F5负载均衡器实施配置文档
目录
一、 F5负载均衡器详细配置步骤... 2
1.设备上架与加电... 2
2.初始化BIG-IP 3900. 2
2.1.CONSOLE方式... 2
2.2.基于WEB方式... 3
2.3.基于SSH方式... 4
2.4.通过管理端口进入系统配置GUI. 4
2.5.激活LICENCE. 4
3.系统基本参数设置... 6
4.基本网络参数配置... 6
4.1.配置VLAN. 7
4.2.配置VLAN地址,即SELF IP. 8
4.3.配置默认路由... 10
5.F5 具体负载均衡配置... 10
5.1.配置POOL. 10
5.2.配置MONITOR. 13
5.3.配置VIRTUALSERVER. 14
6.BIG-IP HA配置... 17
6.1.配置系统时间... 17
6.2.配置REDUNDANCYMODE. 17
6.3.配置同步... 19
6.4.配置FAILSAFE. 21
6.5.同步设备配置... 22
6.6.HA的确认... 23
二、 设备管理与维护... 23
1.登陆帐号管理... 23
2.系统备份与恢复... 24
3.设备PLATFORM管理... 25
一、 F5负载均衡器详细配置步骤
1.设备上架与加电
下面介绍将设备上架和加电的过程。
1.准备好螺丝刀,上架螺丝,网线,将设备上架;
2.连接好电源线,打开电源开关,系统默认打开电源开关就开机;
3.如需要对设备关机时,则首先需ssh或者console到设备上,命令行下输入halt,停止系统运行,然后在设备前面板的X按钮即可关机。
2.初始化BIG-IP 3900
2.1.CONSOLE方式
基于Console终端配置BIG-IP的准备:
安装Windows操作系统的PC一台(装有超级终端)
BIGIP设备自带的Console电缆一条
使用超级终端建立一个连接,通过Console电缆一端连接BIGIP,一端连接COM,COM的参数设置如图:
2.2.基于WEB方式
在浏览器地址栏键入https://(BIGIP 设备IP地址),用户可以直接输入F5的self ip 进行管理,登录sw1:https://192.168.1.245(www.blanced-sw1.com设备的管理口IP),admin用户的密码是admin
2.3.基于SSH方式
基于SSH方式访问BIGIP有两种方式: 1.采用专用的客户端,如SecureCRT,SSH; 2.登陆进入BIGIP WEB管理界面后启动BIGIP自带的SSH Client ->MindTermSSH:
2.4.通过管理端口进入系统配置GUI
从F5 BigIP设备前面板得到系统的管理IP地址(按左右按钮观察液晶面板)。默认为192.168.1.245 打开浏览器使用HTTPS协议和从液晶屏幕得到的IP地址连接系统配置GUI,输入用户名密码登陆系统(默认为用户名:admin、密码:admin)
2.5.激活LICENCE
新系统首次登陆进入后自动进入License激活配置界面,默认License状态为Not Activated,点击Activate按钮进入下一步。
默认F5设备没有配置任何网络参数,所以选择Manual激活License,点击NEXT进入下一步。
系统会根据本机信息生成Dossier信息,Copy 此信息并点击“Clickhere to access F5 Licensing Server”至F5网站粘贴Dossier信息激活License,并将激活后的License信息复制到本机License处,点击Next完成激活。
点击step2显示的链接,登录F5官方网站获取license
3.系统基本参数设置
激活LICENCE后系统会进入向导界面,首先要配置的是基本的参数:
l Host Name(主机名)
l Time Zone(时区)
l 重置root和admin密码
步骤:
Setup Utility >> Platform Setup
l 配置Host Name 为www.erp-cg-3900-1.cn
l 配置Time Zone为 Asia/Shanghai
l 配置Root Account密码
l 配置Admin Account密码(配置后进入系统配置界面使用Admin用户名及密码)
点击NEXT完成配置
4.基本网络参数配置
在进入F5配置页面之后,点击左侧的NETWORK即可进行基本的网络参数设置,包括Interfaces,Routes,Self IPs,PacketFilters,Spanning Tree,Trunks,VLANs,ARP。
在本项目中我们只需配置VLANs,Routes,Self-ip其余保持默认即可。
4.1.配置VLAN
BIGIP上划分2个VLAN,分别为:
Vlan11 |
通过1.2口与服务器通信 |
Vlan 12 |
通过1.2口与服务器通信 |
Vlan 13 |
通过1.2口与服务器通信 |
Vlan 14 |
通过1.2口与服务器通信 |
Vlan 18 |
通过1.2口与服务器通信 |
Vlan_external |
以1.1口做为对外流量的端口 |
Fail-Over |
主要用于两台BIGIP之间的配置同步和Session同步。通常情况下在端口数量足够的时候我们用一个单独的端口用于配置和Session同步。 在此项目中我们采用设备的1.8端口。 |
新建Vlan的配置:
Vlan fail-over的配置:
4.2.配置VLAN地址,即SELF IP
在Network目录下可以对VLAN地址进行设置,由于两台做HA,因此在每台设备上的每个VLAN上须配置两个IP地址,一个为VLAN自身的地址,一个为HA的Floating IP。
以VLAN11为例,F5主用设备上Floating IP是192.168.11.254,实际地址为192.168.11.253;F5备用设备上FloatingIP是192.168.11.254,实际地址为192.168.11.252。
web区主用F5的selfip配置:
总体情况:
self ip的配置:
浮动IP的配置:
4.3.配置默认路由
步骤:Network >> Routes >> New Route...
选择Type为 Default Gateway模式,
5.F5具体负载均衡配置
F5具体的负载均衡配置是在Localtraffic这个目录下,Local traffic目录下的配置是可以在 HA 配置完成后从一台设备同步到另外一台设备上的,因此只需要在其中一台设备上进行配置即可。
5.1.配置POOL
Pool 是一些内部服务器或 node 的集合,这些服务器为了处理客户机请求而编组在一起。pool 中的服务器称为 Pool menber 。配置Pool的过程如下:
建立pool,点击create:
输入pool的名称,选择健康检查模式,为tcp,然后在new address中添加服务器的ip,手动输入端口后,点击add,添加完成后点击finished即可。
在pool的属性中,点击members可以查看到此pool中的member,点击add可以新增member:
5.2.配置MONITOR
为了判断链路或服务器的健康性和可用性,F5 bigip 必须建立正对不同协议的Health Monitor的周期性的探测链路和服务器的健康性,除了使用F5 BigIP default Monitor,我们可以根据特定的应用和环境自定义基于不同协议的 HealthMonitor
如下图,此次我们配置基于四层的TCP Monitor为monitor_8080:
首先点击create:
输入名称monitor_8080,时间间隔5秒,超时时间16秒,即可:
5.3.配置VIRTUALSERVER
虚拟服务器(Virtual Server):收到客户机请求后,不是直接将请求发送到数据包标头中指定的目的地IP地址,而是发送到组成负载平衡pool的内容服务器上。虚拟服务器可提高用于处理客户机请求的资源的可用性。
在localtraffic菜单里点击virtual servers:
点击create:
其中蓝色表示状态位置,红色表示此vs不可用,绿色表示此vs可用。
创建vs时,需要输入名称、ip地址、端口,并在resource的default pool处添加或者选择pool如下:
6.BIG-IPHA配置
为了提高服务器提高服务的可靠性,防止单点故障,采用两台相同的BIG IP 做 HA,一为 active,一为 standby,当 active 的设备出现故障或者其链路出现问题的时候,就会发生切换,并产生相关的日志提醒网管人员。
配置过程如下:
6.1.配置系统时间
由于做 HA,两台成员设备的系统时间必须保持一致,不能有太大的偏差,否则 HA不能正常建立与同步。分别 console到两台设备上,配置系统时间,配置命令如下:
date 061811202008
格式为:date 月日时分年
两台设备上配置方法一样,完成后,用命令date 查看系统时间,确认两台设备的系统时间一致。
6.2.配置REDUNDANCYMODE
分别登陆到两台设备后在Platform目录下的High availability后设置改为Redundant pair,Unit ID一台为 1,一台为 2,并连接两台设备的 HA同步电缆。并修改 root 帐号和 admin 帐号的密码(注意,做 HA 的两台设备的密码必须保持一致,因为在同步配置的时候需要通过密码来认证,如果密码不一样的话配置不能同步)
以下是设备F5-ZFYW_WEBF502.COM的配置情况,Unit ID 为2:
以下是设备F5-ZFYW_WEBF501.COM的配置情况,Unit ID 为1:
6.3.配置同步
点击system菜单下的high availability:
可以看到F5-ZFYW_WEBF502.COM的配置:
输入本机和对端设备的ip地址即可。
其中:
self 1.1.1.1为备用设备F5-ZFYW_WEBF501.COM自身的fail-over Vlan的IP地址,1.1.1.2为主用设备F5-ZFYW_WEBF502.COM自身的fail-over Vlan的IP地址。
6.4.配置FAILSAFE
Failsafe 即定义发生 Failover 切换的触发情况,两台设备上都需要进行设置,但是设置的内容一样,下面仅以F5-ZFYW_WEBF502.COM设备为例。
系统自身的failsafe设定如下图:
表明在交换背板出现故障的时候,动作为:主备切换并且不处理数据
由于内网是一个服务器网段 vlan,所以不能定义 gateway failsafe,所以需要定义一个VlanFailSafe,我们这里选择的是InternalVLAN,Timeout设为10秒。如图所示:
在vlan处选择Internal,切换时间设置为10秒,动作设置为fail over主备切换。
6.5.同步设备配置
上述配置完成后,就可以进行配置同步了,将做了完整配置的设备的配置同步到只做了HA配置和Network配置的另外一台设备上,需确认在 HA建立了以后才能够同步配置.在High Availability目录下的 ConfigSync 里面有两个选项:
Synchronize to peer:将配置从本台设备同步到对端设备上;
Synchronize from peer:从对端设备上将配置同步到本机;
操作时请注意在配置同步时的方向!
6.6.HA的确认
完成HA配置后,可以通过console或者ssh登陆到每台设备上就可以看出设备处于active或者 standby 状态;也可以在 web 任何一个页面的左上角看出设备处于 active 或者 standby状态。
二、 设备管理与维护
1.登陆帐号管理
在 system的 Platform目录下可以对 root 和 admin 帐号的密码进行修改。 如果要新开账号的话,在 system的 users 的目录下进行,点击 Create 开设新的帐号。
创建用户需要设置 user name 和 password,并分配权限,有四种权限:
Administrator: |
管理员权限 |
Operator: |
可以进行部分的设置,比如 up 或者 down node 等,但是不能修改或者删除配置 |
Guest: |
可以浏览配置,不能做任何更改 |
No access: |
没有权限。 |
2.系统备份与恢复
F5 的设备配置可以保存为一个后缀为.ucs 的文件,以便今后必要时进行系统恢复。该系统配置 ucs 文件是一个二进制文件,并不能阅读,如果用户只是想了解 F5 的配置内容,可以通过阅读设备系统/config 目录下的 bigip_base.conf 和 bigip.conf 两个文件。其中, bigip_base.conf保存的是有关系统的网络配置(二/三层配置),而 bigip.conf保存的是有关系统的业务配置内容(四/七层配置)。因此,为方便今后的维护,可以要求管理员同时备份当前配置的 ucs文件和 bigip_base.conf、bigip.conf文件。
备份和系统恢复操作在 system的 Archives目录下进行。 如下图,Upload 用来恢复系统配置信息,Create用来备份系统配置信息。
备份配置:
点击create后,输入文件名,如 XXXX.ucs,然后点击 finished,就开始备份;
恢复配置:
当设备出现问题,或者返修后,需要恢复以前的配置的时候,只要点击 Upload,然后选择对应于该设备的配置文件包即可,设备会自行导入相关配置。
3.设备PLATFORM管理
在 System >platform 菜单中可以配置和修改 system的相关属性,
如图:
注释:
Management port: |
输入 MGT 的 IP Address 和 subnet |
Host name: |
输入 F5 Device 的主机名 |
Host IP Address: |
输入允许访问 F5 LTM 设备管理的 client IP address |
High Availability |
如果是单机设备,请选择 Single Device; 如果是双机设备,请选择 Redundant Pair, 然后选择 unit ID |
Time Zone: |
选择时区 Asia/shanghai |
Root Account: |
设置或修改 Root password |
Admin Account: |
设置或修改 Admin password |
Support Account: |
是否选择设备 support Account (read only) 默认选择 Disabled |
SSH Access |
允许SSH 访问 默认 Enable |
SSH Allow |
设置允许通过 SSH 方式访问 F5 Device IP Address, 默认选择 All Address |