F5BIGIP操作手册

BOSS2.0 BIG-IP F5配置手册 广州从兴电子开发有限公司二零零七年十二月文档更改历史记录日期版本号描述作者2007-12-27V1.0建立初稿闵亮BIG-IP F5操作指引1 概述BOSS2.0工程采用的负载均衡器型号是BIG-IP3400，采用单核P4 2.8GHz CPU，215M memery ，8个10/100/1000的Ethernet ports，可扩展2个Gigabit fiber ports，1U高度；总共两台做HA热备，做好HA后，当配置完主F5时，可以手动将配置内容直接拷贝给备机，并且当主备配置有不同的时候，在图形界面左上角可以看到同步的提示，非常方便。BOSS2.0典型BIG-IP应用网络拓扑图如下：BIG-IP及Servers位于BOSS2.0中立区位置（详细信息请参考BOSS2.0拓扑图），其中BIG-IP和Servers处于同一个共享局域网络，且Servers的网关指向BIG-IP；通过BIG-IP的网络负载功能，Client端连接Server端的WEB服务器等将获得高性能高冗余的应用访问1.1 连接F5主要有3种方式1.1.1 连接Console控制台使用Console方式连接配置BIGIP需要有以下条件：Windows操作系统的PC一台PC有串口或者USB转串口设备Console线一条使用方法如下：从开始-所有程序-附件-通迅-超级终端，打开超级终端。参数设置如下图：1.1.2 基于Web方式打开浏览器，使用https:/(BIGIP设备的IP地址)，如下图：回车后出现系统警告信息点击Yes然后系统提示输入基于WEB配置的用户名和密码默认用户名和密码均为admin。点击OK，正确后能进入BIGIP的Web界面，类似如下：1.1.3 基于SSH方式使用SSH2客户端，如Secure CRT，或linux下面的ssh命令。以Secure CRT为例，如下图User Name中输入root。下面根据提示输入相应密码即可进入BIGIP系统。然后就进入F5操作系统，是基于linux的2 配置内容2.1 BIG-IP配置步骤BIG-IP主要配置步骤如下(本文主要用于日常维护，所以省去组网时的初始配置)：1. 组网和IP地址/登陆帐号规划2. 更改系统时钟3. 配置网络VLAN和IP地址4. 配置负载均衡池5. 配置虚拟服务器6. 配置SNAT7. 配置双机2.2 BIG-IP接口说明F5 BigIP 设备的面板结构:F5接口槽位号编号遵循由上到下，然后由左到右规则。BIG-IP第一槽位为4端口千兆以太网接口，2槽位为2端口千兆网接口。10/100/1000 interface 多个10/100/1000 M 自适应的网络接口Gigabit fiber interface 多个1000M 多模光纤接口Serial console port 一个串口命令行管理端口Failover port 一个串口冗余状态判断端口Mgmt interface 一个10/10/1000M 管理端口具体如下图：管理网口Console口Failover口八个10/100/1000M接口注：因为BIG-IP的接口与VLAN分配相关，网线连接接口位置不能随意更改，否则可能导致网络无法连接。2.3 状态灯判断BigIP 在正常工作时可以通过状态显示灯判断工作状态,10/100/1000 M 端口连接状态灯, 绿色为连接正常,数字代表连接速率，面板右侧系统状态灯Power 正常情况下为绿色, 为系统工作正常Status 正常情况下的Active 设备为绿色, 而Backup 设备为橙色Activity 在有数据流量通过时闪烁, 无数据流量时定时闪Alarm 为报警系统, 当设备发生Warning一级报警时,此灯会闪桔色提示报警，同时会在液晶面板上提示报警内容，常见的如设备发生切换等。 当设备发生Alert一级报警时，此灯会闪红色提示报警，同时会在液晶面板上提示报警内容，常见的如设备遭到攻击或硬件损坏等。2.4 前面板液晶屏监控F5可通过前面板的液晶屏来查看设备的管理ip地址。通过按左右的箭头即可在液晶屏上查看管理ip地址、Active/Standby状态、主机名、CPU和内存的使用率、当前设备的连接数和设备上的流量等信息。3 基本配置3.1 过液晶面板设置管理网口地址在液晶面板上通过按键按以下顺序设置管理网口的网络地址：Options-System-IP Address/Netmask-Commit3.2 通过管理网口登录WEB管理界面本文档F5的所有配置都在WEB界面完成，非常方便直观 ，文本方式主要用于维护。进入WEB界面后，左边的菜单里共有四栏，分别用来配置不同的信息，Overview ： 可以查看全局的信息，包括链接，端口状态，信息流量等各种维护信息Local Traffic ： 最主要的功能，用来配置Vitrual ServersNetwork ： 配置网络方面的信息，主要有接口IP，路由，Vlan等System ： 用来查看系统相关版本信息，HA配置，SNMP管理，用户管理等常用配置本文档主要用于现有BOSS2.0清河东机房的网络状况3.3 设置platform进入Systemplatform下在此处可设置hostname、root密码、admin密码注：root密码允许用户通过命令行访问BIG-IP系统。建议root密码长度大于6位，但不要超过32位字节。密码与大小写敏感，建议密码中包含大写/小写字母和数字。如果BIG-IP系统为冗余系统，两台主备机的root密码必须保持一致。注：主机名用来标识BIG-IP系统自身。主机名必须符合DNS域名标准。主机部分必须以字母开始，并至少为2个字符。举例：。警告：BIG-IP双机系统的主机名必须不一样，否则配置同步会产生错误，可能导致破坏license。由于BIG-IP 3400应用交换机运行于双机高可用性模式，因此需要在系统通用属性中设置双机：注：其中的Unit ID，对 (hostname for BIG-IP 3400-1)，Unit ID为1；对f5- (hostname for BIG-IP 3400-2)，Unit ID为2。3.4 配置网络 在应用BIG-IP设备之前，需要进行一个基本的网络配置，其中包括划分VLAN，配置接口IP地址和failover地址，设置路由等。基于BOSS2.0已经上线运行，对于网络设备的基本配置不会有太多改变，所以本文档在这块只做一个简单介绍，以帮助读者了解网络结构。下面是网络拓扑图：3.4.1 VLAN配置F5其实相当于一个交换机，只不过在控制信息流方面功能非常强大。在这里划分VLAN的作用主要就是将各种不同功能的端口区分开来，本例划分了 “external”和“fail_over” 两个VLAN。“external”表明进来方向的数据“fail_over”主要用来双机热备点击左侧的导航条，进入NetworkVLANs下图是已经创建好的两个vlan在右侧可以对vlan进行配置。创建方法如下：点击Create：Name:设置这个vlan的名字。如“external”。Tag: 在“Tag”中参照VLAN规划表输入VLAN号，如果不填，系统将自动分配一个VLAN号。Interface:定义Avalilable中显示的端口有选择性的划分到这个vlan中。指定端口后，单击选入Untagged栏即可。如果对选定接口号点击“tagged ”，则该端口为Trunk端口。点击Finished完成。3.4.2 Self IP配置在划分完Vlan后，即可对每个vlan进行IP地址的定义。方法如下：点击左侧导航条中的NetworksSelf IPs下面是本机的配置 点击Creat:IP address：输入IP地址Netmask：输入子网掩码Vlan：选择将这个IP地址绑定在哪个vlan上。选择下拉菜单将显示所有已设置的vlan名。Port Lockdown：保持默认值 Floating IP:如果系统为冗余工作方式，需对每台设备的每个vlan均设置两个IP地址。其中一个是self IP,另一个则为floating IP,即两台设备共用的IP地址。选中此项即代表这个IP地址为Floating IP。点击Finished完成。所以最后可以看见10.243.210.123是浮动地址(也就是Servers的网关)，备机也有一个相同的浮动IP，用于提供对外访问。10.243.210.121可以作为本机的管理地址。另外172.18.100.1是fail_over地址，备机是172.18.100.23.4.3 路由配置点击左侧导航条中的NetworksRoutes可以看到本机的route配置表明本机的默认路由指向静态网关10.243.210.126 ，这是出口交换机的IP在右侧可以对路由进行配置。创建方法如下：点击Add：Type:定义配置的是默认网关还是静态路由。Destination:定义目标网段Netmask:定义目标网段的掩码Resource:定义网关地址点击Finish完成。注：定义网关后需要重启BIG-IP的服务，bigstart restart命令可以手工重启BIG-IP服务进程。3.5 系统时钟更改如果BIG-IP系统时钟与实际时间不符，需要进行更改。注意：1、对于临时License的设备，不要轻易改系统时间，后果是License失效。2、由于修改系统时钟需要重启动，对于正在运行系统而言，要千万小心。2、对于在运行的冗余系统，建议先修改Standby，修改完毕，观察一段时间，再把Active设备切换为Standby后再修改，以保证系统的不间断。4、系统时钟主要用于 F5 日志文件的计时时间。步骤：进入命令行模式，在超级终端执行.date命令格式# date .# date MMDDHHMMYYYY.SS如设置2007年1月1日中午12：00：00# date 010112002007.00保存时间到BIOS# hwclock -systohc重新启动bigip# reboot3.6 双机配置在业务与软件产品中使用BIG-IP系统一般都会配置双机。在配置BIG-IP系统双机（Failover）之前请确认两台BIG-IP系统两者的软件版本必须一致（如BIG-IP Version 9.2.3 34.3），在CLI使用“b version”查看或者在Web页面的导航面板中选择“System”中的“General Properties”标签，查看版本信息。两台BIG-IP的硬件型号不必相同，只要都支持相同的软件版本，并都安装了这个版本即可。无论主用系统还是备机都要进行基本配置。3.6.1 双机设置上面对双机作以下设置：从上图可以看到本机和对端BIG-IP的主failover地址和从failover地址，4. 负载均衡配置 配置负载均衡是F5的主要功能，也是BOSS2.0维护会涉及到的地方，以下将通过一个具体的实例对该部分内容进行详细讲解。请特别注意以下配置顺序，如果错误会导致莫名问题出现，比如配置正确但无法实现功能！功能需求：BOSS2.0需要对外提供WEB服务，现需要在F5上面增加3台WEB server服务器，对外提供一个唯一的服务IP以供访问，各台服务器之间实现负载均衡，并且保证其中一台出现问题后对外服务不会中断4.1 第一步：配置Pool负载均衡Pool是被组合起来接收和处理流量的一组设备，如Web服务器。BIGIP系统将客户机流量请求发送到Pool成员中的任一服务器上，而不是发送到客户机请求指定的目的地IP地址（即下面提到的Virtual Server地址）。当创建负载均衡Pool时，将服务器（称作Pool成员）分配到pool中，然后将pool与BIGIP系统中的Virtual Server相关联。然后，BIP-IP系统将进入Virtual Server中的流量传输到Pool成员。单个服务器可隶属于一个或多个pool，这取决希望如何管理网络流量。配置pool的方法如下：点击左侧导航条中的Local TrafficVirtual ServersPools:然后可以看到界面右面是BOSS2.0所有配置的POOL下面，我们需要新建一个pool，取名“boss_80”,里面有3台成员主机，IP分别是10.243.210.98 ，10.243.210.99 ，10.243.210.100在“name”中输入pool的名字 “boss_80” Health Monitors定义该Pool使用的健康检查机制，这里可以选择默认，比如web服务选择默认的“http”检测机制，也可以自定意在池属性（Properties）中的“Load Balancing Method”表格中选择负载均衡策略，通常采用默认策略：“Round Robin”。在“Resouces”表格中的“Address”文本框输入成员IP地址，在“Service Port”文本框中输入服务端口，点击“add”添加到“Current Members”当前成员列表中。添加所有组成员，点击“Finished”完成配置。下一步配置Virtual Server4.2 第二步：配置Virtual ServerVirtual Server为BIGIP上对外提供服务的地址加上服务端口，每个Virtual Server后对应一个或者多个Pool。BIGIP将从每个Virtual Server接收到的流量分配到一个或多个Pool中，然后按照Pool的负载均衡算法分配到一个或多个真实的服务器上。创建Virtual Server的方法如下：点击左侧导航条中的Local TrafficVirtual Servers:然后可以看到界面右面是BOSS2.0所有配置的Virtual Server点击Create，在General Properties部分，需指定该Virtual server的名称，IP地址及服务端口。新建的Virtual server的名称为boss _80 ，type选择为“host” ，虚拟出一个地址为10.243.210.120 ，这个就是提供给外部访问的地址了，因为是WEB应用，所有服务端口选择为“http”。在下面configuration部分，用户需跟据该Virtual server的类型，选择相应的配置参数。特别注意的，对于http流量或ftp流量，用户必需选择Http profile或Ftp profile。否则这两种virtual server很可能不能正常访问。在Resources部分，用户需对使用的pool及会话保持方式进行定义。因为之前已经建过一个Pool（boss_80），所有在Default Pool中可以选择正确的pool ，Default Persistence Profile里面一般选择cookie方式，这样当某个应用因为timeout或其他原因同服务器断开，重新连接后原来应用仍然存在。添加完毕后，选择Finished即可。4.3 第三步：检查配置配置完负载均衡池、节点监控和虚拟服务器后，我们可以通过“Local traffic-Virtual Servers”页面查看virtual server 的status；“Local traffic-Pool”页面查看pool的状态。当图标为绿色时表示节点或虚拟服务器为“UP”，当图标为红色则意味着节点或虚拟服务器状态为“Down”，如果图标为灰色说明节点或虚拟服务器被禁用。5 运行维护5.1 了解基本信息Systemgeneral里有当前运行的版本号。5.2 系统运行状态监控通过overviewtraffic summary可用看到设备上按照字节、数据包和连接数进行统计的流量数据。通过statistics 界面可以看到BIGIP 是的资源的总信息，如，有多少VS，其中几个是UP 的，几个是DOWN 的，有多少POOL，有几个是UP 的，机个是DOWN的，以及NODE 的信息。5.3 查看双机热备状态F5可通过前面板的指示灯和web页面内的显示来查看当前设备是否处于active或standby状态 前面板的第二个指示灯，也就是status灯，显示绿色表示该设备是active状态；如果status灯为桔黄色，表示该设备是standby状态。 在web页面上的左上角显示了当前设备的状态如下图，但要保证本机支持JAVA一般我们在修改系统配置是，建议在ACTIVE 设备上操作；确认冗余系统的设备是否处于ACTIVE 状态有多种方法，第一：看BIG-IP 的前面板的第二个指示灯 Status，绿色代表ACTIVE，黄色代表Standby。第二：液晶屏上也有显示在ACTIVE 设备上做完配置之后，如果确认无误，点击如下“SynchronizeConfiguration”按钮，即可把本机上的新配置文件同步到对端，如果对端设备故障，更换新设备之后，也可以通过这种方法自动地在对端新设备上生成全套配置。30作者：闵亮如果想对BIG-IP ACTIVE 设备做运维，可以首先点击如下“Force toStandby”按钮，手动把本机设置为Standby 状态，然后再退出系统。由于F5 BIG-IP 冗余系统中，ACTIVE 设备的会话连接表在实时地复制到Standby 设备之上，无论何时，冗余系统中的任何一台设备宕机，都会在200ms 内切换到另一个正常的设备5.4 查看整机的运行状态点击overview 下的performance，可以查看系统运行情况，在上图可以看到当前设备的活动连接数，表明在当前有多少个连接存在。其中新建连接从client端和server端2个方向表明当前设备上的新建连接数。Throughput从client端和server端显示当前设备上的流量。CPU Usage显示设备CPU的使用状况。以上的这些参数也可以通过设备的液晶面板来查看。5.5 查看LOG其中System和Local Traffic LOG是经常需要查看的。System记录发生在BIG-IP系统上基于linux相关的系统事件信息，但并不是对应于特定的BIG-IP系统。System log对应于/var/log/messagesLocal-traffic事件信息对应于特定的local traffic管理系统，也就是相关的流过BIG-IP系统的本地区域流量。对应的文件是/var/log/ltm设备上只保存8天的log信息，ltm文件是当天的内容，ltm.1.gz是前1天的log、 ltm.8.gz是前面第8天的log，如此循环保存。可以使用zcat查看gz文件的内容。5.6 查看接口状态在networkinterface里可用看到物理端口的up/down状态、mac地址、速率和所属vlan等信息。点进具体的接口可以对其进行状态、速率和双工的调整。5.7 用户管理首先，是用户的管理，我们可以自行增加、编辑、删除BIG-IP 的管理员帐号，并设置其各自的权限：只读/读写，管理CLI/WEB 等等。5.8 SNMP管理我们可以设置通过SNMP 把相关信息自动发送到网管工作站上, 包括SNMP 管理和SNMP Trap 的使用, BigIP 支持MIB I, MIB II, PrivateMIB 。在Client Allow List里面添加允许访问的tivoli网管服务器地址，点击Agent选项选择网管适合的版本(一般是V1)，就可以创建一个community了。5.9 备份配置和恢复我们可以在如下界面中备份当前的BIG-IP 配置文件，以及恢复以前保存的配置文件。具体操作如下：进入system的archives页面，选择create可以保存当前配置文件。选择upload可以将本地配置文件传到F5上面，然后再恢复5.10 常用管理命令(SSH)netstat rn显示当前的路由ifconfig a显示系统所有的ip配置信息：b failover 显示当前设备的主备状态b interface 显示所有的端口信息b monitor显示所有的monitor检查信息。b node显示所有的Node节点信息b pool显示所有的pool信息b self 显示所有的SelfIP信息b virtual 显示所有的Virtual Server信息b vlan显示所有的Vlan信息big top查看BIGIP 上各VS、NODE 上的数据流量，总连接数及几秒内的新建连