实验演示---GSLB部分(DC1)

Posted key-network

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了实验演示---GSLB部分(DC1)相关的知识,希望对你有一定的参考价值。

 

须知:

1.由于我的16G轻薄本性能有限,本次演示拓扑中DC1的GSLB负载;

2.ISP1内网中DNS服务器采用windows server 2008 r2;

3.原DNS和LTM每组各2台当主备,改为各1台担当;

4.步骤文字标红部分,是因为按照步骤又要回到前面更正。我直接在原步骤标红改正确了。

先演示实验效果:

技术图片

 

 

 技术图片

 

图一为DNS解析路径;图二为DNS解析负载(61.12.8.0.X和128.61.0.X为模拟公网ISP)

 

预配:

1.LTM设备建立pool池,关联VS ip,并配置默认路由;

2.DNS对公配置双路OSPF邻居,规划0.6为对外提供http公网地址;0.4为对外对动态域名的接收地址;

3.DNS根据互访关系,配置0.6的NAT关系;

 

 

按照笔记:

《1》配置logging Profile
    “system”-“logs”-“configurations”-“log publishers”
    name填写“local-syslog-publishers1”
    Destinations中将“local-syslog”调整为“selected”状态

技术图片

 

 

《2》DNS logging profile
    “DNS”-“Delivry“-"prifiles"-”other“-”DNS logging“
    name填写“DNS_logging_profile1”
    logging publishers 选择“local-syslog-publishers1”

技术图片

 

 

 

 《3》DNS profile
    "DNS"-"Delivery"-"profiles"-"DNS"
    name填写“qytangcciedc.com_dns_profile1”
    Unhandled Query Action 选择“Allow"
    Use BIND Server on BIG-IP 选择“Enabled
    logging 选择“Enable”
   logging Profile选择“DNS_logging_profile1”
    AVR Statistics Sample Rate选择”Enabled“,比例填写1:1

技术图片

 

 

 

 《4》配置udp profile
    “DNS”-“Delivery”-Profiles“-Protocol”-“UDP”
    name填写“udp-dns_profile1”
    Datagram LB选择“Enable”

技术图片

 

 

 

《5》配置tcp profile
    “DNS”-“Delivery”-Profiles“-Protocol”-“TCP”
    name填写“tcp-dns_profile1”
    Paraent Profile填写“f5-tcp-wan” (模拟公网而选择)  

技术图片

 

 

 

6》配置DNS listener
    “DNS”-“Delivery”-“Listeners"-"Listener List"
    name填写“isp1_DCI_ns.qytangcciedc.com_udp_53_virtual”
    Destination中Address填写“61.128.0.4”
    Service选择“Advanced”高级:
    Protocol选择“UDP”
    Protocol Profile(Clinet)选择“udp-dns_profile1”
    DNS profile选择“qytangcciedc.com_dns_profile1”
    
    name填写“isp2_DCI_ns.qytangcciedc.com_udp_53_virtual”
    Destination中Address填写“128.61.0.4”
    Service选择“Advanced”高级:
    Protocol选择“UDP”
    Protocol Profile(Clinet)选择“udp-dns_profile1”
    DNS profile选择“qytangcciedc.com_dns_profile1”
    
    name填写“isp1_DCI_ns.qytangcciedc.com_tcp_53_virtual”
    Destination中Address填写“61.128.0.4”
    Service选择“Advanced”高级:
    Protocol选择“TCP”
    Protocol Profile(Clinet)选择“tcp-dns_profile1”
    DNS profile选择“qytangcciedc.com_dns_profile1”    

    name填写“isp2_DCI_ns.qytangcciedc.com_tcp_53_virtual”
    Destination中Address填写“128.61.0.4”
    Service选择“Advanced”高级:
    Protocol选择“TCP”
    Protocol Profile(Clinet)选择“tcp-dns_profile1”
    DNS profile选择“qytangcciedc.com_dns_profile1”
    
    验证:可在LTM-VS上看到2个IP的53端口(共4个条目)

 

 

 

 

 技术图片

 

 

 

 

 

技术图片

 

《7》配置Data centers和link
    “DNS”-“GSLB”-“Data Centers”-“Data Centers List”
    name填写“qytangdc1”
    点击完成
    
    name填写“qytangdc2”
    点击完成

 

技术图片

 

 

 技术图片

 

 

《8》配置servers
    “DNS”-"GSLB“-"Server”-“Servers List”
    name填写“DC1-DNS-HA”
    Date Center选择“qytangdc1”
    
    Device中点击“Add”
    Device Name填写“DC1-DNS2.qytang.com”
    Address填写自己的self ip"61.128.0.3"和"128.61.0.3"-finish(DC1-DNS2)
    
    Device中点击“Add”
    Device Name填写“DC1-DNS1.qytang.com”
    Address填写自己的self ip"61.128.0.2"和"128.61.0.2"-finish(DC1-DNS1)
    
    configurations中的“Health Monitors”将“bigip”调整为Active状态;
    Resources中的virtual Server Discovery选择”Disabled“,Link Discovery(自动发现)选择”Disabled
    
    可以在“DNS”-"GSLB“-"Server”-“Servers List”-“Device”-“DC1-DNS-HA”看到自己端是绿色的,对端是蓝色的,证明链路还没有建立。

技术图片

 

 

 

 技术图片

 

技术图片

 

 

 技术图片

 

技术图片

 

 

 

 

Device中点击“Add”

name填写“DC1-LTM-HA”
Date Center选择“qytangdc1”

    Device Name填写“DC1-LTM2.qytang.com”
    Address填写自己的self ip"172.16.10.253"(DC1-LTM2)
    
    Device中点击“Add”
    Device Name填写“DC1-LTM1.qytang.com”
    Address填写自己的self ip"172.16.10.252"-finish(DC1-LTM1)
    
    configurations中的“Health Monitors”将“bigip”调整为Active状态;
    Resources中的virtual Server Discovery选择”Enabled“,Link Discovery(自动发现)选择”Enabled“
    
    可以在“DNS”-"GSLB“-"Server”-“Servers List”-“Device”-“DC1-LTM-HA”看到自己端是绿色的,对端是蓝色的,证明链路还没有建立

 

 技术图片

 

技术图片

 

 

对DC1-DNS-HA建立link及virtual server:

link由于前面关闭了自动发现,手动建立。其中Health Monitors要选择“gateway_icmp”

建立virtual server,需要关联link做监控。

技术图片

 

 

 

技术图片

 

技术图片

 

 

 

 

 

 

 

 

9》配置Device Trust
    为什么要交换证书:为了F5 BIG-IP设备设备间通信iQuery;
    有三个命令可以交换机F5 BIG-IP的设备间的证书:bigip add、big3d_install、gtm_add;
    以上三个命令应在F5 DNS上执行:
    a.bigip add  只用来交换证书,使用SSH协议和scp命令;
    b.big3d_install 推送big3d程序给对方+交换证书;
    c.gtm_add拉取对方配置到本机+交换证书+将自己加入DNS同步组
    
    iQuery通信:
    正确交换完证书是iQuery mesh结构建立的前提;
    (1)iQuery F5私有协议使用TCP 4353端口,使用SSL加密通信,实际传输的是gzip压缩的XML数据;
    (2)iQuery负责bigip间的monitor、heartbeat、path metiric collection result、persistence的交换或同步,是各种configurations(bigip、gtm、conf、named、conf、zone)同步的执行者
    (3)big3d在所有self ip,内部接口包括mgmt上监听tcp 4353;
    (4)iQuery是gtmd与big3d之间的通信,所以iQuery mesh是gtm与gtm,gtm与ltm之间的mesh。ltm只是单向传送iQuery到GTM,不主动发起iQuery连接;
    (5)查看F5 4353端口情况: netstat -tnlp | grep 4353(查看端口状态检查服务是否正常)和netstat -na | grep 4353(所有涉及4353端口连接)
    
    bigip_add 61.128.0.2(在DC1-DNS2-F5上)
    bigip_add 172.16.10.252(在DC1-LTM2-F5上)
    检查是否交换机证书:DNS”-“GSLB”-“Servers”-"Trusted Server Certificates"中“Certificates Subject(S)“中发现是有远程的设备

  排障可参考:https://support.f5.com/csp/article/K13690

 

技术图片

 

技术图片

 

技术图片

 

 

 

 

《10》dns pool

“DNS”-“GSLB“-“Pools”-“Pool List”
name填写“GLSB-web-pool”
type选择“A”
configurations中的Health monitors,这里选择适用tcp协议来监控,tcp调为Active状态;
Member中的load balancing method中,preferred选择“Topology”,Altemate选择“None”,Falback选择“Global Availability”
Member List中的virtual Server选择LTM设备的VS地址(61.128.0.6)

name填写“GLSB-web-pool-2”
type选择“A”
configurations中的Health monitors,这里选择适用tcp协议来监控,tcp调为Active状态;
Member中的load balancing method中,preferred选择“Topology”,Altemate选择“None”,Falback选择“Global Availability”
Member List中的virtual Server选择LTM设备的VS地址(128.61.0.6)

技术图片

 

 

 

 技术图片

 

 

 

 

《11》WideIPs
    “DNS”-“GSLB“-“Wide IPs“-”Wide IP List“
    name填写“www.gslb.qytangcciedc.com”
    Type选择“A”
    Pools中的load Balancing Method选择“Topology”,Pool List中的pool选择步骤10建立的“GLSB-web-pool(A)”--"Add"
    点击完成
    
  技术图片

 

 技术图片

 

 

 

 

 


    
    配置好以后,在ISP1-win7上测试下,提示:no servers could be reached
    这是因为步骤10中建立的“GLSB-web-pool“的virtual Server需要新建。
    “DNS”-“GSLB“-“Pools”-“Pool List”-“GLSB-web-pool“-“Member”-”Add“,增加2个公网的VS即可。
    添加完发现第二个IP(128.61.0.6)unlicensed状态,因为该功能需要授权,且只限于美国地区:(https://support.f5.com/csp/article/K15834)
技术图片

 

 

    


    name填写“GLSB-web-pool-DC1-ISP2”
    configurations中的Health monitors,这里选择适用tcp协议来监控,tcp调为Active状态;
    Member中的load balancing method中,preferred选择“Topology”,Altemate选择“None”,Falback选择“Global Availability”
    Member List中的virtual Server选择unlicensed状态的ip(128.161.0.6)
 

技术图片

 

技术图片

 

 

 


    这样配置2个pool,pool的负载均衡topology方式就废了,可以检查:
    tmsh show gtm wideip A www.gslbcciedc.com detail 在Load Balancing中preferred没有命中(网页这里配了topology负载),而是其他的命中了

 

























































































































以上是关于实验演示---GSLB部分(DC1)的主要内容,如果未能解决你的问题,请参考以下文章

如何配置单点测试及现场写IP的实验演示

Redis集群搭建完整流程演示

数据安全性实验演示

数据安全性实验演示

BFD实验演示(Huawei路由器设备配置)

⭐❤️zigbee无线通信模块的深入浅出❤️⭐