FV配置手册.docx
- 文档编号:3182372
- 上传时间:2022-11-19
- 格式:DOCX
- 页数:20
- 大小:48.34KB
FV配置手册.docx
《FV配置手册.docx》由会员分享,可在线阅读,更多相关《FV配置手册.docx(20页珍藏版)》请在冰豆网上搜索。
FV配置手册
F5BIG-IP
负载均衡器配置指导书
一、网络结构与IP地址规划4
二、配置BIGIP3600负载均衡设备8
2.1旁路/直连的选择8
2.1.1路由/直连模式的介绍8
2.1.2旁路模式的介绍8
2.1.3路由/直连模式同旁路模式的比较9
2.2设置负载均衡器管理网口地址11
2.3登录BIGIP的WEB管理界面12
2.4激活License13
2.5初始化设置14
上的平台(Platform)通用属性设置14
2.5.2修改系统时间16
2.5.3设置缺省管理权限策略16
2.5.4重新启动bigip17
2.6配置网络层17
2.6.1划分vlan17
2.6.2定义IP地址18
2.6.3配置路由20
2.7配置双机设置(HighAvailability)21
2.7.1配置RedundantPair的IP地址21
2.7.2配置双机自动切换机制FailSafe配置22
2.8配置服务器负载均衡23
2.8.1配置Monitor24
2.8.2配置Profile25
2.7.3配置负载均衡Pool26
2.8.4创建iRule负载均衡控制规则以根据源地址选择服务器27
2.8.5建立Virtualserver,实现对服务器的负载均衡28
2.8.5设置SNAT30
2.9两台BIGIP配置同步33
2.10备份配置34
三、系统运行状态检查及维护35
3.1检查系统日志信息:
35
3.2检查Node状态35
3.3查看流量信息36
3.4查看系统当前性能参数37
3.5密码的更改37
3.6添加“只读”权限的管理员帐号38
3.7如何查询设备的序列号:
38
3.8如何采集信息提供他人进行故障诊断39
3.8对某一VirtualServer用TCPDUMP命令无法抓到包如何处理?
40
一、网络结构与IP地址规划
本手册以移动WAP/彩信网关为例
网络拓扑结构如下图所示:
整个数据网络设备,采用两台防火墙、两台BIG-IP3600负载均衡器、及两台交换机、网络设备都采用主、备设备,以实现设备、链路的冗余备份,以消除单点故障。
这里部署负载均衡器的目的主要是为了增加服务器的数量,以提升系统的处理能力。
但对外仍然是一个IP地址。
相关的IP地址规划如下:
注:
以上的IP地址规划是测试环境的IP地址设置,需要根据现网环境中的IP地址规划进行修改。
BIG-IP3600-1
VIP1
10.10.3.108
对外的虚拟IP地址
SNATIP1
10.10.3.108
SNAT地址(指向PORTAL)
ExternalShareIP
10.10.3.3/24
同第一层防火墙trust同一VLAN
ExtervlanselfIP
10.10.3.1/24
同第一层防火墙trust同一VLAN
InternalShareIP1
192.168.20.103/24
同第二层防火墙Untrust一VLAN
Internalvlanselfip1
192.168.20.101/24
同第二层防火墙Untrust一VLAN
BIG-IP3600-2
VIP1
10.10.3.108
SNATIP1
10.10.3.108
ExternalvlanShareip
10.10.3.3/24
Externalvlanselfip
10.10.3.2/24
InternalShareIP
192.168.20.1103/24
Internalvlanselfip
192.168.20.1101/24
注:
建议现场工程师先填写以下规范表:
序号
项目
F5-3600-1参数
F5-3600-2参数
建议值
备注
系统参数
主机名
root用户密码
default
default
Admin用户密码
admin
admin
Web连接方式
HTTPS
HTTPS
命令行连接方式
SSH/console
SSH/console
网管服务器IP
系统管理IP
系统管理IP地址
掩码
网关
端口参数
Ethernet2.1端口描述(trunk)
Ethernet2.2端口描述(trunk)
Admin带外管理端口描述
trunk模式
Trunk配置
Trunk_10
Trunk_30
防火墙互联
vlan号
10
vlan描述
TO-FW
本机IP地址
虚拟IP地址
防火墙虚拟IP地址
F5HA配置方式
Active
Standby
F5Fail-Safe模式
GatewayFail-Safe
GatewayFail-safe模式分别由两台F5设备监测前端的防火墙地址,如果出现无法连通防火墙地址则进行切换。
F5Fail-safeAction
FailOver
进行主备切换
服务器互联
vlan号
30
vlan描述
TO-Server
本机IP地址
虚拟IP地址
F5HA配置方式
Active
Standby
F5Fail-Safe模式
VLANFail-safe
GatewayFail-safe模式分别由两台F5设备监测VLAN流量,发现VLAN失效时进行切换。
F5Fail-safeAction
FailOver
进行主备切换
SNAT地址
SNAT后地址
路由设置
DefaultGateway
(Juniper防火墙地址)
二、配置BIGIP3600负载均衡设备
本章将主要描述BIGIP3600负载均衡设备的配置方法及配置内容。
2.1旁路/直连的选择
2.1.1路由/直连模式的介绍
网络连接的物理结构如下结构:
Ip规划说明:
图中bigip为负载均衡交换机,bigip上面使用公开的ip地址,bigip下面同负载均衡的服务器使用不公开的ip地址。
但对外提供服务则使用公开的ip。
2.1.2旁路模式的介绍
网络连接的物理结构如下结构:
Ip规划说明:
图中bigip为负载均衡交换机,bigip和负载均衡的服务器均使用公开的ip地址。
2.1.3路由/直连模式同旁路模式的比较
(1)流量走向不一样;
路由/直连模式的流量走向如下:
如上图,bigip同客户端的流量在bigip的上联接口,bigip同服务器的流量在下面的接口。
旁路模式的流量走向如下:
如上图,bigip无论同客户端还是同服务器的通讯流量均在bigip的一个接口上。
(2)接口流量压力不一样
见2.1图:
路由/直连情况下,bigip同客户端的流量在bigip的上联接口,bigip同服务器的流量在下联的接口,故bigip单一接口压力较小。
在旁路模式,bigip无论同客户端还是同服务器的通讯流量均在bigip的一个接口上,故bigip单一接口压力较大。
为解决此问题,可以在bigip和交换机之间采用链路聚合技术,即端口捆绑,以避免接口成为网络瓶颈。
(3)网络结构的安全性不一样
路由/直连情况下,可以不公布服务器使用的真实ip地址,只需要公布提供负载均衡的虚拟地址即可,而在旁路情况下,则客户端可以得知服务器的真实地址,在此模式下,为保证服务器的安全性,服务器的网关指向bigip,可以使用bigip上的包过滤(防火墙)功能来保护服务器。
(4)对后端服务器的管理方便性不一样
路由/直连情况下,因服务器的真实地址可以隐含,故管理起来需要在bigip上启用地址翻译(NAT)功能,相对会复杂一些。
而旁路模式则不需要地址翻译的配置。
(5)前者不支持npath模式(见后图),后者支持npath模式,启用该模式可见少F5设备的压力
见上图,在旁路模式下,使用npath的流量处理方式,所有服务器回应的流量可以不通过bigip,这样可以大大减少流量的压力。
但npath的流量处理方式不能工作路由/直连的模式。
(6)在对原有系统做负载均衡技术改造时,两种模式的工作复杂程度不一样
如果对原有没有负载均衡技术的系统进行负载均衡技术的改造,那么,在路由/直连情况下,需要修改服务器的ip地址同时网络结构也要做调整(将服务器调到bigip后端),同时相关联的应用也要改动,需要进行严格的测试才能上线运行;然而,在旁路模式下,仅仅需要改动一下服务器的网关,原有系统的其它部分(包括网络结构)基本不需要做改动,故,前者对系统改动较大,后者则改动较小。
对于电信项目来讲,由直连改为旁挂方式主要带来以下优点:
1、增加了网络的灵活性:
由于F5采用旁挂的方式,后端服务器的网关指向的为三层交换机的地址,而不是F5的地址,在对网络设备维护时可以方便的采用修改路由的方式使设备下线,便于维护管理。
同时,一些特殊的应用也可在核心交换机上采用策略路由的方式指向特定的网络设备。
2、提高了网络整体的可靠性:
由于旁路方式的存在,如果F5设备出现问题,可在交换机上修改路由使用数据流绕过F5,而不会对整个业务系统造成影响。
3、针对某些特殊应用,提高了速度:
采用旁路的方式后,一些特定的的对速度、时延敏感的应用数据在进入和离开时可以采用不同的路径,例如:
在流入时可经过F5设备,对其进行检查,负载均衡。
而在该数据流离开时,则不经过F5,以提高其速度。
2.2设置负载均衡器管理网口地址
F5BIG-IP3600设备的面板结构:
BIG-IP3600应用交换机具备8个10/100/1000M自适应的网络接口及二个光纤接口.
10/100/1000interface—8个10/100/1000M自适应的网络接口
Gigabitfiberinterface—2个1000M多模光纤接口
Serialconsoleport—一个串口命令行管理端口
Failoverport—一个串口冗余状态判断端口。
Mgmtinterface—一个10/100M管理端口
注:
互为双机的两台BIG-IP必须用随机附带的Failover线相连起来。
注:
管理网络接口的IP地址不能与业务网络在同一网段,根据业务网络的地址划分,相应的调整管理网络接口的网络地址。
如果,在SMS中负载均衡口的externalvlan和internalvlan已经采用了到另外一个网段。
通过LCD按键修改管理网口IP地址的方法如下:
1、按红色X按键进入Options选项;
2、在液晶面板上通过按键按以下顺序设置管理网口的网络地址:
Options->System->IPAddress/Netmask->Commit
如果通过LCD按键修改完IP地址以后,选择Commit,地址无法成功改变(例如出现IP地址为全零的情况),很有可能是管理口IP地址与系统内已经配置发生冲突。
出现这种情况,关机重启以后,另选一个IP网段来设置管理网口地址。
警告:
在设置好网络管理口地址以后,通过网络登陆到BIG-IP上进行其它配置更改时,都要保证网络管理口的网络连接完好。
否则有时会出现修改的配置无法被成功加载应用的情况,因为网络管理口为Down的情况会妨碍配置文件的加载。
2.3登录BIGIP的WEB管理界面
管理BIGIP有两种方式,一种是基于WEB的https管理方式,另一种是基于ssh的命令行管理方式。
除特别配置外,采用WE
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- FV 配置 手册