1.ADN:application Delivery Networking,應用交付網絡,它利用相應的網絡優化/加速設備,確保用戶的業務應用能夠安全、快速、可靠地交付給內部員工和外部客戶群。
2.node:節點
3.pool(負載均衡池)
4.profile:定義virtual server行為的設置;
5.virtual server(虛擬服務器)virtual server 接收客戶端的訪問請求,然后將請求分發給被負載均衡的節點服務器上。
6.Monitor:跟蹤POOL成員的當前狀態。可以采用系統自帶Monitor。有些業務需要自定義Monitor。
7.SNAT:在負載均衡器內部的服務器主動向外發起訪問時,在負載均衡器上所做的地址映射。
SNAT應用場景:
inbound
《1》非串聯;《2》由外進內訪問,數據包源外網終端地址需要轉換為F5的公網地址時;
outbound
《1》內網主機需要主動發起訪問外網而反向訪問禁止;(可以只配SNAT不配VS地址,配置VS會更麻煩)
標准SNAT配置方式----
1.內網地址轉換公網地址(公網地址可以是虛地址);
2.automap feature(自動映射)將內網地址自動映射F5接口的實地址;
3.定義一個POOL,F5自動選擇(類似動態裝換)
auto lasthop
查看SNAT表:show sys connection XXXX(可以細化某個協議,例如protocol icmp)
---------------------------------------------------------------------------------------------------------
配置流程筆記:
《1》加server的node:
《2》加端口:“Node”-“Default monitor”-“icmp"
《3》配VS:
name:http-server
type:standard
DesIP:172.16.20.3
Port:80
Protocol Profile(Client):nptcp-mobile-optimized
Protocol Profile(Server):tcp-lan-optirized
vians and tunnel traffic:Enable on--選F5上聯口
Default pool:選“pool-web”
創建pool池:“pool”-“pool list”-調用“http”左移-調用“Node list”各成員的80端口
《4》開啟會話保持:“virtual sever”-“virtural server list”-“http-server”-“Resources”
其中Default Perisitence Profile選項調用“source_addr"
驗證:從ISP1/2-XP-Client網頁登錄VS IP(172.16.20.3)看pool member addres是不是輪詢了,改為單台服務器。
《5》自定義HTTP profile:
《6》使用stream profile對網頁內容替換:
《7》開啟LTM的ARM路由功能,刪掉DC2-SW的SVI口,並對應在F5配置3個業務口;
《8》DC2-F5-DNS做NAT“
“Local Traffic”-“Address Translation”-“NAT list”-“Add”
name填“http-ip-1”
NAT Address填”61.129.0.3“
origin Address 填“172.16.20.3”
name填“http-ip-2”
NAT Address填”129.62.0.3“
origin Address 填“172.16.20.4”
因為上述對應關系,要回去LTM補創建“172.16.20.4”的VS地址池
驗證:XP1(ISP1,ISP2)訪問公網62.129.0.3或129.62.0.3的時候,會正確顯示web頁面
*做了NAT后,就不用考慮DNS宣告業務網段到外網上,增加安全性。
《9》起VS地址和做SNAT:
場景:服務器主動訪問外部,outbound方向配置;
配置總體思路:DC2-F5-DNS起62.129.0.3和129.62.0.3的VS地址,然后在DC2-F5-LTM上左SNAT的轉換。
(1)LTM上起SNAT list,將源10.1.20.0/24轉換為內網上網ip 172.16.0.5;
(2)DNS上去SNAT pool list,將分配的兩個公網地址添加為member成員;
(3)DNS上起SNAT list,將源172.16.0.5的包轉換為(2)步驟起的“pool list”
在DC2-F5-LTM上:
“Local Traffic”-“Address Translation”-“SNAT list”-"Add“
name填“http-server-internet”
Translation填“172.16.20.5”
origin選擇“Addess List“,填”10.1.20.0/24“
△SNAT默認轉換TCP和UDP流量,其他不轉換(例如icmp)。如果變全部,則“system”-“configurations”-“local traffic”-“general”中“SNAT Packet forward”選擇“All traffic“
在DC2-F5-DNS上:
“Local Traffic”-“Address Traffic”-“SNAT pool list“-”Add“
name填寫“ISP1-ISP2”
“member list”-“Address list”填“62.129.0.5”和“129.62.0.5”-“finish”
新起“SNAT list”--
name填“Internel-172.16.20.5“
Translation選“SNAT pool”-“ISP1-ISP2”
Address/Prefix length填“172.16.20.5/32”
△也必須改SNAT Pakcet forwad.
驗證:
1.在LTM上TCP dump捉包:(內網XP1 ping 172.16.0.1)
#
tcp dump -i (接口) 172.16.0.1 host and icmp
#
2.內網XP1 ping ISP1和ISP2的XP主機
-----------------------------------------------------
含筆記的拓撲圖
