負(fù)載均衡器基礎(chǔ)和配置

負(fù)載均衡器

ISSUE1.1業(yè)務(wù)與軟件技術(shù)服務(wù)部學(xué)習(xí)目標(biāo)了解負(fù)載均衡器的概念熟悉F5負(fù)載均衡器產(chǎn)品能夠?qū)5負(fù)載均衡器進(jìn)行規(guī)劃和配置學(xué)習(xí)完本課程，您應(yīng)該能夠：內(nèi)容負(fù)載均衡器概念F5負(fù)載均衡器介紹F5負(fù)載均衡器配置步驟F5負(fù)載均衡器的維護(hù)F5的常見組網(wǎng)方式什么叫負(fù)載均衡器什么是負(fù)載均衡器？服務(wù)器負(fù)載均衡器是指設(shè)置在一組功能相同或相似的服務(wù)器前端，對(duì)到達(dá)服務(wù)器組的流量進(jìn)行合理分發(fā)，并在其中某一臺(tái)服務(wù)器故障時(shí)，能將訪問請(qǐng)求轉(zhuǎn)移到其它可以正常工作的服務(wù)器的軟件或網(wǎng)絡(luò)設(shè)備。

SLB是服務(wù)器負(fù)載均衡(ServerLoadBalancing)的簡稱。服務(wù)器負(fù)載均衡又可以分為局域網(wǎng)服務(wù)器負(fù)載均衡與廣域網(wǎng)服務(wù)器負(fù)載均衡(GlobalServerLoadBalancing)。狹義的SLB是指局域網(wǎng)服務(wù)器負(fù)載均衡，與廣域網(wǎng)服務(wù)器負(fù)載均衡（GSLB）相對(duì)。

采用負(fù)載均衡器有什么優(yōu)點(diǎn)采用負(fù)載均衡器的優(yōu)點(diǎn)：

原有的系統(tǒng)只部署了一臺(tái)服務(wù)器，隨著訪問量的增加，一臺(tái)服務(wù)器已經(jīng)不能滿足應(yīng)用的需要，而需要增加更多的服務(wù)器。當(dāng)部署了兩臺(tái)以上的服務(wù)器時(shí)，就可能會(huì)需要用到負(fù)載均衡器。通過服務(wù)器負(fù)均衡器，對(duì)流量進(jìn)行合理分配，可以帶來以下好處：提高性能－－負(fù)載均衡器可以實(shí)現(xiàn)服務(wù)器之間的負(fù)載平衡，從而提高了系統(tǒng)的反應(yīng)速度與總體性能；提高可靠性－－負(fù)載均衡器可以對(duì)服務(wù)器的運(yùn)行狀況進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)運(yùn)行異常的服務(wù)器，并將訪問請(qǐng)求轉(zhuǎn)移到其它可以正常工作的服務(wù)器上，從而提高服務(wù)器組的可靠性提高可維護(hù)性－－采用了負(fù)均衡器器以后，可以根據(jù)業(yè)務(wù)量的發(fā)展情況靈活增加服務(wù)器，系統(tǒng)的擴(kuò)展能力得到提高，同時(shí)簡化了管理。

負(fù)載均衡實(shí)現(xiàn)的方式實(shí)現(xiàn)服務(wù)器負(fù)載均衡有多種方法，常見的方法有：基于DNS輪詢的方法：即在DNS服務(wù)器中對(duì)同一域名設(shè)置多條DNS記錄，通過DNS的輪詢機(jī)制實(shí)現(xiàn)服務(wù)器負(fù)載均衡?；趹?yīng)用軟件的實(shí)現(xiàn)方法，在應(yīng)用軟件設(shè)計(jì)中就考慮了多服務(wù)器之間的協(xié)同工作與任務(wù)調(diào)度。這種方法一般會(huì)有一臺(tái)服務(wù)器作為中樞對(duì)訪問請(qǐng)求進(jìn)行調(diào)度，同時(shí)要求在應(yīng)用層支持訪問重定向或任務(wù)調(diào)度、跳轉(zhuǎn)機(jī)制。采用專門的L4/L7層交換機(jī)來實(shí)現(xiàn)，也即我們常說的負(fù)載均衡器。一般都是通過在L4/L7層交換機(jī)作地址轉(zhuǎn)換（NAT）來實(shí)現(xiàn)。負(fù)載均衡器需要了解的問題負(fù)載均衡器一般需要了解以下方面的問題：支持的負(fù)載均衡算法支持的服務(wù)器健康檢查的方法如何保持客戶端和服務(wù)器的會(huì)話速度/性能指標(biāo)安全性與可靠性端口數(shù)量

內(nèi)容負(fù)載均衡器概念F5負(fù)載均衡器介紹F5負(fù)載均衡器配置步驟F5負(fù)載均衡器的維護(hù)F5的常見組網(wǎng)方式F5負(fù)載均衡器介紹F5負(fù)載均衡器介紹F5廠家介紹F5產(chǎn)品介紹F5的配置方法F5的幾個(gè)概念F5的數(shù)據(jù)流F5負(fù)載均衡算法介紹F5策略保護(hù)方法介紹F5健康檢查方法介紹F5雙機(jī)介紹F5地址轉(zhuǎn)換介紹F5公司簡介F5公司簡介：

F5Networks,Inc.是一家專注于IP網(wǎng)絡(luò)流量和內(nèi)容管理(iTCM）領(lǐng)域的廠商，總部在美國西雅圖，成立于1996年，1999年在Nasdac上市。F5Networks是全球領(lǐng)先的Layer4-7層交換機(jī)廠商、SSL集成加速產(chǎn)品供應(yīng)商。

F5

Networks公司的網(wǎng)站是

技術(shù)資料、常見問題的答案可以登陸.F5產(chǎn)品介紹（現(xiàn)在用的產(chǎn)品）有高速的L2層交換結(jié)構(gòu)BIG-IP5000/5100–2410/100&4G端口BIG-IP2000/2400–1610/100&2G端口BIG-IP1000–810/100&1G端口集成SSL加速運(yùn)行BIG-IPv4.5-4.6的版本公司現(xiàn)有產(chǎn)品用的F5型號(hào)為BigIP1000和BigIP24005000/51002000/24001.12.1端口命名從上到下，從左到右GE接口從2.1開始管理接口為3.1（此接口不要接業(yè)務(wù)）43.13.1F5端口命名（以5000為例）F5產(chǎn)品介紹（新產(chǎn)品）640034001500BIG-IP

640016個(gè)10/100/1000銅纜以太網(wǎng)端口2個(gè)標(biāo)準(zhǔn),2個(gè)選項(xiàng)(可達(dá)4個(gè))千兆光纖端口3擴(kuò)展插槽BIG-IP3400

8個(gè)10/100/1000銅纜以太網(wǎng)端口2個(gè)選項(xiàng)千兆光纖端口1個(gè)擴(kuò)展插槽BIG-IP15004個(gè)10/100/1000銅纜以太網(wǎng)端口2選項(xiàng)千兆端口1個(gè)擴(kuò)展插槽運(yùn)行BIG-IP9.0以上版本F5的配置方法兩種配置方法Web接口方式

https命令行方式ssh(remote)telnet（需要用命令打開）Console建議用命令行的方式初始化，在Web方式下配置業(yè)務(wù)Web配置工具Web配置工具配置工具文檔Web配置工具命令行配置方式命令行配置方式：F5#configINITIALSETUPMENU

Choosethedesiredconfigurationfunctionfromthelistbelow.

(A)Configureallservices(R)StepsforredundantsystemsREQUIRED(E)Setdefaultgateways(V)ConfigureVLANs&networking(H)Sethostname(W)Configurewebservers(P)Setrootpassword

OPTIONAL(C)Remoteauthentication(O)Configureremoteaccess(D)ConfigureDNS(S)ConfigureSSH(F)ConfigureFTP(T)ConfigureTelnetd

(I)InitializeiControlportal(U)ConfigureRSH(K)Setkeyboardtype(Y)Setsupportaccess(L)LicenseActivation(Z)Settimezone(M)Definetimeservers(Q)Quit

EnterChoice:虛擬服務(wù)器（VirtualServers）的概念I(lǐng)nternet:80VirtualServer虛擬服務(wù)器是在F5上虛擬出來的概念虛擬服務(wù)器是IP地址＋端口號(hào)的組合節(jié)點(diǎn)（Nodes）的概念I(lǐng)nternet:80:80:80:80Nodes節(jié)點(diǎn)（Nodes)是服務(wù)器的IP地址＋端口號(hào)的組合地址池（Pool)的概念I(lǐng)nternet客戶端路由器BIG-IP負(fù)載均衡器服務(wù)器地址池是一組Node的組合虛擬服務(wù)器和節(jié)點(diǎn)Internet:80:80:80:80虛擬服務(wù)器7:80節(jié)點(diǎn)映射到一個(gè)虛擬服務(wù)器對(duì)應(yīng)一個(gè)地址池，一個(gè)地址池對(duì)應(yīng)多個(gè)節(jié)點(diǎn)虛擬服務(wù)器–

地址轉(zhuǎn)換BIG-IP會(huì)執(zhí)行地址換，把客戶請(qǐng)求的數(shù)據(jù)包中的目的地址換成真實(shí)的服務(wù)器地址真實(shí)服務(wù)器地址NetworkAddressTranslation虛擬服務(wù)器地址Internet:80:80:80:80:80網(wǎng)絡(luò)數(shù)據(jù)流-Packet#1解釋toBIG-IP虛擬服務(wù)器地址

Internet:80:80:80:80DNS服務(wù)器:80網(wǎng)絡(luò)數(shù)據(jù)流-Packet#1在BIG-IP上把目的地址轉(zhuǎn)換成節(jié)點(diǎn)的地址InternetPacket#1Src-0:4003Dest–:80:80:80:80:80Packet#1Src–0:4003Dest–:800:80網(wǎng)絡(luò)數(shù)據(jù)流–Packet#1Return在BIG-IP把返回的數(shù)據(jù)包的源地址轉(zhuǎn)換成虛擬服務(wù)器地址InternetPacket#1-returnDest-0:4003Src–:80:80:80:80:80Packet#1-returnDest–0:4003Src–:800:80網(wǎng)絡(luò)數(shù)據(jù)流-Packet#2InternetPacket#2Src-1:4003Dest–:80:80:80:80:80Packet#2Src–1:4003Dest–:801:80網(wǎng)絡(luò)數(shù)據(jù)流–Packet#2ReturnInternetPacket#2-returnDest-1:4003Src–:80:8080:80:4002:80Packet#2-returnDest–1:4003Src–:8017:80F5的NAT和SNATF5的NAT和SNAT：NAT(NetworkAddressTranslation)和SNAT(SecureNetworkAddressTranslation)都是地址轉(zhuǎn)換機(jī)制。

NAT是一對(duì)一的，而SNAT是多對(duì)一的。SNAT只應(yīng)用于從內(nèi)部主動(dòng)發(fā)起的流量，NAT在公司業(yè)務(wù)中很少用。SNAT出去的地址可以與VirtualServer的IP地址相同。如果Nodes只接受Client的訪問，而不需要主動(dòng)對(duì)外發(fā)起連接請(qǐng)求，不需要配置NAT和SNAT。F5負(fù)載均衡算法介紹RoundRobin（輪詢）Ratio（權(quán)重）LeastConnections（最少連接）Fastest（最快回應(yīng)）Observed（觀察）Predictive（預(yù)測）DynamicRatio（動(dòng)態(tài)權(quán)重）MinimumActiveMembers（最少活動(dòng)成員）FallbackHost靜態(tài)動(dòng)態(tài)失效機(jī)制負(fù)載均衡算法－輪詢客戶端路由器BIG-IP負(fù)載均衡器服務(wù)器客戶的請(qǐng)求被嚴(yán)格分發(fā)12345678Internet負(fù)載均衡算法－權(quán)重管理員設(shè)置把客戶的請(qǐng)求按3:1:1:1比例分配123478910Internet561112客戶端路由器BIG-IP負(fù)載均衡器服務(wù)器負(fù)載均衡算法－最快回應(yīng)下一個(gè)客戶請(qǐng)求被分配到反應(yīng)最快的機(jī)器12Internet10ms5ms20ms17ms當(dāng)前反應(yīng)時(shí)間客戶端路由器BIG-IP負(fù)載均衡器服務(wù)器負(fù)載均衡算法－最快回應(yīng)－－一定時(shí)間后101102Internet14ms15ms20ms11ms當(dāng)前反應(yīng)時(shí)間客戶端路由器BIG-IP負(fù)載均衡器服務(wù)器下一個(gè)客戶請(qǐng)求被分配到反應(yīng)最快的機(jī)器負(fù)載均衡算法－最少連接數(shù)12Internet下一次請(qǐng)求發(fā)送到最少連接數(shù)的機(jī)器上462460455465當(dāng)前連接數(shù)客戶端路由器BIG-IP負(fù)載均衡器服務(wù)器負(fù)載均衡算法－最少連接數(shù)–一定時(shí)間后Internet6162342330338335當(dāng)前連接數(shù)下一次請(qǐng)求發(fā)送到最少連接數(shù)的機(jī)器上客戶端路由器BIG-IP負(fù)載均衡器服務(wù)器負(fù)載均衡算法－觀察下次請(qǐng)求被發(fā)送到最小連接數(shù)及最快反應(yīng)的機(jī)器上12Internet客戶端路由器BIG-IP負(fù)載均衡器服務(wù)器負(fù)載均衡算法－預(yù)測12InternetNextrequestsgoestoNodewithcombinationoffewestconnectionsandbestresponse客戶端路由器BIG-IP負(fù)載均衡器服務(wù)器負(fù)載均衡算法－最少活動(dòng)成員135246InternetPriority1Priority2如果最少活動(dòng)成員為2，現(xiàn)在有3個(gè)高優(yōu)先級(jí)的成員可用，則低優(yōu)先級(jí)的節(jié)點(diǎn)不會(huì)被使用客戶端路由器BIG-IP負(fù)載均衡器服務(wù)器負(fù)載均衡算法－最少活動(dòng)成員15InternetPriority1Priority2324678如果最少活動(dòng)節(jié)點(diǎn)少于2個(gè)，則下一優(yōu)先級(jí)的節(jié)點(diǎn)就會(huì)被使用客戶端路由器BIG-IP負(fù)載均衡器服務(wù)器負(fù)載均衡算法－FallbackHostInternetIfallnodesfail,thenclientissentanhttpredirecttothe“fallback”server.客戶端路由器BIG-IP負(fù)載均衡器服務(wù)器策略保持（Persistence）概念123123策略保持是處理同一臺(tái)Client端過來的請(qǐng)求如何分發(fā)到同一個(gè)節(jié)點(diǎn)中去的問題策略保持方法SimplePersistence（簡單策略保持）SSLPersistence（SSL策略保持）SIPPersistence（SIP策略保持）CookiePersistence（Cookie策略保持）Insert,Rewrite,Passive&HashPersistencebyExpression（表達(dá)式的策略保持）簡單(simple)策略保持方法基于源IP地址假設(shè)ClientIP地址不變Netmask一段地址范圍當(dāng)作源地址配置SSL策略保持方法基于SSL會(huì)話ID當(dāng)客戶端IP地址變化時(shí)，保持不變?nèi)绻鸖SL會(huì)話ID丟失后，保持會(huì)發(fā)生變化配置SIP策略保持方法基于CallerID(電話號(hào)碼)多用于電話和多媒體應(yīng)用配置Cookie策略保持方法Insert模式BIG-IP在數(shù)據(jù)流中插入一個(gè)cookieRewrite模式主機(jī)產(chǎn)生cookie而BIG-IP會(huì)改寫cookiePassive模式主機(jī)產(chǎn)生cookie而BIG-IP讀此cookieHash模式鏡像一個(gè)cookie值到一個(gè)特別的節(jié)點(diǎn)Webserver必須產(chǎn)生一個(gè)cookieClientServerHTTPrequest(nocookie)TCPhandshakeTCPhandshakeHTTPrequest(nocookie)HTTPreply(nocookie)HTTPreply(withinsertedcookie)pick

serverHTTPrequest(withsamecookie)TCPhandshakeTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(nocookie)HTTPreply(updatedcookie)cookie

specifies

serverFirstHitSecondHitCookieInsert模式ClientServerHTTPrequest(nocookie)TCPhandshakeTCPhandshakeHTTPrequest(nocookie)HTTPreply(withblankcookie)HTTPreply(withrewrittencookie)pick

serverHTTPrequest(withsamecookie)TCPhandshakeTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(withblankcookie)HTTPreply(withupdatedcookie)cookie

specifies

serverFirstHitSecondHitCookieRewrite模式ClientServerHTTPrequest(nocookie)TCPhandshakeTCPhandshakeHTTPrequest(nocookie)HTTPreply(withspecialcookie)HTTPreply(withspecialcookie)pick

serverHTTPrequest(withsamecookie)TCPhandshakeTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(withspecialcookie)HTTPreply(withspecialcookie)cookie

specifies

serverFirstHitSecondHitCookiePassive模式ClientServerHTTPrequest(nocookie)TCPhandshakeTCPhandshakeHTTPrequest(nocookie)HTTPreply(withcookie)HTTPreply(withcookie)pick

serverHTTPrequest(withsamecookie)TCPhandshakeTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(withcookie)HTTPreply(withcookie)cookie

hashspecifies

serverFirstHitSecondHitThirdHitServerTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(withcookie)cookie

hashspecifies

serverTCPhandshakeHTTPrequest(withsamecookie)HTTPreply(withcookie)CookieHash模式配置Cookie策略保持在Pool中配置PassiveInsert&RewriteHashIP&TCPHeaderTCPData表達(dá)式（Expression）保持SYNSYN-ACKACKClientRequestSSLSessionIDIPAddressSIPCallIDHTTPHeadersUserDefinedFieldsTCPHandshake表達(dá)式保持基于數(shù)據(jù)包中的其他內(nèi)容來做策略保持可以做任何內(nèi)容的策略保持類似于Rules配置F5的健康檢查方法Internet:80節(jié)點(diǎn)&節(jié)點(diǎn)地址狀態(tài)用Monitors檢查的節(jié)點(diǎn)的狀態(tài)UNCHECKEDCHECKINGUPDOWNADDRESSDOWN管理員原因引起的狀態(tài)

DISABLEDADDRESSDISABLEDFORCEDDOWNADDRESSDOWN健康檢查健康檢查概念A(yù)ddress,Service,Content&InteractiveChecks配置健康檢查從模板中創(chuàng)建Monitor關(guān)聯(lián):Node,NodeAddressorService地址（Address）檢查步驟包被送到IP地址如果沒有反應(yīng)，則不會(huì)再往此節(jié)點(diǎn)發(fā)送流量例如-ICMPInternetICMP服務(wù)（Service）Check步驟建立一個(gè)TCP連接(IP地址:服務(wù))關(guān)閉連接如果TCP連接失效，則不會(huì)再往此節(jié)點(diǎn)發(fā)送流量例如–TCP

Internet:80:80:80TCPConnection內(nèi)容（Content）檢查Internet:80:80:80步驟：建立一個(gè)OpensTCP連接(IP地址:服務(wù))發(fā)送一個(gè)請(qǐng)求返回?cái)?shù)據(jù)連接關(guān)閉如果收到的包中內(nèi)容不對(duì)，則不會(huì)再往此節(jié)點(diǎn)發(fā)送流量例如–http

httpGET/交互（Interactive）檢查Internet:80:80:80步驟建立一個(gè)連接(IP地址:服務(wù))模擬真實(shí)應(yīng)用交互會(huì)話連接關(guān)閉如果期望的結(jié)果不對(duì)，則不會(huì)再往此節(jié)點(diǎn)發(fā)送流量例如–SQL請(qǐng)求會(huì)話F5雙機(jī)系統(tǒng)主備主備雙機(jī)配置的一些概念UnitID（單元號(hào)碼，雙機(jī)時(shí)此UnitID不能相同）FailoverIP(雙機(jī)中對(duì)端機(jī)器的內(nèi)部IP地址，兩臺(tái)機(jī)器FailoverIP要能互相ping通）FailoverMethod(HardwiredorNetwork)（Hardwired用專門的Failover線，而Network用網(wǎng)線，經(jīng)驗(yàn)驗(yàn)證要采用hardwired）SharedIP（類似于雙機(jī)的浮動(dòng)IP）Hostname（機(jī)器名，兩臺(tái)機(jī)器的機(jī)器名一定不要相同）F5雙機(jī)系統(tǒng)的一些概念配置F5雙機(jī)系統(tǒng)一些界面F5主備機(jī)的同步F5主備機(jī)的同步：同步別的配置當(dāng)前配置F5只能同步Web頁面的配置同步是一個(gè)push的操作F5主機(jī)的判斷通過WEB檢查通過命令行檢查–bigtop

強(qiáng)制把F5主機(jī)變成備機(jī)只能把主機(jī)變成備機(jī)，但不能把備機(jī)變成主機(jī)命令方式–bfailoverstandbyF5雙機(jī)切換切換方式WatchdogdeviceVLANArmFailsafeSSLProxyFailoverGatewayFailsafe檢測方法Fail-overcableNetworkFail-overWatchdog機(jī)制主F5有硬件或軟件問題Watchdogdevice觸發(fā)一個(gè)切換動(dòng)作(重啟機(jī)器)備機(jī)收不到主機(jī)的信息備機(jī)變成主機(jī)VLANArmFailsafe機(jī)制檢測到?jīng)]有業(yè)務(wù)網(wǎng)絡(luò)流量F5本身觸發(fā)一些流量仍然沒有沒有檢測到業(yè)務(wù)網(wǎng)絡(luò)流量發(fā)起切換進(jìn)程(重啟機(jī)器)備機(jī)從主機(jī)中收不到信息備機(jī)變成主機(jī)配置:SSLProxyFailover機(jī)制加密模塊硬件錯(cuò)誤發(fā)起切換進(jìn)程(重啟機(jī)器)備機(jī)從主機(jī)中收不到信息備機(jī)變成主機(jī)配置:GatewayFailsafe機(jī)制pingGW沒有回應(yīng)主機(jī)變成備機(jī)模式Sta備機(jī)從主機(jī)中收不到信息備機(jī)變成主機(jī)配置:檢測方法Failover線主備機(jī)之間的串口線檢查對(duì)端機(jī)器的電壓Network線兩臺(tái)機(jī)器的內(nèi)網(wǎng)接口的通訊Communicationbetweenboxesacrossinternalinterface檢查到?jīng)]有信號(hào)廠商宣稱支持二個(gè)檢測方法，實(shí)際中建議用Failover線F5的NAT和SNATF5的NAT和SNAT：NAT(NetworkAddressTranslation)和SNAT(SecureNetworkAddressTranslation)都是地址轉(zhuǎn)換機(jī)制。

NAT是一對(duì)一的，而SNAT是多對(duì)一的。SNAT只應(yīng)用于從內(nèi)部主動(dòng)發(fā)起的流量，NAT在公司業(yè)務(wù)中很少用。SNAT出去的地址可以與VirtualServer的IP地址相同。如果Nodes只接受Client的訪問，而不需要主動(dòng)對(duì)外發(fā)起連接請(qǐng)求，不需要配置NAT和SNAT。F5的NATInternet03一對(duì)一的映射雙向的流量專門的外網(wǎng)地址只有udp和tcp的流量配置:F5的SNAT多對(duì)一的映射到SNATAddress的流量是拒絕的可以與VirtualServer共用外網(wǎng)地址只有TCP和UDP流量配置Internet02內(nèi)容負(fù)載均衡器概念F5負(fù)載均衡器介紹F5負(fù)載均衡器配置步驟F5負(fù)載均衡器的維護(hù)F5的常見組網(wǎng)方式F5負(fù)載均衡器的配置步驟F5負(fù)載均衡器配置步驟F5組網(wǎng)規(guī)劃F5配置前的準(zhǔn)備工作F5的通用配置F5的初始化配置F5雙機(jī)切換監(jiān)控配置（有F5雙機(jī)時(shí)需要）F5

MAC

masquerade配置F5的pool配置F5的virtualserver配置F5的monitor的配置F5的snat配置F5主備機(jī)同步及切換校驗(yàn)業(yè)務(wù)的校驗(yàn)基本配置業(yè)務(wù)配置校驗(yàn)F5組網(wǎng)規(guī)劃F5組網(wǎng)規(guī)劃包括：組網(wǎng)拓樸圖（具體到網(wǎng)絡(luò)設(shè)備物理端口的分配和連接，服務(wù)器網(wǎng)卡的分配與連接）IP地址的分配（具體到網(wǎng)絡(luò)設(shè)備和服務(wù)器網(wǎng)卡的IP地址的分配）F5上業(yè)務(wù)的VIP、成員池、節(jié)點(diǎn)、負(fù)載均衡算法、策略保持方法的確定VIP號(hào)VIPIP地址成員池名成員池節(jié)點(diǎn)成員池負(fù)載均衡方法成員池策略保持方法備注10:80portal-80:http:http

:http:httpRoundRobinsimplehttp訪問20:8080portal-8080:8080:8080:8080:8080RoundRobinsimpleSP訪問30:8443port_8443:8443:8443:8443:8443RoundRobinsimplehttps訪問F5配置前的準(zhǔn)備工作F5配置前的準(zhǔn)備工作版本檢查－－－用bversion命令檢查當(dāng)前的版本是否與要求匹配，不匹配則需要升級(jí)，要求的版本可以與業(yè)務(wù)技術(shù)支援代表聯(lián)系。f5-portal-1:~#bversionKernel:BIG-IPKernel4.5PTF-07Build18

時(shí)間檢查－－－用date命令檢查系統(tǒng)當(dāng)前的時(shí)間是否正確，如果不正確，請(qǐng)到單用戶模式下進(jìn)行修改f5-portal-1:~#dateThuMay2015:05:10CST2004

申請(qǐng)license－－－現(xiàn)場用的F5都需要自己到F5網(wǎng)站上申請(qǐng)licenseF5的通用配置F5的通用配置在安全要求允許的情況下，在setup菜單中可以打開telnet及ftp功能，便于以后方便維護(hù)。INITIALSETUPMENU

Choosethedesiredconfigurationfunctionfromthelistbelow.

(A)Configureallservices(R)StepsforredundantsystemsREQUIRED(E)Setdefaultgateways(V)ConfigureVLANs&networking(H)Sethostname(W)Configurewebservers(P)Setrootpassword

OPTIONAL(C)Remoteauthentication(O)Configureremoteaccess(D)ConfigureDNS(S)ConfigureSSH

(F)ConfigureFTP

(T)ConfigureTelnetd

(I)InitializeiControlportal(U)ConfigureRSH(K)Setkeyboardtype(Y)Setsupportaccess(L)LicenseActivation(Z)Settimezone(M)Definetimeservers(Q)Quit

EnterChoice:F5的通用配置F5的通用配置配置vlanunique_mac選項(xiàng)，此選項(xiàng)是保證F5上不同的vlan的MAC地址不一樣。在缺省情況下，F(xiàn)5的各個(gè)vlan的MAC地址是一樣的，建議在配置時(shí)，把此項(xiàng)統(tǒng)一選擇上?？捎妹頸fconfig–a來較驗(yàn)

F5的通用配置F5的通用配置配置snatany_ip選項(xiàng)選項(xiàng)，此選項(xiàng)為了保證內(nèi)網(wǎng)的機(jī)器做了snat后，可以對(duì)ping的數(shù)據(jù)流作轉(zhuǎn)換。Ping是第三層的數(shù)據(jù)包，缺省情況下F5是不對(duì)ping的數(shù)據(jù)包作轉(zhuǎn)換，也就是internalvlan的主機(jī)無法pingexternalvlan的機(jī)器。（注意：還可以采用telnet來驗(yàn)證。）

F5的通用配置F5的config初始化配置：建議在對(duì)F5進(jìn)行初始時(shí)都用命令行方式來進(jìn)行初始化（用Web頁面初始化的方式有時(shí)會(huì)有問題）。登錄到命令行上，運(yùn)行config或setup命令可以進(jìn)行初始化配置。初次運(yùn)行時(shí)會(huì)提示一些license的信息。default:~#config

F5的config初始化配置BIG-IPLICENSEPROBLEM

Thereisnoactivelicenseonthissystem.

Toactivateyourlicense,runthe'setup'commandagainafterthisconfigurationandchoosethe'LicenseActivation'menuitem,orexitfromthisprogramnowandrunthe'license'command.

Exitnow?(Y/N):nF5的config初始化配置：

再次進(jìn)入后config后的菜單界面，可以在里面進(jìn)行相應(yīng)的操作。Config菜單中的內(nèi)容可參考：＜＜F5負(fù)載均衡器配置指導(dǎo)書v1.02-20041228-B1.zip＞＞default:~#config

F5的config初始化配置INITIALSETUPMENU

Choosethedesiredconfigurationfunctionfromthelistbelow.

(A)Configureallservices(R)StepsforredundantsystemsREQUIRED(E)Setdefaultgateways(V)ConfigureVLANs&networking(H)Sethostname(W)Configurewebservers(P)Setrootpassword

OPTIONAL(C)Remoteauthentication(O)Configureremoteaccess(D)ConfigureDNS(S)ConfigureSSH(F)ConfigureFTP(T)ConfigureTelnetd

(I)InitializeiControlportal(U)ConfigureRSH(K)Setkeyboardtype(Y)Setsupportaccess(L)LicenseActivation(Z)Settimezone(M)Definetimeservers(Q)Quit

EnterChoice:F5的雙機(jī)切換監(jiān)控配置F5的vlanarmfailsafe配置：在web頁面中選擇相應(yīng)的vlan，在armfailsafe選擇則可。Timeout為從F5收不到包的時(shí)間起，經(jīng)過多長時(shí)間就發(fā)生切換。此配置不能同步，需要在F5的主備機(jī)上同時(shí)配置每個(gè)vlan都可以配置vlanarmfailsafe。F5的雙機(jī)切換監(jiān)控配置F5的gatewayfailsafe配置：在web頁面中選擇system，在redundantproperties中把gatewayfailsafe選擇則可。Router是需要監(jiān)控的地址。此配置不能同步，需要在F5的主備機(jī)上同時(shí)配置。一套F5上只能配置一個(gè)gatewayfailsafe。F5的雙機(jī)切換監(jiān)控配置F5的gatewayfailsafe配置：在web頁面中選擇system，在redundantproperties中把gatewayfailsafe選擇則可。Router是需要監(jiān)控的地址。此配置不能同步，需要在F5的主備機(jī)上同時(shí)配置。一套F5上只能配置一個(gè)gatewayfailsafe。F5的MACMasquerading配置F5的MACMasquerading配置：MacMasquerading是F5的SharedIPAddress(Floating)的MAC地址，F(xiàn)5如果不配置此項(xiàng)，則sharedIPAddress的MAC地址與每臺(tái)F5的vlanselfIPAddress的MAC地址是一樣的。一般服務(wù)器是以sharedIPAddress為網(wǎng)關(guān)，在兩臺(tái)F5上都配置了MacMasquerade（相同的MAC地址），這樣當(dāng)F5發(fā)生切換后，服務(wù)器上sharedIPaddress的MAC不變，保證了業(yè)務(wù)的不中斷F5的Pool配置Pool的配置：在配置工具Web頁面的導(dǎo)航面板中選擇“Pools”中的“Pools”標(biāo)簽，點(diǎn)擊“ADD”按鈕添加服務(wù)器池(Pool)。在池屬性（PoolProperties）中的“LoadBalancingMethod”表格中選擇負(fù)載均衡策略，通常采用默認(rèn)策略：“RoundRobin”在“Resouces”表格中的“MemberAddress”文本框輸入成員IP地址，在“Service”文本框中輸入服務(wù)端口，點(diǎn)擊“>>”添加到“CurrentMembers”當(dāng)前成員列表中。添加所有組成員，點(diǎn)擊“Done”完成配置。F5的Pool的Persistence配置Pool的Persistence配置：在“Pools”中的“PoolName”列選中特定池，然后池屬性頁面中選擇“Persistence”標(biāo)簽。

在“PersistenceType”表格中選定會(huì)話保持類型。點(diǎn)擊“Apply”應(yīng)用配置。

F5的VirtualServer的配置F5的VirtaulServer的配置：在配置工具Web頁面的導(dǎo)航面板中選擇“VirtualServers”中的“VirtualServers”標(biāo)簽，點(diǎn)擊“ADD”按鈕添加虛擬服務(wù)器。

在“AddVirtualServer”窗口的“Address”文本框中輸入虛擬服務(wù)器IP地址，并在“Service”文本框中輸入服務(wù)端口號(hào)或在下拉框中選擇現(xiàn)有的服務(wù)名稱，點(diǎn)擊“Next”執(zhí)行下一步。

在“AddVirtualServer”窗口的“ConfigureBasicProperties”頁面中點(diǎn)擊“Next”執(zhí)行下一步。

在“AddVirtualServer”窗口的“SelectPhysicalResources”頁面中點(diǎn)擊單選按鈕“Pool”，并在下拉框中選擇虛擬服務(wù)器對(duì)應(yīng)的負(fù)載均衡池。

按“Done”完成創(chuàng)建虛擬服務(wù)器。

F5的VirtualServer的配置F5的VirtaulServer的配置：在配置工具Web頁面的導(dǎo)航面板中選擇“VirtualServers”中的“VirtualServers”標(biāo)簽，點(diǎn)擊“ADD”按鈕添加虛擬服務(wù)器。

在“AddVirtualServer”窗口的“Address”文本框中輸入虛擬服務(wù)器IP地址，并在“Service”文本框中輸入服務(wù)端口號(hào)或在下拉框中選擇現(xiàn)有的服務(wù)名稱，點(diǎn)擊“Next”執(zhí)行下一步。

在“AddVirtualServer”窗口的“ConfigureBasicProperties”頁面中點(diǎn)擊“Next”執(zhí)行下一步。

在“AddVirtualServer”窗口的“SelectPhysicalResources”頁面中點(diǎn)擊單選按鈕“Pool”，并在下拉框中選擇虛擬服務(wù)器對(duì)應(yīng)的負(fù)載均衡池。

按“Done”完成創(chuàng)建虛擬服務(wù)器。

F5的monitor配置節(jié)點(diǎn)狀態(tài)監(jiān)控（Monitor）用于檢驗(yàn)負(fù)載均衡池中成員節(jié)點(diǎn)的連接和服務(wù)信息，當(dāng)池中成員節(jié)點(diǎn)服務(wù)不可用時(shí)BIG-IP系統(tǒng)將會(huì)把流量重定向到其它節(jié)點(diǎn)。提高系統(tǒng)的可靠性。系統(tǒng)自帶有很多協(xié)議的Monitor的方式，但除ping、tcp、udp協(xié)議外，很多其他協(xié)議都是不能直接引用，而是作為定制Monitor的模板時(shí)用（因?yàn)楹芏鄥f(xié)議有參數(shù)，需要與服務(wù)器上的內(nèi)容保持一致）。定制的Monitor方式，一般需要與業(yè)務(wù)結(jié)合，經(jīng)過公司的測試才可使用。F5的Monitor的配置F5的Monitor的配置：在配置工具Web頁面的導(dǎo)航面板中選擇“Monitor”中的“Monitors”標(biāo)簽，點(diǎn)擊“ADD”按鈕添加監(jiān)控。

根據(jù)需要選擇相關(guān)關(guān)聯(lián)類型：“NodeAssociations”標(biāo)簽、NodeAddressAssociations”標(biāo)簽、ServiceAssociations”標(biāo)簽。被選關(guān)聯(lián)標(biāo)簽中，在“ChooseMonitor”表格中選擇監(jiān)控名稱，點(diǎn)擊“>>”按鈕添加到“MonitorRule”監(jiān)控規(guī)格文本框中。監(jiān)控規(guī)則可以為一條或多條。選擇監(jiān)控規(guī)則后，在對(duì)應(yīng)節(jié)點(diǎn)的“AssociateCurrentMonitorRule”復(fù)選框中選中。如果欲刪除監(jiān)控關(guān)聯(lián)，則選中對(duì)應(yīng)節(jié)點(diǎn)的“DeleteExistingAssocation”復(fù)選框。點(diǎn)擊“Apply”關(guān)聯(lián)監(jiān)控。

F5的NAT和SNAT配置F5的NAT和SNAT配置：NAT(NetworkAddressTranslation)和SNAT(SecureNetworkAddressTranslation)都是地址轉(zhuǎn)換機(jī)制。

NAT是一對(duì)一的，而SNAT是多對(duì)一的。SNAT只應(yīng)用于從內(nèi)部主動(dòng)發(fā)起的流量，NAT在公司業(yè)務(wù)中很少用。SNAT出去的地址可以與VirtualServer的IP地址相同。F5的SNAT配置F5的SNAT的配置在配置工具Web頁面的導(dǎo)航面板中選擇“NATs”中的“SNATs”標(biāo)簽，點(diǎn)擊“ADD”按鈕添加SNAT地址。

在“AddSNAT”窗口中“TranslationAddress”的“IP”文本框中輸入SNATIP地址，并在“OriginList”的“OriginAddress”文本框中輸入節(jié)點(diǎn)IP地址或在“OriginVLAN”下拉框中選擇VLAN名稱，點(diǎn)擊“>>”加入“CurrentList”列表。

按“Done”完成添加SNATIP地址。

F5主備機(jī)配置同步的校驗(yàn)F5主備機(jī)配置同步的校驗(yàn)（能否進(jìn)行正確的同步）：F5主備機(jī)配置的校驗(yàn)F5主備機(jī)配置的校驗(yàn)：F5主備機(jī)切換的校驗(yàn)F5主備機(jī)業(yè)務(wù)運(yùn)行的校驗(yàn)內(nèi)容負(fù)載均衡器概念F5負(fù)載均衡器介紹F5負(fù)載均衡器配置步驟F5負(fù)載均衡器的維護(hù)F5的常見組網(wǎng)方式F5節(jié)點(diǎn)及應(yīng)用的檢查配置完負(fù)載均衡池、節(jié)點(diǎn)監(jiān)控和虛擬服務(wù)器后，我們可以通過“System->NetworkMap”頁面查看節(jié)點(diǎn)及應(yīng)用狀態(tài)，如下圖，當(dāng)圖標(biāo)為綠色時(shí)表示節(jié)點(diǎn)或虛擬服務(wù)器為“UP”，當(dāng)圖標(biāo)為紅色則意味著節(jié)點(diǎn)或虛擬服務(wù)器狀態(tài)為“Down”，如果圖標(biāo)為灰色說明節(jié)點(diǎn)或虛擬服務(wù)器被禁用。

F5日志的檢查從web上查看logs中的systemlog、bigiplog、monitorlog，看日志中是否有異常。

Web上只能查到當(dāng)天的日志F5的日志文件系統(tǒng)日志文件-/var/log/messages消息,系統(tǒng)消息BIG-