FBIGIP负载均衡器配置实例与Web管理界面

前言：最近一直在对比测试 F5 BIG-IP和Citrix NetScaler负载均衡器的各项性能，于是写下此篇文章，记录F5 BIG-IP的常见应用配置方法。目前，许多厂商推出了专用于平衡服务器负载的负载均衡器，如F5 Network公司的BIG-IP，Citrix公司的NetScaler F5 BIG-IP LTM的官方名称叫做本地流量管理器，可以做 4-7层负载均衡，具有负载均衡、应用交换、会话交换、状态监控、智能网络地址转换、通 用持续性、响应错误处理、IPv6网关、高级路由、智能端口镜像、SSL加速、智能HTTP压缩、TCP优化、第7层速率整形、内容缓冲、内容转换、连接加速、高速缓存、Cookie加密、选择性内容加密、应用攻击过滤、拒绝服务（DoS）攻击和SYN Flood保护、防火墙一包过滤、包消毒等功能以下是F5 BIG-IP 用作HTTP负载均衡器的主要功能： 、F5 BIG-IP提供12种灵活的算法将所有流量均衡的分配到各个服务器，而面对用户，只是一台虚拟服务器。 、F5 BIG-IP可以确认应用程序能否对请求返回对应的数据。假如F5 BIG-IP后面的某一台服务器发生服务停止、死机等故障,F5会检查出来并将该服务器标识为宕机，从而不将用户的访问请求传送到该台发生故障的服务器上。这样，只要其它的服务器正常， 用户的访问就不会受到影响。宕机一旦修复，F5 BIG-IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。 、F5 BIG-IP具有动态Session的会话保持功能。、F5 BIG-IP的iRules功能可以做HTTP内容过滤，根据不同的域名、URL,将访问请求传送到不同的服务器。F面，结合实例，配置 F5 BIG-IP LTM网口接外网交换机F5 EIG-IP LTM常见应用架构图1胡口接内网交换机注gh如G勰务器也按在內网交换机上3. L管理同口岀厂IfAhttpEy/lflZ 1G6.1.245MhttpE：/lK.16fi.245.245电Ul孑b丄百eLjS. zorpooL_ apache默认洌关指帥5/访问互联巩 对外发邮件192. 1.1.21 就认 1Q2. 165. 1.22I符合】Rul磐规则192.1&9.1.23ji o ol_ap a.eLe irule z四层负戴均衝F5 E1C-IP矗b管理入口Mips 7/61. 1 12-192J6S L2 F屋VLAJJ : i n-ternaljlipT6i_f II 嘶Jivuw ht：UPQfll_5qui d1?2. 16. 1.24七层负载均營= 1. 163. 1.3 陲披服务器；vs_sp*ch)T11 192 1&e i ii192 IBS1 r歎认网关挎1111*向F5S qlii di命中 j 诰求后端如hIle1 12 、如图，假设域名被解析到 F5的外网/公网虚拟IP :(vs_squid)，该虚拟IP下有一个服务器池(pool_squid )，该服务器池 下包含两台真实的Squid服务器(和)。 、如果Squid缓存未命中，则会请求F5的内网虚拟IP: (vs_apache )，该虚拟IP下有一个默认服务器池(pool_apache_default)， 该服务器池下包含两台真实的 Apache服务器(和)，当该虚拟IP匹配iRules规则时，则会访问另外一个服务器池(pool_apache_irules)， 该服务器池下同样包含两台真实的 Apache服务器(和)。 、另外，所有真实服务器的默认网关指向F5的自身内网IP，即。 、所有的真实服务器通过 SNAT IP地址访问互联网。详细配置步骤：一、登录到F5 BIG-IP 管理界面：1、初次使用： 、打开F5 BIG-IP电源，用一根网线(直连线和交叉线均可)连接 F5 BIG-IP的管理网口和笔记本电脑的网口，将笔记本电脑的 IP地址配置为，子网掩码配置为。 、用浏览器访问F5 BIG-IP的出厂默认管理IP地址或 、输入出厂默认用户名：admin，密码：admin 、点击Activate进入F5 BIG-IP License申请与激活页面，激活 License。 、修改默认管理密码。2、以后登录:通过F5 BIG-IP的自身外网IP登录 、假设设置的F5自身外网IP为，就可以通过登录。 、还可以通过SSH登录，用户名为root，密码跟 Web管理的密码相同二、创建两个 VLAN : internal 和external ，分别表示内网和外网。创建VLAN演示页面： VLAN列表演示页面：1、创建 VLAN : internal （内网）在 “ Networks VLANs 页面点击 “ create 按钮： 、Name栏填写：internal （填一个英文名称） 、Tag栏填写：4093 （填一个数字） 、In terfaces栏：将Available列的“拉到Un tagged列。表示F5 BIG-IP的第一块网卡。2、创建 VLAN : external （外网）在 “ Networks VLANs 页面点击 “ create按 钮创建 VLAN： 、Name栏填写：internal （填一个英文名称） 、Tag栏填写：4094 （填一个数字） 、In terfaces栏：将Available列的“拉到Un tagged列。表示F5 BIG-IP的第二块网卡。三、创建F5 BIG-IP 的自身IP:分别对应internal （内网）和external（外网）。创建自身IP演示页面：1、创建自身内网IP :在 “ Networks Self IPs 页面点击 “ create 按钮： 、IP Address栏填写：（填内网IP地址） 、Netmask栏填写：（填内网子网掩码） 、VLAN 栏选择：internal 、Port Lockdown 栏选择：Allow Default （默认值）2、创建自身外网IP :在 “NetworkSelf IPs 页面点击 “create按钮： 、IP Address栏填写：（填外网IP地址） 、Netmask栏填写：（填外网子网掩码） 、VLAN 栏选择：external、Port Lockdown 栏选择：Allow Default （默认值）四、创建默认网关路由创建默认网关路由演示页面：1、创建默认网关路由在 “ Networks Routes”页面点击 “ create按钮： 、Type 栏选择：Default Gateway （默认值）IP为外网网关地址） 、Resource栏选择：Use Gateeay，在其后的输入框填写网关IP地址：（这里假设此五、创建服务器自定义健康检查创建服务器自定义健康检查演示页面:1、创建自定义 HTTP健康检查：monitor_http在 “Local TrafficMonitors 页面点击 “create按钮：、Name栏填写：monitor_http （填一个英文名称） 、Type栏选择：HTTP 、Import Settings 栏选择：HTTP 、Interval栏填写：5 （表示每5秒钟进行一次健康检查） 、Timeout栏填写：16 （表示健康检查的连接超时时间为16秒） 、Send String栏填写：GET / （也可以根据自己的需求发送其他方法的请求，例如HEAD /或者GET /） 、Receive String栏填写：（填写对应的返回字符串，默认不填写）六、创建服务器池（pool）创建服务器池演示页面：1、创建Squid服务器池：pool_squid在 “Local TrafficPools页面点击 “create按钮： 、Name栏填写：pool_squid （填一个英文名称）、Health Monitors栏：将第四步创建的自定义 HTTP健康检查“monitor_http 由 Available列拉到Active列 、Load Balancing Method栏选择：Round Robin （这里选择的负载均衡方式是轮询，也可以选择其他方式） 、New Members栏：先选择 New Address，再添加两台Squid服务器的IP地址、以及它们的端口 802、创建第一组 Apache 服务器池：pool_apache_default在 “Local TrafficPools页面点击 “create按钮： 、Name栏填写：pool_apache_default （填一个英文名称） 、Health Monitors栏：将第四步创建的自定义 HTTP健康检查“monitor_http 由 Available列拉到Active列 、Load Balancing Method栏选择：Round Robin （这里选择的负载均衡方式是轮询，也可以选择其他方式）80 、New Members栏：先选择New Address，再添加第一组两台 Apache服务器的IP地址、以及它们的端口3、创建第二组 Apache 服务器池：pool_apache_irules在 “Local TrafficPools页面点击 “create按钮： 、Name栏填写：pool_apache_irules （填一个英文名称） 、Health Monitors栏：将第四步创建的自定义 HTTP健康检查“monitor_http 由 Available列拉到Active列、Load Balancing Method栏选择：Round Robin （这里选择的负载均衡方式是轮询，也可以选择其他方式） 、New Members栏：先选择New Address，再添加第二组两台 Apache服务器的IP地址、以及它们的端口 80七、创建供七层负载均衡使用的 Profiles配置创建Profiles演示页面：1、创建 Profiles 配置：profile_http在 “Local TrafficProfiles 页面点击 “create按钮： 、Name栏填写：profile_http （填一个英文名称） 、Pare nt Profile 栏选择：HTTP 、Insert XForwarded For栏：如果需要，可以选中方框，选择Enable （在Header头中插入x-forwarded-for标记，以便做七层负载均衡时能够获取用户真实IP，本文中Squid服务器开启了 follow_x_forwarded_for allow all ，因此F5无需设置此项）注：在此设置页面中，还有压缩等优化功能，可以根据需要进行设置。八、创建iRules规则创建iRules规则演示页面:1、创建 iRules 规则：irules_apache在 “Local TrafficProfiles 页面点击 “create按钮： 、Name栏填写：irules_apache （填一个英文名称） 、Definition栏填写以下脚本，将访问的域名为“访问的网址以“.htm结尾，或者以“/开头的请求全部转到服务器池pool_apache_irules:”1.whe n HTTP_REQUEST 2.if HTTP:host equalsand HTTP:uri ends_with.htm 3.pool pool_apache_irules4.5.elseif HTTP:host equalsand HTTP:uri starts_with/ 6.pool pool_apache_irules7.8.创建虚拟服务器演示页面:1、以 四层”负载均衡模式创建Squid虚拟服务器：vs_squid 在 “Local TrafficVirtual Servers 页面点击 “create按钮：、General Properties 大类下： 、Name栏填写：vs_squid （填一个英文名称） 、Dest in ation栏：选择Host，填写Squid服务器的外网虚拟IP （Virtual IP，简称VIP）： 、Service Port 栏填写：80、Configuration 大类下： 、Configuration栏选择：Advaneed （选择高级模式，这一步很重要） 、Type 栏选择： Performanee （Layer 4） 、SNAT Pool栏选择：None （注意：这一步很重要，四层模式下，请确保此项选择为None）、Resources大类下：、Default Pool 栏选择：pool_squid注意：F5的四层负载均衡由硬件芯片处理，不消耗 CPU资源，能够处理更大的访问量。在四层负载均衡模式下，真实服务器的默 认网关必须指向F5的自身内网IP，即2、以 七层”负载均衡模式创建Apache虚拟服务器：vs_apache在 “Local TrafficVirtual Servers 页面点击 “create按钮：、General Properties 大类下： 、Name栏填写：vs_apache （填一个英文名称） 、Dest in ation栏：选择Host，填写Apache服务器的内网虚拟IP （Virtual IP，简称VIP）： 、Service Port 栏填写：80、Configuration 大类下：Configuration栏选择：Advaneed （选择高级模式，这一步很重要）、Type栏选择：Standard （标准模式，即七层负载均衡模式） 、HTTP Profile栏选择：profile_http （注意：此项为None时，不能使用iRules规则，因此必须选一个。在此选择第六步创建 的 profile_http） 、SNAT Pool栏选择：Auto Map （注意：在本文的架构中必须选择，原因如下）说明：当其中的一台Squid服务器 缓存未命中时，会去访问虚拟IP。如果SNAT Pool选择默认值None,虚拟IP后端的Apache 服务器，看到的将是Squid服务器的真实IP。由于Squid和Apache服务器的IP地址属于在同一网段，Apache服务器将无需经过F5 网关：直接通过交换机回包给 Squid服务器，这样虚拟IP就会收不到回包信息，HTTP请求无法完成。因此，需要选择 Auto Map， 进行地址转换，让后端 Apache服务器看到的是F5的自身内网IP，回包给F5。、Resources大类下： 、iRules栏：将 Available 列的 “irules_apache拉到 Enabled 列。 、Default Pool 栏选择：pool_apache_default、Apache虚拟服务器vs_apache创建完成后，如需进行修改，在以下两个配置页完成：修改虚拟服务器演示页面1:修改虚拟服务器演示页面2:十、创建SNAT安全网络地址转换，让真实服务器能够访问互联网、对外发邮件创建SNAT演示页面：1、创建 SNAT : snat_all_server在 “Local TrafficSNATs 页面点击 “create按钮： 、Name栏填写：snat_all_server （填一个英文名称） 、Tran slation栏选择：IP Address，并填写SNAT IP地址：（此项也可以选择 Automap，使用F5的自身外网IP作为SNAT IP） 、Origin 栏选择：Address List 、Address List栏：Type栏选择host，填写要访问互联网、对外发邮件的内网IP地址。或者Type栏选择Network，填写要访问互联网、对外发邮件的网段和子网掩码。 、VLAN Traffic 栏选择：Enabled on. 、VLAN List栏：将 Available 列的 “internal拉到 Selected 列。注意：真实服务器的默认网关需要指向F5的自身内网IP，即，才能通过SNAT访问互联网、对外发邮件