BIGIP标准配置文档.docx

1、BIGIP标准配置文档BIGIP标准配置文档杨明非F5 工程师2004-11-211. 连接BIGIPConsole方式基于Console终端配置BIG-IP 的准备安装Windows操作系统的PC一台（装有超级终端）BIGIP设备自带的Console电缆一条使用超级终端建立一个连接，通过Console电缆一端连接BIGIP，一端连接COM，COM的参数设置如图：网络连接方式基于WEB方式在浏览器地址栏键入https:/（BIGIP 设备IP地址），如下图：回车后，出现以下界面：此对话框为浏览器与BIGIP通讯交换的证书提示，点击“是”继续输入用户名和密码点击确定继续点击Configure y

2、our BIGIP Using Configration Utility进入BIGIP配置主界面。在此页面的下方可下载BIGIP的操作手册（Reference Guide）、SSH Client软件和BIGIP的私有MIB库等。此界面为BIGIP的配置主界面，左侧为系统配置主菜单。右侧为具体功能配置和显示界面，右侧顶部为菜单子项目切换按钮。点击后即可切换配置界面。基于SSH方式基于SSH方式访问BIGIP有两种方式：一种是采用专用的客户端，此处以SecureCRT为例：在Secure CRT中新建连接，配置如下：另外一种方式是登陆进入BIGIP WEB管理界面后启动BIGIP自带的SSH Cl

3、ient -MindTerm SSH:点击Minterm SSH后弹出单独窗口如下：键入root用户和对应密码后出现：直接回车选择终端类型为Vt100即可注意：如果客户端使用Windows XP系统并且没有安装JAVA虚拟机时，该功能不可用。2. 网络配置网络配置步骤及流程L2 Vlan 配置通过单击页面左侧对象树的Network，在页面右侧显示VLAN的信息。在这里以配置两个VLAN“external”和“internal”为例：点击系统左侧Network菜单 通过单击这两个对象，可以进一步观察这两个网络的具体配置。如果要删除某个网络对象，可以单击图标 这是“external”网络的窗口。如

4、果要修改该网络所包括的Interfece，可从Resource中左侧的Interface Number中选取空闲的端口后，单击untagged，添加到当前的VLAN中。在Current Interfaces中选中一个或几个端口，单击Self IP Address通过单击相应的IP地址可以对其相关配置进行浏览和修改。 下图是两台BIG-IP外网IP地址的配置窗口 通过单击VLAN框的下拉按钮，可以选择该IP地址对应的网络。注意：上图中的Floating 复选框如果是 Share IP必须选中。如果是实际IP不要选中。我们可以根据需要通过单击来添加一个IP地址，也可以通过单击来删除一个IP地址。服

5、务器直连模式网络配置在结构一下，我们需要进行以下网络配置网络连接拓扑图 在该模式下，所有的服务器都直接连接到BIGIP上。如果服务器单网卡运行，则通常将同组的服务器连接分散在两台BIGIP上。如果服务器为双网卡冗余模式，则可将每台服务其的两块网卡分别连接在BIGIP上。BIGIP通过交叉连接方式连接到上端的交换机。注意需要在上端交换机中开启SpanningTree，而在BIGIP上则无需启动SpanningTree。VLAN划分在服务器直接连接模式，建议BIGIP上划分4个VLAN，分别为：External：用于连接上端交换机，根据上端交换机不同，我们可以将千兆光纤端口或者100M以太网端口划

6、分在此VLAN中。Internal：用于连接后端的服务器，通常，我们采用100M端口连接后端服务器。failover_vlan：主要用于两台BIGIP之间的配置同步和Session同步。通常情况下在端口数量足够的时候我们用一个单独的端口用于配置和Session同步。如果在端口数量不足时，可不使用本VLAN而使用internal VLAN来进行配置和Session同步。Admin：该VLAN为BIGIP保留VLAN，主要用于网络管理，该VLAN只包含一个3.1端口。建议通常情况下保留该端口不使用，在进行现场调试或配置的时候再使用该端口进行错误排查和管理配置。默认情况下，BIGIP上已经配置了Ex

7、ternal、Internal和Admin VLAN，所以只需要添加failover_vlan即可。IP地址划分每个VLAN必须采用不同的IP网段。BIGIP上必须配置的IP包括以下几个部分：External vlan self IP为BIGIP External Vlan与其它设备互联的IP地址，每台设备的External Vlan Self IP均是不同的External vlan shared IP为两台BIGIP在External Vlan上的浮动地址，该地址会漂移在Active的BIGIP设备上，主要用于上端路由器指往下一段IP的网关地址，在Redundence结构下，两台BIGIP

8、的External Vlan Shared IP的地址是相同的Internal vlan self IP为BIGIP Internal Vlan与其它设备互联的IP地址，每台设备的Internal Vlan Self IP均是不同的Internal vlan shared IP为两台BIGIP在Internal Vlan上的浮动地址，该地址会漂移在Active的BIGIP设备上，主要用于后端服务器指往下一段IP的网关地址，在Redundence结构下，两台BIGIP的Internal Vlan Shared IP的地址是相同的Failover_vlan self IP为两台BIGIP之间相互访

9、问的专用地址，主要用于配置同步和Session同步。建议两台设备分别为1.1.1.1/24和1.1.1.2/24Failover_vlan shared IP为两台BIGIP在Failover_vlan上的浮动地址，该地址会漂移在Active的BIGIP设备上，该地址没有实际作用，建议配置该地址为：1.1.1.254/24Admin vlan self IP为BIGIP Admin vlan地址，该地址主要用于设备管理，在BIGIP出现故障或进行现场维护的时候使用，每台设备的Admin Vlan SelfIP均为192.168.1.245/24，如果需要接入网管网，则可根据网管网的IP地址划分

10、进行重新配置Admin vlan shared IP为两台BIGIP在Admin Vlan上的浮动地址，该地址会漂移在Active的BIGIP设备上，该地址没有实际作用，建议配置该地址为192.168.1.254/24服务器非直连模式网络配置网络拓扑结构 在该结构下，所有服务器均连接在二层交换机上，通过二层交换机再连接到BIGIP上。每台BIGIP通过交叉网线连接到与其相关的每台设备。在BIGIP上关闭SpanningTree功能，在其他交换机上开启SpanningTree功能。VLAN划分在服务器非直接连接模式，建议BIGIP上划分4个VLAN，分别为：External：用于连接上端交换机，

11、根据上端交换机不同，我们可以将千兆光纤端口或者100M以太网端口划分在此VLAN中。Internal：用于连接后端的服务器，通常，我们采用100M端口连接后端服务器。failover_vlan：主要用于两台BIGIP之间的配置同步和Session同步。通常情况下在端口数量足够的时候我们用一个单独的端口用于配置和Session同步。如果在端口数量不足时，可不使用本VLAN而使用internal VLAN来进行配置和Session同步。Admin：该VLAN为BIGIP保留VLAN，主要用于网络管理，该VLAN只包含一个3.1端口。建议通常情况下保留该端口不使用，在进行现场调试或配置的时候再使用该

12、端口进行错误排查和管理配置。默认情况下，BIGIP上已经配置了External、Internal和Admin VLAN，所以只需要添加failover_vlan即可。IP地址划分每个VLAN必须采用不同的IP网段。BIGIP上必须配置的IP包括以下几个部分：External vlan self IP为BIGIP External Vlan与其它设备互联的IP地址，每台设备的External Vlan Self IP均是不同的External vlan shared IP为两台BIGIP在External Vlan上的浮动地址，该地址会漂移在Active的BIGIP设备上，主要用于上端路由器指往

13、下一段IP的网关地址，在Redundence结构下，两台BIGIP的External Vlan Shared IP的地址是相同的Internal vlan self IP为BIGIP Internal Vlan与其它设备互联的IP地址，每台设备的Internal Vlan Self IP均是不同的Internal vlan shared IP为两台BIGIP在Internal Vlan上的浮动地址，该地址会漂移在Active的BIGIP设备上，主要用于后端服务器指往下一段IP的网关地址，在Redundence结构下，两台BIGIP的Internal Vlan Shared IP的地址是相同的F

14、ailover_vlan self IP为两台BIGIP之间相互访问的专用地址，主要用于配置同步和Session同步。建议两台设备分别为1.1.1.1/24和1.1.1.2/24Failover_vlan shared IP为两台BIGIP在Failover_vlan上的浮动地址，该地址会漂移在Active的BIGIP设备上，该地址没有实际作用，建议配置该地址为：1.1.1.254/24Admin vlan self IP为BIGIP Admin vlan地址，该地址主要用于设备管理，在BIGIP出现故障或进行现场维护的时候使用，每台设备的Admin Vlan SelfIP均为192.168.

15、1.245/24，如果需要接入网管网，则可根据网管网的IP地址划分进行重新配置Admin vlan shared IP为两台BIGIP在Admin Vlan上的浮动地址，该地址会漂移在Active的BIGIP设备上，该地址没有实际作用，建议配置该地址为192.168.1.254/24透明模式网络配置网络拓扑结构 在透明模式下，BIGIP以单臂方式接入，服务器、BIGIP上的Virtual Server在同一网段上。该方式有一个限制就是访问Virtual Server的客户端与服务器不能位于同一网段。并且要求服务器的默认网关均指向BIGIP。VLAN划分在透明模式下，建议BIGIP上划分3个VL

16、AN，分别为：Internal：用于连接后端的服务器，通常，我们采用100M端口连接后端服务器。failover_vlan：主要用于两台BIGIP之间的配置同步和Session同步。通常情况下在端口数量足够的时候我们用一个单独的端口用于配置和Session同步。如果在端口数量不足时，可不使用本VLAN而使用internal VLAN来进行配置和Session同步。Admin：该VLAN为BIGIP保留VLAN，主要用于网络管理，该VLAN只包含一个3.1端口。建议通常情况下保留该端口不使用，在进行现场调试或配置的时候再使用该端口进行错误排查和管理配置。默认情况下，BIGIP上已经配置了Exte

17、rnal、Internal和Admin VLAN，所以我们需要删除External VLAN并添加failover_vlan。IP地址划分每个VLAN必须采用不同的IP网段。BIGIP上必须配置的IP包括以下几个部分：Internal vlan self IP为BIGIP Internal Vlan与其它设备互联的IP地址，每台设备的Internal Vlan Self IP均是不同的Internal vlan shared IP为两台BIGIP在Internal Vlan上的浮动地址，该地址会漂移在Active的BIGIP设备上，主要用于后端服务器指往下一段IP的网关地址，在Redunden

18、ce结构下，两台BIGIP的Internal Vlan Shared IP的地址是相同的Failover_vlan self IP为两台BIGIP之间相互访问的专用地址，主要用于配置同步和Session同步。建议两台设备分别为1.1.1.1/24和1.1.1.2/24Failover_vlan shared IP为两台BIGIP在Failover_vlan上的浮动地址，该地址会漂移在Active的BIGIP设备上，该地址没有实际作用，建议配置该地址为：1.1.1.254/24Admin vlan self IP为BIGIP Admin vlan地址，该地址主要用于设备管理，在BIGIP出现故障

19、或进行现场维护的时候使用，每台设备的Admin Vlan SelfIP均为192.168.1.245/24，如果需要接入网管网，则可根据网管网的IP地址划分进行重新配置Admin vlan shared IP为两台BIGIP在Admin Vlan上的浮动地址，该地址会漂移在Active的BIGIP设备上，该地址没有实际作用，建议配置该地址为192.168.1.254/24静态路由的添加BIGIP上的路由添加有两种方式：方式一：在命令行模式下键入以下命令：route add -net 192.168.1.0 -netmask 255.255.255.0 -gateway 10.1.1.1该命令表

20、示去往网段192.168.1.0/255.255.255.0通过网关地址10.1.1.1通过命令行方式添加的路由立即生效，但在BIGIP重起后丢失。方式二：编辑文件/config/routes在命令行界面用VI创建一个文件/config/routes。在该文件中添加命令行：route add -net 192.168.1.0 -netmask 255.255.255.0 -gateway 10.1.1.1保存文件，在系统重新启动后该路由仍将保持。3. 服务器负载均衡配置负载均衡的概念BIGIP对负载均衡的实现，主要通过Virtual Server、iRules、Pool、Node、Monito

21、r和Persistent（会话保持）实现。Node为每一个服务器的IP地址加上服务端口。每一个Node代表一个应用程序。在配置过程中，Node不需要单独添加，而在Pool的配置中进行。通常，在一个对外提供同样功能的Node组中，所有的Node必须保持一致。Pool的主要作用是对一组执行相同功能的服务器应用进行捆绑，在Pool中可定义负载均衡算法，将外部的访问流量按照规则分配到不同的服务器上。在定义一个Pool时，必须知道每台服务器的IP地址和对外提供服务的端口号，不同的服务器可以以不同的端口提供服务，BIGIP可执行端口映射将这些服务对外进行统一端口服务。iRules是BIGIP特性中的一个重

22、要组件， Rule是一个用户编写的script，用来在两个或者更多的pool中进行选择。换句话说，rule用于根据一定的判断条件选择和一个Virtual Server相关联的pool。Rules是一个可选的特性使您可以将流量不单是定义到默认的对应Virtual Server的pool。Rules允许您直接将流量分配到您所指定的pool中去。Virtual Server为BIGIP上对外提供服务的地址加上服务端口，每个Virtual Server后对应一个或者多个Pool。BIGIP将从每个Virtual Server接收到的流量分配到一个或多个Pool中，然后按照Pool重的负载均衡算法分配到

23、一个或多个Node中。Monitor的作用是检查服务器的健康状态。BIGIP对服务器的健康检查配置分为3个部分，Node Address，Node Associations和Service。其中Node Address相关的部分主要是通过ICMP检查服务器节点状态。对于每一个地址，如果其Node Address检查状态失败，则与该IP相关的所有Node（端口）均会设置为失败状态。Node Associations主要是检查服务器上的端口，该健康检查的配置为每个 IP:端口 组合设置。Services则是对所有的同样服务端口的节点都进行同样的健康检查。Services 配置主要目的是简化配置，通

24、常情况下不建议使用。 对于客户端每发起的一个Soket连接，BIGIP识别为一个Connection。在BIGIP内部，存放有一张所有Soket连接分配的服务器对应表。该表的单项结构大致如下： SIPSPortVirtual Server IP:PortNode IP:Port SIP：客户端的源IP地址 Sport：客户端发起请求的源端口，通常，该端口为一个随机值 Virtual Server IP:Port :用户访问的Virtual Server地址和端口 Node IP:Port:该Connection被分配去往的Node节点IP和端口Pool配置点击左侧Pools菜单，选择ADD。填

25、入pool名称，并选择正确的负载均衡策略：BIGIP支持以下负载均衡选项：轮询（RoundRobin）：顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7 层的故障，BIG/IP 就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。最小的连接数（LeastConnection）：传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7 层的故障，BIG/IP 就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。最快模式（Fastest）：传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7层的故障，BIG/IP

26、 就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。观察模式（Observed）：连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7 层的故障，BIG/IP 就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。预测模式（Predictive）：BIG/IP 利用收集到的服务器当前的性能指标，进行预测分析，选择一台服务器在下一个时间片内，其性能将达到最佳的服务器相应用户的请求。(被BIGIP进行检测)动态比率（Dynamic Ratio）：BIGIP通过Agent或者SNMP收集服务器的CPU占用率、内存占用率

27、、磁盘占用率等系统关键参数，并按照比率来对这些参数进行计算，最终得出服务器的性能状况来进行流量分配。在Resource部分填入真实服务器的IP地址和对应端口。输入的方法为在左边填入之后点击向右的按钮：其余选项均选择默认配置，然后点击最右下方Finish按钮结束。Virtual Server配置在Pool配置结束后，才能进行Virtual Server配置。点击左侧菜单中的Virtual Servers菜单选项选择ADD按钮添加一个Virtual Server，输入Virtual Server的IP地址和服务端口。如果需要开放所有的Service，则在Service部分填入 0 。Netmask

28、不需要输入。点击Next继续默认情况下，该页不需要任何配置。点击Next继续选择Virtual Server对应的Pool名称。点击Done。则系统返回Virtual Server List页面。会话保持配置会话保持的概念会话保持主要用于将同一个客户端发出的多个连接分配到同一台服务器上。在一些情况下，比如对应用服务器的负载均衡，从一个用户通常会发出多个连接来完成整个交易。并且在服务器端会对每一个用户分配一个Session ID和一些其他的相关资源，这些资源通常存放在服务器的内存里。这时，如果同一用户的多个请求被分配到不同的服务器上，则会出现服务器拒绝服务的情况。所以在对此类应用，我们通常需要配

29、置会话保持。BIGIP内存放有一张会话保持表，记录会话与后端服务器的对应关系。如果在Pool中配置了会话保持，则在BIGIP运行过程中，未在会话保持表中有对应项的新建的联接将会命中Pool的负载均衡策略，然后BIGIP在会话保持表中加入该记录。而已经在会话保持表中的新建联接将会根据会话保持的策略去往对应的服务器。常用的会话保持有两种，基于IP的会话保持和基于浏览器客户端的Cookie会话保持。基于IP的会话保持主要是根据源地址进行。此时BIGIP将同一IP认为是同一用户，凡是同一IP过来的连接均发往同一服务器。基于IP的会话保持通常在大量客户端都为不同IP地址时使用。基于浏览器客户端的Cook

30、ie会话保持主要是通过在BIGIP上插入、修改或读取Cookie方式实现。插入或修改的Cookie会按照BIGIP的格式进行插入，并且进行加密处理，不会泄露任何与用户相关的信息，具有良好的安全性。选择左侧菜单Pools，出现Pool列表，然后选择需要配置的Pool。点击进入后，选择顶部的Persistence选项。出现以下页面：Simple会话保持Simple会话保持即基于源地址的会话保持方式。配置Simple Persistence则选中Simple选项，在Timeout中填入需要保持的时间，通常该时间需要大于服务器端的Timeout时间。Mask选项主要用于将源地址分组，位于同一掩码网段的

31、所有客户端在BIGIP上只存在一条记录。如掩码为255.255.255.0时，则所有位于同一C网段的用户都会被认为是同一用户而分配到同一台服务器上。Cookie 会话保持通常情况下，我们采用Insert Cookie的方式来保持对应用的最小修改量。在服务器不发放Cookie的情况下最为适合。不需要对服务器做出任何改动。通常我们选用Active HTTP Cookie中的Insert模式，将时间值设置为0，则在浏览器未关闭之前，将持续使用该Cookie与BIGIP进行通讯。iRules配置Rules配置是BIGIP灵活处理的部分，在通常情况下，不需要配置Rules，此处可作一个了解，实际需要配置Rules的时候请