F5-v11新功能及配置手册

F5配置指导书一．F5的登陆方式：a.web interface :https://xx.xx.xx.xx(必须在同一网段)mand line : (1)登陆到https://xx.xx.xx.xx后下载SSH client 软件即可（2）console 用串口线将终端与F5的termial端口连起来F5有两个管理口初始默认ip地址：192.168.1.245/24 和192.168.245.245/24 二．Config配置：除了用config 外，用https登陆后选setup utility 进行配置是一样的默认初始用户密码：root/default用超级终端登陆：（19200 ）在登陆进去以后输入config 命令：接着选a,回车，选y 、回车系统提示你选键盘类型：Choose your keyboard type from the list below.：US - Standard 101 key接着系统提示你输入root 密码接着系统提示你输入hostname接下来，系统会出现如下画面：如果有两台bigip ,选it is a redundant BIG-IP system(两台作冗余) ,否则选it is no a redundant BIG-IP system.下面以两台BIG-IP 为例：一台的unit number 为1 另一台的则为2 ，其中failover ip 为对端bigip内网的ip地址，两台的配置相对应。

接下来系统让你选端口的类型：按C键continue 就可以了接下来系统出现如下画面：在该界面可以自己添加，删除,重新划分vlan (一般划分3个vlan (internal ,external ,admin ), 看自己喜好):该界面表示是否对该端口进行加密检查，一般内网disable 外网选enabled .内网和外网均要配别名，其中内网的别名作服务器的网关，外网的别名作vip 或proxy.的端口号，端口号的编排规则：从上往下，从左往右接着：在该地方配置路由器的ip地址，配置webserver ,三个vlan 的servername 同以前配的hostname一致，接下来系统要求你输入用https方式登陆webserver时的用户名和密码，一般用户名为admin/admin对于support password 和dns,ntp（时钟同步）回车即可，一般不需要配置。

F5 BIGIP-LC-V11 标准配置文档神州数码-赵威完成时间：20150909目录一．DNS基本原理 (4)二．拓扑图 (5)三．Lc及ltm物理和逻辑组件 (5)四．配置所需的资源 (6)五．配置前的准备工作 (7)六．网络层配置 (10)1.划分Vlan (10)2.配置Self IP (11)3.配置Routes (14)七．应用负载均衡配置 (15)1.配置Pools (15)2.配置Virtual Servers (16)八．链路负载均衡配置 (19)1.Outbound方向 (19)1.1配置f5 Gateway (19)1.2配置运营商地址库 (21)1.3编写irule控制流量的方向 (30)1.4配置Snatpool（非必要） (30)1.5配置Vs并关联Irule (31)2.Inbound方向 (31)2.1配置Listeners (31)2.2配置Links (32)2.3配置Topology算法 (34)2.4配置Wide Ips (40)2.5.LC常用算法介绍 (41)九．修改DNS注册商的域名指向 (41)十．一些应该注意的细节问题 (42)十一．测试过程 (42)十二．总结LC的访问流程 (42)一．DNS基本原理①用户在客户端浏览器的地址栏中输入，则在客户端浏览器本地的DNS客户端首先向本机已经配置或者分配好的DNS服务器发起的域名解析请求，这里客户端配置的DNS服务器我们通常称为Local DNS服务器。

而Local DNS服务器先查询是否在本地的缓存中有有效的的DNS记录，如果发现有在有效期之内的对应DNS记录，则直接返回给Local DNS解析的结果。

②查询后如果发现本地缓存中没有这条记录，则直接从本机预先配置好的根DNS服务器IP地址列表中向某一台根域服务器发起请求，查询。

③在根DNS服务器中，记录了每个顶级域分别是由哪些DNS服务器负责，所以它会向发起请求的Local DNS服务器返回.com域的服务器记录。

bigstart Restarts the SNMP agent bigsnmpd. bigtop Displays real-time statistics.Config Configures the IP address, network mask, and gateway on the management (MGMT) port.Use this command at the BIG-IP system prompt prior to licensing the the BIG-IP system, and do not confuse it with the bigpipe config command or the BIG-IP Configuration utility.halt Shuts down the BIG-IP software application.hostname Displays the name you have given to the BIG-IP system.printdb Prints the values of one or more entries in the bigdbTM database. reboot Reboots the BIG-IP system.ssh and scp Access command line interfaces on other SSH-enabled devices, and copy files to or from a BIG-IP system.自定义Bigpipe shell名称bp> shell prompt <string>bp> shell prompt BIG-IP>系统Shell名称将变成:BIG-IP>此特性避开此限制,在Linux命令前加”!”.BIG-IP>!ls //查看目录BIG-IP>!ifconfig //查看接口配置•Routes•Self IP addresses•Packet Filters•Trunks (802.3ad Link Aggregation)•Spanning Tree Protocol (STP)•VLANs and VLAN groups•ARP配置Packet Filtering命令: bigpipe packet filter你可以定义一个包过滤规则来提供访问控制,速率shaping,审计. 配置路由命令:route (<route key list> | all | inet | inet6)F5的Show Tech[root@XXXX:Standby] config # qkviewGetting systemwide backup configuration files.Getting AOM information.Getting last 175 lines of log files.Getting last 175 lines of gzipped log files.Getting md5 sum information.Getting core file list.Getting Public Certificate information.Getting tmctl information.completed... 6 of 161 checks produced no dataDiagnostic information has been saved in file /var/tmp/-tech.out Please send this file to **************.bigtop - display real-time statistics-bytes display counts in bytes (vs bits)-pkts display counts in packets (vs bits)-reqs display counts in requests (vs connections)-vips <n> number of virtual servers to print-nodes <n> number of nodes to print-once print once and exit-delay <n> number of seconds between samples (default 4)-scroll disable full-screen mode-nosort disable sorting-conn sort by connection count (vs byte count)-delta sort by count since last sample (vs total)-n print IP address and services in numeric format-vname display virtual servers by name (vs IP address)-help, -h print this message日志文件系统1. Access the BIG-IP system prompt.2. Stop the BIG-IP system or put the system into a safe condition such as standby mode using the bigstart stop command.3. Type the following command:resize-logFSThis command prompts you for the desired file size in gigabytes.4. At the prompt, type an integer.The minimum allowed value is 1, and the maximum allowed value is 10.A prompt appears that allows you to confirm the specified file size.5. Type Y.A message appears, notifying you of the need for the BIG-IP system to perform a reboot, followed by a prompt, which allows you to permit the reboot operation. Note: Prior to rebooting, the BIG-IP system verifies that the integer you typed in step 3 is within the allowed range, and checks to ensure that enough disk space exists for the specified size.6. Type Y.A confirmation prompt appears.7. Type Y.The system displays messages indicating that the reboot operation is about to occur.8. Wait for the reboot operation to finish.When the system becomes available again, the newly-specified disk space for the log file will be in effect.WARNINGDo not delete the files: /shared/.LoopbackLogFS and /shared/LogFS_README, because this action deletes all of your log files.启用/禁用虚拟服务或虚拟地To enable or disable a virtual server, use the appropriate command syntax:bp> virtual <virtual addr>:<virtual port> enable | disableTo enable or disable a virtual address, use the appropriate command syntax:bp> virtual address <virtual addr> enable | disable从服务中移出单个的NodeYou can remove an individual node from service, or return an individual node to service from the bigpipe shell command line.To remove an individual node from service, use the following command:bp> node <node addr>:<node port> downTo return an individual node to service, use this command:bp> node <node addr>:<node port> up查看修改F5系统配置文件器来编辑或者查看这些文件,当你没有条件使用浏览器时,有时候修改配置文件很有必要.这就需要F5的无浏览器配置模式和命令行配置模式Important:在你编辑完bigip.conf or bigip_base.conf 重启MCPD service之前, 你必须运行bigpipe load 确保MCPD service 使用的是当前的配置数据alert.conf Stores definitions of SNMP traps (system default alerts).user_alert.conf Stores definitions of SNMP traps (user-defined alerts)./config/bigip.conf Stores all configuration objects for managing local application traffic, such as virtual servers, load balancing pools, profiles, and SNATs.Note that after you edit bigip.conf, and before you restart the MCPD service, you must run the bigpipe load command./config/bigip_base.conf Stores BIG-IP self IP addresses and VLAN and interface configurations. Note that after you edit bigip_base.conf, and before you restart the MCPD service, you must run the bigpipe load command./config/bigip.license Stores authorization information for the BIG-IP system./etc/bigconf.conf Stores the user preferences for the Configuration utility./config/bigconfig/openssl.conf Holds the configuration information for how the SSL library interacts with browsers, and how key information is generated./config/user.db Holds various configuration information. This file is known as the bigdb database. /config/bigconfig/httpd.conf Holds configuration information for the web server./config/bigconfig/users The web server password file. Contains the user names and passwords of the people permitted to access whatever is provided by the webserver./etc/hosts Stores the hosts table for the BIG-IP system./etc/hosts.allow Stores the IP addresses of workstations that are allowed to make administrative shell connections to the BIG-IP system./etc/hosts.deny Stores the IP addresses of workstations that are not allowed to make administrative shell connections to the BIG-IP system./etc/rateclass.conf Stores rate class definitions./etc/ipfwrate.conf Stores IP filter settings for filters that also use rate classes. /etc/snmpd.conf Stores SNMP configuration settings./etc/snmptrap.conf Stores SNMP trap configuration settings./config/ssh Contains the SSH configuration and key files./etc/sshd_config This is the configuration file for the secure shell server (SSH). It contains all the access information for people trying to get into the system by using SSH./config/routes Contains static route information.[root@ISAG-2:Standby] config # find_keysISAG-2 koradsatn. omtitra eodISAG-2 junl trig Cmi nevl5scnsdt md.6koradsatn. omtitra eodFound license key JTPBO-CHRSX-DGBIO-HOAHJ-MOZJEVALicense file location is: /sda.1/config/bigip.licenseFound license key JTPBO-CHRSX-DGBIO-HOAHJ-MOZJEVAUnmounting unneeded partitions... ISAG-2 junl trig Cmi nevl5scnsn Cmi nevl5scnsree aamd.<>junl trig Cmi nevl5scns<6>EXT3-fs: mounted filesystem with ordered data mode.ISAG-2 junl trig Cmi nevl5scns<6>kjournald starting. Commit interval 5 secondscompleteAbove information can be found in /tmp/keys.outManaging Local Application Traffic•Setting up load balancing•Controlling HTTP traffic•Implementing HTTP and TCP optimization profiles•Authenticating application traffic•Implementing persistence•Enhancing the performance of the BIG-IP system•Managing health and performance monitors•Implementing iRules设置VirtualServer负载均衡1. Decide what types of traffic you want the BIG-IP system to manage, as well as whether you want to implement session persistence, connection persistence, and remote authentication.2. For each decision in step 1, decide whether you want to use the corresponding default profile that the BIG-IP system provides, or whether you want to create a custom profile.3. Access the bigpipe shell.4. If you want to create custom profiles, use the profile command, specifying the appropriate type of profile as an argument. If you do not want to create custom profiles, skip this step.5. Create one or more load balancing pools, using the pool command.6. Create a virtual server, using the virtual command, and assign to it any profiles and pools that you created. If you are using default profiles, some of those profiles might already be assigned to the virtual server by default.配置克隆Pool克隆Pool设计是用于入侵检测,你可以针对一个VS设置一个克隆Pool,这个克隆的VS接收世的流量和普通Pool一样,你就可以复制流量到入侵检测系统中.1. Access the bigpipe shell.2. Use the virtual command, to create or modify a virtual server, specifying a value for the clone pool argument.配置最后一跳Pool默认,BIG-IP系统自动启用最后一跳特性是,如果你想禁用这个特性.然后自己手工定义一个最后一跳路由器,你可以建立一个最后一跳pool并且指定其属于某个VS当中.1. Access the bigpipe shell.2. Use the pool command to create a last hop pool that contains the router inside addresses.3. Use the lasthop pool argument with the virtual command to assign the last hop pool to a virtual server.If you have not assigned an SSL profile to the virtual server, use the profile argument with the virtual command to assign the profile to the virtual server.配置SNATs这里有两种基础方法来建议一个SNAT,你可以直接将一个转换地址委派给一个或多个源IP地址,或者你可以配置一个SNAT pool,然后委派这个SNAT pool到某个源IP地址,在较新的版本中,BIG-IP自动从SNAT Pool中选择一个转换地址Note that you can assign these types of mappings from within an iRule.To map a single translation address to an original address1. Access the bigpipe shell.2. Designate an IP address as a translation address, using the snat translation command.3. Map the translation address to one or more original IP addresses, using the snat command or the rule command.To map a SNAT pool to an original address1. Access the bigpipe shell.2. Create a pool of translation addresses (that is, SNAT pool), using the snatpool command.3. Map the SNAT pool to one or more original IP addresses, using either the snat command or the rule command.配置HTTP traffic你可以配置BIG-IP来控制HTTP流量:配置HTTP压缩,HTTP请求重定向,HTTP请求重写,插入和插除HTTP头,启用或者禁用cookie加密和SYN cookie支持,配置HTTP 类Profile, HTTP响应数据组块控制.Configuring HTTP compression配置BIG-IP系统压缩HTTP 服务响应1. Access the bigpipe shell.2. Configure the compression-related settings of an HTTP profile,using the profile http command.3. Assign the HTTP profile to a virtual server, using the virtual command.Redirecting HTTP requests你可以配置HTTP Profile来重定向HTTP请求,并且在这个Profile中定义一个Fallback主机1. Access the bigpipe shell.2. Using the profile http command, create or modify an HTTP profile, specifying a value for the fallback argument. You can specify either a URI or the default fallback host, or you can specify that you want no HTTP redirection.3. Verify that the HTTP profile you created or modified is assigned to a virtual server.Rewriting HTTP redirections你可以配置HTTP Profile来重写HTTP的重定向规则1. Access the bigpipe shell.2. Using the profile http command, create or modify an HTTP profile, specifying a value for the redirect rewrite argument.For example, to create a profile that only rewrites URIs matching the originally requested URI (minus an optional training slash), use the following syntax:profile http myHTTPprofile { redirect rewrite matching }3. Verify that the HTTP profile you created or modified is assigned to a virtual server.Inserting and erasing HTTP headers你可以配置HTTP Profile来插入一个头文件到HTTP请求,或者从HTTP请求中移出一个头文件1. Access the bigpipe shell.2. Using the profile http command, create or modify an HTTP profile, specifying a value for either the header insert, header erase, or insert xforwarded for options.3. Verify that the HTTP or Fast HTTP profile you created or modified is assigned to a virtual server.Enabling or disabling cookie encryption你可以使用Profile http中的两个选项来启用或者禁用cookie加密1. Access the bigpipe shell.2. Using the profile http command, create or modify an HTTP profile, specifying a value for the encrypt cookie and cookie secret options.3. Verify that the HTTP profile you created or modified is assigned to a virtual server.Enabling or disabling SYN cookie support为了管理DOS攻击,你可以在一个Fast L4 Profile中配置SYN Cookie选项启用或者禁用SYN Cookie支持功能◆如果BIG-IP系统包含了Packet Velocity ASIC (PVA)技术,使用profile fastl4命令,定义一个hardware syncookie(enable | disable | default)选项,同样,你可以根据需求设置以下的变量通过db命令.•pva.SynCookies.Full.ConnectionThreshold (default: 500000)•pva.SynCookies.Assist.ConnectionThreshold (default: 500000)•pva.SynCookies.ClientWindow (default: 0)值得注意的是这个hardware syncookie 特性目前只可用于D84和D88平台.在其实平台设备这个特性无效.所以如果你在D84和D88上设置software syncookie 特性,SYN Cookie只通过软件处理◆如果BIG-IP系统不包含Packet Velocity ASIC(PVA)技术,使用profile fastl4 命令,指定为software syncookie (enable | disable | default) option.Configuring the HTTP Class profileBIG-IP系统包含一种Profile叫做HTTP Class Profile,你可以使用你定义的标准来用分类HTTP流量,当你分类流量的时候,你转地流量的原则是根据审查目标流量的头文件或者内容来定.如果BIG-IP系统包含Application Security Manager (ASM)或者WebAcclerator模块,你可以配置系统来先发送HTTP流量到那个模块,然后再发送到最终目标,例如,你可以使用HTTP Class Profile来对Virtual Server下命令,要求它发送流量先经过ASM然后再转发到负载均衡Pool.Unchunking and rechunking HTTP response data如果你想要监控内容你可以取消或者重新对HTTP响应进行组块操作,只需要配置HTTP Profile来启用unchunking功能.1. Access the bigpipe shell.2. Using the profile http command, create or modify an HTTP profile and specify the response argument.3. Make sure that you have assigned the HTTP profile to a virtual server, using the virtual command.你能够设备的保持有以下几种:实施Session保持•Cookie•Destination Address Affinity•Microsoft Remote Desktop Protocol (MSRDP)•Hash•Session Initiation Protocol (SIP)•Source Address Affinity•SSL•Universal具体操作:1. Access the bigpipe shell.2. Create a persistence profile, using the profile command, that corresponds to the type of persistence you want to implement.3. Assign the persistence profile to a virtual server, using the persist and fallback persist arguments with the virtual command.实施连接保持为了实施连接保持,你可以添加一个Keep-Alive头文件到HTTP /1.0头文件里(如果不存在).(默认HTTP/1.1连接包含Keep-Alive支持),你同样可以启用connection pooling特性,它可以保持服务器端的连接打开,重新用来供其它客户端请求所使用.你可以通过修改HTTP或者Fast HTTP Profile文件来启用keep-alive支持和Connection pools.同样可以修改OncConnect Profile来实现.To add Keep-Alive headers into HTTP requests1. Access the bigpipe shell.2. To ensure that HTTP connections stay open, use the profile http command and specify the oneconnect transformations argument. This ensures that the BIG-IP system inserts aConnection:Keep-Alive header into any HTTP /1.0 request that does not already contain one.3. Make sure that you have assigned the HTTP or Fast HTTP profile to a virtual server, using the virtual command.To enable connection pooling1. Access the bigpipe shell.2. Using the profile oneconnect command, configure a profile for connection pooling.3. Assign the profile to a virtual server, using the profile argument with the virtual command.小提示:你同样可以通过配置Fast HTTP Profile来配置连接保持,在BIGPIPE SHEEL中使用fasthttp命令.加强BIG-IP性能BIG-IP系统.设置连接Qos和数据包TOS等级你可以使用bigpipe工具来设置QoS和TOS等级,你不仅可以对所有具有目标负载均衡Pool的流量做,同时你也可以对自定义的流量做,例如:Layer 4 ,TCP 和UDP流量.1. Decide whether you want to set QoS and ToS levels for traffic targeted for an entire pool or for specific types of traffic, or both.•If you want to set the QoS and ToS levels for an entire pool, access the bigpipe shell and use the pool command with one or more of the following arguments: link qos to client, link qos toserver, ip tos to client, and ip tos to server.•If you want to set the QoS and ToS levels for certain types of traffic, access the bigpipe shell and use the profile command to create or modify a Fast L4, TCP, or UDP profile.2. Verify that the pool or the profile that you created or modified is assigned to a virtual server. To do this, use the following syntax:bp> virtual <virtual server name> list设置空闲超时时间(Idle timeout time)或者修改一个Fast L4,Fast HTTP,TCP,或者UDP Profile.1. Create or modify a Fast L4, Fast HTTP, TCP, or UDP profile, by accessing the bigpipe shell and using the profile command.2. Specify the idle timeout argument to set a timeout value.3. Verify that the profile you created or modified is assigned to a virtual server.实施速率整形Virtual Server或者Packet Filter规则中.1. Access the bigpipe shell.2. Create one or more rate classes, using the rate class command.3. Assign the rate classes to a virtual server or a packet filter rule, using either the virtual command or the packet filter command.Implementing iRulesiRule特性强大而灵活,值得注意的是它可以增强BIG-IP系统能力.一个iRule可以引用任意object,它不管这个被引用的object处理哪个分区里.例如;一个iRule属于分区A,但包含指定一个Pool属于分区B的语句.1. Access the bigpipe shell.2. Create an iRule using the rule command. You must include the name of the Tcl script and the script itself as arguments for the command.3. Assign the iRule to a virtual server, using the virtual command in one of the following ways:•To associate multiple iRules with a virtual server, use this syntax:bp> virtual <virtual_server_name> rule <iRule1_name> \ <iRule2_name> ...•To remove the assignment of an iRule from a virtual server, use this syntax:bp> virtual <virtual_server_name> rule none•To remove the iRule assignments from multiple virtual servers, use the following syntax. Note that you can remove the iRule assignments only from virtual servers that reside in the current Write partition or in partition Common.bp> virtual all rule none•To associate an existing iRule with multiple virtual servers, use the following syntax. Note that you can associate an iRule only with virtual servers that reside in the current Write partition or in partition Common. bp> virtual all rule <iRule_name>Important: In this case, the iRule becomes the only iRule that is associated with each virtual server in the current Write partition. Because this command overwrites all previous iRuleassignments, we do not recommend use of this command.。

F5B I G-I P负载均衡器配置指导书目录3.6添加“只读”权限的管理员帐号 ..... 错误!未指定书签。

3.8对某一VirtualServer用TCPDUMP命令无法抓到包如何处理？错误!未指定书签。

一、网络结构与IP地址规划本手册以移动WAP/彩信网关为例网络拓扑结构如下图所示：整个数据网络设备，采用两台防火墙、两台BIG-IP3400负载均衡器、及两台交换机、网络设备都采用主、备设备，以实现设备、链路的冗余备份，以消除单点故障。

这里部署负载均衡器的目的主要是为了增加服务器的数量，以提升系统的处理能力。

但对外仍然是一个IP地址。

相关的IP地址规划如下：注：以上的IP地址规划是测试环境的IP地址设置，需要根据现网环境中的IP地址规划进行修改。

注：建议现场工程师先填写以下规范表：二、配置BIGIP3400负载均衡设备本章将主要描述BIGIP3400负载均衡设备的配置方法及配置内容。

2.1旁路/直连的选择2.1.1路由/直连模式的介绍网络连接的物理结构如下结构：Ip规划说明：图中bigip为负载均衡交换机，bigip上面使用公开的ip地址，bigip下面同负载均衡的服务器使用不公开的ip地址。

但对外提供服务则使用公开的ip。

2.1.2旁路模式的介绍网络连接的物理结构如下结构：Ip规划说明：图中bigip为负载均衡交换机，bigip和负载均衡的服务器均使用公开的ip地址。

2.1.3路由/直连模式同旁路模式的比较（1）流量走向不一样；路由/直连模式的流量走向如下：如上图，bigip同客户端的流量在bigip的上联接口，bigip同服务器的流量在下面的接口。

旁路模式的流量走向如下：如上图，bigip无论同客户端还是同服务器的通讯流量均在bigip 的一个接口上。

（2）接口流量压力不一样见2.1图：路由/直连情况下，bigip同客户端的流量在bigip的上联接口，bigip同服务器的流量在下联的接口，故bigip单一接口压力较小。

F5负载均衡相关知识点VLANVLAN（Virtual LAN），虚拟LAN。

网络中应用VLAN的目的：把一个大的广播域，分成多个小的广播域。

VLAN之间如果不使用路由，是不能通信的。

VLAN的作用：VLAN可以解决交换网络中因为某一个小故障产生的广播风暴而使整个网络瘫痪的问题。

当一个VLAN里面出现广播风暴时，受影响的只是这个VLAN本身。

而整个网络由于被分成了多个VLAN（也就是多个广播域），所以网络的其他部份不会受到广播风暴的影响。

Real ServerReal Server接收请求，然后分发给Pool成员。

VS-IP：服务器对外提供服务的IP地址负载平衡Pool负载平衡Pool包含可以将请求发送到其中进行处理的服务器。

ProfileProfile包含定义各种流量类型的行为的设置。

MonitorMonitor跟踪Pool成员的当前状态或者性能。

SNAT提示：由于SNAT 的目的只是改变入站数据包的源IP地址，因此术语安全网络地址转换有些用词不当。

缩写词SNAT 最好定义为源网络地址转换，或源NAT。

SNAT 是一个将原始客户机IP 地址（也就是源IP 地址）映射到您所选择的转换地址的对象。

SNAT 的工作原理如下：1. LTM 系统接收从原始客户机IP 地址发送的数据包，并检查SNAT中是否定义了此源地址。

2. 如果SNAT 中定义了客户机的IP 地址，那么LTM 系统将源IP地址改变为SNAT 中定义的转换地址。

3. 然后，LTM 系统将SNA T 转换地址作为源地址，向目标服务器发送客户机请求。

Npath性能BIG/ip包括称作nPath的可选模式。

该模式允许服务器绕过BIG/ip直接将信息返回给客户。

全球眼平台的接入服务器在F5上配的是npath模式库尔勒全球眼平台网络结构图全球眼平台的接入服务器在F5上配置npath模式Npath模式要在接入服务器配置loopback地址，loopback地址与VS-IP一致接入服务器具体配置请参考《Lvs接入集群安装过程--实际部署整理版本》服务器上的配置1：用ssh登陆F5 密码设置见下图的Root AccountPing每台服务器确保网络通畅没有丢包2：进入服务器中将npatch.sh拷入服务器vi /etc/rc.localifconfig lo:0 192.168.50.23 netmask 255.255.255.255 红色字体是后面是Virtual Server的地址source /home/npath.sh 这里填服务器里npatch.sh的对应目录按esc输入:wq保存保存好后执行ifconfig lo:0 192.168.50.23 netmask 255.255.255.255 回车source /home/npath.sh 回车搭建状态服务器： 1.在一台服务器上搭建一个普通的接入服务模块（配置本地的地址和中心地址）2在做F5的接入上vi /home/Centenser/config.xml 配置状态服务器的地址<!--集群配置realip填写本机真实ip statusnodeip填写共享存储状态服务器ip--><!--注意如果以多接入方式运行则不要填写集群配置参数--><Cluster RealIP="10.0.0.85" StatusNodeIP="59.50.113.101" > 状态服务器地址(黄色颜色) 红色填写本地地址<Group Host="224.1.2.9" Port="45566" /> 默认填写</Cluster>库尔勒全球眼平台接入服务器F5配置截图一、配置管理口地址System ---> Platform ----- > General默认IP：192.168.1.245/24 访问方式https://192.168.1.245 默认登陆用户名：admin 密码：admin（网线必须用交叉线）Host Name：名称随意命名，但必须以.com 结束图1 二、创建VLANNetwork ---> VLANS创建VLAN，并把端口加入VLAN图2三、为VLAN设置Self IP Network ---> Self IPs四、设置路由与网关Network ---> Routes网关只需指向防火墙，如红框所标注设置五、创建Health Monitor健康检查Local Traffic -----> Monitors建立多个接入服务器相应端口的Monitor图5六、创建Pool池Local Traffic -----> Pools为Pool Member关联相应的MonitorLocal Traffic -----> Pools -----> jieru-pool图7查看Pool MembersLocal Traffic -----> Pools -----> jieru-pool -----> Members七、创建ProfileLocal Traffic -----> Profiles 如下图，选择Fast L4进入图9-2所示，点击fastL4图9-2设置fastL4，图中红框所圈选项：Loose Initation 和Loose Close 必须勾选图9-3八、创建Virtual ServerLocal Traffic -----> Virtual Server创建VS-IP，VS-IP即服务器对外提供服务的IP地址为VS选择相应的Profile图中红框所标圈住选项，须与图上所示一致把Pools与VS关联九、查看流量分配Overview -----> Statistics。

F5配置手册（简要流程）F5配置手册（简要流程）负载均衡器通常称为四层交换机或七层交换机。

四层交换机主要分析IP层及TCP/UDP层，实现四层流量负载均衡。

七层交换机除了支持四层负载均衡以外，还有分析应用层的信息，如HTTP协议URI 或Cookie 信息。

一、F5配置步骤：1、F5组网规划(1)组网拓朴图（具体到网络设备物理端口的分配和连接，服务器网卡的分配与连接）(2)IP地址的分配（具体到网络设备和服务器网卡的IP地址的分配）(3)F5上业务的VIP、成员池、节点、负载均衡算法、策略保持方法的确定2、F5配置前的准备工作(1)版本检查f5-portal-1:~# b versionKernel:BIG-IP Kernel 4.5PTF-07 Build18(2)时间检查－－如不正确，请到单用户模式下进行修改f5-portal-1:~# dateThu May 20 15:05:10 CST 2004(3)申请license－－现场用的F5都需要自己到F5网站上申请license3、F5的通用配置(1)在安全要求允许的情况下，在setup菜单中可以打开telnet及ftp功能，便于以后方便维护(2)配置vlan unique_mac选项，此选项是保证F5上不同的vlan 的MAC地址不一样。

在缺省情况下，F5的各个vlan的MAC地址是一样的，建议在配置时，把此项统一选择上。

可用命令ifconfig –a来较验具体是system/Advanced Properties/vlan unique_mac(3)配置snat any_ip选项选项，此选项为了保证内网的机器做了snat后，可以对ping的数据流作转换。

Ping是第三层的数据包，缺省情况下F5是不对ping的数据包作转换，也就是internal vlan的主机无法ping external vlan的机器。

（注意：还可以采用telnet来验证。

本文主要介绍了F5负载均衡器的一种。

其中，包括它的主要功能，以及配置的简要介绍和图片展示。

之后的文章中，我们会在继续为大家讲解相关的内容。

基于庞大的网络结构，集群服务器的使用带来了不少流量等负载问题。

那么相对的，负载均衡的技术也应运而生。

每一种技术都需要产品的支持，那么现在我们来认识一下F5负载均衡器的一种。

那么首先我们先把产品的结构功能进行一下介绍。

许多厂商推出了专用于平衡服务器负载的负载均衡器,如F5 Network公司的BIG-IP,Citrix公司的NetScaler｡F5 BIG-IP LTM 的官方名称叫做本地流量管理器,可以做4-7层负载均衡,具有负载均衡､应用交换､会话交换､状态监控､智能网络地址转换､通用持续性､响应错误处理､IPv6网关､高级路由､智能端口镜像､SSL加速､智能HTTP压缩､TCP优化､第7层速率整形､内容缓冲､内容转换､连接加速､高速缓存､Cookie加密､选择性内容加密､应用攻击过滤､拒绝服务(DoS)攻击和SYN Flood保护､防火墙—包过滤､包消毒等功能｡以下是F5 BIG-IP用作HTTP负载均衡器的主要功能:①､F5 BIG-IP提供12种灵活的算法将所有流量均衡的分配到各个服务器,而面对用户,只是一台虚拟服务器｡②､F5 BIG-IP可以确认应用程序能否对请求返回对应的数据｡假如F5 BIG-IP后面的某一台服务器发生服务停止､死机等故障,F5会检查出来并将该服务器标识为宕机,从而不将用户的访问请求传送到该台发生故障的服务器上｡这样,只要其它的服务器正常,用户的访问就不会受到影响｡宕机一旦修复,F5 BIG-IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送｡③､F5 BIG-IP具有动态Session的会话保持功能｡④､F5 BIG-IP的iRules功能可以做HTTP内容过滤,根据不同的域名､URL,将访问请求传送到不同的服务器｡下面,结合实例,配置F5 BIG-IP LTM v9.x负载均衡器:①､如图,假设域名被解析到F5负载均衡器的外网/公网虚拟IP:61.1.1.3(vs_squid),该虚拟IP下有一个服务器池(pool_squid),该服务器池下包含两台真实的Squid服务器(192.168.1.11和192.168.1.12)｡②､如果Squid缓存未命中,则会请求F5的内网虚拟IP:192.168.1.3(vs_apache),该虚拟IP下有一个默认服务器池(pool_apache_default),该服务器池下包含两台真实的Apache 服务器(192.168.1.21和192.168.1.22),当该虚拟IP匹配iRules规则时,则会访问另外一个服务器池(pool_apache_irules),该服务器池下同样包含两台真实的Apache服务器(192.168.1.23和192.168.1.24)｡③､另外,所有真实服务器的默认网关指向F5负载均衡器的自身内网IP,即192.168.1.2｡④､所有的真实服务器通过SNAT IP地址61.1.1.4访问互联网｡。

F5 BIG-IP负载均衡器配置指导书目录一、网络结构与 IP 地址规划 ....................................错误 ! 不决义书签。

二、配置 BIGIP3400 负载均衡设备 ...............................错误 ! 不决义书签。

旁路 / 直连的选择 ..........................................错误 ! 不决义书签。

路由 / 直连模式的介绍..................................错误 ! 不决义书签。

旁路模式的介绍 .......................................错误 ! 不决义书签。

路由 / 直连模式同旁路模式的比较.......................错误 ! 不决义书签。

设置负载均衡器管理网口地址...............................错误 ! 不决义书签。

登录 BIGIP 的 WEB管理界面 .................................错误 ! 不决义书签。

激活 License .............................................错误 ! 不决义书签。

初始化设置 ...............................................错误 ! 不决义书签。

1 上的平台 (Platform)通用属性设置 . ....................错误 ! 不决义书签。

更正系统时间 .........................................错误 ! 不决义书签。

设置缺省管理权限策略.................................错误 ! 不决义书签。

重新启动 bigip .......................................错误 ! 不决义书签。

F5负载均衡器简明配置手册负载均衡器通常称为四层交换机或七层交换机。

四层交换机主要分析IP层及TCP/UDP层，实现四层流量负载均衡。

七层交换机除了支持四层负载均衡以外，还有分析应用层的信息，如HTTP协议URI或Cookie信息。

一、F5配置步骤：1、F5组网规划(1)组网拓朴图（具体到网络设备物理端口的分配和连接，服务器网卡的分配与连接）(2)IP地址的分配（具体到网络设备和服务器网卡的IP 地址的分配）(3)F5上业务的VIP、成员池、节点、负载均衡算法、策略保持方法的确定2、F5配置前的准备工作(1)版本检查f5-portal-1:~# b version Kernel:BIG-IP Kernel 4.5PTF-07 Build18 (2)时间检查－－如不正确，请到单用户模式下进行修改f5-portal-1:~# dateThu May 20 15:05:10 CST 2004 (3)申请license－－现场用的F5都需要自己到F5网站上申请license3、F5 的通用配置(1)在安全要求允许的情况下，在setup菜单中可以打开telnet及ftp功能，便于以后方便维护(2)配置vlan unique_mac选项，此选项是保证F5上不同的vlan 的MAC 地址不一样。

在缺省情况下，F5的各个vlan的MAC地址是一样的，建议在配置时，把此项统一选择上。

可用命令ifconfig –a来较验具体是system/Advanced Properties/vlan unique_mac(3)配置snat any_ip选项选项，此选项为了保证内网的机器做了snat后，可以对ping的数据流作转换。

Ping是第三层的数据包，缺省情况下F5是不对ping的数据包作转换，也就是internal vlan的主机无法ping external vlan的机器。

（注意：还可以采用telnet来验证。

）具体是system/Advanced Properties/snat any_ip4、F5 的初始化配置建议在对F5进行初始时都用命令行方式来进行初始化（用Web页面初始化的方式有时会有问题）。

F5详细配置手册(总16页) -CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除F5 BIG-IP负载均衡器配置指导书目录一、网络结构与IP地址规划.....................................错误!未指定书签。

二、配置BIGIP3400负载均衡设备................................错误!未指定书签。

2.1旁路/直连的选择.......................................错误!未指定书签。

2.1.1路由/直连模式的介绍............................错误!未指定书签。

2.1.2旁路模式的介绍.................................错误!未指定书签。

2.1.3 路由/直连模式同旁路模式的比较..................错误!未指定书签。

2.2设置负载均衡器管理网口地址............................错误!未指定书签。

2.3登录BIGIP的WEB管理界面..............................错误!未指定书签。

2.5初始化设置............................................错误!未指定书签。

上的平台(Platform)通用属性设置.......................错误!未指定书签。

2.5.2修改系统时间 (2)2.5.3设置缺省管理权限策略...........................错误!未指定书签。

2.5.4重新启动bigip..................................错误!未指定书签。

2.6配置网络层 (11)2.6.1划分vlan .................................................................................错误!未指定书签。

f5操作手册
F5操作手册是针对F5设备进行配置和管理的指导手册。

以下是F5操作手
册的主要内容：
1. 设备连接与启动：介绍如何连接F5设备，启动设备并检查设备状态。

2. 登录与认证：介绍如何使用管理账号登录设备，并设置访问权限。

3. 设备管理：介绍如何对F5设备进行基本管理，包括配置管理、账户管理、日志管理等。

4. 应用配置：介绍如何配置F5的应用，包括HTTP代理、TCP代理、SSL
代理等。

5. 安全设置：介绍如何设置F5的安全功能，包括防火墙、访问控制、加密等。

6. 性能监控：介绍如何监控F5设备的性能，包括流量监控、连接数监控、
响应时间监控等。

7. 故障排除：提供常见故障排除方法，帮助用户快速解决问题。

8. 升级与维护：介绍如何对F5设备进行升级和维护，保证设备正常运行。

以上是F5操作手册的主要内容，具体内容可能因设备型号和版本而有所不同。

建议在使用F5设备时仔细阅读操作手册，并按照手册中的步骤进行操作。

F5配置手册2016年12月目录1. 设备登录 (3)1.1图形化界面 (3)1.2命令行界面 (3)2. 基础网络配置 (3)2.1创建vlan (3)2.2创建self ip (4)2.3创建静态路由 (4)3. 应用负载配置 (6)3.1 pool配置 (6)3.2 Virtual Server配置 (7)4. 双机 (8)4.1双机同步配置 (8)4.2主备机状态切换 (9)1.设备登录1.1图形化界面通过网络形式访问F5任一接口地址，或pc机直连F5的MGMT带外管理口，打开浏览器，输入https://192.168.1.245（MGMT地址在设备液晶面板查看）将进入F5的图形管理界面。

该界面适合进行设备的基础以及高级调试，是管理员常用的管理界面。

默认用户名/密码：admin/admin现密码已更改，并交由管理员妥善保管。

1.2命令行界面通过DB9console线直连F5的console口，或通过securecrt等工具以SSH2的形式访问F5任一接口地址，将进入命令行模式。

该界面适合进行底层操作系统的调试以及排错。

默认用户名/密码：root/default现密码已更改，并交由管理员妥善保管。

2.基础网络配置2.1创建vlan进入“Network”-“VLANs”选项，点击“create”创建新vlan，如下图：2.2创建self ip进入“Network”-“self ips”进行F5设备的地址配置，点击“create”新建地址，如下图：填写相应地址和掩码，在vlan处下拉选择之前创建好的vlan，将该地址与vlan绑定，即ip地址与接口做成了对应关系。

在双机部署下，浮动地址的创建需要选择Traffice Group 中的traffice-group-1(floating ip)点击“Finish”完成创建。

2.3创建静态路由F5的静态路由分缺省路由和一般路由两种。

任何情况下，F5部署上线都需要设置缺省路由。

F5 BIG-IP负载均衡器配置指导书目录添加“只读”权限的管理员帐号.............................................................................................对某一Virtual Server用TCPDUMP命令无法抓到包如何处理............................................一、网络结构与IP地址规划本手册以移动W AP/彩信网关为例网络拓扑结构如下图所示：整个数据网络设备，采用两台防火墙、两台BIG-IP 3400负载均衡器、及两台交换机、网络设备都采用主、备设备，以实现设备、链路的冗余备份，以消除单点故障。

这里部署负载均衡器的目的主要是为了增加服务器的数量，以提升系统的处理能力。

但对外仍然是一个IP地址。

相关的IP地址规划如下：注：以上的IP地址规划是测试环境的IP地址设置，需要根据现网环境中的IP地址规划进行修改。

二、配置BIGIP3400负载均衡设备本章将主要描述BIGIP3400负载均衡设备的配置方法及配置内容。

旁路/直连的选择2.1.1路由/直连模式的介绍网络连接的物理结构如下结构：Ip规划说明：图中bigip为负载均衡交换机，bigip上面使用公开的ip地址，bigip下面同负载均衡的服务器使用不公开的ip地址。

但对外提供服务则使用公开的ip。

2.1.2旁路模式的介绍网络连接的物理结构如下结构：Ip规划说明：图中bigip为负载均衡交换机，bigip和负载均衡的服务器均使用公开的ip 地址。

2.1.3 路由/直连模式同旁路模式的比较（1）流量走向不一样；路由/直连模式的流量走向如下：如上图，bigip同客户端的流量在bigip的上联接口，bigip同服务器的流量在下面的接口。

旁路模式的流量走向如下：如上图，bigip无论同客户端还是同服务器的通讯流量均在bigip的一个接口上。

V11 HA双机配置第一步，登陆F5管理界面，选择F5双机模式。

System>>Platform>>configuration下，需要完成相关配置：管理口IP地址、主机名、双机模式、时区。

为避免出错，在双机模式下，两台F5设备的管理口IP需要设置为不同IP地址，主机名也需要明显区分。

不同于V10支持两台F5设备同步，V11支持多台F5设备同步，即集群模式。

在此模式下，其中一台F5设备为主机，其他数台设备为备机。

注意，所有设备的时区必须统一，误差不超过180秒。

第二步，更新证书。

在主备机模式下，V11采用信任证书完成同步，因此每台F5设备需要有自己的证书。

第三步，为双机划分Vlan。

注意，此Vlan专为双机同步而设置，因此F5设备上的Vlan设置必须一致。

第四步，为双机配置selfip。

类似于上一步骤中的vlan配置，selfip 同样是为双机同步而设置，值得注意的是，F5设备的selfip必须设置不同地址，以便双机同步时容易识别。

Selfip默认30位掩码，即255.255.255.252。

注意，V11版本下portlockdown默认为Allow None，此处需要手动配置为Allow all/default。

第五步，不同于V10版本，V11版本双机同步、切换、镜像在DEVICE Management配置。

点击下图中红色矩形框中证书，第六步，验证证书，等待同步。

第七步，设置对端地址，获取对端信任证书，等待同步。

以上六步需要同时在主备机上进行配置。

第八步，将需要同步的F5设备加入信任组，同时交换证书。

第九步，点击同步，完成双机同步配置。

完成HA配置后，可以通过console或者ssh登陆到每台设备上就可以看出设备处于active或者standby状态；也可以在web任何一个页面的左上角看出设备处于active或者standby状态；。

F5配置手册F5 Networks2021-7-16F5 Netwotks1-1 / 42(F5 Netwotks前言：设备上线配置主要如下几个步骤：第一，实施前的规划第二，环境准备第三，设备上架第四，设备配置本文主要针对两大块进行的编写，实施前规划和设备配置。

环境准备主要只机房环境的准备，如机架、电源、温湿度等等；设备上架只设备安装导轨并固定安放在机架上。

1-2 / 42F5 Netwotks1 1.1.1 规划准备要点在安装BIG-IP系统之前，请检查如下准备工作是否做好：? ?F5规划设备物理连接规划。

IP地址规划，根据实际需要划分网段和分配IP地址，通常网络设备IP地址为网络中最大IP地址（默认网关使用最大IP地址），往下递推；主机设备从网络中最小IP地址往上递推进行分配。

?BIG-IP双机需要3个外部VLAN IP，2个分别为主备机的Self IP，一个为Share IP。

BIG-IP双机需要3个内部VLAN IP，2个分别为主备机的Self IP，一个为Share IP。

每一个虚拟服务器IP地址或NAT需要一个外部VLAN IP。

SNAT映射IP地址可以跟虚拟服务器IP地一样。

BIG-IP内部每个节点需要一个内部VLAN IP。

??? ?确定BIG-IP主机名，并且确保BIG-IP双机主机名不一样。

1.1.2 VLAN划分根据现网组网模式，F5上需要划分3个VLAN，如表1-1所示。

双机模式下，VLAN的划分需要保持一致。

表1-1 VLAN划分 VLAN名称 External-vlan Internal-vlan Failover-vlan 作用用于连接上端交换机。

用于连接下端的服务器。

主要用于两台BIGIP之间的配置同步和Session同步。

说明 ? 通常情况下在端口数量足够的时候我们用一个单独的端口用于配�Z和Session同步。

? 如果在端口数量不足时，可不使用此VLAN而使用internal-vlan来进行配�Z和Session同步。