BIGIP的详细配置说明.doc

密级： 文档编号： 第 版分册名称： 第 册/共 册BIGIP详细配置说明SINOGRID&F5 NETWORKS北京信诺瑞得信息技术有限公司 邸加欣总页数37正文36附录生效日期：编制：审核：批准：一 综述本文将介绍如何安装配置BIGIP设备，主要是BIGIP最基本的安装配置过程，最后通过两个非常简单的例子介绍如何使用BIGIP解决客户实际问题。二 安装步骤第一步安装设备的第一步并不是急于打开设备的包装箱、安装设备、给设备通电，而是详细了解客户需求。首先，需要了解用户现有的网络结构以及在现有的网络结构下存在的问题。在与用户交流的过程中可能有些问题用户也没有发现，这时就需要我们根据以往项目的经验替用户发现需求。需求商定以后确定部署方案，方案中需要指明详细的IP地址结构和Vlan划分。如果在安装前有制定好的安装方案，则需要与用户核对此安装方案，确认无误后再进行安装。第二步方案确定以后，就可以开始安装设备了。根据需要可以将设备上架固定，连接各类线缆，设备通电后就可以对其进行相应的配置了。BIGIP系统提供两种配置方法：第一种是基于Web界面的配置方法，第二种是基于命令行的配置方法。基于Web界面的配置方法BIGIP1000（包括BIGIP1000）以上的设备100M端口和管理端口可以自动识别正线和反线，BIGIP1000以下的设备如果需要直接连接到用户终端（笔记本）则需使用反线。出厂设备除了管理端口以外的所有端口都没有设置IP地址，管理端口的默认IP地址为：45，当这个IP地址与其他主机的IP地址有冲突的时候，BIGIP会将管理口的IP地址改为45，如果此IP地址仍然有冲突，不好意思，请到命令行下面配置。假定现在没有地址冲突，将笔记本直接连接到设备的管理端口（3.1），如图2-1所示：图2-1打开浏览器，在地址栏内输入https:/，如图2-2所示：图2-2确认后回车，这是会弹出一个安全警告提示，如图2-3所示：图2-3当Client访问Server的时候，Client需要对Server的可信程度进行认证，这种认证称为单项认证；如果Server也需要验证Client端的证书就称为双向认证。这个安全警告的意思就是说Server端的证书没有通过认证或者证书已过期，询问您是否继续。单击按钮继续，这时系统会提示用户输入用户名、密码进行身份验证，如图2-4所示：图2-4输入用户名密码，缺省状态下为admin/admin，单击按钮继续就可以对设备进行配置了。基于命令行的配置方法有很多种方式可以让我们到命令行下面对设备进行配置，最简单的一种方法就是通过超级终端的方式，另外可以使用诸如Putty或SCRT之类的软件登录到设备上进行配置，在Web配置界面里BIGIP同样提供了一个SSH终端，在这里主要讲一下通过超级终端的方式配置BIGIP。配置前准备：安装Windows操作系统的PC一台（装有超级终端）、Console线缆一条。配置过程：Console线的一端接BIGIP的Console口，另外一端接PC的COM口，如图2-5所示：图2-5打开超级终端，COM的参数设置如图2-6所示：图2-6确定之后，将设备加电，可以看到如图2-7所示的设备启动信息：图2-7设备的型号不通，启动信息可能不相同，请以实际输出信息为准。输入用户名和密码就可对设备进行配置了，缺省状态下的用户名和密码是：root/default。第三步 申请License如果是设备正式上线，将设备上的License激活就可以了；如果设备仅作测试用就需要申请Demo License。申请Demo License的详情请参阅，申请并激活设备正式的License详情请参阅。第四步 初次配置如果是刚出厂的设备，申请完License之后就是设备的首次配置。首次配置同样可以使用Web界面和命令行两种方法进行配置。如果要使用Web界面进行配置，单击图2-8标记处的超链接，根据配置向导即可非常方便、快捷的完成首次配置。图2-8下面详细介绍一下命令行下面BIGIP的首次配置。按照上面介绍的基于命令行的配置方法进入到如图2-7所示的界面后，输入用户名和密码，系统缺省的用户名和密码是：root/default。如果需要修改密码详情请参阅。确认后回车，出现如图2-9所示的界面：图2-9输入“config”或者是“setup”即可对设备进行配置，输入其中任意一个确认后回车，出现如图2-10所示的界面：图2-10由于是首次配置，因此我们输入“A”，配置所有的选项。输入“A”后回车，进入如图2-11所示的界面：图2-11系统提示操作会覆盖原有的配置，如果继续当前配置会被保存到/usr/local/ucs/Setup_backup.ucs，询问是否继续，我们当然继续了。输入“y”，回车继续，进入到如图2-12所示的界面：图2-12按任意键继续，进入如图2-13所示的界面：图2-13系统提示需要配置root密码、主机名、远程管理工具等多个选项，按任意键继续，按ctrl-E退出，我们按任意键继续，进入如图2-14所示的界面：图2-14在下拉列表中选择键盘类型，选定标准美式101键盘，会车继续，进入如图2-15所示的界面：图2-15系统提示键盘类型被设置为标准101键盘，按任意键继续，进入如图2-16所示的界面：图2-16在这里可以更改root密码，如果不想更改直接回车继续，如果需要更改直接输入密码后回车，系统会提示再次输入密码。按任意键继续进入如图2-17所示的界面：图2-17系统提示输入正式域名。注意：在这里需要按照标准的域名格式输入。正确输入后回车继续，进入如图2-18所示的界面：图2-18系统显示主机名修改后的结果，按任意键继续，进入如图2-19所示的界面：图2-19接下来会配置BIGIP的VLAN和端口。设备型号不同，默认VLAN会有一些不同。BIGIP1000以上的设备默认状态下有三个VLAN：admin(管理口)、external(所有的千兆端口)、internal(所有的百兆端口)。如果是在配置冗余的系统，需要指定一个标志符，漂移IP。按任意键继续，进入如图2-20所示的界面：图2-20系统提示是否配置冗余的系统，以后会介绍到如何配置冗余的系统。在这里我们选择下面一个选项，回车继续，进入如图2-21所示的界面：图2-21在这里可以设置端口传输模式，默认情况下是自动。按“c”键继续，进入如图2-22所示的界面：图2-22这时系统会把所有的VLAN列举出来，选定一个VLAN直接回车可以对其进行修改；或按“d”键删除。也可以按“a”键添加一个VLAN。根据具体情况进行配置，配置好之后按“c”继续，进入如图2-23所示的界面：图2-23按任意键继续，设置VLAN对应的端口，如图2-24所示：图2-24根据具体情况进行设置，设置好以后按“c”继续。接下来选择主机的IP地址，如图2-25所示：图2-25选定之后回车，或者直接按“c”继续，出现保存设置的界面，如图2-26所示：图2-26接下来是配置BIGIP的缺省网关，如图2-27所示：图2-27输入正确的网关之后回车继续，或者不设缺省网关直接回车继续。假定我们输入53，会车后出现如图2-28所示的确认界面：图2-28按任意键继续，开始进行Web访问的配置。首先是给每个VLAN指定一个域名，如图2-29所示：图2-29选定一个VLAN之后回车，进入如图2-30所示的界面：图2-30输入域名之后回车确认，按照此方法配置所有的VLAN，配置好以后如图2-31所示：图2-31按“C”键继续，接下来是设置登陆Web界面的密码，如图2-32所示：图2-32默认用户名和密码是：admin/admin，直接回车不改变密码；如果要修改密码，输入密码后回车系统会提示再次输入密码，回车确认进入如图2-33所示的界面：图2-33在这里可以设定通过Web方式远程管理的IP地址范围，默认为*.*.*.*，直接回车进入如图2-34所示的界面：图2-34输入国家、省市、公司、部门信息，输入这些信息BIGIP会生成一个自签名的SSL认证为Web Server提供SSL访问，正确输入后回车确认。之后BIGIP会保存这些信息重新启动Web Server，如图2-35所示：图2-35按任意键继续，接下来会进行SSH的配置，如图2-36所示：图2-36SSH提供远程访问的功能，选择第一项不改变SSH的设置，回车继续，进入如图2-37所示的界面：图2-37系统提示没有改变SSH的设置，按任意键继续，进入如图2-38所示的界面：图2-38如果需要F5的技术支持人员通过远程访问设备进行支持，就在这里设置一个密码，如果不需要，直接回车就可以。直接回车进入如图2-39所示的界面：图2-39在这里设置系统的时区，一般设置为东八区：Etc/GNT+8。BIGIP的系统时间是可以设定的，详情请参阅。回车确认进入如图2-40所示的界面：图2-40系统提示时区设置为东八区，按任意键继续，进入如图2-41所示的NTP配置界面：图2-41选择第二项，禁用NTP选项，回车继续进入如图2-42所示的界面：图2-42系统提示NTP被禁用，按任意键继续，进入如图2-43所示的DNS配置界面：图2-43可以在这里配置BIGIP DNS代理的功能，为内网中的用户提供DNS解析的服务。我们先不配置这项功能，选择第二项，回车继续，进入如图2-44所示的界面：图2-44系统提示DNS的配置没有改变，按任意键继续，进入如图2-45所示的界面：图2-45系统提示是否配置远程认证，输入“N”回车，进入如图2-46所示的界面：图2-46系统提示使用缺省的LDPA认证，并且重新启动Web Server。按任意键继续，进入如图2-47所示的界面：图2-47现在已经完成的BIGIP的首次配置，按任意键退出，回到图2-10的界面，如图2-48所示：图2-48输入“Q”，退出，然后输入“reboot”重新启动设备，如图2-49所示：图2-49重新启动以后，所有的配置就会生效。注意：BIGIP软件版本不同，配置步骤可能会有不同之处，请以实际步骤为准。三 配置方法我们通过三个例子来详细介绍BIGIP的配置方法。在介绍两个例子之前，先来看一下负载均衡的常用方法。负载均衡算法总的来讲可以分为两大类：静态的负载均衡算法和动态的负载均衡算法。静态的负载均衡算法包括：轮询、比率、优先权；动态的负载均衡算法包括：最少连接数、最快响应速度、观察法、预测法、动态性能分配、动态服务器补充、服务质量、服务类型、规则模式。详细信息请参阅。()服务器的负载均衡这里这是简要介绍一下最简单的WWW服务器负载均衡模型，后面会讨论一下其它复杂服务器负载均衡存在的问题。配置之前需要详细了解用户的需求，用户的需求非常简单：通过00对外提供WWW服务。只要URI中含有vip字段的就将访问导向性能最好的服务器A；URI中含有user字段的导向性能次之的服务器B；除此之外所有的访问都导向服务器C；如果服务器A出现故障将由服务器C接管，服务器B出现故障同样由服务器C接管。用户的网络结构示意图如图3-1所示：图3-1每个设备的IP地址划分见表3-1：名称配置地址划分备注ClientWin 2000 ServerIE6.0IP地址00子网掩码默认网关Server1IP地址子网掩码默认网关54Server2IP地址子网掩码默认网关54Server3IP地址子网掩码默认网关54BIGIPAdmin45Enable ipforwardingInternal54External表3-1分析：简单的服务器负载均衡无法满足用户需求，需要利用i-Rule来实现用户需求。因此需要建三个POOL：vip_pool，user_pool，default_pool。然后需要添加一条规则LB_rule满足用户的需求，然后添加一个Virtual Server利用新建的LB_rule实现服务器的负载均衡。因此在BIGIP上面作如表3-2的配置：Virtual ServerResource00:0RuleUsed PoolsNodePriorityLB_ruleVip_pool:010:01User_pool :010:01Default_pool :01表3-2有了配置方案之后，我们就可以进行配置了。按照上面安装步骤中介绍的基于Web界面配置方法，进入BIGIP的Web管理界面，如图3-2所示：图3-2首先配置三个POOL：vip_pool，user_pool，default_pool。按照图3-3中的顺序单击标记处的超链接或按钮：图3-3单击按钮后弹出如图3-4所示的窗口：图3-4在Pool Name文本框中输入添加的Pool的名字vip，负载均衡算法使用默认的Round Robin，然后在Member Address文本框中输入服务器的IP地址，Service默认为0，确认后单击右边的“”按钮，在输入另外一个服务器节点的IP地址和端口号。注意：的优先级需要大于的优先级，Minimum Active Members需要设置为1,否则两个节点的优先级不会生效，只有二者结合使用优先级才会生效。确认后单击右下角的按钮完成vip_pool的添加。按照此方法，添加user_pool和default_pool，添加完成之后POOL的界面如图3-5所示：图3-5接下来就是添加LB_rule：按照如图3-6所示的顺序单击标记处的超链接或按钮，图3-6单击按钮之后弹出如图3-7所示的窗口：图3-7在Name文本框中输入rule的名字：LB_rule，可以使用规则生成器也可以使用文本输入的方式添加规则，默认使用规则生成器添加，单击右下角的，进入如图3-8所示的界面，图3-8根据实际需求设定规则，在第一列中选择HTTP Method，第二列中选择matches，第三列中的文本框输入vip，输入完毕后结果如图3-9所示：图3-9单击右下角的按钮继续，进入如图3-10所示的界面：图3-10如果HTTP的URI中含有vip就使用vip_pool，因此在下拉列表中选择use(vip_pool)，单击右下角的按钮，进入如图3-11所示的界面：图3-11我们可以先用规则生成器生成一个框架，然后手动更改，在这里选择default_pool，单击右下角的按钮完成规则的添加，然后需要手动更改规则使其符合需求，修改之后如图3-12所示：图3-12规则添加完毕之后就是添加Virtual Server，按照图3-13中的顺序单击标记处的超链接或按钮，图3-13弹出如图3-14所示的界面：图3-14在Address后面的文本框中输入供外界访问的IP地址，Service后面的文本框可以输入80，也可以为空，确认后点击右下角的按钮，进入如图3-15所示的界面：图3-15可以全部取默认值，直接点击右下角的按钮，进入如图3-16所示的界面：图3-16选择刚添加的LB_rule，点击右下角的按钮完成Virtual Server的添加，添加完成后界面如图3-17所示：图3-17到目前为止，配置已经完成，可以对其进行测试了。(二)防火墙的负载均衡因为BIGIP在配合不同防火墙的时候配置都不一样，在此只配置简单的路由方式的防火墙负载均衡，即在防火墙上面加静态路由，不做NAT转换。用户需求：用户现有两台防火墙，由于其吞吐能力有限，因此需要对这两个防火墙做负载均衡，同时对后台服务器做负载均衡。网络结构图如图3-18所示：图3-18实验中使用两台PC，一台是Client，另外一台是Server；四台BIGIP分别是BIGIP1、BIGIP2和Firewall1、Firewall2。具体IP地址划分如表3-3所示：名称配置地址划分备注Client1Win 2000 ServerIE6.0IP地址00子网掩码默认网关ServerLinux9.0Apache2.0服务器IP地址00子网掩码默认网关Firewall1Internal打开Ipforwarding功能,添加一条静态路由：Des:192.168.2/24To: 00External默认网关00Firewall2Internal打开Ipforwarding功能,添加一条静态路由：Des:192.168.2/24To: 00External默认网关00BIGIP1BIGIP 2400BIGIP V4.5Admin45打开Ipforwarding功能配置两条静态路由：目的网络地址为10.10.2/24的转发到，目的网络地址为10.10.4/24的转发到禁用地址转换功能Firewall00Firewall00External255.