LTM理解及配置笔记记录

1.ADN:application Delivery Networking,应用交付网络，它利用相应的网络优化/加速设备，确保用户的业务应用能够安全、快速、可靠地交付给内部员工和外部客户群。

2.node：节点
3.pool(负载均衡池）
4.profile:定义virtual server行为的设置；
5.virtual server（虚拟服务器）virtual server 接收客户端的访问请求，然后将请求分发给被负载均衡的节点服务器上。
6.Monitor：跟踪POOL成员的当前状态。可以采用系统自带Monitor。有些业务需要自定义Monitor。
7.SNAT：在负载均衡器内部的服务器主动向外发起访问时，在负载均衡器上所做的地址映射。


SNAT应用场景：
inbound
《1》非串联；《2》由外进内访问，数据包源外网终端地址需要转换为F5的公网地址时;
outbound
《1》内网主机需要主动发起访问外网而反向访问禁止；（可以只配SNAT不配VS地址，配置VS会更麻烦）

标准SNAT配置方式----
1.内网地址转换公网地址（公网地址可以是虚地址）；
2.automap feature（自动映射）将内网地址自动映射F5接口的实地址；
3.定义一个POOL，F5自动选择（类似动态装换）

auto lasthop

查看SNAT表：show sys connection XXXX(可以细化某个协议，例如protocol icmp）

 

---------------------------------------------------------------------------------------------------------

配置流程笔记：

《1》加server的node：
《2》加端口：“Node”-“Default monitor”-“icmp"
《3》配VS：
    name：http-server
    type：standard
    DesIP：172.16.20.3
    Port：80
    Protocol Profile（Client）：nptcp-mobile-optimized
    Protocol Profile（Server）：tcp-lan-optirized
    vians and tunnel traffic：Enable on--选F5上联口
    Default pool：选“pool-web”
    
    创建pool池：“pool”-“pool list”-调用“http”左移-调用“Node list”各成员的80端口
《4》开启会话保持：“virtual sever”-“virtural server list”-“http-server”-“Resources”
                    其中Default Perisitence Profile选项调用“source_addr"
                    验证:从ISP1/2-XP-Client网页登录VS IP（172.16.20.3）看pool member addres是不是轮询了，改为单台服务器。
《5》自定义HTTP profile：
《6》使用stream profile对网页内容替换：
《7》开启LTM的ARM路由功能，删掉DC2-SW的SVI口，并对应在F5配置3个业务口；
《8》DC2-F5-DNS做NAT“
    “Local Traffic”-“Address Translation”-“NAT list”-“Add”
    
    name填“http-ip-1”
    NAT Address填”61.129.0.3“
    origin Address 填“172.16.20.3”

    name填“http-ip-2”
    NAT Address填”129.62.0.3“
    origin Address 填“172.16.20.4”
    
    因为上述对应关系，要回去LTM补创建“172.16.20.4”的VS地址池
    验证：XP1（ISP1,ISP2）访问公网62.129.0.3或129.62.0.3的时候，会正确显示web页面
    *做了NAT后，就不用考虑DNS宣告业务网段到外网上，增加安全性。
《9》起VS地址和做SNAT：
    场景：服务器主动访问外部，outbound方向配置；
    配置总体思路：DC2-F5-DNS起62.129.0.3和129.62.0.3的VS地址，然后在DC2-F5-LTM上左SNAT的转换。

 

 

 

    （1）LTM上起SNAT list，将源10.1.20.0/24转换为内网上网ip 172.16.0.5；
    （2）DNS上去SNAT pool list，将分配的两个公网地址添加为member成员；
    （3）DNS上起SNAT list，将源172.16.0.5的包转换为（2）步骤起的“pool list”
    
    在DC2-F5-LTM上:
    “Local Traffic”-“Address Translation”-“SNAT list”-"Add“
    name填“http-server-internet”
    Translation填“172.16.20.5”
    origin选择“Addess List“，填”10.1.20.0/24“
    
    △SNAT默认转换TCP和UDP流量，其他不转换（例如icmp）。如果变全部，则“system”-“configurations”-“local traffic”-“general”中“SNAT Packet forward”选择“All traffic“
    在DC2-F5-DNS上:
    “Local Traffic”-“Address Traffic”-“SNAT pool list“-”Add“
    name填写“ISP1-ISP2”
    “member list”-“Address list”填“62.129.0.5”和“129.62.0.5”-“finish”
    新起“SNAT list”--
    name填“Internel-172.16.20.5“
    Translation选“SNAT pool”-“ISP1-ISP2”
    Address/Prefix length填“172.16.20.5/32”
    △也必须改SNAT Pakcet forwad.
    
    验证：
    1.在LTM上TCP dump捉包：（内网XP1 ping 172.16.0.1）
      #
      tcp dump -i （接口） 172.16.0.1 host and icmp
      #
    2.内网XP1 ping ISP1和ISP2的XP主机

 

-----------------------------------------------------

含笔记的拓扑图