F5负载均衡设备组网架构概述
《F5负载均衡设备组网架构概述》由会员分享,可在线阅读,更多相关《F5负载均衡设备组网架构概述(36页珍藏版)》请在装配图网上搜索。
1、F5 LTM组网架构组网架构李兴华F5 售前工程师 F5 Networks 单臂接入模式单臂接入模式 双臂接入模式双臂接入模式 远程节点模式远程节点模式 加入独立加入独立SSL/WA/ASMSSL/WA/ASM设备设备 防火墙负载均衡防火墙负载均衡 多链路接入多链路接入 灾备站点静态路由注入灾备站点静态路由注入AgendaAgenda F5 NetworksLTM单臂接入模式单臂接入模式3 F5 Networks单臂接入模式下的网络物理结构单臂接入模式下的网络物理结构4核心三层交换服务器服务器LTMLTM外部网络Vlan 1串口心跳线 F5 NetworksLTM单臂源地址替换接入典型架构设计
2、单臂源地址替换接入典型架构设计5Core SwitchCore SwitchServerServer网络同步-独立Vlan串口心跳NetworkIP:192.168.0.1GW:192.168.0.254IP:192.168.0.2GW:192.168.0.254SelfIP:192.168.0.200GW:192.168.0.254VS:192.168.0.100SNAT AutomapSelfIP:192.168.0.201GW:192.168.0.254VS:192.168.0.100SNAT AutomapHSRP 192.168.0.254TrunkTrunkTrunkActiveB
3、ackup F5 Networks单臂接入单臂接入-源地址替换模式数据访问流程源地址替换模式数据访问流程6核心三层交换服务器服务器LTMClient192.168.0.1192.168.1.10GW:192.168.1.254192.168.1.11GW:192.168.1.254VS:192.168.1.1:80SelfIP:192.168.1.253GW:192.168.1.254192.168.1.254192.168.0.254SIPSportDIPDport192.168.0.16787192.168.1.180192.168.1.2538888192.168.1.1180192.1
4、68.1.1180192.168.1.2538888192.168.1.180192.168.0.16787 F5 Networks源地址替换后的处理源地址替换后的处理7核心三层交换服务器服务器LTMClient192.168.0.1192.168.1.10GW:192.168.1.254192.168.1.11GW:192.168.1.254VS:192.168.1.1:80SelfIP:192.168.1.253GW:192.168.1.254192.168.1.254192.168.0.254HTTP Profilewhen HTTP_REQUEST HTTP:header insert
5、 Client_IP=IP:client_addriRules只有HTTP协议的时候,可以通过将源地址插入到客户端请求的HTTP Header里,然后在服务器上通过读取这个Header,获得客户端的真实源IP地址 F5 Networks单臂接入单臂接入-npath模式数据访问流程模式数据访问流程8核心三层交换服务器服务器LTMClient192.168.0.1192.168.1.10Lo:192.168.1.1GW:192.168.1.254192.168.1.11Lo:192.168.1.1GW:192.168.1.254VS:192.168.1.1:80SelfIP:192.168.1.2
6、53GW:192.168.1.254192.168.1.254192.168.0.254SIPSportDIPDport 192.168.0.1 6787 192.168.1.180192.168.0.1 6787 192.168.1.180 192.168.1.180192.168.0.1 6787 F5 Networks单臂接入单臂接入-服务器非直连模式(无源地址替换)服务器非直连模式(无源地址替换)9核心三层交换服务器服务器LTMClient192.168.0.1192.168.2.10GW:192.168.2.254192.168.2.11GW:192.168.2.254VS:192.
7、168.1.1:80SelfIP:192.168.1.253GW:192.168.1.254192.168.2.254192.168.0.254SIPSportDIPDport192.168.0.16787192.168.1.180192.168.0.16787192.168.2.1180192.168.2.1180192.168.0.16787192.168.1.180192.168.0.16787无源地址替换的单臂接入模式使用比较少,通常用于对现网不能改造的情况这种模式下需要在核心三层交换上启用源地址路由,将服务器的所有返回数据包转向LTM,这样才能保证进出的连接完整性建议在这种结构下采用
8、源地址替换以减小网络复杂程度192.168.1.254 F5 Networks同网段访问处理同网段访问处理-必须通过必须通过SNAT实现实现10核心三层交换客户端服务器LTM192.168.1.10GW:192.168.1.254192.168.1.11GW:192.168.1.254VS:192.168.1.1:80IP:192.168.1.253GW:192.168.1.254192.168.1.254SIPSportDIPDport192.168.0.106787192.168.1.180192.168.1.2538888192.168.1.1180192.168.1.1180192.1
9、68.1.2538888192.168.1.180192.168.0.16787 F5 Networks单臂接入单臂接入-服务器更改网关数据访问流程服务器更改网关数据访问流程11核心三层交换服务器服务器LTMClient192.168.0.1192.168.1.10GW:192.168.1.253192.168.1.11GW:192.168.1.253VS:192.168.1.1:80SelfIP:192.168.1.253GW:192.168.1.254192.168.1.254192.168.0.254SIPSportDIPDport192.168.0.16787192.168.1.180
10、192.168.0.16787192.168.1.1180192.168.1.1180192.168.0.16787192.168.1.180192.168.0.16787 F5 Networks服务器更改网关后的直接访问服务器问题服务器更改网关后的直接访问服务器问题12核心三层交换服务器服务器LTMClient192.168.0.1192.168.1.10GW:192.168.1.253192.168.1.11GW:192.168.1.253VS:192.168.1.1:80IP:192.168.1.253GW:192.168.1.254192.168.1.254192.168.0.254S
11、YNSYNSYN-ACKSIPSportDIPDport192.168.0.16787192.168.1.1180192.168.1.1180192.168.0.16787FastL4 Profile F5 Networks双臂接入模式双臂接入模式13 F5 NetworksLTM双臂接入模式典型架构设计双臂接入模式典型架构设计14VLAN EXTServerServer网络同步-独立Vlan串口心跳NetworkIP:192.168.0.3GW:192.168.0.254IP:192.168.0.4GW:192.168.0.254SelfIP EXT:192.168.1.200SelfIP
12、INT:192.168.0.200GW:192.168.1.254VS:192.168.1.100HSRP 192.168.0.254ActiveBackupVLAN INTVLAN EXTVLAN INTSelfIP EXT:192.168.1.200SelfIP INT:192.168.0.200GW:192.168.1.254VS:192.168.1.100 FIP:192.168.0.254LB ServerIP:192.168.0.1GW:192.168.0.250LB ServerIP:192.168.0.2GW:192.168.0.250 FIP:192.168.0.254HSR
13、P 192.168.1.254 F5 Networks双臂接入双臂接入-服务器直连服务器直连15核心三层交换服务器服务器LTMClient192.168.0.1192.168.2.10GW:192.168.2.254192.168.2.11GW:192.168.2.254VS:192.168.1.1EXTIP:192.168.1.253/VLAN EXTINTIP:192.168.2.254/VLAN INTGW:192.168.1.254192.168.1.254192.168.0.254SIPSportDIPDport192.168.0.16787192.168.1.180192.168.
14、0.16787192.168.2.1180192.168.2.1180192.168.0.16787192.168.1.180192.168.0.16787 F5 Networks双臂接入双臂接入-串联部署串联部署-扩展端口扩展端口16核心三层交换服务器服务器LTMClient192.168.0.1192.168.2.10GW:192.168.2.254192.168.2.11GW:192.168.2.254VS:192.168.1.1EXTIP:192.168.1.253/VLAN EXTINTIP:192.168.2.254/VLAN INTGW:192.168.1.254192.168.
15、1.254192.168.0.254服务器接入交换SIPSportDIPDport192.168.0.16787192.168.1.180192.168.0.16787192.168.2.1180192.168.2.1180192.168.0.16787192.168.1.180192.168.0.16787 F5 Networks双臂接入双臂接入-旁挂模式旁挂模式17核心三层交换服务器服务器LTMClient192.168.0.1192.168.2.10GW:192.168.2.254192.168.2.11GW:192.168.2.254VS:192.168.1.1:80EXTIP:192
16、.168.1.253/VLAN EXTINTIP:192.168.2.254/VLAN INTGW:192.168.1.254192.168.1.254192.168.0.254SIPSportDIPDport192.168.0.16787192.168.1.180192.168.0.16787192.168.2.1180192.168.2.1180192.168.0.16787192.168.1.180192.168.0.16787External_vlanInternal_vlan旁挂模式下LTM可以用不同的端口接入核心交换,也可以采用端口捆绑模式接入核心交换,然后在端口捆绑里通过VLAN
17、 tag方式来划分多个VLAN F5 Networks旁挂模式下的服务器直接访问旁挂模式下的服务器直接访问18核心三层交换服务器服务器LTMClient192.168.0.1192.168.2.10GW:192.168.2.254192.168.2.11GW:192.168.2.254VS:192.168.1.1EXTIP:192.168.1.253/VLAN EXTINTIP:192.168.2.254/VLAN INTGW:192.168.1.254192.168.1.254192.168.0.254SIPSportDIPDport192.168.0.16787192.168.2.1180
18、192.168.0.16787192.168.2.1180192.168.2.1180192.168.0.16787FastL4 Profile F5 Networks双臂接入双臂接入-避免避免Spanning TreeF5 LTM有非常快速的切换机制(200ms),切换完成后会发送ARP广播Spanning Tree的重算机制在一些情况下会阻止对端设备收到ARP广播不同设备的ARP更新机制有时会带来很大的麻烦通常情况下,也不建议采用服务器双网卡接入19核心三层交换服务器服务器LTMClient服务器接入交换核心三层交换LTM服务器接入交换Client F5 Networks远程节点模式远程节
19、点模式20 F5 Networks远程节点模式远程节点模式21核心三层交换服务器服务器LTMClient192.168.0.1192.168.20.10GW:192.168.20.254192.168.20.11GW:192.168.20.254VS:192.168.1.1:80SelfIP:192.168.1.253GW:192.168.1.254192.168.1.254192.168.0.254SIPSportDIPDport192.168.0.16787192.168.1.180192.168.1.2538888192.168.20.1180192.168.20.1180192.168
20、.1.2538888192.168.1.180192.168.0.16787三层交换192.168.20.254远程节点模式通常用于服务器不在本地的情况只要路由可达,LTM就可以配置远程服务器作为节点必须采用源地址替换方式,保证服务器返回数据包回到LTM进行处理在同一个VS里面,可以同时存在有本地节点和远程节点,并且可以通过iRules控制在发往不同节点的时候是否启用源地址替换 F5 Networks加入独立加入独立SSL/WA/ASM设备设备22 F5 Networks应用加速和应用安全外挂典型架构设计应用加速和应用安全外挂典型架构设计23VLAN EXT网络同步-独立Vlan串口心跳Net
21、workHSRP 192.168.0.254ActiveBackupVLAN INTVLAN EXTVLAN INTSelfIP EXT:192.168.1.200SelfIP INT:192.168.0.200GW:192.168.1.254VS:192.168.1.100 FIP:192.168.0.254LB ServerIP:192.168.0.1GW:192.168.0.250LB ServerIP:192.168.0.2GW:192.168.0.250 FIP:192.168.0.254HSRP 192.168.1.254SelfIP EXT:192.168.1.200SelfIP
22、 INT:192.168.0.200GW:192.168.1.254VS:192.168.1.100IP:192.168.0.3GW:192.168.0.250IP:192.168.0.4GW:192.168.0.250WA/ASMWA/ASM F5 Networks加入独立加入独立SSL/WA/ASM设备设备业务逻辑流程设备设备业务逻辑流程24VS ExternalMember 1192.168.2.9Member 2192.168.2.10SSL/WA/ASMVS InternalMember 1192.168.2.9Member 2192.168.2.10ClientSIPSportDI
23、PDport192.168.0.16787192.168.1.180192.168.0.16787192.168.2.20080192.168.0.16787192.168.2.10080192.168.0.16787192.168.2.1080192.168.2.1080192.168.0.16787192.168.2.10080192.168.0.16787192.168.2.20080192.168.0.16787192.168.1.180192.168.0.16787192.168.1.1:80192.168.0.1192.168.2.100192.168.2.200:80VS Ext
24、ernal:ADDR:192.168.1.1Pool:M1:192.168.2.9:80 P1 M2:192.168.2.10:80 P1 M3:192.168.2.200:80 P10VS Internal:Addr:192.168.2.200Pool:M1:192.168.2.9:80 M2:192.168.2.10:80 F5 Networks防火墙负载均衡组网结构防火墙负载均衡组网结构25 F5 Networks防火墙负载均衡处理防火墙负载均衡处理-物理连接结构物理连接结构26LTM服务器服务器防火墙接入交换机LTMLTMLTM接入交换机服务器服务器接入交换机接入交换机防火墙防火墙防火
25、墙建议所有的SSL/WA/ASM独立设备自身都以单臂模式接入在独立设备上无须开启源地址替换,保证在服务器上接收到的请求源地址为真实的客户端源地址F5所有的独立应用加速/安全设备均支持源地址透传 F5 Networks防火墙负载均衡处理防火墙负载均衡处理-业务逻辑流程业务逻辑流程27LTMLTM防火墙防火墙Client服务器SIPSportDIPDport192.168.0.16787192.168.4.10080192.168.0.16787192.168.4.10080192.168.0.16787192.168.4.10080192.168.0.16787192.168.4.1008019
26、2.168.4.10080192.168.0.16787192.168.4.10080192.168.0.16787192.168.4.10080192.168.0.16787192.168.4.10080192.168.0.16787192.168.0.1EXT:192.168.0.254INT:192.168.2.1EXT:192.168.2.100INT:192.168.3.100EXT:192.168.2.101INT:192.168.3.101EXT:192.168.3.1INT:192.168.4.254192.168.4.100防火墙负载均衡模式下,数据包的信息在所有穿过整体系统
27、的过程中都不会被改变3层以上的信息LTM依靠Auto LastHop记录的源MAC地址来确定将服务器返回数据发送到那个防火墙,而不是依靠路由防火墙可以工作在路由模式或者NAT模式,两种模式下都可以正常工作 F5 Networks链路负载均衡链路负载均衡28 F5 Networks链路负载均衡链路负载均衡-Link Controller部署物理结构部署物理结构29LC客户端服务器防火墙接入交换机LC接入交换机客户端服务器核心交换机核心交换机防火墙互联网ISP1ISP2HA在每台LC上都划分3个Vlan:ISP1,ISP2和Internal两台LC之间建议采用Trunk方式连接划分在Interna
28、l Vlan里作为数据流量两台LC之间的同步/Failover采用另外的网络连线(在端口不足的情况下可以使用数据连线)建议防火墙采用路由模式,并且放置在LC的后端接入交换机通常建议采用低端的比较可靠的二层交换机,每增加一个ISP,增加一台接入交换机如果接入交换机支持VLAN划分,也可以通过VLAN tag模式将LC的外网接入部分统一连接在接入交换机上 F5 Networks链路负载均衡链路负载均衡-GTM+LTM防火墙在外部防火墙在外部30LTM客户端服务器防火墙接入路由器LTM接入路由器客户端服务器核心交换机核心交换机防火墙互联网ISP1ISP2GTMGTM在每台LTM上都划分3个Vlan:
29、防火墙1,防火墙2和Internal两台LTM之间没有数据流量发生两台LTM之间的同步/Failover采用另外的网络连线(在端口不足的情况下可以使用数据连线)建议防火墙采用路由模式,并且放置在LTM的前端,针对每条链路上的防火墙也可以采用HA模式部署接入交换机通常建议采用低端的比较可靠的二层交换机,每增加一个ISP,增加一台接入交换机如果接入交换机支持VLAN划分,也可以通过VLAN tag模式将LTM的外网接入部分统一连接在接入交换机上GTM部署在防火墙的DMZ区,配置公网地址接入交换机接入交换机 F5 Networks链路负载均衡链路负载均衡-GTM+LTM防火墙在内部防火墙在内部31L
30、TM客户端服务器防火墙接入交换机LTM接入交换机客户端服务器核心交换机核心交换机防火墙互联网ISP1ISP2HAGTMGTM在每台LTM上都划分3个Vlan:ISP1,ISP2和Internal两台LTM之间建议采用Trunk方式连接划分在Internal Vlan里作为数据流量两台LTM之间的同步/Failover采用另外的网络连线(在端口不足的情况下可以使用数据连线)建议防火墙采用路由模式,并且放置在LTM的后端接入交换机通常建议采用低端的比较可靠的二层交换机,每增加一个ISP,增加一台接入交换机如果接入交换机支持VLAN划分,也可以通过VLAN tag模式将LTM的外网接入部分统一连接在
31、接入交换机上GTM直接连接在接入交换机上或者LTM的外网VLAN,配置公网地址 F5 Networks灾备站点静态路由注入灾备站点静态路由注入32 F5 Networks灾备站点静态路由注入灾备站点静态路由注入33核心交换机核心交换机核心交换机核心交换机LTMLTM服务器服务器服务器服务器客户端客户端OSPF环网VS:192.168.0.1VS:192.168.0.1静态路由注入模式下,两台LTM同时对外发布相同的Virtual Server地址的主机路由,但是采用不同的路由优先级在主设备上的VS Down的时候将自动降低路由优先级,并对OSPF路由广播必须在LTM上增加相应的路由模块 F5
32、Networks34 F5 Networks9、静夜四无邻,荒居旧业贫。22.7.2822.7.28Thursday,July 28,202210、雨中黄叶树,灯下白头人。8:49:328:49:328:497/28/2022 8:49:32 AM11、以我独沈久,愧君相见频。22.7.288:49:328:49Jul-2228-Jul-2212、故人江海别,几度隔山川。8:49:328:49:328:49Thursday,July 28,202213、乍见翻疑梦,相悲各问年。22.7.2822.7.288:49:328:49:32July 28,202214、他乡生白发,旧国见青山。2022
33、年7月28日星期四上午8时49分32秒8:49:3222.7.2815、比不了得就不比,得不到的就不要。2022年7月上午8时49分22.7.288:49July 28,202216、行动出成果,工作出财富。2022年7月28日星期四8时49分32秒8:49:3228 July 202217、做前,能够环视四周;做时,你只能或者最好沿着以脚为起点的射线向前。上午8时49分32秒上午8时49分8:49:3222.7.289、没有失败,只有暂时停止成功!。22.7.2822.7.28Thursday,July 28,202210、很多事情努力了未必有结果,但是不努力却什么改变也没有。8:49:32
34、8:49:328:497/28/2022 8:49:32 AM11、成功就是日复一日那一点点小小努力的积累。22.7.288:49:328:49Jul-2228-Jul-2212、世间成事,不求其绝对圆满,留一份不足,可得无限完美。8:49:328:49:328:49Thursday,July 28,202213、不知香积寺,数里入云峰。22.7.2822.7.288:49:328:49:32July 28,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年7月28日星期四上午8时49分32秒8:49:3222.7.2815、楚塞三湘接,荆门九派通。2022年7月上午8时
35、49分22.7.288:49July 28,202216、少年十五二十时,步行夺得胡马骑。2022年7月28日星期四8时49分32秒8:49:3228 July 202217、空山新雨后,天气晚来秋。上午8时49分32秒上午8时49分8:49:3222.7.289、杨柳散和风,青山澹吾虑。22.7.2822.7.28Thursday,July 28,202210、阅读一切好书如同和过去最杰出的人谈话。8:49:328:49:328:497/28/2022 8:49:32 AM11、越是没有本领的就越加自命不凡。22.7.288:49:328:49Jul-2228-Jul-2212、越是无能的人
36、,越喜欢挑剔别人的错儿。8:49:328:49:328:49Thursday,July 28,202213、知人者智,自知者明。胜人者有力,自胜者强。22.7.2822.7.288:49:328:49:32July 28,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年7月28日星期四上午8时49分32秒8:49:3222.7.2815、最具挑战性的挑战莫过于提升自我。2022年7月上午8时49分22.7.288:49July 28,202216、业余生活要有意义,不要越轨。2022年7月28日星期四8时49分32秒8:49:3228 July 202217、一个人即使已登上顶峰,也仍要自强不息。上午8时49分32秒上午8时49分8:49:3222.7.28MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 谢 您 的 下 载 观 看感 谢 您 的 下 载 观 看专家告诉
- 温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
