F5详细配置手册.doc

F5 BIG-IP负载均衡器配置指导书精品.目录一、网络结构与IP地址规划 4二、配置BIGIP3400负载均衡设备 82.1旁路/直连的选择 82.1.1路由/直连模式的介绍 82.1.2旁路模式的介绍 82.1.3 路由/直连模式同旁路模式的比较 92.2设置负载均衡器管理网口地址 112.3登录BIGIP的WEB管理界面 122.4激活License 132.5初始化设置 142.5.1BIG-IP 1上的平台(Platform)通用属性设置 142.5.2修改系统时间 162.5.3设置缺省管理权限策略 162.5.4重新启动bigip 172.6配置网络层 172.6.1划分vlan 172.6.2定义IP地址 182.6.3配置路由 202.7配置双机设置(High Availability) 212.7.1配置Redundant Pair的IP地址 212.7.2配置双机自动切换机制FailSafe配置 222.8配置服务器负载均衡 232.8.1配置Monitor 242.8.2配置Profile 252.7.3配置负载均衡Pool 262.8.4创建iRule负载均衡控制规则以根据源地址选择服务器 272.8.5建立Virtual server,实现对服务器的负载均衡 282.8.5设置SNAT 302.9两台BIGIP配置同步 332.10备份配置 34三、系统运行状态检查及维护 353.1检查系统日志信息： 353.2检查Node状态 353.3查看流量信息 363.4查看系统当前性能参数 373.5密码的更改 37精品.3.6添加“只读”权限的管理员帐号 383.7如何查询设备的序列号： 383.8如何采集信息提供他人进行故障诊断 393.8对某一Virtual Server用TCPDUMP命令无法抓到包如何处理？ 40精品.一、网络结构与IP地址规划本手册以移动WAP/彩信网关为例网络拓扑结构如下图所示：整个数据网络设备，采用两台防火墙、两台BIG-IP 3400负载均衡器、及两台交换机、网络设备都采用主、备设备，以实现设备、链路的冗余备份，以消除单点故障。

这里部署负载均衡器的目的主要是为了增加服务器的数量，以提升系统的处理能力但对外仍然是一个IP地址相关的IP地址规划如下：注：以上的IP地址规划是测试环境的IP地址设置，需要根据现网环境中的IP地址规划进行修改BIG-IP 3400-1VIP110.10.3.108对外的虚拟IP地址SNAT IP110.10.3.108SNAT地址（指向PORTAL）External Share IP 10.10.3.3/24同第一层防火墙trust同一VLANExter vlan self IP10.10.3.1/24同第一层防火墙trust同一VLANInternal Share IP1192.168.20.103/24同第二层防火墙Untrust一VLANInternal vlan self ip 1192.168.20.101/24同第二层防火墙Untrust一VLANBIG-IP 3400-2VIP110.10.3.108SNAT IP110.10.3.108External vlan Share ip10.10.3.3/24External vlan self ip10.10.3.2/24Internal Share IP192.168.20.1103/24Internal vlan self ip 192.168.20.1101/24精品.注：建议现场工程师先填写以下规范表：序号项目F5-3400-1参数F5-3400-2参数建议值备注系统参数主机名　　root用户密码defaultdefault　　Admin用户密码adminadminWeb连接方式HTTPSHTTPS　　命令行连接方式SSH/consoleSSH/console　　网管服务器IP　　系统管理IP系统管理IP地址　　掩码　　网关　　端口参数Ethernet 2.1端口描述（trunk）　Ethernet 2.2端口描述（trunk）　Admin 带外管理端口描述　　trunk模式　Trunk配置Trunk_10Trunk_30精品.防火墙互联vlan号10　vlan描述TO-FW　本机IP地址　虚拟IP地址防火墙虚拟IP地址F5 HA配置方式Active StandbyF5 Fail-Safe模式Gateway Fail-SafeGateway Fail-safe模式分别由两台F5设备监测前端的防火墙地址，如果出现无法连通防火墙地址则进行切换。

F5 Fail-safe Action Fail Over进行主备切换服务器互联vlan号30 vlan描述TO-Server本机IP地址虚拟IP地址F5 HA配置方式Active Standby精品.F5 Fail-Safe模式VLAN Fail-safeGateway Fail-safe模式分别由两台F5设备监测VLAN流量，发现VLAN失效时进行切换F5 Fail-safe Action Fail Over进行主备切换SNAT地址 SNAT后地址 路由设置Default Gateway (Juniper防火墙地址) 精品.二、配置BIGIP3400负载均衡设备本章将主要描述BIGIP3400负载均衡设备的配置方法及配置内容2.1旁路/直连的选择2.1.1路由/直连模式的介绍网络连接的物理结构如下结构：Ip规划说明：图中bigip为负载均衡交换机，bigip上面使用公开的ip地址，bigip下面同负载均衡的服务器使用不公开的ip地址但对外提供服务则使用公开的ip2.1.2旁路模式的介绍网络连接的物理结构如下结构：精品.Ip规划说明：图中bigip为负载均衡交换机，bigip和负载均衡的服务器均使用公开的ip地址。

2.1.3 路由/直连模式同旁路模式的比较（1）流量走向不一样；路由/直连模式的流量走向如下：精品. 如上图，bigip同客户端的流量在bigip的上联接口，bigip同服务器的流量在下面的接口旁路模式的流量走向如下：如上图，bigip无论同客户端还是同服务器的通讯流量均在bigip的一个接口上2）接口流量压力不一样见2.1图：路由/直连情况下，bigip同客户端的流量在bigip的上联接口，bigip同服务器的流量在下联的接口，故bigip单一接口压力较小在旁路模式, bigip无论同客户端还是同服务器的通讯流量均在bigip的一个接口上，故bigip单一接口压力较大为解决此问题，可以在bigip和交换机之间采用链路聚合技术，即端口捆绑，以避免接口成为网络瓶颈3）网络结构的安全性不一样路由/直连情况下，可以不公布服务器使用的真实ip地址，只需要公布提供负载均衡的虚拟地址即可，而在旁路情况下，则客户端可以得知服务器的真实地址，在此模式下，为保证服务器的安全性，服务器的网关指向bigip，可以使用bigip上的包过滤（防火墙）功能来保护服务器4）对后端服务器的管理方便性不一样 路由/直连情况下，因服务器的真实地址可以隐含，故管理起来需要在bigip上启用地址翻译（NAT）功能，相对会复杂一些。

而旁路模式则不需要地址翻译的配置5）前者不支持npath模式（见后图），后者支持npath模式，启用该模式可见少F5设备的压力 精品.见上图，在旁路模式下，使用npath的流量处理方式，所有服务器回应的流量可以不通过bigip，这样可以大大减少流量的压力但npath的流量处理方式不能工作路由/直连的模式6）在对原有系统做负载均衡技术改造时，两种模式的工作复杂程度不一样如果对原有没有负载均衡技术的系统进行负载均衡技术的改造，那么，在路由/直连情况下，需要修改服务器的ip地址同时网络结构也要做调整（将服务器调到bigip后端），同时相关联的应用也要改动，需要进行严格的测试才能上线运行；然而，在旁路模式下，仅仅需要改动一下服务器的网关，原有系统的其它部分（包括网络结构）基本不需要做改动，故，前者对系统改动较大，后者则改动较小对于电信项目来讲，由直连改为旁挂方式主要带来以下优点：1、 增加了网络的灵活性：由于F5采用旁挂的方式，后端服务器的网关指向的为三层交换机的地址，而不是F5的地址，在对网络设备维护时可以方便的采用修改路由的方式使设备下线，便于维护管理同时，一些特殊的应用也可在核心交换机上采用策略路由的方式指向特定的网络设备。

2、 提高了网络整体的可靠性：由于旁路方式的存在，如果F5设备出现问题，可在交换机上修改路由使用数据流绕过F5，而不会对整个业务系统造成影响3、 针对某些特殊应用，提高了速度：采用旁路的方式后，一些特定的的对速度、时延敏感的应用数据在进入和离开时可以采用不同的路径，例如：在流入时可经过F5设备，对其进行检查，负载均衡而在该数据流离开时，则不经过F5，以提高其速度2.2设置负载均衡器管理网口地址F5 BIG-IP 3400 设备的面板结构:精品.BIG-IP 3400应用交换机具备8个10/100/1000M自适应的网络接口及二个光纤接口.10/100/1000 interface — 8个10/100/1000 M 自适应的网络接口Gigabit fiber interface — 2个1000M 多模光纤接口Serial console port — 一个串口命令行管理端口Failover port — 一个串口冗余状态判断端口Mgmt interface — 一个10/100M管理端口注：互为双机的两台BIG-IP必须用随机附带的Failover线相连起来BIG-IP上电开机以后，首先需要通过机器前面板右边的LCD旁的按键设置管理网口(设备前面板最左边的网络接口)的IP地址。

管理网络接口有一个缺省的IP地址，一般为192.168.1.245注：管理网络接口的IP地址不能与业务网络在同一网段，根据业务网络的地址划分，相应的调整管理网络接口的网络地址如果，在SMS中负载均衡口的external vlan和internal vlan已经采用了192.168.1.0/24的网段，必须修改管理网口缺省的IP地址到另外一个网段通过LCD按键修改管理网口IP地址的方法如下：1、。