防火墙互联网ISP1ISP2HA在每台LC上都划分3个Vlan: ISP1, ISP2和Internal两台LC之间建议采用Trunk方式连接划分在Internal Vlan里作为数据流量两台LC之间的同步/Failover采用另外的网络连线（在端口不足的情况下可以使用数据连线）建议防火墙采用路由模式，并且放置在LC的后端接入交换机通常建议采用低端的比较可靠的二层交换机，每增加一个ISP，增加一台接入交换机如果接入交换机支持VLAN划分，也可以通过VLAN tag模式将LC的外网接入部分统一连接在接入交换机上链路负载均衡-GTM+LTM防火墙在外部48LTM客户端服务器防火墙接入路由器LTM接入路由器客户端服务器核心交换机核心交换机防火墙互联网ISP1ISP2GTMGTM在每台LTM上都划分3个Vlan: 防火墙1, 防火墙2和Internal两台LTM之间没有数据流量发生两台LTM之间的同步/Failover采用另外的网络连线（在端口不足的情况下可以使用数据连线）建议防火墙采用路由模式，并且放置在LTM的前端，针对每条链路上的防火墙也可以采用HA模式部署