F5BIGIPLTM负载均衡器配置指导书(v10)(DOC56页).docx

1、F5BIG-IP1.TM负载均衡器配置指导书（V1.o）2024-07-16修订记录日常修订版本措逑作者2011-08-151.00初稿完成邹善关9黄找均街池.虚拟效劳养，节点、会话保持、购控、ECV.EAWSNAT*Jh按照常见的配置步段，本文对F5BIGTP1.TM负做均衡器设备配置进行说明，井而负载均衡器的根木故念和F5说各假用过程中遇到的常见问题进行解答.本指导书适用于BIGTP1.TM1600/3600负载均衡器(B1.GTPVerSion10).普清单:ECVExtendedContentVerification可扩展的内容胶证EAVExtendedApp1.icationVeri

2、fication可扩装的应用脍证SNATSecureNetworkAddressTrans1.ation平安网络地址转换1.n1.1.oca1.TrafficManager本地流量帝理器1.ACP1.inkAggregationContro1.Prot链路会聚控制协议参考贵料清单IF5BIG-IP1.TM负敌均衙器配置指导书.林浩双华为技术有跟公司HUAWEIAARADIUS负我均衡配置指南-F5BIGTP.华为技术有限公司P1.atfomGuide：1600.F5Networks.2011P1.atfomGuide：3600,F5Networks,2011ConfigurationGuide

3、forB1GIPG1.oba1.TrafficManager(v10.2).F5Networks.2011TMOSManagement_Guide_for_BIG-1P_Systems.F5；84x1PSBu1.k加建植块;S01.5,s)流量吞吐量：2GbPS1600系列普通多用途源置管理死理器：IXdua1.core根本内有：4GB千兆Iie1.柒口：，1个千兆他无钎缰口(SFPGBICMini)；2个可选SS1.TPS/HhxIPSZBuik加速恨块：5f1.O5.OOOZ1.Gbps)流量吞吐步：IGbpsVipriunt!(K)系列超级多用途流量管理满交?200.(10036Gbps

4、):量不吐女；72GbPS-1.1.72Gbps-1.7Viprion2400系到一好盛多用迨疏量管理送配置SMaxIPSzrBu1.k加速模块；8oc*PersistenceProfi1.eUPdaCe(Ru1.esNameac1.wenumbeVirtua1.Servers-Nodes标签，选中需要览控的节点(Node)图49网整Hrn1.thMonitors(2)芍点史置项下泣框HeaIthHonitorsNodeDefau1.t.NodeDefauIt设置可以在1.oca1Traffic-Virtua1.ServersNodes-Defau1.tMOnitOr标霎中调整：如果需要针对具

5、体节点调整抽控方式.选择下拉框Hea1.thMonitors为NodeSpecific.将可用的MOnitor方式选中点击Virtua1.Servers-Poo1.s标签,选中誉要!&控的负钱均街池(PooI)TtIfcOm(2)将Monitore与负敌均肉池相关联3 3)Hea1.thMonitors中将可用的MOniter方式选中点击*Virtoa1.Servers页面查看Virtua1.server的状态；1.oca1.traffic-P页面杳看Poo1.的状态.当图标为竦色OAVai1.abIe时表示节点或虚拟效劳器可用.当图标为红色Off1.ine则焦味才节点或虚拟效劳器状态为离线，

6、如果图标为黄色45VaMbJe说明节点或虚以效劳器不可用.如果图标为荒色Snown说明节点或虚拟效劳器状态未知,通常此时没有启用MonitOr.如果图标为黑色说明成我效劳器被禁用。4.5配置SNAT跟路由器,防火墙一样，BIG-IP系统提供NAT(NetWorkAddreSSTranSIatiOn)和SNAT(SeCUreNetworkAddressTranSIatiOn)地址转换机制，SNAT地址转换跟CiSCoPAT方式类奴.如果不启用NAT/SNAT,负载均衢池内部节点将无法访问外部网络.印外部H，可以通过虚拟效劳器IP访问负我均衙沌节点,但负我均衡池内部节点不能发坦对外连接。NAT和S

7、NAT都可以通过地址转换访问外新回络.不过SNAT不接受外部发起的连接。一个SNAT地址可以时应一个节点地址、多个节点地址或一个V1.AN网段。NAT地址与节点地址是一对一的关系。本文仅给出业务与软件常用的SNAT配置步骤.说明：SNAT地址可以不是唯一的，比方，SNAT地址可以便用虚拟效劳器的IP地址.4.5.1配置步骤(1)在导航面板中选择1.oCa1.TIafTi1.SNATs标签,点击“Croat*接包流加SNAT地址。三4-11SVATJEI*rwwAcc.aU1.a*(*ftma*c5冰WiaiOEMZ41.oca1.VrMIchSIUTt:$MAT1.ht.O.6pn65,y-T

8、enipU1.nt*dWh.心I-JiOMCorWMg8ECAdIMMCCE1.1.r3UTrj5UtW0113，T，*，4KEMoV13SWSRxrMRxbM94V311TiMcCmsSKATiVtAMgFaCMman4OpecatfcmMMeMmIW1WMP1.atform.HighAvai1.abi1.ity设置中应选择为RedundantPair,B51双机PMIfOnn配Jt(2)通常BIGTPI的Un”ID1BIGTP2的Imit1.D为2。(3)在导航条选择SYSTEM-HighAvaiIabi1ity-RcdundancytRedundancyModeACtiVe/Standb

9、y模式：SystemHighAvai1.abi1.ity:RedundancyGRedundancyConfigSyncNetworkFadoverNetvGenera1.PropertiesRedundancyModeRedundancyStatePreferenceUnitID1.inkDownTimeonFai1.overIActrveZStandbyINone.I1ooseconds(4)在导航条选择SYSTEMHighAvaiIabiIityNetworkFai1.over中,选择NGtgrkFai1.over,同时完成如下配置：RwncttAdW1却2PertSfMt1.Faikr

10、rviFMWCo4MvmCOtfHotw*I4*xoj*CofHtyurattonMwckFMmwPWVan*9eJ(5)如果需要配置流量或会话保括表镜像.在在导航条选择SYSTEM-HighAvaiIabi1ity-NetworkMirroring,完成以下配置SyUemHighAvdHabIIity:HewoHighAvai1.abi1.ity-XkjnfigSync,完成同步配置的设置:5.2 双机状态监控设置BIG-IP支持多种双机犹态拄控方式,主要有系统.网关和V1.AN三种Fai1.-safe方式。系统FaiI-Safe通莒选用缺省正置,不需要改动。当前一般采用V1.ANFaiI-

11、Safe方式实现双机状态曲世，当Y1.AN没有i量到达TimeOUt超时时向后执行预先规定的操作，通常选择Fai1.over操作.V1.ANFai1.safe配置步ft(方法一)：(1)在Web界面导航条选择NetVTOrk-V1.ANs-选中Y1.AN(Externa1.)(2)在V1.AN页面中的ConFiguration下掂推选二“Advanced*Configuration:IAdVenCR勺UPaateICarce1.IOeiete|图52Y1.ANFaiIsafeRI(I)(3)选中“ArmFai1.safe艮选根(4)在“Time。UJ中填写30(5)在Action择Fai1.o

12、ver(6)点击UDda1.e按钮完成配置。由于B1.GTP系统无法同步这项配置.需要在主备双巩分别进行配置。V1.ANPai1.Bafe配JtiMt(方法二)：(1)在Web界面导航.条选择SYSTEM-HighAvai1.abi1.ity(2)在FaiI-Safe标荽下拉框选择V1.ANS(3)点击Add按钮添加V1.ANFaiIsafe(4)在V1.AN下拄框选中特定V1.AN(如Externa1.)SystemAddVIAN.ConfigurationIV1.ANIexterna1.Timeout30secondsActionIFai1.overFinished图5-3Y1.ANFai

13、1.safeK1.(I)(5)在“Timeout中填写30(6)在ACtion选择Fai1.OVer(7)点击FiniShed修钮完成配置.由于B1.GTP系统无法同步这项配置，需要在主备双机分别进行配置。5.3 双机状态检查和配置同步(1)配Jt同步在主层BIGTP系统的“Sysiem-HighAvai1.ab1.e*真面中.点击“SynchronizeConfiguration*按钮,把主用系上的四层业务配置同步到备机中去.页面显示成功后返回.切换到备礼的Web登录页面，可以观察到，主用系统上的1.4/1.7层业务配置巳泾全部同步到备机中了(注：主备机的时间是不能超过IO分钟，否则无法完成

14、同步)。SystemHighAvai1.abi1.ity:ConfigSyncRedundancyCOnfigSyDCNetworkF三kwrktworkMirronngConfiguration:IBaSIC.ConfigSyncPeerISpecifyPAddress,ConfigSyncPeerAddressI1012542Encryption1.0ffDetectConAgSyncStatusSynchroniztHSynchrozeTOPeerSVnChrOniZeFROMPt.(2)证各机的可用性-在主用B1.G-IP系统中强制切换为SUndby备用运行模式,在备用BIG-IP系统

15、中通过WEB界面或C1.1.界重登看状态是否如换为AC1.ive主用运行穰式。检衣上线网关有效性以及测试应用的可用性。第6章其他的组网方式6.1 单臂组网方式在业务系统，”华tr的烟网方式也是常见的一种俎网方式.单臂俎网方式中，F5只有一个网段，同时YirtUa1.ServerIP和真实效劳器的IP地址在同一网段中，亮实效劳罪的网关不是设定在F5的f1.oatIP中.而是设式为交换机的地址：192.168.201.110192.168.201.120Gatewiy:192.168.201.1单臂组PJ方式的配置与双臂组网方式的配置根本一样，有以下不同：在VirUIa1.SeZR的配置中，Snf

16、nPoO1.需要选择HUtQ-map或其他SnHtPOo1.,这样F5把她宛包发蛤真实效劳落时，会把数据包的源地址转换成F5的IP发给真实serverV1.ANandTunne1.Tca1.!cRateC1.assIA1.1.V1.ANsandTunne1.sINoneEnab1.edAvadaWeTrafficC1.assB回Connection1.imrtConnectionMinonng(MaydegradeperformancewhenRnaHed)AddressTrans1.ation3Enab1.edPortTrans1.ationJEnab1.edSourcePortIPrese

17、rveSNATPoo1.NoneNoneCJOnePoo1.(C1.ient)AutoMapmy-snat-poo1.C1.onePoo1.(Server)mysnat1.astHopPoo1.NoneUpeDe1.ete否则,真实SerVer收J1.C1.ient的请求后,会杷response直接回应酬CIient端.而不会经过F5,这样会导致TCP/IP三次握手也建立不起未，6.2 n-path组网方式有些业芬系统希婆c1.ient发给server的请求经过F5,但server包应给c1.ient的数据包不经过F5.这种组网方式在F5称为n-path组牌方式,n-path组网方式组网比较复杂,而且对SCrVer和应用也有一定的要求，所以除非转球情况，我们一般不建议采用这种蛆网方式，对于F5的n-path组网方式的配置,请徉如参考F5的配置手册（BIG-1P1.oca1.TrafficManagerTM:IBp1.ementationsJ中ConfiguringnPathROUting一节。InternetBIG-IPSystemvirtua1.176.161.1seif10.1.1.101.oopback171.1.1100pback10.1.1.12176.16.1.1NTWebServer1.inuxWebServer