F5-负载均衡实施方案

第1页/共27页武汉电信DNS项目实施方案第2页/共27页一、用户需求随着宽带业务的飞速发展，武汉电信DNS系统承担的负载越来越大，目前四台DNS系统已逐渐难以承受系统的压力，影响了对用户的服务质量。因此我公司决定对目前的DNS系统进行改造，改造思路如下：1、采用四层交换设备组建DNS系统，实现各性能不一的DNS服务器间的负载分担；2、进一步增加DNS服务器主机数量。四台DNS服务器的主机型号和IP地址分别为：1）202.103.0.117E250；2）202.103.44.5ULTRA2；3）202.103.24.68E3000；4）202.103.0.68E250。鉴于武汉电信的现状，我们推荐使用F5公司的BIG-IP2400实现DNS的负载均衡，同时为方便管理，将所有的DNS服务器统一放置。推荐武汉电信采用一个独立的网段提供DNS服务，以下的方案假设采用202.103.24.64-202.103.24.95网段，现实环境可能IP地址有所变更。第3页/共27页二、网络拓扑结构如下图所以，采用同一网络管理：物理连接图第4页/共27页三、网络说明与核心交换机的连接（externalVLAN）在本方案中，两台核心交换机采用HSRP协议连接两台BIGIP2400，两台BIGIP2400也采用类似VRRP的组网方式，从而实现系统在两台设备间的自动切换。其具体配置如下：1．Switch1地址202.103.24.74/29，Switch2地址202.103.24.75/29，HSRP共享地址为202.103.24.73/29；2．BIGIP1externalVLAN地址202.103.24.76/29，BIGIP2externalVLAN地址202.103.24.77/29,共享地址shareIP202.103.24.78/29；3．在核心交换机上添加静态路由,将服务器网段202.103.24.80/28以及虚拟服务器网段202.103.24.72/29指向下联的BIGIP：iproute202.103.24.64/27202.103.24.784．在F5的BIGIP2400上设置默认网关为202.103.24.73;5．Cisco6509负责将202.103.24.64/27向全网发布;与SUN服务器的连接(internalVLAN)在本方案中所有SUN服务器与两台BIGIP中一台分别相连，其具体配置如下：1．Sun服务器的地址分配：SUN1对外服务地址202.103.24.81-91/24,默认网关202.103.24.94SUN1ce0地址202.103.24.81/28SUN2ce0地址202.103.24.82/282.BIGIP2400的内网（internalVLAN）配置如下：BIGIP1internalVLANselfip202.103.24.92/24shareip202.103.24.94BIGIP2internalVLANselfip202.103.24.93/24shareip202.103.24.942.SUN1和SUN2分别连接不同的BIG-IP，以确保单台BIG-IP故障时至少还有一台SUN可以提供服务；4.IGIP1和BIGIP2采用port2.2光纤方式实现VLANinternal的沟通；第5页/共27页与管理网络的连接在本方案中两台BIGIP2400的port1.16端口互连，构筑起管理网络，以供两台设备间通讯。1．BIGIP1的adminVLAN地址Selfip192.168.1.1/24shareip192.168.1.32．BIGIP2的adminVLAN地址Selfip192.168.1.2/24shareip192.168.1.4第6页/共27页VlanNameHostNameInterfaceIPaddress备注ExternalVLANSwitch1202.103.24.74/29HSRPSwitch2202.103.24.75/29HSRPSwitch1-Switch2share202.103.24.73/29HSRPbig1.wuhan.net.cn2.1+2.2202.103.24.76/292.2互连big2.wuhan.net.cn2.1+2.2202.103.24.77/292.2互连bigshareshareIP202.103.24.78/29InternalVLANbig1.wuhan.net.cn1.1-1.14202.103.24.92/281.7/1.8trunking互连big2.wuhan.net.cn1.1-1.14202.103.24.93/281.7/1.8trunking互连bigshare1.1-1.14202.103.24.94/28a1.wuhan.net.cnce0202.103.24.81/28a2.wuhan.net.cnce0202.103.24.82/28A3-A11ce0202.103.24.83-91/28预留AdminVLANbig1.wuhan.net.cn1.15-1.16192.168.1.11.16互连big2.wuhan.net.cn1.15-1.16192.168.1.21.16互连bigshare192.168.1.3对外发布地址（LoopbackAddress)VS1202.103.24.68:53VS202.103.24.65-71对外发布DNS地址第7页/共27页四、F5上的业务系统配置本次的系统主要是对4台SUN服务器构筑的DNS服务集群进行负载均衡，由于4台服务器的配置均相同，故系统采用动态负载均衡方式——最少连接数least_connection，以尽可能的调节系统的负载，同时今后如果需要进一步的扩展，也可以十分方便的增加服务器。1．构建DNS_SERVERpool，使用动态比例方式作为负载均衡baddpooldns_pool{lb_methodDynamicRatio202.103.24.81:53202.103.24.82:53}2．构建对外提供服务的虚拟服务器bvirtual202.103.24.68:53usepooldns_pool3．构建对DNS服务器的健康检测默认状态下使用ICMP检测所有服务器DNS检测程序为DnsRespChk，使用该程序检测bnode202.103.24.81202.103.24.82monitoruseicmpbnode202.103.24.81:53monitoruseDnsRespChkbnode202.103.24.82:53monitoruseDnsRespChk4．将DNS访问的超时时间设置为TCP＝30秒，UDP＝8秒bservice53tcpenablebservice53udpenablebservice53timeouttcp30bservice53timeoutudp8注，此处为便于表述故采用命令行方式表达配置，详细的配置说明请参阅第五节系统安装说明第8页/共27页五、安全设置(推荐)由于本系统是直接连接到internet，并无防火墙的保护，所以为了安全的考虑，本系统设置了最高的安全等级，具体配置如下：1．将系统的IP路由功能关闭，从而确保从internet无法直接连接到4台SUN的DNS服务器，避免了服务器被人直接攻击的可能。同时，由于关闭了路由功能，所以如果黑客采用地址扫描的方式妄图了解系统构建，也是不可能的。所有访问只能通过地址为202.103.24.68：53的虚拟服务器进入（并且系统只开放该DNS服务端口），任何试图连接该地址以外的服务器或者连接该地址的非53端口访问，均会被系统屏蔽。该功能为F5的默认方式。2．同时，为保证服务器能够顺利的外出访问internet上的域名服务器，故在内网上作了一个通配的虚拟服务器0.0.0.0:0并将其设置为forwarding，换言之就是只允许内网的服务器主动发起对外网的访问。bvirtualinternal:*{forward}3．未避免不必要的安全漏洞，所以在F5上将internalVLAN上的portlock_downenable，从而不可以通过internalVLAN进入管理，而在adminVLAN上将portlock_downdisable，允许用户从admin进入管理。4．由于F5的系统是采用SSH和HTTPS的加密方式管理，所以可以有效的避免攻击或系统漏洞。5．如果系统遭受攻击可以采用F5上的FILTER功能将攻击源屏蔽。第9页/共27页六、系统安装说明六、1设备面板标识1.面板结构F5BigIP设备的面板结构:10/100interface多个10/100M自适应的网络接口Gigabitfiberinterface多个1000M多模光纤接口Serialconsoleport一个串口命令行管理端口Failoverport一个串口冗余状态判断端口Mgmtinterface一个10/100M管理端口2.状态灯判断BigIP在正常工作时可以通过端口状态显示灯判断工作状态：10/100M端口连接状态灯,绿色为100M连接正常,橙色为10M连接正常10/100M端口数据通讯状态灯,停止为无流量,闪烁为正在进行数据通讯1000M端口连接状态灯,绿色为1000M连接正常1000M端口数据通讯状态灯,停止为无流量,闪烁为正在进行数据通讯系统面板右侧系统状态灯System正常情况下为绿色,为系统工作正常Status正常情况下的Active设备为绿色,而Backup设备为橙色Activity在有数据流量通过时闪烁,无数据流量时定时闪Alarm为健康检查报警,当系统发现有服务节点处于“不健康”状态时的提示报警第10页/共27页六、2F5设备的初始配置准备1.配置BIG-IP的准备工作1.网络管理终端一台2.F5的ConsoleCable一根3.标准的网线一根4.超级终端软件（推荐使用secureCRT）5.SSH客户端软件（推荐使用secureCRT）6.支持HTTPS的浏览器软件2.如何连接到BIG-IP你可以使用超级终端或SSH方式进入到BIG-IP的命令行界面，当然也可以使用HTTPS连接到BIG-IP的图形界面。在作初始配置和网络配置时，我们推荐使用命令行方式避免误操作，而配置业务系统时推荐使用图形界面便于理解。1.使用超级终端建立一个连接，通过Console电缆一端连接BIGIP，一端连接网管终端的Com端口，超级终端的参数设置如图：推荐使用VT100终端模式连接BIG-IP。由于中文Windows的超级终端存在Bug，可能不支持方向键输入，所以推荐使用其他超级终端软件，例如secureCRT。2.你也可以使用SSH客户端连接到BIG-IP，当然前提是你已经知道BIG-IP的管理地址并将你的网管终端设置为该网段地址。在本案例中，BIG-IP的地址分别为：big1.wuhan.net.cn192.168.0.1big2.wuhan.net.cn192.168.0.2active的BIG-IP192.168.0.3推荐使用secureCRT连接到BIG-IP,命令行的默认用户/密码是root/default第11页/共27页3.当你知道BIG-IP的管理地址时，就可以使用浏览器通过进入图形界面管理，默认的用户名密码是admin/admin第12页/共27页六、3命令行初始登录系统1、建立连接后，输入”root”帐号和密码后，进入页面如图：2、缺省的终端类型为vt100，回车后如图：3、缺省的主机名字是：default,在提示符下面输入：config命令如图：第13页/共27页4、命令执行后，出现页面如图：在图中有各个选项，当我们第一次配置时可以使用选项A，以后修改配置时可以使用相关的单独配置选项。第14页/共27页六、4F5设备的网络系统配置推荐使用命令行方式配置网络系统，如上节所示，在任意目录下输入config命令进入到FTBU（fir