1、F5BIG-IP1.TM负载均衡器配置指导书(V1.o)2024-07-16修订记录日常修订版本措逑作者2011-08-151.00初稿完成邹善第1章F5B1.G-IP1.n1.简介11.1 负载均箴技术简介11.2 F5BIG-IP1.TM产品介绍11.3 产品面板简介31.4 配置方式51.5 根本辕令6第2章BIG-IP1.TM规划与纪置准备工作72. 1BIG-IP1.TM比置步骤72.2组网规划72.2 .I规豺准备要点72.3 .2组网图8第3章根本正置93. I通过1.CD面机设置B1.G-IP管理网口地址IO3.1 Ia过管理网D登录B1.eTPWebUI扉面113.2 盘活1
2、icense113. 4iKP1.atforn143.5 修改系统时钟163.6 配置网络163.6.1 1划分Y1.AN163.6.2 配置V1.ANIP地址183.6.3 设置隹口速率和双工类型203.6.4 配置静态路由203.6.5 5S?.I1.inkAggregation(可选22第4章负我均衡业务配置234. 1节点配置231.2配置倒推均衡池244.3配置虚拟效劳券254.3.1 创立虚拟效劳器264.3.2 将虎拟效劳器和负钱均衡盘相关联和会话保椅配置281.4配置健康龄登291.4. 1自定义节点状态盥控291.4.2 Ia控与节点/负钱均衡池相关联301.4.3 检查票
3、统状态321.5配置SNAT321.5. 1配置步显334.5.2iSNATE1.34第5章双机配置365. 1双机设置365.1. 双机状态住控设置385.2. 双机状态检查和配置同步40第6章其他的组网方式426. I单口姐网方式426.2n-pa1.h组网方式13关9黄找均街池.虚拟效劳养,节点、会话保持、购控、ECV.EAWSNAT*Jh按照常见的配置步段,本文对F5BIGTP1.TM负做均衡器设备配置进行说明,井而负载均衡器的根木故念和F5说各假用过程中遇到的常见问题进行解答.本指导书适用于BIGTP1.TM1600/3600负载均衡器(B1.GTPVerSion10).普清单:EC
4、VExtendedContentVerification可扩展的内容胶证EAVExtendedApp1.icationVerification可扩装的应用脍证SNATSecureNetworkAddressTrans1.ation平安网络地址转换1.n1.1.oca1.TrafficManager本地流量帝理器1.ACP1.inkAggregationContro1.Prot链路会聚控制协议参考贵料清单IF5BIG-IP1.TM负敌均衙器配置指导书.林浩双华为技术有跟公司HUAWEIAARADIUS负我均衡配置指南-F5BIGTP.华为技术有限公司P1.atfomGuide:1600.F5Ne
5、tworks.2011P1.atfomGuide:3600,F5Networks,2011ConfigurationGuideforB1GIPG1.oba1.TrafficManager(v10.2).F5Networks.2011TMOSManagement_Guide_for_BIG-1P_Systems.F5;84x1PSBu1.k加建植块;S01.5,s)流量吞吐量:2GbPS1600系列普通多用途源置管理死理器:IXdua1.core根本内有:4GB千兆Iie1.柒口:,1个千兆他无钎缰口(SFPGBICMini);2个可选SS1.TPS/HhxIPSZBuik加速恨块:5f1.O5
6、OOOZ1.Gbps)流量吞吐步:IGbpsVipriunt!(K)系列超级多用途流量管理满交?200.(10036Gbps):量不吐女;72GbPS-1.1.72Gbps-1.7Viprion2400系到一好盛多用迨疏量管理送配置SMaxIPSzrBu1.k加速模块;8ns等负找均衡方法. 会话先拾(Persistence)会话保桥就是指负我均衡器可以成保同一客户靠一系列相关器的访问请求会被分正到同一个节点上.会话保椅方法在VirIUi1.Iserver中况置,会话保抖方法包好:Sourceaddress.Cookie,Destinationaddress,Hash.SIP.SS1.等会话
7、保挥方法. 健康检安(Monitor)健康检查用于检险负我均衡池中成员节点货康状态。当港中成员节点效劳中断时,BICTP设备将会把海量重定向到其它成员工点.健直检企方法包括Ping成员的IP地址、检查成员的转口是否启用、模拟客户提发真正的业务请求等.1.1 BIG-IP1.TM规划与配置准备工作1.2 BiG-IP1.TM配置步骤在对F5BIGTP进行配置之前,首先要做好规划工作.BIG-IP1.TM主要配置步盘如下:1)组网规划-在组网规划中,包含主机名、IP地址/Y1.AM塔由、虚拟效劳器、地址池、负载均衡算法、会话保持方式.双机等内容进行规划,并给制出限网拓扑图。2)初始化超置-通华使用
8、WEB完成初始化配置,包抒盘活1.iCCnSe.平台配置和网络配1.3)配置何络V1.AN和IP地址4)更改系统叶钟(可选)5)空置负我均衡池6)配置节点状态监控7)配置废拟效劳器8)配置SNAT/NAT9)配置双机说明:(1)本配量步骤为常见配置顺序.本文没有包括过海和SS1.ProXy等配置,(2)主用BIG-IP系统要完成以上所有配置步骤,备用B1.GTP系统可以跳过5-8步,而通过主用B1.G-IP系统将配置同步到备用BIG-IP系统中去.1.3 组网规划本节主要根据典型F5BIGTP1.TM典型应用以实例给出配置指声,后续章节具体配置说明不一定跟本实例完全相同。1.3.1 规划准备要
9、点在安装B1.G-IP系统之前,请检表如下准备工作是否做好: 设备物理连接规划. IP地址规划,根据实际需要划分网段和分史IP地址. B1.G-IP双机需耍3个外部Y1.AN1.P,2个分别为主备机的Se1.fIP.个为Share1.P。 B1.G-IP双机需要3个内部Y1.ANIP,2个分别为主备机的SeIfIP.一个为Share1.P。 BIP-IP双机需要2个同步V1.ANIP.2个分别为主备机的Se1.fIP(如果需要启用networkfai1.over功能) 每一个虚姒效劳器IP地址或NAT需要一个外部Y1.ANIP。SNAT映射IP地址可以收.建拟效劳器IP地一样. BIG-IP内
10、部每4节点需要一个内部V1.AN1.P. 需定H1.G-IP主机名,并且确保BIC-IP双机主机名不一样. 哺友B1.G-IPUnit1D,并且确保BIG-IP双机的UniIH)不一样。2.2.2组网图典型F5BIG-IP1.TM负践均衡器部署方式紧用“双Tt旁挂”式建接(如图2T所示)。KX1Externa1.v1.an:192168.2010/24a三OMOVDFaiIoverti.;皿2皿I*192.166201.2S4*tevw1.fr刈。血心皿24$Aoat1.O:MZ16t201.2S4tntrmut36(X第3章根本配置本文以BIG-IP1.TM1600为例讲解整个配置蛀程,根本
11、上讲解了BIGTP整个况置过程。对于新的B1.G-IP设备,根本正置主襄包括:(1)通过1.a)面板设置BIC-IP管理网口地址(2)通过管理网口登荥B1.G-IPWCb界面(3)通过SetupUti1.ity盘活1.icense,配置P1.atfonn和配置网络。也可以通过导航菜隼System-1.iCenSe激活1.iCenSe:System-PIatform配置P1.atftHm,注意:在安装之前,必须注意如下事项:(1) BIGTP的接口与V1.AN分配相关,网线连接接口位置不能随意更改,否则可能导致网络无法遥接。(2) 互为双机的两台BIG-IP必须用陵机附带的Faikver段相连起
12、来。(3) 可以通过1.CD面板设置/获取管理网口地址来进行根本配置,或是通过命令行方式,运行config,命令来配置管理IP.3.1通过1.CD面板设置BIGTP管理网口地址BIG-IP上电开机以后,首先需要通过机器1.Q)面板的按煲设置Managemen1.管理网口的IP地址。管理区络接口缺省的IP地址为192.168.1.245/24,可以通过两种方式设置管理网口的IP地址:通过1.CD按键1)按红色X按键.2)在液晶面板上逋过段键按以下顺序设置管理网口的网络地址:Syste.-Management-MgmtIP.3)在液晶面板上逋过按键按以下畸序设置管理网口的子网棒码:Syste三-M
13、anagement-MgmtMask.4)进入“Co三mit提交菜单,啸认提交通过COnSOICP将PC机上的本口与F5BIC-IP设备无板上的-Seria1.conso1.eport*用申口线连接.在PC机上通过短线终提登录F5BIG-IP.描入“config”,根据提示设置管理网口的IP地o用户名/宙码默认为:root/defau1.t.说明:(1) MiInaemen1.(Ingint)接口可以用于维护管理用途,可以将该接口迷接到业务系琉维护Y1.AN.(2)管理网络接口的IP地址不能写业务网络在同一河段,防止出现地址冲突根据业务网络的地址划分,相应的调整管理区塔接口的网烙地址。(3)如
14、果通过1.CD按键修改完IP地址以后.Commit.地址无法成功改交(例如出现JP地址为全零的情况),很有可能是管理口IP地址与系统内巳经配置发生冲突.出现这种情况,关机电启以后,曳新选定IP地址或区段来设置管理网口地址.置步:(1)在导航面板中选择1.QCaITraffic-Virtua1.SRrVerS标卷点击wCreate*按钮添加虚以效劳器.1.oca1.TrafficVirtua1.Servers:Virtua1.Server1.istNowVirtua1.Server.图43米报效劳史翼1SIPPfOIeV1.ANandTunne1.TracAjvtAKsandTunne1.sRe
15、sourcesiRu1.sEnab1.edUp:PoHW_CRM_RieWi-sys-au(h-krbde1.egate1_sys_auth_Wap1.SyWhWusy-auth-1.-ccjoc*PersistenceProfi1.eUPdaCe(Ru1.esNameac1.wenumbeVirtua1.Servers-Nodes标签,选中需要览控的节点(Node)TtIfcOm(2)将Monitore与负敌均肉池相关联(3)Hea1.thMonitors中将可用的MOniter方式选中点击*Virtoa1.Servers页面查看Virtua1.server的状态;1.oca1.traffi
16、c-P页面杳看Poo1.的状态.当图标为竦色OAVai1.abIe时表示节点或虚拟效劳器可用.当图标为红色Off1.ine则焦味才节点或虚拟效劳器状态为离线,如果图标为黄色45VaMbJe说明节点或虚以效劳器不可用.如果图标为荒色Snown说明节点或虚拟效劳器状态未知,通常此时没有启用MonitOr.如果图标为黑色说明成我效劳器被禁用。4.5配置SNAT跟路由器,防火墙一样,BIG-IP系统提供NAT(NetWorkAddreSSTranSIatiOn)和SNAT(SeCUreNetworkAddressTranSIatiOn)地址转换机制,SNAT地址转换跟CiSCoPAT方式类奴.如果不启
17、用NAT/SNAT,负载均衢池内部节点将无法访问外部网络.印外部H,可以通过虚拟效劳器IP访问负我均衙沌节点,但负我均衡池内部节点不能发坦对外连接。NAT和SNAT都可以通过地址转换访问外新回络.不过SNAT不接受外部发起的连接。一个SNAT地址可以时应一个节点地址、多个节点地址或一个V1.AN网段。NAT地址与节点地址是一对一的关系。本文仅给出业务与软件常用的SNAT配置步骤.说明:SNAT地址可以不是唯一的,比方,SNAT地址可以便用虚拟效劳器的IP地址.4.5.1配置步骤(1)在导航面板中选择1.oCa1.TIafTi1.SNATs标签,点击“Croat*接包流加SNAT地址。三4-11
18、SVATJEI*rwwAcc.aU1.a*(*ftma*c5冰WiaiOEMZ41.oca1.VrMIchSIUTt:$MAT1.ht.O.6pn65,y-TenipU1.nt*dWh.心I-JiOMCorWMg8ECAdIMMCCE1.1.r3UTrj5UtW0113,T,*,4KEMoV13SWSRxrMRxbM94V311TiMcCmsSKATiVtAMgFaCM1.oca1TrafficGerna1.*中启用41SnatPacketforwarding,.说明:如果需要添加外部单独访问内部特定节点IP.由于NAT和SNAT不能共存,可以针对特定争点创立单个节点组成的负假均衡池PooI,
19、效劳为“0,然后创立虚拟效劳骞VIP,效劳也为0,将Y1.P和POO1.关联起来,这时候这个VIP就是那台要访问的效劳器.同时需要注意的是,在V1.O中,Snat的1.ieout时间缺省是无限长的,需要手工到Snat地址中对其做修改,否则有可能引起业分的问题。1.oca1.TrafficSNATs:SMATTrans1.ation1.ist192.168.201.20ePropertiesStatistics及Genera1.PropertiesIPAddress19216820120PartitionCommonStateEnab1.ed7JConfigurationARPHEnab1.ed
20、Connection1.imit0TCPId1.eTimeoutSpecify.-3600secondsUDPId1.eTimeoutIIndefiniteIPId1.eTimeout!indefiniteDe1.ete4.5.2舲证SNAT配置在检查SNAT空置正确性之前,必须稳保BIG-IP系统网关已经配优完毕.请在C1.I界面用netstat-nr”命令确定网关信息巳度配置完毕:f5t8t1.三Oetetat-nrRoutingtab1.esInternet:IXestinationGemayFkgBMTUIfdefau1.ti11.88.254UGSS400v1.aa1.10.76.1
21、60.13510.77.88.2511.iQIc3400v1.an!10.77.8.192/261.ir7IE3100v1.an1.10.77.88.2500.0.fc.5.36.78MC3400V18i10.77.88.2S40.4re.2.5d.12IH1.C3400vIan1.127127.0.0.11.iGRS4352InO127.0.0.】127.0.0.I1114352)o0192.168.1IX3400vIanO192.168.129IinkJW1.C3400v!w2192.168.129.12iirB8UI1.c3400v1.?in2192.168.J29.13Ii闺珀IH1.
22、C3400v1.an2192.168.129.160.eO.81.3.45.271.H1.x3400)o05us1.1.RI;IGTP系统C1.1.界百中用TCPDUMP.验证SNAT配置举例,在内部节点。P:192.168.129.12)中Ping外部IP地址(10.77.220.82),BIGTP的Interna1.V1.ANIP为192.168.129.16(对应SNAT地址为10.77.88.213).测试显示如下:5)0.77.220.82:icnp:echorequest11:04:55.08780310.77.220.8210.77.88.213:icnp:e,hor】D.220.82:icnp:e)0.77.88.213:icnp:echorep
免费区 
