1,首先管理地址

https://192.168.1.245

用户名和密码都为admin

 

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

 

2, 执行 date 检查系统时钟。

[root@ZJHZ-PS-MMS3-SW02:Active] config # date
Thu May 25 16:59:15 CST 2006
命令格式
# date <month><day><hour><minute><year>.<second>
        月     日    小时    分钟   年份     秒

# date MMDDHHMMYYYY.SS
如设置 200911 日中午 120000
# date 010112002009.00
保存时间到 BIOS
# hwclock –systohc

 

3,设置缺省管理策略

在命令行运行 b base list 命令,检查初始化设置。
如果 b base list 的输出已经有 self allow { default tcp ssh tcp https udp efs tcp snmp proto ospf 
udp domain udp snmp tcp 4353 tcp domain udp 4353 }

如果在 b base list 的输出中发现有 self allow { default none }一行,则运行以下两条命令:
b self allow { default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 
tcp domain udp 4353 }

b base save


所后用命令 more /config/bigip_base.conf 查看 bigip_base.conf 文件确认 self allow { default tcp 
ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 }
已经保存到文件中。
2.5.4 重新启动 bigip
# reboot

 

初始化设置

2.5.1   BIG-IP 1 上的平台(Platform)通用属性设置
进入 SystemPlatform

F5学习笔记 随笔 第1张

 

注:主机名用来标识 BIG-IP 系统自身。主机名必须符合 DNS 域名标准。主机部分必须以字母开始,并至少为2个字符。举例:f5-1.colorring.net

警告:BIG-IP 双机系统的主机名必须不一样,否则配置同步会产生错误,可能导致破坏license

例如负载均衡器BIG-IP1的主机名为ISMG-LB01-F5,BIG-IP2的主机名为ISMG-LB02-F5

 

 

配置网络层

划分vlan

点击左侧的导航条,进入 NetworkVLANS,在右侧可以对 vlan 进行配置。创建方法如下:
点击 create:

F5学习笔记 随笔 第2张

 

Name:设置这个 vlan 的名字。
Tag:为相应 VLAN 的 VLAN ID
Interface:定义 Available 中显示的端口有选择性的划分到这个 vlan 中。指定端口后,单击<<箭头,选入 Untagged 栏即可。
点击Finished 完成。

 

 

F5学习笔记 随笔 第3张

 

注:external, ,internal 为业务流量 VLAN。VLAN ID 应与网络规划中的 VLAN 一致。
注:netfailover VLAN 的 1.4 端口为双机网络心跳接口,网络心跳信号及双机配置同步信息都是通过这一网线传输,因此要用网线将双机的 1.4 口对连起来。VLAN ID 4094 为 BIG-IP自动生成的。(也可以指定)。
注:将 1.7 和 1.8 端口加入到 external VLAN 和 internal VLAN 主要是为了有时候可以将笔记本接在相应 VLAN 进行测试,而不受 BIG-IP 与交换机之间网络连接的影响。

 

 

定义 IP 地址

在划分完 Vlan 后,即可对每个 vlan 进行 IP 地址的定义。方法如下:
点击左侧导航条中的 Networks—>self Ips

F5学习笔记 随笔 第4张

在右侧可以对 Ip 地址进行配置。创建方法如下:
点击 Create:

F5学习笔记 随笔 第5张

 

 

IP address:输入 IP 地址
Netmask:输入子网掩码
Vlan:选择将这个 IP 地址绑定在哪个 vlan 上。选择下拉菜单将显示所有已设置的 vlan 名。
Port Lockdown:保持默认值 Allow Default。
Floating IP:如果系统为冗余工作方式,需对每台设备的每个 vlan 均设置两个 IP 地址。其中
一个是 self IP,另一个则为 floating IP,即两台设备共用的 IP 地址。选中此项即代表这个 IP 地
址为 Floating IP

 

 

 网络地址规划如下

F5学习笔记 随笔 第6张

 

 

F5学习笔记 随笔 第7张

 

 

配置路由

点击左侧导航条中的 Networks—>RoutesAdd 对路由进行配置

F5学习笔记 随笔 第8张

 

Type:定义配置的是默认网关还是静态路由。
Destination:定义目标网段
Netmask:定义目标网段的掩码
Resource:定义网关地址
点击Finished 完成

 

 

 

 

配置双机设置(High Availability)

High Availability 就是双机冗余(Cluster),要求两台 BIGIP 的版本相同。配置方法如下

配置 Redundant Pair 的 IP 地址

首先,确认 BIG-IP 已经转换为双机模式。
在 WEB 页面的左侧导航条选择 SYSTEMPlatform

F5学习笔记 随笔 第9张

 

把 Hith Availability 设置中应选择为 Redundant Pair 模式。
其中 BIG-IP1 的 Unit ID 为 1,BIG-IP2 的 Unit ID 为 2。
然后,在 WEB 页面的左侧导航条选择 SYSTEMHith Availability:
BIG-IP1 的设置如下:

F5学习笔记 随笔 第10张

 

BIG-IP2 的设置如下

F5学习笔记 随笔 第11张

 

Primary Failover Address 输入两台 BIGIP 的 Netfailover VLAN Self IP 地址:
BIG-IP1 的 Self IP 为 192.168.6.1, Peer IP 为 192.168.6.2;
BIG-IP1 的 Self IP 为 192.168.6.2, Peer IP 为 192.168.6.1;
Secondary Failover Address 输入两台 BIGIP 的 Internal VLAN Self IP 地址。
BIG-IP1 的 Self IP 为 192.168.20.1, Peer IP 为 192.168.20.2;
BIG-IP1 的 Self IP 为 192.168.20.2, Peer IP 为 192.168.20.1;
Redundancy Mode 选择 Active/Standby 模式
并 Enable Network Failover 选项。
其他参数保持默认值

 

 

 

  配置双机自动切换机制 FailSafe 配置

 

Failsafe 设置在满足某些条件的时候,触发 BIGIP 发生切换。根据彩铃 5 期的要求,配置了
VLANs 的 FailSafe 配置,当处于 Active 状态的 BIGIP 的 internal 和 external 两个 VALN 在设

定的时间内没有任何流量,自动切换到备机。

 

警告:在没有完成 External VLAN 和 Internal VLAN 的网络接线之前,不要启用自动切换机

 

 

 

对 External VLAN 和 Internal VLAN 启用基于 VLAN 监控的自动切换机制,步骤如下:在
WEB 页面的左面导航界面选择:SYSTEM High AvailabilityFail-safe

F5学习笔记 随笔 第12张

 

F5学习笔记 随笔 第13张

 

VLAN:选择监控的 VLAN
Timeout :默认值是 90 秒,一般改为 30 秒
其中 Action 选用 Fail Over 方式,而不是缺省的 Reboot 方式。
设置完后,结果如下:

 

F5学习笔记 随笔 第14张

 

 

配置服务器负载均衡

注:服务器负载均衡器的设置只需要在一台 BIG-IP1 上进行设置,设置好以后,可以通过双
机配置同步的方式将配置更新到 BIG-IP2 上。

 

 

 

在设置好基础网络,即可对实现服务器负载均衡进行配置。主要涉及以下几个方面:

Monitor(不一定需要设,有时候可以采用系统自带Monitor)Monitor跟踪Pool成员的当前状态或者性能
Profile(不一定需要设,有时候可以采用系统自带Profile)Profile包含定义Virtual Server行为的设置。

负载均衡Pool  
负载均衡Pool包含可以将请求发送到其中进行处理的服务器。
iRules 
负载均衡控制规则。
Virtual Server
Virtual Server接收客户端的访问请求,然后将请求分发给被负载均衡的服务器上。
SNAT  
在负载均衡器内部的服务器主动向外发起访问时,在负载均衡器上所做的地址映射。

 

 

配置 Monitor

Monitor 可以实现对服务器实施健康检查。以确定服务器是否可以对外提供服务

注:目前并不存在着故障服务器进行切换的需求,只是需要根据客户端源地址来选择服务器,
因此并不需要对服务器进行监控。以下只是用于说明服务器状态检查的配置方式。可以直接
进入到下一步骤。

 

如果需要对检查方法的属性进行定制,以下以定制 TCP 端口检查为例,方法如下:点
击左侧导航条中的 Local TrafficMonitorCreate,在 General Properties 中选择 TCP

 

F5学习笔记 随笔 第15张

 

F5学习笔记 随笔 第16张

在 General Properties 中输入你要建立的健康检查方式的名字,可以按需要设置好 Interval 和
Timeout 的时间。最后点击 Finished。

 

 配置 Profile

Profile 定义的 Virtual Server 的属性集合。
需要对 Virtual Server 上的连接闲置时间进行设置,因此需要创建一个 ismg_fastl4 的 profile,方
法如下:
由 Local Traffic ManageProfileFast L4 Profile,选择创建

F5学习笔记 随笔 第17张

 

配置负载均衡 Pool

负载均衡Pool是您组合起来接收和处理流量的一组设备,如Web服务器。BIGIP系统将客户机
发往Virtual Server的请求发送到Pool成员中的任一服务器上。
当创建负载均衡Pool时,将服务器(称作Pool成员)分配到pool中,然后将pool与BIGIP系
统中的Virtual Server相关联。然后,BIPIP系统将进入Virtual Server中的流量传输到Pool
成员。
单个服务器可隶属于一个或多个pool,这取决于您希望如何管理您的网络流量。
创建pool的方法如下:
点击左侧导航条中的 Local TrafficVirtual ServerspoolsCreate:

 

F5学习笔记 随笔 第18张

输入 pool 的名字,并指定该 pool 中的 member 成员的 IP 地址及 service port,并指定对 Pool
成员的健康检查方法,然后点击 即可。
接照 SMS 的情况,定义 pool 及相应的 member 成员如下:
pool POOL_ISMG{
member 192.168.20.1:0
member 192.168.30.1:0
}

 

注:192.168.20.1 为与负载均衡器在同一个机房一的服务器,而 192.168.30.1 为在机房二的
服务器,两台服务器不在同一网段。由于 192.168.30.1 与负载均衡器不在同一个网段,需要
在负载均衡器 NetworkRoute 设置中增加一条静态路由,即到 192.168.30.1 的数据包的下
一跳指向机房一第二层防火墙的 Untrust 区的共享地址。

 

 

 

 

 

 

 

创建 iRule 负载均衡控制规则以根据源地址选择服务器

先要创建两个 Data Group,将 SP 的源地址分别放在这两个 Data Group 中,以进行源地址匹
配来选择 ISMG 服务器。
创建 Data Group 的方法如下:
在 Local TrafficiRuleData Group 中选择 Create:

F5学习笔记 随笔 第19张

 

F5学习笔记 随笔 第20张

 

将源地址加入。
然后定义 Data Group 与服务器的对应关系:
在 Local TrafficiRule 中选择 Create:创建一个 select_ismg 的 iRule:

F5学习笔记 随笔 第21张

 

when CLIENT_ACCEPTED {
 if { [matchclass [IP::client_addr] equals $::sp1_class] } { 
node 192.168.20.1
 } elseif { [matchclass [IP::client_addr] equals $::sp2_class] } {
node 192.168.30.2
 } else { drop }
}

 

 

上述规则的含义是如果源地址在定义的 sp1_class 的 data group 中,则选择服务器
192.168.20.1,如果在 sp2_class 的 data group 中,则选择 192.168.30.1。如果源地址不在这两
个 Data Group 中,则拒绝访问。

 

建立 Virtual server,实现对服务器的负载均衡

Virtual Server是BIG-IP®本地流量管理(LTM)配置中最重要的组件。BIG-IP收到到Virtual
Server的客户请求后,以地址转换的方式,将客户端的请求发送到Virtual Server相应Pool中的
某个成员服务器上。Virtual Server可提高用于处理客户机请求的资源的可用性。
创建 Virtual Server 的方法如下:
点击左侧导航条中的 Local TrafficVirtual ServersCreate:

F5学习笔记 随笔 第22张

 

在 General Properties 部分,需指定该 Virtual server 的名称,IP 地址及服务端口。

F5学习笔记 随笔 第23张

在 Configuration 部分,用户需跟据该 Virtual server 的类型,选择相应的配置参数。

 

注:对于http流量或ftp流量,用户必需选择Http profile或Ftp profile,否则这两种virtual server
将不能正常访问。

 

对于服务器负载均衡,需要创建一个 vip_ismg 的虚拟务器,将会采用 Performance Layer4 的
类型,并选择上面创建的 ismg_fastl4 profiel:

F5学习笔记 随笔 第24张

 

 

而协议(Protocol)则要根据虚拟服务器的类型选择是 All Protocols。


在 Virtual Server 的 Resources 定义部分,Default Pool 选择 Virtual Server 所对应的 Server Pool,
及 iRule:

F5学习笔记 随笔 第25张

 

注:Status 为绿色,表示该 Virtual Server 对应的 Pool 中至少有一台服务器可用,红色表示
没有一台服务器可用,蓝色表示服务器的状态未知(可能没有对 Pool 设置健康检查方法,或
正在对服务器状态进行检查。)

其中的 Virtual Server 根据实际情况进行添加。

 

 

设置 SNAT

SNAT 是一个将原始IP 地址(也就是源IP 地址)映射到您所选择的转换地址的对象。
因此,SNAT 会让LTM 系统将入站数据包的源IP 地址转换为您指定的地址。SNAT 的目的
非常简单,即:确保负载均衡器内网的服务器主动向负载均衡器外部的网络进行访问时,地
址会转换为外网可路由的地址。
创建方法如下:
先修改系统的 General Properties->Local Traffic:

F5学习笔记 随笔 第26张

 

将 SNA Packet Forwarding 设置由 TCP and UDP Only 改为 All Traffic,使 SNAT 不仅支持 TCP
与 UDP 包的地址转换,不可以支持 ICMP 的地址转换。

注:如果不改为 All Traffic,将无法由 Internal VLAN Ping 通外网地址。

 

点击左侧导航条中的 Local TrafficSNATsCreate:

F5学习笔记 随笔 第27张

为该 SNAT 设置一个名称,并在 Translation 中输入转换后的 IP 地址,点击 Origin 的下拉菜
单,选择 IP address list

 

F5学习笔记 随笔 第28张

 

在 address 中输入 IP 地址点击 ADD 进行添加。输入完毕后,点击 Finished 即可。
要将服务器的地址都转成 Virtual Server 的地址,因此一个设置好的 SNAT 的属性如下

F5学习笔记 随笔 第29张

这个设置将对所有主动由服务器发往 SP 的数据包进行地址转换,转换成 10.10.3.108。

F5学习笔记 随笔 第30张

此外,还要选取 Translation 修改 SNAT 地址的 Idle TimeOut 值。例如对 10.10.3.108,点击右
侧 Translation 地址:

 

F5学习笔记 随笔 第31张

 

在 SNAT Address 的 TCP idle Timeout 的选项选择 Specify,输入 Timeout 的参数,一般改为
3600。而对 UDP 和 IP 的 Idle Timeout 值可以不需要设定,采用缺省值。

 

两台 BIGIP 配置同步

BIGIP 的配置信息,除了 Network 的配置(例如:VLAN,IP 等),其他的配置可以通
过 ConfigSync 同步,步骤如下:
进入 SystemHigh AvailabilityConfigsync 页面:

F5学习笔记 随笔 第32张

 

Synchronize TO Peer: 把本地的配置同步到对方
Synchronize FROM Peer: 把另外一台 BIGIP 的配置同步到本地。成功的配置同步后的信
息如下

F5学习笔记 随笔 第33张

 

备份配置

在完成上述配置,并顺利完成同步以后,请尽快将配置备份出来。
备份方法如下:
进入 SystemArchives,点击 Create:

F5学习笔记 随笔 第34张

 

配置备份好后,点击设配置文件并下载到外部电脑上:

 

F5学习笔记 随笔 第35张

 

 三、系统运行状态检查及维护

检查系统日志信息:

F5学习笔记 随笔 第36张

 

 

F5学习笔记 随笔 第37张

选取 Local Traffic 查看 Pool Member 的状态变化信息。
可以点击 TimeStamp 选择日志信息排列的时序。

 

检查 Node 状态

点击左侧导航条中的 Local Traffic->Nodes

F5学习笔记 随笔 第38张

图中绿色状态表示节点状态正常。

 

查看流量信息

 

点击左侧导航条中的 Local Traffic->Pools->Statistics,
可以查看到各 Pool 以及 Pool 的 Members 的状态,以及流量和连接数的信息。
F5学习笔记 随笔 第39张

 

查看系统当前性能参数

点击左侧导航条中的 Overview->Performance,可以查看 Memory,CPU 使用率等信息。

 F5学习笔记 随笔 第40张

 

 

密码的更改

登录 bigip 的 WEB 管理界面时需使用 Admin 的用户名,登录 bigip 的命令行界面需要使用
root 的用户名,更改这个两个用户名的方法如下:
点击左侧导航条的 SystemPlatform,进入其属性页面:

F5学习笔记 随笔 第41张

 

在右侧的页面中,可以在 User Administration 中对这两个用户名的密码进行更改。更改完毕
后点击 Update 即可生效。

 

添加“只读”权限的管理员帐号

为了避免对 bigip 进行误操作,建议管理员以“只读”权限的用户名进行登录,建立“只读”
权限的管理员帐号方法如下:
点击左侧导航条的 SystemUsersCreate:

F5学习笔记 随笔 第42张

在该页面中,
User Name 代表用户名
Authentication:输入该用户登录时得到的密码
Web User Role 选择该用户登录时所具有的操作权限.
Administrator:超级用户
Operator:可以对服务器节点进行 up/down 操作的权限
Guest:完全只读的权限
No Access:无任何访问的权限

 

扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄