F5 BIG-IP
负载均衡器配置指导书
目录
一、网络结构与IP地址规划
本手册以移动WAP/彩信网关为例网络拓扑结构如下图所示:
以实现设备、链路的冗余备份,以消除单点故障。
这里部署负载均衡器的目的主要是为了增加服务器的数量,以提升系统的处理能力。但对外仍然是一个IP地址。相关的IP地址规划如下:
注:以上的IP地址规划是测试环境的IP地址设置,需要根据现网环境中的IP地址规划进行修改。
二、配置BIGIP3400负载均衡设备
本章将主要描述BIGIP3400负载均衡设备的配置方法及配置内容。
旁路/直连的选择
2.1.1路由/直连模式的介绍 网络连接的物理结构如下结构:
Bigip
Switch
Server Pool
典型的结构–路由/直连
Ip 规划说明:图中bigip 为负载均衡交换机,bigip 上面使用公开的ip 地址,bigip 下面同负载均衡的服务器使用不公开的ip 地址。但对外提供服务则使用公开的ip 。
2.1.2旁路模式的介绍
网络连接的物理结构如下结构:
Bigip
Bigip
Switch
Server Pool
典型的结构-
旁路
Ip 规划说明:图中bigip 为负载均衡交换机,bigip 和负载均衡的服务器均使用公开的ip 地址。
2.1.3 路由/直连模式同旁路模式的比较 (1)流量走向不一样;
路由/直连模式的流量走向如下:
Switch
Server Pool
直连结构下正常流量走向
2
3
4
如上图,bigip 同客户端的流量在bigip 的上联接口,bigip 同服务器的流量在下面的接口。
旁路模式的流量走向如下:
Bigip
Bigip
Switch
Server Pool
旁路结构下正常流量走向
1
2
3
4
如上图,bigip 无论同客户端还是同服务器的通讯流量均在bigip 的一个接口上。
(2)接口流量压力不一样
见图:
路由/直连情况下,bigip同客户端的流量在bigip的上联接口,bigip同服务器的流量在下联的接口,故bigip单一接口压力较小。
在旁路模式, bigip无论同客户端还是同服务器的通讯流量均在bigip的一个接口上,故bigip单一接口压力较大。为解决此问题,可以在bigip和交换机之间采用链路聚合技术,即端口捆绑,以避免接口成为网络瓶颈。
(3)网络结构的安全性不一样
路由/直连情况下,可以不公布服务器使用的真实ip地址,只需要公布提供负载均衡的虚拟地址即可,而在旁路情况下,则客户端可以得知服务器的真实地址,在此模式下,为保证服务器的安全性,服务器的网关指向bigip,可以使用bigip上的包过滤(防火墙)功能来保护服务器。
(4)对后端服务器的管理方便性不一样
路由/直连情况下,因服务器的真实地址可以隐含,故管理起来需要在bigip上启用地址翻译(NAT)功能,相对会复杂一些。而旁路模式则不需要地址翻译的配置。
(5)前者不支持npath模式(见后图),后者支持npath模式,启用该模式可见少F5设备的压力
Bigip
Bigip
Switch
Server Pool
旁路结构npath 模式下流量走向
2
1
3
见上图,在旁路模式下,使用npath 的流量处理方式,所有服务器回应的流量可以不通过bigip ,这样可以大大减少流量的压力。
但npath 的流量处理方式不能工作路由/直连的模式。
(6)在对原有系统做负载均衡技术改造时,两种模式的工作复杂程度不一样
如果对原有没有负载均衡技术的系统进行负载均衡技术的改造,那么,在路由/直连情况下,需要修改服务器的ip 地址同时网络结构也要做调整(将服务器调到bigip 后端),同时相关联的应用也要改动,需要进行严格的测试才能上线运行;然而,在旁路模式下,仅仅需要改动一下服务器的网关,原有系统的其它部分(包括网络结构)基本不需要做改动,故,前者对系统改动较大,后者则改动较小。
对于电信项目来讲,由直连改为旁挂方式主要带来以下优点:
1、 增加了网络的灵活性:由于
F5采用旁挂的方式,后端服务器的网
关指向的为三层交换机的地址,而不是F5的地址,在对网络设备
维护时可以方便的采用修改路由的方式使设备下线,便于维护管理。同时,一些特殊的应用也可在核心交换机上采用策略路由的方式指向特定的网络设备。
2、提高了网络整体的可靠性:由于旁路方式的存在,如果F5设备出
现问题,可在交换机上修改路由使用数据流绕过F5,而不会对整个业务系统造成影响。
3、针对某些特殊应用,提高了速度:采用旁路的方式后,一些特定
的的对速度、时延敏感的应用数据在进入和离开时可以采用不同的路径,例如:在流入时可经过F5设备,对其进行检查,负载均衡。而在该数据流离开时,则不经过F5,以提高其速度。
设置负载均衡器管理网口地址
F5 BIG-IP 3400 设备的面板结构:
BIG-IP 3400应用交换机具备8个10/100/1000M自适应的网络接口及二个光纤接口.
10/100/1000 interface — 8个10/100/1000 M 自适应的网络接口Gigabit fiber interface — 2个1000M 多模光纤接口
Serial console port —一个串口命令行管理端口
Failover port —一个串口冗余状态判断端口。Mgmt interface —一个10/100M管理端口
注:互为双机的两台BIG-IP必须用随机附带的Failover线相连起来。BIG-IP上电开机以后,首先需要通过机器前面板右边的LCD旁的按键设置管理网口(设备前面板最左边的网络接口)的IP地址。管理网络接口有一个缺省的IP地址,一般为。
注:管理网络接口的IP地址不能与业务网络在同一网段,根据业务网络的地址划分,相应的调整管理网络接口的网络地址。如果,在SMS中负载均衡口的external vlan和internal vlan已经采用了的网段,必须修改管理网口缺省的IP地址到另外一个网段。
通过LCD按键修改管理网口IP地址的方法如下:
1、按红色X按键进入Options选项;
2、在液晶面板上通过按键按以下顺序设置管理网口的网络地址:
Options->System->IP Address/Netmask->Commit
如果通过LCD按键修改完IP地址以后,选择Commit,地址无法成功改变(例如出现IP地址为全零的情况),很有可能是管理口IP地址与系统内已经配置发生冲突。出现这种情况,关机重启以后,另选一个IP网段来设置管理网口地址。
警告:在设置好网络管理口地址以后,通过网络登陆到BIG-IP上进行其它配置更改时,都要保证网络管理口的网络连接完好。否则有时会出现修改的配置无法被成功加载应用的情况,因为网络管理口为Down的情况会妨碍配置文件的加载。
登录BIGIP的WEB管理界面
管理BIGIP有两种方式,一种是基于WEB的https管理方式,另一种是基于ssh的命令行管理方式。除特别配置外,采用WEB的管理方式即可。
WEB登录方式如下:
1.在管理员的IE地址栏内输入BIGIP设备的IP地址,回车后出现系统警告信息
点击Yes
2.然后系统提示输入基于WEB配置的用户名和密码。
目前的admin帐号的密码为admin
激活License
在配置BIG-IP之前,先要激活License。
从System->License->Re-activate进入License激活界面:
进入,将产生的Dossier复制进以下页面,产生License文件: