F5負載均衡方案手冊

1、目前，許多廠商推出了專用于平衡服務器負載的負載均衡器，如f5 network公司的big-ip，citrix公司的netscaler。f5 big-ip ltm 的官方名稱叫做本地流量管理器，可以做4-7層負載均衡，具有負載均衡、應用交換、會話交換、狀態(tài)監(jiān)控、智能網(wǎng)絡地址轉換、通用持續(xù)性、響應錯誤處理、ipv6網(wǎng)關、高級路由、智能端口鏡像、ssl加速、智能http壓縮、tcp優(yōu)化、第7層速率整形、內容緩沖、內容轉換、連接加速、高速緩存、cookie加密、選擇性內容加密、應用攻擊過濾、拒絕服務(dos)攻擊和syn flood保護、防火墻包過濾、包消毒等功能。以下是f5 big-ip用作http

2、負載均衡器的主要功能：、f5 big-ip提供12種靈活的算法將所有流量均衡的分配到各個服務器，而面對用戶，只是一臺虛擬服務器。、f5 big-ip可以確認應用程序能否對請求返回對應的數(shù)據(jù)。假如f5 big-ip后面的某一臺服務器發(fā)生服務停止、死機等故障，f5會檢查出來并將該服務器標識為宕機，從而不將用戶的訪問請求傳送到該臺發(fā)生故障的服務器上。這樣，只要其它的服務器正常，用戶的訪問就不會受到影響。宕機一旦修復，f5 big-ip就會自動查證應用已能對客戶請求作出正確響應并恢復向該服務器傳送。、f5 big-ip具有動態(tài)session的會話保持功能。、f5 big-ip的irules功能可以做h

3、ttp內容過濾，根據(jù)不同的域名、url，將訪問請求傳送到不同的服務器。下面，結合實例，配置f5 big-ip ltm v9.x： 、如圖，假設域名被解析到f5的外網(wǎng)/公網(wǎng)虛擬ip：（vs_squid），該虛擬ip下有一個服務器池（pool_squid），該服務器池下包含兩臺真實的squid服務器（1和2）。、如果squid緩存未命中，則會請求f5的內網(wǎng)虛擬ip：（vs_apache），該虛擬ip下有一個默認服務器池（pool_apache_default），該服務器池下包含兩臺真實的apache服務器（192.1

4、68.1.21和2），當該虛擬ip匹配irules規(guī)則時，則會訪問另外一個服務器池（pool_apache_irules），該服務器池下同樣包含兩臺真實的apache服務器（3和4）。、另外，所有真實服務器的默認網(wǎng)關指向f5的自身內網(wǎng)ip，即。、所有的真實服務器通過snat ip地址訪問互聯(lián)網(wǎng)。詳細配置步驟：一、登錄到f5 big-ip管理界面：1、初次使用：、打開f5 big-ip電源，用一根網(wǎng)線（直連線和交叉線均可）連接f5 big-ip的3.1管理網(wǎng)口和筆記本電腦的網(wǎng)口，將筆記本電腦的

5、ip地址配置為“192.168.1.*”，子網(wǎng)掩碼配置為“”。、用瀏覽器訪問f5 big-ip的出廠默認管理ip地址45或45、輸入出廠默認用戶名：admin，密碼：admin、點擊activate進入f5 big-ip license申請與激活頁面，激活license。、修改默認管理密碼。2、以后登錄：通過f5 big-ip的自身外網(wǎng)ip登錄。、假設設置的f5自身外網(wǎng)ip為，就可以通過/登錄。、還可以通過ssh登錄，用戶名為root，密碼跟web

6、管理的密碼相同。二、創(chuàng)建兩個vlan：internal和external，分別表示內網(wǎng)和外網(wǎng)。創(chuàng)建vlan演示頁面：vlan列表演示頁面：1、創(chuàng)建vlan：internal（內網(wǎng)）在“networkvlans”頁面點擊“create”按鈕：、name欄填寫：internal（填一個英文名稱）、tag欄填寫：4093（填一個數(shù)字）、interfaces欄：將available列的“1.1”拉到untagged列。1.1表示f5 big-ip的第一塊網(wǎng)卡。2、創(chuàng)建vlan：external（外網(wǎng)）在“networkvlans”頁面點擊“create”按鈕創(chuàng)建vlan：、name欄填寫：intern

7、al（填一個英文名稱）、tag欄填寫：4094（填一個數(shù)字）、interfaces欄：將available列的“1.2”拉到untagged列。1.2表示f5 big-ip的第二塊網(wǎng)卡。三、創(chuàng)建f5 big-ip的自身ip：分別對應internal（內網(wǎng)）和external（外網(wǎng)）。創(chuàng)建自身ip演示頁面：1、創(chuàng)建自身內網(wǎng)ip：在“networkself ips”頁面點擊“create”按鈕：、ip address欄填寫：（填內網(wǎng)ip地址）、netmask欄填寫：（填內網(wǎng)子網(wǎng)掩碼）、vlan欄選擇：internal、port

8、lockdown欄選擇：allow default（默認值）2、創(chuàng)建自身外網(wǎng)ip：在“networkself ips”頁面點擊“create”按鈕：、ip address欄填寫：（填外網(wǎng)ip地址）、netmask欄填寫：（填外網(wǎng)子網(wǎng)掩碼）、vlan欄選擇：external、port lockdown欄選擇：allow default（默認值）四、創(chuàng)建默認網(wǎng)關路由創(chuàng)建默認網(wǎng)關路由演示頁面：1、創(chuàng)建默認網(wǎng)關路由在“networkroutes”頁面點擊“create”按鈕：、type欄選擇：default gateway（默認值）、resou

9、rce欄選擇：use gateeay.，在其后的輸入框填寫網(wǎng)關ip地址：（這里假設此ip為外網(wǎng)網(wǎng)關地址）五、創(chuàng)建服務器自定義健康檢查創(chuàng)建服務器自定義健康檢查演示頁面：1、創(chuàng)建自定義http健康檢查：monitor_http在“l(fā)ocal trafficmonitors”頁面點擊“create”按鈕：、name欄填寫：monitor_http（填一個英文名稱）、type欄選擇：http、import settings欄選擇：http、interval欄填寫：5（表示每5秒鐘進行一次健康檢查）、timeout欄填寫：16（表示健康檢查的連接超時時間為16秒）、send string

10、欄填寫：get /（也可以根據(jù)自己的需求發(fā)送其他方法的請求，例如head /或者get /index.htm）、receive string欄填寫：（填寫對應的返回字符串，默認不填寫）六、創(chuàng)建服務器池（pool）創(chuàng)建服務器池演示頁面：1、創(chuàng)建squid服務器池：pool_squid在“l(fā)ocal trafficpools”頁面點擊“create”按鈕：、name欄填寫：pool_squid（填一個英文名稱）、health monitors欄：將第四步創(chuàng)建的自定義http健康檢查“monitor_http”由available列拉到active列、load balancing method欄選擇

11、：round robin（這里選擇的負載均衡方式是輪詢，也可以選擇其他方式）、new members欄：先選擇new address，再添加兩臺squid服務器的ip地址1、2以及它們的端口802、創(chuàng)建第一組apache服務器池：pool_apache_default在“l(fā)ocal trafficpools”頁面點擊“create”按鈕：、name欄填寫：pool_apache_default（填一個英文名稱）、health monitors欄：將第四步創(chuàng)建的自定義http健康檢查“monitor_http”由available列拉到active列、

12、load balancing method欄選擇：round robin（這里選擇的負載均衡方式是輪詢，也可以選擇其他方式）、new members欄：先選擇new address，再添加第一組兩臺apache服務器的ip地址1、2以及它們的端口803、創(chuàng)建第二組apache服務器池：pool_apache_irules在“l(fā)ocal trafficpools”頁面點擊“create”按鈕：、name欄填寫：pool_apache_irules（填一個英文名稱）、health monitors欄：將第四步創(chuàng)建的自定義http健康檢查“monitor_

13、http”由available列拉到active列、load balancing method欄選擇：round robin（這里選擇的負載均衡方式是輪詢，也可以選擇其他方式）、new members欄：先選擇new address，再添加第二組兩臺apache服務器的ip地址3、4以及它們的端口80七、創(chuàng)建供七層負載均衡使用的profiles配置創(chuàng)建profiles演示頁面：1、創(chuàng)建profiles配置：profile_http在“l(fā)ocal trafficprofiles”頁面點擊“create”按鈕：、name欄填寫：profile_http（

14、填一個英文名稱）、parent profile欄選擇：http、insert xforwarded for欄：如果需要，可以選中方框，選擇enable（在header頭中插入x-forwarded-for標記，以便做七層負載均衡時能夠獲取用戶真實ip，本文中squid服務器開啟了follow_x_forwarded_for allow all，因此f5無需設置此項）注：在此設置頁面中，還有壓縮等優(yōu)化功能，可以根據(jù)需要進行設置。八、創(chuàng)建irules規(guī)則創(chuàng)建irules規(guī)則演示頁面：1、創(chuàng)建irules規(guī)則：irules_apache在“l(fā)ocal trafficprofiles”頁面點擊“cre

15、ate”按鈕：、name欄填寫：irules_apache（填一個英文名稱）、definition欄填寫以下腳本，將訪問的域名為“”，訪問的網(wǎng)址以“.htm”結尾，或者以“/read.php”開頭的請求全部轉到服務器池“pool_apache_irules”： view plaincopy to clipboardprint?1. when http_request 2. if http:host equals and http:uri ends_with .htm 3. pool pool_apache_irules 4. 5. elseif http:host equals and htt

16、p:uri starts_with /read.php 6. pool pool_apache_irules 7. 8. when http_request if http:host equals and http:uri ends_with .htm pool pool_apache_irules elseif http:host equals and http:uri starts_with /read.php pool pool_apache_irules 九、創(chuàng)建虛擬服務器（virtual servers）創(chuàng)建虛擬服務器演示頁面：1、以“四層”負載均衡模式創(chuàng)建squid虛擬服務器：vs

17、_squid在“l(fā)ocal trafficvirtual servers”頁面點擊“create”按鈕：、general properties大類下：、name欄填寫：vs_squid（填一個英文名稱）、destination欄：選擇host，填寫squid服務器的外網(wǎng)虛擬ip（virtual ip，簡稱vip）：、service port欄填寫：80、configuration大類下：、configuration欄選擇: advanced（選擇高級模式，這一步很重要）、type欄選擇：performance (layer 4)、snat pool欄選擇：none（注意：這一步

18、很重要，四層模式下，請確保此項選擇為none）、resources大類下：、default pool欄選擇：pool_squid注意：f5的四層負載均衡由硬件芯片處理，不消耗cpu資源，能夠處理更大的訪問量。在四層負載均衡模式下，真實服務器的默認網(wǎng)關必須指向f5的自身內網(wǎng)ip，即2、以“七層”負載均衡模式創(chuàng)建apache虛擬服務器：vs_apache在“l(fā)ocal trafficvirtual servers”頁面點擊“create”按鈕：、general properties大類下：、name欄填寫：vs_apache（填一個英文名稱）、destination欄：選擇h

19、ost，填寫apache服務器的內網(wǎng)虛擬ip（virtual ip，簡稱vip）：、service port欄填寫：80、configuration大類下：configuration欄選擇: advanced（選擇高級模式，這一步很重要）、type欄選擇：standard（標準模式，即七層負載均衡模式）、http profile欄選擇：profile_http（注意：此項為none時，不能使用irules規(guī)則，因此必須選一個。在此選擇第六步創(chuàng)建的profile_http）、snat pool欄選擇：auto map（注意：在本文的架構中必須選擇，原因如下）說明：當其中的一

20、臺squid服務器“1”緩存未命中時，會去訪問虛擬ip“”。如果snat pool選擇默認值none，虛擬ip“”后端的apache服務器，看到的將是squid服務器的真實ip“1”。由于squid和apache服務器的ip地址屬于在同一網(wǎng)段，apache服務器將無需經(jīng)過f5網(wǎng)關“”，直接通過交換機回包給squid服務器“1”，這樣虛擬ip“”就會收不到回包信息，http請求無法完成。因此，需要選擇auto map，進行地址轉換，讓后端apa

21、che服務器看到的是f5的自身內網(wǎng)ip，回包給f5。、resources大類下：、irules欄：將available列的“irules_apache”拉到enabled列。、default pool欄選擇：pool_apache_default、apache虛擬服務器vs_apache創(chuàng)建完成后，如需進行修改，在以下兩個配置頁完成：修改虛擬服務器演示頁面1：修改虛擬服務器演示頁面2：十、創(chuàng)建snat安全網(wǎng)絡地址轉換，讓真實服務器能夠訪問互聯(lián)網(wǎng)、對外發(fā)郵件創(chuàng)建snat演示頁面：1、創(chuàng)建snat：snat_all_server在“l(fā)ocal trafficsnats”頁面點擊“create”按鈕

22、：、name欄填寫：snat_all_server（填一個英文名稱）、translation欄選擇：ip address，并填寫snat ip地址：（此項也可以選擇automap，使用f5的自身外網(wǎng)ip作為snat ip）、origin欄選擇：address list、address list欄：type欄選擇host，填寫要訪問互聯(lián)網(wǎng)、對外發(fā)郵件的內網(wǎng)ip地址。或者type欄選擇network，填寫要訪問互聯(lián)網(wǎng)、對外發(fā)郵件的網(wǎng)段和子網(wǎng)掩碼。、vlan traffic欄選擇：enabled on.、vlan list欄：將available列的“internal”拉到se

23、lected列。注意：真實服務器的默認網(wǎng)關需要指向f5的自身內網(wǎng)ip，即，才能通過snat訪問互聯(lián)網(wǎng)、對外發(fā)郵件。f5 bigip 服務器負載均衡介紹簡介：1 服務器負載均衡市場需求 隨著internet的普及以及電子商務、電子政務的發(fā)展，越來越多的應用系統(tǒng)需要面對更高的訪問量和數(shù)據(jù)量。同時，企業(yè)對在線系統(tǒng)的依賴也越來越高，大量的關鍵應用需要系統(tǒng)有足夠的在線率及高 .關鍵字：f5 bigip 服務器負載均衡1 服務器負載均衡市場需求隨著internet的普及以及電子商務、電子政務的發(fā)展，越來越多的應用系統(tǒng)需要面對更高的訪問量和數(shù)據(jù)量。同時，企業(yè)對在線系統(tǒng)的依賴也越來越高，

24、大量的關鍵應用需要系統(tǒng)有足夠的在線率及高效率。這些要求使得單一的網(wǎng)絡服務設備已經(jīng)不能滿足這些需要，由此需要引入服務器的負載均衡，實現(xiàn)客戶端同時訪問多臺同時工作的服務器，一則避免服務器的單點故障，再則提高在線系統(tǒng)的服務處理能力。從業(yè)界環(huán)境來說，如下的應用需求更是負載均衡發(fā)展的推動力： 業(yè)務系統(tǒng)從client-server轉向采用browser-server 系統(tǒng)結構，關鍵系統(tǒng)需要高可用性 電子商務系統(tǒng)的高可用性和高可靠性需要 it應用系統(tǒng)大集中的需要 （稅務大集中,證券大集中,銀行大集中） 數(shù)據(jù)中心降低成本,提高效率 負載均衡技術在現(xiàn)有網(wǎng)絡結構之上提供了一種廉價、有效、透明的方法，來擴展網(wǎng)絡設備

25、和服務器的帶寬、增加吞吐量、加強網(wǎng)絡數(shù)據(jù)處理能力、提高網(wǎng)絡的靈活性和可用性。它有兩方面的含義：首先，大量的并發(fā)訪問或數(shù)據(jù)流量分擔到多臺節(jié)點設備上分別處理，減少用戶等待響應的時間；其次，單個重負載的運算分擔到多臺節(jié)點設備上做并行處理，每個節(jié)點設備處理結束后，將結果匯總，返回給用戶，系統(tǒng)處理能力得到大幅度提高。big/ip利用定義在其上面的虛擬ip地址來為用戶的一個或多個應用服務器提供服務。因此，它能夠為大量的基于tcp/ip的網(wǎng)絡應用提供服務器負載均衡服務。big/ip連續(xù)地對目標服務器進行l(wèi)4到l7合理性檢查，當用戶通過vip請求目標服務器服務時，big/ip根椐目標服務器之間性能和網(wǎng)絡健康情

26、況，選擇性能最佳的服務器響應用戶的請求。下圖描述了一個負載均衡發(fā)生的流程：1. 客戶發(fā)出服務請求到vip2. bigip接收到請求，將數(shù)據(jù)包中目的ip地址改為選中的后臺服務器ip地址，然后將數(shù)據(jù)包發(fā)出到后臺選定的服務器3. 后臺服務器收到后，將應答包按照其路由發(fā)回到bigip4. bigip收到應答包后將其中的源地址改回成vip的地址，發(fā)回客戶端，由此就完成了一個標準的服務器負載均衡的流程。2.負載均衡典型流程 通過vip來截獲合適的需要負載均衡的流量 服務器監(jiān)控和健康檢查,隨時了解服務器群的可用性狀態(tài) 負載均衡和應用交換功能,通過各種策略導向到合適的服務器 2.1 通過vip來截獲合適的需要

27、負載均衡的流量 在bigip上通過設置vip來截獲需要進行負載均衡的流量，這個vip地址可以是一個獨立的主機地址和端口的組合（例如：15:80）也可以是一個網(wǎng)絡地址和端口的組合（例如：:80），當流量經(jīng)過bigip的時候，凡是命中vip的流量都將被截獲并按照規(guī)則進行負載均衡。2.2 服務器的健康監(jiān)控和檢查 服務器 (node) - ping (icmp) bigip可以定期的通過icmp包對后臺服務器的ip地址進行檢測，如果在設定的時間內能收到該地址的icmp的回應，則認為該服務器能提供服務 服務 (port) connect bigip可以

28、定期的通過tcp包對后臺服務器的服務端口進行檢測，如果在設定的時間內能收到該服務器端口的回應，則認為該服務器能提供服務 擴展內容查證(ecv: extended content verification)ecv ecv是一種非常復雜的服務檢查，主要用于確認應用程序能否對請求返回對應的數(shù)據(jù)。如果一個應用對該服務檢查作出響應并返回對應的數(shù)據(jù)，則big/ip控制器將該服務器標識為工作良好。如果服務器不能返回相應的數(shù)據(jù)，則將該服務器標識為宕機。宕機一旦修復，big/ip就會自動查證應用已能對客戶請求作出正確響應并恢復向該服務器傳送。該功能使big/ip可以將保護延伸到后端應用如web內容及數(shù)據(jù)庫。bi

29、g/ip的ecv功能允許您向web服務器、防火墻、緩存服務器、代理服務器和其它透明設備發(fā)送查詢，然后檢查返回的響應。這將有助于確認您為客戶提供的內容正是其所需要的。 擴展應用查證(eav: extended application verification) eav是另一種服務檢查，用于確認運行在某個服務器上的應用能否對客戶請求作出響應。為完成這種檢查，big/ip控制器使用一個被稱作外部服務檢查者的客戶程序，該程序為big/ip提供完全客戶化的服務檢查功能，但它位于big/ip控制器的外部。例如，該外部服務檢查者可以查證一個internet或intranet上的從后臺數(shù)據(jù)庫中取出數(shù)據(jù)并在ht

30、ml網(wǎng)頁上顯示的應用能否正常工作。eav是big/ip提供的非常獨特的功能，它提供管理者將big/ip客戶化后訪問各種各樣應用的能力，該功能使big/ip在提供標準的可用性查證之外能獲得服務器、應用及內容可用性等最重要的反饋。 該功能對于電子商務和其它應用至關重要，它用于從客戶的角度測試您的站點。例如，您可以模擬客戶完成交易所需的所有步驟連接到站點、從目錄中選擇項目以及驗證交易使用的信用卡。一旦big/ip掌握了該“可用性”信息，即可利用負載均衡使資源達到最高的可用性。big/ip已經(jīng)為測試internet服務的健康情況和狀態(tài)，預定義的擴展應用驗證(eav)，它有二種用戶界面：瀏覽器和cli配

31、置。big/ip預定義的應用檢查：ftp、nntp、smtp、pop3和mssql。2.3 負載均衡和應用交換功能,通過各種策略導向到合適的服務器bigip是一臺對流量和內容進行管理分配的設備。它提供12種靈活的算法將數(shù)據(jù)流有效地轉發(fā)到它所連接的服務器群。而面對用戶，只是一臺虛擬服務器。用戶此時只須記住一臺服務器，即虛擬服務器。但他們的數(shù)據(jù)流卻被bigip靈活地均衡到所有的服務器。這12種算法包括：l輪詢（round robin）：順序循環(huán)將請求一次順序循環(huán)地連接每個服務器。當其中某個服務器發(fā)生第二到第7層的故障，big/ip就把其從順序循環(huán)隊列中拿出，不參加下一次的輪詢，直到其恢復正常。l比

32、率（ratio）：給每個服務器分配一個加權值為比例，根椐這個比例，把用戶的請求分配到每個服務器。當其中某個服務器發(fā)生第二到第7層的故障，big/ip就把其從服務器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復正常。l優(yōu)先權（priority）：給所有服務器分組，給每個組定義優(yōu)先權，big/ip用戶的請求，分配給優(yōu)先級最高的服務器組（在同一組內，采用輪詢或比率算法，分配用戶的請求）；當最高優(yōu)先級中所有服務器出現(xiàn)故障，big/ip才將請求送給次優(yōu)先級的服務器組。這種方式，實際為用戶提供一種熱備份的方式。l最少的連接方式（least connection）：傳遞新的連接給那些進行最少連接處理的

33、服務器。當其中某個服務器發(fā)生第二到第7層的故障，big/ip就把其從服務器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復正常。l最快模式（fastest）：傳遞連接給那些響應最快的服務器。當其中某個服務器發(fā)生第二到第7層的故障，big/ip就把其從服務器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復正常。l觀察模式（observed）：連接數(shù)目和響應時間以這兩項的最佳均衡為依據(jù)為新的請求選擇服務器。當其中某個服務器發(fā)生第二到第7層的故障，big/ip就把其從服務器隊列中拿出，不參加下一次的用戶請求的分配，直到其恢復正常。l預測模式（predictive）：big/ip利用收集到的服

34、務器當前的性能指標，進行預測分析，選擇一臺服務器在下一個時間片內，其性能將達到最佳的服務器相應用戶的請求。(被bigip進行檢測)l動態(tài)性能分配（dynamic ratio-apm):big/ip收集到的應用程序和應用服務器的各項性能參數(shù)，動態(tài)調整流量分配。l動態(tài)服務器補充（dynamic server act.):當主服務器群中因故障導致數(shù)量減少時，動態(tài)地將備份服務器補充至主服務器群。l服務質量(qos)：按不同的優(yōu)先級對數(shù)據(jù)流進行分配。l服務類型(tos)：按不同的服務類型（在type of field中標識）對數(shù)據(jù)流進行分配。l規(guī)則模式：針對不同的數(shù)據(jù)流設置導向規(guī)則，用戶可自行編輯流量分

35、配規(guī)則，big/ip利用這些規(guī)則對通過的數(shù)據(jù)流實施導向控制。f5負載均衡會話保持技術及原理技術白皮書 (2006-12-20 12:51:27)分類：基礎知識1什么是會話保持？在大多數(shù)電子商務的應用系統(tǒng)或者需要進行用戶身份認證的在線系統(tǒng)中，一個客戶與服務器經(jīng)常經(jīng)過好幾次的交互過程才能完成一筆交易或者是一個請求的完成。由于這幾次交互過程是密切相關的，服務器在進行這些交互過程的某一個交互步驟時，往往需要了解上一次交互過程的處理結果，或者上幾步的交互過程結果，服務器進行下一步操作時需要這就要求所有這些相關的交互過程都由一臺服務器完成，而不能被負載均衡器分散到不同的服務器上。而這一系列的相關的交互過程

36、可能是由客戶到服務器的一個連接的多次會話完成，也可能是在客戶與服務器之間的多個不同連接里的多次會話完成。不同連接的多次會話，最典型的例子就是基于http的訪問，一個客戶完成一筆交易可能需多次點擊，而一個新的點擊產(chǎn)生的請求，可能會重用上一次點擊建立起來的連接，也可能是一個新建的連接。會話保持就是指在負載均衡器上有這么一種機制，可以識別做客戶與服務器之間交互過程的關連性，在作負載均衡的同時，還保證一系列相關連的訪問請求會保持分配到一臺服務器上。2 f5支持什么樣的會話保持方法？f5 bigip支持多種的會話保持方法，其中包括：簡單會話保持（源地址會話保持）、http header的會話保持，基于s

37、sl session id的會話保持，i-rules會話保持以及基于 http cookie的會話保持，此外還有基于sip id以及cache設備的會話保持等，但常用的是簡單會話保持，http header的會話保持以及 http cookie會話保持以及基于i-rules的會話保持。2.1 簡單會話保持簡單會話保持也被稱為基于源地址的會話保持，是指負載均衡器在作負載均衡時是根據(jù)訪問請求的源地址作為判斷關連會話的依據(jù)。對來自同一ip地址的所有訪問請求在作負載均時都會被保持到一臺服務器上去。在bigip設備上可以為“同一ip地址”通過網(wǎng)絡掩碼進行區(qū)分，比如可以通過對ip地址

38、進行的網(wǎng)絡掩碼，這樣只要是來自于/24這個網(wǎng)段的流量bigip都可以認為他們是來自于同一個用戶，這樣就將把來自于/24網(wǎng)段的流量會話保持到特定的一臺服務器上。 簡單會話保持里另外一個很重要的參數(shù)就是連接超時值，bigip會為每一個進行會話保持的會話設定一個時間值，當一個會話上一次完成到這個會話下次再來之前的間隔如果小于這個超時值，bigip將會將新的連接進行會話保持，但如果這個間隔大于該超時值，bigip將會將新來的連接認為是新的會話然后進行負載平衡。基于原地址的會話保持實現(xiàn)起來簡單，只需要根據(jù)數(shù)據(jù)包三、四層的信息就可以實現(xiàn)

39、，效率也比較高。存在的問題就在于當多個客戶是通過代理或地址轉換的方式來訪問服務器時，由于都分配到同一臺服務器上，會導致服務器之間的負載嚴重失衡。另外一種情況上客戶機數(shù)量很少，但每個客戶機都會產(chǎn)生多個并發(fā)訪問，對這些必發(fā)訪問也要求通過負均均衡器分配到多個服器上，這時基于客戶端源地址的會話保持方法也會導致負載均衡失效。2.2 基于cookie的會話保持2.2.1 cookie插入模式：在cookie插入模式下，bigip將負責插入cookie，后端服務器無需作出任何修改.當客戶進行第一次請求時，客戶http請求（不帶cookie）進入bigip， bigip根據(jù)負載平衡算法策略選擇后端一臺服務器，

40、并將請求發(fā)送至該服務器，后端服務器進行http回復（不帶cookie）被發(fā)回bigip，然后bigip插入cookie，將http回復返回到客戶端。當客戶請求再次發(fā)生時，客戶http請求（帶有上次bigip插入的cookie）進入bigip，然后bigip讀出cookie里的會話保持數(shù)值，將http請求（帶有與上面同樣的cookie）發(fā)到指定的服務器，然后后端服務器進行請求回復，由于服務器并不寫入cookie，http回復將不帶有cookie，恢復流量再次經(jīng)過進入bigip時，bigip再次寫入更新后的會話保持cookie。2.2.2 cookie 重寫模式當客戶進行第一次請求時，客戶http

41、請求（不帶cookie）進入bigip， bigip根據(jù)負載平衡算法策略選擇后端一臺服務器，并將請求發(fā)送至該服務器，后端服務器進行http回復一個空白的cookie并發(fā)回bigip，然后bigip重新在cookie里寫入會話保持數(shù)值，將http回復返回到客戶端。當客戶請求再次發(fā)生時，客戶http請求（帶有上次bigip重寫的cookie）進入bigip，然后bigip讀出cookie里的會話保持數(shù)值，將http請求（帶有與上面同樣的cookie）發(fā)到指定的服務器，然后后端服務器進行請求回復，http回復里又將帶有空的cookie，恢復流量再次經(jīng)過進入bigip時，bigip再次寫入更新后會話保

42、持數(shù)值到該cookie。2.2.3 passive cookie 模式，服務器使用特定信息來設置cookie。當客戶進行第一次請求時，客戶http請求（不帶cookie）進入bigip， bigip根據(jù)負載平衡算法策略選擇后端一臺服務器，并將請求發(fā)送至該服務器，后端服務器進行http回復一個cookie并發(fā)回bigip，然后bigip將帶有服務器寫的cookie值的http回復返回到客戶端。當客戶請求再次發(fā)生時，客戶http請求（帶有上次服務器寫的cookie）進入bigip，然后bigip根據(jù)cookie里的會話保持數(shù)值，將http請求（帶有與上面同樣的cookie）發(fā)到指定的服務器，然后后

43、端服務器進行請求回復，http回復里又將帶有更新的會話保持cookie，恢復流量再次經(jīng)過進入bigip時，bigip將帶有該cookie的請求回復給客戶端。2.2.4 cookie hash模式：當客戶進行第一次請求時，客戶http請求（不帶cookie）進入bigip， bigip根據(jù)負載平衡算法策略選擇后端一臺服務器，并將請求發(fā)送至該服務器，后端服務器進行http回復一個cookie并發(fā)回bigip，然后bigip將帶有服務器寫的cookie值的http回復返回到客戶端。當客戶請求再次發(fā)生時，客戶http請求（帶有上次服務器寫的cookie）進入bigip，然后bigip根據(jù)cookie里

44、的一定的某個字節(jié)的字節(jié)數(shù)來決定后臺服務器接受請求，將http請求（帶有與上面同樣的cookie）發(fā)到指定的服務器，然后后端服務器進行請求回復，http回復里又將帶有更新后的cookie，恢復流量再次經(jīng)過進入bigip時，bigip將帶有該cookie的請求回復給客戶端。 2.3 ssl session id會話保持在用戶的ssl訪問系統(tǒng)的環(huán)境里，當ssl對話首次建立時，用戶與服務器進行首次信息交換以：1交換安全證書，2）商議加密和壓縮方法，3）為每條對話建立session id。由于該session id在系統(tǒng)中是一個唯一數(shù)值，由此，bigip可以應用該數(shù)值來進行會話保持。當用戶想與該服務器再

45、次建立連接時，bigip可以通過會話中的 ssl session id識別該用戶并進行會話保持。基于ssl session id的會話保持就需要客戶瀏覽器在進行會話的過程中始終保持其sslsession id不變，但實際上，微軟internet explorer被發(fā)現(xiàn)在經(jīng)過特定一段時間后將主動改變ssl session id，這就使基于ssl session id的會話保持實際應用范圍大大縮小。f5負載均衡器簡明配置手冊 2008-05-15 13:05:08 來源：互聯(lián)網(wǎng)負載均衡器通常稱為四層交換機或七層交換機。四層交換機主要分析ip層及tcp/udp層，實現(xiàn)四層流量負載均衡。七層交換機除了

46、支持四層負載均衡以外，還有分析應用層的信息，如http協(xié)議uri或cookie信息。一、f5 . 負載均衡器通常稱為四層交換機或七層交換機。四層交換機主要分析ip層及tcp/udp層，實現(xiàn)四層流量負載均衡。七層交換機除了支持四層負載均衡以外，還有分析應用層的信息，如http協(xié)議uri或cookie信息。一、f5配置步驟：1、f5組網(wǎng)規(guī)劃(1)組網(wǎng)拓樸圖（具體到網(wǎng)絡設備物理端口的分配和連接，服務器網(wǎng)卡的分配與連接）(2)ip地址的分配（具體到網(wǎng)絡設備和服務器網(wǎng)卡的ip地址的分配）(3)f5上業(yè)務的vip、成員池、節(jié)點、負載均衡算法、策略保持方法的確定2、f5配置前的準備工作(1)版本檢查f5-p

47、ortal-1:# b version kernel:big-ip kernel 4.5ptf-07 build18 (2)時間檢查如不正確，請到單用戶模式下進行修改f5-portal-1:# datethu may 20 15:05:10 cst 2004 (3)申請license現(xiàn)場用的f5都需要自己到f5網(wǎng)站上申請license3、f5的通用配置(1)在安全要求允許的情況下，在setup菜單中可以打開telnet及ftp功能，便于以后方便維護(2)配置vlan unique_mac選項，此選項是保證f5上不同的vlan 的mac地址不一樣。在缺省情況下，f5的各個vlan的mac地址是一

48、樣的，建議在配置時，把此項統(tǒng)一選擇上?？捎妹頸fconfig a來較驗 具體是system/advanced properties/vlan unique_mac(3)配置snat any_ip選項選項，此選項為了保證內網(wǎng)的機器做了snat后，可以對ping的數(shù)據(jù)流作轉換。ping是第三層的數(shù)據(jù)包，缺省情況下f5是不對ping的數(shù)據(jù)包作轉換，也就是internal vlan的主機無法ping external vlan的機器。（注意：還可以采用telnet來驗證。） 具體是system/advanced properties/snat any_ip4、f5 的初始化配置建議在對f5進行初始時

49、都用命令行方式來進行初始化（用web頁面初始化的方式有時會有問題）。登錄到命令行上，運行config或setup命令可以進行初始化配置。初次運行時會提示一些license的信息。default:# config 5、f5雙機切換監(jiān)控配置（有f5雙機時需要）(1)在web頁面中選擇相應的vlan，在arm failsafe選擇則可。timeout為從f5收不到包的時間起，經(jīng)過多長時間就發(fā)生切換。此配置不能同步，需要在f5的主備機上同時配置。每個vlan都可以配置vlan arm failsafe。具體在network下(2)在web頁面中選擇system，在redundant propertie

50、s中把gateway failsafe選擇則可。router是需要監(jiān)控的地址。此配置不能同步，需要在f5的主備機上同時配置。一套f5上只能配置一個gateway failsafe具體在system/redundant properties/gateway failsafe6、f5macmasquerade配置mac masquerading是f5的shared ip address (floating)的mac地址，f5如果不配置此項，則shared ip address的mac地址與每臺f5的vlan self ip address的mac地址是一樣的。一般服務器是以shared ip ad

51、dress為網(wǎng)關，在兩臺f5上都配置了mac masquerade（相同的mac地址），這樣當f5發(fā)生切換后，服務器上shared ip address的mac不變，保證了業(yè)務的不中斷具體在network下7、f5的pool配置(1)在配置工具web頁面的導航面板中選擇“pools”中的“pools”標簽，點擊“add”按鈕添加服務器池(pool)。(2)在池屬性（pool properties）中的“l(fā)oad balancing method”表格中選擇負載均衡策略，通常采用默認策略：“round robin” (3)在“resouces”表格中的“member address”文本框輸入成

52、員ip地址，在“service”文本框中輸入服務端口，點擊“”添加到“current members”當前成員列表中。(4)添加所有組成員，點擊“done”完成配置。 (5)在“pools”中的“pool name”列選中特定池，然后池屬性頁面中選擇“persistence”標簽。 (6)在“persistence type”表格中選定會話保持類型。點擊“apply”應用配置。 8、f5的virtual server配置(1)在配置工具web頁面的導航面板中選擇“virtual servers”中的“virtual servers”標簽，點擊“add”按鈕添加虛擬服務器。 (2)在“add v

53、irtual server”窗口的“address”文本框中輸入虛擬服務器ip地址，并在“service”文本框中輸入服務端口號或在下拉框中選擇現(xiàn)有的服務名稱，點擊“next”執(zhí)行下一步。 (3)在“add virtual server”窗口的“configure basic properties”頁面中點擊“next”執(zhí)行下一步。 在“add virtual server”窗口的“select physical resources”頁面中點擊單選按鈕“pool”，并在下拉框中選擇虛擬服務器對應的負載均衡池。 (4)按“done”完成創(chuàng)建虛擬服務器。 9、f5的monitor的配置(1)在配置工具web頁面的導航面板中選擇“monitor”中的“monitors”標簽，點擊“add”按鈕添加監(jiān)控(2)根據(jù)需要選擇相關關聯(lián)類型：“node associations”標簽、node address associations”標簽、service associations”標簽。(3)被選關聯(lián)標簽中，在“choose