BIGIP标准配置文档
杨明非
F5 工程师
2004-11-21
目录
1. 连接BIGIP (4)
1.1 Console方式 (4)
1.2 网络连接方式 (4)
1.2.1 基于WEB方式 (4)
1.2.2 基于SSH方式 (7)
2.网络配置 (9)
2.1 网络配置步骤及流程 (9)
2.1.1 L2 Vlan 配置 (10)
2.1.2 L3 self ip 配置 (11)
2.2 服务器直连模式网络配置 (12)
2.2.1 网络连接拓扑图 (12)
2.2.2 VLAN划分 (12)
2.2.3 IP地址划分 (13)
2.3 服务器非直连模式网络配置 (14)
2.3.1 网络拓扑结构 (14)
2.3.2 VLAN划分 (14)
2.3.3 IP地址划分 (15)
2.4 透明模式网络配置 (16)
2.4.1 网络拓扑结构 (16)
2.4.2 VLAN划分 (16)
2.4.3 IP地址划分 (16)
2.5 静态路由的添加 (17)
3.负载均衡配置 (17)
3.2 Pool配置 (19)
3.3 Virtual Server配置 (22)
3.4 会话保持配置 (24)
3.4.1 会话保持的概念 (24)
3.4.2 Simple会话保持 (25)
3.4.3 Cookie 会话保持 (26)
3.5 iRules配置 (27)
3.6 Monitor配置 (30)
3.6.1 Monitor的添加 (30)
3.6.2 Node Address Monitor配置 (33)
3.6.3 Node Association Monitor配置 (35)
3.6.4 Monitor 的验证 (36)
4. SNAT配置 (37)
4.1 SNAT的概念 (37)
4.2 NAT配置 (38)
4.3 SNAT配置 (39)
4.3.1 SNAT IP配置 (39)
4.3.2 SNAT AutoMap配置 (41)
5. Redundent配置 (42)
6. 系统维护部分配置 (46)
6.1 SNMP配置 (46)
6.2 Syslog配置 (47)
6.3 NTP配置 (47)
6.4 用户管理 (50)
7. BIGIP命令行常用命令解释 (57)
7.1 系统配置相关命令 (57)
7.2 系统维护相关命令 (57)
1.连接BIGIP
1.1Console方式
基于Console终端配置BIG-IP 的准备
安装Windows操作系统的PC一台(装有超级终端)
BIGIP设备自带的Console电缆一条
使用超级终端建立一个连接,通过Console电缆一端连接BIGIP,一端连接COM,COM的参数设置如图:
1.2网络连接方式
1.2.1基于WEB方式
在浏览器地址栏键入https://(BIGIP 设备IP地址),如下图:
回车后,出现以下界面:
此对话框为浏览器与BIGIP通讯交换的证书提示,点击“是”继续
输入用户名和密码点击确定继续
点击Configure your BIGIP Using Configration Utility进入BIGIP配置主界面。在此页面的下方可下载BIGIP的操作手册(Reference Guide)、SSH Client 软件和BIGIP的私有MIB库等。
此界面为BIGIP的配置主界面,左侧为系统配置主菜单。右侧为具体功能配置和显示界面,右侧顶部为菜单子项目切换按钮。点击后即可切换配置界面。
1.2.2基于SSH方式
基于SSH方式访问BIGIP有两种方式:
一种是采用专用的客户端,此处以SecureCRT为例:
在Secure CRT中新建连接,配置如下:
Client ->MindTerm SSH:
点击Minterm SSH后弹出单独窗口如下:
键入root用户和对应密码后出现:
直接回车选择终端类型为Vt100即可
注意:如果客户端使用Windows XP系统并且没有安装JAVA虚拟机时,该功能不可用。
2.网络配置
2.1网络配置步骤及流程
2.1.1L2 Vlan 配置
通过单击页面左侧对象树的Network,在页面右侧显示VLAN的信息。
在这里以配置两个VLAN“external”和“internal”为例:
点击系统左侧Network菜单
通过单击这两个对象,可以进一步观察这两个网络的具体配置。
如果要删除某个网络对象,可以单击图标
这是“external”网络的窗口。
如果要修改该网络所包括的Interfece,可从Resource中左侧的Interface Number中选取空闲的端口后,单击untagged>>,添加到当前的VLAN中。在Current Interfaces 中选中一个或几个端口,单击<<可以把端口从当前VLAN中删除。划定端口后,单击DONE。
以下是““internal ”网络的窗口。
2.1.2L3 self ip 配置
新添加的VLAN没有IP地址,需要给所有的VLAN指定一个IP地址。单击Network->Self IP Address
通过单击相应的IP地址可以对其相关配置进行浏览和修改。
下图是两台BIG-IP外网IP地址的配置窗口
通过单击VLAN框的下拉按钮,可以选择该IP地址对应的网络。
注意:
上图中的Floating 复选框如果是Share IP必须选中。如果是实际IP不要选中。
我们可以根据需要通过单击
来添加一个IP 地址,也可以通过单击来删除
一个IP 地址。
2.2 服务器直连模式网络配置
在结构一下,我们需要进行以下网络配置
2.2.1 网络连接拓扑图
在该模式下,所有的服务器都直接连接到BIGIP 上。如果服务器单网卡运行,
则通常将同组的服务器连接分散在两台BIGIP 上。如果服务器为双网卡冗余模式,则可将每台服务其的两块网卡分别连接在BIGIP 上。BIGIP 通过交叉连接方式连接到上端的交换机。注意需要在上端交换机中开启SpanningTree ,而在BIGIP 上则无需启动SpanningTree 。
2.2.2 VLAN 划分
在服务器直接连接模式,建议BIGIP 上划分4个VLAN ,分别为:
Bigip
Bigip Web/APP Server Web/APP Server
Cisco6009 服务器负载均衡标准接法一(双机方式)
只需要添加failover_vlan即可。
2.2.3IP地址划分
每个VLAN必须采用不同的IP网段。BIGIP上必须配置的IP包括以下几个部分:
2.3 服务器非直连模式网络配置
2.3.1 网络拓扑结构
在该结构下,所有服务器均连接在二层交换机上,通过二层交换机再连接到BIGIP 上。每台BIGIP 通过交叉网线连接到与其相关的每台设备。在BIGIP 上关闭SpanningTree 功能,在其他交换机上开启SpanningTree 功能。
2.3.2 VLAN 划分
在服务器非直接连接模式,建议BIGIP 上划分4个VLAN ,分别为:
Web/APP Server Web/APP Server
Bigip
Bigip Web/APP Server 高可靠性Full Mesh 接法(千兆上连)
只适用于Bigip5000/5100/5100
只需要添加failover_vlan即可。
2.3.3IP地址划分
每个VLAN必须采用不同的IP网段。BIGIP上必须配置的IP包括以下几个部分:
2.4 透明模式网络配置
2.4.1 网络拓扑结构
在透明模式下,BIGIP 以单臂方式接入,服务器、BIGIP 上的Virtual Server 在同一网段上。该方式有一个限制就是访问Virtual Server 的客户端与服务器不能位于同一网段。并且要求服务器的默认网关均指向BIGIP 。
2.4.2 VLAN 划分
在透明模式下,建议BIGIP 上划分3个VLAN ,分别为:
默认情况下,BIGIP 上已经配置了External 、Internal 和Admin VLAN ,所以我们需要删除External VLAN 并添加failover_vlan 。
2.4.3 IP 地址划分
Bigip
Server 基于双机的单臂接法
每个VLAN必须采用不同的IP网段。BIGIP上必须配置的IP包括以下几个部分:
2.5静态路由的添加
BIGIP上的路由添加有两种方式:
方式一:在命令行模式下键入以下命令:
route add -net 192.168.1.0 -netmask 255.255.255.0 -gateway 10.1.1.1 该命令表示去往网段192.168.1.0/255.255.255.0通过网关地址10.1.1.1
通过命令行方式添加的路由立即生效,但在BIGIP重起后丢失。
方式二:编辑文件/config/routes
在命令行界面用VI创建一个文件/config/routes。在该文件中添加命令行:route add -net 192.168.1.0 -netmask 255.255.255.0 -gateway 10.1.1.1 保存文件,在系统重新启动后该路由仍将保持。
3.服务器负载均衡配置
3.1负载均衡的概念
BIGIP对负载均衡的实现,主要通过Virtual Server、iRules、Pool、Node、Monitor和Persistent(会话保持)实现。
Node为每一个服务器的IP地址加上服务端口。每一个Node代表一个应用程序。在配置过程中,Node不需要单独添加,而在Pool的配置中进行。通常,在一个对外提供同样功能的Node组中,所有的Node必须保持一致。
Pool的主要作用是对一组执行相同功能的服务器应用进行捆绑,在Pool中可定义负载均衡算法,将外部的访问流量按照规则分配到不同的服务器上。在定义一个Pool时,必须知道每台服务器的IP地址和对外提供服务的端口号,不同的服务器可以以不同的端口提供服务,BIGIP可执行端口映射将这些服务对外进行统一端口服务。
iRules是BIGIP特性中的一个重要组件,Rule是一个用户编写的script,用来在两个或者更多的pool中进行选择。换句话说,rule用于根据一定的判断条件选择和一个Virtual Server相关联的pool。Rules是一个可选的特性使您可以将流量不单是定义到默认的对应Virtual Server的pool。Rules允许您直接将流量分配到您所指定的pool中去。
Virtual Server为BIGIP上对外提供服务的地址加上服务端口,每个Virtual Server后对应一个或者多个Pool。BIGIP将从每个Virtual Server接收到的流量分配到一个或多个Pool中,然后按照Pool重的负载均衡算法分配到一个或多个Node中。
Monitor的作用是检查服务器的健康状态。BIGIP对服务器的健康检查配置分为3个部分,Node Address,Node Associations和Service。其中Node Address 相关的部分主要是通过ICMP检查服务器节点状态。对于每一个地址,如果其Node Address检查状态失败,则与该IP相关的所有Node(端口)均会设置为失败状态。Node Associations主要是检查服务器上的端口,该健康检查的配置为每个IP:端口组合设置。Services则是对所有的同样服务端口的节点都进行同样的健康检查。Services 配置主要目的是简化配置,通常情况下不建议使用。
对于客户端每发起的一个Soket连接,BIGIP识别为一个Connection。在BIGIP 内部,存放有一张所有Soket连接分配的服务器对应表。该表的单项结构大致如
下:
Sport:客户端发起请求的源端口,通常,该端口为一个随机值
Virtual Server IP:Port :用户访问的Virtual Server地址和端口
Node IP:Port:该Connection被分配去往的Node节点IP和端口
3.2Pool配置
点击左侧Pools菜单,选择ADD。
填入pool名称,并选择正确的负载均衡策略:
BIGIP支持以下负载均衡选项:
轮询(RoundRobin):顺序循环将请求一次顺序循环地连接每个服务器。
当其中某个服务器发生第二到第7 层的故障,BIG/IP 就把其从顺序循环队列中拿出,不参加下一次的轮询,直到其恢复正常。
最小的连接数(LeastConnection):传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7 层的故障,BIG/IP 就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
最快模式(Fastest):传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7层的故障,BIG/IP 就把其从服务器队列中拿出,不
参加下一次的用户请求的分配,直到其恢复正常。
外网F5配置步骤: 一、登录到F5 BIG-IP管理界面: 1、初次使用: ①、打开F5 BIG-IP电源,用一根网线(直连线和交叉线均可)连接F5 BIG-IP的3.1管理网口和笔记本电脑的网口,将笔记本电脑的IP地址配置为“192.168.1.*”,子网掩码配置为“255.255.255.0”。 ②、用浏览器访问F5 BIG-IP的出厂默认管理IP地址https://192.168.1.245或https://192.168.245.245 ③、输入出厂默认用户名:admin,密码:admin ④、点击Activate进入F5 BIG-IP License申请与激活页面,激活License。 ⑤、修改默认管理密码。 2、以后登录: 通过F5 BIG-IP的自身外网IP登录。 ①、假设设置的F5自身外网IP为61.1.1.2,就可以通过https://61.1.1.2/登录。 ②、还可以通过SSH登录,用户名为root,密码跟Web管理的密码相同。 二、创建两个VLAN:internal和external,分别表示内网和外网。 1、创建VLAN:internal(内网) 在“Network→VLANs”页面点击“create”按钮: ①、Name栏填写:internal(填一个英文名称) ②、Tag栏填写:4093(填一个数字) ③、Interfaces栏:将Available列的“1.1”拉到Untagged列。1.1表示F5 BIG-IP的第一块网卡。
2、创建VLAN:external(外网) 在“Network→VLANs”页面点击“create”按钮创建VLAN: ①、Name栏填写:external(填一个英文名称) ②、Tag栏填写:4094(填一个数字) ③、Interfaces栏:将Available列的“1.2”拉到Untagged列。1.2表示F5 BIG-IP的第二块网卡。
F5负载均衡配置手册 F5负载均衡配置手册负载均衡器通常称为四层交换机或七层交换机。四层交换机主要分析IP层及TCP/UDP层,实现四层流量负载均衡。七层交换机除了支持四层负载均衡以外,还有分析应用层的信息,如HTTP协议URI或Cookie信息。 一、F5配置步骤: 1、F5组网规划 (1)组网拓朴图(具体到网络设备物理端口的分配和连接,服务器网卡的分配与连接) (2)IP地址的分配(具体到网络设备和服务器网卡的IP地址的分配) (3)F5上业务的VIP、成员池、节点、负载均衡算法、策略保持方法的确定 2、F5配置前的准备工作 (1)版本检查 f5-portal-1:~# b version Kernel: BIG-IP Kernel 4.5PTF-07 Build18 (2)时间检查--如不正确,请到单用户模式下进行修改 f5-portal-1:~# date Thu May 20 15:05:10 CST 2004 (3)申请license--现场用的F5都需要自己到F5网站上申请license 3、F5 的通用配置 (1)在安全要求允许的情况下,在setup菜单中可以打开telnet及ftp功能,便于以后方便维护 (2)配置vlan unique_mac选项,此选项是保证F5上不同的vlan 的MAC地址不一样。在缺省情况下,F5的各个vlan的MAC地址是一样的,建议在配置时,把此项统一选择上。可用命令ifconfig –a来较验。具体是system/Advanced Properties/vlan unique_mac (3)配置snat any_ip选项选项,此选项为了保证内网的机器做了snat后,可以对ping的数据流作转换。Ping是第三层的数据包,缺省情况下F5是不对ping的数据包作转换,
技术文档模板 (v 121010) 作者王卫锋审核 分类Network 子类F5 更新时间2012-10-10 关键字F5 BIG-IP 摘要F5 BIG-IP配置手册-激活license 主要适 F5 BIG-IP 用环境
版本说明 拟制/修改责任人拟制/修改日期修改内容/理由版本号 V121010 王卫锋2012-10-10 新建
目录 版本说明 (2) 1系统和软硬件环境说明 (4) 2 你也可以拥有F5,申请官方测试版 (4) 2.1 注册-帐号 (4) 2.2 选择-注册 (4) 2.3 选择-Register (5) 2.4 查收-邮件 (6) 2.5 激活 (6) 2.6 点-Submit (7) 2.7 登录 (7) 2.8 下载 (10) 2.9 KEY (11) 2.10 英文原文说明 (11) 3 规划IP (15) 4 准备2台虚拟机 (16) 6 激活F5-BIGIP (25)
1系统和软硬件环境说明 硬件环境: F5 1600 2 你也可以拥有F5,申请官方测试版 2.1 注册-帐号 https://https://www.doczj.com/doc/e113767820.html,/trial/big-ip-ltm-virtual-edition.php 2.2 选择-注册
administrator@https://www.doczj.com/doc/e113767820.html, 2.3 选择-Register
2.4 查收-邮件 2.5 激活 https://https://www.doczj.com/doc/e113767820.html,/resource/loginAction.jsp?prs=dXNlcmlkPWFkbWluaXN0cmF0b3JAdWMtY24ubmV0JnBh c3N3ZD1qd2NjMTI%3D&ref=https://https://www.doczj.com/doc/e113767820.html,/trial/big-ip-ltm-virtual-edition.php
BIGIP标准配置文档
目录 1. 连接BIGIP (4) 1.1 Console方式 (4) 1.2 网络连接方式 (4) 1.2.1 基于WEB方式 (4) 1.2.2 基于SSH方式 (7) 2.网络配置 (9) 2.1 网络配置步骤及流程 (9) 2.1.1 L2 Vlan 配置 (10) 2.1.2 L3 self ip 配置 (11) 2.2 服务器直连模式网络配置 (12) 2.2.1 网络连接拓扑图 (12) 2.2.2 VLAN划分 (12) 2.2.3 IP地址划分 (13) 2.3 服务器非直连模式网络配置 (14) 2.3.1 网络拓扑结构 (14) 2.3.2 VLAN划分 (14) 2.3.3 IP地址划分 (15) 2.4 透明模式网络配置 (16) 2.4.1 网络拓扑结构 (16) 2.4.2 VLAN划分 (16) 2.4.3 IP地址划分 (16) 2.5 静态路由的添加 (17) 3.负载均衡配置 (17)
3.2 Pool配置 (19) 3.3 Virtual Server配置 (22) 3.4 会话保持配置 (24) 3.4.1 会话保持的概念 (24) 3.4.2 Simple会话保持 (25) 3.4.3 Cookie 会话保持 (26) 3.5 iRules配置 (27) 3.6 Monitor配置 (30) 3.6.1 Monitor的添加 (30) 3.6.2 Node Address Monitor配置 (33) 3.6.3 Node Association Monitor配置 (35) 3.6.4 Monitor 的验证 (36) 4. SNAT配置 (37) 4.1 SNAT的概念 (37) 4.2 NAT配置 (38) 4.3 SNAT配置 (39) 4.3.1 SNAT IP配置 (39) 4.3.2 SNAT AutoMap配置 (41) 5. Redundent配置 (42) 6. 系统维护部分配置 (46) 6.1 SNMP配置 (46) 6.2 Syslog配置 (47) 6.3 NTP配置 (47) 6.4 用户管理 (50)
F5负载均衡器简明配置手册 负载均衡器通常称为四层交换机或七层交换机。四层交换机主要分析IP层及TCP/UDP层,实现四层流量负载均衡。七层交换机除了支持四层负载均衡以外 ,还有分析应用层的信息,如HTTP协议URI或Cookie信息。 一、F5配置步骤: 1、F5组网规划(1)组网拓朴图(具体到网络设备物理端口的分配和连接,服务器网卡的分配与连接)(2)IP地址的分配(具体到网络设备和服务器网卡的IP 地址的分配)(3)F5上业务的VIP、成员池、节点、负载均衡算法、策略保持方法的确定 2、F5配置前的准备工作(1)版本检查f5-portal-1:~# b version Kernel:BIG-IP Kernel 4.5PTF-07 Build18 (2)时间检查--如不正确,请到单用户模式下进行修改f5-portal-1:~# dateThu May 20 15:05:10 CST 2004 (3)申请license--现场用的F5都需要自己到F5网站上申请license 3、F5 的通用配置(1)在安全要求允许的情况下,在setup菜单中可以打开telnet及ftp功能,便于以后 方便维护(2)配置vlan unique_mac选项,此选项是保证F5上不同的vlan 的MAC 地址不一样。 在缺省情况下,F5的各个vlan的MAC地址是一样的,建议在配置时,把此项统一选择上。可用命令ifconfig –a来较验具体是system/Advanced Properties/vlan unique_mac(3)配置snat any_ip选项选项,此选项为了保证内网的机器做了snat后,可以对ping的数据流作转换。Ping是第三层的数据包,缺省情况下F5是不对ping的数据包作转换,也就是internal vlan的主机无法ping external vlan的机器。(注意:还可以采用telnet来验证。)具体是system/Advanced Properties/snat any_ip 4、F5 的初始化配置建议在对F5进行初始时都用命令行方式来进行初始化(用Web页面初始化的方式有时会有问题)。登录到命令行上,运行config或setup 命令可以进行初始化配置。初次运行时会提示一些license的信息。default:~# config 5、F5双机切换监控配置(有F5双机时需要)(1)在web页面中选择相应的vlan,在arm failsafe选择则可。Timeout为从F5收不到包的时间起,经过多长时间就发生切换。此配置不能同步,需要在F5的主备机上同时配置。每个vlan都可以配置vlan arm failsafe。具体在Network下(2)在web页面中选择system,在redundant properties中把gateway failsafe选择则可。 Router是需要监控的地址。此配置不能同步,需要在F5的主备机上同时配置。一套F5上只能配置一个gateway failsafe具体在system/redundant properties/gateway failsafe 6、F5 MAC masquerade配置Mac Masquerading是F5的Shared IP Address (Floating)的MAC地址,F5如果不配置此 项,则shared IP Address的MAC地址与每台F5的vlan self IP Address的MAC地址是一样的。一般服务器是以shared IP Address为网关,在两台F5上都配置了Mac Masquerade(相同的MAC地址),这样当F5发生切换后,服务器上shared IP address的MAC不变,保证了业务的不中断具体在Network下 7、F5的pool配置(1)在配置工具Web页面的导航面板中选择“Pools”中的
F5 BIGIP V9配置维护手册 目录 一底层网络部署 (2) 1.1网络逻辑结构图 (2) 1.2 设备标识: (2) 1.3 Vlan划分及物理连接 (3) 二.登录BIG-IP Web配置界面 (4) 三.实现负载均衡功能 (6) 3.1 负载均衡的概念 (6) 3.2 Pool----服务器群组 (7) Pool 配置 (8) 3.2定义会话保持 (10) 3.3Virtual Server----虚拟服务器 (12) Virtual Server配置 (12) 3.4服务器健康状况监控 (14) 3.5iRules配置 (18) 3.6SNAT配置 (18) SNAT的概念 (18) 3.7Redundant配置 (20) BIGIP Redundant的概念 (20) Redundant配置 (20) 四.设备管理 (21) 4.1root密码的更改 (21) 4.2admin密码的更改 (22) 4.3系统配置备份和恢复 (23) 4.4F5前面板液晶屏监控 (24) 4.5察看F5双机热备状态 (24)
一.底层网络部署 1.1网络逻辑结构图 如图所示:两台BIGIP3600互相热备为后端服务器提供负载均衡。 1.2 设备标识: BIGIP 3600 1.1 -1.8端口为F5设备上的10/100/1000M自适应端口, 详见面板标识. 2.1,2.2端口为F5设备上的光纤端口, 详见面板标识. 3.1端口为F5的mgmt端口,详见面板标识.
1.3 Vlan 划分及物理连接 设备的SN 是在设备右侧面的一张条形码
F5的路由配置 F5的default gateway为172.20.23.3 在web界面中可在network的self ip address处看到此配置 二.登录B I G-I P W e b配置界面 我们配置客户端主机的IP地址与F5处在同一网段,由于BIG-IP使用的https的方式进行管理,所以我们在IE的地址栏内输入:https:// bigip ip address
F B I G I P负载均衡器配置实例与W e b管理界面 The latest revision on November 22, 2020
前言:最近一直在对比测试F5 BIG-IP和Citrix NetScaler负载均衡器的各项性能,于是写下此篇文章,记录F5 BIG-IP的常见应用配置方法。 目前,许多厂商推出了专用于平衡服务器负载的负载均衡器,如F5 Network公司的BIG-IP,Citrix公司的NetScaler。F5 BIG-IP LTM 的官方名称叫做本地流量管理器,可以做4-7层负载均衡,具有负载均衡、应用交换、会话交换、状态监控、智能网络地址转换、通用持续性、响应错误处理、IPv6网关、高级路由、智能端口镜像、SSL加速、智能HTTP压缩、TCP优化、第7层速率整形、内容缓冲、内容转换、连接加速、高速缓存、Cookie加密、选择性内容加密、应用攻击过滤、拒绝服务(DoS)攻击和SYN Flood保护、防火墙—包过滤、包消毒等功能。 以下是F5 BIG-IP用作HTTP负载均衡器的主要功能: ①、F5 BIG-IP提供12种灵活的算法将所有流量均衡的分配到各个服务器,而面对用户,只是一台虚拟服务器。 ②、F5 BIG-IP可以确认应用程序能否对请求返回对应的数据。假如F5 BIG-IP后面的某一台服务器发生服务停止、死机等故障,F5会检查出来并将该服务器标识为宕机,从而不将用户的访问请求传送到该台发生故障的服务器上。这样,只要其它的服务器正常,用户的访问就不会受到影响。宕机一旦修复,F5 BIG-IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。 ③、F5 BIG-IP具有动态Session的会话保持功能。 ④、F5 BIG-IP的iRules功能可以做HTTP内容过滤,根据不同的域名、URL,将访问请求传送到不同的服务器。
F5 BIGIP V9配置维护手册
目录 一底层网络部署 (3) 1.1网络逻辑结构图 (3) 1.2 设备标识: (3) 1.3 Vlan划分及物理连接 (4) 二.登录BIG-IP Web配置界面 (5) 三.实现负载均衡功能 (7) 3.1 负载均衡的概念 (7) 3.2 Pool----服务器群组 (8) Pool 配置 (9) 3.2定义会话保持 (11) 3.3Virtual Server----虚拟服务器 (13) Virtual Server配置 (13) 3.4服务器健康状况监控 (15) 3.5iRules配置 (19) 3.6SNAT配置 (19) SNAT的概念 (19) 3.7Redundant配置 (21) BIGIP Redundant的概念 (21) Redundant配置 (21) 四.设备管理 (22) 4.1root密码的更改 (22) 4.2admin密码的更改 (23) 4.3系统配置备份和恢复 (24) 4.4F5前面板液晶屏监控 (25) 4.5察看F5双机热备状态 (25)
一.底层网络部署 1.1网络逻辑结构图 如图所示:两台BIGIP3400互相热备为后端服务器提供负载均衡。 1.2 设备标识: BIGIP 3400 1.1 -1.8端口为F5设备上的10/100/1000M自适应端口, 详见面板标识. 2.1,2.2端口为F5设备上的光纤端口, 详见面板标识. 3.1端口为F5的mgmt端口,详见面板标识.
1.3 Vlan 划分及物理连接 设备的SN 是在设备右侧面的一张条形码
bigstart Restarts the SNMP agent bigsnmpd. bigtop Displays real-time statistics. Config Configures the IP address, network mask, and gateway on the management (MGMT) port. Use this command at the BIG-IP system prompt prior to licensing the the BIG-IP system, and do not confuse it with the bigpipe config command or the BIG-IP Configuration utility. halt Shuts down the BIG-IP software application. hostname Displays the name you have given to the BIG-IP system. printdb Prints the values of one or more entries in the bigdbTM database. reboot Reboots the BIG-IP system. ssh and scp Access command line interfaces on other SSH-enabled devices, and copy files to or from a BIG-IP system. 自定义Bigpipe shell名称 bp> shell prompt
前言:最近一直在对比测试F5 BIG-IP和Citrix NetScaler负载均衡器的各项性能,于是写下此篇文章,记录F5 BIG-IP的常见应用配置方法。 目前,许多厂商推出了专用于平衡服务器负载的负载均衡器,如F5 Network公司的BIG-IP,Citrix公司的NetScaler。F5 BIG-IP LTM 的官方名称叫做本地流量管理器,可以做4-7层负载均衡,具有负载均衡、应用交换、会话交换、状态监控、智能网络地址转换、通用持续性、响应错误处理、IPv6网关、高级路由、智能端口镜像、SSL加速、智能HTTP压缩、TCP优化、第7层速率整形、内容缓冲、内容转换、连接加速、高速缓存、Cookie加密、选择性内容加密、应用攻击过滤、拒绝服务(DoS)攻击和SYN Flood 保护、防火墙—包过滤、包消毒等功能。 以下是F5 BIG-IP用作HTTP负载均衡器的主要功能: ①、F5 BIG-IP提供12种灵活的算法将所有流量均衡的分配到各个服务器,而面对用户,只是一台虚拟服务器。 ②、F5 BIG-IP可以确认应用程序能否对请求返回对应的数据。假如F5 BIG-IP后面的某一台服务器发生服务停止、死机等故障,F5会检查出来并将该服务器标识为宕机,从而不将用户的访问请求传送到该台发生故障的服务器上。这样,只要其它的服务器正常,用户的访问就不会受到影响。宕机一旦修复,F5 BIG-IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。 ③、F5 BIG-IP具有动态Session的会话保持功能。
④、F5 BIG-IP的iRules功能可以做HTTP内容过滤,根据不同的域名、URL,将访问请求传送到不同的服务器。 下面,结合实例,配置F5 BIG-IP LTM v9.x: ①、如图,假设域名被解析到F5的外网/公网虚拟IP:(vs_squid),该虚拟IP下有一个服务器池(pool_squid),该服务器池下包含两台真实的Squid服务器(和)。 ②、如果Squid缓存未命中,则会请求F5的内网虚拟IP:(vs_apache),该虚拟IP下有一个默认服务器池(pool_apache_default),该服务器池下包含两台真实的Apache 服务器(和),当该虚拟IP匹配iRules规则时,则会访问另外一个服务器池 (pool_apache_irules),该服务器池下同样包含两台真实的Apache服务器(和)。 ③、另外,所有真实服务器的默认网关指向F5的自身内网IP,即。
F5 SSL配置手册2005-03-24 冯勇
目录 一、 SSL PROXY 配置基本步骤___________________________________________ 2 二、 HTTP服务器的负载均衡 _____________________________________________ 3 三、配置HTTP虚拟服务器______________________________________________ 4 四、导入根证书________________________________________________________ 6 五、生成服务器证书___________________________________________________ 10 六、配置proxy对外提供SSL加速_______________________________________ 12
一、S S L P R O X Y配置基本步骤●配置接受访问的HTTP服务器组 ●配置接受访问的HTTP 虚拟服务器 ●配置根证书 ●产生服务器站点的证书申请 ●导入CA产生的服务器站点证书 ●配置对外服务的PROXY
二、H T T P服务器的负载均衡 首先,我们需要配置用来最终接受HTTP服务的WEB服务器的负载均衡,以用来响应经SSL加速器解密后的HTTP访问。 二、1 配置HTTP 服务器组—— web_pool 如上图所示,将提供服务的HTTP服务器加入web_pool,当然考虑到中间件的关系,web服务器的端口可以是任意端口。 考虑到HTTPS服务的特殊性,一般必须保证同一客户的多个连接被SSL解密后发到同一台WEB服务器,所以我们推荐对web_pool配置simple persistant——持续性。
F5配置手册(简要流程) 负载均衡器通常称为四层交换机或七层交换机。四层交换机主要分析IP层及TCP/UDP层,实现四层流量负载均衡。七层交换机除了支持四层负载均衡以外,还有分析应用层的信息,如HTTP协议URI或Cookie 信息。 一、F5配置步骤: 1、F5组网规划 (1)组网拓朴图(具体到网络设备物理端口的分配和连接,服务器网卡的分配与连接) (2)IP地址的分配(具体到网络设备和服务器网卡的IP地址的分配) (3)F5上业务的VIP、成员池、节点、负载均衡算法、策略保持方法的确定 2、F5配置前的准备工作 (1)版本检查 f5-portal-1:~# b version Kernel: BIG-IP Kernel 4.5PTF-07 Build18 (2)时间检查--如不正确,请到单用户模式下进行修改 f5-portal-1:~# date Thu May 20 15:05:10 CST 2004 (3)申请license--现场用的F5都需要自己到F5网站上申请license 3、F5的通用配置 (1)在安全要求允许的情况下,在setup菜单中可以打开telnet及ftp功能,便于以后方便维护 (2)配置vlan unique_mac选项,此选项是保证F5上不同的vlan 的MAC地址不一样。在缺省情况下,F5的各个vlan的MAC地址是一样的,建议在配置时,把此项统一选择上。可用命令ifconfig –a来较验具体是system/Advanced Properties/vlan unique_mac (3)配置snat any_ip选项选项,此选项为了保证内网的机器做了snat后,可以对ping的数据流作转换。Ping是第三层的数据包,缺省情况下F5是不对ping的数据包作转换,也就是internal vlan的主机无法ping external vlan的机器。(注意:还可以采用telnet来验证。) 具体是system/Advanced Properties/snat any_ip 4、F5 的初始化配置 建议在对F5进行初始时都用命令行方式来进行初始化(用Web页面初始化的方式有时会有问题)。登录到命令行上,运行config或setup命令可以进行初始化配置。初次运行时会提示一些license的信息。default:~# config 5、F5双机切换监控配置(有F5双机时需要) (1)在web页面中选择相应的vlan,在arm failsafe选择则可。Timeout为从F5收不到包的时间起,经过多长时间就发生切换。此配置不能同步,需要在F5的主备机上同时配置。每个vlan都可以配置vlan arm failsafe。 具体在Network下 (2)在web页面中选择system,在redundant properties中把gateway failsafe选择则可。Router