F5 BIGIP配置指导书.docx

F5 BIGIP配置指导书.docx

《F5 BIGIP配置指导书.docx》由会员分享，可在线阅读，更多相关《F5 BIGIP配置指导书.docx（34页珍藏版）》请在冰豆网上搜索。

F5BIGIP配置指导书

F5BIG-IP

负载均衡器配置指导书

目录

一、ISMG网络结构与IP地址规划3

二、配置BIGIP3400负载均衡设备4

2.1设置负载均衡器管理网口地址4

2.2登录BIGIP的WEB管理界面5

2.3激活License5

2.4初始化设置7

2.4.1BIG-IP1上的平台（Platform）通用属性设置7

2.4.2修改系统时间8

2.4.4重新启动bigip9

2.5配置网络层9

2.5.1划分vlan9

2.5.2定义IP地址11

2.5.3配置路由13

2.6配置双机设置（HighAvailability）14

2.6.1配置RedundantPair的IP地址14

2.6.2配置双机自动切换机制FailSafe配置16

2.7配置服务器负载均衡17

2.7.1配置Monitor17

2.7.2配置Profile18

2.7.3配置负载均衡Pool19

2.7.5建立Virtualserver,实现对服务器的负载均衡20

2.7.5设置SNAT23

2.8两台BIGIP配置同步26

2.9备份配置26

三、系统运行状态检查及维护27

3.1检查系统日志信息：

27

3.2检查Node状态28

3.3查看流量信息29

3.4查看系统当前性能参数29

3.5密码的更改30

3.6添加“只读”权限的管理员帐号30

3.7如何查询设备的序列号：

31

3.8如何采集信息提供他人进行故障诊断31

3.8对某一VirtualServer用TCPDUMP命令无法抓到包如何处理？

32

一、网络结构与IP地址规划

网络拓扑结构如下图所示：

略

相关的IP地址规划如下：

注：

以上的IP地址规划是测试环境的IP地址设置，需要根据现网环境中的IP地址规划进行修改。

BIG-IP3400-1

VIP1

10.10.3.108

ISMG的虚拟IP地址

SNATIP1

10.10.3.108

SNAT地址（指向PORTAL）

ExternalShareIP

10.10.3.3/24

同第一层防火墙trust同一VLAN

ExtervlanselfIP

10.10.3.1/24

同第一层防火墙trust同一VLAN

InternalShareIP1

192.168.20.103/24

同第二层防火墙Untrust一VLAN

Internalvlanselfip1

192.168.20.101/24

同第二层防火墙Untrust一VLAN

BIG-IP3400-2

VIP1

10.10.3.108

SNATIP1

10.10.3.108

ExternalvlanShareip

10.10.3.3/24

Externalvlanselfip

10.10.3.2/24

InternalShareIP

192.168.20.1103/24

Internalvlanselfip

192.168.20.1101/24

注：

以下接口连接表还没有更新，需要由现场工程师更新的。

线缆序号

线缆标签

网络设备名称

源端口

终端机器

目标端口

线缆类型

接头

1

S6506-1-f5-1

BIG-IP3400-1

1.1千兆口

S6506-1

1/0/5

光纤

SX接口

2

S6506-1-f5-2

BIG-IP3400-1

1.2千兆口

S6506-1

1/0/4

光纤

SX接口

3

S6506-1-f5-3

BIG-IP3400-1

1.110/100M口

S6506-1

2/0/41

直连双绞线

RJ45

4

BIG-IP3400-1

1.2-1.1610/100M口

备用

直连双绞线

RJ45

5

BIG-IP3400-2

BIG-IP3400-1

R232

BIG-IP3400-2

串口线

线缆序号

线缆标签

网络设备名称

端口

终端机器

目标端口

线缆类型

接头

1

S6506-2-f5-1

BIG-IP3400-2

2.1千兆口

S6506-2

1/0/5

光纤

SX接口

2

S6506-2-f5-2

BIG-IP3400-2

2.2千兆口

S6506-2

1/0/4

光纤

SX接口

3

S6506-2-f5-3

BIG-IP3400-2

1.110/100M口

S6506-2

2/0/41

直连双绞线

RJ45

4

BIG-IP3400-2

1.2-1.1610/100M口

备用

直连双绞线

RJ45

5

BIG-IP3400-1

BIG-IP3400-2

R232

BIG-IP3400-1

串口线

二、配置BIGIP3400负载均衡设备

本章将主要描述BIGIP3400负载均衡设备的配置方法及配置内容。

2.1设置负载均衡器管理网口地址

F5BIG-IP3400设备的面板结构:

BIG-IP3400应用交换机具备8个10/100/1000M自适应的网络接口及二个光纤接口.

10/100/1000interface—8个10/100/1000M自适应的网络接口

Gigabitfiberinterface—2个1000M多模光纤接口

Serialconsoleport—一个串口命令行管理端口

Failoverport—一个串口冗余状态判断端口。

Mgmtinterface—一个10/100M管理端口

注：

互为双机的两台BIG-IP必须用随机附带的Failover线相连起来。

BIG-IP上电开机以后，首先需要通过机器前面板右边的LCD旁的按键设置管理网口（设备前面板最左边的网络接口）的IP地址。

管理网络接口有一个缺省的IP地址，一般为192.168.1.245。

注：

管理网络接口的IP地址不能与业务网络在同一网段，根据业务网络的地址划分，相应的调整管理网络接口的网络地址。

如果，在SMS中负载均衡口的externalvlan和internalvlan已经采用了192.168.1.0/24的网段，必须修改管理网口缺省的IP地址到另外一个网段。

通过LCD按键修改管理网口IP地址的方法如下：

1、按红色X按键进入Options选项；

2、在液晶面板上通过按键按以下顺序设置管理网口的网络地址：

Options->System->IPAddress/Netmask->Commit

如果通过LCD按键修改完IP地址以后，选择Commit，地址无法成功改变（例如出现IP地址为全零的情况），很有可能是管理口IP地址与系统内已经配置发生冲突。

出现这种情况，关机重启以后，另选一个IP网段来设置管理网口地址。

2.2登录BIGIP的WEB管理界面

管理BIGIP有两种方式,一种是基于WEB的https管理方式，另一种是基于ssh的命令行管理方式。

除特别配置外，采用WEB的管理方式即可。

WEB登录方式如下：

1．在管理员的IE地址栏内输入BIGIP设备的IP地址，https:

//192.168.1.245

2．回车后出现系统警告信息

点击Yes

3．然后系统提示输入基于WEB配置的用户名和密码。

目前的admin帐号的密码为admin

2.3激活License

在配置BIG-IP之前，先要激活License。

从System->License->Re-activate进入License激活界面：

进入

4．输入正确后即可进入BIGIP的WEB管理界面

2.4初始化设置

2.4.1BIG-IP1上的平台（Platform）通用属性设置

进入SystemPlatform

注：

主机名用来标识BIG-IP系统自身。

主机名必须符合DNS域名标准。

主机部分必须以字母开始，并至少为2个字符。

举例：

f5-。

警告：

BIG-IP双机系统的主机名必须不一样，否则配置同步会产生错误，可能导致破坏license。

例如对于SMS系统，负载均衡器BIG-IP1的主机名为ISMG-LB01-F5，BIG-IP2的主机名为ISMG-LB02-F5。

Root为命令行帐号，admin为WEB管理的帐号。

注：

root密码允许用户通过命令行访问BIG-IP系统。

建议root密码长度大于6位，但不要超过32位字节。

密码与大小写敏感，建议密码中包含大写/小写字母和数字。

如果BIG-IP系统为冗余系统，两台主备机的root密码必须保持一致。

注：

如修改密码，请确认正确敲击键盘上的键。

（有人敲错了键盘上的键，而导致无法找到新设置的密码是什么。

）

BIG-IP2上的平台通用属性设置：

2.4.2修改系统时间

1.用PUTTY或SecureShellClient等SSH客户端连接BIG-IP的管理网口地址，进入命令行模式。

注：

SecureShellClient可以用以下链接下载：

2.执行date检查系统时钟。

[root@ZJHZ-PS-MMS3-SW02:

Active]config#date

ThuMay2516:

59:

15CST2006

3.命令格式

#date.

#dateMMDDHHMMYYYY.SS

如设置2007年1月1日中午12：

00：

00

#date010112002007.00

4.保存时间到BIOS

#hwclock–systohc

2.4.4重新启动bigip

#reboot

2.5配置网络层

按照拓扑结构，对F5BIGIP的网络层进行配置，划分vlan，定义IP地址及路由。

2.5.1划分vlan

点击左侧的导航条，进入NetworkVLANS，在右侧可以对vlan进行配置。

创建方法如下：

点击create:

Name:

设置这个vlan的名字。

Tag:

为相应VLAN的VLANID

Interface:

定义Available中显示的端口有选择性的划分到这个vlan中。

指定端口后，单击

选入Untagged栏即可。

点击

完成。

根据SMS的网络规划，负载均衡器上一共要定义了以下几个VLAN：

注:

Netfailovervlan可以不要

注：

external,,internal为业务流量VLAN。

VLANID应与网络规划中的VLAN一致。

注：

netfailoverVLAN的1.4端口为双机网络心跳接口，网络心跳信号及双机配置同步信息都是通过这一网线传输，因此要用网线将双机的1.4口对连起来。

VLANID4094为BIG-IP自动生成的。

（也可以指定）。

注：

将1.7和1.8端口加入到externalVLAN和internalVLAN主要是为了有时候可以将笔记本接在相应VLAN进行测试，而不受BIG-IP与交换机之间网络连接的影响。

2.5.2定义IP地址

在划分完Vlan后，即可对每个vlan进行IP地址的定义。

方法如下：

点击左侧导航条中的Networks—>selfIps

在右侧可以对Ip地址进行配置。

创建方法如下：

点击Create:

IPaddress:

输入IP地址

Netmask:

输入子网掩码

Vlan：

选择将这个IP地址绑定在哪个vlan上。

选择下拉菜单将显示所有已设置的vlan名。

PortLockdown:

保持默认值AllowDefault。

FloatingIP:

如果系统为冗余工作方式，需对每台设备的每个vlan均设置两个IP地址。

其中一个是selfIP,另一个则为floatingIP,即两台设备共用的IP地址。

选中此项即代表这个IP地址为FloatingIP。

按照SMS的规划，IP地址定义如下：

SMS　BIG-IP3400应用交换机VLAN与IP地址规划

（BIG-IP3400-1）

Name

ISMG-LB01.F5

VLANName

VLANID

SelfIP

FloatingIP

External

20

10.10.3.1/24

10.10.3.3/24

Internal

10

192.168.20.101/24

192.168.20.103/24

Netfailover

4094

192.168.6.1/24

mgmt

192.168.1.245/24

（BIG-IP3400-2）

Name

ISMG-LB02.F5

VLANName

VLANID

SelfIP

FloatingIP

External

20

10.10.3.2/24

10.10.3.3/24

Internal

10

192.168.20.102/24

192.168.20.103/24

Netfailover

4094

192.168.6.2/24

mgmt

192.168.1.246/24

其中，MGMT是BIG-IP的管理网口，BIG－IP1的管理网口IP地址为192.168.1.245,BIG-IP2管理网口的IP地址192.168.1.246。

BIGIP1的SELF　IP配置如下：

注：

以下拷屏只是展示如何通过WEB界面进行相应的配置，其中的IP地址不一定正确，请根据实际情况的IP地址划分进行配置。

其中UnitID不为零的为FloatingIP.

FloatingIP设置要打上勾。

BIGIP2的SELF　IP配置如下：

BIG－IP2上不需要配置FloatingIP，因为FloatingIP可以从BIG-IP1上同步过来。

2.5.3配置路由

点击左侧导航条中的Networks—>RoutesAdd对路由进行配置

Type:

定义配置的是默认网关还是静态路由。

Destination:

定义目标网段

Netmask:

定义目标网段的掩码

Resource:

定义网关地址

点击

完成。

按照ISMG的需求，

缺省路由是第一层防火墙Trust口的双机共享地址10.10.3.254

另外，还需要增加一个静态路由，即到机房二ISMG的数据包的下一跳指向机房一中第二层防火墙的Untrust区双机共享地址。

2.6配置双机设置（HighAvailability）

HighAvailability就是双机冗余（Cluster），要求两台BIGIP的版本相同。

配置方法如下：

2.6.1配置RedundantPair的IP地址

首先，确认BIG－IP已经转换为双机模式。

在WEB页面的左侧导航条选择SYSTEMPlatform

把HithAvailability设置中应选择为RedundantPair模式。

其中BIG-IP1的UnitID为1，BIG-IP2的UnitID为2。

然后，在WEB页面的左侧导航条选择SYSTEMHithAvailability：

BIG-IP1的设置如下：

BIG-IP2的设置如下

PrimaryFailoverAddress输入两台BIGIP的NetfailoverVLANSelfIP地址：

BIG-IP1的SelfIP为192.168.6.1,PeerIP为192.168.6.2;

BIG-IP1的SelfIP为192.168.6.2,PeerIP为192.168.6.1;

SecondaryFailoverAddress输入两台BIGIP的InternalVLANSelfIP地址。

BIG-IP1的SelfIP为192.168.20.1,PeerIP为192.168.20.2;

BIG-IP1的SelfIP为192.168.20.2,PeerIP为192.168.20.1;

RedundancyMode选择Active/Standby模式

并EnableNetworkFailover选项。

其他参数保持默认值。

2.6.2配置双机自动切换机制FailSafe配置

Failsafe设置在满足某些条件的时候，触发BIGIP发生切换。

根据彩铃5期的要求，配置了VLANs的FailSafe配置，当处于Active状态的BIGIP的internal和external两个VALN在设定的时间内没有任何流量，自动切换到备机。

警告：

在没有完成ExternalVLAN和InternalVLAN的网络接线之前，不要启用自动切换机制。

对ExternalVLAN和InternalVLAN启用基于VLAN监控的自动切换机制，步骤如下：

在WEB页面的左面导航界面选择:

SYSTEMHighAvailabilityFail-safe

点击“Add”按钮

VLAN：

选择监控的VLAN

Timeout:

默认值是90秒，一般改为30秒

其中Action选用FailOver方式，而不是缺省的Reboot方式。

设置完后，结果如下：

2.7配置服务器负载均衡

注：

服务器负载均衡器的设置只需要在一台BIG-IP1上进行设置，设置好以后，可以通过双机配置同步的方式将配置更新到BIG-IP2上。

在设置好基础网络,即可对实现服务器负载均衡进行配置。

主要涉及以下几个方面：

Monitor（不一定需要设，有时候可以采用系统自带Monitor）

Monitor跟踪Pool成员的当前状态或者性能

Profile（不一定需要设，有时候可以采用系统自带Profile）

Profile包含定义VirtualServer行为的设置。

负载均衡Pool

负载均衡Pool包含可以将请求发送到其中进行处理的服务器。

iRules

负载均衡控制规则。

VirtualServer

VirtualServer接收客户端的访问请求，然后将请求分发给被负载均衡的服务器上。

SNAT

在负载均衡器内部的服务器主动向外发起访问时，在负载均衡器上所做的地址映射。

访问时

2.7.1配置Monitor

Monitor可以实现对服务器实施健康检查。

以确定服务器是否可以对外提供服务。

注：

目前ISMG中并不存在着故障服务器进行切换的需求，只是需要根据客户端源地址来选择ISMG服务器，因此并不需要对服务器进行监控。

以下只是用于说明服务器状态检查的配置方式。

ISMG项目可以直接进入到下一步骤。

如果需要对检查方法的属性进行定制，以下以定制TCP端口检查为例，方法如下：

点击左侧导航条中的LocalTrafficMonitorCreate，在GeneralProperties中选择TCP

在GeneralProperties中输入你要建立的健康检查方式的名字，可以按需要设置好Interval和Timeout的时间。

最后点击Finished。

2.7.2配置Profile

Profile定义的VirtualServer的属性集合。

ISMG项目需要对VirtualServer上的连接闲置时间进行设置，因此需要创建一个ismg_fastl4的profile，方法如下：

由LocalTrafficManageProfileFastL4Profile，选择创建

2.7.3配置负载均衡Pool

负载均衡Pool是您组合起来接收和处理流量的一组设备，如Web服务器。

BIGIP系统将客户机发往VirtualServer的请求发送到Pool成员中的任一服务器上。

当创建负载均衡Pool时，将服务器（称作Pool成员）分配到pool中，然后将pool与BIGIP系统中的VirtualServer相关联。

然后，BIPIP系统将进入VirtualServer中的流量传输到Pool成员。

单个服务器可隶属于一个或多个pool，这取决于您希望如何管理您的网络流量。

创建pool的方法如下：

点击左侧导航条中的LocalTrafficVirtualServerspoolsCreate:

输入pool的名字，并指定该pool中的member成员的IP地址及serviceport，并指定对Pool成员的健康检查方法，然后点击

即可。

接照SMS的情况,定义pool及相应的member成员如下：

poolPOOL_ISMG{

member192.168.20.1:

0

member192.168.30.1:

0

}

注：

192.168.20.1为与负载均衡器在同一个机房一的ISMG服务器，而192.168.30.1为在机房二的ISMG服务器，两台ISMG不在同一网段。

由于192.168.30.1与负载均衡器不在同一个网段，需要在负载均衡器NetworkRoute设置中增加一条静态路由，即到192.168.30.1的数据包的下一跳指向机房一第二层防火墙的Untrust区的共享地址。

还有其它一些没有列在上面的pool，可以根据实际环境的需要进行添加。

2.7.5建立Virtualserver,实现对服务器的负载均衡

VirtualServer是BIG-IP®本地流量管理（LTM）配置中最重要的组件。

BIG-IP收到到VirtualServer的客户请求后，以地址转换的方式，将客户端的请求发送到VirtualServer相应Pool中的某个成员服务器上。

VirtualServer可提高用于处理客户机请求的资源的可用性。

创建VirtualServer的方法如下：

点击左侧导航条中的LocalTrafficVirtualServersCreate:

在GeneralProperties部分，需指定该Virtualserver的名称，IP地址及服务端口。

在Configuration部分，用户需跟据该Virtualserver的类型，选择相应的配置参数。

注：

对于http流量或ftp流量，用户必需选择Httpprofile或Ftpprofile，否则这两种virtualserver将不能正常访问。

对于ISMG负载均衡，需要创建一个vip_ismg的虚拟务器，将会采用PerformanceLayer4的类型，并选择上面创建的ismg_fastl4profiel：

而协议（Protocol）则要根据虚拟服务器的类型选择是AllProtocols。

在VirtualServer的Resources定义部分，DefaultPool选择VirtualServer所对应的ServerPool，及iRule:

注：

Status为绿色，表示该VirtualServer对应的Pool中至少有一台