商务智能FBIGIPLTMV负载均衡器配置指导书品质.docx

1、商务智能FBIGIPLTMV负载均衡器配置指导书品质 （商务智能)FBIGIPLTMV负载均衡器配置指导书F5 BIG-IP LTM负载均衡器配置指导书 第1章 F5 BIG-IP LTM简介 11.1 负载均衡技术简介 11.2 F5 BIG-IP LTM产品介绍 1第2章 BIG-IP LTM规划与配置准备工作 32.1 BIG-IP LTM配置步骤 32.2 组网规划 32.2.1 规划准备要点 42.2.2 组网图 42.3 BIG-IP面板说明 8第3章 基本配置 93.1 通过LCD面板设置BIG-IP管理网口地址 103.2 通过管理网口登录BIG-IP WebUI界面 113.

2、3 激活License 123.4 设置Platform 153.5 修改系统时钟 163.6 配置网络 173.6.1 划分VLAN 183.6.2 配置VLAN IP地址 193.6.3 设置接口速率和双工类型 213.6.4 配置静态路由 213.6.5 配置Link Aggregation（可选） 22第4章 负载均衡业务配置 244.1 节点配置 244.2 配置负载均衡池 254.3 配置虚拟服务器 274.3.1 创建虚拟服务器 274.3.2 将虚拟服务器和负载均衡器相关联和会话保持配置 294.4 配置健康检查 314.4.1 自定义节点状态监控 314.4.2 监控与节点/

3、负载均衡池相关联 344.4.3 检查系统状态 364.5 配置SNAT 364.5.1 配置步骤 364.5.2 验证SNAT配置 37第5章 双机配置 395.1 注意事项 395.2 双机设置 395.3 双机状态监控设置 425.4 双机状态检查和配置同步 43第6章 附录B 常见问题说明 616.1 BIG-IP单机或两台双机系统处于Standby状态，为什么？ 616.2 BIG-IP系统如何进行配置备份和恢复？ 646.3 SSH访问具有密码加密传输的优点，请问从哪里获取SSH客户端？ 646.4 网络设备通常有收集系统信息的宏命令，F5有没有相应命令？ 656.5 如何使用TC

4、PDUMP进行Troubleshooting？ 676.6 如何实时监视BIG-IP的连接状态？ 696.7 如何备份和恢复配置？ 696.8 如何添加“只读”权限的管理员帐号 706.9 如何查询设备的序列号？ 716.10 对某一Virtual Server用TCPDUMP命令无法抓到包如何处理？ 72关键词：负载均衡池、虚拟服务器，节点、会话保持、监控、ECV、EAV、SNAT摘 要：按照常见的配置步骤，本文对F5 BIG-IP LTM负载均衡器设备配置进行说明，并对负载均衡器的基本概念和F5设备使用过程中遇到的常见问题进行解答。 本指导书适用于BIG-IP LTM 1500/3400负

5、载均衡器(BIG-IP version 9)。缩略语清单：ECV Extended Content Verification 可扩展的内容验证EAV Extended Application Verification 可扩展的应用验证SNAT Secure Network Address Translation 安全网络地址转换LTM Local Traffic Manager 本地流量管理器LACP Link Aggregation Control Protocol 链路汇聚控制协议参考资料清单：Platform Guide: 1500, 3400, 6400, and 6800, F5 N

6、etworks, 2005Installation, Licensing, and Upgrades for BIG-IP Systems, F5 Networks, 2005BIG-IP Network and System Management Guide, F5 Networks, 2005第1章 F5 BIG-IP LTM简介1.1 负载均衡技术简介随着业务与软件产品与IP网络关系愈加密切，业务平台提供的性能以及可靠性是电信级应用的关键因素。业务与软件产品中Portal、WAP网关、彩铃和MMS等业务直接通过Internet提供网络服务。由于Internet对业务服务访问具有不可预知性

7、，传统的服务器提供大量并发服务已经面临处理能力和I/O性能的瓶颈，当业务超过已经界限将会出现“Server Too Busy”乃至服务器宕机等问题。针对单台服务器有限的性能存在瓶颈的情况，负载均衡器通过负载均衡机制将所有请求平均分配到多台节点服务器，使得系统业务处理能力大大提升。此外，负载均衡器还能监控服务器节点的可用性，其中某一台服务器故障时，能将访问请求转移到其它可以正常工作的服务器。负载均衡器通常称为四层交换机或七层交换机。四层交换机主要分析IP层及TCP/UDP层，实现四层流量负载均衡。七层交换机除了支持四层负载均衡以外，还有分析应用层的信息，如HTTP协议URI或Cookie信息。1

8、.2 F5 BIG-IP LTM产品介绍随着F5 BIG-IP 1000/2400负载均衡器停产，华为公司的替代选型为F5 BIG-IP LTM 1500/3400。目前F5公司负载均衡器(亦称为本地流量管理器)有BIG-IP LTM 1500、BIG-IP LTM 3400、BIG-IP LTM 6400 、BIG-IP LTM 6800等型号。表1-1 F5 BIG-IP LTM负载均衡产品规格6800系列超级多用途流量管理处理器：双CPU基本内存：2GBASIC：Packet Velocity ASIC2千兆位CU端口：16个千兆位光纤端口：(SFP - GBIC Mini)4个（2个标

9、准、2个可选）包括：SSL TPS/Max TPS/Bulk加速模块：（100/20,000/2GB/秒）流量吞吐量：4GB/秒可选硬件设备：硬件压缩*（2GB/秒）6400系列高级多用途流量管理处理器：双CPU基本内存：2GBASIC：Packet Velocity ASIC2千兆位CU端口：16个千兆位光纤端口：(SFP - GBIC Mini)4个（2个标准、2个可选）包括：SSL TPS/Max TPS/Bulk加速模块：（100/15,000/2GB/秒）流量吞吐量：2GB/秒可选硬件设备：硬件压缩*（2GB/秒）FIPS处理*（8,000TPS/1GB SSL吞吐量）3400系列中

10、级多用途流量管理处理器：单CPU基本内存：1GBASIC：Packet Velocity ASIC2千兆位CU端口：8个千兆位光纤端口：(SFP - GBIC Mini)2个可选包括：SSL TPS/Max TPS/Bulk加速模块：（100/8,000/1GB/秒）流量吞吐量：1GB/秒3400系列普通多用途流量管理处理器：单CPU基本内存：768MBASIC：无千兆位CU端口：2个千兆位光纤端口：2个可选包括：SSL TPS/Max TPS/Bulk加速模块：（100/2,000/500 MB/秒）流量吞吐量：500MB/秒第2章 BIG-IP LTM规划与配置准备工作2.1 BIG-IP

11、 LTM配置步骤在对F5 BIG-IP进行配置之前，首先要做好规划工作。BIG-IP LTM主要配置步骤如下：1. 组网规划 在组网规划中，包含主机名、IP地址/VLAN、路由、虚拟服务器、地址池、负载均衡算法、会话保持方式、双机等内容进行规划，并绘制出组网拓扑图。2. 初始化配置 通常使用WebUI完成初始化配置，包括激活License、平台配置和网络配置。3. 配置网络VLAN和IP地址4. 更改系统时钟（可选）5. 配置负载均衡池6. 配置节点状态监控7. 配置虚拟服务器8. 配置SNAT/NAT9. 配置双机 说明： (1) 本配置步骤为常见配置顺序。本文没有包括过滤和SSL Prox

12、y等配置。(2) 主用BIG-IP系统要完成以上所有配置步骤，备用BIG-IP系统可以跳过5-8步，而通过主用BIG-IP系统将配置同步到备用BIG-IP系统中去。2.2 组网规划本节主要根据典型F5 BIG-IP LTM典型应用以实例给出配置指南，并结合业软产品给出说明，后续章节具体配置说明不一定跟本实例完全相同。2.2.1 规划准备要点在安装BIG-IP系统之前，请检查如下准备工作是否做好： 设备物理连接规划。 IP地址规划，根据实际需要划分网段和分配IP地址，通常网络设备IP地址为网络中最大IP地址（默认网关使用最大IP地址），往下递推；主机设备从网络中最小IP地址往上递推进行分配。 B

13、IG-IP双机需要3个外部VLAN IP，2个分别为主备机的Self IP，一个为Share IP。 BIG-IP双机需要3个内部VLAN IP，2个分别为主备机的Self IP，一个为Share IP。 每一个虚拟服务器IP地址或NAT需要一个外部VLAN IP。SNAT映射IP地址可以跟虚拟服务器IP地一样。 BIG-IP内部每个节点需要一个内部VLAN IP。 确定BIG-IP主机名，并且确保BIG-IP双机主机名不一样。2.2.2 组网图典型F5 BIG-IP LTM负载均衡器部署方式采用“双臂旁挂”式连接（如图2-1所示）。图2-1 典型F5 BIG-IP LTM负载均衡器部署示意图

14、2.3 BIG-IP面板说明F5 BIG-IP前面板增加了LCD面板，可以通过LCD面板设置管理接口、Console口，也可以重启系统和清空LCD告警等操作。F5接口槽位号编号遵循由上到下，然后由左到右规则。例如，BIG-IP LTM 3400第一槽位为8端口千兆以太网接口，2槽位为2端口SFP千兆网接口。F5 BIG-IP LTM 1500/3400前面板如下图所示：图2-1 F5 BIG-IP LTM 1500/1400前面板示意图第3章 基本配置本文以BIG-IP LTM 3400为例讲解整个配置过程，基本上讲解了BIG-IP整个配置过程。对于新的BIG-IP设备，基本配置主要包括：(1

15、) 通过LCD面板设置BIG-IP管理网口地址(2) 通过管理网口登录BIG-IP WebUI界面(3) 通过Setup Utility激活License、配置Platform和配置网络。也可以通过导航菜单System - License激活License；System - Platform配置Platform。 注意： 在安装之前，必须注意如下事项：(1) BIG-IP的接口与VLAN分配相关，网线连接接口位置不能随意更改，否则可能导致网络无法连接。(2) 互为双机的两台BIG-IP必须用随机附带的Failover线相连起来。 (3) BIG-IP LTM 1500/3400随机不再自带Co

16、nsole线缆，可以通过LCD面板设置/获取管理网口地址来进行基本配置。3.1 通过LCD面板设置BIG-IP管理网口地址BIG-IP上电开机以后，首先需要通过机器LCD面板的按键设置Management管理网口的IP地址。管理网络接口缺省的IP地址为192.168.1.245/24。设置步骤如下：(1) 使用LCD面板将IP地址添加到管理界面中。配置管理IP地址时，首先应添加IP地址。a. 按下显示屏上的X按钮Options选项。b. 进入系统菜单并按下复选标记按钮。c. 进入IP地址菜单并按下 复选标记按钮。d. 再次按下复选标记按钮，进入IP地址输入界面。e. 使用上下箭头键输入管理IP

17、地址，并按下复选标记按钮。(2) 输入IP地址后，添加该地址的网络掩码：f. 进入网络掩码菜单，并按下复选标记按钮。g. 输入网络掩码，并按下复选标记按钮。(3) （可选）添加完IP地址和网络掩码后，即可添加缺省路由。h. 进入缺省路由菜单，并按下复选标记按钮。i. 使用上下箭头键输入缺省路由，并按下复选标记按钮。如果您未确定缺省路由，可以使用0.0.0.0。(4) 提交确认配置。j. 进入“Commit提交菜单”，并按下复选标记按钮。k. 当“确认菜单”出现时，按下复选标记按钮。 说明： (1) Management (mgmt)接口可以用于维护管理用途，可以将该接口连接到业务系统维护VLA

18、N。(2) 在设置好网络管理口地址以后，通过网络登陆到BIG-IP上进行其它配置更改时，都要保证网络管理口的网络连接完好。否则有时会出现修改的配置无法被成功加载应用的情况，因为网络管理口为Down的情况会妨碍配置文件的加载。在bigip 9.2.3版本里，如果管理网口的网线没有连接的情况下，mgmt interface的属性为变为media none。如果这个属性被保存成ucs文件，再次重新加载的时候，就会出现不能顺利加载的情况。在这种情况下，如果做双机配置同步，也会出现同步后配置无法正常加载的情况。这种情况下，建议升级版本或打Hotfix-BIG-IP-9.2.3-CR61825补丁。(3)

19、 管理网络接口的IP地址不能与业务网络在同一网段，避免出现地址冲突。根据业务网络的地址划分，相应的调整管理网络接口的网络地址。(4) 如果通过LCD按键修改完IP地址以后，选择Commit，地址无法成功改变(例如出现IP地址为全零的情况)，很有可能是管理口IP地址与系统内已经配置发生冲突。出现这种情况，关机重启以后，重新选定IP地址或网段来设置管理网口地址。3.2 通过管理网口登录BIG-IP WebUI界面BIG-IP有两种管理方式，一种是基于WEB的https管理方式，另一种是基于ssh的命令行管理方式。BIG-IP v9已经不再支持Telnet和FTP方式访问。除特别配置外，BIG-IP

20、的配置主要采用WEB的管理方式即可。将计算机连接BIG-IP 的管理网口，以WEB方式登陆：(1) 在管理员的IE地址栏内输入BIG-IP设备的管理接口IP地址，如https:/192.168.1.245。 管理接口的缺省IP地址为192.168.1.245。如果已经通过液晶面板上的按键更改过IP，输入相应的IP地址。(2) 连接后出现安全警告提示窗口，点击Yes继续。(3) 系统提示输入用户名和密码。缺省的用户名和密码为admin和admin(4) 输入正确后即可进入BIG-IP配置工具WEB界面。图3-1 BIG-IP配置工具WEB界面3.3 激活License在配置BIG-IP之前，先要

21、激活License，否则BIG-IP无法提供负载均衡服务。(1) 从System-License-Activate进入License激活界面。如果是更改License，屏幕显示为Re-activate。图3-1 激活License(2) 输入产品的注册码，然后产生申请License的Dossier。图3-2 输入注册码图3-3 产生Dossier(3) 进入图3-4 进入F5网站激活License 注意： 完成F5 BIG-IP设备License激活后，请重启设备或者在CLI使用bigstart restart命令可以手工重启BIG-IP服务进程。3.4 设置Platform平台(Platfo

22、rm)主要配置系统的通用属性，比如，主机名、IP地址、系统管理员帐号等。可以通过WebUI进入配置页面System - Platform。Platform页面可设置Host Name、Root密码、Admin密码、Time Zone。如果是双机，还要设置High Availability和Unit ID。F5 BIG-IP采用Linux时区设置，中国时区其中没有北京时区信息，可以就近选择如下时区：Asia/Chungking（重庆）、Asia/Harbin（哈尔滨）、Asia/Hong_Kong（香港）、Asia/Macao（澳门）、Asia/Shanghai（上海）和Asia/Urumqi（

23、乌鲁木齐）。其他地区可以根据Time Zone下拉列表框进行相应选择。图3-1 Platform页面 注意： (1) root密码允许用户通过命令行访问BIG-IP系统。建议root密码长度大于6位，但不要超过32位字节。密码与大小写敏感，建议密码中包含大写/小写字母和数字。如果BIG-IP系统为双机系统，两台主备机的root密码必须保持一致。(2) 主机名用来标识BIG-IP系统自身。主机名必须符合DNS域名标准。主机部分必须以字母开始，并至少为2个字符。举例：f5-。 (3) BIG-IP双机系统的主机名必须不一样，否则配置同步会产生错误，可能导致破坏license。如果BIG-IP运行于

24、双机高可用性模式，因此需要在系统通用属性中设置双机：图3-2 设置双机 说明： 通常双机系统中主机Unit ID设置为1，备机Unit ID为2。3.5 修改系统时钟修改BIG-IP系统时钟必须要通过CLI命令行界面完成，请通过Console或SSH方式连接到BIG-IP。常用的SSH客户端有PUTTY或Secure Shell Client等。(1) 用SSH客户端连接BIG-IP的管理网口地址，进入命令行模式。(2) 执行date检查系统时钟。rootZJHZ-PS-MMS3-SW02:Active config # dateThu May 25 16:59:15 CST 2006(3)

25、如果系统时钟跟当前时间相差较大，使用date命令修改系统时钟。命令格式：# date .# date MMDDHHMMYYYY.SS如设置2007年1月1日中午12：00：00# date 010112002007.00(4) 保存时间到BIOS。# hwclock systohc(5) 设置缺省管理权限策略。a) 在命令行运行b base list命令，检查初始化设置。如果b base list的输出已经有self allow default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353

26、tcp domain udp 4353 一行，则进入到步骤6 重新启动BIG-IP。b) 如果在b base list的输出中发现有self allow default none 一行，则运行以下两条命令：b self allow default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 b base savec) 所后用命令more /config/bigip_base.conf查看bigip_base.conf文件确认self allow de

27、fault tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 已经保存到文件中。(6) 重新启动BIG-IP。# reboot 注意： (1) 对于临时License的设备，不要轻易改系统时间，后果是License失效。(2) 对于在运行的冗余系统，建议先修改Standby，修改完毕，观察一段时间，再把Active设备切换为Standby后再修改，以保证系统的不间断。 (3) 系统时钟主要用于 F5 日志文件的计时时间。3.6 配置网络根据组网规划，对F5

28、 BIGIP的网络进行配置，包括划分VLAN、定义IP地址及路由等。3.6.1 划分VLAN点击左侧的导航条，进入Network - VLANs。图3-1 打开VLANs页面在右侧可以对VLAN进行配置。创建方法如下：(1) 点击”Create”按钮。图3-2 VLAN设置(2) 设置VLAN名。在Name文本框设置这个VLAN的名字，如“External”。(3) 在“Tag”中参照VLAN规划表输入VLAN号。如果不填，系统将自动分配一个VLAN号。建议按照VLAN规划表输入VLAN号，如果启用Tagged Interface时，可以跟交换机的802.1q Trunk端口匹配起来。(4)

29、将接口分配到VLAN中。在“Resources”表格中Interface:定义Available中显示的端口有选择性的划分到这个VLAN中。指定端口后，单击选入Untagged栏即可，如果对选定接口号点击“Tagged ”，则该端口为802.1q Trunk端口。(5) 点击完成。3.6.2 配置VLAN IP地址在划分完VLAN后，即可对每个VLAN进行IP地址的定义。方法如下：点击左侧导航条中的Networks - Self Ips。图3-1 打开Self IPs页面在右侧可以对Ip地址进行配置。配置步骤：(1) 点击”Create”按钮。图3-2 Self IP设置(2) 在页面对应栏进

30、行填写： IP address: 输入IP地址 Netmask: 输入子网掩码 VLAN：选择将这个IP地址绑定在哪个VLAN上。选择下拉菜单将显示所有已设置的VLAN名。 Port Lockdown: 通常保持默认值Allow Default。当没有配置b self allow时，可以选择Allow All。 Floating IP:如果系统为冗余工作方式，需对每台设备的每个VLAN均设置两个IP地址。其中一个是Self IP,另一个则为Floating IP,即两台设备共用的IP地址。选中此项即代表这个IP地址为Floating IP。 Unit ID: 对于双机的浮动IP，需要选择Floating IP，并选择对应的Unit ID号。(3) 点击完成。3.6.3 设置接口速率和双工类型点击左侧导航条中打开Network - Interfaces选择相应的端口。接口操作模式默认为自适应，通常不建议修改。图3-1 接口操作模式设置3.6.4 配置静态路由点击左侧导航条中的Networks - Routes图3-1 打开路由页面创建方法如下：(1) 点击(2) 在页面