《[精选]F5负载均衡设备组网架构概述.pptx》由会员分享,可在线阅读,更多相关《[精选]F5负载均衡设备组网架构概述.pptx(36页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、F5 LTM组网架构组网架构F5 售前工程师单臂接入模式单臂接入模式双臂接入模式双臂接入模式远程节点模式远程节点模式参加独立参加独立SSL/WA/ASMSSL/WA/ASM设备设备防火墙负载均衡防火墙负载均衡多链路接入多链路接入灾备站点静态路由注入灾备站点静态路由注入AgendaAgendaLTM单臂接入模式臂接入模式3单臂接入模式下的网臂接入模式下的网络物理物理结构构4核心三层交换效劳器效劳器LTMLTM外部网络Vlan 1串口心跳线LTM单臂源地址替臂源地址替换接入典型架构接入典型架构设计5Core SwitchCore SwitchServerServer网络同步-独立Vlan串口心跳N
2、etworkIP:192.168.0.1GW:192.168.0.254IP:192.168.0.2GW:192.168.0.254SelfIP:192.168.0.200GW:192.168.0.254VS:192.168.0.100SNAT AutomapSelfIP:192.168.0.201GW:192.168.0.254VS:192.168.0.100SNAT AutomapHSRP 192.168.0.254TrunkTrunkTrunkActiveBackup单臂接入臂接入-源地址替源地址替换模式数据模式数据访问流程流程6核心三层交换效劳器效劳器LTMClient192.168.
3、0.1192.168.1.10GW:192.168.1.254192.168.1.11GW:192.168.1.254VS:192.168.1.1:80SelfIP:192.168.1.253GW:192.168.1.254192.168.1.254192.168.0.254SIPSportDIPDport192.168.0.16787192.168.1.180192.168.1.2538888192.168.1.1180192.168.1.1180192.168.1.2538888192.168.1.180192.168.0.16787源地址替源地址替换后的后的处理理7核心三层交换效劳器效劳
4、器LTMClient192.168.0.1192.168.1.10GW:192.168.1.254192.168.1.11GW:192.168.1.254VS:192.168.1.1:80SelfIP:192.168.1.253GW:192.168.1.254192.168.1.254192.168.0.254 Profilewhen _REQUEST :header insert Client_IP=IP:client_addriRules只有 协议的时候,可以通过将源地址插入到客户端请求的 Header里,然后在效劳器上通过读取这个Header,获得客户端的真实源IP地址单臂接入臂接入-n
5、path模式数据模式数据访问流程流程8核心三层交换效劳器效劳器LTMClient192.168.0.1192.168.1.10Lo:192.168.1.1GW:192.168.1.254192.168.1.11Lo:192.168.1.1GW:192.168.1.254VS:192.168.1.1:80SelfIP:192.168.1.253GW:192.168.1.254192.168.1.254192.168.0.254SIPSportDIPDport 192.168.0.1 6787 192.168.1.180192.168.0.1 6787 192.168.1.180 192.168.
6、1.180192.168.0.1 6787单臂接入臂接入-效效劳器非直器非直连模式无源地址替模式无源地址替换9核心三层交换效劳器效劳器LTMClient192.168.0.1192.168.2.10GW:192.168.2.254192.168.2.11GW:192.168.2.254VS:192.168.1.1:80SelfIP:192.168.1.253GW:192.168.1.254192.168.2.254192.168.0.254SIPSportDIPDport192.168.0.16787192.168.1.180192.168.0.16787192.168.2.1180192.1
7、68.2.1180192.168.0.16787192.168.1.180192.168.0.16787无源地址替换的单臂接入模式使用比较少,通常用于对现网不能改造的情况这种模式下需要在核心三层交换上启用源地址路由,将效劳器的所有返回数据包转向LTM,这样才能保证进出的连接完整性建议在这种结构下采用源地址替换以减小网络复杂程度192.168.1.254192.168.1.254同网段同网段访问处理理-必必须通通过SNAT实现10核心三层交换客户端效劳器LTM192.168.1.10GW:192.168.1.254192.168.1.11GW:192.168.1.254VS:192.168.1.
8、1:80IP:192.168.1.253GW:192.168.1.254192.168.1.254SIPSportDIPDport192.168.0.106787192.168.1.180192.168.1.2538888192.168.1.1180192.168.1.1180192.168.1.2538888192.168.1.180192.168.0.16787单臂接入臂接入-效效劳器更改网关数据器更改网关数据访问流程流程11核心三层交换效劳器效劳器LTMClient192.168.0.1192.168.1.10GW:192.168.1.253192.168.1.11GW:192.168.
9、1.253VS:192.168.1.1:80SelfIP:192.168.1.253GW:192.168.1.254192.168.1.254192.168.0.254SIPSportDIPDport192.168.0.16787192.168.1.180192.168.0.16787192.168.1.1180192.168.1.1180192.168.0.16787192.168.1.180192.168.0.16787效效劳器更改网关后的直接器更改网关后的直接访问效效劳器器问题12核心三层交换效劳器效劳器LTMClient192.168.0.1192.168.1.10GW:192.168
10、.1.253192.168.1.11GW:192.168.1.253VS:192.168.1.1:80IP:192.168.1.253GW:192.168.1.254192.168.1.254192.168.0.254SYNSYNSYN-ACKSIPSportDIPDport192.168.0.16787192.168.1.1180192.168.1.1180192.168.0.16787FastL4 Profile双臂接入模式双臂接入模式13LTM双臂接入模式典型架构双臂接入模式典型架构设计14VLAN EXTServerServer网络同步-独立Vlan串口心跳NetworkIP:192.
11、168.0.3GW:192.168.0.254IP:192.168.0.4GW:192.168.0.254SelfIP EXT:192.168.1.200SelfIP INT:192.168.0.200GW:192.168.1.254VS:192.168.1.100HSRP 192.168.0.254ActiveBackupVLAN INTVLAN EXTVLAN INTSelfIP EXT:192.168.1.200SelfIP INT:192.168.0.200GW:192.168.1.254VS:192.168.1.100 FIP:192.168.0.254LB ServerIP:192
12、.168.0.1GW:192.168.0.250LB ServerIP:192.168.0.2GW:192.168.0.250 FIP:192.168.0.254HSRP 192.168.1.254双臂接入双臂接入-效效劳器直器直连15核心三层交换效劳器效劳器LTMClient192.168.0.1192.168.2.10GW:192.168.2.254192.168.2.11GW:192.168.2.254VS:192.168.1.1EXTIP:192.168.1.253/VLAN EXTINTIP:192.168.2.254/VLAN INTGW:192.168.1.254192.168.
13、1.254192.168.0.254SIPSportDIPDport192.168.0.16787192.168.1.180192.168.0.16787192.168.2.1180192.168.2.1180192.168.0.16787192.168.1.180192.168.0.16787双臂接入双臂接入-串串联部署部署-扩展端口展端口16核心三层交换效劳器效劳器LTMClient192.168.0.1192.168.2.10GW:192.168.2.254192.168.2.11GW:192.168.2.254VS:192.168.1.1EXTIP:192.168.1.253/VLAN
14、 EXTINTIP:192.168.2.254/VLAN INTGW:192.168.1.254192.168.1.254192.168.0.254效劳器接入交换SIPSportDIPDport192.168.0.16787192.168.1.180192.168.0.16787192.168.2.1180192.168.2.1180192.168.0.16787192.168.1.180192.168.0.16787双臂接入双臂接入-旁挂模式旁挂模式17核心三层交换效劳器效劳器LTMClient192.168.0.1192.168.2.10GW:192.168.2.254192.168.2.
15、11GW:192.168.2.254VS:192.168.1.1:80EXTIP:192.168.1.253/VLAN EXTINTIP:192.168.2.254/VLAN INTGW:192.168.1.254192.168.1.254192.168.0.254SIPSportDIPDport192.168.0.16787192.168.1.180192.168.0.16787192.168.2.1180192.168.2.1180192.168.0.16787192.168.1.180192.168.0.16787External_vlanInternal_vlan旁挂模式下LTM可以用
16、不同的端口接入核心交换,也可以采用端口捆绑模式接入核心交换,然后在端口捆绑里通过VLAN tag方式来划分多个VLAN旁挂模式下的效旁挂模式下的效劳器直接器直接访问18核心三层交换效劳器效劳器LTMClient192.168.0.1192.168.2.10GW:192.168.2.254192.168.2.11GW:192.168.2.254VS:192.168.1.1EXTIP:192.168.1.253/VLAN EXTINTIP:192.168.2.254/VLAN INTGW:192.168.1.254192.168.1.254192.168.0.254SIPSportDIPDport
17、192.168.0.16787192.168.2.1180192.168.0.16787192.168.2.1180192.168.2.1180192.168.0.16787FastL4 Profile双臂接入双臂接入-防止防止Spanning TreeF5 LTM有非常快速的切换机制200ms,切换完成后会发送ARP播送Spanning Tree的重算机制在一些情况下会阻止对端设备收到ARP播送不同设备的ARP更新机制有时会带来很大的麻烦通常情况下,也不建议采用效劳器双网卡接入19核心三层交换效劳器效劳器LTMClient效劳器接入交换核心三层交换LTM效劳器接入交换Client远程程节点模
18、式点模式20远程程节点模式点模式21核心三层交换效劳器效劳器LTMClient192.168.0.1192.168.20.10GW:192.168.20.254192.168.20.11GW:192.168.20.254VS:192.168.1.1:80SelfIP:192.168.1.253GW:192.168.1.254192.168.1.254192.168.0.254SIPSportDIPDport192.168.0.16787192.168.1.180192.168.1.2538888192.168.20.1180192.168.20.1180192.168.1.2538888192
19、.168.1.180192.168.0.16787三层交换192.168.20.254远程节点模式通常用于效劳器不在本地的情况只要路由可达,LTM就可以配置远程效劳器作为节点必须采用源地址替换方式,保证效劳器返回数据包回到LTM进行处理在同一个VS里面,可以同时存在有本地节点和远程节点,并且可以通过iRules控制在发往不同节点的时候是否启用源地址替换参加独立参加独立SSL/WA/ASM设备22应用加速和用加速和应用平安外挂典型架构用平安外挂典型架构设计23VLAN EXT网络同步-独立Vlan串口心跳NetworkHSRP 192.168.0.254ActiveBackupVLAN INTV
20、LAN EXTVLAN INTSelfIP EXT:192.168.1.200SelfIP INT:192.168.0.200GW:192.168.1.254VS:192.168.1.100 FIP:192.168.0.254LB ServerIP:192.168.0.1GW:192.168.0.250LB ServerIP:192.168.0.2GW:192.168.0.250 FIP:192.168.0.254HSRP 192.168.1.254SelfIP EXT:192.168.1.200SelfIP INT:192.168.0.200GW:192.168.1.254VS:192.16
21、8.1.100IP:192.168.0.3GW:192.168.0.250IP:192.168.0.4GW:192.168.0.250WA/ASMWA/ASM参加独立参加独立SSL/WA/ASM设备设备业务逻辑流程流程24VS ExternalMember 1192.168.2.9Member 2192.168.2.10SSL/WA/ASMVS InternalMember 1192.168.2.9Member 2192.168.2.10ClientSIPSportDIPDport192.168.0.16787192.168.1.180192.168.0.16787192.168.2.2008
22、0192.168.0.16787192.168.2.10080192.168.0.16787192.168.2.1080192.168.2.1080192.168.0.16787192.168.2.10080192.168.0.16787192.168.2.20080192.168.0.16787192.168.1.180192.168.0.16787192.168.1.1:80192.168.0.1192.168.2.100192.168.2.200:80VS External:ADDR:192.168.1.1Pool:M1:192.168.2.9:80 P1 M2:192.168.2.10
23、:80 P1 M3:192.168.2.200:80 P10VS Internal:Addr:192.168.2.200Pool:M1:192.168.2.9:80 M2:192.168.2.10:80防火防火墙负载均衡均衡组网网结构构25防火防火墙负载均衡均衡处理理-物理物理连接接结构构26LTM效劳器效劳器防火墙接入交换机LTMLTMLTM接入交换机效劳器效劳器接入交换机接入交换机防火墙防火墙防火墙建议所有的SSL/WA/ASM独立设备自身都以单臂模式接入在独立设备上无须开启源地址替换,保证在效劳器上接收到的请求源地址为真实的客户端源地址F5所有的独立应用加速/平安设备均支持源地址透传防火
24、防火墙负载均衡均衡处理理-业务逻辑流程流程27LTMLTM防火墙防火墙Client效劳器SIPSportDIPDport192.168.0.16787192.168.4.10080192.168.0.16787192.168.4.10080192.168.0.16787192.168.4.10080192.168.0.16787192.168.4.10080192.168.4.10080192.168.0.16787192.168.4.10080192.168.0.16787192.168.4.10080192.168.0.16787192.168.4.10080192.168.0.16787
25、192.168.0.1EXT:192.168.0.254INT:192.168.2.1EXT:192.168.2.100INT:192.168.3.100EXT:192.168.2.101INT:192.168.3.101EXT:192.168.3.1INT:192.168.4.254192.168.4.100防火墙负载均衡模式下,数据包的信息在所有穿过整体系统的过程中都不会被改变3层以上的信息LTM依靠Auto LastHop记录的源MAC地址来确定将效劳器返回数据发送到那个防火墙,而不是依靠路由防火墙可以工作在路由模式或者NAT模式,两种模式下都可以正常工作链路路负载均衡均衡28链路路负载
26、均衡均衡-Link Controller部署物理部署物理结构构29LC客户端效劳器防火墙接入交换机LC接入交换机客户端效劳器核心交换机核心交换机防火墙互联网ISP1ISP2HA在每台LC上都划分3个Vlan:ISP1,ISP2和Internal两台LC之间建议采用Trunk方式连接划分在Internal Vlan里作为数据流量两台LC之间的同步/Failover采用另外的网络连线在端口缺乏的情况下可以使用数据连线建议防火墙采用路由模式,并且放置在LC的后端接入交换机通常建议采用低端的比较可靠的二层交换机,每增加一个ISP,增加一台接入交换机如果接入交换机支持VLAN划分,也可以通过VLAN t
27、ag模式将LC的外网接入局部统一连接在接入交换机上链路路负载均衡均衡-GTM+LTM防火防火墙在外部在外部30LTM客户端效劳器防火墙接入路由器LTM接入路由器客户端效劳器核心交换机核心交换机防火墙互联网ISP1ISP2GTMGTM在每台LTM上都划分3个Vlan:防火墙1,防火墙2和Internal两台LTM之间没有数据流量发生两台LTM之间的同步/Failover采用另外的网络连线在端口缺乏的情况下可以使用数据连线建议防火墙采用路由模式,并且放置在LTM的前端,针对每条链路上的防火墙也可以采用HA模式部署接入交换机通常建议采用低端的比较可靠的二层交换机,每增加一个ISP,增加一台接入交换机
28、如果接入交换机支持VLAN划分,也可以通过VLAN tag模式将LTM的外网接入局部统一连接在接入交换机上GTM部署在防火墙的DMZ区,配置公网地址接入交换机接入交换机链路路负载均衡均衡-GTM+LTM防火防火墙在内部在内部31LTM客户端效劳器防火墙接入交换机LTM接入交换机客户端效劳器核心交换机核心交换机防火墙互联网ISP1ISP2HAGTMGTM在每台LTM上都划分3个Vlan:ISP1,ISP2和Internal两台LTM之间建议采用Trunk方式连接划分在Internal Vlan里作为数据流量两台LTM之间的同步/Failover采用另外的网络连线在端口缺乏的情况下可以使用数据连线
29、建议防火墙采用路由模式,并且放置在LTM的后端接入交换机通常建议采用低端的比较可靠的二层交换机,每增加一个ISP,增加一台接入交换机如果接入交换机支持VLAN划分,也可以通过VLAN tag模式将LTM的外网接入局部统一连接在接入交换机上GTM直接连接在接入交换机上或者LTM的外网VLAN,配置公网地址灾备站点静态路由注入灾备站点静态路由注入32灾备站点静态路由注入灾备站点静态路由注入33核心交换机核心交换机核心交换机核心交换机LTMLTM效劳器效劳器效劳器效劳器客户端客户端OSPF环网VS:192.168.0.1VS:192.168.0.1静态路由注入模式下,两台LTM同时对外发布相同的Vi
30、rtual Server地址的主机路由,但是采用不同的路由优先级在主设备上的VS Down的时候将自动降低路由优先级,并对OSPF路由播送必须在LTM上增加相应的路由模块349、静夜四无邻,荒居旧业贫。11月-2311月-23Sunday,November 26,202310、雨中黄叶树,灯下白头人。03:38:3803:38:3803:3811/26/2023 3:38:38 AM11、以我独沈久,愧君相见频。11月-2303:38:3803:38Nov-2326-Nov-2312、故人江海别,几度隔山川。03:38:3803:38:3803:38Sunday,November 26,202
31、313、乍见翻疑梦,相悲各问年。11月-2311月-2303:38:3803:38:38November 26,202314、他乡生白发,旧国见青山。26 十一月 20233:38:38 上午03:38:3811月-2315、比不了得就不比,得不到的就不要。十一月 233:38 上午11月-2303:38November 26,202316、行动出成果,工作出财富。2023/11/26 3:38:3803:38:3826 November 202317、做前,能够环视四周;做时,你只能或者最好沿着以脚为起点的射线向前。3:38:38 上午3:38 上午03:38:3811月-239、没有失败,
32、只有暂时停止成功!。11月-2311月-23Sunday,November 26,202310、很多事情努力了未必有结果,但是不努力却什么改变也没有。03:38:3803:38:3803:3811/26/2023 3:38:38 AM11、成功就是日复一日那一点点小小努力的积累。11月-2303:38:3803:38Nov-2326-Nov-2312、世间成事,不求其绝对圆满,留一份缺乏,可得无限完美。03:38:3803:38:3803:38Sunday,November 26,202313、不知香积寺,数里入云峰。11月-2311月-2303:38:3803:38:38November 2
33、6,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。26 十一月 20233:38:38 上午03:38:3811月-2315、楚塞三湘接,荆门九派通。十一月 233:38 上午11月-2303:38November 26,202316、少年十五二十时,步行夺得胡马骑。2023/11/26 3:38:3803:38:3826 November 202317、空山新雨后,天气晚来秋。3:38:38 上午3:38 上午03:38:3811月-239、杨柳散和风,青山澹吾虑。11月-2311月-23Sunday,November 26,202310、阅读一切好书如同和过去最杰出的人谈话
34、。03:38:3903:38:3903:3811/26/2023 3:38:39 AM11、越是没有本领的就越加自命非凡。11月-2303:38:3903:38Nov-2326-Nov-2312、越是无能的人,越喜欢挑剔别人的错儿。03:38:3903:38:3903:38Sunday,November 26,202313、知人者智,自知者明。胜人者有力,自胜者强。11月-2311月-2303:38:3903:38:39November 26,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。26 十一月 20233:38:39 上午03:38:3911月-2315、最具挑战性的挑
35、战莫过于提升自我。十一月 233:38 上午11月-2303:38November 26,202316、业余生活要有意义,不要越轨。2023/11/26 3:38:3903:38:3926 November 202317、一个人即使已登上顶峰,也仍要自强不息。3:38:39 上午3:38 上午03:38:3911月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉