F詳細配置手冊

1、F5BIG-IP負載均衡器配置指導書目錄一、 網(wǎng)絡結(jié)構(gòu)與IP地址規(guī)劃 錯誤!未指定書簽二、 配置BIGIP3400負載均衡設備 錯誤!未指定書簽2.1旁路/直連的選擇 錯誤!未指定書簽路由/直連模式的介紹 錯誤!未指定書簽旁路模式的介紹 錯誤!未指定書簽路由/直連模式同旁路模式的比較錯誤!未指定書簽2.2設置負載均衡器管理網(wǎng)口地址 . 錯誤!未指定書簽2.3登錄BIGIP的WEB管理界面 錯誤!未指定書簽2.4激活License 錯誤!未指定書簽2.5初始化設置 錯誤!未指定書簽1上的平臺(Platform)通用屬性設置錯誤!未指定書簽修改系統(tǒng)時間 錯誤!未指定書簽設置缺省管理權限策略 錯誤!

2、未指定書簽重新啟動bigip 錯誤!未指定書簽2.6配置網(wǎng)絡層 錯誤!未指定書簽劃分vlan 錯誤!未指定書簽定義IP地址 錯誤!未指定書簽配置路由 錯誤!未指定書簽2.7配置雙機設置(HighAvailability) . 錯誤！未指定書簽配置RedundantPair的IP地址.錯誤！未指定書簽 配置雙機自動切換機制FailSafe配置錯誤!未指定書簽。2.8配置服務器負載均衡 錯誤!未指定書簽。配置Monitor 錯誤!未指定書簽。配置Profile 錯誤!未指定書簽。配置負載均衡Pool 錯誤!未指定書簽。創(chuàng)建iRule負載均衡控制規(guī)則以根據(jù)源地址選擇服務器 錯誤!未指定書簽。建立Vi

3、rtualserver,實現(xiàn)對服務器的負載均衡 錯誤!未指定書簽設置SNAT. 錯誤!未指定書簽。2.9兩臺BIGIP配置同步 錯誤!未指定書簽。2.10備份配置 錯誤!未指定書簽。三、系統(tǒng)運行狀態(tài)檢查及維護 錯誤!未指定書簽。3.1檢查系統(tǒng)日志信息： 錯誤!未指定書簽。3.2檢查Node狀態(tài) 錯誤!未指定書簽。3.3查看流量信息 錯誤!未指定書簽。3.4查看系統(tǒng)當前性能參數(shù) 錯誤!未指定書簽。3.5密碼的更改 錯誤!未指定書簽。3.6添加“只讀”權限的管理員帳號. 錯誤!未指定書簽。3.7如何查詢設備的序列號：錯誤!未指定書簽。3.8如何采集信息提供他人進行故障診斷.錯誤!未指定書簽。3.8

4、對某一 VirtualServer 用TCPDUM命令無法抓到包如何處理？ 錯誤!未指定書簽、網(wǎng)絡結(jié)構(gòu)與IP地址規(guī)劃本手冊以移動WAP/彩信網(wǎng)關為例網(wǎng)絡拓撲結(jié)構(gòu)如下圖所示：整個數(shù)據(jù)網(wǎng)絡設備，采用兩臺防火墻、兩臺BIG-IP3400負載均衡器、及兩臺交 換機、網(wǎng)絡設備都采用主、備設備，以實現(xiàn)設備、鏈路的冗余備份，以消除單 點故障。這里部署負載均衡器的目的主要是為了增加服務器的數(shù)量，以提升系統(tǒng)的處理能力。但對外仍然是一個IP地址。相關的IP地址規(guī)劃如下： 注：以上的IP地址規(guī)劃是測試環(huán)境的IP地址設置，需要根據(jù)現(xiàn)網(wǎng)環(huán)境中的IP 地址規(guī)劃進行修改。BIG-IP3400-1VIP1對外的虛擬IP地址S

5、NATIP1SNAT地址（指向 PORTAL）ExternalSharelP同第一層防火墻trust同一 VLANExtervlanselflP同第一層防火墻trust同一 VLANInternalShareIPI同第二層防火墻 Untrust 一 VLANInternalvlanselfip1同第二層防火墻 Untrust 一 VLANBIG-IP3400-2VIP1SNATIP1ExternalvlanShareipExternalvlanselfipInternalShareIPInternalvlanselfip注：建議現(xiàn)場工程師先填寫以下規(guī)范表:序號項目F5-3400-1 參數(shù)F5-

6、3400-2 參數(shù)建議值備注系統(tǒng)參數(shù)主機名root用戶密碼defaultdefaultAdmin用戶密碼adminadmi nWeb連接方式HTTPSHTTPS命令行連接方式SSH/co nsoleSSH/c on sole網(wǎng)管服務器IP系統(tǒng)管理IP系統(tǒng)管理IP地址掩碼網(wǎng)關端口參數(shù)Ethernet2.1 端口描述 （trunk ）Ethernet2.2 端口描述 （trunk ）Admin帶外管理端口描述trunk模式Trunk配置Tru nk_10Tru nk_30防火墻互聯(lián)vian 號10vlan描述TO-FW本機IP地址虛擬IP地址防火墻虛擬IP地址F5 HA配置方式ActiveSta

7、ndbyF5Fail-Safe 模式GatewayFail-SafeGatewayFail-safe 模 式分別由兩臺F5設備 監(jiān)測前端的防火墻地 址，如果出現(xiàn)無法連通 防火墻地址則進行切 換。F5Fail-safeActi onFailOver進行主備切換服務器互聯(lián)vlan 號30vlan描述TO-Server本機IP地址虛擬IP地址F5 HA配置方式ActiveSta ndbyF5Fail-Safe 模式VLANFail-safeGatewayFail-safe 模式分別由兩臺F5設備 監(jiān)測VLAN流量，發(fā)現(xiàn)VLAN失效時進行切換。F5Fail-safeActi onFailOver進行主

8、備切換SNAT地址SNAT后地址路由設置DefaultGateway（Juniper 防火墻地址）、配置 BIGIP3400 負載均衡設備本章將主要描述 BIGIP3400 負載均衡設備的配置方法及配置內(nèi)容2.1 旁路 /直連的選擇2.1.1 路由/ 直連模式的介紹網(wǎng)絡連接的物理結(jié)構(gòu)如下結(jié)構(gòu)：Ip 規(guī)劃說明：圖中 bigip 為負載均衡交換機， bigip 上面使用公開的 ip 地址， bigip 下面同負載均衡的服務器使用不公開的 ip 地址。但對外提供服務則使用公 開的 ip。2.1.2 旁路模式的介紹網(wǎng)絡連接的物理結(jié)構(gòu)如下結(jié)構(gòu)：Ip 規(guī)劃說明：圖中 bigip 為負載均衡交換機， big

9、ip 和負載均衡的服務器均使 用公開的 ip 地址。2.1.3 路由/ 直連模式同旁路模式的比較（ 1）流量走向不一樣；路由/直連模式的流量走向如下：如上圖， bigip 同客戶端的流量在 bigip 的上聯(lián)接口， bigip 同服務器的流量在 下面的接口。旁路模式的流量走向如下：如上圖， bigip 無論同客戶端還是同服務器的通訊流量均在 bigip 的一個接口 上。（2）接口流量壓力不一樣見 2.1 圖：路由 /直連情況下， bigip 同客戶端的流量在 bigip 的上聯(lián)接口， bigip 同服務 器的流量在下聯(lián)的接口，故 bigip 單一接口壓力較小。在旁路模式 ,bigip 無論同客

10、戶端還是同服務器的通訊流量均在 bigip 的一個接 口上，故 bigip 單一接口壓力較大。 為解決此問題， 可以在 bigip 和交換機之間采 用鏈路聚合技術，即端口捆綁，以避免接口成為網(wǎng)絡瓶頸。（3）網(wǎng)絡結(jié)構(gòu)的安全性不一樣路由 /直連情況下，可以不公布服務器使用的真實 ip 地址，只需要公布提供 負載均衡的虛擬地址即可， 而在旁路情況下， 則客戶端可以得知服務器的真實地址，在此模式下，為保證服務器的安全性，服務器的網(wǎng)關指向bigip，可以使用bigip上的包過濾（防火墻）功能來保護服務器。（4）對后端服務器的管理方便性不一樣路由/直連情況下，因服務器的真實地址可以隱含，故管理起來需要在b

11、igip上啟用地址翻譯（NAT）功能，相對會復雜一些。而旁路模式則不需要地址翻譯 的配置。（5）前者不支持npath模式（見后圖），后者支持npath模式，啟用該模式可見 少F5設備的壓力見上圖，在旁路模式下，使用npath的流量處理方式，所有服務器回應的流 量可以不通過bigip，這樣可以大大減少流量的壓力。但npath的流量處理方式不能工作路由/直連的模式。（6）在對原有系統(tǒng)做負載均衡技術改造時，兩種模式的工作復雜程度不一樣如果對原有沒有負載均衡技術的系統(tǒng)進行負載均衡技術的改造，那么，在路由/直連情況下，需要修改服務器的ip地址同時網(wǎng)絡結(jié)構(gòu)也要做調(diào)整（將服務器 調(diào)到bigip后端），同時相

12、關聯(lián)的應用也要改動，需要進行嚴格的測試才能上線 運行；然而，在旁路模式下，僅僅需要改動一下服務器的網(wǎng)關，原有系統(tǒng)的其它 部分（包括網(wǎng)絡結(jié)構(gòu)）基本不需要做改動，故，前者對系統(tǒng)改動較大，后者則改 動較小。對于電信項目來講，由直連改為旁掛方式主要帶來以下優(yōu)點：1、增加了網(wǎng)絡的靈活性：由于F5采用旁掛的方式，后端服務器的網(wǎng)關指向的為 三層交換機的地址，而不是F5的地址，在對網(wǎng)絡設備維護時可以方便的采用 修改路由的方式使設備下線，便于維護管理。同時，一些特殊的應用也可在核心交換機上米用策略路由的方式指向特定的網(wǎng)絡設備。2、 提高了網(wǎng)絡整體的可靠性：由于旁路方式的存在，如果F5設備出現(xiàn)問題，可在交換機上修

13、改路由使用數(shù)據(jù)流繞過 F5，而不會對整個業(yè)務系統(tǒng)造成影響。3、針對某些特殊應用，提高了速度：采用旁路的方式后，一些特定的的對速度、 時延敏感的應用數(shù)據(jù)在進入和離開時可以采用不同的路徑，例如：在流入時 可經(jīng)過F5設備，對其進行檢查，負載均衡。而在該數(shù)據(jù)流離開時，則不經(jīng)過 F5,以提高其速度。2.2設置負載均衡器管理網(wǎng)口地址F5BIG-IP3400設備的面板結(jié)構(gòu)：BIG-IP3400應用交換機具備8個10/100/1000M自適應的網(wǎng)絡接口及二個光纖接 口.10/100/1000i nteface- 8個 10/100/1000 M 自適應的網(wǎng)絡接口Gigabitfiberi nterface2

14、個 1000M 多模光纖接口Serialco nsolepor個串口命令行管理端口Failoverport一個串口冗余狀態(tài)判斷端口。Mgmti nteface個10/100M管理端口注：互為雙機的兩臺BIG-IP必須用隨機附帶的Failover線相連起來。注：管理網(wǎng)絡接口的IP地址不能與業(yè)務網(wǎng)絡在同一網(wǎng)段，根據(jù)業(yè)務網(wǎng)絡的地址 劃分，相應的調(diào)整管理網(wǎng)絡接口的網(wǎng)絡地址。如果，在 SMS中負載均衡口的 externalvlan和internalvlan已經(jīng)采用了到另外一個網(wǎng)段。通過LCD按鍵修改管理網(wǎng)口 IP地址的方法如下：1、按紅色X按鍵進入Options選項；2、在液晶面板上通過按鍵按以下順序設

15、置管理網(wǎng)口的網(wǎng)絡地址：Optio ns->System->IPAddress/Netmask->Commit如果通過LCD按鍵修改完IP地址以后，選擇Commit，地址無法成功改變(例如 出現(xiàn)IP地址為全零的情況)，很有可能是管理口 IP地址與系統(tǒng)內(nèi)已經(jīng)配置發(fā)生沖 突。出現(xiàn)這種情況，關機重啟以后，另選一個IP網(wǎng)段來設置管理網(wǎng)口地址。警告：在設置好網(wǎng)絡管理口地址以后，通過網(wǎng)絡登陸到BIG-IP上進行其它配置更改時，都要保證網(wǎng)絡管理口的網(wǎng)絡連接完好。否則有時會出現(xiàn)修改的配置無 法被成功加載應用的情況，因為網(wǎng)絡管理口為Down的情況會妨礙配置文件的加 載。2.3登錄BIGIP的WE

16、B管理界面管理BIGIP有兩種方式，一種是基于 WEB的https管理方式，另一種是基于ssh 的命令行管理方式。除特別配置外，采用 WEB的管理方式即可。WEB登錄方式如下：1. 在管理員的IE地址欄內(nèi)輸入BIGIP設備的IP地址，2. 回車后出現(xiàn)系統(tǒng)警告信息點擊Yes3. 然后系統(tǒng)提示輸入基于 WEB配置的用戶名和密碼。目前的admin帳號的密碼為admin2.4 激活 License在配置BIG-IP之前，先要激活License。從 System->License->Re-activate進入 License 激活界面：進入，將產(chǎn)生的Dossier復制進以下頁面，產(chǎn)生Lice

17、nse文件：4. 輸入正確后即可進入BIGIP的WEB管理界面2.5初始化設置2.5.1BIG-IP1 上的平臺(Platform) 通用屬性設置進入 System Platform注：警告：BIG-IP雙機系統(tǒng)的主機名必須不一樣，否則配置同步會產(chǎn)生錯誤，可能 導致破壞license。例如負載均衡器BIG-IP1的主機名為ISMG-LB01-F5，BIG-IP2的主機名為 ISMG-LB02-F5。Root為命令行帳號，admi n為WEB管理的帳號。注：root密碼允許用戶通過命令行訪問BIG-IP系統(tǒng)。建議root密碼長度大于6位，但不要超過32位字節(jié)。密碼與大小寫敏感，建議密碼中包含大寫

18、/小寫字母和數(shù)字。如果BIG-IP系統(tǒng)為冗余系統(tǒng)，兩臺主備機的root密碼必須保持一致。 注：如修改密碼，請確認正確敲擊鍵盤上的鍵。（有人敲錯了鍵盤上的鍵，而導致無法找到新設置的密碼是什么。）BIG-IP2上的平臺通用屬性設置：修改系統(tǒng)時間1. 用PUTTY或SecureShellClient 等SSH客戶端連接 BIG-IP的管理網(wǎng)口地址， 進入命令 行模式。注：SecureShellClie nt 可以用以下鏈接下載：。2. 執(zhí)行date檢查系統(tǒng)時鐘。rootZJHZ-PS-MMS3-SW02:Activeco nfig#dateThuMay2516:59:15CST20063. 命令格式

19、#date< mon th><day><hour>< min ute><year>.<sec ond>#dateMMDDHHMMYYYY.SS如設置 2009年1月1日中午12: 00 : 00#date4. 保存時間到 BIOS# hwclock -systohc設置缺省管理權限策略在命令行運行bbaselist命令，檢查初始化設置。如果bbaselist的輸出已經(jīng)有selfallowdefaulttcpsshtcphttpsudpefstcps nmpprotoospfudpdoma inu dps nm ptcp43

20、53tc pdoma in udp4353一行，則進入到244。如果在bbaselist的輸出中發(fā)現(xiàn)有selfallowdefaultnone行，則運行以下兩條命 令：bselfallowdefaulttcpsshtcphttpsudpefstcps nmpprotoospfudpdoma inu dps nmptcp4353 tcpdomai nu dp4353bbasesave所后用命令 more/config/bigip_base.conf查看 bigip_base.conf文件確認 selfallowdefaulttcpsshtcphttpsudpefstcps nmpprotoosp

21、fudpdoma inu dps nm ptcp4353tc pdomai nudp4353已經(jīng)保存到文件中。重新啟動bigip#reboot2.6配置網(wǎng)絡層按照拓撲結(jié)構(gòu)，對F5BIGIP的網(wǎng)絡層進行配置，劃分vlan,定義IP地址及路由2.6.1 戈ij分 vlan點擊左側(cè)的導航條，進入 Network VLANS，在右側(cè)可以對vlan進行配置。創(chuàng) 建方法如下：點擊 create:Name:設置這個vian的名字vlan中。指定端口Tag:為相應 VLAN 的 VLANIDIn terface:定義Available中顯示的端口有選擇性的劃分到這個后，單擊*選入 點擊亠二完成Un tagge

22、d欄即可。VLAN :根據(jù)SMS的網(wǎng)絡規(guī)劃，負載均衡器上一共要定義了以下幾個 注：external,nternal為業(yè)務流量 VLAN。VLANID 應與網(wǎng)絡規(guī)劃中的 VLAN注：netfailoverVLAN的1.4端口為雙機網(wǎng)絡心跳接口，網(wǎng)絡心跳信號及雙機配置 同步信息都是通過這一網(wǎng)線傳輸，因此要用網(wǎng)線將雙機的1.4 口對連起來。VLANID4094為BIG-IP自動生成的。（也可以指定）。注：將1.7和1.8端口加入到externalVLAN和internalVLAN主要是為了有時候 可以將筆記本接在相應 VLAN進行測試，而不受BIG-IP與交換機之間網(wǎng)絡連接 的影響。定義IP地址在劃

23、分完Vlan后，即可對每個vlan進行IP地址的定義。方法如下: 點擊左側(cè)導航條中的 Networks>selfIps在右側(cè)可以對Ip地址進行配置。創(chuàng)建方法如下：點擊 Create:IPaddress輸入IP地址Netmask輸入子網(wǎng)掩碼Vian :選擇將這個IP地址綁定在哪個vlan上。選擇下拉菜單將顯示所有已設置 的vlan名。PortLockdown:保持默認值 AllowDefault。FloatinglP:如果系統(tǒng)為冗余工作方式，需對每臺設備的每個 vlan均設置兩個IP 地址。其中一個是selfIP，另一個則為float in gIP,即兩臺設備共用的IP地址。選中 此項即代

24、表這個IP地址為Float in gIP。按照網(wǎng)絡的規(guī)劃，IP地址定義如下：SMS BIG-IP3400應用交換機VLAN與 IP地址規(guī)劃(BIG-IP3400-1)NameISMG-LB01.F5VLANNameVLANIDSelflPFloatinglPExternal20Internal10Netfailover4094mgmt(BIG-IP3400-2)NameISMG-LB02.F5VLANNameVLANIDSelflPFloatinglPExternal20Internal10Netfailover4094mgmt其中，MGMT是BIG-IP的管理網(wǎng)口 ip地址BIGIP1的SE

25、LF IP配置如下：注：以下拷屏只是展示如何通過 WEB界面進行相應的配置，其中的IP地址不 一定正確，請根據(jù)實際情況的IP地址劃分進行配置。其中Un itID 不為零的為 Float in gIP.Float in gIP設置要打上勾。BIGIP2的SELF IP配置如下：BIG - IP2上不需要配置 FloatinglP ，因為FloatinglP 可以從BIG-IP1上同步過來。配置路由點擊左側(cè)導航條中的Networks>Routes Add對路由進行配置Type:定義配置的是默認網(wǎng)關還是靜態(tài)路由。Dest in atio n:定義目標網(wǎng)段Netmask定義目標網(wǎng)段的掩碼Reso

26、urce定義網(wǎng)關地址。點擊Finished完成按照用戶的需求，缺省路由是第一層防火墻Trust 口的雙機共享地址 10.103254另外，還需要增加一個靜態(tài)路由，即到機房二的數(shù)據(jù)包的下一跳指向機房一中第 二層防火墻的Un trust區(qū)雙機共享地址。2.7 配置雙機設置(HighAvailability)HighAvailability就是雙機冗余（Cluster）,要求兩臺BIGIP的版本相同。配 置方法如下：2.7.1 配置 RedundantPair 的 IP 地址首先，確認BIG IP已經(jīng)轉(zhuǎn)換為雙機模式。在WEB頁面的左側(cè)導航條選擇SYSTEM Platform把 HithAvailab

27、ility 設置中應選擇為 RedundantPair模式。 其中 BIG-IP1 的 UnitID 為 1, BIG-IP2 的 UnitID 為 2。 然后，在 WEB頁面的左側(cè)導航條選擇 SYSTEM HithAvailability : BIG-IP1的設置如下：BIG-IP2的設置如下PrimaryFailoverAddress輸入兩臺 BIGIP 的 NetfailoverVLANSelflP 地址: BIG-IP1 的 SelfPeerBIG-IP1 的 SelfPeerSecondaryFailoverAddress輸入兩臺 BIGIP 的 InternalVLANSelfIP

28、 地址。BIG-IP1 的 SelfIP 為 ,PeerlP為 ;BIG-IP1 的 SelfIP 為 ,PeerlP為 ;RedundancyMode選擇 Active/Standby 模式并 EnableNetworkFailover 選項。其他參數(shù)保持默認值。配置雙機自動切換機制 FailSafe配置Failsafe設置在滿足某些條件的時候，觸發(fā) BIGIP發(fā)生切換。根據(jù)彩鈴5期的要 求，配置了 VLANs的FailSafe配置，當處于 Active狀態(tài)的BIGIP的internal和 ext

29、ernal兩個VALN在設定的時間內(nèi)沒有任何流量，自動切換到備機。警告：在沒有完成ExternalVLAN和InternalVLAN的網(wǎng)絡接線之前，不要啟用自 動切換機制。對ExternalVLAN和InternalVLAN啟用基于VLAN監(jiān)控的自動切換機制，步驟 如下：在 WEB頁面的左面導航界面選擇：SYSTEM HighAvailability Fail-safe 點擊“ Add ”按鈕VLAN :選擇監(jiān)控的VLANTimeout:默認值是90秒，一般改為30秒其中Action選用FailOver方式，而不是缺省的 Reboot方式。設置完后，結(jié)果如下：2.8配置服務器負載均衡注：服務器

30、負載均衡器的設置只需要在一臺BIG-IP1上進行設置，設置好以后,可以通過雙機配置同步的方式將配置更新到BIG-IP2上。在設置好基礎網(wǎng)絡，即可對實現(xiàn)服務器負載均衡進行配置。主要涉及以下幾個方 面：Monitor（不一定需要設，有時候可以采用系統(tǒng)自帶Monitor）Mon itor跟蹤Pool成員的當前狀態(tài)或者性能Profile（不一定需要設，有時候可以采用系統(tǒng)自帶Profile）Profile包含定義VirtualServer 行為的設置。負載均衡Pool負載均衡Pool包含可以將請求發(fā)送到其中進行處理的服務器。iRules負載均衡控制規(guī)則。VirtualServerVirtualServe

31、r接收客戶端的訪問請求，然后將請求分發(fā)給被負載均衡的服務器 上。SNAT在負載均衡器內(nèi)部的服務器主動向外發(fā)起訪問時，在負載均衡器上所做的地址映射。訪問時2.8.1 配置 MonitorMonitor可以實現(xiàn)對服務器實施健康檢查。以確定服務器是否可以對外提供 服務。注：目前并不存在著故障服務器進行切換的需求， 只是需要根據(jù)客戶端源地址來 選擇服務器，因此并不需要對服務器進行監(jiān)控。 以下只是用于說明服務器狀態(tài)檢 查的配置方式?？梢灾苯舆M入到下一步驟。如果需要對檢查方法的屬性進行定制， 以下以定制TCP端口檢查為例，方法 如下：點擊左側(cè)導航條中的 LocalTraffic Monitor Creat

32、e 在 GeneralProperties 中選擇TCP在GeneralProperties中輸入你要建立的健康檢查方式的名字，可以按需要設置好Interval 和 Timeout 的時間。最后點擊 Finished。2.8.2 配置 ProfileProfile定義的 VirtualServer的屬性集合。需要對VirtualServer上的連接閑置時間進行設置，因此需要創(chuàng)建一個ismg_fastl4的profile，方法如下：由 LocalTrafficManageProfile FastL4Profile，選擇創(chuàng)建配置負載均衡Pool負載均衡Pool是您組合起來接收和處理流量的一組設備，

33、如Web服務器。BIGIP系統(tǒng)將客戶機發(fā)往VirtualServer的請求發(fā)送到Pool成員中的任一服務器上。當創(chuàng)建負載均衡Pool時，將服務器（稱作Pool成員）分配到pool中，然后將pool 與BIGIP系統(tǒng)中的VirtualServer 相關聯(lián)。然后，BIPIP系統(tǒng)將進入VirtualServer 中的流量傳輸?shù)絇ool成員。單個服務器可隸屬于一個或多個pool，這取決于您希望如何管理您的網(wǎng)絡流量。 創(chuàng)建pool的方法如下：點擊左側(cè)導航條中的 LocalTraffic VirtualServers pools Create:輸入pool的名字，并指定該 pool中的member成員的I

34、P地址及serviceport,并 指定對Pool成員的健康檢查方法，然后點擊即可。接照SMS的情況，定義pool及相應的member成員如下：poolPOOL_ISMGmember:0member:0注：服務器還有其它一些沒有列在上面的 pool，可以根據(jù)實際環(huán)境的需要進行添加。創(chuàng)建iRule負載均衡控制規(guī)則以根據(jù)源地址選擇服務器先要創(chuàng)建兩個DataGroup,將SP的源地址分別放在這兩個 DataGroup中，以進 行源地址匹配來選擇ISMG服務器。創(chuàng)建DataGroup的方法如下：在 LocalTraffic iRule DataGroup

35、 中選擇 Create:將源地址加入。然后定義DataGroup與服務器的對應關系：在 LocalTraffic iRule 中選擇 Create創(chuàng)建一個 select_ismg的 iRule: whe nCLIENT_ACCEPTEDifmatchclassIP:clie nt_addrequals$:sp1_class nodeelseifmatchclassIP:clie nt_addrequals$:sp2_classelsedrop上述規(guī)則的含義是如果源地址在定義的sp1_class的dataGroup中，則拒絕訪問。建立Virtualserver,實現(xiàn)對服務器的負載均衡Virtua

36、lServer是BIG-IP?本地流量管理（LTM ）配置中最重要的組件。BIG-IP 收到到VirtualServer的客戶請求后，以地址轉(zhuǎn)換的方式，將客戶端的請求發(fā)送到VirtualServer相應Pool中的某個成員服務器上。VirtualServer可提高用于處理客戶 機請求的資源的可用性。創(chuàng)建VirtualServer的方法如下：點擊左側(cè)導航條中的 LocalTraffic VirtualServers Create:在GeneralProperties部分，需指定該 Virtualserver的名稱，IP地址及服務端口。 在Con figuration部分，用戶需跟據(jù)該Virtua

37、lserver的類型，選擇相應的配置參數(shù)。 注：對于http流量或ftp流量，用戶必需選擇 Httpprofile或Ftpprofile，否則這兩 種virtualserver將不能正常訪問。對于服務器負載均衡，需要創(chuàng)建一個vip_ismg的虛擬務器，將會采用PerformanceLayer4的類型，并選擇上面創(chuàng)建的 ismg_fastl4profiel:而協(xié)議（Protocol）則要根據(jù)虛擬服務器的類型選擇是AllProtocols。在 VirtualServer 的 Resources定義部分，DefaultPool 選擇 VirtualServer 所對應的 ServerPool,及 i

38、Rule:注：Status為綠色，表示該VirtualServer對應的Pool中至少有一臺服務器可用， 紅色表示沒有一臺服務器可用，藍色表示服務器的狀態(tài)未知（可能沒有對Pool設置健康檢查方法，或正在對服務器狀態(tài)進行檢查。）其中的VirtualServer根據(jù)實際情況進行添加。2.8.5 設置 SNATSNAT是一個將原始IP地址（也就是源IP地址）映射到您所選擇的轉(zhuǎn)換地址的對 象。因此，SNAT會讓LTM系統(tǒng)將入站數(shù)據(jù)包的源IP地址轉(zhuǎn)換為您指定的地址。SNAT 的目的非常簡單，即:確保負載均衡器內(nèi)網(wǎng)的服務器主動向負載均衡器外部的網(wǎng) 絡進行訪問時，地址會轉(zhuǎn)換為外網(wǎng)可路由的地址。創(chuàng)建方法如下：

39、先修改系統(tǒng)的 GeneralProperties-LocalTraffic:將 SNAPacketForwarding設置由 TCPandUDPOnly 改為 AllTraffic，使 SNAT 不僅支持TCP與UDP包的地址轉(zhuǎn)換，不可以支持 ICMP的地址轉(zhuǎn)換。注：如果不改為AllTraffic，將無法由InternalVLANPing通外網(wǎng)地址。點擊左側(cè)導航條中的LocalTraffic SNATs Create:為該SNAT設置一個名稱，并在Tran slation中輸入轉(zhuǎn)換后的IP地址，點擊Origin 的下拉菜單，選擇IPaddresslist在address中輸入IP地址點擊ADD

40、進行添加。輸入完畢后，點擊Finished即可。 要將服務器的地址都轉(zhuǎn)成Virtualserver的地址，因此一個設置好的SNAT的屬性 如下：這個設置將對所有主動由服務器發(fā)往 SP的數(shù)據(jù)包進行地址轉(zhuǎn)換，轉(zhuǎn)換成 0 8。此外，還要選取Tran slation修改SNAT地址的IdleTimeOut值。例如對0 8, 點擊右側(cè)Tran slation地址：在 SNATAddress 的 TCPidleTimeout 的選項選擇 Specify，輸入 Timeout 的參數(shù)，一般改為3600。而對UDP和IP的IdleTimeout值可以不需要設定，采用缺省值。

41、2.9兩臺BIGIP配置同步BIGIP的配置信息，除了 Network的配置（例如：VLAN，IP等），其他的 配置可以通過ConfigSync同步，步驟如下：進入 System HighAvailability Configsync 頁面：Sy nchron izeTOPeer把本地的配置同步到對方SynchronizeFROMPeer把另外一臺BIGIP的配置同步到本地。成功的配置同 步后的信息如下：2.10備份配置在完成上述配置，并順利完成同步以后，請盡快將配置備份出來。 備份方法如下：進入 System Archives，點擊 Create:配置備份好后，點擊設配置文件并下載到外部電腦上：三、系統(tǒng)運行狀態(tài)檢查及維護3.1 檢查系統(tǒng)日志信息： 選取 LocalTraffic 查看 PoolMember 的狀態(tài)變化信息。 可以點擊 TimeStamp 選擇日志信息排列的時序。3.2 檢查 Node 狀態(tài) 點擊左側(cè)導航條中的 LocalTraffic->Nodes 圖中綠色狀態(tài)表示節(jié)點狀態(tài)正常。3.3 查看流量信息 點擊左側(cè)導航條中的 LocalTraffic->P