F5配置手册(内部)

F5

Link

Controller1关于Link

Controller的说明（简称LC）F5的负载均衡有三大产品（

）：服务器负载均衡（

）：全局多站点负载均衡LC（

Controller）：链路负载均衡通常部署在

前面，实现对web或者应用服务器的负载均衡的功能可以总结为一个智能的DNS服务器，其内核用的就是

Bund9，通过做域名解析来将用户的访问数据流导向不同的站点或者数据中心，同时还可以作为DNS服务器来使用

Controller：LC是和的结合体，LC可以实现简单的4层服务器负载均衡的功能和简单的的功能；因此，LC对内可以实现服务器的负载均衡，对外可以实现多链路接入的负载均衡，通过LC的职能DNS解析功能返回给不同的客户不同的DNS解析结果，这样就可以实现根据一定的策略使不同的用户从不同的ISP线路访问站点2配置过程确定网络结构图，确定应用的访问流程，确定详细地址和路由规划设备初始化LTM部分设置：主要是设置Virtual

和流量的负载均衡

Controller部分设置：主要是通过域名解析的方式实现流量的负载均衡双机设置如何进行测试如何进行故障排查3第一部分设备初始化配置4设备初始化内容，安装BIG-IP

的版本，最好是通过，Vmware全新安装的方式，不要通过升级的方式打最新的Hotfix，目前9.4.8版本最新的

Hotfix

版本为Hotfix-BIGIP-9.4.8-407.0-HF3.im

可以通过进行下载配置管理地址和管理路由如果使用默认地址，管理口为如果需要使用其它地址，可以在console下通过config命令进行修改，也可以通过液晶面板按键操作进行修改激活设备，申请设置正确的时区，一般为

asia/shanghai，以及确认或者修改系统时间（在命令行下通过date命令进行修改）设定管理员admin（For

web，默认为admin），root（ForCLI，默认为default）的密码5安装操作系统确认设备软件版本，要求为

Version

85

，在CLI下用命令b

version查看如果不是，请安装

Version

85

的版本，最好是通过Vmware全新安装的方式，不要通过升级的方式安装方法请参考相关《设备操作系统安装手册》文档注意，在安装之前请备份/config/

文件通常，该文件内容如下：[root@f5:Active]

config

more

RegistrationKey:

KQYHC-UMEAR-FHHUK-FJDPU-YFYHAKJ设备重装后，该文件会丢失，而设备的激活需要该文件，如果不慎丢失，需要开一个要求

Tac帮忙查找，会比较麻烦6安装补丁，要求安装最新的Hotfix，目前9.4.8版本最新的

Hotfix

版本为，Hotfix-BIGIP-9.4.8-385.0-HF2.im

可以通过进行下载，下载的时候需要申请一个F5网站的帐号，登陆后即可下载有了Hotfix文件后，需要将文件上传到F5设备上，通常上传到

/tmp目录下F5设备不支持和ftp

，但是默认是一个SFTP

，可以通过Secure

FTP客户端直接连接到F5设备上，通过root帐号登陆，进行文件的上传和下载；如果没有Secure

FTP客户端，也可以在笔记本上起一个FTP服务器，再通过CLI从F5设备连接到笔记本上来拉Hotfix文件上传Hotfix后，安装Hotfix前，请通过连接到设备上，进入/tmp目录下，通过执行命令

im

（hotfix文件名），安装将会自动完成安装完成后，设备会提示你对设备进行

box

reboot，即输入命令/usr/bin/full_box_reboot，等待设备重启完成，也可以将设备关电重启，完成后可以用命令b

version进行验证7激活设备license设备激活后license如右图所示，请确认license的正确性8初始化基本设置设置管理口地址和管理路由，默认为设置HostName，注意要求为一个设置HighAvailability模式，此处为单机模式，选择Single

Device，如果做双机，则要选择Redundant

设置

Zone，通常为Asia/shanghai设置Root和Admin密码，默认为root/default，admin/admin9第二部分

Outbound流量均衡部分配置10LinkController实施前的准备确定网络结构图！确定网络结构图！确定网络结构图！确定应用的访问流程！确定应用的访问流程！确定应用的访问流程！确定合理正确的地址路由规划！确定合理正确的地址路由规划！确定合理正确的地址路由规划！11/24 Vlan

CNC：地址规划/24 Vlan

CNC：ISP

CT ISP

CNC54/24 54/24Vlan

CT：/24

Link

ControllerVlan

INTERNAL：00/2454/24Firewall

01:8002:80办公网用户12LC

V9配置逻辑结果图-Outbound流量Link1 Link2

iRules

LinkC13配置添加3个：CNC

INTERNAL，并对每个划分端口14配置

按照地址规划配置每个的IP地址15配置一个Default_Gateway_Pool16配置默认路由配置默认路由，指向Default_Gateway_Pool17配置其它静态路由18配置Outbound

（简称）19LC

Outbound流量均衡部分配置说明这样，基本的Outbound负载均衡的配置就结束了，内部的用户，可以通过两条线路访问外面了下面我们要继续进一步讨论如何优化Outbound负载均衡的策略和满足一些特殊的需求，主要是通过来实现的20Outbound的高级配置－根据运营商选择线路典型需求如下：对于去往中国电信的访问，走电信的线路，当电信的线路故障时，走网通的线路，对于去往中国网通的访问，走网通的线路

，当网通的线路故障时，走电信的线路，其他的访问在中国电信和中国网通之间负载均衡Default_Gateway_Pool配置过程：建立Pool建立电信/网通地址库的class建立Rules将Rules和

进行绑定21的高级配置－根据运营商选择线路建立由于当电信的线路故障时候需要用网通的线路做备份，所以在里面启用了”Priority

GroupActivation”，把电信线路的Priority设置高一些，而网通线路的Priority设置低一些。22的高级配置－根据运营商选择线路建立由于当网通的线路故障时候需要用电信的线路做备份，所以在里面启用了”Priority

GroupActivation”，把网通线路的Priority设置高一些，而电信线路的Priority设置低一些。23Outbound的高级配置－根据运营商选择线路所有的Pool设定好以后如下：24的高级配置－根据运营商选择线路设定好Pool以后，我们需要定义中国电信和中国网通地址段的，然后在中根据来识别用户去往那个运营商，通过来判断内网用户数据包的目的地址是是属于哪个运营商，如果是访问电信的，就将数据发送到CT_Pool，如果是访问网通的，就将数据发送到CNC_Pool。25的高级配置－根据运营商选择线路中国电信的地址段Class(部分)：class

telcom_class

network

network

network

network

network

network

network

26的高级配置－根据运营商选择线路中国网通的地址段Class(部分)：class

cnc_class

network

network

network

network

network

network

network

Class的定义内容会保存在配置文件

/config/bigip.conf

里，由于该地址库较长，因此建议使用直接编辑该配置文件，然后在下执行以下两条命令：

load

save这样，就定义完成了。27的高级配置－根据运营商选择线路根据去往不同的运营商进行选择不同线路的rule

Rule.Destination_Base_Route

{＃timing

when

CLIENT_ACCEPTED

{

{

[matchclass

equals

$::ct_class]}{

}

{

[matchclass

[IP::local_addr]

equals

$::cnc_class]}{

CNC_Pool}

else

{

Default_Gateway_Pool}}}28的高级配置－根据运营商选择线路定义Rules并将其和进行绑定绑定后就不需要选择Pool了，如下图29

常用Rules参考根据到不同的运营商选定不同的NAT_Pool的Rulesrule

DNS_Outbound_Snat_Rules

{when

LB_SELECTED

{

{

matchclass

[IP::remote_addr]

equals

$::dns_class

}

{

{[IP::addr

[LB::server

addr]

equals

]

}

{snatpool

DNS_SNAT_CT_Pool}

{[IP::addr

[LB::server

addr]

equals

]

}

{snatpool

DNS_SNAT_CNC_Pool}}else

{

}}}30

常用Rules参考对于某些内网是公网地址不需要做NAT的when

CLIENT_ACCEPTED

[matchclass

[IP::local_addr]

equals

$::cernet_add]}

[matchclass

[IP::remote_addr]

equals$::donot_snat_cernet]

pool

cernet_donot_snat_poolelse

pool

cernetnat_poolelse

pool

tel_pool31第三部分

Inbound流量均衡部分配置32LC

流量均衡配置逻辑示意图Link1 Link2 VS_Link1_WWW VS_Link2_WWWPool_WWWWWW_Server

LinkC33LC

流量均衡过程说明ISP

CT ISP

CNC/24 Vlan/24 Vlan

CNC：F5

Link

Controllerwww.F5.，其向

DNS发起解析

DNS向公网发起DNS查询最终查询到华讯负责解析F5.

这个域名的DNS服务器DSN1或者DNS2DNS1或者DNS2通过DNS迁移配置将www.F5.

的解析权转到

Link

上

54/24

54/24Vlan

CT：/24Vlan

INTERNAL：00/24最终由

返回给用户的

DNS解析结果，如右图，根据一定的策略，返回站点的公网地址00或者00典型常用的负载均衡算法有

Robin，，

，GlobalAvailability等

54/24FirewallDNS1

DNS2DNS服务器DNS迁移典型配置INNSINNSwww.F5.INCNAME

INCNAME

01:8002:8034LC

流量均衡算法--Topology一个电信的用户需要访问，首先向Local

DNS发起DNS解析请求Local

DNS通过公网DNS查询，找到DNS1

23

DNS

电信用户DNS1告诉Local

DNS该域名由负责解析Local

DNS向发起DNS解析请求

ISP

CT

ISP

CNC54/24

54/24F5

根据Topology算法判断该Local

DNS属于电信的用户F5

返回给Local

DNS1.100的地址

Vlan

CT

：/24

Vlan

：/24www.F5.Local

www.F5.00的地址

DNS1

DNS2DNS服务器DNS迁移典型配置INNSINNSINCNAMEwww.F5.

INCNAMEftp.F5.

ftp.wideip.F5.

352Local

DNS53

探测询，找到DNS13

探测4/24VS_CT_WWW:00:80VS_CNC_WWW:00ISP

CT ISP

CNC 54/24 54/24路发起对Local

DNS的探/24 Vlan

CNC：DNS1 DNS2LC

Inbound流量均衡算法—Round

（2Local

DNS53

探测询，找到DNS13

探测4/24VS_CT_WWW:00:80VS_CNC_WWW:00ISP

CT ISP

CNC 54/24 54/24路发起对Local

DNS的探/24 Vlan

CNC：DNS1 DNS21某用户需要访问，首先向

发起解析请求

通过公网查用户DNS1告诉

该域名由负责解析

向发起解析请求

根据算法，发起探测，分别从CT线路和线测，比较两次探测的时间

CT：值比如从CT线路到LDNS的值为，从线路到LDNS的值为，则

返回给LDNS网通线路的地址LDNS返回给用户的地址 DNS服务器DNS迁移典型配置INININ

IN

36

流量均衡配置过程定义Default_Gateway_Pool并定义一条默认路由指向该pool定义pool和

定义定义定义DNS迁移37LC

Inbound流量均衡配置过程—添加（包含所有的网关地址）38

Inbound流量均衡配置过程默认路由配置默认路由，指向Default_Gateway_Pool39

Inbound流量均衡配置过程—添加Pool设定，是用来代表真实服务器组的，Virtual

将通过调用将访问请求转发到真实的服务器上，如右图所示，添加一个服务器的40LC

Inbound流量均衡配置过程—添加

设定完，接下来要针对每一条线路设定一个Virtual，每个Virtual都会调用同一个，如图，定义VS_CT_Web,调用Pool_Web41LC

Inbound流量均衡配置过程—添加

和上页同样的方法建立一个VS_CNC_Web的，调用Pool：Pool_Web

定义完成后列表如下图所示：42

Inbound流量均衡配置过程—添加Listener作用为启用解析功能，通常为的外网接口地址，如果是双机则为虚拟如果不配置Listener，则不响应解析请求43

Inbound流量均衡配置过程—添加通常为ISP线路网关的地址，表示有几条ISP线路以及其网关地址分别为多少需要配置monitor，注意一定要选择的monitor44

Inbound流量均衡配置过程—添加Link定义完成后如下图所示正常情况下，如果网线连接好，对端可ping通，Link状态为绿色，表示Link状态正常，如果网关不通则标记为红色down如果网关通的情况下，而Link却标记为红色down，说明设备配置有问题或者存在其它问题，需要进一步排查45LC

Inbound流量均衡配置过程—Topology算法预设对于

流量均衡来说，通常客户会有电信网通线路各一条，建议使用Topology+None+GA的算法结合由于Topology算法是判断用户Local

DNS属于哪个运营商（电信或者网通），从而返回给用户相应的运营商线路的地址需要将电信网通的地址库列表导入到中该文件名为，都已经整理好，直接使用即可，将该文件通过

FTP上传到的/config/gtm目录下运行gtmload命令，加载内的配置文件到运行状态46LC

Inbound流量均衡配置过程—Topology算法预设[root@f5:Active]

lsregion.userserver.crtwideip.confwideip.conf.samplewideip.conf~[root@f5:Active]

[root@f5:Active]

gtmloadgtmload:

Initializing

/usr/bin/monitors/builtins/gtm_base_monitors.conf:SUCCESS/usr/local/gtm/include/base_region.ISP:

/config/gtm/region.user:

/config/gtm/wideip.conf:

SUCCESSgtmload:

SUCCESS[root@f5:Active]

47LC

Inbound流量均衡配置过程—Topology算法预设Region.user配置文件加载后，可以在web页面看到相应的电信网通地址库的内容48LC

Inbound流量均衡配置过程—Topology算法预设定义TopologyRecord如右图所示，定义两条TopologyRecord即当用户属于电信的时候，返回网段的地址，即电信线路地址即当用户属于网通的时候，返回网段的地址，即网通线路地址注意：两条Record要配置不同的Weight49LC

Inbound流量均衡配置过程—关键的配置的实质就是一个域名，对应于多个公网地址TTL为公网缓存

server对该记录解析值的缓存时间算法选择Topology/None/GA

即为该域名对应的返回地址，也即添加的

地址算法匹配的是的，先返回居上的地址LC响应解析请求的时候，先匹配Topology的算法，当Topology算法匹配失败的时候，则匹配的算法50

Inbound流量均衡配置过程global

properties->global

traffic->

BalancingEnable

Respect

FallbackDependancy选项启用域名解析和wideip的member状态邦定功能，即Enable该选项后，解析将不返回状态的wideipmember的地址注意：如果做双机，需要分别在两台设备上手动Enable该选项51LC

Inbound流量均衡配置过程—DNS迁移设置(用户有内网DNS服务器的时候）修改之前的DNS设置

00修改之后的DNS设置

52

Inbound流量均衡配置过程—关键配置文件文件：部分配置，包括，Pool，等配置文件：设备管理地址，划分，

等配置：LC部分配置文件：地址库文件：Topology文件53LC

Inbound流量均衡配置过程—wideip配置文件[root@f5:Active]

gtm

#

morewideip.conf#

(f5.F5.

)dumped

04/22/2008

16:38:03

Version0.0.0

{probe_protocol

{icmp}}

***

Center

***

***

Monitor

***

***

Link

***link

{

name

"CT_Link"address

54monitor

"bigip_link"}link

{

datacenter

{

server(s)name

server

"f5.F5."link

"CNC_Link"link

"CT_Link"}

}

name

"CNC_Link"address

54monitor

"bigip_link"

54LC

Inbound流量均衡配置过程—wideip配置文件

Server

Definitions

(1)

DC,#VS=2 "f5.F5." bigip

gtm

unit_id

monitor

00:80

00:80

Definitions

(1)

ttl

nullfallback

member

00:80member

00:80

Definitions

rr

Application

Definitions

(0)

55第四部分如何进行相关测试56解析测试工具--NslookupC:\Documents

Server:

it2.F5.Address:

server

Server:

Address:

Server:

Address:

request

out.timeout

seconds.Non-authoritative

answer:Name: Address:

00

57解析测试工具--Nslookup>

Default

Server:

>

www.F5.Server:

request

out.

was

seconds.Non-authoritative

answer:Name:

www.F5.Address:00Aliases:www.F5.,

www.wideip.F5.>58第五部分常见故障排查59添加时候提示Data

错误信息报错信息：error:the

link

have

Data

Center原因：在添加Link时候wideip文件不存在，而Link的添加需要同Default

Data

Center进行关联解决方法：将设备重启即可；或者需要手工添加wideip文件，并且把link信息在wideip文件里面添加然后gtmload。60添加时候提示不显示错误信息：在的下拉列表里面看不到在LTM里面设定。原因：文件里面没有vs的配置信息。解决方法：可以尝试将设备重启，gtmload一下或者手工在文件里面添加vs，并且要gtmload。61不跟self

在同一网段的绑定问题错误信息：不跟

在同一网段的VS在绑定时候会出现属于的VS被绑定到CT_Link上去。原因：LinkController缺省是把VS同本网段的进行绑定，如果VS的地址不跟

在同一网段，那么LC将会根据地址的十六进制的靠近关系进行的绑定。解决方法：注意前期规划，尽量使得LC的

和VS在同一个网段。62常用命令如果按照本的操作配置完成之后，还有一些其它问题的话，不妨试试以下的命令：

gtmload

63第六部分Link

Controller双机配置64Link

Controller双机配置前面已经提到，

是和的结合产品，所以在做的时候，需要分和两个部分

部分的同步跟的同步配置完全一样同步部分比较新一些，我们会详细介绍一下65LTM部分双机配置—设置属性如右图，修改设备模式为

设置为，另外一台设置为

设置为，并在CLI模式下用命令确认两台设备时间一致，如果不一致用命令进行修改66LTM部分双机配置—真实67LTM部分双机配置—设置peer设置，self写自己的真实，peer写另外一台设备的真实Network

为

cable的备份，可以启用两台设备配置要相对应68LTM部分