F5 BIG-IP
负载均衡器配置指导书
目录
添加“只读”权限的管理员帐号.............................................................................................
对某一Virtual Server用TCPDUMP命令无法抓到包如何处理............................................
一、网络结构与IP地址规划
本手册以移动W AP/彩信网关为例
网络拓扑结构如下图所示:
整个数据网络设备,采用两台防火墙、两台BIG-IP 3400负载均衡器、及两台交换机、网络设备都采用主、备设备,以实现设备、链路的冗余备份,以消除单点故障。
这里部署负载均衡器的目的主要是为了增加服务器的数量,以提升系统的处理能力。但对外仍然是一个IP地址。
相关的IP地址规划如下:
注:以上的IP地址规划是测试环境的IP地址设置,需要根据现网环境中的IP地址规划进行修改。
二、配置BIGIP3400负载均衡设备
本章将主要描述BIGIP3400负载均衡设备的配置方法及配置内容。
旁路/直连的选择
2.1.1路由/直连模式的介绍
网络连接的物理结构如下结构:
Ip规划说明:图中bigip为负载均衡交换机,bigip上面使用公开的ip地址,bigip下面同负载均衡的服务器使用不公开的ip地址。但对外提供服务则使用公开的ip。
2.1.2旁路模式的介绍
网络连接的物理结构如下结构:
Ip规划说明:图中bigip为负载均衡交换机,bigip和负载均衡的服务器均使用公开的ip 地址。
2.1.3 路由/直连模式同旁路模式的比较
(1)流量走向不一样;
路由/直连模式的流量走向如下:
如上图,bigip同客户端的流量在bigip的上联接口,bigip同服务器的流量在下面的接口。
旁路模式的流量走向如下:
如上图,bigip无论同客户端还是同服务器的通讯流量均在bigip的一个接口上。(2)接口流量压力不一样
见图:
路由/直连情况下,bigip同客户端的流量在bigip的上联接口,bigip同服务器的流量在下联的接口,故bigip单一接口压力较小。
在旁路模式, bigip无论同客户端还是同服务器的通讯流量均在bigip的一个接口上,故bigip单一接口压力较大。为解决此问题,可以在bigip和交换机之间采用链路聚合技术,即端口捆绑,以避免接口成为网络瓶颈。
(3)网络结构的安全性不一样
路由/直连情况下,可以不公布服务器使用的真实ip地址,只需要公布提供负载均衡的虚拟地址即可,而在旁路情况下,则客户端可以得知服务器的真实地址,在此模式下,为保证服务器的安全性,服务器的网关指向bigip,可以使用bigip上的包过滤(防火墙)功能来保护服务器。
(4)对后端服务器的管理方便性不一样
路由/直连情况下,因服务器的真实地址可以隐含,故管理起来需要在bigip上启用地址翻译(NAT)功能,相对会复杂一些。而旁路模式则不需要地址翻译的配置。
(5)前者不支持npath模式(见后图),后者支持npath模式,启用该模式可见少F5设备的压力
见上图,在旁路模式下,使用npath的流量处理方式,所有服务器回应的流量可以不通
过bigip,这样可以大大减少流量的压力。
但npath的流量处理方式不能工作路由/直连的模式。
(6)在对原有系统做负载均衡技术改造时,两种模式的工作复杂程度不一样如果对原有没有负载均衡技术的系统进行负载均衡技术的改造,那么,在路由/直连情况下,需要修改服务器的ip地址同时网络结构也要做调整(将服务器调到bigip后端),同时相关联的应用也要改动,需要进行严格的测试才能上线运行;然而,在旁路模式下,仅仅需要改动一下服务器的网关,原有系统的其它部分(包括网络结构)基本不需要做改动,故,前者对系统改动较大,后者则改动较小。
对于电信项目来讲,由直连改为旁挂方式主要带来以下优点:
1、增加了网络的灵活性:由于F5采用旁挂的方式,后端服务器的网关指向的为三层交换
机的地址,而不是F5的地址,在对网络设备维护时可以方便的采用修改路由的方式使设备下线,便于维护管理。同时,一些特殊的应用也可在核心交换机上采用策略路由的方式指向特定的网络设备。
2、提高了网络整体的可靠性:由于旁路方式的存在,如果F5设备出现问题,可在交换机
上修改路由使用数据流绕过F5,而不会对整个业务系统造成影响。
3、针对某些特殊应用,提高了速度:采用旁路的方式后,一些特定的的对速度、时延敏感
的应用数据在进入和离开时可以采用不同的路径,例如:在流入时可经过F5设备,对其进行检查,负载均衡。而在该数据流离开时,则不经过F5,以提高其速度。
设置负载均衡器管理网口地址
F5 BIG-IP 3400 设备的面板结构:
BIG-IP 3400应用交换机具备8个10/100/1000M自适应的网络接口及二个光纤接口.
10/100/1000 interface — 8个10/100/1000 M 自适应的网络接口
Gigabit fiber interface — 2个1000M 多模光纤接口
Serial console port —一个串口命令行管理端口
Failover port —一个串口冗余状态判断端口。Mgmt interface —一个10/100M管理端口
注:互为双机的两台BIG-IP必须用随机附带的Failover线相连起来。
注:管理网络接口的IP地址不能与业务网络在同一网段,根据业务网络的地址划分,相应的调整管理网络接口的网络地址。如果,在SMS中负载均衡口的external vlan和internal vlan 已经采用了到另外一个网段。
通过LCD按键修改管理网口IP地址的方法如下:
1、按红色X按键进入Options选项;
2、在液晶面板上通过按键按以下顺序设置管理网口的网络地址:
Options->System->IP Address/Netmask->Commit
如果通过LCD按键修改完IP地址以后,选择Commit,地址无法成功改变(例如出现IP地址为全零的情况),很有可能是管理口IP地址与系统内已经配置发生冲突。出现这种情况,关机重启以后,另选一个IP网段来设置管理网口地址。
警告:在设置好网络管理口地址以后,通过网络登陆到BIG-IP上进行其它配置更改时,都要保证网络管理口的网络连接完好。否则有时会出现修改的配置无法被成功加载应用的情况,因为网络管理口为Down的情况会妨碍配置文件的加载。
登录BIGIP的WEB管理界面
管理BIGIP有两种方式,一种是基于WEB的https管理方式,另一种是基于ssh的命令行管
理方式。除特别配置外,采用WEB的管理方式即可。
WEB登录方式如下:
1.在管理员的IE地址栏内输入BIGIP设备的IP地址,
2.回车后出现系统警告信息
点击Y es
3.然后系统提示输入基于WEB配置的用户名和密码。
目前的admin帐号的密码为admin
激活License
在配置BIG-IP之前,先要激活License。
从System->License->Re-activate进入License激活界面:
进入,将产生的Dossier复制进以下页面,产生License文件:
4.输入正确后即可进入BIGIP的WEB管理界面
初始化设置
2.5.1BIG-IP 1上的平台(Platform)通用属性设置
进入SystemPlatform
注:
警告:BIG-IP双机系统的主机名必须不一样,否则配置同步会产生错误,可能导致破坏license。
例如负载均衡器BIG-IP1的主机名为ISMG-LB01-F5,BIG-IP2的主机名为ISMG-LB02-F5。Root 为命令行帐号,admin为WEB管理的帐号。
注:root密码允许用户通过命令行访问BIG-IP系统。建议root密码长度大于6位,但不要超过32位字节。密码与大小写敏感,建议密码中包含大写/小写字母和数字。如果BIG-IP 系统为冗余系统,两台主备机的root密码必须保持一致。
注:如修改密码,请确认正确敲击键盘上的键。(有人敲错了键盘上的键,而导致无法找到新设置的密码是什么。)
BIG-IP 2上的平台通用属性设置:
2.5.2修改系统时间
1. 用PUTTY或Secure Shell Client等SSH客户端连接BIG-IP的管理网口地址,进入命
令行模式。
注:Secure Shell Client 可以用以下链接下载:
。
2. 执行date检查系统时钟。
[root@ZJHZ-PS-MMS3-SW02:Active] config # date
Thu May 25 16:59:15 CST 2006
3. 命令格式
# date
# date
如设置2009年1月1日中午12:00:00
#
4.保存时间到BIOS
# hwclock –systohc
2.5.3设置缺省管理权限策略
在命令行运行b base list命令,检查初始化设置。
如果b base list的输出已经有self allow { default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 }
一行,则进入到2.4.4。
如果在b base list的输出中发现有self allow { default none }一行,则运行以下两条命令:
b self allow { default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 }
b base save
所后用命令more /config/查看文件确认self allow { default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 }已经保存到文件中。
2.5.4重新启动bigip
# reboot
配置网络层
按照拓扑结构,对F5 BIGIP的网络层进行配置,划分vlan,定义IP地址及路由。
2.6.1划分vlan
点击左侧的导航条,进入NetworkVLANS,在右侧可以对vlan进行配置。创建方法如下:点击create:
Name:设置这个vlan的名字。
Tag:为相应VLAN的VLAN ID
Interface:定义Available中显示的端口有选择性的划分到这个vlan中。指定端口后,单击
选入Untagged栏即可。
点击完成。
根据SMS的网络规划,负载均衡器上一共要定义了以下几个VLAN:
注:external, ,internal为业务流量VLAN。VLAN ID应与网络规划中的VLAN一致。
注:netfailover VLAN的端口为双机网络心跳接口,网络心跳信号及双机配置同步信息都是通过这一网线传输,因此要用网线将双机的口对连起来。VLAN ID 4094为BIG-IP自动生成的。(也可以指定)。
注:将和端口加入到external VLAN和internal VLAN主要是为了有时候可以将笔记本接在
相应VLAN进行测试,而不受BIG-IP与交换机之间网络连接的影响。
2.6.2定义IP地址
在划分完Vlan后,即可对每个vlan进行IP地址的定义。方法如下:
点击左侧导航条中的Networks—>self Ips
在右侧可以对Ip地址进行配置。创建方法如下:
点击Create:
IP address:输入IP地址
Netmask:输入子网掩码
Vlan:选择将这个IP地址绑定在哪个vlan上。选择下拉菜单将显示所有已设置的vlan名。Port Lockdown:保持默认值Allow Default。
Floating IP:如果系统为冗余工作方式,需对每台设备的每个vlan均设置两个IP地址。其中一个是self IP,另一个则为floating IP,即两台设备共用的IP地址。选中此项即代表这个IP地址为Floating IP。
按照网络的规划,IP地址定义如下:
SMS BIG-IP 3400应用交换机 VLAN与IP地址规划
(BIG-IP 3400-1) Name
VLAN Name VLAN ID Self IP Floating IP External 20 10.10.3.1/24 10.10.3.3/24 Internal 10 /24
Netfailover 4094
mgmt /24
(BIG-IP 3400-2) Name
VLAN Name VLAN ID Self IP Floating IP External 20 10.10.3.2/24 10.10.3.3/24 Internal 10
Netfailover 4094
mgmt
其中,MGMT是BIG-IP的管理网口IP地址
BIGIP1的SELF IP配置如下:
注:以下拷屏只是展示如何通过WEB界面进行相应的配置,其中的IP地址不一定正确,请根据实际情况的IP地址划分进行配置。
其中Unit ID不为零的为Floating IP.
Floating IP设置要打上勾。
BIGIP2的SELF IP配置如下:
BIG-IP2上不需要配置Floating IP,因为FloatingIP可以从BIG-IP1上同步过来。
2.6.3配置路由
点击左侧导航条中的Networks—>RoutesAdd对路由进行配置
Type:定义配置的是默认网关还是静态路由。
Destination:定义目标网段
Netmask:定义目标网段的掩码
Resource:定义网关地址
点击完成。
按照用户的需求,
缺省路由是第一层防火墙Trust口的双机共享地址10.10.3.254
另外,还需要增加一个静态路由,即到机房二的数据包的下一跳指向机房一中第二层防火墙的Untrust区双机共享地址。
配置双机设置(High Availability)
High Availability就是双机冗余(Cluster),要求两台BIGIP的版本相同。配置方法如下:2.7.1配置Redundant Pair的IP地址
首先,确认BIG-IP已经转换为双机模式。
在WEB页面的左侧导航条选择SYSTEMPlatform
把Hith Availability设置中应选择为Redundant Pair模式。
其中BIG-IP1的Unit ID为1,BIG-IP2的Unit ID为2。
然后,在WEB页面的左侧导航条选择SYSTEMHith Availability:
BIG-IP1的设置如下:
BIG-IP2的设置如下
Primary Failover Address输入两台BIGIP的Netfailover VLAN Self IP地址:
Secondary Failover Address输入两台BIGIP的Internal VLAN Self IP地址。
BIG-IP1的Self IP为, Peer IP为;
BIG-IP1的Self IP为, Peer IP为;
Redundancy Mode选择Active/Standby模式
并Enable Network Failover选项。
其他参数保持默认值。
2.7.2配置双机自动切换机制FailSafe配置
Failsafe设置在满足某些条件的时候,触发BIGIP发生切换。根据彩铃5期的要求,配置了VLANs的FailSafe配置,当处于Active状态的BIGIP的internal和external两个V ALN在设定的时间内没有任何流量,自动切换到备机。
警告:在没有完成External VLAN和Internal VLAN的网络接线之前,不要启用自动切换机制。
对External VLAN和Internal VLAN启用基于VLAN监控的自动切换机制,步骤如下:在WEB页面的左面导航界面选择:SYSTEM High AvailabilityFail-safe
点击“Add”按钮
VLAN:选择监控的VLAN
Timeout :默认值是90秒,一般改为30秒
其中Action选用Fail Over方式,而不是缺省的Reboot方式。
设置完后,结果如下:
配置服务器负载均衡
注:服务器负载均衡器的设置只需要在一台BIG-IP1上进行设置,设置好以后,可以通过双机配置同步的方式将配置更新到BIG-IP2上。
在设置好基础网络,即可对实现服务器负载均衡进行配置。主要涉及以下几个方面:Monitor(不一定需要设,有时候可以采用系统自带Monitor)
Monitor跟踪Pool成员的当前状态或者性能
Profile(不一定需要设,有时候可以采用系统自带Profile)
Profile包含定义Virtual Server行为的设置。
负载均衡Pool
负载均衡Pool包含可以将请求发送到其中进行处理的服务器。
iRules
负载均衡控制规则。
Virtual Server
Virtual Server接收客户端的访问请求,然后将请求分发给被负载均衡的服务器上。
SNAT
在负载均衡器内部的服务器主动向外发起访问时,在负载均衡器上所做的地址映射。访问时
2.8.1配置Monitor
Monitor可以实现对服务器实施健康检查。以确定服务器是否可以对外提供服务。
注:目前并不存在着故障服务器进行切换的需求,只是需要根据客户端源地址来选择服务器,因此并不需要对服务器进行监控。以下只是用于说明服务器状态检查的配置方式。可以直接进入到下一步骤。
如果需要对检查方法的属性进行定制,以下以定制TCP端口检查为例,方法如下:点击左侧导航条中的Local TrafficMonitorCreate,在General Properties中选择TCP
在General Properties中输入你要建立的健康检查方式的名字,可以按需要设置好Interval和Timeout的时间。最后点击Finished。
2.8.2配置Profile
Profile定义的Virtual Server的属性集合。
需要对Virtual Server上的连接闲置时间进行设置,因此需要创建一个ismg_fastl4的profile,方法如下:
由Local Traffic ManageProfileFast L4 Profile,选择创建
2.7.3配置负载均衡Pool
负载均衡Pool是您组合起来接收和处理流量的一组设备,如Web服务器。BIGIP系统将客户机发往Virtual Server的请求发送到Pool成员中的任一服务器上。
当创建负载均衡Pool时,将服务器(称作Pool成员)分配到pool中,然后将pool与BIGIP系统中的Virtual Server相关联。然后,BIPIP系统将进入Virtual Server中的流量传输到Pool 成员。
单个服务器可隶属于一个或多个pool,这取决于您希望如何管理您的网络流量。
创建pool的方法如下:
点击左侧导航条中的Local TrafficVirtual ServerspoolsCreate:
输入pool的名字,并指定该pool中的member成员的IP 地址及service port,并指定对Pool
成员的健康检查方法,然后点击即可。
接照SMS的情况,定义pool及相应的member成员如下:
pool POOL_ISMG{
member :0
member :0
}
注:服务器
还有其它一些没有列在上面的pool,可以根据实际环境的需要进行添加。
2.8.4创建iRule负载均衡控制规则以根据源地址选择服务器
先要创建两个Data Group,将SP的源地址分别放在这两个Data Group中,以进行源地址匹配来选择ISMG服务器。
创建Data Group的方法如下:
在Local TrafficiRuleData Group中选择Create:
将源地址加入。
然后定义Data Group与服务器的对应关系:
在Local TrafficiRule中选择Create:创建一个select_ismg的iRule:
when CLIENT_ACCEPTED {
if { [matchclass [IP::client_addr] equals $::sp1_class] } {
} elseif { [matchclass [IP::client_addr] equals $::sp2_class] } {
node
} else { drop }
}
2.8.5建立Virtual server,实现对服务器的负载均衡
Virtual Server是BIG-IP本地流量管理(LTM)配置中最重要的组件。BIG-IP收到到Virtual Server的客户请求后,以地址转换的方式,将客户端的请求发送到Virtual Server相应Pool中的某个成员服务器上。Virtual Server可提高用于处理客户机请求的资源的可用性。
创建Virtual Server的方法如下:
点击左侧导航条中的Local TrafficVirtual ServersCreate:
在General Properties部分,需指定该Virtual server的名称,IP地址及服务端口。
在Configuration部分,用户需跟据该Virtual server的类型,选择相应的配置参数。
注:对于http流量或ftp流量,用户必需选择Http profile或Ftp profile,否则这两种virtual server 将不能正常访问。
对于服务器负载均衡,需要创建一个vip_ismg的虚拟务器,将会采用Performance Layer4的类型,并选择上面创建的ismg_fastl4 profiel:
而协议(Protocol)则要根据虚拟服务器的类型选择是All Protocols。
在Virtual Server的Resources定义部分,Default Pool选择Virtual Server所对应的Server Pool,及iRule:
注:Status为绿色,表示该Virtual Server对应的Pool中至少有一台服务器可用,红色表示没有一台服务器可用,蓝色表示服务器的状态未知(可能没有对Pool设置健康检查方法,或正在对服务器状态进行检查。)
其中的Virtual Server根据实际情况进行添加。
2.8.5设置SNAT
SNAT 是一个将原始IP 地址(也就是源IP 地址)映射到您所选择的转换地址的对象。
因此,SNAT 会让LTM 系统将入站数据包的源IP 地址转换为您指定的地址。SNAT 的目的非常简单,即:确保负载均衡器内网的服务器主动向负载均衡器外部的网络进行访问时,地址会转换为外网可路由的地址。
创建方法如下:
先修改系统的General Properties->Local Traffic:
将SNA Packet Forwarding设置由TCP and UDP Only改为All Traffic,使SNA T不仅支持TCP 与UDP包的地址转换,不可以支持ICMP的地址转换。
注:如果不改为All Traffic,将无法由Internal VLAN Ping通外网地址。
点击左侧导航条中的Local TrafficSNATsCreate:
为该SNAT设置一个名称,并在Translation中输入转换后的IP地址,点击Origin的下拉菜单,选择IP address list
在address中输入IP地址点击ADD进行添加。输入完毕后,点击Finished即可。
要将服务器的地址都转成Virtual Server的地址,因此一个设置好的SNA T的属性如下:
s
这个设置将对所有主动由服务器发往SP的数据包进行地址转换,转换成10.10.3.108。
此外,还要选取Translation修改SNA T地址的Idle TimeOut值。例如对10.10.3.108,点击右侧Translation 地址:
在SNAT Address的TCP idle Timeout的选项选择Specify,输入Timeout的参数,一般改为3600。而对UDP和IP的Idle Timeout值可以不需要设定,采用缺省值。
两台BIGIP配置同步
BIGIP的配置信息,除了Network的配置(例如:VLAN,IP等),其他的配置可以通过ConfigSync同步,步骤如下:
进入SystemHigh AvailabilityConfigsync页面:
Synchronize TO Peer: 把本地的配置同步到对方
Synchronize FROM Peer: 把另外一台BIGIP的配置同步到本地。成功的配置同步后的信息如下:
备份配置
在完成上述配置,并顺利完成同步以后,请尽快将配置备份出来。
备份方法如下:
进入SystemArchives,点击Create:
配置备份好后,点击设配置文件并下载到外部电脑上:
三、系统运行状态检查及维护
检查系统日志信息:
选取Local Traffic查看Pool Member的状态变化信息。
可以点击TimeStamp选择日志信息排列的时序。
检查Node状态
点击左侧导航条中的Local Traffic->Nodes
图中绿色状态表示节点状态正常。
查看流量信息
点击左侧导航条中的Local Traffic->Pools->Statistics,
可以查看到各Pool以及Pool的Members的状态,以及流量和连接数的信息。
查看系统当前性能参数
点击左侧导航条中的Overview->Performance,可以查看Memory,CPU使用率等信息。
密码的更改
登录bigip的WEB管理界面时需使用Admin的用户名,登录bigip的命令行界面需要使用root的用户名,更改这个两个用户名的方法如下:
点击左侧导航条的SystemPlatform,进入其属性页面:
在右侧的页面中,可以在User Administration中对这两个用户名的密码进行更改。更改完毕后点击Update即可生效。
添加“只读”权限的管理员帐号
为了避免对bigip进行误操作,建议管理员以“只读”权限的用户名进行登录,建立“只读”权限的管理员帐号方法如下:
点击左侧导航条的SystemUsersCreate:
进入添加管理员帐号的操作界面:
在该页面中,
User Name代表用户名
Authentication:输入该用户登录时得到的密码
Web User Role选择该用户登录时所具有的操作权限.
Administrator:超级用户
Operator:可以对服务器节点进行up/down操作的权限
Guest:完全只读的权限
No Access:无任何访问的权限
如何查询设备的序列号:
负载均衡器的序列号可能从设备前面板右边的机架安装处获得,是在一个条形码标签下面以bip开头的一串字串。如果设备已经上架,不方便查看设备的序列号的话,也可以通过License 文件,获取设备的序列号。License文件保存在/config/文件中。在文件中搜寻以下信息:Registration Key : JSUIF-IISEN-YSJWQ-JRRVP-LIVYDKE
Licensed version : 9.2.3
Platform ID : C62a
Appliance SN : Registration Key : JSUIF-IISEN-YSJWQ-JRRVP-LIVYDKE
Licensed version : 9.2.3
Platform ID : C62a
Appliance SN : bip083200s
其中的bip083200s即为设备的序列号。
如何采集信息提供他人进行故障诊断
通过Qkview工具可以采集BIG-IP上的配置信息及日志信息,以供离线的故障诊断。
如果可以通过Web界面进行管理,则可由SystemSupport中
运行Qkview工具,运行过程如下:
Qkview运行过程大概会持续3至5分钟,执行结果如下:
点击Download下载Qkview的输出文件。
注意修改下载文件的文件名以免双机的文件重名冲突。
对某一Virtual Server用TCPDUMP命令无法抓到包如何处理
可能是该Virtual Server的属性中选用了Performance Layer4类型,导致数据包由四层加层ASIC芯片处理而没有流经CPU引起,碰到这种情况,选取该Virtual Server将type由Performance Layer4临时改为Standard再来用TCPDUMP命令抓包,抓包以后,改回到Performance Layer4。