F5 BIG-IP LTM 負載均衡器配置指導書(v10)

1、F5 BIG-IP LTM負載均衡器配置指導書F5 BIG-IP LTM負載均衡器配置指導書（v10)2022-03-06修訂記錄日期修訂版本描述作者2011-08-151.00初稿完成鄒善F5 BIG-IP LTM負載均衡器配置指導書目 錄第1章 F5 BIG-IP LTM簡介11.1 負載均衡技術簡介11.2 F5 BIG-IP LTM產品介紹11.3 產品面板簡介31.4 配置方式51.5 基本概念6第2章 BIG-IP LTM規(guī)劃與配置準備工作82.1 BIG-IP LTM配置步驟82.2 組網規(guī)劃92.2.1 規(guī)劃準備要點92.2.2 組網圖9第3章 基本配置113.1 通過LCD面

2、板設置BIG-IP管理網口地址123.2 通過管理網口登錄BIG-IP WebUI界面133.3 激活License143.4 設置Platform173.5 修改系統(tǒng)時鐘193.6 配置網絡203.6.1 劃分VLAN203.6.2 配置VLAN IP地址223.6.3 設置接口速率和雙工類型243.6.4 配置靜態(tài)路由243.6.5 配置Link Aggregation（可選）26第4章 負載均衡業(yè)務配置274.1 節(jié)點配置274.2 配置負載均衡池284.3 配置虛擬服務器304.3.1 創(chuàng)建虛擬服務器304.3.2 將虛擬服務器和負載均衡器相關聯(lián)和會話保持配置334.4 配置健康檢查3

3、44.4.1 自定義節(jié)點狀態(tài)監(jiān)控354.4.2 監(jiān)控與節(jié)點/負載均衡池相關聯(lián)374.4.3 檢查系統(tǒng)狀態(tài)394.5 配置SNAT394.5.1 配置步驟394.5.2 驗證SNAT配置42第5章 雙機配置435.1 雙機設置435.2 雙機狀態(tài)監(jiān)控設置465.3 雙機狀態(tài)檢查和配置同步48第6章 其他的組網方式496.1 單臂組網方式496.2 n-path組網方式50關鍵詞：負載均衡池、虛擬服務器，節(jié)點、會話保持、監(jiān)控、ECV、EAV、SNAT摘 要：按照常見的配置步驟，本文對F5 BIG-IP LTM負載均衡器設備配置進行說明，并對負載均衡器的基本概念和F5設備使用過程中遇到的常見問題進行

4、解答。本指導書適用于BIG-IP LTM 1600/3600負載均衡器(BIG-IP version 10)?？s略語清單：ECVExtended Content Verification l可擴展的內容驗證EAV Extended Application Verification可擴展的應用驗證SNATSecure Network Address Translation安全網絡地址轉換LTMLocal Traffic Manager本地流量管理器LACPLink Aggregation Control Protocol鏈路匯聚控制協(xié)議參考資料清單：F5 BIG-IP LTM負載均衡器配置指導書

5、，林浩泓 華為技術有限公司HUAWEI AAA RADIUS負載均衡配置指南-F5 BIG-IP，華為技術有限公司Platform Guide: 1600 , F5 Networks, 2011Platform Guide: 3600 , F5 Networks, 2011Configuration_Guide_for_BIG-IP_Global_Traffic_Manager(v10.2), F5 Networks, 2011TMOS_Management_Guide_for_BIG-IP_Systems, F5 Networks, 2011BIG-IP Local Traffic Mana

6、ger Implementations, F5 Networks, 2011第1章 F5 BIG-IP LTM簡介1.1 負載均衡技術簡介在只部署了一臺服務器的情況下，隨著訪問量的增加，一臺服務器不能滿足應用的需要，而需要增加更多的服務器。當部署了兩臺以上的服務器時，就可能會需要用到負載均衡器。服務器負載均衡器是指設置在一組功能相同或相似的服務器前端，對到達服務器組的流量進行合理分發(fā)；并在其中某一臺服務器故障時，能將訪問請求轉移到其它可以正常工作的服務器的軟件或網絡設備。通過服務器負均衡器，對流量進行合理分配，可以帶來以下好處：l 提高性能負載均衡器可以實現服務器之間的負載平衡，從而提高了系統(tǒng)

7、的反應速度與總體性能。l 提高可靠性負載均衡器可以對服務器的運行狀況進行監(jiān)控，及時發(fā)現運行異常的服務器，并將訪問請求轉移到其它可以正常工作的服務器上，從而提高服務器組的可靠性。l 提高可維護性采用了負均衡器器以后，可以根據業(yè)務量的發(fā)展情況靈活增加服務器，系統(tǒng)的擴展能力得到提高，同時簡化了管理。1.2 F5 BIG-IP LTM產品介紹隨著F5 BIG-IP 1500/3400/6400/6800/8400/8800負載均衡器停產，目前F5公司負載均衡器(亦稱為本地流量管理器)有BIG-IP LTM 1600/3600/3900/6900/8900/8950/11050/Viprion2400/

8、Viprion4400等型號。表1-1 F5 BIG-IP LTM負載均衡產品規(guī)格6900系列中級多用途流量管理處理器：2 x dualcore基本內存：8GB千兆位CU端口：16個千兆位光纖端口(SFP - GBIC Mini)：8個（4個標準、4個可選）包括：SSL TPS/Max TPS/Bulk 加速模塊：（500/25,000/4Gbps）流量吞吐量：6Gbps/秒3900系列普通多用途流量管理處理器：1 x quadcore基本內存：8GB千兆位CU端口：8個千兆位光纖端口(SFP - GBIC Mini)： 4個（可選）包括：SSL TPS/Max TPS/Bulk加速模塊：（5

9、00/15,000/2.4Gbps）流量吞吐量：4Gbps3600系列普通多用途流量管理處理器：1 x dualcore基本內存：4GB千兆位CU端口：8個千兆位光纖端口(SFP - GBIC Mini)： 2個可選包括：SSL TPS/Max TPS/Bulk 加速模塊：（500/10,000/2Gbps）流量吞吐量：2Gbps1600系列普通多用途流量管理處理器：1 x dualcore基本內存：4GB千兆位CU端口：4個千兆位光纖端口(SFP - GBIC Mini)：2個可選包括：SSL TPS/Max TPS/Bulk加速模塊：（500/5,000/1Gbps）流量吞吐量：1Gbps

10、Viprion4400系列超級多用途流量管理滿配置（4 x B4200)處理器：8 x quadcore基本內存：64GB千兆位CU端口：16個千千兆萬兆位自適應SFP/SFP+端口：32個(8個標準，24個可選）包括：SSL TPS/Max TPS/Bulk 加速模塊：（16,000/200,000/36Gbps）流量吞吐量：72Gbps-L4 72Gbps-L7Viprion 2400 系列超級多用途流量管理滿配置（4 x B2100)處理器：4 x quadcore基本內存：64GBePVA Layer 4加速芯片千兆萬兆位自適應SFP/SFP+端口：32個(8個標準，24個可選）包括：

11、SSL TPS/Max TPS/Bulk 加速模塊：（8000/200,000/16Gbps）流量吞吐量：160Gbps-L4 72Gbps-L711050系列高級多用途流量管理處理器：2 x hexcore基本內存：32GB千兆萬兆位自適應SFP/SFP+端口：10個(2個標準，8個可選）包括：SSL TPS/Max TPS/Bulk加速模塊：（500/100,000/15Gbps）流量吞吐量：42Gbps8900/8950系列中高級多用途流量管理處理器：2 x quadcore基本內存：16GB千兆位CU端口：16個千兆位光纖端口(SFP - GBIC Mini)：8個（4個標準、4個可選

12、）包括：SSL TPS/Max TPS/Bulk 加速模塊：8900-（500/58,000/9.6 Gbp） 8950-（500/56,000/9.6 Gbps）流量吞吐量：8900-12Gbps8950-20Gbps1.3 產品面板簡介F5 Networks, Inc.是一家專注于IP網絡流量和內容管理(iTCM）領域的廠商。F5公司的BIG-IP系統(tǒng)可以作為網絡中的負載均衡設備。F5 BIG-IP 1600設備的前面板視圖如下圖所示。BIG-IP 1600前面板視圖BIG-IP 3600前面板視圖(1) Management Port 管理接口(2) USB接口(3) Console P

13、ort 串口(4) Failover Port，硬件Failover接口(5) 10/100/1000 interface(6) SFP Port(7) LED狀態(tài)燈(8) LCD顯示屏(9) LCD控制按鍵BIG-IP 1600應用交換機具備4個10/100/1000M自適應的網絡接口及2個光纖接口。BIG-IP 3600應用交換機具備8個10/100/1000M自適應的網絡接口及4個光纖接口。l 10/100/1000 interface 10/100/1000 M 自適應的網絡接口。l SFP 1000M SFP接口，可插1000M多模/單模/電接口SFP模塊。l Serial cons

14、ole port 一個串口命令行管理端口。PC終端可以通過串口線連接此端口，配置BIG-IP。l Failover port 一個串口冗余狀態(tài)判斷端口。在主備冗余方式下通過隨機附帶的Failover線連接此端口。l Mgmt interface一個10/100M管理網口。配置管理網口IP地址之后，可以通過網線連接此網口，配置BIG-IP。BIG-IP 1600/3600后面板視圖(1) 把手(2) 電源模塊(3) 未插電源模塊的擋板1600/3600都可以支持交流和直流電，直接通過更換交、直流的電源模塊即可。同時1600/3600都支持雙電源。1.4 配置方式F5 BIG-IP 提供兩種配置方

15、式：l WEB方式通過HTTPS訪問BIG-IP系統(tǒng)Web主頁面進行配置。如：45l 命令行方式 SSH通過SSH遠程登錄進行配置。 Console通過串口線連接Console口進行配置，計算機的超級終端的設置如下：每秒位數選擇“19200”。數據流控制選擇“無”。其他參數保留缺省值。由于WEB配置方式一般配置比較直接，所以在一般的配置過程中，建議通過WEB的方式完成配置，命令行的配置方式，一般在查錯時使用。1.5 基本概念l 節(jié)點（Node）節(jié)點是處理負載均衡器發(fā)送流量的設備，通常是業(yè)務服務器。當服務器加入負載均衡池成為池成員時，服務器就稱為節(jié)點，Node

16、是指服務器的IP地址，如10。l 負載均衡成員(Pool Member)負載均衡成員是處理負載均衡器發(fā)送的測試設備和端口，Pool Member是指服務器的IP地址+端口號，如10:80。l 負載均衡池（Pool）一組Pool member組成一個Pool，池與特定虛擬服務器相關聯(lián)，流向虛擬服務器的流量通常會轉給相關聯(lián)的負載均衡池中的成員節(jié)點。如Pool_web中有兩個成員10:80和20:80l 虛擬服務器（Virtual Server）虛擬服務器對應一個虛擬地址+端口號，是一個可見的、可

17、路由的實體。客戶端請求某個虛擬服務器，即請求某種類型的服務。建立虛擬服務器與負載均衡池之間的關聯(lián)后，來自某個虛擬服務器的請求會被轉發(fā)給與之關聯(lián)的負載均衡池中的節(jié)點，由這個節(jié)點響應客戶端的請求。如0:80是一個Virtual serverl 負載均衡(load balance method)負載均衡即是Virtual server收到客戶端的請求后，采用什么方式把請求分發(fā)到后臺的pool member中去。負載均衡方法是在pool中配置，負載均衡方法包括Round Robin,Ratio,Fastest,Least Connections,Least Sessions等

18、負載均衡方法。l 會話保持(Persistence)會話保持就是指負載均衡器可以確保同一客戶端一系列相關聯(lián)的訪問請求會被分配到同一個節(jié)點上。會話保持方法在Virtual server中配置，會話保持方法包括：Source address,Cookie,Destination address,Hash,SIP,SSL等會話保持方法。l 健康檢查（Monitor）健康檢查用于檢驗負載均衡池中成員節(jié)點健康狀態(tài)。當池中成員節(jié)點服務中斷時，BIG-IP設備將會把流量重定向到其它成員工點。健康檢查方法包括ping成員的IP地址、檢查成員的端口是否啟用、模擬客戶端發(fā)真正的業(yè)務請求等。第2章 BIG-IP L

19、TM規(guī)劃與配置準備工作2.1 BIG-IP LTM配置步驟在對F5 BIG-IP進行配置之前，首先要做好規(guī)劃工作。BIG-IP LTM主要配置步驟如下：1) 組網規(guī)劃 在組網規(guī)劃中，包含主機名、IP地址/VLAN、路由、虛擬服務器、地址池、負載均衡算法、會話保持方式、雙機等內容進行規(guī)劃，并繪制出組網拓撲圖。2) 初始化配置 通常使用WEB完成初始化配置，包括激活License、平臺配置和網絡配置。3) 配置網絡VLAN和IP地址4) 更改系統(tǒng)時鐘（可選）5) 配置負載均衡池6) 配置節(jié)點狀態(tài)監(jiān)控7) 配置虛擬服務器8) 配置SNAT/NAT9) 配置雙機& 說明： (1) 本配置步驟為

20、常見配置順序。本文沒有包括過濾和SSL Proxy等配置。(2) 主用BIG-IP系統(tǒng)要完成以上所有配置步驟，備用BIG-IP系統(tǒng)可以跳過5-8步，而通過主用BIG-IP系統(tǒng)將配置同步到備用BIG-IP系統(tǒng)中去。2.2 組網規(guī)劃本節(jié)主要根據典型F5 BIG-IP LTM典型應用以實例給出配置指南，后續(xù)章節(jié)具體配置說明不一定跟本實例完全相同。2.2.1 規(guī)劃準備要點在安裝BIG-IP系統(tǒng)之前，請檢查如下準備工作是否做好：l 設備物理連接規(guī)劃。l IP地址規(guī)劃，根據實際需要劃分網段和分配IP地址。n BIG-IP雙機需要3個外部VLAN IP，2個分別為主備機的Self IP，一個為Share I

21、P。n BIG-IP雙機需要3個內部VLAN IP，2個分別為主備機的Self IP，一個為Share IP。n BIP-IP雙機需要2個同步VLAN IP，2個分別為主備機的Self IP（如果需要啟用network failover功能)n 每一個虛擬服務器IP地址或NAT需要一個外部VLAN IP。SNAT映射IP地址可以跟虛擬服務器IP地一樣。n BIG-IP內部每個節(jié)點需要一個內部VLAN IP。 l 確定BIG-IP主機名，并且確保BIG-IP雙機主機名不一樣。l 確定BIG-IP unit ID，并且確保BIG-IP雙機的unit ID不一樣。2.2.2 組網圖典型F5 BIG-

22、IP LTM負載均衡器部署方式采用“雙臂旁掛”式連接（如圖2-1所示）。圖2-1 典型F5 BIG-IP LTM負載均衡器部署示意圖IP地址和物理端口分配如下表所示：表2-1 IP地址和物理端口分配表ID主機名VLANVLAN ID端口Self IP地址Float IP地址端口對端描述1LBExternal 1001.145/2454交換機1外部vlan G1/0/5Internal2001.245/2454交換機1內部vlan G1/0/4sync30054.1/24N/A交

23、換機1內部vlan G1/0/4Mgmt400mgmt45/24N/A維護交換機2LBExternal 1001.146/2454交換機2外部vlan G1/0/5Internal2001.246/2454交換機2內部vlan G1/0/4sync30054.2/24N/A交換機2內部vlan G1/0/4Mgmt400mgmt46/24N/A維護vlan交換機Virtual Server與成員信息表如下：表2-2 Virtu

24、al Server與成員信息表No.Virtual nameVirtual serverPoolNodesDescription1Vip_web0:httpPool_web10:8020:80tcp/fastL42Vip_ftp0:ftpPool_ftp10:ftp20:ftptcp/fastL4SNAT地址規(guī)劃如下表：表2-3 SNAT規(guī)劃表No.SNAT nameorigintranslationVLANDescription1Snat

25、_web/00internaltcp timeout 3600第3章 基本配置本文以BIG-IP LTM 1600為例講解整個配置過程，基本上講解了BIG-IP整個配置過程。對于新的BIG-IP設備，基本配置主要包括：(1) 通過LCD面板設置BIG-IP管理網口地址(2) 通過管理網口登錄BIG-IP Web界面(3) 通過Setup Utility激活License、配置Platform和配置網絡。也可以通過導航菜單System -> License激活License；System -> Platform配置Platform。 注意： 在

26、安裝之前，必須注意如下事項：(1) BIG-IP的接口與VLAN分配相關，網線連接接口位置不能隨意更改，否則可能導致網絡無法連接。(2) 互為雙機的兩臺BIG-IP必須用隨機附帶的Failover線相連起來。 (3) 可以通過LCD面板設置/獲取管理網口地址來進行基本配置，或是通過命令行方式，運行"config"命令來配置管理IP。3.1 通過LCD面板設置BIG-IP管理網口地址BIG-IP上電開機以后，首先需要通過機器LCD面板的按鍵設置Management管理網口的IP地址。管理網絡接口缺省的IP地址為45/24?？梢酝ㄟ^兩種方式設置管理網口的I

27、P地址：l 通過LCD按鍵1) 按紅色X按鍵。2) 在液晶面板上通過按鍵按以下順序設置管理網口的網絡地址：System -> Management -> Mgmt IP。3) 在液晶面板上通過按鍵按以下順序設置管理網口的子網掩碼：System -> Management -> Mgmt Mask。4) 進入“Commit提交菜單”，確認提交l 通過Console口將PC機上的串口與F5 BIG-IP設備面板上的“Serial console port”用串口線連接。在PC機上通過超級終端登錄F5 BIG-IP，輸入“config”，根據提示設置管理網口的IP地址。用戶名

28、/密碼默認為：root/default。& 說明： (1) Management (mgmt)接口可以用于維護管理用途，可以將該接口連接到業(yè)務系統(tǒng)維護VLAN。(2) 管理網絡接口的IP地址不能與業(yè)務網絡在同一網段，避免出現地址沖突。根據業(yè)務網絡的地址劃分，相應的調整管理網絡接口的網絡地址。(3) 如果通過LCD按鍵修改完IP地址以后，選擇Commit，地址無法成功改變(例如出現IP地址為全零的情況)，很有可能是管理口IP地址與系統(tǒng)內已經配置發(fā)生沖突。出現這種情況，關機重啟以后，重新選定IP地址或網段來設置管理網口地址。3.2 通過管理網口登錄BIG-IP WebUI界面BIG-IP有

29、兩種管理方式，一種是基于WEB的https管理方式，另一種是基于ssh的命令行管理方式。除特別配置外，BIG-IP的配置主要采用WEB的管理方式即可。將計算機連接BIG-IP 的管理網口，以WEB方式登陸：(1) 在管理員的IE地址欄內輸入BIG-IP設備的管理接口IP地址，如45。 管理接口的缺省IP地址為45。如果已經通過液晶面板上的按鍵更改過IP，輸入相應的IP地址。(2) 連接后出現安全警告提示窗口，點擊Yes繼續(xù)。(3) 系統(tǒng)提示輸入用戶名和密碼。缺省的用戶名和密碼為admin和admin(4) 輸入正確后即可進入BIG-IP

30、配置工具WEB界面。圖3-1 BIG-IP配置工具WEB界面3.3 激活License在配置BIG-IP之前，必須先激活F5的License。操作步驟如下。1) 登錄BIG-IP的WEB管理頁面。未激活License之前，登錄BIG-IP的WEB管理頁面后，顯示如下頁面。2) 單擊“Activate”，進入如下頁面。3) 單擊Base Registration Key對應的“Edit”，在文本框中輸入已獲取的Base Registration Key。Activation Method選擇Manual。4) 單擊“Next”。5) 在彈出的對話框中單擊“確定”，進入如下頁面。6) 申請Lice

31、nse文件。在“步驟5”的圖中，單擊“step 2”的超鏈接，進入F5 License服務器。通常F5負載均衡器所處網絡不能夠直接上Internet，請將“Dossier”拷貝到可以上Internet的計算機中，進入F5 License服務器。F5 License服務器地址將產生的Dossier復制進以下頁面。單擊“Next”，生成License文件。在“步驟5”的圖中，將申請的License填入“step 3”的方框中。單擊“Next”，完成License激活，進入平臺配置頁面。 注意： 完成F5 BIG-IP設備License激活后，請重啟設備或者在CLI使用bigstart restar

32、t命令可以手工重啟BIG-IP服務進程。3.4 設置Platform平臺(Platform)主要配置系統(tǒng)的通用屬性，比如，主機名、IP地址、系統(tǒng)管理員帳號等?？梢酝ㄟ^WebUI進入配置頁面System -> Platform。Platform頁面可設置Host Name、Root密碼、Admin密碼、Time Zone。如果是雙機，還要設置High Availability和Unit ID。F5 BIG-IP采用Linux時區(qū)設置，中國時區(qū)其中沒有北京時區(qū)信息，可以就近選擇如下時區(qū)：Asia/Chungking（重慶）、Asia/Harbin（哈爾濱）、Asia/Hong_Kong（香港

33、）、Asia/Macao（澳門）、Asia/Shanghai（上海）和Asia/Urumqi（烏魯木齊）。其他地區(qū)可以根據Time Zone下拉列表框進行相應選擇。圖3-2 Platform頁面Management Port管理網口的IP地址、子網掩碼、路由。Host NameF5 BIG-IP的主機名。High Availability采用雙機冗余方式，設置為“Redundant Pair”。Unit ID采用雙機冗余方式，主備機的Unit ID不同。Root AccountRoot Account為命令行帳號，初始密碼為default。Admin AccountAdmin Account為

34、WEB管理的帳號，初始密碼為admin。SSH Access選中復選框表示允許通過SSH方式配置F5 BIG-IP。 注意： (1) root密碼允許用戶通過命令行訪問BIG-IP系統(tǒng)。建議root密碼長度大于6位，但不要超過32位字節(jié)。密碼與大小寫敏感，建議密碼中包含大寫/小寫字母和數字。如果BIG-IP系統(tǒng)為雙機系統(tǒng)，兩臺主備機的root/admin兩個用戶的密碼必須保持一致。(2) 主機名用來標識BIG-IP系統(tǒng)自身。主機名必須符合DNS域名標準。主機部分必須以字母開始，并至少為2個字符。舉例：f5-。 (3) BIG-IP雙機系統(tǒng)的主機名必須不一樣，否則配置同步會產生錯誤，可能導致破壞

35、license。如果BIG-IP運行于雙機高可用性模式，因此需要在系統(tǒng)通用屬性中設置雙機：圖3-3 設置雙機& 說明： 通常雙機系統(tǒng)中主機Unit ID設置為1，備機Unit ID為2。3.5 修改系統(tǒng)時鐘修改BIG-IP系統(tǒng)時鐘必須要通過CLI命令行界面完成，請通過Console或SSH方式連接到BIG-IP。常用的SSH客戶端有PUTTY或Secure Shell Client等。(1) 用SSH客戶端連接BIG-IP的管理網口地址，進入命令行模式。(2) 執(zhí)行date檢查系統(tǒng)時鐘。rootZJHZ-PS-MMS3-SW02:Active config # dateThu May

36、25 16:59:15 CST 2006(3) 如果系統(tǒng)時鐘跟當前時間相差較大，使用date命令修改系統(tǒng)時鐘。命令格式：# date <month><day><hour><minute><year>.<second># date MMDDHHMMYYYY.SS如設置2007年1月1日中午12：00：00# date 010112002007.00(4) 保存時間到BIOS。# hwclock -systohc 注意： (1) 對于臨時License的設備，不要輕易改系統(tǒng)時間，后果是License失效。(2) 對于在運行的冗

37、余系統(tǒng)，主、備機的時間不能超過10分鐘，否則主、備機的同步不能完成。 (3) 系統(tǒng)時鐘主要用于 F5 日志文件的計時時間。3.6 配置網絡根據組網規(guī)劃，對F5 BIGIP的網絡進行配置，包括劃分VLAN、定義IP地址及路由等。3.6.1 劃分VLAN點擊左側的導航條，進入Network -> VLANs。圖3-4 打開VLANs頁面在右側可以對VLAN進行配置。創(chuàng)建方法如下：(1) 點擊”Create”按鈕。圖3-5 VLAN設置(2) 設置VLAN名。在Name文本框設置這個VLAN的名字，如“sync”。(3) 在“Tag”中參照VLAN規(guī)劃表輸入VLAN號。如果不填，系統(tǒng)將自動分配

38、一個VLAN號。建議按照VLAN規(guī)劃表輸入VLAN號，如果啟用Tagged Interface時，可以跟交換機的802.1q Trunk端口匹配起來。(4) 將接口分配到VLAN中。在“Resources”表格中Interface:定義Available中顯示的端口有選擇性的劃分到這個VLAN中。指定端口后，單擊選入Untagged欄即可，如果對選定接口號點擊“Tagged >>”，則該端口為802.1q Trunk端口。(5) 點擊完成。配置完成后，主F5的vlan的配置如下：3.6.2 配置VLAN IP地址在劃分完VLAN后，即可對每個VLAN進行IP地址的定義。方法如下：點

39、擊左側導航條中的Networks -> Self Ips。圖3-6 打開Self IPs頁面在右側可以對Ip地址進行配置。配置步驟：(1) 點擊”Create”按鈕。圖3-7 Self IP設置(2) 在頁面對應欄進行填寫：l IP address: 輸入IP地址l Netmask: 輸入子網掩碼l VLAN：選擇將這個IP地址綁定在哪個VLAN上。選擇下拉菜單將顯示所有已設置的VLAN名。l Port Lockdown: 通常保持默認值Allow Default。當沒有配置b self allow時，可以選擇Allow All。l Floating IP:如果系統(tǒng)為冗余工作方式，需對每

40、臺設備的每個VLAN均設置兩個IP地址。其中一個是Self IP,另一個則為Floating IP,即兩臺設備共用的IP地址。選中此項即代表這個IP地址為Floating IP。l Unit ID: 對于雙機的浮動IP，需要選擇Floating IP，并選擇對應的Unit ID號。(3) 點擊完成。完成配置后，主用F5的self IP的配置如下：3.6.3 設置接口速率和雙工類型點擊左側導航條中打開Network -> Interfaces選擇相應的端口。接口操作模式默認為自適應，通常不建議修改。圖3-8 接口操作模式設置3.6.4 配置靜態(tài)路由點擊左側導航條中的Networks -&g

41、t; Routes圖3-9 打開路由頁面創(chuàng)建方法如下：(1) 點擊(2) 在頁面對應欄進行填寫：l Type: 定義配置的是默認網關還是靜態(tài)路由。l Destination: 定義目標網段l Netmask: 定義目標網段的掩碼l Resource: 定義網關地址(3) 點擊完成。3.6.5 配置Link Aggregation（可選）為提高鏈路可靠性，BIG-IP與LAN Switch互連網絡采用兩條網線進行鏈路匯聚。BIG-IP將鏈路匯聚稱之為Trunk，不要與IEEE 802.1q的Trunk屬于混淆。點擊左側的導航條，進入NetworkàTrunks:圖3-10 鏈路匯聚頁面

42、第4章 負載均衡業(yè)務配置負載均衡業(yè)務配置主要包含以下幾個方面：l Node 節(jié)點 一般在Pool配置中添加，也可以單獨創(chuàng)建?？梢栽贜ode頁面中配置節(jié)點健康檢查。 l Pool 負載均衡池 包含可以將請求發(fā)送到其中進行處理的服務器。l Profile 定義Virtual Server行為的設置。可以使用系統(tǒng)自帶Profile，有些業(yè)務需要自定義Profile。l Virtual Server 虛擬服務器 Virtual Server接收客戶端的訪問請求，然后將請求分發(fā)給被負載均衡的節(jié)點服務器上。l iRule iRule是基于TCL語言的腳本處理引擎，可以非常靈活的實現一些特殊的流量處理需求。

43、l Monitor Monitor跟蹤Pool成員的當前狀態(tài)。可以采用系統(tǒng)自帶Monitor。有些業(yè)務需要自定義Monitor。 l SNAT 在負載均衡器內部的服務器主動向外發(fā)起訪問時，在負載均衡器上所做的地址映射。& 說明： 服務器負載均衡器的設置只需要在一臺BIG-IP1上進行設置，設置好以后，可以通過雙機配置同步的方式將配置更新到BIG-IP2上。4.1 節(jié)點配置節(jié)點（Node）可以單獨配置，一般在Pool配置時添加。點擊左側的導航條，選擇Local Traffic -> Virtual Servers ->Nodes標簽，點擊“Create”按鈕添加節(jié)點（node

44、）圖4-1 節(jié)點配置在上圖中輸入節(jié)點（服務器）的IP和名稱，選擇相應的Monitors，點擊Finished完成配置。4.2 配置負載均衡池負載均衡池是負載均衡器中重要的屬性，是根據負載均衡策略接收數據流量的一組設備。池與特定虛擬服務器相關聯(lián)，流向虛擬服務器的流量通常會轉給相關聯(lián)的負載均衡池的成員節(jié)點。池可以執(zhí)行負載均衡操作，比如發(fā)送流量到池中的指定節(jié)點或定義會話保持方式。當配置池時，必須配置池名、成員IP地址和負載均衡方法（BIG-IP系統(tǒng)默認策略為輪詢“Round Robin”方式）。配置步驟：(1) 左側導航條中選擇 Local Traffic -> Virtual Servers

45、 ->Pools標簽，點擊“Create”按鈕添加服務器池(Pool)。圖4-2 負載均衡池配置頁面(2) 在“Name”中輸入負載均衡器名稱。(3) 在 “Load Balancing Method”表格中選擇負載均衡方法，通常采用默認輪詢方法。(4) 在“Resources”表格中的“Address”文本框輸入成員IP地址，在“Service Port”文本框中輸入服務端口（通用服務可以在下拉框選擇對應服務），點擊“Add”添加到“Current Members”當前成員列表中。(5) 添加所有組成員，點擊“Finished”完成配置。4.3 配置虛擬服務器虛擬服務器（Virtual

46、 server）是一個可PING的虛擬IP地址和服務端口的組合（比如0:http），虛擬服務器與負載均衡池（Pool）相對應，負載均衡池由一或多個節(jié)點（Node）組成。虛擬服務器有許多類型，本文只講述業(yè)務與軟件產品使用的標準虛擬服務器配置。4.3.1 創(chuàng)建虛擬服務器配置步驟：(1) 在導航面板中選擇Local Traffic -> Virtual Servers標簽，點擊“Create”按鈕添加虛擬服務器。圖4-3 虛擬服務器配置1圖4-4 虛擬服務器配置2(2) 在 “Name”文本框中輸入名稱，(3) “Address”文本框中輸入虛擬服務器IP地址，并在“

47、Service Port”文本框中輸入服務端口號或在下拉框中選擇現有的服務名稱。對于FTP服務必須要從下拉框選擇服務名稱。(4) 在Configuration欄的Type類型中，缺省為“Standard”方式，一般不需要更改。如果虛擬服務器只用于內部一個節(jié)點服務器1:1方式訪問時，可以選用“Forwarding (IP)”方式；如果負載均衡器僅用于4層交換，可以采用“Performance (Layer 4)”方式，以提高四層處理性能；如果虛擬服務器用于HTTP服務，可以采用“Performance (HTTP)”方式，以提升HTTP請求處理性能。(5) 根據業(yè)務需要可以對應調整Protoco

48、l、OneConnect Profile（用于實現TCP連接復用，即多個連接到負載均衡器時，負載均衡器只需一個連接到內部服務器，以提升服務器性能）、HTTP Profile、FTP Profile等。(6) 在Resourse屬性中，選擇相應的pool和persistence方式。(7) 點擊“Finished”完成創(chuàng)建虛擬服務器。 4.3.2 將虛擬服務器和負載均衡器相關聯(lián)和會話保持配置配置步驟：(1) 在“Local TrafficVirtual Servers”中點擊相應的Virtual server，選擇Resources項圖4-5 會話保持配置頁面(2) 對Default Persi

49、stence Profile進行配置圖4-6 選擇會話保持方法& 說明： 會話保持驗證可使用“tcpdump”工具進行驗證，tcpdump使用參見附錄說明。(3) 點擊”Update”完成配置。4.4 配置健康檢查節(jié)點狀態(tài)監(jiān)控（Monitor）用于檢驗負載均衡池中成員節(jié)點的連接和服務信息，包括健康監(jiān)控和性能監(jiān)控，當池中成員節(jié)點性能下降時BIG-IP系統(tǒng)將會把流量重定向到其它節(jié)點。配置節(jié)點狀態(tài)監(jiān)控包括如下兩項工作：l 自定義節(jié)點狀態(tài)監(jiān)控l 監(jiān)控與節(jié)點/負載均衡池相關聯(lián)其中自定義節(jié)點狀態(tài)監(jiān)控配置步驟是可選的，當使用默認監(jiān)控模板時，此步驟可以跳過。4.4.1 自定義節(jié)點狀態(tài)監(jiān)控節(jié)點如果使用標

50、準服務，只需要使用BIG-IP系統(tǒng)提供默認監(jiān)控模板即可，不需要進行自定義。當監(jiān)控信息需要對服務的內容或服務協(xié)議信息進行監(jiān)控時，這時需要進行自定義節(jié)點狀態(tài)監(jiān)控。配置步驟：(1) 在導航面板中選擇“Monitor”中的“Monitors”標簽，點擊“Create”按鈕添加監(jiān)控。圖4-7 創(chuàng)建Monitor選擇Monitor類型模板(2) 在“Type”中選擇采用模板，比如HTTP或HTTPS等，在“Name” 文本框輸入監(jiān)控名稱。圖4-8 創(chuàng)建Monitor自定義Monitor(3) 在“Configure”表格中使用默認屬性。根據監(jiān)控模板的不同對屬性進行配置，比如對HTTP ECV屬性的“Sen

51、d String”配置為“GET /user/index.html HTTP/1.0rnrn”；將Internal更改為10秒，Timeout更改為31秒(3 X Internal +1)。(4) 完成監(jiān)控配置后，點擊“Finished”完成配置。& 說明： 當默認監(jiān)控方法無法實現檢測服務器運行狀態(tài)時，需要定制的監(jiān)控。例如，默認的域名方式使用“GET /”命令無法獲取正確頁面或頁面經過多次重定向，這時BIG-IP系統(tǒng)無法正確檢測服務器狀態(tài)，我們需要手工更改命令，比如“GET /user/index.html”，使HTTP檢查方法可以檢測出服務器的運行狀態(tài)。同時需要注意GET的語法，在v

52、9和v10中是不一樣的，而且HTTP1.0和HTTP1.1也不一樣。4.4.2 監(jiān)控與節(jié)點/負載均衡池相關聯(lián)監(jiān)控必須要跟節(jié)點/負載均衡池相關聯(lián)才能生效。1. 監(jiān)控與節(jié)點相關聯(lián)配置步驟：(1) 點擊左側的導航條，選擇Local Traffic -> Virtual Servers ->Nodes標簽，選中需要監(jiān)控的節(jié)點（Node）圖4-9 調整Health Monitors(2) 節(jié)點配置項下拉框Health Monitors缺省為Node Default。Node Default設置可以在Local Traffic -> Virtual Servers ->Nodes

53、-> Default Monitor標簽中調整；如果需要針對具體節(jié)點調整監(jiān)控方式，選擇下拉框Health Monitors為Node Specific，將可用的Monitor方式選中點擊“<<”添加到Select Monitors中；如果不需要監(jiān)控，選擇None即可。圖4-10 配置Default Monitor(3) 完成配置后，點擊Update按鈕使配置生效。2. 監(jiān)控與負載均衡池相關聯(lián)配置步驟：(1) 點擊左側的導航條，選擇Local Traffic -> Virtual Servers ->Pools標簽，選中需要監(jiān)控的負載均衡池（Pool）(2) 將Monitore與負載均衡池相關聯(lián)(3) 在Health Monitors中將可用的Monitor方式選中點擊“<<”添加到Active欄中。(4) 完成配置后，點擊Update按鈕使配置生效。4.4.3 檢查系統(tǒng)狀態(tài)配置完負載均衡池、節(jié)點監(jiān)控和虛擬服務器后，我們可以通過“Local traffic->V