F5_負載詳細配置指導書V

1、.F5負載均衡器配置指導書V1F5負載均衡器配置指導書目 錄1F5負載均衡器簡介71.1負載均衡技術簡介71.2F5負載均衡產品介紹71.3幾個常用術語說明82BIG-IP配置步驟與規(guī)劃準備工作112.1BIG-IP配置步驟112.2準備要點112.3組網和IP地址規(guī)劃122.4BIG-IP接口編號說明133命令行進行SETUP配置143.1配置終端143.2啟動F5143.3輸入用戶名口令153.4設置終端類型163.5Setup初始化配置163.5.1提示系統(tǒng)License不存在163.5.2設置鍵盤類型173.5.3設置root密碼173.5.4設置主機名183.5.5雙機系統(tǒng)設置193

2、.5.6設置接口速率和雙工類型213.5.7配置VLAN和IP地址213.5.8添加接口到VLAN中243.5.9選擇VLAN IP地址與主機名關聯(lián)243.5.10配置默認網關253.5.11配置WEB訪問263.5.12配置SSH訪問283.5.13配置F5支持訪問293.5.14設置時區(qū)303.5.15配置NTP支持313.5.16配置DNS代理轉發(fā)313.5.17用戶認證配置313.5.18Setup配置完成324激活LICENSE334.1通過Web訪問BIG-IP334.2激活License步驟335系統(tǒng)時鐘更改376WEB CONFIGURATION UTILITY進行配置386.

3、1進入配置工具386.2配置VLAN和端口396.3配置VLAN IP地址396.4配置負載均衡池406.4.1配置池名、成員IP地址和負載均衡策略406.4.2會話保持配置416.5配置節(jié)點狀態(tài)監(jiān)控426.5.1自定義節(jié)點狀態(tài)監(jiān)控436.5.2監(jiān)控與節(jié)點相關聯(lián)446.6配置虛擬服務器456.6.1創(chuàng)建虛擬服務器456.6.2虛擬服務器屬性修改配置466.6.3檢查系統(tǒng)狀態(tài)486.7配置SNAT496.7.1配置步驟496.7.2驗證SNAT配置517雙機配置547.1注意事項547.2初始化后配置步驟557.3上行連接的監(jiān)控設置558附錄A 常見問題說明578.1BIG-IP單機或兩臺雙機系

4、統(tǒng)處于Standby狀態(tài)，為什么？578.2BIG-IP系統(tǒng)root密碼忘記了，如何恢復？578.3默認的用戶名和口令不安全，如何添加新用戶或修改現(xiàn)有用戶？588.4BIG-IP系統(tǒng)如何進行配置備份和恢復？598.5SSH訪問具有密碼加密傳輸?shù)膬?yōu)點，請問從哪里獲取SSH客戶端？598.6網絡設備通常有收集系統(tǒng)信息的宏命令，F(xiàn)5有沒有相應命令？608.7如何使用TCPDUMP進行Troubleshooting？608.8如何實時監(jiān)視BIG-IP的連接狀態(tài)？62關鍵詞Key words：負載均衡池、虛擬服務器，節(jié)點、會話保持、監(jiān)控、ECV、EAV、SNAT摘 要Abstract：按照常見的配置步驟

5、，本文對F5 BIG-IP負載均衡器設備配置進行說明，并對負載均衡器的基本概念和F5設備使用過程中遇到的常見問題進行解答?？s略語清單List of abbreviations：.ECVExtended Content Verification l可擴展的內容驗證EAV Extended Application Verification可擴展的應用驗證SNATsecure network address translation安全網絡地址轉換1 F5負載均衡器簡介1.1 負載均衡技術簡介隨著業(yè)務與軟件產品與IP網絡關系愈加密切，業(yè)務平臺提供的性能以及可靠性是電信級應用的關鍵因素。業(yè)務與軟件產品中

6、Portal、WAP網關、彩鈴和MMS等業(yè)務直接通過Internet提供網絡服務。由于Internet對業(yè)務服務訪問具有不可預知性，傳統(tǒng)的服務器提供大量并發(fā)服務已經面臨處理能力和I/O性能的瓶頸，當業(yè)務超過已經界限將會出現(xiàn)“Server Too Busy”乃至服務器宕機等問題。針對單臺服務器有限的性能存在瓶頸的情況，負載均衡器通過負載均衡機制將所有請求平均分配到多臺節(jié)點服務器，使得系統(tǒng)業(yè)務處理能力大大提升。此外，負載均衡器還能監(jiān)控服務器節(jié)點的可用性，其中某一臺服務器故障時，能將訪問請求轉移到其它可以正常工作的服務器。負載均衡器通常稱為四層交換機或七層交換機。四層交換機主要分析IP層及TCP/U

7、DP層，實現(xiàn)四層流量負載均衡。七層交換機除了支持四層負載均衡以外，還有分析應用層的信息，如HTTP協(xié)議URI或Cookie信息。1.2 F5負載均衡產品介紹目前F5負載均衡器有BIG-IP 1000、 BIG-IP 2400、BIG-IP 5000三個型號。BIG-IP 24002400D44 PlatformMRA II16 10/1002 Fiber GB1 x 1.26 GHz PIII512 MB Memory512 Flash1 SSL Chip (up to 2000 TPS)PMC slot for FIPS SSLBIG-IP 1000 1000D39 Platform8 10

8、/1001 Gb1 x 1 GHz512 MB Memory512 Flash1 SSL Chip (up to 2000 TPS)0 TPS factoryBIG-IP 50005100D51 Platform2Gb/s2x 1.26 Ghz PIII24 10/1004 Fiber GB1 GB Memory512 Flash1 SSL Chips* (up to 4,000 TPS)PMC slot for FIPS5110Everything the 5100 has except4 Copper GB replace Fiber GB三個型號的配置如下：BigIP 1000BigIP

9、 2400BigIP 5000（5100/5110）最大連接數(shù)4,000,0004,000,0004,000,000空間占用2U2U2U冗余電源支持支持支持網絡接口1x1000 BASE-SX8x10/100 BASE-TX2x1000 BASE-SX16x10/100 BASE-TX4x1000 BASE-SX24x10/100 BASE-TXCPUPIII 1.0 GHz x 1PIII 1.26 GHz x 1PIII 1.26 GHz x 2MEM (STD/MAX)512 M/2G512 M/2G1G/2GStorage 512 MB Compact Flash512 MB Comp

10、act Flash512 MB Compact FlashSSL 芯片1x SSL chip1x SSL chip2x SSL chip免費SSL hand-shakes per second100 TPS100 TPS100TPS軟件模塊升級支持支持支持1.3 幾個常用術語說明在使用F5 BIG-IP負載均衡器時，大家經常對設備配置和維護覺得無從下手干著急。為了讓大家對BIG-IP負載均衡器有更深入的了解，本文對BIG-IP負載均衡器常用術語進行介紹。Ø 負載均衡池（Pool） 負載均衡池是根據(jù)負載均衡策略接收數(shù)據(jù)流量的一組設備。池與特定虛擬服務器相關聯(lián)，流向虛擬服務器的流量通常會

11、轉給相關聯(lián)的負載均衡池中的成員節(jié)點。池可以執(zhí)行負載均衡操作，比如發(fā)送流量到池中的指定節(jié)點或定義會話保持方式。Ø 虛擬服務器（Virtual Server） 虛擬服務器是一個可PING的虛擬IP地址和服務端口的組合（比如0:http），虛擬服務器與負載均衡池（Pool）相對應，負載均衡池由一或多個節(jié)點（Node）組成。Ø 節(jié)點狀態(tài)監(jiān)控（Monitor） 節(jié)點狀態(tài)監(jiān)控用于檢驗負載均衡池中成員節(jié)點的連接和服務信息，包括節(jié)點健康監(jiān)控和性能監(jiān)控，當池中成員節(jié)點性能下降時BIG-IP系統(tǒng)將會把流量重定向到其它節(jié)點。Ø 節(jié)點（Node） 節(jié)點是處理負載

12、均衡器發(fā)送流量的設備，通常是業(yè)務服務器。當服務器加入負載均衡池成為池成員時，服務器就稱為節(jié)點。Ø 會話保持(Persistence) 會話保持就是指在負載均衡器可以識別做客戶與服務器之間交互過程的關聯(lián)性的機制。在對會話實現(xiàn)負載均衡的同時，負載均衡器還確保一系列相關聯(lián)的訪問請求會保持分配到一臺服務器上。Ø SNAT（安全網絡地址轉換，secure network address translation） SNAT與跟Cisco/NetScreen PAT（端口地址轉換）方式類似，多個節(jié)點共享同一IP地址實現(xiàn)對外部網絡的訪問。 Ø ECV（可擴展的內容驗證，Exten

13、ded Content Verification） ECV用于節(jié)點狀態(tài)監(jiān)控。ECV監(jiān)控通過發(fā)送和接收協(xié)議指令來獲取節(jié)點服務內容信息，從而實現(xiàn)對節(jié)點的監(jiān)控。ECV監(jiān)控服務包括HTTP、HTTPS和TCP，比如，ECV通過“GET /”操作來獲取HTTP服務的主頁面信息來驗證節(jié)點服務的狀態(tài)。Ø EAV（可擴展的應用驗證，Extended Application Verification） EAV用于節(jié)點狀態(tài)監(jiān)控。EAV監(jiān)控通過運行服務檢查程序來驗證應用的狀態(tài)。EAV監(jiān)控服務包括FTP、POP3、SMTP、SQL、NNTP、IMAP、LDAP和RADIUS，比如，EAV通過指定用戶名、口令

14、和獲取文件路徑實現(xiàn)FTP監(jiān)控。Ø VLAN Tag 在講述VLAN Tag之前必須要了解IEEE 802.1Q。IEEE 802.1Q在以太網幀頭部插入4個字節(jié)，其中12位表示VLAN ID。接口配置為Untagged，接口發(fā)送幀時將802.1Q頭部去掉，還原為標準以太網幀，這樣幀就可以被不支持802.1Q的主機或交換機接收。Untagged接口只能支持一個VLAN。接口配置為Tagged，接口收發(fā)幀時包含802.1Q頭部。Tagged接口支持多個VLAN，幀中Tag標識所屬VLAN。2 BIG-IP配置步驟與規(guī)劃準備工作2.1 BIG-IP配置步驟BIG-IP主要配置步驟如下：1.

15、 組網和IP地址/命名規(guī)劃2. 命令行進行Setup初始化配置3. 激活License4. 更改系統(tǒng)時鐘（可選）5. 配置網絡VLAN和IP地址6. 配置負載均衡池7. 配置節(jié)點狀態(tài)監(jiān)控8. 配置虛擬服務器9. 配置SNAT10. 配置雙機注：本配置步驟為常見配置順序，并非為唯一配置方式，比如Setup初始化配置也可以通過Web界面進行配置。本文沒有包括過濾和SSL Proxy等配置。主用BIG-IP系統(tǒng)要完成以上所有配置步驟，備用BIG-IP系統(tǒng)可以跳過5-9步，而通過主用BIG-IP系統(tǒng)將配置同步到備用BIG-IP系統(tǒng)中去。2.2 準備要點在安裝BIG-IP系統(tǒng)之前，請檢查如下準備工作是否

16、做好：Ø 設備物理連接規(guī)劃。Ø IP地址規(guī)劃，根據(jù)實際需要劃分網段和分配IP地址，通常網絡設備IP地址為網絡中最大IP地址（默認網關使用最大IP地址），往下遞推；主機設備從網絡中最小IP地址往上遞推進行分配。ü BIG-IP外部VLAN需要3個IP用于冗余BIG-IP配置。ü 每一個VIP（虛擬IP地址）或NAT需要一個外部VLAN IP。ü BIG-IP內部VLAN需要3個IP用于冗余BIG-IP配置。ü BIG-IP內部每個節(jié)點需要一個內部VLAN IP。 Ø 確定BIG-IP主機域名，并且確保BIG-IP雙機主機名不一

17、樣。2.3 組網和IP地址規(guī)劃本文主要給出BIG-IP系統(tǒng)配置使用的指南，具體配置說明不一定跟本實例有關，本例目的主要對實際組網歸檔交付提供參考。組網和IP地址規(guī)劃舉例如下圖所示：IP地址和物理端口分配如下表所示：單元號主機名VLAN端口端口對端描述IP地址浮動IP地址1f5-external1.1外部vlan交換機6/278internal1.3, 1.4服務器主網卡2/274tagged1.8級聯(lián)備用F5-2f5-external1.1外部vlan交換機6/27172.16.96.

18、28internal1.3, 1.4服務器備網卡2/274tagged1.8級聯(lián)主用F5-VIP VIP即虛擬服務器（Virtual Server）IP地址與成員信息表如下：VIP號VIP IP地址VIP端口成員池名成員節(jié)點IP地址成員節(jié)點端口映射方式180web_pool580SNAT62.4 BIG-IP接口編號說明F5接口槽位號編號遵循由上到下，然后由左到右規(guī)則。BIG-IP第一槽位為8端口快速以太網接口，2槽位為1端口千兆網接口，3槽位為管理接口。具體編碼如下圖：注：因為BIG

19、-IP的接口與VLAN分配相關，網線連接接口位置不能隨意更改，否則可能導致網絡無法連接。3 命令行進行Setup配置本文以BIG-IP 1000為例講解整個配置過程，基本上講解了BIG-IP整個配置過程。3.1 配置終端使用超級終端建立一個連接，通過Console電纜一端連接BIGIP，一端連接COM，COM的參數(shù)設置：串口設置：19200，8-N-1設置串口的終端仿真為 VT100，如圖：3.2 啟動F5啟動F5，超級終端顯示如下：System is booting, Please wait .loading /bootpress ESC to boot now, any other key

20、 to interrupt boot sequence 4 3 2 1 0 設備內存信息basemem = 636K, extmem = 523264K, total 524288KChecking for ACPI PM SUPPORT. Not presentChecking for APM BIOS. APM V1.2 found.Copyright (c) 1996-2003F5 Networks, Inc. All rights reserved. 設備版本號BIG-IP Kernel 4.5PTF-07 Build18Hardware Configuration: . 設備CPU、

21、內存、網絡接口等硬件信息CPU: Pentium III (Coppermine) (996 MHz)Memory: 512 MBCrypto Processors: 1 x BCM5822Network Interfaces: 3.1 00:01:d7:21:c1:80 (exp0) ether 100BaseTX 10BaseT 2.1 00:01:d7:21:c1:ba (bsg2) ether 1000Mbps 1.1 - 1.8 (bs) ether 100BaseTX 10BaseTOther Devices:.Setup default configuration.Default

22、 configuration complete.IP 45 configured on vlan admin port 3.1默認管理IP地址。為了允許遠程連接使用Setup配置工具，BIG-IP定義兩個預定義IP地址，優(yōu)選默認IP地址為45。如果優(yōu)選地址存在地址沖突，BIG-IP將使用備選IP地址45。default.* PRODUCT IS UNLICENSED *第一次使用F5設備，License還沒有被激活的提示消息。BIG-IP必須激活License后才能正常使用。sod bigstpd big3d bigd sf

23、d slapd ipfw rateclass ratefilt ntpdate 3.3 輸入用戶名口令BIG-IP 4.5PTF-07 (default) (console)login:輸入用戶“root”和默認密碼“default”，回車。注：基于CLI訪問F5的默認用戶名為“root”，口令為“default”?；贖TTPS訪問的默認用戶名為“admin”，口令為“admin”。在業(yè)務系統(tǒng)中務必更改默認用戶名和口令。3.4 設置終端類型Copyright 1992, 1993, 1994, 1995, 1996, 1997 Berkeley Software Design, Inc.Co

24、pyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 The Regents of the University of California. All rights reserved. 省略輸出信息Terminal type? vt100缺省的終端類型為vt100，回車3.5 Setup初始化配置缺省的主機名字是：default,在提示符下面輸入命令：config，回車：說明：第一次運行config或setup命令將進入setup命令界面。Setup工具可以實現(xiàn)逐步配置root密碼、BIG-IP主機名、接口和遠程管理等。defau

25、lt:# config3.5.1 提示系統(tǒng)License不存在第一次運行，提示系統(tǒng)License不存在信息B I G - I P L I C E N S E P R O B L E M There is no active license on this system. To activate your license, run the 'setup' command again after this configuration and choose the 'License Activation' menu item, or exit from this pr

26、ogram now and run the 'license' command. Exit now? (Y/N): n 按“n”鍵進入License Agreement窗口，按回車鍵繼續(xù)，并選擇Yes, I Agree To This License。根據(jù)系統(tǒng)提示，繼續(xù)執(zhí)行配置步驟直至正式進入Setup Utility。C O N F I G U R A T I O N Setup Utility Welcome to BIG-IP. Before using your BIG-IP, you will have to configure many services and v

27、alues including: the root password, BIG-IP hostname, interface cards, shared interfaces (if any), and remote administration tools. This utility will take you through the process step-by-step. Press ctrl-E to exit and configure manually press any other key to continue 注意：進入BIG-IP Setup工具模式后，無法退出和配置回滾

28、，必須一步一步配完。3.5.2 設置鍵盤類型進入Setup界面后，第一步工作是設置鍵盤類型，默認使用US - Standard 101 key，回車。S E T K E Y B O A R D T Y P E Choose your keyboard type from the list below. Belgian Bulgarian MIK French German Japanese - 106 key Norwegian Spanish Swedish US + Cyrillic US - Standard 101 key United Kingdom 3.5.3 設置root密碼設置

29、root密碼。輸入root密碼后，BIG-IP重新提示輸入密碼。如果前后輸入密碼匹配，系統(tǒng)立即保存密碼。如果密碼不一致，Setup工具提供錯誤消息并提示重新輸入密碼。S E T R O O T P A S S W O R D New Root Password: You need to set the root password on your BIG-IP. If you have purchased a redundant BIG-IP system, the root password on both boxes must be the same. Your input will not

30、 echo on this page. 注：root密碼允許用戶通過命令行訪問BIG-IP系統(tǒng)。建議root密碼長度大于6位，但不要超過32位字節(jié)。密碼與大小寫敏感，建議密碼中包含大寫/小寫字母和特殊字節(jié)（比如，!#$%&*）。如果BIG-IP系統(tǒng)為冗余系統(tǒng)，兩臺主備機的root密碼必須保持一致。3.5.4 設置主機名S E T B I G - I P H O S T N A M E Enter BIG-IP FQDN : f5- The FQDN (Fully Qualified Domain Name) identifies this BIG-IP controller. Exam

31、ple: .注：主機名用來標識BIG-IP系統(tǒng)自身。主機名必須符合DNS域名標準。主機部分必須以字母開始，并至少為2個字符。舉例：f5-。警告：BIG-IP雙機系統(tǒng)的主機名必須不一樣，否則配置無法同步。警告：必須通過Setup工具來更改主機名，不得直接編輯/etc/hosts或用hostname命令更改主機名，否則會導致系統(tǒng)不可訪問。3.5.5 雙機系統(tǒng)設置配置完主機名之后，BIG-IP系統(tǒng)進入接口配置模式，包括VLAN、IP地址和雙機配置。如果工程中配置F5雙機系統(tǒng)unit ID（通常為1或2）、fail-over IP地址和fail-over類型。如果BIG-IP系統(tǒng)為雙機，選擇Yes,

32、it is a redundant BIG-IP system，否則選擇No, it is not a redundant BIG-IP system。C O N F I G U R E B I G - I P I N T E R F A C E S Is this a redundant BIG-IP system? Yes, it is a redundant BIG-IP system No, it is not a redundant BIG-IP system 若不選擇為雙機系統(tǒng)，則跳過下列步驟：A. 設置Unit ID。通常主用系統(tǒng)Unit ID為1，備用系統(tǒng)Unit ID為2。C

33、 O N F I G U R E B I G - I P I N T E R F A C E S Enter the unit identifying number for this BIG-IP. This must be a unique number for each BIG-IP. For example, if this is the second BIG-IP you have configured, enter a '2' below. If it is the first, enter a '1', which is the default. U

34、nit Number: 1 B. 設置Failover IP。通常為備用BIG-IP系統(tǒng)內部接口Self-IP地址。本例中使用Portal VLAN的備用BIG-IP系統(tǒng)IP地址。C O N F I G U R E B I G - I P I N T E R F A C E S Enter the unit identifying number for this BIG-IP. This must be a unique number for each BIG-IP. For example, if this is the second BIG-IP you have configured,

35、enter a '2' below. If it is the first, enter a '1', which is the default. Unit Number: 2 What is the IP address of the failover system? This will typically be the IP of an internal interface on the redundant controller. Failover IP: 3 C. 設置Fail-over類型。本例中選擇Hardwired，F(xiàn)ail-o

36、ver通過雙機系統(tǒng)連接Failover線纜來實現(xiàn)，請確保雙機之間有Failover線纜。我們還可以選擇Network作為Fail-over類型，這時Failover心跳和同步方式將通過網絡實現(xiàn)。BIG-IP系統(tǒng)支持MDI/MDI-X自適應，BIG-IP系統(tǒng)之間接口既可以通過直連網線也可以通過交叉網線對接。C O N F I G U R E B I G - I P I N T E R F A C E S Enter the unit identifying number for this BIG-IP. This must be a unique number for each BIG-IP. For example, if this is the second BIG-IP you have configured, enter a '2' below. If it is the first, enter a '1', which is the default. Unit Number: 2 What is the IP address of the failover system? This will typically be the IP of a