第一章概述
A10负载均衡和F5负载均衡的配置模块和配置思路基本相同。它们和ad的主要区别是链路加载的实现，一些不常用的模块或功能AD不支持。本文主要讲述如何将A10常见负载场景的功能配置转换为ad配置。
第二章配置导出
A10配置有两种保存方式，包括系统备份文件和技术支持文件。系统备份文件通常包含所有配置和各种文件(如证书、aflex脚本、地址集等。)按文件类型打包下载，而技术支持文件是一个单独的文本文件，包含设备的所有配置和当前状态信息(如配置、设备状态、日志等。

建议两者都导出。证书等。只能通过系统备份导出，方便导入替换的证书。但是，备份系统配置只能备份保存的启动配置。showtech可以导出启动配置和当前运行配置，showtech便于比较和检查被替换的虚拟服务和其他设备在替换前后的状态，也便于传输。可以直接转给总部专家进行配置确认。
导出后，两种文件类型的打开方式如下:
系统备份文件:

ShowTech文件:

注意:如果A10是多个，则必须保存并同步配置，然后必须单独删除每个配置，除非打开了A10并配置了vcs自动同步(如果打开了VCS自动同步，则可以从任何设备获取配置)，如下图所示:

2.1WEBUI导出
先登录设备(A10默认账号admin/a10)，然后同步配置。配置同步后，导出如下:
导出系统备份文件:
System >；& gt维护& gt& gt备份& gt& gt选择系统本地，然后单击备份，等待浏览器弹出窗口下载。
导出ShowTechSupport技术支持文件:
点击界面右上角的救生圈按钮，等待浏览器弹窗下载。
注意:首先，确认A10是否虚拟化了设备并创建了多个分区。配置导出必须在默认共享分区下，以获取整个设备的所有配置。建议用WEBUI导出。
版本
2.1.12.x

2.2CLI导出
1。通过SSH登录A10设备后台。账号密码与前台相同，默认为admin/A10；
2。设置SSH软件记录CLI输出日志；
3。输入enable进入特权模式，默认密码为空。只需输入；
4。输入write memory all-partitions保存所有配置(包括所有分区)；
5。输入show techsupport，然后按Enter等待techsupport的输出。
或者使用show[running-config | start-up config]all-parity命令获取所有配置(相当于没有证书、aflex等外部文件的系统备份文件，或者没有状态、日志的技术支持文件，不建议备份)；
6。取出之前保存的会话日志或直接***整个输出信息，并将其保存在新创建的TXT文本中。

如果您不想在会话窗口中输出副本，也可以使用以下命令将其输出到A10可达文件服务器:

第三章网络部署
3.1网络接口
3.1.1A10配置
A10的IP通常配置在VLAN上，方便后期接口调整。在vlan配置中，如果接口未标记，则意味着该接口相当于没有VLAN ID的普通接口，VLAN相当于可信设备上的端口桥接配置。如果有多个接口未标记，请使用桥接网络端口来配置桥接网络端口的链路IP。如果只有一个接口，可以直接配置对应的接口链路IP。
示例配置文件如下:
！
VLAN 11
未标记的以太网7
路由器接口ve 11
name “xxx _ vlan & # 8221
！
VLAN 500
未标记的以太网4
路由器接口ve 500
名称“exam _ vlan & # 8221
！
接口ve 500
ip地址10 . x . x . x 255 . 255 . 255 . 252
名称“exam _ ve & # 8221
！
接口ve 11
ip地址192 . x . x . x 255 . 255 . 255 . 0
IPv6地址2001:x:x:x::1/***
IP allow-promissive-VIP
name “xxx _ ve & # 8221
如果A10接口配置了ip allow-promissive-VIP，这意味着该接口可以匹配虚拟服务IP流量0.0.0，这通常出现在需要路由出站链路负载的场景中。转换为AD时，AD不需要配置，所有接口默认匹配所有类型的虚拟服务。
示例配置文件如下:
！
接口ve 11
ip地址192 . x . x . x 255 . 255 . 255 . 0
IPv6地址2001:x:x:x::1/***
IP allow-promissive-VIP
name “xxx _ ve & # 8221
！
A10的链路健康检查通常使用外部脚本健康检查。如下，对应的ve接口作为源IP，下一跳是对应的链路***IP(220.x.x.x)，用来检查链路是否正常。诸如支票的目的地地址的信息包括在相应的脚本中。转换到AD时，如果没有特殊需求，可以直接使用WAN口的链路健康度检查，无需转换。
示例配置文件如下:
！
health MOX xor HC-Cu interval 5 retry 3 time out 5 up-retry 1

strict-retry-on-server-error-response
方法外部程序检查参数“1.1.1.1 1.1.1.2”
！
3.1.2配置解释
解释上面接口的配置
！
VLAN 11 # name
untagged Ethernet 7 #物理端口号，untagged是指路由器接口ve11 #桥接的虚拟接口名，不带tag tag
name “xxx _ vlan & # 8221# Name
！
接口VLAN
IP地址192.x.x.x255.255.0 # IPv4地址掩码
IPv6地址2001: x: x: x:: 1/*** # IPv6地址掩码[XXX _ ve ”#接口名称
！
3.1.3注意
[1]我们AD的链路健康检查将与接口上的SNAT地址相匹配。此时需要保证SNAT地址池中的所有地址都能正常ping通对方运营商的***，否则健康检查不会启动；或者通过ARP检测进行健康检查
[2]需要注意的是，WAN接口是一个未标记的WAN接口。我们可以配置路由端口或VLAN接口。
[3]局域网接口健康检查，AD通过PING实现，需要注意AD- core交换机之间的安全设备，拒绝来自外网的报文，导致监控失败；
3.2NAT配置
A10的NAT配置与Cisco和其他路由交换的配置相同。它可以分为静态NAT配置和动态NAT(PAT)配置，这两种配置都需要定义并与接口内部/外部的ip nat结合使用。A10的静态NAT支持一对一NAT和多对多范围静态NAT。
3.2.1A10配置
IP NAT pool p-CT-TCP x . x . x . x . x . x . net ***sk/26
IP NAT pool p-CT-UDP x . x . x . x . x . x . IP pool p-CT-DNS x . x . x . x . x . x . x net ***sk/26
以上配置说明了各个运营商的线路地址池的地址是通过不同的地址SNAT出来的。
3.2.2配置解释
IP NAT池p-CT-TCP x.x.x.x.x.x网络掩码/26 #配置匹配TCP协议动态地址池
IP NAT池p-CT-UDP x.x.x.x.x.x配置匹配UDP协议动态地址池
IP NAT池p-CT-DNS x.x.x.x.x.x网络掩码/26 #配置匹配DNS协议动态地址池因为TCP连接可能比UDP占用更多的端口，所以我们不选择保留UDP协议。
[2]可以单独删除DNS转换。注意不要只保留TCP、UDP策略和ICMP策略。最好建立一个any来匹配所有协议。
3.3路由配置
3.3.1A10配置
出口部署时配置的默认路由仅用于设备自身的上网，如外网管理和测试等。A10互联网接入的转发流量通常是通过0.0.0/0虚拟业务实现的。详见链接荷载转换介绍。
IP路由10.x.0.0/16 192.x.x.x
路由到XX学校内网
3.3.2配置释义
路由可以随便配置。
3.3.3注意
[1]全零路由通常不需要在我们的AD上配置，以免影响健康检查；
[2]注意WAN口链接是专线或者有WAN-LAN流量，与DNAT或虚拟服务不匹配，需要开启WAN入站转发；
第4章出站链路负载
4.1概述
A10的链路负载思想与服务器负载的总体思想相同。通过采用特定的调度算法，将流量调度到不同的链路节点上进行负载。当接入的流量匹配负载均衡的虚拟服务时，通过调度算法和链路健康检查将其调度到节点池中的一个节点，同时实现链路备份。同样，链路负载的实现思路也是一样的。通过定义一个节点池(运营商***地址)，将去往运营商的流量调度到节点池(运营商***地址)中的不同节点，实现链路冗余和备份。

与此同时，AD在7.0开始支持三层虚拟服务，三层虚拟服务支持所有0网段(0.0.0)和特定网段(192.168.1.0/24)的配置。通过配置三层虚拟服务，可以同时关闭DNAT，这样虚拟服务也可以解决这个需求场景。如果一个特定的源IP网段需要去，由于我们的前置策略不支持过滤目的地址来匹配ISP地址集，这个策略只能通过iPro来实现。建议将友商的链路负载改为ad的智能路由模式，以满足客户的出站链路负载需求(我们的智能路由配置更简单)。
4.2ACL流量匹配
4.2.1A10配置
A10的ACL主要用于策略匹配，这里用来区分链路负载流量作为不同的策略使用。
Access-list 108 permit IP any x . x . x 0 . 0 . 255
4 . 2 . 2配置解释
Access-list 109 permit IP any host x . x . x #这里的意思是任何，到这个目的地址的流量
4.2.3注
[1]排序时类似于策略路由的形式，保证源路由指定出口线。我们可以通过智能路由来配置，更加简化和方便。注意智能路由的特点，自上而下匹配顺序；还有的是指向内网的access-list，可以通过静态路由直接指向内网核心交换机，不需要特别关注；

4.3节点池
4.3.1A10配置
定义同一地址集下的路由和备份策略
SLB服务-组SG-cttcp
Member Link-CT:0 template t-CT-tcppri Member-Cu:0 template t-Cu-TCP priority 5
Member-Link-CMCC:0 template t-CMCC-TCP priority 2
4 .比如sg-ct节点池中t-ct-tcp的优先级为10，而t-cu-tcp作为备份，最后选择T-CMCC-TCP。
4.3.3注意
A10在这种配置下看起来会更复杂，但是转换成AD配置会简单很多。只要注意A10开启负载平衡策略的链接。
4.4出站负载策略绑定
4.4.1A10配置
A10的出站链路负载与服务器负载类似，首先创建节点(链路负载是***节点)，然后定义相关策略，最后通过虚拟服务进行绑定和发布。A10的链路负载识别方法主要是检查是否存在0.0.0虚拟服务，然后根据对应的0.0.0虚拟服务的配置分析相应的路由策略。
slb虚拟服务器ll b-ACL 123 0 . 0 . 0 . 0 . 0 ACL 123
port 0 TCP
Service-group SG-edu
use-rcv-hop-for-resp
template TCP t1
no-dest-NAT
port 0 UDP
Service-group SG-edu-UDP
use-rcv-hop-for-respTcp、udp等需要单独配置，对应的路由策略是llb-tcp和llb-udp。使用目的IP会话保持，禁用目的地址转换，使用严格的NAT地址转换(超时周期内同一个源IP访问同一个NAT地址的固话)，设置源入口和源出口，保证流量对称返回。转换到AD时，创建相应的智能路由策略，为多条链路路由和备份与acl 123匹配的源和目的IP，如果有其他acl，路由和备份多个与其他ACL匹配的智能路由策略，然后按照AD的配置思路进行转换。
4.4.3注意
4.5地址库路由策略模板
4.5.1A10配置
定义不同的ISP选择不同的路由策略
SLB模板策略LLB
bw-list name China all[/br bw-list id 1 service-group SG-CT
bw-list id 2 service-group SG-Cu
bw-list id 3 service-group SG-CMCC
4.5.2配置的解释
以上配置的意思是:定义路由策略，使用chinaall作为地址集，将地址集的IP设置为目的IP进行匹配，使用联通接入目的地址属于id 2和4的地址，使用其他线路进行备份，使用电信线路接入属于id 1的，使用其他线路进行备份，以此类推。如果地址库1-7中涉及的所有IP都不匹配，将匹配虚拟服务的默认节点池。
4.5.3注意事项
[1]消除精心制作的ACL所做的路由，采用大路由策略，即根据目的运营商的地址进行转发。不需要在AD上建立自定义ID，可以直接调用AD中ISP运营商的地址库，AD运营商的地址库会定期更新，保证地址的实时同步；
[2]智能路由推荐用DNS代理，按加权最小流量匹配。