F5 LTM 配置与原理2016
F5LTM简介
F5LTM简介Date: 07. 05 2007F5 TrainingBeyond TechnologyF5 LTM 简介东软移动互联网开发部王旭Date: 07. 05 2007F5 Training议程应用交换机的作用应用交换机产品的发展历史 F5 BIGIP 简介讨论Date: 07. 05 2007F5 Training应用交换机的作用智能客户端网络管件Routers智能应用SwitchesFirewalls应用流量管理安全远程访问 Web应用安全Date: 07. 05 2007F5 Training应用交换机的基本工作截获和检查流量,保证只有合适的数据包才能通过? 服务器监控和健康检查,随时了解服务器群的可用性状态 ? 负载均衡和应用交换功能,通过各种策略导向到合适的服务器 ? 会话的保持以实现与应用系统完美结合截取监控负载均衡保持Date: 07. 05 2007F5 Training议程应用交换机的作用应用交换机产品的发展历史 F5 BIGIP 简介讨论Date: 07. 05 2007F5 Training应用交换机的发展优化的中央处理交换机中央CPU 专有优化OS 分布式ASICBIGIP 2000 BIGIP 2400 Alteon 2424中央分布式交换机交换机功能服务器BIGIP 520Alteon AD3 Cisco CSS专有L4 ASIC/NP 中央CPU 专有优化OS专有OSFoundryNetScelar2001年出品,但目前还是serverArray TM1996 19971998~20012002~20032004Date: 07. 05 2007F5 Training第6代的应用交换机管理Date: 07. 05 2007F5 Training第6代应用交换机-先进的ASICDRAM全球唯一的四七层ASIC专有CAM ? 专有 DRAM/SDRA M ? 内置DDOS攻击防护 ? PVA 2 /PVA10CAMASICSDRAMDate: 07. 05 2007第六代应用交换机-先进的软件结构基础管理平台系统管理健康检查 WEB界面F5 Training管理系统流量处理微内核管理CPU高速硬件平台Date: 07. 05 2007F5 Training第六代应用交换机-Full Proxy结构TrafficShield Web Accel Microkernel Rate Shaping TCP Express Compression TCP Express OneConnect TCP Proxy Client Side Server SideCachingClientXMLSSL3rd PartyServeriRules High Performance HW iControl APITMOS Traffic Plug-ins High-Performance Networking Microkernel Powerful Application Protocol Support iControl –External Monitoring and Control iRules – Network Programming LanguageDate: 07. 05 2007F5 Training议程应用交换机的作用应用交换机产品的发展历史 F5 BIGIP 简介讨论Date: 07. 05 2007F5 TrainingF5 BIGIP产品简介840010Gbps Platform数据中心整合68002-46400Gbps Platforms多服务应用3400500 Mbps1500- 1 Gbps Platforms应用交换Date: 07. 05 2007F5 TrainingBIG-IP LTM 15002个千兆光纤端口,4个千兆电口? 内置独立管理机-生产系统与管理系统分离,进一步提高系统可靠性? 768MB内存,单CPU ? BIGIP 1500 LTM全面支持多应用负载均衡:12种负载均衡算法 ? 可编程控制架构:50多个事件,200多个函数处理 ? 内置100TPS SSL加速功能,独立NP处理SSL对称算法和非对称算法? 多种可扩展模块:SSL加速、带宽控制、内存Cache、HTTP压缩Date: 07. 05 2007F5 TrainingBIGIP LTM 34002个千兆光纤端口,8个千兆电口? 内置独立管理机-生产系统与管理系统分离,进一步提高系统可靠性 ? Packet Velocity ASIC 2提供高性能四-七层处理 ? 1GB内存,超线程2.8Ghz CPU ? BIGIP 3400 LTM全面支持多应用负载均衡:12种负载均衡算法可编程控制架构:50多个事件,200多个函数处理内置100TPS SSL加速功能,独立NP处理SSL对称算法和非对称算法多种可扩展模块:SSL加速、带宽控制、内存Cache、HTTP压缩Date: 07. 05 2007F5 TrainingBIG-IP LTM 6400/68004个千兆光纤端口,16个千兆电口内置独立管理机-生产系统与管理系统分离,进一步提高系统可靠性Packet Velocity ASIC 2提供高性能四-七层处理 2GB内存,双64位高速CPU BIGIP 6400 LTM ? 全面支持多应用负载均衡:12种负载均衡算法 ? 可编程控制架构:50多个事件,200多个函数处理 ? 内置100TPS SSL加速功能,独立NP处理SSL对称算法和非对称算法? 多种可扩展模块:SSL加速、带宽控制、内存Cache、HTTP压缩、 Application SecurityDate: 07. 05 2007F5 TrainingBIGIP LTM 84002个万兆端口,12个光/电千兆端口? 内置独立管理机-生产系统与管理系统分离,进一步提高系统可靠性 ? Packet Velocity ASIC 10提供高性能四-七层处理? 高达10Gbps的吞吐能力? 2GB内存,双64位高速CPUDate: 07. 05 2007F5 TrainingBIGIP LTM的主要性能技术参数BIG-IP 1500 v9 四层会话数/秒七层会话数/秒最大吞吐能力最大并发连接数最大SSL TPS 最大 SSL 吞吐率最大 SSL 并发连接数最大压缩字节/秒交换背板60,000 22,000 500Mb/s 4 Million 2,000 500Mb/s 100,000 100Mb/s 14Gb/s BIG-IP 3400 v9 110,000 50,000 1Gb/s 4 Million 5,000 1Gb/s 200,000 500Mb/s 22 Gb/s BIG-IP 6400 v9 220,000 75,000 2Gb/s 8 Million 15,000 2Gb/s 500,000 2Gb/s 44 Gb/s BIG-IP 6800 v9 220,000 110,000 4Gb/s 8 Million 20,000 2Gb/s 500,000 2Gb/s 44 Gb/sDate: 07. 05 2007F5 Training用户 Users手机全新的体系结构统一的网络/应用基础设施服务交付客户关系管理数据库 Siebel BEA应用Legacy .NET SAP个人数字助理优化安全笔记本台式机流量管理操作系统PeopleSoft IBM 企业资源规划 SFA (销售力量自动化)定制应用托管主机(TM/OS)Date: 07. 05 2007F5 Training能够对应用流进行管理独立的连接控制 ? 支持所有的IP应用 ? 高性能的应用构架 ? 双向、全面的负载检查 ? 基于会话的控制系统通用检查引擎(UIE)TM/OS 快速应用代理客户端服务器端。
F5-BIG-IP-LTM-详解(工作原理-配置手册)
Web Accelerator Module(包括压缩) Application Security Module GTM的分配算法处理(包括GTM rules) Named域名解析 健康检查 日志管理 系统数据统计 SNMP数据输出 HA健康检查
BIGIP 内部结构-V9平台15/34/64/68
F5 BIG-IP LTM详解
北京先进数通信息技术有限公司 十二月 19
LTM工作原理
• LTM基础架构 • VS Type详解 • Profile详解 • CMP 工作原理 • One Connect工作原理 • NAT、SNAT工作原理 • Monitor工作原理 • HA工作原理
LTM基础架构
• Host在启动的时候限 定了内存分配的大小 ,在没有其他module 的情况下是384MB
• TMM进程启动后,将 自动获取余下的所有 物理内存
查看Host内存占用情况
• # physmem /查看物理内存大小 8387584
• b memory show /查看内存分配情况 MEMORY STATISTICS -| (Host) Total = 3.835GB Used = 3.590GB | (TMM) Total = 5.976GB Used = 93.22MB
F5--LTM原理实验
27
F5上的連接
© F5 Networks
28
Fowarding VS(Forwarding IP)
用戶端 查詢本地路由表
轉發用戶端請求
TMM
• 只能使用Fast L4 Profile • 按照連接處理,類似于路由器工作,但不完全一樣,在Fast L4 Profile中開啟Loose Initial和Loose Close之後更為接近路由工作模式 • 所有穿過Fowarding VS的連接都將產生連接表 • 沒有Pool Member,轉發完全取決於本地路由 • 可以使用基於4層的Rules
© F5 Networks
5
Standard VS
Syn Syn,Ack
Ack
Syn Syn-Ack TMM Ack Data
Data
• • • •
正常情況下用戶端連接和伺服器端連接是1:1的關係 預設工作在全代理模式,用戶端和伺服器端的TCP連接完全獨立 用戶端和伺服器端的TCP參數都是由TMM和雙方分別協商 預設情況下以用戶端源IP和後臺建立連接,在打開SNAT的情況下用 SNAT位址和後臺建立連接 • Standard VS的埠永遠對外開放,無論後臺是否有伺服器在工作
© F5 Networks
TCP連接的變化---看時間與SEQ的變化
1、VMnet2上的抓包(用戶端與F5的通信)
2、VMnet1上的抓包(F5與伺服器的通信)
結論: 啟用profile後,F5與後臺伺服器保持著TCP的連接關係,有規律的與每台伺 服器reset再建立(reset是由伺服器發起的,抓包上看是130秒左右一次) ,當用戶 端請求過來的時候,用戶端先與F5建立連接,F5根據演算法選擇一台伺服器直接 進行資料的交互
F5优化功能配置介绍
F5 LTM优化功能配置介绍F5 FSE 陈亮2007.10.19前言本文主要介绍的是F5 LTM上的基本优化功能,即HTTP压缩,Ramcache,及oneconnect连接优化功能的配置。
关于WA中涉及的高级优化功能,将另外进行介绍.一、HTTP压缩功能介绍HTTP压缩功能可以通过http内容的压缩,减少数据量的传送,并提高用户的访问速度。
当然,并非所有的文件需要压缩。
比如,已经压缩的文件诸如JPEG、GIF、PNG、电影和打包内容等不需要HTTP压缩过滤技术。
对它们再次压缩将无法得到显著减小文件体积的效果。
同时,网站还有大量的文本内容诸如HTML、XML、CSS和RSS等,他们都需要进行压缩。
F5的HTTP压缩功能可以通过软件或硬件两种方式完成,所有平台的产品在出厂时已提供了5Mpbs的免费软件压缩功能。
支持硬件压缩卡:只有6400及以上平台可以支持硬件压缩的功能。
各平台的压缩性能表现如下:Product BIG-IP8800BIG-IP8400BIG-IP6800BIG-IP6400BIG-IP3400BIG-IP1500Max. Software Compression 6 Gbps 1 Gbps 1 Gbps 1 Gbps500Mbps100MbpsMax. Hardware Compression 6 Gbps 3 Gbps 2 Gbps 2 Gbps N/A N/A Hardware Compression Card - -注:硬件压缩卡建议在用户定货时选择在原厂安装,如需在用户现场安装,请参考《压缩卡安装指南》或联系当地F5工程师。
如果设备已内置了硬件压缩卡,请通过如下方式确认硬件压缩卡是否可以正常工How to get hardware compression to workIn order to get hardware compression to work, follow these steps:1)Verify that you have the hardware compression card installed and recognisedby the BIG-IP. This can be done in one of a few ways:a.Once the BIG-IP has booted check the “/var/log/ltm” file for an entrylike:aha0: AHA Compression device (rev 2.1) at 1.3b.From the console (not SSH) run the command:bigstart stop; /bin/tmm -a --speed-test=aha-fieldWhen completed look for the similar entry:aha0: AHA Compression device (rev 2.1) at 1.3Compression test: CRC matched ok.c.Run “cat /proc/pci” and look for the PCI device “193f:0001” – this isthe hardware compression card2)From a license point of view you need to make sure you have the licenseoption of “F5-ADD-BIG-HWCMP” (more specifically the flags “software-offload” and “perf_http_compression_hw”, see C206746). If you have these then you can check on the status of the hardware and software compressionsupport with the command “tmctl vcompress_stats”. You should see threecompression devices in a properly-licensed system: soft_sync, soft_offloadand aha_offload. None of the compression DB variables have any effect on a system without the hardware compression license.[root@guangzhoubigip:Active] config # tmctl vcompress_statsname queued_bytes precompress_bytes postcompress_bytes tot_streams------------ ------------ ----------------- ------------------ -----------_overflow 0 0 0 0soft_sync 0 15891910 8959907 1015soft_offload 0 968796177 952189037 1454aha_offload 0 94520923273 93309092599 846095cur_streams-----------203)Under the HTTP profile that is assigned to your VIPs you need to make surethat you select level 1 as the compression level and the GZIP Windows Size as “4k”.HTTP压缩功能配置介绍1. 配置http profile请参考如下配置界面:设置说明缺省值Compression 启用或禁用HTTP压缩特性。
F5 LTM入门
ie
profile member
Load balance
Virtual server pool
irule datagroup
monitor
http ftp UIE mssql
20
Pool Members and Nodes
Internet
• Nodes refer to Pool Members IP Address only
External 10.10.X.31
192.168.X.31 Shared 10.10.X.33
Internal 172.16.X.31 Shared 172.16.X.33
18
Module 3–负载均衡基础介绍
Internet
1
2
3
4
5
6
7
8
19
Module 3 – 基础概念
http ftp
216.34.94.17:80
Members
23
Virtual Server - Address Translation
Internet
216.34.94.17:80
通过对目标地址转换 的方式,实现负载均衡, 外部用户看起来就象 一台性能强大的服务 器
BIG-IP V9
F5 Networks Training
BIG-IP Local Traffic Manager
• 负载均衡 • 判断服务器健康状态
Internet
2
Module 1 – 安装
Clients
Internet
BIG-IPs
Servers
3
Module 1 –LTM介绍
负载均衡_F5_LTM工作原理-配置手册public
© F5 Networks
9
查看TMM内存占用情况
• TMM分配的内存是准确的,Host内存显示 在这里有一些偏差
© F5 Networks
10
VS Type 详解
© F5 Networks
11
VS Type详解 • • • • Performance L4 Standard VS Fast HTTP Fowarding VS
F5 LTM工作原理
杨明非 F5北方区技术经理
Agenda • • • • • • • • LTM基础架构 VS Type详解 Profile详解 CMP 工作原理 One Connect工作原理 NAT、SNAT工作原理 Monitor工作原理 HA工作原理
© F5 Networks
LTM基础架构
© F5 Networks
CLERVER_CLOSED
22
Profile详解
© F5 Networks
23
Profile的作用和工作范围 • Profile依赖于VS • Profile是对VS的流量进行格式化处理 • 举例如果一个VS上配置了TCP Profile,则 该VS对所有的UDP流量都不会接收
© F5 Networks
13
Performance L4 攻击防护-Syn Cookie
Syn Syn,Ack (syncookie)
Ack(Cookie)
Syn Syn-Ack TMM Ack
Data
• • • • • •
正常情况下客户端连接和服务器端连接是1:1的关系 TMM在第一次收到客户端Syn包时,并不建立连接表 TMM的Syn Ack回应通过算法回应给客户端Syn,并期待客户端回应的值 TMM对客户端ACK进行计算,确认是真实客户端,再和后台服务器建立连接 在84/88上可以实现硬件的Syn Cookie计算,其余的平台都是通过软件实现 SynCookie计算 Syn Cookie工作模式下,只有成功建立连接的TCP请求才转发到后台
F5-LTM配置参数说明(2积分)
F5 LTM 配置参数说明Local Trafficvirtual serversStandard General Properties基本的VS类型。
Name:Type:Host or NetworkAddress:Mask:Service portStateconfigurationType(standard)Protocol(tcp)Protocol profile(client)Protocol profile(server)Oneconnect profileHTTP profileFTP profileSSL Profile (Client)SSL Profile (Server)Authentication ProfilesStream ProfileStatistics ProfileVLAN TrafficConnection LimitConnection MirroringAddress TranslationPort TranslationSNAT poolClone Pool (Client)Clone Pool (Server)Last Hop PoolType(standard)Protocol(udp)Protocol profile(Client)Protocol profile(server)Statistics profileVLAN TrafficConnection LimitConnection MirroringAddress TranslationPort TranslationSNAT poolClone Pool (Client)Clone Pool (Server)Last Hop PoolForwarding layer2Type(forwarding layer2)该VS类型可应用在对二层地址的ProtocolProtocol profile(Client)Statistics ProfileVLAN TrafficConnection LimitConnection MirroringSNAT poolClone Pool (Client)Clone Pool (Server)Last Hop Pool Forwarding IP Type(forwarding IP)该VS类型应用在直接转发IP数据ProtocolProtocol profile(Client)Statistics ProfileVLAN TrafficConnection LimitConnection MirroringSNAT poolClone Pool (Client)Clone Pool (Server)Last Hop Pool Performance HTTP Type(performance HTTP)该VS类型结合Fast HTTP profiProtocolProtocol profile(Client)Statistics ProfileVLAN TrafficConnection LimitConnection MirroringClone Pool (Client)Clone Pool (Server)Last Hop Pool Performance layer4Type(performance layer4)该VS类型结合Fast L4 profileProtocolProtocol profile(Client)Statistics profileVLAN TrafficConnection LimitConnection MirroringAddress TranslationPort TranslationSNAT poolClone Pool (Client)Clone Pool (Server)Last Hop Pool Performance reject Type(performance reject)该vs类型将拒绝到该vs的所有流ProtocolStatistics ProfileVLAN TrafficProfilesService-http General PropertiesName:Parent ProfileSettingFallback HostHeader InsertHeader EraseResponse ChunkingOneConnect TransformationsRedirect RewriteMaximum Header SizePipeliningInsert XForwarded ForLWS Maximum ColumnsLWS SeparatorMaximum RequestsCompressionCompressionURI CompressionURI ListContent CompressionContent ListPreferred MethodMinimum Content LengthCompression Buffer Sizegzip Compression Levelgzip Memory Levelgzip Window SizeVary HeaderHTTP/1.0 RequestsKeep Accept EncodingCPU SaverCPU Saver High ThresholdCPU Saver Low Thresholdservice-ftp General PropertiesName:Parent ProfilesettingsTranslate ExtendedData Portpersist-cookie General PropertiesName:Persistence type-cookieParent Profileconfigurationcookie method-http cookie insertcookie name:Expiration: Session Cookiecookie method-cookie hashcookie name:Hash offsetHash LengthTimeoutMirror PersistenceMatch Across ServicesMatch Across Virtual ServeMatch Across Poolscookie method-http cookie passiveCookie Name:cookie method-http cookie rewriteCookie NameExpiration: Session CookieGeneral Propertiespersist-destination addressName:Persistence type-destinatiParent ProfileconfigurationMirror PersistenceMatch Across ServicesMatch Across Virtual ServeMatch Across PoolsMaskTimeoutpersist-hash General PropertiesName:Persistence type-hashParent ProfileconfigurationMirror PersistenceMatch Across ServicesMatch Across Virtual ServeMatch Across PoolsiRuleTimeoutGeneral Propertiespersist-microsoft remote deName:Persistence type-microsoftParent ProfileconfigurationMirror PersistenceMatch Across ServicesMatch Across Virtual ServeMatch Across PoolsTimeoutHas Session Directory persist-sip General PropertiesName:Persistence type-sipParent ProfileconfigurationMirror PersistenceMatch Across ServicesMatch Across Virtual ServeMatch Across PoolsTimeoutpersist-source_addr General PropertiesName:Persistence type-source_adParent ProfileconfigurationMirror PersistenceMatch Across ServicesMatch Across Virtual ServeMatch Across PoolsTimeoutMaskproxy mappingpersist-ssl General PropertiesName:Persistence type-sslParent ProfileconfigurationMirror PersistenceMatch Across ServicesMatch Across Virtual ServeMatch Across PoolsTimeoutpersist-universal General PropertiesName:Persistence type-universalParent ProfileconfigurationMirror PersistenceMatch Across ServicesMatch Across Virtual ServeMatch Across PoolsiRuleTimeoutName:Parent ProfilesettingsReset on TimeoutReassemble IP FragmentsIdle TimeoutTCP Handshake TimeoutMaximum Segment Size OverrPVA AccelerationIP ToS to ClientIP ToS to ServerLink QoS to ClientLink QoS to ServerTCP Timestamp ModeTCP Window Scale ModeGenerate Internal SequenceStrip Sack OKRTT from ClientRTT from ServerLoose InitiationLoose CloseTCP Close Timeoutprotocol-fasthttp General PropertiesName:Parent ProfileSettingsReset on TimeoutIdle TimeoutMaximum Segment Size OverrClient Close TimeoutServer Close TimeoutUnclean ShutdownForce HTTP 1.0 ResponseOneConnectMaximum Pool SizeMinimum Pool SizeRamp-Up IncrementMaximum ReuseIdle Timeout OverrideReplenishHTTPParse RequestsMaximum Header SizeMaximum RequestsInsert XForwarded ForHeader InsertName:Parent ProfileSettingsReset On TimeoutTime Wait RecycleProxy Maximum SegmentProxy OptionsProxy Buffer LowProxy Buffer HighIdle TimeoutTime WaitFin WaitClose WaitSend BufferReceive WindowKeep Alive IntervalMaximum Syn RetransmissionMaximum Segment RetransmisIP ToSLink QoSSelective ACKsExtended Congestion NotifiExtensions for High PerforLimited Transmit RecoverySlow StartDeferred AcceptBandwidth DelayNagle’s AlgorithmAcknowledge on PushMD5 SignatureMD5 Signature PassphraseGeneral PropertiesName:Parent ProfileSettingsIdle TimeoutIP ToSLink QoSDatagram LBSSL-clientssl General PropertiesName:Parent ProfileconfigurationCertificateKeyPass PhraseConfirm Pass PhraseChainTrusted Certificate AuthorCiphersOptionsModSSL MethodsCache SizeCache TimeoutAlert TimeoutHandshake TimeoutRenegotiate PeriodRenegotiate SizeRenegotiate Max Record DelUnclean ShutdownStrict ResumeNon-SSL ConnectionsClient AuthenticationClient CertificateFrequencyCertificate Chain TraversaAdvertised Certificate AutCertificate Revocation Lis SSL-serverssl General PropertiesName:Parent ProfileconfigurationCertificateKeyPass PhraseConfirm Pass PhraseChainTrusted Certificate AuthorCiphersOptionsModSSL MethodsCache SizeCache TimeoutAlert TimeoutHandshake TimeoutRenegotiate PeriodRenegotiate SizeUnclean ShutdownStrict ResumeServer AuthenticationServer CertificateFrequencyCertificate Chain TraversaAuthenticate NameCertificate Revocation Lis Authentication-profiles General PropertiesName:TypeParent ProfileConfigurationModeConfigurationRuleIdle TimeoutGeneral Properties Authentication-configuratioName:TypeConfigurationHostsSearch Type-userUser Base DNUser KeyCache SizeSecureAdmin DNAdmin PasswordConfirm Admin PasswordGroup Base DNGroup KeyGroup Member KeyValid GroupsRole KeyValid RolesSearch Type-certificate mapUser Base DNUser KeyCertificate Map Base DNCertificate Map KeyUse Serial Certificate MapCache SizeCache TimeoutSecureAdmin DNAdmin PasswordConfirm Admin PasswordGroup Base DNGroup KeyGroup Member KeyValid GroupsRole KeyValid RolesSearch Type-certificateUser Base DNUser KeyObject ClassCache SizeCache TimeoutSecureAdmin DNAdmin PasswordConfirm Admin PasswordGroup Base DNGroup KeyGroup Member KeyValid GroupsRole KeyValid RolesOther-oneconnect General PropertiesName:Parent ProfileSettingsSource MaskMaximum SizeMaximum AgeMaximum ReuseIdle Timeout OverrideOther-statistics General PropertiesName:Paren ProfileSettingsField 1Field 2Field 3 …Field 32Other-stream General PropertiesName:Paren ProfileSettingsSourceTargetiRulePropertiesNameDefinitionPoolConfigurationNameHealth MonitorsAvailability RequirementAllow SNATAllow NATAction On Service DownSlow Ramp TimeIP ToS to ClienIP ToS to ServerLink QoS to ClientLink QoS to ServerResourcesLoad Balancing MethodPriority Group ActivationNew Members-addressNew Members-service port NodeGeneral PropertiesAddressNameConfigurationHealth MonitorsSelect MonitorsAvailability RequirementRatioConnection LimitMonitorGateway ICMP General Properties利用ICMP(ping)检查node状态NameTypeImport SettingsConfigurationIntervalTimeoutTransparentAlias AddressAlias Service PortICMP General Properties利用ICMP(ping)检查node状态NameTypeImport SettingsConfigurationIntervalTimeoutTransparentAlias AddressTCP_echo General Properties利用TCP三次握手进行健康性检NameTypeImport SettingsConfigurationIntervalTimeoutTransparentAlias Address HTTP General Properties 验证HTTP 服务健康性,主要通NameTypeImport SettingsConfigurationIntervalTimeoutSend StringReceive StringUser NamePasswordReverseTransparentAlias AddressAlias Service Port HTTPs General Properties 验证HTTPs服务的健康性,主要NameTypeImport SettingsConfigurationIntervalTimeoutSend StringReceive StringCipher ListUser NamePasswordCompatibilityClient CertificateReverseAlias AddressAlias Service Port FTP General Properties 验证FTP服务的健康性,通过doNameTypeImport SettingsConfigurationIntervalTimeoutUser NamePasswordPath / FilenameModeAlias AddressAlias Service PortDebugTCP General Properties 利用TCP三次握手进行健康性检NameTypeImport SettingsConfigurationIntervalTimeoutSend StringReceive StringReverseTransparentAlias AddressAlias Service Port TCP Half Open General Properties 利用TCP三次握手进行健康性检NameTypeImport SettingsConfigurationIntervalTimeoutAlias AddressAlias Service Port UDP General Properties 利用UDP进行健康性检查,发送NameTypeImport SettingsConfigurationIntervalTimeoutSend StringSend PacketsTimeout PacketsAlias AddressAlias Service Port External General Properties 利用external类型的monitor创NameTypeImport SettingsConfigurationIntervalTimeoutExternal ProgramArgumentsVariablesAlias AddressAlias Service Port POP3General Properties 利用该monitor类型对POP3邮件NameTypeImport SettingsConfigurationIntervalTimeoutUser NamePasswordAlias AddressAlias Service PortDebugSMTP General Properties 利用该monitor类型对SMTP邮件NameTypeImport SettingsConfigurationIntervalTimeoutDomainAlias AddressAlias Service PortDebugMSSQL General Properties 利用该monitor类型对微软SQLNameTypeImport SettingsConfigurationIntervalTimeoutSend StringReceive StringUser NamePasswordDatabaseReceive RowReceive ColumnCountAlias AddressAlias Service Port Oracle General Properties 利用该monitor类型对Oracle 数NameTypeImport SettingsConfigurationIntervalTimeoutSend StringReceive StringUser NamePasswordDatabaseReceive RowReceive ColumnCountAlias AddressAlias Service PortDebugDebugIMAP General Properties对IMAP流量进行健康性检查,当NameTypeImport SettingsConfigurationIntervalTimeoutUser NamePasswordFolderAlias AddressAlias Service PortDebugLDAP General Properties利用该monitor类型对LDAP serNameTypeImport SettingsConfigurationIntervalTimeoutUser NamePasswordBaseFilterSecurityMandatory AttributesAlias AddressAlias Service PortDebugNNTP General Properties利用该monitor类型对网络新闻NameTypeImport SettingsConfigurationIntervalTimeoutUser NamePasswordNewsgroupAlias AddressAlias Service Port RADIUS General Properties 利用该monitor类型对RADIUS服NameTypeImport SettingsConfigurationIntervalTimeoutUser NamePasswordSecretNAS IP AddressAlias AddressAlias Service PortDebugReal Server General Properties 利用该monitor类型对pool\pooNameTypeImport SettingsConfigurationIntervalTimeoutMethodCommandMetricsAgentAlias AddressAlias Service Port Scripted General Properties 利用该monitor类型创建简单的NameTypeImport SettingsConfigurationIntervalTimeoutFile NameAlias AddressAlias Service PortDebugSIP General Properties利用该monitor类型对SIP呼叫INameTypeImport SettingsConfigurationIntervalTimeoutModeAdditional Accepted StatusAlias AddressAlias Service PortDebugSNMP DCA General Properties利用该monitor类型对运行SNMPNameTypeImport SettingsConfigurationIntervalTimeoutCommunityVersionAgent TypeCPU CoefficientCPU ThresholdMemory CoefficientMemory ThresholdDisk CoefficientDisk ThresholdVariablesAlias AddressAlias Service PortSNMP DCA Base General Properties利用该monitor类型对运行SNMPNameTypeImport SettingsConfigurationIntervalTimeoutCommunityVersionVariablesAlias AddressAlias Service PortSOAP General Properties利用该monitor类型测试基于SONameImport SettingsConfigurationIntervalTimeoutUser NamePasswordProtocolURL PathNamespaceMethodParameter NameParameter TypeParameter ValueReturn TypeReturn ValueExpect FaultAlias AddressAlias Service Port WAP General Properties 利用该monitor类型监视WAP服务NameTypeImport SettingsConfigurationIntervalTimeoutSend StringReceive StringSecretAccounting NodeAccounting PortServer IDCall IDSession IDFramed AddressAlias AddressAlias Service PortDebugWMI General Properties 利用该monitor类型检查运行WMNameTypeImport SettingsConfigurationIntervalTimeoutUser NamePasswordURLCommandMetricsAgentPostAlias AddressAlias Service Port SNATsSNAT List General PropertiesNameConfigurationTranslationOriginAddress list-addressAddress list-maskVLAN TrafficSNAT Pool List General PropertiesNameConfigurationmember list-addressSNAT Translation List General PropertiesIP AddressStateConfigurationARPConnection LimitTCP Idle TimeoutUDP Idle TimeoutIP Idle TimeoutNAT List General PropertiesNAT AddressOrigin AddressStateConfigurationARPVLAN Traffic NetworkInterfaceinterface list InterfacestatusnameMAC AddressMedia SpeedVLAN CountTrunkinterface mirroring ConfigurationInterface Mirroring StateDestination InterfaceMirrored InterfacesRoutePropertiestypeDestinationNetmaskResourceSelf IPsConfigurationIP AddressNetmaskVLANPort LockdownFloating IPUnit IDPacket FiltersGeneral PropertiesPacket FilteringUnhandled Packet ActionOptions-Filter establishedOptions-Send ICMP error onExemptionsProtocols-Always accept ARProtocols-Always accept imMAC AddressesIP AddressesVLANsRule ConfigurationNameOrderActionApply to VLANLoggingFilter ExpressionFilter Expression MethodProtocolsSource Hosts and NetworksDestination Hosts and NetwDestination PortSpanning TreePropertiesmodHello timeMaximum AgeForward DelayTrasmit Hold Count TrunksConfigurationNameInterfaceLACPLink Selection Policy VLANVLAN List General PropertiesNameTagResourcesInterface-untaggedInterface-taggedConfigurationSource CheckMTUMAC MasqueradeFail-safeFail-safe Timeout ARP ActionStatic List ConfigurationIP AddressMAC AddressOptions PropertiesDynamic TimeoutMaximum Dynamic EntriesRequest RetriesReciprocal UpdateSystemGeneral PropertiesDevice-General PropertiesHost NameVersionCPU CountActive CPUsCPU ModeNework BootQuiet BootDisplay LCD System MenuMemory Restart PercentDevice-NTP PropertiesAddressDevice-DNS PropertiesDNS Lookup Server List-addBIND Forwarder Server ListLocal Traffic-General PropertiesAuto Last HopMaintenance ModeVLAN-Keyed ConnectionsPath MTU DiscoveryReject Unmatched PacketsMaximum Node Idle TimeReaper High-water MarkReaper Low-water MarkSYN Check Activation ThresLayer2 Cache Aging TimeShare Single MAC AddressSNAT Packet ForwardingLocal Traffic-Persistence PropertiesManagement of DestinationMaximum EntriesProxy Address Data Group Device CertificatesDevice Certificate General PropertiesNameCertificate Subject(s)Certificate PropertiesExpiresVersionSerial NumberSubjectIssuerDevice Key Key PropertiesKey TypeSizeGeneral PropertiesTrusted Device CertificatesNameCertificate Subject(s)Certificate PropertiesExpiresVersionSerial NumberSubjectIssuerLicenceGeneral PropertiesLicense TypeLicensed DateActive ModulesOptional ModulesInactive ModulesPlatformGeneral PropertiesManagement Port-IP AddressManagement Port-Network MaManagement Port-ManagementHost NameHost IP AddressHigh AvailabilityUnit IDTime ZoneUser AdministrationRoot Account-Password:Root Account-Confirm:Admin Account-Password:Admin Account-Confirm:Support AccountSSH AccessSSH IP AllowHigh AvailabilityRedundancy General PropertiesPrimary Failover Address-SPrimary Failover Address-PSecondary Failover AddressSecondary Failover AddressRedundancy ModeCurrent Redundancy StateRedundancy State PreferencUnit IDNetwork FailoverLink Down Time on FailoverConfigSync ConfigurationConfigSync PeerConfigSync UserEncryptionDetect ConfigSync StatusStatus MessageLast Change(Self)Last Change(Peer)Last ConfigSyncSynchronizeFail-safe_system System Trigger PropertiesSwitch Board FailureSystem ServicesBIGDTMMMCPDSODBCM56XXDNAMEDFail-safe_Gateway ConfigurationGateway Pool NameUnit IDThresholdActionFail-safe_VLAN ConfigurationVLANTimeoutActionArchives General PropertiesFile NameEncryptionPrivate KeysVersionService System Services Listbig3dnamedntpdpostfixradvdsnmpdsshdPreferences System SettingsRecords Per ScreenStart ScreenAdvanced by DefaultDisplay Host Names When PoStatistics FormatScreen Refresh IntervalArchive EncryptionSNMPAgent-configuration Global SetupContact InformationMachine LocationSNMP AccessClient Allow List-typeClient Allow List-address:Client Allow List-mask:Agent-Access(v1,v2)Record PropertiesTypeCommunitySourceOIDAccessAgent-Access(v3)Record PropertiesUser NameAuthentication-typeAuthentication-Password:Authentication-Confirm:Privacy-ProtocolPrivacy-Password:Privacy-Confirm:Privacy-Use AuthenticationOIDAccessTraps-configuration ConfigurationAgent Start / StopAgent AuthenticationDeviceTraps-Destination Record PropertiesVersionCommunityDestinationPortLogsSystem EventPacket Filter EventLocal Traffic EventAudit EventOptions Local Traffic LoggingARP/NDPBigDBHTTPHTTP CompressionIPLayer 4MCPNetworkPacket Velocity® ASICiRulesSSLTraffic Management OSAudit LoggingAuditUsersusers-list Account PropertiesUser NameAuthentication-Password:Authentication-Confirm:Web User RoleConsoleAuthentication Authentication SourceUser DirectoryPassword PolicySecure Password EnforcemenMinimum LengthRequired Characters-NumeriRequired Characters-UppercRequired Characters-LowercRequired Characters-Other:Password MemoryMinimum DurationMaximum DurationExpiration Warning SupportsSupport SnapshotQkviewTCP DumpTCP Dump ConfigurationVLAN:Packets:Options:Timeout:ConsoleDescription设置vs的唯一名称。
F5BIG-IPLTM标准配置文档
F5BIG-IPLTM标准配置文档BIG-IP LTM 标准配置文档目录一、设备配置准备工作 (3)1.设备硬件环境准备 (3)2.工作站F5设备连接 (4)二、网络基础配置 (7)1.激活License (7)2.网络配置 (14)三、服务器负载均衡配置 (18)1.配置default_gateway_vs (18)2.针对服务建立相应VS (20)一、设备配置准备工作1.设备硬件环境准备1.BigIP 1500及随机器配置的电源线、Console线、网线等;2.工作站一台并且预装了下列软件工具:SSH工具软件如SecureCRT;SFTP工具软件如WinSCP;3.上网环境:需要上网激活F5设备;4.LTM实施完成后拓扑图:2.工作站F5设备连接1.将Console 线连接工作站COM 口和F5的console 口,网线连接工作站网口和F5的MGMT网口。
2.如果工作站使用“超级终端”,COM 口设置如下:如果工作站使用SecureCRT ,设置如下:3.F5的MGMT网口默认的IP地址为192.168.1.245/24,因此,配置工作站网口的地址为192.168.1.200/24,以便与F5设备连接;4.工作站上ssh工具如SecureCRT设置如下:二、网络基础配置1.激活License1.系统时间修改:使用超级终端或者SecureCRT登录F5 BIG-IP的console口,输入命令:[root@localhost:Active] config # date查看当前系统时间:如果系统时间正确,则不作修改,退出console;如果系统时间不正确,使用下面两条命令修改到正确的时间:[root@localhost:Active] config # date MMDDhhmmYYYY[root@localhost:Active] config # hwclock --systohc2.登录F5 BIG-IP LTM设备并输入key,获取dossior.do文件在工作站使用IE浏览器,输入https://192.168.1.245登录BIG-IP点击“是”确认证书。
F5-LTM配置参数说明
F5 LTM 配置参数说明Local Trafficvirtual serversStandard General Properties基本的VS类型。
Name:Type:Host or NetworkAddress:Mask:Service portStateconfigurationType(standard)Protocol(tcp)Protocol profile(client)Protocol profile(server)Oneconnect profileHTTP profileFTP profileSSL Profile (Client)SSL Profile (Server)Authentication ProfilesStream ProfileStatistics ProfileVLAN TrafficConnection LimitConnection MirroringAddress TranslationPort TranslationSNAT poolClone Pool (Client)Clone Pool (Server)Last Hop PoolType(standard)Protocol(udp)Protocol profile(Client)Protocol profile(server)Statistics profileVLAN TrafficConnection LimitConnection MirroringAddress TranslationPort TranslationSNAT poolClone Pool (Client)Clone Pool (Server)Last Hop PoolForwarding layer2Type(forwarding layer2)该VS类型可应用在对二P rotocolProtocol profile(Client)Statistics ProfileVLAN TrafficConnection LimitConnection MirroringSNAT poolClone Pool (Client)Clone Pool (Server)Last Hop Pool Forwarding IP Type(forwarding IP)该VS类型应用在直接转P rotocolProtocol profile(Client)Statistics ProfileVLAN TrafficConnection LimitConnection MirroringSNAT poolClone Pool (Client)Clone Pool (Server)Last Hop Pool Performance HTTP Type(performance HTTP)该VS类型结合Fast HTTProtocolProtocol profile(Client)Statistics ProfileVLAN TrafficConnection LimitConnection MirroringClone Pool (Client)Clone Pool (Server)Last Hop Pool Performance layer4Type(performance layer4)该VS类型结合Fast L4ProtocolProtocol profile(Client)Statistics profileVLAN TrafficConnection LimitConnection MirroringAddress TranslationPort TranslationSNAT poolClone Pool (Client)Clone Pool (Server)Last Hop Pool Performance rejectType(performance reject)该vs类型将拒绝到该vsProtocolStatistics ProfileVLAN TrafficProfilesService-http General PropertiesName:Parent ProfileSettingFallback HostHeader InsertHeader EraseResponse ChunkingOneConnect TransformationsRedirect RewriteMaximum Header SizePipeliningInsert XForwarded ForLWS Maximum ColumnsLWS SeparatorMaximum RequestsCompressionCompressionURI CompressionURI ListContent CompressionContent ListPreferred MethodMinimum Content LengthCompression Buffer Sizegzip Compression Levelgzip Memory Levelgzip Window SizeVary HeaderHTTP/1.0 RequestsKeep Accept EncodingCPU SaverCPU Saver High ThresholdCPU Saver Low Threshold service-ftp General PropertiesName:Parent ProfilesettingsTranslate ExtendedData Portpersist-cookie General PropertiesName:Persistence type-cookieParent Profileconfigurationcookie method-http cookie insertcookie name:Expiration: Session Cookiecookie method-cookie hashcookie name:Hash offsetHash LengthTimeoutMirror PersistenceMatch Across ServicesMatch Across Virtual ServersMatch Across Poolscookie method-http cookie passiveCookie Name:cookie method-http cookie rewriteCookie NameExpiration: Session CookieGeneral Propertiespersist-destinationName:Persistence type-destination addressParent ProfileconfigurationMirror PersistenceMatch Across ServicesMatch Across Virtual ServersMatch Across PoolsMaskTimeoutpersist-hash General PropertiesName:Persistence type-hashParent ProfileconfigurationMirror PersistenceMatch Across ServicesMatch Across Virtual ServersMatch Across PoolsiRuleTimeoutGeneral Propertiespersist-microsoft reName:Persistence type-microsoft remot desktopParent ProfileconfigurationMirror PersistenceMatch Across ServicesMatch Across Virtual ServersMatch Across PoolsTimeoutHas Session Directorypersist-sip General PropertiesName:Persistence type-sipParent ProfileconfigurationMirror PersistenceMatch Across ServicesMatch Across Virtual ServersMatch Across PoolsTimeoutpersist-source_addr G eneral PropertiesName:Persistence type-source_addrParent ProfileconfigurationMirror PersistenceMatch Across ServicesMatch Across Virtual ServersMatch Across PoolsTimeoutMaskproxy mappingpersist-ssl General PropertiesName:Persistence type-sslParent ProfileconfigurationMirror PersistenceMatch Across ServicesMatch Across Virtual ServersMatch Across PoolsTimeoutpersist-universal General PropertiesName:Persistence type-universalParent ProfileconfigurationMirror PersistenceMatch Across ServicesMatch Across Virtual ServersMatch Across PoolsiRuleTimeoutName:Parent ProfilesettingsReset on TimeoutReassemble IP FragmentsIdle TimeoutTCP Handshake TimeoutMaximum Segment Size OverridePVA AccelerationIP ToS to ClientIP ToS to ServerLink QoS to ClientLink QoS to ServerTCP Timestamp ModeTCP Window Scale ModeGenerate Internal Sequence NumbersStrip Sack OKRTT from ClientRTT from ServerLoose InitiationLoose CloseTCP Close Timeoutprotocol-fasthttp General PropertiesName:Parent ProfileSettingsReset on TimeoutIdle TimeoutMaximum Segment Size OverrideClient Close TimeoutServer Close TimeoutUnclean ShutdownForce HTTP 1.0 ResponseOneConnectMaximum Pool SizeMinimum Pool SizeRamp-Up IncrementMaximum ReuseIdle Timeout OverrideReplenishHTTPParse RequestsMaximum Header SizeMaximum RequestsInsert XForwarded ForHeader InsertName:Parent ProfileSettingsReset On TimeoutTime Wait RecycleProxy Maximum SegmentProxy OptionsProxy Buffer LowProxy Buffer HighIdle TimeoutTime WaitFin WaitClose WaitSend BufferReceive WindowKeep Alive IntervalMaximum Syn RetransmissionsMaximum Segment RetransmissionsIP ToSLink QoSSelective ACKsExtended Congestion NotificationExtensions for High Performance (RFC 1323)Limited Transmit RecoverySlow StartDeferred AcceptBandwidth DelayNagle’s AlgorithmAcknowledge on PushMD5 SignatureMD5 Signature PassphraseGeneral PropertiesName:Parent ProfileSettingsIdle TimeoutIP ToSLink QoSDatagram LBSSL-clientssl General PropertiesName:Parent ProfileconfigurationCertificateKeyPass PhraseConfirm Pass PhraseChainTrusted Certificate AuthoritiesCiphersOptionsModSSL MethodsCache SizeCache TimeoutAlert TimeoutHandshake TimeoutRenegotiate PeriodRenegotiate SizeRenegotiate Max Record DelayUnclean ShutdownStrict ResumeNon-SSL ConnectionsClient AuthenticationClient CertificateFrequencyCertificate Chain Traversal DepthAdvertised Certificate AuthoritiesCertificate Revocation List (CRL) SSL-serverssl General PropertiesName:Parent ProfileconfigurationCertificateKeyPass PhraseConfirm Pass PhraseChainTrusted Certificate AuthoritiesCiphersOptionsModSSL MethodsCache SizeCache TimeoutAlert TimeoutHandshake TimeoutRenegotiate PeriodRenegotiate SizeUnclean ShutdownStrict ResumeServer AuthenticationServer CertificateFrequencyCertificate Chain Traversal DepthAuthenticate NameCertificate Revocation List (CRL)General PropertiesAuthentication-profiName:TypeParent ProfileConfigurationModeConfigurationRuleIdle TimeoutGeneral PropertiesAuthentication-confiName:TypeConfigurationHostsSearch Type-userUser Base DNUser KeyCache SizeSecureAdmin DNAdmin PasswordConfirm Admin PasswordGroup Base DNGroup KeyGroup Member KeyValid GroupsRole KeyValid RolesSearch Type-certificate mapUser Base DNUser KeyCertificate Map Base DNCertificate Map KeyUse Serial Certificate MapCache SizeCache TimeoutSecureAdmin DNAdmin PasswordConfirm Admin PasswordGroup Base DNGroup KeyGroup Member KeyValid GroupsRole KeyValid RolesSearch Type-certificateUser Base DNUser KeyObject ClassCache SizeCache TimeoutSecureAdmin DNAdmin PasswordConfirm Admin PasswordGroup Base DNGroup KeyGroup Member KeyValid GroupsRole KeyValid RolesOther-oneconnect General PropertiesName:Parent ProfileSettingsSource MaskMaximum SizeMaximum AgeMaximum ReuseIdle Timeout Override Other-statistics General PropertiesName:Paren ProfileSettingsField 1Field 2Field 3 …Field 32Other-stream General PropertiesName:Paren ProfileSettingsSourceTargetiRulePropertiesNameDefinitionPoolConfigurationNameHealth MonitorsAvailability RequirementAllow SNATAllow NATAction On Service DownSlow Ramp TimeIP ToS to ClienIP ToS to ServerLink QoS to ClientLink QoS to ServerResourcesLoad Balancing MethodPriority Group ActivationNew Members-addressNew Members-service port NodeGeneral PropertiesAddressNameConfigurationHealth MonitorsSelect MonitorsAvailability RequirementRatioConnection LimitMonitorGateway ICMP General Properties利用ICMP(ping)检查N ameTypeImport SettingsConfigurationIntervalTimeoutTransparentAlias AddressAlias Service PortICMP General Properties利用ICMP(ping)检查N ameTypeImport SettingsConfigurationIntervalTimeoutTransparentAlias AddressTCP_echo General Properties利用TCP三次握手进行健NameTypeImport SettingsConfigurationIntervalTimeoutTransparentAlias Address HTTP General Properties 验证HTTP 服务健康性,NameTypeImport SettingsConfigurationIntervalTimeoutSend StringReceive StringUser NamePasswordReverseTransparentAlias AddressAlias Service Port HTTPs General Properties 验证HTTPs服务的健康性NameTypeImport SettingsConfigurationIntervalTimeoutSend StringReceive StringCipher ListUser NamePasswordCompatibilityClient CertificateReverseAlias AddressAlias Service Port FTP General Properties 验证FTP服务的健康性,NameTypeImport SettingsConfigurationIntervalTimeoutUser NamePasswordPath / FilenameModeAlias AddressAlias Service PortDebugTCP General Properties 利用TCP三次握手进行健NameTypeImport SettingsConfigurationIntervalTimeoutSend StringReceive StringReverseTransparentAlias AddressAlias Service Port TCP Half Open General Properties 利用TCP三次握手进行健NameTypeImport SettingsConfigurationIntervalTimeoutAlias AddressAlias Service Port UDP General Properties 利用UDP进行健康性检查NameTypeImport SettingsConfigurationIntervalTimeoutSend StringSend PacketsTimeout PacketsAlias AddressAlias Service Port External General Properties 利用external类型的moNameTypeImport SettingsConfigurationIntervalTimeoutExternal ProgramArgumentsVariablesAlias AddressAlias Service Port POP3General Properties 利用该monitor类型对PNameTypeImport SettingsConfigurationIntervalTimeoutUser NamePasswordAlias AddressAlias Service PortDebugSMTP General Properties 利用该monitor类型对SNameTypeImport SettingsConfigurationIntervalTimeoutDomainAlias AddressAlias Service PortDebugMSSQL General Properties 利用该monitor类型对微NameTypeImport SettingsConfigurationIntervalTimeoutSend StringReceive StringUser NamePasswordDatabaseReceive RowReceive ColumnCountAlias AddressAlias Service Port Oracle General Properties 利用该monitor类型对ONameTypeImport SettingsConfigurationIntervalTimeoutSend StringReceive StringUser NamePasswordDatabaseReceive RowReceive ColumnCountAlias AddressAlias Service PortDebugDebugIMAP General Properties对IMAP流量进行健康性N ameTypeImport SettingsConfigurationIntervalTimeoutUser NamePasswordFolderAlias AddressAlias Service PortDebugLDAP General Properties利用该monitor类型对LNameTypeImport SettingsConfigurationIntervalTimeoutUser NamePasswordBaseFilterSecurityMandatory AttributesAlias AddressAlias Service PortDebugNNTP General Properties利用该monitor类型对网NameTypeImport SettingsConfigurationIntervalTimeoutUser NamePasswordNewsgroupAlias AddressAlias Service Port RADIUS General Properties 利用该monitor类型对RNameTypeImport SettingsConfigurationIntervalTimeoutUser NamePasswordSecretNAS IP AddressAlias AddressAlias Service PortDebugReal Server General Properties 利用该monitor类型对pNameTypeImport SettingsConfigurationIntervalTimeoutMethodCommandMetricsAgentAlias AddressAlias Service Port Scripted General Properties 利用该monitor类型创建NameTypeImport SettingsConfigurationIntervalTimeoutFile NameAlias AddressAlias Service PortDebugSIP General Properties利用该monitor类型对SNameTypeImport SettingsConfigurationIntervalTimeoutModeAdditional Accepted Status CodesAlias AddressAlias Service PortDebugSNMP DCA General Properties利用该monitor类型对运NameTypeImport SettingsConfigurationIntervalTimeoutCommunityVersionAgent TypeCPU CoefficientCPU ThresholdMemory CoefficientMemory ThresholdDisk CoefficientDisk ThresholdVariablesAlias AddressAlias Service PortSNMP DCA Base General Properties利用该monitor类型对运NameTypeImport SettingsConfigurationIntervalTimeoutCommunityVersionVariablesAlias AddressAlias Service PortSOAP General Properties利用该monitor类型测试NameImport SettingsConfigurationIntervalTimeoutUser NamePasswordProtocolURL PathNamespaceMethodParameter NameParameter TypeParameter ValueReturn TypeReturn ValueExpect FaultAlias AddressAlias Service Port WAP General Properties 利用该monitor类型监视NameTypeImport SettingsConfigurationIntervalTimeoutSend StringReceive StringSecretAccounting NodeAccounting PortServer IDCall IDSession IDFramed AddressAlias AddressAlias Service PortDebugWMI General Properties 利用该monitor类型检查NameTypeImport SettingsConfigurationIntervalTimeoutUser NamePasswordURLCommandMetricsAgentPostAlias AddressAlias Service Port SNATsSNAT List General PropertiesNameConfigurationTranslationOriginAddress list-addressAddress list-maskVLAN TrafficSNAT Pool List General PropertiesNameConfigurationmember list-addressGeneral PropertiesSNAT Translation LisIP AddressStateConfigurationARPConnection LimitTCP Idle TimeoutUDP Idle TimeoutIP Idle TimeoutNAT List General PropertiesNAT AddressOrigin AddressStateConfigurationARPVLAN Traffic NetworkInterfaceinterface list InterfacestatusnameMAC AddressMedia SpeedVLAN CountTrunkinterface mirroring C onfigurationInterface Mirroring StateDestination InterfaceMirrored InterfacesRoutePropertiestypeDestinationNetmaskResourceSelf IPsConfigurationIP AddressNetmaskVLANPort LockdownFloating IPUnit IDPacket FiltersGeneral PropertiesPacket FilteringUnhandled Packet ActionOptions-Filter established connectionsOptions-Send ICMP error on packet rejectExemptionsProtocols-Always accept ARPProtocols-Always accept important ICMPMAC AddressesIP AddressesVLANsRule ConfigurationNameOrderActionApply to VLANLoggingFilter ExpressionFilter Expression MethodProtocolsSource Hosts and NetworksDestination Hosts and NetworksDestination PortSpanning TreePropertiesmodHello timeMaximum AgeForward DelayTrasmit Hold CountTrunksConfigurationNameInterfaceLACPLink Selection PolicyVLANVLAN List General PropertiesNameTagResourcesInterface-untaggedInterface-taggedConfigurationSource CheckMTUMAC MasqueradeFail-safeFail-safe TimeoutARP ActionStatic List ConfigurationIP AddressMAC AddressOptions PropertiesDynamic TimeoutMaximum Dynamic EntriesRequest RetriesReciprocal UpdateSystemGeneral PropertiesDevice-General PropertiesHost NameVersionCPU CountActive CPUsCPU ModeNework BootQuiet BootDisplay LCD System MenuMemory Restart PercentDevice-NTP PropertiesAddressDevice-DNS PropertiesDNS Lookup Server List-addressBIND Forwarder Server List-addressPropertiesLocal Traffic-GeneraAuto Last HopMaintenance ModeVLAN-Keyed ConnectionsPath MTU DiscoveryReject Unmatched PacketsMaximum Node Idle TimeReaper High-water MarkReaper Low-water MarkSYN Check Activation ThresholdLayer2 Cache Aging TimeShare Single MAC AddressSNAT Packet ForwardingPropertiesLocal Traffic-PersisManagement of Destination Address EntriesMaximum EntriesProxy Address Data GroupDevice CertificatesDevice Certificate General PropertiesNameCertificate Subject(s)Certificate PropertiesExpiresVersionSerial NumberSubjectIssuerDevice Key Key PropertiesKey TypeSizeGeneral PropertiesTrusted Device CertiNameCertificate Subject(s)Certificate PropertiesExpiresVersionSerial NumberSubjectIssuerLicenceGeneral PropertiesLicense TypeLicensed DateActive ModulesOptional ModulesInactive ModulesPlatformGeneral PropertiesManagement Port-IP Address:Management Port-Network Mask:Management Port-Management Route:Host NameHost IP AddressHigh AvailabilityUnit IDTime ZoneUser AdministrationRoot Account-Password:Root Account-Confirm:Admin Account-Password:Admin Account-Confirm:Support AccountSSH AccessSSH IP AllowHigh AvailabilityRedundancy General PropertiesPrimary Failover Address-Self:Primary Failover Address-Peer:Secondary Failover Address-Self:Secondary Failover Address-Peer:Redundancy ModeCurrent Redundancy StateRedundancy State PreferenceUnit IDNetwork FailoverLink Down Time on Failover ConfigSync ConfigurationConfigSync PeerConfigSync UserEncryptionDetect ConfigSync StatusStatus MessageLast Change(Self)Last Change(Peer)Last ConfigSyncSynchronizeFail-safe_system System Trigger PropertiesSwitch Board FailureSystem ServicesBIGDTMMMCPDSODBCM56XXDNAMEDFail-safe_Gateway ConfigurationGateway Pool NameUnit IDThresholdActionFail-safe_VLAN ConfigurationVLANTimeoutActionArchives General PropertiesFile NameEncryptionPrivate KeysVersionService System Services Listbig3dnamedntpdpostfixradvdsnmpdsshdPreferences System SettingsRecords Per ScreenStart ScreenAdvanced by DefaultDisplay Host Names When PossibleStatistics FormatScreen Refresh IntervalArchive EncryptionSNMPAgent-configuration G lobal SetupContact InformationMachine LocationSNMP AccessClient Allow List-typeClient Allow List-address:Client Allow List-mask:Agent-Access(v1,v2)R ecord PropertiesTypeCommunitySourceOIDAccessAgent-Access(v3)Record PropertiesUser NameAuthentication-typeAuthentication-Password:Authentication-Confirm:Privacy-ProtocolPrivacy-Password:Privacy-Confirm:Privacy-Use Authentication PasswordOIDAccessTraps-configuration C onfigurationAgent Start / StopAgent AuthenticationDeviceTraps-Destination Record PropertiesVersionCommunityDestinationPortLogsSystem EventPacket Filter EventLocal Traffic EventAudit EventOptions Local Traffic LoggingARP/NDPBigDBHTTPHTTP CompressionIPLayer 4MCPNetworkPacket Velocity® ASICiRulesSSLTraffic Management OSAudit LoggingAuditUsersusers-list Account PropertiesUser NameAuthentication-Password:Authentication-Confirm:Web User RoleConsoleAuthentication Authentication SourceUser DirectoryPassword PolicySecure Password EnforcementMinimum LengthRequired Characters-Numeric:Required Characters-Uppercase:Required Characters-Lowercase:Required Characters-Other:Password MemoryMinimum DurationMaximum DurationExpiration WarningSupportsSupport SnapshotQkviewTCP DumpTCP Dump ConfigurationVLAN:Packets:Options:Timeout:ConsoleDescription设置vs的唯一名称。
F5 LTM配置文档
© F5 Networks
5
Monitor配置
© F5 Networks
6
创建自定义或者用默认的健康检查
在“Local Traffic→Monitors”页面点击“create”按钮: ①、Name栏填写:(填一个英文名称) ②、Type栏选择:(所需要的检查方式比如Http,Tcp 等)
© F5 Networks
SNAT Pool 如果选择Auto Map,将服务器自动转换为F5的self ip对外或 者对其他服务器进行访问
© F5 Networks
24
Resources大类
Default Pool 负载均衡 Virtual Server 将自动向这个 pool 发送流量, 除非有iRule 来引导服务器将流量发送到另一 pool。 Default Persistence Profile 会话保持 可以识别做客户与服务器之 间交互过程的关连性,在作负载均衡的同时,还保证一系列相关连的访 问请求会保持分配到一台服务器上。 会话保持: (1)简单会话保持 (2)基于Cookie的会话保持
22
© F5 Networks
General Properties大类
Destination Type 如果选择的类型为network,那么该属性还包括用于该IP地址的掩码。 Service Port用来引导流量的服务名称或端口编号。该属性为必需属性。 State Virtual Server的状态包括:Enabled或Disabled。作为一个选项, 您可以启用或禁用Virtual Server与指定虚拟局域网(VLAN)的连接 状态。请注意当Virtual Server处于禁用状态时,它将无法再接收新的 连接请求。不过,它会在当前的连接完成处理之后,才进入Down状 态。 注意:如果没有指定具体的虚拟局域网,那么Enabled或 Disabled设置将适用于所有虚拟局域网。
F5 LTM配置手册
5. 双机配置 1) 确认主、备 F5 运行在双机模式,点击 System->Platform 进行查看修改。 主 F5:
备 F5:
2) High Availability 配置 冗余模式:点击 System->High Availability,如下图:
第 11 页
Network Mirroring 配置, 主 F5:
的配置文件,根据需要选择),选择 Restore,即可进行恢复。
3) 配置文件上传、下载 同样在 System->Archives 中,选择 Upload 即可上传配置文件,上传配置文
件可用于后续的恢复。 若要下载配置文件,点击相应的配置文件,即可进行 Download 操作。
第 17 页
技术交流 仅供参考
二、 网络拓扑
典型的 LTM 部署架构如下: 1. 串行部署:
如下图所示,负载均衡串联在应用服务器网段和核心交换机所在网段之间, 两个网段被 F5 分割为两个互不相连的子网。
防火墙
F5 负载均衡器冗余系统
核心交换机
Ethernet
应用服务器
第1页
2. 旁路部署: 如下图所示,负载均衡旁路接入网络,不需要对现有网络架构进行调整。物
3) 可以Copy Dossier文本或下载文件,登录到F5的激活页面: https:///license/dossier.jsp 将复制的Dossier文本粘贴进去,或上传文本文件,选择Next,获取到License 激活文件,将激活代码复制到F5的界面,从而激活设备。
第4页ห้องสมุดไป่ตู้
3. 系统基础配置 点击 System->Platform,配置管理地址、主机名、时区等;
最新F5 LTM配置文档资料
© F5 Networks
Pool配置
9
© F5 Networks
创建负载均衡Pool
在“Local Traffic→Pools”页面点击“create”按钮: ①、Name栏填写:(填一个英文名称) ②、Health Monitors栏:选择健康检查方式 ③、Load Balancing Method栏选择:Round Robin (这里选择的负载均衡方式是轮询,也可以选择其他方式) ④、New Members栏:先选择New Address,再添加 服务器的IP地址,如:192.168.1.11、192.168.1.12以及它 们的端口80
10
© F5 Networks
常用Load Balancing Method选择
• Round Robin 该模式为缺省负载均衡法。Round Robin模式将每个新连接请求一致 地传递到下一个服务器,最终将连接平均分配到负载均衡的一组设备上。Round Robin 模式在大多数配置中运行良好,特别是在负载均衡设备的处理速度和内存基本相同的情 况下。 • Ratio (member)和Ratio (node) LTM系统按照您所设定的比率权重在设备中分配连 接,每个设备随时间变化接收的连接的数量与您为每个设备定义的比率权重成一定比例。 这些属于静态负载均衡法 • Least Connections (member)和Least Connections (node) Least Connections方法 相对比较简单,因为采用此方法,LTM系统可以将新连接传递到当前连接数量最少的节 点。Least Connections方法的最佳工作环境为您正在平衡的服务器或其它设备具有相近 的功能。 • Observed (member)和Observed (node) Observed方法结合使用了在Least Connections和Fastest模式下使用的逻辑。采用Observed方法,可以结合当前连接的数 量和响应时间对节点进行排序。那些能够很好地平衡最少连接和最短响应时间的节点接 收连接的比例更大。Observed模式在任何环境下运行良好,尤其适用于节点性能变化较 大的环境下。
f5 bigip ltm 详解(工作原理 配置手册)教学内容
• TMM只是负责客户端连接的分配和转发,不改变TCP连接中的任何参数 • 客户端和服务器自行协商TCP传输参数 • 在34/64/68平台上Performance L4可以有PVA加入实现硬件加速 • 在15/16/36/69/89/Viprion平台上都通过TMM核心进行处理 • Performance L4 VS上只有4层的iRules可以使用 • 默认状态下,新建连接的第一个包必须是Syn包,如果是其他的数据包
比如ACK、RST等如果不在连接表中,则全部丢弃。 • 在Fast L4 profile打开Loose close和Loose Initial的时候对非Syn包也
可以建立连接表
Performance L4 攻击防护-Syn Cookie
Syn Syn,Ack (syncookie)
Ack(Cookie)
Host OS
Web 界面管理 健康检查
SNMP ……..
TM/OS
Cluster Muti Processor 多CPU并行处理
TMM TMM TMM TMM
0
1
2
3
独立的管理机 AOM
管理CPU
SSL加解密
HTTP压缩
HiSpeed Bridge
万兆/千兆交换端口
Admin
Байду номын сангаас
Con6sole
Host和TMM的内存分配
什么是TMM
• Traffic Management Module • TMOS的核心进程,有自己独立的内存、CPU资源分配和
I/O控制 • 所有的生产流量都通过TMM接收 • 一个CPU Core只能有一个TMM进程 • 在V9版本上,15/34/64/68都是单TMM运行 • 在V9版本上,16/36/69/89/84/88都是多TMM运行 • 在V10版本上,16/36/69/89/84/88都是多TMM运行 • Viprion只支持9.6和10.0版本,默认都是多TMM运行
F5LTM工作原理
可靠性:F5LTM工作原理具有高度的可靠性,能够保证网络的稳定性和安全性。
灵活性:F5LTM工作原理具有很强的灵活性,能够根据不同的需求进行定制和优化。
可扩展性:F5LTM工作原理具有良好的可扩展性,能够随着业务的发展而不断扩展和升 级。
优势
添加标题 添加标题 添加标题 添加标题
高可用性:F5LTM提供高可用性解决方案,确保应用程序的可靠性和稳 定性。
A I 与 F 5 LT M 的 融 合 将 提 升 网 络性能和安全性
5G技术的普及将推动 F 5 LT M 的 发 展
云计算技术的进步将为 F 5 LT M 提 供 更 高 效 的 支 持
未来F5LTM将向更智能、更 灵活的方向发展
市场前景展望
5G技术的普及将 推动F5LTM的发 展
F5LTM在物联网 领域的应用前景 广阔
略。
F5LTM支持多 种供电模式, 如AC、DC、 POE等,以满 足不同场景的
需求。
电源管理功能 还包括过流保 护、过压保护 和欠压保护等 安全机制,确 保设备稳定运
行。
Part Four
F5LTM工作原理的 特点与优势
特点
高效性:F5LTM工作原理能够高效地处理大量数据,提供快速的网络服务。
F5LTM的应用场景 与案例
应用场景
金融行业:用于保 障交易安全,防止 DDoS攻击和CC攻 击
政府机构:用于保 障网站安全,防止 黑客攻击和数据泄 露
大型企业:用于保 障内部网络稳定, 提高员工工作效率
游戏行业:用于保 障游戏服务器稳定 ,提高游戏体验
应用案例
金融行业: F5LTM在金融交 易系统中的应用, 保障交易的稳定 性和安全性。
输出信号处理
F5-LTM配置示例
F5 BIG-IP负载均衡配置实例目前,许多厂商推出了专用于平衡服务器负载的负载均衡器,如F5 Network公司的BIG-IP,Citrix公司的NetScaler。
F5 BIG-IP LTM 的官方名称叫做本地流量管理器,可以做4-7层负载均衡,具有负载均衡、应用交换、会话交换、状态监控、智能网络地址转换、通用持续性、响应错误处理、IPv6网关、高级路由、智能端口镜像、SSL加速、智能HTTP压缩、TCP优化、第7层速率整形、内容缓冲、内容转换、连接加速、高速缓存、Cookie加密、选择性内容加密、应用攻击过滤、拒绝服务(DoS)攻击和SYN Flood保护、防火墙—包过滤、包消毒等功能。
以下是F5 BIG-IP用作服务器负载均衡的主要功能:①、F5BIG-IP提供12种灵活的算法将所有流量均衡的分配到各个服务器,而面对用户,只是一台虚拟服务器。
②、F5 BIG-IP可以确认应用程序能否对请求返回对应的数据。
假如F5 BIG-IP后面的某一台服务器发生服务停止、死机等故障,F5会检查出来并将该服务器标识为宕机,从而不将用户的访问请求传送到该台发生故障的服务器上。
这样,只要其它的服务器正常,用户的访问就不会受到影响。
宕机一旦修复,F5 BIG-IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。
③、F5 BIG-IP具有动态Session的会话保持功能。
④、F5 BIG-IP的iRules功能可以做HTTP内容过滤,根据不同的域名、URL,将访问请求传送到不同的服务器。
下面,结合实例,配置F5 BIG-IP LTM v9.x61.1.1.3(vs_squid),该虚拟IP下有一个服务器池(pool_squid),该服务器池下包含两台真实的Squid服务器(192.168.1.11和192.168.1.12)。
②、如果Squid缓存未命中,则会请求F5的内网虚拟IP:192.168.1.3(vs_apache),该虚拟IP下有一个默认服务器池(pool_apache_default),该服务器池下包含两台真实的Apache服务器(192.168.1.21和192.168.1.22),当该虚拟IP匹配iRules规则时,则会访问另外一个服务器池(pool_apache_irules),该服务器池下同样包含两台真实的Apache服务器(192.168.1.23和192.168.1.24)。
F5 BIGIP LTM配置远程TACACS+ 登陆管理配置SOP
前提:ACS服务器搭建成功,Ad服务器搭建成功,ACS初始化配置完整,ACS同步Ad相应分组账号已完成,相应预先定义的配置项已经配置完成。
故以上这些部分配置在此省略。
1、ACS服务器上配置说明:配置之前确认F5与ACS网络是畅通的,如果不通,先调试网络。
先在ACS服务器配置好了,这里将ACS服务器相关的配置进行截图:如下:定义location:定义device type,如下图:添加F5,使用tacacs+认证,如下图:最后完成截图:定义identity Groups:定义Device Filters,如下图:将之前添加的F5设备,添加进去。
定义Shell Profies,Command Sets:如下图:创建一条Access Sevices如下图:分别配置identity,Group Mapping,Authorization。
以上按要求进行配置,并调用之前的预定义。
选择Identity Group ,选择Shell Profile,选择Command Sets,按预先的定义进行选择 。
再创建 一条 sevice selection Rules,如下:以上配置界面,就protocol,Device Filter,service选择之前预先定义的。
最后配置完成如下:2、F5配置F5详细配置如下:先用之前本地管理员账号登陆,页面如下。
选择system,如图:展开system,选择user,再选择Authentication, 如下图:如图,按以下配置:另外需要创建相应的账号,这个账号需要与ACS赋权的一致,否则不能访问。
点击create:ROLE,Partition Accesee,Terminal Access按要求选择相应的。
完成的最后截认:这个与ACS服务器上的需要一致,如图:最后验证,通过tacacs+认证登陆成功。
F5 LTM组网架构
192.168.0.254 核心三层交换 192.168.1.254
ቤተ መጻሕፍቲ ባይዱ
④
LTM
①
VS: 192.168.1.1 EXTIP: 192.168.1.253/VLAN EXT INTIP:192.168.2.254/VLAN INT GW:192.168.1.254
②
③ 服务器
服务器
15
192.168.2.10 192.168.2.11 GW:192.168.2.254 GW:192.168.2.254
12
双臂接入模式
© F5 Networks
13
LTM双臂接入模式典型架构设计
Network
SelfIP EXT:192.168.1.200 SelfIP INT:192.168.0.200 GW:192.168.1.254 VS:192.168.1.100 HSRP 192.168.1.254 SelfIP EXT:192.168.1.200 SelfIP INT:192.168.0.200 GW:192.168.1.254 VS:192.168.1.100
①
⑦
②
192.168.1.254 LTM VS: 192.168.1.1:80 SelfIP: 192.168.1.253 GW:192.168.1.254
无源地址替换的单臂接入模式使用比较少,通常用 于对现网不能改造的情况 这种模式下需要在核心三层交换上启用源地址路由, 将服务器的所有返回数据包转向LTM,这样才能保 证进出的连接完整性 建议在这种结构下采用源地址替换以减小网络复杂 程度
FastL4 Profile
服务器
服务器 ③SYN-ACK
LTM
VS: 192.168.1.1:80 IP: 192.168.1.253 GW:192.168.1.254
F5 LTM 配置与原理2016
172.20.10.4 172.20.10.4:443
© F5 Networks
VS Type详解
• Performance L4 • Standard VS • Fowarding VS
© F5 Networks
24
Standard VS
Syn Syn,Ack
Ack
TMM Data
Syn Syn-Ack Ack Data
激活BIG-IP设备的License
建议在图形界面下进行激活BIG-IP设备License的操作 正式设备第一次开机时会自带一个激活码
仍然需要激活License才能使用
如果BIG-IP设备可以访问因特网的话,可以使用自动模式激活License 你也可以手动激活License
需要一台即可以连接到因特网,又可以连接到BIG-IP设备的电脑
© F5 Networks
数据包处理顺序
1. 连接表中存在的连接 2. Packet filter 规则 3. Virtual server 4. SNAT 5. NAT 6. Self-IP 7. 丢弃
© F5 Networks
负载均衡介绍
负载均衡使用一种算法或公式来确定由一个后台服务器接收流量
172.20.10.3 172.20.10.3:80 172.20.10.3:443
172.20.10.4 172.20.10.4:443
© F5 Networks
BIG-IP LTM 组件: Pool
每个pool都有自己的负 载均衡方式
Pool是一个或多个pool member的逻辑分组, 一个pool代表一个应用
(admin) 的密码
• 允许输入默认密码
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
172.20.10.4 172.20.10.4:443
© F5 Networks
VS Type详解
• Performance L4 • Standard VS • Fowarding VS
© F5 Networks
24
Standard VS
Syn Syn,Ack
Ack
TMM Data
Syn Syn-Ack Ack Data
3
目录
LTM配置逻辑介绍 LTM初始化安装 LTM基本元素及概念 健康检查 F5 Profile介绍 iRules介绍 高可用性(HA)
LESSON OUTLINE © F5 Networks
BIG-IP 初始化安装
连接管理口 进入初始化向导
激活License 为功能模块分配资源 配置基础信息 配置双机信息(可选)
LESSON OUTLINE © F5 Networks
BIG-IP LTM 组件: Node
一个节点表示的服务 器的IP地址
节点是一个部署在内网的 物理或逻辑(例如 VMWare虚机)服务器
172.20.10.1
172.20.10.2
172.20.10.3
172.20.10.4
© F5 Networks
(admin) 的密码
• 允许输入默认密码
这一步中还可以:
修改管理口信息 设置时区 限制SSH登录
在这一步完成之后,点击下一步, 你会回到登录界面,输入设置的 密码重新登录图形管理界面
© F5 Networks
初始化
现在你可以进入配置向导
或者结束初始化向导,手工对BIGIP进行配置 点击Finish进入缺省GUI
选择手动激活模式 点击下一步 要求你的电脑可以连接到因
特网
© F5 Networks
初始化向导 – 手动激活
手动激活有两种方式: 复制/粘贴文本 下载/上传文件 复制/粘贴文本时,请确认 你复制了完整的dossier 点击F5激活License服务 器的链接,并在F5网站上 进行下一步的操作
© F5 Networks
初始化向导
激活码:
正式设备出厂自带
如果BIG-IP 设备可以连接到因 特网:
选择自动激活模式 选择可以连接因特网的设备
接口 点击下一步 接受最终用户许可证协议 激活License的步骤会自动完 成
如果BIG-IP 设备无法连接到因 特网:
© F5 Networks
26
Fowarding VS(Forwarding IP)
客户端 查询本地路由表
转发客户端请求
TMM
• 只能使用Fast L4 Profile • 按照连接处理,类似于路由器工作,但不完全一样,在Fast L4 Profile中开启Loose Initial和Loose Close之后更为接近路由工作模式 • 所有穿过Fowarding VS的连接都将产生连接表 • 没有Pool Member,转发完全取决于本地路由 • 可以使用基于4层的Rules
LESSON OUTLINE © F5 Networks
对设备的管理口进行配置
管理口的默认设置 IP 地址: 192.168.1.245/24 图形界面用户名/密码:admin/admin 命令行用户名/密码: root/default 通过液晶面板配置管理口: 1. 在液晶面板上, 按 X 键 2. 使用上下按钮,找到System 选项并按 键 3. 使用上下按钮,找到Management选项并按 键 4. 配置Mgmt IP, Mgmt 掩码, 和Mgmt 网关 5. 配置完成后,使用上下按钮,找到Commit选项并按 键完成配置 通过TMSH命令配置管理口 modify sys management-ip <ip address>/<bit mask> mod sys management-route default gateway <ip address> network default 在命令行下使用“config” 命令进入管理口配置向导
红色显示为pool member中的当前连 接数
172.20.10.1
172.20.10.2
172.20.10.2:80
172.20.10.3
172.20.10.3:8080 36 172.20.10.3:443
http_pool
172.20.10.1:80 45
secure_pool
42 172.20.10.2:443 12
随着每一个新客户端的请求,
因特网
18.200.150.10
BIG-IP LTM 检查有最小 连接的pool member
举个例子, 这个http_pool 配 置了Least Connections (member) 算法 10.2.2.100:80 BIG-IP LTM 引导请求到这 个 最小连接数的pool member
负载均衡是基于连接的
静态负载均衡算法以固定方式分发连接
轮询算法(Round Robin) 比率(Ratio)
动态负载均衡算法根据1-2种动态因素进行分发,例如当前连接数等 经过测试后正确选择适合于业务环境的负载均衡方式非常重要
© F5 Networks
服务的负载均衡(Member)
激活BIG-IP设备的License
建议在图形界面下进行激活BIG-IP设备License的操作 正式设备第一次开机时会自带一个激活码
仍然需要激活License才能使用
如果BIG-IP设备可以访问因特网的话,可以使用自动模式激活License 你也可以手动激活License
需要一台即可以连接到因特网,又可以连接到BIG-IP设备的电脑
© F5 Networks
返回初始化向导
你可以在首页上选择重新回到初始化向导。 点击左上角的F5红色小球以返回首页 点击左下角Run the Setup Utility 以返回初始化向导
© F5 Networks
目录
LTM配置逻辑介绍 LTM初始化安装 LTM基本元素及概念 健康检查 F5 Profile介绍 iRules介绍 高可用性(HA)
© F5 Networks
27
Virtual Server 执行顺序
1. 指定IP地址和指定端口 10.0.33.199:80 2. 指定IP地址和全端口 10.0.33.199:* 3. IP网段和指定端口 10.0.33.0:433 netmask 255.255.255.0 4. IP网段和全端口 10.0.33.0:* netmask 255.255.255.0 5. 全零网段和指定端口 0.0.0.0:80 netmask 0.0.0.0 6. 全零网段和全端口 0.0.0.0:* netmask 0.0.0.0
© F5 Networks
数据包处理顺序
1. 连接表中存在的连接 2. Packet filter 规则 3. Virtual server 4. SNAT 5. NAT 6. Self-IP 7. 丢弃
© F5 Networks
负载均衡介绍
负载均衡使用一种算法或公式来确定由哪一个后台服务器接收流量
© F5 Networks
BIG-IP LTM 组件: Virtual Server
注意: BIG-IP LTM 默认为全端口关闭状态, 注意 :多个 virtual server 可以关 每一个virtual server被命中后 virtual server 是允许客户端请求通过的最常 联同一个 pool ,pool membervirtual server由IP地址和端 都会独立的处理客户端请求 口组合而成用来监听客户端 和node见方式 的请求 10.2.2.100:80 10.2.2.100:443 virtual server通常会引导流 量至后台的一个应用pool池
注意:
对BIG-IP里的网络接口进行配置的时候,不能 使用和管理口在同一子网的IP地址。
© F5 Networks
初始化向导
没有任何配置的新系统第一次运行的时候,设备会自动 进入初始化向导
© F5 Networks
初始化向导
第一步,激活BIG-IP设备的License
© F5 Networks
10.2.2.225:8080
virtual server会将目的地址和 端口进行转换为pool member 的地址和端口
172.20.10.1 172.20.10.1:80
ห้องสมุดไป่ตู้
172.20.10.2 172.20.10.2:80 172.20.10.2:443
172.20.10.3 172.20.10.3:8080 172.20.10.3:443
F5 LTM配置详细介绍
李龙 力尊信通 2016/11
目录
LTM配置逻辑介绍 LTM初始化安装 LTM基本元素及概念 健康检查 F5 Profile介绍 iRules介绍 高可用性(HA)
LESSON OUTLINE © F5 Networks
F5 LTM 配置步骤
© F5 Networks
BIG-IP LTM 组件: Pool Member
pool member是node上运行的 一个服务,用IP地址和服务端口 的组合表示
A node can host multiple pool members
172.20.10.1 172.20.10.1:80
172.20.10.2 172.20.10.2:80 172.20.10.2:443