F5詳細(xì)配置手冊(cè)0001

1、F5 BIG-IP負(fù)載均衡器配置指導(dǎo)書(shū)目錄添加“只讀”權(quán)限的管理員帳號(hào)對(duì)某一 Virtual Server用TCPDUMP命令無(wú)法抓到包如何處理一、網(wǎng)絡(luò)結(jié)構(gòu)與IP地址規(guī)劃本手冊(cè)以移動(dòng)WAP/彩信網(wǎng)關(guān)為例網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示：整個(gè)數(shù)據(jù)網(wǎng)絡(luò)設(shè)備，采用兩臺(tái)防火墻、兩臺(tái) BIG-IP 3400負(fù)載均衡器、及兩臺(tái)交換機(jī)、網(wǎng) 絡(luò)設(shè)備都采用主、備設(shè)備，以實(shí)現(xiàn)設(shè)備、鏈路的冗余備份，以消除單點(diǎn)故障。這里部署負(fù)載均衡器的目的主要是為了增加服務(wù)器的數(shù)量，以提升系統(tǒng)的處理能力。但對(duì) 外仍然是一個(gè)IP地址。相關(guān)的IP地址規(guī)劃如下：注：以上的IP地址規(guī)劃是測(cè)試環(huán)境的IP地址設(shè)置，需要根據(jù)現(xiàn)網(wǎng)環(huán)境中的IP地址規(guī)劃進(jìn)行修改

2、。BIG-IP 3400-1VIP108對(duì)外的虛擬IP地址SNAT IP108SNAT地址（指向 PORTAL ）External Share IP/24同第一層防火墻trust同一 VLANExter vlan self IP/24同第一層防火墻trust同一 VLANInternal Share IP1/24同第二層防火墻 Untrust - VLANInternal vlan self ip 1/24同第二層防火墻 Untrust - VLANBIG-IP 3400-2VIP108SNAT IP108External vlan Share ip/24External vlan self

3、ip/24Internal Share IP3/24Internal vlan self ip1/24注：建議現(xiàn)場(chǎng)工程師先填寫(xiě)以下規(guī)范表:序號(hào)項(xiàng)目F5-3400-1 參數(shù)F5-3400-2 參數(shù)建議值備注系統(tǒng)參數(shù)主機(jī)名root用戶密碼defaultdefaultAdmin用戶密碼adminadminWeb連接方式HTTPSHTTPS命令行連接方式SSH/consoleSSH/console網(wǎng)管服務(wù)器IP系統(tǒng)管理IP系統(tǒng)管理IP地址掩碼網(wǎng)關(guān)端口參數(shù)Ethernet 端 口描述 (trunk )Ethernet 端 口描述 (trunk )Admin帶外管理端口描述trunk模式Trunk配置Tr

4、unk_10Trunk_30防火墻互聯(lián)vlan 號(hào)10vlan描述TO-FW本機(jī)IP地址虛擬IP地址防火墻虛擬IP地址F5 HA配置方式ActiveStandbyF5 Fail-Safe 模式Gateway Fail-SafeGateway Fail-safe 模 式分別由兩臺(tái) F5設(shè)備 監(jiān)測(cè)前端的防火墻地 址，如果出現(xiàn)無(wú)法連通 防火墻地址則進(jìn)行切 換。F5 Fail-safe ActionFail Over進(jìn)行主備切換服務(wù)器互聯(lián)vlan 號(hào)30vlan描述TO-Server本機(jī)IP地址虛擬IP地址F5 HA配置方式ActiveStandbyF5 Fail-Safe 模式VLAN Fail-s

5、afeGateway Fail-safe 模 式分別由兩臺(tái) F5設(shè)備 監(jiān)測(cè)VLAN流量，發(fā)現(xiàn) VLAN失效時(shí)進(jìn)行切換。F5 Fail-safe ActionFail Over進(jìn)行主備切換SNAT地址SNAT后地址路由設(shè)置Default Gateway（Juniper防火墻地址）、配置BIGIP3400負(fù)載均衡設(shè)備本章將主要描述 BIGIP3400負(fù)載均衡設(shè)備的配置方法及配置內(nèi)容。旁路/直連的選擇路由/直連模式的介紹網(wǎng)絡(luò)連接的物理結(jié)構(gòu)如下結(jié)構(gòu)：Ip規(guī)劃說(shuō)明：圖中bigip為負(fù)載均衡交換機(jī)，bigip上面使用公開(kāi)的ip地址，bigip下面 同負(fù)載均衡的服務(wù)器使用不公開(kāi)的ip地址。但對(duì)外提供服務(wù)則使

6、用公開(kāi)的ip。旁路模式的介紹網(wǎng)絡(luò)連接的物理結(jié)構(gòu)如下結(jié)構(gòu)：Ip規(guī)劃說(shuō)明：圖中bigip為負(fù)載均衡交換機(jī)，bigip和負(fù)載均衡的服務(wù)器均使用公開(kāi)的ip地址。路由/直連模式同旁路模式的比較(1)流量走向不一樣；路由/直連模式的流量走向如下：如上圖，bigip同客戶端的流量在 bigip的上聯(lián)接口， bigip同服務(wù)器的流量在下面的接 口。旁路模式的流量走向如下：如上圖，bigip無(wú)論同客戶端還是同服務(wù)器的通訊流量均在bigip的一個(gè)接口上。(2)接口流量壓力不一樣見(jiàn)圖：路由/直連情況下，bigip同客戶端的流量在 bigip的上聯(lián)接口， bigip同服務(wù)器的流量在 下聯(lián)的接口，故 bigip單一接口

7、壓力較小。在旁路模式，bigip無(wú)論同客戶端還是同服務(wù)器的通訊流量均在bigip的一個(gè)接口上，故bigip單一接口壓力較大。為解決此問(wèn)題，可以在 bigip和交換機(jī)之間采用鏈路聚合技術(shù)，即 端口捆綁，以避免接口成為網(wǎng)絡(luò)瓶頸。(3)網(wǎng)絡(luò)結(jié)構(gòu)的安全性不一樣路由/直連情況下，可以不公布服務(wù)器使用的真實(shí)ip地址，只需要公布提供負(fù)載均衡的虛擬地址即可，而在旁路情況下，則客戶端可以得知服務(wù)器的真實(shí)地址，在此模式下，為保 證服務(wù)器的安全性，服務(wù)器的網(wǎng)關(guān)指向bigip,可以使用bigip上的包過(guò)濾(防火墻)功能來(lái)保護(hù)服務(wù)器。(4)對(duì)后端服務(wù)器的管理方便性不一樣路由/直連情況下，因服務(wù)器的真實(shí)地址可以隱含，故管

8、理起來(lái)需要在 bigip上啟用地址翻譯(NAT)功能，相對(duì)會(huì)復(fù)雜一些。而旁路模式則不需要地址翻譯的配置。(5)前者不支持npath模式(見(jiàn)后圖)，后者支持npath模式，啟用該卞II式可見(jiàn)少 F5設(shè)備的 壓力見(jiàn)上圖，在旁路模式下，使用npath的流量處理方式，所有服務(wù)器回應(yīng)的流量可以不通過(guò)bigip ,這樣可以大大減少流量的壓力。但npath的流量處理方式不能工作路由 /直連的模式。（6）在對(duì)原有系統(tǒng)做負(fù)載均衡技術(shù)改造時(shí)，兩種模式的工作復(fù)雜程度不一樣如果對(duì)原有沒(méi)有負(fù)載均衡技術(shù)的系統(tǒng)進(jìn)行負(fù)載均衡技術(shù)的改造，那么，在路由/直連情況下，需要修改服務(wù)器的ip地址同時(shí)網(wǎng)絡(luò)結(jié)構(gòu)也要做調(diào)整（將服務(wù)器調(diào)到bi

9、gip后端），同時(shí)相關(guān)聯(lián)的應(yīng)用也要改動(dòng)，需要進(jìn)行嚴(yán)格的測(cè)試才能上線運(yùn)行；然而，在旁路模式下，僅僅 需要改動(dòng)一下服務(wù)器的網(wǎng)關(guān)，原有系統(tǒng)的其它部分（包括網(wǎng)絡(luò)結(jié)構(gòu)）基本不需要做改動(dòng)，故，前者對(duì)系統(tǒng)改動(dòng)較大，后者則改動(dòng)較小。對(duì)于電信項(xiàng)目來(lái)講，由直連改為旁掛方式主要帶來(lái)以下優(yōu)點(diǎn)：1、增加了網(wǎng)絡(luò)的靈活性：由于 F5采用旁掛的方式，后端服務(wù)器的網(wǎng)關(guān)指向的為三層交換 機(jī)的地址，而不是 F5的地址，在對(duì)網(wǎng)絡(luò)設(shè)備維護(hù)時(shí)可以方便的采用修改路由的方式使 設(shè)備下線，便于維護(hù)管理。同時(shí)，一些特殊的應(yīng)用也可在核心交換機(jī)上采用策略路由的 方式指向特定的網(wǎng)絡(luò)設(shè)備。2、提高了網(wǎng)絡(luò)整體的可靠性：由于旁路方式的存在，如果 F5設(shè)備出

10、現(xiàn)問(wèn)題，可在交換機(jī) 上修改路由使用數(shù)據(jù)流繞過(guò)F5,而不會(huì)對(duì)整個(gè)業(yè)務(wù)系統(tǒng)造成影響。3、針對(duì)某些特殊應(yīng)用，提高了速度：采用旁路的方式后，一些特定的的對(duì)速度、時(shí)延敏感的應(yīng)用數(shù)據(jù)在進(jìn)入和離開(kāi)時(shí)可以采用不同的路徑，例如：在流入時(shí)可經(jīng)過(guò)F5設(shè)備，對(duì)其進(jìn)行檢查，負(fù)載均衡。而在該數(shù)據(jù)流離開(kāi)時(shí)，則不經(jīng)過(guò)F5,以提高其速度。設(shè)置負(fù)載均衡器管理網(wǎng)口地址F5 BIG-IP 3400設(shè)備的面板結(jié)構(gòu)：BIG-IP 3400應(yīng)用交換機(jī)具備8個(gè)10/100/1000M自適應(yīng)的網(wǎng)絡(luò)接口及二個(gè)光纖接 口 .10/100/1000 interface 8 個(gè)10/100/1000 M 自適應(yīng)的網(wǎng)絡(luò)接口Gigabit fiber i

11、nterface 2 個(gè)1000M 多模光纖接口Serial console port 一 一個(gè)串口命令行管理端口Failover port 一個(gè)串口 冗余狀態(tài)判斷端口。Mgmt interface 一個(gè) 10/100M 管 理端口注：互為雙機(jī)的兩臺(tái) BIG-IP必須用隨機(jī)附帶的 Failover線相連起來(lái)。注：管理網(wǎng)絡(luò)接口的IP地址不能與業(yè)務(wù)網(wǎng)絡(luò)在同一網(wǎng)段，根據(jù)業(yè)務(wù)網(wǎng)絡(luò)的地址劃分，相應(yīng) 的調(diào)整管理網(wǎng)絡(luò)接口的網(wǎng)絡(luò)地址。如果，在SMS中負(fù)載均衡口的external vlan和internal vlan已經(jīng)采用了到另外一個(gè)網(wǎng)段。通過(guò)LCD按鍵修改管理網(wǎng)口IP地址的方法如下:1、按紅色X按鍵進(jìn)入Op

12、tions選項(xiàng)；2、在液晶面板上通過(guò)按鍵按以下順序設(shè)置管理網(wǎng)口的網(wǎng)絡(luò)地址：Options-System-IP Address/Netmask-Commit如果通過(guò)LCD按鍵修改完IP地址以后，選擇 Commit,地址無(wú)法成功改變（例如出現(xiàn)IP地 址為全零的情況），很有可能是管理口 IP地址與系統(tǒng)內(nèi)已經(jīng)配置發(fā)生沖突。出現(xiàn)這種情況， 關(guān)機(jī)重啟以后，另選一個(gè) IP網(wǎng)段來(lái)設(shè)置管理網(wǎng)口地址。警告：在設(shè)置好網(wǎng)絡(luò)管理口地址以后，通過(guò)網(wǎng)絡(luò)登陸到BIG-IP上進(jìn)行其它配置更改時(shí)，都要保證網(wǎng)絡(luò)管理口的網(wǎng)絡(luò)連接完好。否則有時(shí)會(huì)出現(xiàn)修改的配置無(wú)法被成功加載應(yīng)用的情 況，因?yàn)榫W(wǎng)絡(luò)管理口為Down的情況會(huì)妨礙配置文件的加

13、載。登錄BIGIP的WEB管理界面管理BIGIP有兩種方式，一種是基于 WEB的https管理方式，另一種是基于ssh的命令行管 理方式。除特別配置外，采用 WEB的管理方式即可。WEB登錄方式如下：.在管理員的IE地址欄內(nèi)輸入BIGIP設(shè)備的IP地址，.回車(chē)后出現(xiàn)系統(tǒng)警告信息點(diǎn)擊Yes.然后系統(tǒng)提示輸入基于WEB配置的用戶名和密碼。目前的admin帳號(hào)的密碼為 admin激活 License在配置BIG-IP之前，先要激活 License o從 System-License-Re-activate 進(jìn)入 License 激活界面：進(jìn)入，將產(chǎn)生的 Dossier復(fù)制進(jìn)以下頁(yè)面，產(chǎn)生 Licen

14、se文件:.輸入正確后即可進(jìn)入 BIGIP的WEB管理界面初始化設(shè)置2.5.1BIG-IP 1上的平臺(tái)（Platform）通用屬性設(shè)置進(jìn)入 SystemPlatform警告：BIG-IP雙機(jī)系統(tǒng)的主機(jī)名必須不一樣，否則配置同步會(huì)產(chǎn)生錯(cuò)誤，可能導(dǎo)致破壞license。例如負(fù)載均衡器 BIG-IP1的主機(jī)名為ISMG-LB01-F5 , BIG-IP2的主機(jī)名為ISMG-LB02-F5 。 Root 為命令行帳號(hào)，admin為 WEB 管理的帳號(hào)。注：root密碼允許用戶通過(guò)命令行訪問(wèn) BIG-IP系統(tǒng)。建議root密碼長(zhǎng)度大于 6位，但不要 超過(guò)32位字節(jié)。密碼與大小寫(xiě)敏感，建議密碼中包含大寫(xiě)/

15、小寫(xiě)字母和數(shù)字。如果 BIG-IP系統(tǒng)為冗余系統(tǒng)，兩臺(tái)主備機(jī)的 root密碼必須保持一致。注：如修改密碼，請(qǐng)確認(rèn)正確敲擊鍵盤(pán)上的鍵。（有人敲錯(cuò)了鍵盤(pán)上的鍵，而導(dǎo)致無(wú)法找到新設(shè)置的密碼是什么。）BIG-IP 2上的平臺(tái)通用屬性設(shè)置：2.5.2修改系統(tǒng)時(shí)間1,用PUTTY或Secure Shell Client 等SSH客戶端連接 BIG-IP的管理網(wǎng)口地址，進(jìn)入命 令行模式。注：Secure Shell Client可以用以下鏈接下載:O.執(zhí)彳f date檢查系統(tǒng)時(shí)鐘。rootZJHZ-PS-MMS3-SW02:Active config # date Thu May 25 16:59:15 C

16、ST 2006.命令格式date .date如設(shè)置 2009年1月1日中午12: 00 : 004.保存時(shí)間到 BIOS# hwclock systohc設(shè)置缺省管理權(quán)限策略在命令彳T運(yùn)行 b base list命令，檢查初始化設(shè)置。如果 b base list 的輸出已經(jīng)有 self allow default tcp ssh tcp https udp efs tcp snmp proto ospfudp domain udp snmp tcp 4353 tcp domain udp 4353 一行，則進(jìn)入到 2.4.4。如果在b base list的輸出中發(fā)現(xiàn)有 self allow d

17、efault none 一行，則運(yùn)行以下兩條命令：b self allow default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 b base save所后用命令 more /config/ 查看文件確認(rèn) self allow default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 已經(jīng)保存至U文

18、件中。重新啟動(dòng)bigip# reboot配置網(wǎng)絡(luò)層按照拓?fù)浣Y(jié)構(gòu)，對(duì) F5 BIGIP的網(wǎng)絡(luò)層進(jìn)行配置，劃分 vlan,定義IP地址及路由。劃分 vlan點(diǎn)擊左側(cè)的導(dǎo)航條，進(jìn)入 NetworkVLANS ,在右側(cè)可以對(duì) vlan進(jìn)行配置。創(chuàng)建方法如下：點(diǎn)擊 create:Name:設(shè)置這個(gè) vlan的名字。Tag:為相應(yīng) VLAN 的 VLAN IDInterface:定義Available中顯示的端口有選擇性的劃分到這個(gè)vlan中。指定端口后，單擊二J選入U(xiǎn)ntagged欄即可。Finished I點(diǎn)擊-1元成。根據(jù)SMS的網(wǎng)絡(luò)規(guī)劃，負(fù)載均衡器上一共要定義了以下幾個(gè)VLAN :注：extern

19、al, ,internal為業(yè)務(wù)流量 VLAN 。 VLAN ID 應(yīng)與網(wǎng)絡(luò)規(guī)劃中的 VLAN 一致。注：netfailover VLAN 的端口為雙機(jī)網(wǎng)絡(luò)心跳接口，網(wǎng)絡(luò)心跳信號(hào)及雙機(jī)配置同步信息都是通過(guò)這一網(wǎng)線傳輸，因此要用網(wǎng)線將雙機(jī)的口對(duì)連起來(lái)。VLAN ID 4094為BIG-IP自動(dòng)生成的。（也可以指定）。注：將和端口加入到 external VLAN和internal VLAN主要是為了有時(shí)候可以將筆記本接在相應(yīng)VLAN進(jìn)行測(cè)試，而不受 BIG-IP與交換機(jī)之間網(wǎng)絡(luò)連接的影響。定義IP地址 在劃分完Vlan后，即可對(duì)每個(gè) vlan進(jìn)彳t IP地址的定義。方法如下:點(diǎn)擊左側(cè)導(dǎo)航條中的N

20、etworks self Ips在右側(cè)可以對(duì)Ip地址進(jìn)行配置。創(chuàng)建方法如下：點(diǎn)擊 Create:IP address輸入IP地址Netmask:輸入子網(wǎng)掩碼Vlan :選擇將這個(gè)IP地址綁定在哪個(gè) vlan上。選擇下拉菜單將顯示所有已設(shè)置的vlan名。Port Lockdown:保持默認(rèn)值 Allow Default 。Floating IP:如果系統(tǒng)為冗余工作方式，需對(duì)每臺(tái)設(shè)備的每個(gè)vlan均設(shè)置兩個(gè)IP地址。其中一個(gè)是self IP,另一個(gè)則為floating IP,即兩臺(tái)設(shè)備共用的IP地址。選中此項(xiàng)即代表這個(gè)IP地址為 Floating IP。按照網(wǎng)絡(luò)的規(guī)劃，IP地址定義如下：(BIG-

21、IP 3400-1)NameVLAN NameVLAN IDSelf IPExternal20/24Internal10/24Netfailover4094mgmt/24(BIG-IP 3400-2)NameVLAN NameVLAN IDSelf IPExternal20/24Internal10Netfailover4094mgmt其中，MGMT是BIG-IP的管理網(wǎng)口IP地址BIGIP1 的 SELFIP配置如下：SMS BIG-IP 3400 應(yīng)用交換機(jī) VLAN與IP地址規(guī)劃Floating IP/24Floating IP/24注：以下拷屏只是展示如何通過(guò) WEB界面進(jìn)行相應(yīng)的配置

22、，其中的IP地址不一定正確,請(qǐng)根據(jù)實(shí)際情況的IP地址劃分進(jìn)行配置。其中Unit ID 不為零的為 Floating IP.Floating IP設(shè)置要打上勾。BIGIP2的SELF IP配置如下：BIGIP2上不需要配置 Floating IP ,因?yàn)镕loatingIP可以從BIG-IP1上同步過(guò)來(lái)配置路由點(diǎn)擊左側(cè)導(dǎo)航條中的Networks RoutesAdd對(duì)路由進(jìn)行配置Type:定義配置的是默認(rèn)網(wǎng)關(guān)還是靜態(tài)路由。Destination:定義目標(biāo)網(wǎng)段Netmask:定義目標(biāo)網(wǎng)段的掩碼Resource:定義網(wǎng)關(guān)地址點(diǎn)擊1完成。按照用戶的需求，缺省路由是第一層防火墻Trust 口的雙機(jī)共享地址

23、 54 另外，還需要增加一個(gè)靜態(tài)路由，即到機(jī)房二的數(shù)據(jù)包的下一跳指向機(jī)房一中第二層防火墻 的Untrust區(qū)雙機(jī)共享地址。配置雙機(jī)設(shè)置（High Availability）High Availability就是雙機(jī)冗余（Cluster）,要求兩臺(tái)BIGIP的版本相同。配置方法如下：配置 Redundant Pair 的 IP 地址首先，確認(rèn)BIG IP已經(jīng)轉(zhuǎn)換為雙機(jī)模式。在 WEB頁(yè)面的左側(cè)導(dǎo)航條選擇SYSTEMPlatform把Hith Availability 設(shè)置中應(yīng)選擇為 Redundant Pair模式。其中 BIG-IP1 的 Unit ID 為 1, BIG-IP2 的 Unit

24、 ID 為 2。然后，在WEB頁(yè)面的左側(cè)導(dǎo)航條選擇SYSTEMHith Availability :BIG-IP1的設(shè)置如下：BIG-IP2的設(shè)置如下Primary Failover Address 輸入兩臺(tái) BIGIP 的 Netfailover VLAN Self IP 地址：Secondary Failover Address 輸入兩臺(tái) BIGIP 的 Internal VLAN Self IP 地址。BIG-IP1 的 Self IP 為，PeeUP 為；BIG-IP1 的 Self IP 為，PeeUP 為；Redundancy Mode 選擇 Active/Standby 模式并

25、Enable Network Failover 選項(xiàng)。其他參數(shù)保持默認(rèn)值。配置雙機(jī)自動(dòng)切換機(jī)制FailSafe配置Failsafe設(shè)置在滿足某些條件的時(shí)候，觸發(fā) BIGIP發(fā)生切換。根據(jù)彩鈴 5期的要求，配置了VLANs的FailSafe配置，當(dāng)處于 Active狀態(tài)的BIGIP的internal和external兩個(gè) VALN在設(shè) 定的時(shí)間內(nèi)沒(méi)有任何流量，自動(dòng)切換到備機(jī)。警告：在沒(méi)有完成External VLAN和Internal VLAN的網(wǎng)絡(luò)接線之前，不要啟用自動(dòng)切換機(jī) 制。對(duì)External VLAN 和Internal VLAN 啟用基于 VLAN 監(jiān)控的自動(dòng)切換機(jī)制，步驟如下：在W

26、EB 頁(yè)面的左面導(dǎo)航界面選擇：SYSTEM High AvailabilityFail-safe點(diǎn)擊“ Add ”按鈕VLAN :選擇監(jiān)控的 VLANTimeout :默認(rèn)彳1是90秒，一般改為30秒其中Action選用Fail Over方式，而不是缺省的 Reboot方式。設(shè)置完后，結(jié)果如下：配置服務(wù)器負(fù)載均衡注：服務(wù)器負(fù)載均衡器的設(shè)置只需要在一臺(tái)BIG-IP1上進(jìn)行設(shè)置，設(shè)置好以后，可以通過(guò)雙機(jī)配置同步的方式將配置更新到BIG-IP2上。在設(shè)置好基礎(chǔ)網(wǎng)絡(luò)，即可對(duì)實(shí)現(xiàn)服務(wù)器負(fù)載均衡進(jìn)行配置。主要涉及以下幾個(gè)方面:Monitor（不一定需要設(shè)，有時(shí)候可以采用系統(tǒng)自帶Monitor）Monito

27、r跟蹤Pool成員的當(dāng)前狀態(tài)或者性能Profile（不一定需要設(shè)，有時(shí)候可以采用系統(tǒng)自帶Profile）Profile包含定義Virtual Server 行為的設(shè)置。負(fù)載均衡Pool負(fù)載均衡Pool包含可以將請(qǐng)求發(fā)送到其中進(jìn)行處理的服務(wù)器。iRules負(fù)載均衡控制規(guī)則。Virtual ServerVirtual Server接收客戶端的訪問(wèn)請(qǐng)求，然后將請(qǐng)求分發(fā)給被負(fù)載均衡的服務(wù)器上。SNAT在負(fù)載均衡器內(nèi)部的服務(wù)器主動(dòng)向外發(fā)起訪問(wèn)時(shí)，在負(fù)載均衡器上所做的地址映射。訪問(wèn)時(shí)配置 MonitorMonitor可以實(shí)現(xiàn)對(duì)服務(wù)器實(shí)施健康檢查。以確定服務(wù)器是否可以對(duì)外提供服務(wù)。注：目前并不存在著故障服務(wù)

28、器進(jìn)行切換的需求,只是需要根據(jù)客戶端源地址來(lái)選擇服務(wù)器,因此并不需要對(duì)服務(wù)器進(jìn)行監(jiān)控。以下只是用于說(shuō)明服務(wù)器狀態(tài)檢查的配置方式?？梢灾苯舆M(jìn)入到下一步驟。如果需要對(duì)檢查方法的屬性進(jìn)行定制，以下以定制TCP端口檢查為例，方法如下：點(diǎn)擊左側(cè)導(dǎo)航條中的 Local TrafficMonitorCreate ,在 General Properties 中選擇 TCP在General Properties中輸入你要建立的健康檢查方式的名字，可以按需要設(shè)置好Interval和Timeout的時(shí)間。最后點(diǎn)擊 Finishedo配置 ProfileProfile定義的Virtual Server的屬性集合。需要

29、對(duì)Virtual Server上的連接閑置時(shí)間進(jìn)行設(shè)置，因此需要?jiǎng)?chuàng)建一個(gè)ismg_fastl4的profile ,方法如下：由 Local Traffic ManageProfileFast L4 Profile ,選擇創(chuàng)建配置負(fù)載均衡 Pool負(fù)載均衡Pool是您組合起來(lái)接收和處理流量的一組設(shè)備，如Wel務(wù)器。BIGIP系統(tǒng)將客戶機(jī)發(fā)往Virtual Server的請(qǐng)求發(fā)送到Pool成員中的任一服務(wù)器上。當(dāng)創(chuàng)建負(fù)載均衡Pool時(shí)，將服務(wù)器（稱(chēng)作 Pool成員）分配到pool中，然后將pool與BIGIP系 統(tǒng)中的Virtual Server相關(guān)聯(lián)。然后，BIPIP系統(tǒng)將進(jìn)入Virtual S

30、erver中的流量傳輸?shù)?Pool 成員。單個(gè)服務(wù)器可隸屬于一個(gè)或多個(gè)pool ,這取決于您希望如何管理您的網(wǎng)絡(luò)流量。創(chuàng)建pool的方法如下：點(diǎn)擊左側(cè)導(dǎo)航條中的Local TrafficVirtual ServerspoolsCreate:輸入pool的名字，并指定該pool中的member成員的IP地址及service port,并指定對(duì) Pool 成員的健康檢查方法，然后點(diǎn)擊Finished即可。接照SMS的情況，定義pool及相應(yīng)的member成員如下：pool POOL_ISMGmember :0 member :0 注：服務(wù)器還有其它一些沒(méi)有列在上面的pool,可以根據(jù)實(shí)際環(huán)境的需要

31、進(jìn)行添加。創(chuàng)建iRule負(fù)載均衡控制規(guī)則以根據(jù)源地址選擇服務(wù)器先要?jiǎng)?chuàng)建兩個(gè) Data Group ,將SP的源地址分別放在這兩個(gè)Data Group中，以進(jìn)行源地址匹配來(lái)選擇ISMG服務(wù)器。創(chuàng)建Data Group的方法如下：在 Local TrafficiRuleData Group 中選擇 Create:將源地址加入。然后定義Data Group與服務(wù)器的對(duì)應(yīng)關(guān)系：在 Local TrafficiRule 中選擇 Create:創(chuàng)建一個(gè) select_ismg 的 iRule：when CLIENT_ACCEPTED if matchclass IP:client_addr equals

32、$:sp1_class elseif matchclass IP:client_addr equals $:sp2_class node else drop 建立Virtual server,實(shí)現(xiàn)對(duì)服務(wù)器的負(fù)載均衡Virtual Server是BIG-IP本地流量管理（LTM ）配置中最重要的組件。 BIG-IP收到到Virtual Server的客戶請(qǐng)求后，以地址轉(zhuǎn)換的方式， 將客戶端的請(qǐng)求發(fā)送到 Virtual Server相應(yīng)Pool中的 某個(gè)成員服務(wù)器上。Virtual Server可提高用于處理客戶機(jī)請(qǐng)求的資源的可用性。創(chuàng)建Virtual Server的方法如下：點(diǎn)擊左側(cè)導(dǎo)航條中的L

33、ocal TrafficVirtual ServersCreate:在General Properties部分，需指定該 Virtual server的名稱(chēng)，IP地址及服務(wù)端口。 在Configuration部分，用戶需跟據(jù)該 Virtual server的類(lèi)型，選擇相應(yīng)的配置參數(shù)。注：對(duì)于http流量或ftp流量，用戶必需選擇 Http profile或Ftp profile ,否則這兩種 virtual server 將不能正常訪問(wèn)。對(duì)于服務(wù)器負(fù)載均衡，需要?jiǎng)?chuàng)建一個(gè) vip_ismg的虛擬務(wù)器，將會(huì)采用Performance Layer4的類(lèi)型，并選擇上面創(chuàng)建的ismg_fastl4 pr

34、ofiel :而協(xié)議（Protocol）則要根據(jù)虛版服務(wù)器的類(lèi)型選擇是All Protocols。在 Virtual Server 的 Resources定義部分，Default Pool 選擇 Virtual Server 所對(duì)應(yīng)的 Server Pool, 及 iRule:注：Status為綠色，表示該 Virtual Server對(duì)應(yīng)的Pool中至少有一臺(tái)服務(wù)器可用，紅色表示 沒(méi)有一臺(tái)服務(wù)器可用，藍(lán)色表示服務(wù)器的狀態(tài)未知（可能沒(méi)有對(duì)Pool設(shè)置健康檢查方法，或正在對(duì)服務(wù)器狀態(tài)進(jìn)行檢查。）其中的Virtual Server根據(jù)實(shí)際情況進(jìn)行添加。2.8.5 設(shè)置 SNATSNAT是一個(gè)將原始

35、IP地址（也就是源IP地址）映射到您所選擇的轉(zhuǎn)換地址的對(duì)象。因此，SNAT會(huì)讓LTM系統(tǒng)將入站數(shù)據(jù)包的源IP地址轉(zhuǎn)換為您指定的地址。SNAT的目的非常簡(jiǎn)單，即：確保負(fù)載均衡器內(nèi)網(wǎng)的服務(wù)器主動(dòng)向負(fù)載均衡器外部的網(wǎng)絡(luò)進(jìn)行訪問(wèn)時(shí)，地址會(huì)轉(zhuǎn)換為外網(wǎng)可路由的地址。 創(chuàng)建方法如下：先修改系統(tǒng)的 General Properties Local Traffic:將 SNA Packet Forwarding 設(shè)置由 TCP and UDP Only 改為 All Traffic，使 SNAT 不僅支持 TCP 與UDP包的地址轉(zhuǎn)換，不可以支持 ICMP的地址轉(zhuǎn)換。注：如果不改為 All Traffic ,將

36、無(wú)法由Internal VLAN Ping 通外網(wǎng)地址。點(diǎn)擊左側(cè)導(dǎo)航條中的Local TrafficSNATsCreate:為該SNAT設(shè)置一個(gè)名稱(chēng)，并在 Translation中輸入轉(zhuǎn)換后的IP地址，點(diǎn)擊 Origin的下拉菜 單，選擇 IP address list在address中輸入IP地址點(diǎn)擊ADD進(jìn)行添加。輸入完畢后，點(diǎn)擊Finished即可。要將服務(wù)器的地址都轉(zhuǎn)成Virtual Server的地址，因此一個(gè)設(shè)置好的SNAT的屬性如下：這個(gè)設(shè)置將對(duì)所有主動(dòng)由服務(wù)器發(fā)往SP的數(shù)據(jù)包進(jìn)行地址轉(zhuǎn)換，轉(zhuǎn)換成 08。此外，還要選取 Translation修改SNAT地址的Idle TimeO

37、ut值。例如對(duì)08,點(diǎn)擊右 側(cè) Translation 地址：在SNAT Address的TCP idle Timeout的選項(xiàng)選擇 Specify ,輸入Timeout的參數(shù)，一般改為 3600。而對(duì)UDP和IP的Idle Timeout值可以不需要設(shè)定，采用缺省值。兩臺(tái)BIGIP配置同步BIGIP的配置信息，除了 Network的配置（例如：VLAN , IP等），其他的配置可以通 過(guò)ConfigSync同步，步驟如下：進(jìn)入 SystemHigh AvailabilityConfigsync 頁(yè)面：Synchronize TO Peer:把本地的配置同步到對(duì)方Synchronize FRO

38、M Peer:把另外一臺(tái)BIGIP的配置同步到本地。成功的配置同步后的信 息如下：備份配置在完成上述配置，并順利完成同步以后，請(qǐng)盡快將配置備份出來(lái)。備份方法如下：進(jìn)入 SystemArchives ,點(diǎn)擊 Create:配置備份好后，點(diǎn)擊設(shè)配置文件并下載到外部電腦上：三、系統(tǒng)運(yùn)行狀態(tài)檢查及維護(hù)檢查系統(tǒng)日志信息:選取Local Traffic查看Pool Member的狀態(tài)變化信息。可以點(diǎn)擊TimeStamp選擇日志信息排列的時(shí)序。檢查Node狀態(tài)點(diǎn)擊左側(cè)導(dǎo)航條中的Local Traffic-Nodes圖中綠色狀態(tài)表示節(jié)點(diǎn)狀態(tài)正常。查看流量信息點(diǎn)擊左側(cè)導(dǎo)航條中的Local Traffic-Pools-Statistics,可以查看到各 Pool以及Pool的Members的狀態(tài)，以及流量和連接數(shù)的信息。查看系統(tǒng)當(dāng)前性能參數(shù)點(diǎn)擊左側(cè)導(dǎo)航條中的Overview-Performance ,可以查