《F5 BIG-IP LTM部署方案(组建网络部分).docx》由会员分享,可在线阅读,更多相关《F5 BIG-IP LTM部署方案(组建网络部分).docx(29页珍藏版)》请在三一办公上搜索。
1、F5 BIG-IP LTM 部署规范参考F5 BIG-IP LTM部署参考方案网络部署分析部分2009-02-18目 录第1章、前言2第2章、概述32.1文档目的32.2文档范围32.3目标读者3第3章、F5 LTM组网原则33.1可用性43.2可靠性43.3扩展性43.4可管理5第4章、F5 LTM组网结构54.1串行结构54.1.1串行组网方式一54.1.2串行组网方式二74.1.3两种方式比较分析84.2并行结构94.2.1接入方式一104.2.2接入方式二114.2.3接入方式三124.3 HA部署分析144.3.1部署方式一144.3.2部署方式二154.3.3部署方式三154.4
2、Channel部署164.5 组网结构对比总表18第5章、F5 LTM网络配置205.1 F5 LTM端口类型205.2 F5 LTM端口连接方式215.2.1Trunk连接215.2.2Tag-base access to vlans连接225.2.3Port-based access vlan连接235.3 F5 LTM VLAN划分235.4 F5 LTM Self IP划分265.5 F5 LTM路由配置28第1章、前言根据目前F5 BIG-IP LTM设备在网络环境中部署的需求不断增加,为了能够使BIG-IP LTM组建的网络环境更加有效提高网络安全、稳定性及业务的整体性能,我们对B
3、IG-IP LTM在组网结构方面进行了细致分析,介绍使用现状,以便为部署F5 BIG-IP LTM设备的人员提供帮助和参考。第2章、概述2.1文档目的该文档的主要目的是能够帮助部署F5 BIG-IP LTM人员,在BIG-IP LTM网络方面的组网结构选择、部署方法等提供有效的分析和参考,使F5 BIG-IP LTM在网络环境中更加规范有效。2.2文档范围该文档主要针对F5 BIG-IP LTM设备在构建整体网络环境,BIG-IP在网络环境中的位置,连接方式等方面进行了详细的描述和分析。同时介绍了F5 BIG-IP LTM设备本身物理端口特性、工作模式,VLAN划分方法、IP地址分配原则、路由
4、配置策略等方面的细节。2.3目标读者该文档主要阅读对象为F5 BIG-IP LTM部署的设计和管理人员,借此文档对F5 BIG-IP LTM组网规范和在现有网络环境中部署进行了解。也适用于对F5 BIG-IP LTM设备有所了解的其他网络设计、管理或工程人员。第3章、F5 LTM组网原则在应用F5 BIG-IP LTM在网络环境中进行组网时,根据系统的原有架构设计,及业务的应用模式,在保证原有业务的正常运行条件下,本着能够满足功能、具备可靠性、可扩展性、可管理性的原则,建立规范的负载均衡网络,顺利实现安全、优化、可用的目标。同时在部署F5 BIG-IP LTM时要最大化的保护既有投资,确保F5
5、 BIG-IP应用在综合组网环境的正常运行,避免设备之间的依赖行,设备的更新必须具有独立性,支持网络的逐渐升级。避免把简单易于实现的组网模式变成复杂的组网过程,如网络和应用部门各自为战,各个应用系统之间相对独立的部署,由于没有及时沟通,导致了应用的部署及其复杂,应用系统不断提出不同需求,使得网络部门为不同的应用系统准备不同的网络环境而致使网络结构的复杂,这样不仅增加了网络故障的发生几率,而且影响应用服务质量。3.1可用性F5 BIG-IP LTM部署在网络环境中,最终目的是对业务应用流量的负载均衡,保证高性能的对外提供服务。因此在部署F5 BIG-IP LTM首先要满足所有的需求功能,包括网络
6、功能、业务系统功能及BIG-IP LTM自身负载均衡功能,达到整个系统运行的可用性。3.2可靠性在网络环境中,所有应用均为关键性业务系统,因此要求由F5 BIG-IP LTM组建的网络必须为高可靠型。根据BIG-IP LTM自身的特性提供了高效的HA环境,在发生故障时可实现毫秒级的主备切换速度,为应用业务的持续运行提供了有效保障。3.3扩展性在F5 BIG-IP LTM组建的网络环境里,BIG-IP LTM在应用服务中起到了核心的作用,在其组建网络时避免BIG-IP LTM与其他网络设备存在依赖性,随着以后性能需求的增加可以对BIG-IP LTM进行伸缩性的扩展。同时F5 BIG-IP LTM
7、设备本身可支持对后端服务器横向扩展,支持动态的增加或删除负载均衡服务器组中任何数量的服务器,实现服务器的高扩展性。3.4可管理F5 BIG-IP LTM 组建的高性能负载均衡网络,要求对BIG-IP LTM设备本身及它所负载均衡的服务器必须能够实现可控制、可管理。BIG-IP LTM支持灵活安全的命令行接口与WEB图形界面的管理。同时遵循标注的SNMP协议第三方网管软件管理。在对所负载均衡的服务器,BIG-IP LTM可以对服务器组中服务器进行灵活的操作,如在不影响业务情况下进行主机维护与软件升级等操作,实现对服务器的可管理性。第4章、F5 LTM组网结构F5 BIG-IP LTM设备在组建负
8、载均衡网络过程中,该设备的部署位置至关重要,在一般的网络部署结构中以及目前F5 BIG-IP LTM的组网结构成功案例中,通常的部署结构分为串行结构和并行结构。在当前这种复杂的网络环境中,串行结构与并行结构在实际应用与运行中同样是相对较为规范合理的部署。4.1串行结构在部署F5 BIG-IP LTM设备组网时,所谓的串行结构,指的是BIG-IP LTM在网络拓扑结构中位于上下两层网络设备之间,如位于交换机与交换机之间等,所有的网络流量在最终到达服务器或者返回客户端前必须经过BIG-IP LTM设备处理,因此整个网络结构,应用业务功能的实现对BIG-IP LTM设备依赖性较强。在串行结构中,BI
9、G-IP LTM与其他网络设备可以有不同的连接方式,每种连接方式都在网络结构中体现不同实施策略,包括从安全性、可靠性及可用性角度的分析考虑。下面我们介绍两种常见且部署较为规范的串行结构。4.1.1串行组网方式一如下图:在以上面的拓扑结构进行组网,F5 BIG-IP LTM处于两组核心交换机中间,使用单条链路进行链接,形成整体的串行结构,同时为典型的口字型结构。数据的访问流向均先经过上层核心交换机,通过上层核心交换机进入F5 BIG-IP LTM负载均衡设备,根据BIG-IP LTM实施的负载均衡策略对流量进行负载均衡,经过下层交换机到达相应的服务器,返回的数据流亦然。在F5 BIG-IP LT
10、M与下端交换机层面,BIG-IP LTM直接与交换机相连,所有被负载均衡的服务器与交换机相连,这种部署结构,当BIG-IP LTM的固有端口有限,而服务器的数量大于BIG-IP LTM端口数量时,此时通过该方法在逻辑上有效的增加了BIG-IP LTM端口数量。同时可以根据应用业务的不同,在下层交换机上进行多VLAN的划分,以隔离不用业务的服务器,或在交换机上利用良好ACL执行服务器间访问策略。从拓扑图中我们可以看到BIG-IP LTM的这种连接方式无论在网络结构以及数据流走向方面都比较清晰有序。在可靠性方面两台F5 BIG-IP LTM互为主备模式,同时BIG-IP LTM可以探测上下两层交换
11、机状态,一旦检测到对应的交换机出现故障,BIG-IP LTM可以及时进行主备切换,保证应用业务的持续性。4.1.2串行组网方式二如下图:在以上面的拓扑结构进行组网,F5 BIG-IP LTM同样处于两组核心交换机中间,分别使用双条链路与上下两组交换机进行链接,形成整体的串行结构中的交叉连接方式。此连接方式需要BIG-IP LTM提供相应的端口密度,在网络环境中,负载均衡设备都为BIG-IP LTM6400以上型号,因此所提供的端口密度都能够满足不同的需求。F5 BIG-IP LTM的这种组网方式,数据流访问过程同样必须经过BIG-IP LTM传递到下层交换机,负载均衡到相应的服务器。这种组网方
12、式在数据的可靠性、冗余性上有了很大的提高,BIG-IP LTM通过与上下层核心交换机利用生成树协议(STP)使交叉连接的双链路其中一条成为备份状态,当其中一条链路出现故障,可利用另一条链路接管所有流量。同时这种连接方式减少了BIG-IP LTM对上下层相关网络设备的依赖性,只有当与BIG-IP LTM连接的两条链路全部down掉后,BIG-IP才发生主备切换,减少了BIG-IP LTM由于其他网络设备引起的链路故障导致发生的切换。通过以上的分析及拓扑图我们可以看到,F5 BIG-IP LTM这种交叉连接方式增加链路的冗余度,使网络环境状态更趋于可靠、稳定。为应用业务的有效运行提供了保障。4.1
13、.3两种方式比较分析F5 BIG-IP LTM串行结构的组网中,我们介绍了两种常见的BIG-IP LTM连接方式,一种为单链路连接,另一种为双链路的交叉连接方式。两种方式在网络环境中有着各自的组网特点,发挥了不同的作用。方式一,单条链路组建的F5 BIG-IP LTM串行结构,整体网络结构比较单一整齐,业务数据流走向清晰可见,易于运维人员的设计、部署实施,及后续的维护、管理,相关故障的排查。在可靠性方面,两台BIG-IP LTM采用主备(Active/Standby)模式,当BIG-IP LTM设备本身或者由于上下层对应交换机出现故障导致流量中断,BIG-IP LTM均可以进行毫秒级切换,保证
14、应用业务的持续性。由于采用的是单链路连接,因此在链路的可靠性、冗余性相对较弱,一条链路的故障必须导致F5 BIG-IP LTM进行切换,同时BIG-IP LTM与上下层网络设备存有一定的相互依赖性,在某些环境下,相关网络设备的切换,BIG-IP LTM同时需要切换,即使BIG-IP LTM设备运行正常,增加了F5 BIG-IP LTM设备主备切换的概率。方式二,双链路交叉连接的串行结构,增强了网络整体结构的冗余性、可靠性,一条链路的故障不会引起BIG-IP LTM主备状态切换,应用业务流量可依靠另一链路进行传输,使整体网络环境状态更趋于稳定。并且由于冗余链路的出现,减轻了BIG-IP LTM与
15、其他网络设备的依赖性,数据流的走向可以根据不同链路进行传输。虽然双链路的串行结构,加强了网络结构的冗余性与可靠性,但此连接方式相对较为复杂,数据流走向存在多种选择,同时与其他网络设备存在生成树(STP)计算问题,无论是在部署实施、还是日常的管理、维护及相关故障的排除但来了一定的难度。以上两种串行连接方式,所有的网络流量在到达服务器前或者服务器主动发起的出访流量必须经过F5 BIG-IP LTM设备,由于BIG-IP LTM在网络中的特殊位置,一些非负载均衡流量也需要经过BIG-IP LTM,此时我们需要在F5 BIG-IP LTM进行Forwarding VS的配置,对不同流量经由BIG-IP
16、 LTM时进行转发,降低了BIG-IP LTM的使用性能。通过对以上分析,及现有F5 BIG-IP LTM所组建的网络结构运行稳定情况,一般我们建议应用BIG-IP LTM进行网络结构设计时,选择方式一的单链路口字型组网方式。4.2并行结构所谓的并行结构,指的是F5 BIG-IP LTM以旁路的方式部署在现已运行(或新建)的网络环境中,通过这种组网结构方式,BIG-IP LTM可以方便、快速的部署到现有网络环境中,实现负载均衡功能,同时也是对现有网络结构,应用业务及服务器配置更改最少的一种接入方式。典型的拓扑结构如下图:在上图的组网结构中,我们可以直观看到F5BIG-IP LTM可以很容易的接
17、入在现有网络环境中,原有的网络设备、物理链路连接和应用服务器在网络配置上均无需做任何改动,只需在BIG-IP LTM与核心交换机间配置相应的端口、VLAN及IP地址就可以完成设备互连,实现相关负载均衡技术,同时可以在接入交换机或核心交换机上对服务器进行横向扩展。在将F5 BIG-IP LTM以并行的结构部署在网络环境中时,与核心交换机的逻辑连接有不同的选择方式,根据不同的接入方式,在相关的配置及负载均衡数据流的走向上也略有不同。在下面的小节中我们将做相关的介绍。4.2.1接入方式一F5 BIG-IP LTM以并行结构接入现有网络环境中,在对BIG-IP LTM进行VLAN划分、IP地址分配时,
18、可以将BIG-IP LTM与所需进行负载均衡的服务器处于相同VLAN中,所分配的IP地址与服务器原有IP地址在同一网段内。如下图所示:这种方式的接入,F5 BIG-IP LTM与服务器在同一网段下,所有配置的VS地址与服务器IP地址均在同一网段下,通过这样的配置使网络层次结构、数据流量的传输看起来更加清晰,实施相对较为简单。在这种方式下服务器的默认网关一般会设置为BIG-IP LTM上对应的Self IP或者Floating IP,使客户端流量通过BIG-IP LTM负载均衡后直接到达后端服务器时,无需做任何源地址转换及路由选择,保留了客户端源地址,可以很容易的满足应用上一些特定要求。4.2.
19、2接入方式二F5 BIG-IP LTM以并行的结构接入现有网络环境中,BIG-IP LTM与所负载均衡的服务器处于不同的VALN之中,IP地址属于不同的网段,该方式多应用在当部署BIG-IP LTM到网络环境后,现有的服务器IP地址空间不足以分配给BIG-IP LTM相应的Self IP及VS,因此需要进行单独VLAN、IP地址的重新划分。如下图所示:由于F5 BIG-IP LTM与所负载均衡的服务器不在同一网段内,此时服务器的默认网关不能直接指向在BIG-IP LTM设备上,必须指向核心交换机三层地址。这样在数据流量访问过程中会出现如下问题:客户端可以正常通过BIG-IP LTM 的VS将流
20、量负载均衡到对应服务器,但当服务进行响应回包给客户端时,无法再次经过BIG-IP LTM,而是通过核心交换的路由直接回给了客户端,导致客户端访问的失败。在这种情况下,在BIG-IP LTM上需要做特殊的配置,在客户端请求进入BIG-IP LTM时,改变客户端的源地址为BIG-IP LTM设备上的IP地址,强制使服务器的回包经过BIG-IP LTM回应给用户客户端,实现负载均衡。该接入方式的另一个优势为,当由于极端情况下,两台F5 BIG-IP LTM同时出现故障无法正常工作,为了保证业务的正常访问,可以临时通知用户后台服务器的真实地址或者将原来对外提供服务的VS地址直接配置到后台服务器上,以保
21、证业务应用的持续性。4.2.3接入方式三F5 BIG-IP 在以并行结构的方式接入网络环境中时,可用双链路的连接方式接入核心交换,为不同的链路划分不同的VLAN,用以区分进出BIG-IP LTM的不同数据流,或者将不同业务的数据流在不同的线路上进行加以区分传输。如下图所示:通过上面的拓扑图,不同的业务类型的数据流在不同的链路上进行传输,这样的结构能够使业务分类更加清晰,便于日常的流量观察及维护,甚至进行流量捕获分析,在相关业务出现问题后,可以有较清晰的思路加以研究,及时解决问题,保证应用业务的可用性。该接入方式也用于对进入BIG-IP LTM数据流和流出BIG-IP的数据进行区分,也就是数据流
22、可以按照需求从一条链路进出,从另一条链路流出,也能够达到对应用业务流的进出进行清晰判断的目的。同时该接入方式由于F5 BIG-IP 上的不同链路与服务器在不同VLAN,各自的三层的网关可以设置在核心交换机上,通过调整核心交换机的路由或者在核心交换机配置相关的策略路由,根据需求调整不同的流量类型经过BIG-IP LTM进行负载均衡处理或者不经过BIG-IP LTM直接由对应服务器处理流量。此时服务器网关需要设备在核心交换机上。在可靠性上由于是双链路实现了不同业务或者不同数据流走向的区分,一旦某条链路出现故障,将会导致其中某一业务或者某一流向的业务中断,在F5BIG-IP LTM的冗余模式下,我们
23、可以配置对每条链路的探测,当其中一条链路出现故障后,BIG-IP LTM立即进行切换,保证应用业务的持续性。在不同的网络环境或应用需求下不仅可以双链路接入,还可以进行多链路的接入,但原则要以最简单、最清晰的网络结构实现最佳的性能,满足最大的需求。4.3 HA部署分析在F5 BIG-IP LTM 进行组建网络结构中,为保证业务稳定、持续性的运行,BIG-IP LTM一般采用双机模式,构建高可靠的HA环境。当其中一台设备出现故障无法处理相关网络流量,另一台设备立即接管处理所有网络流量,使应用业务不间断对外提供服务。F5 BIG-IP LTM在双机模式中,可配置为主备模式(Active/Standb
24、y)和主主模式(Active/Active),根据当前F5 BIG-IP LTM的双机部署案例,以及目前所采有的模式,我们建议采用AS模式,即Active/Standby结构。AA模式不在本文当中讨论。处于HA环境的两台F5 BIG-IP LTM设备使用Failover串口线交换心跳信息,通过网络传输数据信息,根据监控心跳信息和数据传送方式的不同,BIG-IP LTM双机连接可以有不同的方式。以下是三种常见的部署连接方式。4.3.1部署方式一两台F5 BIG-IP LTM间采用failover线监控设备心跳信息,数据同步信息与实际业务数据在同一线路上进行传递,具体如下图所示:这样部署的优势使B
25、IG-IP LTM设备心跳信息和数据信息在不同通道传送,保证了数据独立性,同时数据信息和业务信息在同一数据通道传送,节省了端口,但增加了数据信息传送的不稳定和易受干扰性。建议在设备端口密度不足的情况下使用。4.3.2部署方式二两台F5 BIG-IP LTM间采用Failover线缆监控设备心跳信息,数据同步信息与实际业务数据分别在单独的线路上传递,具体如下图所示: 这样部署的优势在于使BIG-IP LTM设备间心跳信息和数据信息在不同的通道传送,保证了数据独立性,同时数据信息和业务信息分开,保证了其安全稳定性,但增加了设备端口的使用数量。建议在设备端口密度充足的情况下使用此种部署结构。4.3.
26、3部署方式三两台F5 BIG-IP LTM间采用网络线缆监控设备心跳信息,同时传递数据同步信息。具体如下图所示:这种部署方式的优势是两台F5 BIG-IP LTM设备可以安装距离相距较远,但设备心跳信息和数据信息都通过网络传递,安全稳定性较差。建议在设备安装位置相距较远时按照此结构进行部署。此项部署需要在设备的system中HA中进行特殊指明。建议在部署时尽量避免该结构的产生。4.4 Channel部署在F5 BIG-IP LTM的组网结构中,我们分别对串行结构、并行结构的各种组网方式,链路接入方式做了详细的分析和介绍。在以上的所有结构组建的基础上,F5 BIG-IP LTM均可以进行多链路的
27、channel绑定,增强链路的冗余性,增加网络吞吐量,提高整体网络传输性能。并行结构中的一个Channel示意图如下:在F5 BIG-IP LTM的网络Channel设置中,BIG-IP LTM能够与其他网络设备很好兼容,进行链路捆绑,支持IEEE802.3ad标准的LACP(链路汇聚控制协议)。使能某端口的LACP协议后,该端口将通过发送LACPPDU向对端通告自己的优先级、系统MAC地址、端口优先级、端口号等,对端接收到这些信息后,将这些信息与其它端口所保存的信息比较以选择能够汇聚的端口,从而双方可以对端口加入或退出某个动态汇聚组,达成一致。在F5 BIG-IP LTM设备上可同时支持8个
28、端口链路捆绑。根据目前的Channel使用经验,当有对channel使用需求时,一般建议只采用双链路进行Channel绑定,提高链路冗余度,增强网络吞吐量。294.5 组网结构对比总表组网结构接入方式优点缺点应用场景备注串行结构串行方式一(单链路)1、网络结构简单、整齐,数据流量走向清晰。2、易于设计、部署实施。3、便于后期维护及故障排查。1、可靠性、冗余性相对较弱。2、与互连的网络设备存在一定依赖性,相对增加了HA切换概率。1、多应用在新建网络2、直接访问后台服务器需求较少的环境中。少量用户采用串行方式二(双链路交叉)1、增强网络结构可靠性、冗余性高。2、与互连网路设备依赖性较小,减小了HA
29、切换概率较。1、设计、部署及数据流走向较为复杂。2、存在生成树(STP)计算问题。3、日常的维护及故障排查存在一定难度。1、多应用在新建网络环境2、直接访问后台服务器的需求较少3、对可靠性、冗余性要求非常高。较少采用并行结构(旁路)接入方式一(F5、Server同VLAN)1、易于接入现有网络环境,网络配置变更较小,整体网络结构简单清晰。2、路由结构简单,服务器网关可指向F5,无需源地址转换,保留客户端源地址。由于BIG-IP LTM与服务器在同一网段,需从技术上保证从服务器的返回数据包经过BIG-IP。有两种可选方案:1.保留客户端源IP,需变更原服务器网 关指向BIG-IP LTM。2.不
30、改变服务器网关指向,在F5 BIGIP-LTM上配置SNAT,这时客户端的源IP会被替换掉.1、多应用在对现有网络中部署F5BIG-IP LTM。2、直接访问后台服务器的需求较多3、服务器IP地址空间较大,足够分配给BIG-IP LTM的selfIP、VS等。采用较多接入方式二(F5、Server异VLAN)1、易于接入现有网络环境,网络配置变更较小,整体网络结构简单清晰。2、对BIG-IP LTM的IP地址分配较为灵活,便于规划。1、BIG-IP LTM与服务器在不同网段,数据进入BIG-IP LTM需做客户端源IP转换。2、预保留客户端IP,需在BIG-IP LTM特殊配置。1、多应用在对
31、现有网络中部署F5BIG-IP LTM。2、直接访问后台服务器的需求较多或服务器IP地址空间不足分配给BIG-IP3、预同服务器进行广播隔离。一般不建议采用此结构接入方式三(双链路不同VLAN接入)1、易于接入现有网络环境。2、可清晰判断进出数据流或者不同的业务类型数据流。3、可调整其他网络设备上路由对进出BIG-IP流量灵活控制。IP地址需求要较前两种并行方式多。1、多应用在对现有网络中部署F5BIG-IP LTM。2、直接访问后台服务器的需求较多3、预对进出数据流或不同业务流加以区分,便于分析,及灵活控制进出BIG-IP数据流量。4、应用需要看到客户端源IP.采用较多,F5推荐的标准配置方
32、案第5章、F5 LTM网络配置F5BIG-IP LTM的产品有着自身的基本物理特性,在网络层面有着独有的配置方式,同时BIG-IP LTM处于网络与应用之间的设备,我们既不能单纯把BIG-IP LTM看做网络设备也不能单纯看做服务器。因此我们需要对BIG-IP LTM产品物理特性,如端口类型、端口连接方式、VLAN、IP、路由划分有较为充分的理解,才能使BIG-IP LTM部署在网络环境中发挥最大的功能,提高整体网络性能和稳定性。5.1 F5 LTM端口类型在F5 BIG-IP LTM产品中支持10/100/1000BASE-TX的以太网物理端口和标准的千兆光纤接口,并且根据需求可以选用单模或
33、多模的光纤模块,在高端的F5 BIG-IP LTM产品支持万兆(10G)端口,如BIG-IP LTM8400、BIG-IP LTM8800产品,并且随着F5 BIG-IP LTM不同的产品型号,各种端口的密度也不尽相同。图解:目前在网络环境中,所应用的F5 BIG-IP LTM产品为LTM6400、LTM8400、LTM8800,以下为常用的F5 BIG-IP LTM型号物理相关特性统计。端口类型F5 BIG-IP LTM6400F5 BIG-IP LTM8400F5 BIG-IP LTM8800总端口数20262610/100/1000BASE-T161212SFP-GBIC (Fiber
34、GE412(与电口共用)12(与电口共用)10G FiberN/A225.2 F5 LTM端口连接方式在规范性网络环境中,对网络整体性能、带宽、传输速率都有着较高的要求,保证数据应用业务高效、可靠的传输。根据当前部署规范要求,在F5 BIG-IP LTM在与其他网络设备互连时,采用光纤接口进行互连。在F5 BIG-IP LTM与服务器直接互联时采用10/100/1000M以太网端口互连。在利用F5 BIG-IP LTM进行组网与其他网络设备进行互连时,互连方式在逻辑上我们可以有Trunk、Tag-base access to vlans(一个端口跑多VLAN)、port-based acces
35、s vlan(VLAN接口互连)。5.2.1Trunk连接在F5 BIG-IP LTM设备里,Trunk的概念相当于Channel的技术(4.4节有介绍),也就是链路聚合的连接方式,将多个F5 BIG-IP LTM的端口捆绑成一条高带宽的链路与对端的网络设备进行互连,提高数据的传输性能,有效避免链路出现拥塞现象。在BIG-IP LTM设备上最多可以聚合八个端口与对端设备进行互连。逻辑示意图如下:通过Trunk的互连方式,增加的带宽的同时也对该链路提供了可靠的冗余度,当某条链路出现故障或者端口出现故障,均不会导致该链路数据传输的失败。因此在进行该方式进行互连后,建议对所有的互连端口、链路做好充分
36、冗余性测试,保证互连后设备间高可靠性。5.2.2Tag-base access to vlans连接F5 BIG-IP LTM设备可以提供在一条链路承载多个VLAN的流量进行传输。该情况多用于在BIG-LTM对后端服务器进行负载均衡时,服务器在F5 BIG-IP LTM下划分了多个VLAN,因此多个VLAN的流量需要在一条链路上通过BIG-IP LTM传输到其他的网络核心交换机。F5 BIG-IP LTM支持了标准802.1Q协议封装,与其他网络设备能很好兼容。通这种连接方式,当新增某种应用业务,且该业务的服务器需要与现有的应用服务器进行广播隔离,保证相关安全性,所以新增服务器需要划入单独新的
37、VLAN。为了能够通过F5 BIG-IP LTM 对新VLAN下的服务器进行负载均衡,如果不采用该种模式,则需要在BIG-IP LTM与核心交换机新添物理线路,对网络改动变更配置较大,当应用了一条链路承载多个VLAN进行流量传输后,只需在该链路的端口将新增VLAN加入,对其数据流量进行传输,无需改动物理连接结构,把网络变更变为最小,使风险较低最小化。该连接方式的示意图如下:在以上示意图我们可以看到,三个VLAN的流量可以通过F5 BIG-IP LTM与核心交换机的一条链路进行传输,这就是该方法的端口连接方式。在进行802.1Q协议封装数据包时,核心交换机与BIG-IP LTM的TAGID必须保
38、持一致,在配置BIG-IP LTM时要多注意这一点。5.2.3Port-based access vlan连接F5 BIG-IP LTM该方法的端口连接,属于最简单有效的端口连接方式,由于BIG-IP LTM不允许在接口上配置IP地址,因此需要在BIG-IP LTM上将互连端口划入VLAN,并配置VLAN接口IP地址,以到达于其他网络设备进行互连的目的。该连接方式示意图如下:F5 BIG-IP LTM的这种互连方式不仅可以与上层核心交换机进行连接,同样可以与路由器、防火墙等其他网络设备进行互连,达到网络的连通性。5.3 F5 LTM VLAN划分F5 BIG-IP LTM设备上VLAN定义与其
39、他网络中的VLAN概念一样,Virtual Local Area Network虚拟局域网。通过VLAN的划分,根据服务器提供不同的服务,进行逻辑VLAN划分,从而隔离广播流量,缩小了广播范围,在网络中有效的控制了广播风暴的产生。应用VLAN技术,还可以控制用户或者服务器之间的访问权限及逻辑网段的大小,从而提高交换式网络的整体性能和安全性。在网络管理上也更加简单、直观。在VLAN的划分方法上BIG-IP LTM仅支持基于端口的VLAN划分,该方法也是最简单、最有效的划分方法,只需对网络设备的端口进行相应的VLAN分配即可,不用过多考虑端口所连接的设备类型。由于F5 BIG-IP LTM在功能上
40、主要执行四至七层的流量控制,因此在BIG-IP LTM的VLAN划分我们本着以最少的VLAN分配达到最大的功能原则,为对四至七层的流量处理打下良好的基础。不建议在F5 BIG-IP LTM设备上配置过多的VLAN或者相对复杂的逻辑结构。根据F5 BIG-IP LTM的组网结构和在网络中的部署方式,在VLAN的划分上也有了一定规范性。1、单链路VLAN划分如下图:从上面的示意图中,F5 BIG-IP LTM是以单链路的结构接入在网络环境中,在这种情况下我们一般会划分两个VLAN,一个Internal VLAN,一个为Failover VLAN。Internal VLAN一般用于与核心交换机进行互
41、连,同时用于连接后端服务器,被负载均衡的服务器可以于F5 BIG-IP LTM直接相连,或者连接在核心交换机上,此时服务器一般都会部署在Internal VLAN之中。在F5 BIG-IP LTM端口数量足够时,我们用单独的端口划分Failover VLAN,主要用于两台F5 BIG-IP LTM之间配置信息同步和会话Session同步。2、双链路VLAN划分如下图:F5 BIG-IP LTM以双链路结构部署在网络环境中,通常我们建议划分三个VLAN,Internal VLAN、External VLAN和Failover VLAN。在第4章我们介绍了双链路接入结构时,可能我们需要对某种业务上
42、的区分,还可能是对进出数据流向的区分,因此在对前两个VLAN的命名上,我们可以根据自己的需要进行对VLAN的命名,便于不同业务的管理与操作。Failover VLAN同样主要用于两台F5 BIG-IP LTM之间配置同步和会话Session同步。在F5 BIG-IP LTM端口数量足够时,我们建议用单独的端口划分Failover VLAN。3、其它模式VLAN划分F5 BIG-IP LTM在网络环境中进行组网部署,最终的目的是对各种应用服务器进行负载均衡,因此BIG-IP LTM设备常常部署在了网络结构的分部层,即服务器的前端。由于不同的业务服务器在网络环境中的位置不同或者不同的网络结构,需要
43、在F5 BIG-IP LTM划分多个VLAN以达到对原有服务器进行负载均衡的目的。由于F5 BIG-IP LTM设备不单纯上网络层设备,主要用来对四到七层流量的管理、控制及优化,因此我们建议在部署F5 BIG-IP LTM设备时尽量避免多VLAN的划分,尽量把VLAN的控制放到核心交换机。在对BIG-IP LTM进行VLAN划分数量上建议一般不要大于六个VLAN。5.4 F5 LTM Self IP划分F5 BIG-IP LTM设备需要部署在服务器与网络之间,多不同的服务器进行负载均衡,需要与其他网络设备进行互连,因此在对F5 BIG-IP LTM进行IP地址划分时,也要进行规范化分配设计。1
44、、单链路部署Self IP划分F5 BIG-IP LTM在单链路接入网络结构中,我们一般会划分两个VLAN(5.2节介绍),一个Internal VLAN和Failover VLAN,因此我们需要给两个VLAN分配Self IP,在IP地址选择上,对于Internal VLAN的Self IP根据实际的网络环境分配给Internal VLAN相应的IP地址,Internal VLAN的Self IP虽然在网络中作为设备互连,但我们不建议配置掩码为30位的IP地址段,由于BIG-IP LTM要提供给VS IP地址,因此在IP地址空间划分时,数量上要尽可能满足对外提供业务的VS IP地址的需求。在
45、实际的部署中,F5 BIG-IP LTM都会成对出现,成为主备模式,由于是两台设备但对外需要提供虚拟透明的一台设备提供服务,因此我们需要分配Floating IP给Internal VLAN,该IP为两台BIG-IP LTM的浮动地址,漂移在Active设备上,该地址同时可以为其他网络设备的下一跳地址或者为服务器的默认网关,当两台BIG-IP LTM发生准备切换时,由于该地址的存在对外仍会提供服务。两个不同VLAN的Floating IP必须要和相应VLAN的Self IP在同一网段。Failover VLAN的Self IP,主要用来两台BIG-IP LTM之间进行主备间状态信息的传递,配置
46、信息的同步及相关会话Session的同步。用于该VLAN的IP地址属于两台BIG-IP LTM内部自用的IP地址,它不与外部网络进行相互关联,也不做为对外提供服务,因此Failover VLAN的Self IP 建议配置成在外部网络不常用到的地址,根据一般的配置经验,我们通常分配这两个在现有网络中较为少见的IP地址给两台F5 BIG-IP LTM,在Failover VLAN上我们同样可以配置Floating IP,但该IP地址没有实际的意义,一般这个IP可以不分配。2、双链路部署Self IP划分F5 BIG-IP LTM设备部署为双臂结构的网络,我们一般会划分三个VLAN(5.2节介绍),
47、Internal VLAN、External VLAN和Failover VLAN,由于Internal VLAN与External VLAN均需要与外部网络互连,并向外提供服务,因此我们要根据具体的网络环境对这两个VLAN分配适当的Self IP,该两个VLAN的Self IP 不允许在同一网段。Internal VLAN与External VLAN的Self IP在与其他网络设备起到了网络层互连,但我们不建议配置掩码为30位的IP地址段,由于BIG-IP LTM要提供给VS IP地址,因此在该地址段中应尽量能够满足对外提供业务的VS IP地址。在该模式接入中,我们同样需要分配Floating IP给Internal VLAN与External VLAN, 该Floating IP为两台BIG-IP LTM的浮动地址,漂移在Active设备上,该地址同时可以为其他网络设备的下一跳地址或者为服务器的默认网关,当主备两台设备发生切换时,仍能够对外提供服务。Failover VLAN的Self IP,同样用来两台BIG-IP LTM之间进行主备间配置信息的同步及相关会话Session的同步。在Fai
