IDC出口鏈路改造實(shí)施計劃方案_第1頁
IDC出口鏈路改造實(shí)施計劃方案_第2頁
IDC出口鏈路改造實(shí)施計劃方案_第3頁
IDC出口鏈路改造實(shí)施計劃方案_第4頁
IDC出口鏈路改造實(shí)施計劃方案_第5頁
已閱讀5頁,還剩7頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

............藥業(yè)電信IDC出口鏈路改造實(shí)施方案

目錄Chapter1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 31.1. 網(wǎng)絡(luò)拓?fù)鋱D 3Chapter2 實(shí)施過程 4Chapter3 配置f5 53.1. 基本網(wǎng)絡(luò)配置 53.1.1. VLAN和IP,端口配置 53.1.2. 路由配置 53.2. 部用戶到Internet訪問負(fù)載均衡配置 53.2.1. 網(wǎng)普通用戶的訪問 53.2.2. 特定用戶對Internet的訪問 53.2.3. 特定的應(yīng)用使用指定的鏈路 53.3. Internet用戶對網(wǎng)服務(wù)器(WEB)的訪問負(fù)載均衡配置 73.3.1. 虛擬服務(wù)器(VirtualServer)的配置 73.3.2. 從PC發(fā)起的DNS解析請求 93.3.3. 在網(wǎng)DNS服務(wù)器上設(shè)置的更改 93.3.4. WideIP設(shè)置 93.3.5. 服務(wù)器SSL加速設(shè)置 9Chapter4 更改netscreen配置 104.1. 更改netscreen的外網(wǎng)ip 104.2. 更改netscreen為路由方式,重新設(shè)置路由 104.3. 取消netscreenNAT策略,修改過濾策略 104.4. 增加下列NAT記錄和策略 10Chapter5 服務(wù)器的網(wǎng)絡(luò)配置 105.1. 檢查defaultgateway設(shè)置 10Chapter6 功能檢查 106.1. LinkController的功能檢查 106.2. 業(yè)務(wù)流程檢查 10Chapter7 回退 117.1. 決定回退條件 117.2. 回退步驟 11Chapter8 實(shí)現(xiàn)inbound的負(fù)載均衡 118.1. 檢查linkcontrol上GTM設(shè)置,按照以下列表實(shí)現(xiàn)功能 118.2. 測試f5GTM功能,確認(rèn)實(shí)現(xiàn)inbound負(fù)載均衡功能 128.3. 申請外部dns記錄修改 128.4. 重復(fù)以上步驟,實(shí)現(xiàn)其他DNS記錄的修改 12Chapter9 測試環(huán)境中F5LC配置文件 12

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)拓?fù)鋱DIDC出口鏈路改造方案的網(wǎng)絡(luò)拓?fù)鋱D見下圖:

更改后網(wǎng)絡(luò)拓?fù)溥B線方式:設(shè)備端口設(shè)備端口F51500-A1.1JUNIPERSSG520-Aethernet0/1F51500-A1.3CISCO3750-AG0/1F51500-A1.4F51500-B1.4F51500-B1.1JUNIPERSSG520-Bethernet0/1F51500-B1.3CISCO3750-BG0/1F51500-B1.4F51500-A1.4

實(shí)施過程項目實(shí)施步驟分為以下兩大步,并在每一步中細(xì)分。第一步:實(shí)現(xiàn)linkcontrol1500上線,實(shí)現(xiàn)outbound負(fù)載均衡,但是由于不能改動外部DNS所以,只會做外部到部的負(fù)載均衡測試。在第一步中主要是實(shí)現(xiàn)以下工作實(shí)施計劃的完善:完善本配置計劃中的不完備信息、LinkController以外設(shè)備的配置方案、上線失敗后的回退計劃是否準(zhǔn)備充分。F5LinkControllerTMOS升級到9.4.5,并且打上最新的hotfix。上線條件檢查。對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整、接線、設(shè)備上線。功能測試。決定是否回退。第二步:在第一步穩(wěn)定后的情況下,遷移DNS數(shù)據(jù)到linkcontrol上,實(shí)現(xiàn)inbound的負(fù)載均衡修改一個應(yīng)用的DNS記錄,在f5上配置此應(yīng)用的DNS信息實(shí)現(xiàn)inbound的負(fù)載均衡測試,使用f5作為dns進(jìn)行inbound的測試,根據(jù)測試結(jié)果決定是否回退申請修改一個外部DNS記錄,實(shí)現(xiàn)inbound的負(fù)載均衡決定是否回退。重復(fù)以上步驟,實(shí)現(xiàn)其他DNS記錄的修改

配置f5基本網(wǎng)絡(luò)配置VLAN和IP,端口配置VlanHostNameIPAddressVLAN_FW_CTPortAssignment:1.1TAGGED50VLAN_FW_CNCPortAssignment:1.1TAGEED50InternalPortAssignment:1.3L54路由配置LinkController默認(rèn)網(wǎng)關(guān)Default_gateway_pool:Member54Member54部用戶到Internet訪問負(fù)載均衡配置網(wǎng)普通用戶的訪問網(wǎng)普通用戶的訪問將按設(shè)定的鏈路選擇辦法(負(fù)載均衡算法)在兩條鏈路上進(jìn)行選擇,并將訪問包的源地址轉(zhuǎn)換成相應(yīng)的防火墻IP地址。WildCastVirtual服務(wù)器:internal/0配置:Virtual服務(wù)器IP1:ServicePort:0PoolName:Default_GW_PoolLoadBalancingPolicy:RoundRobin特定用戶對Internet的訪問如果有用戶訪問外網(wǎng)特定的服務(wù)器時,外網(wǎng)的服務(wù)器要對訪問的源地址進(jìn)行限定。因此在LinkController上要對上述用戶的地址轉(zhuǎn)換設(shè)定特定的規(guī)則:SNAT規(guī)則用途源地址要求轉(zhuǎn)換成的地址特定的應(yīng)用使用指定的鏈路特定應(yīng)用使用指定鏈路應(yīng)用、服務(wù)、端口指定的鏈路對應(yīng)的GatewayPool

Internet用戶對網(wǎng)服務(wù)器(WEB)的訪問負(fù)載均衡配置虛擬服務(wù)器(VirtualServer)的配置VirtualServer配置示例:F5linkcontrol上配置Virtual服務(wù)器IP1:a.a.a.aServicePort:80PoolName:internal_fwLoadBalancingPolicy:RoundRobinPoolMemberAddress:FirewalluntrustipaddressPersistence:EnableSimplePersistenceDisableaddress/porttranslateF5bigip上配置Virtual服務(wù)器IP1:a.a.a.aServicePort:80PoolName:Online_webLoadBalancingPolicy:RoundRobinPoolMemberAddress:b.b.b.b/,c.c.c.cPersistence:EnableSimplePersistenceVirtualSever設(shè)置原始數(shù)據(jù)服務(wù)器功能網(wǎng)地址端口公網(wǎng)地址(CT)公網(wǎng)地址(CNC)域名VirtualSever設(shè)置VIP(IP:Port)PoolNamePoolMember(IP:Port)LoadBalanceMethodPersistence附注(Domain:功能)

從PC發(fā)起的DNS解析請求DNSVirtualServer配置示例:DNSVirtualSever設(shè)置VIP(IP:Port)PoolNamePoolMember(IP:Port)LoadBalanceMethodPersistence附注(Domain:功能)a.a.a.a

:53Dns_srv_poolc.c.c.c:53--Nb.b.b.b:53Dns_srv_poolc.c.c.c:53--N在網(wǎng)DNS服務(wù)器上設(shè)置的更改以為例NS.lcNSns1.lcNSns2.lcNs1.lcACTshareipNs2.lcACNCshareipWideIP設(shè)置WideIP的配置:WideIP:.VirtualServerPool:c.c.c.c:80,d.d.d.d:80LoadBalancingMethod:QOS->RoundRobinWideIP設(shè)置WIPPoolNamePoolMember(IP:Port)LoadBalanceMethodDomainPersistence服務(wù)器SSL加速設(shè)置

更改netscreen配置更改netscreen的外網(wǎng)ip配置防火墻的端口為trunk模式setinterface"ethernet0/1.20"tag20setinterface"ethernet0/1.30"tag30更改netscreen為路由方式,重新設(shè)置路由setroutesource/24interfaceethernet1/1gatewaysetroutesource/24interfaceethernet1/2gateway29取消netscreenNAT策略,修改過濾策略NATCNCNATCNC1NATCNC增加下列NAT記錄和策略 NAT CNC(上一步釋放的地址) NAT CNC(上一步釋放的地址)1 NAT CNC(上一步釋放的地址)50 NAT CNC48(新增地址)50 NAT CT1(新增地址)其中50和50的策略為放開DNS服務(wù)器的網(wǎng)絡(luò)配置檢查defaultgateway設(shè)置修改默認(rèn)網(wǎng)關(guān)為F5的internalvlan的浮動IP54功能檢查LinkController的功能檢查業(yè)務(wù)流程檢查業(yè)務(wù)流程檢查業(yè)務(wù)名稱檢查結(jié)果所需作的處理處理結(jié)果回退決定回退條件當(dāng)上線環(huán)境在一定時間不能實(shí)現(xiàn)用戶提出的要求,或者在一定時間不能恢復(fù)用戶的正常應(yīng)用,將執(zhí)行回退。根據(jù)上面所做的netscreen配置的備份和線路標(biāo)識,根據(jù)以下步驟進(jìn)行回退回退時間設(shè)定為上線測試后的2個小時?;赝瞬襟E恢復(fù)兩臺netscreen的配置導(dǎo)入改造前備份的配置文件根據(jù)原來的接線方式,重新恢復(fù)接線列表如下設(shè)備名稱端口設(shè)備名稱設(shè)備端口測試應(yīng)用是否正常運(yùn)行按照下列測試列表進(jìn)行測試業(yè)務(wù)流程檢查業(yè)務(wù)名稱檢查結(jié)果所需作的處理/責(zé)任人處理結(jié)果實(shí)現(xiàn)inbound的負(fù)載均衡檢查linkcontrol上GTM設(shè)置,按照以下列表實(shí)現(xiàn)功能WideIP設(shè)置WIPPoolNamePoolMember(IP:Port)LoadBalanceMethodDomain

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論