F5 BIGIP LTM V9负载均衡器配置指导书(1).docx

1、F5BIG-IP1.TM负载均衡器配置指导书第1章F5B1.G-IP1.n1.简介1.1负载均箴技术简介1.2F5BIG-IP1.TM产品介绍第2章BIG-IP1.TM规划与配置准备工作32.1BIG-!P1.TMS1.R32.2组网规划32.2.1规划准备要点32.2.2遗网图42.3B1.G-IP面板说明5第3章根本配置53.1通过1.CD面板设置BICTP管理网口地址63.2通过管理网D整录BIG-IPWeb1.I界面73.31.icense83.4P1.atforn103.5修改系统时钟123.6配置网培131.1.1 1划分Y1.AN131.1.2 配置V1.ANIP地址1-11.1

2、3 设置接口速率和双工英皇161.1.4 纪置静态踣由161.1.5 5KK1.inkAggregation（可i）17第4章负载均衡业务配置184.1节点配置184.2配置负薪均药池194.3配置虚拟效劳器204.3.1 创立虚拟效劳整214. 3.2将虚拟殁劳器和负我均衡器相关联和会话保持配置224.1 配置使康管点244.1.1自定义节点状态施控214一4.2期控与节点/负囊均衡池相关联254.4.3核交系统状杰274.5KSSNAT274.5.1配置步度284.5.2itSNATK5E29第5章双机配置305. 1重点事风305.2 双机设置305.3 双机状态登控设置325.4 双

3、机状态检餐和配置同步34第6章附录B常见问题说明366. 1B1.G-IP单机或两台双机系统处于Standby状态.为什么？366.2 BIG-IP系统如何进行配置备份和恢复？366.3 SSH访问具有密码把有传侑的优点，谓间从哪里获取SSH客户端？366.4 网络设备通常有收集系与信息的宏命令,F5布没物相应命令？376.5 如何使用TCPDcMP进行TrOUb1.eShOOting?386.6 如何实时过视.BIG-IP的连接状态？IO6.7 如何备份和恢复配置？406.8 如何添加“只读”权限的管理员帐号416.9 如何表询设备的序列号？426.10对某一VirtUa1.SerVer用T

4、CpD1.MP命令无法抓到包如何处理?43关9黄找均街池.虚拟效劳养，节点、会话保持、购控、ECV.EAWSNAT*Jh按照常见的配置步段，本文对F5BIGTP1.TM负做均衡器设备配置进行说明，井而负载均衡器的根木故念和F5说各假用过程中遇到的常见问题进行解答.本指导书适用于BIGTP1.TM1500/3400负载均衡器(B1.GTPVerSion9)。普清单:ECVExtendedContentVerification可扩展的内容验证EVExtendedApp1.icationVerification可折,吱的应用.验证SNATSecureNctuorkAddressTrans1.atio

5、n平安网络地址转换1.BI1.oca1.TrafficManager本地流量常理器1.ACP1.inkAggregationContro1.Protnen1.链路会聚控制协议参考贵料清单IP1.atformGuide：15CK).3400,6W0,and6800,F5Networks.2005Insta1.1.ation.1.icensing,andUpgradesforBIG-IPSystems.I5Networks.2005BIG-IPNetworkandSystemManagementGuide,F5Networks,200S第1章F5BIG-IP1.TM简介1.1 负载均衡技术简介陵货

6、业务与软件产品与IP网络关条愈加密切.业务平台提供的性能以及可狄性是电信级应用的关键因素.业务与软件产品中Porta1.IHP阀关、彩铃和MMS等业芬直接通过IinernC1提供网络效劳.由于Intemet行业务效劳访同具有不可?S知性,传统的效劳寡提供大量并发效劳已经首估处理能力和I/O性能的瓶强，当业务超过已经界限将会出现-ServerTooBusy.乃至效劳器宕机等问题.针对单台效劳器有限的性能存在瓶殖的情况，负找为街器通过负找均衡机制将所有请求平均分配到多台节点效劳器，使得系统业务处理能力大大提升。此外,负载均街器还能监控效劳骞节点的可用性.其中某一台效劳器故停时.使将访问请求转移到其

7、它可以正备工作的效劳器.负载均衢器通常称为四层交换机或七层交换机.四层交换机主要分析IP层及TCP/UDP层,实现囚层流量负或均衡.七层交换机除了支持四层负钱均衡以外,迁有分析应用层的信息，如HTTP协设URI或Cookie信息，1.2 E5B1.GTP1.TM产品介绍一着F5B1.G-IP1000/2400负载均衡器停产.华为公司的替代选型为F5BIG-IP1.BI1500/3400.目前F5公司奂我均衡器（亦称为本劭流量管理器）有BIG-IP1.TV1500,B1.GTP1.TMM00,B1.G-IP1.TM6400、BIG-IP1.TU6800等型号.表11F5BIG-IP1.TM或我均

8、衡产品规格6800系列6400系y0。乐列一一S-ICio察列一版级多用途iftt管里商段多用途流量管理中级多用途遭置管理善通多用优遭立营现处理昼：双CPU处理参：双CPV处理器：单CPU处理层；单C四根本内存；2CB根本内存；2GB根本内存；IGB松本内存；768ASICsPacketVe1.ocityASICiPacketVe1.ocityASICjPacketVe1.ocityASIC:无ASIC2ASIC2AS1C2千兆位CiJi口：2个千态fCU发口：16个千兆1端口；16个千兆仅CU培口：8个千兆佗光甘发口：2个可千人位光纤维口：（SFP-千兆位光纤场口：SH-千兆位光纤结口；（S

9、FP-选CBICMinDd个(2个标准.GBICMini)-1个(2个标准.QnCMini)2个可最包括：SS1.IPSNax2个耳连2个可选）fi:SS1.IPSZMnxTPSZBu1.kfe:SS1.TPSZMax包括ISS1.TPSZMaxTPSZBU1.k加或模块；TPSZBu1.kTPSZBu1.k加赛模块，(1002.(OO5OOMB/秒)*1逮模块:加速块，(1X8.OM1G8)泡票吞吐贸：SIxmB/秒100/20.2GBt)(10015.2GB)iK*:1GB/#流黄吞吐量：4GB/杪武量吞吐Ih2GB/胫可选皮件设备：爱舛星域*可让稳件谀各：硬件任菊”1.iCenSe激活1

10、iCenSe；System-P1.atformiEJiP1.atformo2.监控与负载均衡泊相关联配置步履：*c*.Trnc&e.y.f*crxarVirtua1.Servers-Poo】S标签，逸中需要上控的负钱均衡池(Poo1.)11Ii7GASerEF*4M。士CrdMMDr，*小ESNVirtutt1.Servers页面至6Virtua1.server的状态：m1.oca1.traffic-Poo1.v页面查看Poo1.的状杰。当图标力嫌色OAVatobte时表示节点或虚教效劳器可用，当图标为红色。加X则意味着节点或由拟效劳器况态为高赎，如果图标为黄色乙UnaVaiIabie电明节

11、点或虚拟效劳器不可用。如果图标为芨件.Enown说明节点或虚拟效劳器状态未知,通常此时没有启用MwiIOro如果图标为展色说咫虚拟效劳器被禁用.4.5配置SNAT果珞由器、防火卷一样,BIG-IP系统提供NAT(NeIWorkAddrCSSTranSIatiOn)和SNAT(SCCUrCNetworkAddressTranSIation)地址转换机制.SNAT地址转换跳CiSCCPAT方式类41.如果不启用NAT/SNAT,负裁均衡池内部节点格无法访问外部网络，即外部IP可以迪Ii虚拟效劳养IP访问负我为衡池节点,但负找均衡池内部节点不能发起对外连接.4.5.2验证SNAT配置在检查SNAT配

12、置正确性之前，必须成保BIG-IP系统网关已经配置完毕.请在C1.I界面用-Mtetat-nr命令确定网关侑息巳经配置完毕：f5tcst1.DttatFrRoutingtab1.esInternet：IMKtinutiuciGaSAKyF1.agsM111.Ifdefau1.t10.77.88.254UGS3400vUn1.10.76.160.13510.77.88.254I1.GHC3400v1.an1.10.77.8。192/26IE3400V1.anI10.77.8&2500.CarC.5.36.78IHIx3400vIan1.10.77.88.2540.c.fc.2.5d.21.t1.

13、1.x3400v1.nn1.127127.0.0.IIIGRS4352100127.0.0.127.0.0.IIH4352o192.168.1MnkK1.C3400VIM1.1.O192.168.129IinW81.t3400v1.an2192.168.129.12IinktWIH1.x3400v1.an2192.168.129.13Ht8IH1.x3400v1.an2192.168.129.160.0.81.3.45.27IHIx3400IMf5tcst1.在BIGTP系统C1.1.界百中用TCPD1.P证SNAT配置举例，在内部节点(IP：192.168.129.12)中PingIP地址(

14、10.77.220.82),B1.CTP的Interna1.V1.ANIP为192.168.129.16对应SNAT地址为10.77.88.213),测试显示如下：f5tcst1.:Btc1ap-1extma1.bot10.77.88.213and1.eaptcpdunp：1isteningnnexterna11:04:55.08557610.77.88.21310.77.220.82:ictp:e10.77.88.213:icnp:echor10.77.220.82：icnp：echorequest11:01:55.IG2797IO.77.220,8210.77.88.213;icnp：ec

15、horp1.yf5t10.77.220.82:xccp：echorcqu192.168.129.12：ic即：echomp1.y11:06:02.865022192.168.129.1210.77.220.82：icg：echorvques11:06:02.86676810.77.220.82腕.168.129.12:ic11p:echorep1.yGeneTPgeBeffi51双机PIatfOnn配置(2)通常BIC-IPI的UnitID为I,B1.G-Ip2的Unitn)为2。(3)在导航条选择SYSTE耨-HighAvai1.abi1.ity,完成如下正置通过举例说明： PrimaryF

16、ai1.overAddress输入两台BIGIP的内网SC1.fIP地址BIG-IP1.的Se1.fIP为192.168.6.1.PeerIP为192.168.6.2：B1.G-IP1.的Se1.f1.P为192.168.6.2.PeerIP为192.168.6 SecondaryFai1.overAddress衲入两台BIGIP的外网Se1.fIP地址BIG-IP1.的Se1.fIP为192.168.2.124,PeerIP为192.168.2.125；B1.G-IPI的Se1.fIP为192,168.2.125.PeerIP192,168.2.124(4) RedundancyMode选释

17、ActivcZStandby模式PmarYFatoverAittessStcnU11rr4ovtrAtMrecSTMYAdSJ1rdwv(5) Enab1.eNetworkFtii1.over选项.f*XrdncMoesRkrdtncS1.ateFVe1.ererceUr1.DEEnaUMMOoMtnTmonFWcrrSya1.efnRedundancyPropct1.icaRedirdancYCftncF*:代1.xkteIF58toamrS5-3B1.CTP2G扎设置5.3双机状态监控设置BIG-IP支持多种双机状态转控方式，主要有系统,网关和V1.AN三种Fai1.-safe方式，系统F

18、ai1.safe通常通用缺省正置，不密要改动.义务与软件一般采用V1.ANFai1.-safe方式实现双机状态拈控,当V1.AN没有流量到达TimCoU1.超时叩问后执行颈先规定的操作.通常选择Fai1.over操作.V1.ANFaiIeaf。配置步噱(方法一):(1)在Web界面导航条选择Network-V1.ANs-选中Y1.AN(如Externa1)(2) V1.AN页面中的COnfiRUraIiOn下拉框选中,AdvancedConfiguration:Advanced,JSourceCheckMTUMACAdcresI15O.1:d7:2c:tf8:c4MACMosqucrodcIF

19、ai-sofePFoi-sofeTimCoUActionI30IEMa色UpdateICanCa1.De1.eteI三5-4VWNFni1.safeRKD(3)逸中ArmFai1.safe*复选框(4)在“Timeout”中填写30(5)在ACtiOn选择FaiIOVer(6)点击UPda1.e按钮完成正量。由于BIGTP系统无法同步这项配置，需要在主备双机分别进行配置。.V1.ANFai1.safe配Jt步墓(方法二)；(1)在Web界面导航条选择HighAvai1.abi1.ity(2)在FaiI-Safe标卷下拉根选择V1.ANS(3)点击Add按钮添加Y1.ANFaiIsafe(4)在

20、V1.AN下拄框选中特定V1.AN(如Externa1.SystemV1.AHFaihsaTeAddV1.AH-ConfiociretionIV1.ANTimeccrtActionCance1.IFinished图5-51UNFa1.1.safeKC(I)(5)在“Time。UJ中填写30(6) ActionFai1.ovcr(7)点击FiniShed按钮完成配置.由于B1.GTP系统无法同步这项配置，森要在主备双机分别进行配置。5.4双机状态检查和配置同步(1)状寿枪充在配置完初始化配置并重启后，通过“ifconfig-a”命令确认在主用BIG-IP森统显示ShareIP,而在备用BIG-I

21、P系统仅显示Se1.fIP,ff1.,bfai1.overshow*命令可以诊认系统的状态。或者在Web配置界面中通过,*System-HighAvai1.ab1.e*Network-Se1.fIPAddresses进行登看.在浮动IP属性中.其状态为“F1.oating.在Web界面的“BIP-IPStatusApp1.et窗口也显示了BIG-IP系统的状态。(2)连接状态气像ISJt一BIG-IP系统负我均街池.虚拟效劳器、密控等配置请参见UEB配置局部.为了同步主各机之何虚拟效劳器连接状态，帘要在虚拟效劳器属性页中启用MirrorConnections,ii项；恕唔其提示，选择“确定.(

22、3)能量同步一一在主用BIG-IP系统的“System-HighAvai1.ab1.e*页而中，点击SynchronizeConfiguration按钮，把主用系琉上的四层业务配置同步到备机中去.页面显示成功后返Sk切换到备礼的WCb登录赏面，可以观.察到.主用系统上的1.4/1.7层业务配置已经全部同步到备机中了。Cx*HMvMo:kw*Iff1.5-6X同步D1.dS1.q(4)验证各机的可用性一一在主用BIG-IP系统中强制切换为Standby各用运行模式,在备用BIGTP系统中通过WEB界面或CU界密资看状态是否切换为ACIivC主用运行模式。检衣上线网关有效性以及测试应用的可用性。第

23、6章附录B常见问题说明6.1 B1.G-IP单机或两台双机系统处于Standby状态，为什么？单系统处于Standby状态,通常是BIGIP系统1.icnese没有生效，清执行bigstartrestart命令查看Sod进程是否正常启动：fStest-1:abiestarirestartbigstart：restartinctdbigstart：restartnanedbistart:restartsodbistar1.:seedki1.1.ed.15secait1.sexpired输出褥略f5test-1.:bfai1.overThefai1.oversta1.eIsSTANDBY.解决方法

24、激活1.iCCnS(S激活1.iCCnSC后bigstarirestart令结果如下:51.cs1.-1.:8bis1.ar1.restartbigstart：restartinetdbiestart：restartruwdbigstart：restartsodJan1614:52:2f5tes1.-1.kcrtx1.:BIG-IPauthoria1.isuccessfu1.Jnn1614:52:29f5tcxt-1.kerne1.：SS1.TTS1.cxe1.：100f5tst-1.:bfai1.overshowIhefai1.overs1.a1.cisA11IVT.6.2 BIGTP系统

25、如何进行配置备份和恢复？&QJ使用“bconfigsavecoofig-保存IE置.货用“configinstft1.1.Archives中，点击Creat0,在备份页面输入名称点击门nished保存当前配置，.如果不指定路径，默认保存在目录“/vat/IOCavOC8*中.选择恢复：在“S”taAtcMvma,中选獐相应的备份，点击Restore恢复配置6.3SSH访问具有夸码加密传输的优点，请问从哪里获取SSH客户端？有用的SSH客户端有: PUTrY-本免费工具为绿色软件，无声安.装. HSS1.1.-ITSSH是公司标准软件TeraTer的SSH扩展免费软件。 SecureCRT-本软

26、件功籍强大,评估版为免费软件。本例仅给出PUTTY的使用说明:fPuTTY.aPU11YConfigurat1.cti窗口中输入主机名.并选定协议方-SSr.点击Open即可通过SSH登录到B1.G-IP系统：6.4网络设备通常有收集系统信息的宏命令，F5有没有相应命令？与华为潞由器disp1.aybase-inforaation、华为交换机“disp1.aydiagnostic-informtion-、思科ShOWtech-support”和NeiScrecn防火墙ort”给4美但.B1.GTP系统也有对应信息收集工具叫F5QkviewDiagnosticToo1.,通过Qkview工具可以

27、采集BIG-IP上的配置信息及日志信息，以供离竣的故障珍斯.在C1.J界面中执行“qkviv,Qkview工具执行完成后将输出信息保存在文件,vart三p-ch.out宁.在进行故建珍断和寻求南授技术支持，别忘了执行本命令.QkVieW也可以通过Web界面获取，步熊如下:(1)在SySteBSupport1I7,选中QKVieWSyvtESupportSMCPOr1.Spow0WCw(2)点击StarI运行Qkviow工具，运行过程如下:SupportSnapstMxtSnapafKtF1.eC)PToCeeS.(3)QkVi。“运行过些大概会抵统3至5分件.执行玷果如下:ThuMtff252

28、0iaa)CST200641TWtMMSnf1.PeK4/MOcrrrM0r(4)点击Down1.oadTtQkview的输出文件.注&(1)修改下我文件的文件名以免双机的文件重名冲突.(2)下我先后及时清理vart三p目录，防止空同缺乏,6.5如何使用TCPDuMP进行Tr。UbIeShooting?TCPDUMP是UniX系统常用的报文分析工具,TCPDIMP好常用于故障定位，如会话保持失效.SNAT通信问题等.本文耕逑TCPDUMP命令的根本用法，更详细的使用说明请叁见“manIcpdump.命令语法:tcpduap-adefInNOpqRStvxXI-ccount-Ffi1.e-iin

29、terface-mmodu1.e-rfi1.e-sSnaP1.en-Ttype-wfi1.e-Ea1.go.secretexpression其中： -i裁文捕获监听的接口,如果不指定.默认为系统最小编号的接口不包括1.oop-back接口) f不将IP地址或靠口号转化为域名或协议名称 F从文件中读取(该文件由-W选项创立 -S跋定捕获报文大小 -W直接将捕获报文写入文件,而不是对其进行解析并透过屏幕显示(与-r选项就应) i每个数文以十六进制方式显示 -X每个寂文同时以文本和十六进制显示 expression匹配表达式的分缎将进行解析。如果不指定表达直，系统对所有分组迸行捕获分析.复杂表达式可

30、以使用“and”与、or”献以及鞋操作进行姐合.表达我有三种： type三种种类：host,netf三port.比方：host10.1.1.1.如果不指定类型，默认为host. dir有rcdst.rcordst柘srcanddst四种方向.默认为SrCordst.即双向. proto常见协议有：ip、exp、t10.75.9.M,1W:.302192826：302192827(1)ack558871968vin64360(1.*)0x0000012c08001500002938cf40007f06c3b2.,.E.)8.0x0010BMI6002Oa1.b092cO1.b1.Q591203I

31、8ba./.KOMX1.202Hft5a5010fb68a以60000OO!0.P.k4.21:4H:41.29601510.75.9.44.1133139.212.96.2.1201:.ackJwin644(DF)0x0000012c08001580038cb2d400。7f063155.E.WDX(X1.IO0x0(200x0030OMb092c8bd1.6002059O1.b1.214f5a0.K./!O.1203I8bb5010fc7c&812OOQDOOOOOOOO.P.OOOO.21:18:50.701130139.212.96.2.120610.75.9.H.MX3：.30197

32、4931:304971935(1)ack三IO63vinW82(DF)O1.XK1.ODxOO1.O0x0020012c帕X4500002938f740007f06c38a,一.E,)&0Sb(M60020a4bO92cOIbB0999I22d56.K-V2Iac加275010fd720a6b080OO!.,P.r.k.2):48:50.7O2710.75.9.44.143313$,212.%.2.1206：.ack】winft5267(DF)OxOOOO0x1X1100x00200x0030012cOe1.X1.15000028d的640007f0628dc.E.C,6db092c8bd1.

33、60020599(MbS21ac加27.K.!.*122d8c575010fcf30a00OOOOOOOO.-.VP.IXKIO,举例2：ftinterna1.接口主机172.31.230.53和17231.23Q.51之间端口8080的流量进行分组捕获。本命令不解析IP地址/端口号为主机名/效劳名称,报文最大为1600字节.辅获信息以u/vart三pintdunp*文件保存：tcpdu11p-5ItVOOFiinterna1.-*vrt11p,-zintdurvhost172.31.230.5311dhost)72.31.230.61endport8080如果登看该捕获文件，请用tcx1.u

34、mp-rvartmpintdu命令。6.6 如何实时监视BIGTP的连接状态？请使用“atchbconn.命令，退出请按“Ctr1.+C.显示例如如下：6.7 如何备份和恢复配置？对B1.GTP进行配.置调婺之后.洪议及时券BIG-IP进行配置备份。备份方法步果如下：(1)进入SystemArChiVRS,点击Crei1.te：Iz,z-PS44s3-wo2oceEncfvuhr1.K11*xijdvVJ*XIC*dInd6KP9233M3CveretWS1.MusSav9accvconfIsrae1.on.(2)配置备份好后，点击设配置文件并下收到外部电脑上:FteMrw1.HZqe1.Ja

35、052$MSCM93B1XDxnayDeteTkjMrMM1.320TX06SoaIBBKktMnAtf*v,M恢复配置方法类似，在上图中点击ReStore按钮即可完成正置恢复。6.8 如何添加“只读”权限的管理员帐号为了防止对bit1.i1.)进行误操作,建议管理员以“只读”权跟的用户名进行登录，这支“只读”权限的管理员帐号方法如下:(1)点击左恻导航等的SyStemUsersCreate：(2)进入停加管理员帐号的操作界面:AcFMwfUtv2jIMOACCmmP1.(3)在帐号页面中如下各栏进行正置:UserName代表用户名Authentication：伶入该用户登录时辨到的宓码WebUserRoIe选挣该用户登录时所具右的操作权限.AdminiStratOr：超级用户OperatOr:可以月效劳鞋节点进行up/doun舞作的权限CUeSt:完全只读的权限NOAeCeSS:无任何访问的权艰(4)点击FiniShed按钮完成配置。6.9如何查询设备的序列号？负伐均衡器的序列号可能从设备前面板右边的机架安装处获得.是在一个条形码标签下面以bip开头的一串字串,如果设备巴没上架,不方便宜看设备的序列号的话，也可以通过1.iCenSC文件,获取设备的序先号，1.icense文件保存在configbigip.1.icense文件中.在文件中