下面假设客户访问www.abc.com的dns请求流程如图：

1， 首先向其所在运营商的Local DNS发起www.abc.com域名的DNS请求，步骤1；

2， 运营商的Local DNS服务器从RootDNS得知www.abc.com由DNS-CTC、DNS-CNC、DNS-USA1和DNS-USA2来解析，即RootDNS同时返回此4个DNS服务器地址给LDNS（这是DNS的工作原理，它一定会返回所有关于请求的记录，在此即4个DNS服务器。如果只返回一个DNS而此DNS刚好中断服务了，那么Local DNS只能是解析失败了），步骤2和3；

3， Local DNS轮询向这4个DNS服务器发出域名解析的请求，直到返回数据，步骤4；

4， 假如DNS-CTC相应LDNS的域名解析请求，同时返回2台GTM的地址（Listener），步骤5；

5， 接受到请求的GTM首先查询在本地是否有该Local DNS的就近性表项，如果存在，则直接给Local DNS返回速度最快的服务器地址。如果不存在，则通知另外一台GTM发起对该Local DNS的查询，步骤6和7；

6， 两台3DNS分别对LocalDNS进行Probe。例如GTM-A查询该Local DNS的RTT时间为50ms，而GTM-B查询同一Local DNS的RTT时间为100ms，则此时在两台GTM内都形成了该Local DNS的对应就近性表记录；

7， 接受到Local DNS请求的GTM-A根据系统的就近性表返回相应的Data Center内的WEB服务器地址（即1.1.1.1），步骤8；

8， Local DNS获得地址后，将该地址返回给用户，到此DNS请求过程结束，步骤9；

9， 用户向www.albc.com(1.1.1.1)网站发起访问，步骤10。

需求：
1，abc.com和www.abc.com两个域名解析成同一个ip（F5上的vip1），提供443服务，并且只提供www.abc.com的证书；但是平时会有人通过访问http://www.abc.com或者http://abc.com来访问。所以通过abc.com来访问的话会有证书确认的提示。
2，xyz.abc.com解析成另外一个ip（F5上的vip2），提供443服务，绑定xyz.abc.com的证书。

需要解决如下问题：
1，所有通过http访问的需要跳转到https来访问，即如：http://www.abc.com需要跳转到https://www.abc.com/或者http://abc.com需要跳转到https://www.abc.com/来访问；
2，所有通过abc.com来访问的需要跳转到www.abc.com来访问；
3，针对上述两个vip，使用统一的irule。

书写irule如下：
rule redirect_http2ssl {
when HTTP_REQUEST {
if { [HTTP::host] equals "abc.com" }{
HTTP::redirect https://www.abc.com[HTTP::uri]
}
else { HTTP::redirect https://[HTTP::host][HTTP::uri] }
}
}

应用irule：
将此irule应用到两个ip（vip1和vip2）的80服务上面。

F5的端口绑定在F5的配置上面叫做端口的Trunk，与cisco技术上的trunk不通。

一般F5的内外网口都会接入在交换机上面，比如cisco的7609等，这样针对F5做端口绑定就需要注意以下问题了：

1，F5端口绑定支持的算法默认为dst-src-ip，是否与互联的交换机兼容；
2，F5同样支持LACP协议，是否与互联交换机兼容等；
3，F5做Trunk配置在不中断服务的情况下，需要先做standby的配置；
4，F5的Trunk需要2个或者多个没有被占用的端口做配置，否则在配置的时候看不到已经绑定了vlan的端口的；

其实最简单的配置F5的Trunk就可以了。 例如如下配置：

环境及需求描述：
思科交换机G1/1连接F5的1.1口，现需要将F5的1.2口与1.1绑成一个trunk使用。

思科交换机配置如下：
int port-channel 1
switchport
swit acce vlan 20
swit mo acce
no shut

int range g1/3-4
switchport
swit acce vlan 20
swit mo acce
channel-group 1 mode on
no shut

F5配置：
先配置standby的F5，将1.1从vlan里面退出来，然后新建trunk，添加1.1和1.2，如下：

然后将ext_trunk添加入相应的vlan即可。

最后连线，完成，检测后切换active/standby，配置另外一台F5.

今天接到应用部门一个需求：

针对他们部门的某个URL： http://www.abc.com/和https://www.abc.com/访问，需要直接跳到某一台主机上，而不希望在这个pool成员中轮询。而且正常的访问这个URL，需要跳转到https://www.abc.com/，但是一些程序针对这个域名的

接口调用则不需要跳转，一般的接口调用的URL最后为“.do”。

这个需求比较奇怪，考虑到一般人访问这个域名都是直接访问www.abc.com 其实就是http://www.abc.com/，而程序接口调用则类似为http://www.abc.com/*****.do。这就可以区分开来，在F5的定义中HTTP::uri表示HTTP::host后面的部分。

HTTP::uri

• Returns the URI of the request. It does not include the protocol (http or https) or hostname, just the path, starting with the slash after the hostname.

------摘自http://devcentral.f5.com/wiki/default.aspx/iRules/HTTP__uri.html

所以在LTM上面写下如此irule：

[root@LB-1A-BIG6400:Active] root #b rule http_https_host1 list
rule http_https_host1 {
when HTTP_REQUEST {
if { [HTTP::uri] equals "/" } {
HTTP::redirect https://[HTTP::host][HTTP::uri]

}
elseif { [HTTP::uri] contains "host1" } {
HTTP::redirect https://[HTTP::host][HTTP::uri]
}
}

和

[root@LB-1A-BIG6400:Active] root # b rule redirect_host1 list
rule redirect_host1 {
when HTTP_REQUEST {
if { [HTTP::uri] ends_with "host1" } {
use node a.b.c.d 80
}
}
}

然后将http_https_host1用在80的virtual server上，而将redirect_host1用在443的virtual server上就ok了。
}

今天突然想到了Bigip系统内部SNAT的效果，做了一个小小的测试，总结如下：
1，SNAT Pool（假定地址为a）只能作为一个对象，即其要发生作用，必须绑定在一个VS或者SNAT中；
2，在Virtual Server（假定地址为b）中，绑用一个SNAT Pool后，针对这个VS的所有访问的源地址都会转换成SNAT Pool中

的地址（假定地址为a）；
3，而在SNAT中绑用一个SNAT Pool（假定地址为a）后，这里面就会指定原始源地址（假定地址为c，d，e或者一个网段），源地址（c，d，e等）通过bigip系统路由到外面的访问，就会将此源地址改成a了。请注意这个没有涉及到VS，纯粹是路由出去的SNAT而已，将相当于路由器上或者防火墙上面的SNAT。

SNAT在BigIP上面叫做安全NAT，其实就是源地址NAT而已。