在AD设备替换A10场景中,特别是当使用深信服AD设备替换A10设备时,我们首先需要:
(一)、了解A10设备特性与配置
A10 Networks的Thunder ADC系列是一款高性能的下一代应用交付控制器,具有提高客户应用的可用性、加速性和安全性的功能。在替换前,需要熟悉A10的配置模块和思路,以及它与其他负载均衡设备如F5在链路负载实现方式及部分不常用模块或功能上的差异。
(二)、深信服AD设备特性与配置准备
深信服AD设备是一款功能强大的应用交付控制器,具有负载均衡、SSL卸载、应用加速、安全防护等功能。在替换A10设备前,需要熟悉深信服AD设备的配置方式和特性,确保能够正确地进行配置和调试。
A10设备与深信服AD设备在功能上有差异,现在就一台A10设备4.1.4版本与深信服AD7.0.26版本做替换,由于客户原本使用两台A10设备做VRRP,本次为两台深信服AD设备做主备替换。
一.设备版本
1.1.版本信息
1.2.语言切换
首先对A10设备进行设备备份,由于登录A10后默认是英文,可以在设备上进行更改为中文
1.3.设备备份
在A10设备系统中选择[维护]-[备份],保存在本地
二.网络配置
2.1管理口配置
A10设备管理口配置
在[网络]-[管理]-接口中查看管理网地址,启用Rx和Tx
此处与我们设备中管理网LLDP一致,可在此开启
2.2业务接口配置
A10设备配置-银行专线地址,此处识别到银行使用vlan205/vlan206/vlan207/vlan208/
vlan209/vlan210做业务口
查看A10配置网络接口,此客户有6条银行专线,4条运行商业务,下联1个内网口,通过tagged发现6条银行专线是通过一根网线(以太网接口2)出来做的vlan子接口,如图中
vlan205/vlan206/vlan207/vlan208/vlan209/vlan210。
此处可以看出在Tagged下同属于同一个接口
2.2.1配置接口属性
A10设备配置接口属性
通过查看A10 接口,发现接口有带tagged跟不带untagged的属性,untagged属性在深信服AD中可自定义为lan口或wan口,带taggged的要配置上vlan子接口。
查看系统接口,做的vlan地址,在[系统-网络-vlan]中可看到名称
2.2.2配置vlan接口地址
A10设备配置VLAN接口地址
如银行VLAN分别vlan205/vlan206/vlan207/vlan208/vlan209/vlan210
A10配置VLAN地址如vlan205是建设银行,对应地址是XX.XX5.252.94
在[网络-vlan-虚拟以太网接口]中配置地址,记住接口号一定要对应之前的vlan-id。
三.VRRP
A10设备配置VRRP
因客户之前设备为两台设备,做的VRRP,在系统-VRRP-A中,查看vrrp组id为0,进去编辑后看到有浮动IP,AD设备配置了主备,所以此处在深信服AD设备上也配置浮动IP
3.1查看编辑VRRP
在系统-VRRP-A选中要编辑的vrid进行查看
此替换项目与客户沟通,客户明确使用AD主备模式在出口部署。
AD中选择接口选择浮动IP配置,这地方一定要配置全设备的地址,后续在目的地址转换,源地址转换中都会用到,如果接口IP不在设备上,需要配置ARP代理。A10设备上看到的是浮动IP集合,需要根据浮动IP地址确定是属于哪个网口。
本次设备查看客户有NAT的其他不是本接口的IP,所以在此增加了ARP代理(端口映射详细信息看章节4.2)
四.业务
4.1业务系统
通过了解到客户这边使用的业务有外网映射,但都是通过虚拟服务进行映射访问。
客户业务全部通过虚拟服务实现,在深信服-AD设备上也可以通过虚拟服务实现,也可以通过源地址转换与目的地址转换实现,跟客户沟通过我们通过源地址转换与目的地址转换实现。
4.2源地址转换
配置思路:先找到源地址,再找转换为的目的地址
4.2.1源IP地址
如以下配置,找到CUCC500M_VS_151这条源地址转换
在[ADC-SLB-虚拟服务器]中查看到所有的业务信息CUCC500M_VS_151
查看业务,了解到其中地址为0.0.0.0的是源地址转换,而端口需要进行编辑查看
匹配的源地址,端口,需要在访问列表中查看
在A10设备上是通过[访问控制]实现源地址从而进行转换
在[ADC-SLB-虚拟服务器]中找到访问控制编号为151
在查看[安全-访问列表-扩展]找到所对应的编号151
其中ID为源地址转换时所引用的ID,下图内没有151,需要找到ID为151,然后点编辑
编辑151,可看到访问控制列表可以自定义地址,可以用地址集,下图以ID为140的ACL列表举例
地址集在[安全-对象组]中进行对象编辑
比如ID为140这个ACL的地址集名称为inside_server,在此处可以看到地址集为XXXX
4.2.2转换地址
A10设备配置转换地址
此处包含业务出口信息,以及端口与转换成固定出口的IP,此处是通过转换成移动线路与联通线路出口IP。(后面有举例)
点击[ADC-SLB-虚拟服务器]找到CUCC500M_VS-151点击编辑,可以看到虚拟端口,此处就是确定源地址转换匹配时,哪些协议类型会进行匹配,如图中为other、tcp、udp则实际代表匹配所有协议
点击虚拟端口的编辑时,此处页面包含协议、端口以及服务组,端口为0则匹配此协议的所有源端口,服务组包含了转换后的IP地址
这个服务组可以在[ADC-SLB-服务组]查找到对应的服务组名称
编辑后进入服务组中,可以看到选择的出口链路和算法。查看右边成员,包含了两个线路的公网出口线路,实际上对应AD的链路负载选择两个出口,A10左边算法选的轮询,AD设备可保持一致或修改。
编辑成员中任意一条链路查看,此处IPv4地址为出口网关地址,模板地方为需要转换的出接口地址
此处IPv4地址指的是出口网关地址,模板中地址才是要转换为地址
在[ADC-模板]中找到对应的模板
其中可以找到源nat地方使用的地址,在[ADC-IP源NAT]中,找到对应地址。
客户使用的模板存在两种形式,上面的例子是其中一种,即每个链路成员单独关联1个模板,但也有可能两个链路成员同时关联一个模板群组的情况。
例如:客户处HR的源地址转换
[ADC-SLB-虚拟服务器]找到HR,看到对应的源地址访问控制为156,按照正常逻辑查找ACL156对应的源IP
编辑找到虚拟端口,虚拟端口为0,协议为TCP,服务组为HR_TCP
[ADC-SLB-服务组],编辑查看IP跟端口
找到成员-其中所包含的链路对象IPV4_CMCC500M_TCP跟IPV4_CUCC500M_TCP
编辑IPV4_CMCC500M_TCP,发现对应模板HR,如果退回去编辑IPV4_CUCC500M_TCP,会发现对应的模板也是HR
此时再去[ADC-模板]找HR这个模板会发现没有名字为HR的模板,需要去[ADC-IP源NAT-群组],找到对应名为HR的群组
查看HR群组中选择对象,包含了CMCC_111.15.XX.XX跟CUCC_123.235.XX.XX,这两个实际并不是最终的IP地址,勾选的实际上是A10设备配置的IPV4池名。
最终通过[ADC-IP源NAT-IPV4池]中找到HR组中引用的IPV4池名确定地址为111.15.XX.XX跟123.235.XX.XX
在深信服AD中配置源地址策略完成配置转换
4.3目的地址转换
4.3.1端口映射
端口映射包含客户对外业务地址端口,通过公网地址加端口访问内网业务,可以配置虚拟服务,也可以配置端口映射,此项目主要使用端口映射,涉及多节点池的采用虚拟服务。
如下面DMZ_HR_CMCC业务,
打开[ADC-SLB-虚拟服务器]查看业务,IP地址不为全0则为目的地址映射,转换前的目的IP为111.15.XX.XX
点击业务DMZ_HR_CMCC,查看编辑端口为10001跟10002,协议为tcp跟udp,TCP11000同理,不单独示例。
此处虚拟端口配置可以直接点编辑跳转,也可以在[ADC-SLB-虚拟服务],找到服务为DMZ_HR_CMCC,端口为10001的服务,查看发现有tcp与udp虚拟服务配置
点击tcp协议编辑查看,所属服务组DMZ_HR_internal_tcp_80
在[ADC-SLB-服务组中找到所属服务组,DMZ_HR_internal_tcp_80
左边有对应调度算法,编辑查看所对应的成员,DMZ_HR
[ADC-SLB-服务组-DMZ_HR-成员]查看转换后的目的IP与端口,此处发现端口与公网端口一一对应。此处转换后的目的地址为192.168.18.33端口为10001,其余端口与协议一样查看配置。
4.3.2虚拟服务
客户这边有个别业务是两个内网IP映射到一个公网地址端口,我们配置了虚拟服务来解决
比如客户的YDSP业务,配置了一个公网地址分别映射到内网两个地址加端口,公网地址111.15.XX.x:8443映射内网192.168.18.200:X443跟192.168.18.201:X443,具体体现在服务组中的成员是2个,非上述示例的1个。
做替换时,在深信服AD设备上配置节点池(YDSP_TCP中配置两个节点),在虚拟服务中调用节点池
注意区分TCP与UDP
4.4路由
4.4.1策略路由
客户银行业务特殊,需要走单独的线路,并且目的地址不同,且多条线路,但所有银行业务都使用前置机进行数据交换,在A10设备上需要策略路由实现。
(1)此处客户使用智能路由使银行前置机根据IP进行选路,并且在选路后会SNAT,因此需要先找到源IP以及转换后的地址。
配置源nat地址,把银行前置机的IP配置转换,找到银行专线(Yinhangzhuanxian_VS_121)这条策略
点击编辑,找到源IP地址,其中访问列ID中IP就是源IP,可在[安全-访问列表-扩展]中查看(此处看章节4.2.1)
点击tcp编辑,查看服务组(Yinhangzhuanxian_tcp)
在[ADC-SLB-服务组]找到对应名称配置,此处端口是tcp,成员包含了
客户六个银行业务线路,此处以工商银行举例
点击工商银行查看模板名称
找到[ADC-模板],其中找到GongshangYinhang__GW
GongshangYinhang__GW中ipv4网关地址为192.168.251.137,其中源地址为源nat(Gongshangyinhang_192.168.17.XX),此处未截图,文字表述。
编辑工商银行,找到源nat(Gongshangyinhang_192.168.17.XX)
[ADC-IP源NAT]找到对应IP地址(192.168.17.XX),此处工商银行只转换成一个地址
此时找源NAT完成,其他银行配置相同,按照同一逻辑寻找转换后的IP即可。
注意:深信服AD如果设备转换IP不在接口上,需要配置ARP代理,使设备能响应转换后IP的ARP报文。
(2)A10设备在[ADC-模板-7中配置路由策略,此处也是tcp跟udp两条策略,在深信服AD设备上可以配置一条即可
Yinhangzhuanxian_tcp与Yinhangzhuanxian_udp
点击Yinhangzhuanxian_tcp编辑查看,其中ID跟后面黑白名单中ID需要对应,比如3必须是招商银行,服务组选择每个银行配置的服务组(如招商银行选择-Zhaoshangyinhang_tcp,因为此协议是tcp的,udp协议在另一条配置)
在[ADC-BW-lists-黑白名单]中配置业务查看具体的策略路由配置
其中前面是目的地址/掩码,后面是匹配路径(比如1,2,3,4这数字表示走不同银行专线出去,与7层协议中定义的ID对应)
五.业务验证
5.1用户上网正常,解析正常
5.2通过外网访问业务正常
5.3银行业务验证
通过路由测试发现正常走银行线路
现场业务测试正常
六、其他问题
6.1.客户内部使用DNS为114.114.114.114,客户想使用联通走联通,移动走移动策略,查询此dns在设备联通地址集中,客户害怕业务走联通负载大,因此为114单独配置条策略放在第一位,源为所有,目的为114的从联通跟移动轮询出去
6.2银行前置机走六个不同专线,在深信服AD设备上正常使用智能路由配置即可,但此客户有个商务问题,AD是2U设备,设备链路授权数没有考虑银行专线,授权不足,因此银行专线选路无法使用智能路由。
实施时了解到银行前置机地址固定,且前置机也需要上互联网,因此决定改变路由优先级,将智能路由优先级提到静态路由之上,实现用户上网走智能路由,和银行前置机相关流量走静态路由。
配置方式:
1.修改路由优先级
2.配置时把银行前置机地址集取出来,重新自定义内网地址集,将内网地址集分为银行前置机和用户终端2个地址集。
3.禁用默认生成的兜底智能路由策略。新增联通走联通,电信走电信,移动走移动的智能路由,并且源地址选择用户终端地址集
4.配置静态路由,银行专线业务走对应银行专线网关,配置默认路由实现前置机上网,且通过配置2条不同网关不同优先级的默认路由实现故障切换。
开启路由优先级调整,策略路由优先级高于主路由
自定义内网地址集,去除前置机地址
禁用默认兜底策略路由。新增联通走联通,电信走电信,移动走移动的智能路由,源地址选择用户终端地址集
配置银行明细路由走银行网关,配置默认路由是前置机上网
比如此处15.0.XX.XX/32走建设银行网关
配置2条默认路由,通过优先级实现故障切换
配置源地址转换策略,使走向目的地址为各个银行的从对应线路出去并转换成对应IP地址。
经过测试,业务IP静态路由转发
这样解决了用户银行前置机智能选路问题,后续割接测试业务也正常。
待客户申请完变更时间后上线AD,设备运行正常,业务正常,此次替换圆满成功。
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 