1、. .- .jz*歸原作者所有 更多資源請訪問三通IT學院 HYPERLINK .santongit. .santongit. F5 BIG-IP LTM負載均衡器配置指導書v10) DATE yyyy-MM-dd * MERGEFORMAT 4/8/2022修訂記錄日期修訂版本描述作者2011-08-151.00初稿完成鄒善. .PAGE 1- .jz*目 錄 TOC o 1-3 h z u HYPERLINK l _Toc301216457第1章 F5 BIG-IP LTM簡介 PAGEREF _Toc301216457 h 1HYPERLINK l _Toc3012164581.1 負載

2、均衡技術簡介 PAGEREF _Toc301216458 h 1HYPERLINK l _Toc3012164591.2 F5 BIG-IP LTM產品介紹 PAGEREF _Toc301216459 h 1HYPERLINK l _Toc3012164601.3 產品面板簡介 PAGEREF _Toc301216460 h 3HYPERLINK l _Toc3012164611.4 配置方式 PAGEREF _Toc301216461 h 5HYPERLINK l _Toc3012164621.5 根本概念 PAGEREF _Toc301216462 h 6HYPERLINK l _Toc3

3、01216463第2章 BIG-IP LTM規劃與配置準備工作 PAGEREF _Toc301216463 h 8HYPERLINK l _Toc3012164642.1 BIG-IP LTM配置步驟 PAGEREF _Toc301216464 h 8HYPERLINK l _Toc3012164652.2 組網規劃 PAGEREF _Toc301216465 h 9HYPERLINK l _Toc3012164662.2.1 規劃準備要點 PAGEREF _Toc301216466 h 9HYPERLINK l _Toc3012164672.2.2 組網圖 PAGEREF _Toc30121

4、6467 h 9HYPERLINK l _Toc301216468第3章 根本配置 PAGEREF _Toc301216468 h 11HYPERLINK l _Toc3012164693.1 通過LCD面板設置BIG-IP管理網口地址 PAGEREF _Toc301216469 h 12HYPERLINK l _Toc3012164703.2 通過管理網口登錄BIG-IP WebUI界面 PAGEREF _Toc301216470 h 13HYPERLINK l _Toc3012164713.3 激活License PAGEREF _Toc301216471 h 14HYPERLINK l

5、_Toc3012164723.4 設置Platform PAGEREF _Toc301216472 h 17HYPERLINK l _Toc3012164733.5 修改系統時鐘 PAGEREF _Toc301216473 h 19HYPERLINK l _Toc3012164743.6 配置網絡 PAGEREF _Toc301216474 h 20HYPERLINK l _Toc3012164753.6.1 劃分VLAN PAGEREF _Toc301216475 h 20HYPERLINK l _Toc3012164763.6.2 配置VLAN IP地址 PAGEREF _Toc30121

6、6476 h 22HYPERLINK l _Toc3012164773.6.3 設置接口速率和雙工類型 PAGEREF _Toc301216477 h 24HYPERLINK l _Toc3012164783.6.4 配置靜態路由 PAGEREF _Toc301216478 h 24HYPERLINK l _Toc3012164793.6.5 配置Link Aggregation可選 PAGEREF _Toc301216479 h 26HYPERLINK l _Toc301216480第4章 負載均衡業務配置 PAGEREF _Toc301216480 h 27HYPERLINK l _Toc

7、3012164814.1 節點配置 PAGEREF _Toc301216481 h 27HYPERLINK l _Toc3012164824.2 配置負載均衡池 PAGEREF _Toc301216482 h 28HYPERLINK l _Toc3012164834.3 配置虛擬效勞器 PAGEREF _Toc301216483 h 30HYPERLINK l _Toc3012164844.3.1 創立虛擬效勞器 PAGEREF _Toc301216484 h 30HYPERLINK l _Toc3012164854.3.2 將虛擬效勞器和負載均衡器相關聯和會話保持配置 PAGEREF _To

8、c301216485 h 33HYPERLINK l _Toc3012164864.4 配置安康檢查 PAGEREF _Toc301216486 h 34HYPERLINK l _Toc3012164874.4.1 自定義節點狀態監控 PAGEREF _Toc301216487 h 35HYPERLINK l _Toc3012164884.4.2 監控與節點/負載均衡池相關聯 PAGEREF _Toc301216488 h 37HYPERLINK l _Toc3012164894.4.3 檢查系統狀態 PAGEREF _Toc301216489 h 39HYPERLINK l _Toc3012

9、164904.5 配置SNAT PAGEREF _Toc301216490 h 39HYPERLINK l _Toc3012164914.5.1 配置步驟 PAGEREF _Toc301216491 h 39HYPERLINK l _Toc3012164924.5.2 驗證SNAT配置 PAGEREF _Toc301216492 h 42HYPERLINK l _Toc301216493第5章 雙機配置 PAGEREF _Toc301216493 h 43HYPERLINK l _Toc3012164945.1 雙機設置 PAGEREF _Toc301216494 h 43HYPERLINK

10、l _Toc3012164955.2 雙機狀態監控設置 PAGEREF _Toc301216495 h 46HYPERLINK l _Toc3012164965.3 雙機狀態檢查和配置同步 PAGEREF _Toc301216496 h 48HYPERLINK l _Toc301216497第6章 其他的組網方式 PAGEREF _Toc301216497 h 49HYPERLINK l _Toc3012164986.1 單臂組網方式 PAGEREF _Toc301216498 h 49HYPERLINK l _Toc3012164996.2 n-path組網方式 PAGEREF _Toc30

11、1216499 h 50. .- .jz*關鍵詞：負載均衡池、虛擬效勞器，節點、會話保持、監控、ECV、EAV、SNAT摘要：按照常見的配置步驟，本文對F5 BIG-IP LTM負載均衡器設備配置進展說明，并對負載均衡器的根本概念和F5設備使用過程中遇到的常見問題進展解答。本指導書適用于BIG-IP LTM 1600/3600負載均衡器(BIG-IP version 10)。縮略語清單：ECVExtended Content Verification 可擴展的容驗證EAV Extended Application Verification可擴展的應用驗證SNATSecure Network A

12、ddress Translation平安網絡地址轉換LTMLocal Traffic Manager本地流量管理器LACPLink Aggregation Control Protocol鏈路會聚控制協議參考資料清單：F5 BIG-IP LTM負載均衡器配置指導書，林浩泓 華為技術HUAWEI AAA RADIUS負載均衡配置指南-F5 BIG-IP，華為技術Platform Guide: 1600, F5 Networks, 2011Platform Guide: 3600, F5 Networks, 2011Configuration_Guide_for_BIG-IP_Global_Tra

13、ffic_Manager(v10.2), F5 Networks, 2011TMOS_Management_Guide_for_BIG-IP_Systems, F5 Networks, 2011BIG-IPLocalTrafficManagerImplementations, F5 Networks, 2011. .- .jz*F5 BIG-IP LTM簡介負載均衡技術簡介在只部署了一臺效勞器的情況下，隨著訪問量的增加，一臺效勞器不能滿足應用的需要，而需要增加更多的效勞器。當部署了兩臺以上的效勞器時，就可能會需要用到負載均衡器。效勞器負載均衡器是指設置在一組功能一樣或相似的效勞器前端，對到達效

14、勞器組的流量進展合理分發；并在其中某一臺效勞器故障時，能將訪問請求轉移到其它可以正常工作的效勞器的軟件或網絡設備。通過效勞器負均衡器，對流量進展合理分配，可以帶來以下好處：提高性能負載均衡器可以實現效勞器之間的負載平衡，從而提高了系統的反響速度與總體性能。提高可靠性負載均衡器可以對效勞器的運行狀況進展監控，及時發現運行異常的效勞器，并將訪問請求轉移到其它可以正常工作的效勞器上，從而提高效勞器組的可靠性。提高可維護性采用了負均衡器器以后，可以根據業務量的開展情況靈活增加效勞器，系統的擴展能力得到提高，同時簡化了管理。F5 BIG-IP LTM產品介紹隨著F5 BIG-IP 1500/3400/6

15、400/6800/8400/8800負載均衡器停產，目前F5公司負載均衡器(亦稱為本地流量管理器)有BIG-IP LTM 1600/3600/3900/6900/8900/8950/11050/Viprion2400/Viprion4400等型號。F5 BIG-IP LTM負載均衡產品規格6900系列中級多用途流量管理處理器：2 x dualcore根本存：8GB千兆位CU端口：16個千兆位光纖端口(SFP - GBIC Mini)：8個4個標準、4個可選包括：SSL TPS/Max TPS/Bulk 加速模塊：500/25,000/4Gbps流量吞吐量：6Gbps/秒3900系列普通多用途流

16、量管理處理器：1 x quadcore根本存：8GB千兆位CU端口：8個千兆位光纖端口(SFP - GBIC Mini)： 4個可選包括：SSL TPS/Max TPS/Bulk加速模塊：500/15,000/2.4Gbps流量吞吐量：4Gbps3600系列普通多用途流量管理處理器：1 x dualcore根本存：4GB千兆位CU端口：8個千兆位光纖端口(SFP - GBIC Mini)： 2個可選包括：SSL TPS/Max TPS/Bulk 加速模塊：500/10,000/2Gbps流量吞吐量：2Gbps1600系列普通多用途流量管理處理器：1 x dualcore根本存：4GB千兆位CU

17、端口：4個千兆位光纖端口(SFP - GBIC Mini)：2個可選包括：SSL TPS/Max TPS/Bulk加速模塊：500/5,000/1Gbps流量吞吐量：1GbpsViprion4400系列超級多用途流量管理滿配置4 x B4200)處理器：8 x quadcore根本存：64GB千兆位CU端口：16個千千兆萬兆位自適應SFP/SFP+端口：32個(8個標準，24個可選包括：SSL TPS/Max TPS/Bulk 加速模塊：16,000/200,000/36Gbps流量吞吐量：72Gbps-L4 72Gbps-L7Viprion 2400 系列超級多用途流量管理滿配置4 x B2

18、100)處理器：4 x quadcore根本存：64GBePVA Layer 4加速芯片千兆萬兆位自適應SFP/SFP+端口：32個(8個標準，24個可選包括：SSL TPS/Max TPS/Bulk 加速模塊：8000/200,000/16Gbps流量吞吐量：160Gbps-L4 72Gbps-L711050系列高級多用途流量管理處理器：2 x hexcore根本存：32GB千兆萬兆位自適應SFP/SFP+端口：10個(2個標準，8個可選包括：SSL TPS/Max TPS/Bulk加速模塊：500/100,000/15Gbps流量吞吐量：42Gbps8900/8950系列中高級多用途流量管

19、理處理器：2 x quadcore根本存：16GB千兆位CU端口：16個千兆位光纖端口(SFP - GBIC Mini)：8個4個標準、4個可選包括：SSL TPS/Max TPS/Bulk 加速模塊：8900-500/58,000/9.6 Gbp 8950-500/56,000/9.6 Gbps流量吞吐量：8900-12Gbps8950-20Gbps產品面板簡介F5 Networks, Inc.是一家專注于IP網絡流量和容管理(iTCM領域的廠商。F5公司的BIG-IP系統可以作為網絡中的負載均衡設備。F5 BIG-IP 1600設備的前面板視圖如下列圖所示。BIG-IP 1600前面板視圖

20、BIG-IP 3600前面板視圖Management Port 管理接口USB接口Console Port 串口Failover Port，硬件Failover接口10/100/1000 interfaceSFP PortLED狀態燈LCD顯示屏LCD控制按鍵BIG-IP 1600應用交換機具備4個10/100/1000M自適應的網絡接口及2個光纖接口。BIG-IP 3600應用交換機具備8個10/100/1000M自適應的網絡接口及4個光纖接口。10/100/1000 interface 10/100/1000 M 自適應的網絡接口。SFP 1000M SFP接口，可插1000M多模/單模/

21、電接口SFP模塊。Serial console port 一個串口命令行管理端口。PC終端可以通過串口線連接此端口，配置BIG-IP。Failover port 一個串口冗余狀態判斷端口。在主備冗余方式下通過隨機附帶的Failover線連接此端口。Mgmt interface一個10/100M管理網口。配置管理網口IP地址之后，可以通過網線連接此網口，配置BIG-IP。BIG-IP 1600/3600后面板視圖把手電源模塊未插電源模塊的擋板1600/3600都可以支持交流和直流電，直接通過更換交、直流的電源模塊即可。同時1600/3600都支持雙電源。配置方式F5 BIG-IP 提供兩種配置方

22、式：WEB方式通過 S訪問BIG-IP系統Web主頁面進展配置。如： s:/45命令行方式SSH通過SSH遠程登錄進展配置。Console通過串口線連接Console口進展配置，計算機的超級終端的設置如下：每秒位數選擇“19200。數據流控制選擇“無。其他參數保存缺省值。由于WEB配置方式一般配置比擬直接，所以在一般的配置過程中，建議通過WEB的方式完成配置，命令行的配置方式，一般在查錯時使用。根本概念節點Node節點是處理負載均衡器發送流量的設備，通常是業務效勞器。當效勞器參加負載均衡池成為池成員時，效勞器就稱為節點，Node是指效勞器的IP地址，如10。負載均衡成員(Pool Member

23、)負載均衡成員是處理負載均衡器發送的測試設備和端口，Pool Member是指效勞器的IP地址+端口號，如10:80。負載均衡池Pool一組Pool member組成一個Pool，池與特定虛擬效勞器相關聯，流向虛擬效勞器的流量通常會轉給相關聯的負載均衡池中的成員節點。如Pool_web中有兩個成員10:80和20:80虛擬效勞器Virtual Server虛擬效勞器對應一個虛擬地址+端口號，是一個可見的、可路由的實體。客戶端請求某個虛擬效勞器，即請求某種類型的效勞。建立虛擬效勞器與負載均衡池之間的關聯后，來自某個虛擬效勞器的請求會被轉發給與之關聯的負載均衡池中的節點，由這個節點響應客戶端的請求

24、。如0:80是一個Virtual server負載均衡(load balance method)負載均衡即是Virtual server收到客戶端的請求后，采用什么方式把請求分發到后臺的pool member中去。負載均衡方法是在pool中配置，負載均衡方法包括Round Robin,Ratio,Fastest,Least Connections,Least Sessions等負載均衡方法。會話保持(Persistence)會話保持就是指負載均衡器可以確保同一客戶端一系列相關聯的訪問請求會被分配到同一個節點上。會話保持方法在Virtual server中配置，會話保持方法包括：Source a

25、ddress,Cookie,Destination address,Hash,SIP,SSL等會話保持方法。安康檢查Monitor安康檢查用于檢驗負載均衡池中成員節點安康狀態。當池中成員節點效勞中斷時，BIG-IP設備將會把流量重定向到其它成員工點。安康檢查方法包括ping成員的IP地址、檢查成員的端口是否啟用、模擬客戶端發真正的業務請求等。BIG-IP LTM規劃與配置準備工作BIG-IP LTM配置步驟在對F5 BIG-IP進展配置之前，首先要做好規劃工作。BIG-IP LTM主要配置步驟如下：組網規劃 在組網規劃中，包含主機名、IP地址/VLAN、路由、虛擬效勞器、地址池、負載均衡算法、

26、會話保持方式、雙機等容進展規劃，并繪制出組網拓撲圖。初始化配置 通常使用WEB完成初始化配置，包括激活License、平臺配置和網絡配置。配置網絡VLAN和IP地址更改系統時鐘可選配置負載均衡池配置節點狀態監控配置虛擬效勞器配置SNAT/NAT配置雙機 說明：(1) 本配置步驟為常見配置順序。本文沒有包括過濾和SSL Proxy等配置。(2) 主用BIG-IP系統要完成以上所有配置步驟，備用BIG-IP系統可以跳過5-8步，而通過主用BIG-IP系統將配置同步到備用BIG-IP系統中去。組網規劃本節主要根據典型F5 BIG-IP LTM典型應用以實例給出配置指南，后續章節具體配置說明不一定跟本

27、實例完全一樣。規劃準備要點在安裝BIG-IP系統之前，請檢查如下準備工作是否做好：設備物理連接規劃。IP地址規劃，根據實際需要劃分網段和分配IP地址。BIG-IP雙機需要3個外部VLAN IP，2個分別為主備機的Self IP，一個為Share IP。BIG-IP雙機需要3個部VLAN IP，2個分別為主備機的Self IP，一個為Share IP。BIP-IP雙機需要2個同步VLAN IP，2個分別為主備機的Self IP如果需要啟用network failover功能)每一個虛擬效勞器IP地址或NAT需要一個外部VLAN IP。SNAT映射IP地址可以跟虛擬效勞器IP地一樣。BIG-IP部

28、每個節點需要一個部VLAN IP。確定BIG-IP主機名，并且確保BIG-IP雙機主機名不一樣。確定BIG-IP unit ID，并且確保BIG-IP雙機的unit ID不一樣。組網圖典型F5 BIG-IP LTM負載均衡器部署方式采用“雙臂旁掛式連接如REF _Ref137629135 r h圖2-1所示。典型F5 BIG-IP LTM負載均衡器部署示意圖IP地址和物理端口分配如下表所示：IP地址和物理端口分配表ID主機名VLANVLAN ID端口Self IP地址Float IP地址端口對端描述1LB01.test.External 1001.145/2454交換機1外部vlan G1/0

29、/5Internal2001.245/2454交換機1部vlan G1/0/4sync3001.2/24N/A交換機1部vlan G1/0/4Mgmt400mgmt45/24N/A維護交換機2LB02.test.External 1001.146/2454交換機2外部vlan G1/0/5Internal2001.246/2454交換機2部vlan G1/0/4sync3001.2/24N/A交換機2部vlan G1/0/4Mgmt400mgmt46/24N/A維護vlan交換機Virtual Server與成員信息表如下：Virtual Server與成員信息表No.Virtual name

30、Virtual serverPoolNodesDescription1Vip_web0: Pool_web10:8020:80tcp/fastL42Vip_ftp0:ftpPool_ftp10:ftp20:ftptcp/fastL4SNAT地址規劃如下表：SNAT規劃表No.SNAT nameorigintranslationVLANDescription1Snat_web/00internaltcp timeout 3600根本配置本文以BIG-IP LTM 1600為例講解整個配置過程，根本上講解了BIG-IP整個配置過程。對于新的BIG-IP設備，根本配置主要包括：通過LCD面板設置BI

31、G-IP管理網口地址通過管理網口登錄BIG-IP Web界面通過Setup Utility激活License、配置Platform和配置網絡。也可以通過導航菜單System - License激活License；System - Platform配置Platform。 注意： 在安裝之前，必須注意如下事項：(1) BIG-IP的接口與VLAN分配相關，網線連接接口位置不能隨意更改，否那么可能導致網絡無法連接。(2) 互為雙機的兩臺BIG-IP必須用隨機附帶的Failover線相連起來。(3) 可以通過LCD面板設置/獲取管理網口地址來進展根本配置，或是通過命令行方式，運行config命令來配置

32、管理IP。通過LCD面板設置BIG-IP管理網口地址BIG-IP上電開機以后，首先需要通過機器LCD面板的按鍵設置Management管理網口的IP地址。管理網絡接口缺省的IP地址為45/24。可以通過兩種方式設置管理網口的IP地址：通過LCD按鍵按紅色X按鍵。在液晶面板上通過按鍵按以下順序設置管理網口的網絡地址：System - Management - Mgmt IP。在液晶面板上通過按鍵按以下順序設置管理網口的子網掩碼：System - Management - Mgmt Mask。進入“mit提交菜單，確認提交通過Console口將PC機上的串口與F5 BIG-IP設備面板上的“Ser

33、ial console port用串口線連接。在PC機上通過超級終端登錄F5 BIG-IP，輸入“config，根據提示設置管理網口的IP地址。用戶名/密碼默認為：root/default。 說明：Management (mgmt)接口可以用于維護管理用途，可以將該接口連接到業務系統維護VLAN。管理網絡接口的IP地址不能與業務網絡在同一網段，防止出現地址沖突。根據業務網絡的地址劃分，相應的調整管理網絡接口的網絡地址。如果通過LCD按鍵修改完IP地址以后，選擇mit，地址無法成功改變(例如出現IP地址為全零的情況)，很有可能是管理口IP地址與系統已經配置發生沖突。出現這種情況，關機重啟以后，重

34、新選定IP地址或網段來設置管理網口地址。通過管理網口登錄BIG-IP WebUI界面BIG-IP有兩種管理方式，一種是基于WEB的 s管理方式，另一種是基于ssh的命令行管理方式。除特別配置外，BIG-IP的配置主要采用WEB的管理方式即可。將計算機連接BIG-IP 的管理網口，以WEB方式登陸：在管理員的IE地址欄輸入BIG-IP設備的管理接口IP地址，如 s:/45。管理接口的缺省IP地址為45。如果已經通過液晶面板上的按鍵更改正IP，輸入相應的IP地址。連接后出現平安警告提示窗口，點擊Yes繼續。系統提示輸入用戶名和密碼。缺省的用戶名和密碼為admin和admin輸入正確后即可進入BIG

35、-IP配置工具WEB界面。BIG-IP配置工具WEB界面激活License在配置BIG-IP之前，必須先激活F5的License。操作步驟如下。登錄BIG-IP的WEB管理頁面。未激活License之前，登錄BIG-IP的WEB管理頁面后，顯示如下頁面。單擊“Activate，進入如下頁面。單擊Base Registration Key對應的“Edit，在文本框中輸入已獲取的Base Registration Key。Activation Method選擇Manual。單擊“Next。在彈出的對話框中單擊“確定，進入如下頁面。申請License文件。在“步驟5的圖中，單擊“step 2的超，進

36、入F5 License效勞器。通常F5負載均衡器所處網絡不能夠直接上Internet，請將“Dossier拷貝到可以上Internet的計算機中，進入F5 License效勞器。F5 License效勞器地址 s:/activate.f5./license/dossier.jsp將產生的Dossier復制進以下頁面。單擊“Next，生成License文件。在“步驟5的圖中，將申請的License填入“step 3的方框中。單擊“Next，完成License激活，進入平臺配置頁面。 注意： 完成F5 BIG-IP設備License激活后，請重啟設備或者在CLI使用bigstart restart

37、命令可以手工重啟BIG-IP效勞進程。設置Platform平臺(Platform)主要配置系統的通用屬性，比方，主機名、IP地址、系統管理員等。可以通過WebUI進入配置頁面System - Platform。Platform頁面可設置Host Name、Root密碼、Admin密碼、Time Zone。如果是雙機，還要設置High Availability和Unit ID。F5 BIG-IP采用Linux時區設置，中國時區其中沒有時區信息，可以就近選擇如下時區：Asia/Chungking、Asia/Harbin、Asia/Hong_Kong、Asia/Macao澳門、Asia/Shangh

38、ai和Asia/Urumqi烏魯木齊。其他地區可以根據Time Zone下拉列表框進展相應選擇。Platform頁面Management Port管理網口的IP地址、子網掩碼、路由。Host NameF5 BIG-IP的主機名。High Availability采用雙機冗余方式，設置為“Redundant Pair。Unit ID采用雙機冗余方式，主備機的Unit ID不同。Root AccountRoot Account為命令行，初始密碼為default。Admin AccountAdmin Account為WEB管理的，初始密碼為admin。SSH Access選中復選框表示允許通過SSH

39、方式配置F5 BIG-IP。 注意： (1) root密碼允許用戶通過命令行訪問BIG-IP系統。建議root密碼長度大于6位，但不要超過32位字節。密碼與大小寫敏感，建議密碼中包含大寫/小寫字母和數字。如果BIG-IP系統為雙機系統，兩臺主備機的root/admin兩個用戶的密碼必須保持一致。(2) 主機名用來標識BIG-IP系統自身。主機名必須符合DNS域名標準。主機局部必須以字母開場，并至少為2個字符。舉例：。(3) BIG-IP雙機系統的主機名必須不一樣，否那么配置同步會產生錯誤，可能導致破壞license。如果BIG-IP運行于雙機高可用性模式，因此需要在系統通用屬性中設置雙機：設置

40、雙機 說明：通常雙機系統中主機Unit ID設置為1，備機Unit ID為2。修改系統時鐘修改BIG-IP系統時鐘必須要通過CLI命令行界面完成，請通過Console或SSH方式連接到BIG-IP。常用的SSH客戶端有PUTTY或Secure Shell Client等。用SSH客戶端連接BIG-IP的管理網口地址，進入命令行模式。執行date檢查系統時鐘。rootZJHZ-PS-MMS3-SW02:Active config # dateThu May 25 16:59:15 CST 2006如果系統時鐘跟當前時間相差較大，使用date命令修改系統時鐘。命令格式：# date .# date

41、 MMDDHHMMYYYY.SS如設置2007年1月1日中午12：00：00# date 7.00保存時間到BIOS。# hwclock -systohc 注意： (1) 對于臨時License的設備，不要輕易改系統時間，后果是License失效。(2) 對于在運行的冗余系統，主、備機的時間不能超過10分鐘，否那么主、備機的同步不能完成。(3) 系統時鐘主要用于 F5 日志文件的計時時間。配置網絡根據組網規劃，對F5 BIGIP的網絡進展配置，包括劃分VLAN、定義IP地址及路由等。劃分VLAN點擊左側的導航條，進入Network - VLANs。翻開VLANs頁面在右側可以對VLAN進展配置

42、。創立方法如下：點擊Create按鈕。VLAN設置設置VLAN名。在Name文本框設置這個VLAN的名字，如“sync。在“Tag中參照VLAN規劃表輸入VLAN號。如果不填，系統將自動分配一個VLAN號。建議按照VLAN規劃表輸入VLAN號，如果啟用Tagged Interface時，可以跟交換機的802.1q Trunk端口匹配起來。將接口分配到VLAN中。在“Resources表格中Interface:定義Available中顯示的端口有選擇性的劃分到這個VLAN中。指定端口后，單擊選入Untagged欄即可，如果對選定接口號點擊“Tagged ，那么該端口為802.1q Trunk端口

43、。點擊完成。配置完成后，主F5的vlan的配置如下：配置VLAN IP地址在劃分完VLAN后，即可對每個VLAN進展IP地址的定義。方法如下：點擊左側導航條中的Networks - Self Ips。翻開Self IPs頁面在右側可以對Ip地址進展配置。配置步驟：點擊Create按鈕。Self IP設置在頁面對應欄進展填寫：IP address: 輸入IP地址Netmask: 輸入子網掩碼VLAN：選擇將這個IP地址綁定在哪個VLAN上。選擇下拉菜單將顯示所有已設置的VLAN名。Port Lockdown: 通常保持默認值Allow Default。當沒有配置b self allow時，可以選

44、擇Allow All。Floating IP:如果系統為冗余工作方式，需對每臺設備的每個VLAN均設置兩個IP地址。其中一個是Self IP,另一個那么為Floating IP,即兩臺設備共用的IP地址。選中此項即代表這個IP地址為Floating IP。Unit ID: 對于雙機的浮動IP，需要選擇Floating IP，并選擇對應的Unit ID號。點擊完成。完成配置后，主用F5的self IP的配置如下：設置接口速率和雙工類型點擊左側導航條中翻開Network - Interfaces選擇相應的端口。接口操作模式默認為自適應，通常不建議修改。接口操作模式設置配置靜態路由點擊左側導航條中的

45、Networks - Routes翻開路由頁面創立方法如下：點擊在頁面對應欄進展填寫：Type: 定義配置的是默認網關還是靜態路由。Destination: 定義目標網段Netmask: 定義目標網段的掩碼Resource: 定義網關地址點擊完成。配置Link Aggregation可選為提高鏈路可靠性，BIG-IP與LAN Switch互連網絡采用兩條網線進展鏈路會聚。BIG-IP將鏈路會聚稱之為Trunk，不要與IEEE 802.1q的Trunk屬于混淆。點擊左側的導航條，進入NetworkTrunks:鏈路會聚頁面負載均衡業務配置負載均衡業務配置主要包含以下幾個方面：Node 節點 一般

46、在Pool配置中添加，也可以單獨創立。可以在Node頁面中配置節點安康檢查。Pool 負載均衡池包含可以將請求發送到其中進展處理的效勞器。Profile 定義Virtual Server行為的設置。可以使用系統自帶Profile，有些業務需要自定義Profile。Virtual Server 虛擬效勞器 Virtual Server接收客戶端的訪問請求，然后將請求分發給被負載均衡的節點效勞器上。iRule iRule是基于TCL語言的腳本處理引擎，可以非常靈活的實現一些特殊的流量處理需求。MonitorMonitor跟蹤Pool成員的當前狀態。可以采用系統自帶Monitor。有些業務需要自定義

47、Monitor。 SNAT 在負載均衡器部的效勞器主動向外發起訪問時，在負載均衡器上所做的地址映射。 說明：效勞器負載均衡器的設置只需要在一臺BIG-IP1上進展設置，設置好以后，可以通過雙機配置同步的方式將配置更新到BIG-IP2上。節點配置節點Node可以單獨配置，一般在Pool配置時添加。點擊左側的導航條，選擇Local Traffic - Virtual Servers -Nodes標簽，點擊“Create按鈕添加節點node節點配置在上圖中輸入節點效勞器的IP和名稱，選擇相應的Monitors，點擊Finished完成配置。配置負載均衡池負載均衡池是負載均衡器中重要的屬性，是根據負載

48、均衡策略接收數據流量的一組設備。池與特定虛擬效勞器相關聯，流向虛擬效勞器的流量通常會轉給相關聯的負載均衡池的成員節點。池可以執行負載均衡操作，比方發送流量到池中的指定節點或定義會話保持方式。當配置池時，必須配置池名、成員IP地址和負載均衡方法BIG-IP系統默認策略為輪詢“Round Robin方式。配置步驟：左側導航條中選擇 Local Traffic - Virtual Servers -Pools標簽，點擊“Create按鈕添加效勞器池(Pool)。負載均衡池配置頁面在“Name中輸入負載均衡器名稱。在 “Load Balancing Method表格中選擇負載均衡方法，通常采用默認輪詢

49、方法。在“Resources表格中的“Address文本框輸入成員IP地址，在“Service Port文本框中輸入效勞端口通用效勞可以在下拉框選擇對應效勞，點擊“Add添加到“Current Members當前成員列表中。添加所有組成員，點擊“Finished完成配置。配置虛擬效勞器虛擬效勞器Virtual server是一個可PING的虛擬IP地址和效勞端口的組合比方0: ，虛擬效勞器與負載均衡池Pool相對應，負載均衡池由一或多個節點Node組成。虛擬效勞器有許多類型，本文只講述業務與軟件產品使用的標準虛擬效勞器配置。創立虛擬效勞器配置步驟：在導航面板中選擇Local Traffic -

50、 Virtual Servers標簽，點擊“Create按鈕添加虛擬效勞器。虛擬效勞器配置1虛擬效勞器配置2在 “Name文本框中輸入名稱，“Address文本框中輸入虛擬效勞器IP地址，并在“Service Port文本框中輸入效勞端口號或在下拉框中選擇現有的效勞名稱。對于FTP效勞必須要從下拉框選擇效勞名稱。在Configuration欄的Type類型中，缺省為“Standard方式，一般不需要更改。如果虛擬效勞器只用于部一個節點效勞器1:1方式訪問時，可以選用“Forwarding (IP)方式；如果負載均衡器僅用于4層交換，可以采用“Performance (Layer 4)方式，以提

51、高四層處理性能；如果虛擬效勞器用于 效勞，可以采用“Performance ( )方式，以提升 請求處理性能。根據業務需要可以對應調整Protocol、OneConnect Profile用于實現TCP連接復用，即多個連接到負載均衡器時，負載均衡器只需一個連接到部效勞器，以提升效勞器性能、 Profile、FTP Profile等。在Resourse屬性中，選擇相應的pool和persistence方式。點擊“Finished完成創立虛擬效勞器。 將虛擬效勞器和負載均衡器相關聯和會話保持配置配置步驟：在“Local TrafficVirtual Servers中點擊相應的Virtual ser

52、ver，選擇Resources項會話保持配置頁面對Default Persistence Profile進展配置選擇會話保持方法 說明：會話保持驗證可使用“tcpdump工具進展驗證，tcpdump使用參見附錄說明。點擊Update完成配置。配置安康檢查節點狀態監控Monitor用于檢驗負載均衡池中成員節點的連接和效勞信息，包括安康監控和性能監控，當池中成員節點性能下降時BIG-IP系統將會把流量重定向到其它節點。配置節點狀態監控包括如下兩項工作：自定義節點狀態監控監控與節點/負載均衡池相關聯其中自定義節點狀態監控配置步驟是可選的，當使用默認監控模板時，此步驟可以跳過。自定義節點狀態監控節點如

53、果使用標準效勞，只需要使用BIG-IP系統提供默認監控模板即可，不需要進展自定義。當監控信息需要對效勞的容或效勞協議信息進展監控時，這時需要進展自定義節點狀態監控。配置步驟：在導航面板中選擇“Monitor中的“Monitors標簽，點擊“Create按鈕添加監控。創立Monitor選擇Monitor類型模板在“Type中選擇采用模板，比方 或 S等，在“Name 文本框輸入監控名稱。創立Monitor自定義Monitor在“Configure表格中使用默認屬性。根據監控模板的不同對屬性進展配置，比方對 ECV屬性的“Send String配置為“GET /user/index.html /1

54、.0rnrn；將Internal更改為10秒，Timeout更改為31秒(3 X Internal +1)。完成監控配置后，點擊“Finished完成配置。 說明：當默認監控方法無法實現檢測效勞器運行狀態時，需要定制的監控。例如，默認的域名方式使用“GET /命令無法獲取正確頁面或頁面經過屢次重定向，這時BIG-IP系統無確檢測效勞器狀態，我們需要手工更改命令，比方“GET /user/index.html，使 檢查方法可以檢測出效勞器的運行狀態。同時需要注意GET的語法，在v9和v10中是不一樣的，而且 1.0和 1.1也不一樣。監控與節點/負載均衡池相關聯監控必須要跟節點/負載均衡池相關聯

55、才能生效。監控與節點相關聯配置步驟：點擊左側的導航條，選擇Local Traffic - Virtual Servers -Nodes標簽，選中需要監控的節點Node調整Health Monitors節點配置項下拉框Health Monitors缺省為Node Default。Node Default設置可以在Local Traffic - Virtual Servers -Nodes - Default Monitor標簽中調整；如果需要針對具體節點調整監控方式，選擇下拉框Health Monitors為Node Specific，將可用的Monitor方式選中點擊“ Virtual Ser

56、vers -Pools標簽，選中需要監控的負載均衡池Pool將Monitore與負載均衡池相關聯在Health Monitors中將可用的Monitor方式選中點擊“Virtual Servers頁面查看Virtual server的狀態；“Local traffic-Pool頁面查看Pool的狀態。當圖標為綠色時表示節點或虛擬效勞器可用，當圖標為紅色那么意味著節點或虛擬效勞器狀態為離線，如果圖標為黃色說明節點或虛擬效勞器不可用。如果圖標為藍色說明節點或虛擬效勞器狀態未知，通常此時沒有啟用Monitor。如果圖標為黑色說明虛擬效勞器被禁用。配置SNAT跟路由器、防火墻一樣，BIG-IP系統提供

57、NAT (Network Address Translation)和SNAT(Secure Network Address Translation)地址轉換機制，SNAT地址轉換跟Cisco PAT方式類似。如果不啟用NAT/SNAT，負載均衡池部節點將無法訪問外部網絡，即外部IP可以通過虛擬效勞器IP訪問負載均衡池節點，但負載均衡池部節點不能發起對外連接。NAT和SNAT都可以通過地址轉換訪問外部網絡，不過SNAT不承受外部發起的連接。一個SNAT地址可以對應一個節點地址、多個節點地址或一個VLAN網段。NAT地址與節點地址是一對一的關系。本文僅給出業務與軟件常用的SNAT配置步驟。 說明：

58、SNAT地址可以不是唯一的，比方，SNAT地址可以使用虛擬效勞器的IP地址。配置步驟在導航面板中選擇Local Traffic-SNATs標簽，點擊“Create按鈕添加SNAT地址。SNAT配置在“Name文本框中輸入名稱在 “Translation文本框中輸入SNAT IP地址，并在“Origin List的“Origin Address文本框中輸入節點IP地址或在“VLAN Traffic的下拉框中選擇“Enable on或“Disable on在VLAN List中選擇相應的Vlan，點擊“Gernal PropertiesLocal TrafficGernal中啟用“Snat Pac

59、ket forwarding“。 說明：如果需要添加外部單獨訪問部特定節點IP。由于NAT和SNAT不能共存，可以針對特定節點創立單個節點組成的負載均衡池Pool，效勞為“0，然后創立虛擬效勞器VIP，效勞也為“0，將VIP和Pool關聯起來，這時候這個VIP就是那臺要訪問的效勞器。同時需要注意的是，在v10中，snat的timeout時間缺省是無限長的，需要手工到snat地址中對其做修改，否那么有可能引起業務的問題。驗證SNAT配置在檢查SNAT配置正確性之前，必須確保BIG-IP系統網關已經配置完畢。請在CLI界面用“netstat nr命令確定網關信息已經配置完畢：f5test1:# n

60、etstat -nrRouting tablesInternet:Destination Gateway Flags MTU Ifdefault 54 UGS 3400 vlan135 54 UGHc 3400 vlan192/26 link#7 UC 3400 vlan150 0.e0.fc.5.36.78 UHLc 3400 vlan154 0.e0.fc.2.5d.f2 UHLc 3400 vlan1127 UGRS 4352 lo0 UH 4352 lo0192.168.1 link#6 UC 3400 vlan0192.168.129 link#8 UC 3400 vlan22 li