F5 BIG-IP LTM 负载均衡器配置指导书

1、F5 BIG-IP LTM负载均衡器配置指导书 目 录 TOC o 1-3 h z u HYPERLINK l _Toc139950089 第1章 F5 BIG-IP LTM简介 PAGEREF _Toc139950089 h 1 HYPERLINK l _Toc139950090 1.1 负载均衡技术简介 PAGEREF _Toc139950090 h 1 HYPERLINK l _Toc139950091 1.2 F5 BIG-IP LTM产品介绍 PAGEREF _Toc139950091 h 1 HYPERLINK l _Toc139950092 第2章 BIG-IP LTM规划与配置

2、准备工作 PAGEREF _Toc139950092 h 3 HYPERLINK l _Toc139950093 2.1 BIG-IP LTM配置步骤 PAGEREF _Toc139950093 h 3 HYPERLINK l _Toc139950094 2.2 组网规划 PAGEREF _Toc139950094 h 3 HYPERLINK l _Toc139950095 2.2.1 规划准备要点 PAGEREF _Toc139950095 h 4 HYPERLINK l _Toc139950096 2.2.2 组网图 PAGEREF _Toc139950096 h 4 HYPERLINK

3、l _Toc139950097 2.3 BIG-IP面板说明 PAGEREF _Toc139950097 h 8 HYPERLINK l _Toc139950098 第3章 根本配置 PAGEREF _Toc139950098 h 9 HYPERLINK l _Toc139950099 3.1 通过LCD面板设置BIG-IP管理网口地址 PAGEREF _Toc139950099 h 10 HYPERLINK l _Toc139950100 3.2 通过管理网口登录BIG-IP WebUI界面 PAGEREF _Toc139950100 h 11 HYPERLINK l _Toc1399501

4、01 3.3 激活License PAGEREF _Toc139950101 h 12 HYPERLINK l _Toc139950102 3.4 设置Platform PAGEREF _Toc139950102 h 15 HYPERLINK l _Toc139950103 3.5 修改系统时钟 PAGEREF _Toc139950103 h 16 HYPERLINK l _Toc139950104 3.6 配置网络 PAGEREF _Toc139950104 h 17 HYPERLINK l _Toc139950105 3.6.1 划分VLAN PAGEREF _Toc139950105 h

5、 18 HYPERLINK l _Toc139950106 3.6.2 配置VLAN IP地址 PAGEREF _Toc139950106 h 19 HYPERLINK l _Toc139950107 3.6.3 设置接口速率和双工类型 PAGEREF _Toc139950107 h 21 HYPERLINK l _Toc139950108 3.6.4 配置静态路由 PAGEREF _Toc139950108 h 21 HYPERLINK l _Toc139950109 3.6.5 配置Link Aggregation可选 PAGEREF _Toc139950109 h 22 HYPERLIN

6、K l _Toc139950110 第4章 负载均衡业务配置 PAGEREF _Toc139950110 h 24 HYPERLINK l _Toc139950111 4.1 节点配置 PAGEREF _Toc139950111 h 24 HYPERLINK l _Toc139950112 4.2 配置负载均衡池 PAGEREF _Toc139950112 h 25 HYPERLINK l _Toc139950113 4.3 配置虚拟效劳器 PAGEREF _Toc139950113 h 27 HYPERLINK l _Toc139950114 4.3.1 创立虚拟效劳器 PAGEREF _T

7、oc139950114 h 27 HYPERLINK l _Toc139950115 4.3.2 将虚拟效劳器和负载均衡器相关联和会话保持配置 PAGEREF _Toc139950115 h 29 HYPERLINK l _Toc139950116 4.4 配置健康检查 PAGEREF _Toc139950116 h 31 HYPERLINK l _Toc139950117 4.4.1 自定义节点状态监控 PAGEREF _Toc139950117 h 31 HYPERLINK l _Toc139950118 4.4.2 监控与节点/负载均衡池相关联 PAGEREF _Toc139950118

8、 h 34 HYPERLINK l _Toc139950119 4.4.3 检查系统状态 PAGEREF _Toc139950119 h 36 HYPERLINK l _Toc139950120 4.5 配置SNAT PAGEREF _Toc139950120 h 36 HYPERLINK l _Toc139950121 4.5.1 配置步骤 PAGEREF _Toc139950121 h 36 HYPERLINK l _Toc139950122 4.5.2 验证SNAT配置 PAGEREF _Toc139950122 h 37 HYPERLINK l _Toc139950123 第5章 双机

9、配置 PAGEREF _Toc139950123 h 39 HYPERLINK l _Toc139950124 5.1 考前须知 PAGEREF _Toc139950124 h 39 HYPERLINK l _Toc139950125 5.2 双机设置 PAGEREF _Toc139950125 h 39 HYPERLINK l _Toc139950126 5.3 双机状态监控设置 PAGEREF _Toc139950126 h 42 HYPERLINK l _Toc139950127 5.4 双机状态检查和配置同步 PAGEREF _Toc139950127 h 43 HYPERLINK l

10、 _Toc139950134 第6章 附录B 常见问题说明 PAGEREF _Toc139950134 h 61 HYPERLINK l _Toc139950135 6.1 BIG-IP单机或两台双机系统处于Standby状态，为什么？ PAGEREF _Toc139950135 h 61 HYPERLINK l _Toc139950137 6.2 BIG-IP系统如何进行配置备份和恢复？ PAGEREF _Toc139950137 h 64 HYPERLINK l _Toc139950138 6.3 SSH访问具有密码加密传输的优点，请问从哪里获取SSH客户端？ PAGEREF _Toc13

11、9950138 h 64 HYPERLINK l _Toc139950139 6.4 网络设备通常有收集系统信息的宏命令，F5有没有相应命令？ PAGEREF _Toc139950139 h 65 HYPERLINK l _Toc139950140 6.5 如何使用TCPDUMP进行Troubleshooting？ PAGEREF _Toc139950140 h 67 HYPERLINK l _Toc139950141 6.6 如何实时监视BIG-IP的连接状态？ PAGEREF _Toc139950141 h 69 HYPERLINK l _Toc139950142 6.7 如何备份和恢复配

12、置？ PAGEREF _Toc139950142 h 69 HYPERLINK l _Toc139950143 6.8 如何添加“只读权限的管理员帐号 PAGEREF _Toc139950143 h 70 HYPERLINK l _Toc139950144 6.9 如何查询设备的序列号？ PAGEREF _Toc139950144 h 71 HYPERLINK l _Toc139950145 6.10 对某一Virtual Server用TCPDUMP命令无法抓到包如何处理？ PAGEREF _Toc139950145 h 72关键词：负载均衡池、虚拟效劳器，节点、会话保持、监控、ECV、EA

13、V、SNAT摘 要：按照常见的配置步骤，本文对F5 BIG-IP LTM负载均衡器设备配置进行说明，并对负载均衡器的根本概念和F5设备使用过程中遇到的常见问题进行解答。本指导书适用于BIG-IP LTM 1500/3400负载均衡器(BIG-IP version 9)。缩略语清单：ECVExtended Content Verification 可扩展的内容验证EAV Extended Application Verification可扩展的应用验证SNATSecure Network Address Translation平安网络地址转换LTMLocal Traffic Manager本地流

14、量管理器LACPLink Aggregation Control Protocol链路会聚控制协议参考资料清单：Platform Guide: 1500, 3400, 6400, and 6800, F5 Networks, 2005Installation, Licensing, and Upgrades for BIG-IP Systems, F5 Networks, 2005BIG-IP Network and System Management Guide, F5 Networks, 2005F5 BIG-IP LTM简介负载均衡技术简介随着业务与软件产品与IP网络关系愈加密切，业务平

15、台提供的性能以及可靠性是电信级应用的关键因素。业务与软件产品中Portal、WAP网关、彩铃和MMS等业务直接通过Internet提供网络效劳。由于Internet对业务效劳访问具有不可预知性，传统的效劳器提供大量并发效劳已经面临处理能力和I/O性能的瓶颈，当业务超过已经界限将会出现“Server Too Busy乃至效劳器宕机等问题。针对单台效劳器有限的性能存在瓶颈的情况，负载均衡器通过负载均衡机制将所有请求平均分配到多台节点效劳器，使得系统业务处理能力大大提升。此外，负载均衡器还能监控效劳器节点的可用性，其中某一台效劳器故障时，能将访问请求转移到其它可以正常工作的效劳器。负载均衡器通常称为

16、四层交换机或七层交换机。四层交换机主要分析IP层及TCP/UDP层，实现四层流量负载均衡。七层交换机除了支持四层负载均衡以外，还有分析应用层的信息，如 协议URI或Cookie信息。F5 BIG-IP LTM产品介绍随着F5 BIG-IP 1000/2400负载均衡器停产，华为公司的替代选型为F5 BIG-IP LTM 1500/3400。目前F5公司负载均衡器(亦称为本地流量管理器)有BIG-IP LTM 1500、BIG-IP LTM 3400、BIG-IP LTM 6400 、BIG-IP LTM 6800等型号。F5 BIG-IP LTM负载均衡产品规格6800系列超级多用途流量管理处

17、理器：双CPU根本内存：2GBASIC：Packet Velocity ASIC2千兆位CU端口：16个千兆位光纤端口：(SFP - GBIC Mini)4个2个标准、2个可选包括：SSL TPS/Max TPS/Bulk加速模块：100/20,000/2GB/秒流量吞吐量：4GB/秒可选硬件设备：硬件压缩*2GB/秒6400系列高级多用途流量管理处理器：双CPU根本内存：2GBASIC：Packet Velocity ASIC2千兆位CU端口：16个千兆位光纤端口：(SFP - GBIC Mini)4个2个标准、2个可选包括：SSL TPS/Max TPS/Bulk加速模块：100/15,0

18、00/2GB/秒流量吞吐量：2GB/秒可选硬件设备：硬件压缩*2GB/秒FIPS处理*8,000TPS/1GB SSL吞吐量3400系列中级多用途流量管理处理器：单CPU根本内存：1GBASIC：Packet Velocity ASIC2千兆位CU端口：8个千兆位光纤端口：(SFP - GBIC Mini)2个可选包括：SSL TPS/Max TPS/Bulk加速模块：100/8,000/1GB/秒流量吞吐量：1GB/秒3400系列普通多用途流量管理处理器：单CPU根本内存：768MBASIC：无千兆位CU端口：2个千兆位光纤端口：2个可选包括：SSL TPS/Max TPS/Bulk加速模块

19、：100/2,000/500 MB/秒流量吞吐量：500MB/秒BIG-IP LTM规划与配置准备工作BIG-IP LTM配置步骤在对F5 BIG-IP进行配置之前，首先要做好规划工作。BIG-IP LTM主要配置步骤如下：组网规划 在组网规划中，包含主机名、IP地址/VLAN、路由、虚拟效劳器、地址池、负载均衡算法、会话保持方式、双机等内容进行规划，并绘制出组网拓扑图。初始化配置 通常使用WebUI完成初始化配置，包括激活License、平台配置和网络配置。配置网络VLAN和IP地址更改系统时钟可选配置负载均衡池配置节点状态监控配置虚拟效劳器配置SNAT/NAT配置双机 说明： (1) 本配

20、置步骤为常见配置顺序。本文没有包括过滤和SSL Proxy等配置。(2) 主用BIG-IP系统要完成以上所有配置步骤，备用BIG-IP系统可以跳过5-8步，而通过主用BIG-IP系统将配置同步到备用BIG-IP系统中去。组网规划本节主要根据典型F5 BIG-IP LTM典型应用以实例给出配置指南，并结合业软产品给出说明，后续章节具体配置说明不一定跟本实例完全相同。规划准备要点在安装BIG-IP系统之前，请检查如下准备工作是否做好：设备物理连接规划。IP地址规划，根据实际需要划分网段和分配IP地址，通常网络设备IP地址为网络中最大IP地址默认网关使用最大IP地址，往下递推；主机设备从网络中最小I

21、P地址往上递推进行分配。BIG-IP双机需要3个外部VLAN IP，2个分别为主备机的Self IP，一个为Share IP。BIG-IP双机需要3个内部VLAN IP，2个分别为主备机的Self IP，一个为Share IP。每一个虚拟效劳器IP地址或NAT需要一个外部VLAN IP。SNAT映射IP地址可以跟虚拟效劳器IP地一样。BIG-IP内部每个节点需要一个内部VLAN IP。 确定BIG-IP主机名，并且确保BIG-IP双机主机名不一样。组网图典型F5 BIG-IP LTM负载均衡器部署方式采用“双臂旁挂式连接如 REF _Ref137629135 r h 图2-1所示。典型F5 B

22、IG-IP LTM负载均衡器部署示意图BIG-IP面板说明F5 BIG-IP前面板增加了LCD面板，可以通过LCD面板设置管理接口、Console口，也可以重启系统和清空LCD告警等操作。F5接口槽位号编号遵循由上到下，然后由左到右规那么。例如，BIG-IP LTM 3400第一槽位为8端口千兆以太网接口，2槽位为2端口SFP千兆网接口。F5 BIG-IP LTM 1500/3400前面板如下列图所示：F5 BIG-IP LTM 1500/1400前面板示意图根本配置本文以BIG-IP LTM 3400为例讲解整个配置过程，根本上讲解了BIG-IP整个配置过程。对于新的BIG-IP设备，根本配

23、置主要包括：通过LCD面板设置BIG-IP管理网口地址通过管理网口登录BIG-IP WebUI界面通过Setup Utility激活License、配置Platform和配置网络。也可以通过导航菜单System - License激活License；System - Platform配置Platform。 注意： 在安装之前，必须注意如下事项：(1) BIG-IP的接口与VLAN分配相关，网线连接接口位置不能随意更改，否那么可能导致网络无法连接。(2) 互为双机的两台BIG-IP必须用随机附带的Failover线相连起来。 (3) BIG-IP LTM 1500/3400随机不再自带Conso

24、le线缆，可以通过LCD面板设置/获取管理网口地址来进行根本配置。通过LCD面板设置BIG-IP管理网口地址BIG-IP上电开机以后，首先需要通过机器LCD面板的按键设置Management管理网口的IP地址。管理网络接口缺省的IP地址为45/24。设置步骤如下：使用LCD面板将IP地址添加到管理界面中。配置管理IP地址时，首先应添加IP地址。按下显示屏上的X按钮Options选项。进入系统菜单并按下复选标记按钮。进入IP地址菜单并按下复选标记按钮。再次按下复选标记按钮，进入IP地址输入界面。使用上下箭头键输入管理IP地址，并按下复选标记按钮。输入IP地址后，添加该地址的网络掩码：进入网络掩码

25、菜单，并按下复选标记按钮。输入网络掩码，并按下复选标记按钮。可选添加完IP地址和网络掩码后，即可添加缺省路由。进入缺省路由菜单，并按下复选标记按钮。使用上下箭头键输入缺省路由，并按下复选标记按钮。如果您未确定缺省路由，可以使用。提交确认配置。进入“Commit提交菜单，并按下复选标记按钮。当“确认菜单出现时，按下复选标记按钮。 说明： Management (mgmt)接口可以用于维护管理用途，可以将该接口连接到业务系统维护VLAN。在设置好网络管理口地址以后，通过网络登陆到BIG-IP上进行其它配置更改时，都要保证网络管理口的网络连接完好。否那么有时会出现修改的配置无法被成功加载应用的情况，

26、因为网络管理口为Down的情况会阻碍配置文件的加载。在bigip 9.2.3版本里，如果管理网口的网线没有连接的情况下，mgmt interface的属性为变为media none。如果这个属性被保存成ucs文件，再次重新加载的时候，就会出现不能顺利加载的情况。在这种情况下，如果做双机配置同步，也会出现同步后配置无法正常加载的情况。这种情况下，建议升级版本或打Hotfix-BIG-IP-9.2.3-CR61825补丁。管理网络接口的IP地址不能与业务网络在同一网段，防止出现地址冲突。根据业务网络的地址划分，相应的调整管理网络接口的网络地址。如果通过LCD按键修改完IP地址以后，选择Commit

27、，地址无法成功改变(例如出现IP地址为全零的情况)，很有可能是管理口IP地址与系统内已经配置发生冲突。出现这种情况，关机重启以后，重新选定IP地址或网段来设置管理网口地址。通过管理网口登录BIG-IP WebUI界面BIG-IP有两种管理方式，一种是基于WEB的 s管理方式，另一种是基于ssh的命令行管理方式。BIG-IP v9已经不再支持Telnet和FTP方式访问。除特别配置外，BIG-IP的配置主要采用WEB的管理方式即可。将计算机连接BIG-IP 的管理网口，以WEB方式登陆：在管理员的IE地址栏内输入BIG-IP设备的管理接口IP地址，如 s:/45。 管理接口的缺省IP地址为45。

28、如果已经通过液晶面板上的按键更改正IP，输入相应的IP地址。连接后出现平安警告提示窗口，点击Yes继续。系统提示输入用户名和密码。缺省的用户名和密码为admin和admin输入正确后即可进入BIG-IP配置工具WEB界面。BIG-IP配置工具WEB界面激活License在配置BIG-IP之前，先要激活License，否那么BIG-IP无法提供负载均衡效劳。从System-License-Activate进入License激活界面。如果是更改License，屏幕显示为Re-activate。激活License输入产品的注册码，然后产生申请License的Dossier。输入注册码产生Dossie

29、r进入 HYPERLINK s:/activate.f5 s:/activate.f5 /license/dossier.jsp，将产生的Dossier复制进以下页面，产生License文件。进入F5网站激活License 注意： 完成F5 BIG-IP设备License激活后，请重启设备或者在CLI使用bigstart restart命令可以手工重启BIG-IP效劳进程。设置Platform平台(Platform)主要配置系统的通用属性，比方，主机名、IP地址、系统管理员帐号等。可以通过WebUI进入配置页面System - Platform。Platform页面可设置Host Name、R

30、oot密码、Admin密码、Time Zone。如果是双机，还要设置High Availability和Unit ID。F5 BIG-IP采用Linux时区设置，中国时区其中没有北京时区信息，可以就近选择如下时区：Asia/Chungking重庆、Asia/Harbin哈尔滨、Asia/Hong_Kong香港、Asia/Macao澳门、Asia/Shanghai上海和Asia/Urumqi乌鲁木齐。其他地区可以根据Time Zone下拉列表框进行相应选择。Platform页面 注意： (1) root密码允许用户通过命令行访问BIG-IP系统。建议root密码长度大于6位，但不要超过32位字节

31、。密码与大小写敏感，建议密码中包含大写/小写字母和数字。如果BIG-IP系统为双机系统，两台主备机的root密码必须保持一致。(2) 主机名用来标识BIG-IP系统自身。主机名必须符合DNS域名标准。主机局部必须以字母开始，并至少为2个字符。举例：。 (3) BIG-IP双机系统的主机名必须不一样，否那么配置同步会产生错误，可能导致破坏license。如果BIG-IP运行于双机高可用性模式，因此需要在系统通用属性中设置双机：设置双机 说明： 通常双机系统中主机Unit ID设置为1，备机Unit ID为2。修改系统时钟修改BIG-IP系统时钟必须要通过CLI命令行界面完成，请通过Console

32、或SSH方式连接到BIG-IP。常用的SSH客户端有PUTTY或Secure Shell Client等。用SSH客户端连接BIG-IP的管理网口地址，进入命令行模式。执行date检查系统时钟。rootZJHZ-PS-MMS3-SW02:Active config # dateThu May 25 16:59:15 CST 2006如果系统时钟跟当前时间相差较大，使用date命令修改系统时钟。命令格式：# date .# date MMDDHHMMYYYY.SS如设置2007年1月1日中午12：00：00# date 010112002007.00保存时间到BIOS。# hwclock sys

33、tohc设置缺省管理权限策略。在命令行运行b base list命令，检查初始化设置。如果b base list的输出已经有self allow default tcp ssh tcp s udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 一行，那么进入到步骤6 重新启动BIG-IP。如果在b base list的输出中发现有self allow default none 一行，那么运行以下两条命令：b self allow default tcp ssh tcp s udp efs tcp

34、 snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 b base save所后用命令more /config/bigip_base.conf查看bigip_base.conf文件确认self allow default tcp ssh tcp s udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 已经保存到文件中。重新启动BIG-IP。# reboot 注意： (1) 对于临时License的设备，不要轻易改系统

35、时间，后果是License失效。(2) 对于在运行的冗余系统，建议先修改Standby，修改完毕，观察一段时间，再把Active设备切换为Standby后再修改，以保证系统的不间断。 (3) 系统时钟主要用于 F5 日志文件的计时时间。配置网络根据组网规划，对F5 BIGIP的网络进行配置，包括划分VLAN、定义IP地址及路由等。划分VLAN点击左侧的导航条，进入Network - VLANs。翻开VLANs页面在右侧可以对VLAN进行配置。创立方法如下：点击Create按钮。VLAN设置设置VLAN名。在Name文本框设置这个VLAN的名字，如“External。在“Tag中参照VLAN规划

36、表输入VLAN号。如果不填，系统将自动分配一个VLAN号。建议按照VLAN规划表输入VLAN号，如果启用Tagged Interface时，可以跟交换机的802.1q Trunk端口匹配起来。将接口分配到VLAN中。在“Resources表格中Interface:定义Available中显示的端口有选择性的划分到这个VLAN中。指定端口后，单击选入Untagged栏即可，如果对选定接口号点击“Tagged ，那么该端口为802.1q Trunk端口。点击完成。配置VLAN IP地址在划分完VLAN后，即可对每个VLAN进行IP地址的定义。方法如下：点击左侧导航条中的Networks - Sel

37、f Ips。翻开Self IPs页面在右侧可以对Ip地址进行配置。配置步骤：点击Create按钮。Self IP设置在页面对应栏进行填写：IP address: 输入IP地址Netmask: 输入子网掩码VLAN：选择将这个IP地址绑定在哪个VLAN上。选择下拉菜单将显示所有已设置的VLAN名。Port Lockdown: 通常保持默认值Allow Default。当没有配置b self allow时，可以选择Allow All。Floating IP:如果系统为冗余工作方式，需对每台设备的每个VLAN均设置两个IP地址。其中一个是Self IP,另一个那么为Floating IP,即两台设备

38、共用的IP地址。选中此项即代表这个IP地址为Floating IP。Unit ID: 对于双机的浮动IP，需要选择Floating IP，并选择对应的Unit ID号。点击完成。设置接口速率和双工类型点击左侧导航条中翻开Network - Interfaces选择相应的端口。接口操作模式默认为自适应，通常不建议修改。接口操作模式设置配置静态路由点击左侧导航条中的Networks - Routes翻开路由页面创立方法如下：点击在页面对应栏进行填写：Type: 定义配置的是默认网关还是静态路由。Destination: 定义目标网段Netmask: 定义目标网段的掩码Resource: 定义网关地

39、址点击完成。 注意： 定义网关后需要重启BIG-IP的效劳，bigstart restart命令可以手工重启BIG-IP效劳进程。配置Link Aggregation可选为提高链路可靠性，BIG-IP与LAN Switch互连网络采用两条网线进行链路会聚。BIG-IP将链路会聚称之为Trunk，不要与IEEE 802.1q的Trunk属于混淆。点击左侧的导航条，进入NetworkTrunks:链路会聚页面 注意： 经测试，BIG-IP LTM和华为Quidway交换机链路会聚可以实现兼容性对接。配置链路会聚时不需要启用LACP。负载均衡业务配置负载均衡业务配置主要包含以下几个方面：Node 节

40、点 一般在Pool配置中添加，也可以单独创立。可以在Node页面中配置节点健康检查。 Pool 负载均衡池 包含可以将请求发送到其中进行处理的效劳器。Profile 定义Virtual Server行为的设置。可以使用系统自带Profile，有些业务需要自定义Profile。Virtual Server 虚拟效劳器 Virtual Server接收客户端的访问请求，然后将请求分发给被负载均衡的节点效劳器上。iRule iRule是基于TCL语言的脚本处理引擎，可以非常灵活的实现一些特殊的流量处理需求。Monitor Monitor跟踪Pool成员的当前状态。可以采用系统自带Monitor。有些

41、业务需要自定义Monitor。 SNAT 在负载均衡器内部的效劳器主动向外发起访问时，在负载均衡器上所做的地址映射。 说明： 效劳器负载均衡器的设置只需要在一台BIG-IP1上进行设置，设置好以后，可以通过双机配置同步的方式将配置更新到BIG-IP2上。节点配置节点Node可以单独配置，一般在Pool配置时添加。点击左侧的导航条，选择Local Traffic - Virtual Servers -Nodes标签，点击“Create按钮添加节点node节点配置在上图中输入节点效劳器的IP和名称，选择相应的Monitors，点击Finished完成配置。配置负载均衡池负载均衡池是负载均衡器中重要

42、的属性，是根据负载均衡策略接收数据流量的一组设备。池与特定虚拟效劳器相关联，流向虚拟效劳器的流量通常会转给相关联的负载均衡池的成员节点。池可以执行负载均衡操作，比方发送流量到池中的指定节点或定义会话保持方式。当配置池时，必须配置池名、成员IP地址和负载均衡方法BIG-IP系统默认策略为轮询“Round Robin方式。配置步骤：左侧导航条中选择 Local Traffic - Virtual Servers -Pools标签，点击“Create按钮添加效劳器池(Pool)。负载均衡池配置页面在“Name中输入负载均衡器名称。在 “Load Balancing Method表格中选择负载均衡方法

43、，通常采用默认轮询方法。在“Resources表格中的“Address文本框输入成员IP地址，在“Service Port文本框中输入效劳端口通用效劳可以在下拉框选择对应效劳，点击“Add添加到“Current Members当前成员列表中。添加所有组成员，点击“Finished完成配置。配置虚拟效劳器虚拟效劳器Virtual server是一个可PING的虚拟IP地址和效劳端口的组合比方0: ，虚拟效劳器与负载均衡池Pool相对应，负载均衡池由一或多个节点Node组成。虚拟效劳器有许多类型，本文只讲述业务与软件产品使用的标准虚拟效劳器配置。创立虚拟效劳器配置步骤：在导航面板中选择Local

44、Traffic - Virtual Servers标签，点击“Create按钮添加虚拟效劳器。虚拟效劳器配置1虚拟效劳器配置2在 “Name文本框中输入名称，“Address文本框中输入虚拟效劳器IP地址，并在“Service Port文本框中输入效劳端口号或在下拉框中选择现有的效劳名称。对于FTP效劳必须要从下拉框选择效劳名称。在Configuration栏的Type类型中，缺省为“Standard方式，一般不需要更改。如果虚拟效劳器只用于内部一个节点效劳器1:1方式访问时，可以选用“Forwarding (IP)方式；如果负载均衡器仅用于4层交换，可以采用“Performance (Lay

45、er 4)方式，以提高四层处理性能；如果虚拟效劳器用于 效劳，可以采用“Performance ( )方式，以提升 请求处理性能。根据业务需要可以对应调整Protocol、OneConnect Profile用于实现TCP连接复用，即多个连接到负载均衡器时，负载均衡器只需一个连接到内部效劳器，以提升效劳器性能、 Profile、FTP Profile等。在Resourse属性中，选择相应的pool和persistence方式。点击“Finished完成创立虚拟效劳器。 将虚拟效劳器和负载均衡器相关联和会话保持配置配置步骤：在“Local TrafficVirtual Servers中点击相应的

46、Virtual server，选择Resources项会话保持配置页面对Default Persistence Profile进行配置选择会话保持方法 说明： 会话保持验证可使用“tcpdump工具进行验证，tcpdump使用参见附录说明。点击Update完成配置。配置健康检查节点状态监控Monitor用于检验负载均衡池中成员节点的连接和效劳信息，包括健康监控和性能监控，当池中成员节点性能下降时BIG-IP系统将会把流量重定向到其它节点。配置节点状态监控包括如下两项工作：自定义节点状态监控监控与节点/负载均衡池相关联其中自定义节点状态监控配置步骤是可选的，当使用默认监控模板时，此步骤可以跳过。

47、自定义节点状态监控节点如果使用标准效劳，只需要使用BIG-IP系统提供默认监控模板即可，不需要进行自定义。当监控信息需要对效劳的内容或效劳协议信息进行监控时，这时需要进行自定义节点状态监控。配置步骤：在导航面板中选择“Monitor中的“Monitors标签，点击“Create按钮添加监控。创立Monitor选择Monitor类型模板在“Type中选择采用模板，比方 或 S等，在“Name 文本框输入监控名称。创立Monitor自定义Monitor在“Configure表格中使用默认属性。根据监控模板的不同对属性进行配置，比方对 ECV属性的“Send String配置为“GET /user/

48、index.html；将Interval更改为10秒，Timeout更改为31秒(3 X Internal +1)。完成监控配置后，点击“Finished完成配置。 说明： 当默认监控方法无法实现检测效劳器运行状态时，需要定制的监控。例如，默认的域名方式使用“GET /命令无法获取正确页面或页面经过屡次重定向，这时BIG-IP系统无法正确检测效劳器状态，我们需要手工更改命令，比方“GET /user/index.html，使 检查方法可以检测出效劳器的运行状态。监控与节点/负载均衡池相关联监控必须要跟节点/负载均衡池相关联才能生效。监控与节点相关联配置步骤：点击左侧的导航条，选择Local T

49、raffic - Virtual Servers -Nodes标签，选中需要监控的节点Node调整Health Monitors节点配置项下拉框Health Monitors缺省为Node Default。Node Default设置可以在Local Traffic - Virtual Servers -Nodes - Default Monitor标签中调整；如果需要针对具体节点调整监控方式，选择下拉框Health Monitors为Node Specific，将可用的Monitor方式选中点击“ Virtual Servers -Pools标签，选中需要监控的负载均衡池Pool将Monit

50、ore与负载均衡池相关联在Health Monitors中将可用的Monitor方式选中点击“Virtual Servers页面查看Virtual server的状态；“Local traffic-Pool页面查看Pool的状态。当图标为绿色时表示节点或虚拟效劳器可用，当图标为红色那么意味着节点或虚拟效劳器状态为离线，如果图标为黄色说明节点或虚拟效劳器不可用。如果图标为蓝色说明节点或虚拟效劳器状态未知，通常此时没有启用Monitor。如果图标为黑色说明虚拟效劳器被禁用。配置SNAT跟路由器、防火墙一样，BIG-IP系统提供NAT (Network Address Translation)和SN

51、AT(Secure Network Address Translation)地址转换机制，SNAT地址转换跟Cisco PAT方式类似。如果不启用NAT/SNAT，负载均衡池内部节点将无法访问外部网络，即外部IP可以通过虚拟效劳器IP访问负载均衡池节点，但负载均衡池内部节点不能发起对外连接。NAT和SNAT都可以通过地址转换访问外部网络，不过SNAT不接受外部发起的连接。一个SNAT地址可以对应一个节点地址、多个节点地址或一个VLAN网段。NAT地址与节点地址是一对一的关系。本文仅给出业务与软件常用的SNAT配置步骤。 说明： SNAT地址可以不是唯一的，比方，SNAT地址可以使用虚拟效劳器的

52、IP地址。配置步骤在导航面板中选择Local Traffic-SNATs标签，点击“Create按钮添加SNAT地址。SNAT配置在“Name文本框中输入名称在 “Translation文本框中输入SNAT IP地址，并在“Origin List的“Origin Address文本框中输入节点IP地址或在“VLAN Traffic的下拉框中选择“Enable on或“Disable on在VLAN List中选择相应的Vlan，点击“Gernal PropertiesLocal TrafficGernal中启用“Snat Packet forwarding“。 说明： 如果需要添加外部单独访问

53、内部特定节点IP。由于NAT和SNAT不能共存，可以针对特定节点创立单个节点组成的负载均衡池Pool，效劳为“0，然后创立虚拟效劳器VIP，效劳也为“0，将VIP和Pool关联起来，这时候这个VIP就是那台要访问的效劳器。验证SNAT配置在检查SNAT配置正确性之前，必须确保BIG-IP系统网关已经配置完毕。请在CLI界面用“netstat nr命令确定网关信息已经配置完毕：f5test1:# netstat -nrRouting tablesInternet:Destination Gateway Flags MTU Ifdefault 54 UGS 3400 vlan135 54 UGHc

54、 3400 vlan192/26 link#7 UC 3400 vlan150 0.e0.fc.5.36.78 UHLc 3400 vlan154 0.e0.fc.2.5d.f2 UHLc 3400 vlan1127 UGRS 4352 lo0 UH 4352 lo0192.168.1 link#6 UC 3400 vlan0192.168.129 link#8 UC 3400 vlan22 link#8 UHLc 3400 vlan23 link#8 UHLc 3400 vlan26 0.e5.27 UHLc 3400 lo0f5test1:#在BIG-IP系统CLI界面中用TCPDUMP验

55、证SNAT配置。举例，在内部节点IP:2中Ping外部IP地址(2)，BIG-IP的Internal VLAN IP为6对应SNAT地址为13，测试显示如下：f5test1:# tcpdump -i external host 13 and icmptcpdump: listening on external11:04:55.085576 13 2: icmp: echo request11:04:55.087803 2 13: icmp: echo reply11:04:55.099550 13 2: icmp: echo request11:04:55.102797 2 13: icmp:

56、 echo replyf5test1:# tcpdump -i internal host 2 and icmptcpdump: listening on internal11:06:02.859518 2 2: icmp: echo request11:06:02.861788 2 2: icmp: echo reply11:06:02.865022 2 2: icmp: echo request11:06:02.866768 2 2: icmp: echo reply双机配置在业务与软件产品中使用BIG-IP系统一般都会配置双机。在配置BIG-IP系统双机Failover之前请确认两台BI

57、G-IP系统两者的软件版本必须一致如BIG-IP Version 9.2.3 34.3，在CLI使用“b version查看或者在Web页面的导航面板中选择“System中的“General Properties标签，查看版本信息。无论主用系统还是备机都要进行根本配置。本处仅给出配置双机的考前须知和根本配置后的配置步骤。考前须知如果以前已经有其它配置，可以通过命令请空配置，“reboot重启BIG-IP系统清空现有配置，然后使用web页面进行根本配置，注意在console或连在管理网口上执行：备份配置信息文件备份配置文件保存在“/var/local/ucs目录中roottest:Active

58、#b config save mybackup.ucs删除各个配置信息文件roottest:Active # b reset #约30秒，等待bigip为Active状态roottest:Active # b base reset #约30秒，等待bigip为Active状态roottest:Active # b db reset #约30,等待bigip为Active状态重启机器roottest:Active # reboot双机设置配置步骤：确认BIG-IP运行在双机模式。在导航条选择SYSTEM -Platform，Hith Availability设置中应选择为Redundant Pa

59、ir。双机Platform配置通常BIG-IP1的Unit ID为1， BIG-IP2的Unit ID为2。在导航条选择SYSTEM -High Availability，完成如下配置通过举例说明：Primary Failover Address输入两台BIGIP的内网 Self IP地址BIG-IP1的Self IP为, Peer IP为;BIG-IP1的Self IP为, Peer IP为Secondary Failover Address输入两台BIGIP的外网Self IP地址BIG-IP1的Self IP为24, Peer IP为25;BIG-IP1的Self IP为25, Peer

60、 IP为24Redundancy Mode选择Active/Standby模式Enable Network Failover选项。BIG-IP1双机设置BIG-IP2双机设置双机状态监控设置BIG-IP支持多种双机状态监控方式，主要有系统、网关和VLAN三种Fail-safe方式。系统Fail-safe通常选用缺省配置，不需要改动。业务与软件一般采用VLAN Fail-safe方式实现双机状态监控，当VLAN没有流量到达Timeout超时时间后执行预先规定的操作，通常选择Fail over操作。VLAN Failsafe配置步骤方法一：在Web界面导航条选择Network - VLANs -