F5负载均衡器配置指导书v102.docx
《F5负载均衡器配置指导书v102.docx》由会员分享,可在线阅读,更多相关《F5负载均衡器配置指导书v102.docx(65页珍藏版)》请在冰豆网上搜索。
F5负载均衡器配置指导书v102
华为技术有限公司
HuaweiTechnologiesCo.Ltd.
密级:
内部公开
使用对象:
工程师、合作方、用户
产品名称:
F5配置指导书
F5负载均衡器配置指导书
拟制:
Preparedby
林浩泓
日期:
Date
2004-2-16
审核:
Reviewedby
何韬
日期:
Date
2004-2-17
审核:
Reviewedby
日期:
Date
yyyy-mm-dd
批准:
Grantedby
日期:
Date
yyyy-mm-dd
华为技术有限公司
HuaweiTechnologiesCo.,Ltd.
版权所有XX
Allrightsreserved
修订记录Revisionrecord
日期
Date
修订版本Revisionversion
描述Description
作者Author
2004-01-11
0.01
创建文档
林浩泓
2004-2-16
1.00
初稿完成
林浩泓
2004-2-17
1.01
根据何韬意见,添加vlantag、pools、virtualservers、node、sessionpersistent、monitor概念解释,勘误
林浩泓
2004-12-28
1.02
根据付洪磊意见,对创建虚拟服务器添加注意事项
林浩泓
关键词Keywords:
负载均衡池、虚拟服务器,节点、会话保持、监控、ECV、EAV、SNAT
摘要Abstract:
按照常见的配置步骤,本文对F5BIG-IP负载均衡器设备配置进行说明,并对负载均衡器的基本概念和F5设备使用过程中遇到的常见问题进行解答。
缩略语清单Listofabbreviations:
.
ECVExtendedContentVerificationl可扩展的内容验证
EAVExtendedApplicationVerification可扩展的应用验证
SNATsecurenetworkaddresstranslation安全网络地址转换
1F5负载均衡器简介
1.1负载均衡技术简介
随着业务与软件产品与IP网络关系愈加密切,业务平台提供的性能以及可靠性是电信级应用的关键因素。
业务与软件产品中Portal、WAP网关、彩铃和MMS等业务直接通过Internet提供网络服务。
由于Internet对业务服务访问具有不可预知性,传统的服务器提供大量并发服务已经面临处理能力和I/O性能的瓶颈,当业务超过已经界限将会出现“ServerTooBusy”乃至服务器宕机等问题。
针对单台服务器有限的性能存在瓶颈的情况,负载均衡器通过负载均衡机制将所有请求平均分配到多台节点服务器,使得系统业务处理能力大大提升。
此外,负载均衡器还能监控服务器节点的可用性,其中某一台服务器故障时,能将访问请求转移到其它可以正常工作的服务器。
负载均衡器通常称为四层交换机或七层交换机。
四层交换机主要分析IP层及TCP/UDP层,实现四层流量负载均衡。
七层交换机除了支持四层负载均衡以外,还有分析应用层的信息,如HTTP协议URI或Cookie信息。
1.2F5负载均衡产品介绍
目前F5负载均衡器有BIG-IP1000、BIG-IP2400、BIG-IP5000三个型号。
三个型号的配置如下:
BigIP1000
BigIP2400
BigIP5000
(5100/5110)
最大连接数
4,000,000
4,000,000
4,000,000
空间占用
2U
2U
2U
冗余电源
支持
支持
支持
网络接口
1x1000BASE-SX
8x10/100BASE-TX
2x1000BASE-SX
16x10/100BASE-TX
4x1000BASE-SX
24x10/100BASE-TX
CPU
PIII1.0GHzx1
PIII1.26GHzx1
PIII1.26GHzx2
MEM(STD/MAX)
512M/2G
512M/2G
1G/2G
Storage
512MBCompactFlash
512MBCompactFlash
512MBCompactFlash
SSL芯片
1xSSLchip
1xSSLchip
2xSSLchip
免费SSLhand-shakespersecond
100TPS
100TPS
100TPS
软件模块升级
支持
支持
支持
1.3几个常用术语说明
在使用F5BIG-IP负载均衡器时,大家经常对设备配置和维护觉得无从下手干着急。
为了让大家对BIG-IP负载均衡器有更深入的了解,本文对BIG-IP负载均衡器常用术语进行介绍。
Ø负载均衡池(Pool)——负载均衡池是根据负载均衡策略接收数据流量的一组设备。
池与特定虚拟服务器相关联,流向虚拟服务器的流量通常会转给相关联的负载均衡池中的成员节点。
池可以执行负载均衡操作,比如发送流量到池中的指定节点或定义会话保持方式。
Ø虚拟服务器(VirtualServer)——虚拟服务器是一个可PING的虚拟IP地址和服务端口的组合(比如192.168.200.30:
http),虚拟服务器与负载均衡池(Pool)相对应,负载均衡池由一或多个节点(Node)组成。
Ø节点状态监控(Monitor)——节点状态监控用于检验负载均衡池中成员节点的连接和服务信息,包括节点健康监控和性能监控,当池中成员节点性能下降时BIG-IP系统将会把流量重定向到其它节点。
Ø节点(Node)——节点是处理负载均衡器发送流量的设备,通常是业务服务器。
当服务器加入负载均衡池成为池成员时,服务器就称为节点。
Ø会话保持(Persistence)——会话保持就是指在负载均衡器可以识别做客户与服务器之间交互过程的关联性的机制。
在对会话实现负载均衡的同时,负载均衡器还确保一系列相关联的访问请求会保持分配到一台服务器上。
ØSNAT(安全网络地址转换,securenetworkaddresstranslation)——SNAT与跟Cisco/NetScreenPAT(端口地址转换)方式类似,多个节点共享同一IP地址实现对外部网络的访问。
ØECV(可扩展的内容验证,ExtendedContentVerification)——ECV用于节点状态监控。
ECV监控通过发送和接收协议指令来获取节点服务内容信息,从而实现对节点的监控。
ECV监控服务包括HTTP、HTTPS和TCP,比如,ECV通过“GET/”操作来获取HTTP服务的主页面信息来验证节点服务的状态。
ØEAV(可扩展的应用验证,ExtendedApplicationVerification)——EAV用于节点状态监控。
EAV监控通过运行服务检查程序来验证应用的状态。
EAV监控服务包括FTP、POP3、SMTP、SQL、NNTP、IMAP、LDAP和RADIUS,比如,EAV通过指定用户名、口令和获取文件路径实现FTP监控。
ØVLANTag——在讲述VLANTag之前必须要了解IEEE802.1Q。
IEEE802.1Q在以太网帧头部插入4个字节,其中12位表示VLANID。
接口配置为Untagged,接口发送帧时将802.1Q头部去掉,还原为标准以太网帧,这样帧就可以被不支持802.1Q的主机或交换机接收。
Untagged接口只能支持一个VLAN。
接口配置为Tagged,接口收发帧时包含802.1Q头部。
Tagged接口支持多个VLAN,帧中Tag标识所属VLAN。
2BIG-IP配置步骤与规划准备工作
2.1BIG-IP配置步骤
BIG-IP主要配置步骤如下:
1.组网和IP地址/命名规划
2.命令行进行Setup初始化配置
3.激活License
4.更改系统时钟(可选)
5.配置网络VLAN和IP地址
6.配置负载均衡池
7.配置节点状态监控
8.配置虚拟服务器
9.配置SNAT
10.配置双机
注:
本配置步骤为常见配置顺序,并非为唯一配置方式,比如Setup初始化配置也可以通过Web界面进行配置。
本文没有包括过滤和SSLProxy等配置。
主用BIG-IP系统要完成以上所有配置步骤,备用BIG-IP系统可以跳过5-9步,而通过主用BIG-IP系统将配置同步到备用BIG-IP系统中去。
2.2准备要点
在安装BIG-IP系统之前,请检查如下准备工作是否做好:
Ø设备物理连接规划。
ØIP地址规划,根据实际需要划分网段和分配IP地址,通常网络设备IP地址为网络中最大IP地址(默认网关使用最大IP地址),往下递推;主机设备从网络中最小IP地址往上递推进行分配。
✓BIG-IP外部VLAN需要3个IP用于冗余BIG-IP配置。
✓每一个VIP(虚拟IP地址)或NAT需要一个外部VLANIP。
✓BIG-IP内部VLAN需要3个IP用于冗余BIG-IP配置。
✓BIG-IP内部每个节点需要一个内部VLANIP。
Ø确定BIG-IP主机域名,并且确保BIG-IP双机主机名不一样。
2.3组网和IP地址规划
本文主要给出BIG-IP系统配置使用的指南,具体配置说明不一定跟本实例有关,本例目的主要对实际组网归档交付提供参考。
组网和IP地址规划举例如下图所示:
IP地址和物理端口分配如下表所示:
单元号
主机名
VLAN
端口
端口对端描述
IP地址
浮动IP地址
1
f5-
external
1.1
外部vlan交换机
172.16.96.26/27
172.16.96.28
internal
1.3,1.4
服务器主网卡
172.16.96.92/27
172.16.96.94
tagged
1.8
级联备用F5
-
2
f5-
external
1.1
外部vlan交换机
172.16.96.26/27
172.16.96.28
internal
1.3,1.4
服务器备网卡
172.16.96.92/27
172.16.96.94
tagged
1.8
级联主用F5
-
VIP与成员信息表如下:
VIP号
VIPIP地址
VIP端口
成员池名
成员节点IP地址
成员节点端口
映射方式
1
172.16.96.1
80
web_pool
172.16.96.65
80
SNAT
172.16.96.66
2.4BIG-IP接口编号说明
F5接口槽位号编号遵循由上到下,然后由左到右规则。
BIG-IP第一槽位为8端口快速以太网接口,2槽位为1端口千兆网接口,3槽位为管理接口。
具体编码如下图:
注:
因为BIG-IP的接口与VLAN分配相关,网线连接接口位置不能随意更改,否则可能导致网络无法连接。
3命令行进行Setup配置
本文以BIG-IP1000为例讲解整个配置过程,基本上讲解了BIG-IP整个配置过程。
3.1配置终端
使用超级终端建立一个连接,通过Console电缆一端连接BIGIP,一端连接COM,COM的参数设置:
串口设置:
19200,8-N-1
设置串口的终端仿真为VT100,如图:
3.2启动F5
启动F5,超级终端显示如下:
Systemisbooting,Pleasewait.........
loading/boot
pressESCtobootnow,anyotherkeytointerruptbootsequence43210
basemem=636K,extmem=523264K,total524288K
CheckingforACPIPMSUPPORT...
Notpresent
CheckingforAPMBIOS...APMV1.2found.
Copyright(c)1996-2003
F5Networks,Inc.Allrightsreserved.
BIG-IPKernel4.5PTF-07Build18
HardwareConfiguration:
....
CPU:
PentiumIII(Coppermine)(996MHz)
Memory:
512MB
CryptoProcessors:
1xBCM5822
NetworkInterfaces:
3.100:
01:
d7:
21:
c1:
80(exp0)ether100BaseTX10BaseT
2.100:
01:
d7:
21:
c1:
ba(bsg2)ether1000Mbps
1.1-1.8(bs)ether100BaseTX10BaseT
OtherDevices:
..
Setupdefaultconfiguration...
Defaultconfigurationcomplete.
......
IP192.168.1.245configuredonvlanadminport3.1
default
....
***PRODUCTISUNLICENSED***
sodbigstpdbig3dbigdsfdslapdipfwrateclassratefiltntpdate
3.3输入用户名口令
BIG-IP4.5PTF-07(default)(console)
login:
输入用户“root”和默认密码“default”,回车。
注:
基于CLI访问F5的默认用户名为“root”,口令为“default”。
基于HTTPS访问的默认用户名为“admin”,口令为“admin”。
在业务系统中务必更改默认用户名和口令。
3.4设置终端类型
Copyright1992,1993,1994,1995,1996,1997BerkeleySoftwareDesign,Inc.
Copyright(c)1980,1983,1986,1988,1990,1991,1993,1994
TheRegentsoftheUniversityofCalifornia.Allrightsreserved.
[省略输出信息……]
Terminaltype?
[vt100]
缺省的终端类型为vt100,回车
3.5Setup初始化配置
缺省的主机名字是:
default,在提示符下面输入命令:
config,回车:
说明:
第一次运行config或setup命令将进入setup命令界面。
Setup工具可以实现逐步配置root密码、BIG-IP主机名、接口和远程管理等。
default:
~#config
3.5.1提示系统License不存在
第一次运行,提示系统License不存在信息
BIG-IPLICENSEPROBLEM
Thereisnoactivelicenseonthissystem.
Toactivateyourlicense,runthe'setup'commandagainafterthis
configurationandchoosethe'LicenseActivation'menuitem,orexit
fromthisprogramnowandrunthe'license'command.
Exitnow?
(Y/N):
n
按“n”键进入LicenseAgreement窗口,按回车键继续,并选择Yes,IAgreeToThisLicense。
根据系统提示,继续执行配置步骤直至正式进入SetupUtility。
CONFIGURATION
SetupUtility
WelcometoBIG-IP.BeforeusingyourBIG-IP,youwillhavetoconfigure
manyservicesandvaluesincluding:
therootpassword,BIG-IPhostname,
interfacecards,sharedinterfaces(ifany),andremoteadministration
tools.Thisutilitywilltakeyouthroughtheprocessstep-by-step.
[Pressctrl-Etoexitandconfiguremanually]
[pressanyotherkeytocontinue]
注意:
进入BIG-IPSetup工具模式后,无法退出和配置回滚,必须一步一步配完。
3.5.2设置键盘类型
进入Setup界面后,第一步工作是设置键盘类型,默认使用US-Standard101key,回车。
SETKEYBOARDTYPE
Chooseyourkeyboardtypefromthelistbelow.
Belgian
BulgarianMIK
French
German
Japanese-106key
Norwegian
Spanish
Swedish
US+Cyrillic
US-Standard101key
UnitedKingdom
3.5.3设置root密码
设置root密码。
输入root密码后,BIG-IP重新提示输入密码。
如果前后输入密码匹配,系统立即保存密码。
如果密码不一致,Setup工具提供错误消息并提示重新输入密码。
SETROOTPASSWORD
NewRootPassword:
YouneedtosettherootpasswordonyourBIG-IP.If
youhavepurchasedaredundantBIG-IPsystem,theroot
passwordonbothboxesmustbethesame.Yourinput
willnotechoonthispage.
注:
root密码允许用户通过命令行访问BIG-IP系统。
建议root密码长度大于6位,但不要超过32位字节。
密码与大小写敏感,建议密码中包含大写/小写字母和特殊字节(比如,!
@#$%^&*)。
如果BIG-IP系统为冗余系统,两台主备机的root密码必须保持一致。
3.5.4设置主机名
SETBIG-IPHOSTNAME
EnterBIG-IPFQDN:
f5-
TheFQDN(FullyQualifiedDomainName)identifiesthis
BIG-IPcontroller.Example:
.
注:
主机名用来标识BIG-IP系统自身。
主机名必须符合DNS域名标准。
主机部分必须以字母开始,并至少为2个字符。
举例:
f5-。
警告:
BIG-IP双机系统的主机名必须不一样,否则配置无法同步。
警告:
必须通过Setup工具来更改主机名,不得直接编辑/etc/hosts或用hostname命令更改主机名,否则会导致系统不可访问。
3.5.5双机系统设置
配置完主机名之后,BIG-IP系统进入接口配置模式,包括VLAN、IP地址和双机配置。
如果工程中配置F5双机系统unitID(通常为1或2)、fail-overIP地址和fail-over类型。
如果BIG-IP系统为双机,选择Yes,itisaredundantBIG-IPsystem,否则选择No,itisnotaredundantBIG-IPsystem。
CONFIGUREBIG-IPINTERFACES
IsthisaredundantBIG-IPsystem?
Yes,itisaredundantBIG-IPsystem
No,itisnotaredundantBIG-IPsystem
若不选择为双机系统,则跳过下列步骤:
A.设置UnitID。
通常主用系统UnitID为1,备用系统UnitID为2。
CONFIGUREBIG-IPINTERFACES
EntertheunitidentifyingnumberforthisBIG-IP.Thismustbea
uniquenumberforeachBIG-IP.Forexample,ifthisisthesecond
BIG-IPyouhaveconfigured,entera'2'below.Ifitisthefirst,
entera'1',whichisthedefault.
UnitNumber:
1
B.设置FailoverIP。
通常为备用BIG-IP系统内部接口Self-IP地址。
本例中使用PortalVLAN的备用BIG-IP系统IP地址。
CONFIGUREBIG-IPINTERFACES
EntertheunitidentifyingnumberforthisBIG-IP.Thismustbea
uniquenumberforeachBIG-IP.Forexample,ifthisisthesecond
BIG-IPyouhaveconfigured,entera'2'below.Ifitisthefirst,
entera