F5详细配置手册
F5 ASM的快速配置手册-赵文明
BIG-IP Application Security Manager快速配置手册目录目录 (2)1 前言 (3)2 网络构架 (3)2.1串联部署 (3)2.2透明部署 (3)3 激活License (3)3.1登录ASM设备 (4)3.2激活license (4)3.3 Provisioning ASM module (5)4 标准配置步骤 (7)4.1 配置httpclass (7)4.1.1 从LTM的Profile作为配置入口 (7)4.1.2 从ASM的Classes作为配置入口 (9)4.2 将httpclass关联到VS上面 (10)4.3 配置ASM上面的Web Application (12)5 快速策略配置 (12)6 策略维护 (19)6.1 Wildcard策略的添加 (20)6.2 学习到的Profile的添加 (24)6.2.1 修改和完善File Types、URLs、Parameters学习参数 (24)6.2.2 URLs的默认配置和修改 (24)6.2.2 URLs的默认配置和修改 (26)6.2.3 Parameters的默认配置和修改 (27)6.3 Attack Signatures的配置和更新 (29)6.3.1 Attack Signatures的配置方法 (29)6.3.2 更新Attack Signatures特征库 (30)6.4 Policy从Transparent向Blocking的变更操作 (31)6.5 完成之后需要更新Policy策略的方法 (32)7 测试效果验证 (33)7.1 修改header和cookies的长度来验证效果 (33)7.2查看ASM的reporting来验证效果 (34)8查看ASM信息 (37)8.1 显示ASM logs (37)8.2 启动或者停止ASM (37)9 ASM双机配置 (37)9.1 硬件心跳方式 (38)9.2 网络心跳方式 (39)10配置文件备份 (42)11总结 (42)1 前言配置F5 Application Security Manager(ASM)需要一定的LTM基础,并且要求:了解ASM的基本工作原理和流程,可以看懂基本的配置要素;了解HTTP等协议的规范;了解常见的Web安全漏洞和相关的攻击方式;了解被动安全和主动安全防御方式的区别;了解后台Web服务器的类型,是IIS、Apache 、Apache Tomcat或者其它了解后台App服务器的编程语言,是ASP、JSP、PHP、、Weblogic或者其它了解后台DB的类型,是MySQL、Oracle、Postgre SQL 、IBM DB2或者其它了解客户应用环境的负载情况;安装最新的操作系统和HF补丁,目前最新版本是10.2.0,并且推荐以卷管理的方式安装在硬盘分区而不是CF卡上。
F5-BIG-IP-LTM-详解(工作原理-配置手册)
Web Accelerator Module(包括压缩) Application Security Module GTM的分配算法处理(包括GTM rules) Named域名解析 健康检查 日志管理 系统数据统计 SNMP数据输出 HA健康检查
BIGIP 内部结构-V9平台15/34/64/68
F5 BIG-IP LTM详解
北京先进数通信息技术有限公司 十二月 19
LTM工作原理
• LTM基础架构 • VS Type详解 • Profile详解 • CMP 工作原理 • One Connect工作原理 • NAT、SNAT工作原理 • Monitor工作原理 • HA工作原理
LTM基础架构
• Host在启动的时候限 定了内存分配的大小 ,在没有其他module 的情况下是384MB
• TMM进程启动后,将 自动获取余下的所有 物理内存
查看Host内存占用情况
• # physmem /查看物理内存大小 8387584
• b memory show /查看内存分配情况 MEMORY STATISTICS -| (Host) Total = 3.835GB Used = 3.590GB | (TMM) Total = 5.976GB Used = 93.22MB
F5命令行配置配置手册
bigstart Restarts the SNMP agent bigsnmpd. bigtop Displays real-time statistics.Config Configures the IP address, network mask, and gateway on the management (MGMT) port.Use this command at the BIG-IP system prompt prior to licensing the the BIG-IP system, and do not confuse it with the bigpipe config command or the BIG-IP Configuration utility.halt Shuts down the BIG-IP software application.hostname Displays the name you have given to the BIG-IP system.printdb Prints the values of one or more entries in the bigdbTM database. reboot Reboots the BIG-IP system.ssh and scp Access command line interfaces on other SSH-enabled devices, and copy files to or from a BIG-IP system.自定义Bigpipe shell名称bp> shell prompt <string>bp> shell prompt BIG-IP>系统Shell名称将变成:BIG-IP>此特性避开此限制,在Linux命令前加”!”.BIG-IP>!ls //查看目录BIG-IP>!ifconfig //查看接口配置•Routes•Self IP addresses•Packet Filters•Trunks (802.3ad Link Aggregation)•Spanning Tree Protocol (STP)•VLANs and VLAN groups•ARP配置Packet Filtering命令: bigpipe packet filter你可以定义一个包过滤规则来提供访问控制,速率shaping,审计. 配置路由命令:route (<route key list> | all | inet | inet6)F5的Show Tech[root@XXXX:Standby] config # qkviewGetting systemwide backup configuration files.Getting AOM information.Getting last 175 lines of log files.Getting last 175 lines of gzipped log files.Getting md5 sum information.Getting core file list.Getting Public Certificate information.Getting tmctl information.completed... 6 of 161 checks produced no dataDiagnostic information has been saved in file /var/tmp/-tech.out Please send this file to **************.bigtop - display real-time statistics-bytes display counts in bytes (vs bits)-pkts display counts in packets (vs bits)-reqs display counts in requests (vs connections)-vips <n> number of virtual servers to print-nodes <n> number of nodes to print-once print once and exit-delay <n> number of seconds between samples (default 4)-scroll disable full-screen mode-nosort disable sorting-conn sort by connection count (vs byte count)-delta sort by count since last sample (vs total)-n print IP address and services in numeric format-vname display virtual servers by name (vs IP address)-help, -h print this message日志文件系统1. Access the BIG-IP system prompt.2. Stop the BIG-IP system or put the system into a safe condition such as standby mode using the bigstart stop command.3. Type the following command:resize-logFSThis command prompts you for the desired file size in gigabytes.4. At the prompt, type an integer.The minimum allowed value is 1, and the maximum allowed value is 10.A prompt appears that allows you to confirm the specified file size.5. Type Y.A message appears, notifying you of the need for the BIG-IP system to perform a reboot, followed by a prompt, which allows you to permit the reboot operation. Note: Prior to rebooting, the BIG-IP system verifies that the integer you typed in step 3 is within the allowed range, and checks to ensure that enough disk space exists for the specified size.6. Type Y.A confirmation prompt appears.7. Type Y.The system displays messages indicating that the reboot operation is about to occur.8. Wait for the reboot operation to finish.When the system becomes available again, the newly-specified disk space for the log file will be in effect.WARNINGDo not delete the files: /shared/.LoopbackLogFS and /shared/LogFS_README, because this action deletes all of your log files.启用/禁用虚拟服务或虚拟地To enable or disable a virtual server, use the appropriate command syntax:bp> virtual <virtual addr>:<virtual port> enable | disableTo enable or disable a virtual address, use the appropriate command syntax:bp> virtual address <virtual addr> enable | disable从服务中移出单个的NodeYou can remove an individual node from service, or return an individual node to service from the bigpipe shell command line.To remove an individual node from service, use the following command:bp> node <node addr>:<node port> downTo return an individual node to service, use this command:bp> node <node addr>:<node port> up查看修改F5系统配置文件器来编辑或者查看这些文件,当你没有条件使用浏览器时,有时候修改配置文件很有必要.这就需要F5的无浏览器配置模式和命令行配置模式Important:在你编辑完bigip.conf or bigip_base.conf 重启MCPD service之前, 你必须运行bigpipe load 确保MCPD service 使用的是当前的配置数据alert.conf Stores definitions of SNMP traps (system default alerts).user_alert.conf Stores definitions of SNMP traps (user-defined alerts)./config/bigip.conf Stores all configuration objects for managing local application traffic, such as virtual servers, load balancing pools, profiles, and SNATs.Note that after you edit bigip.conf, and before you restart the MCPD service, you must run the bigpipe load command./config/bigip_base.conf Stores BIG-IP self IP addresses and VLAN and interface configurations. Note that after you edit bigip_base.conf, and before you restart the MCPD service, you must run the bigpipe load command./config/bigip.license Stores authorization information for the BIG-IP system./etc/bigconf.conf Stores the user preferences for the Configuration utility./config/bigconfig/openssl.conf Holds the configuration information for how the SSL library interacts with browsers, and how key information is generated./config/user.db Holds various configuration information. This file is known as the bigdb database. /config/bigconfig/httpd.conf Holds configuration information for the web server./config/bigconfig/users The web server password file. Contains the user names and passwords of the people permitted to access whatever is provided by the webserver./etc/hosts Stores the hosts table for the BIG-IP system./etc/hosts.allow Stores the IP addresses of workstations that are allowed to make administrative shell connections to the BIG-IP system./etc/hosts.deny Stores the IP addresses of workstations that are not allowed to make administrative shell connections to the BIG-IP system./etc/rateclass.conf Stores rate class definitions./etc/ipfwrate.conf Stores IP filter settings for filters that also use rate classes. /etc/snmpd.conf Stores SNMP configuration settings./etc/snmptrap.conf Stores SNMP trap configuration settings./config/ssh Contains the SSH configuration and key files./etc/sshd_config This is the configuration file for the secure shell server (SSH). It contains all the access information for people trying to get into the system by using SSH./config/routes Contains static route information.[root@ISAG-2:Standby] config # find_keysISAG-2 koradsatn. omtitra eodISAG-2 junl trig Cmi nevl5scnsdt md.6koradsatn. omtitra eodFound license key JTPBO-CHRSX-DGBIO-HOAHJ-MOZJEVALicense file location is: /sda.1/config/bigip.licenseFound license key JTPBO-CHRSX-DGBIO-HOAHJ-MOZJEVAUnmounting unneeded partitions... ISAG-2 junl trig Cmi nevl5scnsn Cmi nevl5scnsree aamd.<>junl trig Cmi nevl5scns<6>EXT3-fs: mounted filesystem with ordered data mode.ISAG-2 junl trig Cmi nevl5scns<6>kjournald starting. Commit interval 5 secondscompleteAbove information can be found in /tmp/keys.outManaging Local Application Traffic•Setting up load balancing•Controlling HTTP traffic•Implementing HTTP and TCP optimization profiles•Authenticating application traffic•Implementing persistence•Enhancing the performance of the BIG-IP system•Managing health and performance monitors•Implementing iRules设置VirtualServer负载均衡1. Decide what types of traffic you want the BIG-IP system to manage, as well as whether you want to implement session persistence, connection persistence, and remote authentication.2. For each decision in step 1, decide whether you want to use the corresponding default profile that the BIG-IP system provides, or whether you want to create a custom profile.3. Access the bigpipe shell.4. If you want to create custom profiles, use the profile command, specifying the appropriate type of profile as an argument. If you do not want to create custom profiles, skip this step.5. Create one or more load balancing pools, using the pool command.6. Create a virtual server, using the virtual command, and assign to it any profiles and pools that you created. If you are using default profiles, some of those profiles might already be assigned to the virtual server by default.配置克隆Pool克隆Pool设计是用于入侵检测,你可以针对一个VS设置一个克隆Pool,这个克隆的VS接收世的流量和普通Pool一样,你就可以复制流量到入侵检测系统中.1. Access the bigpipe shell.2. Use the virtual command, to create or modify a virtual server, specifying a value for the clone pool argument.配置最后一跳Pool默认,BIG-IP系统自动启用最后一跳特性是,如果你想禁用这个特性.然后自己手工定义一个最后一跳路由器,你可以建立一个最后一跳pool并且指定其属于某个VS当中.1. Access the bigpipe shell.2. Use the pool command to create a last hop pool that contains the router inside addresses.3. Use the lasthop pool argument with the virtual command to assign the last hop pool to a virtual server.If you have not assigned an SSL profile to the virtual server, use the profile argument with the virtual command to assign the profile to the virtual server.配置SNATs这里有两种基础方法来建议一个SNAT,你可以直接将一个转换地址委派给一个或多个源IP地址,或者你可以配置一个SNAT pool,然后委派这个SNAT pool到某个源IP地址,在较新的版本中,BIG-IP自动从SNAT Pool中选择一个转换地址Note that you can assign these types of mappings from within an iRule.To map a single translation address to an original address1. Access the bigpipe shell.2. Designate an IP address as a translation address, using the snat translation command.3. Map the translation address to one or more original IP addresses, using the snat command or the rule command.To map a SNAT pool to an original address1. Access the bigpipe shell.2. Create a pool of translation addresses (that is, SNAT pool), using the snatpool command.3. Map the SNAT pool to one or more original IP addresses, using either the snat command or the rule command.配置HTTP traffic你可以配置BIG-IP来控制HTTP流量:配置HTTP压缩,HTTP请求重定向,HTTP请求重写,插入和插除HTTP头,启用或者禁用cookie加密和SYN cookie支持,配置HTTP 类Profile, HTTP响应数据组块控制.Configuring HTTP compression配置BIG-IP系统压缩HTTP 服务响应1. Access the bigpipe shell.2. Configure the compression-related settings of an HTTP profile,using the profile http command.3. Assign the HTTP profile to a virtual server, using the virtual command.Redirecting HTTP requests你可以配置HTTP Profile来重定向HTTP请求,并且在这个Profile中定义一个Fallback主机1. Access the bigpipe shell.2. Using the profile http command, create or modify an HTTP profile, specifying a value for the fallback argument. You can specify either a URI or the default fallback host, or you can specify that you want no HTTP redirection.3. Verify that the HTTP profile you created or modified is assigned to a virtual server.Rewriting HTTP redirections你可以配置HTTP Profile来重写HTTP的重定向规则1. Access the bigpipe shell.2. Using the profile http command, create or modify an HTTP profile, specifying a value for the redirect rewrite argument.For example, to create a profile that only rewrites URIs matching the originally requested URI (minus an optional training slash), use the following syntax:profile http myHTTPprofile { redirect rewrite matching }3. Verify that the HTTP profile you created or modified is assigned to a virtual server.Inserting and erasing HTTP headers你可以配置HTTP Profile来插入一个头文件到HTTP请求,或者从HTTP请求中移出一个头文件1. Access the bigpipe shell.2. Using the profile http command, create or modify an HTTP profile, specifying a value for either the header insert, header erase, or insert xforwarded for options.3. Verify that the HTTP or Fast HTTP profile you created or modified is assigned to a virtual server.Enabling or disabling cookie encryption你可以使用Profile http中的两个选项来启用或者禁用cookie加密1. Access the bigpipe shell.2. Using the profile http command, create or modify an HTTP profile, specifying a value for the encrypt cookie and cookie secret options.3. Verify that the HTTP profile you created or modified is assigned to a virtual server.Enabling or disabling SYN cookie support为了管理DOS攻击,你可以在一个Fast L4 Profile中配置SYN Cookie选项启用或者禁用SYN Cookie支持功能◆如果BIG-IP系统包含了Packet Velocity ASIC (PVA)技术,使用profile fastl4命令,定义一个hardware syncookie(enable | disable | default)选项,同样,你可以根据需求设置以下的变量通过db命令.•pva.SynCookies.Full.ConnectionThreshold (default: 500000)•pva.SynCookies.Assist.ConnectionThreshold (default: 500000)•pva.SynCookies.ClientWindow (default: 0)值得注意的是这个hardware syncookie 特性目前只可用于D84和D88平台.在其实平台设备这个特性无效.所以如果你在D84和D88上设置software syncookie 特性,SYN Cookie只通过软件处理◆如果BIG-IP系统不包含Packet Velocity ASIC(PVA)技术,使用profile fastl4 命令,指定为software syncookie (enable | disable | default) option.Configuring the HTTP Class profileBIG-IP系统包含一种Profile叫做HTTP Class Profile,你可以使用你定义的标准来用分类HTTP流量,当你分类流量的时候,你转地流量的原则是根据审查目标流量的头文件或者内容来定.如果BIG-IP系统包含Application Security Manager (ASM)或者WebAcclerator模块,你可以配置系统来先发送HTTP流量到那个模块,然后再发送到最终目标,例如,你可以使用HTTP Class Profile来对Virtual Server下命令,要求它发送流量先经过ASM然后再转发到负载均衡Pool.Unchunking and rechunking HTTP response data如果你想要监控内容你可以取消或者重新对HTTP响应进行组块操作,只需要配置HTTP Profile来启用unchunking功能.1. Access the bigpipe shell.2. Using the profile http command, create or modify an HTTP profile and specify the response argument.3. Make sure that you have assigned the HTTP profile to a virtual server, using the virtual command.你能够设备的保持有以下几种:实施Session保持•Cookie•Destination Address Affinity•Microsoft Remote Desktop Protocol (MSRDP)•Hash•Session Initiation Protocol (SIP)•Source Address Affinity•SSL•Universal具体操作:1. Access the bigpipe shell.2. Create a persistence profile, using the profile command, that corresponds to the type of persistence you want to implement.3. Assign the persistence profile to a virtual server, using the persist and fallback persist arguments with the virtual command.实施连接保持为了实施连接保持,你可以添加一个Keep-Alive头文件到HTTP /1.0头文件里(如果不存在).(默认HTTP/1.1连接包含Keep-Alive支持),你同样可以启用connection pooling特性,它可以保持服务器端的连接打开,重新用来供其它客户端请求所使用.你可以通过修改HTTP或者Fast HTTP Profile文件来启用keep-alive支持和Connection pools.同样可以修改OncConnect Profile来实现.To add Keep-Alive headers into HTTP requests1. Access the bigpipe shell.2. To ensure that HTTP connections stay open, use the profile http command and specify the oneconnect transformations argument. This ensures that the BIG-IP system inserts aConnection:Keep-Alive header into any HTTP /1.0 request that does not already contain one.3. Make sure that you have assigned the HTTP or Fast HTTP profile to a virtual server, using the virtual command.To enable connection pooling1. Access the bigpipe shell.2. Using the profile oneconnect command, configure a profile for connection pooling.3. Assign the profile to a virtual server, using the profile argument with the virtual command.小提示:你同样可以通过配置Fast HTTP Profile来配置连接保持,在BIGPIPE SHEEL中使用fasthttp命令.加强BIG-IP性能BIG-IP系统.设置连接Qos和数据包TOS等级你可以使用bigpipe工具来设置QoS和TOS等级,你不仅可以对所有具有目标负载均衡Pool的流量做,同时你也可以对自定义的流量做,例如:Layer 4 ,TCP 和UDP流量.1. Decide whether you want to set QoS and ToS levels for traffic targeted for an entire pool or for specific types of traffic, or both.•If you want to set the QoS and ToS levels for an entire pool, access the bigpipe shell and use the pool command with one or more of the following arguments: link qos to client, link qos toserver, ip tos to client, and ip tos to server.•If you want to set the QoS and ToS levels for certain types of traffic, access the bigpipe shell and use the profile command to create or modify a Fast L4, TCP, or UDP profile.2. Verify that the pool or the profile that you created or modified is assigned to a virtual server. To do this, use the following syntax:bp> virtual <virtual server name> list设置空闲超时时间(Idle timeout time)或者修改一个Fast L4,Fast HTTP,TCP,或者UDP Profile.1. Create or modify a Fast L4, Fast HTTP, TCP, or UDP profile, by accessing the bigpipe shell and using the profile command.2. Specify the idle timeout argument to set a timeout value.3. Verify that the profile you created or modified is assigned to a virtual server.实施速率整形Virtual Server或者Packet Filter规则中.1. Access the bigpipe shell.2. Create one or more rate classes, using the rate class command.3. Assign the rate classes to a virtual server or a packet filter rule, using either the virtual command or the packet filter command.Implementing iRulesiRule特性强大而灵活,值得注意的是它可以增强BIG-IP系统能力.一个iRule可以引用任意object,它不管这个被引用的object处理哪个分区里.例如;一个iRule属于分区A,但包含指定一个Pool属于分区B的语句.1. Access the bigpipe shell.2. Create an iRule using the rule command. You must include the name of the Tcl script and the script itself as arguments for the command.3. Assign the iRule to a virtual server, using the virtual command in one of the following ways:•To associate multiple iRules with a virtual server, use this syntax:bp> virtual <virtual_server_name> rule <iRule1_name> \ <iRule2_name> ...•To remove the assignment of an iRule from a virtual server, use this syntax:bp> virtual <virtual_server_name> rule none•To remove the iRule assignments from multiple virtual servers, use the following syntax. Note that you can remove the iRule assignments only from virtual servers that reside in the current Write partition or in partition Common.bp> virtual all rule none•To associate an existing iRule with multiple virtual servers, use the following syntax. Note that you can associate an iRule only with virtual servers that reside in the current Write partition or in partition Common. bp> virtual all rule <iRule_name>Important: In this case, the iRule becomes the only iRule that is associated with each virtual server in the current Write partition. Because this command overwrites all previous iRuleassignments, we do not recommend use of this command.。
F5配置手册
F5负载均衡相关知识点VLANVLAN(Virtual LAN),虚拟LAN。
网络中应用VLAN的目的:把一个大的广播域,分成多个小的广播域。
VLAN之间如果不使用路由,是不能通信的。
VLAN的作用:VLAN可以解决交换网络中因为某一个小故障产生的广播风暴而使整个网络瘫痪的问题。
当一个VLAN里面出现广播风暴时,受影响的只是这个VLAN本身。
而整个网络由于被分成了多个VLAN(也就是多个广播域),所以网络的其他部份不会受到广播风暴的影响。
Real ServerReal Server接收请求,然后分发给Pool成员。
VS-IP:服务器对外提供服务的IP地址负载平衡Pool负载平衡Pool包含可以将请求发送到其中进行处理的服务器。
ProfileProfile包含定义各种流量类型的行为的设置。
MonitorMonitor跟踪Pool成员的当前状态或者性能。
SNAT提示:由于SNAT 的目的只是改变入站数据包的源IP地址,因此术语安全网络地址转换有些用词不当。
缩写词SNAT 最好定义为源网络地址转换,或源NAT。
SNAT 是一个将原始客户机IP 地址(也就是源IP 地址)映射到您所选择的转换地址的对象。
SNAT 的工作原理如下:1. LTM 系统接收从原始客户机IP 地址发送的数据包,并检查SNAT中是否定义了此源地址。
2. 如果SNAT 中定义了客户机的IP 地址,那么LTM 系统将源IP地址改变为SNAT 中定义的转换地址。
3. 然后,LTM 系统将SNA T 转换地址作为源地址,向目标服务器发送客户机请求。
Npath性能BIG/ip包括称作nPath的可选模式。
该模式允许服务器绕过BIG/ip直接将信息返回给客户。
全球眼平台的接入服务器在F5上配的是npath模式库尔勒全球眼平台网络结构图全球眼平台的接入服务器在F5上配置npath模式Npath模式要在接入服务器配置loopback地址,loopback地址与VS-IP一致接入服务器具体配置请参考《Lvs接入集群安装过程--实际部署整理版本》服务器上的配置1:用ssh登陆F5 密码设置见下图的Root AccountPing每台服务器确保网络通畅没有丢包2:进入服务器中将npatch.sh拷入服务器vi /etc/rc.localifconfig lo:0 192.168.50.23 netmask 255.255.255.255 红色字体是后面是Virtual Server的地址source /home/npath.sh 这里填服务器里npatch.sh的对应目录按esc输入:wq保存保存好后执行ifconfig lo:0 192.168.50.23 netmask 255.255.255.255 回车source /home/npath.sh 回车搭建状态服务器: 1.在一台服务器上搭建一个普通的接入服务模块(配置本地的地址和中心地址)2在做F5的接入上vi /home/Centenser/config.xml 配置状态服务器的地址<!--集群配置realip填写本机真实ip statusnodeip填写共享存储状态服务器ip--><!--注意如果以多接入方式运行则不要填写集群配置参数--><Cluster RealIP="10.0.0.85" StatusNodeIP="59.50.113.101" > 状态服务器地址(黄色颜色) 红色填写本地地址<Group Host="224.1.2.9" Port="45566" /> 默认填写</Cluster>库尔勒全球眼平台接入服务器F5配置截图一、配置管理口地址System ---> Platform ----- > General默认IP:192.168.1.245/24 访问方式https://192.168.1.245 默认登陆用户名:admin 密码:admin(网线必须用交叉线)Host Name:名称随意命名,但必须以.com 结束图1 二、创建VLANNetwork ---> VLANS创建VLAN,并把端口加入VLAN图2三、为VLAN设置Self IP Network ---> Self IPs四、设置路由与网关Network ---> Routes网关只需指向防火墙,如红框所标注设置五、创建Health Monitor健康检查Local Traffic -----> Monitors建立多个接入服务器相应端口的Monitor图5六、创建Pool池Local Traffic -----> Pools为Pool Member关联相应的MonitorLocal Traffic -----> Pools -----> jieru-pool图7查看Pool MembersLocal Traffic -----> Pools -----> jieru-pool -----> Members七、创建ProfileLocal Traffic -----> Profiles 如下图,选择Fast L4进入图9-2所示,点击fastL4图9-2设置fastL4,图中红框所圈选项:Loose Initation 和Loose Close 必须勾选图9-3八、创建Virtual ServerLocal Traffic -----> Virtual Server创建VS-IP,VS-IP即服务器对外提供服务的IP地址为VS选择相应的Profile图中红框所标圈住选项,须与图上所示一致把Pools与VS关联九、查看流量分配Overview -----> Statistics。
F5负载均衡运维配置手册V1.0
F5负载均衡运维配置手册V1.0一、前言F5负载均衡设备是一款企业级的负载均衡器,可以实现对Web服务器负载均衡的管理。
本手册主要介绍了F5负载均衡设备的运维配置,包括设备的基础配置、虚拟服务的创建、健康检查和命令行配置等。
二、设备的基础配置设备的基础配置可参考以下步骤:1.连接设备管理口,使用默认IP地址和管理员密码登录设备管理界面;2.进入系统管理 > 网络,修改网络配置,设置设备IP地址;3.进入系统管理 > 设备名,修改设备名;4.进入系统 > DNS,配置DNS服务器地址;5.进入系统 > NTP,配置NTP服务器地址;6.进入系统 > License,安装所需的授权文件。
三、虚拟服务器的创建虚拟服务器是负载均衡设备上的一个逻辑实体,可以将多个Web服务器关联在一起,实现负载均衡的目的。
虚拟服务器的创建可参考以下步骤:1.进入本地交通管理 > 虚拟服务器,点击创建;2.配置虚拟服务器的名称、IP地址、监听端口等基本信息;3.配置默认池,即关联的服务器池;4.配置健康检查,可以设置ping、http、tcp等多种检查方式。
四、服务器池的配置服务器池是虚拟服务器中实际执行Web请求工作的服务器集合,服务器池的创建可参考以下步骤:1.进入本地交通管理 > 服务器池,点击创建;2.配置服务器池的名称、协议、端口等基本信息;3.配置服务器列表,即真正执行Web请求工作的服务器地址。
五、健康检查健康检查是负载均衡设备监控服务器状态的一种方式,通过健康检查可以及时发现问题服务器,并进行故障切换。
健康检查的配置可参考以下步骤:1.进入本地交通管理 > 健康检查;2.添加健康检查,设置健康检查名称、方式、地址、端口、命令等;3.配置两个备份服务器,即故障转移时可用的备份服务器。
六、命令行配置F5负载均衡设备支持命令行方式进行配置,通过命令行可以实现复杂的配置操作,包括基础配置、虚拟服务器的创建、服务器池的配置、健康检查的配置等。
F5负载均衡-配置指导手册(含IPv6)
F5负载均衡-配置指导⼿册(含IPv6)F5负载均衡-配置⼿册设备概况图形化界⾯通过⽹络形式访问F5任⼀接⼝地址,打开浏览器输⼊https://⽹络接⼝地址;或pc机直连F5的MGMT带外管理⼝,打开浏览器,输⼊(MGMT地址在设备液晶⾯板查看)将进⼊F5的图形管理界⾯。
该界⾯适合进⾏设备的基础以及⾼级调试,是管理员常⽤的管理界⾯。
默认⽤户名/密码:admin/admin命令⾏界⾯通过console线直连F5的console⼝,或通过securecrt等⼯具以SSH2的形式访问F5任⼀接⼝地址,将进⼊命令⾏模式。
该界⾯适合进⾏底层操作系统的调试以及排错。
默认⽤户名/密码: root/defaultF5接⼝⽰意图如上图所⽰,F5同时部署在三个⽹段中,其接⼝⽰意如下:⽹络配置创建vlan进⼊"Network"-"VLANs"选项,点击"create"创建新vlan,如下图:名称处填写该vlan名称,如vlan_170。
再将相应的接⼝划⼊该vlan中,如1.3⼝。
如该vlan需要同交换⽹络中的vlan tag对应,则在tag处填写id,并将接⼝划⼊tagged栏,否则⼀律划⼊untagged。
点击"Finish"完成。
创建self ip进⼊"Network"-"self ips"进⾏F5设备的地址配置,点击"create"新建地址,如下图:填写相应地址和掩码,如192.170.1.202,掩码:255.255.255.0,在vlan处下拉选择之前创建好的vlan_170,将该地址与vlan_170绑定,即ip地址与接⼝做成了对应关系。
在双机部署下,浮动地址的创建需要点击Floating IP的勾,并选择unit ID 为1或2(主备区分),点击"Finish"完成创建。
F5负载均衡运维配置图解
F5负载均衡运维配置中国WEB研发部2010年7月14日版本号:V1.0配置更改记录V1.0 2010年7月14日完成增加F5 Node、Pool、VS的配置。
前言本手册包含F5负载均衡WEB界面具体应用及配置操作。
此手册以F5负载均衡V9版本进行制定。
目录第一章:F5负载均衡网络配置第二章:F5负载均衡应用配置第三章:F5负载均衡运维管理第一章:F5负载均衡网络配置(一)F5负载均衡网络配置1.IE浏览器里面输入https://192.168.112.1482.回车后,出现安全警告信息,点击YES。
3.弹出对话框,输入用户名和密码。
4.进入到F5_web界面后,点击进入NetWork选项。
通过此选项可以配置F5的缺省路由、自定义路由、划分VLAN、接口地址及对应的端口。
5.点击左侧VALNS后,如图显示:目前有6条vlan,分别为电信2条(CTC、CTC02)、网通2条(CUC、CUC02)、F5双机之间通讯1条(HA)、与NOKIA防火墙直连并接入我司内网(internal)。
点击Create,可以创建新的Vlan并对应相应的端口。
定义路由。
如需创建新的路由,可点击右侧Add选项。
Create选项。
网络配置部分完毕。
第二章:F5负载均衡应用配置(二)F5负载均衡应用配置将内网1台服务器映射为1个外网IP1.点击Nodes旁边或者右侧创建新的Nodes。
2.进入创建界面后,如下配置:○1添加某应用的内网ip地址(Address)○2添加某应用的名称(Name)3.点击Loacl Traffic界面点击Pools,右侧显示为已经建立完成的Pool。
点击Pools旁边或者右侧创建新的Pool。
○1将configuration改为Advanced○2创建名称(Name)○3选择健康检测类型(Health Monitors),根据应用的类型来选择,最基本的可以选择Available下拉框里面的geteway_icmp基于某个应用端口的可以选择对应F5的端口检测模板或者自定义检测端口类型。
F5虚机版使用手册
F5虚机版演示环境使用手册版本1.0F5 Networks一、F5虚拟机演示环境介绍欢迎使用F5虚拟机演示环境使用手册。
本手册的目的是帮助您在VMware Workstation环境下使用F5虚拟机演示环境,以了解F5产品的基本功能和基本的应用场景。
二、VMware Workstation安装和配置3.1安装VMware Workstation建议您使用VMware Workstation 9,如果您已经安装了请跳过这一节.1、打开VMware官方完整2、下载并安装VMware Workstation 9您可以使用我们提供的安装包注:VMware Workstation测试版本license使用期为30天3.2配置VMware Workstation网络适配器您需要配置3个虚拟网卡VMnet1为F5管理口,负责配置BIGIP带外管理VMnet2为F5外网接口,提供virtual server访问VMnet3为F5内网接口,用来连接内部服务器1、启动VMware Workstation,选择Edit >Virtual Network Editor2、删除多余虚拟网卡,除了VMnet03、点击Add Network,添加VMnet1、VMnet2和VMnet34、选择VMnet1,并进行如下配置:a) 在VMnet Information中选择Host-only选项b) 选择Connect a host virtual adapter to this networkc) 清除Use loal DHCP service to distribute IP address to VMs复选框d) 配置IP及掩码:10.128.1.0/255.255.255.0注:您后期将使用这个虚拟网卡管理BIG-IP虚拟机网卡适配器VMnet1的IP地址会设置为10.128.1.1。
5、选择VMnet2,并进行如下配置:a) 在VMnet Information中选择NAT选项b) 选择Connect a host virtual adapter to this networkc) 清除Use loal DHCP service to distribute IP address to VMs复选框d) 配置IP及掩码:10.128.10.0/255.255.255.0e) 点击NAT setting ,在Gateway IP中输入10.128.10.2,然后点击OK注:设为NAT可以使BIG-IP虚拟机通过您的主机网卡访问Internet网卡适配器VMnet2的IP地址会设置为10.128.10.1。
F5虚机版使用手册
F5虚机版演示环境使用手册版本F5 Networks一、F5虚拟机演示环境介绍欢迎使用F5虚拟机演示环境使用手册。
本手册的目的是帮助您在VMware Workstation环境下使用F5虚拟机演示环境,以了解F5产品的基本功能和基本的应用场景。
二、VMware Workstation安装和配置安装VMware Workstation建议您使用VMware Workstation 9,如果您已经安装了请跳过这一节.1、打开VMware官方完整、下载并安装VMware Workstation 9您可以使用我们提供的安装包注:VMware Workstation测试版本license使用期为30天配置VMware Workstation网络适配器您需要配置3个虚拟网卡VMnet1为F5管理口,负责配置BIGIP带外管理VMnet2为F5外网接口,提供virtual server访问VMnet3为F5内网接口,用来连接内部服务器1、启动VMware Workstation,选择Edit >Virtual Network Editor2、删除多余虚拟网卡,除了VMnet03、点击Add Network,添加VMnet1、VMnet2和VMnet34、选择VMnet1,并进行如下配置:a) 在VMnet Information中选择Host-only选项b) 选择Connect a host virtual adapter to this networkc) 清除Use loal DHCP service to distribute IP address to VMs 复选框d) 配置IP及掩码:/注:您后期将使用这个虚拟网卡管理BIG-IP虚拟机网卡适配器VMnet1的IP地址会设置为。
5、选择VMnet2,并进行如下配置:a) 在VMnet Information中选择NAT选项b) 选择Connect a host virtual adapter to this networkc) 清除Use loal DHCP service to distribute IP address to VMs 复选框d) 配置IP及掩码:/e) 点击NAT setting ,在Gateway IP中输入,然后点击OK注:设为NAT可以使BIG-IP虚拟机通过您的主机网卡访问Internet 网卡适配器VMnet2的IP地址会设置为。
f5负载均衡bigip配置手册
外网 F5 配置步骤:一、登录到F5 BIG-IP管理界面:1、初次使用:①、翻开F5 BIG-IP电源,用一根网线〔直连线和交织线均可〕连接F5 BIG-IP的管理网口和笔录本电脑的网口,将笔录本电脑的IP②、用阅读器接见F5 BIG-IP 地址配置为“,子网掩码配置为“的出厂默认管理IP 地址或.255.0 〞。
③、输入出厂默认用户名:④、点击 Activate进入admin,密码:F5 BIG-IP Licenseadmin申请与激活页面,激活License。
⑤、更正默认管理密码。
2、今后登录:经过 F5 BIG-IP的自己外网IP 登录。
①、假设设置的F5 自己外网IP 为,就可以经过登录。
②、还可以经过SSH登录,用户名为root ,密码跟 Web管理的密码相同。
二、创立两个VLAN: internal和external1、创立 VLAN:internal〔内网〕,分别表示内网和外网。
在“Network→VLANs〞页面点击“ create 〞按钮:①、 Name栏填写: internal〔填一个英文名称〕②、 Tag 栏填写: 4093〔填一个数字〕③、 Interfaces栏:将Available列的“ 〞拉到Untagged列。
表示F5 BIG-IP的第一块网卡。
2、创立VLAN:external〔外网〕在“Network→VLANs〞页面点击“ create 〞按钮创立①、 Name栏填写: external〔填一个英文名称〕②、 Tag 栏填写: 4094〔填一个数字〕③、 Interfaces栏:将Available列的“ 〞拉到VLAN:Untagged列。
表示F5 BIG-IP的第二块网卡。
三、创立 F5 BIG-IP的自己IP:分别对应internal〔内网〕和external〔外网〕。
1、创立自己内网IP :在“Network→Self IPs〞页面点击“ create〞按钮:①、 IP Address栏填写:〔填内网IP 地址〕②、 Netmask 栏填写:〔填内网子网掩码〕③、 VLAN栏选择: internal④、 Port Lockdown栏选择:Allow Default〔默认值〕2、创立自己外网IP :在“Network→Self IPs〞页面点击“ create〞按钮:①、 IP Address栏填写:〔填外网IP 地址〕②、 Netmask 栏填写:〔填外网子网掩码〕③、 VLAN栏选择: external④、 Port Lockdown栏选择:Allow Default〔默认值〕四、创立默认网关路由1、创立默认网关路由在“Network→Routes〞页面点击“ create 〞按钮:①、 Type 栏选择: Default Gateway〔默认值〕②、 Resource 栏选择: Use Gateeay...,在以后的输入框填写网关IP 地址:〔这里假设此IP 为外网网关地址〕五、创立效劳器自定义健康检查1、创立自定义健康检查: monitor_在“Local Traffic→Monitors〞页面点击“ create〞按钮:①、 Name栏填写: monitor_ 〔填一个英文名称〕②、 Type 栏选择:③、 Import Settings栏选择:④、 Interval栏填写:5〔表示每5秒钟进行一次健康检查〕⑤、 Timeout 栏填写: 16〔表示健康检查的连接超时时间为16 秒〕⑥、 Send String栏填写:GET /〔也可以依照自己的需求发送其他方法的央求,比方HEAD /也许 GET / 〕⑦、 Receive String栏填写:〔填写对应的返回字符串,默认不填写〕六、创立效劳器池〔pool 〕1、创立 Squid 效劳器池: pool_dzsq在“Local Traffic→Pools〞页面点击“ create〞按钮:①、 Name栏填写: pool_squid 〔填一个英文名称〕②、 Health Monitors栏:将第四步创立的自定义健康检查“ monitor_ 〞由Available列拉到 Active列③、 Load Balancing Method栏选择:Round Robin〔这里选择的负载均衡方式是轮询,也可以选择其他方式〕④、 New Members栏:先选择New Address ,再增加两台Squid 效劳器的 IP 地址、、、以及它们的端口80内网 F5 配置步骤:一、登录到F5 BIG-IP管理界面:1、初次使用:①、翻开F5 BIG-IP电源,用一根网线〔直连线和交织线均可〕连接F5 BIG-IP的管理网口和笔录本电脑的网口,将笔录本电脑的IP②、用阅读器接见F5 BIG-IP 地址配置为“,子网掩码配置为“的出厂默认管理IP 地址或.255.0 〞。
F5详细配置手册
F5 BIG-IP负载均衡器配置指导书目录一、网络结构与 IP 地址规划 ....................................错误 ! 不决义书签。
二、配置 BIGIP3400 负载均衡设备 ...............................错误 ! 不决义书签。
旁路 / 直连的选择 ..........................................错误 ! 不决义书签。
路由 / 直连模式的介绍..................................错误 ! 不决义书签。
旁路模式的介绍 .......................................错误 ! 不决义书签。
路由 / 直连模式同旁路模式的比较.......................错误 ! 不决义书签。
设置负载均衡器管理网口地址...............................错误 ! 不决义书签。
登录 BIGIP 的 WEB管理界面 .................................错误 ! 不决义书签。
激活 License .............................................错误 ! 不决义书签。
初始化设置 ...............................................错误 ! 不决义书签。
1 上的平台 (Platform)通用属性设置 . ....................错误 ! 不决义书签。
更正系统时间 .........................................错误 ! 不决义书签。
设置缺省管理权限策略.................................错误 ! 不决义书签。
重新启动 bigip .......................................错误 ! 不决义书签。
f5 bigip ltm 详解(工作原理 配置手册)教学内容
• TMM只是负责客户端连接的分配和转发,不改变TCP连接中的任何参数 • 客户端和服务器自行协商TCP传输参数 • 在34/64/68平台上Performance L4可以有PVA加入实现硬件加速 • 在15/16/36/69/89/Viprion平台上都通过TMM核心进行处理 • Performance L4 VS上只有4层的iRules可以使用 • 默认状态下,新建连接的第一个包必须是Syn包,如果是其他的数据包
比如ACK、RST等如果不在连接表中,则全部丢弃。 • 在Fast L4 profile打开Loose close和Loose Initial的时候对非Syn包也
可以建立连接表
Performance L4 攻击防护-Syn Cookie
Syn Syn,Ack (syncookie)
Ack(Cookie)
Host OS
Web 界面管理 健康检查
SNMP ……..
TM/OS
Cluster Muti Processor 多CPU并行处理
TMM TMM TMM TMM
0
1
2
3
独立的管理机 AOM
管理CPU
SSL加解密
HTTP压缩
HiSpeed Bridge
万兆/千兆交换端口
Admin
Байду номын сангаас
Con6sole
Host和TMM的内存分配
什么是TMM
• Traffic Management Module • TMOS的核心进程,有自己独立的内存、CPU资源分配和
I/O控制 • 所有的生产流量都通过TMM接收 • 一个CPU Core只能有一个TMM进程 • 在V9版本上,15/34/64/68都是单TMM运行 • 在V9版本上,16/36/69/89/84/88都是多TMM运行 • 在V10版本上,16/36/69/89/84/88都是多TMM运行 • Viprion只支持9.6和10.0版本,默认都是多TMM运行
F5负载均衡运维配置手册V10
F5负载均衡运维配置手册安全与终端产品开发部2010年7月14日版本号:V1.0配置更改记录V1.0 2010年7月14日完成增加F5 Node、Pool、VS的配置。
前言本手册包含F5负载均衡WEB界面具体应用及配置操作。
此手册以F5负载均衡V9版本进行制定。
目录第一章:F5负载均衡网络配置第二章:F5负载均衡应用配置第三章:F5负载均衡运维管理第一章:F5负载均衡网络配置(一)F5负载均衡网络配置1.IE浏览器里面输入https://192.168.112.1482.回车后,出现安全警告信息,点击YES。
3.弹出对话框,输入用户名和密码。
4.进入F5_web界面后,点击进入NetWork选项。
通过此选项可以配置F5的缺省路由、自定义路由、划分VLAN、接口地址及对应的端口。
5.点击左侧VALNS后,如图显示:目前有6条vlan,分别为电信2条(CTC、CTC02)、网通2条(CUC、CUC02)、F5双机之间通讯1条(HA)、与NOKIA防火墙直连并接入我司内网(internal)。
点击Create,可以创建新的Vlan并对应相应的端口。
6.点击Routes,进入路由配置界面。
如图显示配置1条缺省路由,3条自定义路由。
如需创建新的路由,可点击右侧Add选项。
7.点击Self ips,进入接口地址和虚地址配置界面。
如需创建新的地址,点击Create选项。
网络配置部分完毕。
第二章:F5负载均衡应用配置(二)F5负载均衡应用配置将内网1台服务器映射为1个外网IP1.点击Nodes旁边或者右侧创建新的Nodes。
2.进入创建界面后,如下配置:○1添加某应用的内网ip地址(Address)○2添加某应用的名称(Name)○3点击Finished完成Nodes的配置。
3.点击Loacl Traffic界面点击Pools,右侧显示为已经建立完成的Pool。
点击Pools旁边或者右侧创建新的Pool。
○1将configuration改为Advanced○2创建名称(Name)○3选择健康检测类型(Health Monitors),根据应用的类型来选择,最基本的可以选择Available下拉框里面的geteway_icmp基于某个应用端口的可以选择对应F5的端口检测模板或者自定义检测端口类型。
F5命令行配置配置手册
bigstart Restarts the SNMP agent bigsnmpd. bigtop Displays real-time statistics.Config Configures the IP address, network mask, and gateway on the management (MGMT) port.Use this command at the BIG-IP system prompt prior to licensing the the BIG-IP system, and do not confuse it with the bigpipe config command or the BIG-IP Configuration utility.halt Shuts down the BIG-IP software application.hostname Displays the name you have given to the BIG-IP system.printdb Prints the values of one or more entries in the bigdbTM database. reboot Reboots the BIG-IP system.ssh and scp Access command line interfaces on other SSH-enabled devices, and copy files to or from a BIG-IP system.自定义Bigpipe shell名称bp> shell prompt <string>bp> shell prompt BIG-IP>系统Shell名称将变成:BIG-IP>此特性避开此限制,在Linux命令前加”!”.BIG-IP>!ls //查看目录BIG-IP>!ifconfig //查看接口配置•Routes•Self IP addresses•Packet Filters•Trunks (802.3ad Link Aggregation)•Spanning Tree Protocol (STP)•VLANs and VLAN groups•ARP配置Packet Filtering命令: bigpipe packet filter你可以定义一个包过滤规则来提供访问控制,速率shaping,审计. 配置路由命令:route (<route key list> | all | inet | inet6)F5的Show Tech[root@XXXX:Standby] config # qkviewGetting systemwide backup configuration files.Getting AOM information.Getting last 175 lines of log files.Getting last 175 lines of gzipped log files.Getting md5 sum information.Getting core file list.Getting Public Certificate information.Getting tmctl information.completed... 6 of 161 checks produced no dataDiagnostic information has been saved in file /var/tmp/-tech.out Please send this file to **************.bigtop - display real-time statistics-bytes display counts in bytes (vs bits)-pkts display counts in packets (vs bits)-reqs display counts in requests (vs connections)-vips <n> number of virtual servers to print-nodes <n> number of nodes to print-once print once and exit-delay <n> number of seconds between samples (default 4)-scroll disable full-screen mode-nosort disable sorting-conn sort by connection count (vs byte count)-delta sort by count since last sample (vs total)-n print IP address and services in numeric format-vname display virtual servers by name (vs IP address)-help, -h print this message日志文件系统1. Access the BIG-IP system prompt.2. Stop the BIG-IP system or put the system into a safe condition such as standby mode using the bigstart stop command.3. Type the following command:resize-logFSThis command prompts you for the desired file size in gigabytes.4. At the prompt, type an integer.The minimum allowed value is 1, and the maximum allowed value is 10.A prompt appears that allows you to confirm the specified file size.5. Type Y.A message appears, notifying you of the need for the BIG-IP system to perform a reboot, followed by a prompt, which allows you to permit the reboot operation. Note: Prior to rebooting, the BIG-IP system verifies that the integer you typed in step 3 is within the allowed range, and checks to ensure that enough disk space exists for the specified size.6. Type Y.A confirmation prompt appears.7. Type Y.The system displays messages indicating that the reboot operation is about to occur.8. Wait for the reboot operation to finish.When the system becomes available again, the newly-specified disk space for the log file will be in effect.WARNINGDo not delete the files: /shared/.LoopbackLogFS and /shared/LogFS_README, because this action deletes all of your log files.启用/禁用虚拟服务或虚拟地To enable or disable a virtual server, use the appropriate command syntax:bp> virtual <virtual addr>:<virtual port> enable | disableTo enable or disable a virtual address, use the appropriate command syntax:bp> virtual address <virtual addr> enable | disable从服务中移出单个的NodeYou can remove an individual node from service, or return an individual node to service from the bigpipe shell command line.To remove an individual node from service, use the following command:bp> node <node addr>:<node port> downTo return an individual node to service, use this command:bp> node <node addr>:<node port> up查看修改F5系统配置文件器来编辑或者查看这些文件,当你没有条件使用浏览器时,有时候修改配置文件很有必要.这就需要F5的无浏览器配置模式和命令行配置模式Important:在你编辑完bigip.conf or bigip_base.conf 重启MCPD service之前, 你必须运行bigpipe load 确保MCPD service 使用的是当前的配置数据alert.conf Stores definitions of SNMP traps (system default alerts).user_alert.conf Stores definitions of SNMP traps (user-defined alerts)./config/bigip.conf Stores all configuration objects for managing local application traffic, such as virtual servers, load balancing pools, profiles, and SNATs.Note that after you edit bigip.conf, and before you restart the MCPD service, you must run the bigpipe load command./config/bigip_base.conf Stores BIG-IP self IP addresses and VLAN and interface configurations. Note that after you edit bigip_base.conf, and before you restart the MCPD service, you must run the bigpipe load command./config/bigip.license Stores authorization information for the BIG-IP system./etc/bigconf.conf Stores the user preferences for the Configuration utility./config/bigconfig/openssl.conf Holds the configuration information for how the SSL library interacts with browsers, and how key information is generated./config/user.db Holds various configuration information. This file is known as the bigdb database. /config/bigconfig/httpd.conf Holds configuration information for the web server./config/bigconfig/users The web server password file. Contains the user names and passwords of the people permitted to access whatever is provided by the webserver./etc/hosts Stores the hosts table for the BIG-IP system./etc/hosts.allow Stores the IP addresses of workstations that are allowed to make administrative shell connections to the BIG-IP system./etc/hosts.deny Stores the IP addresses of workstations that are not allowed to make administrative shell connections to the BIG-IP system./etc/rateclass.conf Stores rate class definitions./etc/ipfwrate.conf Stores IP filter settings for filters that also use rate classes. /etc/snmpd.conf Stores SNMP configuration settings./etc/snmptrap.conf Stores SNMP trap configuration settings./config/ssh Contains the SSH configuration and key files./etc/sshd_config This is the configuration file for the secure shell server (SSH). It contains all the access information for people trying to get into the system by using SSH./config/routes Contains static route information.[root@ISAG-2:Standby] config # find_keysISAG-2 koradsatn. omtitra eodISAG-2 junl trig Cmi nevl5scnsdt md.6koradsatn. omtitra eodFound license key JTPBO-CHRSX-DGBIO-HOAHJ-MOZJEVALicense file location is: /sda.1/config/bigip.licenseFound license key JTPBO-CHRSX-DGBIO-HOAHJ-MOZJEVAUnmounting unneeded partitions... ISAG-2 junl trig Cmi nevl5scnsn Cmi nevl5scnsree aamd.<>junl trig Cmi nevl5scns<6>EXT3-fs: mounted filesystem with ordered data mode.ISAG-2 junl trig Cmi nevl5scns<6>kjournald starting. Commit interval 5 secondscompleteAbove information can be found in /tmp/keys.outManaging Local Application Traffic•Setting up load balancing•Controlling HTTP traffic•Implementing HTTP and TCP optimization profiles•Authenticating application traffic•Implementing persistence•Enhancing the performance of the BIG-IP system•Managing health and performance monitors•Implementing iRules设置VirtualServer负载均衡1. Decide what types of traffic you want the BIG-IP system to manage, as well as whether you want to implement session persistence, connection persistence, and remote authentication.2. For each decision in step 1, decide whether you want to use the corresponding default profile that the BIG-IP system provides, or whether you want to create a custom profile.3. Access the bigpipe shell.4. If you want to create custom profiles, use the profile command, specifying the appropriate type of profile as an argument. If you do not want to create custom profiles, skip this step.5. Create one or more load balancing pools, using the pool command.6. Create a virtual server, using the virtual command, and assign to it any profiles and pools that you created. If you are using default profiles, some of those profiles might already be assigned to the virtual server by default.配置克隆Pool克隆Pool设计是用于入侵检测,你可以针对一个VS设置一个克隆Pool,这个克隆的VS接收世的流量和普通Pool一样,你就可以复制流量到入侵检测系统中.1. Access the bigpipe shell.2. Use the virtual command, to create or modify a virtual server, specifying a value for the clone pool argument.配置最后一跳Pool默认,BIG-IP系统自动启用最后一跳特性是,如果你想禁用这个特性.然后自己手工定义一个最后一跳路由器,你可以建立一个最后一跳pool并且指定其属于某个VS当中.1. Access the bigpipe shell.2. Use the pool command to create a last hop pool that contains the router inside addresses.3. Use the lasthop pool argument with the virtual command to assign the last hop pool to a virtual server.If you have not assigned an SSL profile to the virtual server, use the profile argument with the virtual command to assign the profile to the virtual server.配置SNATs这里有两种基础方法来建议一个SNAT,你可以直接将一个转换地址委派给一个或多个源IP地址,或者你可以配置一个SNAT pool,然后委派这个SNAT pool到某个源IP地址,在较新的版本中,BIG-IP自动从SNAT Pool中选择一个转换地址Note that you can assign these types of mappings from within an iRule.To map a single translation address to an original address1. Access the bigpipe shell.2. Designate an IP address as a translation address, using the snat translation command.3. Map the translation address to one or more original IP addresses, using the snat command or the rule command.To map a SNAT pool to an original address1. Access the bigpipe shell.2. Create a pool of translation addresses (that is, SNAT pool), using the snatpool command.3. Map the SNAT pool to one or more original IP addresses, using either the snat command or the rule command.配置HTTP traffic你可以配置BIG-IP来控制HTTP流量:配置HTTP压缩,HTTP请求重定向,HTTP请求重写,插入和插除HTTP头,启用或者禁用cookie加密和SYN cookie支持,配置HTTP 类Profile, HTTP响应数据组块控制.Configuring HTTP compression配置BIG-IP系统压缩HTTP 服务响应1. Access the bigpipe shell.2. Configure the compression-related settings of an HTTP profile,using the profile http command.3. Assign the HTTP profile to a virtual server, using the virtual command.Redirecting HTTP requests你可以配置HTTP Profile来重定向HTTP请求,并且在这个Profile中定义一个Fallback主机1. Access the bigpipe shell.2. Using the profile http command, create or modify an HTTP profile, specifying a value for the fallback argument. You can specify either a URI or the default fallback host, or you can specify that you want no HTTP redirection.3. Verify that the HTTP profile you created or modified is assigned to a virtual server.Rewriting HTTP redirections你可以配置HTTP Profile来重写HTTP的重定向规则1. Access the bigpipe shell.2. Using the profile http command, create or modify an HTTP profile, specifying a value for the redirect rewrite argument.For example, to create a profile that only rewrites URIs matching the originally requested URI (minus an optional training slash), use the following syntax:profile http myHTTPprofile { redirect rewrite matching }3. Verify that the HTTP profile you created or modified is assigned to a virtual server.Inserting and erasing HTTP headers你可以配置HTTP Profile来插入一个头文件到HTTP请求,或者从HTTP请求中移出一个头文件1. Access the bigpipe shell.2. Using the profile http command, create or modify an HTTP profile, specifying a value for either the header insert, header erase, or insert xforwarded for options.3. Verify that the HTTP or Fast HTTP profile you created or modified is assigned to a virtual server.Enabling or disabling cookie encryption你可以使用Profile http中的两个选项来启用或者禁用cookie加密1. Access the bigpipe shell.2. Using the profile http command, create or modify an HTTP profile, specifying a value for the encrypt cookie and cookie secret options.3. Verify that the HTTP profile you created or modified is assigned to a virtual server.Enabling or disabling SYN cookie support为了管理DOS攻击,你可以在一个Fast L4 Profile中配置SYN Cookie选项启用或者禁用SYN Cookie支持功能◆如果BIG-IP系统包含了Packet Velocity ASIC (PVA)技术,使用profile fastl4命令,定义一个hardware syncookie(enable | disable | default)选项,同样,你可以根据需求设置以下的变量通过db命令.•pva.SynCookies.Full.ConnectionThreshold (default: 500000)•pva.SynCookies.Assist.ConnectionThreshold (default: 500000)•pva.SynCookies.ClientWindow (default: 0)值得注意的是这个hardware syncookie 特性目前只可用于D84和D88平台.在其实平台设备这个特性无效.所以如果你在D84和D88上设置software syncookie 特性,SYN Cookie只通过软件处理◆如果BIG-IP系统不包含Packet Velocity ASIC(PVA)技术,使用profile fastl4 命令,指定为software syncookie (enable | disable | default) option.Configuring the HTTP Class profileBIG-IP系统包含一种Profile叫做HTTP Class Profile,你可以使用你定义的标准来用分类HTTP流量,当你分类流量的时候,你转地流量的原则是根据审查目标流量的头文件或者内容来定.如果BIG-IP系统包含Application Security Manager (ASM)或者WebAcclerator模块,你可以配置系统来先发送HTTP流量到那个模块,然后再发送到最终目标,例如,你可以使用HTTP Class Profile来对Virtual Server下命令,要求它发送流量先经过ASM然后再转发到负载均衡Pool.Unchunking and rechunking HTTP response data如果你想要监控内容你可以取消或者重新对HTTP响应进行组块操作,只需要配置HTTP Profile来启用unchunking功能.1. Access the bigpipe shell.2. Using the profile http command, create or modify an HTTP profile and specify the response argument.3. Make sure that you have assigned the HTTP profile to a virtual server, using the virtual command.你能够设备的保持有以下几种:实施Session保持•Cookie•Destination Address Affinity•Microsoft Remote Desktop Protocol (MSRDP)•Hash•Session Initiation Protocol (SIP)•Source Address Affinity•SSL•Universal具体操作:1. Access the bigpipe shell.2. Create a persistence profile, using the profile command, that corresponds to the type of persistence you want to implement.3. Assign the persistence profile to a virtual server, using the persist and fallback persist arguments with the virtual command.实施连接保持为了实施连接保持,你可以添加一个Keep-Alive头文件到HTTP /1.0头文件里(如果不存在).(默认HTTP/1.1连接包含Keep-Alive支持),你同样可以启用connection pooling特性,它可以保持服务器端的连接打开,重新用来供其它客户端请求所使用.你可以通过修改HTTP或者Fast HTTP Profile文件来启用keep-alive支持和Connection pools.同样可以修改OncConnect Profile来实现.To add Keep-Alive headers into HTTP requests1. Access the bigpipe shell.2. To ensure that HTTP connections stay open, use the profile http command and specify the oneconnect transformations argument. This ensures that the BIG-IP system inserts aConnection:Keep-Alive header into any HTTP /1.0 request that does not already contain one.3. Make sure that you have assigned the HTTP or Fast HTTP profile to a virtual server, using the virtual command.To enable connection pooling1. Access the bigpipe shell.2. Using the profile oneconnect command, configure a profile for connection pooling.3. Assign the profile to a virtual server, using the profile argument with the virtual command.小提示:你同样可以通过配置Fast HTTP Profile来配置连接保持,在BIGPIPE SHEEL中使用fasthttp命令.加强BIG-IP性能BIG-IP系统.设置连接Qos和数据包TOS等级你可以使用bigpipe工具来设置QoS和TOS等级,你不仅可以对所有具有目标负载均衡Pool的流量做,同时你也可以对自定义的流量做,例如:Layer 4 ,TCP 和UDP流量.1. Decide whether you want to set QoS and ToS levels for traffic targeted for an entire pool or for specific types of traffic, or both.•If you want to set the QoS and ToS levels for an entire pool, access the bigpipe shell and use the pool command with one or more of the following arguments: link qos to client, link qos toserver, ip tos to client, and ip tos to server.•If you want to set the QoS and ToS levels for certain types of traffic, access the bigpipe shell and use the profile command to create or modify a Fast L4, TCP, or UDP profile.2. Verify that the pool or the profile that you created or modified is assigned to a virtual server. To do this, use the following syntax:bp> virtual <virtual server name> list设置空闲超时时间(Idle timeout time)或者修改一个Fast L4,Fast HTTP,TCP,或者UDP Profile.1. Create or modify a Fast L4, Fast HTTP, TCP, or UDP profile, by accessing the bigpipe shell and using the profile command.2. Specify the idle timeout argument to set a timeout value.3. Verify that the profile you created or modified is assigned to a virtual server.实施速率整形Virtual Server或者Packet Filter规则中.1. Access the bigpipe shell.2. Create one or more rate classes, using the rate class command.3. Assign the rate classes to a virtual server or a packet filter rule, using either the virtual command or the packet filter command.Implementing iRulesiRule特性强大而灵活,值得注意的是它可以增强BIG-IP系统能力.一个iRule可以引用任意object,它不管这个被引用的object处理哪个分区里.例如;一个iRule属于分区A,但包含指定一个Pool属于分区B的语句.1. Access the bigpipe shell.2. Create an iRule using the rule command. You must include the name of the Tcl script and the script itself as arguments for the command.3. Assign the iRule to a virtual server, using the virtual command in one of the following ways:•To associate multiple iRules with a virtual server, use this syntax:bp> virtual <virtual_server_name> rule <iRule1_name> \ <iRule2_name> ...•To remove the assignment of an iRule from a virtual server, use this syntax:bp> virtual <virtual_server_name> rule none•To remove the iRule assignments from multiple virtual servers, use the following syntax. Note that you can remove the iRule assignments only from virtual servers that reside in the current Write partition or in partition Common.bp> virtual all rule none•To associate an existing iRule with multiple virtual servers, use the following syntax. Note that you can associate an iRule only with virtual servers that reside in the current Write partition or in partition Common. bp> virtual all rule <iRule_name>Important: In this case, the iRule becomes the only iRule that is associated with each virtual server in the current Write partition. Because this command overwrites all previous iRuleassignments, we do not recommend use of this command.。
F5详细配置手册
F5 BIG-IP负载均衡器配置指导书目录一、网络结构与IP地址规划 ...........................................................................................................二、配置BIGIP3400负载均衡设备 ................................................................................................2.1旁路/直连的选择..................................................................................................................2.1.1路由/直连模式的介绍...............................................................................................2.1.2旁路模式的介绍........................................................................................................2.1.3 路由/直连模式同旁路模式的比较..........................................................................2.2设置负载均衡器管理网口地址...........................................................................................2.3登录BIGIP的WEB管理界面 ...........................................................................................2.4激活License (1)2.5初始化设置...........................................................................................................................上的平台(Platform)通用属性设置 ....................................................................................2.5.2修改系统时间 (1)2.5.3设置缺省管理权限策略............................................................................................2.5.4重新启动bigip...........................................................................................................2.6配置网络层 (9)2.6.1划分vlan....................................................................................................................2.6.2定义IP地址 ..............................................................................................................2.6.3配置路由....................................................................................................................2.7配置双机设置(High Availability).........................................................................................2.7.1配置Redundant Pair的IP地址................................................................................2.7.2配置双机自动切换机制FailSafe配置................................. 错误!未定义书签。
F5负载均衡器简明配置手册
F5负载均衡器简明配置手册负载均衡器通常称为四层交换机或七层交换机。
四层交换机主要分析IP层及TCP/UDP层,实现四层流量负载均衡。
七层交换机除了支持四层负载均衡以外,还有分析应用层的信息,如HTTP协议URI或Cookie信息。
一、F5配置步骤:1、F5组网规划(1)组网拓朴图(具体到网络设备物理端口的分配和连接,服务器网卡的分配与连接)(2)IP地址的分配(具体到网络设备和服务器网卡的IP地址的分配)(3)F5上业务的VIP、成员池、节点、负载均衡算法、策略保持方法的确定2、F5配置前的准备工作(1)版本检查f5-portal-1:~# b versionKernel:BIG-IP Kernel 4.5PTF-07 Build18(2)时间检查--如不正确,请到单用户模式下进行修改f5-portal-1:~# dateThu May 20 15:05:10 CST 2004(3)申请license--现场用的F5都需要自己到F5网站上申请license3、F5的通用配置(1)在安全要求允许的情况下,在setup菜单中可以打开telnet及ftp功能,便于以后方便维护(2)配置vlan unique_mac选项,此选项是保证F5上不同的vlan 的MAC地址不一样。
在缺省情况下,F5的各个vlan的MAC地址是一样的,建议在配置时,把此项统一选择上。
可用命令ifconfig –a来较验具体是system/Advanced Properties/vlan unique_mac(3)配置snat any_ip选项选项,此选项为了保证内网的机器做了snat后,可以对ping 的数据流作转换。
Ping是第三层的数据包,缺省情况下F5是不对ping的数据包作转换,也就是internal vlan的主机无法ping external vlan的机器。
(注意:还可以采用telnet来验证。
)具体是system/Advanced Properties/snat any_ip4、F5 的初始化配置建议在对F5进行初始时都用命令行方式来进行初始化(用Web页面初始化的方式有时会有问题)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
F5B I G-I P负载均衡器配置指导书目录3.6添加“只读”权限的管理员帐号 ..... 错误!未指定书签。
3.8对某一VirtualServer用TCPDUMP命令无法抓到包如何处理?错误!未指定书签。
一、网络结构与IP地址规划本手册以移动WAP/彩信网关为例网络拓扑结构如下图所示:整个数据网络设备,采用两台防火墙、两台BIG-IP3400负载均衡器、及两台交换机、网络设备都采用主、备设备,以实现设备、链路的冗余备份,以消除单点故障。
这里部署负载均衡器的目的主要是为了增加服务器的数量,以提升系统的处理能力。
但对外仍然是一个IP地址。
相关的IP地址规划如下:注:以上的IP地址规划是测试环境的IP地址设置,需要根据现网环境中的IP地址规划进行修改。
注:建议现场工程师先填写以下规范表:二、配置BIGIP3400负载均衡设备本章将主要描述BIGIP3400负载均衡设备的配置方法及配置内容。
2.1旁路/直连的选择2.1.1路由/直连模式的介绍网络连接的物理结构如下结构:Ip规划说明:图中bigip为负载均衡交换机,bigip上面使用公开的ip地址,bigip下面同负载均衡的服务器使用不公开的ip地址。
但对外提供服务则使用公开的ip。
2.1.2旁路模式的介绍网络连接的物理结构如下结构:Ip规划说明:图中bigip为负载均衡交换机,bigip和负载均衡的服务器均使用公开的ip地址。
2.1.3路由/直连模式同旁路模式的比较(1)流量走向不一样;路由/直连模式的流量走向如下:如上图,bigip同客户端的流量在bigip的上联接口,bigip同服务器的流量在下面的接口。
旁路模式的流量走向如下:如上图,bigip无论同客户端还是同服务器的通讯流量均在bigip 的一个接口上。
(2)接口流量压力不一样见2.1图:路由/直连情况下,bigip同客户端的流量在bigip的上联接口,bigip同服务器的流量在下联的接口,故bigip单一接口压力较小。
在旁路模式,bigip无论同客户端还是同服务器的通讯流量均在bigip的一个接口上,故bigip单一接口压力较大。
为解决此问题,可以在bigip和交换机之间采用链路聚合技术,即端口捆绑,以避免接口成为网络瓶颈。
(3)网络结构的安全性不一样路由/直连情况下,可以不公布服务器使用的真实ip地址,只需要公布提供负载均衡的虚拟地址即可,而在旁路情况下,则客户端可以得知服务器的真实地址,在此模式下,为保证服务器的安全性,服务器的网关指向bigip,可以使用bigip上的包过滤(防火墙)功能来保护服务器。
(4)对后端服务器的管理方便性不一样路由/直连情况下,因服务器的真实地址可以隐含,故管理起来需要在bigip上启用地址翻译(NAT)功能,相对会复杂一些。
而旁路模式则不需要地址翻译的配置。
(5)前者不支持npath模式(见后图),后者支持npath模式,启用该模式可见少F5设备的压力见上图,在旁路模式下,使用npath的流量处理方式,所有服务器回应的流量可以不通过bigip,这样可以大大减少流量的压力。
但npath的流量处理方式不能工作路由/直连的模式。
(6)在对原有系统做负载均衡技术改造时,两种模式的工作复杂程度不一样如果对原有没有负载均衡技术的系统进行负载均衡技术的改造,那么,在路由/直连情况下,需要修改服务器的ip地址同时网络结构也要做调整(将服务器调到bigip后端),同时相关联的应用也要改动,需要进行严格的测试才能上线运行;然而,在旁路模式下,仅仅需要改动一下服务器的网关,原有系统的其它部分(包括网络结构)基本不需要做改动,故,前者对系统改动较大,后者则改动较小。
对于电信项目来讲,由直连改为旁挂方式主要带来以下优点:1、增加了网络的灵活性:由于F5采用旁挂的方式,后端服务器的网关指向的为三层交换机的地址,而不是F5的地址,在对网络设备维护时可以方便的采用修改路由的方式使设备下线,便于维护管理。
同时,一些特殊的应用也可在核心交换机上采用策略路由的方式指向特定的网络设备。
2、提高了网络整体的可靠性:由于旁路方式的存在,如果F5设备出现问题,可在交换机上修改路由使用数据流绕过F5,而不会对整个业务系统造成影响。
3、针对某些特殊应用,提高了速度:采用旁路的方式后,一些特定的的对速度、时延敏感的应用数据在进入和离开时可以采用不同的路径,例如:在流入时可经过F5设备,对其进行检查,负载均衡。
而在该数据流离开时,则不经过F5,以提高其速度。
2.2设置负载均衡器管理网口地址F5BIG-IP3400设备的面板结构:BIG-IP3400应用交换机具备8个10/100/1000M自适应的网络接口及二个光纤接口.10/100/1000interface—8个10/100/1000 M自适应的网络接口Gigabitfiberinterface—2个1000M多模光纤接口Serialconsoleport—一个串口命令行管理端口Failoverport—一个串口冗余状态判断端口。
Mgmtinterface—一个10/100M管理端口注:互为双机的两台BIG-IP必须用随机附带的Failover线相连起来。
注:管理网络接口的IP地址不能与业务网络在同一网段,根据业务网络的地址划分,相应的调整管理网络接口的网络地址。
如果,在SMS中负载均衡口的externalvlan和internalvlan已经采用了到另外一个网段。
通过LCD按键修改管理网口IP地址的方法如下:1、按红色X按键进入Options选项;2、在液晶面板上通过按键按以下顺序设置管理网口的网络地址:Options->System->IPAddress/Netmask->Commit如果通过LCD按键修改完IP地址以后,选择Commit,地址无法成功改变(例如出现IP地址为全零的情况),很有可能是管理口IP地址与系统内已经配置发生冲突。
出现这种情况,关机重启以后,另选一个IP网段来设置管理网口地址。
警告:在设置好网络管理口地址以后,通过网络登陆到BIG-IP上进行其它配置更改时,都要保证网络管理口的网络连接完好。
否则有时会出现修改的配置无法被成功加载应用的情况,因为网络管理口为Down的情况会妨碍配置文件的加载。
2.3登录BIGIP的WEB管理界面管理BIGIP有两种方式,一种是基于WEB的https管理方式,另一种是基于ssh的命令行管理方式。
除特别配置外,采用WEB的管理方式即可。
WEB登录方式如下:1.在管理员的IE地址栏内输入BIGIP设备的IP地址,192.168.1.2452.回车后出现系统警告信息点击Yes3.然后系统提示输入基于WEB配置的用户名和密码。
目前的admin帐号的密码为admin2.4激活License在配置BIG-IP之前,先要激活License。
从System->License->Re-activate进入License激活界面:进入,将产生的Dossier复制进以下页面,产生License文件:4.输入正确后即可进入BIGIP的WEB管理界面2.5初始化设置2.5.1BIG-IP1上的平台(Platform)通用属性设置进入System Platform注:警告:BIG-IP双机系统的主机名必须不一样,否则配置同步会产生错误,可能导致破坏license。
例如负载均衡器BIG-IP1的主机名为ISMG-LB01-F5,BIG-IP2的主机名为ISMG-LB02-F5。
Root为命令行帐号,admin为WEB管理的帐号。
注:root密码允许用户通过命令行访问BIG-IP系统。
建议root密码长度大于6位,但不要超过32位字节。
密码与大小写敏感,建议密码中包含大写/小写字母和数字。
如果BIG-IP系统为冗余系统,两台主备机的root密码必须保持一致。
注:如修改密码,请确认正确敲击键盘上的键。
(有人敲错了键盘上的键,而导致无法找到新设置的密码是什么。
)BIG-IP2上的平台通用属性设置:2.5.2修改系统时间1. 用PUTTY或SecureShellClient等SSH客户端连接BIG-IP的管理网口地址,进入命令行模式。
注:SecureShellClient可以用以下链接下载:。
2. 执行date检查系统时钟。
[root@ZJHZ-PS-MMS3-SW02:Active]config#dateThuMay2516:59:15CST20063. 命令格式#date<month><day><hour><minute><year>.<second>#dateMMDDHHMMYYYY.SS如设置2009年1月1日中午12:00:00#4.保存时间到BIOS#hwclock–systohc2.5.3设置缺省管理权限策略在命令行运行bbaselist命令,检查初始化设置。
如果bbaselist的输出已经有selfallow{defaulttcpsshtcphttpsudpefstcpsnmpprotoospfudpdom ainudpsnmptcp4353tcpdomainudp4353}一行,则进入到2.4.4。
如果在bbaselist的输出中发现有selfallow{defaultnone}一行,则运行以下两条命令:bselfallow{defaulttcpsshtcphttpsudpefstcpsnmpprotoospfudpdo mainudpsnmptcp4353tcpdomainudp4353}bbasesave所后用命令more/config/bigip_base.conf查看bigip_base.conf文件确认selfallow{defaulttcpsshtcphttpsudpefstcpsnmpprotoospfudpdom ainudpsnmptcp4353tcpdomainudp4353}已经保存到文件中。
2.5.4重新启动bigip#reboot2.6配置网络层按照拓扑结构,对F5BIGIP的网络层进行配置,划分vlan,定义IP 地址及路由。
2.6.1划分vlan点击左侧的导航条,进入Network VLANS,在右侧可以对vlan进行配置。
创建方法如下:点击create:Name:设置这个vlan的名字。
Tag:为相应VLAN的VLANIDInterface:定义Available中显示的端口有选择性的划分到这个vlan中。
指定端口后,单击选入Untagged栏即可。
点击完成。
根据SMS的网络规划,负载均衡器上一共要定义了以下几个VLAN:注:external,,internal为业务流量VLAN。