F5负载均衡方案手册.doc

目前，许多厂商推出了专用于平衡服务器负载的负载均衡器，如f5 network公司的big-ip，citrix公司的netscaler。f5 big-ip ltm 的官方名称叫做本地流量管理器，可以做4-7层负载均衡，具有负载均衡、应用交换、会话交换、状态监控、智能网络地址转换、通用持续性、响应错误处理、ipv6网关、高级路由、智能端口镜像、ssl加速、智能http压缩、tcp优化、第7层速率整形、内容缓冲、内容转换、连接加速、高速缓存、cookie加密、选择性内容加密、应用攻击过滤、拒绝服务(dos)攻击和syn flood保护、防火墙包过滤、包消毒等功能。以下是f5 big-ip用作http负载均衡器的主要功能：、f5 big-ip提供12种灵活的算法将所有流量均衡的分配到各个服务器，而面对用户，只是一台虚拟服务器。、f5 big-ip可以确认应用程序能否对请求返回对应的数据。假如f5 big-ip后面的某一台服务器发生服务停止、死机等故障，f5会检查出来并将该服务器标识为宕机，从而不将用户的访问请求传送到该台发生故障的服务器上。这样，只要其它的服务器正常，用户的访问就不会受到影响。宕机一旦修复，f5 big-ip就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。、f5 big-ip具有动态session的会话保持功能。、f5 big-ip的irules功能可以做http内容过滤，根据不同的域名、url，将访问请求传送到不同的服务器。下面，结合实例，配置f5 big-ip ltm v9.x： 、如图，假设域名被解析到f5的外网/公网虚拟ip：（vs_squid），该虚拟ip下有一个服务器池（pool_squid），该服务器池下包含两台真实的squid服务器（1和2）。、如果squid缓存未命中，则会请求f5的内网虚拟ip：（vs_apache），该虚拟ip下有一个默认服务器池（pool_apache_default），该服务器池下包含两台真实的apache服务器（1和2），当该虚拟ip匹配irules规则时，则会访问另外一个服务器池（pool_apache_irules），该服务器池下同样包含两台真实的apache服务器（3和4）。、另外，所有真实服务器的默认网关指向f5的自身内网ip，即。、所有的真实服务器通过snat ip地址访问互联网。详细配置步骤：一、登录到f5 big-ip管理界面：1、初次使用：、打开f5 big-ip电源，用一根网线（直连线和交叉线均可）连接f5 big-ip的3.1管理网口和笔记本电脑的网口，将笔记本电脑的ip地址配置为“192.168.1.*”，子网掩码配置为“”。、用浏览器访问f5 big-ip的出厂默认管理ip地址45或45、输入出厂默认用户名：admin，密码：admin、点击activate进入f5 big-ip license申请与激活页面，激活license。、修改默认管理密码。2、以后登录：通过f5 big-ip的自身外网ip登录。、假设设置的f5自身外网ip为，就可以通过/登录。、还可以通过ssh登录，用户名为root，密码跟web管理的密码相同。二、创建两个vlan：internal和external，分别表示内网和外网。创建vlan演示页面：/book/f5/vlan_create.htmvlan列表演示页面：/book/f5/vlan_list.htm1、创建vlan：internal（内网）在“networkvlans”页面点击“create”按钮：、name栏填写：internal（填一个英文名称）、tag栏填写：4093（填一个数字）、interfaces栏：将available列的“1.1”拉到untagged列。1.1表示f5 big-ip的第一块网卡。2、创建vlan：external（外网）在“networkvlans”页面点击“create”按钮创建vlan：、name栏填写：internal（填一个英文名称）、tag栏填写：4094（填一个数字）、interfaces栏：将available列的“1.2”拉到untagged列。1.2表示f5 big-ip的第二块网卡。三、创建f5 big-ip的自身ip：分别对应internal（内网）和external（外网）。创建自身ip演示页面：/book/f5/selfip_create.htm1、创建自身内网ip：在“networkself ips”页面点击“create”按钮：、ip address栏填写：（填内网ip地址）、netmask栏填写：（填内网子网掩码）、vlan栏选择：internal、port lockdown栏选择：allow default（默认值）2、创建自身外网ip：在“networkself ips”页面点击“create”按钮：、ip address栏填写：（填外网ip地址）、netmask栏填写：（填外网子网掩码）、vlan栏选择：external、port lockdown栏选择：allow default（默认值）四、创建默认网关路由创建默认网关路由演示页面：/book/f5/routes_create.htm1、创建默认网关路由在“networkroutes”页面点击“create”按钮：、type栏选择：default gateway（默认值）、resource栏选择：use gateeay.，在其后的输入框填写网关ip地址：（这里假设此ip为外网网关地址）五、创建服务器自定义健康检查创建服务器自定义健康检查演示页面：/book/f5/monitors_create.htm1、创建自定义http健康检查：monitor_http在“local trafficmonitors”页面点击“create”按钮：、name栏填写：monitor_http（填一个英文名称）、type栏选择：http、import settings栏选择：http、interval栏填写：5（表示每5秒钟进行一次健康检查）、timeout栏填写：16（表示健康检查的连接超时时间为16秒）、send string栏填写：get /（也可以根据自己的需求发送其他方法的请求，例如head /或者get /index.htm）、receive string栏填写：（填写对应的返回字符串，默认不填写）六、创建服务器池（pool）创建服务器池演示页面：/book/f5/pools_create.htm1、创建squid服务器池：pool_squid在“local trafficpools”页面点击“create”按钮：、name栏填写：pool_squid（填一个英文名称）、health monitors栏：将第四步创建的自定义http健康检查“monitor_http”由available列拉到active列、load balancing method栏选择：round robin（这里选择的负载均衡方式是轮询，也可以选择其他方式）、new members栏：先选择new address，再添加两台squid服务器的ip地址1、2以及它们的端口802、创建第一组apache服务器池：pool_apache_default在“local trafficpools”页面点击“create”按钮：、name栏填写：pool_apache_default（填一个英文名称）、health monitors栏：将第四步创建的自定义http健康检查“monitor_http”由available列拉到active列、load balancing method栏选择：round robin（这里选择的负载均衡方式是轮询，也可以选择其他方式）、new members栏：先选择new address，再添加第一组两台apache服务器的ip地址1、2以及它们的端口803、创建第二组apache服务器池：pool_apache_irules在“local trafficpools”页面点击“create”按钮：、name栏填写：pool_apache_irules（填一个英文名称）、health monitors栏：将第四步创建的自定义http健康检查“monitor_http”由available列拉到active列、load balancing method栏选择：round robin（这里选择的负载均衡方式是轮询，也可以选择其他方式）、new members栏：先选择new address，再添加第二组两台apache服务器的ip地址3、4以及它们的端口80七、创建供七层负载均衡使用的profiles配置创建profiles演示页面：/book/f5/profiles_create.htm1、创建profiles配置：profile_http在“local trafficprofiles”页面点击“create”按钮：、name栏填写：profile_http（填一个英文名称）、parent profile栏选择：http、insert xforwarded for栏：如果需要，可以选中方框，选择enable（在header头中插入x-forwarded-for标记，以便做七层负载均衡时能够获取用户真实ip，本文中squid服务器开启了follow_x_forwarded_for allow all，因此f5无需设置此项）注：在此设置页面中，还有压缩等优化功能，可以根据需要进行设置。八、创建irules规则创建irules规则演示页面：/book/f5/irules_create.htm1、创建irules规则：irules_apache在“local trafficprofiles”页面点击“create”按钮：、name栏填写：irules_apache（填一个英文名称）、definition栏填写以下脚本，将访问的域名为“”，访问的网址以“.htm”结尾，或者以“/read.php”开头的请求全部转到服务器池“pool_apache_irules”： view plaincopy to clipboardprint?1. when http_request 2. if http:host equals and http:uri ends_with .htm 3. pool pool_apache_irules 4. 5. elseif http:host equals and http:uri starts_with /read.php 6. pool pool_apache_irules 7. 8. when http_request if http:host equals and http:uri ends_with .htm pool pool_apache_irules elseif http:host equals and http:uri starts_with /read.php pool pool_apache_irules 九、创建虚拟服务器（virtual servers）创建虚拟服务器演示页面：/book/f5/vs_create.htm1、以“四层”负载均衡模式创建squid虚拟服务器：vs_squid在“local trafficvirtual servers”页面点击“create”按钮：、general properties大类下：、name栏填写：vs_squid（填一个英文名称）、destination栏：选择host，填写squid服务器的外网虚拟ip（virtual ip，简称vip）：、service port栏填写：80、configuration大类下：、configuration栏选择: advanced（选择高级模式，这一步很重要）、type栏选择：performance (layer 4)、snat pool栏选择：none（注意：这一步很重要，四层模式下，请确保此项选择为none）、resources大类下：、default pool栏选择：pool_squid注意：f5的四层负载均衡由硬件芯片处理，不消耗cpu资源，能够处理更大的访问量。在四层负载均衡模式下，真实服务器的默认网关必须指向f5的自身内网ip，即2、以“七层”负载均衡模式创建apache虚拟服务器：vs_apache在“local trafficvirtual servers”页面点击“create”按钮：、general properties大类下：、name栏填写：vs_apache（填一个英文名称）、destination栏：选择host，填写apache服务器的内网虚拟ip（virtual ip，简称vip）：、service port栏填写：80、configuration大类下：configuration栏选择: advanced（选择高级模式，这一步很重要）、type栏选择：standard（标准模式，即七层负载均衡模式）、http profile栏选择：profile_http（注意：此项为none时，不能使用irules规则，因此必须选一个。在此选择第六步创建的profile_http）、snat pool栏选择：auto map（注意：在本文的架构中必须选择，原因如下）说明：当其中的一台squid服务器“1”缓存未命中时，会去访问虚拟ip“”。如果snat pool选择默认值none，虚拟ip“”后端的apache服务器，看到的将是squid服务器的真实ip“1”。由于squid和apache服务器的ip地址属于在同一网段，apache服务器将无需经过f5网关“”，直接通过交换机回包给squid服务器“1”，这样虚拟ip“”就会收不到回包信息，http请求无法完成。因此，需要选择auto map，进行地址转换，让后端apache服务器看到的是f5的自身内网ip，回包给f5。、resources大类下：、irules栏：将available列的“irules_apache”拉到enabled列。、default pool栏选择：pool_apache_default、apache虚拟服务器vs_apache创建完成后，如需进行修改，在以下两个配置页完成：修改虚拟服务器演示页面1：/book/f5/vs_properties.htm修改虚拟服务器演示页面2：/book/f5/vs_resources.htm十、创建snat安全网络地址转换，让真实服务器能够访问互联网、对外发邮件创建snat演示页面：/book/f5/snat_create.htm1、创建snat：snat_all_server在“local trafficsnats”页面点击“create”按钮：、name栏填写：snat_all_server（填一个英文名称）、translation栏选择：ip address，并填写snat ip地址：（此项也可以选择automap，使用f5的自身外网ip作为snat ip）、origin栏选择：address list、address list栏：type栏选择host，填写要访问互联网、对外发邮件的内网ip地址。或者type栏选择network，填写要访问互联网、对外发邮件的网段和子网掩码。、vlan traffic栏选择：enabled on.、vlan list栏：将available列的“internal”拉到selected列。注意：真实服务器的默认网关需要指向f5的自身内网ip，即，才能通过snat访问互联网、对外发邮件。f5 bigip 服务器负载均衡介绍简介：1 服务器负载均衡市场需求 随着internet的普及以及电子商务、电子政务的发展，越来越多的应用系统需要面对更高的访问量和数据量。同时，企业对在线系统的依赖也越来越高，大量的关键应用需要系统有足够的在线率及高 .关键字：f5 bigip 服务器负载均衡1 服务器负载均衡市场需求随着internet的普及以及电子商务、电子政务的发展，越来越多的应用系统需要面对更高的访问量和数据量。同时，企业对在线系统的依赖也越来越高，大量的关键应用需要系统有足够的在线率及高效率。这些要求使得单一的网络服务设备已经不能满足这些需要，由此需要引入服务器的负载均衡，实现客户端同时访问多台同时工作的服务器，一则避免服务器的单点故障，再则提高在线系统的服务处理能力。从业界环境来说，如下的应用需求更是负载均衡发展的推动力： 业务系统从client-server转向采用browser-server 系统结构，关键系统需要高可用性 电子商务系统的高可用性和高可靠性需要 it应用系统大集中的需要 （税务大集中,证券大集中,银行大集中） 数据中心降低成本,提高效率 负载均衡技术在现有网络结构之上提供了一种廉价、有效、透明的方法，来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。它有两方面的含义：首先，大量的并发访问或数据流量分担到多台节点设备上分别处理，减少用户等待响应的时间；其次，单个重负载的运算分担到多台节点设备上做并行处理，每个节点设备处理结束后，将结果汇总，返回给用户，系统处理能力得到大幅度提高。big/ip利用定义在其上面的虚拟ip地址来为用户的一个或多个应用服务器提供服务。因此，它能够为大量的基于tcp/ip的网络应用提供服务器负载均衡服务。big/ip连续地对目标服务器进行l4到l7合理性检查，当用户通过vip请求目标服务器服务时，big/ip根椐目标服务器之间性能和网络健康情况，选择性能最佳的服务器响应用户的请求。下图描述了一个负载均衡发生的流程：1. 客户发出服务请求到vip2. bigip接收到请求，将数据包中目的ip地址改为选中的后台服务器ip地址，然后将数据包发出到后台选定的服务器3. 后台服务器收到后，将应答包按照其路由发回到bigip4. bigip收到应答包后将其中的源地址改回成vip的地址，发回客户端，由此就完成了一个标准的服务器负载均衡的流程。2.负载均衡典型流程 通过vip来截获合适的需要负载均衡的流量 服务器监控和健康检查,随时了解服务器群的可用性状态 负载均衡和应用交换功能,通过各种策略导向到合适的服务器 2.1 通过vip来截获合适的需要负载均衡的流量 在bigip上通过设置vip来截获需要进行负载均衡的流量，这个vip地址可以是一个独立的主机地址和端口的组合（例如：15:80）也可以是一个网络地址和端口的组合（例如：:80），当流量经过bigip的时候，凡是命中vip的流量都将被截获并按照规则进行负载均衡。2.2 服务器的健康监控和检查 服务器 (node) - ping (icmp) bigip可以定期的通过icmp包对后台服务器的ip地址进行检测，如果在设定的时间内能收到该地址的icmp的回应，则认为该服务器能提供服务 服务 (port) connect bigip可以定期的通过tcp包对后台服务器的服务端口进行检测，如果在设定的时间内能收到该服务器端口的回应，则认为该服务器能提供服务 扩展内容查证(ecv: extended content verification)ecv ecv是一种非常复杂的服务检查，主要用于确认应用程序能否对请求返回对应的数据。如果一个应用对该服务检查作出响应并返回对应的数据，则big/ip控制器将该服务器标识为工作良好。如果服务器不能返回相应的数据，则将该服务器标识为宕机。宕机一旦修复，big/ip就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。该功能使big/ip可以将保护延伸到后端应用如web内容及数据库。big/ip的ecv功能允许您向web服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询，然后检查返回的响应。这将有助于确认您为客户提供的内容正是其所需要的。 扩展应用查证(eav: extended application verification) eav是另一种服务检查，用于确认运行在某个服务器上的应用能否对客户请求作出响应。为完成这种检查，big/ip控制器使用一个被称作外部服务检查者的客户程序，该程序为big/ip提供完全客户化的服务检查功能，但它位于big/ip控制器的外部。例如，该外部服务检查者可以查证一个internet或intranet上的从后台数据库中取出数据并在html网页上显示的应用能否正常工作。eav是big/ip提供的非常独特的功能，它提供管理者将big/ip客户化后访问各种各样应用的能力，该功能使big/ip在提供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要的反馈。 该功能对于电子商务和其它应用至关重要，它用于从客户的角度测试您的站点。例如，您可以模拟客户完成交易所需的所有步骤连接到站点、从目录中选择项目以及验证交易使用的信用卡。一旦big/ip掌握了该“可用性”信息，即可利用负载均衡使资源达到最高的可用性。big/ip已经为测试internet服务的健康情况和状态，预定义的扩展应用验证(eav)，它有二种用户界面：浏览器和cli配置。big/ip预定义的应用检查：ftp、nntp、smtp、pop3和mssql。2.3 负载均衡和应用交换功能,通过各种策略导向到合适的服务器bigip是一台对流量和内容进行管理分配的设备。它提供12种灵活的算法将数据流有效地转发到它所连接的服务器群。而面对用户，只是一台虚拟服务器。用户此时只须记住一台服务器，即虚拟服务器。但他们的数据流却被bigip灵活地均衡到所有的服务器。这12种算法包括：l轮询（round robin）：顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7层的故障，big/ip就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。l比率（ratio）：给每个服务器分配一个加权值为比例，根椐这个比例，把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障，big/ip就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。l优先权（priority）：给所有服务器分组，给每个组定义优先权，big/ip用户的请求，分配给优先级最高的服务器组（在同一组内，采用轮询或比率算法，分配用户的请求）；当最高优先级中所有服务器出现故障，big/ip才将请求送给次优先级的服务器组。这种方式，实际为用户提供一种热备份的方式。l最少的连接方式（least connection）：传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7层的故障，big/ip就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。l最快模式（fastest）：传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7层的故障，big/ip就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。l观察模式（observed）：连接数目和响应时间以这两项的最佳均衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7层的故障，big/ip就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。l预测模式（predictive）：big/ip利用收集到的服务器当前的性能指标，进行预测分析，选择一台服务器在下一个时间片内，其性能将达到最佳的服务器相应用户的请求。(被bigip进行检测)l动态性能分配（dynamic ratio-apm):big/ip收集到的应用程序和应用服务器的各项性能参数，动态调整流量分配。l动态服务器补充（dynamic server act.):当主服务器群中因故障导致数量减少时，动态地将备份服务器补充至主服务器群。l服务质量(qos)：按不同的优先级对数据流进行分配。l服务类型(tos)：按不同的服务类型（在type of field中标识）对数据流进行分配。l规则模式：针对不同的数据流设置导向规则，用户可自行编辑流量分配规则，big/ip利用这些规则对通过的数据流实施导向控制。f5负载均衡会话保持技术及原理技术白皮书 (2006-12-20 12:51:27)分类：基础知识1什么是会话保持？在大多数电子商务的应用系统或者需要进行用户身份认证的在线系统中，一个客户与服务器经常经过好几次的交互过程才能完成一笔交易或者是一个请求的完成。由于这几次交互过程是密切相关的，服务器在进行这些交互过程的某一个交互步骤时，往往需要了解上一次交互过程的处理结果，或者上几步的交互过程结果，服务器进行下一步操作时需要这就要求所有这些相关的交互过程都由一台服务器完成，而不能被负载均衡器分散到不同的服务器上。而这一系列的相关的交互过程可能是由客户到服务器的一个连接的多次会话完成，也可能是在客户与服务器之间的多个不同连接里的多次会话完成。不同连接的多次会话，最典型的例子就是基于http的访问，一个客户完成一笔交易可能需多次点击，而一个新的点击产生的请求，可能会重用上一次点击建立起来的连接，也可能是一个新建的连接。会话保持就是指在负载均衡器上有这么一种机制，可以识别做客户与服务器之间交互过程的关连性，在作负载均衡的同时，还保证一系列相关连的访问请求会保持分配到一台服务器上。2 f5支持什么样的会话保持方法？f5 bigip支持多种的会话保持方法，其中包括：简单会话保持（源地址会话保持）、http header的会话保持，基于ssl session id的会话保持，i-rules会话保持以及基于 http cookie的会话保持，此外还有基于sip id以及cache设备的会话保持等，但常用的是简单会话保持，http header的会话保持以及 http cookie会话保持以及基于i-rules的会话保持。2.1 简单会话保持简单会话保持也被称为基于源地址的会话保持，是指负载均衡器在作负载均衡时是根据访问请求的源地址作为判断关连会话的依据。对来自同一ip地址的所有访问请求在作负载均时都会被保持到一台服务器上去。在bigip设备上可以为“同一ip地址”通过网络掩码进行区分，比如可以通过对ip地址进行的网络掩码，这样只要是来自于/24这个网段的流量bigip都可以认为他们是来自于同一个用户，这样就将把来自于/24网段的流量会话保持到特定的一台服务器上。 简单会话保持里另外一个很重要的参数就是连接超时值，bigip会为每一个进行会话保持的会话设定一个时间值，当一个会话上一次完成到这个会话下次再来之前的间隔如果小于这个超时值，bigip将会将新的连接进行会话保持，但如果这个间隔大于该超时值，bigip将会将新来的连接认为是新的会话然后进行负载平衡。基于原地址的会话保持实现起来简单，只需要根据数据包三、四层的信息就可以实现，效率也比较高。存在的问题就在于当多个客户是通过代理或地址转换的方式来访问服务器时，由于都分配到同一台服务器上，会导致服务器之间的负载严重失衡。另外一种情况上客户机数量很少，但每个客户机都会产生多个并发访问，对这些必发访问也要求通过负均均衡器分配到多个服器上，这时基于客户端源地址的会话保持方法也会导致负载均衡失效。2.2 基于cookie的会话保持2.2.1 cookie插入模式：在cookie插入模式下，bigip将负责插入cookie，后端服务器无需作出任何修改.当客户进行第一次请求时，客户http请求（不带cookie）进入bigip， bigip根据负载平衡算法策略选择后端一台服务器，并将请求发送至该服务器，后端服务器进行http回复（不带cookie）被发回bigip，然后bigip插入cookie，将http回复返回到客户端。当客户请求再次发生时，客户http请求（带有上次bigip插入的cookie）进入bigip，然后bigip读出cookie里的会话保持数值，将http请求（带有与上面同样的cookie）发到指定的服务器，然后后端服务器进行请求回复，由于服务器并不写入cookie，http回复将不带有cookie，恢复流量再次经过进入bigip时，bigip再次写入更新后的会话保持cookie。2.2.2 cookie 重写模式当客户进行第一次请求时，客户http请求（不带cookie）进入bigip， bigip根据负载平衡算法策略选择后端一台服务器，并将请求发送至该服务器，后端服务器进行http回复一个空白的cookie并发回bigip，然后bigip重新在cookie里写入会话保持数值，将http回复返回到客户端。当客户请求再次发生时，客户http请求（带有上次bigip重写的cookie）进入bigip，然后bigip读出cookie里的会话保持数值，将http请求（带有与上面同样的cookie）发到指定的服务器，然后后端服务器进行请求回复，http回复里又将带有空的cookie，恢复流量再次经过进入bigip时，bigip再次写入更新后会话保持数值到该cookie。2.2.3 passive cookie 模式，服务器使用特定信息来设置cookie。当客户进行第一次请求时，客户http请求（不带cookie）进入bigip， bigip根据负载平衡算法策略选择后端一台服务器，并将请求发送至该服务器，后端服务器进行http回复一个cookie并发回bigip，然后bigip将带有服务器写的cookie值的http回复返回到客户端。当客户请求再次发生时，客户http请求（带有上次服务器写的cookie）进入bigip，然后bigip根据cookie里的会话保持数值，将http请求（带有与上面同样的cookie）发到指定的服务器，然后后端服务器进行请求回复，http回复里又将带有更新的会话保持cookie，恢复流量再次经过进入bigip时，bigip将带有该cookie的请求回复给客户端。2.2.4 cookie hash模式：当客户进行第一次请求时，客户http请求（不带cookie）进入bigip， bigip根据负载平衡算法策略选择后端一台服务器，并将请求发送至该服务器，后端服务器进行http回复一个cookie并发回bigip，然后bigip将带有服务器写的cookie值的http回复返回到客户端。当客户请求再次发生时，客户http请求（带有上次服务器写的cookie）进入bigip，然后bigip根据cookie里的一定的某个字节的字节数来决定后台服务器接受请求，将http请求（带有与上面同样的cookie）发到指定的服务器，然后后端服务器进行请求回复，http回复里又将带有更新后的cookie，恢复流量再次经过进入bigip时，bigip将带有该cookie的请求回复给客户端。 2.3 ssl session id会话保持在用户的ssl访问系统的环境里，当ssl对话首次建立时，用户与服务器进行首次信息交换以：1交换安全证书，2）商议加密和压缩方法，3）为每条对话建立session id。由于该session id在系统中是一个唯一数值，由此，bigip可以应用该数值来进行会话保持。当用户想与该服务器再次建立连接时，bigip可以通过会话中的 ssl session id识别该用户并进行会话保持。基于ssl session id的会话保持就需要客户浏览器在进行会话的过程中始终保持其sslsession id不变，但实际上，微软internet explorer被发现在经过特定一段时间后将主动改变ssl session id，这就使基于ssl session id的会话保持实际应用范围大大缩小。f5负载均衡器简明配置手册 2008-05-15 13:05:08 来源：互联网负载均衡器通常称为四层交换机或七层交换机。四层交换机主要分析ip层及tcp/udp层，实现四层流量负载均衡。七层交换机除了支持四层负载均衡以外，还有分析应用层的信息，如http协议uri或cookie信息。一、f5 . 负载均衡器通常称为四层交换机或七层交换机。四层交换机主要分析ip层及tcp/udp层，实现四层流量负载均衡。七层交换机除了支持四层负载均衡以外，还有分析应用层的信息，如http协议uri或cookie信息。一、f5配置步骤：1、f5组网规划(1)组网拓朴图（具体到网络设备物理端口的分配和连接，服务器网卡的分配与连接）(2)ip地址的分配（具体到网络设备和服务器网卡的ip地址的分配）(3)f5上业务的vip、成员池、节点、负载均衡算法、策略保持方法的确定2、f5配置前的准备工作(1)版本检查f5-portal-1:# b version kernel:big-ip kernel 4.5ptf-07 build18 (2)时间检查如不正确，请到单用户模式下进行修改f5-portal-1:# datethu may 20 15:05:10 cst 2004 (3)申请license现场用的f5都需要自己到f5网站上申请license3、f5的通用配置(1)在安全要求允许的情况下，在setup菜单中可以打开telnet及ftp功能，便于以后方便维护(2)配置vlan unique_mac选项，此选项是保证f5上不同的vlan 的mac地址不一样。在缺省情况下，f5的各个vlan的mac地址是一样的，建议在配置时，把此项统一选择上。可用命令ifconfig a来较验 具体是system/advanced properties/vlan unique_mac(3)配置snat any_ip选项选项，此选项为了保证内网的机器做了snat后，可以对ping的数据流作转换。ping是第三层的数据包，缺省情况下f5是不对ping的数据包作转换，也就是internal vlan的主机无法ping external vlan的机器。（注意：还可以采用telnet来验证。） 具体是system/advanced properties/snat any_ip4、f5 的初始化配置建议在对f5进行初始时都用命令行方式来进行初始化（用web页面初始化的方式有时会有问题）。登录到命令行上，运行config或setup命令可以进行初始化配置。初次运行时会提示一些license的信息。default:# config 5、f5双机切换监控配置（有f5双机时需要）(1)在web页面中选择相应的vlan，在arm failsafe选择则可。timeout为从f5收不到包的时间起，经过多长时间就发生切换。此配置不能同步，需要在f5的主备机上同时配置。每个vlan都可以配置vlan arm failsafe。具体在network下(2)在web页面中选择system，在redundant properties中把gateway failsafe选择则可。router是需要监控的地址。此配置不能同步，需要在f5的主备机上同时配置。一套f5上只能配置一个gateway failsafe具体在system/redundant properties/gateway failsafe6、f5macmasquerade配置mac masquerading是f5的shared ip address (floating)的mac地址，f5如果不配置此项，则shared ip address的mac地址与每台f5的vlan self ip address的mac地址是一样的。一般服务器是以shared ip address为网关，在两台f5上都配置了mac masquerade（相同的mac地址），这样当f5发生切换后，服务器上shared ip address的mac不变，保证了业务的不中断具体在network下7、f5的pool配置(1)在配置工具web页面的导航面板中选择“pools”中的“pools”标签，点击“add”按钮添加服务器池(pool)。(2)在池属性（pool properties）中的“load balancing method”表格中选择负载均衡策略，通常采用默认策略：“round robin” (3)在“resouces”表格中的“member address”文本框输入成员ip地址，在“service”文本框中输入服务端口，点击“”添加到“current members”当前成员列表中。(4)添加所有组成员，点击“done”完成配置。 (5)在“pools”中的“pool name”列选中特定池，然后池属性页面中选择“persistence”标签。 (6)在“persistence type”表格中选定会话保持类型。点击“apply”应用配置。 8、f5的virtual server配置(1)在配置工具web页面的导航面板中选择“virtual servers”中的“virtual servers”标签，点击“add”按钮添加虚拟服务器。 (2)在“add virtual server”窗口的“address”文本框中输入虚拟服务器ip地址，并在“service”文本框中输入服务端口号或在下拉框中选择现有的服务名称，点击“next”执行下一步。 (3)在“add virtual server”窗口的“configure basic properties”页面中点击“next”执行下一步。 在“add virtual server”窗口的“select physical resources”页面中点击单选按钮“pool”，并在下拉框中选择虚拟服务器对应的负载均衡池。 (4)按“done”完成创建虚拟服务器。 9、f5的monitor的配置(1)在配置工具web页面的导航面板中选择“monitor”中的“monitors”标签，点击“add”按钮添加监控(2)根据需要选择相关关联类型：“node associations”标签、node addr