F5_big-ip_LTM_组网架构.pptx

F5 LTM组网架构杨明非F5北方区技术经理Agenda单臂接入模式双臂接入模式远程节点模式加入独立SSL/WA/ASM设备防火墙负载均衡多链路接入灾备站点静态路由注入LTM单臂接入模式单臂接入模式下的网络物理结构外部网络核心三层交换Vlan 1LTM服务器服务器LTM串口心跳线LTM单臂源地址替换接入典型架构设计NetworkTrunkCore SwitchCore SwitchSelfIP:00GW:54VS:00SNAT AutomapSelfIP:01GW:54VS:00SNAT AutomapHSRP 54TrunkTrunkServerServerBackupActiveIP:GW:54IP:GW:54网络同步-独立Vlan串口心跳单臂接入-源地址替换模式数据访问流程Client　SIPSportDIPDport①②678780③538888180④180538888⑤⑥806787①⑥54核心三层交换54②⑤③服务器服务器LTM④0GW:541GW:54VS: :80SelfIP: 53GW:54源地址替换后的处理HTTP ProfileClientiRules①⑥when HTTP_REQUEST { HTTP::header insert Client_IP= [IP::client_addr]}54核心三层交换只有HTTP协议的时候，可以通过将源地址插入到客户端请求的HTTP Header里，然后在服务器上通过读取这个Header，获得客户端的真实源IP地址54②⑤③服务器服务器LTM④0GW:541GW:54VS: ：80SelfIP: 53GW:54单臂接入-npath模式数据访问流程　SIPSportDIPDport①②678780③678780④⑤806787Client⑤①54npath模式的关键在于服务器上配置的loopback地址在上能找到各种服务器的loopback地址如何配置的文档核心三层交换54②④LTM服务器服务器③0Lo:GW:541Lo:GW:54VS: :80SelfIP: 53GW:54单臂接入-服务器非直连模式（无源地址替换）　SIPSportDIPDport①②678780③④6787180⑤⑥1806787⑦⑧806787Client①⑧⑦5454②VS: :80SelfIP: 53GW:54核心三层交换LTM③54④⑥⑤无源地址替换的单臂接入模式使用比较少，通常用于对现网不能改造的情况这种模式下需要在核心三层交换上启用源地址路由，将服务器的所有返回数据包转向LTM，这样才能保证进出的连接完整性建议在这种结构下采用源地址替换以减小网络复杂程度服务器服务器0GW:541GW:54同网段访问处理-必须通过SNAT实现核心三层交换54②①客户端LTM服务器④③0GW:541GW:54VS: ：80IP: 53GW:54　SIPSportDIPDport①0678780②538888180③180538888④806787单臂接入-服务器更改网关数据访问流程Client　SIPSportDIPDport①②678780③6787180④1806787⑤⑥806787①⑥54核心三层交换54②⑤③服务器服务器LTM④0GW:531GW:53VS: :80SelfIP: 53GW:54服务器更改网关后的直接访问服务器问题　SIPSportDIPDport①②6787180③1806787Client①SYN54FastL4 Profile核心三层交换54②SYN③SYN-ACK服务器服务器LTM0GW:531GW:53VS: ：80IP: 53GW:54双臂接入模式LTM双臂接入模式典型架构设计NetworkSelfIP EXT:00SelfIP INT:00GW:54VS:00SelfIP EXT:00SelfIP INT:00GW:54VS:00HSRP 54VLAN EXTVLAN EXTVLAN INTVLAN INTActiveBackup FIP:54 FIP:54HSRP 54ServerLB ServerServerLB ServerIP:GW:54IP:GW:50IP:GW:54IP:GW:50网络同步-独立Vlan串口心跳双臂接入-服务器直连Client　SIPSportDIPDport①678780②6787180③1806787心三层交换54④①VS: EXTIP: 53/VLAN EXTINTIP:54/VLAN INTGW:54LTM②③服务器服务器0GW:541GW:54双臂接入-串联部署-扩展端口Client　SIPSportDIPDport①678780②6787180③1806787心三层交换54④①VS: