1、F5 Networks BIGIP LinkController 配置指南(V10版),初始化设备,安装V10的最新版本,下载链接:https:/配置管理地址如果使用默认地址,管理口为192.168.1.245/24如果需要使用其他地址,可通过config命令在命令行配置界面下进行设置激活License设置正确的时区( 在命令行下使用date命令修改日期),双机时间相差不要超过30秒,且修改完成后用hwclock systohc将时间写入芯片。设定管理员密码,如果不熟悉BIG-IP V10的基本设置,请参考BIG-IP LTM的相关文档。,LinkController实施前的准备,确定网络结构
2、图!确定网络结构图!确定网络结构图!确定应用的访问流程!确定应用的访问流程!确定应用的访问流程!,典型网络拓扑,电信,网通,内,网,防火墙,VLAN CT_Link,VLAN Internal,VPN,WEB,DMZ区,服务器区:wideips: CNCip/CTCip,F5 BIG-IP LC,EMAIL,VLAN CNC_Link,ISP #1,ISP #2,Link Controller 的主要功能,Internet,Load Balance Servers,LB Inbound Links,LB Outbound Links,处理3种负载均衡流量,Link Controller基本网络
3、设置,LC测试网络拓扑结构图,配置VLAN:,LinkController V10 基本网络配置,配置Self IP:,LinkController V10 基本网络配置,在开始配置GTM/LC部分时,请先确认一下你的gtmd是否启动了?,如果不是通过wizard配置网络,初始时由于没有网络地址,gtmd并不会启动。当配置完网络ip和路由后,必须重启机器或者restart gtmd将gtmd启动。否则的话,尽管图形界面上GTM/LC的配置存在,但是wideip.conf文件并没有创建,所有配置重启后均丢失!可以在命令行下面输入bigstart status gtmd查看gtmd是否启动。,Li
4、nkController V10 Outbound 配置步骤,建立一个Default_Gateway_Pool:,LinkController V10 Outbound 配置步骤,Outbound流量以轮询的方式在两个ISP链路之间分发,当LC检测到链路Down时会变为红色,如链路正常为绿色,如是蓝色则表示没有设置健康检查方式。,链路健康检查,网关健康检查,gateway_icmp的monitor,以实现链路故障切换链路全路径检查设置全路径检查一般是配置网关的下一跳的IP地址,Gateway Pool属性的设置,在轮询方式下记住将Action On Service Down改为Reject,配
5、置Link Controller的缺省路由:1、需要先建立一个Default_Gateway_Pool2、在networkroute中进行配置,Outbound配置步骤,配置Outbound的VS: 0.0.0.0:0Type:Performance(Layer 4)Protocol:All Protocols,Outbound配置步骤,配置Outbound FTP的VS:0.0.0.0:ftp。,Outbound 配置步骤,为什么要对FTP作特殊处理:Performance Layer4不修改应用层数据;FTP会将协商好的端口放在应用层报文中。FTP主动模式:client 高端口连接serv
6、er 21端口然后client 使用port命令如192,168,1,15,18,119就是client告诉server 往这个地址和端口号传输数据IP:192.168.1.15port number:18*256+119=4727这个时候client在监听这个端口,同时server使用20号端口来连接client 4727端口来传输数据。FTP Profile的作用:BIG-IP会监测client端连接server的21端口,在控制命令中的ip和端口都做了相应的修改。把client的ip修改成映射后的地址,同时打开相应的端口,在0.0.0.0的virtual Server上设置源地址转换SN
7、AT的相关设置:通过在Virtual Server上设置SNAT Auto Map可以让Outbound流量从哪个ISP链路出去,就用LC上哪个ISP链路相应VLAN的SelfIP作为转换后的IP地址出去。如果LC是采用双机配置,则SNAT Auto Map将采用LC双机的Floating IP作为转换后的地址。,Outbound配置步骤,这样,基本的Outbound负载均衡的配置就结束了,内部的用户,可以通过轮询的方式在两条线路之间进行选择来访问外面了。下面我们要继续进一步讨论如何优化Outbound负载均衡的策略和满足一些特殊的需求:根据运营商选择线路,主要是通过Rules来实现的。有选择
8、性地进行SNAT对Outbound流量进行带宽限制,Outbound 配置步骤,Outbound的高级配置根据运营商选择线路,需求: 对于去往中国电信的访问,走电信的线路CT_Pool,当电信的线路故障时,走网通的线路,对于去往中国网通的访问,走网通的线路CNC_Pool ,当网通的线路故障时,走电信的线路,其他的访问在中国电信和中国网通之间负载均衡Default_Gateway_Pool。,Outbound的高级配置根据运营商选择线路,建立CT_first_pool:由于当电信的线路故障时候需要用网通的线路做备份,所以在CT_first_pool里面启用了”Priority GroupAct
9、ivation”,把电信线路的Priority设置高一些,而网通线路的Priority设置低一些。,Outbound的高级配置根据运营商选择线路,建立CNC_first_pool:由于当网通的线路故障时候需要用电信的线路做备份,所以在CNC_first_pool里面启用了”Priority GroupActivation”,把网通线路的Priority设置高一些,而电信线路的Priority设置低一些。,Outbound的高级配置根据运营商选择线路,所有的Pool设定好以后如下:,Outbound的高级配置根据运营商选择线路,设定好Pool以后,我们需要定义中国电信和中国网通地址段的Class
10、,然后在Rules中根据class来识别用户去往那个运营商。V10版本的Class格式和V9版本的Class有些不一样。V9版本 V10版本,Outbound的高级配置根据运营商选择线路,为了提高地址的添加速度,我们可以手动编辑bigip.conf文件,按照上页V10版class所示添加地址,再b load一下即可。,Outbound的高级配置根据运营商选择线路,根据去往不同的运营商( 目的地址)进行选择不同线路的Rulesrule Rule.Destination_Base_Route timing on when CLIENT_ACCEPTED if matchclass IP:local
11、_addr equals $:ct_classpool CT_Pool elseif matchclass IP:local_addr equals $:cnc_classpool CNC_Pool else pool Default_Gateway_Pool,IP:local_addr代表的是内网要访问的目的地址,Outbound的高级配置根据运营商选择线路,把irule和vs绑定,Outbound 常用Rules参考,对指定源IP地址设定SNAT Pool规则。根据到不同的运营商选定不同的NAT_Pool的Rulesrule DNS_Outbound_Snat_Rules when LB_
12、SELECTED if matchclass IP:remote_addr equals $:dns_class if IP:addr LB:server addr equals 219.1.1.1 snatpool DNS_SNAT_CT_Pool elseif IP:addr LB:server addr equals 211.1.1.1 snatpool DNS_SNAT_CNC_Pool else snat automap ,IP:remote_addr代表的是内网客户端的IP地址,对于某些内网是公网地址不需要做NAT的Ruleswhen CLIENT_ACCEPTED if matc
13、hclass IP:local_addr equals $:cernet_add if matchclass IP:remote_addr equals $:donot_snat_cernet pool cernet_donot_snat_pool else pool cernetnat_pool else pool tel_pool ,Outbound 常用Rules参考,Outbound 常用Rules参考,when CLIENT_ACCEPTED if matchclass IP:local_addr equals $:ip_ct pool ct_pool snat automap el
14、seif matchclass IP:local_addr equals $:ip_cnc pool cnc_pool snat automap else pool cnc_pool snat automap ,LinkController V10 Inbound 配置步骤,添加link,分别为ct和cnc链路添加link并配置monitor,Router Address即链路的网关地址,添加listener,每一条链路都需要配置一个listener,设定Server Pool,Pool是用来代表服务器的,Virtual Server将通过调用Pool来把请求转到真实的服务器上。,Inboun
15、d 配置步骤,设定完Server Pool,接下来要针对每一条线路设定一个Virtual Server,每个Virtual Server都会调用相同的Pool。,LinkController V10 Inbound 配置步骤,同样方法建立一个VS_CT_web的Virtual Server。Virtual Server列表如下:,LinkController V10 Inbound 配置步骤,LinkController V10 Inbound 配置步骤,VS创建完成后,点击创建的vs可以发现,前面建立的link会自动和vs创建关联,如果出现关联不对的情况下,可以手动修改wideip.conf
16、文件,将正确的关联关系修改。,VS的特别说明,VIP可以是一个Forwarding IP类型,这样如果内网用的是公网地址,可以在LC上配置一个相同IP地址的Forwarding Virtual server,利用LC上的静态路由Forward到真实服务器上。(前提是不需要用LC来实现服务器负载均衡)。这在LC测试时,不想修改服务器地址时比较有用。,关键的wideip部分,LinkController V10 Inbound 配置步骤,推荐的Wideip的LB算法为TopologyNoneGA,添加Topology记录,创建各ISP的Region,创建Topology记录,关于Weight的值,Weight的值不要设置成一样大小,LinkController V10 DNS迁移指南,修改之前的DNS设置(以为例): NS NS A 202.99.8.1 修改之后的DNS设置(以为例) : NS NS CNAME . NS NS A 58.248.186.191 A 61.140.186.22,LinkController V10 DNS迁移指南,
