IDC出口链路改造实施方案

药业电信IDC出链路改造实施方案目录TOC\o"1-5"\h\zChapter1网络拓扑结构31.网络拓扑图3\o"CurrentDocument"Chapter2实施过程4\o"CurrentDocument"Chapter3酉己置f55基本网络配置51.1.VLAN和IP,端配置5路由配置52.内音S用户至UInternet访问负载均衡酉己置52.1.内网普通用户的访问5特定用户对Internet的访问52.3.特定的应用使用指定的链路5用户对内网服务器〔WEB〕的访问负载均衡配置7虚拟月艮务器〔VirtualServer〕的酉己置73.3.2.从PC发起的DNS解析请求9在内网DNS服务器上设置的更改93.3.4.WideIP设置93.3.5.服务器耳2速设置9Chapter4更改netscreen酉己置101.更改netscreen的外网ip10更改netscreen为路由方式,重新设置路由103.取消netscreenNAT策略,修改过滤策略104.增加以下NAT记录和策略二10Chapter5服务器的网络配置101.检查defaultgateway设置10\o"CurrentDocument"Chapter6功能检查101.LinkController的功能检查102.业务流程检查10\o"CurrentDocument"Chapter7回退111.决定回退条件11回退步骤11Chapter8实现inbound的负载均衡111.检查linkcontrol上GTM设置，按照以以下表实现功能11测试f5GTM功能，确认实现inbound负载均衡功能128.3.申请外部dns记录修改128.4.重复以上步骤，实现其他DNS记录的修改12Chapter9测试环境中F5LC配置文件12pter1网络拓扑结构网络拓扑图IDC出链路改造方案的网络拓扑图见下图：更改后网络拓扑连线方式：设备端设备端F515-A1.1JUNIPERSSG520-Aethernet0/1F515-A1.3CISCO3750-AG0/1F515-A1.4F515-B1.4F515-B1.1JUNIPERSSG520-Bethernet0/1F515-B1.3CISCO3750-BG0/1F515-B1.4F515-A1.4Chapter2实施过程项目实施步骤分为以下两大步,并在每一步中细分.第一步：实现linkcontrol15上线，实现outbound负载均衡，但是由于不能改动外部DNS所以，只会做外部到内部的负载均衡测试.在第一步中主要是实现以下工作实施计划的完善：完善本配置计划中的不完备信息、LinkController以外设备的配置方案、上线失败后的回退计划是否准备充分.F5LinkControllerTMOS升级到，并且打上最新的hotfix.上线条件检查.对网络结构进行调整、接线、设备上线.功能测试.决定是否回退.第二步：在第一步稳定后的情况下，迁移DNS数据到linkcontrol上,实现inbound的负载均衡修改一个应用的DNS记录，在f5上配置此应用的DNS信息实现inbound的负载均衡测试，使用f5作为dns进行inbound的测试，根据测试结果决定是否回退申请修改一个外部DNS记录，实现inbound的负载均衡决定是否回退.重复以上步骤，实现其他DNS记录的修改Chapter3配置f5基本网络配置VLAN和IP,端配置VlanHostNameIPAddressVLAN_FW_CTPortAssignment:1.1TAGGED0VLAN_FW_CNCPortAssignment:1.1TAGEEDInternalPortAssignment:1.3Lc13.1.2.路由配置•LinkController默认网关•Default_gateway_pool：MemberMember内部用户到Internet访问负载均衡配置内网普通用户的访问内网普通用户的访问将按设定的链路选择办法〔负载均衡算法〕在两条链路上进行选择,并将访问包的源地址转换成相应的防火墙IP地址.WildCastVirtual服务器:internal/0配置：Virtual服务器IP1:ServicePort:0PoolName:Default_GW_PoolLoadBalancingPolicy:RoundRobin特定用户对Internet的访问如果有用户访问外网特定的服务器时,外网的服务器要对访问的源地址进行限定.因此在LinkController上要对上述用户的地址转换设定特定的规则:SNAT规则用途源地址要求转换成的地址3.2.3.特定的应用使用指定的链路特定应用使用指定链路应用、服务、端指定的链路对应的GatewayPool3.3.Internet用户对内网服务器〔WEB〕的访问负载均衡配置虚拟服务器〔VirtualServer〕的配置VirtualServer配置示例：F5linkcontrol上配置Virtual服务器IP1:ServicePort:80PoolName:internal_fwLoadBalancingPolicy:RoundRobinPoolMemberAddress:FirewalluntrustipaddressPersistence:EnableSimplePersistenceDisableaddress/porttranslateF5bigip上配置Virtual服务器IP1:ServicePort:80PoolName:Online_webLoadBalancingPolicy:RoundRobinPoolMemberAddress:Persistence:EnableSimplePersistenceVirtualSever设置原始数据服务器功能内网地址端公网地址〔CT〕公网地址〔CNC〕域名VirtualSever设置VIP<IP:Port>PoolNamePoolMember<IP:Port>LoadBalanceMethodPersistence附注〔Domain:功能）1t3.3.2.从PC发起的DNS解析请求DNSVirtualServer配置示例：DNSVirtualSever设置VIP<IP:Port>PoolNamePoolMember<IP:Port>LoadBalanceMethodPersistence附注〔Domain:功能）:53Dns_srv_pool:53--Ns1.f5:53Dns_srv_pool:53--Ns2.f53.3.3.在内网DNS服务器上设置的更改以f5为例wwwNSlcNSns1.lcNSns2.lcNs1.lcACTshareipNs2.lcACNCshareipWideIP设置WideIP的配置：WideIP:f5VirtualServerPool：:80,:80LoadBalancingMethod:QOS->RoundRobinWideIP设置WIPPoolNamePoolMember<IP:Port>LoadBalanceMethodDomainPersistence3.3.5.服务器SSL加速设置Chapter4更改netscreen配置3.3.5.服务器SSL加速设置更改netscreen的外网ip配置防火墙的端为trunk模式setinterface""ethernet0/1.20""tag20setinterface""ethernet0/1.30"tag30更改netscreen为路由方式,重新设置路由setroutesource/24interfaceethernet1/1gatewaysetroutesource/24interfaceethernet1/2gateway取消netscreenNAT策略,修改过滤策略NATCNCNATCNC1NATCNC增加以下NAT记录和策略NATCNC〔上一步释放的地址〕NATCNC〔上一步释放的地址〕NATCNC〔上一步释放的地址〕NAT〔新增地址〕NAT〔新增地址〕其中和的策略为放开DNSChapter5服务器的网络配置检查defaultgateway设置Chapter6功能检查LinkController的功能检查业务流程检查业务流程检查业务名称检查结果所需作的处理处理结果Chapter7回退业务流程检查业务名称检查结果所需作的处理处理结果决定回退条件当上线环境在一定时间内不能实现用户提出的要求，或者在一定时间内不能恢复用户的正常应用，将执行回退.根据上面所做的netscreen配置的备份和线路标识，根据以下步骤进行回退回退时间设定为上线测试后的2个小时.回退步骤恢复两台netscreen的配置导入改造前备份的配置文件根据原来的接线方式，重新恢复按照以下测试列表进行测试业务流程检查业务名称检查结果所需作的处理/责任人处理结果Chapter8实现inbouhd的负载均衡8.1.检查linkcontrol上GTM设置，按照以以下表实现功能WideIP设置WIPPoolNamePoolMember<IP:Port>LoadBalanceMethodDomainPersistence8.2.测