F5多链路负载均衡标准结构及阐述

-.z.多链路负载均衡标准构造及阐述F5NetworksInc.目录一、F5多链路负载均衡标准构造21.1标准构造拓扑图21.2技术阐述3二、域名解析方式102.1RootDNSServer直接与F5多链路负载均衡器配合102.1.1AME方式102.1.2NS委派方式112.2RootDNSServer通过第三方DNSServer与F5多链路负载均衡器配合122.2.1AME方式122.2.2NS方式13三、F5多链路负载均衡其它构造及阐述143.1冗余构造143.2与防火墙配合的构造15后置防火墙15前置防火墙16一、F5多链路负载均衡标准构造1.1标准构造拓扑图下列图是F5多出口链路负载均衡解决方案的标准构造〔单台设备〕。1.2技术阐述网络环境描述上图中F5多链路负载均衡设备通过ISP1和ISP2接入Internet。每个ISP都分配给该网络一个IP地址网段，假设ISP1分配的地址段为/24，ISP2分配的地址段为/24〔此处的/24表示网络IP地址段为：，子网掩码为24位，即〕。同样，Internet知道通过ISP1访问/24，通过ISP2访问/24。网络中的主机和效劳器都属于私有网段/24。F5多链路负载均衡设备解决方案就是在部交换机和连接ISP的路由器之间，跨接一台多链路负载均衡设备应用交换机，所有的地址翻译和Internet链路优化全部由多链路负载均衡设备来完成。Outbound技术实现DefaultGatewayPoolForE*ample：pooldefault_gateway_pool{lb_methoddynamic_ratiomember.1:0member2:0}DefaultGatewayPool中的Nodes为假设干个下一跳路由器〔Ne*tHopRouter〕的地址，用作Outbound负载均衡，可以通过三种方式生成。SetupUtility中配置多个GatewayIP，用空格分开；在ConfigurationUtility中LinkConfiguration下增加多个links；在Pool中定义一个DefaultGatewayPool。ForE*ample：default_gatewayusepooldefault_gateway_pool将DefaultGatewayPool中的Nodes配置为F5多链路负载均衡器的DefaultGateway，可以通过netstat–rn命令查看路由表。DestinationGatewayFlagsMTUIfdefaultUGS1500vlan2default200.UGS1500vlan3MonitorFore*ample：node.1monitoruseicmpF5多链路负载均衡器可以通过相应的配置，检查NHR或更上层Router的连通状态来决定链路的可用性，并且可以使用ICMP/TCP等多种测试方法LoadBalancingMethodFore*ample：lb_methoddynamic_ratio效劳器负载均衡的各种静态和动态算法都可以被使用。dynamic_ratio是DefaultGatewayPool的默认算法，除了能够按照Ratio来分配流量外，还能够集成SNMPAgent环境。PersistenceFore*ample：persistsimplesimple_timeout1800在Outbound负载均衡中，经常使用到SimplePersistence来保证特殊的应用，例如：MSN，QQ，流媒体等即时应用，能够保持在同一条链路上，一般计时器配置为900秒或1800秒超时。WildcartVirtualServerFore*ample：virtualinternal:*unit1{usepooldefault_gateway_pool}上面配置中的*代表.0:0这个特殊的VirtualServer，称为WildcartVirtualServer，用来表示访问外网任意地址和效劳端口，也可以配置为:80等等，这样Outbound流量会先命中:80这个VirtualServer，然后再命中:0这个VirtualServe。VirtualServicePropertyFore*ample：service80timeoutudp30service80timeouttcp600service8021338956312511099811433tcpenable默认状态下，F5链路负载均衡设备只开放TCP端口访问，需要手动翻开UDP端口以及AnyIP〔ICMP，Traceroute等〕的访问允许。由于TCP/UDPTimeout时间直接影响到F5链路负载均衡设备存的开销，因此在Outbound流量非常大的时候，尤其是攻击有时发生的情况下，可以适当调整TCP/UDPTimeout值。SNATFore*ample：snatmap{4to4unit1}snatmap{5to5unit1}snatmap{internaltoautounit1}SNAT〔SecureNAT〕通过将源地址翻译成可路由的地址，来访问外网。SNATIP能够等于VirtualServerIP，可以用来解决特殊应用〔例如：Email转发〕的地址反向解析问题；SNATAutomap将源地址翻译成F5多链路负载均衡的VlanSelfIP，由于VlanSelfIP可以是多个地址，因此能够实现SNAT一个地址池的目的。IrulesFore*ample：if(server_addr＝＝oneofISP1_Class){UsepoolISP1_Pool}elseif(server_addr＝＝oneofISP2_Class){UsepoolISP2_Pool}else{UsepoolDefault_Gateway_Pool}在Outbound负载均衡中，iRules经常被配置用来进展复杂的链路选择，这里的ISP1_Class和ISP2_Class可能包含许多地址或地址段，使用oneof命令就不需要在iRules中写许多Class涵盖的具体容。Inbound技术实现WildIPFore*ample：wideip{address*.*.*.*port0//0name".wideip.a."ttl30qos_coeff{rtt0hops0pletion_rate0packet_rate0vs_capacity0kbps0topology0lcs1000}pool{name"Pool"dynamic_ratioyespreferredrttalternategafallbackrraddress00:80address00:80}}由于F5多链路负载均衡器中涵盖了局部DNS功能，可以进展域名的A记录和*记录解析。WideIP就是一个主机名的A记录或者*记录。TTLFore*ample：ttl30为防止客户的LocalDNS〔就是客户的TCP/IP中配置的DNS地址〕Cache住DNS的解析容而发生ISP链路中断，而客户的访问请求仍然没有修正的情况，可以将F5多链路负载均衡器的DNS解析的TTL时间根据容错切换时间要求相应改小，就可以保证客户可以及时更新访问的目标地址了。LoadBalancingMethodFore*ample：preferredrttalternategafallbackrrF5多链路负载均衡器支持多种Inbound负载均衡算法：pletionRate，GlobalAvailability，hops，kilobytes/second，leastconnections，PacketRate，QualityofService，Random，Ratio，RoundRobin，RoundTripTime，StaticPersist，VSCapacity。在链路备份应用中，推荐GlobalAvailability算法；在链路负载均衡应用中，推荐RoundTripTime算法或者QualityofService算法。VirtualServerFore*ample：address00:80address00:80virtual:unit1{usepoolpool_122}virtual:ftpunit1{usepoolpool_122}F5多链路负载均衡器不但具备多链路负载均衡功能，而且具备效劳器负载均衡功能，所以，WideIP可以指向到一个或多个VirtualServer，进展效劳器负载均衡。ForwardingPoolFore*ample：poolforwarding_pool{forward}有的情况下，既不需要地址翻译，有不需要效劳器负载均衡，但是又需要pool的一些特性时〔例如：AutoLasthop〕，必须配置ForwardingPool。AutoLasthop/LasthoppoolF5的Lasthop功能，称为基于连接的路由，用在F5处理数据包回应时，会根据上一跳路由设备的MAC地址，确定返回路径，以便正确返回给最初发起访问数据包的网络设备。NATFore*ample：nat{0to0unit1}nat{0to0unit1}对于直接通过IP地址进展访问的Inbound流量，并且部主机需要Outbound访问，需要配置相应的NAT记录，来保证从多条链路都能访问部效劳器，与VirtualServer加上SNAT功能相当，但是NAT方式不工作在第四层交换模式下，无法限制访问端口。二、域名解析方式Issue：1、多链路负载均衡设备只能做A记录和*记录解析；2、有的RootDNSServer不支持二级子域的NS委派，例如：新网3、用户LocalDNSServer的Cache问题所以，产生出以下多种域名解析方式。2.1RootDNSServer直接与F5多链路负载均衡器配合AME方式.a.. IN AME.wideip.a.wideip.a.. INNSlc1.wideip.a.。 INNSlc2.wideip.a.。lc1.wideip.a.. IN A〔F5设备地址〕lc2.wideip.a.. IN A〔F5设备地址〕在Inbound负载均衡中，普遍使用的一种域名解析方法。NS委派方式.a.. IN NSlc1.a.。 INNSlc2.a.。lc1.a.. IN A〔F5设备地址〕lc2.a.. IN A〔F5设备地址〕这种方式因为F5多链路负载均衡器不支持全记录解析，在客户有M*记录时，一般不使用。2.2RootDNSServer通过第三方DNSServer与F5多链路负载均衡器配合AME方式RootDNS.a.AME.a.b.第三方DNSa.b.. INNSlc1.a.b. INNSlc2.a.b.lc1.a.b.. IN A〔F5设备地址〕lc2.a.b.. IN A〔F5设备地址〕有的RootDNSServer不支持二级子域的NS委派〔例如：新网〕，需要第三方DNSServer的配合，是方式的变体。NS方式RootDNSa.. IN NSdns1.a.。 IN NSdns2.a.。dns1.a.. IN A211.*.*.*〔第三方DNS地址〕dns2.a.. IN A61.*.*.*〔第三方DNS地址〕第三方DNS.a.. IN AME.wideip.a.wideip.a.. INNSlc1.wideip.a.。 INNSlc2.wideip.a.。lc1.wideip.a.. IN A〔F5设备地址〕lc2.wideip.a.. IN A