当前位置:网站首页>LTM理解及配置笔记记录

LTM理解及配置笔记记录

2020-11-09 07:53:00 Key-Network

1.ADN:application Delivery Networking,应用交付网络,它利用相应的网络优化/加速设备,确保用户的业务应用能够安全、快速、可靠地交付给内部员工和外部客户群。

2.node:节点
3.pool(负载均衡池)
4.profile:定义virtual server行为的设置;
5.virtual server(虚拟服务器)virtual server 接收客户端的访问请求,然后将请求分发给被负载均衡的节点服务器上。
6.Monitor:跟踪POOL成员的当前状态。可以采用系统自带Monitor。有些业务需要自定义Monitor。
7.SNAT:在负载均衡器内部的服务器主动向外发起访问时,在负载均衡器上所做的地址映射。


SNAT应用场景:
inbound
《1》非串联;《2》由外进内访问,数据包源外网终端地址需要转换为F5的公网地址时;
outbound
《1》内网主机需要主动发起访问外网而反向访问禁止;(可以只配SNAT不配VS地址,配置VS会更麻烦)

标准SNAT配置方式----
1.内网地址转换公网地址(公网地址可以是虚地址);
2.automap feature(自动映射)将内网地址自动映射F5接口的实地址;
3.定义一个POOL,F5自动选择(类似动态装换)

auto lasthop

查看SNAT表:show sys connection XXXX(可以细化某个协议,例如protocol icmp)

 

---------------------------------------------------------------------------------------------------------

配置流程笔记:

《1》加server的node:
《2》加端口:“Node”-“Default monitor”-“icmp"
《3》配VS:
    name:http-server
    type:standard
    DesIP:172.16.20.3
    Port:80
    Protocol Profile(Client):nptcp-mobile-optimized
    Protocol Profile(Server):tcp-lan-optirized
    vians and tunnel traffic:Enable on--选F5上联口
    Default pool:选“pool-web”
    
    创建pool池:“pool”-“pool list”-调用“http”左移-调用“Node list”各成员的80端口
《4》开启会话保持:“virtual sever”-“virtural server list”-“http-server”-“Resources”
                    其中Default Perisitence Profile选项调用“source_addr"
                    验证:从ISP1/2-XP-Client网页登录VS IP(172.16.20.3)看pool member addres是不是轮询了,改为单台服务器。
《5》自定义HTTP profile:
《6》使用stream profile对网页内容替换:
《7》开启LTM的ARM路由功能,删掉DC2-SW的SVI口,并对应在F5配置3个业务口;
《8》DC2-F5-DNS做NAT“
    “Local Traffic”-“Address Translation”-“NAT list”-“Add”
    
    name填“http-ip-1”
    NAT Address填”61.129.0.3“
    origin Address 填“172.16.20.3”

    name填“http-ip-2”
    NAT Address填”129.62.0.3“
    origin Address 填“172.16.20.4”
    
    因为上述对应关系,要回去LTM补创建“172.16.20.4”的VS地址池
    验证:XP1(ISP1,ISP2)访问公网62.129.0.3或129.62.0.3的时候,会正确显示web页面
    *做了NAT后,就不用考虑DNS宣告业务网段到外网上,增加安全性。
《9》起VS地址和做SNAT:
    场景:服务器主动访问外部,outbound方向配置;
    配置总体思路:DC2-F5-DNS起62.129.0.3和129.62.0.3的VS地址,然后在DC2-F5-LTM上左SNAT的转换。

 

 

 


    (1)LTM上起SNAT list,将源10.1.20.0/24转换为内网上网ip 172.16.0.5;
    (2)DNS上去SNAT pool list,将分配的两个公网地址添加为member成员;
    (3)DNS上起SNAT list,将源172.16.0.5的包转换为(2)步骤起的“pool list”
    
    在DC2-F5-LTM上:
    “Local Traffic”-“Address Translation”-“SNAT list”-"Add“
    name填“http-server-internet”
    Translation填“172.16.20.5”
    origin选择“Addess List“,填”10.1.20.0/24“
    
    △SNAT默认转换TCP和UDP流量,其他不转换(例如icmp)。如果变全部,则“system”-“configurations”-“local traffic”-“general”中“SNAT Packet forward”选择“All traffic“
    在DC2-F5-DNS上:
    “Local Traffic”-“Address Traffic”-“SNAT pool list“-”Add“
    name填写“ISP1-ISP2”
    “member list”-“Address list”填“62.129.0.5”和“129.62.0.5”-“finish”
    新起“SNAT list”--
    name填“Internel-172.16.20.5“
    Translation选“SNAT pool”-“ISP1-ISP2”
    Address/Prefix length填“172.16.20.5/32”
    △也必须改SNAT Pakcet forwad.
    
    验证:
    1.在LTM上TCP dump捉包:(内网XP1 ping 172.16.0.1)
      #
      tcp dump -i (接口) 172.16.0.1 host and icmp
      #
    2.内网XP1 ping ISP1和ISP2的XP主机

 

-----------------------------------------------------

含笔记的拓扑图

 

 

 

版权声明
本文为[Key-Network]所创,转载请带上原文链接,感谢
https://www.cnblogs.com/key-network/p/13946752.html