F5 BIGIP负载均衡器配置指导书V15doc.docx

F5 BIGIP负载均衡器配置指导书V15doc.docx

《F5 BIGIP负载均衡器配置指导书V15doc.docx》由会员分享，可在线阅读，更多相关《F5 BIGIP负载均衡器配置指导书V15doc.docx（54页珍藏版）》请在冰豆网上搜索。

F5BIGIP负载均衡器配置指导书V15doc

资料编码

产品名称

F5BIG-IPLBS

使用对象

华为工程师，合作工程师

产品版本

4.5

编写部门

业务与软件技术服务部

资料版本

1.5

F5BIG-IP负载均衡器配置指导书

拟制：

林浩泓

日期：

2006-5-30

审核：

林浩泓

日期：

2006-5-30

审核：

日期：

批准：

林浩泓

日期：

2006-5-30

华为技术有限公司

版权所有XX

修订记录

日期

修订版本

描述

作者

2004-01-11

1.0

创建文档

林浩泓

2004-2-16

1.1

初稿完成

林浩泓

2004-2-17

1.2

添加vlantag、pools、virtualservers、node、sessionpersistent、monitor概念解释，勘误

林浩泓

2004-12-28

1.3

对创建虚拟服务器添加注意事项

林浩泓

2006-3-23

1.4

勘误，添加目前常用的F5部署物理连接图。

林浩泓

2006-5-30

1.5

更新文档模板

林浩泓

目录

第1章F5负载均衡器简介1

1.1负载均衡技术简介1

1.2F5负载均衡产品介绍1

1.3几个常用术语说明3

第2章BIG-IP配置步骤与规划准备工作5

2.1BIG-IP配置步骤5

2.2准备要点5

2.3组网和IP地址规划6

2.4BIG-IP接口编号说明9

第3章命令行进行Setup配置11

3.1配置终端11

3.2启动F511

3.3输入用户名口令13

3.4设置终端类型13

3.5Setup初始化配置13

3.5.1提示系统License不存在13

3.5.2设置键盘类型15

3.5.3设置root密码15

3.5.4设置主机名16

3.5.5双机系统设置17

3.5.6设置接口速率和双工类型19

3.5.7配置VLAN和IP地址20

3.5.8添加接口到VLAN中23

3.5.9选择VLANIP地址与主机名关联23

3.5.10配置默认网关25

3.5.11配置WEB访问26

3.5.12配置SSH访问29

3.5.13配置F5支持访问30

3.5.14设置时区31

3.5.15配置NTP支持32

3.5.16配置DNS代理转发33

3.5.17用户认证配置33

3.5.18Setup配置完成34

第4章激活License35

4.1通过Web访问BIG-IP35

4.2激活License步骤35

第5章系统时钟更改39

第6章WebConfigurationUtility进行配置40

6.1进入配置工具40

6.2配置VLAN和端口41

6.3配置VLANIP地址42

6.4配置负载均衡池42

6.4.1配置池名、成员IP地址和负载均衡策略43

6.4.2会话保持配置43

6.5配置节点状态监控45

6.5.1自定义节点状态监控46

6.5.2监控与节点相关联47

6.6配置虚拟服务器48

6.6.1创建虚拟服务器48

6.6.2虚拟服务器属性修改配置49

6.6.3检查系统状态51

6.7配置SNAT52

6.7.1配置步骤53

6.7.2验证SNAT配置54

第7章双机配置58

7.1注意事项58

7.2初始化后配置步骤59

7.3上行连接的监控设置59

第8章附录A常见问题说明61

8.1BIG-IP单机或两台双机系统处于Standby状态，为什么61

8.2BIG-IP系统root密码忘记了，如何恢复61

8.3默认的用户名和口令不安全，如何添加新用户或修改现有用户62

8.4BIG-IP系统如何进行配置备份和恢复63

8.5SSH访问具有密码加密传输的优点，请问从哪里获取SSH客户端63

8.6网络设备通常有收集系统信息的宏命令，F5有没有相应命令64

8.7如何使用TCPDUMP进行Troubleshooting64

8.8如何实时监视BIG-IP的连接状态66

关键词：

负载均衡池、虚拟服务器，节点、会话保持、监控、ECV、EAV、SNAT

摘要：

按照常见的配置步骤，本文对F5BIG-IP负载均衡器设备配置进行说明，并对负载均衡器的基本概念和F5BIG-IP设备使用过程中遇到的常见问题进行解答。

本指导书适用于F5BIG-IP1000/2400负载均衡器（版本4.5）。

缩略语清单：

ECVExtendedContentVerification可扩展的内容验证

EAVExtendedApplicationVerification可扩展的应用验证

SNATsecurenetworkaddresstranslation安全网络地址转换

参考资料清单：

第1章F5负载均衡器简介

1.1负载均衡技术简介

随着业务与软件产品与IP网络关系愈加密切，业务平台提供的性能以及可靠性是电信级应用的关键因素。

业务与软件产品中Portal、WAP网关、彩铃和MMS等业务直接通过Internet提供网络服务。

由于Internet对业务服务访问具有不可预知性，传统的服务器提供大量并发服务已经面临处理能力和I/O性能的瓶颈，当业务超过已经界限将会出现“ServerTooBusy”乃至服务器宕机等问题。

针对单台服务器有限的性能存在瓶颈的情况，负载均衡器通过负载均衡机制将所有请求平均分配到多台节点服务器，使得系统业务处理能力大大提升。

此外，负载均衡器还能监控服务器节点的可用性，其中某一台服务器故障时，能将访问请求转移到其它可以正常工作的服务器。

负载均衡器通常称为四层交换机或七层交换机。

四层交换机主要分析IP层及TCP/UDP层，实现四层流量负载均衡。

七层交换机除了支持四层负载均衡以外，还有分析应用层的信息，如HTTP协议URI或Cookie信息。

1.2F5负载均衡产品介绍

目前F5负载均衡器有BIG-IP1000、BIG-IP2400、BIG-IP5000三个型号。

三个型号的配置如下：

BigIP1000

BigIP2400

BigIP5000

（5100/5110）

最大连接数

4,000,000

4,000,000

4,000,000

空间占用

2U

2U

2U

冗余电源

支持

支持

支持

网络接口

1x1000BASE-SX

8x10/100BASE-TX

2x1000BASE-SX

16x10/100BASE-TX

4x1000BASE-SX

24x10/100BASE-TX

CPU

PIII1.0GHzx1

PIII1.26GHzx1

PIII1.26GHzx2

MEM（STD/MAX）

512M/2G

512M/2G

1G/2G

Storage

512MBCompactFlash

512MBCompactFlash

512MBCompactFlash

SSL芯片

1xSSLchip

1xSSLchip

2xSSLchip

免费SSLhand-shakespersecond

100TPS

100TPS

100TPS

软件模块升级

支持

支持

支持

1.3几个常用术语说明

在使用F5BIG-IP负载均衡器时，大家经常对设备配置和维护觉得无从下手干着急。

为了让大家对BIG-IP负载均衡器有更深入的了解，本文对BIG-IP负载均衡器常用术语进行介绍。

●负载均衡池（Pool）——负载均衡池是根据负载均衡策略接收数据流量的一组设备。

池与特定虚拟服务器相关联，流向虚拟服务器的流量通常会转给相关联的负载均衡池中的成员节点。

池可以执行负载均衡操作，比如发送流量到池中的指定节点或定义会话保持方式。

●虚拟服务器（VirtualServer）——虚拟服务器是一个可PING的虚拟IP地址和服务端口的组合（比如192.168.200.30:

http），虚拟服务器与负载均衡池（Pool）相对应，负载均衡池由一或多个节点（Node）组成。

●节点状态监控（Monitor）——节点状态监控用于检验负载均衡池中成员节点的连接和服务信息，包括节点健康监控和性能监控，当池中成员节点性能下降时BIG-IP系统将会把流量重定向到其它节点。

●节点（Node）——节点是处理负载均衡器发送流量的设备，通常是业务服务器。

当服务器加入负载均衡池成为池成员时，服务器就称为节点。

●会话保持（Persistence）——会话保持就是指在负载均衡器可以识别做客户与服务器之间交互过程的关联性的机制。

在对会话实现负载均衡的同时，负载均衡器还确保一系列相关联的访问请求会保持分配到一台服务器上。

●SNAT（安全网络地址转换，securenetworkaddresstranslation）——SNAT与跟Cisco/NetScreenPAT（端口地址转换）方式类似，多个节点共享同一IP地址实现对外部网络的访问。

●ECV（可扩展的内容验证，ExtendedContentVerification）——ECV用于节点状态监控。

ECV监控通过发送和接收协议指令来获取节点服务内容信息，从而实现对节点的监控。

ECV监控服务包括HTTP、HTTPS和TCP，比如，ECV通过“GET/”操作来获取HTTP服务的主页面信息来验证节点服务的状态。

●EAV（可扩展的应用验证，ExtendedApplicationVerification）——EAV用于节点状态监控。

EAV监控通过运行服务检查程序来验证应用的状态。

EAV监控服务包括FTP、POP3、SMTP、SQL、NNTP、IMAP、LDAP和RADIUS，比如，EAV通过指定用户名、口令和获取文件路径实现FTP监控。

●VLANTag——在讲述VLANTag之前必须要了解IEEE802.1Q。

IEEE802.1Q在以太网帧头部插入4个字节，其中12位表示VLANID。

接口配置为Untagged，接口发送帧时将802.1Q头部去掉，还原为标准以太网帧，这样帧就可以被不支持802.1Q的主机或交换机接收。

Untagged接口只能支持一个VLAN。

接口配置为Tagged，接口收发帧时包含802.1Q头部。

Tagged接口支持多个VLAN，帧中Tag标识所属VLAN。

第2章

BIG-IP配置步骤与规划准备工作

2.1BIG-IP配置步骤

BIG-IP主要配置步骤如下：

1.组网和IP地址/命名规划

2.命令行进行Setup初始化配置

3.激活License

4.更改系统时钟（可选）

5.配置网络VLAN和IP地址

6.配置负载均衡池

7.配置节点状态监控

8.配置虚拟服务器

9.配置SNAT

10.配置双机

注意：

本配置步骤为常见配置顺序，并非为唯一配置方式，比如Setup初始化配置也可以通过Web界面进行配置。

本文没有包括过滤和SSLProxy等配置。

主用BIG-IP系统要完成以上所有配置步骤，备用BIG-IP系统可以跳过5-9步，而通过主用BIG-IP系统将配置同步到备用BIG-IP系统中去。

2.2准备要点

在安装BIG-IP系统之前，请检查如下准备工作是否做好：

✓设备物理连接规划。

✓IP地址规划，根据实际需要划分网段和分配IP地址，通常网络设备IP地址为网络中最大IP地址（默认网关使用最大IP地址），往下递推；主机设备从网络中最小IP地址往上递推进行分配。

✓BIG-IP外部VLAN需要3个IP用于冗余BIG-IP配置。

✓每一个VIP（虚拟IP地址）或NAT需要一个外部VLANIP。

✓BIG-IP内部VLAN需要3个IP用于冗余BIG-IP配置。

✓BIG-IP内部每个节点需要一个内部VLANIP。

✓确定BIG-IP主机域名，并且确保BIG-IP双机主机名不一样。

2.3组网和IP地址规划

本文主要给出BIG-IP系统配置使用的指南，具体配置说明不一定跟本实例有关，本例目的主要对实际组网归档交付提供参考。

组网和IP地址规划举例如下图所示：

图2-1组网示意图

IP地址和物理端口分配如下表所示：

表2-1IP地址和物理端口分配表

单元号

主机名

VLAN

端口

端口对端描述

IP地址

浮动IP地址

1

f5-

external

1.1

外部vlan交换机

172.16.96.26/27

172.16.96.28

internal

1.3,1.4

服务器主网卡

172.16.96.92/27

172.16.96.94

tagged

1.8

级联备用F5

-

2

f5-

external

1.1

外部vlan交换机

172.16.96.27/27

172.16.96.28

internal

1.3,1.4

服务器备网卡

172.16.96.93/27

172.16.96.94

tagged

1.8

级联主用F5

-

VIP与成员信息表如下：

表2-2VIP与成员信息表

VIP号

VIPIP地址

VIP端口

成员池名

成员节点IP地址

成员节点端口

映射方式

1

172.16.96.1

80

web_pool

172.16.96.65

80

SNAT

172.16.96.66

以上实例是BIG-IP负载均衡器早期部署的组网模式，目前业软应用BIG-IP负载均衡器的推荐物理连接如下图所示。

更新的旁挂方式的组网模式，servernode数目不再局限于BIG-IP的端口数目，并且可以更方便的应用三层交换机的路由功能。

图2-2BIG-IP负载均衡器推荐组网模式-旁挂模式

2.4BIG-IP接口编号说明

F5接口槽位号编号遵循由上到下，然后由左到右规则。

BIG-IP第一槽位为8端口快速以太网接口，2槽位为1端口千兆网接口，3槽位为管理接口。

具体编码如下图：

图2-1BIG-IP接口编号示意图

注意：

因为BIG-IP的接口与VLAN分配相关，网线连接接口位置不能随意更改，否则可能导致网络无法连接。

第3章

命令行进行Setup配置

本文以BIG-IP1000为例讲解整个配置过程，基本上讲解了BIG-IP整个过程。

3.1配置终端

使用超级终端建立一个连接，通过Console电缆一端连接BIGIP，一端连接COM，COM的参数设置：

串口设置：

19200，8-N-1

设置串口的终端仿真为VT100，如图：

3.2启动F5

启动F5，超级终端显示如下：

Systemisbooting,Pleasewait.........

loading/boot

pressESCtobootnow,anyotherkeytointerruptbootsequence43210

basemem=636K,extmem=523264K,total524288K

CheckingforACPIPMSUPPORT...

Notpresent

CheckingforAPMBIOS...APMV1.2found.

Copyright（c）1996-2003

F5Networks,Inc.Allrightsreserved.

BIG-IPKernel4.5PTF-07Build18

HardwareConfiguration:

....

CPU:

PentiumIII（Coppermine）（996MHz）

Memory:

512MB

CryptoProcessors:

1xBCM5822

NetworkInterfaces:

3.100:

01:

d7:

21:

c1:

80（exp0）ether100BaseTX10BaseT

2.100:

01:

d7:

21:

c1:

ba（bsg2）ether1000Mbps

1.1-1.8（bs）ether100BaseTX10BaseT

OtherDevices:

..

Setupdefaultconfiguration...

Defaultconfigurationcomplete.

......

IP192.168.1.245configuredonvlanadminport3.1

default

....

***PRODUCTISUNLICENSED***

sodbigstpdbig3dbigdsfdslapdipfwrateclassratefiltntpdate

3.3输入用户名口令

BIG-IP4.5PTF-07（default）（console）

login:

输入用户“root”和默认密码“default”，回车。

注意：

基于CLI访问F5的默认用户名为“root”，口令为“default”。

基于HTTPS访问的默认用户名为“admin”，口令为“admin”。

在业务系统中务必更改默认用户名和口令。

3.4设置终端类型

Copyright1992,1993,1994,1995,1996,1997BerkeleySoftwareDesign,Inc.

Copyright（c）1980,1983,1986,1988,1990,1991,1993,1994

TheRegentsoftheUniversityofCalifornia.Allrightsreserved.

[省略输出信息……]

Terminaltype?

[vt100]

缺省的终端类型为vt100，回车

3.5Setup初始化配置

缺省的主机名字是：

default,在提示符下面输入命令：

config，回车：

说明：

第一次运行config或setup命令将进入setup命令界面。

Setup工具可以实现逐步配置root密码、BIG-IP主机名、接口和远程管理等。

default:

~#config

3.5.1提示系统License不存在

第一次运行，提示系统License不存在信息

BIG-IPLICENSEPROBLEM

Thereisnoactivelicenseonthissystem.

Toactivateyourlicense,runthe'setup'commandagainafterthis

configurationandchoosethe'LicenseActivation'menuitem,orexit

fromthisprogramnowandrunthe'license'command.

Exitnow?

（Y/N）:

n

按“n”键进入LicenseAgreement窗口，按回车键继续，并选择Yes,IAgreeToThisLicense。

根据系统提示，继续执行配置步骤直至正式进入SetupUtility。

CONFIGURATION

SetupUtility

WelcometoBIG-IP.BeforeusingyourBIG-IP,youwillhavetoconfigure

manyservicesandvaluesincluding:

therootpassword,BIG-IPhostname,

interfacecards,sharedinterfaces（ifany）,andremoteadministration

tools.Thisutilitywilltakeyouthroughtheprocessstep-by-step.

[Pressctrl-Etoexitandconfiguremanually]

[pressanyotherkeytocontinue]

注意：

进入BIG-IPSetup工具模式后，无法退出和配置回滚，必须一步一步配完。

3.5.2设置键盘类型

进入Setup界面后，第一步工作是设置键盘类型，默认使用US-Standard101key，回车。

SETKEYBOARDTYPE

Chooseyourkeyboardtypefromthelistbelow.

Belgian

BulgarianMIK

French

German

Japanese-106key

Norwegian

Spanish

Swedish

US+Cyrillic

US-Standard101key

UnitedKingdom

3.5.3设置root密码

设置root密码。

输入root密码后，BIG-IP重新提示输入密码。

如果前后输入密码匹配，系统立即保存密码。

如果密码不一致，Setup工具提供错误消息并提示重新输入密码。

SETROOTPASSWORD

NewRootPassword:

YouneedtosettherootpasswordonyourBIG-IP.If

youhavepurchasedaredundantBIG-IPsystem,theroot

passwordonbothboxesmustbethesame.Yourinput

willnotechoonthispage.

注意：

root密码允许用户通过命令行访问BIG-IP系统。

建议root密码长度大于6位，但不要超过32位字节。

密码与大小写敏感，建议密码中包含大写/小写字母和特殊字节（比如，!

@#$%^&*）。

如果BIG-IP系统为冗余系统，两台主备机的root密码必须保持一致。

3.5.4设置主机名

SETBIG-IPHOSTNAME

EnterBIG-IPFQDN:

f5-1.col