F5LTM配置示例.docx

F5LTM配置示例.docx

《F5LTM配置示例.docx》由会员分享，可在线阅读，更多相关《F5LTM配置示例.docx（11页珍藏版）》请在冰豆网上搜索。

F5LTM配置示例

F5BIG-IP负载均衡配置实例

目前，许多厂商推出了专用于平衡服务器负载的负载均衡器，如F5Network公司的BIG-IP，Citrix公司的NetScaler。

F5BIG-IPLTM的官方名称叫做本地流量管理器，可以做4-7层负载均衡，具有负载均衡、应用交换、会话交换、状态监控、智能网络地址转换、通用持续性、响应错误处理、IPv6网关、高级路由、智能端口镜像、SSL加速、智能HTTP压缩、TCP优化、第7层速率整形、内容缓冲、内容转换、连接加速、高速缓存、Cookie加密、选择性内容加密、应用攻击过滤、拒绝服务（DoS）攻击和SYNFlood保护、防火墙—包过滤、包消毒等功能。

以下是F5BIG-IP用作服务器负载均衡的主要功能：

①、F5BIG-IP提供12种灵活的算法将所有流量均衡的分配到各个服务器，而面对用户，只是一台虚拟服务器。

②、F5BIG-IP可以确认应用程序能否对请求返回对应的数据。

假如F5BIG-IP后面的某一台服务器发生服务停止、死机等故障，F5会检查出来并将该服务器标识为宕机，从而不将用户的访问请求传送到该台发生故障的服务器上。

这样，只要其它的服务器正常，用户的访问就不会受到影响。

宕机一旦修复，F5BIG-IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。

③、F5BIG-IP具有动态Session的会话保持功能。

④、F5BIG-IP的iRules功能可以做HTTP内容过滤，根据不同的域名、URL，将访问请求传送到不同的服务器。

下面，结合实例，配置F5BIG-IPLTMv9.x

61.1.1.3（vs_squid），该虚拟IP下有一个服务器池（pool_squid），该服务器池下包含两台真实的Squid服务器（192.168.1.11和192.168.1.12）。

②、如果Squid缓存未命中，则会请求F5的内网虚拟IP：

192.168.1.3（vs_apache），该虚拟IP下有一个默认服务器池（pool_apache_default），该服务器池下包含两台真实的Apache服务器（192.168.1.21和

192.168.1.22），当该虚拟IP匹配iRules规则时，则会访问另外一个服务器池（pool_apache_irules），该服务器池下同样包含两台真实的Apache服务器（192.168.1.23和192.168.1.24）。

③、另外，所有真实服务器的默认网关指向F5的自身内网IP，即192.168.1.2。

④、所有的真实服务器通过SNATIP地址61.1.1.4访问互联网。

详细配置步骤：

一、登录到F5BIG-IP管理界面：

1、初次使用：

①、打开F5BIG-IP电源，用一根网线（直连线和交叉线均可）连接F5BIG-IP的管理网口和笔记本电脑的网口，将笔记本电脑的IP地址配置为“192.168.1.*”，子网掩码配置为“255.255.255.0”。

②、用浏览器访问F5BIG-IP的出厂默认管理IP地址

https:

//192.168.1.245或https:

//192.168.245.245

③、输入出厂默认用户名：

admin，密码：

admin

④、点击Activate进入F5BIG-IPLicense申请与激活页面，激活License。

⑤、修改默认管理密码。

2、以后登录：

通过F5BIG-IP的自身外网IP登录。

①、假设设置的F5自身外网IP为61.1.1.2，就可以通过

https:

//61.1.1.2/登录。

②、还可以通过SSH登录，用户名为root，密码跟Web管理的密码相同

二、创建两个VLAN：

internal和external，分别表示内网和外网。

1、创建VLAN：

internal（内网）

在“Network→VLANs”页面点击“create”按钮：

①、Name栏填写：

internal（填一个英文名称）

②、Tag栏填写：

4093（填一个数字）

③、Interfaces栏：

将Available列的“1.1”拉到Untagged列。

1.1表示F5BIG-IP的第一块网卡。

2、创建VLAN：

external（外网）

在“Network→VLANs”页面点击“create”按钮创建VLAN：

①、Name栏填写：

internal（填一个英文名称）

②、Tag栏填写：

4094（填一个数字）

③、Interfaces栏：

将Available列的“1.2”拉到Untagged列。

1.2表示F5BIG-IP的第二块网卡。

三、创建F5BIG-IP的自身IP：

分别对应internal（内网）和external（外网）。

1、创建自身内网IP：

192.168.1.2

在“Network→SelfIPs”页面点击“create”按钮：

①、IPAddress栏填写：

192.168.1.2（填内网IP地址）

②、Netmask栏填写：

255.255.255.0（填内网子网掩码）

③、VLAN栏选择：

internal

④、PortLockdown栏选择：

AllowDefault（默认值）

2、创建自身外网IP：

61.1.1.2

在“Network→SelfIPs”页面点击“create”按钮：

①、IPAddress栏填写：

61.1.1.2（填外网IP地址）

②、Netmask栏填写：

255.255.255.0（填外网子网掩码）

③、VLAN栏选择：

external

④、PortLockdown栏选择：

AllowDefault（默认值）

四、创建默认网关路由

在“Network→Routes”页面点击“create”按钮：

①、Type栏选择：

DefaultGateway（默认值）

②、Resource栏选择：

UseGateeay...，在其后的输入框填写网关IP地址：

61.1.1.1（这里假设此IP为外网网关地址）

五、创建服务器自定义健康检查

1、创建自定义HTTP健康检查：

monitor_http

在“LocalTraffic→Monitors”页面点击“create”按钮：

①、Name栏填写：

monitor_http（填一个英文名称）

②、Type栏选择：

HTTP

③、ImportSettings栏选择：

HTTP

④、Interval栏填写：

5（表示每5秒钟进行一次健康检查）

⑤、Timeout栏填写：

16（表示健康检查的连接超时时间为16秒）⑥、SendString栏填写：

GET/（也可以根据自己的需求发送其他方法的请求，例如HEAD/或者GET/index.htm）

⑦、ReceiveString栏填写：

（填写对应的返回字符串，默认不填写）

六、创建服务器xx（pool）

1、创建Squid服务器xx：

pool_squid

在“LocalTraffic→Pools”页面点击“create”按钮：

①、Name栏填写：

pool_squid（填一个英文名称）

②、HealthMonitors栏：

将第四步创建的自定义HTTP健康检查“monitor_http”由Available列拉到Active列

③、LoadBalancingMethod栏选择：

RoundRobin（这里选择的负载均衡方式是轮询，也可以选择其他方式）

④、NewMembers栏：

先选择NewAddress，再添加两台Squid服务器的IP地址192.168.1.

11、192.168.1.12以及它们的端口80

2、创建第一组Apache服务器xx：

pool_apache_default

在“LocalTraffic→Pools”页面点击“create”按钮：

①、Name栏填写：

pool_apache_default（填一个英文名称）

②、HealthMonitors栏：

将第四步创建的自定义HTTP健康检查“monitor_http”由Available列拉到Active列

③、LoadBalancingMethod栏选择：

RoundRobin（这里选择的负载均衡方式是轮询，也可以选择其他方式）

④、NewMembers栏：

先选择NewAddress，再添加第一组两台Apache服务器的IP地址192.168.1.

21、192.168.1.22以及它们的端口80

3、创建第二组Apache服务器xx：

pool_apache_irules

在“LocalTraffic→Pools”页面点击“create”按钮：

①、Name栏填写：

pool_apache_irules（填一个英文名称）

②、HealthMonitors栏：

将第四步创建的自定义HTTP健康检查“monitor_http”由Available列拉到Active列

③、LoadBalancingMethod栏选择：

RoundRobin（这里选择的负载均衡方式是轮询，也可以选择其他方式）

④、NewMembers栏：

先选择NewAddress，再添加第二组两台Apache服务器的IP地址192.168.1.

23、192.168.1.24以及它们的端口80

七、创建供七层负载均衡使用的Profiles配置

1、创建Profiles配置：

profile_http

在“LocalTraffic→Profiles”页面点击“create”按钮：

①、Name栏填写：

profile_http（填一个英文名称）

②、ParentProfile栏选择：

HTTP

③、InsertXForwardedFor栏：

如果需要，可以选中方框，选择Enable（在Header头中插入x-forwarded-for标记，以便做七层负载均衡时能够获取用户真实IP，本文中Squid服务器开启了follow_x_forwarded_forallowall，因此F5无需设置此项）

注：

在此设置页面中，还有压缩等优化功能，可以根据需要进行设置。

八、创建iRules规则

1、创建iRules规则：

irules_apache

在“LocalTraffic→Profiles”页面点击“create”按钮：

Name栏填写：

irules_apache（填一个英文名称）

whenHTTP_REQUEST{

if{[HTTP:

:

uri]ends_with".htm"}{

poolpool_apache_irules}elseif{[HTTP:

:

uri]starts_with"/read.php"}{

poolpool_apache_irules}}

九、创建虚拟服务器（VirtualServers）

1、以“四层”负载均衡模式创建Squid虚拟服务器：

vs_squid在“LocalTraffic→VirtualServers”页面点击“create”按钮：

⑴、GeneralProperties大类下：

①、Name栏填写：

vs_squid（填一个英文名称）

②、Destination栏：

选择Host，填写Squid服务器的外网虚拟IP（VirtualIP，简称VIP）：

61.1.1.3

③、ServicePort栏填写：

80

⑵、Configuration大类下：

①、Configuration栏选择:

Advanced（选择高级模式，这一步很重要）②、Type栏选择：

Performance（Layer4）

③、SNATPool栏选择：

None（注意：

这一步很重要，四层模式下，请确保此项选择为None）

⑶、Resources大类下：

①、DefaultPool栏选择：

pool_squid

注意：

F5的四层负载均衡由硬件芯片处理，不消耗CPU资源，能够处理更大的访问量。

在四层负载均衡模式下，真实服务器的默认网关必须指向F5的自身内网IP，即192.168.1.2

2、以“七层”负载均衡模式创建Apache虚拟服务器：

vs_apache在“LocalTraffic→VirtualServers”页面点击“create”按钮：

⑴、GeneralProperties大类下：

①、Name栏填写：

vs_apache（填一个英文名称）

②、Destination栏：

选择Host，填写Apache服务器的内网虚拟IP（VirtualIP，简称VIP）：

192.168.1.3

③、ServicePort栏填写：

80

⑵、Configuration大类下：

Configuration栏选择:

Advanced（选择高级模式，这一步很重要）①、Type栏选择：

Standard（标准模式，即七层负载均衡模式）②、HTTPProfile栏选择：

profile_http（注意：

此项为None时，不能使用iRules规则，因此必须选一个。

在此选择第六步创建的profile_http）③、SNATPool栏选择：

AutoMap（注意：

在本文的架构中必须选择，原因如下）

说明：

当其中的一台Squid服务器“192.168.1.11”缓存未命中时，会去访问虚拟IP“192.168.1.3”。

如果SNATPool选择默认值None，虚拟IP“192.168.1.3”后端的Apache服务器，看到的将是Squid服务器的真实IP“192.168.1.11”。

由于Squid和Apache服务器的IP地址属于在同一网段，Apache服务器将无需经过F5网关“192.168.1.2”，直接通过交换机回包给Squid服务器“192.168.1.11”，这样虚拟IP“192.168.1.3”就会收不到回包信息，HTTP请求无法完成。

因此，需要选择AutoMap，进行地址转换，让后端Apache服务器看到的是F5的自身内网IP，回包给F5。

⑶、Resources大类下：

①、iRules栏：

将Available列的“irules_apache”拉到Enabled列。

②、DefaultPool栏选择：

pool_apache_default

十、创建SNAT安全网络地址转换，让真实服务器能够访问互联网、对外发邮件

1、创建SNAT：

snat_all_server

在“LocalTraffic→SNATs”页面点击“create”按钮：

①、Name栏填写：

snat_all_server（填一个英文名称）

②、Translation栏选择：

IPAddress，并填写SNATIP地址：

61.1.1.4（此项也可以选择Automap，使用F5的自身外网IP作为SNATIP）

③、Origin栏选择：

AddressList

④、AddressList栏：

①Type栏选择host，填写要访问互联网、对外发邮件的内网IP地址。

②或者Type栏选择Network，填写要访问互联网、对外发邮件的网段和子网掩码。

⑤、VLANTraffic栏选择：

Enabledon...

⑥、VLANList栏：

将Available列的“internal”拉到Selected列。

注意：

真实服务器的默认网关需要指向F5的自身内网IP，即192.168.1.2，才能通过SNAT访问互联网、对外发邮件。