版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、PAGE Page * MERGEFORMAT 24F5 BIG-IP LTM平台部署方案目 录 TOC o 1-3 h z u HYPERLINK l _Toc506823525 第1章、前言 PAGEREF _Toc506823525 h 3 HYPERLINK l _Toc506823526 第2章、概述 PAGEREF _Toc506823526 h 3 HYPERLINK l _Toc506823527 2.1文档目的 PAGEREF _Toc506823527 h 3 HYPERLINK l _Toc506823528 2.2文档范围 PAGEREF _Toc506823528 h
2、 3 HYPERLINK l _Toc506823529 2.3目标读者 PAGEREF _Toc506823529 h 4 HYPERLINK l _Toc506823530 第3章、F5 LTM组网原则 PAGEREF _Toc506823530 h 4 HYPERLINK l _Toc506823531 3.1可用性 PAGEREF _Toc506823531 h 4 HYPERLINK l _Toc506823532 3.2可靠性 PAGEREF _Toc506823532 h 5 HYPERLINK l _Toc506823533 3.3扩展性 PAGEREF _Toc5068235
3、33 h 5 HYPERLINK l _Toc506823534 3.4可管理 PAGEREF _Toc506823534 h 5 HYPERLINK l _Toc506823535 第4章、F5 LTM组网结构 PAGEREF _Toc506823535 h 6 HYPERLINK l _Toc506823536 4.1串行结构 PAGEREF _Toc506823536 h 6 HYPERLINK l _Toc506823537 4.1.1串行组网方式一 PAGEREF _Toc506823537 h 6 HYPERLINK l _Toc506823538 4.1.2串行组网方式二 PAG
4、EREF _Toc506823538 h 8 HYPERLINK l _Toc506823539 4.1.3两种方式比较分析 PAGEREF _Toc506823539 h 9 HYPERLINK l _Toc506823540 4.2并行结构 PAGEREF _Toc506823540 h 10 HYPERLINK l _Toc506823541 4.2.1接入方式一 PAGEREF _Toc506823541 h 12 HYPERLINK l _Toc506823542 4.2.2接入方式二 PAGEREF _Toc506823542 h 12 HYPERLINK l _Toc506823
5、543 4.2.3接入方式三 PAGEREF _Toc506823543 h 14 HYPERLINK l _Toc506823544 4.3 HA部署分析 PAGEREF _Toc506823544 h 15 HYPERLINK l _Toc506823545 4.3.1部署方式一 PAGEREF _Toc506823545 h 16 HYPERLINK l _Toc506823546 4.3.2部署方式二 PAGEREF _Toc506823546 h 16 HYPERLINK l _Toc506823547 4.3.3部署方式三 PAGEREF _Toc506823547 h 17 HY
6、PERLINK l _Toc506823548 4.4 Channel部署 PAGEREF _Toc506823548 h 18 HYPERLINK l _Toc506823549 4.5 组网结构对比总表 PAGEREF _Toc506823549 h 20 HYPERLINK l _Toc506823550 第5章、F5 LTM网络配置 PAGEREF _Toc506823550 h 24 HYPERLINK l _Toc506823551 5.1 F5 LTM端口类型 PAGEREF _Toc506823551 h 24 HYPERLINK l _Toc506823552 5.2 F5
7、LTM端口连接方式 PAGEREF _Toc506823552 h 25 HYPERLINK l _Toc506823553 5.2.1Trunk连接 PAGEREF _Toc506823553 h 25 HYPERLINK l _Toc506823554 5.2.2Tag-base access to vlans连接 PAGEREF _Toc506823554 h 26 HYPERLINK l _Toc506823555 5.2.3Port-based access vlan连接 PAGEREF _Toc506823555 h 27 HYPERLINK l _Toc506823556 5.3
8、 F5 LTM VLAN划分 PAGEREF _Toc506823556 h 28 HYPERLINK l _Toc506823557 5.4 F5 LTM Self IP划分 PAGEREF _Toc506823557 h 31 HYPERLINK l _Toc506823558 5.5 F5 LTM路由配置 PAGEREF _Toc506823558 h 33第1章、前言根据目前F5 BIG-IP LTM设备在网络环境中部署的需求不断增加,为了能够使BIG-IP LTM组建的网络环境更加有效提高网络安全、稳定性及业务的整体性能,我们对BIG-IP LTM在组网结构方面进行了细致分析,介绍使
9、用现状,以便为部署F5 BIG-IP LTM设备的人员提供帮助和参考。第2章、概述2.1文档目的该文档的主要目的是能够帮助部署F5 BIG-IP LTM人员,在BIG-IP LTM网络方面的组网结构选择、部署方法等提供有效的分析和参考,使F5 BIG-IP LTM在网络环境中更加规范有效。2.2文档范围该文档主要针对F5 BIG-IP LTM设备在构建整体网络环境,BIG-IP在网络环境中的位置,连接方式等方面进行了详细的描述和分析。同时介绍了F5 BIG-IP LTM设备本身物理端口特性、工作模式,VLAN划分方法、IP地址分配原则、路由配置策略等方面的细节。2.3目标读者该文档主要阅读对象
10、为F5 BIG-IP LTM部署的设计和管理人员,借此文档对F5 BIG-IP LTM组网规范和在现有网络环境中部署进行了解。也适用于对F5 BIG-IP LTM设备有所了解的其他网络设计、管理或工程人员。第3章、F5 LTM组网原则在应用F5 BIG-IP LTM在网络环境中进行组网时,根据系统的原有架构设计,及业务的应用模式,在保证原有业务的正常运行条件下,本着能够满足功能、具备可靠性、可扩展性、可管理性的原则,建立规范的负载均衡网络,顺利实现安全、优化、可用的目标。同时在部署F5 BIG-IP LTM时要最大化的保护既有投资,确保F5 BIG-IP应用在综合组网环境的正常运行,避免设备之
11、间的依赖行,设备的更新必须具有独立性,支持网络的逐渐升级。避免把简单易于实现的组网模式变成复杂的组网过程,如网络和应用部门各自为战,各个应用系统之间相对独立的部署,由于没有及时沟通,导致了应用的部署及其复杂,应用系统不断提出不同需求,使得网络部门为不同的应用系统准备不同的网络环境而致使网络结构的复杂,这样不仅增加了网络故障的发生几率,而且影响应用服务质量。3.1可用性F5 BIG-IP LTM部署在网络环境中,最终目的是对业务应用流量的负载均衡,保证高性能的对外提供服务。因此在部署F5 BIG-IP LTM首先要满足所有的需求功能,包括网络功能、业务系统功能及BIG-IP LTM自身负载均衡功
12、能,达到整个系统运行的可用性。3.2可靠性在网络环境中,所有应用均为关键性业务系统,因此要求由F5 BIG-IP LTM组建的网络必须为高可靠型。根据BIG-IP LTM自身的特性提供了高效的HA环境,在发生故障时可实现毫秒级的主备切换速度,为应用业务的持续运行提供了有效保障。3.3扩展性在F5 BIG-IP LTM组建的网络环境里,BIG-IP LTM在应用服务中起到了核心的作用,在其组建网络时避免BIG-IP LTM与其他网络设备存在依赖性,随着以后性能需求的增加可以对BIG-IP LTM进行伸缩性的扩展。同时F5 BIG-IP LTM设备本身可支持对后端服务器横向扩展,支持动态的增加或删
13、除负载均衡服务器组中任何数量的服务器,实现服务器的高扩展性。3.4可管理F5 BIG-IP LTM 组建的高性能负载均衡网络,要求对BIG-IP LTM设备本身及它所负载均衡的服务器必须能够实现可控制、可管理。BIG-IP LTM支持灵活安全的命令行接口与WEB图形界面的管理。同时遵循标注的SNMP协议第三方网管软件管理。在对所负载均衡的服务器,BIG-IP LTM可以对服务器组中服务器进行灵活的操作,如在不影响业务情况下进行主机维护与软件升级等操作,实现对服务器的可管理性。第4章、F5 LTM组网结构F5 BIG-IP LTM设备在组建负载均衡网络过程中,该设备的部署位置至关重要,在一般的网
14、络部署结构中以及目前F5 BIG-IP LTM的组网结构成功案例中,通常的部署结构分为串行结构和并行结构。在当前这种复杂的网络环境中,串行结构与并行结构在实际应用与运行中同样是相对较为规范合理的部署。4.1串行结构在部署F5 BIG-IP LTM设备组网时,所谓的串行结构,指的是BIG-IP LTM在网络拓扑结构中位于上下两层网络设备之间,如位于交换机与交换机之间等,所有的网络流量在最终到达服务器或者返回客户端前必须经过BIG-IP LTM设备处理,因此整个网络结构,应用业务功能的实现对BIG-IP LTM设备依赖性较强。在串行结构中,BIG-IP LTM与其他网络设备可以有不同的连接方式,每
15、种连接方式都在网络结构中体现不同实施策略,包括从安全性、可靠性及可用性角度的分析考虑。下面我们介绍两种常见且部署较为规范的串行结构。4.1.1串行组网方式一如下图:在以上面的拓扑结构进行组网,F5 BIG-IP LTM处于两组核心交换机中间,使用单条链路进行链接,形成整体的串行结构,同时为典型的口字型结构。数据的访问流向均先经过上层核心交换机,通过上层核心交换机进入F5 BIG-IP LTM负载均衡设备,根据BIG-IP LTM实施的负载均衡策略对流量进行负载均衡,经过下层交换机到达相应的服务器,返回的数据流亦然。在F5 BIG-IP LTM与下端交换机层面,BIG-IP LTM直接与交换机相
16、连,所有被负载均衡的服务器与交换机相连,这种部署结构,当BIG-IP LTM的固有端口有限,而服务器的数量大于BIG-IP LTM端口数量时,此时通过该方法在逻辑上有效的增加了BIG-IP LTM端口数量。同时可以根据应用业务的不同,在下层交换机上进行多VLAN的划分,以隔离不用业务的服务器,或在交换机上利用良好ACL执行服务器间访问策略。从拓扑图中我们可以看到BIG-IP LTM的这种连接方式无论在网络结构以及数据流走向方面都比较清晰有序。在可靠性方面两台F5 BIG-IP LTM互为主备模式,同时BIG-IP LTM可以探测上下两层交换机状态,一旦检测到对应的交换机出现故障,BIG-IP
17、LTM可以及时进行主备切换,保证应用业务的持续性。4.1.2串行组网方式二如下图:在以上面的拓扑结构进行组网,F5 BIG-IP LTM同样处于两组核心交换机中间,分别使用双条链路与上下两组交换机进行链接,形成整体的串行结构中的交叉连接方式。此连接方式需要BIG-IP LTM提供相应的端口密度,在网络环境中,负载均衡设备都为BIG-IP LTM6400以上型号,因此所提供的端口密度都能够满足不同的需求。F5 BIG-IP LTM的这种组网方式,数据流访问过程同样必须经过BIG-IP LTM传递到下层交换机,负载均衡到相应的服务器。这种组网方式在数据的可靠性、冗余性上有了很大的提高,BIG-IP
18、 LTM通过与上下层核心交换机利用生成树协议(STP)使交叉连接的双链路其中一条成为备份状态,当其中一条链路出现故障,可利用另一条链路接管所有流量。同时这种连接方式减少了BIG-IP LTM对上下层相关网络设备的依赖性,只有当与BIG-IP LTM连接的两条链路全部down掉后,BIG-IP才发生主备切换,减少了BIG-IP LTM由于其他网络设备引起的链路故障导致发生的切换。通过以上的分析及拓扑图我们可以看到,F5 BIG-IP LTM这种交叉连接方式增加链路的冗余度,使网络环境状态更趋于可靠、稳定。为应用业务的有效运行提供了保障。4.1.3两种方式比较分析F5 BIG-IP LTM串行结构
19、的组网中,我们介绍了两种常见的BIG-IP LTM连接方式,一种为单链路连接,另一种为双链路的交叉连接方式。两种方式在网络环境中有着各自的组网特点,发挥了不同的作用。方式一,单条链路组建的F5 BIG-IP LTM串行结构,整体网络结构比较单一整齐,业务数据流走向清晰可见,易于运维人员的设计、部署实施,及后续的维护、管理,相关故障的排查。在可靠性方面,两台BIG-IP LTM采用主备(Active/Standby)模式,当BIG-IP LTM设备本身或者由于上下层对应交换机出现故障导致流量中断,BIG-IP LTM均可以进行毫秒级切换,保证应用业务的持续性。由于采用的是单链路连接,因此在链路的
20、可靠性、冗余性相对较弱,一条链路的故障必须导致F5 BIG-IP LTM进行切换,同时BIG-IP LTM与上下层网络设备存有一定的相互依赖性,在某些环境下,相关网络设备的切换,BIG-IP LTM同时需要切换,即使BIG-IP LTM设备运行正常,增加了F5 BIG-IP LTM设备主备切换的概率。方式二,双链路交叉连接的串行结构,增强了网络整体结构的冗余性、可靠性,一条链路的故障不会引起BIG-IP LTM主备状态切换,应用业务流量可依靠另一链路进行传输,使整体网络环境状态更趋于稳定。并且由于冗余链路的出现,减轻了BIG-IP LTM与其他网络设备的依赖性,数据流的走向可以根据不同链路进行
21、传输。虽然双链路的串行结构,加强了网络结构的冗余性与可靠性,但此连接方式相对较为复杂,数据流走向存在多种选择,同时与其他网络设备存在生成树(STP)计算问题,无论是在部署实施、还是日常的管理、维护及相关故障的排除但来了一定的难度。以上两种串行连接方式,所有的网络流量在到达服务器前或者服务器主动发起的出访流量必须经过F5 BIG-IP LTM设备,由于BIG-IP LTM在网络中的特殊位置,一些非负载均衡流量也需要经过BIG-IP LTM,此时我们需要在F5 BIG-IP LTM进行Forwarding VS的配置,对不同流量经由BIG-IP LTM时进行转发,降低了BIG-IP LTM的使用性
22、能。通过对以上分析,及现有F5 BIG-IP LTM所组建的网络结构运行稳定情况,一般我们建议应用BIG-IP LTM进行网络结构设计时,选择方式一的单链路口字型组网方式。4.2并行结构所谓的并行结构,指的是F5 BIG-IP LTM以旁路的方式部署在现已运行(或新建)的网络环境中,通过这种组网结构方式,BIG-IP LTM可以方便、快速的部署到现有网络环境中,实现负载均衡功能,同时也是对现有网络结构,应用业务及服务器配置更改最少的一种接入方式。典型的拓扑结构如下图:在上图的组网结构中,我们可以直观看到F5BIG-IP LTM可以很容易的接入在现有网络环境中,原有的网络设备、物理链路连接和应用
23、服务器在网络配置上均无需做任何改动,只需在BIG-IP LTM与核心交换机间配置相应的端口、VLAN及IP地址就可以完成设备互连,实现相关负载均衡技术,同时可以在接入交换机或核心交换机上对服务器进行横向扩展。在将F5 BIG-IP LTM以并行的结构部署在网络环境中时,与核心交换机的逻辑连接有不同的选择方式,根据不同的接入方式,在相关的配置及负载均衡数据流的走向上也略有不同。在下面的小节中我们将做相关的介绍。4.2.1接入方式一F5 BIG-IP LTM以并行结构接入现有网络环境中,在对BIG-IP LTM进行VLAN划分、IP地址分配时,可以将BIG-IP LTM与所需进行负载均衡的服务器处
24、于相同VLAN中,所分配的IP地址与服务器原有IP地址在同一网段内。如下图所示:这种方式的接入,F5 BIG-IP LTM与服务器在同一网段下,所有配置的VS地址与服务器IP地址均在同一网段下,通过这样的配置使网络层次结构、数据流量的传输看起来更加清晰,实施相对较为简单。在这种方式下服务器的默认网关一般会设置为BIG-IP LTM上对应的Self IP或者Floating IP,使客户端流量通过BIG-IP LTM负载均衡后直接到达后端服务器时,无需做任何源地址转换及路由选择,保留了客户端源地址,可以很容易的满足应用上一些特定要求。4.2.2接入方式二F5 BIG-IP LTM以并行的结构接入
25、现有网络环境中,BIG-IP LTM与所负载均衡的服务器处于不同的VALN之中,IP地址属于不同的网段,该方式多应用在当部署BIG-IP LTM到网络环境后,现有的服务器IP地址空间不足以分配给BIG-IP LTM相应的Self IP及VS,因此需要进行单独VLAN、IP地址的重新划分。如下图所示:由于F5 BIG-IP LTM与所负载均衡的服务器不在同一网段内,此时服务器的默认网关不能直接指向在BIG-IP LTM设备上,必须指向核心交换机三层地址。这样在数据流量访问过程中会出现如下问题:客户端可以正常通过BIG-IP LTM 的VS将流量负载均衡到对应服务器,但当服务进行响应回包给客户端时
26、,无法再次经过BIG-IP LTM,而是通过核心交换的路由直接回给了客户端,导致客户端访问的失败。在这种情况下,在BIG-IP LTM上需要做特殊的配置,在客户端请求进入BIG-IP LTM时,改变客户端的源地址为BIG-IP LTM设备上的IP地址,强制使服务器的回包经过BIG-IP LTM回应给用户客户端,实现负载均衡。该接入方式的另一个优势为,当由于极端情况下,两台F5 BIG-IP LTM同时出现故障无法正常工作,为了保证业务的正常访问,可以临时通知用户后台服务器的真实地址或者将原来对外提供服务的VS地址直接配置到后台服务器上,以保证业务应用的持续性。4.2.3接入方式三F5 BIG-
27、IP 在以并行结构的方式接入网络环境中时,可用双链路的连接方式接入核心交换,为不同的链路划分不同的VLAN,用以区分进出BIG-IP LTM的不同数据流,或者将不同业务的数据流在不同的线路上进行加以区分传输。如下图所示:通过上面的拓扑图,不同的业务类型的数据流在不同的链路上进行传输,这样的结构能够使业务分类更加清晰,便于日常的流量观察及维护,甚至进行流量捕获分析,在相关业务出现问题后,可以有较清晰的思路加以研究,及时解决问题,保证应用业务的可用性。该接入方式也用于对进入BIG-IP LTM数据流和流出BIG-IP的数据进行区分,也就是数据流可以按照需求从一条链路进出,从另一条链路流出,也能够达
28、到对应用业务流的进出进行清晰判断的目的。同时该接入方式由于F5 BIG-IP 上的不同链路与服务器在不同VLAN,各自的三层的网关可以设置在核心交换机上,通过调整核心交换机的路由或者在核心交换机配置相关的策略路由,根据需求调整不同的流量类型经过BIG-IP LTM进行负载均衡处理或者不经过BIG-IP LTM直接由对应服务器处理流量。此时服务器网关需要设备在核心交换机上。在可靠性上由于是双链路实现了不同业务或者不同数据流走向的区分,一旦某条链路出现故障,将会导致其中某一业务或者某一流向的业务中断,在F5BIG-IP LTM的冗余模式下,我们可以配置对每条链路的探测,当其中一条链路出现故障后,B
29、IG-IP LTM立即进行切换,保证应用业务的持续性。在不同的网络环境或应用需求下不仅可以双链路接入,还可以进行多链路的接入,但原则要以最简单、最清晰的网络结构实现最佳的性能,满足最大的需求。4.3 HA部署分析在F5 BIG-IP LTM 进行组建网络结构中,为保证业务稳定、持续性的运行,BIG-IP LTM一般采用双机模式,构建高可靠的HA环境。当其中一台设备出现故障无法处理相关网络流量,另一台设备立即接管处理所有网络流量,使应用业务不间断对外提供服务。F5 BIG-IP LTM在双机模式中,可配置为主备模式(Active/Standby)和主主模式(Active/Active),根据当前
30、F5 BIG-IP LTM的双机部署案例,以及目前所采有的模式,我们建议采用AS模式,即Active/Standby结构。AA模式不在本文当中讨论。处于HA环境的两台F5 BIG-IP LTM设备使用Failover串口线交换心跳信息,通过网络传输数据信息,根据监控心跳信息和数据传送方式的不同,BIG-IP LTM双机连接可以有不同的方式。以下是三种常见的部署连接方式。4.3.1部署方式一两台F5 BIG-IP LTM间采用failover线监控设备心跳信息,数据同步信息与实际业务数据在同一线路上进行传递,具体如下图所示:这样部署的优势使BIG-IP LTM设备心跳信息和数据信息在不同通道传送
31、,保证了数据独立性,同时数据信息和业务信息在同一数据通道传送,节省了端口,但增加了数据信息传送的不稳定和易受干扰性。建议在设备端口密度不足的情况下使用。4.3.2部署方式二两台F5 BIG-IP LTM间采用Failover线缆监控设备心跳信息,数据同步信息与实际业务数据分别在单独的线路上传递,具体如下图所示: 这样部署的优势在于使BIG-IP LTM设备间心跳信息和数据信息在不同的通道传送,保证了数据独立性,同时数据信息和业务信息分开,保证了其安全稳定性,但增加了设备端口的使用数量。建议在设备端口密度充足的情况下使用此种部署结构。4.3.3部署方式三两台F5 BIG-IP LTM间采用网络线
32、缆监控设备心跳信息,同时传递数据同步信息。具体如下图所示:这种部署方式的优势是两台F5 BIG-IP LTM设备可以安装距离相距较远,但设备心跳信息和数据信息都通过网络传递,安全稳定性较差。建议在设备安装位置相距较远时按照此结构进行部署。此项部署需要在设备的system中HA中进行特殊指明。建议在部署时尽量避免该结构的产生。4.4 Channel部署在F5 BIG-IP LTM的组网结构中,我们分别对串行结构、并行结构的各种组网方式,链路接入方式做了详细的分析和介绍。在以上的所有结构组建的基础上,F5 BIG-IP LTM均可以进行多链路的channel绑定,增强链路的冗余性,增加网络吞吐量,
33、提高整体网络传输性能。并行结构中的一个Channel示意图如下:在F5 BIG-IP LTM的网络Channel设置中,BIG-IP LTM能够与其他网络设备很好兼容,进行链路捆绑,支持IEEE802.3ad标准的LACP(链路汇聚控制协议)。使能某端口的LACP协议后,该端口将通过发送LACPPDU向对端通告自己的优先级、系统MAC地址、端口优先级、端口号等,对端接收到这些信息后,将这些信息与其它端口所保存的信息比较以选择能够汇聚的端口,从而双方可以对端口加入或退出某个动态汇聚组,达成一致。在F5 BIG-IP LTM设备上可同时支持8个端口链路捆绑。根据目前的Channel使用经验,当有对
34、channel使用需求时,一般建议只采用双链路进行Channel绑定,提高链路冗余度,增强网络吞吐量。4.5 组网结构对比总表组网结构接入方式优点缺点应用场景备注串行结构串行方式一(单链路)1、网络结构简单、整齐,数据流量走向清晰。2、易于设计、部署实施。3、便于后期维护及故障排查。1、可靠性、冗余性相对较弱。2、与互连的网络设备存在一定依赖性,相对增加了HA切换概率。1、多应用在新建网络2、直接访问后台服务器需求较少的环境中。少量用户采用串行方式二(双链路交叉)1、增强网络结构可靠性、冗余性高。2、与互连网路设备依赖性较小,减小了HA切换概率较。1、设计、部署及数据流走向较为复杂。2、存在生
35、成树(STP)计算问题。3、日常的维护及故障排查存在一定难度。1、多应用在新建网络环境2、直接访问后台服务器的需求较少3、对可靠性、冗余性要求非常高。较少采用并行结构(旁路)接入方式一(F5、Server同VLAN)1、易于接入现有网络环境,网络配置变更较小,整体网络结构简单清晰。2、路由结构简单,服务器网关可指向F5,无需源地址转换,保留客户端源地址。由于BIG-IP LTM与服务器在同一网段,需从技术上保证从服务器的返回数据包经过BIG-IP。有两种可选方案:1.保留客户端源IP,需变更原服务器网 关指向BIG-IP LTM。2.不改变服务器网关指向,在F5 BIGIP-LTM上配置SNA
36、T,这时客户端的源IP会被替换掉.1、多应用在对现有网络中部署F5BIG-IP LTM。2、直接访问后台服务器的需求较多3、服务器IP地址空间较大,足够分配给BIG-IP LTM的selfIP、VS等。采用较多接入方式二(F5、Server异VLAN)1、易于接入现有网络环境,网络配置变更较小,整体网络结构简单清晰。2、对BIG-IP LTM的IP地址分配较为灵活,便于规划。1、BIG-IP LTM与服务器在不同网段,数据进入BIG-IP LTM需做客户端源IP转换。2、预保留客户端IP,需在BIG-IP LTM特殊配置。1、多应用在对现有网络中部署F5BIG-IP LTM。2、直接访问后台服
37、务器的需求较多或服务器IP地址空间不足分配给BIG-IP3、预同服务器进行广播隔离。一般不建议采用此结构接入方式三(双链路不同VLAN接入)1、易于接入现有网络环境。2、可清晰判断进出数据流或者不同的业务类型数据流。3、可调整其他网络设备上路由对进出BIG-IP流量灵活控制。IP地址需求要较前两种并行方式多。1、多应用在对现有网络中部署F5BIG-IP LTM。2、直接访问后台服务器的需求较多3、预对进出数据流或不同业务流加以区分,便于分析,及灵活控制进出BIG-IP数据流量。4、应用需要看到客户端源IP.采用较多,F5推荐的标准配置方案PAGE PAGE 35第5章、F5 LTM网络配置F5
38、BIG-IP LTM的产品有着自身的基本物理特性,在网络层面有着独有的配置方式,同时BIG-IP LTM处于网络与应用之间的设备,我们既不能单纯把BIG-IP LTM看做网络设备也不能单纯看做服务器。因此我们需要对BIG-IP LTM产品物理特性,如端口类型、端口连接方式、VLAN、IP、路由划分有较为充分的理解,才能使BIG-IP LTM部署在网络环境中发挥最大的功能,提高整体网络性能和稳定性。5.1 F5 LTM端口类型在F5 BIG-IP LTM产品中支持10/100/1000BASE-TX的以太网物理端口和标准的千兆光纤接口,并且根据需求可以选用单模或多模的光纤模块,在高端的F5 BI
39、G-IP LTM产品支持万兆(10G)端口,如BIG-IP LTM8400、BIG-IP LTM8800产品,并且随着F5 BIG-IP LTM不同的产品型号,各种端口的密度也不尽相同。图解:目前在网络环境中,所应用的F5 BIG-IP LTM产品为LTM6400、LTM8400、LTM8800,以下为常用的F5 BIG-IP LTM型号物理相关特性统计。端口类型F5 BIG-IP LTM6400F5 BIG-IP LTM8400F5 BIG-IP LTM8800总端口数20262610/100/1000BASE-T161212SFP-GBIC (Fiber GE412(与电口共用)12(与电
40、口共用)10G FiberN/A225.2 F5 LTM端口连接方式在规范性网络环境中,对网络整体性能、带宽、传输速率都有着较高的要求,保证数据应用业务高效、可靠的传输。根据当前部署规范要求,在F5 BIG-IP LTM在与其他网络设备互连时,采用光纤接口进行互连。在F5 BIG-IP LTM与服务器直接互联时采用10/100/1000M以太网端口互连。在利用F5 BIG-IP LTM进行组网与其他网络设备进行互连时,互连方式在逻辑上我们可以有Trunk、Tag-base access to vlans(一个端口跑多VLAN)、port-based access vlan(VLAN接口互连)。
41、5.2.1Trunk连接在F5 BIG-IP LTM设备里,Trunk的概念相当于Channel的技术(4.4节有介绍),也就是链路聚合的连接方式,将多个F5 BIG-IP LTM的端口捆绑成一条高带宽的链路与对端的网络设备进行互连,提高数据的传输性能,有效避免链路出现拥塞现象。在BIG-IP LTM设备上最多可以聚合八个端口与对端设备进行互连。逻辑示意图如下:通过Trunk的互连方式,增加的带宽的同时也对该链路提供了可靠的冗余度,当某条链路出现故障或者端口出现故障,均不会导致该链路数据传输的失败。因此在进行该方式进行互连后,建议对所有的互连端口、链路做好充分冗余性测试,保证互连后设备间高可靠
42、性。5.2.2Tag-base access to vlans连接F5 BIG-IP LTM设备可以提供在一条链路承载多个VLAN的流量进行传输。该情况多用于在BIG-LTM对后端服务器进行负载均衡时,服务器在F5 BIG-IP LTM下划分了多个VLAN,因此多个VLAN的流量需要在一条链路上通过BIG-IP LTM传输到其他的网络核心交换机。F5 BIG-IP LTM支持了标准802.1Q协议封装,与其他网络设备能很好兼容。通这种连接方式,当新增某种应用业务,且该业务的服务器需要与现有的应用服务器进行广播隔离,保证相关安全性,所以新增服务器需要划入单独新的VLAN。为了能够通过F5 BIG
43、-IP LTM 对新VLAN下的服务器进行负载均衡,如果不采用该种模式,则需要在BIG-IP LTM与核心交换机新添物理线路,对网络改动变更配置较大,当应用了一条链路承载多个VLAN进行流量传输后,只需在该链路的端口将新增VLAN加入,对其数据流量进行传输,无需改动物理连接结构,把网络变更变为最小,使风险较低最小化。该连接方式的示意图如下:在以上示意图我们可以看到,三个VLAN的流量可以通过F5 BIG-IP LTM与核心交换机的一条链路进行传输,这就是该方法的端口连接方式。在进行802.1Q协议封装数据包时,核心交换机与BIG-IP LTM的TAGID必须保持一致,在配置BIG-IP LTM
44、时要多注意这一点。5.2.3Port-based access vlan连接F5 BIG-IP LTM该方法的端口连接,属于最简单有效的端口连接方式,由于BIG-IP LTM不允许在接口上配置IP地址,因此需要在BIG-IP LTM上将互连端口划入VLAN,并配置VLAN接口IP地址,以到达于其他网络设备进行互连的目的。该连接方式示意图如下:F5 BIG-IP LTM的这种互连方式不仅可以与上层核心交换机进行连接,同样可以与路由器、防火墙等其他网络设备进行互连,达到网络的连通性。5.3 F5 LTM VLAN划分F5 BIG-IP LTM设备上VLAN定义与其他网络中的VLAN概念一样,Vir
45、tual Local Area Network虚拟局域网。通过VLAN的划分,根据服务器提供不同的服务,进行逻辑VLAN划分,从而隔离广播流量,缩小了广播范围,在网络中有效的控制了广播风暴的产生。应用VLAN技术,还可以控制用户或者服务器之间的访问权限及逻辑网段的大小,从而提高交换式网络的整体性能和安全性。在网络管理上也更加简单、直观。在VLAN的划分方法上BIG-IP LTM仅支持基于端口的VLAN划分,该方法也是最简单、最有效的划分方法,只需对网络设备的端口进行相应的VLAN分配即可,不用过多考虑端口所连接的设备类型。由于F5 BIG-IP LTM在功能上主要执行四至七层的流量控制,因此在
46、BIG-IP LTM的VLAN划分我们本着以最少的VLAN分配达到最大的功能原则,为对四至七层的流量处理打下良好的基础。不建议在F5 BIG-IP LTM设备上配置过多的VLAN或者相对复杂的逻辑结构。根据F5 BIG-IP LTM的组网结构和在网络中的部署方式,在VLAN的划分上也有了一定规范性。1、单链路VLAN划分如下图:从上面的示意图中,F5 BIG-IP LTM是以单链路的结构接入在网络环境中,在这种情况下我们一般会划分两个VLAN,一个Internal VLAN,一个为Failover VLAN。Internal VLAN一般用于与核心交换机进行互连,同时用于连接后端服务器,被负载
47、均衡的服务器可以于F5 BIG-IP LTM直接相连,或者连接在核心交换机上,此时服务器一般都会部署在Internal VLAN之中。在F5 BIG-IP LTM端口数量足够时,我们用单独的端口划分Failover VLAN,主要用于两台F5 BIG-IP LTM之间配置信息同步和会话Session同步。2、双链路VLAN划分如下图:F5 BIG-IP LTM以双链路结构部署在网络环境中,通常我们建议划分三个VLAN,Internal VLAN、External VLAN和Failover VLAN。在第4章我们介绍了双链路接入结构时,可能我们需要对某种业务上的区分,还可能是对进出数据流向的区
48、分,因此在对前两个VLAN的命名上,我们可以根据自己的需要进行对VLAN的命名,便于不同业务的管理与操作。Failover VLAN同样主要用于两台F5 BIG-IP LTM之间配置同步和会话Session同步。在F5 BIG-IP LTM端口数量足够时,我们建议用单独的端口划分Failover VLAN。3、其它模式VLAN划分F5 BIG-IP LTM在网络环境中进行组网部署,最终的目的是对各种应用服务器进行负载均衡,因此BIG-IP LTM设备常常部署在了网络结构的分部层,即服务器的前端。由于不同的业务服务器在网络环境中的位置不同或者不同的网络结构,需要在F5 BIG-IP LTM划分多
49、个VLAN以达到对原有服务器进行负载均衡的目的。由于F5 BIG-IP LTM设备不单纯上网络层设备,主要用来对四到七层流量的管理、控制及优化,因此我们建议在部署F5 BIG-IP LTM设备时尽量避免多VLAN的划分,尽量把VLAN的控制放到核心交换机。在对BIG-IP LTM进行VLAN划分数量上建议一般不要大于六个VLAN。5.4 F5 LTM Self IP划分F5 BIG-IP LTM设备需要部署在服务器与网络之间,多不同的服务器进行负载均衡,需要与其他网络设备进行互连,因此在对F5 BIG-IP LTM进行IP地址划分时,也要进行规范化分配设计。1、单链路部署Self IP划分F5
50、 BIG-IP LTM在单链路接入网络结构中,我们一般会划分两个VLAN(5.2节介绍),一个Internal VLAN和Failover VLAN,因此我们需要给两个VLAN分配Self IP,在IP地址选择上,对于Internal VLAN的Self IP根据实际的网络环境分配给Internal VLAN相应的IP地址,Internal VLAN的Self IP虽然在网络中作为设备互连,但我们不建议配置掩码为30位的IP地址段,由于BIG-IP LTM要提供给VS IP地址,因此在IP地址空间划分时,数量上要尽可能满足对外提供业务的VS IP地址的需求。在实际的部署中,F5 BIG-IP LTM都会成对出现,成为主备模式,由于是两台设备但对外需要提供虚拟透明的一台设备提供服务,因此我们需要分配Floating IP给Internal VLAN,该IP为两台BIG-IP LTM的浮动地址,漂移在Active设备上,该地址同时可以
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 低碳环保建议书倡导书
- 二十四孝读后感
- 个人实习总结15篇
- 下半年个人工作总结15篇
- 个人违反廉洁纪律检讨书(6篇)
- 课件转盘游戏教学课件
- 2023年药品流通行业运行统计分析报告
- 清华园学校八年级上学期第一次月考语文试题(A4版、B4版含答案)
- 九年级上学期语文期中考试试卷
- 南京航空航天大学《电磁无损检测新技术》2021-2022学年期末试卷
- 2024年消防月全员消防安全知识专题培训-附20起典型火灾案例
- 北京地铁钢轨探伤车对钢轨常见伤损的检测_黄英杰
- 通风队岗位说明书
- 中小学教师德能勤绩廉考核表
- 混合痔优化中医护理方案
- Chapter 11 微生物的分化和发育
- 关于我市卫生监督体系建设情况的调研报告
- A760(761)E自动变速器ppt课件
- 建设工程施工现场项目管理人员解锁申请表
- 防呆法(防错法)Poka-Yoke
- 田径运动会径赛裁判法PPT课件
评论
0/150
提交评论