F5配置手册(内部).doc

F5LinkC1关于LinkController的说明（简称LC）F5的负载均衡有三大产品LTM（LocalTrafficManagement）：服务器负载均衡GTM（GlobalTrafficManagement）：全局多站点负载均衡LC（LinkController）：链路负载均衡LTM通常部署在serverfarm前面，实现对web或者应用服务器的负载均衡GTM的功能可以总结为一个智能的DNS服务器，其内核用的就是LinuxBund9，通过GTM做域名解析来将用户的访问数据流导向不同的站点或者数据中心，同时GTM还可以作为DNS服务器来使用LinkController：LC是LTM和GTM的结合体，LC可以实现简单的4层服务器负载均衡的功能和简单的GTM的功能；因此，LC对内可以实现服务器的负载均衡，对外可以实现多ISP链路接入的负载均衡，通过LC的职能DNS解析功能返回给不同的客户不同的DNS解析结果，这样就可以实现根据一定的策略使不同的用户从不同的ISP线路访问站点2配置过程确定网络结构图，确定应用的访问流程，确定详细地址和路由规划设备初始化LTM部分设置：主要是设置VirtualServer和Outbound流量的负载均衡LinkController部分设置：主要是通过域名解析的方式实现Inbound流量的负载均衡双机设置如何进行测试如何进行故障排查3第一部分设备初始化配置4设备初始化内容，安装BIG-IPVersion55.0的版本，最好是通过Vmware全新安装的方式，不要通过IM升级的方式打最新的Hotfix，目前9.4.8版本最新的Hotfix版本为Hotfix-BIGIP-9.4.8-407.0-HF3.im可以通过进行下载配置管理地址和管理路由如果使用默认地址，管理口为45/24如果需要使用其它地址，可以在console下通过config命令进行修改，也可以通过液晶面板按键操作进行修改激活设备，申请license设置正确的时区，一般为asia/shanghai，以及确认或者修改系统时间（在命令行下通过date命令进行修改）设定管理员admin（Forweb，默认为admin），root（ForCLI，默认为default）的密码5安装操作系统确认设备软件版本，要求为BIG-IPVersion85，在CLI下用命令bversion查看如果不是，请安装BIG-IPVersion85的版本，最好是通过Vmware全新安装的方式，不要通过IM升级的方式安装方法请参考相关BIGIP设备操作系统安装手册文档注意，在安装之前请备份/config/RegKey.license文件通常，该文件内容如下：rootf5:Activeconfig#moreRegKey.licenseRegistrationKey:KQYHC-UMEAR-FHHUK-FJDPU-YFYHAKJ设备重装后，该文件会丢失，而设备的license激活需要该文件，如果不慎丢失，需要开一个case要求F5Tac帮忙查找，会比较麻烦6安装补丁，要求安装最新的Hotfix，目前9.4.8版本最新的Hotfix版本为Hotfix-BIGIP-9.4.8-385.0-HF2.im可以通过进行下载，下载的时候需要申请一个F5网站的帐号，登陆后即可下载有了Hotfix文件后，需要将文件上传到F5设备上，通常上传到/tmp目录下F5设备不支持telnet和ftpserver，但是默认是一个SFTPserver，可以通过SecureFTP客户端直接连接到F5设备上，通过root帐号登陆，进行文件的上传和下载；如果没有SecureFTP客户端，也可以在笔记本上起一个FTP服务器，再通过CLI从F5设备连接到笔记本上来拉Hotfix文件上传Hotfix后，安装Hotfix前，请通过console连接到设备上，进入/tmp目录下，通过执行命令im（hotfix文件名），安装将会自动完成安装完成后，设备会提示你对设备进行fullboxreboot，即输入命令/usr/bin/full_box_reboot，等待设备重启完成，也可以将设备关电重启，完成后可以用命令bversion进行验证7激活设备license设备激活后license如右图所示，请确认license的正确性8初始化基本设置设置管理口地址和管理路由，默认为45设置HostName，注意要求为一个FQDN设置HighAvailability模式，此处为单机模式，选择SingleDevice，如果做双机，则要选择RedundantPair设置TimeZone，通常为Asia/shanghai设置Root和Admin密码，默认为root/default，admin/9第二部分LCOutbound流量均衡部分配置10LinkController实施前的准备确定网络结构图！确定网络结构图！确定网络结构图！确定应用的访问流程！确定应用的访问流程！确定应用的访问流程！确定合理正确的地址路由规划！确定合理正确的地址路由规划！确定合理正确的地址路由规划！11/24VlanCNC：地址规划ISPCTISPCNC54/2454/24VlanCT：/24F5LinkControllerVlanINTERNAL：00/2454/24FirewallWEB1WEB201:8002:80办公网用户12LCV9配置逻辑结果图-Outbound流量Link1Link2Default_Gateway_Pool:0VSiRulesLink1Link2InternalClientsLinkC13配置VLAN添加3个VLAN：CNCCTINTERNAL，并对每个VLAN划分端口14配置SELFIP按照地址规划配置每个VLAN的IP地址15配置一个Default_Gateway_P16配置默认路由配置默认路由，指向Default_Gateway_P17配置其它静态路由18配置OutboundVirtualServer（简称VS）19LCOutbound流量均衡部分配置说明这样，基本的Outbound负载均衡的配置就结束了，内部的用户，可以通过两条线路访问外面了下面我们要继续进一步讨论如何优化Outbound负载均衡的策略和满足一些特殊的需求，主要是通过iRules来实现的20Outbound的高级配置根据运营商选择线路典型需求如下：对于去往中国电信的访问，走电信的线路CT_Pool，当电信的线路故障时，走网通的线路，对于去往中国网通的访问，走网通的线路CNC_Pool，当网通的线路故障时，走电信的线路，其他的访问在中国电信和中国网通之间负载均衡Default_Gateway_Pool配置过程：建立Pool建立电信/网通地址库的class建立Rules将Rules和VirtualServer进行绑定21Outbound的高级配置根据运营商选择线路建立CT_Pool:由于当电信的线路故障时候需要用网通的线路做备份，所以在CT_Pool里面启用了”PriorityGroupActivation”，把电信线路的Priority设置高一些，而网通线路的Priority设置低一些。22Outbound的高级配置根据运营商选择线路建立CNC_Pool:由于当网通的线路故障时候需要用电信的线路做备份，所以在CNC_Pool里面启用了”PriorityGroupActivation”，把网通线路的Priority设置高一些，而电信线路的Priority设置低一些。23Outbound的高级配置根据运营商选择线路所有的Pool设定好以后如下：24Outbound的高级配置根据运营商选择线路设定好Pool以后，我们需要定义中国电信和中国网通地址段的Class，然后在Rules中根据class来识别用户去往那个运营商，通过iRules来判断内网用户数据包的目的地址是是属于哪个运营商，如果是访问电信的，就将数据发送到CT_Pool，如果是访问网通的，就将数据发送到CNC_P25Outbound的高级配置根据运营商选择线路中国电信的地址段Class(部分)：classtelcom_26Outbound的高级配置根据运营商选择线路中国网通的地址段Class(部分)：classcnc_classnetworkmasknetworkmasknetworkmasknetworkmasknetworkmasknetworkmasknetworkmaskClass的定义内容会保存在配置文件/config/bigip.conf里，由于该地址库较长，因此建议使用vi直接编辑该配置文件，然后在CLI下执行以下两条命令：bloadbsave这样，class就定义完成了。27Outbound的高级配置根据运营商选择线路根据去往不同的运营商进行选择不同线路的RulesruleRule.Destination_Base_RoutetimingonwhenCLIENT_ACCEPTEDifmatchclassIP:local_addrequals$:ct_classpoolCT_PoolelseifmatchclassIP:local_addrequals$:cnc_classpoolCNC_PoolelsepoolDefault_Gateway_P28Outbound的高级配置根据运营商选择线路定义Rules并将其和VS_Outbound_Any进行绑定VS_Outbound_Any绑定rule后就不需要选择Pool了，如下图29Outbound常用Rules参考根据到不同的运营商选定不同的NAT_Pool的RulesruleDNS_Outbound_Snat_RuleswhenLB_SELECTEDifmatchclassIP:remote_addrequals$:dns_classifIP:addrLB:serveraddrequalssnatpoolDNS_SNAT_CT_PoolelseifIP:addrLB:serveraddrequalssnatpoolDNS_SNAT_CNC_P30Outbound常用Rules参考对于某些内网是公网地址不需要做NAT的RuleswhenCLIENT_ACCEPTEDifmatchclassIP:local_addrequals$:cernet_addifmatchclassIP:remote_addrequals$:donot_snat_cernetpoolcernet_donot_snat_poolelsepoolcernetnat_poolelsepooltel_31第三部分LCInbound流量均衡部分配置32LCInbound流量均衡配置逻辑示意图Link1Link2Listener1Listener2wideip:www.wideip.F5.VS_Link1_WWWVS_Link2_WWWPool_WWWWWW_Serverwideip:ftp.wideip.F5.VS_Link1_FTPVS_Link2_FTPPool_FTPFTP_ServerLinkC33LCInbound流量均衡过程说明ISPCTISPCNC/24VlanCNC：F5LinkController用户需要访问www.F5.，其PC向LocalDNS发起解析LocalDNS向公网发起DNS查询最终查询到华讯负责解析F5.这个域名的DNS服务器DSN1或者DNS2DNS1或者DNS2通过DNS迁移配置将www.F5.的解析权转到F5LinkController上54/2454/24VlanCT：/24VS_CT_WWW:00:80VS_CNC_WWW:00:80VlanINTERNAL：00/24最终由F5LC返回给用户的LocalDNS解析结果，如右图，根据一定的策略，返回www站点的公网地址00或者00典型常用的Inbound负载均衡算法有RoundRobin，RTT，Topology，GlobalAvailability等54/24FirewallDNS1DNS2DNS服务器DNS迁移典型配置wideip.F5.INNSwideip.F5.INNSwww.F5.INCNAMEwww.wideip.F5.ftp.F5.INCNAMEftp.wideip.F5.01:80WEB1WEB202:8034LCInbound流量均衡算法-Topology一个电信的用户需要访问www.F5.，首先向LocalDNS发起DNS解析请求LocalDNS通过公网DNS查询，找到DNS123LocalDNS41电信用户DNS1告诉LocalDNS该域名由负责解析LocalDNS向发起DNS解析请求ISPCTISPCNC54/2454/24F5LC根据Topology算法判断该LocalDNS属于电信的用户F5LC返回给LocalDNSVS_CT_WWW:00的地址VlanCT：/24VS_CT_WWW:00:80VS_CNC_WWW:00:80VlanCNC：/24www.F5.LocalDNS返回给用户00的地址DNS1DNS2DNS服务器DNS迁移典型配置wideip.F5.INNSwideip.F5.INNSINCNAMEwww.F5.INCNAMEwww.wideip.F5.ftp.F5.ftp.wideip.F5.352LocalDNS53探测询，找到DNS13探测4/24VS_CT_WWW:00:80VS_CNC_WWW:00ISPCTISPCNC54/2454/24路发起对LocalDNS的探/24VlanCNC：DNS1DNS2LCInbound流量均衡算法RoundTripTime（RTT）1某用户需要访问www.F5.，首先向LocalDNS发起DNS解析请求LocalDNS通过公网DNS查用户DNS1告诉LocalDNS该域名由负责解析LocalDNS向发起DNS解析请求F5LC根据RTT算法，发起探测，分别从CT线路和CNC线测，比较两次探测的RTT时间VlanCT：值比如从CT线路到LDNS的RTT值为82ms，从CNC线路到LDNS的RTT值为66ms，则F5LC返回给LDNS网通线路的地址VS_CNC_WWW:00:80LDNS返回给用户00的地址DNS服务器DNS迁移典型配置wideip.F5.INNSwideip.F5.INNSINCNAMEwww.wideip.F5.www.F5.ftp.F5.INCNAMEftp.wideip.F5.36LCInbound流量均衡配置过程定义Default_Gateway_Pool并定义一条默认路由指向该pool定义pool和virtualserver定义listener定义link定义wideipDNS迁移37LCInbound流量均衡配置过程添加Default_Gateway_Pool（包含所有link的网关地址）38LCInbound流量均衡配置过程-默认路由配置默认路由，指向Default_Gateway_P39LCInbound流量均衡配置过程添加Pool设定Pool，Pool是用来代表真实服务器组的，VirtualServer将通过调用Pool将访问请求转发到真实的服务器上，如右图所示，添加一个web服务器的P40LCInbound流量均衡配置过程添加VirtualServer设定完Pool，接下来要针对每一条线路设定一个VirtualServer，每个VirtualServer都会调用同一个Pool，如图，定义VS_CT_Web,调用Pool_W41LCInbound流量均衡配置过程添加VirtualServer和上页同样的方法建立一个VS_CNC_Web的VirtualServer，调用Pool：Pool_WebVirtualServer定义完成后列表如下图所示：42LCInbound流量均衡配置过程添加ListenerListener作用为启用DNS解析功能，通常为LC的外网接口地址，如果是双机则为虚拟IP如果不配置Listener，则LC不响应DNS解析请求43LCInbound流量均衡配置过程添加LinkLink通常为ISP线路网关的地址，表示有几条ISP线路以及其网关地址分别为多少Link需要配置monitor，注意一定要选择bigip_link的44LCInbound流量均衡配置过程添加LinkLink定义完成后如下图所示正常情况下，如果网线连接好，对端可ping通，Link状态为绿色up，表示Link状态正常，如果网关不通则标记为红色down如果网关通的情况下，而Link却标记为红色down，说明设备配置有问题或者存在其它问题，需要进一步排查45LCInbound流量均衡配置过程Topology算法预设对于LCInbound流量均衡来说，通常客户会有电信/网通线路各一条，建议使用Topology+None+GA的算法结合由于Topology算法是判断用户LocalDNS属于哪个运营商（电信或者网通），从而返回给用户相应的运营商线路的地址需要将电信/网通的地址库列表导入到LC中该文件名为region.user，都已经整理好，直接使用即可，将该文件通过SecureFTP上传到LC的/config/gtm目录下运行gtmload命令，加载region.user内的配置文件到运行状态46LCInbound流量均衡配置过程Topology算法预设rootf5:Activegtm#lsregion.userserver.crtwideip.confwideip.conf.samplewideip.confrootf5:Activegtm#rootf5:Activegtm#gtmloadgtmload:Initializing./usr/bin/monitors/builtins/gtm_base_monitors.conf:SUCCESS/usr/local/gtm/include/base_region.ISP:SUCCESS/config/gtm/region.user:SUCCESS/config/gtm/wideip.conf:SUCCESSgtmload:SUCCESSrootf5:Activegtm#47LCInbound流量均衡配置过程Topology算法预设Region.user配置文件加载后，可以在web页面看到相应的电信/网通地址库的内容48LCInbound流量均衡配置过程Topology算法预设定义TopologyRecord如右图所示，定义两条TopologyRecord即当用户LDNS属于电信的时候，返回网段的地址，即电信线路地址即当用户LDNS属于网通的时候，返回网段的地址，即网通线路地址注意：两条Record要配置不同的W49LCInbound流量均衡配置过程关键的Wideip配置Wideip的实质就是一个域名，对应于多个公网地址TTL为公网缓存DNSserver对该wideip记录解析值的缓存时间算法选择Topology/None/GAMemberList即为该域名对应的返回地址，也即添加的VirtualServer地址GA算法匹配的是MemberList的order，先返回order居上的member地址LC响应解析请求的时候，先匹配Topology的算法，当Topology算法匹配失败的时候，则匹配GA的算法50LCInbound流量均衡配置过程system-globalproperties-globaltraffic-LoadBalancingEnableRespectFallbackDependancy选项启用域名解析和wideip的member状态邦定功能，即Enable该选项后，解析将不返回状态down的wideipmember的地址注意：如果做双机，需要分别在两台设备上手动Enable该选项51LCInbound流量均衡配置过程DNS迁移设置(用户有内网DNS服务器的时候）修改之前的DNS设置www.F5.INA00修改之后的DNS设置wideip.F5.INNSlc1.F5.wideip.F5.INNSlc2.F5.lc1.F5.INAlc2.F5.INAwww.F5.INCNAMEwww.wideip.F5.52LCInbound流量均衡配置过程关键配置文件/config/bigip.conf文件：LTM部分配置，包括VS，Pool，Rules等配置/config/bigip_base.conf文件：设备管理地址，vlan划分，selfip等配置/config/gtm/wideip：LC部分配置文件/config/gtm/region.user：地址库文件/config/gtm/topology.inc：TopologyRecord文件53LCInbound流量均衡配置过程wideip配置文件rootf5:Activegtm#morewideip.conf#(f5.F5.)dumped04/22/200816:38:03CST-GTMVersion0.0.0globalsprobe_protocolicmp/*DataCenterDefinitions(1)*/*MonitorDefinitions(0)*/*LinkDefinitions(2)*link/datacenter=DefaultDnameCT_Linkaddress54monitorbigip_linklink/datacenter=DefaultDCdatacenter/1server(s)nameDefaultDCserverf5.F5.linkCNC_LinklinkCT_LnameCNC_Linkaddress54monitorbigip_link54LCInbound流量均衡配置过程wideip配置文件/*ServerDefinitions(1)*server/datacenter=DefaultDC,#VS=2namef5.F5.typebigipbox/gtmaddressaddressunit_id1autoconfenablemonitorbigipvsnameVS_CT_Webaddress00:80/httpvsnameVS_CNC_Webaddress00:80/http/*PoolDefinitions(1)*poolnamewww.wideip.F5.ttl30preferredtopologyalternatenullfallbackgamember00:80member00:80/*WideIPDefinitions(1)*wideipnamewww.wideip.F5.pool_lbmoderrpoolwww.wideip.F5./*ApplicationDefinitions(0)*55第四部分如何进行相关测试56DNS解析测试工具-NslookupC:DocumentsandSettingsnslookupDefaultServer:it2.F5.Address:05serverDefaultServer:Address:www.F5.Server:Address:DNSrequesttimedout.timeoutwas2seconds.Non-authoritativeanswer:Name:www.F5.Address:00Aliases:www.F5.,www.wideip.F5.57DNS解析测试工具-NslookupserverDefaultServer:Address:www.F5.Server:Address:DNSrequesttimedout.timeoutwas2seconds.Non-authoritativeanswer:Name:www.F5.Address:00Aliases:www.F5.,www.wideip.F5.58第五部分常见故障排查59添加Link时候提示DataCenter错误信息报错信息：error:theXXXlinkmusthaveaDataCenter原因：在添加Link时候wideip文件不存在，而L