F5詳細(xì)配置手冊(cè)

1、.F5 BIG-IP負(fù)載均衡器配置指導(dǎo)書目錄一、網(wǎng)絡(luò)結(jié)構(gòu)與IP地址規(guī)劃4二、配置BIGIP3400負(fù)載均衡設(shè)備82.1旁路/直連的選擇82.1.1路由/直連模式的介紹82.1.2旁路模式的介紹82.1.3 路由/直連模式同旁路模式的比較92.2設(shè)置負(fù)載均衡器管理網(wǎng)口地址112.3登錄BIGIP的WEB管理界面122.4激活License132.5初始化設(shè)置142.5.1BIG-IP 1上的平臺(tái)(Platform)通用屬性設(shè)置142.5.2修改系統(tǒng)時(shí)間162.5.3設(shè)置缺省管理權(quán)限策略162.5.4重新啟動(dòng)bigip172.6配置網(wǎng)絡(luò)層172.6.1劃分vlan172.6.2定義IP地址182.

2、6.3配置路由202.7配置雙機(jī)設(shè)置(High Availability)212.7.1配置Redundant Pair的IP地址212.7.2配置雙機(jī)自動(dòng)切換機(jī)制FailSafe配置222.8配置服務(wù)器負(fù)載均衡232.8.1配置Monitor242.8.2配置Profile252.7.3配置負(fù)載均衡Pool262.8.4創(chuàng)建iRule負(fù)載均衡控制規(guī)則以根據(jù)源地址選擇服務(wù)器272.8.5建立Virtual server,實(shí)現(xiàn)對(duì)服務(wù)器的負(fù)載均衡282.8.5設(shè)置SNAT302.9兩臺(tái)BIGIP配置同步332.10備份配置34三、系統(tǒng)運(yùn)行狀態(tài)檢查及維護(hù)353.1檢查系統(tǒng)日志信息：353.2檢查No

3、de狀態(tài)353.3查看流量信息363.4查看系統(tǒng)當(dāng)前性能參數(shù)373.5密碼的更改373.6添加“只讀”權(quán)限的管理員帳號(hào)383.7如何查詢?cè)O(shè)備的序列號(hào)：383.8如何采集信息提供他人進(jìn)行故障診斷393.8對(duì)某一Virtual Server用TCPDUMP命令無(wú)法抓到包如何處理？40一、網(wǎng)絡(luò)結(jié)構(gòu)與IP地址規(guī)劃本手冊(cè)以移動(dòng)WAP/彩信網(wǎng)關(guān)為例網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示：整個(gè)數(shù)據(jù)網(wǎng)絡(luò)設(shè)備，采用兩臺(tái)防火墻、兩臺(tái)BIG-IP 3400負(fù)載均衡器、及兩臺(tái)交換機(jī)、網(wǎng)絡(luò)設(shè)備都采用主、備設(shè)備，以實(shí)現(xiàn)設(shè)備、鏈路的冗余備份，以消除單點(diǎn)故障。這里部署負(fù)載均衡器的目的主要是為了增加服務(wù)器的數(shù)量，以提升系統(tǒng)的處理能力。但對(duì)外仍

4、然是一個(gè)IP地址。相關(guān)的IP地址規(guī)劃如下：注：以上的IP地址規(guī)劃是測(cè)試環(huán)境的IP地址設(shè)置，需要根據(jù)現(xiàn)網(wǎng)環(huán)境中的IP地址規(guī)劃進(jìn)行修改。BIG-IP 3400-1VIP08對(duì)外的虛擬IP地址SNAT IP08SNAT地址（指向PORTAL）External Share IP /24同第一層防火墻trust同一VLANExter vlan self IP/24同第一層防火墻trust同一VLANInternal Share IP103/24同第二層防火墻Untrust一VLANInternal vla

5、n self ip 101/24同第二層防火墻Untrust一VLANBIG-IP 3400-2VIP08SNAT IP08External vlan Share ip/24External vlan self ip/24Internal Share IP103/24Internal vlan self ip 101/24.注：建議現(xiàn)場(chǎng)工程師先填寫以下規(guī)范表：序號(hào)項(xiàng)目F5-3400-1參數(shù)F5-3400-2參數(shù)建議值備注系統(tǒng)參數(shù)主機(jī)名root用戶密

6、碼defaultdefaultAdmin用戶密碼adminadminWeb連接方式HTTPSHTTPS命令行連接方式SSH/consoleSSH/console網(wǎng)管服務(wù)器IP系統(tǒng)管理IP系統(tǒng)管理IP地址掩碼網(wǎng)關(guān)端口參數(shù)Ethernet 2.1端口描述（trunk）Ethernet 2.2端口描述（trunk）Admin 帶外管理端口描述trunk模式Trunk配置Trunk_10Trunk_30防火墻互聯(lián)vlan號(hào)10vlan描述TO-FW本機(jī)IP地址虛擬IP地址防火墻虛擬IP地址F5 HA配置方式Active StandbyF5 Fail-Safe模式Gateway Fail-SafeGat

7、eway Fail-safe模式分別由兩臺(tái)F5設(shè)備監(jiān)測(cè)前端的防火墻地址，如果出現(xiàn)無(wú)法連通防火墻地址則進(jìn)行切換。F5 Fail-safe Action Fail Over進(jìn)行主備切換服務(wù)器互聯(lián)vlan號(hào)30 vlan描述TO-Server本機(jī)IP地址虛擬IP地址F5 HA配置方式Active StandbyF5 Fail-Safe模式VLAN Fail-safeGateway Fail-safe模式分別由兩臺(tái)F5設(shè)備監(jiān)測(cè)VLAN流量，發(fā)現(xiàn)VLAN失效時(shí)進(jìn)行切換。F5 Fail-safe Action Fail Over進(jìn)行主備切換SNAT地址 SNAT后地址 路由設(shè)置Default Gatewa

8、y (Juniper防火墻地址) 二、配置BIGIP3400負(fù)載均衡設(shè)備本章將主要描述BIGIP3400負(fù)載均衡設(shè)備的配置方法及配置內(nèi)容。2.1旁路/直連的選擇2.1.1路由/直連模式的介紹網(wǎng)絡(luò)連接的物理結(jié)構(gòu)如下結(jié)構(gòu)：Ip規(guī)劃說(shuō)明：圖中bigip為負(fù)載均衡交換機(jī)，bigip上面使用公開(kāi)的ip地址，bigip下面同負(fù)載均衡的服務(wù)器使用不公開(kāi)的ip地址。但對(duì)外提供服務(wù)則使用公開(kāi)的ip。2.1.2旁路模式的介紹網(wǎng)絡(luò)連接的物理結(jié)構(gòu)如下結(jié)構(gòu)：Ip規(guī)劃說(shuō)明：圖中bigip為負(fù)載均衡交換機(jī)，bigip和負(fù)載均衡的服務(wù)器均使用公開(kāi)的ip地址。2.1.3 路由/直連模式同旁路模式的比較（1）流量走向不一樣；路由

9、/直連模式的流量走向如下：如上圖，bigip同客戶端的流量在bigip的上聯(lián)接口，bigip同服務(wù)器的流量在下面的接口。旁路模式的流量走向如下：如上圖，bigip無(wú)論同客戶端還是同服務(wù)器的通訊流量均在bigip的一個(gè)接口上。（2）接口流量壓力不一樣見(jiàn)2.1圖：路由/直連情況下，bigip同客戶端的流量在bigip的上聯(lián)接口，bigip同服務(wù)器的流量在下聯(lián)的接口，故bigip單一接口壓力較小。在旁路模式, bigip無(wú)論同客戶端還是同服務(wù)器的通訊流量均在bigip的一個(gè)接口上，故bigip單一接口壓力較大。為解決此問(wèn)題，可以在bigip和交換機(jī)之間采用鏈路聚合技術(shù)，即端口捆綁，以避免接口成為網(wǎng)絡(luò)

10、瓶頸。（3）網(wǎng)絡(luò)結(jié)構(gòu)的安全性不一樣路由/直連情況下，可以不公布服務(wù)器使用的真實(shí)ip地址，只需要公布提供負(fù)載均衡的虛擬地址即可，而在旁路情況下，則客戶端可以得知服務(wù)器的真實(shí)地址，在此模式下，為保證服務(wù)器的安全性，服務(wù)器的網(wǎng)關(guān)指向bigip，可以使用bigip上的包過(guò)濾（防火墻）功能來(lái)保護(hù)服務(wù)器。（4）對(duì)后端服務(wù)器的管理方便性不一樣路由/直連情況下，因服務(wù)器的真實(shí)地址可以隱含，故管理起來(lái)需要在bigip上啟用地址翻譯（NAT）功能，相對(duì)會(huì)復(fù)雜一些。而旁路模式則不需要地址翻譯的配置。（5）前者不支持npath模式（見(jiàn)后圖），后者支持npath模式，啟用該模式可見(jiàn)少F5設(shè)備的壓力見(jiàn)上圖，在旁路模式下，

11、使用npath的流量處理方式，所有服務(wù)器回應(yīng)的流量可以不通過(guò)bigip，這樣可以大大減少流量的壓力。但npath的流量處理方式不能工作路由/直連的模式。（6）在對(duì)原有系統(tǒng)做負(fù)載均衡技術(shù)改造時(shí)，兩種模式的工作復(fù)雜程度不一樣如果對(duì)原有沒(méi)有負(fù)載均衡技術(shù)的系統(tǒng)進(jìn)行負(fù)載均衡技術(shù)的改造，那么，在路由/直連情況下，需要修改服務(wù)器的ip地址同時(shí)網(wǎng)絡(luò)結(jié)構(gòu)也要做調(diào)整（將服務(wù)器調(diào)到bigip后端），同時(shí)相關(guān)聯(lián)的應(yīng)用也要改動(dòng)，需要進(jìn)行嚴(yán)格的測(cè)試才能上線運(yùn)行；然而，在旁路模式下，僅僅需要改動(dòng)一下服務(wù)器的網(wǎng)關(guān)，原有系統(tǒng)的其它部分（包括網(wǎng)絡(luò)結(jié)構(gòu)）基本不需要做改動(dòng)，故，前者對(duì)系統(tǒng)改動(dòng)較大，后者則改動(dòng)較小。對(duì)于電信項(xiàng)目來(lái)講，由

12、直連改為旁掛方式主要帶來(lái)以下優(yōu)點(diǎn)：1、 增加了網(wǎng)絡(luò)的靈活性：由于F5采用旁掛的方式，后端服務(wù)器的網(wǎng)關(guān)指向的為三層交換機(jī)的地址，而不是F5的地址，在對(duì)網(wǎng)絡(luò)設(shè)備維護(hù)時(shí)可以方便的采用修改路由的方式使設(shè)備下線，便于維護(hù)管理。同時(shí)，一些特殊的應(yīng)用也可在核心交換機(jī)上采用策略路由的方式指向特定的網(wǎng)絡(luò)設(shè)備。2、 提高了網(wǎng)絡(luò)整體的可靠性：由于旁路方式的存在，如果F5設(shè)備出現(xiàn)問(wèn)題，可在交換機(jī)上修改路由使用數(shù)據(jù)流繞過(guò)F5，而不會(huì)對(duì)整個(gè)業(yè)務(wù)系統(tǒng)造成影響。3、 針對(duì)某些特殊應(yīng)用，提高了速度：采用旁路的方式后，一些特定的的對(duì)速度、時(shí)延敏感的應(yīng)用數(shù)據(jù)在進(jìn)入和離開(kāi)時(shí)可以采用不同的路徑，例如：在流入時(shí)可經(jīng)過(guò)F5設(shè)備，對(duì)其進(jìn)行檢

13、查，負(fù)載均衡。而在該數(shù)據(jù)流離開(kāi)時(shí)，則不經(jīng)過(guò)F5，以提高其速度。2.2設(shè)置負(fù)載均衡器管理網(wǎng)口地址F5 BIG-IP 3400 設(shè)備的面板結(jié)構(gòu):BIG-IP 3400應(yīng)用交換機(jī)具備8個(gè)10/100/1000M自適應(yīng)的網(wǎng)絡(luò)接口及二個(gè)光纖接口.10/100/1000 interface 8個(gè)10/100/1000 M 自適應(yīng)的網(wǎng)絡(luò)接口Gigabit fiber interface 2個(gè)1000M 多模光纖接口Serial console port 一個(gè)串口命令行管理端口Failover port 一個(gè)串口冗余狀態(tài)判斷端口。Mgmt interface 一個(gè)10/100M管理端口注：互為雙機(jī)的兩臺(tái)BIG

14、-IP必須用隨機(jī)附帶的Failover線相連起來(lái)。BIG-IP上電開(kāi)機(jī)以后，首先需要通過(guò)機(jī)器前面板右邊的LCD旁的按鍵設(shè)置管理網(wǎng)口(設(shè)備前面板最左邊的網(wǎng)絡(luò)接口)的IP地址。管理網(wǎng)絡(luò)接口有一個(gè)缺省的IP地址，一般為45。注：管理網(wǎng)絡(luò)接口的IP地址不能與業(yè)務(wù)網(wǎng)絡(luò)在同一網(wǎng)段，根據(jù)業(yè)務(wù)網(wǎng)絡(luò)的地址劃分，相應(yīng)的調(diào)整管理網(wǎng)絡(luò)接口的網(wǎng)絡(luò)地址。如果，在SMS中負(fù)載均衡口的external vlan和internal vlan已經(jīng)采用了/24的網(wǎng)段，必須修改管理網(wǎng)口缺省的IP地址到另外一個(gè)網(wǎng)段。通過(guò)LCD按鍵修改管理網(wǎng)口IP地址的方法如下：1、 按紅色X按鍵進(jìn)入Opti

15、ons選項(xiàng)；2、 在液晶面板上通過(guò)按鍵按以下順序設(shè)置管理網(wǎng)口的網(wǎng)絡(luò)地址：Options-System-IP Address/Netmask-Commit如果通過(guò)LCD按鍵修改完IP地址以后，選擇Commit，地址無(wú)法成功改變(例如出現(xiàn)IP地址為全零的情況)，很有可能是管理口IP地址與系統(tǒng)內(nèi)已經(jīng)配置發(fā)生沖突。出現(xiàn)這種情況，關(guān)機(jī)重啟以后，另選一個(gè)IP網(wǎng)段來(lái)設(shè)置管理網(wǎng)口地址。警告：在設(shè)置好網(wǎng)絡(luò)管理口地址以后，通過(guò)網(wǎng)絡(luò)登陸到BIG-IP上進(jìn)行其它配置更改時(shí)，都要保證網(wǎng)絡(luò)管理口的網(wǎng)絡(luò)連接完好。否則有時(shí)會(huì)出現(xiàn)修改的配置無(wú)法被成功加載應(yīng)用的情況，因?yàn)榫W(wǎng)絡(luò)管理口為Down的情況會(huì)妨礙配置文件的加載。2.3登錄

16、BIGIP的WEB管理界面管理BIGIP有兩種方式,一種是基于WEB的https管理方式，另一種是基于ssh的命令行管理方式。除特別配置外，采用WEB的管理方式即可。WEB登錄方式如下：1 在管理員的IE地址欄內(nèi)輸入BIGIP設(shè)備的IP地址，452 回車后出現(xiàn)系統(tǒng)警告信息點(diǎn)擊Yes3 然后系統(tǒng)提示輸入基于WEB配置的用戶名和密碼。目前的admin帳號(hào)的密碼為admin2.4激活License在配置BIG-IP之前，先要激活License。從System-License-Re-activate進(jìn)入License激活界面：進(jìn)入https:/activate.f5

17、.com/license/dossier.jsp，將產(chǎn)生的Dossier復(fù)制進(jìn)以下頁(yè)面，產(chǎn)生License文件：4 輸入正確后即可進(jìn)入BIGIP的WEB管理界面2.5初始化設(shè)置2.5.1BIG-IP 1上的平臺(tái)(Platform)通用屬性設(shè)置進(jìn)入SystemPlatform注：主機(jī)名用來(lái)標(biāo)識(shí)BIG-IP系統(tǒng)自身。主機(jī)名必須符合DNS域名標(biāo)準(zhǔn)。主機(jī)部分必須以字母開(kāi)始，并至少為2個(gè)字符。舉例：。警告：BIG-IP雙機(jī)系統(tǒng)的主機(jī)名必須不一樣，否則配置同步會(huì)產(chǎn)生錯(cuò)誤，可能導(dǎo)致破壞license。例如負(fù)載均衡器BIG-IP1的主機(jī)名為ISMG-LB01-F5，BIG-

18、IP2的主機(jī)名為ISMG-LB02-F5。Root 為命令行帳號(hào)，admin為WEB管理的帳號(hào)。注：root密碼允許用戶通過(guò)命令行訪問(wèn)BIG-IP系統(tǒng)。建議root密碼長(zhǎng)度大于6位，但不要超過(guò)32位字節(jié)。密碼與大小寫敏感，建議密碼中包含大寫/小寫字母和數(shù)字。如果BIG-IP系統(tǒng)為冗余系統(tǒng)，兩臺(tái)主備機(jī)的root密碼必須保持一致。注：如修改密碼，請(qǐng)確認(rèn)正確敲擊鍵盤上的鍵。（有人敲錯(cuò)了鍵盤上的鍵，而導(dǎo)致無(wú)法找到新設(shè)置的密碼是什么。）BIG-IP 2上的平臺(tái)通用屬性設(shè)置：2.5.2修改系統(tǒng)時(shí)間1. 用PUTTY或Secure Shell Client等SSH客戶端連接BIG-IP的管理網(wǎng)口地址，進(jìn)入命

19、令行模式。注：Secure Shell Client 可以用以下鏈接下載：/f5gz/tools/SSHSecureShellClient-3.2.5.exe。 2. 執(zhí)行date檢查系統(tǒng)時(shí)鐘。rootZJHZ-PS-MMS3-SW02:Active config # dateThu May 25 16:59:15 CST 20063. 命令格式# date .# date MMDDHHMMYYYY.SS如設(shè)置2009年1月1日中午12：00：00# date 010112002007.004. 保存時(shí)間到BIOS # hwclock systohc2.5

20、.3設(shè)置缺省管理權(quán)限策略在命令行運(yùn)行b base list命令，檢查初始化設(shè)置。如果b base list的輸出已經(jīng)有self allow default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 一行，則進(jìn)入到2.4.4。如果在b base list的輸出中發(fā)現(xiàn)有self allow default none 一行，則運(yùn)行以下兩條命令：b self allow default tcp ssh tcp https udp efs tcp snmp

21、proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 b base save所后用命令more /config/bigip_base.conf查看bigip_base.conf文件確認(rèn)self allow default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 已經(jīng)保存到文件中。2.5.4重新啟動(dòng)bigip# reboot2.6配置網(wǎng)絡(luò)層按照拓?fù)浣Y(jié)構(gòu)，對(duì)F5 BIGIP的網(wǎng)絡(luò)層進(jìn)行

22、配置，劃分vlan，定義IP地址及路由。2.6.1劃分vlan點(diǎn)擊左側(cè)的導(dǎo)航條，進(jìn)入NetworkVLANS，在右側(cè)可以對(duì)vlan進(jìn)行配置。創(chuàng)建方法如下：點(diǎn)擊create: Name:設(shè)置這個(gè)vlan的名字。Tag:為相應(yīng)VLAN的VLAN IDInterface:定義Available中顯示的端口有選擇性的劃分到這個(gè)vlan中。指定端口后，單擊選入U(xiǎn)ntagged欄即可。點(diǎn)擊完成。根據(jù)SMS的網(wǎng)絡(luò)規(guī)劃，負(fù)載均衡器上一共要定義了以下幾個(gè)VLAN：注：external, ,internal為業(yè)務(wù)流量VLAN。VLAN ID應(yīng)與網(wǎng)絡(luò)規(guī)劃中的VLAN一致。注：netfailover VLAN的1.4

23、端口為雙機(jī)網(wǎng)絡(luò)心跳接口，網(wǎng)絡(luò)心跳信號(hào)及雙機(jī)配置同步信息都是通過(guò)這一網(wǎng)線傳輸，因此要用網(wǎng)線將雙機(jī)的1.4口對(duì)連起來(lái)。VLAN ID 4094為BIG-IP自動(dòng)生成的。(也可以指定)。注：將1.7和1.8端口加入到external VLAN和internal VLAN主要是為了有時(shí)候可以將筆記本接在相應(yīng)VLAN進(jìn)行測(cè)試，而不受BIG-IP與交換機(jī)之間網(wǎng)絡(luò)連接的影響。2.6.2定義IP地址在劃分完Vlan后，即可對(duì)每個(gè)vlan進(jìn)行IP地址的定義。方法如下：點(diǎn)擊左側(cè)導(dǎo)航條中的Networksself Ips在右側(cè)可以對(duì)Ip地址進(jìn)行配置。創(chuàng)建方法如下：點(diǎn)擊Create:IP address:輸入IP地址

24、Netmask:輸入子網(wǎng)掩碼Vlan：選擇將這個(gè)IP地址綁定在哪個(gè)vlan上。選擇下拉菜單將顯示所有已設(shè)置的vlan名。Port Lockdown:保持默認(rèn)值A(chǔ)llow Default。Floating IP:如果系統(tǒng)為冗余工作方式，需對(duì)每臺(tái)設(shè)備的每個(gè)vlan均設(shè)置兩個(gè)IP地址。其中一個(gè)是self IP,另一個(gè)則為floating IP,即兩臺(tái)設(shè)備共用的IP地址。選中此項(xiàng)即代表這個(gè)IP地址為Floating IP。按照網(wǎng)絡(luò)的規(guī)劃， IP地址定義如下：SMSBIG-IP 3400應(yīng)用交換機(jī) VLAN與IP地址規(guī)劃(BIG-IP 3400-1)NameISMG-LB01.F5VLAN NameVL

25、AN IDSelf IPFloating IPExternal20/24/24Internal1001/2403/24Netfailover4094/24mgmt45/24(BIG-IP 3400-2)NameISMG-LB02.F5VLAN NameVLAN IDSelf IPFloating IPExternal20/24/24Internal1002/2403/24Netfail

26、over4094/24mgmt46/24其中，MGMT是BIG-IP的管理網(wǎng)口，BIGIP1的管理網(wǎng)口IP地址為45,BIG-IP2管理網(wǎng)口的IP地址46。BIGIP1的SELFIP配置如下：注：以下拷屏只是展示如何通過(guò)WEB界面進(jìn)行相應(yīng)的配置，其中的IP地址不一定正確，請(qǐng)根據(jù)實(shí)際情況的IP地址劃分進(jìn)行配置。其中Unit ID不為零的為Floating IP.Floating IP設(shè)置要打上勾。BIGIP2的SELFIP配置如下：BIGIP2上不需要配置Floating IP，因?yàn)镕loatingIP可以從

27、BIG-IP1上同步過(guò)來(lái)。2.6.3配置路由點(diǎn)擊左側(cè)導(dǎo)航條中的NetworksRoutesAdd對(duì)路由進(jìn)行配置Type:定義配置的是默認(rèn)網(wǎng)關(guān)還是靜態(tài)路由。Destination:定義目標(biāo)網(wǎng)段Netmask:定義目標(biāo)網(wǎng)段的掩碼Resource:定義網(wǎng)關(guān)地址點(diǎn)擊完成。按照用戶的需求，缺省路由是第一層防火墻Trust口的雙機(jī)共享地址54另外，還需要增加一個(gè)靜態(tài)路由，即到機(jī)房二的數(shù)據(jù)包的下一跳指向機(jī)房一中第二層防火墻的Untrust區(qū)雙機(jī)共享地址。2.7配置雙機(jī)設(shè)置(High Availability)High Availability就是雙機(jī)冗余（Cluster），要求兩臺(tái)BIGI

28、P的版本相同。配置方法如下：2.7.1配置Redundant Pair的IP地址首先，確認(rèn)BIGIP已經(jīng)轉(zhuǎn)換為雙機(jī)模式。在WEB頁(yè)面的左側(cè)導(dǎo)航條選擇SYSTEMPlatform把Hith Availability設(shè)置中應(yīng)選擇為Redundant Pair模式。其中BIG-IP1的Unit ID為1，BIG-IP2的Unit ID為2。然后，在WEB頁(yè)面的左側(cè)導(dǎo)航條選擇SYSTEMHith Availability：BIG-IP1的設(shè)置如下：BIG-IP2的設(shè)置如下Primary Failover Address輸入兩臺(tái)BIGIP的Netfailover VLAN Self IP地址：BIG-I

29、P1的Self IP為, Peer IP為;BIG-IP1的Self IP為, Peer IP為;Secondary Failover Address輸入兩臺(tái)BIGIP的Internal VLAN Self IP地址。BIG-IP1的Self IP為, Peer IP為;BIG-IP1的Self IP為, Peer IP為;Redundancy Mode選擇Active/Standby模式并Enable Netw

30、ork Failover選項(xiàng)。其他參數(shù)保持默認(rèn)值。2.7.2配置雙機(jī)自動(dòng)切換機(jī)制FailSafe配置Failsafe設(shè)置在滿足某些條件的時(shí)候，觸發(fā)BIGIP發(fā)生切換。根據(jù)彩鈴5期的要求，配置了VLANs的FailSafe配置，當(dāng)處于Active狀態(tài)的BIGIP的internal和external兩個(gè)VALN在設(shè)定的時(shí)間內(nèi)沒(méi)有任何流量，自動(dòng)切換到備機(jī)。警告：在沒(méi)有完成External VLAN和Internal VLAN的網(wǎng)絡(luò)接線之前，不要啟用自動(dòng)切換機(jī)制。對(duì)External VLAN和Internal VLAN啟用基于VLAN監(jiān)控的自動(dòng)切換機(jī)制，步驟如下：在WEB頁(yè)面的左面導(dǎo)航界面選擇:SYS

31、TEM High AvailabilityFail-safe點(diǎn)擊“Add”按鈕VLAN：選擇監(jiān)控的VLANTimeout :默認(rèn)值是90秒，一般改為30秒其中Action選用Fail Over方式，而不是缺省的Reboot方式。設(shè)置完后，結(jié)果如下：2.8配置服務(wù)器負(fù)載均衡注：服務(wù)器負(fù)載均衡器的設(shè)置只需要在一臺(tái)BIG-IP1上進(jìn)行設(shè)置，設(shè)置好以后，可以通過(guò)雙機(jī)配置同步的方式將配置更新到BIG-IP2上。在設(shè)置好基礎(chǔ)網(wǎng)絡(luò),即可對(duì)實(shí)現(xiàn)服務(wù)器負(fù)載均衡進(jìn)行配置。主要涉及以下幾個(gè)方面： Monitor(不一定需要設(shè)，有時(shí)候可以采用系統(tǒng)自帶Monitor)Monitor跟蹤Pool成員的當(dāng)前狀態(tài)或者性能Pr

32、ofile(不一定需要設(shè)，有時(shí)候可以采用系統(tǒng)自帶Profile)Profile包含定義Virtual Server行為的設(shè)置。負(fù)載均衡Pool負(fù)載均衡Pool包含可以將請(qǐng)求發(fā)送到其中進(jìn)行處理的服務(wù)器。iRules負(fù)載均衡控制規(guī)則。Virtual ServerVirtual Server接收客戶端的訪問(wèn)請(qǐng)求，然后將請(qǐng)求分發(fā)給被負(fù)載均衡的服務(wù)器上。SNAT在負(fù)載均衡器內(nèi)部的服務(wù)器主動(dòng)向外發(fā)起訪問(wèn)時(shí)，在負(fù)載均衡器上所做的地址映射。訪問(wèn)時(shí)2.8.1配置MonitorMonitor可以實(shí)現(xiàn)對(duì)服務(wù)器實(shí)施健康檢查。以確定服務(wù)器是否可以對(duì)外提供服務(wù)。注：目前并不存在著故障服務(wù)器進(jìn)行切換的需求，只是需要根據(jù)客戶

33、端源地址來(lái)選擇服務(wù)器，因此并不需要對(duì)服務(wù)器進(jìn)行監(jiān)控。以下只是用于說(shuō)明服務(wù)器狀態(tài)檢查的配置方式。可以直接進(jìn)入到下一步驟。如果需要對(duì)檢查方法的屬性進(jìn)行定制，以下以定制TCP端口檢查為例，方法如下：點(diǎn)擊左側(cè)導(dǎo)航條中的Local TrafficMonitorCreate，在General Properties中選擇TCP在General Properties中輸入你要建立的健康檢查方式的名字，可以按需要設(shè)置好Interval和Timeout的時(shí)間。最后點(diǎn)擊Finished。2.8.2配置ProfileProfile定義的Virtual Server的屬性集合。需要對(duì)Virtual Server上的連接

34、閑置時(shí)間進(jìn)行設(shè)置，因此需要?jiǎng)?chuàng)建一個(gè)ismg_fastl4的profile，方法如下：由Local Traffic ManageProfileFast L4 Profile，選擇創(chuàng)建 2.7.3配置負(fù)載均衡Pool負(fù)載均衡Pool是您組合起來(lái)接收和處理流量的一組設(shè)備，如Web服務(wù)器。BIGIP系統(tǒng)將客戶機(jī)發(fā)往Virtual Server的請(qǐng)求發(fā)送到Pool成員中的任一服務(wù)器上。當(dāng)創(chuàng)建負(fù)載均衡Pool時(shí)，將服務(wù)器（稱作Pool成員）分配到pool中，然后將pool與BIGIP系統(tǒng)中的Virtual Server相關(guān)聯(lián)。然后，BIPIP系統(tǒng)將進(jìn)入Virtual Server中的流量傳輸?shù)絇ool成員

35、。單個(gè)服務(wù)器可隸屬于一個(gè)或多個(gè)pool，這取決于您希望如何管理您的網(wǎng)絡(luò)流量。創(chuàng)建pool的方法如下：點(diǎn)擊左側(cè)導(dǎo)航條中的Local TrafficVirtual ServerspoolsCreate:輸入pool的名字，并指定該pool中的member成員的IP 地址及service port，并指定對(duì)Pool成員的健康檢查方法，然后點(diǎn)擊即可。接照SMS的情況,定義pool及相應(yīng)的member成員如下：pool POOL_ISMG member :0 member :0 注：為與負(fù)載均衡器在同一個(gè)機(jī)房一的服務(wù)器，而192.1

36、68.30.1為在機(jī)房二的服務(wù)器，兩臺(tái)服務(wù)器不在同一網(wǎng)段。由于與負(fù)載均衡器不在同一個(gè)網(wǎng)段，需要在負(fù)載均衡器NetworkRoute設(shè)置中增加一條靜態(tài)路由，即到的數(shù)據(jù)包的下一跳指向機(jī)房一第二層防火墻的Untrust區(qū)的共享地址。還有其它一些沒(méi)有列在上面的pool，可以根據(jù)實(shí)際環(huán)境的需要進(jìn)行添加。2.8.4創(chuàng)建iRule負(fù)載均衡控制規(guī)則以根據(jù)源地址選擇服務(wù)器先要?jiǎng)?chuàng)建兩個(gè)Data Group，將SP的源地址分別放在這兩個(gè)Data Group中，以進(jìn)行源地址匹配來(lái)選擇ISMG服務(wù)器。創(chuàng)建Data Group的方法如下：在Local TrafficiRul

37、eData Group中選擇Create:將源地址加入。然后定義Data Group與服務(wù)器的對(duì)應(yīng)關(guān)系：在Local TrafficiRule中選擇Create:創(chuàng)建一個(gè)select_ismg的iRule：when CLIENT_ACCEPTED if matchclass IP:client_addr equals $:sp1_class node elseif matchclass IP:client_addr equals $:sp2_class node else drop 上述規(guī)則的含義是如果源地址在定義的sp1_class的dat

38、a group中，則選擇服務(wù)器，如果在sp2_class的data group中，則選擇。如果源地址不在這兩個(gè)Data Group中，則拒絕訪問(wèn)。2.8.5建立Virtual server,實(shí)現(xiàn)對(duì)服務(wù)器的負(fù)載均衡Virtual Server是BIG-IP本地流量管理（LTM）配置中最重要的組件。BIG-IP收到到Virtual Server的客戶請(qǐng)求后，以地址轉(zhuǎn)換的方式，將客戶端的請(qǐng)求發(fā)送到Virtual Server相應(yīng)Pool中的某個(gè)成員服務(wù)器上。Virtual Server可提高用于處理客戶機(jī)請(qǐng)求的資源的可用性。創(chuàng)建Virtual Serv

39、er的方法如下：點(diǎn)擊左側(cè)導(dǎo)航條中的Local TrafficVirtual ServersCreate: 在General Properties部分，需指定該Virtual server的名稱，IP地址及服務(wù)端口。在Configuration部分，用戶需跟據(jù)該Virtual server的類型，選擇相應(yīng)的配置參數(shù)。注：對(duì)于http流量或ftp流量，用戶必需選擇Http profile或Ftp profile，否則這兩種virtual server將不能正常訪問(wèn)。對(duì)于服務(wù)器負(fù)載均衡，需要?jiǎng)?chuàng)建一個(gè)vip_ismg的虛擬務(wù)器，將會(huì)采用Performance Layer4的類型，并選擇上面創(chuàng)建的ism

40、g_fastl4 profiel：而協(xié)議（Protocol）則要根據(jù)虛擬服務(wù)器的類型選擇是All Protocols。在Virtual Server的Resources定義部分，Default Pool選擇Virtual Server所對(duì)應(yīng)的Server Pool，及iRule:注：Status為綠色，表示該Virtual Server對(duì)應(yīng)的Pool中至少有一臺(tái)服務(wù)器可用，紅色表示沒(méi)有一臺(tái)服務(wù)器可用，藍(lán)色表示服務(wù)器的狀態(tài)未知(可能沒(méi)有對(duì)Pool設(shè)置健康檢查方法，或正在對(duì)服務(wù)器狀態(tài)進(jìn)行檢查。)其中的Virtual Server根據(jù)實(shí)際情況進(jìn)行添加。2.8.5設(shè)置SNATSNAT 是一個(gè)將原始IP

41、 地址（也就是源IP 地址）映射到您所選擇的轉(zhuǎn)換地址的對(duì)象。因此，SNAT 會(huì)讓LTM 系統(tǒng)將入站數(shù)據(jù)包的源IP 地址轉(zhuǎn)換為您指定的地址。SNAT 的目的非常簡(jiǎn)單，即：確保負(fù)載均衡器內(nèi)網(wǎng)的服務(wù)器主動(dòng)向負(fù)載均衡器外部的網(wǎng)絡(luò)進(jìn)行訪問(wèn)時(shí)，地址會(huì)轉(zhuǎn)換為外網(wǎng)可路由的地址。創(chuàng)建方法如下：先修改系統(tǒng)的General PropertiesLocal Traffic:將SNA Packet Forwarding設(shè)置由TCP and UDP Only改為All Traffic，使SNAT不僅支持TCP與UDP包的地址轉(zhuǎn)換，不可以支持ICMP的地址轉(zhuǎn)換。注：如果不改為All Traffic，將無(wú)法由Internal

42、 VLAN Ping通外網(wǎng)地址。點(diǎn)擊左側(cè)導(dǎo)航條中的Local TrafficSNATsCreate:為該SNAT設(shè)置一個(gè)名稱，并在Translation中輸入轉(zhuǎn)換后的IP地址，點(diǎn)擊Origin的下拉菜單，選擇IP address list在address中輸入IP地址點(diǎn)擊ADD進(jìn)行添加。輸入完畢后，點(diǎn)擊Finished即可。要將服務(wù)器的地址都轉(zhuǎn)成Virtual Server的地址，因此一個(gè)設(shè)置好的SNAT的屬性如下：s這個(gè)設(shè)置將對(duì)所有主動(dòng)由服務(wù)器發(fā)往SP的數(shù)據(jù)包進(jìn)行地址轉(zhuǎn)換，轉(zhuǎn)換成08。此外，還要選取Translation修改SNAT地址的Idle TimeOut值。例如對(duì)1

43、08，點(diǎn)擊右側(cè)Translation 地址：在SNAT Address的TCP idle Timeout的選項(xiàng)選擇Specify，輸入Timeout的參數(shù)，一般改為3600。而對(duì)UDP和IP的Idle Timeout值可以不需要設(shè)定，采用缺省值。2.9兩臺(tái)BIGIP配置同步BIGIP的配置信息，除了Network的配置（例如：VLAN，IP等），其他的配置可以通過(guò)ConfigSync同步，步驟如下：進(jìn)入SystemHigh AvailabilityConfigsync頁(yè)面：Synchronize TO Peer: 把本地的配置同步到對(duì)方Synchronize FROM Peer: 把另外一臺(tái)BIGIP的配置同步到本地。成功的配置同步后的信息如下：2.10備份配置在完成上述配置，并順利完成同步以后，請(qǐng)盡快將配置備份出來(lái)。備份方法如下：進(jìn)入SystemArchives，點(diǎn)擊Create: 配置備份好后，點(diǎn)擊設(shè)配置文件并下載到外部電腦上：三、系統(tǒng)運(yùn)行狀態(tài)檢查及維護(hù)3.1檢查系統(tǒng)日志信息：選取Local Traffic查看Pool Member的狀態(tài)變化信息?？梢渣c(diǎn)擊TimeStamp選擇日志信息排列的時(shí)序。3.2檢查N