F5+负载均衡实施方案

Internet出口链路优化项目实施方案

2005-09-28

目录

Chapter 1网络拓扑结构 (3)

1.1.网络拓扑图 (3)

1.2.IP 地址规划 (3)

Chapter 2实施过程 (4)

2.1.实施计划的完善 (4)

2.2.F5 Link Controller的离线配置 (4)

用户访问dns的过程 (8)

在dns服务器上设置的更改 (9)

2.3.防火墙配置更改 (10)

A)IP地址分配 (10)

B)路由配置 (10)

增加规则设置 (10)

2.4.对网络结构进行调整、接线、设备上线 (11)

2.5.修改DNS服务器设置 (11)

2.6.业务流程检查 (11)

2.7.配置回滚过程 (11)

Chapter 3实施时间表 (11)

Chapter 1 网络拓扑结构

1.1. 网络拓扑图

Internet 出口链路优化方案的网络拓扑图见下图:

改造后的网络拓扑图：

1.2. IP 地址规划

(1) F5链路控制器公网IP 地址规划:

Heartbeat Cable

L2 Switch

新增F5链路控制器在两条ISP链路分配公网ip地址。原来公网ip终结到F5链路控制器上，而F5链路控制器的内网vlan与防火墙通过私有地址相连。而新增的电信网与F5链路控制器电信网vlan相连。

(2) F5链路控制器私网IP地址规划:

沿有原有的内网地址划分，地址分配以尽可能少地改动内网地址设置为原则。

●172.31.1.0/27: Link Controller内网与核心交换机相连网段使用;

Chapter 2实施过程

项目实施步骤分为以下几步

2.1. 实施计划的完善

完善本配置计划中的不完备信息、Link Controller以外设备的配置方案、上线失败后的回滚计划是否准备充分。

2.2. F5 Link Controller的离线配置

A) F5硬件自检、license激活

B) F5 vlan划分、ip地址分配

C) 路由配置

Link Controller默认网关：

●cnc : 221.4.104.193

●telecom: 202.104.115.94

●内网网关：10.0.0.0/8 via 172.31.1.1 (防火墙与F5 link controller内网相连的地址)

●内网网关：9.0.0.0/8 via 172.31.1.1 (防火墙与F5 link controller内网相连的地址)

●内网网关：172.30.30/24 via 172.31.1.1 (防火墙与F5 link controller内网相连的地址)

D) outbound访问配置

内网普通用户的访问将按设定的链路选择办法（负载均衡算法）在两条链路上进行选择，并将访问包的源地址转换成相应ISP链路的IP地址。

WildCast Virtual 服务器 0.0.0.0:internal/0 配置:

Virtual 服务器 IP1: 0.0.0.0 Service Port: 0

Pool Name: Default_GW_Pool

Load Balancing Policy: Round Robin Pool Member Address: ;202.104.115.94 221.4.104.193

Network

Address

Translation

Private IP Address Clients Public IP

Address Internet

Maps to

Enable SNAT Automap

IP: Enable SNAT Automap VLAN: Internal

E) 特定用户对internet的访问

某些用户访问外网特定的服务器时，外网的服务器要对访问的源地址进行限定。因此在Link Controller上要

F) 特定应用使用指定的链路

G) 虚拟服务器的配置

Virtual Server 配置示例:

Virtual 服务器 IP1: 221.4.104.216 Service Port: 80

Pool Name: Onlinebank_web

Load Balancing Policy: Round Robin Pool Member Address: 172.30.30.30

Persistence: Enable Simple Persistence Client Network

Address

Translation

Real Server Address Nodes Virtual Server Address

Virtual Server

Maps to

用户访问dns 的过程

Enduser DNS 请求解析

https://www.wendangku.net/doc/8a12559295.html,

Network

Address

Address Nodes Address Virtual Server

Maps to

在dns服务器上设置的更改

对外提供服务的dns是托管在新浪，需要在此dns上做修改

以https://www.wendangku.net/doc/8a12559295.html,为例

www CNAME www.lc

lc NS ns1.lc

NS ns2.lc

Ns1.lc A edu_net share ip

Ns2.lc A tel_net share ip

H) wideip 配置

Virtual Server:

218.18.103.___:80, 202.96.135.116:80

Server Pool: web:10.2.1.18:80

Internet 出口链路优化项目实施方案

WideIP 的配置:

WideIP:https://www.wendangku.net/doc/8a12559295.html, Virtual Server Pool:

218.18.103.___:80, 202.96.135.116:80

Load Balancing Method: QOS->Round Robin 1． 上线条件检查。（发通知给相关部门、所有所需设备、线缆是否准备充分、相关工程技术人员是否到位、

DNS 记录修改）

2.3. 防火墙配置更改

在配置更改前，现将现有配置进行备份，以便恢复

防火墙需要将原网通的untrust 区用私用地址的替换，（因为网通的vlan 已经终结在F5 link controller 上）并更改默认的网关。并且去掉原来的对公网地址的nat 规则，只做安全控制。

A) IP 地址分配

Untrust 区需更改地址为

B) 路由配置

默认网关： 172.31.1.14

增加规则设置

Firewall

2.4. 对网络结构进行调整、接线、设备上线

2.5. 修改DNS 服务器设置

参见2.2 i ）

2.7. 配置回滚过程

如果出现需要回滚的情况，只需要将保存的防火墙配置恢复，恢复原来的连接网线，DNS 配置恢复即可。

Chapter 3 实施时间表

实施时间表