IDC出口链路改造实施计划方案

............药业电信IDC出口链路改造实施方案

目录Chapter1 网络拓扑结构 31.1. 网络拓扑图 3Chapter2 实施过程 4Chapter3 配置f5 53.1. 基本网络配置 53.1.1. VLAN和IP,端口配置 53.1.2. 路由配置 53.2. 部用户到Internet访问负载均衡配置 53.2.1. 网普通用户的访问 53.2.2. 特定用户对Internet的访问 53.2.3. 特定的应用使用指定的链路 53.3. Internet用户对网服务器（WEB）的访问负载均衡配置 73.3.1. 虚拟服务器（VirtualServer）的配置 73.3.2. 从PC发起的DNS解析请求 93.3.3. 在网DNS服务器上设置的更改 93.3.4. WideIP设置 93.3.5. 服务器SSL加速设置 9Chapter4 更改netscreen配置 104.1. 更改netscreen的外网ip 104.2. 更改netscreen为路由方式,重新设置路由 104.3. 取消netscreenNAT策略，修改过滤策略 104.4. 增加下列NAT记录和策略 10Chapter5 服务器的网络配置 105.1. 检查defaultgateway设置 10Chapter6 功能检查 106.1. LinkController的功能检查 106.2. 业务流程检查 10Chapter7 回退 117.1. 决定回退条件 117.2. 回退步骤 11Chapter8 实现inbound的负载均衡 118.1. 检查linkcontrol上GTM设置，按照以下列表实现功能 118.2. 测试f5GTM功能，确认实现inbound负载均衡功能 128.3. 申请外部dns记录修改 128.4. 重复以上步骤，实现其他DNS记录的修改 12Chapter9 测试环境中F5LC配置文件 12

网络拓扑结构网络拓扑图IDC出口链路改造方案的网络拓扑图见下图：

更改后网络拓扑连线方式：设备端口设备端口F51500-A1.1JUNIPERSSG520-Aethernet0/1F51500-A1.3CISCO3750-AG0/1F51500-A1.4F51500-B1.4F51500-B1.1JUNIPERSSG520-Bethernet0/1F51500-B1.3CISCO3750-BG0/1F51500-B1.4F51500-A1.4

实施过程项目实施步骤分为以下两大步，并在每一步中细分。第一步：实现linkcontrol1500上线，实现outbound负载均衡，但是由于不能改动外部DNS所以，只会做外部到部的负载均衡测试。在第一步中主要是实现以下工作实施计划的完善：完善本配置计划中的不完备信息、LinkController以外设备的配置方案、上线失败后的回退计划是否准备充分。F5LinkControllerTMOS升级到9.4.5，并且打上最新的hotfix。上线条件检查。对网络结构进行调整、接线、设备上线。功能测试。决定是否回退。第二步：在第一步稳定后的情况下，迁移DNS数据到linkcontrol上，实现inbound的负载均衡修改一个应用的DNS记录，在f5上配置此应用的DNS信息实现inbound的负载均衡测试，使用f5作为dns进行inbound的测试，根据测试结果决定是否回退申请修改一个外部DNS记录，实现inbound的负载均衡决定是否回退。重复以上步骤，实现其他DNS记录的修改

配置f5基本网络配置VLAN和IP,端口配置VlanHostNameIPAddressVLAN_FW_CTPortAssignment:1.1TAGGED50VLAN_FW_CNCPortAssignment:1.1TAGEED50InternalPortAssignment:1.3L54路由配置LinkController默认网关Default_gateway_pool：Member54Member54部用户到Internet访问负载均衡配置网普通用户的访问网普通用户的访问将按设定的链路选择办法（负载均衡算法）在两条链路上进行选择，并将访问包的源地址转换成相应的防火墙IP地址。WildCastVirtual服务器:internal/0配置:Virtual服务器IP1:ServicePort:0PoolName:Default_GW_PoolLoadBalancingPolicy:RoundRobin特定用户对Internet的访问如果有用户访问外网特定的服务器时，外网的服务器要对访问的源地址进行限定。因此在LinkController上要对上述用户的地址转换设定特定的规则：SNAT规则用途源地址要求转换成的地址特定的应用使用指定的链路特定应用使用指定链路应用、服务、端口指定的链路对应的GatewayPool

Internet用户对网服务器（WEB）的访问负载均衡配置虚拟服务器（VirtualServer）的配置VirtualServer配置示例:F5linkcontrol上配置Virtual服务器IP1:a.a.a.aServicePort:80PoolName:internal_fwLoadBalancingPolicy:RoundRobinPoolMemberAddress:FirewalluntrustipaddressPersistence:EnableSimplePersistenceDisableaddress/porttranslateF5bigip上配置Virtual服务器IP1:a.a.a.aServicePort:80PoolName:Online_webLoadBalancingPolicy:RoundRobinPoolMemberAddress:b.b.b.b/,c.c.c.cPersistence:EnableSimplePersistenceVirtualSever设置原始数据服务器功能网地址端口公网地址（CT）公网地址（CNC）域名VirtualSever设置VIP(IP:Port)PoolNamePoolMember(IP:Port)LoadBalanceMethodPersistence附注（Domain：功能）

从PC发起的DNS解析请求DNSVirtualServer配置示例:DNSVirtualSever设置VIP(IP:Port)PoolNamePoolMember(IP:Port)LoadBalanceMethodPersistence附注（Domain：功能）a.a.a.a

:53Dns_srv_poolc.c.c.c:53--Nb.b.b.b:53Dns_srv_poolc.c.c.c:53--N在网DNS服务器上设置的更改以为例NS.lcNSns1.lcNSns2.lcNs1.lcACTshareipNs2.lcACNCshareipWideIP设置WideIP的配置:WideIP:.VirtualServerPool:c.c.c.c:80,d.d.d.d:80LoadBalancingMethod:QOS->RoundRobinWideIP设置WIPPoolNamePoolMember(IP:Port)LoadBalanceMethodDomainPersistence服务器SSL加速设置

更改netscreen配置更改netscreen的外网ip配置防火墙的端口为trunk模式setinterface"ethernet0/1.20"tag20setinterface"ethernet0/1.30"tag30更改netscreen为路由方式,重新设置路由setroutesource/24interfaceethernet1/1gatewaysetroutesource/24interfaceethernet1/2gateway29取消netscreenNAT策略，修改过滤策略NATCNCNATCNC1NATCNC增加下列NAT记录和策略 NAT CNC（上一步释放的地址） NAT CNC（上一步释放的地址）1 NAT CNC（上一步释放的地址）50 NAT CNC48（新增地址）50 NAT CT1（新增地址）其中50和50的策略为放开DNS服务器的网络配置检查defaultgateway设置修改默认网关为F5的internalvlan的浮动IP54功能检查LinkController的功能检查业务流程检查业务流程检查业务名称检查结果所需作的处理处理结果回退决定回退条件当上线环境在一定时间不能实现用户提出的要求，或者在一定时间不能恢复用户的正常应用，将执行回退。根据上面所做的netscreen配置的备份和线路标识，根据以下步骤进行回退回退时间设定为上线测试后的2个小时。回退步骤恢复两台netscreen的配置导入改造前备份的配置文件根据原来的接线方式，重新恢复接线列表如下设备名称端口设备名称设备端口测试应用是否正常运行按照下列测试列表进行测试业务流程检查业务名称检查结果所需作的处理/责任人处理结果实现inbound的负载均衡检查linkcontrol上GTM设置，按照以下列表实现功能WideIP设置WIPPoolNamePoolMember(IP:Port)LoadBalanceMethodDomain