F5 BIG-IP LTM V9負(fù)載均衡器配置指導(dǎo)書

F5BIG-IPLTM負(fù)載均衡器配置指導(dǎo)書目錄第1章F5BIG-IPLTM簡(jiǎn)介 11.1負(fù)載均衡技術(shù)簡(jiǎn)介 11.2F5BIG-IPLTM產(chǎn)品介紹 1第2章BIG-IPLTM規(guī)劃與配置準(zhǔn)備工作 32.1BIG-IPLTM配置步驟 32.2組網(wǎng)規(guī)劃 32.2.1規(guī)劃準(zhǔn)備要點(diǎn) 42.2.2組網(wǎng)圖 42.3BIG-IP面板說明 8第3章基本配置 93.1通過LCD面板設(shè)置BIG-IP管理網(wǎng)口地址 103.2通過管理網(wǎng)口登錄BIG-IPWebUI界面 113.3激活License 123.4設(shè)置Platform 153.5修改系統(tǒng)時(shí)鐘 163.6配置網(wǎng)絡(luò) 173.6.1劃分VLAN 183.6.2配置VLANIP地址 193.6.3設(shè)置接口速率和雙工類型 213.6.4配置靜態(tài)路由 213.6.5配置LinkAggregation（可選） 22第4章負(fù)載均衡業(yè)務(wù)配置 244.1節(jié)點(diǎn)配置 244.2配置負(fù)載均衡池 254.3配置虛擬服務(wù)器 274.3.1創(chuàng)建虛擬服務(wù)器 274.3.2將虛擬服務(wù)器和負(fù)載均衡器相關(guān)聯(lián)和會(huì)話保持配置 294.4配置健康檢查 314.4.1自定義節(jié)點(diǎn)狀態(tài)監(jiān)控 314.4.2監(jiān)控與節(jié)點(diǎn)/負(fù)載均衡池相關(guān)聯(lián) 344.4.3檢查系統(tǒng)狀態(tài) 364.5配置SNAT 364.5.1配置步驟 364.5.2驗(yàn)證SNAT配置 37第5章雙機(jī)配置 395.1注意事項(xiàng) 395.2雙機(jī)設(shè)置 395.3雙機(jī)狀態(tài)監(jiān)控設(shè)置 425.4雙機(jī)狀態(tài)檢查和配置同步 43第6章附錄B常見問題說明 616.1BIG-IP單機(jī)或兩臺(tái)雙機(jī)系統(tǒng)處于Standby狀態(tài)，為什么？ 616.2BIG-IP系統(tǒng)如何進(jìn)行配置備份和恢復(fù)？ 646.3SSH訪問具有密碼加密傳輸?shù)膬?yōu)點(diǎn)，請(qǐng)問從哪里獲取SSH客戶端？ 646.4網(wǎng)絡(luò)設(shè)備通常有收集系統(tǒng)信息的宏命令，F(xiàn)5有沒有相應(yīng)命令？ 656.5如何使用TCPDUMP進(jìn)行Troubleshooting？ 676.6如何實(shí)時(shí)監(jiān)視BIG-IP的連接狀態(tài)？ 696.7如何備份和恢復(fù)配置？ 696.8如何添加“只讀”權(quán)限的管理員帳號(hào) 706.9如何查詢?cè)O(shè)備的序列號(hào)？ 716.10對(duì)某一VirtualServer用TCPDUMP命令無法抓到包如何處理？ 72關(guān)鍵詞：負(fù)載均衡池、虛擬服務(wù)器，節(jié)點(diǎn)、會(huì)話保持、監(jiān)控、ECV、EAV、SNAT摘要：按照常見的配置步驟，本文對(duì)F5BIG-IPLTM負(fù)載均衡器設(shè)備配置進(jìn)行說明，并對(duì)負(fù)載均衡器的基本概念和F5設(shè)備使用過程中遇到的常見問題進(jìn)行解答。 本指導(dǎo)書適用于BIG-IPLTM1500/3400負(fù)載均衡器(BIG-IPversion9)?？s略語清單：ECV ExtendedContentVerification 可擴(kuò)展的內(nèi)容驗(yàn)證EAV ExtendedApplicationVerification 可擴(kuò)展的應(yīng)用驗(yàn)證SNAT SecureNetworkAddressTranslation 安全網(wǎng)絡(luò)地址轉(zhuǎn)換LTM LocalTrafficManager 本地流量管理器LACP LinkAggregationControlProtocol 鏈路匯聚控制協(xié)議參考資料清單：PlatformGuide:1500,3400,6400,and6800,F5Networks,2005Installation,Licensing,andUpgradesforBIG-IP?Systems,F5Networks,2005BIG-IP?NetworkandSystemManagementGuide,F5Networks,2005F5BIG-IPLTM簡(jiǎn)介負(fù)載均衡技術(shù)簡(jiǎn)介隨著業(yè)務(wù)與軟件產(chǎn)品與IP網(wǎng)絡(luò)關(guān)系愈加密切，業(yè)務(wù)平臺(tái)提供的性能以及可靠性是電信級(jí)應(yīng)用的關(guān)鍵因素。業(yè)務(wù)與軟件產(chǎn)品中Portal、WAP網(wǎng)關(guān)、彩鈴和MMS等業(yè)務(wù)直接通過Internet提供網(wǎng)絡(luò)服務(wù)。由于Internet對(duì)業(yè)務(wù)服務(wù)訪問具有不可預(yù)知性，傳統(tǒng)的服務(wù)器提供大量并發(fā)服務(wù)已經(jīng)面臨處理能力和I/O性能的瓶頸，當(dāng)業(yè)務(wù)超過已經(jīng)界限將會(huì)出現(xiàn)“ServerTooBusy”乃至服務(wù)器宕機(jī)等問題。針對(duì)單臺(tái)服務(wù)器有限的性能存在瓶頸的情況，負(fù)載均衡器通過負(fù)載均衡機(jī)制將所有請(qǐng)求平均分配到多臺(tái)節(jié)點(diǎn)服務(wù)器，使得系統(tǒng)業(yè)務(wù)處理能力大大提升。此外，負(fù)載均衡器還能監(jiān)控服務(wù)器節(jié)點(diǎn)的可用性，其中某一臺(tái)服務(wù)器故障時(shí)，能將訪問請(qǐng)求轉(zhuǎn)移到其它可以正常工作的服務(wù)器。負(fù)載均衡器通常稱為四層交換機(jī)或七層交換機(jī)。四層交換機(jī)主要分析IP層及TCP/UDP層，實(shí)現(xiàn)四層流量負(fù)載均衡。七層交換機(jī)除了支持四層負(fù)載均衡以外，還有分析應(yīng)用層的信息，如HTTP協(xié)議URI或Cookie信息。F5BIG-IPLTM產(chǎn)品介紹隨著F5BIG-IP1000/2400負(fù)載均衡器停產(chǎn)，華為公司的替代選型為F5BIG-IPLTM1500/3400。目前F5公司負(fù)載均衡器(亦稱為本地流量管理器)有BIG-IPLTM1500、BIG-IPLTM3400、BIG-IPLTM6400、BIG-IPLTM6800等型號(hào)。F5BIG-IPLTM負(fù)載均衡產(chǎn)品規(guī)格6800系列——超級(jí)多用途流量管理處理器：雙CPU基本內(nèi)存：2GBASIC：PacketVelocityASIC2千兆位CU端口：16個(gè)千兆位光纖端口：(SFP-GBICMini)4個(gè)（2個(gè)標(biāo)準(zhǔn)、2個(gè)可選）包括：SSLTPS/MaxTPS/Bulk加速模塊：（100/20,000/2GB/秒）流量吞吐量：4GB/秒可選硬件設(shè)備：硬件壓縮*6400系列——高級(jí)多用途流量管理處理器：雙CPU基本內(nèi)存：2GBASIC：PacketVelocityASIC2千兆位CU端口：16個(gè)千兆位光纖端口：(SFP-GBICMini)4個(gè)（2個(gè)標(biāo)準(zhǔn)、2個(gè)可選）包括：SSLTPS/MaxTPS/Bulk加速模塊：（100/15,000/2GB/秒）流量吞吐量：2GB/秒可選硬件設(shè)備：硬件壓縮*FIPS處理**（8,000TPS/1GBSSL吞吐量）3400系列——中級(jí)多用途流量管理處理器：?jiǎn)蜟PU基本內(nèi)存：1GBASIC：PacketVelocityASIC2千兆位CU端口：8個(gè)千兆位光纖端口：(SFP-GBICMini)2個(gè)可選包括：SSLTPS/MaxTPS/Bulk加速模塊：（100/8,000/1GB/秒）流量吞吐量：1GB/秒3400系列——普通多用途流量管理處理器：?jiǎn)蜟PU基本內(nèi)存：768MBASIC：無千兆位CU端口：2個(gè)千兆位光纖端口：2個(gè)可選包括：SSLTPS/MaxTPS/Bulk加速模塊：（100/2,000/500MB/秒）流量吞吐量：500MB/秒

BIG-IPLTM規(guī)劃與配置準(zhǔn)備工作BIG-IPLTM配置步驟在對(duì)F5BIG-IP進(jìn)行配置之前，首先要做好規(guī)劃工作。BIG-IPLTM主要配置步驟如下：組網(wǎng)規(guī)劃–在組網(wǎng)規(guī)劃中，包含主機(jī)名、IP地址/VLAN、路由、虛擬服務(wù)器、地址池、負(fù)載均衡算法、會(huì)話保持方式、雙機(jī)等內(nèi)容進(jìn)行規(guī)劃，并繪制出組網(wǎng)拓?fù)鋱D。初始化配置–通常使用WebUI完成初始化配置，包括激活License、平臺(tái)配置和網(wǎng)絡(luò)配置。配置網(wǎng)絡(luò)VLAN和IP地址更改系統(tǒng)時(shí)鐘（可選）配置負(fù)載均衡池配置節(jié)點(diǎn)狀態(tài)監(jiān)控配置虛擬服務(wù)器配置SNAT/NAT配置雙機(jī)說明：(1)本配置步驟為常見配置順序。本文沒有包括過濾和SSLProxy等配置。(2)主用BIG-IP系統(tǒng)要完成以上所有配置步驟，備用BIG-IP系統(tǒng)可以跳過5-8步，而通過主用BIG-IP系統(tǒng)將配置同步到備用BIG-IP系統(tǒng)中去。組網(wǎng)規(guī)劃本節(jié)主要根據(jù)典型F5BIG-IPLTM典型應(yīng)用以實(shí)例給出配置指南，并結(jié)合業(yè)軟產(chǎn)品給出說明，后續(xù)章節(jié)具體配置說明不一定跟本實(shí)例完全相同。規(guī)劃準(zhǔn)備要點(diǎn)在安裝BIG-IP系統(tǒng)之前，請(qǐng)檢查如下準(zhǔn)備工作是否做好：設(shè)備物理連接規(guī)劃。IP地址規(guī)劃，根據(jù)實(shí)際需要?jiǎng)澐志W(wǎng)段和分配IP地址，通常網(wǎng)絡(luò)設(shè)備IP地址為網(wǎng)絡(luò)中最大IP地址（默認(rèn)網(wǎng)關(guān)使用最大IP地址），往下遞推；主機(jī)設(shè)備從網(wǎng)絡(luò)中最小IP地址往上遞推進(jìn)行分配。BIG-IP雙機(jī)需要3個(gè)外部VLANIP，2個(gè)分別為主備機(jī)的SelfIP，一個(gè)為ShareIP。BIG-IP雙機(jī)需要3個(gè)內(nèi)部VLANIP，2個(gè)分別為主備機(jī)的SelfIP，一個(gè)為ShareIP。每一個(gè)虛擬服務(wù)器IP地址或NAT需要一個(gè)外部VLANIP。SNAT映射IP地址可以跟虛擬服務(wù)器IP地一樣。BIG-IP內(nèi)部每個(gè)節(jié)點(diǎn)需要一個(gè)內(nèi)部VLANIP。確定BIG-IP主機(jī)名，并且確保BIG-IP雙機(jī)主機(jī)名不一樣。組網(wǎng)圖典型F5BIG-IPLTM負(fù)載均衡器部署方式采用“雙臂旁掛”式連接（如REF_Ref137629135\r\h圖2-1所示）。典型F5BIG-IPLTM負(fù)載均衡器部署示意圖BIG-IP面板說明F5BIG-IP前面板增加了LCD面板，可以通過LCD面板設(shè)置管理接口、Console口，也可以重啟系統(tǒng)和清空LCD告警等操作。F5接口槽位號(hào)編號(hào)遵循由上到下，然后由左到右規(guī)則。例如，BIG-IPLTM3400第一槽位為8端口千兆以太網(wǎng)接口，2槽位為2端口SFP千兆網(wǎng)接口。F5BIG-IPLTM1500/3400前面板如下圖所示：F5BIG-IPLTM1500/1400前面板示意圖基本配置本文以BIG-IPLTM3400為例講解整個(gè)配置過程，基本上講解了BIG-IP整個(gè)配置過程。對(duì)于新的BIG-IP設(shè)備，基本配置主要包括：通過LCD面板設(shè)置BIG-IP管理網(wǎng)口地址通過管理網(wǎng)口登錄BIG-IPWebUI界面通過SetupUtility激活License、配置Platform和配置網(wǎng)絡(luò)。也可以通過導(dǎo)航菜單System->License激活License；System->Platform配置Platform。注意：在安裝之前，必須注意如下事項(xiàng)：(1)BIG-IP的接口與VLAN分配相關(guān)，網(wǎng)線連接接口位置不能隨意更改，否則可能導(dǎo)致網(wǎng)絡(luò)無法連接。(2)互為雙機(jī)的兩臺(tái)BIG-IP必須用隨機(jī)附帶的Failover線相連起來。(3)BIG-IPLTM1500/3400隨機(jī)不再自帶Console線纜，可以通過LCD面板設(shè)置/獲取管理網(wǎng)口地址來進(jìn)行基本配置。通過LCD面板設(shè)置BIG-IP管理網(wǎng)口地址BIG-IP上電開機(jī)以后，首先需要通過機(jī)器LCD面板的按鍵設(shè)置Management管理網(wǎng)口的IP地址。管理網(wǎng)絡(luò)接口缺省的IP地址為45/24。設(shè)置步驟如下：使用LCD面板將IP地址添加到管理界面中。配置管理IP地址時(shí)，首先應(yīng)添加IP地址。按下顯示屏上的X按鈕Options選項(xiàng)。進(jìn)入系統(tǒng)菜單并按下復(fù)選標(biāo)記按鈕。進(jìn)入IP地址菜單并按下復(fù)選標(biāo)記按鈕。再次按下復(fù)選標(biāo)記按鈕，進(jìn)入IP地址輸入界面。使用上下箭頭鍵輸入管理IP地址，并按下復(fù)選標(biāo)記按鈕。輸入IP地址后，添加該地址的網(wǎng)絡(luò)掩碼：進(jìn)入網(wǎng)絡(luò)掩碼菜單，并按下復(fù)選標(biāo)記按鈕。輸入網(wǎng)絡(luò)掩碼，并按下復(fù)選標(biāo)記按鈕。（可選）添加完IP地址和網(wǎng)絡(luò)掩碼后，即可添加缺省路由。進(jìn)入缺省路由菜單，并按下復(fù)選標(biāo)記按鈕。使用上下箭頭鍵輸入缺省路由，并按下復(fù)選標(biāo)記按鈕。如果您未確定缺省路由，可以使用。提交確認(rèn)配置。進(jìn)入“Commit提交菜單”，并按下復(fù)選標(biāo)記按鈕。當(dāng)“確認(rèn)菜單”出現(xiàn)時(shí)，按下復(fù)選標(biāo)記按鈕。說明：Management(mgmt)接口可以用于維護(hù)管理用途，可以將該接口連接到業(yè)務(wù)系統(tǒng)維護(hù)VLAN。在設(shè)置好網(wǎng)絡(luò)管理口地址以后，通過網(wǎng)絡(luò)登陸到BIG-IP上進(jìn)行其它配置更改時(shí)，都要保證網(wǎng)絡(luò)管理口的網(wǎng)絡(luò)連接完好。否則有時(shí)會(huì)出現(xiàn)修改的配置無法被成功加載應(yīng)用的情況，因?yàn)榫W(wǎng)絡(luò)管理口為Down的情況會(huì)妨礙配置文件的加載。

在bigip9.2.3版本里，如果管理網(wǎng)口的網(wǎng)線沒有連接的情況下，mgmtinterface的屬性為變?yōu)閙edianone。如果這個(gè)屬性被保存成ucs文件，再次重新加載的時(shí)候，就會(huì)出現(xiàn)不能順利加載的情況。在這種情況下，如果做雙機(jī)配置同步，也會(huì)出現(xiàn)同步后配置無法正常加載的情況。這種情況下，建議升級(jí)版本或打Hotfix-BIG-IP-9.2.3-CR61825補(bǔ)丁。管理網(wǎng)絡(luò)接口的IP地址不能與業(yè)務(wù)網(wǎng)絡(luò)在同一網(wǎng)段，避免出現(xiàn)地址沖突。根據(jù)業(yè)務(wù)網(wǎng)絡(luò)的地址劃分，相應(yīng)的調(diào)整管理網(wǎng)絡(luò)接口的網(wǎng)絡(luò)地址。如果通過LCD按鍵修改完IP地址以后，選擇Commit，地址無法成功改變(例如出現(xiàn)IP地址為全零的情況)，很有可能是管理口IP地址與系統(tǒng)內(nèi)已經(jīng)配置發(fā)生沖突。出現(xiàn)這種情況，關(guān)機(jī)重啟以后，重新選定IP地址或網(wǎng)段來設(shè)置管理網(wǎng)口地址。通過管理網(wǎng)口登錄BIG-IPWebUI界面BIG-IP有兩種管理方式，一種是基于WEB的https管理方式，另一種是基于ssh的命令行管理方式。BIG-IPv9已經(jīng)不再支持Telnet和FTP方式訪問。除特別配置外，BIG-IP的配置主要采用WEB的管理方式即可。將計(jì)算機(jī)連接BIG-IP的管理網(wǎng)口，以WEB方式登陸：在管理員的IE地址欄內(nèi)輸入BIG-IP設(shè)備的管理接口IP地址，如45。管理接口的缺省IP地址為45。如果已經(jīng)通過液晶面板上的按鍵更改過IP，輸入相應(yīng)的IP地址。連接后出現(xiàn)安全警告提示窗口，點(diǎn)擊Yes繼續(xù)。系統(tǒng)提示輸入用戶名和密碼。缺省的用戶名和密碼為admin和admin輸入正確后即可進(jìn)入BIG-IP配置工具WEB界面。BIG-IP配置工具WEB界面激活License在配置BIG-IP之前，先要激活License，否則BIG-IP無法提供負(fù)載均衡服務(wù)。從System->License->Activate進(jìn)入License激活界面。如果是更改License，屏幕顯示為Re-activate。激活License輸入產(chǎn)品的注冊(cè)碼，然后產(chǎn)生申請(qǐng)License的Dossier。輸入注冊(cè)碼產(chǎn)生Dossier進(jìn)入/license/dossier.jsp，將產(chǎn)生的Dossier復(fù)制進(jìn)以下頁面，產(chǎn)生License文件。進(jìn)入F5網(wǎng)站激活License注意：完成F5BIG-IP設(shè)備License激活后，請(qǐng)重啟設(shè)備或者在CLI使用bigstartrestart命令可以手工重啟BIG-IP服務(wù)進(jìn)程。設(shè)置Platform平臺(tái)(Platform)主要配置系統(tǒng)的通用屬性，比如，主機(jī)名、IP地址、系統(tǒng)管理員帳號(hào)等?？梢酝ㄟ^WebUI進(jìn)入配置頁面System->Platform。Platform頁面可設(shè)置HostName、Root密碼、Admin密碼、TimeZone。如果是雙機(jī)，還要設(shè)置HighAvailability和UnitID。F5BIG-IP采用Linux時(shí)區(qū)設(shè)置，中國時(shí)區(qū)其中沒有北京時(shí)區(qū)信息，可以就近選擇如下時(shí)區(qū)：Asia/Chungking（重慶）、Asia/Harbin（哈爾濱）、Asia/Hong_Kong（香港）、Asia/Macao（澳門）、Asia/Shanghai（上海）和Asia/Urumqi（烏魯木齊）。其他地區(qū)可以根據(jù)TimeZone下拉列表框進(jìn)行相應(yīng)選擇。Platform頁面注意：(1)root密碼允許用戶通過命令行訪問BIG-IP系統(tǒng)。建議root密碼長度大于6位，但不要超過32位字節(jié)。密碼與大小寫敏感，建議密碼中包含大寫/小寫字母和數(shù)字。如果BIG-IP系統(tǒng)為雙機(jī)系統(tǒng)，兩臺(tái)主備機(jī)的root密碼必須保持一致。(2)主機(jī)名用來標(biāo)識(shí)BIG-IP系統(tǒng)自身。主機(jī)名必須符合DNS域名標(biāo)準(zhǔn)。主機(jī)部分必須以字母開始，并至少為2個(gè)字符。舉例：。(3)BIG-IP雙機(jī)系統(tǒng)的主機(jī)名必須不一樣，否則配置同步會(huì)產(chǎn)生錯(cuò)誤，可能導(dǎo)致破壞license。如果BIG-IP運(yùn)行于雙機(jī)高可用性模式，因此需要在系統(tǒng)通用屬性中設(shè)置雙機(jī)：設(shè)置雙機(jī)說明：通常雙機(jī)系統(tǒng)中主機(jī)UnitID設(shè)置為1，備機(jī)UnitID為2。修改系統(tǒng)時(shí)鐘修改BIG-IP系統(tǒng)時(shí)鐘必須要通過CLI命令行界面完成，請(qǐng)通過Console或SSH方式連接到BIG-IP。常用的SSH客戶端有PUTTY或SecureShellClient等。用SSH客戶端連接BIG-IP的管理網(wǎng)口地址，進(jìn)入命令行模式。執(zhí)行date檢查系統(tǒng)時(shí)鐘。[root@ZJHZ-PS-MMS3-SW02:Active]config#dateThuMay2516:59:15CST2006如果系統(tǒng)時(shí)鐘跟當(dāng)前時(shí)間相差較大，使用date命令修改系統(tǒng)時(shí)鐘。命令格式：#date<month><day><hour><minute><year>.<second>#dateMMDDHHMMYYYY.SS如設(shè)置2007年1月1日中午12：00：00#date010112002007.00保存時(shí)間到BIOS。#hwclock–systohc設(shè)置缺省管理權(quán)限策略。在命令行運(yùn)行bbaselist命令，檢查初始化設(shè)置。如果bbaselist的輸出已經(jīng)有selfallow{defaulttcpsshtcphttpsudpefstcpsnmpprotoospfudpdomainudpsnmptcp4353tcpdomainudp4353}一行，則進(jìn)入到步驟6重新啟動(dòng)BIG-IP。如果在bbaselist的輸出中發(fā)現(xiàn)有selfallow{defaultnone}一行，則運(yùn)行以下兩條命令：bselfallow{defaulttcpsshtcphttpsudpefstcpsnmpprotoospfudpdomainudpsnmptcp4353tcpdomainudp4353}bbasesave所后用命令more/config/bigip_base.conf查看bigip_base.conf文件確認(rèn)selfallow{defaulttcpsshtcphttpsudpefstcpsnmpprotoospfudpdomainudpsnmptcp4353tcpdomainudp4353}已經(jīng)保存到文件中。重新啟動(dòng)BIG-IP。#reboot注意：(1)對(duì)于臨時(shí)License的設(shè)備，不要輕易改系統(tǒng)時(shí)間，后果是License失效。(2)對(duì)于在運(yùn)行的冗余系統(tǒng)，建議先修改Standby，修改完畢，觀察一段時(shí)間，再把Active設(shè)備切換為Standby后再修改，以保證系統(tǒng)的不間斷。(3)系統(tǒng)時(shí)鐘主要用于F5日志文件的計(jì)時(shí)時(shí)間。配置網(wǎng)絡(luò)根據(jù)組網(wǎng)規(guī)劃，對(duì)F5BIGIP的網(wǎng)絡(luò)進(jìn)行配置，包括劃分VLAN、定義IP地址及路由等。劃分VLAN點(diǎn)擊左側(cè)的導(dǎo)航條，進(jìn)入Network->VLANs。打開VLANs頁面在右側(cè)可以對(duì)VLAN進(jìn)行配置。創(chuàng)建方法如下：點(diǎn)擊”Create…”按鈕。VLAN設(shè)置設(shè)置VLAN名。在Name文本框設(shè)置這個(gè)VLAN的名字，如“External”。在“Tag”中參照VLAN規(guī)劃表輸入VLAN號(hào)。如果不填，系統(tǒng)將自動(dòng)分配一個(gè)VLAN號(hào)。建議按照VLAN規(guī)劃表輸入VLAN號(hào)，如果啟用TaggedInterface時(shí)，可以跟交換機(jī)的802.1qTrunk端口匹配起來。將接口分配到VLAN中。在“Resources”表格中Interface:定義Available中顯示的端口有選擇性的劃分到這個(gè)VLAN中。指定端口后，單擊選入U(xiǎn)ntagged欄即可，如果對(duì)選定接口號(hào)點(diǎn)擊“Tagged>>”，則該端口為802.1qTrunk端口。點(diǎn)擊完成。配置VLANIP地址在劃分完VLAN后，即可對(duì)每個(gè)VLAN進(jìn)行IP地址的定義。方法如下：點(diǎn)擊左側(cè)導(dǎo)航條中的Networks->SelfIps。打開SelfIPs頁面在右側(cè)可以對(duì)Ip地址進(jìn)行配置。配置步驟：點(diǎn)擊”Create…”按鈕。SelfIP設(shè)置在頁面對(duì)應(yīng)欄進(jìn)行填寫：IPaddress:輸入IP地址Netmask:輸入子網(wǎng)掩碼VLAN：選擇將這個(gè)IP地址綁定在哪個(gè)VLAN上。選擇下拉菜單將顯示所有已設(shè)置的VLAN名。PortLockdown:通常保持默認(rèn)值A(chǔ)llowDefault。當(dāng)沒有配置bselfallow時(shí)，可以選擇AllowAll。FloatingIP:如果系統(tǒng)為冗余工作方式，需對(duì)每臺(tái)設(shè)備的每個(gè)VLAN均設(shè)置兩個(gè)IP地址。其中一個(gè)是SelfIP,另一個(gè)則為FloatingIP,即兩臺(tái)設(shè)備共用的IP地址。選中此項(xiàng)即代表這個(gè)IP地址為FloatingIP。UnitID:對(duì)于雙機(jī)的浮動(dòng)IP，需要選擇FloatingIP，并選擇對(duì)應(yīng)的UnitID號(hào)。點(diǎn)擊完成。設(shè)置接口速率和雙工類型點(diǎn)擊左側(cè)導(dǎo)航條中打開Network->Interfaces選擇相應(yīng)的端口。接口操作模式默認(rèn)為自適應(yīng)，通常不建議修改。接口操作模式設(shè)置配置靜態(tài)路由點(diǎn)擊左側(cè)導(dǎo)航條中的Networks->Routes打開路由頁面創(chuàng)建方法如下：點(diǎn)擊在頁面對(duì)應(yīng)欄進(jìn)行填寫：Type:定義配置的是默認(rèn)網(wǎng)關(guān)還是靜態(tài)路由。Destination:定義目標(biāo)網(wǎng)段Netmask:定義目標(biāo)網(wǎng)段的掩碼Resource:定義網(wǎng)關(guān)地址點(diǎn)擊完成。注意：定義網(wǎng)關(guān)后需要重啟BIG-IP的服務(wù)，bigstartrestart命令可以手工重啟BIG-IP服務(wù)進(jìn)程。配置LinkAggregation（可選）為提高鏈路可靠性，BIG-IP與LANSwitch互連網(wǎng)絡(luò)采用兩條網(wǎng)線進(jìn)行鏈路匯聚。BIG-IP將鏈路匯聚稱之為Trunk，不要與IEEE802.1q的Trunk屬于混淆。點(diǎn)擊左側(cè)的導(dǎo)航條，進(jìn)入NetworkTrunks:鏈路匯聚頁面注意：經(jīng)測(cè)試，BIG-IPLTM和華為Quidway交換機(jī)鏈路匯聚可以實(shí)現(xiàn)兼容性對(duì)接。配置鏈路匯聚時(shí)不需要啟用LACP。

負(fù)載均衡業(yè)務(wù)配置負(fù)載均衡業(yè)務(wù)配置主要包含以下幾個(gè)方面：Node節(jié)點(diǎn)——一般在Pool配置中添加，也可以單獨(dú)創(chuàng)建?？梢栽贜ode頁面中配置節(jié)點(diǎn)健康檢查。Pool負(fù)載均衡池 ——包含可以將請(qǐng)求發(fā)送到其中進(jìn)行處理的服務(wù)器。Profile ——定義VirtualServer行為的設(shè)置?？梢允褂孟到y(tǒng)自帶Profile，有些業(yè)務(wù)需要自定義Profile。VirtualServer虛擬服務(wù)器 ——VirtualServer接收客戶端的訪問請(qǐng)求，然后將請(qǐng)求分發(fā)給被負(fù)載均衡的節(jié)點(diǎn)服務(wù)器上。iRule——iRule是基于TCL語言的腳本處理引擎，可以非常靈活的實(shí)現(xiàn)一些特殊的流量處理需求。Monitor——Monitor跟蹤Pool成員的當(dāng)前狀態(tài)?？梢圆捎孟到y(tǒng)自帶Monitor。有些業(yè)務(wù)需要自定義Monitor。SNAT——在負(fù)載均衡器內(nèi)部的服務(wù)器主動(dòng)向外發(fā)起訪問時(shí)，在負(fù)載均衡器上所做的地址映射。說明：服務(wù)器負(fù)載均衡器的設(shè)置只需要在一臺(tái)BIG-IP1上進(jìn)行設(shè)置，設(shè)置好以后，可以通過雙機(jī)配置同步的方式將配置更新到BIG-IP2上。節(jié)點(diǎn)配置節(jié)點(diǎn)（Node）可以單獨(dú)配置，一般在Pool配置時(shí)添加。點(diǎn)擊左側(cè)的導(dǎo)航條，選擇LocalTraffic->VirtualServers->Nodes標(biāo)簽，點(diǎn)擊“Create…”按鈕添加節(jié)點(diǎn)（node）節(jié)點(diǎn)配置在上圖中輸入節(jié)點(diǎn)（服務(wù)器）的IP和名稱，選擇相應(yīng)的Monitors，點(diǎn)擊Finished完成配置。配置負(fù)載均衡池負(fù)載均衡池是負(fù)載均衡器中重要的屬性，是根據(jù)負(fù)載均衡策略接收數(shù)據(jù)流量的一組設(shè)備。池與特定虛擬服務(wù)器相關(guān)聯(lián)，流向虛擬服務(wù)器的流量通常會(huì)轉(zhuǎn)給相關(guān)聯(lián)的負(fù)載均衡池的成員節(jié)點(diǎn)。池可以執(zhí)行負(fù)載均衡操作，比如發(fā)送流量到池中的指定節(jié)點(diǎn)或定義會(huì)話保持方式。當(dāng)配置池時(shí)，必須配置池名、成員IP地址和負(fù)載均衡方法（BIG-IP系統(tǒng)默認(rèn)策略為輪詢“RoundRobin”方式）。配置步驟：左側(cè)導(dǎo)航條中選擇LocalTraffic->VirtualServers->Pools標(biāo)簽，點(diǎn)擊“Create”按鈕添加服務(wù)器池(Pool)。負(fù)載均衡池配置頁面在“Name”中輸入負(fù)載均衡器名稱。在“LoadBalancingMethod”表格中選擇負(fù)載均衡方法，通常采用默認(rèn)輪詢方法。在“Resources”表格中的“Address”文本框輸入成員IP地址，在“ServicePort”文本框中輸入服務(wù)端口（通用服務(wù)可以在下拉框選擇對(duì)應(yīng)服務(wù)），點(diǎn)擊“Add”添加到“CurrentMembers”當(dāng)前成員列表中。添加所有組成員，點(diǎn)擊“Finished”完成配置。配置虛擬服務(wù)器虛擬服務(wù)器（Virtualserver）是一個(gè)可PING的虛擬IP地址和服務(wù)端口的組合（比如0:http），虛擬服務(wù)器與負(fù)載均衡池（Pool）相對(duì)應(yīng)，負(fù)載均衡池由一或多個(gè)節(jié)點(diǎn)（Node）組成。虛擬服務(wù)器有許多類型，本文只講述業(yè)務(wù)與軟件產(chǎn)品使用的標(biāo)準(zhǔn)虛擬服務(wù)器配置。創(chuàng)建虛擬服務(wù)器配置步驟：在導(dǎo)航面板中選擇LocalTraffic->VirtualServers標(biāo)簽，點(diǎn)擊“Create”按鈕添加虛擬服務(wù)器。虛擬服務(wù)器配置1虛擬服務(wù)器配置2在“Name”文本框中輸入名稱，“Address”文本框中輸入虛擬服務(wù)器IP地址，并在“ServicePort”文本框中輸入服務(wù)端口號(hào)或在下拉框中選擇現(xiàn)有的服務(wù)名稱。對(duì)于FTP服務(wù)必須要從下拉框選擇服務(wù)名稱。在Configuration欄的Type類型中，缺省為“Standard”方式，一般不需要更改。如果虛擬服務(wù)器只用于內(nèi)部一個(gè)節(jié)點(diǎn)服務(wù)器1:1方式訪問時(shí)，可以選用“Forwarding(IP)”方式；如果負(fù)載均衡器僅用于4層交換，可以采用“Performance(Layer4)”方式，以提高四層處理性能；如果虛擬服務(wù)器用于HTTP服務(wù)，可以采用“Performance(HTTP)”方式，以提升HTTP請(qǐng)求處理性能。根據(jù)業(yè)務(wù)需要可以對(duì)應(yīng)調(diào)整Protocol、OneConnectProfile（用于實(shí)現(xiàn)TCP連接復(fù)用，即多個(gè)連接到負(fù)載均衡器時(shí)，負(fù)載均衡器只需一個(gè)連接到內(nèi)部服務(wù)器，以提升服務(wù)器性能）、HTTPProfile、FTPProfile等。在Resourse屬性中，選擇相應(yīng)的pool和persistence方式。點(diǎn)擊“Finished”完成創(chuàng)建虛擬服務(wù)器。將虛擬服務(wù)器和負(fù)載均衡器相關(guān)聯(lián)和會(huì)話保持配置配置步驟：在“LocalTraffic→VirtualServers”中點(diǎn)擊相應(yīng)的Virtualserver，選擇Resources項(xiàng)會(huì)話保持配置頁面對(duì)DefaultPersistenceProfile進(jìn)行配置選擇會(huì)話保持方法說明：會(huì)話保持驗(yàn)證可使用“tcpdump”工具進(jìn)行驗(yàn)證，tcpdump使用參見附錄說明。點(diǎn)擊”Update”完成配置。配置健康檢查節(jié)點(diǎn)狀態(tài)監(jiān)控（Monitor）用于檢驗(yàn)負(fù)載均衡池中成員節(jié)點(diǎn)的連接和服務(wù)信息，包括健康監(jiān)控和性能監(jiān)控，當(dāng)池中成員節(jié)點(diǎn)性能下降時(shí)BIG-IP系統(tǒng)將會(huì)把流量重定向到其它節(jié)點(diǎn)。配置節(jié)點(diǎn)狀態(tài)監(jiān)控包括如下兩項(xiàng)工作：自定義節(jié)點(diǎn)狀態(tài)監(jiān)控監(jiān)控與節(jié)點(diǎn)/負(fù)載均衡池相關(guān)聯(lián)其中自定義節(jié)點(diǎn)狀態(tài)監(jiān)控配置步驟是可選的，當(dāng)使用默認(rèn)監(jiān)控模板時(shí)，此步驟可以跳過。自定義節(jié)點(diǎn)狀態(tài)監(jiān)控節(jié)點(diǎn)如果使用標(biāo)準(zhǔn)服務(wù)，只需要使用BIG-IP系統(tǒng)提供默認(rèn)監(jiān)控模板即可，不需要進(jìn)行自定義。當(dāng)監(jiān)控信息需要對(duì)服務(wù)的內(nèi)容或服務(wù)協(xié)議信息進(jìn)行監(jiān)控時(shí)，這時(shí)需要進(jìn)行自定義節(jié)點(diǎn)狀態(tài)監(jiān)控。配置步驟：在導(dǎo)航面板中選擇“Monitor”中的“Monitors”標(biāo)簽，點(diǎn)擊“Create”按鈕添加監(jiān)控。創(chuàng)建Monitor－選擇Monitor類型模板在“Type”中選擇采用模板，比如HTTP或HTTPS等，在“Name”文本框輸入監(jiān)控名稱。創(chuàng)建Monitor－自定義Monitor在“Configure”表格中使用默認(rèn)屬性。根據(jù)監(jiān)控模板的不同對(duì)屬性進(jìn)行配置，比如對(duì)HTTPECV屬性的“SendString”配置為“GET/user/index.html”；將Internal更改為10秒，Timeout更改為31秒(3XInternal+1)。完成監(jiān)控配置后，點(diǎn)擊“Finished”完成配置。說明：當(dāng)默認(rèn)監(jiān)控方法無法實(shí)現(xiàn)檢測(cè)服務(wù)器運(yùn)行狀態(tài)時(shí)，需要定制的監(jiān)控。例如，默認(rèn)的域名方式使用“GET/”命令無法獲取正確頁面或頁面經(jīng)過多次重定向，這時(shí)BIG-IP系統(tǒng)無法正確檢測(cè)服務(wù)器狀態(tài)，我們需要手工更改命令，比如“GET/user/index.html”，使HTTP檢查方法可以檢測(cè)出服務(wù)器的運(yùn)行狀態(tài)。監(jiān)控與節(jié)點(diǎn)/負(fù)載均衡池相關(guān)聯(lián)監(jiān)控必須要跟節(jié)點(diǎn)/負(fù)載均衡池相關(guān)聯(lián)才能生效。監(jiān)控與節(jié)點(diǎn)相關(guān)聯(lián)配置步驟：點(diǎn)擊左側(cè)的導(dǎo)航條，選擇LocalTraffic->VirtualServers->Nodes標(biāo)簽，選中需要監(jiān)控的節(jié)點(diǎn)（Node）調(diào)整HealthMonitors節(jié)點(diǎn)配置項(xiàng)下拉框HealthMonitors缺省為NodeDefault。NodeDefault設(shè)置可以在LocalTraffic->VirtualServers->Nodes->DefaultMonitor標(biāo)簽中調(diào)整；如果需要針對(duì)具體節(jié)點(diǎn)調(diào)整監(jiān)控方式，選擇下拉框HealthMonitors為NodeSpecific，將可用的Monitor方式選中點(diǎn)擊“<<”添加到SelectMonitors中；如果不需要監(jiān)控，選擇None即可。配置DefaultMonitor完成配置后，點(diǎn)擊Update按鈕使配置生效。監(jiān)控與負(fù)載均衡池相關(guān)聯(lián)配置步驟：點(diǎn)擊左側(cè)的導(dǎo)航條，選擇LocalTraffic->VirtualServers->Pools標(biāo)簽，選中需要監(jiān)控的負(fù)載均衡池（Pool）將Monitore與負(fù)載均衡池相關(guān)聯(lián)在HealthMonitors中將可用的Monitor方式選中點(diǎn)擊“<<”添加到Active欄中。完成配置后，點(diǎn)擊Update按鈕使配置生效。檢查系統(tǒng)狀態(tài)配置完負(fù)載均衡池、節(jié)點(diǎn)監(jiān)控和虛擬服務(wù)器后，我們可以通過“Localtraffic->VirtualServers”頁面查看Virtualserver的狀態(tài)；“Localtraffic->Pool”頁面查看Pool的狀態(tài)。當(dāng)圖標(biāo)為綠色時(shí)表示節(jié)點(diǎn)或虛擬服務(wù)器可用，當(dāng)圖標(biāo)為紅色則意味著節(jié)點(diǎn)或虛擬服務(wù)器狀態(tài)為離線，如果圖標(biāo)為黃色說明節(jié)點(diǎn)或虛擬服務(wù)器不可用。如果圖標(biāo)為藍(lán)色說明節(jié)點(diǎn)或虛擬服務(wù)器狀態(tài)未知，通常此時(shí)沒有啟用Monitor。如果圖標(biāo)為黑色說明虛擬服務(wù)器被禁用。配置SNAT跟路由器、防火墻一樣，BIG-IP系統(tǒng)提供NAT(NetworkAddressTranslation)和SNAT(SecureNetworkAddressTranslation)地址轉(zhuǎn)換機(jī)制，SNAT地址轉(zhuǎn)換跟CiscoPAT方式類似。如果不啟用NAT/SNAT，負(fù)載均衡池內(nèi)部節(jié)點(diǎn)將無法訪問外部網(wǎng)絡(luò)，即外部IP可以通過虛擬服務(wù)器IP訪問負(fù)載均衡池節(jié)點(diǎn)，但負(fù)載均衡池內(nèi)部節(jié)點(diǎn)不能發(fā)起對(duì)外連接。NAT和SNAT都可以通過地址轉(zhuǎn)換訪問外部網(wǎng)絡(luò)，不過SNAT不接受外部發(fā)起的連接。一個(gè)SNAT地址可以對(duì)應(yīng)一個(gè)節(jié)點(diǎn)地址、多個(gè)節(jié)點(diǎn)地址或一個(gè)VLAN網(wǎng)段。NAT地址與節(jié)點(diǎn)地址是一對(duì)一的關(guān)系。本文僅給出業(yè)務(wù)與軟件常用的SNAT配置步驟。說明：SNAT地址可以不是唯一的，比如，SNAT地址可以使用虛擬服務(wù)器的IP地址。配置步驟在導(dǎo)航面板中選擇LocalTraffic->SNATs標(biāo)簽，點(diǎn)擊“Create”按鈕添加SNAT地址。SNAT配置在“Name”文本框中輸入名稱在“Translation”文本框中輸入SNATIP地址，并在“OriginList”的“OriginAddress”文本框中輸入節(jié)點(diǎn)IP地址或在“VLANTraffic”的下拉框中選擇“Enableon”或“Disableon”在VLANList中選擇相應(yīng)的Vlan，點(diǎn)擊“<<”加入“Selected”列表。按“Finished”完成添加SNATIP地址。通常我們希望內(nèi)部節(jié)點(diǎn)可以Ping到外部網(wǎng)絡(luò)，這時(shí)我們需要在System>GernalProperties>LocalTraffic>Gernal”中啟用“SnatPacketforwarding“。說明：如果需要添加外部單獨(dú)訪問內(nèi)部特定節(jié)點(diǎn)IP。由于NAT和SNAT不能共存，可以針對(duì)特定節(jié)點(diǎn)創(chuàng)建單個(gè)節(jié)點(diǎn)組成的負(fù)載均衡池Pool，服務(wù)為“0”，然后創(chuàng)建虛擬服務(wù)器VIP，服務(wù)也為“0”，將VIP和Pool關(guān)聯(lián)起來，這時(shí)候這個(gè)VIP就是那臺(tái)要訪問的服務(wù)器。驗(yàn)證SNAT配置在檢查SNAT配置正確性之前，必須確保BIG-IP系統(tǒng)網(wǎng)關(guān)已經(jīng)配置完畢。請(qǐng)?jiān)贑LI界面用“netstat–nr”命令確定網(wǎng)關(guān)信息已經(jīng)配置完畢：f5test1:~#netstat-nrRoutingtablesInternet:DestinationGatewayFlagsMTUIfdefault54UGS3400vlan3554UGHc3400vlan92/26link#7UC3400vlan500.e0.fc.5.36.78UHLc3400vlan540.e0.fc.2.5d.f2UHLc3400vlan1127UGRS4352lo0UH4352lo0192.168.1link#6UC3400vlan0192.168.129link#8UC3400vlan22link#8UHLc3400vlan23link#8UHLc3400vlan260.e5.27UHLc3400lo0f5test1:~#在BIG-IP系統(tǒng)CLI界面中用TCPDUMP驗(yàn)證SNAT配置。舉例，在內(nèi)部節(jié)點(diǎn)（IP:2）中Ping外部IP地址(2)，BIG-IP的InternalVLANIP為6（對(duì)應(yīng)SNAT地址為13），測(cè)試顯示如下：f5test1:~#tcpdump-iexternalhost13andicmptcpdump:listeningonexternal11:04:55.08557613>2:icmp:echorequest11:04:55.0878032>13:icmp:echoreply11:04:55.09955013>2:icmp:echorequest11:04:55.1027972>13:icmp:echoreplyf5test1:~#tcpdump-iinternalhost2andicmptcpdump:listeningoninternal11:06:02.8595182>2:icmp:echorequest11:06:02.8617882>2:icmp:echoreply11:06:02.8650222>2:icmp:echorequest11:06:02.8667682>2:icmp:echoreply

雙機(jī)配置在業(yè)務(wù)與軟件產(chǎn)品中使用BIG-IP系統(tǒng)一般都會(huì)配置雙機(jī)。在配置BIG-IP系統(tǒng)雙機(jī)（Failover）之前請(qǐng)確認(rèn)兩臺(tái)BIG-IP系統(tǒng)兩者的軟件版本必須一致（如BIG-IPVersion9.2.334.3），在CLI使用“bversion”查看或者在Web頁面的導(dǎo)航面板中選擇“System”中的“GeneralProperties”標(biāo)簽，查看版本信息。無論主用系統(tǒng)還是備機(jī)都要進(jìn)行基本配置。本處僅給出配置雙機(jī)的注意事項(xiàng)和基本配置后的配置步驟。注意事項(xiàng)如果以前已經(jīng)有其它配置，可以通過命令請(qǐng)空配置，“reboot”重啟BIG-IP系統(tǒng)清空現(xiàn)有配置，然后使用web頁面進(jìn)行基本配置，注意在console或連在管理網(wǎng)口上執(zhí)行：備份配置信息文件（備份配置文件保存在“/var/local/ucs”目錄中）

[root@test:Active]#bconfigsavemybackup.ucs刪除各個(gè)配置信息文件

[root@test:Active]#breset#約30秒，等待bigip為Active狀態(tài) [root@test:Active]#bbasereset#約30秒，等待bigip為Active狀態(tài) [root@test:Active]#bdbreset#約30,等待bigip為Active狀態(tài)重啟機(jī)器

[root@test:Active]#reboot雙機(jī)設(shè)置配置步驟：確認(rèn)BIG-IP運(yùn)行在雙機(jī)模式。在導(dǎo)航條選擇SYSTEM->Platform，HithAvailability設(shè)置中應(yīng)選擇為RedundantPair。 雙機(jī)Platform配置通常BIG-IP1的UnitID為1，BIG-IP2的UnitID為2。在導(dǎo)航條選擇SYSTEM->HighAvailability，完成如下配置（通過舉例說明）：PrimaryFailoverAddress輸入兩臺(tái)BIGIP的內(nèi)網(wǎng)SelfIP地址

BIG-IP1的SelfIP為,PeerIP為;

BIG-IP1的SelfIP為,PeerIP為SecondaryFailoverAddress輸入兩臺(tái)BIGIP的外網(wǎng)SelfIP地址

BIG-IP1的SelfIP為24,PeerIP為25;

BIG-IP1的SelfIP為25,PeerIP為24RedundancyMode選擇Active/Standby模式EnableNetworkFailover選項(xiàng)。BIG-IP1雙機(jī)設(shè)置BIG-IP2雙機(jī)設(shè)置雙機(jī)狀態(tài)監(jiān)控設(shè)置BIG-IP支持多種雙機(jī)狀態(tài)監(jiān)控方式，主要有系統(tǒng)、網(wǎng)關(guān)和VLAN三種Fail-safe方式。系統(tǒng)Fail-safe通常選用缺省配置，不需要改動(dòng)。業(yè)務(wù)與軟件一般采用VLANFail-safe方式實(shí)現(xiàn)雙機(jī)狀態(tài)監(jiān)控，當(dāng)VLAN沒有流量達(dá)到Timeout超時(shí)時(shí)間后執(zhí)行預(yù)先規(guī)定的操作，通常選擇Failover操作。VLANFailsafe配置步驟（方法一）：在Web界面導(dǎo)航條選擇Network->VLANs->選中VLAN（如External）在VLAN頁面中的Configuration下拉框選中“Advanced”VLANFailsafe配置(1)選中“ArmFailsafe”復(fù)選框在“Timeout”中填寫30在Action選擇Failover點(diǎn)擊Update按鈕完成配置。由于BIG-IP系統(tǒng)無法同步這項(xiàng)配置，需要在主備雙機(jī)分別進(jìn)行配置。。VLANFailsafe配置步驟（方法二）：在Web界面導(dǎo)航條選擇HighAvailability在Fail-safe標(biāo)簽下拉框選擇VLANs點(diǎn)擊Add按鈕添加VLANFailsafe在VLAN下拉框選中特定VLAN（如External）VLANFailsafe配置(1)在“Timeout”中填寫30在Action選擇Failover點(diǎn)擊Finished按鈕完成配置。由于BIG-IP系統(tǒng)無法同步這項(xiàng)配置，需要在主備雙機(jī)分別進(jìn)行配置。。雙機(jī)狀態(tài)檢查和配置同步狀態(tài)檢查——在配置完初始化配置并重啟后，通過“ifconfig–a”命令確認(rèn)在主用BIG-IP系統(tǒng)顯示ShareIP，而在備用BIG-IP系統(tǒng)僅顯示SelfIP，用“bfailovershow”命令可以確認(rèn)系統(tǒng)的狀態(tài)?；蛘咴赪eb配置界面中通過“System->HighAvailable”和“Network->SelfIPAddresses”進(jìn)行查看，在浮動(dòng)IP屬性中，其狀態(tài)為“Floating”，在Web界面的“BIP-IPStatusApplet”窗口也顯示了BIG-IP系統(tǒng)的狀態(tài)。連接狀態(tài)鏡像配置——BIG-IP系統(tǒng)負(fù)載均衡池、虛擬服務(wù)器、監(jiān)控等配置請(qǐng)參見WEB配置部分。為了同步主備機(jī)之間虛擬服務(wù)器連接狀態(tài)，需要在虛擬服務(wù)器屬性頁中啟用“MirrorConnections”選項(xiàng)；忽略其提示，選擇“確定”。配置同步——在主用BIG-IP系統(tǒng)的“System->HighAvailable”頁面中，點(diǎn)擊“SynchronizeConfiguration”按鈕，把主用系統(tǒng)上的四層業(yè)務(wù)配置同步到備機(jī)中去。頁面顯示成功后返回。切換到備機(jī)的web登錄頁面，可以觀察到，主用系統(tǒng)上的L4/L7層業(yè)務(wù)配置已經(jīng)全部同步到備機(jī)中了。配置同步驗(yàn)證備機(jī)的可用性——在主用BIG-IP系統(tǒng)中強(qiáng)制切換為Standby備用運(yùn)行模式，在備用BIG-IP系統(tǒng)中通過WEB界面或CLI界面查看狀態(tài)是否切換為Active主用運(yùn)行模式。檢查上級(jí)網(wǎng)關(guān)有效性以及測(cè)試應(yīng)用的可用性。

附錄B常見問題說明BIG-IP單機(jī)或兩臺(tái)雙機(jī)系統(tǒng)處于Standby狀態(tài)，為什么？單系統(tǒng)處于Standby狀態(tài)，通常是BIG-IP系統(tǒng)Licnese沒有生效，請(qǐng)執(zhí)行bigstartrestart命令查看sod進(jìn)程是否正常啟動(dòng)：f5test-1:~#bigstartrestartbigstart:restartinetdbigstart:restartnamedbigstart:restartsodbigstart:sodkilled,15secondsexpired<輸出省略>f5test-1:~#bfailoverThefailoverstateisSTANDBY.解決辦法：激活License。激活License后bigstartrestart命令結(jié)果如下：f5test-1:~#bigstartrestartbigstart:restartinetdbigstart:restartnamedbigstart:restartsodJan1614:52:29f5test-1kernel:BIG-IPauthorizationsuccessful.Jan1614:52:29f5test-1kernel:SSLTPSLevel:100<輸出省略>f5test-1:~#bfailovershowThefailoverstateisACTIVE.BIG-IP系統(tǒng)如何進(jìn)行配置備份和恢復(fù)？在CLI使用“bconfigsave<config-file>.ucs”保存配置，使用“configinstall<config-file>.ucs”恢復(fù)配置。在Web配置界面中“System-->Archives”中，點(diǎn)擊create，在備份頁面輸入名稱點(diǎn)擊finished保存當(dāng)前配置，。如果不指定路徑，默認(rèn)保存在目錄“/var/local/ucs”中。選擇恢復(fù)：在“System-->Archives”中選擇相應(yīng)的備份，點(diǎn)擊“Restore”恢復(fù)配置SSH訪問具有密碼加密傳輸?shù)膬?yōu)點(diǎn)，請(qǐng)問從哪里獲取SSH客戶端？常用的SSH客戶端有：PuTTY——本免費(fèi)工具為綠色軟件，無需安裝。TTSSH——.au/~roca/ttssh.htmlTTSSH是公司標(biāo)準(zhǔn)軟件TeraTerm的SSH擴(kuò)展免費(fèi)軟件。SecureCRT——/本軟件功能強(qiáng)大，評(píng)估版為免費(fèi)軟件。本例僅給出PuTTY的使用說明：運(yùn)行PuTTY，在“PuTTYConfiguration”窗口中輸入主機(jī)名，并選定協(xié)議為“SSH”，點(diǎn)擊“Open”即可通過SSH登錄到BIG-IP系統(tǒng)：網(wǎng)絡(luò)設(shè)備通常有收集系統(tǒng)信息的宏命令，F(xiàn)5有沒有相應(yīng)命令？與華為路由器“displaybase-information”、華為交換機(jī)“displaydiagnostic-information”、思科“showtech-support”和NetScreen防火墻“gettech-support”命令類似，BIG-IP系統(tǒng)也有對(duì)應(yīng)信息收集工具叫F5QkviewDiagnosticTool。通過Qkview工具可以采集BIG-IP上的配置信息及日志信息，以供離線的故障診斷。在CLI界面中執(zhí)行“qkview”，Qkview工具執(zhí)行完成后將輸出信息保存在文件“/var/tmp/<host-name>-tech.out”中。在進(jìn)行故障診斷和尋求高級(jí)技術(shù)支持，別忘了執(zhí)行本命令。Qkview也可以通過Web界面獲取，步驟如下：在SystemSupport中，選中QKView點(diǎn)擊Start運(yùn)行Qkview工具，運(yùn)行過程如下：Qkview運(yùn)行過程大概會(huì)持續(xù)3至5分鐘，執(zhí)行結(jié)果如下：點(diǎn)擊Download下載Qkview的輸出文件。注意：修改下載文件的文件名以免雙機(jī)的文件重名沖突。下載完后及時(shí)清理/var/tmp/目錄，避免空間不足。如何使用TCPDUMP進(jìn)行Troubleshooting？TCPDUMP是Unix系統(tǒng)常用的報(bào)文分析工具，TCPDUMP經(jīng)常用于故障定位，如會(huì)話保持失效、SNAT通信問題等。本文講述TCPDUMP命令的基本用法，更詳細(xì)的使用說明請(qǐng)參見“mantcpdump”。命令語法：tcpdump[-adeflnNOpqRStvxX][-ccount][-Ffile][-iinterface][-mmodule][-rfile][-ssnaplen][-Ttype][-wfile][-Ealgo:secret][expression]其中：-i 報(bào)文捕獲監(jiān)聽的接口，如果不指定，默認(rèn)為系統(tǒng)最小編號(hào)的接口（不包括loop-back接口）-n 不將IP地址或端口號(hào)轉(zhuǎn)化為域名或協(xié)議名稱-r 從文件中讀?。ㄔ撐募?w選項(xiàng)創(chuàng)建）-s 確定捕獲報(bào)文大小-w 直接將捕獲報(bào)文寫入文件，而不是對(duì)其進(jìn)行解析并通過屏幕顯示（與-r選項(xiàng)對(duì)應(yīng)）-x 每個(gè)報(bào)文以十六進(jìn)制方式顯示-X 每個(gè)報(bào)文同時(shí)以文本和十六進(jìn)制顯示expression 匹配表達(dá)式的分組將進(jìn)行解析。如果不指定表達(dá)式，系統(tǒng)對(duì)所有分組進(jìn)行捕獲分析。復(fù)雜表達(dá)式可以使用“and”與、“or”或以及“not”非操作進(jìn)行組合。表達(dá)式有三種：type 三種種類：host、net和port。比如：host。如果不指定類型，默認(rèn)為host。dir 有src、dst、srcordst和srcanddst四種方向。默認(rèn)為srcordst，即雙向。proto 常見協(xié)議有：ip、arp、tcp、udp、icmp等。如果不指定協(xié)議類型，默認(rèn)為所有協(xié)議。舉例1：對(duì)external接口主機(jī)并且端口為1433的流量進(jìn)行監(jiān)控。端口不指定tcp和udp，默認(rèn)為同時(shí)對(duì)tcp和udp進(jìn)行報(bào)文捕獲。本命令不解析IP地址/端口號(hào)為主機(jī)名/服務(wù)名稱，同時(shí)顯示報(bào)文十二進(jìn)制和文本信息，報(bào)文最大為3400字節(jié)。f5-1:~#tcpdump-iexternal-n-X-s3400port1433andhosttcpdump:listeningonexternal21:48:41.295546.1201>4.1433:.302192826:302192827(1)ack558871968win64360(DF)0x0000012c08004500002938cf40007f06c3b2.,..E..)8.@0x00108bd460020a4b092c04b10599120318ba..`..K.,0x0020214fb5a05010fb68a926000000!O..P..h.&...21:48:41.2960154.1433>.1201:.ack1win64636(DF)0x0000012c080045000028cb2d40007f063155.,..E..(.-@...1U0x00100a4b092c8bd46002059904b1214fb5a0.K.,..`!O..0x0020120318bb5010fc7ca812000000000000P..|0x00300000..21:48:50.701130.1206>4.1433:.304974934:304974935(1)ack565108263win64882(DF)0x0000012c08004500002938f740007f06c38a.,..E..)8.@0x00108bd460020a4b092c04b60599122d8c56..`..K.,-.V0x002021aede275010fd720a6b000000!..'P..r.k...21:48:50.7025674.1433>.1206:.ack1win65267(DF)0x0000012c080045000028d3a640007f0628dc.,..E..(..@...(.0x00100a4b092c8bd46002059904b621aede27.K.,..`!..'0x0020122d8c575010fef308ea000000000000.-.WP0x00300000..舉例2：對(duì)internal接口主機(jī)3和1之間端口8080的流量進(jìn)行分組捕獲。本命令不解析IP地址/端口號(hào)為主機(jī)名/服務(wù)名稱，報(bào)文最大為1600字節(jié)，捕獲信息以“/var/tmp/intdump”文件保存：tcpdump-s1600-niinternal-w/var/tmp/intdumphost3andhost1andport8080如果查看該捕獲文件，請(qǐng)用tcpdump–r/var/tmp/intdump命令。如何實(shí)時(shí)監(jiān)視BIG-IP的連接狀態(tài)？請(qǐng)使用“watchbconn”命令，退出請(qǐng)按“Ctrl+C”，顯示示例如下：Every2secondsbconnTueFeb1716:13:272004Every2secondsbconnTueFeb1716:13:272004fromvipnodeproto93:0->13:0->2:0icmp35:3574->13:0->2:0tcp35:3586->12:80->2:80tcp35:3589->12:80->2:80tcp如何備份和恢復(fù)配置？對(duì)BIG-IP進(jìn)行配置調(diào)整之后，建議及時(shí)對(duì)BIG-IP進(jìn)行配置備份。備份方法步驟如下：進(jìn)入SystemArchives，點(diǎn)擊Create:配置備份好后，點(diǎn)擊設(shè)配置文件并下載到外部電腦上：恢復(fù)配置方法類似，在上圖中點(diǎn)擊Restore按鈕即可完成配置恢復(fù)。如何添加“只讀”權(quán)限的管理員帳號(hào)為了避免對(duì)bigip進(jìn)行誤操作，建議管理員以“只讀”權(quán)限的用戶名進(jìn)行登錄，建立“只讀”權(quán)限的管理員帳號(hào)方法如下：點(diǎn)擊左側(cè)導(dǎo)航條的SystemUsersCreate:進(jìn)入添加管理員帳號(hào)的操作界面：在帳號(hào)頁面中如下各欄進(jìn)行配置：UserName代表用戶名Authentication:輸入該用戶登錄時(shí)得到的密碼WebUserRole選擇該用戶登錄時(shí)所具有的操作權(quán)限. Administrator:超級(jí)用戶 Operator:可以對(duì)服務(wù)器節(jié)點(diǎn)進(jìn)行up/down操作的權(quán)限 Guest:完全只讀的權(quán)限 NoAccess:無任何訪問的權(quán)限點(diǎn)擊Finished按鈕完成配置。如何查詢?cè)O(shè)備的序列號(hào)？負(fù)載均衡器的序列號(hào)可能從設(shè)備前面板右邊的機(jī)架安裝處獲得，是在一個(gè)條形碼標(biāo)簽下面以bip開頭的一串字串。如果設(shè)備已經(jīng)上架，不方便查看設(shè)備的序列號(hào)的話，也可以通過License文件，獲取設(shè)備的序列號(hào)。License文件保存在/config/bigip.license文件中。在文件中搜尋以下信息：RegistrationKey:JSUIF-IISEN-YSJWQ-JRRVP-LIVYDKELicensedversion:9.2.3PlatformID:C62aApplianceSN:RegistrationKey:JSUIF-IISEN-YSJWQ-JRRVP-LIVYDKELicensedversion:9.2.3PlatformID:C62aApplianceSN:bip083200s其中的bip083200s即為設(shè)備的序列號(hào)。對(duì)某一VirtualServer用TCPDUMP命令無法抓到包如何處理？可能是該VirtualServer的屬性中選用了PerformanceLayer4類型，導(dǎo)致數(shù)據(jù)包由四層加層ASIC芯片處理而沒有流經(jīng)CPU引起，碰到這種情況，選取該VirtualServer將type由PerformanceLayer4臨時(shí)改為Standard再來用TCPDUMP命令抓包，抓包以后，改回到PerformanceLayer4。附錄資料：不需要的可以自行刪除Excel的50個(gè)使用技巧一、建立分類下拉列表填充項(xiàng)我們常常要將企業(yè)的名稱輸入到表格中，為了保持名稱的一致性，利用“數(shù)據(jù)有效性”功能建了一個(gè)分類下拉列表填充項(xiàng)。1.在Sheet2中，將企業(yè)名稱按類別（如“工業(yè)企業(yè)”、“商業(yè)企業(yè)”、“個(gè)體企業(yè)”等）分別輸入不同列中，建立一個(gè)企業(yè)名稱數(shù)據(jù)庫。

2.選中A列（“工業(yè)企業(yè)”名稱所在列），在“名稱”欄內(nèi)，輸入“工業(yè)企業(yè)”字符后，按“回車”鍵進(jìn)行確認(rèn)。仿照上面的操作，將B、C……列分別命名為“商業(yè)企業(yè)”、“個(gè)體企業(yè)”……3.切換到Sheet1中，選中需要輸入“企業(yè)類別”的列（如C列），執(zhí)行“數(shù)據(jù)→有效性”命令，打開“數(shù)據(jù)有效性”對(duì)話框。在“設(shè)置”標(biāo)簽中，單擊“允許”右側(cè)的下拉按鈕，選中“序列”選項(xiàng)，在下面的“來源”方框中，輸入“工業(yè)企業(yè)”，“商業(yè)企業(yè)”，“個(gè)體企業(yè)”……序列（各元素之間用英文逗號(hào)隔開），確定退出。

再選中需要輸入企業(yè)名稱的列（如D列），再打開“數(shù)據(jù)有效性”對(duì)話框，選中“序列”選項(xiàng)后，在“來源”方框中輸入公式：=INDIRECT（C1），確定退出。4.選中C列任意單元格（如C4），單擊右側(cè)下拉按鈕，選擇相應(yīng)的“企