F5BIG-IPLTM負(fù)載均衡器配置指導(dǎo)書v10

-.z.F5BIG-IPLTM負(fù)載均衡器配置指導(dǎo)書（v10)DATE\"yyyy-MM-dd"6/9/2022修訂記錄日期修訂版本描述作者2011-08-151.00初稿完成鄒善.z.目錄第1章F5BIG-IPLTM簡介11.1負(fù)載均衡技術(shù)簡介11.2F5BIG-IPLTM產(chǎn)品介紹11.3產(chǎn)品面板簡介31.4配置方式51.5基本概念6第2章BIG-IPLTM規(guī)劃與配置準(zhǔn)備工作82.1BIG-IPLTM配置步驟82.2組網(wǎng)規(guī)劃9規(guī)劃準(zhǔn)備要點9組網(wǎng)圖9第3章基本配置113.1通過LCD面板設(shè)置BIG-IP管理網(wǎng)口地址123.2通過管理網(wǎng)口登錄BIG-IPWebUI界面133.3激活License143.4設(shè)置Platform173.5修改系統(tǒng)時鐘193.6配置網(wǎng)絡(luò)20劃分VLAN20配置VLANIP地址22設(shè)置接口速率和雙工類型24配置靜態(tài)路由24配置LinkAggregation（可選）26第4章負(fù)載均衡業(yè)務(wù)配置274.1節(jié)點配置274.2配置負(fù)載均衡池284.3配置虛擬服務(wù)器30創(chuàng)建虛擬服務(wù)器30將虛擬服務(wù)器和負(fù)載均衡器相關(guān)聯(lián)和會話保持配置334.4配置健康檢查34自定義節(jié)點狀態(tài)監(jiān)控35監(jiān)控與節(jié)點/負(fù)載均衡池相關(guān)聯(lián)37檢查系統(tǒng)狀態(tài)394.5配置SNAT39配置步驟39驗證SNAT配置42第5章雙機配置435.1雙機設(shè)置435.2雙機狀態(tài)監(jiān)控設(shè)置465.3雙機狀態(tài)檢查和配置同步48第6章其他的組網(wǎng)方式496.1單臂組網(wǎng)方式496.2n-path組網(wǎng)方式50-.z.關(guān)鍵詞：負(fù)載均衡池、虛擬服務(wù)器，節(jié)點、會話保持、監(jiān)控、ECV、EAV、SNAT摘要：按照常見的配置步驟，本文對F5BIG-IPLTM負(fù)載均衡器設(shè)備配置進行說明，并對負(fù)載均衡器的基本概念和F5設(shè)備使用過程中遇到的常見問題進行解答。 本指導(dǎo)書適用于BIG-IPLTM1600/3600負(fù)載均衡器(BIG-IPversion10)?？s略語清單：ECV E*tendedContentVerification 可擴展的容驗證EAV E*tendedApplicationVerification 可擴展的應(yīng)用驗證SNAT SecureNetworkAddressTranslation 安全網(wǎng)絡(luò)地址轉(zhuǎn)換LTM LocalTrafficManager本地流量管理器LACP LinkAggregationControlProtocol 鏈路匯聚控制協(xié)議參考資料清單：F5BIG-IPLTM負(fù)載均衡器配置指導(dǎo)書，林浩泓華為技術(shù)HUAWEIAAARADIUS負(fù)載均衡配置指南-F5BIG-IP，華為技術(shù)PlatformGuide:1600,F5Networks,2011PlatformGuide:3600,F5Networks,2011Configuration_Guide_for_BIG-IP_Global_Traffic_Manager(v10.2),F5Networks,2011TMOS_Management_Guide_for_BIG-IP_Systems,F5Networks,2011BIG-IPLocalTrafficManagerImplementations,F5Networks,2011-.z.F5BIG-IPLTM簡介負(fù)載均衡技術(shù)簡介在只部署了一臺服務(wù)器的情況下，隨著訪問量的增加，一臺服務(wù)器不能滿足應(yīng)用的需要，而需要增加更多的服務(wù)器。當(dāng)部署了兩臺以上的服務(wù)器時，就可能會需要用到負(fù)載均衡器。服務(wù)器負(fù)載均衡器是指設(shè)置在一組功能相同或相似的服務(wù)器前端，對到達服務(wù)器組的流量進行合理分發(fā)；并在其中*一臺服務(wù)器故障時，能將訪問請求轉(zhuǎn)移到其它可以正常工作的服務(wù)器的軟件或網(wǎng)絡(luò)設(shè)備。通過服務(wù)器負(fù)均衡器，對流量進行合理分配，可以帶來以下好處：提高性能負(fù)載均衡器可以實現(xiàn)服務(wù)器之間的負(fù)載平衡，從而提高了系統(tǒng)的反應(yīng)速度與總體性能。提高可靠性負(fù)載均衡器可以對服務(wù)器的運行狀況進行監(jiān)控，及時發(fā)現(xiàn)運行異常的服務(wù)器，并將訪問請求轉(zhuǎn)移到其它可以正常工作的服務(wù)器上，從而提高服務(wù)器組的可靠性。提高可維護性采用了負(fù)均衡器器以后，可以根據(jù)業(yè)務(wù)量的發(fā)展情況靈活增加服務(wù)器，系統(tǒng)的擴展能力得到提高，同時簡化了管理。F5BIG-IPLTM產(chǎn)品介紹隨著F5BIG-IP1500/3400/6400/6800/8400/8800負(fù)載均衡器停產(chǎn)，目前F5公司負(fù)載均衡器(亦稱為本地流量管理器)有BIG-IPLTM1600/3600/3900/6900/8900/8950/11050/Viprion2400/Viprion4400等型號。F5BIG-IPLTM負(fù)載均衡產(chǎn)品規(guī)格6900系列——中級多用途流量管理處理器：2*dualcore基本存：8GB千兆位CU端口：16個千兆位光纖端口(SFP-GBICMini)：8個（4個標(biāo)準(zhǔn)、4個可選）包括：SSLTPS/Ma*TPS/Bulk加速模塊：（500/25,000/4Gbps）流量吞吐量：6Gbps/秒3900系列——普通多用途流量管理處理器：1*quadcore基本存：8GB千兆位CU端口：8個千兆位光纖端口(SFP-GBICMini)：4個（可選）包括：SSLTPS/Ma*TPS/Bulk加速模塊：（500/15,000/2.4Gbps）流量吞吐量：4Gbps3600系列——普通多用途流量管理處理器：1*dualcore基本存：4GB千兆位CU端口：8個千兆位光纖端口(SFP-GBICMini)：2個可選包括：SSLTPS/Ma*TPS/Bulk加速模塊：（500/10,000/2Gbps）流量吞吐量：2Gbps1600系列——普通多用途流量管理處理器：1*dualcore基本存：4GB千兆位CU端口：4個千兆位光纖端口(SFP-GBICMini)：2個可選包括：SSLTPS/Ma*TPS/Bulk加速模塊：（500/5,000/1Gbps）流量吞吐量：1GbpsViprion4400系列——超級多用途流量管理滿配置（4*B4200)處理器：8*quadcore基本存：64GB千兆位CU端口：16個千千兆萬兆位自適應(yīng)SFP/SFP+端口：32個(8個標(biāo)準(zhǔn)，24個可選）包括：SSLTPS/Ma*TPS/Bulk加速模塊：（16,000/200,000/36Gbps）流量吞吐量：72Gbps-L472Gbps-L7Viprion2400系列——超級多用途流量管理滿配置（4*B2100)處理器：4*quadcore基本存：64GBePVALayer4加速芯片千兆萬兆位自適應(yīng)SFP/SFP+端口：32個(8個標(biāo)準(zhǔn)，24個可選）包括：SSLTPS/Ma*TPS/Bulk加速模塊：（8000/200,000/16Gbps）流量吞吐量：160Gbps-L472Gbps-L711050系列——高級多用途流量管理處理器：2*he*core基本存：32GB千兆萬兆位自適應(yīng)SFP/SFP+端口：10個(2個標(biāo)準(zhǔn)，8個可選）包括：SSLTPS/Ma*TPS/Bulk加速模塊：（500/100,000/15Gbps）流量吞吐量：42Gbps8900/8950系列——中高級多用途流量管理處理器：2*quadcore基本存：16GB千兆位CU端口：16個千兆位光纖端口(SFP-GBICMini)：8個（4個標(biāo)準(zhǔn)、4個可選）包括：SSLTPS/Ma*TPS/Bulk加速模塊：8900-（500/58,000/9.6Gbp）8950-（500/56,000/9.6Gbps）流量吞吐量：8900-12Gbps8950-20Gbps產(chǎn)品面板簡介F5Networks,Inc.是一家專注于IP網(wǎng)絡(luò)流量和容管理(iTCM）領(lǐng)域的廠商。F5公司的BIG-IP系統(tǒng)可以作為網(wǎng)絡(luò)中的負(fù)載均衡設(shè)備。F5BIG-IP1600設(shè)備的前面板視圖如下圖所示。BIG-IP1600前面板視圖BIG-IP3600前面板視圖ManagementPort管理接口USB接口ConsolePort串口FailoverPort，硬件Failover接口10/100/1000interfaceSFPPortLED狀態(tài)燈LCD顯示屏LCD控制按鍵BIG-IP1600應(yīng)用交換機具備4個10/100/1000M自適應(yīng)的網(wǎng)絡(luò)接口及2個光纖接口。BIG-IP3600應(yīng)用交換機具備8個10/100/1000M自適應(yīng)的網(wǎng)絡(luò)接口及4個光纖接口。10/100/1000interface10/100/1000M自適應(yīng)的網(wǎng)絡(luò)接口。SFP1000MSFP接口，可插1000M多模/單模/電接口SFP模塊。Serialconsoleport一個串口命令行管理端口。PC終端可以通過串口線連接此端口，配置BIG-IP。Failoverport一個串口冗余狀態(tài)判斷端口。在主備冗余方式下通過隨機附帶的Failover線連接此端口。Mgmtinterface一個10/100M管理網(wǎng)口。配置管理網(wǎng)口IP地址之后，可以通過網(wǎng)線連接此網(wǎng)口，配置BIG-IP。BIG-IP1600/3600后面板視圖把手電源模塊未插電源模塊的擋板1600/3600都可以支持交流和直流電，直接通過更換交、直流的電源模塊即可。同時1600/3600都支持雙電源。配置方式F5BIG-IP提供兩種配置方式：WEB方式通過HTTPS訪問BIG-IP系統(tǒng)Web主頁面進行配置。命令行方式SSH通過SSH遠程登錄進行配置。Console通過串口線連接Console口進行配置，計算機的超級終端的設(shè)置如下：每秒位數(shù)選擇“19200”數(shù)據(jù)流控制選擇“無”。其他參數(shù)保留缺省值。由于WEB配置方式一般配置比較直接，所以在一般的配置過程中，建議通過WEB的方式完成配置，命令行的配置方式，一般在查錯時使用?；靖拍罟?jié)點（Node）節(jié)點是處理負(fù)載均衡器發(fā)送流量的設(shè)備，通常是業(yè)務(wù)服務(wù)器。當(dāng)服務(wù)器加入負(fù)載均衡池成為池成員時，服務(wù)器就稱為節(jié)點，Node是指服務(wù)器的IP地址，如10。負(fù)載均衡成員(PoolMember)負(fù)載均衡成員是處理負(fù)載均衡器發(fā)送的測試設(shè)備和端口，PoolMember是指服務(wù)器的IP地址+端口號，如10:80。負(fù)載均衡池（Pool）一組Poolmember組成一個Pool，池與特定虛擬服務(wù)器相關(guān)聯(lián)，流向虛擬服務(wù)器的流量通常會轉(zhuǎn)給相關(guān)聯(lián)的負(fù)載均衡池中的成員節(jié)點。如Pool_web中有兩個成員10:80和20:80虛擬服務(wù)器（VirtualServer）虛擬服務(wù)器對應(yīng)一個虛擬地址+端口號，是一個可見的、可路由的實體。客戶端請求*個虛擬服務(wù)器，即請求*種類型的服務(wù)。建立虛擬服務(wù)器與負(fù)載均衡池之間的關(guān)聯(lián)后，來自*個虛擬服務(wù)器的請求會被轉(zhuǎn)發(fā)給與之關(guān)聯(lián)的負(fù)載均衡池中的節(jié)點，由這個節(jié)點響應(yīng)客戶端的請求。如0:80是一個Virtualserver負(fù)載均衡(loadbalancemethod)負(fù)載均衡即是Virtualserver收到客戶端的請求后，采用什么方式把請求分發(fā)到后臺的poolmember中去。負(fù)載均衡方法是在pool中配置，負(fù)載均衡方法包括RoundRobin,Ratio,Fastest,LeastConnections,LeastSessions等負(fù)載均衡方法。會話保持(Persistence)會話保持就是指負(fù)載均衡器可以確保同一客戶端一系列相關(guān)聯(lián)的訪問請求會被分配到同一個節(jié)點上。會話保持方法在Virtualserver中配置，會話保持方法包括：Sourceaddress,Cookie,Destinationaddress,Hash,SIP,SSL等會話保持方法。健康檢查（Monitor）健康檢查用于檢驗負(fù)載均衡池中成員節(jié)點健康狀態(tài)。當(dāng)池中成員節(jié)點服務(wù)中斷時，BIG-IP設(shè)備將會把流量重定向到其它成員工點。健康檢查方法包括ping成員的IP地址、檢查成員的端口是否啟用、模擬客戶端發(fā)真正的業(yè)務(wù)請求等。BIG-IPLTM規(guī)劃與配置準(zhǔn)備工作BIG-IPLTM配置步驟在對F5BIG-IP進行配置之前，首先要做好規(guī)劃工作。BIG-IPLTM主要配置步驟如下：組網(wǎng)規(guī)劃–在組網(wǎng)規(guī)劃中，包含主機名、IP地址/VLAN、路由、虛擬服務(wù)器、地址池、負(fù)載均衡算法、會話保持方式、雙機等容進行規(guī)劃，并繪制出組網(wǎng)拓?fù)鋱D。初始化配置–通常使用WEB完成初始化配置，包括激活License、平臺配置和網(wǎng)絡(luò)配置。配置網(wǎng)絡(luò)VLAN和IP地址更改系統(tǒng)時鐘（可選）配置負(fù)載均衡池配置節(jié)點狀態(tài)監(jiān)控配置虛擬服務(wù)器配置SNAT/NAT配置雙機說明：(1)本配置步驟為常見配置順序。本文沒有包括過濾和SSLPro*y等配置。(2)主用BIG-IP系統(tǒng)要完成以上所有配置步驟，備用BIG-IP系統(tǒng)可以跳過5-8步，而通過主用BIG-IP系統(tǒng)將配置同步到備用BIG-IP系統(tǒng)中去。組網(wǎng)規(guī)劃本節(jié)主要根據(jù)典型F5BIG-IPLTM典型應(yīng)用以實例給出配置指南，后續(xù)章節(jié)具體配置說明不一定跟本實例完全相同。規(guī)劃準(zhǔn)備要點在安裝BIG-IP系統(tǒng)之前，請檢查如下準(zhǔn)備工作是否做好：設(shè)備物理連接規(guī)劃。IP地址規(guī)劃，根據(jù)實際需要劃分網(wǎng)段和分配IP地址。BIG-IP雙機需要3個外部VLANIP，2個分別為主備機的SelfIP，一個為ShareIP。BIG-IP雙機需要3個部VLANIP，2個分別為主備機的SelfIP，一個為ShareIP。BIP-IP雙機需要2個同步VLANIP，2個分別為主備機的SelfIP（如果需要啟用networkfailover功能)每一個虛擬服務(wù)器IP地址或NAT需要一個外部VLANIP。SNAT映射IP地址可以跟虛擬服務(wù)器IP地一樣。BIG-IP部每個節(jié)點需要一個部VLANIP。確定BIG-IP主機名，并且確保BIG-IP雙機主機名不一樣。確定BIG-IPunitID，并且確保BIG-IP雙機的unitID不一樣。組網(wǎng)圖典型F5BIG-IPLTM負(fù)載均衡器部署方式采用“雙臂旁掛”式連接（如REF_Ref137629135\r\h圖2-1所示）。典型F5BIG-IPLTM負(fù)載均衡器部署示意圖IP地址和物理端口分配如下表所示：IP地址和物理端口分配表ID主機名VLANVLANID端口SelfIP地址FloatIP地址端口對端描述1LB01.test.E*ternal1001.1交換機1外部vlanG1/0/5Internal2001.2交換機1部vlanG1/0/4sync3001.2N/A交換機1部vlanG1/0/4Mgmt400mgmtN/A維護交換機2LB02.test.E*ternal1001.1交換機2外部vlanG1/0/5Internal2001.2交換機2部vlanG1/0/4sync3001.2N/A交換機2部vlanG1/0/4Mgmt400mgmtN/A維護vlan交換機VirtualServer與成員信息表如下：VirtualServer與成員信息表No.VirtualnameVirtualserverPoolNodesDescription1Vip_web0:httpPool_web01.110:8001.120:80tcp/fastL42Vip_ftp0:ftpPool_ftp01.110:ftp01.120:ftptcp/fastL4SNAT地址規(guī)劃如下表：SNAT規(guī)劃表No.SNATnameorigintranslationVLANDescription1Snat_web.0/00internaltcptimeout3600基本配置本文以BIG-IPLTM1600為例講解整個配置過程，基本上講解了BIG-IP整個配置過程。對于新的BIG-IP設(shè)備，基本配置主要包括：通過LCD面板設(shè)置BIG-IP管理網(wǎng)口地址通過管理網(wǎng)口登錄BIG-IPWeb界面通過SetupUtility激活License、配置Platform和配置網(wǎng)絡(luò)。也可以通過導(dǎo)航菜單System->License激活License；System->Platform配置Platform。注意：在安裝之前，必須注意如下事項：(1)BIG-IP的接口與VLAN分配相關(guān)，網(wǎng)線連接接口位置不能隨意更改，否則可能導(dǎo)致網(wǎng)絡(luò)無法連接。(2)互為雙機的兩臺BIG-IP必須用隨機附帶的Failover線相連起來。(3)可以通過LCD面板設(shè)置/獲取管理網(wǎng)口地址來進行基本配置，或是通過命令行方式，運行"config"命令來配置管理IP。通過LCD面板設(shè)置BIG-IP管理網(wǎng)口地址BIG-IP上電開機以后，首先需要通過機器LCD面板的按鍵設(shè)置Management管理網(wǎng)口的IP地址。管理網(wǎng)絡(luò)接口缺省的IP地址為45/24?？梢酝ㄟ^兩種方式設(shè)置管理網(wǎng)口的IP地址：通過LCD按鍵按紅色*按鍵。在液晶面板上通過按鍵按以下順序設(shè)置管理網(wǎng)口的網(wǎng)絡(luò)地址：System->Management->MgmtIP。在液晶面板上通過按鍵按以下順序設(shè)置管理網(wǎng)口的子網(wǎng)掩碼：System->Management->MgmtMask。進入“mit提交菜單”，確認(rèn)提交通過Console口將PC機上的串口與F5BIG-IP設(shè)備面板上的“Serialconsoleport”用串口線連接。在PC機上通過超級終端登錄F5BIG-IP，輸入“config”，根據(jù)提示設(shè)置管理網(wǎng)口的IP地址。用戶名/密碼默認(rèn)為：root/default。說明：Management(mgmt)接口可以用于維護管理用途，可以將該接口連接到業(yè)務(wù)系統(tǒng)維護VLAN。管理網(wǎng)絡(luò)接口的IP地址不能與業(yè)務(wù)網(wǎng)絡(luò)在同一網(wǎng)段，避免出現(xiàn)地址沖突。根據(jù)業(yè)務(wù)網(wǎng)絡(luò)的地址劃分，相應(yīng)的調(diào)整管理網(wǎng)絡(luò)接口的網(wǎng)絡(luò)地址。如果通過LCD按鍵修改完IP地址以后，選擇mit，地址無法成功改變(例如出現(xiàn)IP地址為全零的情況)，很有可能是管理口IP地址與系統(tǒng)已經(jīng)配置發(fā)生沖突。出現(xiàn)這種情況，關(guān)機重啟以后，重新選定IP地址或網(wǎng)段來設(shè)置管理網(wǎng)口地址。通過管理網(wǎng)口登錄BIG-IPWebUI界面BIG-IP有兩種管理方式，一種是基于WEB的https管理方式，另一種是基于ssh的命令行管理方式。除特別配置外，BIG-IP的配置主要采用WEB的管理方式即可。將計算機連接BIG-IP的管理網(wǎng)口，以WEB方式登陸：在管理員的IE地址欄輸入BIG-IP設(shè)備的管理接口IP地址，如https://。管理接口的缺省IP地址為45。如果已經(jīng)通過液晶面板上的按鍵更改過IP，輸入相應(yīng)的IP地址。連接后出現(xiàn)安全警告提示窗口，點擊Yes繼續(xù)。系統(tǒng)提示輸入用戶名和密碼。缺省的用戶名和密碼為admin和admin輸入正確后即可進入BIG-IP配置工具WEB界面。BIG-IP配置工具WEB界面激活License在配置BIG-IP之前，必須先激活F5的License。操作步驟如下。登錄BIG-IP的WEB管理頁面。未激活License之前，登錄BIG-IP的WEB管理頁面后，顯示如下頁面。單擊“Activate”，進入如下頁面。單擊BaseRegistrationKey對應(yīng)的“Edit”，在文本框中輸入已獲取的BaseRegistrationKey。ActivationMethod選擇Manual。單擊“Ne*t”。在彈出的對話框中單擊“確定”，進入如下頁面。申請License文件。在“步驟5”的圖中，單擊“step2”的超，進入F5License服務(wù)器。通常F5負(fù)載均衡器所處網(wǎng)絡(luò)不能夠直接上Internet，請將“Dossier”拷貝到可以上Internet的計算機中，進入F5License服務(wù)器。F5License服務(wù)器地址https://activate.f5./license/dossier.jsp將產(chǎn)生的Dossier復(fù)制進以下頁面。單擊“Ne*t”，生成License文件。在“步驟5”的圖中，將申請的License填入“step3”的方框中。單擊“Ne*t”，完成License激活，進入平臺配置頁面。注意：完成F5BIG-IP設(shè)備License激活后，請重啟設(shè)備或者在CLI使用bigstartrestart命令可以手工重啟BIG-IP服務(wù)進程。設(shè)置Platform平臺(Platform)主要配置系統(tǒng)的通用屬性，比如，主機名、IP地址、系統(tǒng)管理員等?？梢酝ㄟ^WebUI進入配置頁面System->Platform。Platform頁面可設(shè)置HostName、Root密碼、Admin密碼、TimeZone。如果是雙機，還要設(shè)置HighAvailability和UnitID。F5BIG-IP采用Linu*時區(qū)設(shè)置，中國時區(qū)其中沒有時區(qū)信息，可以就近選擇如下時區(qū)：Asia/Chungking（）、Asia/Harbin（）、Asia/Hong_Kong（）、Asia/Macao（澳門）、Asia/Shanghai（）和Asia/Urumqi（烏魯木齊）。其他地區(qū)可以根據(jù)TimeZone下拉列表框進行相應(yīng)選擇。Platform頁面ManagementPort管理網(wǎng)口的IP地址、子網(wǎng)掩碼、路由。HostNameF5BIG-IP的主機名。HighAvailability采用雙機冗余方式，設(shè)置為“RedundantPair”。UnitID采用雙機冗余方式，主備機的UnitID不同。RootAccountRootAccount為命令行，初始密碼為default。AdminAccountAdminAccount為WEB管理的，初始密碼為admin。SSHAccess選中復(fù)選框表示允許通過SSH方式配置F5BIG-IP。注意：(1)root密碼允許用戶通過命令行訪問BIG-IP系統(tǒng)。建議root密碼長度大于6位，但不要超過32位字節(jié)。密碼與大小寫敏感，建議密碼中包含大寫/小寫字母和數(shù)字。如果BIG-IP系統(tǒng)為雙機系統(tǒng)，兩臺主備機的root/admin兩個用戶的密碼必須保持一致。(2)主機名用來標(biāo)識BIG-IP系統(tǒng)自身。主機名必須符合DNS域名標(biāo)準(zhǔn)。主機部分必須以字母開始，并至少為2個字符。舉例：。(3)BIG-IP雙機系統(tǒng)的主機名必須不一樣，否則配置同步會產(chǎn)生錯誤，可能導(dǎo)致破壞license。如果BIG-IP運行于雙機高可用性模式，因此需要在系統(tǒng)通用屬性中設(shè)置雙機：設(shè)置雙機說明：通常雙機系統(tǒng)中主機UnitID設(shè)置為1，備機UnitID為2。修改系統(tǒng)時鐘修改BIG-IP系統(tǒng)時鐘必須要通過CLI命令行界面完成，請通過Console或SSH方式連接到BIG-IP。常用的SSH客戶端有PUTTY或SecureShellClient等。用SSH客戶端連接BIG-IP的管理網(wǎng)口地址，進入命令行模式。執(zhí)行date檢查系統(tǒng)時鐘。[rootZJHZ-PS-MMS3-SW02:Active]config*dateThuMay2516:59:15CST2006如果系統(tǒng)時鐘跟當(dāng)前時間相差較大，使用date命令修改系統(tǒng)時鐘。命令格式：*date<month><day><hour><minute><year>.<second>*dateMMDDHHMMYYYY.SS如設(shè)置2007年1月1日中午*date7.00保存時間到BIOS。*hwclock–-systohc注意：(1)對于臨時License的設(shè)備，不要輕易改系統(tǒng)時間，后果是License失效。(2)對于在運行的冗余系統(tǒng)，主、備機的時間不能超過10分鐘，否則主、備機的同步不能完成。(3)系統(tǒng)時鐘主要用于F5日志文件的計時時間。配置網(wǎng)絡(luò)根據(jù)組網(wǎng)規(guī)劃，對F5BIGIP的網(wǎng)絡(luò)進行配置，包括劃分VLAN、定義IP地址及路由等。劃分VLAN點擊左側(cè)的導(dǎo)航條，進入Network->VLANs。打開VLANs頁面在右側(cè)可以對VLAN進行配置。創(chuàng)建方法如下：點擊”Create…”按鈕。VLAN設(shè)置設(shè)置VLAN名。在Name文本框設(shè)置這個VLAN的名字，如“sync”。在“Tag”中參照VLAN規(guī)劃表輸入VLAN號。如果不填，系統(tǒng)將自動分配一個VLAN號。建議按照VLAN規(guī)劃表輸入VLAN號，如果啟用TaggedInterface時，可以跟交換機的802.1qTrunk端口匹配起來。將接口分配到VLAN中。在“Resources”表格中Interface:定義Available中顯示的端口有選擇性的劃分到這個VLAN中。指定端口后，單擊選入Untagged欄即可，如果對選定接口號點擊“Tagged>>”，則該端口為802.1qTrunk端口。點擊完成。配置完成后，主F5的vlan的配置如下：配置VLANIP地址在劃分完VLAN后，即可對每個VLAN進行IP地址的定義。方法如下：點擊左側(cè)導(dǎo)航條中的Networks->SelfIps。打開SelfIPs頁面在右側(cè)可以對Ip地址進行配置。配置步驟：點擊”Create…”按鈕。SelfIP設(shè)置在頁面對應(yīng)欄進行填寫：IPaddress:輸入IP地址Netmask:輸入子網(wǎng)掩碼VLAN：選擇將這個IP地址綁定在哪個VLAN上。選擇下拉菜單將顯示所有已設(shè)置的VLAN名。PortLockdown:通常保持默認(rèn)值A(chǔ)llowDefault。當(dāng)沒有配置bselfallow時，可以選擇AllowAll。FloatingIP:如果系統(tǒng)為冗余工作方式，需對每臺設(shè)備的每個VLAN均設(shè)置兩個IP地址。其中一個是SelfIP,另一個則為FloatingIP,即兩臺設(shè)備共用的IP地址。選中此項即代表這個IP地址為FloatingIP。UnitID:對于雙機的浮動IP，需要選擇FloatingIP，并選擇對應(yīng)的UnitID號。點擊完成。完成配置后，主用F5的selfIP的配置如下：設(shè)置接口速率和雙工類型點擊左側(cè)導(dǎo)航條中打開Network->Interfaces選擇相應(yīng)的端口。接口操作模式默認(rèn)為自適應(yīng)，通常不建議修改。接口操作模式設(shè)置配置靜態(tài)路由點擊左側(cè)導(dǎo)航條中的Networks->Routes打開路由頁面創(chuàng)建方法如下：點擊在頁面對應(yīng)欄進行填寫：Type:定義配置的是默認(rèn)網(wǎng)關(guān)還是靜態(tài)路由。Destination:定義目標(biāo)網(wǎng)段Netmask:定義目標(biāo)網(wǎng)段的掩碼Resource:定義網(wǎng)關(guān)地址點擊完成。配置LinkAggregation（可選）為提高鏈路可靠性，BIG-IP與LANSwitch互連網(wǎng)絡(luò)采用兩條網(wǎng)線進行鏈路匯聚。BIG-IP將鏈路匯聚稱之為Trunk，不要與IEEE802.1q的Trunk屬于混淆。點擊左側(cè)的導(dǎo)航條，進入NetworkTrunks:鏈路匯聚頁面負(fù)載均衡業(yè)務(wù)配置負(fù)載均衡業(yè)務(wù)配置主要包含以下幾個方面：Node節(jié)點——一般在Pool配置中添加，也可以單獨創(chuàng)建?？梢栽贜ode頁面中配置節(jié)點健康檢查。Pool負(fù)載均衡池 ——包含可以將請求發(fā)送到其中進行處理的服務(wù)器。Profile——定義VirtualServer行為的設(shè)置。可以使用系統(tǒng)自帶Profile，有些業(yè)務(wù)需要自定義Profile。VirtualServer虛擬服務(wù)器 ——VirtualServer接收客戶端的訪問請求，然后將請求分發(fā)給被負(fù)載均衡的節(jié)點服務(wù)器上。iRule——iRule是基于TCL語言的腳本處理引擎，可以非常靈活的實現(xiàn)一些特殊的流量處理需求。Monitor——Monitor跟蹤Pool成員的當(dāng)前狀態(tài)。可以采用系統(tǒng)自帶Monitor。有些業(yè)務(wù)需要自定義Monitor。SNAT——在負(fù)載均衡器部的服務(wù)器主動向外發(fā)起訪問時，在負(fù)載均衡器上所做的地址映射。說明：服務(wù)器負(fù)載均衡器的設(shè)置只需要在一臺BIG-IP1上進行設(shè)置，設(shè)置好以后，可以通過雙機配置同步的方式將配置更新到BIG-IP2上。節(jié)點配置節(jié)點（Node）可以單獨配置，一般在Pool配置時添加。點擊左側(cè)的導(dǎo)航條，選擇LocalTraffic->VirtualServers->Nodes標(biāo)簽，點擊“Create…”按鈕添加節(jié)點（node）節(jié)點配置在上圖中輸入節(jié)點（服務(wù)器）的IP和名稱，選擇相應(yīng)的Monitors，點擊Finished完成配置。配置負(fù)載均衡池負(fù)載均衡池是負(fù)載均衡器中重要的屬性，是根據(jù)負(fù)載均衡策略接收數(shù)據(jù)流量的一組設(shè)備。池與特定虛擬服務(wù)器相關(guān)聯(lián)，流向虛擬服務(wù)器的流量通常會轉(zhuǎn)給相關(guān)聯(lián)的負(fù)載均衡池的成員節(jié)點。池可以執(zhí)行負(fù)載均衡操作，比如發(fā)送流量到池中的指定節(jié)點或定義會話保持方式。當(dāng)配置池時，必須配置池名、成員IP地址和負(fù)載均衡方法（BIG-IP系統(tǒng)默認(rèn)策略為輪詢“RoundRobin”方式）。配置步驟：左側(cè)導(dǎo)航條中選擇LocalTraffic->VirtualServers->Pools標(biāo)簽，點擊“Create”按鈕添加服務(wù)器池(Pool)。負(fù)載均衡池配置頁面在“Name”中輸入負(fù)載均衡器名稱。在“LoadBalancingMethod”表格中選擇負(fù)載均衡方法，通常采用默認(rèn)輪詢方法。在“Resources”表格中的“Address”文本框輸入成員IP地址，在“ServicePort”文本框中輸入服務(wù)端口（通用服務(wù)可以在下拉框選擇對應(yīng)服務(wù)），點擊“Add”添加到“CurrentMembers”當(dāng)前成員列表中。添加所有組成員，點擊“Finished”完成配置。配置虛擬服務(wù)器虛擬服務(wù)器（Virtualserver）是一個可PING的虛擬IP地址和服務(wù)端口的組合（比如0:http），虛擬服務(wù)器與負(fù)載均衡池（Pool）相對應(yīng)，負(fù)載均衡池由一或多個節(jié)點（Node）組成。虛擬服務(wù)器有許多類型，本文只講述業(yè)務(wù)與軟件產(chǎn)品使用的標(biāo)準(zhǔn)虛擬服務(wù)器配置。創(chuàng)建虛擬服務(wù)器配置步驟：在導(dǎo)航面板中選擇LocalTraffic->VirtualServers標(biāo)簽，點擊“Create”按鈕添加虛擬服務(wù)器。虛擬服務(wù)器配置1虛擬服務(wù)器配置2在“Name”文本框中輸入名稱，“Address”文本框中輸入虛擬服務(wù)器IP地址，并在“ServicePort”文本框中輸入服務(wù)端口號或在下拉框中選擇現(xiàn)有的服務(wù)名稱。對于FTP服務(wù)必須要從下拉框選擇服務(wù)名稱。在Configuration欄的Type類型中，缺省為“Standard”方式，一般不需要更改。如果虛擬服務(wù)器只用于部一個節(jié)點服務(wù)器1:1方式訪問時，可以選用“Forwarding(IP)”方式；如果負(fù)載均衡器僅用于4層交換，可以采用“Performance(Layer4)”方式，以提高四層處理性能；如果虛擬服務(wù)器用于HTTP服務(wù)，可以采用“Performance(HTTP)”方式，以提升HTTP請求處理性能。根據(jù)業(yè)務(wù)需要可以對應(yīng)調(diào)整Protocol、OneConnectProfile（用于實現(xiàn)TCP連接復(fù)用，即多個連接到負(fù)載均衡器時，負(fù)載均衡器只需一個連接到部服務(wù)器，以提升服務(wù)器性能）、HTTPProfile、FTPProfile等。在Resourse屬性中，選擇相應(yīng)的pool和persistence方式。點擊“Finished”完成創(chuàng)建虛擬服務(wù)器。將虛擬服務(wù)器和負(fù)載均衡器相關(guān)聯(lián)和會話保持配置配置步驟：在“LocalTraffic→VirtualServers”中點擊相應(yīng)的Virtualserver，選擇Resources項會話保持配置頁面對DefaultPersistenceProfile進行配置選擇會話保持方法說明：會話保持驗證可使用“tcpdump”工具進行驗證，tcpdump使用參見附錄說明。點擊”Update”完成配置。配置健康檢查節(jié)點狀態(tài)監(jiān)控（Monitor）用于檢驗負(fù)載均衡池中成員節(jié)點的連接和服務(wù)信息，包括健康監(jiān)控和性能監(jiān)控，當(dāng)池中成員節(jié)點性能下降時BIG-IP系統(tǒng)將會把流量重定向到其它節(jié)點。配置節(jié)點狀態(tài)監(jiān)控包括如下兩項工作：自定義節(jié)點狀態(tài)監(jiān)控監(jiān)控與節(jié)點/負(fù)載均衡池相關(guān)聯(lián)其中自定義節(jié)點狀態(tài)監(jiān)控配置步驟是可選的，當(dāng)使用默認(rèn)監(jiān)控模板時，此步驟可以跳過。自定義節(jié)點狀態(tài)監(jiān)控節(jié)點如果使用標(biāo)準(zhǔn)服務(wù)，只需要使用BIG-IP系統(tǒng)提供默認(rèn)監(jiān)控模板即可，不需要進行自定義。當(dāng)監(jiān)控信息需要對服務(wù)的容或服務(wù)協(xié)議信息進行監(jiān)控時，這時需要進行自定義節(jié)點狀態(tài)監(jiān)控。配置步驟：在導(dǎo)航面板中選擇“Monitor”中的“Monitors”標(biāo)簽，點擊“Create”按鈕添加監(jiān)控。創(chuàng)建Monitor－選擇Monitor類型模板在“Type”中選擇采用模板，比如HTTP或HTTPS等，在“Name”文本框輸入監(jiān)控名稱。創(chuàng)建Monitor－自定義Monitor在“Configure”表格中使用默認(rèn)屬性。根據(jù)監(jiān)控模板的不同對屬性進行配置，比如對HTTPECV屬性的“SendString”配置為“GET/user/inde*.htmlHTTP/1.0\r\n\r\n”；將Internal更改為10秒，Timeout更改為31秒(3*Internal+1)。完成監(jiān)控配置后，點擊“Finished”完成配置。說明：當(dāng)默認(rèn)監(jiān)控方法無法實現(xiàn)檢測服務(wù)器運行狀態(tài)時，需要定制的監(jiān)控。例如，默認(rèn)的域名方式使用“GET/”命令無法獲取正確頁面或頁面經(jīng)過多次重定向，這時BIG-IP系統(tǒng)無確檢測服務(wù)器狀態(tài)，我們需要手工更改命令，比如“GET/user/inde*.html”，使HTTP檢查方法可以檢測出服務(wù)器的運行狀態(tài)。同時需要注意GET的語法，在v9和v10中是不一樣的，而且HTTP1.0和HTTP1.1也不一樣。監(jiān)控與節(jié)點/負(fù)載均衡池相關(guān)聯(lián)監(jiān)控必須要跟節(jié)點/負(fù)載均衡池相關(guān)聯(lián)才能生效。監(jiān)控與節(jié)點相關(guān)聯(lián)配置步驟：點擊左側(cè)的導(dǎo)航條，選擇LocalTraffic->VirtualServers->Nodes標(biāo)簽，選中需要監(jiān)控的節(jié)點（Node）調(diào)整HealthMonitors節(jié)點配置項下拉框HealthMonitors缺省為NodeDefault。NodeDefault設(shè)置可以在LocalTraffic->VirtualServers->Nodes->DefaultMonitor標(biāo)簽中調(diào)整；如果需要針對具體節(jié)點調(diào)整監(jiān)控方式，選擇下拉框HealthMonitors為NodeSpecific，將可用的Monitor方式選中點擊“<<”添加到SelectMonitors中；如果不需要監(jiān)控，選擇None即可。配置DefaultMonitor完成配置后，點擊Update按鈕使配置生效。監(jiān)控與負(fù)載均衡池相關(guān)聯(lián)配置步驟：點擊左側(cè)的導(dǎo)航條，選擇LocalTraffic->VirtualServers->Pools標(biāo)簽，選中需要監(jiān)控的負(fù)載均衡池（Pool）將Monitore與負(fù)載均衡池相關(guān)聯(lián)在HealthMonitors中將可用的Monitor方式選中點擊“<<”添加到Active欄中。完成配置后，點擊Update按鈕使配置生效。檢查系統(tǒng)狀態(tài)配置完負(fù)載均衡池、節(jié)點監(jiān)控和虛擬服務(wù)器后，我們可以通過“Localtraffic->VirtualServers”頁面查看Virtualserver的狀態(tài)；“Localtraffic->Pool”頁面查看Pool的狀態(tài)。當(dāng)圖標(biāo)為綠色時表示節(jié)點或虛擬服務(wù)器可用，當(dāng)圖標(biāo)為紅色則意味著節(jié)點或虛擬服務(wù)器狀態(tài)為離線，如果圖標(biāo)為黃色說明節(jié)點或虛擬服務(wù)器不可用。如果圖標(biāo)為藍色說明節(jié)點或虛擬服務(wù)器狀態(tài)未知，通常此時沒有啟用Monitor。如果圖標(biāo)為黑色說明虛擬服務(wù)器被禁用。配置SNAT跟路由器、防火墻一樣，BIG-IP系統(tǒng)提供NAT(NetworkAddressTranslation)和SNAT(SecureNetworkAddressTranslation)地址轉(zhuǎn)換機制，SNAT地址轉(zhuǎn)換跟CiscoPAT方式類似。如果不啟用NAT/SNAT，負(fù)載均衡池部節(jié)點將無法訪問外部網(wǎng)絡(luò)，即外部IP可以通過虛擬服務(wù)器IP訪問負(fù)載均衡池節(jié)點，但負(fù)載均衡池部節(jié)點不能發(fā)起對外連接。NAT和SNAT都可以通過地址轉(zhuǎn)換訪問外部網(wǎng)絡(luò)，不過SNAT不接受外部發(fā)起的連接。一個SNAT地址可以對應(yīng)一個節(jié)點地址、多個節(jié)點地址或一個VLAN網(wǎng)段。NAT地址與節(jié)點地址是一對一的關(guān)系。本文僅給出業(yè)務(wù)與軟件常用的SNAT配置步驟。說明：SNAT地址可以不是唯一的，比如，SNAT地址可以使用虛擬服務(wù)器的IP地址。配置步驟在導(dǎo)航面板中選擇LocalTraffic->SNATs標(biāo)簽，點擊“Create”按鈕添加SNAT地址。SNAT配置在“Name”文本框中輸入名稱在“Translation”文本框中輸入SNATIP地址，并在“OriginList”的“OriginAddress”文本框中輸入節(jié)點IP地址或在“VLANTraffic”的下拉框中選擇“Enableon”或“Disableon”在VLANList中選擇相應(yīng)的Vlan，點擊“<<”加入“Selected”列表。按“Finished”完成添加SNATIP地址。通常我們希望部節(jié)點可以Ping到外部網(wǎng)絡(luò)，這時我們需要在System>GernalProperties>LocalTraffic>Gernal”中啟用“SnatPacketforwarding“。說明：如果需要添加外部單獨訪問部特定節(jié)點IP。由于NAT和SNAT不能共存，可以針對特定節(jié)點創(chuàng)建單個節(jié)點組成的負(fù)載均衡池Pool，服務(wù)為“0”，然后創(chuàng)建虛擬服務(wù)器VIP，服務(wù)也為“0”，將VIP和Pool關(guān)聯(lián)起來，這時候這個VIP就是那臺要訪問的服務(wù)器。同時需要注意的是，在v10中，snat的timeout時間缺省是無限長的，需要手工到snat地址中對其做修改，否則有可能引起業(yè)務(wù)的問題。驗證SNAT配置在檢查SNAT配置正確性之前，必須確保BIG-IP系統(tǒng)網(wǎng)關(guān)已經(jīng)配置完畢。請在CLI界面用“netstat–nr”命令確定網(wǎng)關(guān)信息已經(jīng)配置完畢：f5test1:~*netstat-nrRoutingtablesInternet:DestinationGatewayFlagsMTUIfdefault54UGS3400vlan3554UGHc3400vlan92/26link*7UC3400vlan1.78UHLc3400vlan1d.f2UHLc3400vlan1127UGRS4352lo0UH4352lo0192.168.1link*6UC3400vlan0192.168.129link*8UC3400vlan22link*8UHLc3400vlan23link*8UHLc3400vlan260.e5.27UHLc3400lo0f5test1:~*在BIG-IP系統(tǒng)CLI界面中用TCPDUMP驗證SNAT配置。舉例，在部節(jié)點（IP:2）中Ping外部IP地址(2)，BIG-IP的InternalVLANIP為6（對應(yīng)SNAT地址為13），測試顯示如下：f5test1:~*tcpdump-ie*ternalhost13andicmptcpdump:listeningone*ternal11:04:55.08557613>2:icmp:echorequest11:04:55.0878032>13:icmp:echoreply11:04:55.09955013>2:icmp:echorequest11:04:55.1027972>13:icmp:echoreplyf5test1:~*tcpdump-iinternalhost2andicmptcpdump:listeningoninternal11:06:02.8595182>2:icmp:echorequest11:06:02.8617882>2:icmp:echoreply11:06:02.8650222>2:icmp:echorequest11:06:02.8667682>2:icmp:echoreply雙機配置BIG-IP系統(tǒng)一般都會配置雙機，在配置BIG-IP系統(tǒng)雙機（Failover）之前請確認(rèn)兩臺BIG-IP系統(tǒng)兩者的硬件型號和軟件版本必須一致，在CLI使用“bversion”查看或者在Web頁面的導(dǎo)航面板中選擇“System”中的“Configuration”標(biāo)簽，可以查看版本信息。無論主用系統(tǒng)還是備機都要進行基本配置。本處僅給出配置雙機的注意事項和基本配