深圳某知名证券公司现拟在北京建设一个灾备站点(自主建设机房或IDC托管,初定出口带宽为100M)。本项目的投入将实现两项功能,一是主站点与灾备站点的全局流量负载均衡;二是灾备站点所需的一些网络设备。灾备站点日常负责分流主站点小部分流量,在主站点发生故障时,能完全接管主站点的流量。主站点与灾备站点之间,有MSTP专线进行互联(初定带宽为4M)。
在深圳站点,我们会部署两台F5的1500GTM设备,分别对应两个运营商的线路。同时,停用现有的linkproof ASII设备。
两台1500GTM都部署在防火墙的Inside区域,分配的地址为,192.168.3.1和192.168.3.2,另外,在防火墙上要对这两个地址分别转换成两个运营商的公网ip,并且在防火墙上开通访问这两个地址的53端口(TCP AND UDP)。
对应关系如下:192.168.3.1 nat 59.40.185.1 (映射成电信的IP),nat 210.22.25.193(映射成网通的IP)
在北京站点,部署1台F5的1500GTM设备,对应一个运营商的线路。设备建议部署在防火墙的inside区域,分配的地址为:172.16.30.1(假设地址)。在防火墙上对这个IP地址进行地址转换,并开通所有外网地址对这个地址的53端口访问的策略。
对应关系如下:172.16.30.1 nat 222.10.10.10
因为之前在深圳站点已经采用了linkproof ASII对单个站点的两条线路进行了智能DNS解析,所以,还可以继续采用原有的CNAME和NS机制,只需要在NS记录上添加背景站点的地址即可。
我们在深圳站点分别部署了两台bigip 1500GTM全局负载均衡设备,这两台设备分别代表了不同的运营商线路。其中,这两台设备采用F5专有的iquery协议相互通讯,当任意一台设备接收到来自LDNS的DNS查询以后,会根据预先定义的一系列策略来确定从哪条线路访问的速度最快,并将对应线路的运营商IP返回给LDNS。
用户在发起对特定域名服务的访问
向本地DNS请求对该域名的解析
本地DNS将请求发到网站的主DNS,接着,主DNS再将域名解析请求转发到GTM
GTM根据一系列的策略确定当时最适当的线路节点,并将解析的结果(IP地址)发给用户的本地DNS
本地DNS将GTM的解析结果还给用户
用户向给定的站点线路请求相应的内容
站点中的服务器负责响应用户的请求,提供所需的内容
定义两个安全级别区域,即inside和outside区域,访问级别使用默认级别,分别为100和0,
配置默认路由及相应的内网路由(或使用动态路由,如果内网有运行动态),配合F5 BigIP使用,在防火墙上做静态一对一转换,将默认运营商网关转到BigIP上,同时放开tcp和udp port53号端口,用于dns通信之用。内网通往外网需要做一些条目的nat和global。
同样定义两个安全级别区域,即inside和outside区域,访问级别使用也使用默认级别,分别为100和0,可根据明细路由配置或配置默认路由,同样配合F5 BigIP做相应的策略放行,同时放开tcp和udp 53端口。由于是内网防火墙,推荐使用nat 0方式进行转换,不做刻意的nat表项,仅通过策略控制相应的访问即可。
MPLS专路cisco2811路由器配置相应的静态或动态路由即可。做纯路由模式,不启用nat及acl等功能。各部cisco交换机。做简单接改交换机,配置管理vlan即可。
