F詳細(xì)配置手冊(cè)

1、F5BIG-IP負(fù)載均衡器配置指導(dǎo)書目錄一、 網(wǎng)絡(luò)結(jié)構(gòu)與IP地址規(guī)劃 錯(cuò)誤!未指定書簽二、 配置BIGIP3400負(fù)載均衡設(shè)備 錯(cuò)誤!未指定書簽2.1旁路/直連的選擇 錯(cuò)誤!未指定書簽路由/直連模式的介紹 錯(cuò)誤!未指定書簽旁路模式的介紹 錯(cuò)誤!未指定書簽路由/直連模式同旁路模式的比較錯(cuò)誤!未指定書簽2.2設(shè)置負(fù)載均衡器管理網(wǎng)口地址 . 錯(cuò)誤!未指定書簽2.3登錄BIGIP的WEB管理界面 錯(cuò)誤!未指定書簽2.4激活License 錯(cuò)誤!未指定書簽2.5初始化設(shè)置 錯(cuò)誤!未指定書簽1上的平臺(tái)(Platform)通用屬性設(shè)置錯(cuò)誤!未指定書簽修改系統(tǒng)時(shí)間 錯(cuò)誤!未指定書簽設(shè)置缺省管理權(quán)限策略 錯(cuò)誤!

2、未指定書簽重新啟動(dòng)bigip 錯(cuò)誤!未指定書簽2.6配置網(wǎng)絡(luò)層 錯(cuò)誤!未指定書簽劃分vlan 錯(cuò)誤!未指定書簽定義IP地址 錯(cuò)誤!未指定書簽配置路由 錯(cuò)誤!未指定書簽2.7配置雙機(jī)設(shè)置(HighAvailability) . 錯(cuò)誤！未指定書簽配置RedundantPair的IP地址.錯(cuò)誤！未指定書簽 配置雙機(jī)自動(dòng)切換機(jī)制FailSafe配置錯(cuò)誤!未指定書簽。2.8配置服務(wù)器負(fù)載均衡 錯(cuò)誤!未指定書簽。配置Monitor 錯(cuò)誤!未指定書簽。配置Profile 錯(cuò)誤!未指定書簽。配置負(fù)載均衡Pool 錯(cuò)誤!未指定書簽。創(chuàng)建iRule負(fù)載均衡控制規(guī)則以根據(jù)源地址選擇服務(wù)器 錯(cuò)誤!未指定書簽。建立Vi

3、rtualserver,實(shí)現(xiàn)對(duì)服務(wù)器的負(fù)載均衡 錯(cuò)誤!未指定書簽設(shè)置SNAT. 錯(cuò)誤!未指定書簽。2.9兩臺(tái)BIGIP配置同步 錯(cuò)誤!未指定書簽。2.10備份配置 錯(cuò)誤!未指定書簽。三、系統(tǒng)運(yùn)行狀態(tài)檢查及維護(hù) 錯(cuò)誤!未指定書簽。3.1檢查系統(tǒng)日志信息： 錯(cuò)誤!未指定書簽。3.2檢查Node狀態(tài) 錯(cuò)誤!未指定書簽。3.3查看流量信息 錯(cuò)誤!未指定書簽。3.4查看系統(tǒng)當(dāng)前性能參數(shù) 錯(cuò)誤!未指定書簽。3.5密碼的更改 錯(cuò)誤!未指定書簽。3.6添加“只讀”權(quán)限的管理員帳號(hào). 錯(cuò)誤!未指定書簽。3.7如何查詢?cè)O(shè)備的序列號(hào)：錯(cuò)誤!未指定書簽。3.8如何采集信息提供他人進(jìn)行故障診斷.錯(cuò)誤!未指定書簽。3.8

4、對(duì)某一 VirtualServer 用TCPDUM命令無法抓到包如何處理？ 錯(cuò)誤!未指定書簽、網(wǎng)絡(luò)結(jié)構(gòu)與IP地址規(guī)劃本手冊(cè)以移動(dòng)WAP/彩信網(wǎng)關(guān)為例網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示：整個(gè)數(shù)據(jù)網(wǎng)絡(luò)設(shè)備，采用兩臺(tái)防火墻、兩臺(tái)BIG-IP3400負(fù)載均衡器、及兩臺(tái)交 換機(jī)、網(wǎng)絡(luò)設(shè)備都采用主、備設(shè)備，以實(shí)現(xiàn)設(shè)備、鏈路的冗余備份，以消除單 點(diǎn)故障。這里部署負(fù)載均衡器的目的主要是為了增加服務(wù)器的數(shù)量，以提升系統(tǒng)的處理能力。但對(duì)外仍然是一個(gè)IP地址。相關(guān)的IP地址規(guī)劃如下： 注：以上的IP地址規(guī)劃是測(cè)試環(huán)境的IP地址設(shè)置，需要根據(jù)現(xiàn)網(wǎng)環(huán)境中的IP 地址規(guī)劃進(jìn)行修改。BIG-IP3400-1VIP1對(duì)外的虛擬IP地址S

5、NATIP1SNAT地址（指向 PORTAL）ExternalSharelP同第一層防火墻trust同一 VLANExtervlanselflP同第一層防火墻trust同一 VLANInternalShareIPI同第二層防火墻 Untrust 一 VLANInternalvlanselfip1同第二層防火墻 Untrust 一 VLANBIG-IP3400-2VIP1SNATIP1ExternalvlanShareipExternalvlanselfipInternalShareIPInternalvlanselfip注：建議現(xiàn)場(chǎng)工程師先填寫以下規(guī)范表:序號(hào)項(xiàng)目F5-3400-1 參數(shù)F5-

6、3400-2 參數(shù)建議值備注系統(tǒng)參數(shù)主機(jī)名root用戶密碼defaultdefaultAdmin用戶密碼adminadmi nWeb連接方式HTTPSHTTPS命令行連接方式SSH/co nsoleSSH/c on sole網(wǎng)管服務(wù)器IP系統(tǒng)管理IP系統(tǒng)管理IP地址掩碼網(wǎng)關(guān)端口參數(shù)Ethernet2.1 端口描述 （trunk ）Ethernet2.2 端口描述 （trunk ）Admin帶外管理端口描述trunk模式Trunk配置Tru nk_10Tru nk_30防火墻互聯(lián)vian 號(hào)10vlan描述TO-FW本機(jī)IP地址虛擬IP地址防火墻虛擬IP地址F5 HA配置方式ActiveSta

7、ndbyF5Fail-Safe 模式GatewayFail-SafeGatewayFail-safe 模 式分別由兩臺(tái)F5設(shè)備 監(jiān)測(cè)前端的防火墻地 址，如果出現(xiàn)無法連通 防火墻地址則進(jìn)行切 換。F5Fail-safeActi onFailOver進(jìn)行主備切換服務(wù)器互聯(lián)vlan 號(hào)30vlan描述TO-Server本機(jī)IP地址虛擬IP地址F5 HA配置方式ActiveSta ndbyF5Fail-Safe 模式VLANFail-safeGatewayFail-safe 模式分別由兩臺(tái)F5設(shè)備 監(jiān)測(cè)VLAN流量，發(fā)現(xiàn)VLAN失效時(shí)進(jìn)行切換。F5Fail-safeActi onFailOver進(jìn)行主

8、備切換SNAT地址SNAT后地址路由設(shè)置DefaultGateway（Juniper 防火墻地址）、配置 BIGIP3400 負(fù)載均衡設(shè)備本章將主要描述 BIGIP3400 負(fù)載均衡設(shè)備的配置方法及配置內(nèi)容2.1 旁路 /直連的選擇2.1.1 路由/ 直連模式的介紹網(wǎng)絡(luò)連接的物理結(jié)構(gòu)如下結(jié)構(gòu)：Ip 規(guī)劃說明：圖中 bigip 為負(fù)載均衡交換機(jī)， bigip 上面使用公開的 ip 地址， bigip 下面同負(fù)載均衡的服務(wù)器使用不公開的 ip 地址。但對(duì)外提供服務(wù)則使用公 開的 ip。2.1.2 旁路模式的介紹網(wǎng)絡(luò)連接的物理結(jié)構(gòu)如下結(jié)構(gòu)：Ip 規(guī)劃說明：圖中 bigip 為負(fù)載均衡交換機(jī)， big

9、ip 和負(fù)載均衡的服務(wù)器均使 用公開的 ip 地址。2.1.3 路由/ 直連模式同旁路模式的比較（ 1）流量走向不一樣；路由/直連模式的流量走向如下：如上圖， bigip 同客戶端的流量在 bigip 的上聯(lián)接口， bigip 同服務(wù)器的流量在 下面的接口。旁路模式的流量走向如下：如上圖， bigip 無論同客戶端還是同服務(wù)器的通訊流量均在 bigip 的一個(gè)接口 上。（2）接口流量壓力不一樣見 2.1 圖：路由 /直連情況下， bigip 同客戶端的流量在 bigip 的上聯(lián)接口， bigip 同服務(wù) 器的流量在下聯(lián)的接口，故 bigip 單一接口壓力較小。在旁路模式 ,bigip 無論同客

10、戶端還是同服務(wù)器的通訊流量均在 bigip 的一個(gè)接 口上，故 bigip 單一接口壓力較大。 為解決此問題， 可以在 bigip 和交換機(jī)之間采 用鏈路聚合技術(shù)，即端口捆綁，以避免接口成為網(wǎng)絡(luò)瓶頸。（3）網(wǎng)絡(luò)結(jié)構(gòu)的安全性不一樣路由 /直連情況下，可以不公布服務(wù)器使用的真實(shí) ip 地址，只需要公布提供 負(fù)載均衡的虛擬地址即可， 而在旁路情況下， 則客戶端可以得知服務(wù)器的真實(shí)地址，在此模式下，為保證服務(wù)器的安全性，服務(wù)器的網(wǎng)關(guān)指向bigip，可以使用bigip上的包過濾（防火墻）功能來保護(hù)服務(wù)器。（4）對(duì)后端服務(wù)器的管理方便性不一樣路由/直連情況下，因服務(wù)器的真實(shí)地址可以隱含，故管理起來需要在b

11、igip上啟用地址翻譯（NAT）功能，相對(duì)會(huì)復(fù)雜一些。而旁路模式則不需要地址翻譯 的配置。（5）前者不支持npath模式（見后圖），后者支持npath模式，啟用該模式可見 少F5設(shè)備的壓力見上圖，在旁路模式下，使用npath的流量處理方式，所有服務(wù)器回應(yīng)的流 量可以不通過bigip，這樣可以大大減少流量的壓力。但npath的流量處理方式不能工作路由/直連的模式。（6）在對(duì)原有系統(tǒng)做負(fù)載均衡技術(shù)改造時(shí)，兩種模式的工作復(fù)雜程度不一樣如果對(duì)原有沒有負(fù)載均衡技術(shù)的系統(tǒng)進(jìn)行負(fù)載均衡技術(shù)的改造，那么，在路由/直連情況下，需要修改服務(wù)器的ip地址同時(shí)網(wǎng)絡(luò)結(jié)構(gòu)也要做調(diào)整（將服務(wù)器 調(diào)到bigip后端），同時(shí)相

12、關(guān)聯(lián)的應(yīng)用也要改動(dòng)，需要進(jìn)行嚴(yán)格的測(cè)試才能上線 運(yùn)行；然而，在旁路模式下，僅僅需要改動(dòng)一下服務(wù)器的網(wǎng)關(guān)，原有系統(tǒng)的其它 部分（包括網(wǎng)絡(luò)結(jié)構(gòu)）基本不需要做改動(dòng)，故，前者對(duì)系統(tǒng)改動(dòng)較大，后者則改 動(dòng)較小。對(duì)于電信項(xiàng)目來講，由直連改為旁掛方式主要帶來以下優(yōu)點(diǎn)：1、增加了網(wǎng)絡(luò)的靈活性：由于F5采用旁掛的方式，后端服務(wù)器的網(wǎng)關(guān)指向的為 三層交換機(jī)的地址，而不是F5的地址，在對(duì)網(wǎng)絡(luò)設(shè)備維護(hù)時(shí)可以方便的采用 修改路由的方式使設(shè)備下線，便于維護(hù)管理。同時(shí)，一些特殊的應(yīng)用也可在核心交換機(jī)上米用策略路由的方式指向特定的網(wǎng)絡(luò)設(shè)備。2、 提高了網(wǎng)絡(luò)整體的可靠性：由于旁路方式的存在，如果F5設(shè)備出現(xiàn)問題，可在交換機(jī)上修

13、改路由使用數(shù)據(jù)流繞過 F5，而不會(huì)對(duì)整個(gè)業(yè)務(wù)系統(tǒng)造成影響。3、針對(duì)某些特殊應(yīng)用，提高了速度：采用旁路的方式后，一些特定的的對(duì)速度、 時(shí)延敏感的應(yīng)用數(shù)據(jù)在進(jìn)入和離開時(shí)可以采用不同的路徑，例如：在流入時(shí) 可經(jīng)過F5設(shè)備，對(duì)其進(jìn)行檢查，負(fù)載均衡。而在該數(shù)據(jù)流離開時(shí)，則不經(jīng)過 F5,以提高其速度。2.2設(shè)置負(fù)載均衡器管理網(wǎng)口地址F5BIG-IP3400設(shè)備的面板結(jié)構(gòu)：BIG-IP3400應(yīng)用交換機(jī)具備8個(gè)10/100/1000M自適應(yīng)的網(wǎng)絡(luò)接口及二個(gè)光纖接 口.10/100/1000i nteface- 8個(gè) 10/100/1000 M 自適應(yīng)的網(wǎng)絡(luò)接口Gigabitfiberi nterface2

14、個(gè) 1000M 多模光纖接口Serialco nsolepor個(gè)串口命令行管理端口Failoverport一個(gè)串口冗余狀態(tài)判斷端口。Mgmti nteface個(gè)10/100M管理端口注：互為雙機(jī)的兩臺(tái)BIG-IP必須用隨機(jī)附帶的Failover線相連起來。注：管理網(wǎng)絡(luò)接口的IP地址不能與業(yè)務(wù)網(wǎng)絡(luò)在同一網(wǎng)段，根據(jù)業(yè)務(wù)網(wǎng)絡(luò)的地址 劃分，相應(yīng)的調(diào)整管理網(wǎng)絡(luò)接口的網(wǎng)絡(luò)地址。如果，在 SMS中負(fù)載均衡口的 externalvlan和internalvlan已經(jīng)采用了到另外一個(gè)網(wǎng)段。通過LCD按鍵修改管理網(wǎng)口 IP地址的方法如下：1、按紅色X按鍵進(jìn)入Options選項(xiàng)；2、在液晶面板上通過按鍵按以下順序設(shè)

15、置管理網(wǎng)口的網(wǎng)絡(luò)地址：Optio ns->System->IPAddress/Netmask->Commit如果通過LCD按鍵修改完IP地址以后，選擇Commit，地址無法成功改變(例如 出現(xiàn)IP地址為全零的情況)，很有可能是管理口 IP地址與系統(tǒng)內(nèi)已經(jīng)配置發(fā)生沖 突。出現(xiàn)這種情況，關(guān)機(jī)重啟以后，另選一個(gè)IP網(wǎng)段來設(shè)置管理網(wǎng)口地址。警告：在設(shè)置好網(wǎng)絡(luò)管理口地址以后，通過網(wǎng)絡(luò)登陸到BIG-IP上進(jìn)行其它配置更改時(shí)，都要保證網(wǎng)絡(luò)管理口的網(wǎng)絡(luò)連接完好。否則有時(shí)會(huì)出現(xiàn)修改的配置無 法被成功加載應(yīng)用的情況，因?yàn)榫W(wǎng)絡(luò)管理口為Down的情況會(huì)妨礙配置文件的加 載。2.3登錄BIGIP的WE

16、B管理界面管理BIGIP有兩種方式，一種是基于 WEB的https管理方式，另一種是基于ssh 的命令行管理方式。除特別配置外，采用 WEB的管理方式即可。WEB登錄方式如下：1. 在管理員的IE地址欄內(nèi)輸入BIGIP設(shè)備的IP地址，2. 回車后出現(xiàn)系統(tǒng)警告信息點(diǎn)擊Yes3. 然后系統(tǒng)提示輸入基于 WEB配置的用戶名和密碼。目前的admin帳號(hào)的密碼為admin2.4 激活 License在配置BIG-IP之前，先要激活License。從 System->License->Re-activate進(jìn)入 License 激活界面：進(jìn)入，將產(chǎn)生的Dossier復(fù)制進(jìn)以下頁(yè)面，產(chǎn)生Lice

17、nse文件：4. 輸入正確后即可進(jìn)入BIGIP的WEB管理界面2.5初始化設(shè)置2.5.1BIG-IP1 上的平臺(tái)(Platform) 通用屬性設(shè)置進(jìn)入 System Platform注：警告：BIG-IP雙機(jī)系統(tǒng)的主機(jī)名必須不一樣，否則配置同步會(huì)產(chǎn)生錯(cuò)誤，可能 導(dǎo)致破壞license。例如負(fù)載均衡器BIG-IP1的主機(jī)名為ISMG-LB01-F5，BIG-IP2的主機(jī)名為 ISMG-LB02-F5。Root為命令行帳號(hào)，admi n為WEB管理的帳號(hào)。注：root密碼允許用戶通過命令行訪問BIG-IP系統(tǒng)。建議root密碼長(zhǎng)度大于6位，但不要超過32位字節(jié)。密碼與大小寫敏感，建議密碼中包含大寫

18、/小寫字母和數(shù)字。如果BIG-IP系統(tǒng)為冗余系統(tǒng)，兩臺(tái)主備機(jī)的root密碼必須保持一致。 注：如修改密碼，請(qǐng)確認(rèn)正確敲擊鍵盤上的鍵。（有人敲錯(cuò)了鍵盤上的鍵，而導(dǎo)致無法找到新設(shè)置的密碼是什么。）BIG-IP2上的平臺(tái)通用屬性設(shè)置：修改系統(tǒng)時(shí)間1. 用PUTTY或SecureShellClient 等SSH客戶端連接 BIG-IP的管理網(wǎng)口地址， 進(jìn)入命令 行模式。注：SecureShellClie nt 可以用以下鏈接下載：。2. 執(zhí)行date檢查系統(tǒng)時(shí)鐘。rootZJHZ-PS-MMS3-SW02:Activeco nfig#dateThuMay2516:59:15CST20063. 命令格式

19、#date< mon th><day><hour>< min ute><year>.<sec ond>#dateMMDDHHMMYYYY.SS如設(shè)置 2009年1月1日中午12: 00 : 00#date4. 保存時(shí)間到 BIOS# hwclock -systohc設(shè)置缺省管理權(quán)限策略在命令行運(yùn)行bbaselist命令，檢查初始化設(shè)置。如果bbaselist的輸出已經(jīng)有selfallowdefaulttcpsshtcphttpsudpefstcps nmpprotoospfudpdoma inu dps nm ptcp43

20、53tc pdoma in udp4353一行，則進(jìn)入到244。如果在bbaselist的輸出中發(fā)現(xiàn)有selfallowdefaultnone行，則運(yùn)行以下兩條命 令：bselfallowdefaulttcpsshtcphttpsudpefstcps nmpprotoospfudpdoma inu dps nmptcp4353 tcpdomai nu dp4353bbasesave所后用命令 more/config/bigip_base.conf查看 bigip_base.conf文件確認(rèn) selfallowdefaulttcpsshtcphttpsudpefstcps nmpprotoosp

21、fudpdoma inu dps nm ptcp4353tc pdomai nudp4353已經(jīng)保存到文件中。重新啟動(dòng)bigip#reboot2.6配置網(wǎng)絡(luò)層按照拓?fù)浣Y(jié)構(gòu)，對(duì)F5BIGIP的網(wǎng)絡(luò)層進(jìn)行配置，劃分vlan,定義IP地址及路由2.6.1 戈ij分 vlan點(diǎn)擊左側(cè)的導(dǎo)航條，進(jìn)入 Network VLANS，在右側(cè)可以對(duì)vlan進(jìn)行配置。創(chuàng) 建方法如下：點(diǎn)擊 create:Name:設(shè)置這個(gè)vian的名字vlan中。指定端口Tag:為相應(yīng) VLAN 的 VLANIDIn terface:定義Available中顯示的端口有選擇性的劃分到這個(gè)后，單擊*選入 點(diǎn)擊亠二完成Un tagge

22、d欄即可。VLAN :根據(jù)SMS的網(wǎng)絡(luò)規(guī)劃，負(fù)載均衡器上一共要定義了以下幾個(gè) 注：external,nternal為業(yè)務(wù)流量 VLAN。VLANID 應(yīng)與網(wǎng)絡(luò)規(guī)劃中的 VLAN注：netfailoverVLAN的1.4端口為雙機(jī)網(wǎng)絡(luò)心跳接口，網(wǎng)絡(luò)心跳信號(hào)及雙機(jī)配置 同步信息都是通過這一網(wǎng)線傳輸，因此要用網(wǎng)線將雙機(jī)的1.4 口對(duì)連起來。VLANID4094為BIG-IP自動(dòng)生成的。（也可以指定）。注：將1.7和1.8端口加入到externalVLAN和internalVLAN主要是為了有時(shí)候 可以將筆記本接在相應(yīng) VLAN進(jìn)行測(cè)試，而不受BIG-IP與交換機(jī)之間網(wǎng)絡(luò)連接 的影響。定義IP地址在劃

23、分完Vlan后，即可對(duì)每個(gè)vlan進(jìn)行IP地址的定義。方法如下: 點(diǎn)擊左側(cè)導(dǎo)航條中的 Networks>selfIps在右側(cè)可以對(duì)Ip地址進(jìn)行配置。創(chuàng)建方法如下：點(diǎn)擊 Create:IPaddress輸入IP地址Netmask輸入子網(wǎng)掩碼Vian :選擇將這個(gè)IP地址綁定在哪個(gè)vlan上。選擇下拉菜單將顯示所有已設(shè)置 的vlan名。PortLockdown:保持默認(rèn)值 AllowDefault。FloatinglP:如果系統(tǒng)為冗余工作方式，需對(duì)每臺(tái)設(shè)備的每個(gè) vlan均設(shè)置兩個(gè)IP 地址。其中一個(gè)是selfIP，另一個(gè)則為float in gIP,即兩臺(tái)設(shè)備共用的IP地址。選中 此項(xiàng)即代

24、表這個(gè)IP地址為Float in gIP。按照網(wǎng)絡(luò)的規(guī)劃，IP地址定義如下：SMS BIG-IP3400應(yīng)用交換機(jī)VLAN與 IP地址規(guī)劃(BIG-IP3400-1)NameISMG-LB01.F5VLANNameVLANIDSelflPFloatinglPExternal20Internal10Netfailover4094mgmt(BIG-IP3400-2)NameISMG-LB02.F5VLANNameVLANIDSelflPFloatinglPExternal20Internal10Netfailover4094mgmt其中，MGMT是BIG-IP的管理網(wǎng)口 ip地址BIGIP1的SE

25、LF IP配置如下：注：以下拷屏只是展示如何通過 WEB界面進(jìn)行相應(yīng)的配置，其中的IP地址不 一定正確，請(qǐng)根據(jù)實(shí)際情況的IP地址劃分進(jìn)行配置。其中Un itID 不為零的為 Float in gIP.Float in gIP設(shè)置要打上勾。BIGIP2的SELF IP配置如下：BIG - IP2上不需要配置 FloatinglP ，因?yàn)镕loatinglP 可以從BIG-IP1上同步過來。配置路由點(diǎn)擊左側(cè)導(dǎo)航條中的Networks>Routes Add對(duì)路由進(jìn)行配置Type:定義配置的是默認(rèn)網(wǎng)關(guān)還是靜態(tài)路由。Dest in atio n:定義目標(biāo)網(wǎng)段Netmask定義目標(biāo)網(wǎng)段的掩碼Reso

26、urce定義網(wǎng)關(guān)地址。點(diǎn)擊Finished完成按照用戶的需求，缺省路由是第一層防火墻Trust 口的雙機(jī)共享地址 10.103254另外，還需要增加一個(gè)靜態(tài)路由，即到機(jī)房二的數(shù)據(jù)包的下一跳指向機(jī)房一中第 二層防火墻的Un trust區(qū)雙機(jī)共享地址。2.7 配置雙機(jī)設(shè)置(HighAvailability)HighAvailability就是雙機(jī)冗余（Cluster）,要求兩臺(tái)BIGIP的版本相同。配 置方法如下：2.7.1 配置 RedundantPair 的 IP 地址首先，確認(rèn)BIG IP已經(jīng)轉(zhuǎn)換為雙機(jī)模式。在WEB頁(yè)面的左側(cè)導(dǎo)航條選擇SYSTEM Platform把 HithAvailab

27、ility 設(shè)置中應(yīng)選擇為 RedundantPair模式。 其中 BIG-IP1 的 UnitID 為 1, BIG-IP2 的 UnitID 為 2。 然后，在 WEB頁(yè)面的左側(cè)導(dǎo)航條選擇 SYSTEM HithAvailability : BIG-IP1的設(shè)置如下：BIG-IP2的設(shè)置如下PrimaryFailoverAddress輸入兩臺(tái) BIGIP 的 NetfailoverVLANSelflP 地址: BIG-IP1 的 SelfPeerBIG-IP1 的 SelfPeerSecondaryFailoverAddress輸入兩臺(tái) BIGIP 的 InternalVLANSelfIP

28、 地址。BIG-IP1 的 SelfIP 為 ,PeerlP為 ;BIG-IP1 的 SelfIP 為 ,PeerlP為 ;RedundancyMode選擇 Active/Standby 模式并 EnableNetworkFailover 選項(xiàng)。其他參數(shù)保持默認(rèn)值。配置雙機(jī)自動(dòng)切換機(jī)制 FailSafe配置Failsafe設(shè)置在滿足某些條件的時(shí)候，觸發(fā) BIGIP發(fā)生切換。根據(jù)彩鈴5期的要 求，配置了 VLANs的FailSafe配置，當(dāng)處于 Active狀態(tài)的BIGIP的internal和 ext

29、ernal兩個(gè)VALN在設(shè)定的時(shí)間內(nèi)沒有任何流量，自動(dòng)切換到備機(jī)。警告：在沒有完成ExternalVLAN和InternalVLAN的網(wǎng)絡(luò)接線之前，不要啟用自 動(dòng)切換機(jī)制。對(duì)ExternalVLAN和InternalVLAN啟用基于VLAN監(jiān)控的自動(dòng)切換機(jī)制，步驟 如下：在 WEB頁(yè)面的左面導(dǎo)航界面選擇：SYSTEM HighAvailability Fail-safe 點(diǎn)擊“ Add ”按鈕VLAN :選擇監(jiān)控的VLANTimeout:默認(rèn)值是90秒，一般改為30秒其中Action選用FailOver方式，而不是缺省的 Reboot方式。設(shè)置完后，結(jié)果如下：2.8配置服務(wù)器負(fù)載均衡注：服務(wù)器

30、負(fù)載均衡器的設(shè)置只需要在一臺(tái)BIG-IP1上進(jìn)行設(shè)置，設(shè)置好以后,可以通過雙機(jī)配置同步的方式將配置更新到BIG-IP2上。在設(shè)置好基礎(chǔ)網(wǎng)絡(luò)，即可對(duì)實(shí)現(xiàn)服務(wù)器負(fù)載均衡進(jìn)行配置。主要涉及以下幾個(gè)方 面：Monitor（不一定需要設(shè)，有時(shí)候可以采用系統(tǒng)自帶Monitor）Mon itor跟蹤Pool成員的當(dāng)前狀態(tài)或者性能Profile（不一定需要設(shè)，有時(shí)候可以采用系統(tǒng)自帶Profile）Profile包含定義VirtualServer 行為的設(shè)置。負(fù)載均衡Pool負(fù)載均衡Pool包含可以將請(qǐng)求發(fā)送到其中進(jìn)行處理的服務(wù)器。iRules負(fù)載均衡控制規(guī)則。VirtualServerVirtualServe

31、r接收客戶端的訪問請(qǐng)求，然后將請(qǐng)求分發(fā)給被負(fù)載均衡的服務(wù)器 上。SNAT在負(fù)載均衡器內(nèi)部的服務(wù)器主動(dòng)向外發(fā)起訪問時(shí)，在負(fù)載均衡器上所做的地址映射。訪問時(shí)2.8.1 配置 MonitorMonitor可以實(shí)現(xiàn)對(duì)服務(wù)器實(shí)施健康檢查。以確定服務(wù)器是否可以對(duì)外提供 服務(wù)。注：目前并不存在著故障服務(wù)器進(jìn)行切換的需求， 只是需要根據(jù)客戶端源地址來 選擇服務(wù)器，因此并不需要對(duì)服務(wù)器進(jìn)行監(jiān)控。 以下只是用于說明服務(wù)器狀態(tài)檢 查的配置方式。可以直接進(jìn)入到下一步驟。如果需要對(duì)檢查方法的屬性進(jìn)行定制， 以下以定制TCP端口檢查為例，方法 如下：點(diǎn)擊左側(cè)導(dǎo)航條中的 LocalTraffic Monitor Creat

32、e 在 GeneralProperties 中選擇TCP在GeneralProperties中輸入你要建立的健康檢查方式的名字，可以按需要設(shè)置好Interval 和 Timeout 的時(shí)間。最后點(diǎn)擊 Finished。2.8.2 配置 ProfileProfile定義的 VirtualServer的屬性集合。需要對(duì)VirtualServer上的連接閑置時(shí)間進(jìn)行設(shè)置，因此需要?jiǎng)?chuàng)建一個(gè)ismg_fastl4的profile，方法如下：由 LocalTrafficManageProfile FastL4Profile，選擇創(chuàng)建配置負(fù)載均衡Pool負(fù)載均衡Pool是您組合起來接收和處理流量的一組設(shè)備，

33、如Web服務(wù)器。BIGIP系統(tǒng)將客戶機(jī)發(fā)往VirtualServer的請(qǐng)求發(fā)送到Pool成員中的任一服務(wù)器上。當(dāng)創(chuàng)建負(fù)載均衡Pool時(shí)，將服務(wù)器（稱作Pool成員）分配到pool中，然后將pool 與BIGIP系統(tǒng)中的VirtualServer 相關(guān)聯(lián)。然后，BIPIP系統(tǒng)將進(jìn)入VirtualServer 中的流量傳輸?shù)絇ool成員。單個(gè)服務(wù)器可隸屬于一個(gè)或多個(gè)pool，這取決于您希望如何管理您的網(wǎng)絡(luò)流量。 創(chuàng)建pool的方法如下：點(diǎn)擊左側(cè)導(dǎo)航條中的 LocalTraffic VirtualServers pools Create:輸入pool的名字，并指定該 pool中的member成員的I

34、P地址及serviceport,并 指定對(duì)Pool成員的健康檢查方法，然后點(diǎn)擊即可。接照SMS的情況，定義pool及相應(yīng)的member成員如下：poolPOOL_ISMGmember:0member:0注：服務(wù)器還有其它一些沒有列在上面的 pool，可以根據(jù)實(shí)際環(huán)境的需要進(jìn)行添加。創(chuàng)建iRule負(fù)載均衡控制規(guī)則以根據(jù)源地址選擇服務(wù)器先要?jiǎng)?chuàng)建兩個(gè)DataGroup,將SP的源地址分別放在這兩個(gè) DataGroup中，以進(jìn) 行源地址匹配來選擇ISMG服務(wù)器。創(chuàng)建DataGroup的方法如下：在 LocalTraffic iRule DataGroup

35、 中選擇 Create:將源地址加入。然后定義DataGroup與服務(wù)器的對(duì)應(yīng)關(guān)系：在 LocalTraffic iRule 中選擇 Create創(chuàng)建一個(gè) select_ismg的 iRule: whe nCLIENT_ACCEPTEDifmatchclassIP:clie nt_addrequals$:sp1_class nodeelseifmatchclassIP:clie nt_addrequals$:sp2_classelsedrop上述規(guī)則的含義是如果源地址在定義的sp1_class的dataGroup中，則拒絕訪問。建立Virtualserver,實(shí)現(xiàn)對(duì)服務(wù)器的負(fù)載均衡Virtua

36、lServer是BIG-IP?本地流量管理（LTM ）配置中最重要的組件。BIG-IP 收到到VirtualServer的客戶請(qǐng)求后，以地址轉(zhuǎn)換的方式，將客戶端的請(qǐng)求發(fā)送到VirtualServer相應(yīng)Pool中的某個(gè)成員服務(wù)器上。VirtualServer可提高用于處理客戶 機(jī)請(qǐng)求的資源的可用性。創(chuàng)建VirtualServer的方法如下：點(diǎn)擊左側(cè)導(dǎo)航條中的 LocalTraffic VirtualServers Create:在GeneralProperties部分，需指定該 Virtualserver的名稱，IP地址及服務(wù)端口。 在Con figuration部分，用戶需跟據(jù)該Virtua

37、lserver的類型，選擇相應(yīng)的配置參數(shù)。 注：對(duì)于http流量或ftp流量，用戶必需選擇 Httpprofile或Ftpprofile，否則這兩 種virtualserver將不能正常訪問。對(duì)于服務(wù)器負(fù)載均衡，需要?jiǎng)?chuàng)建一個(gè)vip_ismg的虛擬務(wù)器，將會(huì)采用PerformanceLayer4的類型，并選擇上面創(chuàng)建的 ismg_fastl4profiel:而協(xié)議（Protocol）則要根據(jù)虛擬服務(wù)器的類型選擇是AllProtocols。在 VirtualServer 的 Resources定義部分，DefaultPool 選擇 VirtualServer 所對(duì)應(yīng)的 ServerPool,及 i

38、Rule:注：Status為綠色，表示該VirtualServer對(duì)應(yīng)的Pool中至少有一臺(tái)服務(wù)器可用， 紅色表示沒有一臺(tái)服務(wù)器可用，藍(lán)色表示服務(wù)器的狀態(tài)未知（可能沒有對(duì)Pool設(shè)置健康檢查方法，或正在對(duì)服務(wù)器狀態(tài)進(jìn)行檢查。）其中的VirtualServer根據(jù)實(shí)際情況進(jìn)行添加。2.8.5 設(shè)置 SNATSNAT是一個(gè)將原始IP地址（也就是源IP地址）映射到您所選擇的轉(zhuǎn)換地址的對(duì) 象。因此，SNAT會(huì)讓LTM系統(tǒng)將入站數(shù)據(jù)包的源IP地址轉(zhuǎn)換為您指定的地址。SNAT 的目的非常簡(jiǎn)單，即:確保負(fù)載均衡器內(nèi)網(wǎng)的服務(wù)器主動(dòng)向負(fù)載均衡器外部的網(wǎng) 絡(luò)進(jìn)行訪問時(shí)，地址會(huì)轉(zhuǎn)換為外網(wǎng)可路由的地址。創(chuàng)建方法如下：

39、先修改系統(tǒng)的 GeneralProperties-LocalTraffic:將 SNAPacketForwarding設(shè)置由 TCPandUDPOnly 改為 AllTraffic，使 SNAT 不僅支持TCP與UDP包的地址轉(zhuǎn)換，不可以支持 ICMP的地址轉(zhuǎn)換。注：如果不改為AllTraffic，將無法由InternalVLANPing通外網(wǎng)地址。點(diǎn)擊左側(cè)導(dǎo)航條中的LocalTraffic SNATs Create:為該SNAT設(shè)置一個(gè)名稱，并在Tran slation中輸入轉(zhuǎn)換后的IP地址，點(diǎn)擊Origin 的下拉菜單，選擇IPaddresslist在address中輸入IP地址點(diǎn)擊ADD

40、進(jìn)行添加。輸入完畢后，點(diǎn)擊Finished即可。 要將服務(wù)器的地址都轉(zhuǎn)成Virtualserver的地址，因此一個(gè)設(shè)置好的SNAT的屬性 如下：這個(gè)設(shè)置將對(duì)所有主動(dòng)由服務(wù)器發(fā)往 SP的數(shù)據(jù)包進(jìn)行地址轉(zhuǎn)換，轉(zhuǎn)換成 0 8。此外，還要選取Tran slation修改SNAT地址的IdleTimeOut值。例如對(duì)0 8, 點(diǎn)擊右側(cè)Tran slation地址：在 SNATAddress 的 TCPidleTimeout 的選項(xiàng)選擇 Specify，輸入 Timeout 的參數(shù)，一般改為3600。而對(duì)UDP和IP的IdleTimeout值可以不需要設(shè)定，采用缺省值。

41、2.9兩臺(tái)BIGIP配置同步BIGIP的配置信息，除了 Network的配置（例如：VLAN，IP等），其他的 配置可以通過ConfigSync同步，步驟如下：進(jìn)入 System HighAvailability Configsync 頁(yè)面：Sy nchron izeTOPeer把本地的配置同步到對(duì)方SynchronizeFROMPeer把另外一臺(tái)BIGIP的配置同步到本地。成功的配置同 步后的信息如下：2.10備份配置在完成上述配置，并順利完成同步以后，請(qǐng)盡快將配置備份出來。 備份方法如下：進(jìn)入 System Archives，點(diǎn)擊 Create:配置備份好后，點(diǎn)擊設(shè)配置文件并下載到外部電腦上：三、系統(tǒng)運(yùn)行狀態(tài)檢查及維護(hù)3.1 檢查系統(tǒng)日志信息： 選取 LocalTraffic 查看 PoolMember 的狀態(tài)變化信息。 可以點(diǎn)擊 TimeStamp 選擇日志信息排列的時(shí)序。3.2 檢查 Node 狀態(tài) 點(diǎn)擊左側(cè)導(dǎo)航條中的 LocalTraffic->Nodes 圖中綠色狀態(tài)表示節(jié)點(diǎn)狀態(tài)正常。3.3 查看流量信息 點(diǎn)擊左側(cè)導(dǎo)航條中的 LocalTraffic->P