F5配置手冊(內(nèi)部)

F5

Link

Controller1關于Link

Controller的說明（簡稱LC）F5的負載均衡有三大產(chǎn)品（

）：服務器負載均衡（

）：全局多站點負載均衡LC（

Controller）：鏈路負載均衡通常部署在

前面，實現(xiàn)對web或者應用服務器的負載均衡的功能可以總結(jié)為一個智能的DNS服務器，其內(nèi)核用的就是

Bund9，通過做域名解析來將用戶的訪問數(shù)據(jù)流導向不同的站點或者數(shù)據(jù)中心，同時還可以作為DNS服務器來使用

Controller：LC是和的結(jié)合體，LC可以實現(xiàn)簡單的4層服務器負載均衡的功能和簡單的的功能；因此，LC對內(nèi)可以實現(xiàn)服務器的負載均衡，對外可以實現(xiàn)多鏈路接入的負載均衡，通過LC的職能DNS解析功能返回給不同的客戶不同的DNS解析結(jié)果，這樣就可以實現(xiàn)根據(jù)一定的策略使不同的用戶從不同的ISP線路訪問站點2配置過程確定網(wǎng)絡結(jié)構(gòu)圖，確定應用的訪問流程，確定詳細地址和路由規(guī)劃設備初始化LTM部分設置：主要是設置Virtual

和流量的負載均衡

Controller部分設置：主要是通過域名解析的方式實現(xiàn)流量的負載均衡雙機設置如何進行測試如何進行故障排查3第一部分設備初始化配置4設備初始化內(nèi)容，安裝BIG-IP

的版本，最好是通過，Vmware全新安裝的方式，不要通過升級的方式打最新的Hotfix，目前9.4.8版本最新的

Hotfix

版本為Hotfix-BIGIP-9.4.8-407.0-HF3.im

可以通過進行下載配置管理地址和管理路由如果使用默認地址，管理口為如果需要使用其它地址，可以在console下通過config命令進行修改，也可以通過液晶面板按鍵操作進行修改激活設備，申請設置正確的時區(qū)，一般為

asia/shanghai，以及確認或者修改系統(tǒng)時間（在命令行下通過date命令進行修改）設定管理員admin（For

web，默認為admin），root（ForCLI，默認為default）的密碼5安裝操作系統(tǒng)確認設備軟件版本，要求為

Version

85

，在CLI下用命令b

version查看如果不是，請安裝

Version

85

的版本，最好是通過Vmware全新安裝的方式，不要通過升級的方式安裝方法請參考相關《設備操作系統(tǒng)安裝手冊》文檔注意，在安裝之前請備份/config/

文件通常，該文件內(nèi)容如下：[root@f5:Active]

config

more

RegistrationKey:

KQYHC-UMEAR-FHHUK-FJDPU-YFYHAKJ設備重裝后，該文件會丟失，而設備的激活需要該文件，如果不慎丟失，需要開一個要求

Tac幫忙查找，會比較麻煩6安裝補丁，要求安裝最新的Hotfix，目前9.4.8版本最新的

Hotfix

版本為，Hotfix-BIGIP-9.4.8-385.0-HF2.im

可以通過進行下載，下載的時候需要申請一個F5網(wǎng)站的帳號，登陸后即可下載有了Hotfix文件后，需要將文件上傳到F5設備上，通常上傳到

/tmp目錄下F5設備不支持和ftp

，但是默認是一個SFTP

，可以通過Secure

FTP客戶端直接連接到F5設備上，通過root帳號登陸，進行文件的上傳和下載；如果沒有Secure

FTP客戶端，也可以在筆記本上起一個FTP服務器，再通過CLI從F5設備連接到筆記本上來拉Hotfix文件上傳Hotfix后，安裝Hotfix前，請通過連接到設備上，進入/tmp目錄下，通過執(zhí)行命令

im

（hotfix文件名），安裝將會自動完成安裝完成后，設備會提示你對設備進行

box

reboot，即輸入命令/usr/bin/full_box_reboot，等待設備重啟完成，也可以將設備關電重啟，完成后可以用命令b

version進行驗證7激活設備license設備激活后license如右圖所示，請確認license的正確性8初始化基本設置設置管理口地址和管理路由，默認為設置HostName，注意要求為一個設置HighAvailability模式，此處為單機模式，選擇Single

Device，如果做雙機，則要選擇Redundant

設置

Zone，通常為Asia/shanghai設置Root和Admin密碼，默認為root/default，admin/admin9第二部分

Outbound流量均衡部分配置10LinkController實施前的準備確定網(wǎng)絡結(jié)構(gòu)圖！確定網(wǎng)絡結(jié)構(gòu)圖！確定網(wǎng)絡結(jié)構(gòu)圖！確定應用的訪問流程！確定應用的訪問流程！確定應用的訪問流程！確定合理正確的地址路由規(guī)劃！確定合理正確的地址路由規(guī)劃！確定合理正確的地址路由規(guī)劃！11/24 Vlan

CNC：地址規(guī)劃/24 Vlan

CNC：ISP

CT ISP

CNC54/24 54/24Vlan

CT：/24

Link

ControllerVlan

INTERNAL：00/2454/24Firewall

01:8002:80辦公網(wǎng)用戶12LC

V9配置邏輯結(jié)果圖-Outbound流量Link1 Link2

iRules

LinkC13配置添加3個：CNC

INTERNAL，并對每個劃分端口14配置

按照地址規(guī)劃配置每個的IP地址15配置一個Default_Gateway_Pool16配置默認路由配置默認路由，指向Default_Gateway_Pool17配置其它靜態(tài)路由18配置Outbound

（簡稱）19LC

Outbound流量均衡部分配置說明這樣，基本的Outbound負載均衡的配置就結(jié)束了，內(nèi)部的用戶，可以通過兩條線路訪問外面了下面我們要繼續(xù)進一步討論如何優(yōu)化Outbound負載均衡的策略和滿足一些特殊的需求，主要是通過來實現(xiàn)的20Outbound的高級配置－根據(jù)運營商選擇線路典型需求如下：對于去往中國電信的訪問，走電信的線路，當電信的線路故障時，走網(wǎng)通的線路，對于去往中國網(wǎng)通的訪問，走網(wǎng)通的線路

，當網(wǎng)通的線路故障時，走電信的線路，其他的訪問在中國電信和中國網(wǎng)通之間負載均衡Default_Gateway_Pool配置過程：建立Pool建立電信/網(wǎng)通地址庫的class建立Rules將Rules和

進行綁定21的高級配置－根據(jù)運營商選擇線路建立由于當電信的線路故障時候需要用網(wǎng)通的線路做備份，所以在里面啟用了”Priority

GroupActivation”，把電信線路的Priority設置高一些，而網(wǎng)通線路的Priority設置低一些。22的高級配置－根據(jù)運營商選擇線路建立由于當網(wǎng)通的線路故障時候需要用電信的線路做備份，所以在里面啟用了”Priority

GroupActivation”，把網(wǎng)通線路的Priority設置高一些，而電信線路的Priority設置低一些。23Outbound的高級配置－根據(jù)運營商選擇線路所有的Pool設定好以后如下：24的高級配置－根據(jù)運營商選擇線路設定好Pool以后，我們需要定義中國電信和中國網(wǎng)通地址段的，然后在中根據(jù)來識別用戶去往那個運營商，通過來判斷內(nèi)網(wǎng)用戶數(shù)據(jù)包的目的地址是是屬于哪個運營商，如果是訪問電信的，就將數(shù)據(jù)發(fā)送到CT_Pool，如果是訪問網(wǎng)通的，就將數(shù)據(jù)發(fā)送到CNC_Pool。25的高級配置－根據(jù)運營商選擇線路中國電信的地址段Class(部分)：class

telcom_class

network

network

network

network

network

network

network

26的高級配置－根據(jù)運營商選擇線路中國網(wǎng)通的地址段Class(部分)：class

cnc_class

network

network

network

network

network

network

network

Class的定義內(nèi)容會保存在配置文件

/config/bigip.conf

里，由于該地址庫較長，因此建議使用直接編輯該配置文件，然后在下執(zhí)行以下兩條命令：

load

save這樣，就定義完成了。27的高級配置－根據(jù)運營商選擇線路根據(jù)去往不同的運營商進行選擇不同線路的rule

Rule.Destination_Base_Route

{＃timing

when

CLIENT_ACCEPTED

{

{

[matchclass

equals

$::ct_class]}{

}

{

[matchclass

[IP::local_addr]

equals

$::cnc_class]}{

CNC_Pool}

else

{

Default_Gateway_Pool}}}28的高級配置－根據(jù)運營商選擇線路定義Rules并將其和進行綁定綁定后就不需要選擇Pool了，如下圖29

常用Rules參考根據(jù)到不同的運營商選定不同的NAT_Pool的Rulesrule

DNS_Outbound_Snat_Rules

{when

LB_SELECTED

{

{

matchclass

[IP::remote_addr]

equals

$::dns_class

}

{

{[IP::addr

[LB::server

addr]

equals

]

}

{snatpool

DNS_SNAT_CT_Pool}

{[IP::addr

[LB::server

addr]

equals

]

}

{snatpool

DNS_SNAT_CNC_Pool}}else

{

}}}30

常用Rules參考對于某些內(nèi)網(wǎng)是公網(wǎng)地址不需要做NAT的when

CLIENT_ACCEPTED

[matchclass

[IP::local_addr]

equals

$::cernet_add]}

[matchclass

[IP::remote_addr]

equals$::donot_snat_cernet]

pool

cernet_donot_snat_poolelse

pool

cernetnat_poolelse

pool

tel_pool31第三部分

Inbound流量均衡部分配置32LC

流量均衡配置邏輯示意圖Link1 Link2 VS_Link1_WWW VS_Link2_WWWPool_WWWWWW_Server

LinkC33LC

流量均衡過程說明ISP

CT ISP

CNC/24 Vlan/24 Vlan

CNC：F5

Link

Controllerwww.F5.，其向

DNS發(fā)起解析

DNS向公網(wǎng)發(fā)起DNS查詢最終查詢到華訊負責解析F5.

這個域名的DNS服務器DSN1或者DNS2DNS1或者DNS2通過DNS遷移配置將www.F5.

的解析權(quán)轉(zhuǎn)到

Link

上

54/24

54/24Vlan

CT：/24Vlan

INTERNAL：00/24最終由

返回給用戶的

DNS解析結(jié)果，如右圖，根據(jù)一定的策略，返回站點的公網(wǎng)地址00或者00典型常用的負載均衡算法有

Robin，，

，GlobalAvailability等

54/24FirewallDNS1

DNS2DNS服務器DNS遷移典型配置INNSINNSwww.F5.INCNAME

INCNAME

01:8002:8034LC

流量均衡算法--Topology一個電信的用戶需要訪問，首先向Local

DNS發(fā)起DNS解析請求Local

DNS通過公網(wǎng)DNS查詢，找到DNS1

23

DNS

電信用戶DNS1告訴Local

DNS該域名由負責解析Local

DNS向發(fā)起DNS解析請求

ISP

CT

ISP

CNC54/24

54/24F5

根據(jù)Topology算法判斷該Local

DNS屬于電信的用戶F5

返回給Local

DNS1.100的地址

Vlan

CT

：/24

Vlan

：/24www.F5.Local

www.F5.00的地址

DNS1

DNS2DNS服務器DNS遷移典型配置INNSINNSINCNAMEwww.F5.

INCNAMEftp.F5.

ftp.wideip.F5.

352Local

DNS53

探測詢，找到DNS13

探測4/24VS_CT_WWW:00:80VS_CNC_WWW:00ISP

CT ISP

CNC 54/24 54/24路發(fā)起對Local

DNS的探/24 Vlan

CNC：DNS1 DNS2LC

Inbound流量均衡算法—Round

（2Local

DNS53

探測詢，找到DNS13

探測4/24VS_CT_WWW:00:80VS_CNC_WWW:00ISP

CT ISP

CNC 54/24 54/24路發(fā)起對Local

DNS的探/24 Vlan

CNC：DNS1 DNS21某用戶需要訪問，首先向

發(fā)起解析請求

通過公網(wǎng)查用戶DNS1告訴

該域名由負責解析

向發(fā)起解析請求

根據(jù)算法，發(fā)起探測，分別從CT線路和線測，比較兩次探測的時間

CT：值比如從CT線路到LDNS的值為，從線路到LDNS的值為，則

返回給LDNS網(wǎng)通線路的地址LDNS返回給用戶的地址 DNS服務器DNS遷移典型配置INININ

IN

36

流量均衡配置過程定義Default_Gateway_Pool并定義一條默認路由指向該pool定義pool和

定義定義定義DNS遷移37LC

Inbound流量均衡配置過程—添加（包含所有的網(wǎng)關地址）38

Inbound流量均衡配置過程默認路由配置默認路由，指向Default_Gateway_Pool39

Inbound流量均衡配置過程—添加Pool設定，是用來代表真實服務器組的，Virtual

將通過調(diào)用將訪問請求轉(zhuǎn)發(fā)到真實的服務器上，如右圖所示，添加一個服務器的40LC

Inbound流量均衡配置過程—添加

設定完，接下來要針對每一條線路設定一個Virtual，每個Virtual都會調(diào)用同一個，如圖，定義VS_CT_Web,調(diào)用Pool_Web41LC

Inbound流量均衡配置過程—添加

和上頁同樣的方法建立一個VS_CNC_Web的，調(diào)用Pool：Pool_Web

定義完成后列表如下圖所示：42

Inbound流量均衡配置過程—添加Listener作用為啟用解析功能，通常為的外網(wǎng)接口地址，如果是雙機則為虛擬如果不配置Listener，則不響應解析請求43

Inbound流量均衡配置過程—添加通常為ISP線路網(wǎng)關的地址，表示有幾條ISP線路以及其網(wǎng)關地址分別為多少需要配置monitor，注意一定要選擇的monitor44

Inbound流量均衡配置過程—添加Link定義完成后如下圖所示正常情況下，如果網(wǎng)線連接好，對端可ping通，Link狀態(tài)為綠色，表示Link狀態(tài)正常，如果網(wǎng)關不通則標記為紅色down如果網(wǎng)關通的情況下，而Link卻標記為紅色down，說明設備配置有問題或者存在其它問題，需要進一步排查45LC

Inbound流量均衡配置過程—Topology算法預設對于

流量均衡來說，通?？蛻魰须娦啪W(wǎng)通線路各一條，建議使用Topology+None+GA的算法結(jié)合由于Topology算法是判斷用戶Local

DNS屬于哪個運營商（電信或者網(wǎng)通），從而返回給用戶相應的運營商線路的地址需要將電信網(wǎng)通的地址庫列表導入到中該文件名為，都已經(jīng)整理好，直接使用即可，將該文件通過

FTP上傳到的/config/gtm目錄下運行g(shù)tmload命令，加載內(nèi)的配置文件到運行狀態(tài)46LC

Inbound流量均衡配置過程—Topology算法預設[root@f5:Active]

lsregion.userserver.crtwideip.confwideip.conf.samplewideip.conf~[root@f5:Active]

[root@f5:Active]

gtmloadgtmload:

Initializing

/usr/bin/monitors/builtins/gtm_base_monitors.conf:SUCCESS/usr/local/gtm/include/base_region.ISP:

/config/gtm/region.user:

/config/gtm/wideip.conf:

SUCCESSgtmload:

SUCCESS[root@f5:Active]

47LC

Inbound流量均衡配置過程—Topology算法預設Region.user配置文件加載后，可以在web頁面看到相應的電信網(wǎng)通地址庫的內(nèi)容48LC

Inbound流量均衡配置過程—Topology算法預設定義TopologyRecord如右圖所示，定義兩條TopologyRecord即當用戶屬于電信的時候，返回網(wǎng)段的地址，即電信線路地址即當用戶屬于網(wǎng)通的時候，返回網(wǎng)段的地址，即網(wǎng)通線路地址注意：兩條Record要配置不同的Weight49LC

Inbound流量均衡配置過程—關鍵的配置的實質(zhì)就是一個域名，對應于多個公網(wǎng)地址TTL為公網(wǎng)緩存

server對該記錄解析值的緩存時間算法選擇Topology/None/GA

即為該域名對應的返回地址，也即添加的

地址算法匹配的是的，先返回居上的地址LC響應解析請求的時候，先匹配Topology的算法，當Topology算法匹配失敗的時候，則匹配的算法50

Inbound流量均衡配置過程global

properties->global

traffic->

BalancingEnable

Respect

FallbackDependancy選項啟用域名解析和wideip的member狀態(tài)邦定功能，即Enable該選項后，解析將不返回狀態(tài)的wideipmember的地址注意：如果做雙機，需要分別在兩臺設備上手動Enable該選項51LC

Inbound流量均衡配置過程—DNS遷移設置(用戶有內(nèi)網(wǎng)DNS服務器的時候）修改之前的DNS設置

00修改之后的DNS設置

52

Inbound流量均衡配置過程—關鍵配置文件文件：部分配置，包括，Pool，等配置文件：設備管理地址，劃分，

等配置：LC部分配置文件：地址庫文件：Topology文件53LC

Inbound流量均衡配置過程—wideip配置文件[root@f5:Active]

gtm

#

morewideip.conf#

(f5.F5.

)dumped

04/22/2008

16:38:03

Version0.0.0

{probe_protocol

{icmp}}

***

Center

***

***

Monitor

***

***

Link

***link

{

name

"CT_Link"address

54monitor

"bigip_link"}link

{

datacenter

{

server(s)name

server

"f5.F5."link

"CNC_Link"link

"CT_Link"}

}

name

"CNC_Link"address

54monitor

"bigip_link"

54LC

Inbound流量均衡配置過程—wideip配置文件

Server

Definitions

(1)

DC,#VS=2 "f5.F5." bigip

gtm

unit_id

monitor

00:80

00:80

Definitions

(1)

ttl

nullfallback

member

00:80member

00:80

Definitions

rr

Application

Definitions

(0)

55第四部分如何進行相關測試56解析測試工具--NslookupC:\Documents

Server:

it2.F5.Address:

server

Server:

Address:

Server:

Address:

request

out.timeout

seconds.Non-authoritative

answer:Name: Address:

00

57解析測試工具--Nslookup>

Default

Server:

>

www.F5.Server:

request

out.

was

seconds.Non-authoritative

answer:Name:

www.F5.Address:00Aliases:www.F5.,

www.wideip.F5.>58第五部分常見故障排查59添加時候提示Data

錯誤信息報錯信息：error:the

link

have

Data

Center原因：在添加Link時候wideip文件不存在，而Link的添加需要同Default

Data

Center進行關聯(lián)解決方法：將設備重啟即可；或者需要手工添加wideip文件，并且把link信息在wideip文件里面添加然后gtmload。60添加時候提示不顯示錯誤信息：在的下拉列表里面看不到在LTM里面設定。原因：文件里面沒有vs的配置信息。解決方法：可以嘗試將設備重啟，gtmload一下或者手工在文件里面添加vs，并且要gtmload。61不跟self

在同一網(wǎng)段的綁定問題錯誤信息：不跟

在同一網(wǎng)段的VS在綁定時候會出現(xiàn)屬于的VS被綁定到CT_Link上去。原因：LinkController缺省是把VS同本網(wǎng)段的進行綁定，如果VS的地址不跟

在同一網(wǎng)段，那么LC將會根據(jù)地址的十六進制的靠近關系進行的綁定。解決方法：注意前期規(guī)劃，盡量使得LC的

和VS在同一個網(wǎng)段。62常用命令如果按照本的操作配置完成之后，還有一些其它問題的話，不妨試試以下的命令：

gtmload

63第六部分Link

Controller雙機配置64Link

Controller雙機配置前面已經(jīng)提到，

是和的結(jié)合產(chǎn)品，所以在做的時候，需要分和兩個部分

部分的同步跟的同步配置完全一樣同步部分比較新一些，我們會詳細介紹一下65LTM部分雙機配置—設置屬性如右圖，修改設備模式為

設置為，另外一臺設置為

設置為，并在CLI模式下用命令確認兩臺設備時間一致，如果不一致用命令進行修改66LTM部分雙機配置—真實67LTM部分雙機配置—設置peer設置，self寫自己的真實，peer寫另外一臺設備的真實Network

為

cable的備份，可以啟用兩臺設備配置要相對應68LTM部分