[IT计算机]F5 BIGIP安装配置维护手册.doc

f5 big-ip 安装及维护手册f5 big-ip安装、配置及维护手册北京协力友信科技发展有限公司2005年11月目录f5 设备初始化安装3功能配置及维护26基于web配置big-ip的准备26基于web配置big-ip26服务器群组规定和vip29pool（服务器池） 配置29会话连续性保持设定31virtual server（vip） 配置33服务器健康状况监控46健康检查管理界面46定义特别的健康检查47绑定对服务器的检查方法51其它系统设置54路由转发功能54附加冗余设定55查看实时系统内存状态56日志文件57pool（服务器池）及其节点的实时状态59设备管理61多级管理员权限控制61系统配置备份和恢复62实时查看数据包分发状态63注意事项64管理员账号密码64cbd机房f5 big-ip配置内容65f5 设备初始化安装f5所有的产品在初始化配置时是一样的，只是根据具体配置信息做相应更改即可。准备工作：使用超级终端建立一个连接，通过console电缆一端连接big-ip，一端连接com，com的参数设置如图：针对本项目中的big-ip 2400，具体配置信息如下：1、 建立连接后，输入“root”帐号和默认密码“default”（该密码可以通过标准的unix命令进行更改）后，即可登录bip-ip系统：2、 缺省的终端类型为vt100，回车后在提示符下面输入config命令（config命令是对f5进行初始化配置时使用的命令），如图：3、 命令执行后，出现配置主菜单，其中有3部分选项：(a)(r)/requested/optional，当我们第一次配置时可以使用选项a，以后修改配置时可以使用requested配置，定义其他选项时，可以使用optional选项，冗余系统可以使用选项（r），更改root密码可以使用选项（p），更改web管理员的密码（w）等。在这里，我们选择选项a。4、 经过确认后，系统将提示您是否同意对系统配置作修改，并且您原来的系统设置会被存在/usr/local/ucs/setup_backup.ucs文件当中做备份，在这里我们选择“是”继续。5、 经过确认页面后，进入键盘布局选择, 通常情况下（缺省）选择：us-standard 101 key：6、 接下来，系统要求用户键入root用户的口令，并确认一次：7、 要求用户输入big-ip完全域名（fqdn），我们输入bip2400_。这个域名没有实际意义，只要是按照标准的域名格式填写即可。如图：8、 下面开始进入网络设置，首先是冗余的选择。由于这次我们实施的是两台设备冗余的方案，因此我们选择“是”：9、 接着是冗余配置的基本信息，包括：unit number（用来区分互为冗余的两台设备，不存在主备之分）、failover ip（形成冗余的另一台设备的ip地址，通常建议采用单独vlan）、冗余监测方法（hardwired表示用专用心跳线，network表示用网线）。在这里，unit number输入2，failover ip输入（另一台big-ip的vlan fail_over的ip地址），冗余监测方法选择hardwired：10、 接着是端口速率传输设定，1.11.16为10/100base-tx端口，通常情况下将其设置为auto即可；1.12.2为1000base-sx端口，通常情况下将其设置为auto即可；3.1为管理用端口，设为auto即可。如图所示，并按c键继续：11、 下面进入vlan ip的设置，在vlan ip的设置界面中，按a可以增加新的vlan，按d可以删除现有vlan。我们将多余vlan删除，并创建新的vlan，如下图所示：选中vlan external，回车后，选择“禁止端口锁死”（ port lockdown功能定义管理员是否可以通过这个vlan进入big-ip系统进行管理。如果为on则为不能进入，如果为off则为可以进入）：并进行如下ip设置：设置完成后返回vlan ip设置主菜单：选中vlan internal回车后，同样选择“禁止端口锁死”：并进行如下ip设置：vlan ip最终设置如下图所示：12、 然后是vlan端口的设定，vlan端口的设置界面如下图所示：选中external回车后，将1.11.8/2.1/2.2各端口前面选上x，划入该vlan：按c键返回：按c键返回，然后选中internal回车后，将1.15/1.16端口划入该vlan：最终vlan端口设置如下：13、 下面选择host文件里对应刚才输入的fqdn（bip2400_）的vlan ip，我们选择external：14、 下面是定义默认网关，我们输入54：15、 然后是web管理的相关设置，首先进入如下界面：这个管理界面用来将域名与vlan作一对一的绑定，只有作了域名绑定的vlan才能够被管理者从远程通过web的方式访问到。因此，我们将现有的两个vlan都进行域名绑定，以便进行远程web管理。首先选中external，回车：输入合适的fqdn后回车，选择“replace keys”，以使bip重新生成https访问所需要的key。完成后返回域名与vlan绑定的主设置菜单，选择internal，进行相同设置：输入合适的fqdn后回车，选择“replace keys”，以使bip重新生成https访问所需要的key。最终域名与vlan绑定结果如下图：16、 下面是web访问管理的管理员密码设定：17、 接下来是设定web管理者的ip范围，可以使用*作为通配符：18、 然后，系统需要用户输入一些相关信息，以便生成ssl需要的key（理论上讲这里的信息可以任意填写）：19、 下面是远程ssh访问的设定，首先选择“改变原有ssh设定”：20、 然后设定ssh管理者的ip地址范围：21、 下面bip会让用户选择，是否为f5工程师留有一个可远程登录此设备的support帐号，以便接受远程的技术支持服务。通常，为安全起见，我们直接按回车，将此帐号关闭：22、 然后是时区设置，我们选择“asia/shanghai”（无asia/beijing）：23、 关闭ntp功能：24、 dns proxy功能无须设置：25、 由于我们没有结合外部的ldap或radius服务器对用户进行身份验证、计费的需求，所以在“是否采用远程认证”这一项里选择“n”：26、 全部初始化设置完毕：27、 bip将自动重启，如果bip没有自动重启，建议手动键入reboot命令使设备重启：至此，全部初始化配置完成，以后如果需要更改一些设置，可以通过再次输入config命令，使用requested、optional下面的选项，进行修改。它们是选项（a）的一部分。功能配置及维护基于web配置big-ip的准备1、 pc一台2、 ie 4或者更高的版本基于web配置big-ip由于我们在前面已经对big-ip进行了初始化配置，所以在这里，只要使我们的客户端主机能够访问到big-ip，即可通过web界面对big-ip进行配置维护。由于big-ip使用ssl加密的http，所以我们在ie的地址栏内输入：https:/ip_address，回车即可。如下图所示：ie会提示安全警告信息，缺省为no，为了配置big-ip选择yes。然后系统提示输入基于web配置的用户名和密码：在初始化配置时，我们已设置密码为：用户名：admin密码：default注：这个用户名及密码的定义是在初始化时配置的，如果用户想对密码进行更改，必需到超级终端中选择（w）config web servers项进行更改。单击ok，进入big-ip的web页面，单击超级链接configure your big-ip(r) using the configuration utility：单击这里可以下载link control的说明文档单击这里进入配置界面单击这里进入配置界面然后进入bip设置的主页面：通过上面这个页面，我们就可以对f5进行一系列的功能配置。服务器群组规定和vip本手册中的配置以本项目中的big-ip 2400（2）为例由于我们要对后台服务器做负载均衡，所以要提供一个供intranet用户访问的ip地址，在big-ip中，我们称这个ip地址为vip。要建立vip要做两个工作：其一是对需要做负载均衡的服务器设置成组（在big-ip中我们称这个组为pool（服务器池）；其二是要为这个组设置一个vip。具体配置如下：pool（服务器池） 配置通过单击页面左侧对象树的pool（服务器池），在页面右侧显示pool（服务器池）的信息。我们可以根据需要通过单击来添加一个pool（服务器池），也可以通过单击来删除一个pool（服务器池）。点击，会出现如下图所示的设置窗口：在上面的窗口中可以编辑pool（服务器池）的相关信息，其中包括：可以编辑pool（服务器池）的名字（zhenghe）；可以在load balancing method下拉菜单中选择一种适合的负载均衡的算法，在resources中，输入要做负载均衡的server的ip地址、服务、与同一个pool（服务器池）中其它server之间的轮发数据报的比例、优先级。然后单击，同样输入所有做负载均衡server的信息，然后单击done，完成pool（服务器池）的添加。另外，通过点击对应的pool（服务器池）的名称这个对象，我们可以浏览和编辑该pool（服务器池）对象的各种属性：负载均衡算法、成员列表、权重比率、优先级、会话连续性保持、pool（服务器池）会话状态等。编辑修改任何属性后，需点击“apply”使新的配置生效。会话连续性保持设定单击对应的pool（服务器池）的名称，进入下图界面：继续点击“persistence”，进入会话连续性保持设定：根据需要，启用simple persistence功能，将timeout时间设置为7200秒，用以根据用户端ip保证用户访问服务器的持续性。由于是冗余系统，在“mirror persistence”后面打勾，开启“会话连续性保持信息即时同步”。virtual server（vip） 配置通过单击页面左侧对象树的virtual servers，在页面右侧显示virtual servers的信息：同样的，我们可以根据需要通过单击来添加一个vip，也可以通过单击来删除一个vip。点击，会出现如下图所示的设置窗口：在上图窗口中“address”一栏中填入vip的ip地址5；“service”一栏填入vip提供服务的tcp/udp端口号80（或者从右面下拉框中选择），不填即代表0，也就是所有端口；“netmask”一栏可以根据需求填写子网掩码，使vip成为一组ip，而非一个单一ip。完成后点击“next”出现如下窗口：这里我们可以设定该vip是否允许地址转换（address translation）和端口转换（port translation），以及该vip在哪些vlan里面生效。根据具体需求，这里无须改动，直接点击“next”，进入下一页面：在这个窗口中可以选择该vip使用的pool（服务器池），或rule。在这里我们选择刚刚设置好的pool（服务器池）zhenghe。点击“next”继续：这个窗口用来设置该vip的会话信息是否即时同步到互为冗余的另一台bip。出于应用系统需求，我们将其选择为“是”，在后面的方框中打上勾。点击“next”，系统会提示进行会话信息同步将消耗大量的系统性能，点击“yes”，确定，出现下图窗口：这个窗口用来设置“下一跳”使用的pool（服务器池）。点击“done”，完成vip的添加。完成后如下图所示：点击vip 5，进入该vip的属性配置界面：点击“virtual service properties”：这里可以设定该vip是否为tcp/udp数据报提供负载均衡服务，以及会话的idle timeout阈值（即会话在bip的session table中存活时间）。默认情况下，tcp为开启，1005秒；udp为关闭，60秒。根据应用需要，我们将“idle connection timeout tcp”设置为7200秒。同样的，我们可以根据需要通过单击再来添加一个vip，也可以通过单击来删除一个vip。以9（ftp服务）为例，点击，会出现如下图所示的设置窗口：在上图窗口中“address”一栏中填入vip的ip地址9；“service”一栏填入vip提供服务的tcp/udp端口号（或者从右面下拉框中选择），不填即代表0，也就是所有端口；“netmask”一栏可以根据需求填写子网掩码，使vip成为一组ip，而非一个单一ip。完成后点击“next”出现如下窗口：这里我们可以设定该vip是否允许地址转换（address translation）和端口转换（port translation），以及该vip在哪些vlan里面生效。根据具体需求，这里无须改动，直接点击“next”，进入下一页面：在这个窗口中可以选择该vip使用的pool（服务器池），或rule。在这里我们选择设置好的pool（服务器池）ftp_15_16。点击“next”继续：这个窗口用来设置该vip的会话信息是否即时同步到互为冗余的另一台bip。出于应用系统需求，我们将其选择为“是”，在后面的方框中打上勾。点击“next”，系统会提示进行会话信息同步将消耗大量的系统性能，点击“yes”，确定，出现下图窗口：这个窗口用来设置“下一跳”使用的pool（服务器池）。点击“done”，完成vip的添加。完成后如下图所示：服务器健康状况监控健康检查管理界面为了保证当某台服务器出现故障时，big-ip可以及时地发现，并停止将用户的请求导向这台服务器，必需在big-ip中定义服务器健康状况监控。通过单击页面左侧对象树的monitor，在页面右侧显示monitor的信息。如下图所示：在big-ip中，已经内置了多种健康检查方法，而用户也可以根据自己的需求对健康检查实现自定义。同样的，我们可以根据需要通过单击来自定义一个monitor，也可以通过单击来删除一个monitor。如下图所示：定义特别的健康检查big-ip允许用户自己定义针对特别应用的健康检查。根据数据监测中心应用需要，f5 big-ip需做ftp的健康检查，以判定每台后台服务器是否能够正确提供用户所需的服务。以ftp健康检查为例，点击，进入自定义monitor的设置窗口：在“name”一栏中填入该monitor的名称（ftp_21），并选择基本继承者为tcp，点击“next”：在这个窗口里，我们可以设置健康检查的间隔时间（interval），和判定后台服务器（node）失效的总时长（timeout）。通常interval设置为几秒至几分钟，timeout等于3倍interval加1秒为宜，视应用情况而定。由于我们定义的是完全模拟正常访问的第七层健康检查，因此建议interval不易过短。经协商，interval定为10秒，timeout为31秒。设置完点击“next”：此窗口用来设置基于ftp的ecv健康检查的内容。根据应用需要，我们不需要填入任何内容，点击“next”：接着是设定目的地，包括ip地址和tcp/udp端口。由于后台节点提供服务的端口是ftp（tcp 21），因此我们在“destination service”一栏中填入21。点击“done”。绑定对服务器的检查方法添加自定义的健康检查（monitor）后，我们需要将被监视的各节点与相应的monitor对应起来，以确认各节点的健康状态。点击“monitors”“node associations”，进入monitor的关联绑定设置界面：从“choose monitor”一栏中选择系统自带的monitor（tcp），点击将其规定为某几格对象的“monitor rule”，在需要关联该monitor的node后面的“associate current monitor rule”处打勾，点击“apply”确定操作即可。从“choose monitor”一栏中选择我们刚刚定义好的monitor（ftp_21），点击将其规定为某几个对象的“monitor rule”，在需要关联该monitor的node后面的“associate current monitor rule”处打勾，点击“apply”确定操作即可。点击basic associations，可以查看所有节点服务所使用的健康监测规则，如图：其它系统设置路由转发功能如果网络系统需要用户能够直接访问到后台节点服务器，则需开启f5 big-ip的路由转发功能，该功能在“system”“advanced properties”页面里进行设置：将“ipforwarding”开启，即可使f5 big-ip具备路由转发功能。附加冗余设定我们可以在“system”“redundant properties”页面中，进行一些附加的冗余设置，如下图：“gateway failsafe”是系统进行冗余切换的另一个触发条件，用来让f5 big-ip监测与某个网关设备的连通性，一旦与“router”一栏中设定的ip地址失去icmp联系，系统工作会自动切换至backup设备。“synchronize configuration”用来进行冗余设备间的手工配置同步。出于系统安全性考虑，强烈建议一切同步动作均由active设备发起。查看实时系统内存状态我们可以在“statistics”“memory”页面中，察看系统的总内存容量和内存的实时占用情况，如下图：日志文件通过点击左侧的“log files”，我们可以在线察看f5 big-ip的系统log、big-ip管理配置log和系统监测log。我们在此可以设置显示行数，设置过滤，以及实时刷新。如下图所示：如图所示，通过system log，我们可以看出一些系统硬件级的状态如图所示，通过bip-ip log，我们可以看出一些big-ip系统功能模块的进程状态如图所示，通过monitor log，我们可以看出一些节点服务的运行状态pool（服务器池）及其节点的实时状态我们可以在“statistics”“pool（服务器池）”页面中，察看系统pool（服务器池）实时状态，如下图：我们可以在“statistics”“node”页面中，察看系统节点的实时状态，如下图：设备管理多级管理员权限控制通过单击“system”“user authentication”，我们可以进行系统管理员的设置，如下图：点击管理员名称admin可以修改管理员密码：系统配置备份和恢复在“system admin”“configuration management”中，我们可以通过输入一个文件名（系统自动加上“.ucs”扩展名）来保存当前的配置。也可以保存（并覆盖）成一个已有的文件名。以及选择以前保存的配置，进行系统恢复。如下图所示：实时查看数据包分发状态通过点击左侧的“bigpipe”，在bigpipe右面的空白处填入conn，我们可以在线察看f5 big-ip系统实时对数据包做负载均衡的分配情况，并且可以实时刷新。如下图所示：注意事项管理员账号密码目前数据监测中心f5 big-ip设备的顶级管理员帐号密码为：console：root/defaultssh、https：admin/defaultcbd机房f5 big-ip配置内容self（设备ip） 3 vlan app_vlan（vlan名称） netmask 24 broadcast 5 unit 1 floating enable snat automap enableself（设备ip） 12 vlan db_vlan（vlan名称） netmask 48 broadcast 15 unit 1 floating enable snat automap enableself（设备ip） 72 vlan external_vlan（vlan名称） netmask broadcast 55 unit 1 floating enableself（设备ip） vlan failover（vlan名称） netmask broadcast 55 unit 1 floating enableself（设备ip） 9 vlan zjj_vlan（vlan名称） netmask 24 broadcast 3 unit 1 floating enable snat automap enablepool（服务器池） app_pool（服务器池） persist simple simple_timeout 1800 persist_mirror enable member 6:0 member 7:0pool（服务器池） zzj_pool（服务器池） persist simple simple_timeout 1800 persist_mirror enable member 4:0 member 5:0 member 6:0pool（服务器池） nat-pool（服务器池）_c member :0pool（服务器池） nat_pool（服务器池）_d member :0pool（服务器池） nat_pool（服务器池）_e member :0pool（服务器池） nat_pool（服务器池）_f member 4:0pool（服务器池） nat_pool（服务器池）_g member 5:0pool（服务器池） nat_pool（服务器池）_h member 6:0pool（服务器池） nat_pool（服务器池）_i member 6:0pool（服务器池） nat_pool（服务器池）_j member 7:0pool（服务器池） nat_pool（服务器池）_k member 9:0pool（服务器池） nat_pool（服务器池）_l member 62:0pool（服务器池） zzj_test_pool（服务器池） persist simple simple_timeout 1800 persist_mirror enable member 0:0 member 1:0 member 2:0# virtual serversvirtual 8:* unit 1 use pool（服务器池） zzj_pool（服务器池） mirror conn enablevirtual 8 any_ip enablevirtual 8 any_ip timeout 15virtual 73:* unit 1 use pool（服务器池） app_pool（服务器池） mirror conn enablevirtual 73 any_ip enablevirtual 73 any_ip timeout 15virtual 74:* unit 1 use pool（服务器池） nat-pool（服务器池）_c mirror conn enablevirtual 74 any_ip enablevirtual 74 any_ip timeout 15virtual 75:* unit 1 use pool（服务器池） nat_pool（服务器池）_d mirror conn enablevirtual 75 any_ip enablevirtual 75 any_ip timeout 15virtual 76:* unit 1 use pool（服务器池） nat_pool（服务器池）_e mirror conn enablevirtual 76 any_ip enablevirtual 76 any_ip timeout 15virtual 77:* unit 1 use pool（服务器池） nat_pool（服务器池）_f mirror conn enablevirtual 77 any_ip enablevirtual 77 any_ip timeout 15virtual 78:* unit 1 use pool（服务器池） nat_pool（服务器池）_g mirror conn enablevirtual 172.25.