F5 BIG-IP LTM 負載均衡器配置指導(dǎo)書

1、F5 BIG-IP LTM負載均衡器配置指導(dǎo)書 目 錄第1章 F5 BIG-IP LTM簡介11.1 負載均衡技術(shù)簡介11.2 F5 BIG-IP LTM產(chǎn)品介紹1第2章 BIG-IP LTM規(guī)劃與配置準備工作32.1 BIG-IP LTM配置步驟32.2 組網(wǎng)規(guī)劃32.2.1 規(guī)劃準備要點42.2.2 組網(wǎng)圖42.3 BIG-IP面板說明8第3章 基本配置93.1 通過LCD面板設(shè)置BIG-IP管理網(wǎng)口地址103.2 通過管理網(wǎng)口登錄BIG-IP WebUI界面113.3 激活License123.4 設(shè)置Platform153.5 修改系統(tǒng)時鐘163.6 配置網(wǎng)絡(luò)173.6.1 劃分VLA

2、N183.6.2 配置VLAN IP地址193.6.3 設(shè)置接口速率和雙工類型213.6.4 配置靜態(tài)路由213.6.5 配置Link Aggregation（可選）22第4章 負載均衡業(yè)務(wù)配置244.1 節(jié)點配置244.2 配置負載均衡池254.3 配置虛擬服務(wù)器274.3.1 創(chuàng)建虛擬服務(wù)器274.3.2 將虛擬服務(wù)器和負載均衡器相關(guān)聯(lián)和會話保持配置294.4 配置健康檢查314.4.1 自定義節(jié)點狀態(tài)監(jiān)控314.4.2 監(jiān)控與節(jié)點/負載均衡池相關(guān)聯(lián)344.4.3 檢查系統(tǒng)狀態(tài)364.5 配置SNAT364.5.1 配置步驟364.5.2 驗證SNAT配置37第5章 雙機配置395.1 注

3、意事項395.2 雙機設(shè)置395.3 雙機狀態(tài)監(jiān)控設(shè)置425.4 雙機狀態(tài)檢查和配置同步43第6章 附錄B 常見問題說明616.1 BIG-IP單機或兩臺雙機系統(tǒng)處于Standby狀態(tài)，為什么？616.2 BIG-IP系統(tǒng)如何進行配置備份和恢復(fù)？646.3 SSH訪問具有密碼加密傳輸?shù)膬?yōu)點，請問從哪里獲取SSH客戶端？646.4 網(wǎng)絡(luò)設(shè)備通常有收集系統(tǒng)信息的宏命令，F(xiàn)5有沒有相應(yīng)命令？656.5 如何使用TCPDUMP進行Troubleshooting？676.6 如何實時監(jiān)視BIG-IP的連接狀態(tài)？696.7 如何備份和恢復(fù)配置？696.8 如何添加“只讀”權(quán)限的管理員帳號706.9 如何查

4、詢設(shè)備的序列號？716.10 對某一Virtual Server用TCPDUMP命令無法抓到包如何處理？72關(guān)鍵詞：負載均衡池、虛擬服務(wù)器，節(jié)點、會話保持、監(jiān)控、ECV、EAV、SNAT摘 要：按照常見的配置步驟，本文對F5 BIG-IP LTM負載均衡器設(shè)備配置進行說明，并對負載均衡器的基本概念和F5設(shè)備使用過程中遇到的常見問題進行解答。本指導(dǎo)書適用于BIG-IP LTM 1500/3400負載均衡器(BIG-IP version 9)?？s略語清單：ECVExtended Content Verification l可擴展的內(nèi)容驗證EAV Extended Application Verif

5、ication可擴展的應(yīng)用驗證SNATSecure Network Address Translation安全網(wǎng)絡(luò)地址轉(zhuǎn)換LTMLocal Traffic Manager本地流量管理器LACPLink Aggregation Control Protocol鏈路匯聚控制協(xié)議參考資料清單：Platform Guide: 1500, 3400, 6400, and 6800, F5 Networks, 2005Installation, Licensing, and Upgrades for BIG-IP® Systems, F5 Networks, 2005BIG-IP® N

6、etwork and System Management Guide, F5 Networks, 2005第1章 F5 BIG-IP LTM簡介1.1 負載均衡技術(shù)簡介隨著業(yè)務(wù)與軟件產(chǎn)品與IP網(wǎng)絡(luò)關(guān)系愈加密切，業(yè)務(wù)平臺提供的性能以及可靠性是電信級應(yīng)用的關(guān)鍵因素。業(yè)務(wù)與軟件產(chǎn)品中Portal、WAP網(wǎng)關(guān)、彩鈴和MMS等業(yè)務(wù)直接通過Internet提供網(wǎng)絡(luò)服務(wù)。由于Internet對業(yè)務(wù)服務(wù)訪問具有不可預(yù)知性，傳統(tǒng)的服務(wù)器提供大量并發(fā)服務(wù)已經(jīng)面臨處理能力和I/O性能的瓶頸，當業(yè)務(wù)超過已經(jīng)界限將會出現(xiàn)“Server Too Busy”乃至服務(wù)器宕機等問題。針對單臺服務(wù)器有限的性能存在瓶頸的情況，負載

7、均衡器通過負載均衡機制將所有請求平均分配到多臺節(jié)點服務(wù)器，使得系統(tǒng)業(yè)務(wù)處理能力大大提升。此外，負載均衡器還能監(jiān)控服務(wù)器節(jié)點的可用性，其中某一臺服務(wù)器故障時，能將訪問請求轉(zhuǎn)移到其它可以正常工作的服務(wù)器。負載均衡器通常稱為四層交換機或七層交換機。四層交換機主要分析IP層及TCP/UDP層，實現(xiàn)四層流量負載均衡。七層交換機除了支持四層負載均衡以外，還有分析應(yīng)用層的信息，如HTTP協(xié)議URI或Cookie信息。1.2 F5 BIG-IP LTM產(chǎn)品介紹隨著F5 BIG-IP 1000/2400負載均衡器停產(chǎn)，華為公司的替代選型為F5 BIG-IP LTM 1500/3400。目前F5公司負載均衡器(亦

8、稱為本地流量管理器)有BIG-IP LTM 1500、BIG-IP LTM 3400、BIG-IP LTM 6400 、BIG-IP LTM 6800等型號。表1-1 F5 BIG-IP LTM負載均衡產(chǎn)品規(guī)格6800系列超級多用途流量管理處理器：雙CPU基本內(nèi)存：2GBASIC：Packet Velocity ASIC2千兆位CU端口：16個千兆位光纖端口：(SFP - GBIC Mini)4個（2個標準、2個可選）包括：SSL TPS/Max TPS/Bulk加速模塊：（100/20,000/2GB/秒）流量吞吐量：4GB/秒可選硬件設(shè)備：硬件壓縮*（2GB/秒）6400系列高級多用途流量

9、管理處理器：雙CPU基本內(nèi)存：2GBASIC：Packet Velocity ASIC2千兆位CU端口：16個千兆位光纖端口：(SFP - GBIC Mini)4個（2個標準、2個可選）包括：SSL TPS/Max TPS/Bulk加速模塊：（100/15,000/2GB/秒）流量吞吐量：2GB/秒可選硬件設(shè)備：硬件壓縮*（2GB/秒）FIPS處理*（8,000TPS/1GB SSL吞吐量）3400系列中級多用途流量管理處理器：單CPU基本內(nèi)存：1GBASIC：Packet Velocity ASIC2千兆位CU端口：8個千兆位光纖端口：(SFP - GBIC Mini)2個可選包括：SSL

10、TPS/Max TPS/Bulk加速模塊：（100/8,000/1GB/秒）流量吞吐量：1GB/秒3400系列普通多用途流量管理處理器：單CPU基本內(nèi)存：768MBASIC：無千兆位CU端口：2個千兆位光纖端口：2個可選包括：SSL TPS/Max TPS/Bulk加速模塊：（100/2,000/500 MB/秒）流量吞吐量：500MB/秒第2章 BIG-IP LTM規(guī)劃與配置準備工作2.1 BIG-IP LTM配置步驟在對F5 BIG-IP進行配置之前，首先要做好規(guī)劃工作。BIG-IP LTM主要配置步驟如下：1. 組網(wǎng)規(guī)劃 在組網(wǎng)規(guī)劃中，包含主機名、IP地址/VLAN、路由、虛擬服務(wù)器、地

11、址池、負載均衡算法、會話保持方式、雙機等內(nèi)容進行規(guī)劃，并繪制出組網(wǎng)拓撲圖。2. 初始化配置 通常使用WebUI完成初始化配置，包括激活License、平臺配置和網(wǎng)絡(luò)配置。3. 配置網(wǎng)絡(luò)VLAN和IP地址4. 更改系統(tǒng)時鐘（可選）5. 配置負載均衡池6. 配置節(jié)點狀態(tài)監(jiān)控7. 配置虛擬服務(wù)器8. 配置SNAT/NAT9. 配置雙機& 說明： (1) 本配置步驟為常見配置順序。本文沒有包括過濾和SSL Proxy等配置。(2) 主用BIG-IP系統(tǒng)要完成以上所有配置步驟，備用BIG-IP系統(tǒng)可以跳過5-8步，而通過主用BIG-IP系統(tǒng)將配置同步到備用BIG-IP系統(tǒng)中去。2.2 組網(wǎng)規(guī)劃本

12、節(jié)主要根據(jù)典型F5 BIG-IP LTM典型應(yīng)用以實例給出配置指南，并結(jié)合業(yè)軟產(chǎn)品給出說明，后續(xù)章節(jié)具體配置說明不一定跟本實例完全相同。2.2.1 規(guī)劃準備要點在安裝BIG-IP系統(tǒng)之前，請檢查如下準備工作是否做好：l 設(shè)備物理連接規(guī)劃。l IP地址規(guī)劃，根據(jù)實際需要劃分網(wǎng)段和分配IP地址，通常網(wǎng)絡(luò)設(shè)備IP地址為網(wǎng)絡(luò)中最大IP地址（默認網(wǎng)關(guān)使用最大IP地址），往下遞推；主機設(shè)備從網(wǎng)絡(luò)中最小IP地址往上遞推進行分配。n BIG-IP雙機需要3個外部VLAN IP，2個分別為主備機的Self IP，一個為Share IP。n BIG-IP雙機需要3個內(nèi)部VLAN IP，2個分別為主備機的Self

13、IP，一個為Share IP。n 每一個虛擬服務(wù)器IP地址或NAT需要一個外部VLAN IP。SNAT映射IP地址可以跟虛擬服務(wù)器IP地一樣。n BIG-IP內(nèi)部每個節(jié)點需要一個內(nèi)部VLAN IP。 l 確定BIG-IP主機名，并且確保BIG-IP雙機主機名不一樣。2.2.2 組網(wǎng)圖典型F5 BIG-IP LTM負載均衡器部署方式采用“雙臂旁掛”式連接（如圖2-1所示）。圖2-1 典型F5 BIG-IP LTM負載均衡器部署示意圖2.3 BIG-IP面板說明F5 BIG-IP前面板增加了LCD面板，可以通過LCD面板設(shè)置管理接口、Console口，也可以重啟系統(tǒng)和清空LCD告警等操作。F5接口

14、槽位號編號遵循由上到下，然后由左到右規(guī)則。例如，BIG-IP LTM 3400第一槽位為8端口千兆以太網(wǎng)接口，2槽位為2端口SFP千兆網(wǎng)接口。F5 BIG-IP LTM 1500/3400前面板如下圖所示：圖2-2 F5 BIG-IP LTM 1500/1400前面板示意圖第3章 基本配置本文以BIG-IP LTM 3400為例講解整個配置過程，基本上講解了BIG-IP整個配置過程。對于新的BIG-IP設(shè)備，基本配置主要包括：(1) 通過LCD面板設(shè)置BIG-IP管理網(wǎng)口地址(2) 通過管理網(wǎng)口登錄BIG-IP WebUI界面(3) 通過Setup Utility激活License、配置Pla

15、tform和配置網(wǎng)絡(luò)。也可以通過導(dǎo)航菜單System -> License激活License；System -> Platform配置Platform。 注意： 在安裝之前，必須注意如下事項：(1) BIG-IP的接口與VLAN分配相關(guān)，網(wǎng)線連接接口位置不能隨意更改，否則可能導(dǎo)致網(wǎng)絡(luò)無法連接。(2) 互為雙機的兩臺BIG-IP必須用隨機附帶的Failover線相連起來。 (3) BIG-IP LTM 1500/3400隨機不再自帶Console線纜，可以通過LCD面板設(shè)置/獲取管理網(wǎng)口地址來進行基本配置。3.1 通過LCD面板設(shè)置BIG-IP管理網(wǎng)口地址BIG-IP上電開機以后，首

16、先需要通過機器LCD面板的按鍵設(shè)置Management管理網(wǎng)口的IP地址。管理網(wǎng)絡(luò)接口缺省的IP地址為45/24。設(shè)置步驟如下：(1) 使用LCD面板將IP地址添加到管理界面中。配置管理IP地址時，首先應(yīng)添加IP地址。a. 按下顯示屏上的X按鈕Options選項。b. 進入系統(tǒng)菜單并按下復(fù)選標記按鈕。c. 進入IP地址菜單并按下P復(fù)選標記按鈕。d. 再次按下復(fù)選標記按鈕，進入IP地址輸入界面。e. 使用上下箭頭鍵輸入管理IP地址，并按下復(fù)選標記按鈕。(2) 輸入IP地址后，添加該地址的網(wǎng)絡(luò)掩碼：f. 進入網(wǎng)絡(luò)掩碼菜單，并按下復(fù)選標記按鈕。g. 輸入網(wǎng)絡(luò)掩碼，并按下復(fù)選標記

17、按鈕。(3) （可選）添加完IP地址和網(wǎng)絡(luò)掩碼后，即可添加缺省路由。h. 進入缺省路由菜單，并按下復(fù)選標記按鈕。i. 使用上下箭頭鍵輸入缺省路由，并按下復(fù)選標記按鈕。如果您未確定缺省路由，可以使用。(4) 提交確認配置。j. 進入“Commit提交菜單”，并按下復(fù)選標記按鈕。k. 當“確認菜單”出現(xiàn)時，按下復(fù)選標記按鈕。& 說明： (1) Management (mgmt)接口可以用于維護管理用途，可以將該接口連接到業(yè)務(wù)系統(tǒng)維護VLAN。(2) 在設(shè)置好網(wǎng)絡(luò)管理口地址以后，通過網(wǎng)絡(luò)登陸到BIG-IP上進行其它配置更改時，都要保證網(wǎng)絡(luò)管理口的網(wǎng)絡(luò)連接完好。否則有時會出現(xiàn)修改

18、的配置無法被成功加載應(yīng)用的情況，因為網(wǎng)絡(luò)管理口為Down的情況會妨礙配置文件的加載。在bigip 9.2.3版本里，如果管理網(wǎng)口的網(wǎng)線沒有連接的情況下，mgmt interface的屬性為變?yōu)閙edia none。如果這個屬性被保存成ucs文件，再次重新加載的時候，就會出現(xiàn)不能順利加載的情況。在這種情況下，如果做雙機配置同步，也會出現(xiàn)同步后配置無法正常加載的情況。這種情況下，建議升級版本或打Hotfix-BIG-IP-9.2.3-CR61825補丁。(3) 管理網(wǎng)絡(luò)接口的IP地址不能與業(yè)務(wù)網(wǎng)絡(luò)在同一網(wǎng)段，避免出現(xiàn)地址沖突。根據(jù)業(yè)務(wù)網(wǎng)絡(luò)的地址劃分，相應(yīng)的調(diào)整管理網(wǎng)絡(luò)接口的網(wǎng)絡(luò)地址。(4) 如果通

19、過LCD按鍵修改完IP地址以后，選擇Commit，地址無法成功改變(例如出現(xiàn)IP地址為全零的情況)，很有可能是管理口IP地址與系統(tǒng)內(nèi)已經(jīng)配置發(fā)生沖突。出現(xiàn)這種情況，關(guān)機重啟以后，重新選定IP地址或網(wǎng)段來設(shè)置管理網(wǎng)口地址。3.2 通過管理網(wǎng)口登錄BIG-IP WebUI界面BIG-IP有兩種管理方式，一種是基于WEB的https管理方式，另一種是基于ssh的命令行管理方式。BIG-IP v9已經(jīng)不再支持Telnet和FTP方式訪問。除特別配置外，BIG-IP的配置主要采用WEB的管理方式即可。將計算機連接BIG-IP 的管理網(wǎng)口，以WEB方式登陸：(1) 在管理員的IE地址欄內(nèi)輸入BIG-IP設(shè)

20、備的管理接口IP地址，如45。 管理接口的缺省IP地址為45。如果已經(jīng)通過液晶面板上的按鍵更改過IP，輸入相應(yīng)的IP地址。(2) 連接后出現(xiàn)安全警告提示窗口，點擊Yes繼續(xù)。(3) 系統(tǒng)提示輸入用戶名和密碼。缺省的用戶名和密碼為admin和admin(4) 輸入正確后即可進入BIG-IP配置工具WEB界面。圖3-1 BIG-IP配置工具WEB界面3.3 激活License在配置BIG-IP之前，先要激活License，否則BIG-IP無法提供負載均衡服務(wù)。(1) 從System->License->Activate進入Lic

21、ense激活界面。如果是更改License，屏幕顯示為Re-activate。圖3-2 激活License(2) 輸入產(chǎn)品的注冊碼，然后產(chǎn)生申請License的Dossier。圖3-3 輸入注冊碼圖3-4 產(chǎn)生Dossier(3) 進入圖3-5 進入F5網(wǎng)站激活License 注意： 完成F5 BIG-IP設(shè)備License激活后，請重啟設(shè)備或者在CLI使用bigstart restart命令可以手工重啟BIG-IP服務(wù)進程。3.4 設(shè)置Platform平臺(Platform)主要配置系統(tǒng)的通用屬性，比如，主機名、IP地址、系統(tǒng)管理員帳號等?？梢酝ㄟ^WebUI進入配置頁面System ->

22、; Platform。Platform頁面可設(shè)置Host Name、Root密碼、Admin密碼、Time Zone。如果是雙機，還要設(shè)置High Availability和Unit ID。F5 BIG-IP采用Linux時區(qū)設(shè)置，中國時區(qū)其中沒有北京時區(qū)信息，可以就近選擇如下時區(qū)：Asia/Chungking（重慶）、Asia/Harbin（哈爾濱）、Asia/Hong_Kong（香港）、Asia/Macao（澳門）、Asia/Shanghai（上海）和Asia/Urumqi（烏魯木齊）。其他地區(qū)可以根據(jù)Time Zone下拉列表框進行相應(yīng)選擇。圖3-6 Platform頁面 注意： (1)

23、 root密碼允許用戶通過命令行訪問BIG-IP系統(tǒng)。建議root密碼長度大于6位，但不要超過32位字節(jié)。密碼與大小寫敏感，建議密碼中包含大寫/小寫字母和數(shù)字。如果BIG-IP系統(tǒng)為雙機系統(tǒng)，兩臺主備機的root密碼必須保持一致。(2) 主機名用來標識BIG-IP系統(tǒng)自身。主機名必須符合DNS域名標準。主機部分必須以字母開始，并至少為2個字符。舉例：f5-。 (3) BIG-IP雙機系統(tǒng)的主機名必須不一樣，否則配置同步會產(chǎn)生錯誤，可能導(dǎo)致破壞license。如果BIG-IP運行于雙機高可用性模式，因此需要在系統(tǒng)通用屬性中設(shè)置雙機：圖3-7 設(shè)置雙機& 說明： 通常雙機系統(tǒng)中主機Unit

24、 ID設(shè)置為1，備機Unit ID為2。3.5 修改系統(tǒng)時鐘修改BIG-IP系統(tǒng)時鐘必須要通過CLI命令行界面完成，請通過Console或SSH方式連接到BIG-IP。常用的SSH客戶端有PUTTY或Secure Shell Client等。(1) 用SSH客戶端連接BIG-IP的管理網(wǎng)口地址，進入命令行模式。(2) 執(zhí)行date檢查系統(tǒng)時鐘。rootZJHZ-PS-MMS3-SW02:Active config # dateThu May 25 16:59:15 CST 2006(3) 如果系統(tǒng)時鐘跟當前時間相差較大，使用date命令修改系統(tǒng)時鐘。命令格式：# date <month&

25、gt;<day><hour><minute><year>.<second># date MMDDHHMMYYYY.SS如設(shè)置2007年1月1日中午12：00：00# date 010112002007.00(4) 保存時間到BIOS。# hwclock systohc(5) 設(shè)置缺省管理權(quán)限策略。a) 在命令行運行b base list命令，檢查初始化設(shè)置。如果b base list的輸出已經(jīng)有self allow default tcp ssh tcp https udp efs tcp snmp proto ospf udp do

26、main udp snmp tcp 4353 tcp domain udp 4353 一行，則進入到步驟6 重新啟動BIG-IP。b) 如果在b base list的輸出中發(fā)現(xiàn)有self allow default none 一行，則運行以下兩條命令：b self allow default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 b base savec) 所后用命令more /config/bigip_base.conf查看bigip_bas

27、e.conf文件確認self allow default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 已經(jīng)保存到文件中。(6) 重新啟動BIG-IP。# reboot 注意： (1) 對于臨時License的設(shè)備，不要輕易改系統(tǒng)時間，后果是License失效。(2) 對于在運行的冗余系統(tǒng)，建議先修改Standby，修改完畢，觀察一段時間，再把Active設(shè)備切換為Standby后再修改，以保證系統(tǒng)的不間斷。 (3) 系統(tǒng)時鐘主要用于 F5 日志文件的

28、計時時間。3.6 配置網(wǎng)絡(luò)根據(jù)組網(wǎng)規(guī)劃，對F5 BIGIP的網(wǎng)絡(luò)進行配置，包括劃分VLAN、定義IP地址及路由等。3.6.1 劃分VLAN點擊左側(cè)的導(dǎo)航條，進入Network -> VLANs。圖3-8 打開VLANs頁面在右側(cè)可以對VLAN進行配置。創(chuàng)建方法如下：(1) 點擊”Create”按鈕。圖3-9 VLAN設(shè)置(2) 設(shè)置VLAN名。在Name文本框設(shè)置這個VLAN的名字，如“External”。(3) 在“Tag”中參照VLAN規(guī)劃表輸入VLAN號。如果不填，系統(tǒng)將自動分配一個VLAN號。建議按照VLAN規(guī)劃表輸入VLAN號，如果啟用Tagged Interface時，可以跟

29、交換機的802.1q Trunk端口匹配起來。(4) 將接口分配到VLAN中。在“Resources”表格中Interface:定義Available中顯示的端口有選擇性的劃分到這個VLAN中。指定端口后，單擊選入Untagged欄即可，如果對選定接口號點擊“Tagged >>”，則該端口為802.1q Trunk端口。(5) 點擊完成。3.6.2 配置VLAN IP地址在劃分完VLAN后，即可對每個VLAN進行IP地址的定義。方法如下：點擊左側(cè)導(dǎo)航條中的Networks -> Self Ips。圖3-10 打開Self IPs頁面在右側(cè)可以對Ip地址進行配置。配置步驟：(1

30、) 點擊”Create”按鈕。圖3-11 Self IP設(shè)置(2) 在頁面對應(yīng)欄進行填寫：l IP address: 輸入IP地址l Netmask: 輸入子網(wǎng)掩碼l VLAN：選擇將這個IP地址綁定在哪個VLAN上。選擇下拉菜單將顯示所有已設(shè)置的VLAN名。l Port Lockdown: 通常保持默認值A(chǔ)llow Default。當沒有配置b self allow時，可以選擇Allow All。l Floating IP:如果系統(tǒng)為冗余工作方式，需對每臺設(shè)備的每個VLAN均設(shè)置兩個IP地址。其中一個是Self IP,另一個則為Floating IP,即兩臺設(shè)備共用的IP地址。選中此項即代表

31、這個IP地址為Floating IP。l Unit ID: 對于雙機的浮動IP，需要選擇Floating IP，并選擇對應(yīng)的Unit ID號。(3) 點擊完成。3.6.3 設(shè)置接口速率和雙工類型點擊左側(cè)導(dǎo)航條中打開Network -> Interfaces選擇相應(yīng)的端口。接口操作模式默認為自適應(yīng)，通常不建議修改。圖3-12 接口操作模式設(shè)置3.6.4 配置靜態(tài)路由點擊左側(cè)導(dǎo)航條中的Networks -> Routes圖3-13 打開路由頁面創(chuàng)建方法如下：(1) 點擊(2) 在頁面對應(yīng)欄進行填寫：l Type: 定義配置的是默認網(wǎng)關(guān)還是靜態(tài)路由。l Destination: 定義目標

32、網(wǎng)段l Netmask: 定義目標網(wǎng)段的掩碼l Resource: 定義網(wǎng)關(guān)地址(3) 點擊完成。 注意： 定義網(wǎng)關(guān)后需要重啟BIG-IP的服務(wù)，bigstart restart命令可以手工重啟BIG-IP服務(wù)進程。3.6.5 配置Link Aggregation（可選）為提高鏈路可靠性，BIG-IP與LAN Switch互連網(wǎng)絡(luò)采用兩條網(wǎng)線進行鏈路匯聚。BIG-IP將鏈路匯聚稱之為Trunk，不要與IEEE 802.1q的Trunk屬于混淆。點擊左側(cè)的導(dǎo)航條，進入NetworkàTrunks:圖3-14 鏈路匯聚頁面 注意： 經(jīng)測試，BIG-IP LTM和華為Quidway交換機鏈

33、路匯聚可以實現(xiàn)兼容性對接。配置鏈路匯聚時不需要啟用LACP。第4章 負載均衡業(yè)務(wù)配置負載均衡業(yè)務(wù)配置主要包含以下幾個方面：l Node 節(jié)點 一般在Pool配置中添加，也可以單獨創(chuàng)建。可以在Node頁面中配置節(jié)點健康檢查。 l Pool 負載均衡池 包含可以將請求發(fā)送到其中進行處理的服務(wù)器。l Profile 定義Virtual Server行為的設(shè)置。可以使用系統(tǒng)自帶Profile，有些業(yè)務(wù)需要自定義Profile。l Virtual Server 虛擬服務(wù)器 Virtual Server接收客戶端的訪問請求，然后將請求分發(fā)給被負載均衡的節(jié)點服務(wù)器上。l iRule iRule是基于TCL語

34、言的腳本處理引擎，可以非常靈活的實現(xiàn)一些特殊的流量處理需求。l Monitor Monitor跟蹤Pool成員的當前狀態(tài)?？梢圆捎孟到y(tǒng)自帶Monitor。有些業(yè)務(wù)需要自定義Monitor。 l SNAT 在負載均衡器內(nèi)部的服務(wù)器主動向外發(fā)起訪問時，在負載均衡器上所做的地址映射。& 說明： 服務(wù)器負載均衡器的設(shè)置只需要在一臺BIG-IP1上進行設(shè)置，設(shè)置好以后，可以通過雙機配置同步的方式將配置更新到BIG-IP2上。4.1 節(jié)點配置節(jié)點（Node）可以單獨配置，一般在Pool配置時添加。點擊左側(cè)的導(dǎo)航條，選擇Local Traffic -> Virtual Servers ->

35、;Nodes標簽，點擊“Create”按鈕添加節(jié)點（node）圖4-1 節(jié)點配置在上圖中輸入節(jié)點（服務(wù)器）的IP和名稱，選擇相應(yīng)的Monitors，點擊Finished完成配置。4.2 配置負載均衡池負載均衡池是負載均衡器中重要的屬性，是根據(jù)負載均衡策略接收數(shù)據(jù)流量的一組設(shè)備。池與特定虛擬服務(wù)器相關(guān)聯(lián)，流向虛擬服務(wù)器的流量通常會轉(zhuǎn)給相關(guān)聯(lián)的負載均衡池的成員節(jié)點。池可以執(zhí)行負載均衡操作，比如發(fā)送流量到池中的指定節(jié)點或定義會話保持方式。當配置池時，必須配置池名、成員IP地址和負載均衡方法（BIG-IP系統(tǒng)默認策略為輪詢“Round Robin”方式）。配置步驟：(1) 左側(cè)導(dǎo)航條中選擇 Local

36、 Traffic -> Virtual Servers ->Pools標簽，點擊“Create”按鈕添加服務(wù)器池(Pool)。圖4-2 負載均衡池配置頁面(2) 在“Name”中輸入負載均衡器名稱。(3) 在 “Load Balancing Method”表格中選擇負載均衡方法，通常采用默認輪詢方法。(4) 在“Resources”表格中的“Address”文本框輸入成員IP地址，在“Service Port”文本框中輸入服務(wù)端口（通用服務(wù)可以在下拉框選擇對應(yīng)服務(wù)），點擊“Add”添加到“Current Members”當前成員列表中。(5) 添加所有組成員，點擊“Finished

37、”完成配置。4.3 配置虛擬服務(wù)器虛擬服務(wù)器（Virtual server）是一個可PING的虛擬IP地址和服務(wù)端口的組合（比如0:http），虛擬服務(wù)器與負載均衡池（Pool）相對應(yīng)，負載均衡池由一或多個節(jié)點（Node）組成。虛擬服務(wù)器有許多類型，本文只講述業(yè)務(wù)與軟件產(chǎn)品使用的標準虛擬服務(wù)器配置。4.3.1 創(chuàng)建虛擬服務(wù)器配置步驟：(1) 在導(dǎo)航面板中選擇Local Traffic -> Virtual Servers標簽，點擊“Create”按鈕添加虛擬服務(wù)器。圖4-3 虛擬服務(wù)器配置1圖4-4 虛擬服務(wù)器配置2(2) 在 “Name”文本框中輸入名稱，(3

38、) “Address”文本框中輸入虛擬服務(wù)器IP地址，并在“Service Port”文本框中輸入服務(wù)端口號或在下拉框中選擇現(xiàn)有的服務(wù)名稱。對于FTP服務(wù)必須要從下拉框選擇服務(wù)名稱。(4) 在Configuration欄的Type類型中，缺省為“Standard”方式，一般不需要更改。如果虛擬服務(wù)器只用于內(nèi)部一個節(jié)點服務(wù)器1:1方式訪問時，可以選用“Forwarding (IP)”方式；如果負載均衡器僅用于4層交換，可以采用“Performance (Layer 4)”方式，以提高四層處理性能；如果虛擬服務(wù)器用于HTTP服務(wù)，可以采用“Performance (HTTP)”方式，以提升HTTP

39、請求處理性能。(5) 根據(jù)業(yè)務(wù)需要可以對應(yīng)調(diào)整Protocol、OneConnect Profile（用于實現(xiàn)TCP連接復(fù)用，即多個連接到負載均衡器時，負載均衡器只需一個連接到內(nèi)部服務(wù)器，以提升服務(wù)器性能）、HTTP Profile、FTP Profile等。(6) 在Resourse屬性中，選擇相應(yīng)的pool和persistence方式。(7) 點擊“Finished”完成創(chuàng)建虛擬服務(wù)器。 4.3.2 將虛擬服務(wù)器和負載均衡器相關(guān)聯(lián)和會話保持配置配置步驟：(1) 在“Local TrafficVirtual Servers”中點擊相應(yīng)的Virtual server，選擇Resources項圖

40、4-5 會話保持配置頁面(2) 對Default Persistence Profile進行配置圖4-6 選擇會話保持方法& 說明： 會話保持驗證可使用“tcpdump”工具進行驗證，tcpdump使用參見附錄說明。(3) 點擊”Update”完成配置。4.4 配置健康檢查節(jié)點狀態(tài)監(jiān)控（Monitor）用于檢驗負載均衡池中成員節(jié)點的連接和服務(wù)信息，包括健康監(jiān)控和性能監(jiān)控，當池中成員節(jié)點性能下降時BIG-IP系統(tǒng)將會把流量重定向到其它節(jié)點。配置節(jié)點狀態(tài)監(jiān)控包括如下兩項工作：l 自定義節(jié)點狀態(tài)監(jiān)控l 監(jiān)控與節(jié)點/負載均衡池相關(guān)聯(lián)其中自定義節(jié)點狀態(tài)監(jiān)控配置步驟是可選的，當使用默認監(jiān)控模板時，

41、此步驟可以跳過。4.4.1 自定義節(jié)點狀態(tài)監(jiān)控節(jié)點如果使用標準服務(wù)，只需要使用BIG-IP系統(tǒng)提供默認監(jiān)控模板即可，不需要進行自定義。當監(jiān)控信息需要對服務(wù)的內(nèi)容或服務(wù)協(xié)議信息進行監(jiān)控時，這時需要進行自定義節(jié)點狀態(tài)監(jiān)控。配置步驟：(1) 在導(dǎo)航面板中選擇“Monitor”中的“Monitors”標簽，點擊“Create”按鈕添加監(jiān)控。圖4-7 創(chuàng)建Monitor選擇Monitor類型模板(2) 在“Type”中選擇采用模板，比如HTTP或HTTPS等，在“Name” 文本框輸入監(jiān)控名稱。圖4-8 創(chuàng)建Monitor自定義Monitor(3) 在“Configure”表格中使用默認屬性。根據(jù)監(jiān)控模

42、板的不同對屬性進行配置，比如對HTTP ECV屬性的“Send String”配置為“GET /user/index.html”；將Interval更改為10秒，Timeout更改為31秒(3 X Internal +1)。(4) 完成監(jiān)控配置后，點擊“Finished”完成配置。& 說明： 當默認監(jiān)控方法無法實現(xiàn)檢測服務(wù)器運行狀態(tài)時，需要定制的監(jiān)控。例如，默認的域名方式使用“GET /”命令無法獲取正確頁面或頁面經(jīng)過多次重定向，這時BIG-IP系統(tǒng)無法正確檢測服務(wù)器狀態(tài)，我們需要手工更改命令，比如“GET /user/index.html”，使HTTP檢查方法可以檢測出服務(wù)器的運行狀

43、態(tài)。4.4.2 監(jiān)控與節(jié)點/負載均衡池相關(guān)聯(lián)監(jiān)控必須要跟節(jié)點/負載均衡池相關(guān)聯(lián)才能生效。1. 監(jiān)控與節(jié)點相關(guān)聯(lián)配置步驟：(1) 點擊左側(cè)的導(dǎo)航條，選擇Local Traffic -> Virtual Servers ->Nodes標簽，選中需要監(jiān)控的節(jié)點（Node）圖4-9 調(diào)整Health Monitors(2) 節(jié)點配置項下拉框Health Monitors缺省為Node Default。Node Default設(shè)置可以在Local Traffic -> Virtual Servers ->Nodes -> Default Monitor標簽中調(diào)整；如果需要針

44、對具體節(jié)點調(diào)整監(jiān)控方式，選擇下拉框Health Monitors為Node Specific，將可用的Monitor方式選中點擊“<<”添加到Select Monitors中；如果不需要監(jiān)控，選擇None即可。圖4-10 配置Default Monitor(3) 完成配置后，點擊Update按鈕使配置生效。2. 監(jiān)控與負載均衡池相關(guān)聯(lián)配置步驟：(1) 點擊左側(cè)的導(dǎo)航條，選擇Local Traffic -> Virtual Servers ->Pools標簽，選中需要監(jiān)控的負載均衡池（Pool）(2) 將Monitore與負載均衡池相關(guān)聯(lián)(3) 在Health Monit

45、ors中將可用的Monitor方式選中點擊“<<”添加到Active欄中。(4) 完成配置后，點擊Update按鈕使配置生效。4.4.3 檢查系統(tǒng)狀態(tài)配置完負載均衡池、節(jié)點監(jiān)控和虛擬服務(wù)器后，我們可以通過“Local traffic->Virtual Servers”頁面查看Virtual server的狀態(tài)；“Local traffic->Pool”頁面查看Pool的狀態(tài)。當圖標為綠色時表示節(jié)點或虛擬服務(wù)器可用，當圖標為紅色則意味著節(jié)點或虛擬服務(wù)器狀態(tài)為離線，如果圖標為黃色說明節(jié)點或虛擬服務(wù)器不可用。如果圖標為藍色說明節(jié)點或虛擬服務(wù)器狀態(tài)未知，通常此時沒有啟用Moni

46、tor。如果圖標為黑色說明虛擬服務(wù)器被禁用。4.5 配置SNAT跟路由器、防火墻一樣，BIG-IP系統(tǒng)提供NAT (Network Address Translation)和SNAT(Secure Network Address Translation)地址轉(zhuǎn)換機制，SNAT地址轉(zhuǎn)換跟Cisco PAT方式類似。如果不啟用NAT/SNAT，負載均衡池內(nèi)部節(jié)點將無法訪問外部網(wǎng)絡(luò)，即外部IP可以通過虛擬服務(wù)器IP訪問負載均衡池節(jié)點，但負載均衡池內(nèi)部節(jié)點不能發(fā)起對外連接。NAT和SNAT都可以通過地址轉(zhuǎn)換訪問外部網(wǎng)絡(luò)，不過SNAT不接受外部發(fā)起的連接。一個SNAT地址可以對應(yīng)一個節(jié)點地址、多個節(jié)點地

47、址或一個VLAN網(wǎng)段。NAT地址與節(jié)點地址是一對一的關(guān)系。本文僅給出業(yè)務(wù)與軟件常用的SNAT配置步驟。& 說明： SNAT地址可以不是唯一的，比如，SNAT地址可以使用虛擬服務(wù)器的IP地址。4.5.1 配置步驟(1) 在導(dǎo)航面板中選擇Local Traffic->SNATs標簽，點擊“Create”按鈕添加SNAT地址。圖4-11 SNAT配置(2) 在“Name”文本框中輸入名稱(3) 在 “Translation”文本框中輸入SNAT IP地址，并在“Origin List”的“Origin Address”文本框中輸入節(jié)點IP地址或在“VLAN Traffic”的下拉框中選

48、擇“Enable on”或“Disable on”在VLAN List中選擇相應(yīng)的Vlan，點擊“<<”加入“Selected”列表。(4) 按“Finished”完成添加SNAT IP地址。(5) 通常我們希望內(nèi)部節(jié)點可以Ping到外部網(wǎng)絡(luò)，這時我們需要在System>Gernal Properties>Local Traffic>Gernal”中啟用“Snat Packet forwarding“。& 說明： 如果需要添加外部單獨訪問內(nèi)部特定節(jié)點IP。由于NAT和SNAT不能共存，可以針對特定節(jié)點創(chuàng)建單個節(jié)點組成的負載均衡池Pool，服務(wù)為“0”，然后

49、創(chuàng)建虛擬服務(wù)器VIP，服務(wù)也為“0”，將VIP和Pool關(guān)聯(lián)起來，這時候這個VIP就是那臺要訪問的服務(wù)器。4.5.2 驗證SNAT配置在檢查SNAT配置正確性之前，必須確保BIG-IP系統(tǒng)網(wǎng)關(guān)已經(jīng)配置完畢。請在CLI界面用“netstat nr”命令確定網(wǎng)關(guān)信息已經(jīng)配置完畢：f5test1:# netstat -nrRouting tablesInternet:Destination Gateway Flags MTU Ifdefault 54 UGS 3400 vlan35 54 UGHc 3400 vlan110.77.88.

50、192/26 link#7 UC 3400 vlan50 0.e0.fc.5.36.78 UHLc 3400 vlan54 0.e0.fc.2.5d.f2 UHLc 3400 vlan1127 UGRS 4352 lo0 UH 4352 lo0192.168.1 link#6 UC 3400 vlan0192.168.129 link#8 UC 3400 vlan22 link#8 UHLc 3400 vlan23 link#8 UHLc 3

51、400 vlan26 0.e5.27 UHLc 3400 lo0f5test1:#在BIG-IP系統(tǒng)CLI界面中用TCPDUMP驗證SNAT配置。舉例，在內(nèi)部節(jié)點（IP:2）中Ping外部IP地址(2)，BIG-IP的Internal VLAN IP為6（對應(yīng)SNAT地址為13），測試顯示如下：f5test1:# tcpdump -i external host 13 and icmptcpdump: listening on extern

52、al11:04:55.085576 13 > 2: icmp: echo request11:04:55.087803 2 > 13: icmp: echo reply11:04:55.099550 13 > 2: icmp: echo request11:04:55.102797 2 > 13: icmp: echo replyf5test1:# tcpdump -i internal host 192

53、.168.129.12 and icmptcpdump: listening on internal11:06:02.859518 2 > 2: icmp: echo request11:06:02.861788 2 > 2: icmp: echo reply11:06:02.865022 2 > 2: icmp: echo request11:06:02.866768 2 > 2

54、: icmp: echo reply第5章 雙機配置在業(yè)務(wù)與軟件產(chǎn)品中使用BIG-IP系統(tǒng)一般都會配置雙機。在配置BIG-IP系統(tǒng)雙機（Failover）之前請確認兩臺BIG-IP系統(tǒng)兩者的軟件版本必須一致（如BIG-IP Version 9.2.3 34.3），在CLI使用“b version”查看或者在Web頁面的導(dǎo)航面板中選擇“System”中的“General Properties”標簽，查看版本信息。無論主用系統(tǒng)還是備機都要進行基本配置。本處僅給出配置雙機的注意事項和基本配置后的配置步驟。5.1 注意事項如果以前已經(jīng)有其它配置，可以通過命令請空配置，“reboot”重啟BIG-IP系統(tǒng)清空現(xiàn)有配置，然后使用web頁面進行基本配置，注意在console或連在管理網(wǎng)口上執(zhí)行：(1) 備份配置信息文件（備份配置文件保存在“/var/local/ucs”目錄中）roottest:Active #b config save mybackup.ucs(2) 刪除各個配置信息文件roottest:Active # b reset #約30秒，等待bigip為Active狀態(tài)roottest:Active # b base reset #約30秒，等待bigip為Active狀態(tài)rootte