F5負載均衡在部署時可以使用串行和並行兩種方式進行部署。
串行方式部署:
F5串行方式部署
把F5串行部署在網絡中,服務器的網關指向F5的floating地址時,數據訪問關係如下:
訪問1數據包
抓包查看如下:
在F5前端抓包
以上可以看出,對於客戶端192.168.1.228這臺設備而言,與其通信的設備地址是192.168.85.1,經過F5後,F5根據負載均衡方法把數據包發送到一臺真實服務器上,此時會把訪問的目的IP地址更改為真實服務器的IP地址。
服務器上查看登錄的設備信息
通過在服務器上查看登錄的設備信息可以看到,對於服務器而言,與其通信的地址是192.168.1.228,而以這個地址為目的地址進行回包
回包情況
在串行方式下,對於VS下的服務器而言屬於被動訪問的關係,而當服務器主動發起訪問時會因為沒有匹配到VS而被丟棄,從而服務器無法主動發起訪問
服務器無法主動發起訪問
對於這種情況,在創建VS的時候可以選擇VS的類型為forwarding(IP),這種類型的VS沒有pool成員,對匹配到這個VS的數據進行路由轉發。
激活F5 VS的路由功能
正常通信
並行方式部署:
並行方式部署
串行方式部署需要更改網絡拓撲,而並行方式不需要更改網絡拓撲,並行方式的前提下,服務器網關指向F5時,訪問關係如下:
並行下的訪問數據包
抓包如下:
抓包情況
通過抓包可以看到訪問關係的變化。因此對於服務器而言,與其通信的設備是192.168.1.228,並以此地址為目的地址進行回包。
並行下的回包
抓包如下:
來回路徑不一致
在服務器進行回包時,以自己為源進行回包,當F5收到回包後會通過NAT關係把源地址轉換為VS的虛地址進行轉發,而當服務器的網關不在F5上而是在交換機上的時候訪問會出現問題,服務器192.168.200.1的網關在交換機上,而對應F5的VS虛地址192.168.85.3,當192.168.1.228發起訪問時,S:192.168.1.228,D:192.168.85.3,經過F5的VS後會做目的地址轉換,把目的地址轉換為192.168.200.1,此時S:192.168.1.228 D:192.168.200.1 ,服務器正常收到數據包,而在回包的時候會直接通過交換機進行路由轉發,導致客戶端192.168.1.228收到的數據包為S:192.168.200.1,D:192.168.1.228,而對於客戶端而言並未與該設備通信,從而導致通信失敗。
解決方法:配置VS時進行snat轉換,使服務器的回包強制通過F5進行返回,而配置NAT時可以使用automap和調用snat pool的方式
對於automap而言,數據包從哪個接口接收到的會把源地址轉換為該接口的floating地址,所以,配置automap時,如果F5上有該網段的self地址而沒有floating地址,會導致無法轉換
對於snat pool方式而言,需要有該網段的self地址才能轉換成功。
閱讀更多 netlab 的文章
