（课堂笔记）第二章：LTM组网架构方案

第二章：LTM组网架构方案

------LTM基础元素及概念----------


1.1 Node：节点，是指部署在一个内网的物理或者逻辑的主机；
1.2 POOL：是一个或多个pool member的逻辑分组，一个pool代表一个应用。LTM会对他进行健康状态监测；
1.3 Virtual server：由IP地址和端口号组成而合成来监听client的请求；通常会引导流量至后台的一个应用POOL池；
    注意-多个VS可以关联一个pool，pool member和node
1.4 Profiles（介绍配置文件）：模板，主要作用关联一个或者多个VS，处理各种例如TCP、UDP等协议的流量。


------LTM组网架构----------

1.5 SNAT：安全地址转换，是数据包离开BIG-IP LTM的最后一个关口。当数据包在离开BIG-IP LTM的时候，BIG-IP LTM就会去匹配数据包是否符合SNAT策略，如果源IP属于SNAT Origin原始定义的范围，则BIG-IP LTM在把数据包发送出去的时候按照SNAT的要求进行源地址的替换）

使SNAT的两种情况：
1.5.1 虚拟服务器的地址会采用公网地址或者一个可以对外提供服务的地址（VS），而服务器则隐藏在一个私有网段里，公共的客户端只能访问位于BIG-IP LTM的一个虚拟地址（VS）；
1.5.2.服务器位于BIG-IP LTM之后，当它们自己作为客户端需要主动去访问外部网络时，需要BIG-IP LTM进行网络地址翻译工作，将这些服务器的私有地址翻译成一个公共的地址，这样才能使服务器可以与外部网络进行沟通；
    *SNAT：拒绝所有发往SNAT地址的初始连接请求（只出不进）

NAT:一对一静态地址翻译，不涉及到任何源目端口；
SNAT：多对一静态地址翻译，而且是有状态的，BIG-IP LTM必须维护一个地址端口对应表（SNAT表）来实现地址翻译的过程。
（其中一个简单的SNAT优势，如果2个内网IP的80端口想访问外网，但是公网地址只有1个80端口，NAT只能代理一个IP；而SNAT可以代理任意端口）



2.LTM组网模式概述
在应用负载的网络架构中，所有的处理都至少是基于四层信息，也就是除了源IP地址和目的地址之外，还要有源端口和目的端口参与转发判断。这样，就和NAT等基础处理一样，同一个Connection的往返数据流通常是需要都通过同一台设备。这样，在每台BIG-IP LTM上都能看到完整的数据流（L4\L7）。另外，在进行七层处理的时候，数据流的往返通过同一台设备也是属于必要条件之一。

3.如何部署LTM设备
物理设计：单臂、双臂
逻辑设备：串联、旁挂
通常会组合在一起叫，例如单臂旁挂、双臂串联

3.1单臂旁挂组网（组网模式一）：就是指在BIG-IP LTM上只配置一个vlan，使用一个物理接口（或者trunk口）连接到网络中，所有流量的处理均在这个vlan中进行。

3.1.1本地三角传输（nPath）模式：
最古老的四层负载均衡网络接入模式，主要应用在HTTP应用网站中，上传和下载的比例可以超过1:10.在视频点播应用中，用户上传的流量很少，服务器返回的流量很大。而且流量针对非TCP的，不需要握手那种。

流量走向：外来的流量进来，交换机通过静态或者策略路由指向BIG-IP LTM的VS IP，LTM收到后根据DSR技术，将数据包中的目的MAC地址改变，发到对应服务器上。服务器回包则直接发送到交换机上。（简单来说，外网进来的流量NAT到BIG-IP LTM上，然后传给主机；主机回包不回传，直接回传外网；而且服务器们都有同一个lo地址，于BIGP IP LTM的VS IP一致。
（DSR：asymmetric routing or direct server return，非对称路由或直接服务器返回，服务器们配置相同的lo口，但根据mac不同在转发到服务器上，可参考https://www.f5.com/services/resources/deployment-guides/npath-routing-direct-server-return-big-ip-v114-ltm）

优势：保持了源目IP、端口，且回包直接返给网关而无需再给BIG-IP LTM；
缺点：必须在服务器上配置lo地址；并且由于数据报往返的路径不一致，导致排查和管理复杂；

 

 

3.1.2 SNAT转换模式：BIG-IP LTM上只配置一个vlan即可，要求VS IP与服务器IP为同一个网段。
源地址转换模式常用于测试环境或者现有网络结构无法改动的环境下，还要添加LTM设备。
流量走向：---外网---核心交换机---BIG-IP LTM----服务器---(回包路径一致）
优势：不改动当前网络架构，不需要交换机做策略路由(PBR）把流量传给BIG-IP LTM；
缺点：所有服务器看到的请求都是BIG-IP LTM的源地址，并不是真正的客户端IP。典型就是一些审计系统和统计系统，应用会采集服务器收到连接的源IP进行记录、审计等。

 

 

 

 

3.1.3服务器更改网关模式：BIG-IP LTM的VS IP、Self ip和服务器IP必须同一网段，服务器网关指向self ip。
流量走向：外来的流量进来，交换机通过静态或者策略路由指向BIG-IP LTM的VS IP，LTM收到后，转发给服务器；服务器回包丢给网关LTM，LTM通过静态路由将该网段的流量指向交换机的真实网关地址，然后再出去

优势：综合了本地三角传输模式和SNAT转换模式，对现有的系统结构影响最小，只需更改服务器网关和交换机静态或PBR指向BIG-IP LTM即可。
缺点：服务器更改网关后，会导致对服务器的非负载均衡的流量直接访问时，数据报的进出流向不一致，带来管理和拍错的复杂。（别的地方直接访问服务器，服务器回包会丢给BIG-IP LTM）

 

 

 

 

 

3.2 串联组网：在交换结构的BIG-IP LTM出现后的一种典型连接模式，通常在BIG-IP有较多的以太网物端口情况下，跟服务器物理直连。
设计要点：·BIG-IP LTM划分两个vlan，external vlan用于连接上级三层交换机，internal vlan用于连接服务器。
          ·实际部署过程中，BIG-IP LTM的端口比较少，通常下联二层交换机对端口进行扩充。
          ·服务器的默认网关均指向BIG-IP LTM的接口地址或者两台HA设备的Floating ip地址
          ·如果外网需要直接访问服务器自身IP，需要在三层交换机添加静态路由，将去往服务器网段的路由指向BIG-IP LTM的external vlan接口地址或两台HA设备的Floating ip地址。同时开启BIG-IP LTM上的路由转发功能，充当是路由器功能。

3.2.1 NAT或SNAT模式：在BIG-IP LTM上开启NAT后，将服务器主动向外发起的请求进行源地址转换，转换为BIG-IP LTM的external vlan某个地址。这种处理模式无需外网路由上具备服务器的网段路由信息，在系统的外部采用互联网地址，内部采用私有地址的结构下，通常采用这种方式处理服务器主动对外发起的请求。

3.2.2 路由模式：在BIG-IP LTM上开启路由功能，对于服务器主动向外的请求进行路由处理。这样，服务器向外自身发起的请求均使用服务器自身地址。这种处理模式需要在外网路由上有相应的服务器路由信息，主要再整个数据中心系统位于内部私有网络的时候采用这种模式。再或者后者服务器是公网地址。推荐在DNS\GTM设备做SNAT，不推荐在上层防火墙级层做SNAT，因为防火墙处于主备切换时，NAT表象丢失会导致流量中断。

由于服务器直连模式具备最强的可控性和灵活性，因此通常在新上线的系统设备中都采用这种组网，保证系统的最大安全和可靠性。

 

 (该图适用于路由模式或SNAT模式）

          
3.1.3 特殊组网涉及：
·非Gateway+SNAT结构
·针对Vmware NSX(SDN)的串联+SNAT模式组网