F5 BIG-IP
负载均衡器配置指导书
目录
一、网络结构与IP地址规划.................................... 错误!未定义书签。
二、配置BIGIP3400负载均衡设备............................... 错误!未定义书签。
旁路/直连的选择.......................................... 错误!未定义书签。
路由/直连模式的介绍.................................. 错误!未定义书签。
旁路模式的介绍....................................... 错误!未定义书签。
路由/直连模式同旁路模式的比较....................... 错误!未定义书签。
设置负载均衡器管理网口地址............................... 错误!未定义书签。
登录BIGIP的WEB管理界面................................. 错误!未定义书签。
激活License ............................................. 错误!未定义书签。
初始化设置............................................... 错误!未定义书签。
1上的平台(Platform)通用属性设置..................... 错误!未定义书签。
修改系统时间......................................... 错误!未定义书签。
设置缺省管理权限策略................................. 错误!未定义书签。
重新启动bigip ....................................... 错误!未定义书签。
配置网络层............................................... 错误!未定义书签。
划分vlan ............................................ 错误!未定义书签。
定义IP地址.......................................... 错误!未定义书签。
配置路由............................................. 错误!未定义书签。
配置双机设置(High Availability) .......................... 错误!未定义书签。
配置Redundant Pair的IP地址......................... 错误!未定义书签。
配置双机自动切换机制FailSafe配置.................... 错误!未定义书签。
配置服务器负载均衡....................................... 错误!未定义书签。
配置Monitor ......................................... 错误!未定义书签。
配置Profile ......................................... 错误!未定义书签。
配置负载均衡Pool..................................... 错误!未定义书签。
创建iRule负载均衡控制规则以根据源地址选择服务器..... 错误!未定义书签。
建立Virtual server,实现对服务器的负载均衡............ 错误!未定义书签。
设置SNAT ............................................ 错误!未定义书签。
两台BIGIP配置同步....................................... 错误!未定义书签。
备份配置................................................. 错误!未定义书签。
三、系统运行状态检查及维护................................... 错误!未定义书签。
检查系统日志信息:....................................... 错误!未定义书签。
检查Node状态............................................ 错误!未定义书签。
查看流量信息............................................. 错误!未定义书签。
查看系统当前性能参数..................................... 错误!未定义书签。
密码的更改............................................... 错误!未定义书签。
添加“只读”权限的管理员帐号............................. 错误!未定义书签。
如何查询设备的序列号:................................... 错误!未定义书签。
如何采集信息提供他人进行故障诊断......................... 错误!未定义书签。
对某一Virtual Server用TCPDUMP命令无法抓到包如何处理.... 错误!未定义书签。
一、网络结构与IP地址规划
本手册以移动WAP/彩信网关为例
IP地址。相关的IP地址规划如下:
注:以上的IP地址规划是测试环境的IP地址设置,需要根据现网环境中的IP地址规划进行修改。
二、配置BIGIP3400负载均衡设备
本章将主要描述BIGIP3400负载均衡设备的配置方法及配置内容。
旁路/直连的选择
2.1.1路由/直连模式的介绍 网络连接的物理结构如下结构:
Bigip
Switch
Server Pool
典型的结构–路由/直连
Ip 规划说明:图中bigip 为负载均衡交换机,bigip 上面使用公开的ip 地址,bigip 下面同负载均衡的服务器使用不公开的ip 地址。但对外提供服务则使用公开的ip 。
2.1.2旁路模式的介绍
网络连接的物理结构如下结构:
Bigip
Bigip
Switch
Server Pool
典型的结构-
旁路
Ip 规划说明:图中bigip 为负载均衡交换机,bigip 和负载均衡的服务器均使用公开的ip 地址。
2.1.3 路由/直连模式同旁路模式的比较 (1)流量走向不一样;
路由/直连模式的流量走向如下:
Switch
Server Pool
直连结构下正常流量走向
2
3
4
如上图,bigip 同客户端的流量在bigip 的上联接口,bigip 同服务器的流量在下面的
接口。
旁路模式的流量走向如下:
Bigip
Bigip
Switch
Server Pool
旁路结构下正常流量走向
1
2
3
4
如上图,bigip 无论同客户端还是同服务器的通讯流量均在bigip 的一个接口上。
(2)接口流量压力不一样
见图:
路由/直连情况下,bigip 同客户端的流量在bigip 的上联接口,bigip 同服务器的流量在下联的接口,故bigip 单一接口压力较小。
在旁路模式, bigip 无论同客户端还是同服务器的通讯流量均在bigip 的一个接口上,故bigip 单一接口压力较大。为解决此问题,可以在bigip 和交换机之间采用链路聚合技术,即端口捆绑,以避免接口成为网络瓶颈。
(3)网络结构的安全性不一样
路由/直连情况下,可以不公布服务器使用的真实ip 地址,只需要公布提供负载均衡的虚拟地址即可,而在旁路情况下,则客户端可以得知服务器的真实地址,在此模式下,为保证服务器的安全性,服务器的网关指向bigip ,可以使用bigip 上的包过滤(防火墙)功能来保护服务器。
(4)对后端服务器的管理方便性不一样
路由/直连情况下,因服务器的真实地址可以隐含,故管理起来需要在bigip 上启用地址翻译(NAT )功能,相对会复杂一些。而旁路模式则不需要地址翻译的配置。
(5)前者不支持npath 模式(见后图),后者支持npath 模式,启用该模式可见少F5设备的压力
Bigip
Bigip
Switch
Server Pool
旁路结构npath 模式下流量走向
2
1
3
见上图,在旁路模式下,使用npath 的流量处理方式,所有服务器回应的流量可以不通过bigip ,这样可以大大减少流量的压力。
但npath 的流量处理方式不能工作路由/直连的模式。
(6)在对原有系统做负载均衡技术改造时,两种模式的工作复杂程度不一样
如果对原有没有负载均衡技术的系统进行负载均衡技术的改造,那么,在路由/直连情况下,需要修改服务器的ip 地址同时网络结构也要做调整(将服务器调到bigip 后端),同时相关联的应用也要改动,需要进行严格的测试才能上线运行;然而,在旁路模式下,仅仅需要改动一下服务器的网关,原有系统的其它部分(包括网络结构)基本不需要做改动,故,前者对系统改动较大,后者则改动较小。
对于电信项目来讲,由直连改为旁挂方式主要带来以下优点:
1、 增加了网络的灵活性:由于F5采用旁挂的方式,后端服务器的网关指向的为三层交换
机的地址,而不是F5的地址,在对网络设备维护时可以方便的采用修改路由的方式使设备下线,便于维护管理。同时,一些特殊的应用也可在核心交换机上采用策略路由的方式指向特定的网络设备。
2、 提高了网络整体的可靠性:由于旁路方式的存在,如果F5设备出现问题,可在交换机
上修改路由使用数据流绕过F5,而不会对整个业务系统造成影响。
3、 针对某些特殊应用,提高了速度:采用旁路的方式后,一些特定的的对速度、时延敏感
的应用数据在进入和离开时可以采用不同的路径,例如:在流入时可经过F5设备,对其进行检查,负载均衡。而在该数据流离开时,则不经过F5,以提高其速度。
设置负载均衡器管理网口地址 F5 BIG-IP 3400 设备的面板结构:
BIG-IP 3400应用交换机具备8个10/100/1000M 自适应的网络接口及二个光纤接口.
10/100/1000 interface — 8个10/100/1000 M 自适应的网络接口
Gigabit fiber interface — 2个1000M 多模光纤接口
Serial console port —一个串口命令行管理端口
Failover port —一个串口冗余状态判断端口。Mgmt interface —一个
10/100M管理端口
注:互为双机的两台BIG-IP必须用随机附带的Failover线相连起来。
BIG-IP上电开机以后,首先需要通过机器前面板右边的LCD旁的按键设置管理网口(设备前面板最左边的网络接口)的IP地址。管理网络接口有一个缺省的IP地址,一般为。
注:管理网络接口的IP地址不能与业务网络在同一网段,根据业务网络的地址划分,相应的调整管理网络接口的网络地址。如果,在SMS中负载均衡口的external vlan和internal vlan已经采用了的网段,必须修改管理网口缺省的IP地址到另外一个网段。
通过LCD按键修改管理网口IP地址的方法如下:
1、按红色X按键进入Options选项;
2、在液晶面板上通过按键按以下顺序设置管理网口的网络地址:
Options->System->IP Address/Netmask->Commit
如果通过LCD按键修改完IP地址以后,选择Commit,地址无法成功改变(例如出现IP地址为全零的情况),很有可能是管理口IP地址与系统内已经配置发生冲突。出现这种情况,关机重启以后,另选一个IP网段来设置管理网口地址。
警告:在设置好网络管理口地址以后,通过网络登陆到BIG-IP上进行其它配置更改时,都要保证网络管理口的网络连接完好。否则有时会出现修改的配置无法被成功加载应用的情况,因为网络管理口为Down的情况会妨碍配置文件的加载。
登录BIGIP的WEB管理界面
管理BIGIP有两种方式,一种是基于WEB的https管理方式,另一种是基于ssh的命令行管理方式。除特别配置外,采用WEB的管理方式即可。
WEB登录方式如下:
1.在管理员的IE地址栏内输入BIGIP设备的IP地址,回车后出现系统警告信息
点击Yes
2.然后系统提示输入基于WEB配置的用户名和密码。
目前的admin帐号的密码为admin
激活License
在配置BIG-IP之前,先要激活License。
从System->License->Re-activate进入License激活界面:
进入,将产生的Dossier复制进以下页面,产生License文件:
3.输入正确后即可进入BIGIP的WEB管理界面
初始化设置
2.5.1BIG-IP 1上的平台(Platform)通用属性设置进入System?Platform
注:主机名用来标识BIG-IP系统自身。主机名必须符合DNS域名标准。主机部分必须以字母开始,并至少为2个字符。举例:。
警告:BIG-IP双机系统的主机名必须不一样,否则配置同步会产生错误,可能导致破坏license。
例如负载均衡器BIG-IP1的主机名为ISMG-LB01-F5,BIG-IP2的主机名为ISMG-LB02-F5。
Root 为命令行帐号,admin为WEB管理的帐号。
注:root密码允许用户通过命令行访问BIG-IP系统。建议root密码长度大于6位,但不要超过32位字节。密码与大小写敏感,建议密码中包含大写/小写字母和数字。如果BIG-IP 系统为冗余系统,两台主备机的root密码必须保持一致。
注:如修改密码,请确认正确敲击键盘上的键。(有人敲错了键盘上的键,而导致无法找到新设置的密码是什么。)
BIG-IP 2上的平台通用属性设置:
2.5.2修改系统时间
1.用PUTTY或Secure Shell Client等SSH客户端连接BIG-IP的管理网口地址,进入命
令行模式。
注:Secure Shell Client 可以用以下链接下载:
。
2.执行date检查系统时钟。
[root@ZJHZ-PS-MMS3-SW02:Active] config # date
Thu May 25 16:59:15 CST 2006
3.命令格式
# date
# date
如设置2009年1月1日中午12:00:00
# date
4.保存时间到BIOS
# hwclock –systohc
2.5.3设置缺省管理权限策略
在命令行运行b base list命令,检查初始化设置。
如果b base list的输出已经有self allow { default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 }
一行,则进入到2.4.4。
如果在b base list的输出中发现有self allow { default none }一行,则运行以下两条命令:
b self allow { default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 }
b base save
所后用命令more /config/查看文件确认self allow { default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 }已经保存到文件中。
2.5.4重新启动bigip
# reboot
配置网络层
按照拓扑结构,对F5 BIGIP的网络层进行配置,划分vlan,定义IP地址及路由。
2.6.1划分vlan
点击左侧的导航条,进入Network?VLANS,在右侧可以对vlan进行配置。创建方法如下:点击create:
Name:设置这个vlan的名字。
Tag:为相应VLAN的VLAN ID
Interface:定义Available中显示的端口有选择性的划分到这个vlan中。指定端口后,单击选入Untagged栏即可。
点击完成。
根据SMS的网络规划,负载均衡器上一共要定义了以下几个VLAN:
注:external, ,internal为业务流量VLAN。VLAN ID应与网络规划中的VLAN一致。
注:netfailover VLAN的端口为双机网络心跳接口,网络心跳信号及双机配置同步信息都是通过这一网线传输,因此要用网线将双机的口对连起来。VLAN ID 4094为BIG-IP自动生成的。(也可以指定)。
注:将和端口加入到external VLAN和internal VLAN主要是为了有时候可以将笔记本接在相应VLAN进行测试,而不受BIG-IP与交换机之间网络连接的影响。
2.6.2定义IP地址
在划分完Vlan后,即可对每个vlan进行IP地址的定义。方法如下:
点击左侧导航条中的Networks—>self Ips
在右侧可以对Ip地址进行配置。创建方法如下:
点击Create:
IP address:输入IP地址
Netmask:输入子网掩码
Vlan:选择将这个IP地址绑定在哪个vlan上。选择下拉菜单将显示所有已设置的vlan名。Port Lockdown:保持默认值Allow Default。
Floating IP:如果系统为冗余工作方式,需对每台设备的每个vlan均设置两个IP地址。其中一个是self IP,另一个则为floating IP,即两台设备共用的IP地址。选中此项即代表这个IP地址为Floating IP。
按照网络的规划, IP地址定义如下:
SMS BIG-IP 3400应用交换机 VLAN与IP地址规划
(BIG-IP 3400-1)Name
VLAN Name VLAN ID Self IP Floating IP External2010.10.3.1/2410.10.3.3/24 Internal10
3400-2)Name
VLAN Name VLAN ID Self IP Floating IP External2010.10.3.2/2410.10.3.3/24 Internal10
其中,MGMT是BIG-IP的管理网口,BIG-IP1的管理网口IP地址为管理网口的IP地址。
BIGIP1的SELF IP配置如下:
注:以下拷屏只是展示如何通过WEB界面进行相应的配置,其中的IP地址不一定正确,请根据实际情况的IP地址划分进行配置。
其中Unit ID不为零的为Floating IP.
Floating IP设置要打上勾。
BIGIP2的SELF IP配置如下:
BIG-IP2上不需要配置Floating IP,因为FloatingIP可以从BIG-IP1上同步过来。
2.6.3配置路由
点击左侧导航条中的Networks—>Routes?Add对路由进行配置
Type:定义配置的是默认网关还是静态路由。
Destination:定义目标网段
Netmask:定义目标网段的掩码
Resource:定义网关地址
点击完成。
按照用户的需求,
缺省路由是第一层防火墙Trust口的双机共享地址10.10.3.254