F5-BIGIP负载均衡器培训

前言：最近一直在对比测试F5 BIG-IP和Citrix NetScaler负载均衡器的各项性能，于是写下此篇文章，记录F5 BIG-IP的常见应用配置方法。

目前，许多厂商推出了专用于平衡服务器负载的负载均衡器，如F5 Network公司的BIG-IP，Citrix公司的NetScaler。

F5 BIG-IP LTM 的官方名称叫做本地流量管理器，可以做4-7层负载均衡，具有负载均衡、应用交换、会话交换、状态监控、智能网络地址转换、通用持续性、响应错误处理、IPv6网关、高级路由、智能端口镜像、SSL加速、智能HTTP压缩、TCP优化、第7层速率整形、内容缓冲、内容转换、连接加速、高速缓存、Cookie加密、选择性内容加密、应用攻击过滤、拒绝服务(DoS)攻击和SYN Flood保护、防火墙—包过滤、包消毒等功能。

以下是F5 BIG-IP用作HTTP负载均衡器的主要功能：①、F5 BIG-IP提供12种灵活的算法将所有流量均衡的分配到各个服务器，而面对用户，只是一台虚拟服务器。

②、F5 BIG-IP可以确认应用程序能否对请求返回对应的数据。

假如F5 BIG-IP后面的某一台服务器发生服务停止、死机等故障，F5会检查出来并将该服务器标识为宕机，从而不将用户的访问请求传送到该台发生故障的服务器上。

这样，只要其它的服务器正常，用户的访问就不会受到影响。

宕机一旦修复，F5 BIG-IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。

.1③、F5 BIG-IP具有动态Session的会话保持功能。

④、F5 BIG-IP的iRules功能可以做HTTP内容过滤，根据不同的域名、URL，将访问请求传送到不同的服务器。

.2.3①、如图，假设域名被解析到F5的外网/公网虚拟IP：61.1.1.3（vs_squid），该虚拟IP下有一个服务器池（pool_squid），该服务器池下包含两台真实的Squid服务器（192.168.1.11和192.168.1.12）。

F5 BIG-IP负载均衡器配置指导书华为技术有限公司版权所有侵权必究F5 BIG-IP负载均衡器配置指导书文档密级：内部公开修订记录F5 BIG-IP负载均衡器配置指导书文档密级：内部公开目录第1章 F5负载均衡器简介 (1)1.1 负载均衡技术简介 (1)1.2 F5负载均衡产品介绍 (1)1.3 几个常用术语说明 (3)第2章 BIG-IP配置步骤与规划准备工作 (5)2.1 BIG-IP配置步骤 (5)2.2 准备要点 (5)2.3 组网和IP地址规划 (6)2.4 BIG-IP接口编号说明 (9)第3章命令行进行Setup配置 (11)3.1 配置终端 (11)3.2 启动F5 (11)3.3 输入用户名口令 (13)3.4 设置终端类型 (13)3.5 Setup初始化配置 (13)3.5.1 提示系统License不存在 (13)3.5.2 设置键盘类型 (15)3.5.3 设置root密码 (15)3.5.4 设置主机名 (16)3.5.5 双机系统设置 (17)3.5.6 设置接口速率和双工类型 (19)3.5.7 配置VLAN和IP地址 (20)3.5.8 添加接口到VLAN中 (23)3.5.9 选择VLAN IP地址与主机名关联 (23)3.5.10 配置默认网关 (25)3.5.11 配置WEB访问 (26)3.5.12 配置SSH访问 (29)3.5.13 配置F5支持访问 (30)3.5.14 设置时区 (31)3.5.15 配置NTP支持 (32)3.5.16 配置DNS代理转发 (33)3.5.17 用户认证配置 (33)3.5.18 Setup配置完成 (34)F5 BIG-IP负载均衡器配置指导书文档密级：内部公开第4章激活License (35)4.1 通过Web访问BIG-IP (35)4.2 激活License步骤 (35)第5章系统时钟更改 (39)第6章 Web Configuration Utility进行配置 (40)6.1 进入配置工具 (40)6.2 配置VLAN和端口 (41)6.3 配置VLAN IP地址 (42)6.4 配置负载均衡池 (42)6.4.1 配置池名、成员IP地址和负载均衡策略 (43)6.4.2 会话保持配置 (43)6.5 配置节点状态监控 (45)6.5.1 自定义节点状态监控 (46)6.5.2 监控与节点相关联 (47)6.6 配置虚拟服务器 (48)6.6.1 创建虚拟服务器 (48)6.6.2 虚拟服务器属性修改配置 (49)6.6.3 检查系统状态 (51)6.7 配置SNAT (52)6.7.1 配置步骤 (53)6.7.2 验证SNAT配置 (54)第7章双机配置 (58)7.1 注意事项 (58)7.2 初始化后配置步骤 (59)7.3 上行连接的监控设置 (59)第8章附录A 常见问题说明 (61)8.1 BIG-IP单机或两台双机系统处于Standby状态，为什么 (61)8.2 BIG-IP系统root密码忘记了，如何恢复 (61)8.3 默认的用户名和口令不安全，如何添加新用户或修改现有用户 (62)8.4 BIG-IP系统如何进行配置备份和恢复 (63)8.5 SSH访问具有密码加密传输的优点，请问从哪里获取SSH客户端 (63)8.6 网络设备通常有收集系统信息的宏命令，F5有没有相应命令 (64)8.7 如何使用TCPDUMP进行Troubleshooting (64)8.8 如何实时监视BIG-IP的连接状态 (66)F5 BIG-IP负载均衡器配置指导书文档密级：内部公开关键词：负载均衡池、虚拟服务器，节点、会话保持、监控、ECV、EAV、SNAT摘要：按照常见的配置步骤，本文对F5 BIG-IP负载均衡器设备配置进行说明，并对负载均衡器的基本概念和F5 BIG-IP设备使用过程中遇到的常见问题进行解答。

负载均衡设备之谈谈我们正在使用的F5 BIG-IP LTM2014-05-29 06:19:30标签：互联网nginx F5均衡器原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。

否则将追究法律责任。

/3984207/1418920具有一定服务器规模的互联网公司为了应对集群服务器管理问题，基本上使用F5负载均衡设备作为流量管理的入口，比如搜狐，新浪，金山等,目前在我们测试环境用的是F5 BIG-IP LTM，生产环境用的是F5 viprion。

F5 BIG-IP LTM ，中文说法是本地流量管理器,可以做4-7层负载均衡，4层负载均衡功能由F5专门的硬件模块负责，7层负载均衡功能由软件实现。

F5负载均衡器具有负载均衡应用交换会话交换状态监控智能网络地址转换通用持续性响应错误处理IPv6网关高级路由智能端口镜像SSL加速智能HTTP压缩TCP优化第7层速率整形内容缓冲内容转换连接加速高速缓存Cookie加密选择性内容加密应用攻击过滤拒绝服务(DoS)攻击和SYN Flood保护防火墙—包过滤包消毒等功能我们最近在做F5负载均衡设备7层路由切换到4层路由，将F5上的url irules规则下放到F5后端的nginx集群，从而充分减轻F5负载均衡的压力，充分发挥F5负载均衡的优势。

7层irules规则由于是由F5硬件设备上的软件模拟实现的功能，所以在效率方面没有硬件实现的四层负载均衡的效率高。

随着流量增加，七层规则会增加f5设备cpu的负载，尤其是在irules中对正则规则的使用会加剧F5性能的消耗。

从日常管理中，我们可以总结出F5在处理请求时的结构图：当一个用户访问 的时候，首先通过DNS服务器根据我们自己配置的name server服务器解析记录将 解析为对应的公网ip地址，比如电信线路的180.153.132.49。

用户向180.153.132.49发起访问请求，请求经过网络路由，到达F5设备。

以下是F5 BIG-IP用作HTTP负载均衡器的主要功能：①、F5 BIG-IP提供12种灵活的算法将所有流量均衡的分配到各个服务器，而面对用户，只是一台虚拟服务器。

②、F5 BIG-IP可以确认应用程序能否对请求返回对应的数据。

假如F5 BIG-IP后面的某一台服务器发生服务停止、死机等故障，F5会检查出来并将该服务器标识为宕机，从而不将用户的访问请求传送到该台发生故障的服务器上。

这样，只要其它的服务器正常，用户的访问就不会受到影响。

宕机一旦修复，F5 BIG-IP 就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。

③、F5 BIG-IP具有动态Session的会话保持功能。

④、F5 BIG-IP的iRules功能可以做HTTP内容过滤，根据不同的域名、URL，将访问请求传送到不同的服务器。

下面，结合实例，配置F5 BIG-IP LTM v9.x：①、如图，假设域名被解析到F5的外网/公网虚拟IP：61.1.1.3（vs_squid），该虚拟IP下有一个服务器池（pool_squid），该服务器池下包含两台真实的Squid服务器（192.168.1.11和192.168.1.12）。

②、如果Squid缓存未命中，则会请求F5的内网虚拟IP：192.168.1.3（vs_apache），该虚拟IP下有一个默认服务器池（pool_apache_default），该服务器池下包含两台真实的Apache服务器（192.168.1.21和192.168.1.22），当该虚拟IP匹配iRules规则时，则会访问另外一个服务器池（pool_apache_irules），该服务器池下同样包含两台真实的Apache服务器（192.168.1.23和192.168.1.24）。

③、另外，所有真实服务器的默认网关指向F5的自身内网IP，即192.168.1.2。

④、所有的真实服务器通过SNAT IP地址61.1.1.4访问互联网。

F5-BIGIP服务器负载均衡解决方案广州神州数码有限公司增值网络事业部郑锦明2005年10月一、系统设计原则系统的网络设计和软硬件配臵遵循下述原则:高性能具有较高的吞吐能力和处理能力，网络各层均不存在阻塞，具备对突发流量的承受能力。

扩展性为方便地实现扩展，系统的设计应具有灵活的扩展能力。

包括：端口的扩展，带宽容量的扩展，处理用户访问的能力的扩展等。

高可靠性为保证服务器的不中断运行，在网络设备的关键部件配臵上应是按照双备份要求设计的。

在网络连接上应消除单点故障，提供关键设备的故障切换。

关键网络设备之间的物理链路采用双路冗余连接。

全冗余的方式使系统的可靠性达到99.999%。

适用性系统设计应该是高吞吐量、无阻塞的，能快速响应用户的请求。

对不同应用应满足不同的带宽和服务质量的需求。

安全性系统应具有网络和系统的安全性保护部署。

二、负载均衡方案建议针对用户提出的需求分析，F5充分考虑现有的实际状况，结合F5在国际上网络优化案例的经验，总结出以下流量管理和均衡解决方案：1． 拓扑图2． 方案描述此方案中采用F5-BIG-2400设备实现服务器负载均衡，分别建立external 和internal 两个Vlan 。

External Vlan 提供给客户端访问的Virtual Server ，internal Vlan 提供真实服务器的接入。

当客户端访问时，F5设备会截获需要做负载均衡的访问流量，通过设定的负载均衡策略，流量会智能分配到真实服务器上。

三、F5负载均衡相关技术阐述服务器负载均衡BIG/IP 利用虚拟IP 地址（VIP 由IP 地址和TCP/UDP 应用的端口组成，它是一ClientF5-BIGIP 2400App servers个地址）来为用户的一个或多个目标服务器（称为节点：目标服务器的IP地址和TCP/UDP应用的端口组成，它可以是internet的私网地址）提供服务。

因此，它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。

F5 BIG-IP负载均衡器配置实例与Web管理界面体验前言：最近一直在对比测试F5 BIG-IP和Citrix NetScaler负载均衡器的各项性能，于是写下此篇文章，记录F5 BIG-IP的常见应用配置方法。

目前，许多厂商推出了专用于平衡服务器负载的负载均衡器，如F5 Network公司的BIG-IP，Citrix公司的NetScaler。

F5 BIG-IP LTM 的官方名称叫做本地流量管理器，可以做4-7层负载均衡，具有负载均衡、应用交换、会话交换、状态监控、智能网络地址转换、通用持续性、响应错误处理、IPv6网关、高级路由、智能端口镜像、SSL加速、智能HTTP压缩、TCP优化、第7层速率整形、内容缓冲、内容转换、连接加速、高速缓存、Cookie加密、选择性内容加密、应用攻击过滤、拒绝服务(DoS)攻击和SYN Flood保护、防火墙—包过滤、包消毒等功能。

以下是F5 BIG-IP用作HTTP负载均衡器的主要功能：①、F5 BIG-IP提供12种灵活的算法将所有流量均衡的分配到各个服务器，而面对用户，只是一台虚拟服务器。

②、F5 BIG-IP可以确认应用程序能否对请求返回对应的数据。

假如F5 BIG-IP后面的某一台服务器发生服务停止、死机等故障，F5会检查出来并将该服务器标识为宕机，从而不将用户的访问请求传送到该台发生故障的服务器上。

这样，只要其它的服务器正常，用户的访问就不会受到影响。

宕机一旦修复，F5 BIG-IP 就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。

③、F5 BIG-IP具有动态Session的会话保持功能。

④、F5 BIG-IP的iRules功能可以做HTTP内容过滤，根据不同的域名、URL，将访问请求传送到不同的服务器。

下面，结合实例，配置F5 BIG-IP LTM v9.x：①、如图，假设域名被解析到F5的外网/公网虚拟IP：61.1.1.3（vs_squid），该虚拟IP下有一个服务器池（pool_squid），该服务器池下包含两台真实的Squid服务器（192.168.1.11和192.168.1.12）。

F5 BIG-IP负载均衡器配置指导书目录一、ISMG网络结构与IP地址规划 (3)二、配置BIGIP3400负载均衡设备 (4)2.1设置负载均衡器管理网口地址 (4)2.2登录BIGIP的WEB管理界面 (5)2.3激活License (5)2.4初始化设置 (7)2.4.1BIG-IP 1上的平台(Platform)通用属性设置 (7)2.4.2修改系统时间 (8)2.4.4重新启动bigip (9)2.5配置网络层 (9)2.5.1划分vlan (9)2.5.2定义IP地址 (11)2.5.3配置路由 (13)2.6配置双机设置(High Availability) (14)2.6.1配置Redundant Pair的IP地址 (14)2.6.2配置双机自动切换机制FailSafe配置 (16)2.7配置服务器负载均衡 (17)2.7.1配置Monitor (17)2.7.2配置Profile (18)2.7.3配置负载均衡Pool (19)2.7.5建立Virtual server,实现对服务器的负载均衡 (20)2.7.5设置SNAT (23)2.8两台BIGIP配置同步 (26)2.9备份配置 (26)三、系统运行状态检查及维护 (27)3.1检查系统日志信息： (27)3.2检查Node状态 (28)3.3查看流量信息 (29)3.4查看系统当前性能参数 (29)3.5密码的更改 (30)3.6添加“只读”权限的管理员帐号 (30)3.7如何查询设备的序列号： (31)3.8如何采集信息提供他人进行故障诊断 (31)3.8对某一Virtual Server用TCPDUMP命令无法抓到包如何处理？ (32)一、网络结构与IP地址规划网络拓扑结构如下图所示：略相关的IP地址规划如下：注：以上的IP地址规划是测试环境的IP地址设置，需要根据现网环境中的IP地址规划进行修改。

注：以下接口连接表还没有更新，需要由现场工程师更新的。

F5-BIGIP服务器负载均衡解决方案广州神州数码有限公司增值网络事业部郑锦明2005年10月一、系统设计原则系统的网络设计和软硬件配臵遵循下述原则:高性能具有较高的吞吐能力和处理能力，网络各层均不存在阻塞，具备对突发流量的承受能力。

扩展性为方便地实现扩展，系统的设计应具有灵活的扩展能力。

包括：端口的扩展，带宽容量的扩展，处理用户访问的能力的扩展等。

高可靠性为保证服务器的不中断运行，在网络设备的关键部件配臵上应是按照双备份要求设计的。

在网络连接上应消除单点故障，提供关键设备的故障切换。

关键网络设备之间的物理链路采用双路冗余连接。

全冗余的方式使系统的可靠性达到99.999%。

适用性系统设计应该是高吞吐量、无阻塞的，能快速响应用户的请求。

对不同应用应满足不同的带宽和服务质量的需求。

安全性系统应具有网络和系统的安全性保护部署。

二、负载均衡方案建议针对用户提出的需求分析，F5充分考虑现有的实际状况，结合F5在国际上网络优化案例的经验，总结出以下流量管理和均衡解决方案：1． 拓扑图2． 方案描述此方案中采用F5-BIG-2400设备实现服务器负载均衡，分别建立external 和internal 两个Vlan 。

External Vlan 提供给客户端访问的Virtual Server ，internal Vlan 提供真实服务器的接入。

当客户端访问时，F5设备会截获需要做负载均衡的访问流量，通过设定的负载均衡策略，流量会智能分配到真实服务器上。

三、F5负载均衡相关技术阐述服务器负载均衡BIG/IP 利用虚拟IP 地址（VIP 由IP 地址和TCP/UDP 应用的端口组成，它是一ClientF5-BIGIP 2400App servers个地址）来为用户的一个或多个目标服务器（称为节点：目标服务器的IP地址和TCP/UDP应用的端口组成，它可以是internet的私网地址）提供服务。

因此，它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。

服务器负载均衡相关参数建议F5 LTM Virtual Server类型的区别：服务器负载均衡，主要应用有两种类型的Virtual Server在使用。

Performance L4在一个TCP连接建立过程中，除了源IP、目的IP、源端口和目的端口外，还有其他的很多参数，比如Window size, Max Segment Size等参数。

在performance L4的情况下，BIGIP是按照纯四层的处理方式对流量进行处理，也就是基本上只看IP和端口部分的内容，然后在对数据包进行转发的时候，对四层信息进行处理，比如替换目的IP、目的端口，然后就直接进行转发了，对其他的TCP参数不进行任何的变动。

StandardStandard 模式是BIGIP TMOS的Full Proxy结构，在这种结构下，BIGIP对于每一个连接，建立了两个TCP堆栈，分别是client side和Server side。

客户端发起的TCP连接，实际上是和BIGIP建立的连接，然后BIGIP才以客户端的源IP地址，和服务器端建立连接。

这样，TCP连接就在BIGIP的层面上被中断为两段，BIGIP分别为两段TCP连接去维护TCP状态信息。

对于客户端，BIGIP就是一个完整的Socket服务，对于服务器端，BIGIP就是一个标准的客户端socket连接。

在抛开TCP的连接层面后，只有真正的数据包才在BIGIP的两个TCP堆栈之间进行转发。

这也就是BIGIP可以完成很多非常复杂的处理功能的主要原因。

基本上，只要开启了七层处理功能，如HTTP profile，就必须使VS工作在standard模式下。

当系统工作在Standard模式下时，如果通过抓包，可以看到数据包在client side 和server side 的TCP sequence number都是不一样的。

Forwarding IPForwarding IP类型的VS对于命中的流量，查询本地的路由表，然后将数据包根据路由表定义的下一条进行转发，如果没有下一条路由，则一律转发到BIGIP上的默认网关。

文档编号：000055ZH_PZSC_BP_XX_XXX_0706XXF5 BigIP V9 负载均衡配置手册1. 登录F5配置界面BigIP的最右边有一个独立的RJ45口，这个是配置口，新安装的BigIP 默认管理IP 是192.168.１.245 , 将工作站网卡IP 改为: 192.168.１.x 网段：然后：用浏览器https://192.168.1.245登录账号/密码admin/admin恭喜你，这时你已经进入V9管理界面，2.单一网段服务器负载均衡设置介绍接下来让我们来做一个简单的单一网段本地服务器负载均衡配置，拓扑图如下：InternalVS IP 192.168.5.248Self IP 192.168.5.249 192.168.5.77 172.16.5.79首先先配置网络设置：创建VLAN 以及VLAN 配置：Click “Network-VLANS - Create”来创建Internal Vlan :Internal VLANName : InternalInterfaces : 1.1 端口点击finished然后配置vlan管理IP Network-Self IPs-create InternalIP Address ：192.168.5.249Netmask ：255.255.255.0VLAN ：internal如果登录的客户端网段和vlan管理IP不在一个网段，必须要配置routes，properties-resource-usegateway 配置网关到这里我们就可以放弃使用配置口，而使用internal 这个VLANS的self Ips来登录配置了。

https://192.168.5.249网络配置好后，创建一个monitor ，选Local traffic -> Monitor -> 进行Monitor 创建。

Name : Monitor _tcp :interval : 20 Timeout : 61开始配置Pool :在这里指定我们刚才的monitor ，将服务器IP 及服务（port ）加入，选好负载均衡算法，点击finishedName : web_8080Health Monitors : monitor_tcpLoad Balancing Method : Round RobinNew Members : 192.168.5.77:8080192.168.5.79:8080创建一个基于cookie的会话，选Local traffic -> Profiles ->Persistance->createName : persisten_cookie_insert Persistence Type : cookie接下来，我们将建立Virtual Server , 并把我们定义好的Pool : web_8080 和Virtual server建立关系：Local Traffic-Virtual Server-Create其中需要更改的配置为：1. Name : Vs_web_802. Address : 192.168.5.2483．Port : 804. Http Profile : http5. Default Pool : web_80805 Define Persistence Profile : persisten_cookie_insert定义好后，选“ Finish “完成Virtual Server 的定义。