F多链路负载均衡标准结构及阐述.doc

《F多链路负载均衡标准结构及阐述.doc》由会员分享，可在线阅读，更多相关《F多链路负载均衡标准结构及阐述.doc（10页珍藏版）》请在三一文库上搜索。

1、多链路负载均衡标准结构及阐述F5Networksl nc.目录一、 F5 多链路负载均衡标准结构 错 误! 未指定书签。1.1 标准结构拓扑图 错误! 未指定书签。1.2 技术阐述 错误! 未指定书签。二、域名解析方式 错误! 未指定书签。2.1RootDNSServer直接与F5多链路负载均衡器配合 错误！未 指定书签。2.1.1CNAME 方式 错误！ 未指定书签。2.1.2NS 委派方式 错误！ 未指定书签。2.2RootDNSServer通过第三方DNSServer与F5多链路负载 均衡器配合 错误！未指定书签。2.2.1CNAME 方式 错误！ 未指定书签。2.2.2NS 方式 错误

2、！ 未指定书签。三、F5多链路负载均衡其它结构及阐述错误!未指定书签。3.1 冗余结构 错误！未指定书签。3.2 与防火墙配合的结构 . 错误! 未指定书签。3.2.1 后置防火墙 错误 ! 未指定书签。3.2.2 前置防火墙 错误! 未指定书签。一、F5 多链路负载均衡标准结构1.1 标准结构拓扑图下图是 F5 多出口链路负载均衡解决方案的标准结构（单台设备）。1.2 技术阐述网络环境描述上图中 F5F5 多链路负载均衡设备解决方案就是在内部交换机和连接 ISP 的路由器之 间，跨接一台多链路负载均衡设备应用交换机， 所有的地址翻译和 Internet 链路 优化全部由多链路负载均衡设备来完

3、成。Outbound 技术实现? DefaultGatewayPoolForExample ： pooldefault_gateway_poollb_methoddynamic_ratiomember100.1.1.1:0member2:0DefaultGatewayPool 中的 Nodes 为若干个下一跳路由器(NextHopRouter )的地址，用作 Outbound 负载均衡，可以通过三种方式 生成。1、SetupUtility 中配置多个 GatewayIP ，用空格分开；2、在 ConfigurationUtility 中 LinkConfiguration 下增加多个 link

4、s ；3、在 Pool 中定义一个 DefaultGatewayPool 。ForExample ： default_gatewayusepooldefault_gateway_pool将 DefaultGatewayPool 中的 Nodes 配置为 F5 多链路负载均衡器的DefaultGateway，可以通过netstat -n命令查看路由表。DestinationGatewayFlagsMTUIf defaultUGS1500vlan2default200.1.1.1UGS1500vlan3? MonitorForexample ：node100.1.1.121monitoruseic

5、mpF5 多链路负载均衡器可以通过相应的配置，检查 NHR 或更上层 Router 的连通 状态来决定链路的可用性，并且可以使用 ICMP/TCP 等多种测试方法LoadBalancingMethodForexample ： lb_methoddynamic_ratio 服务器负载均衡的各种静态和动态算法都可以被使用。 dynamic_ratio 是 DefaultGatewayPool 的默认算法，除了能够按照 Ratio 来分配流量外，还能够 集成 SNMPAgent 环境。? PersistenceForexample ： persistsimple simple_timeout1800

6、 在 Outbound 负载均衡中，经常使用到 SimplePersistence 来保证特殊的 应用，例如：MSN , QQ,流媒体等即时应用，能够保持在同一条链路上，一般 计时器配置为 900 秒或 1800 秒超时。? WildcartVirtualServerForexample ： virtualinternal:*unit1 usepooldefault_gateway_pool上面配置中的 *代表 0.0.0.0:0 这个特殊的 VirtualServer ，称为 WildcartVirtualServe 。? VirtualServicePropertyForexample ：

7、 service80timeoutudp30 service80timeouttcp600 service8021338956312511099811433tcpenable默认状态下， F5 链路负载均衡设备只开放 TCP 端口访问， 需要手动打开 UDP 端口以及 AnyIP （ICMP， Traceroute 等）的访问允许。由于 TCP/UDPTimeout 时间直接影响到 F5 链路负载均衡设备内存的开 销，因此在 Outbound 流量非常大的时候，尤其是攻击有时发生的情况下，可以 适当调整 TCP/UDPTimeout 值。? SNATForexample ： snatmapto

8、100.1.1.34unit1 snatmapto35unit1 snatmapinternaltoautounit1SNAT (SecureNAT )通过将源地址翻译成可路由的地址，来访问外网。 SNATIP 能够等于 VirtualServerIP ，可以用来解决特殊应用 (例如： Email 转发) 的地址反向解析问题； SNATAutomap 将源地址翻译成 F5 多链路负载均衡的 VlanSelfIP ，由于 VlanSelfIP 可以是多个地址， 因此能够实现 SNAT 一个地址池 的目的。? IrulesForexample : if(server_addr = = oneofl

9、SP1_Class)UsepoolISP1_Poolelseif(server_addr = = on eoflSP2_Class)UsepoollSP2_PoolelseUsepoolDefault_Gateway_Pool在 Outbound 负载均衡中， iRules 经常被配置用来进行复杂的链路选择， 这里的ISP1_Class和ISP2_Class可能包含许多地址或地址段，使用oneof命令就不需要在 iRules 中写许多 Class 涵盖的具体内容。Inbound 技术实现? WildIPForexample : wideip addressport0/0name ttl30qo

10、s_coeffrtt0hops0completion_rate0packet_rate0 vs_capacity0kbps0topology0lcs1000pool namePool dynamic_ratioyes preferredrtt alternatega fallbackrraddress100.1.1.100:80 address100:80由于 F5 多链路负载均衡器中涵盖了部分 DNS 功能，可以进行域名的 A 记录和 * 记录解析。 WideIP 就是一个主机名的 A 记录或者 *记录。? TTLForexample ： ttl30为防止客户的LocalDNS （就是客户的

11、TCP/IP中配置的DNS地址）Cache 住 DNS 的解析内容而发生 ISP 链路中断，而客户的访问请求仍然没有修正的情 况，可以将 F5 多链路负载均衡器的 DNS 解析的 TTL 时间根据容错切换时间要 求相应改小，就可以保证客户可以及时更新访问的目标地址了。? LoadBalancingMethodForexample ：preferredrttalternategafallbackrrF5 多链路负载均衡器支持多种 Inbound 负载均衡算法： CompletionRate ， GlobalAvailability ，hops，kilobytes/second ，leastcon

12、nections ，PacketRate ， QualityofService ，Random ，Ratio ，RoundRobin ，RoundTripTime ，StaticPersist ， VSCapacity 。在链路备份应用中，推荐 GlobalAvailability 算法；在链路负载均 衡应用中，推荐 RoundTripTime 算法或者 QualityofService 算法。? VirtualServerForexample ：address100.1.1.100:80address100:80virtual:httpunit1 usepoolpool_122virtual

13、:ftpunit1usepoolpool_122F5 多链路负载均衡器不但具备多链路负载均衡功能，而且具备服务器负载 均衡功能，所以， WideIP 可以指向到一个或多个 VirtualServer ，进行服务器负 载均衡。? ForwardingPoolForexample ： poolforwarding_poolforward有的情况下，既不需要地址翻译，有不需要服务器负载均衡，但是又需要 pool 的一些特性时（例如： AutoLasthop ），必须配置 ForwardingPool 。? AutoLasthop/LasthoppoolF5 的 Lasthop 功能，称为基于连接的路

14、由，用在 F5 处理数据包回应时， 会根据上一跳路由设备的 MAC 地址，确定返回路径，以便正确返回给最初发起 访问数据包的网络设备。? NATForexample ： nattounit1nattounit1对于直接通过 IP 地址进行访问的 Inbound 流量，并且内部主机需要 Outbound 访问，需要配置相应的 NAT 记录，来保证从多条链路都能访问内部 服务器，与 VirtualServer 加上 SNAT 功能相当， 但是 NAT 方式不工作在第四层 交换模式下，无法限制访问端口。二、域名解析方式Issue ： 1、多链路负载均衡设备只能做 A 记录和*记录解析；2 、有的 R

15、ootDNSServer 不支持二级子域的 NS 委派，例如：新网3 、用户 LocalDNSServer 的 Cache 问题所以，产生出以下多种域名解析方式。2.1RootDNSServer 直接与 F5 多链路负载均衡器配合2.1.1CNAME 方式. IN CNAME NSINNS（F5 设备地址）（F5 设备地址）在 Inbound 负载均衡中，普遍使用的一种域名解析方法。2.1.2NS 委派方式INNS（F5 设备地址）（F5 设备地址）这种方式因为 F5 多链路负载均衡器不支持全记录解析，在客户有 MX 记录 时，一般不使用。2.2RootDNSServer 通过第三方 DNSS

16、erver 与 F5 多链路负载 均衡器配合2.2.1CNAME 方式RootDNSCNAME第三方 DNSNSINNS（F5 设备地址）F5 设备地址）有的 RootDNSServer 不支持二级子域的 NS 委派（例如：新网），需要第 三方 DNSServer 的配合，是 2.1.1 方式的变体。2.2.2NS 方式RootDNS. IN NSIN NS（第三方 DNS 地址）（第三方 DNS 地址）第三方 DNSNSINNS（F5 设备地址）（F5 设备地址）2.1.1三、F5 多链路负载均衡其它结构及阐述3.1 冗余结构上图是标准的多链路负载均衡设备冗余解决方案， 但是有的时候， 负载均衡 器上连多条 ISP 链路时，需要辅以交换机3.2 与防火墙配合的结构3.2.1 后置防火墙当防火墙工作在透明模式下，没有任何影响；工作在路由模式下时， F5 多 链路负载均衡器只需增加一条回指路由即可。 在后置防火墙方式下， 不建议防火 墙使用NAT (PAT)模式。3.2.2 前置防火墙当防火墙工作在透明模式下， 没有任何影响； 工作在路由模式或 NAT( PAT) 模式下时， F5 多链路负载均衡器不做 SNAT 即可。