入门售后f5bigipv9基本设定sop

1、F5 BigIP V9 基本 SOPF5 BigIP V9Basic Config SOPShanghai Digital Cheng LeiF5 安装实施手册第 50 页共 50 页目录一、网络状况和拓扑31. 地址规划、连接和基本配置统计41.1 地址规划：41.2 路由配置414 虚拟服务器（VS）设置统计4二、实施步骤和操作过程6第一步 上架、上电和连接网线6第二步 初始化7第三步 BIG IP 的网络层：即 Network 配置过程81. 配置 Vlan82. 配置 VLAN 地址，即 Self IP93. 配置路由12第四步 BIG IP 的应用层：即 Local traffic

2、配置过程131. 配置 Node132. 配置 Monitor143. 配置 Class174. 配置 SNAT195. 配置 Pool ( outbound )216. 配置 Virtual Server ( outbound).247. 配置 rules308. 配置 Pool ( Inbound)329. 配置 Vitrual Server( Inbound)35第六步 BIG IP HA 配置过程391. 配置系统时间392. 配置工作模式393. 配置 redundancy mode414. 配置 Failsafe425. 同步配置446. HA 的确认45三、管理和维护461. 登

3、陆账号管理462. 系统备份和恢复473. Platform 管理50一、 网络状况和拓扑1. 地址规划、 连接和基本配置 统计1.1 地址规划：名VLAN nameIP address端口备注A.FInternalA.FInternalFloating IPA.FExternal_1A.FExternal_1Floating IPA.FExternal_2A.FExternal_2Floating IPA.FHA_SyncBInternalB.FInternalFloating IPB.FExternal_1B.FExternal_1Floating IPB.FExternal

4、_2B.FExternal_2Floating IPB.FHA_Sync1.2 路由配置如图：14 虚拟服务器（VS）设置统计序号公 网 地 址（External1）对应内部地址对应服务器1234567891011序号公 网 地 址（External2）对应内部地址对应服务器123456789二、 实施步骤和操作过程下面就详细 BIG IP6800 初始化和具体配置实施的过程。第一步 上架、上电和连接网线1、 准备螺丝刀，上架螺丝，网线等，将上架；2、 连接好电源线，打开电源开关，打开 BIG IP3400 的前面板，打开上的电源开关按钮，然后按面板上标有对号标记的按钮开机；当需

5、要对关机时：先 ssh 或者 console 连接到该上，敲入 halt，停止系统运行， 如下图，当 System halted 后，长按面板上的标有 X 号的按钮即可关机。第二步 初始化1. 配置 BIG-IP 的准备工作： 网络管理终端一台；F5 的 Console Cable 一根；交叉网线一根，通过管理口需要用交叉线连接（通过配置其它端口登陆时，BIG IP 的端口是自适应正反线的）；超级终端（推荐使用 secure CRT）； SSH 客户端 （推荐使用 secure CRT）；支持 HTTPS 的浏览器，IE 即可；2. 连接到 BIG-IP：你可以使用超级终端或 SSH 方式进入

6、到 BIG-IP 令行界面，当然也可以使用 HTTPS 连接到 BIG-IP 的图形界面。最新 V9 版本可以通过图形界面完成所有的配置，console 下面不需要进行任何配置，这里只是一下如何登陆使用超级终端建立接，通过 Console 电缆一端连接 BIGIP，一端连接终端的Com 端口，超级终端的参数设置如图：推荐使用 VT100 终端模式连接 BIG-IP。由于中文 Windows 的超级终端 Bug，可能不支持方向键输入，所以推荐使用其他超级终端，例如 SecureCRT。你也可以使用 SSH 客户端连接到 BIG-IP，当然前提是你已经知道 BIG-IP 的管理地址并将你的终端设置

7、为该网段地址。 推荐使用 secureCRT 连接到 BIG-IP,命令行的默认用户/是 root / default，可以通过 web 登陆后进行修改。当你知道 BIG-IP 的管理地址时，就可以使用浏览器通过 进入图形界面管理，一台新的 BIGIP 默认的管理地址是 45/24，可以通过液晶显示旁边的按钮对管理地址进行配置，默认的用户名是 admin/admin，可以通过 web 登陆后修改。第三步 BIG IP 的网络层：即 Network 配置过程Network 目录下面主要进行网络层即二三层的配置，端口、VLAN、Spanning tree、Trunks、路由、

8、地址和 ARP 等配置。由于做 HA，Traffic 目录下的配置可以进行同步，不过 Network 和 System 目录下的配置不能进行同步，需要登陆到两台上分别进行配置。1. 配置 Vlan进入 NetWork>Vlan 菜单目录下可以对 Vlan 进行设置，添加和删除，此处定义了四个 Vlan：F5_FW，External_1，External_2，HA_Sync；如图：Vlan internal 的设置，端口为 1.5,1.6Vlan External_1 的设置，端口为 1.3, 1.4；Vlan External_2 的设置，端口为 1.1, 1.2；Vlan HA_Syn

9、c 的设置，端口为 1.8 ；2. 配置 VLAN 地址，即 Self IP在 Network 的 Self IP 目录下可以对 Vlan 地址进行设置，由于两台做 HA，因此在每台的每个 Vlan 上需要配置两个地址，一个为的实际地址，一个为 HA 的 Floating IP，作为对内和对外的网关，以 Vlan Internal 为例：A. 上的 InternalVlan 的 Floating IP 为 ，实际地址为 ；B. 上的 Internal Vlan 的 Floating IP 为 ，实际地址为 192.1

10、68.255.3。从下系列图中可以清晰的看出，配置 Floating IP 只需要在 Floating IP 选项后面打勾并选择 unit ID 就可以了，其他的与普通的 Vlan IP 配置一样。下图为两台上每个 Vlan 的地址配置过程，另外的 Vlan 的地址配置过程一样。具体地址规划如下图：名VLAN nameIP address端口备注A.FF5_FWA.FF5_FWFloating IPA.FExternal_1A.FExternal_1Floating IPA.FExternal_2A.FExternal_2Floating IPA.FHA_Sync1.8B.FF5

11、_FWB.FF5_FWlFloating IPB.FExternal_1B.FExternal_1Floating IPB.FExternal_2B.FExternal_2Floating IPB.FHA_Sync1.8下图为 A.F 的 F5_FWvlan 的 self ip 的配置：下图为 A.F 的 floating ip 的配置：两台的其他 VLAN ( External_1,External_2,HA )的地址配置一样，按照上面的地址规划表进行配置即可。A.B .com 的 ip 地址配置完成后如下图：B.F 的 ip 地址配置完成后如下图：3. 配置路由在 Netwo

12、rRoutes 目录下配置静态路由，如下图，默认路由的网关为 out_default_gw。两台的配置都一样，此处仅以一台为例。下图即为配置完成后的界面，要添加新的路由，Add 即可。配置默认路由默认网关为 out_default_gw，指向两个 ISP Router 地址：路由配置完成后，可以在 Network 的 Routes 目录里面进行查看和修改，如下图所示， 如果要修改某条路由的话，点击即可，如果要删除的话，选中点击 Delete 即可：第四步 BIG IP 的应用层：即 Local traffic 配置过程Local traffic 目录下的配置是可以在 HA 配置完成后从一台同步

13、到另外一台上的，因此只需要在其中一台上进行配置即可。Local traffic 下需要配置 node、monitor、pool、virtual server 和 profile。1. 配置 NodeNode 即为节点，具有单一的 IP 地址。注： 再建立 pool 的时候，添加 member 之后， 在 Node 菜单中会自动添加相应的 IP 地址的 Node;在 Node 目录下点击 create 添加节点，输入地址，其它的为默认即可：添加之后再 Nist 中显示所有已添加的 Node 节点；然后如下图，选择节点的默认健康检查方式，选择 icmp：2. 配置 Monitor为了 链路或服务器

14、的健康性和可用性，F5 bigip 必须建立正对不同协议的 Health Monitor 周期性的探测链路和服务器的健康性，除了使用 F5 BigIP default Monitor，我们可以根据特定的应用和环境自定义基于不同协议的 Health Monitor;1. 创建 Custom ICMP Monitor;单击 Local Traffic > Monitor> Create如图； 在 Name 栏中填写 : My_icmp在 Import Setting 选项中选择：icmp修改 Interval 和 timeout 值：Interval: 10 SecondsTimeou

15、t: 31 Seconds如果需要使用对指定 IP 地址 ICMP 的状态 Monior,在 Transparent 选项 点击 YES, 并在 Alias Address 中填写 IP Address点击 Finished ,添加完成2. 创建 Custom TCP Monitor点击 Monitors 下后，如下图所示，为定义 monitor 的界面，点击 Create 创建新的 Monitor， 定义一个名字为 my_tcp 的 Monitor，type 选择 tcp：单击 Local Traffic > Monitor> Create如图； 在 Name 栏中填写 : My

16、_tcp在 Import Setting 选项中选择：TCP修改 Interval 和 timeout 值：Interval: 10 SecondsTimeout: 31 Seconds如果需要使用对指定 IP 地址 的端口的状态 Monior,在 Transparent 选项 点击 YES, 并在 Alias Address 中填写 IP Address如图：然后下图即为定义 monitor 的具体过程，采用默认设置，点击 Finished，定义完成。3. 配置 Class为了实现内部网络向外 目标地址为 CTC 从 CTC GW Internet,目标地址为 CNC 从CTC GW Int

17、ernet,所以我们必须建立两个 Class, CTC Class 和 CNC Class,其中 CTC Class 中为 CTC IP Address, CNC Class 中为 CNCAddress, 如图建立 CTC_classLacal Traffic > iRule > Data Group List> Creat Name：CTC classType：AddressAddress Records：CTC IP Address建立 CNC_classLacal Traffic > iRule > Data Group List> Creat Nam

18、e：CNC classType：AddressAddress Records：CNC IP Address4. 配置 SNATSNAT 是一个将原始客户机 IP 地址（也就是源 IP 地址） 到您所选择的转换地址的对象。因此，SNAT 会让BigIP 系统将入站数据包的源 IP 地址转换为您指定的地址。SNAT的目的非常简单，即：确保目标服务器通过 LTM 系统将其响应返回到指定的地址，而不是直接发送到原始客户机 IP 地址。在本次项目中使用两种 SNAT 的功能：1. Automap: 类似 PAT，即内部用户地址转换成 F5 的 self IP 地址2. Static SNAT: 类似 0

19、ne-to-one Map 即内部用户地址转换成 制定的 static 地址建立 Automap:Local Traffic SNATsSNAT List CreatName 中填写：ash_auto Translation 类型： 选择 Automap Vlan List：F5_FW由于在本案中是内部用户向外 ，所以我们必须将 VLan enable 在 F5_Fw vlan 中，Static SNAT：由于涉及到双链路的 ，所以在本案中 Static SNAT 是通过编写 Irule 的方式来实现， 如下：when LB_SELECTED if IP:addr LB:server addr

20、 equals 222. if IP:addr IP:_addr equals 172.28.168.X snat 222elseif IP:addr IP:_addr equals 172.28.168.X snat 222else snat automapelseif IP:addr LB:server addr equals 210. if IP:addr IP:_addr equals 172.28.168.X snat210elseif IP:addr IP:_addr equals 172.28.168.X snat210 elseif IP:addr IP:_addr equal

21、s 172.28.168.X snat210 elseif IP:addr IP:_addr equals 172.28.168.X snat210 else snat automapelse snat automap以上的逻辑为先选择 ISP gateway,在确定了 ISP gateway 之后 通过原地址来进行制定的地址转换。5. 配置 Pool ( outbound )Pool 是一些内部服务器或 node 的集合，这些服务器为了处理客户机请求而编组在一起。pool 中的服务器称为 Poolmenber 。因为 F5 对应有 2 条 Internet 出口链路负载均衡，所以需要建立 3

22、 个 pool ， out_CNC_first_pool , out_CT_first_pool,，out_default_gw，包含 3 条链路的网关地址， 这样从 Internal 接口过来的数据将命中默认路由的 out_default_ pool，然后对应 Pool 成员进行选择从哪条链路出去。out_CNC_first_pool:out_CT_first_pool:out_default_gw:如上图所示：每一个 pool 包含 3 个 member，在各自以链路命名的 pool 中，相对应的链路 gw 地址的proirity 最高，其他的链路较次。目的为当命中指定的 pool 的时候

23、，此时如果 pool 中proirity 级别高的 gw down 了之后，可以有另一个链路作为备份。在建立 pool 之后，将 monitor 设置成 Gateway_ICMP; out_CNC_first_pool monitor:out_CT_first_poolmonitorout_ default_gw monitor6. 配置 Virtual Server ( outbound)虚拟服务器 收到客户机请求后，不是直接将请求发送到数据包标头中指定的目的地IP地址， 而是发送到组成负载平衡pool的内容服务器上。虚拟服务器可提高用于处理客户机请求的资源的可用性。由于所有的内部用户上网都

24、是通过后段 或者路由器的 默认路由转发到F5 BIGIP 上，通过F5 BigIP的从某一个ISP去 Internet。 所以我们需要建立地址为:0 Virtrual Server ，同时为了实现常用的协议有指定的virtrual Server 作处理，所以我们需要建立， :21 ,:53, 80 Virtual Server。Local Traffic Vitrual Servers 点击 Create 创建: 如图：建立 :0 Vitrual Server如图：Name :VIP__0Des

25、tanation （address）:Type:NetworkAddress: Mask:service port: 0 Type:Performance ( Layer 4 )Protocol:All ProtocalsProtocal Profile:fastL4VLAN List:F5_FWAddress TranslationDisabledPortTranslationDisabled其他所有配置为默认配置。建立 VIP__21 Vitrual Sever如图:Name :VIP__21Destanation （address）

26、:Type:NetworkAddress: Mask:service port: 21 Type:Standard ( FTP 必须使用 Standard )Protocol:TCPProtocal Profile:TCPFTP ProfileFTPVLAN List:F5_FWAddress TranslationDisabledPortTranslationDisabled其他所有配置为默认配置。建立 VIP__53 Virtual ServerName :VIP__53Destanation （address）:Type:Netwo

27、rkAddress: Mask:service port: 53 Type:Performance ( Layer 4 )Protocol:All protocalsProtocal Profile:FastL4VLAN List:F5_FWAddress TranslationDisabledPortTranslationDisabled其他所有配置为默认配置。VIP__80Name :VIP__80Destanation （address）:Type:NetworkAddress: Mask:service

28、 port: 80 Type:Performance ( Layer 4 )Protocol:All protocalsProtocal Profile:FastL4VLAN List:F5_FWAddress TranslationDisabledPortTranslationDisabled其他所有配置为默认配置。每个 VS 至少需要关联一个 pool 或Irule,在本案例中由于涉及到双链的负载均衡，所以需要关联一个 outbound Irule。7. 配置 rulesRules 是用 TCL 语言编写的代码来实现应用层等特殊的功能，此处我们用 rules 来限制每个源 IP VS 的连

29、接数来防止服务器 大量的连接而使服务器性能下降甚至 down 机。在本案中，由于 outbound CNC_ISP 和 CTC_ISP 两个链路的负载均衡，并且要求实现目标地址为 CTC 从 CTC GW Internet , 目标地址为 CNC GW Internet, 若不是 CTC 和 CNC 的目标地址，就在 CTC gw 和 CNC gw 两个网关做 Load Balance.下图为 iRules 定义界面，点击 Create 即可创建新的 iRules：如下图，创建一个名为 Outbound 的 iRules在内部用户上网的时候根据目标地址Irule 如下：when _ACCEPT

30、ED if matchclass IP:local_addr equals $:CTC_class pool out_CT_first_poolelse if matchclass IP:local_addr equals $:CNC_class pool out_CNC_first_poolelse pool out_default_gw8. 配置 Pool ( Inbound)F5 BigIP 对的地址转换以及服务器负载均衡使用 Vitrual Serverpool 的方式来实现的， Vitrual Server IP Address 为 对外想Internet 提供服务的IP Addre

31、ss, pool 地址为内部提供服务的地址。所以我们必须把每个需要对外提供服务的内部地址做单独一个 pool ,然后关联到相应的公网地址的 Vitrual Server 中，如果使用一对一地址转换，则 pool 中只有一个 IP+port,可以使用任何一种 LB 算法如果使用负责均衡，则 pool 至少有 2 个 IP+port，并且选择一种 LB 算法Pool 地址规划表 如下：Pool ( External_1 )对应内部地址对应服务器Pool ( External_2 )对应内部地址对应服务器由于 pool 的数量较多，所以在这里就不将所有的 pool 的添加过程做描述，每个 pool

32、的添加步骤完全一下，所以我们以添加 SH-FTP01_pool 为例如图：Local Traffice> pools> Creat Name: SHFTP01_pool Health Monitors: gateway_ICMPLoad Balng Method: Round RobinIP Address: 84Service Port:0按 Add 添加 IP Address点击 Finished 添加pool 完成在所有的内部地址 pool 添加完毕之后，如果内部的服务器运行正常,并且能够被 通，那么他的状态为如果内部的服务器运行关闭或不 ，,并且不能

33、够被 通，那么他的状态为9. 配置 Vitrual Server( Inbound)虚拟服务器 收到客户机请求后，不是直接将请求发送到数据包标头中指定的目的地IP地址， 而是发送到组成负载平衡pool的内容服务器上。在Inbound Vitrual Server中的IP address 为提供公网服务的所有IP Address Vitrual Server 地址规划表序号公 网 地 址（External_1）对应内部地址对应服务器1234567891011序号公 网 地 址（External_2）对应内部地址对应服务器123456789这里就不将所有的 Vertrual 的添加过程做描述，Vi

34、rtual Server 的添加步骤大致相似，所以我们以添加两种类型的 Virtual Server : performance 和 FTP Standard创建 Performance VS如图：接着定义 VS：Name: Vip_210._0 Address Type: host Address: 210.Port:0VS Type: Performance (Lay 4) Protocal: All ProtocalsVlan List: out_CNC_2M （如果去 CTC 的 address, Vlan 为 out_CT_10M） Address Translation: Enab

35、ledPort Translation: Disabled其他选项配置均为默认配置创建 Standard （FTP） VS如图：接着定义 VS：Name: Vip_ 222.X.X .X _0 Address Type: host Address: 222.Port:21VS Type: Standard Protocal: TCP FTP Profile: FTPVlan List: out_CNC_2M （如果去 CTC 的 address, Vlan 为 out_CT_10M） Address Translation: EnabledPort Translation: Enabled第六

36、步 BIG IP HA 配置过程为了提高服务器提高服务的可靠性，防止单点故障，采用两台相同的 BIG IP 做 HA， 一为 active，一为 standby，当 active 的出现故障或者其链路出现问题的时候，就会发生切换，并产生相关的日志提醒。配置过程如下：1. 配置系统时间由于做 HA，两台成员的系统时间必须保持一致，不能有太大的偏差，否则 HA 不能正常建立与同步。分别 console 到两台上，配置系统时间，配置命令如下：Date 092218002005/格式为： date 月日时分年两台上配置一样，完成后，用命令 date 查看系统时间，确认两台的系统时间一致。2. 配置 工

37、作模式分别登陆到两台后在Platform目录下的High availability 后设置改为Redundant pair， Unit ID 一台为 1，一台为 2，并连接两台的 HA 同步电缆。第一台配置参数：Host name:A.F5 .comHigh availability:Redundant pair Unit ID: 1Time zone:Aisa/Shanghai并修改 root 帐号和 admin 帐号的（注意，做 HA 的两台的必须保持一致，因为在同步配置的时候需要通过来认证，如果不一样的话配置不能同步）第二台配置参数：Host name:B.FHigh availabil

38、ity:Redundant pair Unit ID: 2Time zone:Aisa/Shanghai并修改 root 帐号和 admin 帐号的3. 配置 redundancy mode登陆到地址为 的第一台上，在 Primary failover address 中 peer 配第二台的地址 。Redundancy mode 中选择 Active/Standby。登陆到地址为 的第二台上，在 High availability 目录下，在 Primary failover address 中 self 配置 18

39、，peer 配置另第一台的地址 。Redundancy mode 中选择Active/Standby。4. 配置 FailsafeFailsafe 即定义发生 Failover 切换的触况，两台上都需要进行设置，但是设置的样，下面仅以一台为例。定义 gateway failsafe：依次定义下面 2 个gateway failsafe：由于内网是一个服务器网段 vlan，所以不能定义 gateway failsafe，所以需要定义一个Vlan failsafe，内网 Vlan internal。5. 同步 配置完成后，就可以进行配置同步了，将做了完整配置的的配置同步到只做了 HA 配置和 Network 配置的另外一台上，需确认在 HA 建立了以后才能够同步配置。在 High Availability 目录下的 ConfigSync 里面有两个选项： Synchronize to peer：将配置从该台同步到 peer 上； Synchronize from peer：从peer 上将配置同步到本；注意在配置同步时的方向。6. HA 的确认完成HA 配置后，可以