F5负载均衡内部培训资料

F5负载均衡配置手册F5负载均衡配置手册负载均衡器通常称为四层交换机或七层交换机。

四层交换机主要分析IP层及TCP/UDP层，实现四层流量负载均衡。

七层交换机除了支持四层负载均衡以外，还有分析应用层的信息，如HTTP协议URI或Cookie信息。

一、F5配置步骤：1、F5组网规划(1)组网拓朴图（具体到网络设备物理端口的分配和连接，服务器网卡的分配与连接）(2)IP地址的分配（具体到网络设备和服务器网卡的IP地址的分配）(3)F5上业务的VIP、成员池、节点、负载均衡算法、策略保持方法的确定2、F5配置前的准备工作(1)版本检查f5-portal-1:~# b versionKernel:BIG-IP Kernel 4.5PTF-07 Build18(2)时间检查－－如不正确，请到单用户模式下进行修改f5-portal-1:~# dateThu May 20 15:05:10 CST 2004(3)申请license－－现场用的F5都需要自己到F5网站上申请license3、F5 的通用配置(1)在安全要求允许的情况下，在setup菜单中可以打开telnet及ftp功能，便于以后方便维护(2)配置vlan unique_mac选项，此选项是保证F5上不同的vlan 的MAC地址不一样。

在缺省情况下，F5的各个vlan的MAC地址是一样的，建议在配置时，把此项统一选择上。

可用命令ifconfig –a来较验。

具体是system/Advanced Properties/vlan unique_mac(3)配置snat any_ip选项选项，此选项为了保证内网的机器做了snat后，可以对ping的数据流作转换。

Ping是第三层的数据包，缺省情况下F5是不对ping的数据包作转换，也就是internal vlan的主机无法ping external vlan的机器。

（注意：还可以采用telnet来验证。

配置介绍登录:F5有一个默认接口,IP地址为192.168.1.245,默认账号密码为admin/admin,可以通过SSH 或者HTTPS等方式进行登录(不能用telnet).也可以通过CONSOLE线进行配置.激活license: 假如license过期,则可以通过修改时间等方法来进行使用.用命令：＃date MMDDhhmmYYYY.SS修改系统时间[root@localhost:Active] config # date 092115442005Wed Sep 21 15:44:00 PDT 2005[root@localhost:Active] config #然后运行：＃hwclock --systohc将系统时间存到BigIP BIOS 里，否则下次启动系统时间将再次不对。

(此种命令行方式需要SSH等方式进行登录)注册方式在另一F5 license管理文件中有详细介绍.接口介绍: 根据设备型号的不同f5上的接口数也不尽相同.主要有MANAGEMENT口,电口(Ethernet口),console口,failover口.,另外有个usb口Mgmt口: management口,即拥有默认地址192.168.1.245的接口,主要用于登录管理. Console口: 与交换机console口作用相同Failover口: 用于进行HA操作,有专门的failover线进行连接,但据F5方面介绍据说使用普通网线也能够进行failover配置,该问题需要进一步研究.Ethernet口: 用于连接网络设备或主机.Usb口: 主要用于安装操作系统.注:安装操作系统的主要方式是在一台PC上安装虚拟机(vmvare),并将该pc与F5通过网络相连,具体操作方法见<F5系统安装傻瓜书>.F5使用原理介绍:Vlan的配置: 在实施了ha的环境下,一个VLAN的地址由两种地址构成.比如设备A为主,那么他的vlan A下就会有一个self ip,(vlan接口的实际地址),一个floating ip(相当于HSRP中的虚拟地址),同样设备B作为备机也会有一个自己的self ip和floating ip(这个地址与A的floating ip 地址相同).路由的配置: 在这里我们完全可以把F5看成一个普通的三层交换机,根据自身需要去配置路由.这里不做详细介绍.F5下的基本组件: 在这里按照我的理解暂时把这些构成F5的基本元素称为它的组件.VS: 即virtual server,从数据包的角度来看,当一个数据包进入到F5的接口上时,F5会根据数据包自身需要到达的ip地址和端口等信息选择一个VS来对包进行处理.数据包是如何选择VS的呢?在配置中通过设定Destination地址段来进行判定,这种方式就象使用ACL对包进行匹配,Destination地址段指定了一个IP地址段和端口号.例如100.0.0.0/24 :30,如果某个数据包的目标地址是100网段下而且它的目标端口是30那么它就进入到了这个VS的处理进程中.每个VS下包含与其关联的pool和rule.POOL: 数据包在进入了VS后,接下来就要与相应的pool相对应.一个基本的pool配置中主要包括和health monitor(健康检查)和member(成员).在说到健康检查之前我们首先要明白member的概念.Member通常被认为是一个套接字地址(ip与port的组合).比如在我们有N台服务器,通过F5对其进行负载均衡,假设服务器A,B,C同时运行了www,ftp两种服务.F5在进行对FTP 的负载均衡处理时使用了ROUND ROBIN(轮询方式),它第一次将数据发给A,第二次给B,注意到F5仅进行的是FTP的负载均衡,它在处理WWW的负载均衡又可以采用不同的策略.为了将不同的应用从主机上分离出来并实施不同的策略,我们就使用member这一概念来对需要负载均衡的对象进行定义.而健康检查即是F5对每个member所进行轮询的策略,假设A,B,C三个member按照1:1:1的策落进行负载,那么这时候A死机了,F5仍然按照原来的策略发包到A上,那么这无疑是没有必要的,这个时候我们就使用健康检查对其状态进行探测,主要方式有ICMP,TCP,http 等方式.一旦某member挂掉,F5即重新改变负载策略.Member之前的负载关系是通过定义load balancing method来确定的主要的负载方法有round robin(轮询),ratio等方式.还是回到数据包的角度来分析F5是如何运行的,数据包到达后根据其IP地址选择VS,该VS自身看一下它的负载策略,哦,是轮询,上一个包已经发给了member A,那么下个包就该发给member B了.就这样完成了它的负载选择.可以把VS的处理方式看成是一个NAT转换的过程,IP A转给了IP B.需要考虑到的是数据包都是一去一回的,那么我们可能需要在两个方面上进行不同的VS设置.在我们现网的应用中,F5主要用了双出口链路上的负载均衡.在实现这一功能时F5需要特定的license(具体的名称不太记得了).然后在之前提到了VS 和POOL功能之外还需要一些基于命令行的工具如RULE和CLASS的辅助.class ct_class{network 58.32.0.0 mask 255.224.0.0network 59.32.0.0 mask 255.224.0.0network 60.63.0.0 mask 255.255.0.0network 60.160.0.0 mask 255.224.0.0network 61.128.0.0 mask 255.252.0.0network 61.132.0.0 mask 255.255.0.0network 61.133.128.0 mask 255.255.128.0}这段代码是对某运营商地址段的设置.把它们集中到一个类中.例如网通和电信的IP地址段放到不同的class中,名为ct_class和cnc_class.再建立两个不同的POOL,两者的member即为F5对端所连的ISP接入点IP地址. 这两个POOL 可以分别叫做ct_pool和cnc_pool.再使用rule来帮助其选择POOL.rule Rule.Destination_Base_Route{＃timing onwhen CLIENT_ACCEPTED {if { [matchclass[IP::local_addr] equals $::ct_class]}{pool CT_Pool} elseif{ [matchclass[IP::local_addr] equals $::cnc_class]}{pool CNC_Pool} else {pool Default_Gateway_Pool}}}这段代码使用的是LINUX下的VC编辑器语言所写.不过基本的含义还是可以了解当数据包到达触发VS时,首先第一个条件,是否满足它的目标IP包含在ct_class中(电信的地址段),如果满足该条件就进入到CT_POOL中,也就是转换到与电信相连的那个地址上去.如果不满足再看它的目标地址是不是在CNC_CLASS(网通地址段)中,如满足则跑到网通的下一跳.如果还不满足,就选默认POOL,假设这个下一跳是电信.也即是当这个地址既不是电信的也不是网通的我们都把他发到电信链路上去,(电信的实力比较强大).总结F5的原理并不难,但是想要真正掌握到F5的使用也非朝夕之功.比如对RULE的编写,可能更多的需要一些编程的知识.工具是死的,用法是活的,如何让这些VS,POOL为网络需求服务,这个仍需要在实践和研究中继续加强.我这里抛砖引玉提供了一些浅薄之见,大家多多海涵.一些尚不很明确的知识点: SNAT, PROFILE,。

F5负载均衡器配置指导书拟制: Prepared by 林浩泓 日期： Date 2004-2-16 审核: Reviewed by何韬 日期： Date 2004-2-17 审核: Reviewed by日期： Date yyyy-mm-dd 批准: Granted by日期： Dateyyyy-mm-dd华为技术有限公司Huawei Technologies Co., Ltd.版权所有 侵权必究 All rights reserved修订记录Revision record目录1F5负载均衡器简介 (7)1.1负载均衡技术简介 (7)1.2F5负载均衡产品介绍 (7)1.3几个常用术语说明 (8)2BIG-IP配置步骤与规划准备工作 (11)2.1BIG-IP配置步骤 (11)2.2准备要点 (11)2.3组网和IP地址规划 (12)2.4BIG-IP接口编号说明 (13)3命令行进行SETUP配置 (14)3.1配置终端 (14)3.2启动F5 (14)3.3输入用户名口令 (15)3.4设置终端类型 (15)3.5S ETUP初始化配置 (16)3.5.1提示系统License不存在 (16)3.5.2设置键盘类型 (17)3.5.3设置root密码 (17)3.5.4设置主机名 (18)3.5.5双机系统设置 (19)3.5.6设置接口速率和双工类型 (21)3.5.7配置VLAN和IP地址 (21)3.5.8添加接口到VLAN中 (24)3.5.9选择VLAN IP地址与主机名关联 (24)3.5.10配置默认网关 (25)3.5.11配置WEB访问 (26)3.5.12配置SSH访问 (28)3.5.13配置F5支持访问 (29)3.5.14设置时区 (30)3.5.15配置NTP支持 (31)3.5.16配置DNS代理转发 (31)3.5.17用户认证配置 (31)3.5.18Setup配置完成 (32)4激活LICENSE (33)4.1通过W EB访问BIG-IP (33)4.2激活L ICENSE步骤 (33)5系统时钟更改 (37)6WEB CONFIGURATION UTILITY进行配置 (38)6.1进入配置工具 (38)6.2配置VLAN和端口 (39)6.3配置VLAN IP地址 (39)6.4配置负载均衡池 (40)6.4.1配置池名、成员IP地址和负载均衡策略 (40)6.4.2会话保持配置 (41)6.5配置节点状态监控 (42)6.5.1自定义节点状态监控 (43)6.5.2监控与节点相关联 (44)6.6配置虚拟服务器 (45)6.6.1创建虚拟服务器 (45)6.6.2虚拟服务器属性修改配置 (46)6.6.3检查系统状态 (48)6.7配置SNAT (49)6.7.1配置步骤 (49)6.7.2验证SNAT配置 (51)7双机配置 (54)7.1注意事项 (54)7.2初始化后配置步骤 (55)7.3上行连接的监控设置 (55)8附录A 常见问题说明 (57)8.1BIG-IP单机或两台双机系统处于S TANDBY状态，为什么？ (57)8.2BIG-IP系统ROOT密码忘记了，如何恢复？ (57)8.3默认的用户名和口令不安全，如何添加新用户或修改现有用户？ (58)8.4BIG-IP系统如何进行配置备份和恢复？ (59)8.5SSH访问具有密码加密传输的优点，请问从哪里获取SSH客户端？ (59)8.6网络设备通常有收集系统信息的宏命令，F5有没有相应命令？ (60)8.7如何使用TCPDUMP进行T ROUBLESHOOTING？ (60)8.8如何实时监视BIG-IP的连接状态？ (62)关键词Key words：负载均衡池、虚拟服务器，节点、会话保持、监控、ECV、EAV、SNAT摘要Abstract：按照常见的配置步骤，本文对F5 BIG-IP负载均衡器设备配置进行说明，并对负载均衡器的基本概念和F5设备使用过程中遇到的常见问题进行解答。

F5服务器负载均衡解决方案目录一. 大量数据处理所面临的问题 (3)1. 目前存在隐患 (4)2. 应用系统问题综述 (4)1)“峰值”问题 (3)2)多米诺”现象 (4)3)“N+1”方式 (4)4)“扩展”不便 (4)5)“免疫力”差 (5)6)“容灾”.................................................................................... 错误!未定义书签。

7)应用与网络脱节 (5)二. F5解决方案 (6)2.1 网络结构 (5)2.2 方案优势 (6)2.2.1避免“不平衡”现象 (6)2.2.2解决因“峰值堵塞”带来的性能调整“不平衡” (8)2.2.3避免“多米诺”现象 (8)2.2.4更好的提供系统容错, 提高系统可靠性 (8)2.2.5“扩展”灵活 (10)2.2.6“免疫力”强 (10)2.2.7“容灾” (12)2.2.8网络感知应用, 应用控制网络 (10)三. 相关技术资料 (12)BIG-IP提供支持99.999%的正常运行 (15)四. 成功案例 (13)F5为中国某税务机关提供高可用性解决方案 (17)一. 大量数据处理所面临的问题在现今的企业中, 不论是否提供关键性任务的服务, 都需要一个持续运行不断的高可用性网络计算环境以维持不间断的高品质服务。

所谓高可用性的环境, 也是信息管理人员所必须考虑的四件事：1.使数据有一个安全的存储和运作方式, 即使在设备故障时仍能保持数据的完整一致。

2.使服务器系统持续运行, 即使发生故障仍然让服务持续下去。

使整个计算环境能更好的管理, 如何容错、容灾、集群共享。

如何使投资有最好的效益, 使系统有最佳的扩充能力, 有最低的整体拥有成本, 也就是在任何情况之下均能确保数据的完整一致, 系统持续运行, 使服务不间断, 同时有最好的投资回报率。

高可用性被定义为计算系统的连续运行。

简单的服务器负载均衡设置介绍 接下来让我们来做一个简单的本地服务器负载均衡配置，拓扑图如下：
首先先配置 网络设置 ：创建VLAN 以及VLAN 配置 ：
Internet
External 10.10.X.31
Shared 10.10.X.33
Internal 172.16.X.31
Shared 172.16.X.33
172.16.x.2 172.16.x.3 172.16.x.4
Click “Create”来创建Internal & External Vlan :
然后创建vlan 管理IP : Self IP :
网络设置好后，开始配置Pool :
（注：如果需要特别的Monitor ，可以先建一个monitor , 选Local traffic -> Monitor -> 进行Monitor 创建。

）
在Pool 里，将服务器IP 及服务（port ）加入，选好负载均衡算法：
然后“finish “, 这样，你已经定义好Pool 了。

接下来，我们将建立Virtual Server , 并把我们定义好的Pool : web_pool1 和Virtual server
建立关系：
profiles, 然后在Virtual Servers 里选中即可）
定义好后，选“ Finish “完成Virtual Server 的定义。

这样，简单的服务器负载均衡已经配好了，简单吧！开始用吧……。

F5配置手册2016年12月目录1. 设备登录 (3)1.1图形化界面 (3)1.2命令行界面 (3)2. 基础网络配置 (3)2.1创建vlan (3)2.2创建self ip (4)2.3创建静态路由 (4)3. 应用负载配置 (6)3.1 pool配置 (6)3.2 Virtual Server配置 (7)4. 双机 (8)4.1双机同步配置 (8)4.2主备机状态切换 (9)1.设备登录1.1图形化界面通过网络形式访问F5任一接口地址，或pc机直连F5的MGMT带外管理口，打开浏览器，输入https://192.168.1.245（MGMT地址在设备液晶面板查看）将进入F5的图形管理界面。

该界面适合进行设备的基础以及高级调试，是管理员常用的管理界面。

默认用户名/密码：admin/admin现密码已更改，并交由管理员妥善保管。

1.2命令行界面通过DB9console线直连F5的console口，或通过securecrt等工具以SSH2的形式访问F5任一接口地址，将进入命令行模式。

该界面适合进行底层操作系统的调试以及排错。

默认用户名/密码：root/default现密码已更改，并交由管理员妥善保管。

2.基础网络配置2.1创建vlan进入“Network”-“VLANs”选项，点击“create”创建新vlan，如下图：2.2创建self ip进入“Network”-“self ips”进行F5设备的地址配置，点击“create”新建地址，如下图：填写相应地址和掩码，在vlan处下拉选择之前创建好的vlan，将该地址与vlan绑定，即ip地址与接口做成了对应关系。

在双机部署下，浮动地址的创建需要选择Traffice Group 中的traffice-group-1(floating ip)点击“Finish”完成创建。

2.3创建静态路由F5的静态路由分缺省路由和一般路由两种。

任何情况下，F5部署上线都需要设置缺省路由。

移动南基F5培训Bing Ng2014-08-06议程1.硬件架构2.部署模式3.配置介绍4.日常维护5.试题F5服务架构网络[物理• SDN]虚机版插卡设备机架设备数据层面可编程控制控制层面管理层面VIPRION 4480机箱☐7U☐4个电源，最大功率2000W ☐4块板卡VIPRION B4300刀片☐双6核CPU24线程，48G内存，600G硬盘☐一个带外管理口，8个千兆/万兆口，2个40G口☐吞吐80Gbps☐4层每秒新建1.4M，并发连接36M☐硬件级DDoS防护：80M SYN-Cookies Per Second ☐20Gbps硬件压缩☐SSL每秒会话数12000 TPS,最大30000按需扩展ScaleN：有弹性的应用交付控制器处理架构•Scale Up，直接添加新刀片板卡即可无缝提升性能。

•Scale In，虚拟化资源，单板卡上运行多个TMOS实例•Scale Out，多台设备组建服务集群，N+M模式议程1.硬件架构2.部署模式3.配置介绍4.日常维护5.试题☐用户端源地址是否可见？1. SNAT源地址转换：Automap服务器端看到源地址为F5的接口地址●在HTTP中可以通过在HTTP头插入客户端源地址来识别2. 不做源地址转换：服务器看到源地址为用户端地址●nPath：服务器直接回包给用户，丢弃；服务器添加VIP为loopback地址●同网段互访：必须通过SNAT●源地址路由：在交换机上配置源地址路由●默认网关：将服务器网关指向F5，F5上增加路由配置转发ServersSwitchInternetServers ServersFireWallF5-2F5-1心跳☐单链路或多链路捆绑Trunk☐VS和服务器都在同一网段，防火墙上做公网NATServers SwitchInternetServers ServersFireWallF5-2F5-1心跳ExtranetIntranet☐采用不同端口接入分Extranet 和Intranet☐可采用Trunk 通过VLAN 区分内外流量☐VS 和服务器不在同一网段，可直接在F5上做公网NATServers SwitchInternetServers ServersFireWallF5ExtranetIntranet☐采用不同端口接入分Extranet 和Intranet☐VS 和服务器不在同一网段，可直接在F5上做公网NAT☐来回路径均经过F5当前部署-----双臂旁挂ServersSwitchInternetServers ServersFireWallF5-2F5-1心跳Extranet Intranet☐采用Trunk捆绑2个10G端口，使用VLAN划分内外网流量☐使用源地址转换设备初始化☐登录https://192.168.1.245admin/admin ☐修改带外管理地址☐激活•自动：设置一个能访问互联网的IP地址及网关•手动：按提示打开激活页面手动☐资源配置网络配置☐创建Trunk，选择需做捆绑的端口☐创建不同VLAN☐为VLAN分配SelfIP☐Route议程1.硬件架构2.部署模式3.配置介绍4.日常维护5.试题什么是TMM?☐Traffic Management Module☐TMOS核心进程，有独立的CPU、内存和I/O控制资源☐所有生产流量都通过TMM接收•所有的VS入口流量•LTM iRiules处理•Profile处理•会话保持处理•负载均衡算法•SSL加速•HTTP 压缩•SNAT•静态CRL文件校验☐4层工作模式，F5 TMM 只负责客户端连接的分配和转发，不改变TCP 连接中的任何参数，客户端和服务器自行协商TCP 传输参数☐只有四层的iRule 可用☐默认状态下，新建连接的第一个包必须是Syn 包，如果是其他的数据包比如ACK 、RST 等如果不在连接表中，则全部丢弃，☐在Fast L4 profile 打开Loose close 和Loose Initial 的时候对非Syn 包也可以建立连接表常用工作模式：Performace L4TMMDesktopLaptopSmartphoneTabletServer☐TMM 在第一次收到客户端Syn 包时，并不建立连接表,而是通过算法Syn Ack回应给客户端Syn ，并期待客户端回应的值。