F5學習筆記

1,首先管理地址

https://192.168.1.245

用戶名和密碼都為admin

命令行
用戶名/密碼： root/default 

 

通過液晶面板配置管理口: 
1. 在液晶面板上, 按 X 鍵
2. 使用上下按鈕，找到System 選項並按  √ 鍵
3. 使用上下按鈕，找到Management選項並按 √ 鍵
4. 配置Mgmt IP, Mgmt 掩碼, 和Mgmt 網關
5. 配置完成后,使用上下按鈕，找到Commit選項並按 √ 鍵完成配置

 

 

通過TMSH命令配置管理口 
• del sys management-route default 
• del sys management-ip <ip address>/<bit mask>
• create sys management-ip <ip address>/<bit mask> 
• create sys management-route default gateway <ip address> network 
default 
• save sys config
• 在命令行下使用“config” 命令進入管理口配置向導 

 

 

2， 執行 date 檢查系統時鍾。

[root@ZJHZ-PS-MMS3-SW02:Active] config # date
Thu May 25 16:59:15 CST 2006
命令格式
# date <month><day><hour><minute><year>.<second>
        月     日    小時    分鍾   年份     秒

# date MMDDHHMMYYYY.SS
如設置 2009 年 1 月 1 日中午 12：00：00
# date 010112002009.00
保存時間到 BIOS
# hwclock –systohc

 

3，設置缺省管理策略

在命令行運行 b base list 命令，檢查初始化設置。
如果 b base list 的輸出已經有 self allow { default tcp ssh tcp https udp efs tcp snmp proto ospf 
udp domain udp snmp tcp 4353 tcp domain udp 4353 }

如果在 b base list 的輸出中發現有 self allow { default none }一行，則運行以下兩條命令：
b self allow { default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 
tcp domain udp 4353 }

b base save


所后用命令 more /config/bigip_base.conf 查看 bigip_base.conf 文件確認 self allow { default tcp 
ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 }
已經保存到文件中。
2.5.4 重新啟動 bigip
# reboot

 

初始化設置

2.5.1   BIG-IP 1 上的平台(Platform)通用屬性設置
進入 SystemPlatform

 

注：主機名用來標識 BIG-IP 系統自身。主機名必須符合 DNS 域名標准。主機部分必須以字母開始，並至少為2個字符。舉例：f5-1.colorring.net

警告：BIG-IP 雙機系統的主機名必須不一樣，否則配置同步會產生錯誤，可能導致破壞license

例如負載均衡器BIG-IP1的主機名為ISMG-LB01-F5，BIG-IP2的主機名為ISMG-LB02-F5。

 

 

配置網絡層

划分vlan

點擊左側的導航條，進入 NetworkVLANS，在右側可以對 vlan 進行配置。創建方法如下：
點擊 create:

 

Name:設置這個 vlan 的名字。
Tag:為相應 VLAN 的 VLAN ID
Interface:定義 Available 中顯示的端口有選擇性的划分到這個 vlan 中。指定端口后，單擊<<箭頭，選入 Untagged 欄即可。
點擊Finished 完成。

 

 

 

注：external, ,internal 為業務流量 VLAN。VLAN ID 應與網絡規划中的 VLAN 一致。
注：netfailover VLAN 的 1.4 端口為雙機網絡心跳接口，網絡心跳信號及雙機配置同步信息都是通過這一網線傳輸，因此要用網線將雙機的 1.4 口對連起來。VLAN ID 4094 為 BIG-IP自動生成的。(也可以指定)。
注：將 1.7 和 1.8 端口加入到 external VLAN 和 internal VLAN 主要是為了有時候可以將筆記本接在相應 VLAN 進行測試，而不受 BIG-IP 與交換機之間網絡連接的影響。

 

 

定義 IP 地址

在划分完 Vlan 后，即可對每個 vlan 進行 IP 地址的定義。方法如下：
點擊左側導航條中的 Networks—>self Ips

在右側可以對 Ip 地址進行配置。創建方法如下：
點擊 Create:

 

 

IP address:輸入 IP 地址
Netmask:輸入子網掩碼
Vlan：選擇將這個 IP 地址綁定在哪個 vlan 上。選擇下拉菜單將顯示所有已設置的 vlan 名。
Port Lockdown:保持默認值 Allow Default。
Floating IP:如果系統為冗余工作方式，需對每台設備的每個 vlan 均設置兩個 IP 地址。其中
一個是 self IP,另一個則為 floating IP,即兩台設備共用的 IP 地址。選中此項即代表這個 IP 地
址為 Floating IP

 

 

 

 網絡地址規划如下

 

 

 

 

配置路由

點擊左側導航條中的 Networks—>RoutesAdd 對路由進行配置

 

Type:定義配置的是默認網關還是靜態路由。
Destination:定義目標網段
Netmask:定義目標網段的掩碼
Resource:定義網關地址
點擊Finished 完成

 

 

 

 

配置雙機設置(High Availability)

High Availability 就是雙機冗余（Cluster），要求兩台 BIGIP 的版本相同。配置方法如下

配置 Redundant Pair 的 IP 地址

首先，確認 BIG－IP 已經轉換為雙機模式。
在 WEB 頁面的左側導航條選擇 SYSTEMPlatform

 

把 Hith Availability 設置中應選擇為 Redundant Pair 模式。
其中 BIG-IP1 的 Unit ID 為 1，BIG-IP2 的 Unit ID 為 2。
然后，在 WEB 頁面的左側導航條選擇 SYSTEMHith Availability：
BIG-IP1 的設置如下：

 

BIG-IP2 的設置如下

 

Primary Failover Address 輸入兩台 BIGIP 的 Netfailover VLAN Self IP 地址：
BIG-IP1 的 Self IP 為 192.168.6.1, Peer IP 為 192.168.6.2;
BIG-IP1 的 Self IP 為 192.168.6.2, Peer IP 為 192.168.6.1;
Secondary Failover Address 輸入兩台 BIGIP 的 Internal VLAN Self IP 地址。
BIG-IP1 的 Self IP 為 192.168.20.1, Peer IP 為 192.168.20.2;
BIG-IP1 的 Self IP 為 192.168.20.2, Peer IP 為 192.168.20.1;
Redundancy Mode 選擇 Active/Standby 模式
並 Enable Network Failover 選項。
其他參數保持默認值

 

 

 

  配置雙機自動切換機制 FailSafe 配置

 

Failsafe 設置在滿足某些條件的時候，觸發 BIGIP 發生切換。根據彩鈴 5 期的要求，配置了
VLANs 的 FailSafe 配置，當處於 Active 狀態的 BIGIP 的 internal 和 external 兩個 VALN 在設

定的時間內沒有任何流量，自動切換到備機。

 

警告：在沒有完成 External VLAN 和 Internal VLAN 的網絡接線之前，不要啟用自動切換機
制

 

 

 

對 External VLAN 和 Internal VLAN 啟用基於 VLAN 監控的自動切換機制，步驟如下：在
WEB 頁面的左面導航界面選擇:SYSTEM High AvailabilityFail-safe

 

 

VLAN：選擇監控的 VLAN
Timeout :默認值是 90 秒，一般改為 30 秒
其中 Action 選用 Fail Over 方式，而不是缺省的 Reboot 方式。
設置完后，結果如下：

 

 

 

配置服務器負載均衡

注：服務器負載均衡器的設置只需要在一台 BIG-IP1 上進行設置，設置好以后，可以通過雙
機配置同步的方式將配置更新到 BIG-IP2 上。

 

 

 

在設置好基礎網絡,即可對實現服務器負載均衡進行配置。主要涉及以下幾個方面：

Monitor(不一定需要設，有時候可以采用系統自帶Monitor)Monitor跟蹤Pool成員的當前狀態或者性能
Profile(不一定需要設，有時候可以采用系統自帶Profile)Profile包含定義Virtual Server行為的設置。

負載均衡Pool  
負載均衡Pool包含可以將請求發送到其中進行處理的服務器。
iRules 
負載均衡控制規則。
Virtual Server
Virtual Server接收客戶端的訪問請求，然后將請求分發給被負載均衡的服務器上。
SNAT  
在負載均衡器內部的服務器主動向外發起訪問時，在負載均衡器上所做的地址映射。

 

 

配置 Monitor

Monitor 可以實現對服務器實施健康檢查。以確定服務器是否可以對外提供服務

注：目前並不存在着故障服務器進行切換的需求，只是需要根據客戶端源地址來選擇服務器，
因此並不需要對服務器進行監控。以下只是用於說明服務器狀態檢查的配置方式。可以直接
進入到下一步驟。

 

如果需要對檢查方法的屬性進行定制，以下以定制 TCP 端口檢查為例，方法如下：點
擊左側導航條中的 Local TrafficMonitorCreate，在 General Properties 中選擇 TCP

 

 

在 General Properties 中輸入你要建立的健康檢查方式的名字，可以按需要設置好 Interval 和
Timeout 的時間。最后點擊 Finished。

 

 配置 Profile

Profile 定義的 Virtual Server 的屬性集合。
需要對 Virtual Server 上的連接閑置時間進行設置，因此需要創建一個 ismg_fastl4 的 profile，方
法如下：
由 Local Traffic ManageProfileFast L4 Profile，選擇創建

 

配置負載均衡 Pool

負載均衡Pool是您組合起來接收和處理流量的一組設備，如Web服務器。BIGIP系統將客戶機
發往Virtual Server的請求發送到Pool成員中的任一服務器上。
當創建負載均衡Pool時，將服務器（稱作Pool成員）分配到pool中，然后將pool與BIGIP系
統中的Virtual Server相關聯。然后，BIPIP系統將進入Virtual Server中的流量傳輸到Pool
成員。
單個服務器可隸屬於一個或多個pool，這取決於您希望如何管理您的網絡流量。
創建pool的方法如下：
點擊左側導航條中的 Local TrafficVirtual ServerspoolsCreate:

 

輸入 pool 的名字，並指定該 pool 中的 member 成員的 IP 地址及 service port，並指定對 Pool
成員的健康檢查方法，然后點擊 即可。
接照 SMS 的情況,定義 pool 及相應的 member 成員如下：
pool POOL_ISMG{
member 192.168.20.1:0
member 192.168.30.1:0
}

 

注：192.168.20.1 為與負載均衡器在同一個機房一的服務器，而 192.168.30.1 為在機房二的
服務器，兩台服務器不在同一網段。由於 192.168.30.1 與負載均衡器不在同一個網段，需要
在負載均衡器 NetworkRoute 設置中增加一條靜態路由，即到 192.168.30.1 的數據包的下
一跳指向機房一第二層防火牆的 Untrust 區的共享地址。

 

 

 

 

 

 

 

創建 iRule 負載均衡控制規則以根據源地址選擇服務器

先要創建兩個 Data Group，將 SP 的源地址分別放在這兩個 Data Group 中，以進行源地址匹
配來選擇 ISMG 服務器。
創建 Data Group 的方法如下：
在 Local TrafficiRuleData Group 中選擇 Create:

 

 

將源地址加入。
然后定義 Data Group 與服務器的對應關系：
在 Local TrafficiRule 中選擇 Create:創建一個 select_ismg 的 iRule：

 

when CLIENT_ACCEPTED {
 if { [matchclass [IP::client_addr] equals $::sp1_class] } { 
node 192.168.20.1
 } elseif { [matchclass [IP::client_addr] equals $::sp2_class] } {
node 192.168.30.2
 } else { drop }
}

 

 

上述規則的含義是如果源地址在定義的 sp1_class 的 data group 中，則選擇服務器
192.168.20.1，如果在 sp2_class 的 data group 中，則選擇 192.168.30.1。如果源地址不在這兩
個 Data Group 中，則拒絕訪問。

 

建立 Virtual server,實現對服務器的負載均衡

Virtual Server是BIG-IP®本地流量管理（LTM）配置中最重要的組件。BIG-IP收到到Virtual
Server的客戶請求后，以地址轉換的方式，將客戶端的請求發送到Virtual Server相應Pool中的
某個成員服務器上。Virtual Server可提高用於處理客戶機請求的資源的可用性。
創建 Virtual Server 的方法如下：
點擊左側導航條中的 Local TrafficVirtual ServersCreate:

 

在 General Properties 部分，需指定該 Virtual server 的名稱，IP 地址及服務端口。

在 Configuration 部分，用戶需跟據該 Virtual server 的類型，選擇相應的配置參數。

 

注：對於http流量或ftp流量，用戶必需選擇Http profile或Ftp profile，否則這兩種virtual server
將不能正常訪問。

 

對於服務器負載均衡，需要創建一個 vip_ismg 的虛擬務器，將會采用 Performance Layer4 的
類型，並選擇上面創建的 ismg_fastl4 profiel：

 

 

而協議（Protocol）則要根據虛擬服務器的類型選擇是 All Protocols。

在 Virtual Server 的 Resources 定義部分，Default Pool 選擇 Virtual Server 所對應的 Server Pool，
及 iRule:

 

注：Status 為綠色，表示該 Virtual Server 對應的 Pool 中至少有一台服務器可用，紅色表示
沒有一台服務器可用，藍色表示服務器的狀態未知(可能沒有對 Pool 設置健康檢查方法，或
正在對服務器狀態進行檢查。)

其中的 Virtual Server 根據實際情況進行添加。

 

 

設置 SNAT

SNAT 是一個將原始IP 地址（也就是源IP 地址）映射到您所選擇的轉換地址的對象。
因此，SNAT 會讓LTM 系統將入站數據包的源IP 地址轉換為您指定的地址。SNAT 的目的
非常簡單，即：確保負載均衡器內網的服務器主動向負載均衡器外部的網絡進行訪問時，地
址會轉換為外網可路由的地址。
創建方法如下：
先修改系統的 General Properties－＞Local Traffic:

 

將 SNA Packet Forwarding 設置由 TCP and UDP Only 改為 All Traffic，使 SNAT 不僅支持 TCP
與 UDP 包的地址轉換，不可以支持 ICMP 的地址轉換。

注：如果不改為 All Traffic，將無法由 Internal VLAN Ping 通外網地址。

 

點擊左側導航條中的 Local TrafficSNATsCreate:

為該 SNAT 設置一個名稱，並在 Translation 中輸入轉換后的 IP 地址，點擊 Origin 的下拉菜
單，選擇 IP address list

 

 

在 address 中輸入 IP 地址點擊 ADD 進行添加。輸入完畢后，點擊 Finished 即可。
要將服務器的地址都轉成 Virtual Server 的地址，因此一個設置好的 SNAT 的屬性如下

這個設置將對所有主動由服務器發往 SP 的數據包進行地址轉換，轉換成 10.10.3.108。

此外，還要選取 Translation 修改 SNAT 地址的 Idle TimeOut 值。例如對 10.10.3.108，點擊右
側 Translation 地址：

 

 

在 SNAT Address 的 TCP idle Timeout 的選項選擇 Specify，輸入 Timeout 的參數，一般改為
3600。而對 UDP 和 IP 的 Idle Timeout 值可以不需要設定，采用缺省值。

 

兩台 BIGIP 配置同步

BIGIP 的配置信息，除了 Network 的配置（例如：VLAN，IP 等），其他的配置可以通
過 ConfigSync 同步，步驟如下：
進入 SystemHigh AvailabilityConfigsync 頁面：

 

Synchronize TO Peer: 把本地的配置同步到對方
Synchronize FROM Peer: 把另外一台 BIGIP 的配置同步到本地。成功的配置同步后的信
息如下

 

備份配置

在完成上述配置，並順利完成同步以后，請盡快將配置備份出來。
備份方法如下：
進入 SystemArchives，點擊 Create:

 

配置備份好后，點擊設配置文件並下載到外部電腦上：

 

 

 三、系統運行狀態檢查及維護

檢查系統日志信息：

 

 

選取 Local Traffic 查看 Pool Member 的狀態變化信息。
可以點擊 TimeStamp 選擇日志信息排列的時序。

 

檢查 Node 狀態

點擊左側導航條中的 Local Traffic->Nodes

圖中綠色狀態表示節點狀態正常。

 

查看流量信息

 

點擊左側導航條中的 Local Traffic->Pools->Statistics,
可以查看到各 Pool 以及 Pool 的 Members 的狀態，以及流量和連接數的信息。

 

查看系統當前性能參數

點擊左側導航條中的 Overview->Performance，可以查看 Memory，CPU 使用率等信息。

 

 

 

密碼的更改

登錄 bigip 的 WEB 管理界面時需使用 Admin 的用戶名，登錄 bigip 的命令行界面需要使用
root 的用戶名，更改這個兩個用戶名的方法如下：
點擊左側導航條的 SystemPlatform，進入其屬性頁面：

 

在右側的頁面中，可以在 User Administration 中對這兩個用戶名的密碼進行更改。更改完畢
后點擊 Update 即可生效。

 

添加“只讀”權限的管理員帳號

為了避免對 bigip 進行誤操作，建議管理員以“只讀”權限的用戶名進行登錄，建立“只讀”
權限的管理員帳號方法如下：
點擊左側導航條的 SystemUsersCreate:

在該頁面中，
User Name 代表用戶名
Authentication:輸入該用戶登錄時得到的密碼
Web User Role 選擇該用戶登錄時所具有的操作權限.
Administrator:超級用戶
Operator:可以對服務器節點進行 up/down 操作的權限
Guest:完全只讀的權限
No Access:無任何訪問的權限