1.ADN:application Delivery Networking,应用交付网络,它利用相应的网络优化/加速设备,确保用户的业务应用能够安全、快速、可靠地交付给内部员工和外部客户群。
2.node:节点
3.pool(负载均衡池)
4.profile:定义virtual server行为的设置;
5.virtual server(虚拟服务器)virtual server 接收客户端的访问请求,然后将请求分发给被负载均衡的节点服务器上。
6.Monitor:跟踪POOL成员的当前状态。可以采用系统自带Monitor。有些业务需要自定义Monitor。
7.SNAT:在负载均衡器内部的服务器主动向外发起访问时,在负载均衡器上所做的地址映射。
SNAT应用场景:
inbound
《1》非串联;《2》由外进内访问,数据包源外网终端地址需要转换为F5的公网地址时;
outbound
《1》内网主机需要主动发起访问外网而反向访问禁止;(可以只配SNAT不配VS地址,配置VS会更麻烦)
标准SNAT配置方式----
1.内网地址转换公网地址(公网地址可以是虚地址);
2.automap feature(自动映射)将内网地址自动映射F5接口的实地址;
3.定义一个POOL,F5自动选择(类似动态装换)
auto lasthop
查看SNAT表:show sys connection XXXX(可以细化某个协议,例如protocol icmp)
---------------------------------------------------------------------------------------------------------
配置流程笔记:
《1》加server的node:
《2》加端口:“Node”-“Default monitor”-“icmp"
《3》配VS:
name:http-server
type:standard
DesIP:172.16.20.3
Port:80
Protocol Profile(Client):nptcp-mobile-optimized
Protocol Profile(Server):tcp-lan-optirized
vians and tunnel traffic:Enable on--选F5上联口
Default pool:选“pool-web”
创建pool池:“pool”-“pool list”-调用“http”左移-调用“Node list”各成员的80端口
《4》开启会话保持:“virtual sever”-“virtural server list”-“http-server”-“Resources”
其中Default Perisitence Profile选项调用“source_addr"
验证:从ISP1/2-XP-Client网页登录VS IP(172.16.20.3)看pool member addres是不是轮询了,改为单台服务器。
《5》自定义HTTP profile:
《6》使用stream profile对网页内容替换:
《7》开启LTM的ARM路由功能,删掉DC2-SW的SVI口,并对应在F5配置3个业务口;
《8》DC2-F5-DNS做NAT“
“Local Traffic”-“Address Translation”-“NAT list”-“Add”
name填“http-ip-1”
NAT Address填”61.129.0.3“
origin Address 填“172.16.20.3”
name填“http-ip-2”
NAT Address填”129.62.0.3“
origin Address 填“172.16.20.4”
因为上述对应关系,要回去LTM补创建“172.16.20.4”的VS地址池
验证:XP1(ISP1,ISP2)访问公网62.129.0.3或129.62.0.3的时候,会正确显示web页面
*做了NAT后,就不用考虑DNS宣告业务网段到外网上,增加安全性。
《9》起VS地址和做SNAT:
场景:服务器主动访问外部,outbound方向配置;
配置总体思路:DC2-F5-DNS起62.129.0.3和129.62.0.3的VS地址,然后在DC2-F5-LTM上左SNAT的转换。
(1)LTM上起SNAT list,将源10.1.20.0/24转换为内网上网ip 172.16.0.5;
(2)DNS上去SNAT pool list,将分配的两个公网地址添加为member成员;
(3)DNS上起SNAT list,将源172.16.0.5的包转换为(2)步骤起的“pool list”
在DC2-F5-LTM上:
“Local Traffic”-“Address Translation”-“SNAT list”-"Add“
name填“http-server-internet”
Translation填“172.16.20.5”
origin选择“Addess List“,填”10.1.20.0/24“
△SNAT默认转换TCP和UDP流量,其他不转换(例如icmp)。如果变全部,则“system”-“configurations”-“local traffic”-“general”中“SNAT Packet forward”选择“All traffic“
在DC2-F5-DNS上:
“Local Traffic”-“Address Traffic”-“SNAT pool list“-”Add“
name填写“ISP1-ISP2”
“member list”-“Address list”填“62.129.0.5”和“129.62.0.5”-“finish”
新起“SNAT list”--
name填“Internel-172.16.20.5“
Translation选“SNAT pool”-“ISP1-ISP2”
Address/Prefix length填“172.16.20.5/32”
△也必须改SNAT Pakcet forwad.
验证:
1.在LTM上TCP dump捉包:(内网XP1 ping 172.16.0.1)
#
tcp dump -i (接口) 172.16.0.1 host and icmp
#
2.内网XP1 ping ISP1和ISP2的XP主机
-----------------------------------------------------
含笔记的拓扑图
