下载文档原格式
XXX负载均衡设备(F5 BIG-IP LTM)配置规范V1.0中国电信XXX分公司2010年10月Confidential版本更新说明V1.0版本为文档定稿版,后期的版本为修订版,版本的序号为《XXX业务平台负载均衡设备(F5 BIG-IP LTM)配置规范VX.X-YYYYMMDD》,修订说明填写在“主要更新内容”中。
项目编号文档编号Q3-WL-43版本号编制人/时间审核人/时间主要更新内容目录组网篇 (6)第1章概述 (6)1.1文档目的 (6)1.2文档范围 (6)1.3目标读者 (6)1.4术语和缩写语表 (6)1.5网络结构说明 (8)第2章业务平台负载均衡设备命名规范 (9)2.1设备命名规范 (9)2.1.1适用范围 (9)2.1.2设备命名规范格式 (9)第3章、F5 BIG-IP 本地流量管理(以下简称LTM)组网原则 (10)3.1可用性 (11)3.2可靠性 (11)3.3扩展性 (11)3.4可管理 (11)第4章、F5 BIG-IP LTM组网结构 (12)4.1串行结构 (12)4.1.1串行组网方式一 (12)4.1.2串行组网方式二 (14)4.1.3两种方式比较分析 (15)4.2并行结构 (16)4.2.1接入方式一 (17)4.2.2接入方式二 (17)4.2.3接入方式三 (19)4.3 High Availability (高可用性,以下简称HA)部署分析 (20)4.3.1部署方式一 (20)4.3.2部署方式二 (21)4.4 Channel部署 (22)4.5 组网结构对比总表 (24)第5章、F5 BIG-IP LTM网络配置 (27)5.1 F5 LTM端口类型 (27)5.2 F5 BIG-IP LTM端口连接方式 (28)5.2.1Trunk连接 (28)5.2.2Tag-base access to vlans连接 (29)5.2.3 Port-based access vlan连接 (30)5.3 F5 BIG-IP LTM VLAN划分 (30)5.4 F5 BIG-IP LTM Self IP划分 (33)5.5 F5 BIG-IP LTM路由配置 (34)配置篇 (36)第6章连接BIG-IP LTM以及进行初始配置 (36)6.1 Console方式 (36)6.2基于WEB的网络连接方式 (36)6.2.2基于SSH方式 (38)6.3 网络初始配置 (39)6.3.1 BIG-IP LTM资源分配设置: (39)6.3.2 BIG-IP 基本属性设置: (40)6.3.3 VLAN设置: (40)第7章不同连接模式下的VLAN和IP建议配置建议以及路由添加 (41)7.1串行单链路结构网络配置 (41)7.1.1 VLAN划分 (41)7.1.2 IP地址划分 (42)7.2 串行Full Mesh结构网络配置 (43)7.2.1 VLAN划分 (43)7.2.2 IP地址划分 (44)7.3并行模式网络配置 (45)7.3.1 VLAN划分 (46)7.4 静态路由的添加 (47)第8章BIG-IP LTM负载均衡相关配置 (48)8.1 负载均衡的概念 (48)8.2 Pool配置 (50)8.3 Virtual Server配置 (52)8.4 会话保持配置 (53)8.4.1会话保持的概念 (53)8.4.2 会话保持配置 (54)8.4.2.1基于源IP的会话保持 (55)8.4.2.2 Cookie 会话保持 (56)8.5 iRules配置 (56)8.6 Monitor配置 (57)8.7 SNAT配置 (59)8.7.1 SNAT的概念 (59)8.7.2 NA T配置 (59)8.7.3 SNAT配置 (60)8.7.4 SNAT AutoMap配置 (60)第9章BIG-IP LTM系统维护部分配置 (61)9.1 SNMP配置 (61)9.2 NTP配置 (62)9.3 用户管理 (63)9.4 Active Directory、RADIUS和TACACS+等远程认证配置 (64)第10章BIG-IP命令行常用命令解释 (65)10.1 系统配置相关命令 (65)10.2 系统维护相关命令 (65)组网篇第1章概述本规范只针对XX电信城域网中业务平台网络中的负载均衡设备而制定,其它设备另行规范。
前言:最近一直在对比测试F5 BIG-IP和Citrix NetScaler负载均衡器的各项性能,于是写下此篇文章,记录F5 BIG-IP的常见应用配置方法。
目前,许多厂商推出了专用于平衡服务器负载的负载均衡器,如F5 Network公司的BIG-IP,Citrix公司的NetScaler。
F5 BIG-IP LTM 的官方名称叫做本地流量管理器,可以做4-7层负载均衡,具有负载均衡、应用交换、会话交换、状态监控、智能网络地址转换、通用持续性、响应错误处理、IPv6网关、高级路由、智能端口镜像、SSL加速、智能HTTP压缩、TCP优化、第7层速率整形、内容缓冲、内容转换、连接加速、高速缓存、Cookie加密、选择性内容加密、应用攻击过滤、拒绝服务(DoS)攻击和SYN Flood保护、防火墙—包过滤、包消毒等功能。
以下是F5 BIG-IP用作HTTP负载均衡器的主要功能:①、F5 BIG-IP提供12种灵活的算法将所有流量均衡的分配到各个服务器,而面对用户,只是一台虚拟服务器。
②、F5 BIG-IP可以确认应用程序能否对请求返回对应的数据。
假如F5 BIG-IP后面的某一台服务器发生服务停止、死机等故障,F5会检查出来并将该服务器标识为宕机,从而不将用户的访问请求传送到该台发生故障的服务器上。
这样,只要其它的服务器正常,用户的访问就不会受到影响。
宕机一旦修复,F5 BIG-IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。
.1③、F5 BIG-IP具有动态Session的会话保持功能。
④、F5 BIG-IP的iRules功能可以做HTTP内容过滤,根据不同的域名、URL,将访问请求传送到不同的服务器。
.2.3①、如图,假设域名被解析到F5的外网/公网虚拟IP:61.1.1.3(vs_squid),该虚拟IP下有一个服务器池(pool_squid),该服务器池下包含两台真实的Squid服务器(192.168.1.11和192.168.1.12)。
F5 BIG-IP负载均衡器配置指导书目录一、网络结构与IP地址规划 (4)二、配置BIGIP3400负载均衡设备 (8)2.1旁路/直连的选择 (8)2.1.1路由/直连模式的介绍 (8)2.1.2旁路模式的介绍 (8)2.1.3 路由/直连模式同旁路模式的比较 (9)2.2设置负载均衡器管理网口地址 (11)2.3登录BIGIP的WEB管理界面 (12)2.4激活License (13)2.5初始化设置 (14)2.5.1BIG-IP 1上的平台(Platform)通用属性设置 (14)2.5.2修改系统时间 (16)2.5.3设置缺省管理权限策略 (16)2.5.4重新启动bigip (17)2.6配置网络层 (17)2.6.1划分vlan (17)2.6.2定义IP地址 (18)2.6.3配置路由 (20)2.7配置双机设置(High Availability) (21)2.7.1配置Redundant Pair的IP地址 (21)2.7.2配置双机自动切换机制FailSafe配置 (22)2.8配置服务器负载均衡 (23)2.8.1配置Monitor (24)2.8.2配置Profile (25)2.7.3配置负载均衡Pool (26)2.8.4创建iRule负载均衡控制规则以根据源地址选择服务器 (27)2.8.5建立Virtual server,实现对服务器的负载均衡 (28)2.8.5设置SNAT (30)2.9两台BIGIP配置同步 (33)2.10备份配置 (34)三、系统运行状态检查及维护 (35)3.1检查系统日志信息: (35)3.2检查Node状态 (35)3.3查看流量信息 (36)3.4查看系统当前性能参数 (37)3.5密码的更改 (37)3.6添加“只读”权限的管理员帐号 (38)3.7如何查询设备的序列号: (38)3.8如何采集信息提供他人进行故障诊断 (39)3.8对某一Virtual Server用TCPDUMP命令无法抓到包如何处理? (40)一、网络结构与IP地址规划本手册以移动W AP/彩信网关为例这里部署负载均衡器的目的主要是为了增加服务器的数量,以提升系统的处理能力。
服务器负载均衡相关参数建议F5 LTM Virtual Server类型的区别:服务器负载均衡,主要应用有两种类型的Virtual Server在使用。
Performance L4在一个TCP连接建立过程中,除了源IP、目的IP、源端口和目的端口外,还有其他的很多参数,比如Window size, Max Segment Size等参数。
在performance L4的情况下,BIGIP是按照纯四层的处理方式对流量进行处理,也就是基本上只看IP和端口部分的内容,然后在对数据包进行转发的时候,对四层信息进行处理,比如替换目的IP、目的端口,然后就直接进行转发了,对其他的TCP参数不进行任何的变动。
StandardStandard 模式是BIGIP TMOS的Full Proxy结构,在这种结构下,BIGIP对于每一个连接,建立了两个TCP堆栈,分别是client side和Server side。
客户端发起的TCP连接,实际上是和BIGIP建立的连接,然后BIGIP才以客户端的源IP地址,和服务器端建立连接。
这样,TCP连接就在BIGIP的层面上被中断为两段,BIGIP分别为两段TCP连接去维护TCP状态信息。
对于客户端,BIGIP就是一个完整的Socket服务,对于服务器端,BIGIP就是一个标准的客户端socket连接。
在抛开TCP的连接层面后,只有真正的数据包才在BIGIP的两个TCP堆栈之间进行转发。
这也就是BIGIP可以完成很多非常复杂的处理功能的主要原因。
基本上,只要开启了七层处理功能,如HTTP profile,就必须使VS工作在standard模式下。
当系统工作在Standard模式下时,如果通过抓包,可以看到数据包在client side 和server side 的TCP sequence number都是不一样的。
Forwarding IPForwarding IP类型的VS对于命中的流量,查询本地的路由表,然后将数据包根据路由表定义的下一条进行转发,如果没有下一条路由,则一律转发到BIGIP上的默认网关。
BIG-IP LTM 标准配置文档目录一、设备配置准备工作 (3)1.设备硬件环境准备 (3)2.工作站F5设备连接方式(此处仅作介绍,初始化阶段不需要使用console) (3)二、网络基础配置 (6)1. 激活License (6)2.网络配置 (13)三、服务器负载均衡配置............................................................................. 错误!未定义书签。
1.配置default_gateway_vs ..................................................................... 错误!未定义书签。
2.针对服务建立相应VS ........................................................................ 错误!未定义书签。
一、设备配置准备工作1.设备硬件环境准备首先需要为设备准备IP 地址,在公安局环境中,地址需要保护,设备数量为一台时,需要一个IP 地址作为设备地址,如果设备数量为2台时,则需要3个IP 地址,2个配置在设备作物理地址,一个地址作为HA 地址,两台设备。
1..1口分别接入到核心交换机,1.4口用一条跳线不跨越交换机直连。
Failover 的9针接口用蓝色心跳线连接。
2.工作站F5设备连接方式(此处仅作介绍,初始化阶段不需要使用console )1)Control 方式1. 将Console 线连接工作站COM 口和F5的console 口,网线连接工作站网口和F5的MGMT网口。
2. 如果工作站使用“超级终端”,COM 口设置如下:如果工作站使用SecureCRT ,设置如下:F5的MGMT网口默认的IP地址为192.168.1.245/24,因此,配置工作站网口的地址为192.168.1.200/24,以便与F5设备连接3.工作站上ssh工具如SecureCRT设置如下:默认用户名为root,密码为default二、网络基础配置首先设备需要激活才能进行正常配置,激活可以通过HTTPS的方式,以下做介绍1. 激活License通过https://192.168.1.245,默认用户名为admin,密码为admin1.登录F5 BIG-IP LTM设备并输入key,获取dossior.do文件在工作站使用IE浏览器,输入https://192.168.1.245登录BIG-IP点击“是”确认证书。
F5 BIG-IP负载均衡器配置指导书目录一、网络结构与IP地址规划 (3)二、配置BIGIP3400负载均衡设备 (5)2.1设置负载均衡器管理网口地址 (5)2.2登录BIGIP的WEB管理界面 (5)2.3激活License (6)2.4初始化设置 (8)2.4.1BIG-IP 1上的平台(Platform)通用属性设置 (8)2.4.2修改系统时间 (9)2.4.3重新启动bigip (9)2.5配置网络层 (10)2.5.1划分vlan (10)2.5.2定义IP地址 (11)2.5.3配置路由 (13)2.6配置双机设置(High Availability) (14)2.6.1配置Redundant Pair的IP地址 (14)2.6.2配置双机自动切换机制FailSafe配置 (16)2.7配置服务器负载均衡 (17)2.7.1配置Monitor (18)2.7.2配置Profile (18)2.7.3配置负载均衡Pool (19)2.7.4创建iRule负载均衡控制规则以实现地址栏访问不带后缀 (21)2.7.5建立Virtual server实现对服务器的负载均衡 (21)2.8两台BIGIP配置同步 (23)2.9备份配置 (24)三、系统运行状态检查及维护 (25)3.1检查系统日志信息: (25)3.2检查pool状态 (26)3.3查看流量信息 (27)3.4查看系统当前性能参数 (28)3.5密码的更改 (28)3.6添加“只读”权限的管理员帐号 (28)一、网络结构与IP地址规划网络拓扑结构如下图所示:整个数据网络设备,采用两台BIG-IP 1600负载均衡器、及一台交换机、网络设备都采用主、备设备,以实现设备的冗余备份,以消除单点故障。
这里部署负载均衡器的目的主要是为了增加服务器的数量,以提升系统的处理能力。
但对外仍然是一个IP地址。
相关的IP地址规划如下:二、配置BIGIP3400负载均衡设备本章将主要描述BIGIP3400负载均衡设备的配置方法及配置内容。
F5负载均衡配置手册F5负载均衡配置手册负载均衡器通常称为四层交换机或七层交换机。
四层交换机主要分析IP层及TCP/UDP层,实现四层流量负载均衡。
七层交换机除了支持四层负载均衡以外,还有分析应用层的信息,如HTTP协议URI或Cookie信息。
一、F5配置步骤:1、F5组网规划(1)组网拓朴图(具体到网络设备物理端口的分配和连接,服务器网卡的分配与连接)(2)IP地址的分配(具体到网络设备和服务器网卡的IP地址的分配)(3)F5上业务的VIP、成员池、节点、负载均衡算法、策略保持方法的确定2、F5配置前的准备工作(1)版本检查f5-portal-1:~# b versionKernel:BIG-IP Kernel 4.5PTF-07 Build18(2)时间检查--如不正确,请到单用户模式下进行修改f5-portal-1:~# dateThu May 20 15:05:10 CST 2004(3)申请license--现场用的F5都需要自己到F5网站上申请license3、F5 的通用配置(1)在安全要求允许的情况下,在setup菜单中可以打开telnet及ftp功能,便于以后方便维护(2)配置vlan unique_mac选项,此选项是保证F5上不同的vlan 的MAC地址不一样。
在缺省情况下,F5的各个vlan的MAC地址是一样的,建议在配置时,把此项统一选择上。
可用命令ifconfig –a来较验。
具体是system/Advanced Properties/vlan unique_mac(3)配置snat any_ip选项选项,此选项为了保证内网的机器做了snat后,可以对ping的数据流作转换。
Ping是第三层的数据包,缺省情况下F5是不对ping的数据包作转换,也就是internal vlan的主机无法ping external vlan的机器。
(注意:还可以采用telnet来验证。
如何创建网元目录目录1 创建外购件网元――F5 BIG-IP负载均衡器 ............................................................................. 1-21.1 组网图....................................................................................................................................................... 1.1-21.2 创建过程简介........................................................................................................................................... 1.2-21.3 准备工作................................................................................................................................................... 1.3-31.3.1 设备侧 .......................................................................................................................................... 1.3.1-31.3.2 I2000网管侧 ................................................................................................................................. 1.3.2-31.4 创建步骤................................................................................................................................................... 1.4-31.4.1 配置设备的SNMP Agent ............................................................................................................ 1.4.1-31.4.2 在I2000客户端创建网元 ........................................................................................................... 1.4.2-71.4.3 正确性检查................................................................................................................................... 1.4.3-81.5 常见问题处理........................................................................................................................................... 1.5-91.5.1 创建网元时系统提示无法连接设备........................................................................................... 1.5.1-91.5.2 创建设备成功,但收不到设备的告警信息............................................................................... 1.5.2-91 创建外购件网元――F5 BIG-IP负载均衡器本文描述了将一个F5接入网管的过程,通过创建网元操作使设备在I2000的拓扑视图中正常显示,且能够接受I2000的管理。
BIG-IP LTM 标准配置文档Hangzhou DigitalChinaChen Jun2008-6-9目录一、设备配置准备工作 (3)1.设备硬件环境准备 (3)2.工作站F5设备连接 (4)二、网络基础配置 (7)1.激活License (7)2.网络配置 (14)三、服务器负载均衡配置 (18)1.配置default_gateway_vs (18)2.针对服务建立相应VS (20)一、设备配置准备工作1.设备硬件环境准备1.BigIP 1500及随机器配置的电源线、Console线、网线等;2.工作站一台并且预装了下列软件工具:SSH工具软件如SecureCRT;SFTP工具软件如WinSCP;3.上网环境:需要上网激活F5设备;4.LTM实施完成后拓扑图:2.工作站F5设备连接1. 将Console 线连接工作站COM 口和F5的console 口,网线连接工作站网口和F5的MGMT网口。
2. 如果工作站使用“超级终端”,COM 口设置如下:如果工作站使用SecureCRT ,设置如下:3.F5的MGMT网口默认的IP地址为192.168.1.245/24,因此,配置工作站网口的地址为192.168.1.200/24,以便与F5设备连接;4.工作站上ssh工具如SecureCRT设置如下:二、网络基础配置1.激活License1.系统时间修改:使用超级终端或者SecureCRT登录F5 BIG-IP的console口,输入命令:[root@localhost:Active] config # date查看当前系统时间:如果系统时间正确,则不作修改,退出console;如果系统时间不正确,使用下面两条命令修改到正确的时间:[root@localhost:Active] config # date MMDDhhmmYYYY[root@localhost:Active] config # hwclock --systohc2.登录F5 BIG-IP LTM设备并输入key,获取dossior.do文件在工作站使用IE浏览器,输入https://192.168.1.245登录BIG-IP点击“是”确认证书。
