-F5+BIG-IP+LTM+負(fù)載均衡器配置指導(dǎo)書(shū)

1、.版權(quán)歸原作者所有 更多資源請(qǐng)?jiān)L問(wèn)三通it學(xué)院 f5 big-ip ltm負(fù)載均衡器配置指導(dǎo)書(shū)（v10)2014-06-23精品.修訂記錄日期修訂版本描述作者2011-08-151.00初稿完成鄒善精品.目 錄第1章 f5 big-ip ltm簡(jiǎn)介11.1 負(fù)載均衡技術(shù)簡(jiǎn)介11.2 f5 big-ip ltm產(chǎn)品介紹11.3 產(chǎn)品面板簡(jiǎn)介31.4 配置方式51.5 基本概念6第2章 big-ip ltm規(guī)劃與配置準(zhǔn)備工作82.1 big-ip ltm配置步驟82.2 組網(wǎng)規(guī)劃92.2.1 規(guī)劃準(zhǔn)備要點(diǎn)92.2.2 組網(wǎng)圖9第3章 基本配置113.

2、1 通過(guò)lcd面板設(shè)置big-ip管理網(wǎng)口地址123.2 通過(guò)管理網(wǎng)口登錄big-ip webui界面133.3 激活license143.4 設(shè)置platform173.5 修改系統(tǒng)時(shí)鐘193.6 配置網(wǎng)絡(luò)203.6.1 劃分vlan203.6.2 配置vlan ip地址223.6.3 設(shè)置接口速率和雙工類(lèi)型243.6.4 配置靜態(tài)路由243.6.5 配置link aggregation（可選）26第4章 負(fù)載均衡業(yè)務(wù)配置274.1 節(jié)點(diǎn)配置274.2 配置負(fù)載均衡池284.3 配置虛擬服務(wù)器304.3.1 創(chuàng)建虛擬服務(wù)器304.3.2 將虛擬服務(wù)器和負(fù)載均衡器相關(guān)聯(lián)和會(huì)話保持配置334.4

3、 配置健康檢查344.4.1 自定義節(jié)點(diǎn)狀態(tài)監(jiān)控354.4.2 監(jiān)控與節(jié)點(diǎn)/負(fù)載均衡池相關(guān)聯(lián)37精品.4.4.3 檢查系統(tǒng)狀態(tài)394.5 配置snat394.5.1 配置步驟394.5.2 驗(yàn)證snat配置42第5章 雙機(jī)配置435.1 雙機(jī)設(shè)置435.2 雙機(jī)狀態(tài)監(jiān)控設(shè)置465.3 雙機(jī)狀態(tài)檢查和配置同步48第6章 其他的組網(wǎng)方式496.1 單臂組網(wǎng)方式496.2 n-path組網(wǎng)方式50精品.關(guān)鍵詞：負(fù)載均衡池、虛擬服務(wù)器，節(jié)點(diǎn)、會(huì)話保持、監(jiān)控、ecv、eav、snat摘 要：按照常見(jiàn)的配置步驟，本文對(duì)f5 big-ip ltm負(fù)載均衡器設(shè)備配置進(jìn)行說(shuō)明，并對(duì)負(fù)載均衡器的基本概念和f5設(shè)備

4、使用過(guò)程中遇到的常見(jiàn)問(wèn)題進(jìn)行解答。本指導(dǎo)書(shū)適用于big-ip ltm 1600/3600負(fù)載均衡器(big-ip version 10)。縮略語(yǔ)清單：ecvextended content verification l可擴(kuò)展的內(nèi)容驗(yàn)證eav extended application verification可擴(kuò)展的應(yīng)用驗(yàn)證snatsecure network address translation安全網(wǎng)絡(luò)地址轉(zhuǎn)換ltmlocal traffic manager本地流量管理器lacplink aggregation control protocol鏈路匯聚控制協(xié)議參考資料清單：f5 big-ip

5、 ltm負(fù)載均衡器配置指導(dǎo)書(shū)，林浩泓 華為技術(shù)有限公司huawei aaa radius負(fù)載均衡配置指南-f5 big-ip，華為技術(shù)有限公司platform guide: 1600 , f5 networks, 2011platform guide: 3600 , f5 networks, 2011configuration_guide_for_big-ip_global_traffic_manager(v10.2), f5 networks, 2011tmos_management_guide_for_big-ip_systems, f5 networks, 2011big-ip loca

6、l traffic manager implementations, f5 networks, 2011精品.第1章 f5 big-ip ltm簡(jiǎn)介1.1 負(fù)載均衡技術(shù)簡(jiǎn)介在只部署了一臺(tái)服務(wù)器的情況下，隨著訪問(wèn)量的增加，一臺(tái)服務(wù)器不能滿足應(yīng)用的需要，而需要增加更多的服務(wù)器。當(dāng)部署了兩臺(tái)以上的服務(wù)器時(shí)，就可能會(huì)需要用到負(fù)載均衡器。服務(wù)器負(fù)載均衡器是指設(shè)置在一組功能相同或相似的服務(wù)器前端，對(duì)到達(dá)服務(wù)器組的流量進(jìn)行合理分發(fā)；并在其中某一臺(tái)服務(wù)器故障時(shí)，能將訪問(wèn)請(qǐng)求轉(zhuǎn)移到其它可以正常工作的服務(wù)器的軟件或網(wǎng)絡(luò)設(shè)備。通過(guò)服務(wù)器負(fù)均衡器，對(duì)流量進(jìn)行合理分配，可以帶來(lái)以下好處：l 提高性能負(fù)載均衡器可以實(shí)現(xiàn)服

7、務(wù)器之間的負(fù)載平衡，從而提高了系統(tǒng)的反應(yīng)速度與總體性能。l 提高可靠性負(fù)載均衡器可以對(duì)服務(wù)器的運(yùn)行狀況進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)運(yùn)行異常的服務(wù)器，并將訪問(wèn)請(qǐng)求轉(zhuǎn)移到其它可以正常工作的服務(wù)器上，從而提高服務(wù)器組的可靠性。l 提高可維護(hù)性采用了負(fù)均衡器器以后，可以根據(jù)業(yè)務(wù)量的發(fā)展情況靈活增加服務(wù)器，系統(tǒng)的擴(kuò)展能力得到提高，同時(shí)簡(jiǎn)化了管理。1.2 f5 big-ip ltm產(chǎn)品介紹隨著f5 big-ip 1500/3400/6400/6800/8400/8800負(fù)載均衡器停產(chǎn)，目前f5公司負(fù)載均衡器(亦稱為本地流量管理器)有big-ip ltm 1600/3600/3900/6900/8900/8950/1

8、1050/viprion2400/viprion4400等型號(hào)。精品.表1-1 f5 big-ip ltm負(fù)載均衡產(chǎn)品規(guī)格6900系列中級(jí)多用途流量管理處理器：2 x dualcore基本內(nèi)存：8gb千兆位cu端口：16個(gè)千兆位光纖端口(sfp - gbic mini)：8個(gè)（4個(gè)標(biāo)準(zhǔn)、4個(gè)可選）包括：ssl tps/max tps/bulk 加速模塊：（500/25,000/4gbps）流量吞吐量：6gbps/秒3900系列普通多用途流量管理處理器：1 x quadcore基本內(nèi)存：8gb千兆位cu端口：8個(gè)千兆位光纖端口(sfp - gbic mini)： 4個(gè)（可選）包括：ssl tps

9、/max tps/bulk加速模塊：（500/15,000/2.4gbps）流量吞吐量：4gbps3600系列普通多用途流量管理處理器：1 x dualcore基本內(nèi)存：4gb千兆位cu端口：8個(gè)千兆位光纖端口(sfp - gbic mini)： 2個(gè)可選包括：ssl tps/max tps/bulk 加速模塊：（500/10,000/2gbps）流量吞吐量：2gbps1600系列普通多用途流量管理處理器：1 x dualcore基本內(nèi)存：4gb千兆位cu端口：4個(gè)千兆位光纖端口(sfp - gbic mini)：2個(gè)可選包括：ssl tps/max tps/bulk加速模塊：（500/5,0

10、00/1gbps）流量吞吐量：1gbps精品.viprion4400系列超級(jí)多用途流量管理滿配置（4 x b4200)處理器：8 x quadcore基本內(nèi)存：64gb千兆位cu端口：16個(gè)千千兆萬(wàn)兆位自適應(yīng)sfp/sfp+端口：32個(gè)(8個(gè)標(biāo)準(zhǔn)，24個(gè)可選）包括：ssl tps/max tps/bulk 加速模塊：（16,000/200,000/36gbps）流量吞吐量：72gbps-l4 72gbps-l7viprion 2400 系列超級(jí)多用途流量管理滿配置（4 x b2100)處理器：4 x quadcore基本內(nèi)存：64gbepva layer 4加速芯片千兆萬(wàn)兆位自適應(yīng)sfp/sf

11、p+端口：32個(gè)(8個(gè)標(biāo)準(zhǔn)，24個(gè)可選）包括：ssl tps/max tps/bulk 加速模塊：（8000/200,000/16gbps）流量吞吐量：160gbps-l4 72gbps-l711050系列高級(jí)多用途流量管理處理器：2 x hexcore基本內(nèi)存：32gb千兆萬(wàn)兆位自適應(yīng)sfp/sfp+端口：10個(gè)(2個(gè)標(biāo)準(zhǔn)，8個(gè)可選）包括：ssl tps/max tps/bulk加速模塊：（500/100,000/15gbps）流量吞吐量：42gbps8900/8950系列中高級(jí)多用途流量管理處理器：2 x quadcore基本內(nèi)存：16gb千兆位cu端口：16個(gè)千兆位光纖端口(sfp -

12、gbic mini)：8個(gè)（4個(gè)標(biāo)準(zhǔn)、4個(gè)可選）包括：ssl tps/max tps/bulk 加速模塊：8900-（500/58,000/9.6 gbp） 8950-（500/56,000/9.6 gbps）流量吞吐量：8900-12gbps8950-20gbps1.3 產(chǎn)品面板簡(jiǎn)介f5 networks, inc.是一家專(zhuān)注于ip網(wǎng)絡(luò)流量和內(nèi)容管理(itcm）領(lǐng)域的廠商。f5公司的big-ip系統(tǒng)可以作為網(wǎng)絡(luò)中的負(fù)載均衡設(shè)備。f5 big-ip 1600設(shè)備的前面板視圖如下圖所示。big-ip 1600前面板視圖精品.big-ip 3600前面板視圖(1) management port

13、管理接口(2) usb接口(3) console port 串口(4) failover port，硬件failover接口(5) 10/100/1000 interface(6) sfp port(7) led狀態(tài)燈(8) lcd顯示屏(9) lcd控制按鍵big-ip 1600應(yīng)用交換機(jī)具備4個(gè)10/100/1000m自適應(yīng)的網(wǎng)絡(luò)接口及2個(gè)光纖接口。big-ip 3600應(yīng)用交換機(jī)具備8個(gè)10/100/1000m自適應(yīng)的網(wǎng)絡(luò)接口及4個(gè)光纖接口。l 10/100/1000 interface 10/100/1000 m 自適應(yīng)的網(wǎng)絡(luò)接口。l sfp 1000m sfp接口，可插1000m多模

14、/單模/電接口sfp模塊。l serial console port 一個(gè)串口命令行管理端口。pc終端可以通過(guò)串口線連接此端口，配置big-ip。l failover port 一個(gè)串口冗余狀態(tài)判斷端口。在主備冗余方式下通過(guò)隨機(jī)附帶的failover線連接此端口。精品.l mgmt interface一個(gè)10/100m管理網(wǎng)口。配置管理網(wǎng)口ip地址之后，可以通過(guò)網(wǎng)線連接此網(wǎng)口，配置big-ip。big-ip 1600/3600后面板視圖(1) 把手(2) 電源模塊(3) 未插電源模塊的擋板1600/3600都可以支持交流和直流電，直接通過(guò)更換交、直流的電源模塊即可。同時(shí)1600/3600都支持

15、雙電源。1.4 配置方式f5 big-ip 提供兩種配置方式：l web方式通過(guò)https訪問(wèn)big-ip系統(tǒng)web主頁(yè)面進(jìn)行配置。如：45l 命令行方式 ssh通過(guò)ssh遠(yuǎn)程登錄進(jìn)行配置。 console通過(guò)串口線連接console口進(jìn)行配置，計(jì)算機(jī)的超級(jí)終端的設(shè)置如下：精品.每秒位數(shù)選擇“19200”。數(shù)據(jù)流控制選擇“無(wú)”。其他參數(shù)保留缺省值。由于web配置方式一般配置比較直接，所以在一般的配置過(guò)程中，建議通過(guò)web的方式完成配置，命令行的配置方式，一般在查錯(cuò)時(shí)使用。1.5 基本概念l 節(jié)點(diǎn)（node）節(jié)點(diǎn)是處理負(fù)載均衡器發(fā)送流量的設(shè)備，通常是業(yè)務(wù)服務(wù)器

16、。當(dāng)服務(wù)器加入負(fù)載均衡池成為池成員時(shí)，服務(wù)器就稱為節(jié)點(diǎn)，node是指服務(wù)器的ip地址，如10。l 負(fù)載均衡成員(pool member)負(fù)載均衡成員是處理負(fù)載均衡器發(fā)送的測(cè)試設(shè)備和端口，pool member是指服務(wù)器的ip地址+端口號(hào)，如10:80。l 負(fù)載均衡池（pool）精品.一組pool member組成一個(gè)pool，池與特定虛擬服務(wù)器相關(guān)聯(lián)，流向虛擬服務(wù)器的流量通常會(huì)轉(zhuǎn)給相關(guān)聯(lián)的負(fù)載均衡池中的成員節(jié)點(diǎn)。如pool_web中有兩個(gè)成員10:80和20:80l 虛擬服務(wù)器（virtua

17、l server）虛擬服務(wù)器對(duì)應(yīng)一個(gè)虛擬地址+端口號(hào)，是一個(gè)可見(jiàn)的、可路由的實(shí)體。客戶端請(qǐng)求某個(gè)虛擬服務(wù)器，即請(qǐng)求某種類(lèi)型的服務(wù)。建立虛擬服務(wù)器與負(fù)載均衡池之間的關(guān)聯(lián)后，來(lái)自某個(gè)虛擬服務(wù)器的請(qǐng)求會(huì)被轉(zhuǎn)發(fā)給與之關(guān)聯(lián)的負(fù)載均衡池中的節(jié)點(diǎn)，由這個(gè)節(jié)點(diǎn)響應(yīng)客戶端的請(qǐng)求。如0:80是一個(gè)virtual serverl 負(fù)載均衡(load balance method)負(fù)載均衡即是virtual server收到客戶端的請(qǐng)求后，采用什么方式把請(qǐng)求分發(fā)到后臺(tái)的pool member中去。負(fù)載均衡方法是在pool中配置，負(fù)載均衡方法包括round robin,ratio,fastes

18、t,least connections,least sessions等負(fù)載均衡方法。l 會(huì)話保持(persistence)會(huì)話保持就是指負(fù)載均衡器可以確保同一客戶端一系列相關(guān)聯(lián)的訪問(wèn)請(qǐng)求會(huì)被分配到同一個(gè)節(jié)點(diǎn)上。會(huì)話保持方法在virtual server中配置，會(huì)話保持方法包括：source address,cookie,destination address,hash,sip,ssl等會(huì)話保持方法。l 健康檢查（monitor）健康檢查用于檢驗(yàn)負(fù)載均衡池中成員節(jié)點(diǎn)健康狀態(tài)。當(dāng)池中成員節(jié)點(diǎn)服務(wù)中斷時(shí)，big-ip設(shè)備將會(huì)把流量重定向到其它成員工點(diǎn)。健康檢查方法包括ping成員的ip地址、檢查成員

19、的端口是否啟用、模擬客戶端發(fā)真正的業(yè)務(wù)請(qǐng)求等。精品.big-ip ltm規(guī)劃與配置準(zhǔn)備工作1.6 big-ip ltm配置步驟在對(duì)f5 big-ip進(jìn)行配置之前，首先要做好規(guī)劃工作。big-ip ltm主要配置步驟如下：1) 組網(wǎng)規(guī)劃 在組網(wǎng)規(guī)劃中，包含主機(jī)名、ip地址/vlan、路由、虛擬服務(wù)器、地址池、負(fù)載均衡算法、會(huì)話保持方式、雙機(jī)等內(nèi)容進(jìn)行規(guī)劃，并繪制出組網(wǎng)拓?fù)鋱D。2) 初始化配置 通常使用web完成初始化配置，包括激活license、平臺(tái)配置和網(wǎng)絡(luò)配置。3) 配置網(wǎng)絡(luò)vlan和ip地址4) 更改系統(tǒng)時(shí)鐘（可選）5) 配置負(fù)載均衡池6) 配置節(jié)點(diǎn)狀態(tài)監(jiān)控7) 配置虛擬服務(wù)器8) 配置s

20、nat/nat9) 配置雙機(jī)& 說(shuō)明： (1) 本配置步驟為常見(jiàn)配置順序。本文沒(méi)有包括過(guò)濾和ssl proxy等配置。(2) 主用big-ip系統(tǒng)要完成以上所有配置步驟，備用big-ip系統(tǒng)可以跳過(guò)5-8步，而通過(guò)主用big-ip系統(tǒng)將配置同步到備用big-ip系統(tǒng)中去。精品.1.7 組網(wǎng)規(guī)劃本節(jié)主要根據(jù)典型f5 big-ip ltm典型應(yīng)用以實(shí)例給出配置指南，后續(xù)章節(jié)具體配置說(shuō)明不一定跟本實(shí)例完全相同。1.7.1 規(guī)劃準(zhǔn)備要點(diǎn)在安裝big-ip系統(tǒng)之前，請(qǐng)檢查如下準(zhǔn)備工作是否做好：l 設(shè)備物理連接規(guī)劃。l ip地址規(guī)劃，根據(jù)實(shí)際需要?jiǎng)澐志W(wǎng)段和分配ip地址。n big-ip雙機(jī)需要3個(gè)外部vl

21、an ip，2個(gè)分別為主備機(jī)的self ip，一個(gè)為share ip。n big-ip雙機(jī)需要3個(gè)內(nèi)部vlan ip，2個(gè)分別為主備機(jī)的self ip，一個(gè)為share ip。n bip-ip雙機(jī)需要2個(gè)同步vlan ip，2個(gè)分別為主備機(jī)的self ip（如果需要啟用network failover功能)n 每一個(gè)虛擬服務(wù)器ip地址或nat需要一個(gè)外部vlan ip。snat映射ip地址可以跟虛擬服務(wù)器ip地一樣。n big-ip內(nèi)部每個(gè)節(jié)點(diǎn)需要一個(gè)內(nèi)部vlan ip。 l 確定big-ip主機(jī)名，并且確保big-ip雙機(jī)主機(jī)名不一樣。l 確定big-ip unit id，并且確保big-i

22、p雙機(jī)的unit id不一樣。1.7.2 組網(wǎng)圖典型f5 big-ip ltm負(fù)載均衡器部署方式采用“雙臂旁掛”式連接（如圖2-1所示）。精品.圖1-2 典型f5 big-ip ltm負(fù)載均衡器部署示意圖ip地址和物理端口分配如下表所示：表1-2 ip地址和物理端口分配表id主機(jī)名vlanvlan id端口self ip地址float ip地址端口對(duì)端描述1lb01.external 1001.145/2454交換機(jī)1外部vlan g1/0/5internal2001.245/24192.168.202.

23、254交換機(jī)1內(nèi)部vlan g1/0/4sync30054.1/24n/a交換機(jī)1內(nèi)部vlan g1/0/4mgmt400mgmt45/24n/a維護(hù)交換機(jī)2lb02.external 1001.146/2454交換機(jī)2外部vlan g1/0/5internal2001.246/2454交換機(jī)2內(nèi)部vlan g1/0/4sync30054.2/24n/a交換機(jī)2內(nèi)部vlan g1/0/4mgmt400mgmt192.1

24、68.200.246/24n/a維護(hù)vlan交換機(jī)virtual server與成員信息表如下：精品.表1-3 virtual server與成員信息表no.virtual namevirtual serverpoolnodesdescription1vip_web0:httppool_web10:8020:80tcp/fastl42vip_ftp0:ftppool_ftp10:ftp20:ftptcp/fastl4snat地址規(guī)劃如下表：

25、表1-4 snat規(guī)劃表no.snat nameorigintranslationvlandescription1snat_web/00internaltcp timeout 3600第2章 基本配置本文以big-ip ltm 1600為例講解整個(gè)配置過(guò)程，基本上講解了big-ip整個(gè)配置過(guò)程。對(duì)于新的big-ip設(shè)備，基本配置主要包括：(1) 通過(guò)lcd面板設(shè)置big-ip管理網(wǎng)口地址(2) 通過(guò)管理網(wǎng)口登錄big-ip web界面(3) 通過(guò)setup utility激活license、配置platform和配置網(wǎng)絡(luò)。也可以通過(guò)導(dǎo)航菜單system

26、- license激活license；system - platform配置platform。 注意： 在安裝之前，必須注意如下事項(xiàng)：(1) big-ip的接口與vlan分配相關(guān)，網(wǎng)線連接接口位置不能隨意更改，否則可能導(dǎo)致網(wǎng)絡(luò)無(wú)法連接。(2) 互為雙機(jī)的兩臺(tái)big-ip必須用隨機(jī)附帶的failover線相連起來(lái)。 精品.(3) 可以通過(guò)lcd面板設(shè)置/獲取管理網(wǎng)口地址來(lái)進(jìn)行基本配置，或是通過(guò)命令行方式，運(yùn)行config命令來(lái)配置管理ip。2.1 通過(guò)lcd面板設(shè)置big-ip管理網(wǎng)口地址big-ip上電開(kāi)機(jī)以后，首先需要通過(guò)機(jī)器lcd面板的按鍵設(shè)置management管理網(wǎng)口的ip地址。管理網(wǎng)

27、絡(luò)接口缺省的ip地址為45/24。可以通過(guò)兩種方式設(shè)置管理網(wǎng)口的ip地址：l 通過(guò)lcd按鍵1) 按紅色x按鍵。2) 在液晶面板上通過(guò)按鍵按以下順序設(shè)置管理網(wǎng)口的網(wǎng)絡(luò)地址：system - management - mgmt ip。3) 在液晶面板上通過(guò)按鍵按以下順序設(shè)置管理網(wǎng)口的子網(wǎng)掩碼：system - management - mgmt mask。4) 進(jìn)入“commit提交菜單”，確認(rèn)提交l 通過(guò)console口將pc機(jī)上的串口與f5 big-ip設(shè)備面板上的“serial console port”用串口線連接。在pc機(jī)上通過(guò)超級(jí)終端登錄f5 big-ip，輸入

28、“config”，根據(jù)提示設(shè)置管理網(wǎng)口的ip地址。用戶名/密碼默認(rèn)為：root/default。& 說(shuō)明： (1) management (mgmt)接口可以用于維護(hù)管理用途，可以將該接口連接到業(yè)務(wù)系統(tǒng)維護(hù)vlan。(2) 管理網(wǎng)絡(luò)接口的ip地址不能與業(yè)務(wù)網(wǎng)絡(luò)在同一網(wǎng)段，避免出現(xiàn)地址沖突。根據(jù)業(yè)務(wù)網(wǎng)絡(luò)的地址劃分，相應(yīng)的調(diào)整管理網(wǎng)絡(luò)接口的網(wǎng)絡(luò)地址。(3) 如果通過(guò)lcd按鍵修改完ip地址以后，選擇commit，地址無(wú)法成功改變(例如出現(xiàn)ip地址為全零的情況)，很有可能是管理口ip地址與系統(tǒng)內(nèi)已經(jīng)配置發(fā)生沖突。出現(xiàn)這種情況，關(guān)機(jī)重啟以后，重新選定ip地址或網(wǎng)段來(lái)設(shè)置管理網(wǎng)口地址。精品.2.2 通過(guò)

29、管理網(wǎng)口登錄big-ip webui界面big-ip有兩種管理方式，一種是基于web的https管理方式，另一種是基于ssh的命令行管理方式。除特別配置外，big-ip的配置主要采用web的管理方式即可。將計(jì)算機(jī)連接big-ip 的管理網(wǎng)口，以web方式登陸：(1) 在管理員的ie地址欄內(nèi)輸入big-ip設(shè)備的管理接口ip地址，如45。 管理接口的缺省ip地址為45。如果已經(jīng)通過(guò)液晶面板上的按鍵更改過(guò)ip，輸入相應(yīng)的ip地址。(2) 連接后出現(xiàn)安全警告提示窗口，點(diǎn)擊yes繼續(xù)。(3) 系統(tǒng)提示輸入用戶名和密碼。缺省的用戶名和密碼為adm

30、in和admin(4) 輸入正確后即可進(jìn)入big-ip配置工具web界面。圖2-1 big-ip配置工具web界面2.3 激活license在配置big-ip之前，必須先激活f5的license。操作步驟如下。精品.1) 登錄big-ip的web管理頁(yè)面。未激活license之前，登錄big-ip的web管理頁(yè)面后，顯示如下頁(yè)面。2) 單擊“activate”，進(jìn)入如下頁(yè)面。3) 單擊base registration key對(duì)應(yīng)的“edit”，在文本框中輸入已獲取的base registration key。activation method選擇manual。精品.4) 單擊“next”。5

31、) 在彈出的對(duì)話框中單擊“確定”，進(jìn)入如下頁(yè)面。精品.6) 申請(qǐng)license文件。在“步驟5”的圖中，單擊“step 2”的超鏈接，進(jìn)入f5 license服務(wù)器。通常f5負(fù)載均衡器所處網(wǎng)絡(luò)不能夠直接上internet，請(qǐng)將“dossier”拷貝到可以上internet的計(jì)算機(jī)中，進(jìn)入f5 license服務(wù)器。f5 license服務(wù)器地址/license/dossier.jsp將產(chǎn)生的dossier復(fù)制進(jìn)以下頁(yè)面。精品.單擊“next”，生成license文件。在“步驟5”的圖中，將申請(qǐng)的license填入“step 3”的方框中。單擊“nex

32、t”，完成license激活，進(jìn)入平臺(tái)配置頁(yè)面。 注意： 完成f5 big-ip設(shè)備license激活后，請(qǐng)重啟設(shè)備或者在cli使用bigstart restart命令可以手工重啟big-ip服務(wù)進(jìn)程。2.4 設(shè)置platform平臺(tái)(platform)主要配置系統(tǒng)的通用屬性，比如，主機(jī)名、ip地址、系統(tǒng)管理員帳號(hào)等。可以通過(guò)webui進(jìn)入配置頁(yè)面system - platform。platform頁(yè)面可設(shè)置host name、root密碼、admin密碼、time zone。如果是雙機(jī)，還要設(shè)置high availability和unit id。f5 big-ip采用linux時(shí)區(qū)設(shè)置，中國(guó)

33、時(shí)區(qū)其中沒(méi)有北京時(shí)區(qū)信息，可以就近選擇如下時(shí)區(qū)：asia/chungking（重慶）、asia/harbin（哈爾濱）、asia/hong_kong（香港）、asia/macao（澳門(mén)）、asia/shanghai（上海）和asia/urumqi（烏魯木齊）。其他地區(qū)可以根據(jù)time zone下拉列表框進(jìn)行相應(yīng)選擇。精品.圖2-2 platform頁(yè)面management port管理網(wǎng)口的ip地址、子網(wǎng)掩碼、路由。host namef5 big-ip的主機(jī)名。high availability采用雙機(jī)冗余方式，設(shè)置為“redundant pair”。unit id采用雙機(jī)冗余方式，主備機(jī)的u

34、nit id不同。root accountroot account為命令行帳號(hào)，初始密碼為default。admin accountadmin account為web管理的帳號(hào)，初始密碼為admin。ssh access選中復(fù)選框表示允許通過(guò)ssh方式配置f5 big-ip。 注意： (1) root密碼允許用戶通過(guò)命令行訪問(wèn)big-ip系統(tǒng)。建議root密碼長(zhǎng)度大于6位，但不要超過(guò)32位字節(jié)。密碼與大小寫(xiě)敏感，建議密碼中包含大寫(xiě)/小寫(xiě)字母和數(shù)字。如果big-ip系統(tǒng)為雙機(jī)系統(tǒng)，兩臺(tái)主備機(jī)的root/admin兩個(gè)用戶的密碼必須保持一致。(2) 主機(jī)名用來(lái)標(biāo)識(shí)big-ip系統(tǒng)自身。主機(jī)名必須符

35、合dns域名標(biāo)準(zhǔn)。主機(jī)部分必須以字母開(kāi)始，并至少為2個(gè)字符。舉例：。 (3) big-ip雙機(jī)系統(tǒng)的主機(jī)名必須不一樣，否則配置同步會(huì)產(chǎn)生錯(cuò)誤，可能導(dǎo)致破壞license。如果big-ip運(yùn)行于雙機(jī)高可用性模式，因此需要在系統(tǒng)通用屬性中設(shè)置雙機(jī)：精品.圖2-3 設(shè)置雙機(jī)& 說(shuō)明： 通常雙機(jī)系統(tǒng)中主機(jī)unit id設(shè)置為1，備機(jī)unit id為2。2.5 修改系統(tǒng)時(shí)鐘修改big-ip系統(tǒng)時(shí)鐘必須要通過(guò)cli命令行界面完成，請(qǐng)通過(guò)console或ssh方式連接到big-ip。常用的ssh客戶端有putty或secure shell client等。(1) 用ssh

36、客戶端連接big-ip的管理網(wǎng)口地址，進(jìn)入命令行模式。(2) 執(zhí)行date檢查系統(tǒng)時(shí)鐘。rootzjhz-ps-mms3-sw02:active config # datethu may 25 16:59:15 cst 2006(3) 如果系統(tǒng)時(shí)鐘跟當(dāng)前時(shí)間相差較大，使用date命令修改系統(tǒng)時(shí)鐘。命令格式：# date .# date mmddhhmmyyyy.ss如設(shè)置2007年1月1日中午12：00：00# date 010112002007.00(4) 保存時(shí)間到bios。# hwclock -systohc 注意： (1) 對(duì)于臨時(shí)license的設(shè)備，不要輕易改系統(tǒng)時(shí)間，后果是lic

37、ense失效。(2) 對(duì)于在運(yùn)行的冗余系統(tǒng)，主、備機(jī)的時(shí)間不能超過(guò)10分鐘，否則主、備機(jī)的同步不能完成。 (3) 系統(tǒng)時(shí)鐘主要用于 f5 日志文件的計(jì)時(shí)時(shí)間。精品.2.6 配置網(wǎng)絡(luò)根據(jù)組網(wǎng)規(guī)劃，對(duì)f5 bigip的網(wǎng)絡(luò)進(jìn)行配置，包括劃分vlan、定義ip地址及路由等。2.6.1 劃分vlan點(diǎn)擊左側(cè)的導(dǎo)航條，進(jìn)入network - vlans。圖2-4 打開(kāi)vlans頁(yè)面在右側(cè)可以對(duì)vlan進(jìn)行配置。創(chuàng)建方法如下：(1) 點(diǎn)擊”create”按鈕。精品.圖2-5 vlan設(shè)置(2) 設(shè)置vlan名。在name文本框設(shè)置這個(gè)vlan的名字，如“sync”。(3) 在“tag”中參照vlan規(guī)劃表

38、輸入vlan號(hào)。如果不填，系統(tǒng)將自動(dòng)分配一個(gè)vlan號(hào)。建議按照vlan規(guī)劃表輸入vlan號(hào)，如果啟用tagged interface時(shí)，可以跟交換機(jī)的802.1q trunk端口匹配起來(lái)。(4) 將接口分配到vlan中。在“resources”表格中interface:定義available中顯示的端口有選擇性的劃分到這個(gè)vlan中。指定端口后，單擊選入untagged欄即可，如果對(duì)選定接口號(hào)點(diǎn)擊“tagged ”，則該端口為802.1q trunk端口。(5) 點(diǎn)擊完成。配置完成后，主f5的vlan的配置如下：精品.2.6.2 配置vlan ip地址在劃分完vlan后，即可對(duì)每個(gè)vlan進(jìn)

39、行ip地址的定義。方法如下：點(diǎn)擊左側(cè)導(dǎo)航條中的networks - self ips。圖2-6 打開(kāi)self ips頁(yè)面在右側(cè)可以對(duì)ip地址進(jìn)行配置。配置步驟：(1) 點(diǎn)擊”create”按鈕。精品.圖2-7 self ip設(shè)置(2) 在頁(yè)面對(duì)應(yīng)欄進(jìn)行填寫(xiě)：l ip address: 輸入ip地址l netmask: 輸入子網(wǎng)掩碼l vlan：選擇將這個(gè)ip地址綁定在哪個(gè)vlan上。選擇下拉菜單將顯示所有已設(shè)置的vlan名。l port lockdown: 通常保持默認(rèn)值allow default。當(dāng)沒(méi)有配置b self allow時(shí)，可以選擇allow all。l floating ip:如

40、果系統(tǒng)為冗余工作方式，需對(duì)每臺(tái)設(shè)備的每個(gè)vlan均設(shè)置兩個(gè)ip地址。其中一個(gè)是self ip,另一個(gè)則為floating ip,即兩臺(tái)設(shè)備共用的ip地址。選中此項(xiàng)即代表這個(gè)ip地址為floating ip。l unit id: 對(duì)于雙機(jī)的浮動(dòng)ip，需要選擇floating ip，并選擇對(duì)應(yīng)的unit id號(hào)。(3) 點(diǎn)擊完成。完成配置后，主用f5的self ip的配置如下：精品.2.6.3 設(shè)置接口速率和雙工類(lèi)型點(diǎn)擊左側(cè)導(dǎo)航條中打開(kāi)network - interfaces選擇相應(yīng)的端口。接口操作模式默認(rèn)為自適應(yīng)，通常不建議修改。圖2-8 接口操作模式設(shè)置2.6.4 配置靜態(tài)路由點(diǎn)擊左側(cè)導(dǎo)航條中

41、的networks - routes精品.圖2-9 打開(kāi)路由頁(yè)面創(chuàng)建方法如下：(1) 點(diǎn)擊(2) 在頁(yè)面對(duì)應(yīng)欄進(jìn)行填寫(xiě)：l type: 定義配置的是默認(rèn)網(wǎng)關(guān)還是靜態(tài)路由。l destination: 定義目標(biāo)網(wǎng)段精品.l netmask: 定義目標(biāo)網(wǎng)段的掩碼l resource: 定義網(wǎng)關(guān)地址(3) 點(diǎn)擊完成。2.6.5 配置link aggregation（可選）為提高鏈路可靠性，big-ip與lan switch互連網(wǎng)絡(luò)采用兩條網(wǎng)線進(jìn)行鏈路匯聚。big-ip將鏈路匯聚稱之為trunk，不要與ieee 802.1q的trunk屬于混淆。點(diǎn)擊左側(cè)的導(dǎo)航條，進(jìn)入networktrunks:圖2-

42、10 鏈路匯聚頁(yè)面精品.負(fù)載均衡業(yè)務(wù)配置負(fù)載均衡業(yè)務(wù)配置主要包含以下幾個(gè)方面：l node 節(jié)點(diǎn) 一般在pool配置中添加，也可以單獨(dú)創(chuàng)建?？梢栽趎ode頁(yè)面中配置節(jié)點(diǎn)健康檢查。 l pool 負(fù)載均衡池 包含可以將請(qǐng)求發(fā)送到其中進(jìn)行處理的服務(wù)器。l profile 定義virtual server行為的設(shè)置?？梢允褂孟到y(tǒng)自帶profile，有些業(yè)務(wù)需要自定義profile。l virtual server 虛擬服務(wù)器 virtual server接收客戶端的訪問(wèn)請(qǐng)求，然后將請(qǐng)求分發(fā)給被負(fù)載均衡的節(jié)點(diǎn)服務(wù)器上。l irule irule是基于tcl語(yǔ)言的腳本處理引擎，可以非常靈活的實(shí)現(xiàn)一些特殊

43、的流量處理需求。l monitor monitor跟蹤pool成員的當(dāng)前狀態(tài)?？梢圆捎孟到y(tǒng)自帶monitor。有些業(yè)務(wù)需要自定義monitor。 l snat 在負(fù)載均衡器內(nèi)部的服務(wù)器主動(dòng)向外發(fā)起訪問(wèn)時(shí)，在負(fù)載均衡器上所做的地址映射。& 說(shuō)明： 服務(wù)器負(fù)載均衡器的設(shè)置只需要在一臺(tái)big-ip1上進(jìn)行設(shè)置，設(shè)置好以后，可以通過(guò)雙機(jī)配置同步的方式將配置更新到big-ip2上。2.7 節(jié)點(diǎn)配置節(jié)點(diǎn)（node）可以單獨(dú)配置，一般在pool配置時(shí)添加。點(diǎn)擊左側(cè)的導(dǎo)航條，選擇local traffic - virtual servers -nodes標(biāo)簽，點(diǎn)擊“create”按鈕添加節(jié)點(diǎn)（node）精品.

44、圖2-11 節(jié)點(diǎn)配置在上圖中輸入節(jié)點(diǎn)（服務(wù)器）的ip和名稱，選擇相應(yīng)的monitors，點(diǎn)擊finished完成配置。2.8 配置負(fù)載均衡池負(fù)載均衡池是負(fù)載均衡器中重要的屬性，是根據(jù)負(fù)載均衡策略接收數(shù)據(jù)流量的一組設(shè)備。池與特定虛擬服務(wù)器相關(guān)聯(lián)，流向虛擬服務(wù)器的流量通常會(huì)轉(zhuǎn)給相關(guān)聯(lián)的負(fù)載均衡池的成員節(jié)點(diǎn)。池可以執(zhí)行負(fù)載均衡操作，比如發(fā)送流量到池中的指定節(jié)點(diǎn)或定義會(huì)話保持方式。當(dāng)配置池時(shí)，必須配置池名、成員ip地址和負(fù)載均衡方法（big-ip系統(tǒng)默認(rèn)策略為輪詢“round robin”方式）。配置步驟：(1) 左側(cè)導(dǎo)航條中選擇 local traffic - virtual servers -po

45、ols標(biāo)簽，點(diǎn)擊“create”按鈕添加服務(wù)器池(pool)。精品.圖2-12 負(fù)載均衡池配置頁(yè)面(2) 在“name”中輸入負(fù)載均衡器名稱。(3) 在 “l(fā)oad balancing method”表格中選擇負(fù)載均衡方法，通常采用默認(rèn)輪詢方法。(4) 在“resources”表格中的“address”文本框輸入成員ip地址，在“service port”文本框中輸入服務(wù)端口（通用服務(wù)可以在下拉框選擇對(duì)應(yīng)服務(wù)），點(diǎn)擊“add”添加到“current members”當(dāng)前成員列表中。(5) 添加所有組成員，點(diǎn)擊“finished”完成配置。精品.2.9 配置虛擬服務(wù)器虛擬服務(wù)器（virtual

46、server）是一個(gè)可ping的虛擬ip地址和服務(wù)端口的組合（比如0:http），虛擬服務(wù)器與負(fù)載均衡池（pool）相對(duì)應(yīng)，負(fù)載均衡池由一或多個(gè)節(jié)點(diǎn)（node）組成。虛擬服務(wù)器有許多類(lèi)型，本文只講述業(yè)務(wù)與軟件產(chǎn)品使用的標(biāo)準(zhǔn)虛擬服務(wù)器配置。2.9.1 創(chuàng)建虛擬服務(wù)器配置步驟：(1) 在導(dǎo)航面板中選擇local traffic - virtual servers標(biāo)簽，點(diǎn)擊“create”按鈕添加虛擬服務(wù)器。精品.圖2-13 虛擬服務(wù)器配置1精品.圖2-14 虛擬服務(wù)器配置2(2) 在 “name”文本框中輸入名稱，(3) “address”文本框中輸入虛擬服務(wù)器ip地址，

47、并在“service port”文本框中輸入服務(wù)端口號(hào)或在下拉框中選擇現(xiàn)有的服務(wù)名稱。對(duì)于ftp服務(wù)必須要從下拉框選擇服務(wù)名稱。(4) 在configuration欄的type類(lèi)型中，缺省為“standard”方式，一般不需要更改。如果虛擬服務(wù)器只用于內(nèi)部一個(gè)節(jié)點(diǎn)服務(wù)器1:1方式訪問(wèn)時(shí)，可以選用“forwarding (ip)”方式；如果負(fù)載均衡器僅用于4層交換，可以采用“performance (layer 4)”方式，以提高四層處理性能；如果虛擬服務(wù)器用于http服務(wù)，可以采用“performance (http)”方式，以提升http請(qǐng)求處理性能。(5) 根據(jù)業(yè)務(wù)需要可以對(duì)應(yīng)調(diào)整prot

48、ocol、oneconnect profile（用于實(shí)現(xiàn)tcp連接復(fù)用，即多個(gè)連接到負(fù)載均衡器時(shí)，負(fù)載均衡器只需一個(gè)連接到內(nèi)部服務(wù)器，以提升服務(wù)器性能）、http profile、ftp profile等。精品.(6) 在resourse屬性中，選擇相應(yīng)的pool和persistence方式。(7) 點(diǎn)擊“finished”完成創(chuàng)建虛擬服務(wù)器。 2.9.2 將虛擬服務(wù)器和負(fù)載均衡器相關(guān)聯(lián)和會(huì)話保持配置配置步驟：(1) 在“l(fā)ocal trafficvirtual servers”中點(diǎn)擊相應(yīng)的virtual server，選擇resources項(xiàng)圖2-15 會(huì)話保持配置頁(yè)面(2) 對(duì)defaul

49、t persistence profile進(jìn)行配置精品.圖2-16 選擇會(huì)話保持方法& 說(shuō)明： 會(huì)話保持驗(yàn)證可使用“tcpdump”工具進(jìn)行驗(yàn)證，tcpdump使用參見(jiàn)附錄說(shuō)明。(3) 點(diǎn)擊”update”完成配置。2.10 配置健康檢查節(jié)點(diǎn)狀態(tài)監(jiān)控（monitor）用于檢驗(yàn)負(fù)載均衡池中成員節(jié)點(diǎn)的連接和服務(wù)信息，包括健康監(jiān)控和性能監(jiān)控，當(dāng)池中成員節(jié)點(diǎn)性能下降時(shí)big-ip系統(tǒng)將會(huì)把流量重定向到其它節(jié)點(diǎn)。配置節(jié)點(diǎn)狀態(tài)監(jiān)控包括如下兩項(xiàng)工作：l 自定義節(jié)點(diǎn)狀態(tài)監(jiān)控l 監(jiān)控與節(jié)點(diǎn)/負(fù)載均衡池相關(guān)聯(lián)其中自定義節(jié)點(diǎn)狀態(tài)監(jiān)控配置步驟是可選的，當(dāng)使用默認(rèn)監(jiān)控模板時(shí)，此步驟可以跳過(guò)。精品.2.10.1 自定義節(jié)

50、點(diǎn)狀態(tài)監(jiān)控節(jié)點(diǎn)如果使用標(biāo)準(zhǔn)服務(wù)，只需要使用big-ip系統(tǒng)提供默認(rèn)監(jiān)控模板即可，不需要進(jìn)行自定義。當(dāng)監(jiān)控信息需要對(duì)服務(wù)的內(nèi)容或服務(wù)協(xié)議信息進(jìn)行監(jiān)控時(shí)，這時(shí)需要進(jìn)行自定義節(jié)點(diǎn)狀態(tài)監(jiān)控。配置步驟：(1) 在導(dǎo)航面板中選擇“monitor”中的“monitors”標(biāo)簽，點(diǎn)擊“create”按鈕添加監(jiān)控。圖2-17 創(chuàng)建monitor選擇monitor類(lèi)型模板(2) 在“type”中選擇采用模板，比如http或https等，在“name” 文本框輸入監(jiān)控名稱。精品.圖2-18 創(chuàng)建monitor自定義monitor(3) 在“configure”表格中使用默認(rèn)屬性。根據(jù)監(jiān)控模板的不同對(duì)屬性進(jìn)行配置，比

51、如對(duì)http ecv屬性的“send string”配置為“get /user/index.html http/1.0rnrn”；將internal更改為10秒，timeout更改為31秒(3 x internal +1)。(4) 完成監(jiān)控配置后，點(diǎn)擊“finished”完成配置。& 說(shuō)明： 當(dāng)默認(rèn)監(jiān)控方法無(wú)法實(shí)現(xiàn)檢測(cè)服務(wù)器運(yùn)行狀態(tài)時(shí)，需要定制的監(jiān)控。例如，默認(rèn)的域名方式使用“get /”命令無(wú)法獲取正確頁(yè)面或頁(yè)面經(jīng)過(guò)多次重定向，這時(shí)big-ip系統(tǒng)無(wú)法正確檢測(cè)服務(wù)器狀態(tài)，我們需要手工更改命令，比如“get /user/index.html”，使http檢查方法可以檢測(cè)出服務(wù)器的運(yùn)行狀態(tài)。同時(shí)需要注意get的語(yǔ)法，在v9和v10中是不一樣的，而且http1.0和http1.1也不一樣。2.10.2 監(jiān)控與節(jié)點(diǎn)/負(fù)載均衡池相關(guān)聯(lián)監(jiān)控必須要跟節(jié)點(diǎn)/負(fù)載均衡池相關(guān)聯(lián)才能生效。1. 監(jiān)控與節(jié)點(diǎn)相關(guān)聯(lián)配置步驟：精品.(1) 點(diǎn)擊左側(cè)的導(dǎo)航條，選擇local traffic - virtual servers -nodes標(biāo)簽，選中需要監(jiān)控的節(jié)點(diǎn)（node）圖2-19 調(diào)整health monitors(2) 節(jié)點(diǎn)配置項(xiàng)下拉框health monitors缺省為node default。node default設(shè)置可以在local traffic - virtual ser