F5_BIGIP_LinkController_v9_配置指南v5

1Aug.2007DingYunfengdyf@antai-sec.comModifiedbyAntai-SecF5NetworksBIGIPLinkController配置指南2初始化设备安装9.3的最新版本，国内下载链接：ftp://ftp.f5.com.cn/softimage配置管理地址–如果使用默认地址，管理口为192.168.1.245/24–如果需要使用其他地址，可通过config命令在命令行配置界面下进行设置激活License设置正确的时区(在命令行下使用date命令修改日期）,双机时间相差不要超过30秒，且修改完成后用hwclock–systohc将时间写入芯片。设定管理员密码如果不熟悉BIG-IPV9的基本设置，请参考BIG-IPLTM的相关文档。3LinkController实施前的准备确定网络结构图！确定网络结构图！确定网络结构图！确定应用的访问流程！确定应用的访问流程！确定应用的访问流程！4典型网络拓扑电信网通内网防火墙VLANCT_LinkVLANInternalVPNWEBDMZ区服务器区：wideips:CNCip/CTCipF5BIG-IPLCEMAILVLANCNC_Link5ISP#1ISP#2LinkController的主要功能Internet•LoadBalanceServers•LBInboundLinks•LBOutboundLinks处理3种负载均衡流量6LinkController基本网络设置7配置VLAN：LinkControllerv9基本网络配置8配置SelfIP：LinkControllerv9基本网络配置9LinkControllerv9Outbound配置步骤10LinkControllerv9逻辑结构图-OutboundLink1Link20.0.0.0:0VS0.0.0.0:21VSClientsDefault_Gateway_PoolLinkControlleriRulesLink1Link2LinkController是通过0.0.0.0的VirtualServer来引导由内向外(Outbound)的流量的。11建立一个Default_Gateway_Pool：LinkControllerv9Outbound配置步骤Outbound流量以轮询的方式在两个ISP链路之间分发当LC检测到链路Down时会变为红色，如链路正常为绿色，如是蓝色则表示没有设置健康检查方式。12链路健康检查网关健康检查，gateway_icmp的monitor，以实现链路故障切换链路全路径检查设置全路径检查一般是配置网关的下一跳的IP地址13GatewayPool属性的设置在轮询方式下记住将ActionOnServiceDown改为Reject14配置LinkController的缺省路由：1、需要先建立一个default_gateway_pool2、在network—route中进行配置Outbound配置步骤15配置Outbound的VS：0.0.0.0:0–Type：Performance(Layer4)–Protocol：AllProtocolsOutbound配置步骤16配置OutboundFTP的VS：0.0.0.0:ftp。Outbound配置步骤为什么要对FTP作特殊处理：PerformanceLayer4不修改应用层数据；FTP会将协商好的端口放在应用层报文中。FTP主动模式：client高端口连接server21端口然后client使用port命令如192,168,1,15,18,119就是client告诉server往这个地址和端口号传输数据IP:192.168.1.15portnumber：18*256+119=4727这个时候client在监听这个端口，同时server使用20号端口来连接client4727端口来传输数据。FTPProfile的作用：BIG-IP会监测client端连接server的21端口，在控制命令中的ip和端口都做了相应的修改。把client的ip修改成映射后的地址，同时打开相应的端口17在0.0.0.0的virtualServer上设置源地址转换SNAT的相关设置:–通过在VirtualServer上设置SNATAutoMap可以让Outbound流量从哪个ISP链路出去，就用LC上哪个ISP链路相应VLAN的SelfIP作为转换后的IP地址出去。–如果LC是采用双机配置，则SNATAutoMap将采用LC双机的FloatingIP作为转换后的地址。Outbound配置步骤18这样，基本的Outbound负载均衡的配置就结束了，内部的用户，可以通过轮询的方式在两条线路之间进行选择来访问外面了。下面我们要继续进一步讨论如何优化Outbound负载均衡的策略和满足一些特殊的需求：–根据运营商选择线路，主要是通过Rules来实现的。–有选择性地进行SNAT–对Outbound流量进行带宽限制Outbound配置步骤19Outbound的高级配置－根据运营商选择线路需求：对于去往中国电信的访问，走电信的线路CT_Pool，当电信的线路故障时，走网通的线路，对于去往中国网通的访问，走网通的线路CNC_Pool，当网通的线路故障时，走电信的线路，其他的访问在中国电信和中国网通之间负载均衡Default_Gateway_Pool。20Outbound的高级配置－根据运营商选择线路建立CT_Pool:由于当电信的线路故障时候需要用网通的线路做备份，所以在CT_Pool里面启用了”PriorityGroupActivation”，把电信线路的Priority设置高一些，而网通线路的Priority设置低一些。21Outbound的高级配置－根据运营商选择线路建立CNC_Pool:由于当网通的线路故障时候需要用电信的线路做备份，所以在CNC_Pool里面启用了”PriorityGroupActivation”，把网通线路的Priority设置高一些，而电信线路的Priority设置低一些。22Outbound的高级配置－根据运营商选择线路所有的Pool设定好以后如下：23Outbound的高级配置－根据运营商选择线路设定好Pool以后，我们需要定义中国电信和中国网通地址段的Class，然后在Rules中根据class来识别用户去往那个运营商。24Outbound的高级配置－根据运营商选择线路中国电信的地址段Class(部分)：classtelcom_class{network58.32.0.0mask255.224.0.0network59.32.0.0mask255.224.0.0network60.63.0.0mask255.255.0.0network60.160.0.0mask255.224.0.0network61.128.0.0mask255.252.0.0network61.132.0.0mask255.255.0.0network61.133.128.0mask255.255.128.0}25Outbound的高级配置－根据运营商选择线路中国网通的地址段Class(部分)：classcnc_class{network58.16.0.0mask255.248.0.0network60.0.0.0mask255.224.0.0network60.55.0.0mask255.255.0.0network60.208.0.0mask255.240.0.0network61.48.0.0mask255.248.0.0network61.133.0.0mask255.255.128.0network61.134.96.0mask255.255.224.0}26Outbound的高级配置－根据运营商选择线路根据去往不同的运营商(目的地址)进行选择不同线路的RulesruleRule.Destination_Base_Route{＃timingonwhenCLIENT_ACCEPTED{if{[matchclass[IP::local_addr]equals$::ct_class]}{poolCT_Pool}elseif{[matchclass[IP::local_addr]equals$::cnc_class]}{poolCNC_Pool}else{poolDefault_Gateway_Pool}}}[IP：：local_addr]代表的是内网要访问的目的地址27Outbound常用Rules参考对指定源IP地址设定SNATPool规则。根据到不同的运营商选定不同的NAT_Pool的RulesruleDNS_Outbound_Snat_Rules{whenLB_SELECTED{if{[matchclass[IP::remote_addr]equals$::dns_class]}{if{[IP::addr[LB::serveraddr]equals219.1.1.1]}{snatpoolDNS_SNAT_CT_Pool}elseif{[IP::addr[LB::serveraddr]equals211.1.1.1]}{snatpoolDNS_SNAT_CNC_Pool}}else{snatautomap}}}[IP：：remote_addr]代表的是内网客户端的IP地址28对于某些内网是公网地址不需要做NAT的RuleswhenCLIENT_ACCEPTED{if{[matchclass[IP::local_addr]equals$::cernet_add]}{if{[matchclass[IP::remote_addr]equals$::donot_snat_cernet]}{poolcernet_donot_snat_pool}else{poolcernetnat_pool}}else{pooltel_pool}}Outbound常用Rules参考29Outbound常用Rules参考whenCLIENT_ACCEPTED{if{[matchclass[IP::local_addr]equals$::ip_ct]}{poolct_poolsnatautomap}elseif{[matchclass[IP::local_addr]equals$::ip_cnc]}{poolcnc_poolsnatautomap}else{poolcnc_poolsnatautomap}}30LinkControllerv9Inbound配置步骤31LinkControllerv9逻辑结构图-InboundLink1Link2wideip:www.f5.com.cnVS_Link1_WWWVS_Link2_WWWWWW_ServerPool_WWWListener1Listener2wideip:ftp.f5.com.cnVS_Link1_FTPVS_Link2_FTPFTP_ServerPool_FTPLinkController32设定ServerPool，Pool是用来代表服务器的，VirtualServer将通过调用Pool来把请求转到真实的服务器上。Inbound配置步骤33设定完ServerPool，接下来要针对每一条线路设定一个VirtualServer，每个VirtualServer都会调用相同的Pool。LinkControllerv9Inbound配置步骤34同样方法建立一个VS_CT_web的VirtualServer。VirtualServer列表如下：LinkControllerv9Inbound配置步骤35VirtualServer建立完后,建立Listeners。LinkControllerv9Inbound配置步骤Listeners在双机情况下采用FloatingIP每条链路都要建Listerner36下一步需要配置Link(CT_Link,CNC_Link)LinkControllerv9Inbound配置步骤Ro