第十章 基础配置
VLAN
VLAN是对物理网络进行逻辑分区的一种方式,可以创建不同的广播域。将具有共同要求的主机分组在一个VLAN中——不管它们的物理位置如何——提供了明显的优势,包括:
- 减小广播域的大小,从而提高网络的整体性能显著
- 减少系统和网络维护任务(功能相关的主机不再需要物理地驻留在一起以实现最佳网络性能)
- 通过对传输敏感数据的主机进行分段,提高网络安全性
BIG-IP系统是一个基于端口的交换机,提供多层处理能力。这些功能通过提供以下特性来支持标准VLAN行为:
- 在BIG-IP系统中,接口可以直接关联VLAN(一个接口对应一个VLAN、多个接口对应一个VLAN或一个接口对应多个VLAN)。
- BIG-IP系统可以处理vlan之间的流量,而不需要物理路由器。
- BIG-IP系统可以直接集成到现有的多厂商交换环境中,因为它支持IEEE 802.1q VLAN标准。
- 两个或两个以上的VLAN可以组合成一个BIG-IP对象,称为VLAN组。一个VLAN中的主机可以通过二层转发和IP路由的组合与另一个VLAN中的主机通信,从而提供性能和可靠性方面的优势。
vlan的场景
标记(802.1q格式)与基于端口(未标记)的访问
IEEE 802.1q是在以太网中支持vlan的组网标准。该标准定义了以太网帧的VLAN标记系统,以及桥接器和交换机在处理此类帧时使用的附带程序。BIG-IP系统支持通过接口接收和发送VLAN流量的两种方式:tagged (802.1q格式)和port-based (untagged格式)。使用的方法由接口分配给VLAN的方式决定。
在BIG-IP系统中,VLAN在创建时总是被分配一个唯一的标签(即VLAN ID)。如果没有显式地为VLAN分配标签,BIG-IP系统将自动分配一个标签,从4094开始,向1递减。
通常还可以在创建VLAN时将一个或多个接口分配给VLAN。接口被指定为Tagged或Untagged状态。通过关联的带标签接口的VLAN流量将在帧头中添加VLAN ID。这样,每个帧就可以被区分为恰好在一个VLAN内。如果接口被指定为untagged,则通过该接口发送的该VLAN的帧在报头中将不包含tag字段。
当一个报文的报头带有标签进入BIG-IP接口时,接口将读取该标签,并将其与分配给该接口的每个VLAN相关联的标签进行比较。如果报文中的tag与VLAN tag匹配,则该报文通过该VLAN。
如果没有匹配到任何VLAN tag,则报文被拒绝。如果报文头中没有标记,并且该接口的VLAN被指定为untagged,则该报文仅被该VLAN接受。
如果一个接口处理多个vlan(即多个vlan:一个接口)的流量,则只能将其中一个vlan的接口指定为untagged。其他VLAN必须将接口标记,以便BIG-IP系统判断流量属于哪个VLAN。
F5建议尽可能将接口作为tagged资源(IEEE 802.1q tagged vlan)分配给vlan,因为这允许每个接口可能成为多个逻辑网络的成员。不带标签的接口只属于所属VLAN的一个网段。
Trunk
trunk是big - ip系统中接口的逻辑分组,其功能相当于单个接口。BIG-IP系统使用中继在多条链路上分配流量,这个过程被称为链路聚合。链路聚合是指将多条链路的带宽叠加在一起,从而增加一条链路的带宽。例如,当聚合时,四条100 Mb的快速以太网链路将创建一条400 Mbps的链路。
单个中继最多可以聚合8条链路。为了获得最佳性能,应该以2的幂聚合链接(例如2、4或8个链接)。
使用trunk有几个好处:
- 无需升级硬件即可增加带宽
- 如果成员链路不可用,提供链路故障转移
Trunk特性的一个主要目标是确保对等系统之间交换的帧不会在接收端乱序发送或重复发送。BIG-IP系统通过使用每帧中的源地址和目的地址计算一个哈希值,然后在同一成员链路上传输具有该哈希值的所有帧,从而保持帧的顺序。
BIG-IP系统会自动为trunk分配唯一的MAC地址。但是,缺省情况下,系统发送帧和接收帧的源MAC地址和目的MAC地址都是trunk中编号最低的接口的MAC地址。
BIG-IP系统也使用trunk中编号最低的接口作为参考链路。BIG-IP系统使用参考链路进行某些聚合动作,例如执行自动选路策略。对于进入参考链路的帧,BIG-IP系统在已知可用的所有成员链路上对帧进行负载平衡。
BIG-IP支持LACP (Link Aggregation Control Protocol,链路聚合控制协议),缺省为关闭状态。如果您的网络交换机支持,您应该在BIG-IP系统上启用LACP。此外,还可以选择“选路策略”和“帧分发散列”来优化流量。
限制网络接入
端口限制:
| setting | lockdown |
|---|---|
| Allow All | 所有流量 |
| Allow None | 拒绝所有 |
| Allow Default | OSPF<br />DNS(53)<br />F5-iQuery(4353)<br />HTTPS(443)<br />SNMP(161)<br />SSH(22)<br />RIP(520)<br />Network Failover(1026) |
| Allow Custom | 你指定的列表 |
| Allow Custom(Include Default) | 你指定的列表和默认 |
端口锁定例外
- TCP端口1028:在冗余对配置中,无论端口锁定设置如何,系统都允许TCP:1028用于连接和持久镜像。
- TCP端口4353:当在同步组中配置BIG-IP 11.0.0及更高版本的设备时,无论端口锁定设置如何,对端设备都使用TCP:4353上的集中管理基础设施(CMI)进行通信。
- ICMP:到自身IP地址的ICMP流量不受端口锁定列表的影响,在所有情况下都隐式允许。
SNMP特性
简单网络管理协议SNMP (Simple Network Management Protocol)提供了对网络设备进行远程监控和管理的功能。BIG-IP系统支持远程监控,并可配置为根据多种情况发送警报。BIG-IP系统提供了SNMP管理器可以使用的MIB (Management Information Base)。它还支持添加自定义对象标识符(oid),扩展MIB,用于自定义trap通知。
SNMP包括访问控制(IP地址和密码),但通常使用UDP端口161和162以明文方式传输数据。
标准的SNMP实现由SNMP管理器和SNMP代理组成,SNMP管理器运行在管理系统上并向设备发出请求,SNMP代理运行在被管理设备上并完成这些请求。SNMP设备管理基于MIB- ii标准MIB (management information base),以及对象id和MIB文件。
为了遵循标准的SNMP实现,BIG-IP系统包括一个SNMP代理、一组标准SNMP MIB文件和一组企业MIB文件(BIG-IP系统特有的MIB文件)。企业MIB文件通常驻留在BIG-IP系统和运行SNMP管理器的系统中。幸运的是,您可以使用基于浏览器的Configuration实用程序将企业MIB文件下载到您的SNMP管理器。
在BIG-IP系统上配置SNMP
SNMP数据收集SNMP通过get和trap两种方式收集数据。get是用于以特定间隔收集数据的轮询,通常用于捕获设备上的趋势。管理站发起这些投票。trap用于在发生特定事件时通知管理员。被管理站发起陷阱。由于轮询不允许实时更新,所以需要陷阱。如果没有trap,管理员在轮询设备之前不会发现情况。SNMP也支持put。在发送适当的轮询之前,您的SNMP管理器必须导入BIG-IP MIB。BIG-IP mib位于/usr/share/snmp/mib /目录下。
使用SNMP监视网络运行状况BIG-IP系统还允许通过SNMP收集统计数据。F5建议您实现某种形式的SNMP数据收集,最好使用工具来自动化、解析和提醒趋势数据。这样做可以为网络操作提供急需的历史参考,并有助于识别可能指示潜在问题的异常流量模式。可以通过配置SNMP Agent允许来自权威源的轮询来轮询BIG-IP系统。BIG-IP也可以配置为向trap目的地发送SNMP trap。
使用路由域对网络流量进行分段
路由域是一种配置对象,用于隔离网络中特定应用程序的网络流量。由于路由域对网络流量进行了分段,因此可以将相同的IP地址或子网分配给网络中的多个节点,只要每个IP地址实例位于单独的路由域中即可。
利用BIG-IP系统的路由域特性,可以在网络上一个定义的地址空间内隔离各种类型的应用程序流量,从而为多个客户提供托管服务。通过路由域,您也可以在网络中使用重复的IP地址,前提是每个重复的IP地址位于单独的路由域中,并且通过单独的VLAN在网络中隔离。例如,如果您正在处理两个不同客户的流量,则可以创建两个单独的路由域。同一个节点地址(如10.0.10.1)可以在每个路由域中,也可以在同一个路由池中,或者在不同的路由池中。
示例
使用路由域的一个很好的例子是为多个客户提供服务的ISP的配置,其中每个客户使用相同的IP地址范围部署不同的服务集。在这种情况下,BIG IP系统将两个不同应用程序的流量隔离到两个单独的路由域中。由于BIG-IP系统默认开启了跨路由限制功能,所以每个应用流量的路由不能跨越路由域边界。
路由域ID是路由域的唯一数字标识。通过在IP地址后添加%ID,可以将具有IP地址(如自IP地址、虚拟地址、池成员和网关地址)的对象分配给路由域。
对象IP地址中指定路由域ID的格式为“A.B.C.D%ID”,其中“ID”为对应路由域的ID。例如,本地流量节点对象10.10.10.30%2和池成员10.10.10.30%2:80都属于路由域2。
BIG-IP系统缺省包含一个ID为0的路由域,如果不显式创建路由域,则系统中的所有路由都属于路由域0。
Common分区的默认路由域缺省情况下,BIG-IP系统包含一个路由域,名为路由域0。路由域0是BIG-IP系统的默认路由域,位于管理分区Common中。如果系统中未创建其他路由域,则所有流量自动归属于路由域0。
如果需要将流量划分为多个路由域,可以在“普通”分区中创建额外的路由域,然后在这些路由域中划分应用流量。任何不包含路由域ID表示法的BIG-IP地址都会自动关联到缺省路由域。
其他分区的默认路由域
对于普通以外的管理分区,可以创建路由域并将其指定为分区默认路由域。
一个分区只能包含一个分区默认路由域。拥有分区默认路由域的好处是,当您在该分区中创建虚拟服务器和池成员等对象时,不需要在这些对象的地址中指定默认路由域的ID。例如,在a分区中创建了ID为2的分区默认路由域,则系统会自动将不带路由域ID的a分区对象IP地址分配给路由域2。
如果该分区内不存在分区默认路由域,系统将这些地址关联到“普通”分区的路由域0。
对于配置的每个路由域,可以启用一个或多个动态路由协议,以及网络协议BFD (Bidirectional Forwarding Detection)。对于路由域0或其他路由域,可选择是否使用动态路由和BFD。
标签:知识点,F5,10,IP,VLAN,SNMP,接口,BIG,路由 From: https://blog.51cto.com/u_9346709/6984472