F5詳細配置手冊

1、.F5 BIG-IP負載均衡器配置指導(dǎo)書目錄一、網(wǎng)絡(luò)結(jié)構(gòu)與IP地址規(guī)劃4二、配置BIGIP3400負載均衡設(shè)備82.1旁路/直連的選擇82.1.1路由/直連模式的介紹82.1.2旁路模式的介紹82.1.3 路由/直連模式同旁路模式的比較92.2設(shè)置負載均衡器管理網(wǎng)口地址112.3登錄BIGIP的WEB管理界面122.4激活License132.5初始化設(shè)置142.5.1BIG-IP 1上的平臺(Platform)通用屬性設(shè)置142.5.2修改系統(tǒng)時間162.5.3設(shè)置缺省管理權(quán)限策略162.5.4重新啟動bigip172.6配置網(wǎng)絡(luò)層172.6.1劃分vlan172.6.2定義IP地址182.

2、6.3配置路由202.7配置雙機設(shè)置(High Availability)212.7.1配置Redundant Pair的IP地址212.7.2配置雙機自動切換機制FailSafe配置222.8配置服務(wù)器負載均衡232.8.1配置Monitor242.8.2配置Profile252.7.3配置負載均衡Pool262.8.4創(chuàng)建iRule負載均衡控制規(guī)則以根據(jù)源地址選擇服務(wù)器272.8.5建立Virtual server,實現(xiàn)對服務(wù)器的負載均衡282.8.5設(shè)置SNAT302.9兩臺BIGIP配置同步332.10備份配置34三、系統(tǒng)運行狀態(tài)檢查及維護353.1檢查系統(tǒng)日志信息：353.2檢查No

3、de狀態(tài)353.3查看流量信息363.4查看系統(tǒng)當前性能參數(shù)373.5密碼的更改373.6添加“只讀”權(quán)限的管理員帳號383.7如何查詢設(shè)備的序列號：383.8如何采集信息提供他人進行故障診斷393.8對某一Virtual Server用TCPDUMP命令無法抓到包如何處理？40一、網(wǎng)絡(luò)結(jié)構(gòu)與IP地址規(guī)劃本手冊以移動WAP/彩信網(wǎng)關(guān)為例網(wǎng)絡(luò)拓撲結(jié)構(gòu)如下圖所示：整個數(shù)據(jù)網(wǎng)絡(luò)設(shè)備，采用兩臺防火墻、兩臺BIG-IP 3400負載均衡器、及兩臺交換機、網(wǎng)絡(luò)設(shè)備都采用主、備設(shè)備，以實現(xiàn)設(shè)備、鏈路的冗余備份，以消除單點故障。這里部署負載均衡器的目的主要是為了增加服務(wù)器的數(shù)量，以提升系統(tǒng)的處理能力。但對外仍

4、然是一個IP地址。相關(guān)的IP地址規(guī)劃如下：注：以上的IP地址規(guī)劃是測試環(huán)境的IP地址設(shè)置，需要根據(jù)現(xiàn)網(wǎng)環(huán)境中的IP地址規(guī)劃進行修改。BIG-IP 3400-1VIP08對外的虛擬IP地址SNAT IP08SNAT地址（指向PORTAL）External Share IP /24同第一層防火墻trust同一VLANExter vlan self IP/24同第一層防火墻trust同一VLANInternal Share IP103/24同第二層防火墻Untrust一VLANInternal vla

5、n self ip 101/24同第二層防火墻Untrust一VLANBIG-IP 3400-2VIP08SNAT IP08External vlan Share ip/24External vlan self ip/24Internal Share IP103/24Internal vlan self ip 101/24.注：建議現(xiàn)場工程師先填寫以下規(guī)范表：序號項目F5-3400-1參數(shù)F5-3400-2參數(shù)建議值備注系統(tǒng)參數(shù)主機名root用戶密

6、碼defaultdefaultAdmin用戶密碼adminadminWeb連接方式HTTPSHTTPS命令行連接方式SSH/consoleSSH/console網(wǎng)管服務(wù)器IP系統(tǒng)管理IP系統(tǒng)管理IP地址掩碼網(wǎng)關(guān)端口參數(shù)Ethernet 2.1端口描述（trunk）Ethernet 2.2端口描述（trunk）Admin 帶外管理端口描述trunk模式Trunk配置Trunk_10Trunk_30防火墻互聯(lián)vlan號10vlan描述TO-FW本機IP地址虛擬IP地址防火墻虛擬IP地址F5 HA配置方式Active StandbyF5 Fail-Safe模式Gateway Fail-SafeGat

7、eway Fail-safe模式分別由兩臺F5設(shè)備監(jiān)測前端的防火墻地址，如果出現(xiàn)無法連通防火墻地址則進行切換。F5 Fail-safe Action Fail Over進行主備切換服務(wù)器互聯(lián)vlan號30 vlan描述TO-Server本機IP地址虛擬IP地址F5 HA配置方式Active StandbyF5 Fail-Safe模式VLAN Fail-safeGateway Fail-safe模式分別由兩臺F5設(shè)備監(jiān)測VLAN流量，發(fā)現(xiàn)VLAN失效時進行切換。F5 Fail-safe Action Fail Over進行主備切換SNAT地址 SNAT后地址 路由設(shè)置Default Gatewa

8、y (Juniper防火墻地址) 二、配置BIGIP3400負載均衡設(shè)備本章將主要描述BIGIP3400負載均衡設(shè)備的配置方法及配置內(nèi)容。2.1旁路/直連的選擇2.1.1路由/直連模式的介紹網(wǎng)絡(luò)連接的物理結(jié)構(gòu)如下結(jié)構(gòu)：Ip規(guī)劃說明：圖中bigip為負載均衡交換機，bigip上面使用公開的ip地址，bigip下面同負載均衡的服務(wù)器使用不公開的ip地址。但對外提供服務(wù)則使用公開的ip。2.1.2旁路模式的介紹網(wǎng)絡(luò)連接的物理結(jié)構(gòu)如下結(jié)構(gòu)：Ip規(guī)劃說明：圖中bigip為負載均衡交換機，bigip和負載均衡的服務(wù)器均使用公開的ip地址。2.1.3 路由/直連模式同旁路模式的比較（1）流量走向不一樣；路由

9、/直連模式的流量走向如下：如上圖，bigip同客戶端的流量在bigip的上聯(lián)接口，bigip同服務(wù)器的流量在下面的接口。旁路模式的流量走向如下：如上圖，bigip無論同客戶端還是同服務(wù)器的通訊流量均在bigip的一個接口上。（2）接口流量壓力不一樣見2.1圖：路由/直連情況下，bigip同客戶端的流量在bigip的上聯(lián)接口，bigip同服務(wù)器的流量在下聯(lián)的接口，故bigip單一接口壓力較小。在旁路模式, bigip無論同客戶端還是同服務(wù)器的通訊流量均在bigip的一個接口上，故bigip單一接口壓力較大。為解決此問題，可以在bigip和交換機之間采用鏈路聚合技術(shù)，即端口捆綁，以避免接口成為網(wǎng)絡(luò)

10、瓶頸。（3）網(wǎng)絡(luò)結(jié)構(gòu)的安全性不一樣路由/直連情況下，可以不公布服務(wù)器使用的真實ip地址，只需要公布提供負載均衡的虛擬地址即可，而在旁路情況下，則客戶端可以得知服務(wù)器的真實地址，在此模式下，為保證服務(wù)器的安全性，服務(wù)器的網(wǎng)關(guān)指向bigip，可以使用bigip上的包過濾（防火墻）功能來保護服務(wù)器。（4）對后端服務(wù)器的管理方便性不一樣路由/直連情況下，因服務(wù)器的真實地址可以隱含，故管理起來需要在bigip上啟用地址翻譯（NAT）功能，相對會復(fù)雜一些。而旁路模式則不需要地址翻譯的配置。（5）前者不支持npath模式（見后圖），后者支持npath模式，啟用該模式可見少F5設(shè)備的壓力見上圖，在旁路模式下，

11、使用npath的流量處理方式，所有服務(wù)器回應(yīng)的流量可以不通過bigip，這樣可以大大減少流量的壓力。但npath的流量處理方式不能工作路由/直連的模式。（6）在對原有系統(tǒng)做負載均衡技術(shù)改造時，兩種模式的工作復(fù)雜程度不一樣如果對原有沒有負載均衡技術(shù)的系統(tǒng)進行負載均衡技術(shù)的改造，那么，在路由/直連情況下，需要修改服務(wù)器的ip地址同時網(wǎng)絡(luò)結(jié)構(gòu)也要做調(diào)整（將服務(wù)器調(diào)到bigip后端），同時相關(guān)聯(lián)的應(yīng)用也要改動，需要進行嚴格的測試才能上線運行；然而，在旁路模式下，僅僅需要改動一下服務(wù)器的網(wǎng)關(guān)，原有系統(tǒng)的其它部分（包括網(wǎng)絡(luò)結(jié)構(gòu)）基本不需要做改動，故，前者對系統(tǒng)改動較大，后者則改動較小。對于電信項目來講，由

12、直連改為旁掛方式主要帶來以下優(yōu)點：1、 增加了網(wǎng)絡(luò)的靈活性：由于F5采用旁掛的方式，后端服務(wù)器的網(wǎng)關(guān)指向的為三層交換機的地址，而不是F5的地址，在對網(wǎng)絡(luò)設(shè)備維護時可以方便的采用修改路由的方式使設(shè)備下線，便于維護管理。同時，一些特殊的應(yīng)用也可在核心交換機上采用策略路由的方式指向特定的網(wǎng)絡(luò)設(shè)備。2、 提高了網(wǎng)絡(luò)整體的可靠性：由于旁路方式的存在，如果F5設(shè)備出現(xiàn)問題，可在交換機上修改路由使用數(shù)據(jù)流繞過F5，而不會對整個業(yè)務(wù)系統(tǒng)造成影響。3、 針對某些特殊應(yīng)用，提高了速度：采用旁路的方式后，一些特定的的對速度、時延敏感的應(yīng)用數(shù)據(jù)在進入和離開時可以采用不同的路徑，例如：在流入時可經(jīng)過F5設(shè)備，對其進行檢

13、查，負載均衡。而在該數(shù)據(jù)流離開時，則不經(jīng)過F5，以提高其速度。2.2設(shè)置負載均衡器管理網(wǎng)口地址F5 BIG-IP 3400 設(shè)備的面板結(jié)構(gòu):BIG-IP 3400應(yīng)用交換機具備8個10/100/1000M自適應(yīng)的網(wǎng)絡(luò)接口及二個光纖接口.10/100/1000 interface 8個10/100/1000 M 自適應(yīng)的網(wǎng)絡(luò)接口Gigabit fiber interface 2個1000M 多模光纖接口Serial console port 一個串口命令行管理端口Failover port 一個串口冗余狀態(tài)判斷端口。Mgmt interface 一個10/100M管理端口注：互為雙機的兩臺BIG

14、-IP必須用隨機附帶的Failover線相連起來。BIG-IP上電開機以后，首先需要通過機器前面板右邊的LCD旁的按鍵設(shè)置管理網(wǎng)口(設(shè)備前面板最左邊的網(wǎng)絡(luò)接口)的IP地址。管理網(wǎng)絡(luò)接口有一個缺省的IP地址，一般為45。注：管理網(wǎng)絡(luò)接口的IP地址不能與業(yè)務(wù)網(wǎng)絡(luò)在同一網(wǎng)段，根據(jù)業(yè)務(wù)網(wǎng)絡(luò)的地址劃分，相應(yīng)的調(diào)整管理網(wǎng)絡(luò)接口的網(wǎng)絡(luò)地址。如果，在SMS中負載均衡口的external vlan和internal vlan已經(jīng)采用了/24的網(wǎng)段，必須修改管理網(wǎng)口缺省的IP地址到另外一個網(wǎng)段。通過LCD按鍵修改管理網(wǎng)口IP地址的方法如下：1、 按紅色X按鍵進入Opti

15、ons選項；2、 在液晶面板上通過按鍵按以下順序設(shè)置管理網(wǎng)口的網(wǎng)絡(luò)地址：Options-System-IP Address/Netmask-Commit如果通過LCD按鍵修改完IP地址以后，選擇Commit，地址無法成功改變(例如出現(xiàn)IP地址為全零的情況)，很有可能是管理口IP地址與系統(tǒng)內(nèi)已經(jīng)配置發(fā)生沖突。出現(xiàn)這種情況，關(guān)機重啟以后，另選一個IP網(wǎng)段來設(shè)置管理網(wǎng)口地址。警告：在設(shè)置好網(wǎng)絡(luò)管理口地址以后，通過網(wǎng)絡(luò)登陸到BIG-IP上進行其它配置更改時，都要保證網(wǎng)絡(luò)管理口的網(wǎng)絡(luò)連接完好。否則有時會出現(xiàn)修改的配置無法被成功加載應(yīng)用的情況，因為網(wǎng)絡(luò)管理口為Down的情況會妨礙配置文件的加載。2.3登錄

16、BIGIP的WEB管理界面管理BIGIP有兩種方式,一種是基于WEB的https管理方式，另一種是基于ssh的命令行管理方式。除特別配置外，采用WEB的管理方式即可。WEB登錄方式如下：1 在管理員的IE地址欄內(nèi)輸入BIGIP設(shè)備的IP地址，452 回車后出現(xiàn)系統(tǒng)警告信息點擊Yes3 然后系統(tǒng)提示輸入基于WEB配置的用戶名和密碼。目前的admin帳號的密碼為admin2.4激活License在配置BIG-IP之前，先要激活License。從System-License-Re-activate進入License激活界面：進入https:/activate.f5

17、.com/license/dossier.jsp，將產(chǎn)生的Dossier復(fù)制進以下頁面，產(chǎn)生License文件：4 輸入正確后即可進入BIGIP的WEB管理界面2.5初始化設(shè)置2.5.1BIG-IP 1上的平臺(Platform)通用屬性設(shè)置進入SystemPlatform注：主機名用來標識BIG-IP系統(tǒng)自身。主機名必須符合DNS域名標準。主機部分必須以字母開始，并至少為2個字符。舉例：。警告：BIG-IP雙機系統(tǒng)的主機名必須不一樣，否則配置同步會產(chǎn)生錯誤，可能導(dǎo)致破壞license。例如負載均衡器BIG-IP1的主機名為ISMG-LB01-F5，BIG-

18、IP2的主機名為ISMG-LB02-F5。Root 為命令行帳號，admin為WEB管理的帳號。注：root密碼允許用戶通過命令行訪問BIG-IP系統(tǒng)。建議root密碼長度大于6位，但不要超過32位字節(jié)。密碼與大小寫敏感，建議密碼中包含大寫/小寫字母和數(shù)字。如果BIG-IP系統(tǒng)為冗余系統(tǒng)，兩臺主備機的root密碼必須保持一致。注：如修改密碼，請確認正確敲擊鍵盤上的鍵。（有人敲錯了鍵盤上的鍵，而導(dǎo)致無法找到新設(shè)置的密碼是什么。）BIG-IP 2上的平臺通用屬性設(shè)置：2.5.2修改系統(tǒng)時間1. 用PUTTY或Secure Shell Client等SSH客戶端連接BIG-IP的管理網(wǎng)口地址，進入命

19、令行模式。注：Secure Shell Client 可以用以下鏈接下載：/f5gz/tools/SSHSecureShellClient-3.2.5.exe。 2. 執(zhí)行date檢查系統(tǒng)時鐘。rootZJHZ-PS-MMS3-SW02:Active config # dateThu May 25 16:59:15 CST 20063. 命令格式# date .# date MMDDHHMMYYYY.SS如設(shè)置2009年1月1日中午12：00：00# date 010112002007.004. 保存時間到BIOS # hwclock systohc2.5

20、.3設(shè)置缺省管理權(quán)限策略在命令行運行b base list命令，檢查初始化設(shè)置。如果b base list的輸出已經(jīng)有self allow default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 一行，則進入到2.4.4。如果在b base list的輸出中發(fā)現(xiàn)有self allow default none 一行，則運行以下兩條命令：b self allow default tcp ssh tcp https udp efs tcp snmp

21、proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 b base save所后用命令more /config/bigip_base.conf查看bigip_base.conf文件確認self allow default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 已經(jīng)保存到文件中。2.5.4重新啟動bigip# reboot2.6配置網(wǎng)絡(luò)層按照拓撲結(jié)構(gòu)，對F5 BIGIP的網(wǎng)絡(luò)層進行

22、配置，劃分vlan，定義IP地址及路由。2.6.1劃分vlan點擊左側(cè)的導(dǎo)航條，進入NetworkVLANS，在右側(cè)可以對vlan進行配置。創(chuàng)建方法如下：點擊create: Name:設(shè)置這個vlan的名字。Tag:為相應(yīng)VLAN的VLAN IDInterface:定義Available中顯示的端口有選擇性的劃分到這個vlan中。指定端口后，單擊選入Untagged欄即可。點擊完成。根據(jù)SMS的網(wǎng)絡(luò)規(guī)劃，負載均衡器上一共要定義了以下幾個VLAN：注：external, ,internal為業(yè)務(wù)流量VLAN。VLAN ID應(yīng)與網(wǎng)絡(luò)規(guī)劃中的VLAN一致。注：netfailover VLAN的1.4

23、端口為雙機網(wǎng)絡(luò)心跳接口，網(wǎng)絡(luò)心跳信號及雙機配置同步信息都是通過這一網(wǎng)線傳輸，因此要用網(wǎng)線將雙機的1.4口對連起來。VLAN ID 4094為BIG-IP自動生成的。(也可以指定)。注：將1.7和1.8端口加入到external VLAN和internal VLAN主要是為了有時候可以將筆記本接在相應(yīng)VLAN進行測試，而不受BIG-IP與交換機之間網(wǎng)絡(luò)連接的影響。2.6.2定義IP地址在劃分完Vlan后，即可對每個vlan進行IP地址的定義。方法如下：點擊左側(cè)導(dǎo)航條中的Networksself Ips在右側(cè)可以對Ip地址進行配置。創(chuàng)建方法如下：點擊Create:IP address:輸入IP地址

24、Netmask:輸入子網(wǎng)掩碼Vlan：選擇將這個IP地址綁定在哪個vlan上。選擇下拉菜單將顯示所有已設(shè)置的vlan名。Port Lockdown:保持默認值A(chǔ)llow Default。Floating IP:如果系統(tǒng)為冗余工作方式，需對每臺設(shè)備的每個vlan均設(shè)置兩個IP地址。其中一個是self IP,另一個則為floating IP,即兩臺設(shè)備共用的IP地址。選中此項即代表這個IP地址為Floating IP。按照網(wǎng)絡(luò)的規(guī)劃， IP地址定義如下：SMSBIG-IP 3400應(yīng)用交換機 VLAN與IP地址規(guī)劃(BIG-IP 3400-1)NameISMG-LB01.F5VLAN NameVL

25、AN IDSelf IPFloating IPExternal20/24/24Internal1001/2403/24Netfailover4094/24mgmt45/24(BIG-IP 3400-2)NameISMG-LB02.F5VLAN NameVLAN IDSelf IPFloating IPExternal20/24/24Internal1002/2403/24Netfail

26、over4094/24mgmt46/24其中，MGMT是BIG-IP的管理網(wǎng)口，BIGIP1的管理網(wǎng)口IP地址為45,BIG-IP2管理網(wǎng)口的IP地址46。BIGIP1的SELFIP配置如下：注：以下拷屏只是展示如何通過WEB界面進行相應(yīng)的配置，其中的IP地址不一定正確，請根據(jù)實際情況的IP地址劃分進行配置。其中Unit ID不為零的為Floating IP.Floating IP設(shè)置要打上勾。BIGIP2的SELFIP配置如下：BIGIP2上不需要配置Floating IP，因為FloatingIP可以從

27、BIG-IP1上同步過來。2.6.3配置路由點擊左側(cè)導(dǎo)航條中的NetworksRoutesAdd對路由進行配置Type:定義配置的是默認網(wǎng)關(guān)還是靜態(tài)路由。Destination:定義目標網(wǎng)段Netmask:定義目標網(wǎng)段的掩碼Resource:定義網(wǎng)關(guān)地址點擊完成。按照用戶的需求，缺省路由是第一層防火墻Trust口的雙機共享地址54另外，還需要增加一個靜態(tài)路由，即到機房二的數(shù)據(jù)包的下一跳指向機房一中第二層防火墻的Untrust區(qū)雙機共享地址。2.7配置雙機設(shè)置(High Availability)High Availability就是雙機冗余（Cluster），要求兩臺BIGI

28、P的版本相同。配置方法如下：2.7.1配置Redundant Pair的IP地址首先，確認BIGIP已經(jīng)轉(zhuǎn)換為雙機模式。在WEB頁面的左側(cè)導(dǎo)航條選擇SYSTEMPlatform把Hith Availability設(shè)置中應(yīng)選擇為Redundant Pair模式。其中BIG-IP1的Unit ID為1，BIG-IP2的Unit ID為2。然后，在WEB頁面的左側(cè)導(dǎo)航條選擇SYSTEMHith Availability：BIG-IP1的設(shè)置如下：BIG-IP2的設(shè)置如下Primary Failover Address輸入兩臺BIGIP的Netfailover VLAN Self IP地址：BIG-I

29、P1的Self IP為, Peer IP為;BIG-IP1的Self IP為, Peer IP為;Secondary Failover Address輸入兩臺BIGIP的Internal VLAN Self IP地址。BIG-IP1的Self IP為, Peer IP為;BIG-IP1的Self IP為, Peer IP為;Redundancy Mode選擇Active/Standby模式并Enable Netw

30、ork Failover選項。其他參數(shù)保持默認值。2.7.2配置雙機自動切換機制FailSafe配置Failsafe設(shè)置在滿足某些條件的時候，觸發(fā)BIGIP發(fā)生切換。根據(jù)彩鈴5期的要求，配置了VLANs的FailSafe配置，當處于Active狀態(tài)的BIGIP的internal和external兩個VALN在設(shè)定的時間內(nèi)沒有任何流量，自動切換到備機。警告：在沒有完成External VLAN和Internal VLAN的網(wǎng)絡(luò)接線之前，不要啟用自動切換機制。對External VLAN和Internal VLAN啟用基于VLAN監(jiān)控的自動切換機制，步驟如下：在WEB頁面的左面導(dǎo)航界面選擇:SYS

31、TEM High AvailabilityFail-safe點擊“Add”按鈕VLAN：選擇監(jiān)控的VLANTimeout :默認值是90秒，一般改為30秒其中Action選用Fail Over方式，而不是缺省的Reboot方式。設(shè)置完后，結(jié)果如下：2.8配置服務(wù)器負載均衡注：服務(wù)器負載均衡器的設(shè)置只需要在一臺BIG-IP1上進行設(shè)置，設(shè)置好以后，可以通過雙機配置同步的方式將配置更新到BIG-IP2上。在設(shè)置好基礎(chǔ)網(wǎng)絡(luò),即可對實現(xiàn)服務(wù)器負載均衡進行配置。主要涉及以下幾個方面： Monitor(不一定需要設(shè)，有時候可以采用系統(tǒng)自帶Monitor)Monitor跟蹤Pool成員的當前狀態(tài)或者性能Pr

32、ofile(不一定需要設(shè)，有時候可以采用系統(tǒng)自帶Profile)Profile包含定義Virtual Server行為的設(shè)置。負載均衡Pool負載均衡Pool包含可以將請求發(fā)送到其中進行處理的服務(wù)器。iRules負載均衡控制規(guī)則。Virtual ServerVirtual Server接收客戶端的訪問請求，然后將請求分發(fā)給被負載均衡的服務(wù)器上。SNAT在負載均衡器內(nèi)部的服務(wù)器主動向外發(fā)起訪問時，在負載均衡器上所做的地址映射。訪問時2.8.1配置MonitorMonitor可以實現(xiàn)對服務(wù)器實施健康檢查。以確定服務(wù)器是否可以對外提供服務(wù)。注：目前并不存在著故障服務(wù)器進行切換的需求，只是需要根據(jù)客戶

33、端源地址來選擇服務(wù)器，因此并不需要對服務(wù)器進行監(jiān)控。以下只是用于說明服務(wù)器狀態(tài)檢查的配置方式?？梢灾苯舆M入到下一步驟。如果需要對檢查方法的屬性進行定制，以下以定制TCP端口檢查為例，方法如下：點擊左側(cè)導(dǎo)航條中的Local TrafficMonitorCreate，在General Properties中選擇TCP在General Properties中輸入你要建立的健康檢查方式的名字，可以按需要設(shè)置好Interval和Timeout的時間。最后點擊Finished。2.8.2配置ProfileProfile定義的Virtual Server的屬性集合。需要對Virtual Server上的連接

34、閑置時間進行設(shè)置，因此需要創(chuàng)建一個ismg_fastl4的profile，方法如下：由Local Traffic ManageProfileFast L4 Profile，選擇創(chuàng)建 2.7.3配置負載均衡Pool負載均衡Pool是您組合起來接收和處理流量的一組設(shè)備，如Web服務(wù)器。BIGIP系統(tǒng)將客戶機發(fā)往Virtual Server的請求發(fā)送到Pool成員中的任一服務(wù)器上。當創(chuàng)建負載均衡Pool時，將服務(wù)器（稱作Pool成員）分配到pool中，然后將pool與BIGIP系統(tǒng)中的Virtual Server相關(guān)聯(lián)。然后，BIPIP系統(tǒng)將進入Virtual Server中的流量傳輸?shù)絇ool成員

35、。單個服務(wù)器可隸屬于一個或多個pool，這取決于您希望如何管理您的網(wǎng)絡(luò)流量。創(chuàng)建pool的方法如下：點擊左側(cè)導(dǎo)航條中的Local TrafficVirtual ServerspoolsCreate:輸入pool的名字，并指定該pool中的member成員的IP 地址及service port，并指定對Pool成員的健康檢查方法，然后點擊即可。接照SMS的情況,定義pool及相應(yīng)的member成員如下：pool POOL_ISMG member :0 member :0 注：為與負載均衡器在同一個機房一的服務(wù)器，而192.1

36、68.30.1為在機房二的服務(wù)器，兩臺服務(wù)器不在同一網(wǎng)段。由于與負載均衡器不在同一個網(wǎng)段，需要在負載均衡器NetworkRoute設(shè)置中增加一條靜態(tài)路由，即到的數(shù)據(jù)包的下一跳指向機房一第二層防火墻的Untrust區(qū)的共享地址。還有其它一些沒有列在上面的pool，可以根據(jù)實際環(huán)境的需要進行添加。2.8.4創(chuàng)建iRule負載均衡控制規(guī)則以根據(jù)源地址選擇服務(wù)器先要創(chuàng)建兩個Data Group，將SP的源地址分別放在這兩個Data Group中，以進行源地址匹配來選擇ISMG服務(wù)器。創(chuàng)建Data Group的方法如下：在Local TrafficiRul

37、eData Group中選擇Create:將源地址加入。然后定義Data Group與服務(wù)器的對應(yīng)關(guān)系：在Local TrafficiRule中選擇Create:創(chuàng)建一個select_ismg的iRule：when CLIENT_ACCEPTED if matchclass IP:client_addr equals $:sp1_class node elseif matchclass IP:client_addr equals $:sp2_class node else drop 上述規(guī)則的含義是如果源地址在定義的sp1_class的dat

38、a group中，則選擇服務(wù)器，如果在sp2_class的data group中，則選擇。如果源地址不在這兩個Data Group中，則拒絕訪問。2.8.5建立Virtual server,實現(xiàn)對服務(wù)器的負載均衡Virtual Server是BIG-IP本地流量管理（LTM）配置中最重要的組件。BIG-IP收到到Virtual Server的客戶請求后，以地址轉(zhuǎn)換的方式，將客戶端的請求發(fā)送到Virtual Server相應(yīng)Pool中的某個成員服務(wù)器上。Virtual Server可提高用于處理客戶機請求的資源的可用性。創(chuàng)建Virtual Serv

39、er的方法如下：點擊左側(cè)導(dǎo)航條中的Local TrafficVirtual ServersCreate: 在General Properties部分，需指定該Virtual server的名稱，IP地址及服務(wù)端口。在Configuration部分，用戶需跟據(jù)該Virtual server的類型，選擇相應(yīng)的配置參數(shù)。注：對于http流量或ftp流量，用戶必需選擇Http profile或Ftp profile，否則這兩種virtual server將不能正常訪問。對于服務(wù)器負載均衡，需要創(chuàng)建一個vip_ismg的虛擬務(wù)器，將會采用Performance Layer4的類型，并選擇上面創(chuàng)建的ism

40、g_fastl4 profiel：而協(xié)議（Protocol）則要根據(jù)虛擬服務(wù)器的類型選擇是All Protocols。在Virtual Server的Resources定義部分，Default Pool選擇Virtual Server所對應(yīng)的Server Pool，及iRule:注：Status為綠色，表示該Virtual Server對應(yīng)的Pool中至少有一臺服務(wù)器可用，紅色表示沒有一臺服務(wù)器可用，藍色表示服務(wù)器的狀態(tài)未知(可能沒有對Pool設(shè)置健康檢查方法，或正在對服務(wù)器狀態(tài)進行檢查。)其中的Virtual Server根據(jù)實際情況進行添加。2.8.5設(shè)置SNATSNAT 是一個將原始IP

41、 地址（也就是源IP 地址）映射到您所選擇的轉(zhuǎn)換地址的對象。因此，SNAT 會讓LTM 系統(tǒng)將入站數(shù)據(jù)包的源IP 地址轉(zhuǎn)換為您指定的地址。SNAT 的目的非常簡單，即：確保負載均衡器內(nèi)網(wǎng)的服務(wù)器主動向負載均衡器外部的網(wǎng)絡(luò)進行訪問時，地址會轉(zhuǎn)換為外網(wǎng)可路由的地址。創(chuàng)建方法如下：先修改系統(tǒng)的General PropertiesLocal Traffic:將SNA Packet Forwarding設(shè)置由TCP and UDP Only改為All Traffic，使SNAT不僅支持TCP與UDP包的地址轉(zhuǎn)換，不可以支持ICMP的地址轉(zhuǎn)換。注：如果不改為All Traffic，將無法由Internal

42、 VLAN Ping通外網(wǎng)地址。點擊左側(cè)導(dǎo)航條中的Local TrafficSNATsCreate:為該SNAT設(shè)置一個名稱，并在Translation中輸入轉(zhuǎn)換后的IP地址，點擊Origin的下拉菜單，選擇IP address list在address中輸入IP地址點擊ADD進行添加。輸入完畢后，點擊Finished即可。要將服務(wù)器的地址都轉(zhuǎn)成Virtual Server的地址，因此一個設(shè)置好的SNAT的屬性如下：s這個設(shè)置將對所有主動由服務(wù)器發(fā)往SP的數(shù)據(jù)包進行地址轉(zhuǎn)換，轉(zhuǎn)換成08。此外，還要選取Translation修改SNAT地址的Idle TimeOut值。例如對1

43、08，點擊右側(cè)Translation 地址：在SNAT Address的TCP idle Timeout的選項選擇Specify，輸入Timeout的參數(shù)，一般改為3600。而對UDP和IP的Idle Timeout值可以不需要設(shè)定，采用缺省值。2.9兩臺BIGIP配置同步BIGIP的配置信息，除了Network的配置（例如：VLAN，IP等），其他的配置可以通過ConfigSync同步，步驟如下：進入SystemHigh AvailabilityConfigsync頁面：Synchronize TO Peer: 把本地的配置同步到對方Synchronize FROM Peer: 把另外一臺BIGIP的配置同步到本地。成功的配置同步后的信息如下：2.10備份配置在完成上述配置，并順利完成同步以后，請盡快將配置備份出來。備份方法如下：進入SystemArchives，點擊Create: 配置備份好后，點擊設(shè)配置文件并下載到外部電腦上：三、系統(tǒng)運行狀態(tài)檢查及維護3.1檢查系統(tǒng)日志信息：選取Local Traffic查看Pool Member的狀態(tài)變化信息?？梢渣c擊TimeStamp選擇日志信息排列的時序。3.2檢查N