F5BIG-IPLTM负载均衡器配置指导书v10

-.z.F5BIG-IPLTM负载均衡器配置指导书（v10)DATE\"yyyy-MM-dd"6/9/2022修订记录日期修订版本描述作者2011-08-151.00初稿完成邹善.z.目录第1章F5BIG-IPLTM简介11.1负载均衡技术简介11.2F5BIG-IPLTM产品介绍11.3产品面板简介31.4配置方式51.5基本概念6第2章BIG-IPLTM规划与配置准备工作82.1BIG-IPLTM配置步骤82.2组网规划9规划准备要点9组网图9第3章基本配置113.1通过LCD面板设置BIG-IP管理网口地址123.2通过管理网口登录BIG-IPWebUI界面133.3激活License143.4设置Platform173.5修改系统时钟193.6配置网络20划分VLAN20配置VLANIP地址22设置接口速率和双工类型24配置静态路由24配置LinkAggregation（可选）26第4章负载均衡业务配置274.1节点配置274.2配置负载均衡池284.3配置虚拟服务器30创建虚拟服务器30将虚拟服务器和负载均衡器相关联和会话保持配置334.4配置健康检查34自定义节点状态监控35监控与节点/负载均衡池相关联37检查系统状态394.5配置SNAT39配置步骤39验证SNAT配置42第5章双机配置435.1双机设置435.2双机状态监控设置465.3双机状态检查和配置同步48第6章其他的组网方式496.1单臂组网方式496.2n-path组网方式50-.z.关键词：负载均衡池、虚拟服务器，节点、会话保持、监控、ECV、EAV、SNAT摘要：按照常见的配置步骤，本文对F5BIG-IPLTM负载均衡器设备配置进行说明，并对负载均衡器的基本概念和F5设备使用过程中遇到的常见问题进行解答。 本指导书适用于BIG-IPLTM1600/3600负载均衡器(BIG-IPversion10)。缩略语清单：ECV E*tendedContentVerification 可扩展的容验证EAV E*tendedApplicationVerification 可扩展的应用验证SNAT SecureNetworkAddressTranslation 安全网络地址转换LTM LocalTrafficManager本地流量管理器LACP LinkAggregationControlProtocol 链路汇聚控制协议参考资料清单：F5BIG-IPLTM负载均衡器配置指导书，林浩泓华为技术HUAWEIAAARADIUS负载均衡配置指南-F5BIG-IP，华为技术PlatformGuide:1600,F5Networks,2011PlatformGuide:3600,F5Networks,2011Configuration_Guide_for_BIG-IP_Global_Traffic_Manager(v10.2),F5Networks,2011TMOS_Management_Guide_for_BIG-IP_Systems,F5Networks,2011BIG-IPLocalTrafficManagerImplementations,F5Networks,2011-.z.F5BIG-IPLTM简介负载均衡技术简介在只部署了一台服务器的情况下，随着访问量的增加，一台服务器不能满足应用的需要，而需要增加更多的服务器。当部署了两台以上的服务器时，就可能会需要用到负载均衡器。服务器负载均衡器是指设置在一组功能相同或相似的服务器前端，对到达服务器组的流量进行合理分发；并在其中*一台服务器故障时，能将访问请求转移到其它可以正常工作的服务器的软件或网络设备。通过服务器负均衡器，对流量进行合理分配，可以带来以下好处：提高性能负载均衡器可以实现服务器之间的负载平衡，从而提高了系统的反应速度与总体性能。提高可靠性负载均衡器可以对服务器的运行状况进行监控，及时发现运行异常的服务器，并将访问请求转移到其它可以正常工作的服务器上，从而提高服务器组的可靠性。提高可维护性采用了负均衡器器以后，可以根据业务量的发展情况灵活增加服务器，系统的扩展能力得到提高，同时简化了管理。F5BIG-IPLTM产品介绍随着F5BIG-IP1500/3400/6400/6800/8400/8800负载均衡器停产，目前F5公司负载均衡器(亦称为本地流量管理器)有BIG-IPLTM1600/3600/3900/6900/8900/8950/11050/Viprion2400/Viprion4400等型号。F5BIG-IPLTM负载均衡产品规格6900系列——中级多用途流量管理处理器：2*dualcore基本存：8GB千兆位CU端口：16个千兆位光纤端口(SFP-GBICMini)：8个（4个标准、4个可选）包括：SSLTPS/Ma*TPS/Bulk加速模块：（500/25,000/4Gbps）流量吞吐量：6Gbps/秒3900系列——普通多用途流量管理处理器：1*quadcore基本存：8GB千兆位CU端口：8个千兆位光纤端口(SFP-GBICMini)：4个（可选）包括：SSLTPS/Ma*TPS/Bulk加速模块：（500/15,000/2.4Gbps）流量吞吐量：4Gbps3600系列——普通多用途流量管理处理器：1*dualcore基本存：4GB千兆位CU端口：8个千兆位光纤端口(SFP-GBICMini)：2个可选包括：SSLTPS/Ma*TPS/Bulk加速模块：（500/10,000/2Gbps）流量吞吐量：2Gbps1600系列——普通多用途流量管理处理器：1*dualcore基本存：4GB千兆位CU端口：4个千兆位光纤端口(SFP-GBICMini)：2个可选包括：SSLTPS/Ma*TPS/Bulk加速模块：（500/5,000/1Gbps）流量吞吐量：1GbpsViprion4400系列——超级多用途流量管理滿配置（4*B4200)处理器：8*quadcore基本存：64GB千兆位CU端口：16个千千兆万兆位自适应SFP/SFP+端口：32个(8个标准，24个可选）包括：SSLTPS/Ma*TPS/Bulk加速模块：（16,000/200,000/36Gbps）流量吞吐量：72Gbps-L472Gbps-L7Viprion2400系列——超级多用途流量管理滿配置（4*B2100)处理器：4*quadcore基本存：64GBePVALayer4加速芯片千兆万兆位自适应SFP/SFP+端口：32个(8个标准，24个可选）包括：SSLTPS/Ma*TPS/Bulk加速模块：（8000/200,000/16Gbps）流量吞吐量：160Gbps-L472Gbps-L711050系列——高级多用途流量管理处理器：2*he*core基本存：32GB千兆万兆位自适应SFP/SFP+端口：10个(2个标准，8个可选）包括：SSLTPS/Ma*TPS/Bulk加速模块：（500/100,000/15Gbps）流量吞吐量：42Gbps8900/8950系列——中高级多用途流量管理处理器：2*quadcore基本存：16GB千兆位CU端口：16个千兆位光纤端口(SFP-GBICMini)：8个（4个标准、4个可选）包括：SSLTPS/Ma*TPS/Bulk加速模块：8900-（500/58,000/9.6Gbp）8950-（500/56,000/9.6Gbps）流量吞吐量：8900-12Gbps8950-20Gbps产品面板简介F5Networks,Inc.是一家专注于IP网络流量和容管理(iTCM）领域的厂商。F5公司的BIG-IP系统可以作为网络中的负载均衡设备。F5BIG-IP1600设备的前面板视图如下图所示。BIG-IP1600前面板视图BIG-IP3600前面板视图ManagementPort管理接口USB接口ConsolePort串口FailoverPort，硬件Failover接口10/100/1000interfaceSFPPortLED状态灯LCD显示屏LCD控制按键BIG-IP1600应用交换机具备4个10/100/1000M自适应的网络接口及2个光纤接口。BIG-IP3600应用交换机具备8个10/100/1000M自适应的网络接口及4个光纤接口。10/100/1000interface10/100/1000M自适应的网络接口。SFP1000MSFP接口，可插1000M多模/单模/电接口SFP模块。Serialconsoleport一个串口命令行管理端口。PC终端可以通过串口线连接此端口，配置BIG-IP。Failoverport一个串口冗余状态判断端口。在主备冗余方式下通过随机附带的Failover线连接此端口。Mgmtinterface一个10/100M管理网口。配置管理网口IP地址之后，可以通过网线连接此网口，配置BIG-IP。BIG-IP1600/3600后面板视图把手电源模块未插电源模块的挡板1600/3600都可以支持交流和直流电，直接通过更换交、直流的电源模块即可。同时1600/3600都支持双电源。配置方式F5BIG-IP提供两种配置方式：WEB方式通过HTTPS访问BIG-IP系统Web主页面进行配置。命令行方式SSH通过SSH远程登录进行配置。Console通过串口线连接Console口进行配置，计算机的超级终端的设置如下：每秒位数选择“19200”数据流控制选择“无”。其他参数保留缺省值。由于WEB配置方式一般配置比较直接，所以在一般的配置过程中，建议通过WEB的方式完成配置，命令行的配置方式，一般在查错时使用。基本概念节点（Node）节点是处理负载均衡器发送流量的设备，通常是业务服务器。当服务器加入负载均衡池成为池成员时，服务器就称为节点，Node是指服务器的IP地址，如10。负载均衡成员(PoolMember)负载均衡成员是处理负载均衡器发送的测试设备和端口，PoolMember是指服务器的IP地址+端口号，如10:80。负载均衡池（Pool）一组Poolmember组成一个Pool，池与特定虚拟服务器相关联，流向虚拟服务器的流量通常会转给相关联的负载均衡池中的成员节点。如Pool_web中有两个成员10:80和20:80虚拟服务器（VirtualServer）虚拟服务器对应一个虚拟地址+端口号，是一个可见的、可路由的实体。客户端请求*个虚拟服务器，即请求*种类型的服务。建立虚拟服务器与负载均衡池之间的关联后，来自*个虚拟服务器的请求会被转发给与之关联的负载均衡池中的节点，由这个节点响应客户端的请求。如0:80是一个Virtualserver负载均衡(loadbalancemethod)负载均衡即是Virtualserver收到客户端的请求后，采用什么方式把请求分发到后台的poolmember中去。负载均衡方法是在pool中配置，负载均衡方法包括RoundRobin,Ratio,Fastest,LeastConnections,LeastSessions等负载均衡方法。会话保持(Persistence)会话保持就是指负载均衡器可以确保同一客户端一系列相关联的访问请求会被分配到同一个节点上。会话保持方法在Virtualserver中配置，会话保持方法包括：Sourceaddress,Cookie,Destinationaddress,Hash,SIP,SSL等会话保持方法。健康检查（Monitor）健康检查用于检验负载均衡池中成员节点健康状态。当池中成员节点服务中断时，BIG-IP设备将会把流量重定向到其它成员工点。健康检查方法包括ping成员的IP地址、检查成员的端口是否启用、模拟客户端发真正的业务请求等。BIG-IPLTM规划与配置准备工作BIG-IPLTM配置步骤在对F5BIG-IP进行配置之前，首先要做好规划工作。BIG-IPLTM主要配置步骤如下：组网规划–在组网规划中，包含主机名、IP地址/VLAN、路由、虚拟服务器、地址池、负载均衡算法、会话保持方式、双机等容进行规划，并绘制出组网拓扑图。初始化配置–通常使用WEB完成初始化配置，包括激活License、平台配置和网络配置。配置网络VLAN和IP地址更改系统时钟（可选）配置负载均衡池配置节点状态监控配置虚拟服务器配置SNAT/NAT配置双机说明：(1)本配置步骤为常见配置顺序。本文没有包括过滤和SSLPro*y等配置。(2)主用BIG-IP系统要完成以上所有配置步骤，备用BIG-IP系统可以跳过5-8步，而通过主用BIG-IP系统将配置同步到备用BIG-IP系统中去。组网规划本节主要根据典型F5BIG-IPLTM典型应用以实例给出配置指南，后续章节具体配置说明不一定跟本实例完全相同。规划准备要点在安装BIG-IP系统之前，请检查如下准备工作是否做好：设备物理连接规划。IP地址规划，根据实际需要划分网段和分配IP地址。BIG-IP双机需要3个外部VLANIP，2个分别为主备机的SelfIP，一个为ShareIP。BIG-IP双机需要3个部VLANIP，2个分别为主备机的SelfIP，一个为ShareIP。BIP-IP双机需要2个同步VLANIP，2个分别为主备机的SelfIP（如果需要启用networkfailover功能)每一个虚拟服务器IP地址或NAT需要一个外部VLANIP。SNAT映射IP地址可以跟虚拟服务器IP地一样。BIG-IP部每个节点需要一个部VLANIP。确定BIG-IP主机名，并且确保BIG-IP双机主机名不一样。确定BIG-IPunitID，并且确保BIG-IP双机的unitID不一样。组网图典型F5BIG-IPLTM负载均衡器部署方式采用“双臂旁挂”式连接（如REF_Ref137629135\r\h图2-1所示）。典型F5BIG-IPLTM负载均衡器部署示意图IP地址和物理端口分配如下表所示：IP地址和物理端口分配表ID主机名VLANVLANID端口SelfIP地址FloatIP地址端口对端描述1LB01.test.E*ternal1001.1交换机1外部vlanG1/0/5Internal2001.2交换机1部vlanG1/0/4sync3001.2N/A交换机1部vlanG1/0/4Mgmt400mgmtN/A维护交换机2LB02.test.E*ternal1001.1交换机2外部vlanG1/0/5Internal2001.2交换机2部vlanG1/0/4sync3001.2N/A交换机2部vlanG1/0/4Mgmt400mgmtN/A维护vlan交换机VirtualServer与成员信息表如下：VirtualServer与成员信息表No.VirtualnameVirtualserverPoolNodesDescription1Vip_web0:httpPool_web01.110:8001.120:80tcp/fastL42Vip_ftp0:ftpPool_ftp01.110:ftp01.120:ftptcp/fastL4SNAT地址规划如下表：SNAT规划表No.SNATnameorigintranslationVLANDescription1Snat_web.0/00internaltcptimeout3600基本配置本文以BIG-IPLTM1600为例讲解整个配置过程，基本上讲解了BIG-IP整个配置过程。对于新的BIG-IP设备，基本配置主要包括：通过LCD面板设置BIG-IP管理网口地址通过管理网口登录BIG-IPWeb界面通过SetupUtility激活License、配置Platform和配置网络。也可以通过导航菜单System->License激活License；System->Platform配置Platform。注意：在安装之前，必须注意如下事项：(1)BIG-IP的接口与VLAN分配相关，网线连接接口位置不能随意更改，否则可能导致网络无法连接。(2)互为双机的两台BIG-IP必须用随机附带的Failover线相连起来。(3)可以通过LCD面板设置/获取管理网口地址来进行基本配置，或是通过命令行方式，运行"config"命令来配置管理IP。通过LCD面板设置BIG-IP管理网口地址BIG-IP上电开机以后，首先需要通过机器LCD面板的按键设置Management管理网口的IP地址。管理网络接口缺省的IP地址为45/24。可以通过两种方式设置管理网口的IP地址：通过LCD按键按红色*按键。在液晶面板上通过按键按以下顺序设置管理网口的网络地址：System->Management->MgmtIP。在液晶面板上通过按键按以下顺序设置管理网口的子网掩码：System->Management->MgmtMask。进入“mit提交菜单”，确认提交通过Console口将PC机上的串口与F5BIG-IP设备面板上的“Serialconsoleport”用串口线连接。在PC机上通过超级终端登录F5BIG-IP，输入“config”，根据提示设置管理网口的IP地址。用户名/密码默认为：root/default。说明：Management(mgmt)接口可以用于维护管理用途，可以将该接口连接到业务系统维护VLAN。管理网络接口的IP地址不能与业务网络在同一网段，避免出现地址冲突。根据业务网络的地址划分，相应的调整管理网络接口的网络地址。如果通过LCD按键修改完IP地址以后，选择mit，地址无法成功改变(例如出现IP地址为全零的情况)，很有可能是管理口IP地址与系统已经配置发生冲突。出现这种情况，关机重启以后，重新选定IP地址或网段来设置管理网口地址。通过管理网口登录BIG-IPWebUI界面BIG-IP有两种管理方式，一种是基于WEB的https管理方式，另一种是基于ssh的命令行管理方式。除特别配置外，BIG-IP的配置主要采用WEB的管理方式即可。将计算机连接BIG-IP的管理网口，以WEB方式登陆：在管理员的IE地址栏输入BIG-IP设备的管理接口IP地址，如https://。管理接口的缺省IP地址为45。如果已经通过液晶面板上的按键更改过IP，输入相应的IP地址。连接后出现安全警告提示窗口，点击Yes继续。系统提示输入用户名和密码。缺省的用户名和密码为admin和admin输入正确后即可进入BIG-IP配置工具WEB界面。BIG-IP配置工具WEB界面激活License在配置BIG-IP之前，必须先激活F5的License。操作步骤如下。登录BIG-IP的WEB管理页面。未激活License之前，登录BIG-IP的WEB管理页面后，显示如下页面。单击“Activate”，进入如下页面。单击BaseRegistrationKey对应的“Edit”，在文本框中输入已获取的BaseRegistrationKey。ActivationMethod选择Manual。单击“Ne*t”。在弹出的对话框中单击“确定”，进入如下页面。申请License文件。在“步骤5”的图中，单击“step2”的超，进入F5License服务器。通常F5负载均衡器所处网络不能够直接上Internet，请将“Dossier”拷贝到可以上Internet的计算机中，进入F5License服务器。F5License服务器地址https://activate.f5./license/dossier.jsp将产生的Dossier复制进以下页面。单击“Ne*t”，生成License文件。在“步骤5”的图中，将申请的License填入“step3”的方框中。单击“Ne*t”，完成License激活，进入平台配置页面。注意：完成F5BIG-IP设备License激活后，请重启设备或者在CLI使用bigstartrestart命令可以手工重启BIG-IP服务进程。设置Platform平台(Platform)主要配置系统的通用属性，比如，主机名、IP地址、系统管理员等。可以通过WebUI进入配置页面System->Platform。Platform页面可设置HostName、Root密码、Admin密码、TimeZone。如果是双机，还要设置HighAvailability和UnitID。F5BIG-IP采用Linu*时区设置，中国时区其中没有时区信息，可以就近选择如下时区：Asia/Chungking（）、Asia/Harbin（）、Asia/Hong_Kong（）、Asia/Macao（澳门）、Asia/Shanghai（）和Asia/Urumqi（乌鲁木齐）。其他地区可以根据TimeZone下拉列表框进行相应选择。Platform页面ManagementPort管理网口的IP地址、子网掩码、路由。HostNameF5BIG-IP的主机名。HighAvailability采用双机冗余方式，设置为“RedundantPair”。UnitID采用双机冗余方式，主备机的UnitID不同。RootAccountRootAccount为命令行，初始密码为default。AdminAccountAdminAccount为WEB管理的，初始密码为admin。SSHAccess选中复选框表示允许通过SSH方式配置F5BIG-IP。注意：(1)root密码允许用户通过命令行访问BIG-IP系统。建议root密码长度大于6位，但不要超过32位字节。密码与大小写敏感，建议密码中包含大写/小写字母和数字。如果BIG-IP系统为双机系统，两台主备机的root/admin两个用户的密码必须保持一致。(2)主机名用来标识BIG-IP系统自身。主机名必须符合DNS域名标准。主机部分必须以字母开始，并至少为2个字符。举例：。(3)BIG-IP双机系统的主机名必须不一样，否则配置同步会产生错误，可能导致破坏license。如果BIG-IP运行于双机高可用性模式，因此需要在系统通用属性中设置双机：设置双机说明：通常双机系统中主机UnitID设置为1，备机UnitID为2。修改系统时钟修改BIG-IP系统时钟必须要通过CLI命令行界面完成，请通过Console或SSH方式连接到BIG-IP。常用的SSH客户端有PUTTY或SecureShellClient等。用SSH客户端连接BIG-IP的管理网口地址，进入命令行模式。执行date检查系统时钟。[rootZJHZ-PS-MMS3-SW02:Active]config*dateThuMay2516:59:15CST2006如果系统时钟跟当前时间相差较大，使用date命令修改系统时钟。命令格式：*date<month><day><hour><minute><year>.<second>*dateMMDDHHMMYYYY.SS如设置2007年1月1日中午*date7.00保存时间到BIOS。*hwclock–-systohc注意：(1)对于临时License的设备，不要轻易改系统时间，后果是License失效。(2)对于在运行的冗余系统，主、备机的时间不能超过10分钟，否则主、备机的同步不能完成。(3)系统时钟主要用于F5日志文件的计时时间。配置网络根据组网规划，对F5BIGIP的网络进行配置，包括划分VLAN、定义IP地址及路由等。划分VLAN点击左侧的导航条，进入Network->VLANs。打开VLANs页面在右侧可以对VLAN进行配置。创建方法如下：点击”Create…”按钮。VLAN设置设置VLAN名。在Name文本框设置这个VLAN的名字，如“sync”。在“Tag”中参照VLAN规划表输入VLAN号。如果不填，系统将自动分配一个VLAN号。建议按照VLAN规划表输入VLAN号，如果启用TaggedInterface时，可以跟交换机的802.1qTrunk端口匹配起来。将接口分配到VLAN中。在“Resources”表格中Interface:定义Available中显示的端口有选择性的划分到这个VLAN中。指定端口后，单击选入Untagged栏即可，如果对选定接口号点击“Tagged>>”，则该端口为802.1qTrunk端口。点击完成。配置完成后，主F5的vlan的配置如下：配置VLANIP地址在划分完VLAN后，即可对每个VLAN进行IP地址的定义。方法如下：点击左侧导航条中的Networks->SelfIps。打开SelfIPs页面在右侧可以对Ip地址进行配置。配置步骤：点击”Create…”按钮。SelfIP设置在页面对应栏进行填写：IPaddress:输入IP地址Netmask:输入子网掩码VLAN：选择将这个IP地址绑定在哪个VLAN上。选择下拉菜单将显示所有已设置的VLAN名。PortLockdown:通常保持默认值AllowDefault。当没有配置bselfallow时，可以选择AllowAll。FloatingIP:如果系统为冗余工作方式，需对每台设备的每个VLAN均设置两个IP地址。其中一个是SelfIP,另一个则为FloatingIP,即两台设备共用的IP地址。选中此项即代表这个IP地址为FloatingIP。UnitID:对于双机的浮动IP，需要选择FloatingIP，并选择对应的UnitID号。点击完成。完成配置后，主用F5的selfIP的配置如下：设置接口速率和双工类型点击左侧导航条中打开Network->Interfaces选择相应的端口。接口操作模式默认为自适应，通常不建议修改。接口操作模式设置配置静态路由点击左侧导航条中的Networks->Routes打开路由页面创建方法如下：点击在页面对应栏进行填写：Type:定义配置的是默认网关还是静态路由。Destination:定义目标网段Netmask:定义目标网段的掩码Resource:定义网关地址点击完成。配置LinkAggregation（可选）为提高链路可靠性，BIG-IP与LANSwitch互连网络采用两条网线进行链路汇聚。BIG-IP将链路汇聚称之为Trunk，不要与IEEE802.1q的Trunk属于混淆。点击左侧的导航条，进入NetworkTrunks:链路汇聚页面负载均衡业务配置负载均衡业务配置主要包含以下几个方面：Node节点——一般在Pool配置中添加，也可以单独创建。可以在Node页面中配置节点健康检查。Pool负载均衡池 ——包含可以将请求发送到其中进行处理的服务器。Profile——定义VirtualServer行为的设置。可以使用系统自带Profile，有些业务需要自定义Profile。VirtualServer虚拟服务器 ——VirtualServer接收客户端的访问请求，然后将请求分发给被负载均衡的节点服务器上。iRule——iRule是基于TCL语言的脚本处理引擎，可以非常灵活的实现一些特殊的流量处理需求。Monitor——Monitor跟踪Pool成员的当前状态。可以采用系统自带Monitor。有些业务需要自定义Monitor。SNAT——在负载均衡器部的服务器主动向外发起访问时，在负载均衡器上所做的地址映射。说明：服务器负载均衡器的设置只需要在一台BIG-IP1上进行设置，设置好以后，可以通过双机配置同步的方式将配置更新到BIG-IP2上。节点配置节点（Node）可以单独配置，一般在Pool配置时添加。点击左侧的导航条，选择LocalTraffic->VirtualServers->Nodes标签，点击“Create…”按钮添加节点（node）节点配置在上图中输入节点（服务器）的IP和名称，选择相应的Monitors，点击Finished完成配置。配置负载均衡池负载均衡池是负载均衡器中重要的属性，是根据负载均衡策略接收数据流量的一组设备。池与特定虚拟服务器相关联，流向虚拟服务器的流量通常会转给相关联的负载均衡池的成员节点。池可以执行负载均衡操作，比如发送流量到池中的指定节点或定义会话保持方式。当配置池时，必须配置池名、成员IP地址和负载均衡方法（BIG-IP系统默认策略为轮询“RoundRobin”方式）。配置步骤：左侧导航条中选择LocalTraffic->VirtualServers->Pools标签，点击“Create”按钮添加服务器池(Pool)。负载均衡池配置页面在“Name”中输入负载均衡器名称。在“LoadBalancingMethod”表格中选择负载均衡方法，通常采用默认轮询方法。在“Resources”表格中的“Address”文本框输入成员IP地址，在“ServicePort”文本框中输入服务端口（通用服务可以在下拉框选择对应服务），点击“Add”添加到“CurrentMembers”当前成员列表中。添加所有组成员，点击“Finished”完成配置。配置虚拟服务器虚拟服务器（Virtualserver）是一个可PING的虚拟IP地址和服务端口的组合（比如0:http），虚拟服务器与负载均衡池（Pool）相对应，负载均衡池由一或多个节点（Node）组成。虚拟服务器有许多类型，本文只讲述业务与软件产品使用的标准虚拟服务器配置。创建虚拟服务器配置步骤：在导航面板中选择LocalTraffic->VirtualServers标签，点击“Create”按钮添加虚拟服务器。虚拟服务器配置1虚拟服务器配置2在“Name”文本框中输入名称，“Address”文本框中输入虚拟服务器IP地址，并在“ServicePort”文本框中输入服务端口号或在下拉框中选择现有的服务名称。对于FTP服务必须要从下拉框选择服务名称。在Configuration栏的Type类型中，缺省为“Standard”方式，一般不需要更改。如果虚拟服务器只用于部一个节点服务器1:1方式访问时，可以选用“Forwarding(IP)”方式；如果负载均衡器仅用于4层交换，可以采用“Performance(Layer4)”方式，以提高四层处理性能；如果虚拟服务器用于HTTP服务，可以采用“Performance(HTTP)”方式，以提升HTTP请求处理性能。根据业务需要可以对应调整Protocol、OneConnectProfile（用于实现TCP连接复用，即多个连接到负载均衡器时，负载均衡器只需一个连接到部服务器，以提升服务器性能）、HTTPProfile、FTPProfile等。在Resourse属性中，选择相应的pool和persistence方式。点击“Finished”完成创建虚拟服务器。将虚拟服务器和负载均衡器相关联和会话保持配置配置步骤：在“LocalTraffic→VirtualServers”中点击相应的Virtualserver，选择Resources项会话保持配置页面对DefaultPersistenceProfile进行配置选择会话保持方法说明：会话保持验证可使用“tcpdump”工具进行验证，tcpdump使用参见附录说明。点击”Update”完成配置。配置健康检查节点状态监控（Monitor）用于检验负载均衡池中成员节点的连接和服务信息，包括健康监控和性能监控，当池中成员节点性能下降时BIG-IP系统将会把流量重定向到其它节点。配置节点状态监控包括如下两项工作：自定义节点状态监控监控与节点/负载均衡池相关联其中自定义节点状态监控配置步骤是可选的，当使用默认监控模板时，此步骤可以跳过。自定义节点状态监控节点如果使用标准服务，只需要使用BIG-IP系统提供默认监控模板即可，不需要进行自定义。当监控信息需要对服务的容或服务协议信息进行监控时，这时需要进行自定义节点状态监控。配置步骤：在导航面板中选择“Monitor”中的“Monitors”标签，点击“Create”按钮添加监控。创建Monitor－选择Monitor类型模板在“Type”中选择采用模板，比如HTTP或HTTPS等，在“Name”文本框输入监控名称。创建Monitor－自定义Monitor在“Configure”表格中使用默认属性。根据监控模板的不同对属性进行配置，比如对HTTPECV属性的“SendString”配置为“GET/user/inde*.htmlHTTP/1.0\r\n\r\n”；将Internal更改为10秒，Timeout更改为31秒(3*Internal+1)。完成监控配置后，点击“Finished”完成配置。说明：当默认监控方法无法实现检测服务器运行状态时，需要定制的监控。例如，默认的域名方式使用“GET/”命令无法获取正确页面或页面经过多次重定向，这时BIG-IP系统无确检测服务器状态，我们需要手工更改命令，比如“GET/user/inde*.html”，使HTTP检查方法可以检测出服务器的运行状态。同时需要注意GET的语法，在v9和v10中是不一样的，而且HTTP1.0和HTTP1.1也不一样。监控与节点/负载均衡池相关联监控必须要跟节点/负载均衡池相关联才能生效。监控与节点相关联配置步骤：点击左侧的导航条，选择LocalTraffic->VirtualServers->Nodes标签，选中需要监控的节点（Node）调整HealthMonitors节点配置项下拉框HealthMonitors缺省为NodeDefault。NodeDefault设置可以在LocalTraffic->VirtualServers->Nodes->DefaultMonitor标签中调整；如果需要针对具体节点调整监控方式，选择下拉框HealthMonitors为NodeSpecific，将可用的Monitor方式选中点击“<<”添加到SelectMonitors中；如果不需要监控，选择None即可。配置DefaultMonitor完成配置后，点击Update按钮使配置生效。监控与负载均衡池相关联配置步骤：点击左侧的导航条，选择LocalTraffic->VirtualServers->Pools标签，选中需要监控的负载均衡池（Pool）将Monitore与负载均衡池相关联在HealthMonitors中将可用的Monitor方式选中点击“<<”添加到Active栏中。完成配置后，点击Update按钮使配置生效。检查系统状态配置完负载均衡池、节点监控和虚拟服务器后，我们可以通过“Localtraffic->VirtualServers”页面查看Virtualserver的状态；“Localtraffic->Pool”页面查看Pool的状态。当图标为绿色时表示节点或虚拟服务器可用，当图标为红色则意味着节点或虚拟服务器状态为离线，如果图标为黄色说明节点或虚拟服务器不可用。如果图标为蓝色说明节点或虚拟服务器状态未知，通常此时没有启用Monitor。如果图标为黑色说明虚拟服务器被禁用。配置SNAT跟路由器、防火墙一样，BIG-IP系统提供NAT(NetworkAddressTranslation)和SNAT(SecureNetworkAddressTranslation)地址转换机制，SNAT地址转换跟CiscoPAT方式类似。如果不启用NAT/SNAT，负载均衡池部节点将无法访问外部网络，即外部IP可以通过虚拟服务器IP访问负载均衡池节点，但负载均衡池部节点不能发起对外连接。NAT和SNAT都可以通过地址转换访问外部网络，不过SNAT不接受外部发起的连接。一个SNAT地址可以对应一个节点地址、多个节点地址或一个VLAN网段。NAT地址与节点地址是一对一的关系。本文仅给出业务与软件常用的SNAT配置步骤。说明：SNAT地址可以不是唯一的，比如，SNAT地址可以使用虚拟服务器的IP地址。配置步骤在导航面板中选择LocalTraffic->SNATs标签，点击“Create”按钮添加SNAT地址。SNAT配置在“Name”文本框中输入名称在“Translation”文本框中输入SNATIP地址，并在“OriginList”的“OriginAddress”文本框中输入节点IP地址或在“VLANTraffic”的下拉框中选择“Enableon”或“Disableon”在VLANList中选择相应的Vlan，点击“<<”加入“Selected”列表。按“Finished”完成添加SNATIP地址。通常我们希望部节点可以Ping到外部网络，这时我们需要在System>GernalProperties>LocalTraffic>Gernal”中启用“SnatPacketforwarding“。说明：如果需要添加外部单独访问部特定节点IP。由于NAT和SNAT不能共存，可以针对特定节点创建单个节点组成的负载均衡池Pool，服务为“0”，然后创建虚拟服务器VIP，服务也为“0”，将VIP和Pool关联起来，这时候这个VIP就是那台要访问的服务器。同时需要注意的是，在v10中，snat的timeout时间缺省是无限长的，需要手工到snat地址中对其做修改，否则有可能引起业务的问题。验证SNAT配置在检查SNAT配置正确性之前，必须确保BIG-IP系统网关已经配置完毕。请在CLI界面用“netstat–nr”命令确定网关信息已经配置完毕：f5test1:~*netstat-nrRoutingtablesInternet:DestinationGatewayFlagsMTUIfdefault54UGS3400vlan3554UGHc3400vlan92/26link*7UC3400vlan1.78UHLc3400vlan1d.f2UHLc3400vlan1127UGRS4352lo0UH4352lo0192.168.1link*6UC3400vlan0192.168.129link*8UC3400vlan22link*8UHLc3400vlan23link*8UHLc3400vlan260.e5.27UHLc3400lo0f5test1:~*在BIG-IP系统CLI界面中用TCPDUMP验证SNAT配置。举例，在部节点（IP:2）中Ping外部IP地址(2)，BIG-IP的InternalVLANIP为6（对应SNAT地址为13），测试显示如下：f5test1:~*tcpdump-ie*ternalhost13andicmptcpdump:listeningone*ternal11:04:55.08557613>2:icmp:echorequest11:04:55.0878032>13:icmp:echoreply11:04:55.09955013>2:icmp:echorequest11:04:55.1027972>13:icmp:echoreplyf5test1:~*tcpdump-iinternalhost2andicmptcpdump:listeningoninternal11:06:02.8595182>2:icmp:echorequest11:06:02.8617882>2:icmp:echoreply11:06:02.8650222>2:icmp:echorequest11:06:02.8667682>2:icmp:echoreply双机配置BIG-IP系统一般都会配置双机，在配置BIG-IP系统双机（Failover）之前请确认两台BIG-IP系统两者的硬件型号和软件版本必须一致，在CLI使用“bversion”查看或者在Web页面的导航面板中选择“System”中的“Configuration”标签，可以查看版本信息。无论主用系统还是备机都要进行基本配置。本处仅给出配置双机的注意事项和基本配