F5详细配置手册.docx

F5详细配置手册.docx

《F5详细配置手册.docx》由会员分享，可在线阅读，更多相关《F5详细配置手册.docx（23页珍藏版）》请在冰点文库上搜索。

F5详细配置手册

F5BIG-IP

负载均衡器配置指导书

一、网络结构与IP地址规划

本手册以移动WAP/彩信网关为例

网络拓扑结构如下图所示：

整个数据网络设备，采用两台防火墙、两台BIG-IP3400负载均衡器、及两台交换机、网络设备都采用主、备设备，以实现设备、链路的冗余备份，以消除单点故障。

这里部署负载均衡器的目的主要是为了增加服务器的数量，以提升系统的处理能力。

但对外仍然是一个IP地址。

相关的IP地址规划如下：

注：

以上的IP地址规划是测试环境的IP地址设置，需要根据现网环境中的IP地址规划进行修改。

BIG-IP3400-1

VIP1

10.10.3.108

对外的虚拟IP地址

SNATIP1

10.10.3.108

SNAT地址（指向PORTAL）

ExternalShareIP

10.10.3.3/24

同第一层防火墙trust同一VLAN

ExtervlanselfIP

10.10.3.1/24

同第一层防火墙trust同一VLAN

InternalShareIP1

/24

同第二层防火墙Untrust一VLAN

Internalvlanselfip1

/24

同第二层防火墙Untrust一VLAN

BIG-IP3400-2

VIP1

10.10.3.108

SNATIP1

10.10.3.108

ExternalvlanShareip

10.10.3.3/24

Externalvlanselfip

10.10.3.2/24

InternalShareIP

3/24

Internalvlanselfip

1/24

注：

建议现场工程师先填写以下规范表：

序号

项目

F5-3400-1参数

F5-3400-2参数

建议值

备注

系统参数

主机名

root用户密码

default

default

Admin用户密码

admin

admin

Web连接方式

HTTPS

HTTPS

命令行连接方式

SSH/console

SSH/console

网管服务器IP

系统管理IP

系统管理IP地址

掩码

网关

端口参数

Ethernet端口描述（trunk）

Ethernet端口描述（trunk）

Admin带外管理端口描述

trunk模式

Trunk配置

Trunk_10

Trunk_30

防火墙互联

vlan号

10

vlan描述

TO-FW

本机IP地址

虚拟IP地址

防火墙虚拟IP地址

F5HA配置方式

Active

Standby

F5Fail-Safe模式

GatewayFail-Safe

GatewayFail-safe模式分别由两台F5设备监测前端的防火墙地址，如果出现无法连通防火墙地址则进行切换。

F5Fail-safeAction

FailOver

进行主备切换

服务器互联

vlan号

30

vlan描述

TO-Server

本机IP地址

虚拟IP地址

F5HA配置方式

Active

Standby

F5Fail-Safe模式

VLANFail-safe

GatewayFail-safe模式分别由两台F5设备监测VLAN流量，发现VLAN失效时进行切换。

F5Fail-safeAction

FailOver

进行主备切换

SNAT地址

SNAT后地址

路由设置

DefaultGateway

（Juniper防火墙地址）

二、配置BIGIP3400负载均衡设备

本章将主要描述BIGIP3400负载均衡设备的配置方法及配置内容。

旁路/直连的选择

2.1.1路由/直连模式的介绍

网络连接的物理结构如下结构：

Ip规划说明：

图中bigip为负载均衡交换机，bigip上面使用公开的ip地址，bigip下面同负载均衡的服务器使用不公开的ip地址。

但对外提供服务则使用公开的ip。

2.1.2旁路模式的介绍

网络连接的物理结构如下结构：

Ip规划说明：

图中bigip为负载均衡交换机，bigip和负载均衡的服务器均使用公开的ip地址。

2.1.3路由/直连模式同旁路模式的比较

（1）流量走向不一样；

路由/直连模式的流量走向如下：

如上图，bigip同客户端的流量在bigip的上联接口，bigip同服务器的流量在下面的接口。

旁路模式的流量走向如下：

如上图，bigip无论同客户端还是同服务器的通讯流量均在bigip的一个接口上。

（2）接口流量压力不一样

见图：

路由/直连情况下，bigip同客户端的流量在bigip的上联接口，bigip同服务器的流量在下联的接口，故bigip单一接口压力较小。

在旁路模式,bigip无论同客户端还是同服务器的通讯流量均在bigip的一个接口上，故bigip单一接口压力较大。

为解决此问题，可以在bigip和交换机之间采用链路聚合技术，即端口捆绑，以避免接口成为网络瓶颈。

（3）网络结构的安全性不一样

路由/直连情况下，可以不公布服务器使用的真实ip地址，只需要公布提供负载均衡的虚拟地址即可，而在旁路情况下，则客户端可以得知服务器的真实地址，在此模式下，为保证服务器的安全性，服务器的网关指向bigip，可以使用bigip上的包过滤（防火墙）功能来保护服务器。

（4）对后端服务器的管理方便性不一样

路由/直连情况下，因服务器的真实地址可以隐含，故管理起来需要在bigip上启用地址翻译（NAT）功能，相对会复杂一些。

而旁路模式则不需要地址翻译的配置。

（5）前者不支持npath模式（见后图），后者支持npath模式，启用该模式可见少F5设备的压力

见上图，在旁路模式下，使用npath的流量处理方式，所有服务器回应的流量可以不通过bigip，这样可以大大减少流量的压力。

但npath的流量处理方式不能工作路由/直连的模式。

（6）在对原有系统做负载均衡技术改造时，两种模式的工作复杂程度不一样

如果对原有没有负载均衡技术的系统进行负载均衡技术的改造，那么，在路由/直连情况下，需要修改服务器的ip地址同时网络结构也要做调整（将服务器调到bigip后端），同时相关联的应用也要改动，需要进行严格的测试才能上线运行；然而，在旁路模式下，仅仅需要改动一下服务器的网关，原有系统的其它部分（包括网络结构）基本不需要做改动，故，前者对系统改动较大，后者则改动较小。

对于电信项目来讲，由直连改为旁挂方式主要带来以下优点：

1、增加了网络的灵活性：

由于F5采用旁挂的方式，后端服务器的网关指向的为三层交换机的地址，而不是F5的地址，在对网络设备维护时可以方便的采用修改路由的方式使设备下线，便于维护管理。

同时，一些特殊的应用也可在核心交换机上采用策略路由的方式指向特定的网络设备。

2、提高了网络整体的可靠性：

由于旁路方式的存在，如果F5设备出现问题，可在交换机上修改路由使用数据流绕过F5，而不会对整个业务系统造成影响。

3、针对某些特殊应用，提高了速度：

采用旁路的方式后，一些特定的的对速度、时延敏感的应用数据在进入和离开时可以采用不同的路径，例如：

在流入时可经过F5设备，对其进行检查，负载均衡。

而在该数据流离开时，则不经过F5，以提高其速度。

设置负载均衡器管理网口地址

F5BIG-IP3400设备的面板结构:

BIG-IP3400应用交换机具备8个10/100/1000M自适应的网络接口及二个光纤接口.

10/100/1000interface—8个10/100/1000M自适应的网络接口

Gigabitfiberinterface—2个1000M多模光纤接口

Serialconsoleport—一个串口命令行管理端口

Failoverport—一个串口冗余状态判断端口。

Mgmtinterface—一个10/100M管理端口

注：

互为双机的两台BIG-IP必须用随机附带的Failover线相连起来。

注：

管理网络接口的IP地址不能与业务网络在同一网段，根据业务网络的地址划分，相应的调整管理网络接口的网络地址。

如果，在SMS中负载均衡口的externalvlan和internalvlan已经采用了到另外一个网段。

通过LCD按键修改管理网口IP地址的方法如下：

1、按红色X按键进入Options选项；

2、在液晶面板上通过按键按以下顺序设置管理网口的网络地址：

Options->System->IPAddress/Netmask->Commit

如果通过LCD按键修改完IP地址以后，选择Commit，地址无法成功改变（例如出现IP地址为全零的情况），很有可能是管理口IP地址与系统内已经配置发生冲突。

出现这种情况，关机重启以后，另选一个IP网段来设置管理网口地址。

警告：

在设置好网络管理口地址以后，通过网络登陆到BIG-IP上进行其它配置更改时，都要保证网络管理口的网络连接完好。

否则有时会出现修改的配置无法被成功加载应用的情况，因为网络管理口为Down的情况会妨碍配置文件的加载。

登录BIGIP的WEB管理界面

管理BIGIP有两种方式,一种是基于WEB的https管理方式，另一种是基于ssh的命令行管理方式。

除特别配置外，采用WEB的管理方式即可。

WEB登录方式如下：

1．在管理员的IE地址栏内输入BIGIP设备的IP地址，

2．回车后出现系统警告信息

点击Yes

3．然后系统提示输入基于WEB配置的用户名和密码。

目前的admin帐号的密码为admin

激活License

在配置BIG-IP之前，先要激活License。

从System->License->Re-activate进入License激活界面：

进入，将产生的Dossier复制进以下页面，产生License文件：

4．输入正确后即可进入BIGIP的WEB管理界面

初始化设置

2.5.1BIG-IP1上的平台（Platform）通用属性设置

进入SystemPlatform

注：

警告：

BIG-IP双机系统的主机名必须不一样，否则配置同步会产生错误，可能导致破坏license。

例如负载均衡器BIG-IP1的主机名为ISMG-LB01-F5，BIG-IP2的主机名为ISMG-LB02-F5。

Root为命令行帐号，admin为WEB管理的帐号。

注：

root密码允许用户通过命令行访问BIG-IP系统。

建议root密码长度大于6位，但不要超过32位字节。

密码与大小写敏感，建议密码中包含大写/小写字母和数字。

如果BIG-IP系统为冗余系统，两台主备机的root密码必须保持一致。

注：

如修改密码，请确认正确敲击键盘上的键。

（有人敲错了键盘上的键，而导致无法找到新设置的密码是什么。

）

BIG-IP2上的平台通用属性设置：

2.5.2修改系统时间

1.用PUTTY或SecureShellClient等SSH客户端连接BIG-IP的管理网口地址，进入命令行模式。

注：

SecureShellClient可以用以下链接下载：

。

2.执行date检查系统时钟。

[root@ZJHZ-PS-MMS3-SW02:

Active]config#date

ThuMay2516:

59:

15CST2006

3.命令格式

#date.

#date

如设置2009年1月1日中午12：

00：

00

#

4.保存时间到BIOS

#hwclock–systohc

2.5.3设置缺省管理权限策略

在命令行运行bbaselist命令，检查初始化设置。

如果bbaselist的输出已经有selfallow{defaulttcpsshtcphttpsudpefstcpsnmpprotoospfudpdomainudpsnmptcp4353tcpdomainudp4353}

一行，则进入到2.4.4。

如果在bbaselist的输出中发现有selfallow{defaultnone}一行，则运行以下两条命令：

bselfallow{defaulttcpsshtcphttpsudpefstcpsnmpprotoospfudpdomainudpsnmptcp4353tcpdomainudp4353}

bbasesave

所后用命令more/config/查看文件确认selfallow{defaulttcpsshtcphttpsudpefstcpsnmpprotoospfudpdomainudpsnmptcp4353tcpdomainudp4353}已经保存到文件中。

2.5.4重新启动bigip

#reboot

配置网络层

按照拓扑结构，对F5BIGIP的网络层进行配置，划分vlan，定义IP地址及路由。

2.6.1划分vlan

点击左侧的导航条，进入NetworkVLANS，在右侧可以对vlan进行配置。

创建方法如下：

点击create:

Name:

设置这个vlan的名字。

Tag:

为相应VLAN的VLANID

Interface:

定义Available中显示的端口有选择性的划分到这个vlan中。

指定端口后，单击

选入Untagged栏即可。

点击

完成。

根据SMS的网络规划，负载均衡器上一共要定义了以下几个VLAN：

注：

external,,internal为业务流量VLAN。

VLANID应与网络规划中的VLAN一致。

注：

netfailoverVLAN的端口为双机网络心跳接口，网络心跳信号及双机配置同步信息都是通过这一网线传输，因此要用网线将双机的口对连起来。

VLANID4094为BIG-IP自动生成的。

（也可以指定）。

注：

将和端口加入到externalVLAN和internalVLAN主要是为了有时候可以将笔记本接在相应VLAN进行测试，而不受BIG-IP与交换机之间网络连接的影响。

2.6.2定义IP地址

在划分完Vlan后，即可对每个vlan进行IP地址的定义。

方法如下：

点击左侧导航条中的Networks—>selfIps

在右侧可以对Ip地址进行配置。

创建方法如下：

点击Create:

IPaddress:

输入IP地址

Netmask:

输入子网掩码

Vlan：

选择将这个IP地址绑定在哪个vlan上。

选择下拉菜单将显示所有已设置的vlan名。

PortLockdown:

保持默认值AllowDefault。

FloatingIP:

如果系统为冗余工作方式，需对每台设备的每个vlan均设置两个IP地址。

其中一个是selfIP,另一个则为floatingIP,即两台设备共用的IP地址。

选中此项即代表这个IP地址为FloatingIP。

按照网络的规划，IP地址定义如下：

SMS　BIG-IP3400应用交换机VLAN与IP地址规划

（BIG-IP3400-1）

Name

VLANName

VLANID

SelfIP

FloatingIP

External

20

10.10.3.1/24

10.10.3.3/24

Internal

10

/24

Netfailover

4094

mgmt

/24

（BIG-IP3400-2）

Name

VLANName

VLANID

SelfIP

FloatingIP

External

20

10.10.3.2/24

10.10.3.3/24

Internal

10

Netfailover

4094

mgmt

其中，MGMT是BIG-IP的管理网口IP地址

BIGIP1的SELF　IP配置如下：

注：

以下拷屏只是展示如何通过WEB界面进行相应的配置，其中的IP地址不一定正确，请根据实际情况的IP地址划分进行配置。

其中UnitID不为零的为FloatingIP.

FloatingIP设置要打上勾。

BIGIP2的SELF　IP配置如下：

BIG－IP2上不需要配置FloatingIP，因为FloatingIP可以从BIG-IP1上同步过来。

2.6.3配置路由

点击左侧导航条中的Networks—>RoutesAdd对路由进行配置

Type:

定义配置的是默认网关还是静态路由。

Destination:

定义目标网段

Netmask:

定义目标网段的掩码

Resource:

定义网关地址

点击

完成。

按照用户的需求，

缺省路由是第一层防火墙Trust口的双机共享地址10.10.3.254

另外，还需要增加一个静态路由，即到机房二的数据包的下一跳指向机房一中第二层防火墙的Untrust区双机共享地址。

配置双机设置（HighAvailability）

HighAvailability就是双机冗余（Cluster），要求两台BIGIP的版本相同。

配置方法如下：

2.7.1配置RedundantPair的IP地址

首先，确认BIG－IP已经转换为双机模式。

在WEB页面的左侧导航条选择SYSTEMPlatform

把HithAvailability设置中应选择为RedundantPair模式。

其中BIG-IP1的UnitID为1，BIG-IP2的UnitID为2。

然后，在WEB页面的左侧导航条选择SYSTEMHithAvailability：

BIG-IP1的设置如下：

BIG-IP2的设置如下

PrimaryFailoverAddress输入两台BIGIP的NetfailoverVLANSelfIP地址：

SecondaryFailoverAddress输入两台BIGIP的InternalVLANSelfIP地址。

BIG-IP1的SelfIP为,PeerIP为;

BIG-IP1的SelfIP为,PeerIP为;

RedundancyMode选择Active/Standby模式

并EnableNetworkFailover选项。

其他参数保持默认值。

2.7.2配置双机自动切换机制FailSafe配置

Failsafe设置在满足某些条件的时候，触发BIGIP发生切换。

根据彩铃5期的要求，配置了VLANs的FailSafe配置，当处于Active状态的BIGIP的internal和external两个VALN在设定的时间内没有任何流量，自动切换到备机。

警告：

在没有完成ExternalVLAN和InternalVLAN的网络接线之前，不要启用自动切换机制。

对ExternalVLAN和InternalVLAN启用基于VLAN监控的自动切换机制，步骤如下：

在WEB页面的左面导航界面选择:

SYSTEMHighAvailabilityFail-safe

点击“Add”按钮

VLAN：

选择监控的VLAN

Timeout:

默认值是90秒，一般改为30秒

其中Action选用FailOver方式，而不是缺省的Reboot方式。

设置完后，结果如下：

配置服务器负载均衡

注：

服务器负载均衡器的设置只需要在一台BIG-IP1上进行设置，设置好以后，可以通过双机配置同步的方式将配置更新到BIG-IP2上。

在设置好基础网络,即可对实现服务器负载均衡进行配置。

主要涉及以下几个方面：

Monitor（不一定需要设，有时候可以采用系统自带Monitor）

Monitor跟踪Pool成员的当前状态或者性能

Profile（不一定需要设，有时候可以采用系统自带Profile）

Profile包含定义VirtualServer行为的设置。

负载均衡Pool

负载均衡Pool包含可以将请求发送到其中进行处理的服务器。

iRules

负载均衡控制规则。

VirtualServer

VirtualServer接收客户端的访问请求，然后将请求分发给被负载均衡的服务器上。

SNAT

在负载均衡器内部的服务器主动向外发起访问时，在负载均衡器上所做的地址映射。

访问时

2.8.1配置Monitor

Monitor可以实现对服务器实施健康检查。

以确定服务器是否可以对外提供服务。

注：

目前并不存在着故障服务器进行切换的需求，只是需要根据客户端源地址来选择服务器，因此并不需要对服务器进行监控。

以下只是用于说明服务器状态检查的配置方式。

可以直接进入到下一步骤。

如果需要对检查方法的属性进行定制，以下以定制TCP端口检查为例，方法如下：

点击左侧导航条中的LocalTrafficMonitorCreate，在GeneralProperties中选择TCP

在GeneralProperties中输入你要建立的健康检查方式的名字，可以按需要设置好Interval和Timeout的时间。

最后点击Finished。

2.8.2配置Profile

Profile定义的VirtualServer的属性集合。

需要对VirtualServer上的连接闲置时间进行设置，因此需要创建一个ismg_fastl4的profile，方法如下：

由LocalTrafficManageProfileFastL4Profile，选择创建

2.7.3配置负载均衡Pool

负载均衡Pool是您组合起来接收和处理流量的一组设备，如Web服务器。

BIGIP系统将客户机发往VirtualServer的请求发送到Pool成员中的任一服务器上。

当创建负载均衡Pool时，将服务器（称作Pool成员）分配到pool中，然后将pool与BIGIP系统中的VirtualServer相关联。

然后，BIPIP系统将进入VirtualServer中的流量传输到Pool成员。

单个服务器可隶属于一个或多个pool，这取决于您希望如何管理您的网络流量。

创建pool的方法如下：

点击左侧导航条中的LocalTrafficVirtualServerspoolsCreate:

输入pool的名字，并指定该pool中的member成员的IP地址及serviceport，并指定对Pool成员的健康检查方法，然后点击

即可。

接照SMS的情况,定义pool及相应的member成员如下：

poolPOOL_ISMG{

member:

0

member:

0

}

注：

服务器

还有其它一些没有列在上面的pool，可以根据实际环境的需要进行添加。

2.8.4创建iRule负载均衡控制规则以根据源地址选择服务器

先要创建两个DataGroup，将SP的源地址分别放在这两个Da