IDC出口链路改造实施计划方案

. . . 药业电信IDC出口链路改造实施方案目 录Chapter 1网络拓扑结构31.1.网络拓扑图3Chapter 2实施过程4Chapter 3配置f553.1.基本网络配置53.1.1.VLAN 和 IP,端口配置53.1.2.路由配置53.2.部用户到Internet访问负载均衡配置53.2.1.网普通用户的访问53.2.2.特定用户对Internet的访问53.2.3.特定的应用使用指定的链路53.3.Internet用户对网服务器WEB的访问负载均衡配置73.3.1.虚拟服务器Virtual Server的配置73.3.2.从PC 发起的DNS解析请求93.3.3.在网DNS服务器上设置的更改93.3.4.WideIP设置93.3.5.服务器SSL加速设置9Chapter 4更改netscreen 配置104.1.更改netscreen的外网ip104.2.更改netscreen为路由方式,重新设置路由104.3.取消netscreen NAT策略,修改过滤策略104.4.增加下列NAT记录和策略10Chapter 5服务器的网络配置105.1.检查default gateway设置10Chapter 6功能检查106.1.Link Controller的功能检查106.2.业务流程检查10Chapter 7回退117.1.决定回退条件117.2.回退步骤11Chapter 8实现inbound的负载均衡118.1.检查link control 上GTM设置,按照以下列表实现功能118.2.测试f5 GTM功能,确认实现inbound负载均衡功能128.3.申请外部dns记录修改128.4.重复以上步骤,实现其他DNS记录的修改12Chapter 9测试环境中F5 LC配置文件12Chapter 1 网络拓扑结构1.1. 网络拓扑图IDC出口链路改造方案的网络拓扑图见下图：更改后网络拓扑连线方式：设备端口设备端口F5 1500-A1.1JUNIPER SSG520-Aethernet0/1F5 1500-A1.3CISCO 3750-AG0/1F5 1500-A1.4F5 1500-B1.4F5 1500-B1.1JUNIPER SSG520-Bethernet0/1F5 1500-B1.3CISCO 3750-BG0/1F5 1500-B1.4F5 1500-A1.4Chapter 2 实施过程项目实施步骤分为以下两大步,并在每一步中细分。第一步：实现linkcontrol 1500上线,实现outbound负载均衡,但是由于不能改动外部DNS所以,只会做外部到部的负载均衡测试。在第一步中主要是实现以下工作1 实施计划的完善：完善本配置计划中的不完备信息、Link Controller以外设备的配置方案、上线失败后的回退计划是否准备充分。2 F5 Link Controller TMOS升级到9.4.5,并且打上最新的hotfix。3 上线条件检查。4 对网络结构进行调整、接线、设备上线。5 功能测试。6 决定是否回退。第二步：在第一步稳定后的情况下,迁移DNS数据到linkcontrol上,实现inbound的负载均衡1 修改一个应用的DNS记录,在f5上配置此应用的DNS信息实现inbound 的负载均衡2 测试,使用f5作为dns进行inbound的测试,根据测试结果决定是否回退3 申请修改一个外部DNS记录,实现inbound的负载均衡4 决定是否回退。5 重复以上步骤,实现其他DNS记录的修改Chapter 3 配置f53.1. 基本网络配置3.1.1. VLAN 和 IP,端口配置VlanHost NameIP AddressVLAN_FW_CTPort Assignment:1.1 TAGGED172.16.2.250VLAN_FW_CNC Port Assignment:1.1 TAGEED172.16.3.250InternalPort Assignment:1.3Lc1.f5.172.16.1.2543.1.2. 路由配置· Link Controller默认网关l Default_gateway_pool：Member 172.16.2.254Member 172.16.3.2543.2. 部用户到Internet访问负载均衡配置3.2.1. 网普通用户的访问网普通用户的访问将按设定的链路选择办法负载均衡算法在两条链路上进行选择,并将访问包的源地址转换成相应的防火墙IP地址。WildCast Virtual 服务器 0.0.0.0:internal/0配置:Virtual 服务器 IP1: 0.0.0.0Service Port: 0Pool Name: Default_GW_PoolLoad Balancing Policy: Round Robin3.2.2. 特定用户对Internet的访问如果有用户访问外网特定的服务器时,外网的服务器要对访问的源地址进行限定。因此在Link Controller上要对上述用户的地址转换设定特定的规则：SNAT规则用途源地址要求转换成的地址3.2.3. 特定的应用使用指定的链路特定应用使用指定链路应用、服务、端口指定的链路对应的Gateway Pool3.3. Internet用户对网服务器WEB的访问负载均衡配置3.3.1. 虚拟服务器Virtual Server的配置Virtual Server配置示例:F5 link control上配置Virtual 服务器 IP1: a.a.a.aService Port: 80Pool Name: internal_fwLoad Balancing Policy: Round RobinPool Member Address:Firewall untrust ip addressPersistence: Enable Simple PersistenceDisable address/port translate F5 bigip上配置Virtual 服务器 IP1: a.a.a.aService Port: 80Pool Name: Online_webLoad Balancing Policy: Round RobinPool Member Address:b.b.b.b/,c.c.c.cPersistence: Enable Simple PersistenceVirtual Sever设置原始数据服务器功能网地址端口公网地址CT公网地址CNC域名Virtual Sever设置VIP<IP:Port>Pool NamePool Member<IP:Port>Load Balance MethodPersistence附注Domain：功能3.3.2. 从PC 发起的DNS解析请求DNSVirtual Server配置示例:DNSVirtual Sever设置VIP<IP:Port>Pool NamePool Member<IP:Port>Load Balance MethodPersistence附注Domain：功能a.a.a.a :53Dns_srv_poolc.c.c.c:53-Ns1.f5.b.b.b.b:53Dns_srv_poolc.c.c.c:53-Ns2.f5.3.3.3. 在网DNS服务器上设置的更改以f5.为例NS.lcNS ns1.lcNS ns2.lcNs1.lcA CT share ip Ns2.lc A CNC share ip3.3.4. WideIP设置WideIP的配置:WideIP:.f5.Virtual Server Pool:c.c.c.c:80, d.d.d.d:80Load Balancing Method: QOS->Round RobinWideIP设置WIPPool NamePool Member<IP:Port>Load Balance MethodDomainPersistence 3.3.5. 服务器SSL加速设置Chapter 4 更改netscreen 配置4.1. 更改netscreen的外网ip配置防火墙的端口为trunk模式set interface "ethernet0/1.20" tag 20set interface "ethernet0/1.30" tag 304.2. 更改netscreen为路由方式,重新设置路由set route source 172.16.2.0/24 interface ethernet1/1 gateway 119.145.40.1set route source 172.16.3.0/24 interface ethernet1/2 gateway 58.251.132.1294.3. 取消netscreen NAT策略,修改过滤策略172.16.2.1 NAT CNC172.16.2.2 NAT CNC172.16.2.81 NAT CNC4.4. 增加下列NAT记录和策略172.16.3.1NAT CNC上一步释放的地址172.16.3.2NATCNC上一步释放的地址172.16.3.81NATCNC上一步释放的地址172.16.3.250NATCNC 58.251.132.148新增地