F负载均衡设备组网架构

F5LTM组网架构李兴华F5

售前工程师单臂接入模式双臂接入模式远程节点模式加入独立SSL/WA/ASM设备防火墙负载均衡多链路接入灾备站点静态路由注入AgendaLTM单臂接入模式3单臂接入模式下的网络物理结构4核心三层交换服务器服务器LTMLTM外部网络Vlan1串口心跳线LTM单臂源地址替换接入典型架构设计5CoreSwitchCoreSwitchServerServer网络同步-独立Vlan串口心跳NetworkIP:GW:54IP:GW:54SelfIP:00GW:54VS:00SNATAutomapSelfIP:01GW:54VS:00SNATAutomapHSRP54TrunkTrunkTrunkActiveBackup单臂接入-源地址替换模式数据访问流程6核心三层交换服务器服务器LTMClient0GW:541GW:54VS::80SelfIP:53GW:545454①②③④⑤

SIPSportDIPDport①②678780③538888180④180538888⑤⑥806787⑥源地址替换后的处理7核心三层交换服务器服务器LTMClient0GW:541GW:54VS:：80SelfIP:53GW:545454①②③④⑤⑥HTTPProfilewhenHTTP_REQUEST{HTTP::headerinsert"Client_IP=[IP::client_addr]"}iRules只有HTTP协议的时候，可以通过将源地址插入到客户端请求的HTTPHeader里，然后在服务器上通过读取这个Header，获得客户端的真实源IP地址单臂接入-npath模式数据访问流程8核心三层交换服务器服务器LTMClient0Lo:GW:541Lo:GW:54VS::80SelfIP:53GW:545454①②③④⑤

SIPSportDIPDport①②678780③678780④⑤806787单臂接入-服务器非直连模式（无源地址替换）9核心三层交换服务器服务器LTMClient0GW:541GW:54VS::80SelfIP:53GW:545454①②③④⑤⑦⑧⑥

SIPSportDIPDport①②678780③④6787180⑤⑥1806787⑦⑧806787无源地址替换的单臂接入模式使用比较少，通常用于对现网不能改造的情况这种模式下需要在核心三层交换上启用源地址路由，将服务器的所有返回数据包转向LTM，这样才能保证进出的连接完整性建议在这种结构下采用源地址替换以减小网络复杂程度54同网段访问处理-必须通过SNAT实现10核心三层交换客户端服务器LTM0GW:541GW:54VS:：80IP:53GW:5454

SIPSportDIPDport①0678780②538888180③180538888④806787①②③④单臂接入-服务器更改改网关数据据访问流程程11核心三层交交换服务器服务器LTMClient0GW:531GW:53VS::80SelfIP:53GW:545454①②③④⑤

SIPSportDIPDport①②678780③6787180④1806787⑤⑥806787⑥服务器更改改网关后的的直接访问问服务器问问题12核心三层交交换服务器服务器LTMClient0GW:531GW:53VS:：80IP:53GW:545454①SYN②SYN③SYN-ACK

SIPSportDIPDport①②6787180③1806787FastL4Profile双臂臂接接入入模模式式13LTM双臂臂接接入入模模式式典典型型架架构构设设计计14VLANEXTServerServer网络同步步-独立Vlan串口心跳跳NetworkIP:GW:54IP:GW:54SelfIPEXT:00SelfIPINT:00GW:54VS:00HSRP54ActiveBackupVLANINTVLANEXTVLANINTSelfIPEXT:00SelfIPINT:00GW:54VS:00FIP:54LBServerIP:GW:50LBServerIP:GW:50FIP:54HSRP54双臂接入入-服务器直直连15核心三层层交换服务器服务器LTMClient0GW:541GW:54VS:EXTIP:53/VLANEXTINTIP:54/VLANINTGW:545454

SIPSportDIPDport①678780②6787180③1806787④806787①②③④双臂接入-串联部署-扩展端口16核心三层交交换服务器服务器LTMClient0GW:541GW:54VS:EXTIP:53/VLANEXTINTIP:54/VLANINTGW:545454①②③④服务器接入入交换

SIPSportDIPDport①678780②6787180③1806787④806787双臂接入-旁挂模式17核心三层交交换服务器服务器LTMClient0GW:541GW:54VS::80EXTIP:53/VLANEXTINTIP:54/VLANINTGW:545454①②③④

SIPSportDIPDport①678780②6787180③1806787④806787External_vlanInternal_vlan旁挂模式下下LTM可以用不同同的端口接接入核心交交换，也可可以采用端端口捆绑模模式接入核核心交换，，然后在端端口捆绑里里通过VLANtag方式来划分分多个VLAN旁挂模式下下的服务器器直接访问问18核心三层交交换服务器服务器LTMClient0GW:541GW:54VS:EXTIP:53/VLANEXTINTIP:54/VLANINTGW:545454①②③

SIPSportDIPDport①6787180②6787180③1806787FastL4Profile双臂接入-避免SpanningTreeF5LTM有非常快速速的切换机机制（200ms），切换完完成后会发发送ARP广播SpanningTree的重算机制制在一些情情况下会阻阻止对端设设备收到ARP广播不同设备的的ARP更新机制有有时会带来来很大的麻麻烦通常情况下下，也不建建议采用服服务器双网网卡接入19核心三层交交换服务器服务器LTMClient服务器接入入交换核心三层交交换LTM服务器接入入交换Client远程节点模模式20远程节点模模式21核心三层交交换服务器服务器LTMClient0GW:541GW:54VS::80SelfIP:53GW:545454①②③④⑤

SIPSportDIPDport①②678780③538888180④180538888⑤⑥806787⑥三层交换54远程节点模模式通常用用于服务器器不在本地地的情况只要路由可可达，LTM就可以配置置远程服务务器作为节节点必须采用源源地址替换换方式，保保证服务器器返回数据据包回到LTM进行处理在同一个VS里面，可以以同时存在在有本地节节点和远程程节点，并并且可以通通过iRules控制在发往往不同节点点的时候是是否启用源源地址替换换加入独立SSL/WA/ASM设备22应用加速和和应用安全全外挂典型型架构设计计23VLANEXT网络同步-独立Vlan串口心跳NetworkHSRP54ActiveBackupVLANINTVLANEXTVLANINTSelfIPEXT:00SelfIPINT:00GW:54VS:00FIP:54LBServerIP:GW:50LBServerIP:GW:50FIP:54HSRP54SelfIPEXT:00SelfIPINT:00GW:54VS:00IP:GW:50IP:GW:50WA/ASMWA/ASM加入独独立SSL/WA/ASM设备设设备业业务逻逻辑流流程24VSExternalMember1Member20SSL/WA/ASMVSInternalMember1Member20Client

SIPSportDIPDport①678780②67870080③67870080④6787080⑤0806787⑥00806787⑦00806787⑧806787①②③④⑤⑥⑦⑧:800000:80VSExternal:ADDR：Pool：M1::80P1M2:0:80P1M3:00:80P10VSInternal:Addr:00Pool:M1::80M2:0:80防火墙负负载均衡衡组网结结构25防火墙负负载均衡衡处理-物理连接接结构26LTM服务器服务器防火墙接入交换换机LTMLTMLTM接入交换换机服务器服务器接入交换换机接入交换换机防火墙防火墙防火墙建议所有有的SSL/WA/ASM独立设备备自身都都以单臂臂模式接接入在独立设设备上无无须开启启源地址址替换，，保证在在服务器器上接收收到的请请求源地地址为真真实的客客户端源源地址F5所有的独独立应用用加速/安全设备备均支持持源地址址透传防火墙负负载均衡衡处理-业务逻辑流流程27LTMLTM防火墙防火墙Client服务器

SIPSportDIPDport①67870080②67870080③67870080④67870080⑤00806787⑥00806787⑦00806787⑧00806787EXT:54INT:EXT:00INT:00EXT:01INT:01EXT:INT:5400①②③④⑤⑥⑦⑧防火墙负载载均衡模式式下，数据据包的信息息在所有穿穿过整体系系统的过程程中都不会会被改变3层以上的信信息LTM依靠AutoLastHop记录的源MAC地址来确定定将服务器器返回数据据发送到那那个防火墙墙，而不是是依靠路由由防火墙可以以工作在路路由模式或或者NAT模式，两种模模式下都可以以正常工作链路负载均衡衡28链路负载均衡衡-LinkController部署物理结构构29LC客户端服务器防火墙接入交换机LC接入交换机客户端服务器核心交换机核心交换机防火墙互联网ISP1ISP2HA在每台LC上都划分3个Vlan:ISP1,ISP2和Internal两台LC之间建议采用用Trunk方式连接划分分在InternalVlan里作为数据流流量两台LC之间的同步/Failover采用另外的网网络连线（在在端口不足的的情况下可以以使用数据连连线）建议议防防火火墙墙采采用用路路由由模模式式，，并并且且放放置置在在LC的后后端端接入入交交换换机机通通常常建建议议采采用用低低端端的的比比较较可可靠靠的的二二层层交交换换机机，，每每增增加加一一个个ISP，增增加加一一台台接接入入交交换换机机如果果接接入入交交换换机机支支持持VLAN划分分，，也也可可以以通通过过VLANtag模式式将将LC的外外网网接接入入部部分分统统一一连连接接在在接接入入交交换换机机上上链路路负负载载均均衡衡-GTM+LTM防火火墙墙在在外外部部30LTM客户户端端服务务器器防火火墙墙接入入路由由器器LTM接入入路路由由器器客户户端端服务务器器核心心交交换换机机核心心交交换换机机防火火墙墙互联联网网ISP1ISP2GTMGTM在每每台台LTM上都都划划分分3个Vlan:防火火墙墙1,防火火墙墙2和Internal两台台LTM之间间没没有有数数据据流流量量发发生生两台LTM之间间的的同同步步/Failover采用用另另外外的的网网络络连连线线（（在在端端口口不不足足的的情情况况下下可可以以使使用用数数据据连连线线））建议议防防火火墙墙采采用用路路由由模模式式，，并并且且放放置置在在LTM的前端，，针对每每条链路路上的防防火墙也也可以采采用HA模式部署署接入交换换机通常常建议采采用低端端的比较较可靠的的二层交交换机，，每增加加一个ISP，增加一一台接入入交换机机如果接入入交换机机支持VLAN划分，也也可以通通过VLANtag模式将LTM的外网接接入部分分统一连连接在接接入交换换机上GTM部署在防防火墙的的DMZ区，配置置公网地地址接入交换换机接入交换换机链路负载载均衡-GTM+LTM防火墙墙在内内部31LTM客户端端服务器器防火墙墙接入交交换机机LTM接入交交换机机客户端端服务器器核心交交换机机核心交交换机机防火墙墙互联网网ISP1ISP2HAGTMGTM在每台台LTM上都划划分3个Vlan:ISP1,ISP2和Internal两台LTM之间建建议采采用Trunk方式连连接划划分在在InternalVlan里作为为数据据流量量两台LTM之间的的同步步/Failover采用另另外的的网络络连线线（在在端口口不足足的情情况下下可以以使用用数据据连线线）建议防防火墙墙采用用路由由模式式，并并且放放置在在LTM的后端端接入交交换机机通常常建议议采用用低端端的比比较可可靠的的二层层交换换机，，每增增加一一个ISP，增加加一台台接入入交换换机如果接接入交交换机机支持持VLAN划分，，也可可以通通过VLANtag模式将将LTM的外网网接入入部分分统一一连接接在接接入交交换机机上GTM直接连连接在在接入入交换换机上上或者者LTM的外网网VLAN，配置置公网网地址址灾备站站点静静态路路由注注入32灾备站站点静静态路路由注注入33核心交交换机机核心交交换机机核心交交换机机核心交交换机机LTMLTM服务器服务器服务器服务器客户端客户端OSPF环网VS:VS:静态路由注注入模式下下，两台LTM同时对外发发布相同的的VirtualServer地址的主机机路由，但但是采用不不同的路由由优先级在主设备上上的VSDown的时候将自自动降低路路由优先级级，并对OSPF路由广播必须在LTM上增加相应应的路由模模块349、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。12月月-2212月月-22Wednesday,December7,202210、雨中黄叶叶树，灯下下白头人。。。22:02:2822:02:2822:0212/7/202210:02:28PM11、以以我我独独沈沈久久，，愧愧君君相相见见频频。。。。12月月-2222:02:2822:02Dec-2207-Dec-2212、故人江江海别，，几度隔隔山川。。。22:02:2822:02:2822:02Wednesday,December7,202213、乍见见翻疑疑梦，，相悲悲各问问年。。。12月月-2212月月-2222:02:2822:02:28December7,202214、他乡生白白发，旧国国见青山。。。07十二二月202210:02:28下下午22:02:2812月-2215、比不了得就就不比，得不不到的就不要要。。。十二月2210:02下下午12月-2222:02December7,202216、行动出成果果，工作出财财富。。2022/12/722:02:2822:02:2807December202217、做前，能够够环视四周；；做时，你只只能或者最好好沿着以脚为为起点的射线线向前。。10:02:28下午午10:02下下午22:02:2812月-229、没有失失败，只只有暂时时停止成成功！。。12月-2212月-22Wednesday,December7,202210、很多多事情情努力力了未未必有有结果果，但但是不不努力力却什什么改改变也也没有有。。。22:02:2822:02:2822:0212/7/202210:02:28PM11、成功就是是日复一日日那一点点点小小努力力的积累。。。12月-2222:02:2822:02Dec-2207-Dec-2212、世间成事事，不求其其绝对圆满满，留一份份不足，可可得无限完完美。。22:02:2822:02:2822:02Wednesday,December7,202213、不不知知香香积积寺寺，，数数里里入入云云峰峰。。。。12月月-2212月月-2222:02:2822:02:28December7,202214、意志坚强强的人能把把世界放在在手中像泥泥块一样任任意揉捏。。07十二二月202210:02:28下下午22:02:2812月-2215、楚塞三三湘接，，荆门九九派通。。。。十二月2210:02下下午12月-2222:02December7,202216、少年十十五二十十时，步步行夺得得胡马骑骑。。2022/12/722:02:2822:02:2807December202217、空山新雨雨后，天气气晚来秋。。。10:02:28下下午10:02下午22:02:2812月-229