-.z.多鏈路負載均衡標準構(gòu)造及闡述F5NetworksInc.目錄一、F5多鏈路負載均衡標準構(gòu)造21.1標準構(gòu)造拓撲圖21.2技術(shù)闡述3二、域名解析方式102.1RootDNSServer直接與F5多鏈路負載均衡器配合102.1.1AME方式102.1.2NS委派方式112.2RootDNSServer通過第三方DNSServer與F5多鏈路負載均衡器配合122.2.1AME方式122.2.2NS方式13三、F5多鏈路負載均衡其它構(gòu)造及闡述143.1冗余構(gòu)造143.2與防火墻配合的構(gòu)造15后置防火墻15前置防火墻16一、F5多鏈路負載均衡標準構(gòu)造1.1標準構(gòu)造拓撲圖下列圖是F5多出口鏈路負載均衡解決方案的標準構(gòu)造〔單臺設(shè)備〕。1.2技術(shù)闡述網(wǎng)絡(luò)環(huán)境描述上圖中F5多鏈路負載均衡設(shè)備通過ISP1和ISP2接入Internet。每個ISP都分配給該網(wǎng)絡(luò)一個IP地址網(wǎng)段，假設(shè)ISP1分配的地址段為/24，ISP2分配的地址段為/24〔此處的/24表示網(wǎng)絡(luò)IP地址段為：，子網(wǎng)掩碼為24位，即〕。同樣，Internet知道通過ISP1訪問/24，通過ISP2訪問/24。網(wǎng)絡(luò)中的主機和效勞器都屬于私有網(wǎng)段/24。F5多鏈路負載均衡設(shè)備解決方案就是在部交換機和連接ISP的路由器之間，跨接一臺多鏈路負載均衡設(shè)備應(yīng)用交換機，所有的地址翻譯和Internet鏈路優(yōu)化全部由多鏈路負載均衡設(shè)備來完成。Outbound技術(shù)實現(xiàn)DefaultGatewayPoolForE*ample：pooldefault_gateway_pool{lb_methoddynamic_ratiomember.1:0member2:0}DefaultGatewayPool中的Nodes為假設(shè)干個下一跳路由器〔Ne*tHopRouter〕的地址，用作Outbound負載均衡，可以通過三種方式生成。SetupUtility中配置多個GatewayIP，用空格分開；在ConfigurationUtility中LinkConfiguration下增加多個links；在Pool中定義一個DefaultGatewayPool。ForE*ample：default_gatewayusepooldefault_gateway_pool將DefaultGatewayPool中的Nodes配置為F5多鏈路負載均衡器的DefaultGateway，可以通過netstat–rn命令查看路由表。DestinationGatewayFlagsMTUIfdefaultUGS1500vlan2default200.UGS1500vlan3MonitorFore*ample：node.1monitoruseicmpF5多鏈路負載均衡器可以通過相應(yīng)的配置，檢查NHR或更上層Router的連通狀態(tài)來決定鏈路的可用性，并且可以使用ICMP/TCP等多種測試方法LoadBalancingMethodFore*ample：lb_methoddynamic_ratio效勞器負載均衡的各種靜態(tài)和動態(tài)算法都可以被使用。dynamic_ratio是DefaultGatewayPool的默認算法，除了能夠按照Ratio來分配流量外，還能夠集成SNMPAgent環(huán)境。PersistenceFore*ample：persistsimplesimple_timeout1800在Outbound負載均衡中，經(jīng)常使用到SimplePersistence來保證特殊的應(yīng)用，例如：MSN，QQ，流媒體等即時應(yīng)用，能夠保持在同一條鏈路上，一般計時器配置為900秒或1800秒超時。WildcartVirtualServerFore*ample：virtualinternal:*unit1{usepooldefault_gateway_pool}上面配置中的*代表.0:0這個特殊的VirtualServer，稱為WildcartVirtualServer，用來表示訪問外網(wǎng)任意地址和效勞端口，也可以配置為:80等等，這樣Outbound流量會先命中:80這個VirtualServer，然后再命中:0這個VirtualServe。VirtualServicePropertyFore*ample：service80timeoutudp30service80timeouttcp600service8021338956312511099811433tcpenable默認狀態(tài)下，F(xiàn)5鏈路負載均衡設(shè)備只開放TCP端口訪問，需要手動翻開UDP端口以及AnyIP〔ICMP，Traceroute等〕的訪問允許。由于TCP/UDPTimeout時間直接影響到F5鏈路負載均衡設(shè)備存的開銷，因此在Outbound流量非常大的時候，尤其是攻擊有時發(fā)生的情況下，可以適當調(diào)整TCP/UDPTimeout值。SNATFore*ample：snatmap{4to4unit1}snatmap{5to5unit1}snatmap{internaltoautounit1}SNAT〔SecureNAT〕通過將源地址翻譯成可路由的地址，來訪問外網(wǎng)。SNATIP能夠等于VirtualServerIP，可以用來解決特殊應(yīng)用〔例如：Email轉(zhuǎn)發(fā)〕的地址反向解析問題；SNATAutomap將源地址翻譯成F5多鏈路負載均衡的VlanSelfIP，由于VlanSelfIP可以是多個地址，因此能夠?qū)崿F(xiàn)SNAT一個地址池的目的。IrulesFore*ample：if(server_addr＝＝oneofISP1_Class){UsepoolISP1_Pool}elseif(server_addr＝＝oneofISP2_Class){UsepoolISP2_Pool}else{UsepoolDefault_Gateway_Pool}在Outbound負載均衡中，iRules經(jīng)常被配置用來進展復雜的鏈路選擇，這里的ISP1_Class和ISP2_Class可能包含許多地址或地址段，使用oneof命令就不需要在iRules中寫許多Class涵蓋的具體容。Inbound技術(shù)實現(xiàn)WildIPFore*ample：wideip{address*.*.*.*port0//0name".wideip.a."ttl30qos_coeff{rtt0hops0pletion_rate0packet_rate0vs_capacity0kbps0topology0lcs1000}pool{name"Pool"dynamic_ratioyespreferredrttalternategafallbackrraddress00:80address00:80}}由于F5多鏈路負載均衡器中涵蓋了局部DNS功能，可以進展域名的A記錄和*記錄解析。WideIP就是一個主機名的A記錄或者*記錄。TTLFore*ample：ttl30為防止客戶的LocalDNS〔就是客戶的TCP/IP中配置的DNS地址〕Cache住DNS的解析容而發(fā)生ISP鏈路中斷，而客戶的訪問請求仍然沒有修正的情況，可以將F5多鏈路負載均衡器的DNS解析的TTL時間根據(jù)容錯切換時間要求相應(yīng)改小，就可以保證客戶可以及時更新訪問的目標地址了。LoadBalancingMethodFore*ample：preferredrttalternategafallbackrrF5多鏈路負載均衡器支持多種Inbound負載均衡算法：pletionRate，GlobalAvailability，hops，kilobytes/second，leastconnections，PacketRate，QualityofService，Random，Ratio，RoundRobin，RoundTripTime，StaticPersist，VSCapacity。在鏈路備份應(yīng)用中，推薦GlobalAvailability算法；在鏈路負載均衡應(yīng)用中，推薦RoundTripTime算法或者QualityofService算法。VirtualServerFore*ample：address00:80address00:80virtual:unit1{usepoolpool_122}virtual:ftpunit1{usepoolpool_122}F5多鏈路負載均衡器不但具備多鏈路負載均衡功能，而且具備效勞器負載均衡功能，所以，WideIP可以指向到一個或多個VirtualServer，進展效勞器負載均衡。ForwardingPoolFore*ample：poolforwarding_pool{forward}有的情況下，既不需要地址翻譯，有不需要效勞器負載均衡，但是又需要pool的一些特性時〔例如：AutoLasthop〕，必須配置ForwardingPool。AutoLasthop/LasthoppoolF5的Lasthop功能，稱為基于連接的路由，用在F5處理數(shù)據(jù)包回應(yīng)時，會根據(jù)上一跳路由設(shè)備的MAC地址，確定返回路徑，以便正確返回給最初發(fā)起訪問數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備。NATFore*ample：nat{0to0unit1}nat{0to0unit1}對于直接通過IP地址進展訪問的Inbound流量，并且部主機需要Outbound訪問，需要配置相應(yīng)的NAT記錄，來保證從多條鏈路都能訪問部效勞器，與VirtualServer加上SNAT功能相當，但是NAT方式不工作在第四層交換模式下，無法限制訪問端口。二、域名解析方式Issue：1、多鏈路負載均衡設(shè)備只能做A記錄和*記錄解析；2、有的RootDNSServer不支持二級子域的NS委派，例如：新網(wǎng)3、用戶LocalDNSServer的Cache問題所以，產(chǎn)生出以下多種域名解析方式。2.1RootDNSServer直接與F5多鏈路負載均衡器配合AME方式.a.. IN AME.wideip.a.wideip.a.. INNSlc1.wideip.a.。 INNSlc2.wideip.a.。lc1.wideip.a.. IN A〔F5設(shè)備地址〕lc2.wideip.a.. IN A〔F5設(shè)備地址〕在Inbound負載均衡中，普遍使用的一種域名解析方法。NS委派方式.a.. IN NSlc1.a.。 INNSlc2.a.。lc1.a.. IN A〔F5設(shè)備地址〕lc2.a.. IN A〔F5設(shè)備地址〕這種方式因為F5多鏈路負載均衡器不支持全記錄解析，在客戶有M*記錄時，一般不使用。2.2RootDNSServer通過第三方DNSServer與F5多鏈路負載均衡器配合AME方式RootDNS.a.AME.a.b.第三方DNSa.b.. INNSlc1.a.b. INNSlc2.a.b.lc1.a.b.. IN A〔F5設(shè)備地址〕lc2.a.b.. IN A〔F5設(shè)備地址〕有的RootDNSServer不支持二級子域的NS委派〔例如：新網(wǎng)〕，需要第三方DNSServer的配合，是方式的變體。NS方式RootDNSa.. IN NSdns1.a.。 IN NSdns2.a.。dns1.a.. IN A211.*.*.*〔第三方DNS地址〕dns2.a.. IN A61.*.*.*〔第三方DNS地址〕第三方DNS.a.. IN AME.wideip.a.wideip.a.. INNSlc1.wideip.a.。 INNSlc2.wideip.a.。lc1.wideip.a.. IN A〔F5設(shè)備地址〕lc2.wideip.a.. IN A