F詳細(xì)配置手冊(cè)

1、F5 BIG-IP 負(fù)載均衡器配置指導(dǎo)書目錄SP1SP2移動(dòng)兩套夢(mèng)網(wǎng)網(wǎng)關(guān)組網(wǎng)圖、網(wǎng)絡(luò)結(jié)構(gòu)與 IP 地址規(guī)劃本手冊(cè)以移動(dòng) WAP/ 彩信網(wǎng)關(guān)為例 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示：防火 墻 N204External VLAN負(fù)載 均衡器 F5ISMGInternal VLANSMSC1SMSC2SMSCn整個(gè)數(shù)據(jù)網(wǎng)絡(luò)設(shè)機(jī)備房，1采用兩臺(tái)防火墻、兩臺(tái)消除單點(diǎn)HUA故WE障I TE。CHNOLOGIES Co., Ltd.HUAWEI Confidential光纖光纖BIG-IP 340機(jī)0房2負(fù)載均衡器、及兩臺(tái)交換機(jī)、網(wǎng)絡(luò)設(shè)備都采用主、備設(shè)備，以實(shí)現(xiàn)設(shè)備、鏈路的冗余備份，以Page 1這里部署負(fù)載均衡器的目

2、的主要是為了增加服務(wù)器的數(shù)量，以提升系統(tǒng)的處理能力。但對(duì)外仍然是一個(gè) IP 地址。 相關(guān)的 IP 地址規(guī)劃如下：注：以上的 IP地址規(guī)劃是測(cè)試環(huán)境的 IP地址設(shè)置，需要根據(jù)現(xiàn)網(wǎng)環(huán)境中的 IP 地址規(guī)劃進(jìn)行修改。BIG-IP 3400-1VIP08對(duì)外的虛擬 IP 地址SNAT IP08SNAT 地址（指向 PORTAL ）External Share IP/24同第一層防火墻 trust 同一 VLANExter vlan self IP/24同第一層防火墻 trust 同一 VLANInternal Share IP

3、1同第二層防火墻 Untrust 一 VLANInternal vlan self ip 1同第二層防火墻 Untrust 一 VLANBIG-IP 3400-2VIP08SNAT IP08External vlan Share ip/24External vlan self ip/24Internal Share IPvlan self ip注：建議現(xiàn)場(chǎng)工程師先填寫以下規(guī)范表：序號(hào)項(xiàng)目F5-3400-1 參數(shù)F5-3400-2 參數(shù)建議值備注系統(tǒng)參數(shù)主機(jī)名root 用戶密碼defaultdefaultAdmin 用戶

4、密碼adminadminWeb連接方式HTTPSHTTPS命令行連接方式SSH/consoleSSH/console網(wǎng)管服務(wù)器 IP系統(tǒng)管理 IP系統(tǒng)管理 IP 地址掩碼網(wǎng)關(guān)端口參數(shù)Ethernet 端 口 描 述（ trunk ）Ethernet 端 口 描 述（ trunk ）Admin 帶外管理端口描述trunk 模式Trunk 配置Trunk 10Trunk 30防火墻互聯(lián)vlan 號(hào)10vlan 描述TO-FW本機(jī) IP 地址虛擬 IP 地址防火墻虛擬 IP 地址F5 HA 配置方式ActiveStandbyF5 Fail-Safe 模式Gateway Fail-SafeGatewa

5、y Fail-safe 模 式分別由兩臺(tái) F5 設(shè)備 監(jiān)測(cè)前端的防火墻地 址，如果出現(xiàn)無(wú)法連通 防火墻地址則進(jìn)行切 換。F5 Fail-safe ActionFail Over進(jìn)行主備切換服務(wù)器互聯(lián)vlan 號(hào)30vlan 描述TO-Server本機(jī) IP 地址虛擬 IP 地址F5 HA 配置方式ActiveStandbyF5 Fail-Safe 模式VLAN Fail-safeGateway Fail-safe 模 式分別由兩臺(tái) F5 設(shè)備 監(jiān)測(cè) VLAN 流量，發(fā)現(xiàn) VLAN失效時(shí)進(jìn)行切換。F5 Fail-safe ActionFail Over進(jìn)行主備切換SNAT地址SNAT 后地址路由

6、設(shè)置Default Gateway（Juniper 防火墻地址 ）、配置 BIGIP3400 負(fù)載均衡設(shè)備本章將主要描述 BIGIP3400 負(fù)載均衡設(shè)備的配置方法及配置內(nèi)容。旁路 /直連的選擇2.1.1 路由 /直連模式的介紹網(wǎng)絡(luò)連接的物理結(jié)構(gòu)如下結(jié)構(gòu)：典型的結(jié)構(gòu) 路由 /直連Server PoolSwitchBigipIp 規(guī)劃說(shuō)明：圖中 bigip 為負(fù)載均衡交換機(jī)， bigip 上面使用公開(kāi)的 ip 地址， bigip 下面 同負(fù)載均衡的服務(wù)器使用不公開(kāi)的 ip 地址。但對(duì)外提供服務(wù)則使用公開(kāi)的ip。2.1.2 旁路模式的介紹 網(wǎng)絡(luò)連接的物理結(jié)構(gòu)如下結(jié)構(gòu)：bigip 和負(fù)載均衡的服務(wù)器

7、均使用公開(kāi)的ip典型的結(jié)構(gòu) -旁路Ip 規(guī)劃說(shuō)明： 圖中 bigip 為負(fù)載均衡交換機(jī)， 地址。2.1.3 路由 /直連模式同旁路模式的比較 （ 1 ）流量走向不一樣； 路由 /直連模式的流量走向如下：直連結(jié)構(gòu)下正常流量走向Server Pool如上圖， bigip 同客戶端的流量在 bigip 的上聯(lián)接口， bigip 同服務(wù)器的流量在下面的接Bigip口。旁路模式的流量走向如下：旁路結(jié)構(gòu)下正常流量走向SwitchBigipServer Pool如上圖， bigip 無(wú)論同客戶端還是同服務(wù)器的通訊流量均在 bigip 的一個(gè)接口上。（2）接口流量壓力不一樣見(jiàn)圖：路由 /直連情況下， bigi

8、p 同客戶端的流量在 bigip 的上聯(lián)接口， bigip 同服務(wù)器的流量在 下聯(lián)的接口，故 bigip 單一接口壓力較小。在旁路模式 , bigip 無(wú)論同客戶端還是同服務(wù)器的通訊流量均在 bigip 的一個(gè)接口上，故 bigip 單一接口壓力較大。為解決此問(wèn)題，可以在 bigip 和交換機(jī)之間采用鏈路聚合技術(shù)，即 端口捆綁，以避免接口成為網(wǎng)絡(luò)瓶頸。（ 3）網(wǎng)絡(luò)結(jié)構(gòu)的安全性不一樣 路由 /直連情況下，可以不公布服務(wù)器使用的真實(shí)ip 地址，只需要公布提供負(fù)載均衡的虛擬地址即可，而在旁路情況下，則客戶端可以得知服務(wù)器的真實(shí)地址，在此模式下，為保 證服務(wù)器的安全性，服務(wù)器的網(wǎng)關(guān)指向 bigip ，

9、可以使用 bigip 上的包過(guò)濾（防火墻）功能來(lái) 保護(hù)服務(wù)器。（4）對(duì)后端服務(wù)器的管理方便性不一樣路由 /直連情況下， 因服務(wù)器的真實(shí)地址可以隱含， 故管理起來(lái)需要在 bigip 上啟用地址 翻譯（ NAT ）功能，相對(duì)會(huì)復(fù)雜一些。而旁路模式則不需要地址翻譯的配置。（ 5）前者不支持 npath 模式（見(jiàn)后圖） ，后者支持 npath 模式，啟用該模式可見(jiàn)少 F5 設(shè)備的 壓力旁路結(jié)構(gòu) npath 模式下流量走向Bigip見(jiàn)上圖，在旁路模式下，使用 npath 的流量處理方式，所有服務(wù)器回應(yīng)的流量可以不通 過(guò) bigip ，這樣可以大大減少流量的壓力。但 npath 的流量處理方式不能工作路由

10、 / 直連的模式。（6）在對(duì)原有系統(tǒng)做負(fù)載均衡技術(shù)改造時(shí)，兩種模式的工作復(fù)雜程度不一樣 如果對(duì)原有沒(méi)有負(fù)載均衡技術(shù)的系統(tǒng)進(jìn)行負(fù)載均衡技術(shù)的改造，那么，在路由/直連情況下，需要修改服務(wù)器的 ip 地址同時(shí)網(wǎng)絡(luò)結(jié)構(gòu)也要做調(diào)整（將服務(wù)器調(diào)到 bigip 后端），同 時(shí)相關(guān)聯(lián)的應(yīng)用也要改動(dòng)，需要進(jìn)行嚴(yán)格的測(cè)試才能上線運(yùn)行；然而，在旁路模式下，僅僅 需要改動(dòng)一下服務(wù)器的網(wǎng)關(guān)， 原有系統(tǒng)的其它部分 （包括網(wǎng)絡(luò)結(jié)構(gòu)） 基本不需要做改動(dòng)， 故， 前者對(duì)系統(tǒng)改動(dòng)較大，后者則改動(dòng)較小。對(duì)于電信項(xiàng)目來(lái)講，由直連改為旁掛方式主要帶來(lái)以下優(yōu)點(diǎn)：1、增加了網(wǎng)絡(luò)的靈活性：由于 F5 采用旁掛的方式，后端服務(wù)器的網(wǎng)關(guān)指向的為

11、三層交換 機(jī)的地址，而不是 F5 的地址，在對(duì)網(wǎng)絡(luò)設(shè)備維護(hù)時(shí)可以方便的采用修改路由的方式使 設(shè)備下線，便于維護(hù)管理。同時(shí)，一些特殊的應(yīng)用也可在核心交換機(jī)上采用策略路由的 方式指向特定的網(wǎng)絡(luò)設(shè)備。2、提高了網(wǎng)絡(luò)整體的可靠性：由于旁路方式的存在，如果F5 設(shè)備出現(xiàn)問(wèn)題，可在交換機(jī)上修改路由使用數(shù)據(jù)流繞過(guò) F5，而不會(huì)對(duì)整個(gè)業(yè)務(wù)系統(tǒng)造成影響。3、針對(duì)某些特殊應(yīng)用，提高了速度：采用旁路的方式后，一些特定的的對(duì)速度、時(shí)延敏感 的應(yīng)用數(shù)據(jù)在進(jìn)入和離開(kāi)時(shí)可以采用不同的路徑，例如：在流入時(shí)可經(jīng)過(guò) F5 設(shè)備，對(duì) 其進(jìn)行檢查，負(fù)載均衡。而在該數(shù)據(jù)流離開(kāi)時(shí)，則不經(jīng)過(guò) F5，以提高其速度。設(shè)置負(fù)載均衡器管理網(wǎng)口地址

12、F5 BIG-IP 3400 設(shè)備的面板結(jié)構(gòu)BIG-IP 3400 應(yīng)用交換機(jī)具備 8個(gè)10/100/1000M自適應(yīng)的網(wǎng)絡(luò)接口及二個(gè)光纖接 口.10/100/1000 interface 8個(gè)10/100/1000 M 自適應(yīng)的網(wǎng)絡(luò)接口Gigabit fiber interface 2 個(gè)1000M 多模光纖接口Serial console port 一個(gè)串口命令行管理端口Failover port 一個(gè)串口冗余狀態(tài)判斷端口。 Mgmt interface 一個(gè) 10/100M管 理端口注： 互為雙機(jī)的兩臺(tái) BIG-IP 必須用隨機(jī)附帶的 Failover 線相連起來(lái)。BIG-IP 上電開(kāi)機(jī)

13、以后， 首先需要通過(guò)機(jī)器前面板右邊的 LCD 旁的按鍵設(shè)置管理網(wǎng)口 （設(shè)備前 面板最左邊的網(wǎng)絡(luò)接口 ）的 IP 地址。管理網(wǎng)絡(luò)接口有一個(gè)缺省的 IP 地址，一般為。注： 管理網(wǎng)絡(luò)接口的 IP 地址不能與業(yè)務(wù)網(wǎng)絡(luò)在同一網(wǎng)段，根據(jù)業(yè)務(wù)網(wǎng)絡(luò)的地址劃分，相應(yīng) 的調(diào)整管理網(wǎng)絡(luò)接口的網(wǎng)絡(luò)地址。 如果，在 SMS 中負(fù)載均衡口的 external vlan 和 internal vlan 已經(jīng)采用了的網(wǎng)段，必須修改管理網(wǎng)口缺省的 IP 地址到另外一個(gè)網(wǎng)段。通過(guò) LCD 按鍵修改管理網(wǎng)口 IP 地址的方法如下：1、按紅色 X 按鍵進(jìn)入 Options 選項(xiàng)；2、在液晶面板上通過(guò)按鍵按以下順序設(shè)置管理網(wǎng)口的網(wǎng)絡(luò)

14、地址：Options->System->IP Address/Netmask->Commit如果通過(guò) LCD 按鍵修改完 IP 地址以后，選擇 Commit ，地址無(wú)法成功改變 （例如出現(xiàn) IP 地 址為全零的情況 ），很有可能是管理口 IP 地址與系統(tǒng)內(nèi)已經(jīng)配置發(fā)生沖突。出現(xiàn)這種情況， 關(guān)機(jī)重啟以后，另選一個(gè) IP 網(wǎng)段來(lái)設(shè)置管理網(wǎng)口地址。警告：在設(shè)置好網(wǎng)絡(luò)管理口地址以后，通過(guò)網(wǎng)絡(luò)登陸到 BIG-IP 上進(jìn)行其它配置更改時(shí)，都 要保證網(wǎng)絡(luò)管理口的網(wǎng)絡(luò)連接完好。否則有時(shí)會(huì)出現(xiàn)修改的配置無(wú)法被成功加載應(yīng)用的情 況，因?yàn)榫W(wǎng)絡(luò)管理口為 Down 的情況會(huì)妨礙配置文件的加載。登錄 B

15、IGIP 的 WEB 管理界面管理 BIGIP 有兩種方式 ,一種是基于 WEB 的 https 管理方式，另一種是基于 ssh 的命令行管 理方式。除特別配置外，采用 WEB 的管理方式即可。WEB 登錄方式如下： 1 在管理員的 IE地址欄內(nèi)輸入 BIGIP設(shè)備的 IP 地址，回車后出現(xiàn)系統(tǒng)警告信息點(diǎn)擊 Yes2 然后系統(tǒng)提示輸入基于 WEB 配置的用戶名和密碼。 目前的 admin 帳號(hào)的密碼為 admin激活 License在配置 BIG-IP 之前，先要激活 License 。從 System->License->Re-activate 進(jìn)入 License 激活界面：進(jìn)

16、入，將產(chǎn)生的 Dossier 復(fù)制進(jìn)以下頁(yè)面，產(chǎn)生 License 文件：注： root 密碼允許用戶通過(guò)命令行訪問(wèn) BIG-IP 系統(tǒng)。建議 root 密碼長(zhǎng)度大于 6 位，但不要超過(guò) 32 位字節(jié)。密碼與大小寫敏感，建議密碼中包含大寫/小寫字母和數(shù)字。如果 BIG-IP系統(tǒng)為冗余系統(tǒng)，兩臺(tái)主備機(jī)的 root 密碼必須保持一致。注： 如修改密碼，請(qǐng)確認(rèn)正確敲擊鍵盤上的鍵。 （有人敲錯(cuò)了鍵盤上的鍵，而導(dǎo)致無(wú)法找到新設(shè)置的密碼是什么。 ）BIG-IP 2 上的平臺(tái)通用屬性設(shè)置：3 輸入正確后即可進(jìn)入 BIGIP 的WEB 管理界面初始化設(shè)置2.5.1BIG-IP 1 上的平臺(tái) (Platform

17、) 通用屬性設(shè)置 進(jìn)入 System Platform注： 主機(jī)名用來(lái)標(biāo)識(shí) BIG-IP 系統(tǒng)自身。 主機(jī)名必須符合 DNS 域名標(biāo)準(zhǔn)。 主機(jī)部分必須以字 母開(kāi)始，并至少為 2個(gè)字符。舉例： 。警告： BIG-IP 雙機(jī)系統(tǒng)的主機(jī)名必須 不一樣 ，否則配置同步會(huì)產(chǎn)生錯(cuò)誤，可能導(dǎo)致破壞 license。例如負(fù)載均衡器 BIG-IP1 的主機(jī)名為 ISMG-LB01-F5 ， BIG-IP2 的主機(jī)名為 ISMG-LB02-F5 。Root 為命令行帳號(hào)， admin為WEB 管理的帳號(hào)。2.5.2 修改系統(tǒng)時(shí)間1. 用 PUTTY 或 Secure Shell Client 等 SSH 客戶端連

18、接 BIG-IP 的管理網(wǎng)口地址，進(jìn)入命 令行模式。注： Secure Shell Client 可以用以下鏈接下載：2. 執(zhí)行 date 檢查系統(tǒng)時(shí)鐘。rootZJHZ-PS-MMS3-SW02:Active config # dateThu May 25 16:59:15 CST 20063. 命令格式# date <month><day><hour><minute><year>.<second># date如設(shè)置 2009 年 1 月 1 日中午 12：00 ：00# date4. 保存時(shí)間到 BIOS# hwclo

19、ck systohc2.5.3 設(shè)置缺省管理權(quán)限策略在命令行運(yùn)行 b base list 命令，檢查初始化設(shè)置。如果 b base list 的輸出已經(jīng)有 self allow default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 一行，則進(jìn)入到 2.4.4。如果在 b base list 的輸出中發(fā)現(xiàn)有 self allow default none 一行，則運(yùn)行以下兩條命令： b self allow default tcp ssh tcp

20、 https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 b base save所后用命令 more /config/ 查看文件確認(rèn) self allow default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 已經(jīng)保存到文件中。2.5.4 重新啟動(dòng) bigip# reboot配置網(wǎng)絡(luò)層按照拓?fù)浣Y(jié)構(gòu)，對(duì) F5 BIGIP 的網(wǎng)絡(luò)層進(jìn)行配置

21、，劃分 vlan，定義 IP 地址及路由。2.6.1 劃分 vlanvlan 進(jìn)行配置。創(chuàng)建方法如下：點(diǎn)擊左側(cè)的導(dǎo)航條，進(jìn)入 Network VLANS ，在右側(cè)可以對(duì) 點(diǎn)擊 create:Name:設(shè)置這個(gè) vlan 的名字。 Tag:為相應(yīng) VLAN 的 VLAN IDInterface: 定義 Available 中顯示的端口有選擇性的劃分到這個(gè) 選入 Untagged 欄即可。點(diǎn)擊 完成。vlan 中。指定端口后，單擊VLAN ：根據(jù) SMS 的網(wǎng)絡(luò)規(guī)劃，負(fù)載均衡器上一共要定義了以下幾個(gè)注： external, ,internal 為業(yè)務(wù)流量 VLAN 。VLAN ID 應(yīng)與網(wǎng)絡(luò)規(guī)劃中

22、的 VLAN 一致。 注： netfailover VLAN 的端口為雙機(jī)網(wǎng)絡(luò)心跳接口，網(wǎng)絡(luò)心跳信號(hào)及雙機(jī)配置同步信息都是 通過(guò)這一網(wǎng)線傳輸， 因此要用網(wǎng)線將雙機(jī)的口對(duì)連起來(lái)。 VLAN ID 4094 為 BIG-IP 自動(dòng)生成 的。 （也可以指定 ）。注： 將和端口加入到 external VLAN 和 internal VLAN 主要是為了有時(shí)候可以將筆記本接在 相應(yīng) VLAN 進(jìn)行測(cè)試，而不受 BIG-IP 與交換機(jī)之間網(wǎng)絡(luò)連接的影響。2.6.2 定義 IP 地址 在劃分完 Vlan 后，即可對(duì)每個(gè) vlan 進(jìn)行 IP 地址的定義。方法如下： 點(diǎn)擊左側(cè)導(dǎo)航條中的 Networks &

23、gt;self Ips在右側(cè)可以對(duì) Ip 地址進(jìn)行配置。創(chuàng)建方法如下： 點(diǎn)擊 Create:IP address:輸入 IP 地址Netmask: 輸入子網(wǎng)掩碼Vlan ：選擇將這個(gè) IP 地址綁定在哪個(gè) vlan 上。選擇下拉菜單將顯示所有已設(shè)置的 vlan 名。 Port Lockdown: 保持默認(rèn)值 Allow Default 。Floating IP: 如果系統(tǒng)為冗余工作方式，需對(duì)每臺(tái)設(shè)備的每個(gè) vlan 均設(shè)置兩個(gè) IP 地址。其中 一個(gè)是 self IP, 另一個(gè)則為 floating IP, 即兩臺(tái)設(shè)備共用的 IP 地址。選中此項(xiàng)即代表這個(gè) IP 地 址為 Floating I

24、P 。按照網(wǎng)絡(luò)的規(guī)劃， IP 地址定義如下：SMS BIG-IP 3400應(yīng)用交換機(jī) VLAN與IP 地址規(guī)劃(BIG-IP 3400-1)NameVLAN NameVLAN IDSelf IPFloating IPExternal20/24/24Internal103400-2)NameVLAN NameVLAN IDSelf IPFloating IPExternal20/24/24Internal10其中， MGMT 是 BIG-IP 的管理網(wǎng)口， BIG IP1 的管理網(wǎng)口 IP 地址為管理網(wǎng)口的 IP 地址BIG

25、IP1 的 SELF IP 配置如下：注： 以下拷屏只是展示如何通過(guò) WEB 界面進(jìn)行相應(yīng)的配置，其中的 IP 地址不一定正確， 請(qǐng)根據(jù)實(shí)際情況的 IP 地址劃分進(jìn)行配置。其中 Unit ID 不為零的為 Floating IP.Floating IP 設(shè)置要打上勾。 BIGIP2 的 SELF IP 配置如下：BIG IP2 上不需要配置 Floating IP ，因?yàn)?FloatingIP 可以從 BIG-IP1 上同步過(guò)來(lái)2.6.3 配置路由點(diǎn)擊左側(cè)導(dǎo)航條中的 Networks >Routes Add 對(duì)路由進(jìn)行配置Type:定義配置的是默認(rèn)網(wǎng)關(guān)還是靜態(tài)路由。Destination

26、: 定義目標(biāo)網(wǎng)段Netmask: 定義目標(biāo)網(wǎng)段的掩碼 Resource:定義網(wǎng)關(guān)地址 點(diǎn)擊 完成。按照用戶的需求，缺省路由是第一層防火墻 Trust 口的雙機(jī)共享地址 54另外， 還需要增加一個(gè)靜態(tài)路由， 即到機(jī)房二的數(shù)據(jù)包的下一跳指向機(jī)房一中第二層防火墻 的 Untrust 區(qū)雙機(jī)共享地址。配置雙機(jī)設(shè)置 (High Availability)High Availability 就是雙機(jī)冗余 （ Cluster），要求兩臺(tái) BIGIP 的版本相同。 配置方法如下：2.7.1 配置 Redundant Pair 的 IP 地址首先，確認(rèn) BIG IP 已經(jīng)轉(zhuǎn)換為雙機(jī)模式。在 W

27、EB 頁(yè)面的左側(cè)導(dǎo)航條選擇 SYSTEM Platform把 Hith Availability 設(shè)置中應(yīng)選擇為 Redundant Pair 模式。 其中 BIG-IP1 的 Unit ID 為 1，BIG-IP2 的 Unit ID 為 2。 然后，在 WEB 頁(yè)面的左側(cè)導(dǎo)航條選擇 SYSTEM Hith Availability BIG-IP1 的設(shè)置如下：BIG-IP2 的設(shè)置如下Primary Failover Address 輸入兩臺(tái) BIGIP 的 Netfailover VLAN Self IP 地址：BIG-IP1 的 Self IP 為 Peer IP為的 Self IP

28、為 Peer IP為 Failover Address輸入兩臺(tái) BIGIP 的 Internal VLAN Self IP 地址。BIG-IP1 的 Self IP 為 Peer IP 為的 Self IP 為 Peer IP 為 Mode 選擇 Active/Standby 模式 并 Enable Network Failover 選項(xiàng)。其他參數(shù)保持默認(rèn)值。2.7.2 配置雙機(jī)自動(dòng)切換機(jī)制 FailSafe 配置Failsafe 設(shè)置在滿足某些條件的時(shí)候，觸發(fā) BIGIP 發(fā)生切換。根據(jù)彩鈴 5 期的要求，配置了 VLANs 的 FailSafe 配置，當(dāng)處于 Active 狀態(tài)的 BIGI

29、P 的 internal 和 external 兩個(gè) VALN 在設(shè) 定的時(shí)間內(nèi)沒(méi)有任何流量，自動(dòng)切換到備機(jī)。警告： 在沒(méi)有完成 External VLAN 和 Internal VLAN 的網(wǎng)絡(luò)接線之前，不要啟用自動(dòng)切換機(jī)制。對(duì) External VLAN 和 Internal VLAN 啟用基于 VLAN 監(jiān)控的自動(dòng)切換機(jī)制，步驟如下：在 WEB 頁(yè)面的左面導(dǎo)航界面選擇 :SYSTEM High Availability Fail-safe點(diǎn)擊“ Add ”按鈕VLAN ：選擇監(jiān)控的 VLANTimeout :默認(rèn)值是 90秒，一般改為 30 秒其中 Action 選用 Fail Over

30、 方式，而不是缺省的 Reboot 方式。 設(shè)置完后，結(jié)果如下：配置服務(wù)器負(fù)載均衡注： 服務(wù)器負(fù)載均衡器的設(shè)置只需要在一臺(tái) BIG-IP1 上進(jìn)行設(shè)置， 設(shè)置好以后， 可以通過(guò)雙 機(jī)配置同步的方式將配置更新到 BIG-IP2 上。在設(shè)置好基礎(chǔ)網(wǎng)絡(luò) , 即可對(duì)實(shí)現(xiàn)服務(wù)器負(fù)載均衡進(jìn)行配置。主要涉及以下幾個(gè)方面：Monitor（ 不一定需要設(shè)，有時(shí)候可以采用系統(tǒng)自帶 Monitor）Monitor 跟蹤 Pool 成員的當(dāng)前狀態(tài)或者性能Profile（ 不一定需要設(shè)，有時(shí)候可以采用系統(tǒng)自帶 Profile） Profile 包含定義 Virtual Server 行為的設(shè)置。負(fù)載均衡 Pool負(fù)載均

31、衡 Pool 包含可以將請(qǐng)求發(fā)送到其中進(jìn)行處理的服務(wù)器。 iRules負(fù)載均衡控制規(guī)則。Virtual ServerVirtual Server 接收客戶端的訪問(wèn)請(qǐng)求，然后將請(qǐng)求分發(fā)給被負(fù)載均衡的服務(wù)器上。SNAT在負(fù)載均衡器內(nèi)部的服務(wù)器主動(dòng)向外發(fā)起訪問(wèn)時(shí)， 在負(fù)載均衡器上所做的地址映射。 訪問(wèn)時(shí) 2.8.1 配置 MonitorMonitor 可以實(shí)現(xiàn)對(duì)服務(wù)器實(shí)施健康檢查。以確定服務(wù)器是否可以對(duì)外提供服務(wù)。注：目前并不存在著故障服務(wù)器進(jìn)行切換的需求， 只是需要根據(jù)客戶端源地址來(lái)選擇服務(wù)器， 因此并不需要對(duì)服務(wù)器進(jìn)行監(jiān)控。 以下只是用于說(shuō)明服務(wù)器狀態(tài)檢查的配置方式。 可以直接 進(jìn)入到下一步驟。

32、如果需要對(duì)檢查方法的屬性進(jìn)行定制，以下以定制 TCP 端口檢查為例，方法如下：點(diǎn) 擊左側(cè)導(dǎo)航條中的 Local Traffic Monitor Create，在 General Properties 中選擇 TCP在 General Properties 中輸入你要建立的健康檢查方式的名字，可以按需要設(shè)置好 Timeout 的時(shí)間。最后點(diǎn)擊 Finished 。Interval 和2.8.2 配置 ProfileProfile 定義的 Virtual Server 的屬性集合。需要對(duì) Virtual Server 上的連接閑置時(shí)間進(jìn)行設(shè)置，因此需要?jiǎng)?chuàng)建一個(gè) ismg_fastl4 的 prof

33、ile ，方 法如下：由 Local Traffic Manage Profile Fast L4 Profile ，選擇創(chuàng)建2.7.3 配置負(fù)載均衡 Pool負(fù)載均衡 Pool是您組合起來(lái)接收和處理流量的一組設(shè)備，如Web服務(wù)器。 BIGIP系統(tǒng)將客戶機(jī)發(fā)往 Virtual Server 的請(qǐng)求發(fā)送到 Pool 成員中的任一服務(wù)器上。當(dāng)創(chuàng)建負(fù)載均衡 Pool時(shí)，將服務(wù)器（稱作 Pool成員）分配到 pool 中，然后將 pool 與BIGIP系 統(tǒng)中的 Virtual Server 相關(guān)聯(lián)。 然后， BIPIP 系統(tǒng)將進(jìn)入 Virtual Server 中的流量傳輸?shù)?Pool 成員。單個(gè)服

34、務(wù)器可隸屬于一個(gè)或多個(gè) pool ，這取決于您希望如何管理您的網(wǎng)絡(luò)流量。 創(chuàng)建 pool 的方法如下：點(diǎn)擊左側(cè)導(dǎo)航條中的 Local TrafficVirtual Serverspools Create:輸入 pool 的名字， 并指定該 pool 中的 member 成員的 IP 地址及 service port ，并指定對(duì) Pool 成員的健康檢查方法，然后點(diǎn)擊 即可。接照 SMS 的情況 ,定義 pool 及相應(yīng)的 member 成員如下：pool POOL_ISMGmember member 注： 為與負(fù)載均衡器在同一個(gè)機(jī)房一的服務(wù)器， 而為在機(jī)房二的服務(wù)器， 兩臺(tái)服務(wù)器不在同 一網(wǎng)段

35、。由于與負(fù)載均衡器不在同一個(gè)網(wǎng)段，需要在負(fù)載均衡器 Network Route 設(shè)置中增 加一條靜態(tài)路由， 即到的數(shù)據(jù)包的下一跳指向機(jī)房一第二層防火墻的 Untrust 區(qū)的共享地址。還有其它一些沒(méi)有列在上面的 pool ，可以根據(jù)實(shí)際環(huán)境的需要進(jìn)行添加。2.8.4 創(chuàng)建 iRule 負(fù)載均衡控制規(guī)則以根據(jù)源地址選擇服務(wù)器 先要?jiǎng)?chuàng)建兩個(gè) Data Group ，將 SP的源地址分別放在這兩個(gè) Data Group 中，以進(jìn)行源地址匹 配來(lái)選擇 ISMG 服務(wù)器。創(chuàng)建 Data Group 的方法如下：在 Local Traffic iRule Data Group 中選擇 Create:將源地

36、址加入。然后定義 Data Group 與服務(wù)器的對(duì)應(yīng)關(guān)系：在 Local Traffic iRule 中選擇 Create:創(chuàng)建一個(gè) select_ismg 的 iRule ：when CLIENT_ACCEPTED if matchclass IP:client_addr equals $:sp1_class node elseif matchclass IP:client_addr equals $:sp2_class node else drop 上述規(guī)則的含義是如果源地址在定義的sp1_class 的 data group 中，則選擇服務(wù)器，如果在sp2_class 的 data g

37、roup 中，則選擇。如果源地址不在這兩個(gè) Data Group 中，則拒絕訪問(wèn)。2.8.5 建立 Virtual server, 實(shí)現(xiàn)對(duì)服務(wù)器的負(fù)載均衡Virtual Server是BIG-IP?本地流量管理（ LTM ）配置中最重要的組件。 BIG-IP收到到 Virtual Server的客戶請(qǐng)求后， 以地址轉(zhuǎn)換的方式， 將客戶端的請(qǐng)求發(fā)送到 Virtual Server 相應(yīng) Pool中的 某個(gè)成員服務(wù)器上。 Virtual Server可提高用于處理客戶機(jī)請(qǐng)求的資源的可用性。創(chuàng)建 Virtual Server 的方法如下：點(diǎn)擊左側(cè)導(dǎo)航條中的 Local TrafficVirtual

38、ServersCreate:在 General Properties 部分，需指定該 Virtual server 的名稱， IP 地址及服務(wù)端口。在 Configuration 部分，用戶需跟據(jù)該 Virtual server 的類型，選擇相應(yīng)的配置參數(shù)。 注：對(duì)于 http 流量或 ftp 流量，用戶必需選擇 Http profile 或 Ftp profile ，否則這兩種 virtual server 將不能正常訪問(wèn)。對(duì)于服務(wù)器負(fù)載均衡， 需要?jiǎng)?chuàng)建一個(gè) vip_ismg 的虛擬務(wù)器， 將會(huì)采用 Performance Layer4 的 類型，并選擇上面創(chuàng)建的 ismg_fastl4 p

39、rofiel ：而協(xié)議( Protocol )則要根據(jù)虛擬服務(wù)器的類型選擇是All Protocols 。在 Virtual Server 的 Resources 定義部分，Default Pool 選擇 Virtual Server 所對(duì)應(yīng)的 Server Pool， 及 iRule:注： Status 為綠色，表示該 Virtual Server 對(duì)應(yīng)的 Pool 中至少有一臺(tái)服務(wù)器可用，紅色表示 沒(méi)有一臺(tái)服務(wù)器可用，藍(lán)色表示服務(wù)器的狀態(tài)未知（可能沒(méi)有對(duì) Pool 設(shè)置健康檢查方法，或正在對(duì)服務(wù)器狀態(tài)進(jìn)行檢查。 ）其中的 Virtual Server 根據(jù)實(shí)際情況進(jìn)行添加。2.8.5 設(shè)置

40、 SNATSNAT 是一個(gè)將原始 IP 地址（也就是源 IP 地址）映射到您所選擇的轉(zhuǎn)換地址的對(duì)象。 因此， SNAT 會(huì)讓 LTM 系統(tǒng)將入站數(shù)據(jù)包的源 IP 地址轉(zhuǎn)換為您指定的地址。 SNAT 的目的 非常簡(jiǎn)單， 即：確保負(fù)載均衡器內(nèi)網(wǎng)的服務(wù)器主動(dòng)向負(fù)載均衡器外部的網(wǎng)絡(luò)進(jìn)行訪問(wèn)時(shí)， 地 址會(huì)轉(zhuǎn)換為外網(wǎng)可路由的地址。創(chuàng)建方法如下：先修改系統(tǒng)的 General Properties Local Traffic:點(diǎn)擊左側(cè)導(dǎo)航條中的 Local Traffic SNATs Create:為該 SNAT 設(shè)置一個(gè)名稱，并在 Translation 中輸入轉(zhuǎn)換后的 IP 地址，點(diǎn)擊 Origin 的下

41、拉菜 單，選擇 IP address list將 SNA Packet Forwarding 設(shè)置由 TCP and UDP Only 改為 All Traffic ，使 SNAT 不僅支持 TCP 與 UDP 包的地址轉(zhuǎn)換，不可以支持 ICMP 的地址轉(zhuǎn)換。注： 如果不改為 All Traffic ，將無(wú)法由 Internal VLAN Ping 通外網(wǎng)地址。在 address 中輸入 IP 地址點(diǎn)擊 ADD 進(jìn)行添加。輸入完畢后，點(diǎn)擊 Finished 即可。 要將服務(wù)器的地址都轉(zhuǎn)成 Virtual Server 的地址，因此一個(gè)設(shè)置好的 SNAT 的屬性如下：08。這個(gè)

42、設(shè)置將對(duì)所有主動(dòng)由服務(wù)器發(fā)往sSP的數(shù)據(jù)包進(jìn)行地址轉(zhuǎn)換，轉(zhuǎn)換成此外，還要選取 Translation 修改 SNAT 地址的 Idle TimeOut 值。例如對(duì) 08，點(diǎn)擊右 側(cè) Translation 地址：般改為在 SNAT Address 的 TCP idle Timeout 的選項(xiàng)選擇 Specify ，輸入 Timeout 的參數(shù)， 3600。而對(duì) UDP 和 IP 的 Idle Timeout 值可以不需要設(shè)定，采用缺省值。兩臺(tái) BIGIP 配置同步BIGIP 的配置信息，除了 Network 的配置（例如： VLAN ，IP 等），其他的配置可以通 過(guò) Con

43、figSync 同步，步驟如下：進(jìn)入 System High Availability Configsync 頁(yè)面：Synchronize TO Peer: 把本地的配置同步到對(duì)方Synchronize FROM Peer: 把另外一臺(tái) BIGIP 的配置同步到本地。 成功的配置同步后的信 息如下：備份配置在完成上述配置，并順利完成同步以后，請(qǐng)盡快將配置備份出來(lái)。備份方法如下：進(jìn)入 System Archives ，點(diǎn)擊 Create:配置備份好后，點(diǎn)擊設(shè)配置文件并下載到外部電腦上：三、系統(tǒng)運(yùn)行狀態(tài)檢查及維護(hù)檢查系統(tǒng)日志信息：選取 Local Traffic 查看 Pool Member 的狀態(tài)變化信息。 可以點(diǎn)擊 TimeStamp 選擇日志信息排列的時(shí)序。檢查 Node 狀態(tài)點(diǎn)擊左側(cè)導(dǎo)航條中的 Local Traffic->Nodes圖中綠色狀態(tài)表示節(jié)點(diǎn)狀態(tài)正常。查看流量信息點(diǎn)擊左側(cè)導(dǎo)航條中的 Local Traffic->Pool