F5详细配置手册簿Word文档格式.docx
《F5详细配置手册簿Word文档格式.docx》由会员分享,可在线阅读,更多相关《F5详细配置手册簿Word文档格式.docx(42页珍藏版)》请在冰豆网上搜索。
建议现场工程师先填写以下规X表:
序号
项目
F5-3400-1参数
F5-3400-2参数
建议值
备注
系统参数
主机名
root用户密码
default
Admin用户密码
admin
Web连接方式
HTTPS
命令行连接方式
SSH/console
网管服务器IP
系统管理IP
系统管理IP地址
掩码
网关
端口参数
Ethernet2.1端口描述(trunk)
Ethernet2.2端口描述(trunk)
Admin带外管理端口描述
trunk模式
Trunk配置
Trunk_10
Trunk_30
防火墙互联
vlan号
10
vlan描述
TO-FW
本机IP地址
虚拟IP地址
防火墙虚拟IP地址
F5HA配置方式
Active
Standby
F5Fail-Safe模式
GatewayFail-Safe
GatewayFail-safe模式分别由两台F5设备监测前端的防火墙地址,如果出现无法连通防火墙地址则进行切换。
F5Fail-safeAction
FailOver
进行主备切换
服务器互联
30
TO-Server
VLANFail-safe
GatewayFail-safe模式分别由两台F5设备监测VLAN流量,发现VLAN失效时进行切换。
SNAT地址
SNAT后地址
路由设置
DefaultGateway
(Juniper防火墙地址)
二、配置BIGIP3400负载均衡设备
本章将主要描述BIGIP3400负载均衡设备的配置方法及配置内容。
2.1旁路/直连的选择
2.1.1路由/直连模式的介绍
网络连接的物理结构如下结构:
Ip规划说明:
图中bigip为负载均衡交换机,bigip上面使用公开的ip地址,bigip下面同负载均衡的服务器使用不公开的ip地址。
但对外提供服务则使用公开的ip。
2.1.2旁路模式的介绍
图中bigip为负载均衡交换机,bigip和负载均衡的服务器均使用公开的ip地址。
2.1.3路由/直连模式同旁路模式的比较
(1)流量走向不一样;
路由/直连模式的流量走向如下:
如上图,bigip同客户端的流量在bigip的上联接口,bigip同服务器的流量在下面的接口。
旁路模式的流量走向如下:
如上图,bigip无论同客户端还是同服务器的通讯流量均在bigip的一个接口上。
(2)接口流量压力不一样
见2.1图:
路由/直连情况下,bigip同客户端的流量在bigip的上联接口,bigip同服务器的流量在下联的接口,故bigip单一接口压力较小。
在旁路模式,bigip无论同客户端还是同服务器的通讯流量均在bigip的一个接口上,故bigip单一接口压力较大。
为解决此问题,可以在bigip和交换机之间采用链路聚合技术,即端口捆绑,以避免接口成为网络瓶颈。
(3)网络结构的安全性不一样
路由/直连情况下,可以不公布服务器使用的真实ip地址,只需要公布提供负载均衡的虚拟地址即可,而在旁路情况下,则客户端可以得知服务器的真实地址,在此模式下,为保证服务器的安全性,服务器的网关指向bigip,可以使用bigip上的包过滤(防火墙)功能来保护服务器。
(4)对后端服务器的管理方便性不一样
路由/直连情况下,因服务器的真实地址可以隐含,故管理起来需要在bigip上启用地址翻译(NAT)功能,相对会复杂一些。
而旁路模式则不需要地址翻译的配置。
(5)前者不支持npath模式(见后图),后者支持npath模式,启用该模式可见少F5设备的压力
见上图,在旁路模式下,使用npath的流量处理方式,所有服务器回应的流量可以不通过bigip,这样可以大大减少流量的压力。
但npath的流量处理方式不能工作路由/直连的模式。
(6)在对原有系统做负载均衡技术改造时,两种模式的工作复杂程度不一样
如果对原有没有负载均衡技术的系统进行负载均衡技术的改造,那么,在路由/直连情况下,需要修改服务器的ip地址同时网络结构也要做调整(将服务器调到bigip后端),同时相关联的应用也要改动,需要进行严格的测试才能上线运行;
然而,在旁路模式下,仅仅需要改动一下服务器的网关,原有系统的其它部分(包括网络结构)基本不需要做改动,故,前者对系统改动较大,后者则改动较小。
对于电信项目来讲,由直连改为旁挂方式主要带来以下优点:
1、增加了网络的灵活性:
由于F5采用旁挂的方式,后端服务器的网关指向的为三层交换机的地址,而不是F5的地址,在对网络设备维护时可以方便的采用修改路由的方式使设备下线,便于维护管理。
同时,一些特殊的应用也可在核心交换机上采用策略路由的方式指向特定的网络设备。
2、提高了网络整体的可靠性:
由于旁路方式的存在,如果F5设备出现问题,可在交换机上修改路由使用数据流绕过F5,而不会对整个业务系统造成影响。
3、针对某些特殊应用,提高了速度:
采用旁路的方式后,一些特定的的对速度、时延敏感的应用数据在进入和离开时可以采用不同的路径,例如:
在流入时可经过F5设备,对其进行检查,负载均衡。
而在该数据流离开时,则不经过F5,以提高其速度。
2.2设置负载均衡器管理网口地址
F5BIG-IP3400设备的面板结构:
BIG-IP3400应用交换机具备8个10/100/1000M自适应的网络接口及二个光纤接口.
10/100/1000interface—8个10/100/1000M自适应的网络接口
Gigabitfiberinterface—2个1000M多模光纤接口
Serialconsoleport—一个串口命令行管理端口
Failoverport—一个串口冗余状态判断端口。
Mgmtinterface—一个10/100M管理端口
互为双机的两台BIG-IP必须用随机附带的Failover线相连起来。
BIG-IP上电开机以后,首先需要通过机器前面板右边的LCD旁的按键设置管理网口(设备前面板最左边的网络接口)的IP地址。
管理网络接口有一个缺省的IP地址,一般为192.168.1.245。
管理网络接口的IP地址不能与业务网络在同一网段,根据业务网络的地址划分,相应的调整管理网络接口的网络地址。
如果,在SMS中负载均衡口的externalvlan和internalvlan已经采用了192.168.1.0/24的网段,必须修改管理网口缺省的IP地址到另外一个网段。
通过LCD按键修改管理网口IP地址的方法如下:
1、按红色X按键进入Options选项;
2、在液晶面板上通过按键按以下顺序设置管理网口的网络地址:
Options->
System->
IPAddress/Netmask->
mit
如果通过LCD按键修改完IP地址以后,选择mit,地址无法成功改变(例如出现IP地址为全零的情况),很有可能是管理口IP地址与系统内已经配置发生冲突。
出现这种情况,关机重启以后,另选一个IP网段来设置管理网口地址。
警告:
在设置好网络管理口地址以后,通过网络登陆到BIG-IP上进行其它配置更改时,都要保证网络管理口的网络连接完好。
否则有时会出现修改的配置无法被成功加载应用的情况,因为网络管理口为Down的情况会妨碍配置文件的加载。
2.3登录BIGIP的WEB管理界面
管理BIGIP有两种方式,一种是基于WEB的https管理方式,另一种是基于ssh的命令行管理方式。
除特别配置外,采用WEB的管理方式即可。
WEB登录方式如下:
1.在管理员的IE地址栏内输入BIGIP设备的IP地址,https:
//192.168.1.245
2.回车后出现系统警告信息
点击Yes
3.然后系统提示输入基于WEB配置的用户名和密码。
目前的admin某某的密码为admin
2.4激活License
在配置BIG-IP之前,先要激活License。
从System->
License->
Re-activate进入License激活界面:
进入https:
//activate.f5./license/dossier.jsp,将产生的Dossier复制进以下页面,产生License文件:
4.输入正确后即可进入BIGIP的WEB管理界面
2.5初始化设置
2.5.1BIG-IP1上的平台(Platform)通用属性设置
进入System→Platform
主机名用来标识BIG-IP系统自身。
主机名必须符合DNS域名标准。
主机部分必须以字母开始,并至少为2个字符。
举例:
f5-。
BIG-IP双机系统的主机名必须不一样,否则配置同步会产生错误,可能导致破坏license。
例如负载均衡器BIG-IP1的主机名为ISMG-LB01-F5,BIG-IP2的主机名为ISMG-LB02-F5。
Root为命令行某某,admin为WEB管理的某某。
root密码允许用户通过命令行访问BIG-IP系统。
建议root密码长度大于6位,但不要超过32位字节。
密码与大小写敏感,建议密码中包含大写/小写字母和数字。
如果BIG-IP系统为冗余系统,两台主备机的root密码必须保持一致。
如修改密码,请确认正确敲击键盘上的键。
(有人敲错了键盘上的键,而导致无法找到新设置的密码是什么。
)
BIG-IP2上的平台通用属性设置:
2.5.2修改系统时间
1.用PUTTY或SecureShellClient等SSH客户端连接BIG-IP的管理网口地址,进入命令行模式。
SecureShellClient可以用以下下载:
.f5../f5gz/tools/SSHSecureShellClient-3.2.5.exe。
2.执行date检查系统时钟。
[rootZJHZ-PS-MMS3-SW02:
Active]config#date
ThuMay2516:
59:
15CST2006
3.命令格式
#date<
month>
<
day>
hour>
minute>
year>
.<
second>
#dateMMDDHHMMYYYY.SS
如设置2009年1月1日中午12:
00:
00
#date010112002007.00
4.保存时间到BIOS
#hwclock–systohc
2.5.3设置缺省管理权限策略
在命令行运行bbaselist命令,检查初始化设置。
如果bbaselist的输出已经有selfallow{defaulttcpsshtcphttpsudpefstcpsnmpprotoospfudpdomainudpsnmptcp4353tcpdomainudp4353}
一行,则进入到2.4.4。
如果在bbaselist的输出中发现有selfallow{defaultnone}一行,则运行以下两条命令:
bselfallow{defaulttcpsshtcphttpsudpefstcpsnmpprotoospfudpdomainudpsnmptcp4353tcpdomainudp4353}
bbasesave
所后用命令more/config/bigip_base.conf查看bigip_base.conf文件确认selfallow{defaulttcpsshtcphttpsudpefstcpsnmpprotoospfudpdomainudpsnmptcp4353tcpdomainudp4353}已经保存到文件中。
2.5.4重新启动bigip
#reboot
2.6配置网络层
按照拓扑结构,对F5BIGIP的网络层进行配置,划分vlan,定义IP地址及路由。
2.6.1划分vlan
点击左侧的导航条,进入Network→VLANS,在右侧可以对vlan进行配置。
创建方法如下:
点击create:
Name:
设置这个vlan的名字。
Tag:
为相应VLAN的VLANID
Interface:
定义Available中显示的端口有选择性的划分到这个vlan中。
指定端口后,单击
选入Untagged栏即可。
点击
完成。
根据SMS的网络规划,负载均衡器上一共要定义了以下几个VLAN:
external,,internal为业务流量VLAN。
VLANID应与网络规划中的VLAN一致。
netfailoverVLAN的1.4端口为双机网络心跳接口,网络心跳信号及双机配置同步信息都是通过这一网线传输,因此要用网线将双机的1.4口对连起来。
VLANID4094为BIG-IP自动生成的。
(也可以指定)。
将1.7和1.8端口加入到externalVLAN和internalVLAN主要是为了有时候可以将笔记本接在相应VLAN进行测试,而不受BIG-IP与交换机之间网络连接的影响。
2.6.2定义IP地址
在划分完Vlan后,即可对每个vlan进行IP地址的定义。
方法如下:
点击左侧导航条中的Networks—>
selfIps
在右侧可以对Ip地址进行配置。
点击Create:
IPaddress:
输入IP地址
Netmask:
输入子网掩码Vlan:
选择将这个IP地址绑定在哪个vlan上。
选择下拉菜单将显示所有已设置的vlan名。
PortLockdown:
保持默认值AllowDefault。
FloatingIP:
如果系统为冗余工作方式,需对每台设备的每个vlan均设置两个IP地址。
其中一个是selfIP,另一个则为floatingIP,即两台设备共用的IP地址。
选中此项即代表这个IP地址为FloatingIP。
按照网络的规划,IP地址定义如下:
SMS BIG-IP3400应用交换机VLAN与IP地址规划
(BIG-IP3400-1)
Name
ISMG-LB01.F5
VLANName
VLANID
SelfIP
FloatingIP
External
20
Internal
Netfailover
4094
192.168.6.1/24
mgmt
192.168.1.245/24
(BIG-IP3400-2)
ISMG-LB02.F5
192.168.20.102/24
192.168.6.2/24
192.168.1.246/24
其中,MGMT是BIG-IP的管理网口,BIG-IP1的管理网口IP地址为192.168.1.245,BIG-IP2管理网口的IP地址192.168.1.246。
BIGIP1的SELF IP配置如下:
以下拷屏只是展示如何通过WEB界面进行相应的配置,其中的IP地址不一定正确,请根据实际情况的IP地址划分进行配置。
其中UnitID不为零的为FloatingIP.
FloatingIP设置要打上勾。
BIGIP2的SELF IP配置如下:
BIG-IP2上不需要配置FloatingIP,因为FloatingIP可以从BIG-IP1上同步过来。
2.6.3配置路由
Routes→Add对路由进行配置
Type:
定义配置的是默认网关还是静态路由。
Destination:
定义目标网段
定义目标网段的掩码
Resource:
定义网关地址
按照用户的需求,
缺省路由是第一层防火墙Trust口的双机共享地址10.10.3.254
另外,还需要增加一个静态路由,即到机房二的数据包的下一跳指向机房一中第二层防火墙的Untrust区双机共享地址。
2.7配置双机设置(HighAvailability)
HighAvailability就是双机冗余(Cluster),要求两台BIGIP的版本相同。
配置方法如下:
2.7.1配置RedundantPair的IP地址
首先,确认BIG-IP已经转换为双机模式。
在WEB页面的左侧导航条选择SYSTEM→Platform
把HithAvailability设置中应选择为RedundantPair模式。
其中BIG-IP1的UnitID为1,BIG-IP2的UnitID为2。
然后,在WEB页面的左侧导航条选择SYSTEM→HithAvailability:
BIG-IP1的设置如下:
BIG-IP2的设置如下
PrimaryFailoverAddress输入两台BIGIP的NetfailoverVLANSelfIP地址:
BIG-IP1的SelfIP为192.168.6.1,PeerIP为192.168.6.2;
BIG-IP1的SelfIP为192.168.6.2,PeerIP为192.168.6.1;
SecondaryFailoverAddress输入两台BIGIP的InternalVLANSelfIP地址。
BIG-IP1的SelfIP为192.168.20.1,PeerIP为192.168.20.2;
BIG-IP1的SelfIP为192.168.20.2,PeerIP为192.168.20.1;
RedundancyMode选择Active/Standby模式
并EnableNetworkFailover选项。
其他参数保持默认值。
2.7.2配置双机自动切换机制FailSafe配置
Failsafe设置在满足某些条件的时候,触发BIGIP发生切换。
根据彩铃5期的要求,配置了VLANs的FailSafe配置,当处于Active状态的BIGIP的internal和external两个VALN在设定的时间内没有任何流量,自动切换到备机。
在没有完成ExternalVLAN和InternalVLAN的网络接线之前,不要启用自动切换机制。
对ExternalVLAN和InternalVLAN启用基于VLAN监控的自动切换机制,步骤如下:
在WEB页面的左面导航界面选择:
SYSTEM→HighAvailability→Fail-safe
点击“Add”按钮
VLAN:
选择监控的VLAN
Timeout:
默认值是90秒,一般改为30秒
其中Action选用FailOver方式,而不是缺省的Reboot方式。
设置完后,结果如下:
2.8配置服务器负载均衡
服务器负载均衡器的设置只需要在一台BIG-IP1上进行设置,设置好以后,可以通过双机配置同步的方式将配置更新到BIG-IP2上。
在设置好基础网络,即可对实现服务器负载均衡进行配置。
主要涉及以下几个方面:
Monitor(不一定需要设,有时候可以采用系统自带Monitor)
Monitor跟踪Pool成员的当前状态或者性能
Profile(不一定需要设,有时候可以采用系统自带Profile)
Profile包含定义VirtualServer行为的设置。
负载均衡Pool
负载均衡Pool包含可以将请求发送到其中进行处理的服务器。
iRules
负载均衡控制规则。
VirtualServer
VirtualServer接收客户端的访问请求,然后将请求分发给被负载均衡的服务器上。
SNAT
在负载均衡器内部的服务器主动向外发起访问时,在负载均衡器上所做的地址映射。
访问时
2.8.1配置Monitor
Monitor可以实现对服务器实施健康检查。
以确定服务器是否可以对外提供服务。
目前并不存在着故障服务器进行切换的需求,只是需要根据客户端源地址来选择服务器,因此并不需要对服务器进行监控。
以下只是用于说明服务器状态检查的配置方式。
可以直接进入到下一步骤。
如果需要对检查方法的属性进行定制,以下以定制TCP端口检查为例,方法如
升级会员 