BIGIP组网架构

F5LTM组网架构©F5Networks•••••••单臂接入模式双臂接入模式远程节点模式加入独立SSL/WA/ASM设备防火墙负载均衡多链路接入灾备站点静态路由注入Agenda©F5NetworksLTM单臂接入模式3服务器服务器LTMLTM单臂接入模式下的网络物理结构外部网络核心三层交换Vlan1串口心跳线4©F5Networks5©F5Networks核心三层交换服务器服务器LTM单臂接入-源地址替换模式数据访问流程192.168.0.1Client192.168.1.10192.168.1.11GW:192.168.1.254GW:192.168.1.254VS:192.168.1.1:80SelfIP:192.168.1.253GW:192.168.1.254192.168.1.254192.168.0.254①②③④⑤SIPSportDIPDport①②③192.168.0.16787192.168.1.2538888192.168.1.1192.168.1.118080④192.168.1.1180192.168.1.2538888⑤⑥192.168.1.180192.168.0.16787⑥源地址替换后的处理6©F5Networks服务器服务器LTM192.168.0.1192.168.1.10192.168.1.11GW:192.168.1.254GW:192.168.1.254VS:192.168.1.1：80SelfIP:192.168.1.253GW:192.168.1.254192.168.1.254192.168.0.254核心三层交换①②③④⑤⑥HTTPProfilewhenHTTP_REQUEST{HTTP::headerinsertClient_IP=[IP::client_addr]}ClientiRules只有HTTP协议的时候，可以通过将源地址插入到客户端请求的HTTPHeader里，然后在服务器上通过读取这个Header，获得客户端的真实源IP地址单臂接入-npath模式数据访问流程7©F5NetworksClient192.168.0.1服务器192.168.1.10Lo:192.168.1.1服务器192.168.1.11Lo:192.168.1.1GW:192.168.1.254GW:192.168.1.254LTMVS:192.168.1.1:80SelfIP:192.168.1.253GW:192.168.1.254①②③192.168.0.254核心三层交换192.168.1.254④⑤SIPSportDIPDport①②192.168.0.16787192.168.1.1③192.168.0.16787192.168.1.18080④⑤192.168.1.180192.168.0.16787npath模式的关键在于服务器上配置的loopback地址在www.adntech.com上能找到各种服务器的loopback地址如何配置的文档单臂接入-服务器非直连模式（无源地址替换）8©F5Networks核心三层交换LTM192.168.0.1Client服务器192.168.2.10GW:192.168.2.254GW:192.168.2.254VS:192.168.1.1:80SelfIP:192.168.1.253GW:192.168.1.254192.168.2.254192.168.0.254①②③④⑤⑦⑧⑥服务器192.168.2.11SIPSportDIPDport①②③④⑤⑥⑦⑧192.168.0.1192.168.0.1192.168.2.11192.168.1.1678767878080192.168.1.1192.168.2.11192.168.0.1192.168.0.1808067876787无源地址替换的单臂接入模式使用比较少，通常用于对现网不能改造的情况这种模式下需要在核心三层交换上启用源地址路由，将服务器的所有返回数据包转向LTM，这样才能保证进出的连接完整性建议在这种结构下采用源地址替换以减小网络复杂程度192.168.1.2549©F5Networks客户端服务器LTM192.168.1.10GW:192.168.1.254192.168.1.11GW:192.168.1.254VS:192.168.1.1：80IP:192.168.1.253GW:192.168.1.254同网段访问处理-必须通过SNAT实现192.168.1.254核心三层交换SIPSportDIPDport①192.168.0.106787192.168.1.180②192.168.1.2538888192.168.1.1180③192.168.1.1180192.168.1.2538888④192.168.1.180192.168.0.16787①②③④10©F5Networks服务器服务器LTM单臂接入-服务器更改网关数据访问流程192.168.0.1Client192.168.1.10192.168.1.11GW:192.168.1.253GW:192.168.1.253VS:192.168.1.1:80SelfIP:192.168.1.253GW:192.168.1.254192.168.1.254192.168.0.254核心三层交换①②③④⑤①②SIP192.168.0.1Sport6787DIP192.168.1.1Dport80③④⑤⑥192.168.0.1192.168.1.11192.168.1.167878080192.168.1.11192.168.0.1192.168.0.18067876787⑥11©F5NetworksClient服务器更改网关后的直接访问服务器问题192.168.0.1服务器192.168.1.10GW:192.168.1.253GW:192.168.1.253LTMVS:192.168.1.1：80IP:192.168.1.253GW:192.168.1.254①SYN192.168.0.254核心三层交换192.168.1.254②SYN服务器③SYN-ACK192.168.1.11①②③SIP192.168.0.1192.168.1.11Sport678780DIP192.168.1.11192.168.0.1Dport806787FastL4Profile©F5Networks双臂接入模式1213©F5Networks双臂接入-服务器直连192.168.0.1Client服务器192.168.2.10服务器192.168.2.11GW:192.168.2.254GW:192.168.2.254VS:192.168.1.1EXTIP:192.168.1.253/VLANEXTINTIP:192.168.2.254/VLANINTGW:192.168.1.254192.168.1.254192.168.0.254核心三层交换SIPSportDIPDport①②③④192.168.0.1192.168.0.1192.168.2.11192.168.1.1678767878080192.168.1.1192.168.2.11192.168.0.1192.168.0.1808067876787①②LTM③④双臂接入-串联部署-扩展端口14©F5NetworksClient192.168.0.1服务器192.168.2.10GW:192.168.2.254GW:192.168.2.254VS:192.168.1.1EXTIP:192.168.1.253/VLANEXTINTIP:192.168.2.254/VLANINTGW:192.168.1.254192.168.0.254核心三层交换192.168.1.254①②服务器192.168.2.11③④LTM服务器接入交换SIPSportDIPDport①②③④192.168.0.1192.168.0.1192.168.2.11192.168.1.1678767878080192.168.1.1192.168.2.11192.168.0.1192.168.0.1808067876787双臂接入-旁挂模式核心三层交换服务器服务器LTMClient192.168.0.1192.168.2.10192.168.2.11GW:192.168.2.254GW:192.168.2.254VS:192.168.1.1:80EXTIP:192.168.1.253/VLANEXTINTIP:192.168.2.254/VLANINTGW:192.168.1.254192.168.1.254192.168.0.254①②③④SIPSportDIPDport①192.168.0.16787192.168.1.180②③④192.168.0.1192.168.2.11192.168.1.167878080192.168.2.11192.168.0.1192.168.0.18067876787External_vlanInternal_vlan旁挂模式下LTM可以用不同的端口接入核心交换，也可以采用端口捆绑模式接入核心交换，然后在端口捆绑里通过VLANtag方式来划分多个VLAN15©F5Networks旁挂模式下的服务器直接访问核心三层交换LTMClient192.168.0.1服务器192.168.2.10服务器192.168.2.11GW:192.168.2.254GW:192.168.2.25416©F5NetworksVS:192.168.1.1EXTIP:192.168.1.253/VLANEXTINTIP:192.168.2.254/VLANINTGW:192.168.1.254192.168.1.254192.168.0.254①②③SIPSportDIPDport①②③192.168.0.1192.168.0.1192.168.2.116787678780192.168.2.11192.168.2.11192.168.0.180806787FastL4Profile双臂接入-避免SpanningTree••••F5LTM有非常快速的切换机制（200ms），切换完成后会发送ARP广播SpanningTree的重算机制在一些情况下会阻止对端设备收到ARP广播不同设备的ARP更新机制有时会带来很大的麻烦通常情况下，也不建议采用服务器双网卡接入17©F5NetworksClient核心三层交换LTM服务器接入交换服务器Client核心三层交换LTM服务器接入交换服务器©F5Networks远程节点模式18远程节点模式19©F5Networks核心三层交换LTMClient192.168.0.1192.168.20.10GW:192.168.20.254服务器192.168.20.11VS:192.168.1.1:80SelfIP:192.168.1.253GW:192.168.1.254192.168.1.254192.168.0.254①②④③⑤①②SIP192.168.0.1Sport6787DIP192.168.1.1Dport80③④192.168.1.2538888192.168.20.1180192.168.20.1180192.168.1.2538888⑤⑥192.168.1.180192.168.0.16787⑥三层交换192.168.20.254服务器GW:192.168.20.254远程节点模式通常用于服务器不在本地的情况只要路由可达，LTM就可以配置远程服务器作为节点必须采用源地址替换方式，保证服务器返回数据包回到LTM进行处理在同一个VS里面，可以同时存在有本地节点和远程节点，并且可以通过iRules控制在发往不同节点的时候是否启用源地址替换©F5Networks加入独立SSL/WA/ASM设备20加入独立SSL/WA/ASM设备物理连接结构21©F5N