11 负载均衡器BIGIP 3400配置指导书

1、华为MMSC项目 F5 BIG-IP3400负载均衡器配置指导书目录一、MMSC网络结构与IP地址规划2二、配置BIGIP3400负载均衡设备22.1设置负载均衡器管理网口地址22.2登录BIGIP的WEB管理界面22.3激活License22.4初始化设置22.4.1BIG-IP 1上的平台(Platform)通用属性设置2修改系统时间2设置缺省管理权限策略2重新启动bigip22.5配置网络层2划分vlan2定义IP地址2配置路由22.6配置双机设置(High Availability)2配置Redundant Pair的IP地址2配置双机自动切换机制FailSafe配置22.7配置服务器

2、负载均衡2配置Monitor2配置Profile2配置负载均衡Pool2建立Virtual server,实现对服务器的负载均衡2设置SNAT22.8两台BIGIP配置同步22.9备份配置2三、系统运行状态检查及维护23.1检查系统日志信息：23.2检查Node状态23.3查看流量信息23.4查看系统当前性能参数23.5密码的更改23.6添加“只读”权限的管理员帐号23.7如何查询设备的序列号：23.8如何采集信息提供他人进行故障诊断23.8对某一Virtual Server用TCPDUMP命令无法抓到包如何处理？2一、MMSC网络结构与IP地址规划如图所示：移动MMSC系统由MMSC 数据库

3、服务器、MMSC 业务服务器、报表服务器、维测告警服务器、网管服务器等服务器组成。数据网络设备，采用两台NetScreen 防火墙、两台BIG-IP 3400负载均衡器、及两台Quidway 6506交换机、网络设备都采用主、备设备，以实现设备、链路的冗余备份，以消除单点故障。相关的IP地址规划如下：BIG-IP 3400-1VIP1MMSC的虚拟IP地址VIP2报表服务器的虚拟IP地址VIP3CHARGE服务器的虚拟IP地址VIP4网管采集机的虚拟IP地址VIP5PORTAL的虚拟地址SNAT IP1SNAT地址（指向PORTAL）SNAT IP2SNAT地址(指向MMSC)External

4、 Share IP 26/25同防火墙trust同一VLANExter vlan self IP24/25同防火墙trust同一VLANInternal Share IP126/25同内网服务器同一VLANInter vlan self ip 124/25同内网服务器同一VLANExter-2 Share IP0/25同防火墙PORTAL同一VLANExter-2 vlan self IP1/25同防火墙PORTAL同一VLANBIG-IP 3400-2VIP1V

5、IP2VIP3VIP4VIP5SNAT IP1SNAT IP2Exter vlan Share ip26/25Exter vlan self ip25/25Internal Share IP26/25Inter vlan self ip 25/25Exter-2 Share IP0/25Exter-2 vlan self IP2/25注：以下接口连接表还没有更新，需要由杭州现场工程师更新的。线缆序号线缆标签网络设备名称源端口终端机器目标端口线缆类型接头1S6506

6、-1-f5-1BIG-IP 3400-11.1千兆口S6506-11/0/5光纤SX接口2S6506-1-f5-2BIG-IP 3400-11.2千兆口S6506-11/0/4光纤SX接口3S6506-1-f5-3BIG-IP 3400-11.1 10/100M口S6506-12/0/41直连双绞线RJ454BIG-IP 3400-11.2-1.16 10/100M口备用直连双绞线RJ455BIG-IP 3400-2BIG-IP 3400-1R232BIG-IP 3400-2串口线线缆序号线缆标签网络设备名称端口终端机器目标端口线缆类型接头1S6506-2-f5-1BIG-IP 3400-22

7、.1千兆口S6506-21/0/5光纤SX接口2S6506-2-f5-2BIG-IP 3400-22.2千兆口S6506-21/0/4光纤SX接口3S6506-2-f5-3BIG-IP 3400-21.1 10/100M口S6506-22/0/41直连双绞线RJ454BIG-IP 3400-21.2-1.16 10/100M口备用直连双绞线RJ455BIG-IP 3400-1BIG-IP 3400-2R232BIG-IP 3400-1串口线二、配置BIGIP3400负载均衡设备本章将主要描述BIGIP3400负载均衡设备的配置方法及配置内容。2.1设置负载均衡器管理网口地址F5 BIG-IP

8、3400 设备的面板结构:BIG-IP 3400应用交换机具备8个10/100/1000M自适应的网络接口及二个光纤接口.10/100/1000 interface 8个10/100/1000 M 自适应的网络接口Gigabit fiber interface 2个1000M 多模光纤接口Serial console port 一个串口命令行管理端口Failover port 一个串口冗余状态判断端口。Mgmt interface 一个10/100M管理端口注：互为双机的两台BIG-IP必须用随机附带的Failover线相连起来。BIG-IP上电开机以后，首先需要通过机器前面板右边的LCD旁的

9、按键设置管理网口(设备前面板最左边的网络接口)的IP地址。管理网络接口有一个缺省的IP地址，一般为45。注：管理网络接口的IP地址不能与业务网络在同一网段，根据业务网络的地址划分，相应的调整管理网络接口的网络地址。例如，在MMSC中负载均衡口连接防火墙Trust区域的网络已经采用了/24的网段，因此必须修改管理网口缺省的IP地址。在MMSC项目中，BIG-IP1的管理网口地址为01/24，BIG-IP2的管理网口地址为02/24。通过LCD按键修改管理网口IP地址的方法如下：1、 按红色X按键进入Optio

10、ns选项；2、 在液晶面板上通过按键按以下顺序设置管理网口的网络地址：Options-System-IP Address/Netmask-Commit如果通过LCD按键修改完IP地址以后，选择Commit，地址无法成功改变(例如出现IP地址为全零的情况)，很有可能是管理口IP地址与系统内已经配置发生冲突。出现这种情况，关机重启以后，另选一个IP网段来设置管理网口地址。警告：在设置好网络管理口地址以后，通过网络登陆到BIG-IP上进行其它配置更改时，都要保证网络管理口的网络连接完好。否则有时会出现修改的配置无法被成功加载应用的情况，因为网络管理口为Down的情况会妨碍配置文件的加载。2.2登录B

11、IGIP的WEB管理界面管理BIGIP有两种方式,一种是基于WEB的https管理方式，另一种是基于ssh的命令行管理方式。除特别配置外，采用WEB的管理方式即可。WEB登录方式如下：1 在管理员的IE地址栏内输入BIGIP设备的IP地址，012 回车后出现系统警告信息点击Yes3 然后系统提示输入基于WEB配置的用户名和密码。目前的admin帐号的密码为admin2.3激活License在配置BIG-IP之前，先要激活License。从System-License-Re-activate进入License激活界面：进入，将产生的Dossier复制进以下页面

12、，产生License文件：4 输入正确后即可进入BIGIP的WEB管理界面2.4初始化设置BIG-IP 1上的平台(Platform)通用属性设置进入SystemPlatform注：主机名用来标识BIG-IP系统自身。主机名必须符合DNS域名标准。主机部分必须以字母开始，并至少为2个字符。举例：f5-。警告：BIG-IP双机系统的主机名必须不一样，否则配置同步会产生错误，可能导致破坏license。例如对于杭州MMSC系统，BIG-IP1的主机名为ZJHZ-PS-MMS3-SW01.F5，BIG-IP1的主机名为ZJHZ-PS-MMS3-SW02.F5。Root 为命令行帐号，admin为WE

13、B管理的帐号。注：root密码允许用户通过命令行访问BIG-IP系统。建议root密码长度大于6位，但不要超过32位字节。密码与大小写敏感，建议密码中包含大写/小写字母和数字。如果BIG-IP系统为冗余系统，两台主备机的root密码必须保持一致。注：如修改密码，请确认正确敲击键盘上的键。（有人敲错了键盘上的键，而导致无法找到新设置的密码是什么。）BIG-IP 2上的平台通用属性设置：修改系统时间1. 用PUTTY或Secure Shell Client等SSH客户端连接BIG-IP的管理网口地址，进入命令行模式。注：Secure Shell Client 可以用以下链接下载：。 2. 执行da

14、te检查系统时钟。rootZJHZ-PS-MMS3-SW02:Active config # dateThu May 25 16:59:15 CST 20063. 命令格式# date .# date MMDDHHMMYYYY.SS如设置2007年1月1日中午12：00：00# 4. 保存时间到BIOS # hwclock systohc设置缺省管理权限策略在命令行运行b base list命令，检查初始化设置。如果b base list的输出已经有self allow default tcp ssh tcp https udp efs tcp snmp proto ospf udp doma

15、in udp snmp tcp 4353 tcp domain udp 4353 一行，则进入到。如果在b base list的输出中发现有self allow default none 一行，则运行以下两条命令：b self allow default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 b base save所后用命令more /config/bigip_base.conf查看bigip_base.conf文件确认self allow d

16、efault tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 已经保存到文件中。重新启动bigip# reboot2.5配置网络层按照拓扑结构，对F5 BIGIP的网络层进行配置，划分vlan，定义IP地址及路由。划分vlan点击左侧的导航条，进入NetworkVLANS，在右侧可以对vlan进行配置。创建方法如下：点击create: Name:设置这个vlan的名字。Tag:为相应VLAN的VLAN IDInterface:定义Available中显示

17、的端口有选择性的划分到这个vlan中。指定端口后，单击选入Untagged栏即可。点击完成。根据MMSC的网络规划，一共要定义了以下几个VLAN：注：external, external2,internal为业务流量VLAN。VLAN ID应与网络规划中的VLAN一致。注：netfailover VLAN的1.4端口为双机网络心跳接口，网络心跳信号及双机配置同步信息都是通过这一网线传输，因此要用网线将双机的1.4口对连起来。VLAN ID 4094为BIG-IP自动生成的。(也可以指定)。注：将1.7和1.8端口加入到external VLAN和internal VLAN主要是为了有时候可以将

18、笔记本接在相应VLAN进行测试，而不受BIG-IP与交换机之间网络连接的影响。定义IP地址在划分完Vlan后，即可对每个vlan进行IP地址的定义。方法如下：点击左侧导航条中的Networksself Ips在右侧可以对Ip地址进行配置。创建方法如下：点击Create:IP address:输入IP地址Netmask:输入子网掩码Vlan：选择将这个IP地址绑定在哪个vlan上。选择下拉菜单将显示所有已设置的vlan名。Port Lockdown:保持默认值Allow Default。Floating IP:如果系统为冗余工作方式，需对每台设备的每个vlan均设置两个IP地址。其中一个是sel

19、f IP,另一个则为floating IP,即两台设备共用的IP地址。选中此项即代表这个IP地址为Floating IP。按照MMSC的规划， IP地址定义如下：MMSCBIG-IP 3400应用交换机 VLAN与IP地址规划(BIG-IP 3400-1)NameZJHZ-PS-MMS3-SW01.F5VLAN NameVLAN IDSelf IPFloating IPExternal20/2526/25Internal10external240Netfailover4094(BIG-IP 3400-2)NameZJHZ-PS-MMS3-SW02.F5VLAN NameV

20、LAN IDSelf IPFloating IPExternal20Internal10external240Netfailover4094另外，ZJHZ-PS-MMS3-SW01.F5的管理网口IP地址是，ZJHZ-PS-MMS3-SW02.F5的管理网口IP地址是。BIGIP1的SELFIP配置如下：其中Unit ID不为零的为Floating IP.Floating IP设置要打上勾。BIGIP2的SELFIP配置如下：BIGIP2上不需要配置Floating IP，因为FloatingIP可以从BIG-IP1上同步过来。配置路由点击左侧导航条中的NetworksRoutesAdd对路由

21、进行配置Type:定义配置的是默认网关还是静态路由。Destination:定义目标网段Netmask:定义目标网段的掩码Resource:定义网关地址点击完成。按照MMSC的需求，缺省路由是防火墙Trust口的双机共享地址2.6配置双机设置(High Availability)High Availability就是双机冗余（Cluster），要求两台BIGIP的版本相同。配置方法如下：配置Redundant Pair的IP地址首先，确认BIGIP已经转换为双机模式。在WEB页面的左侧导航条选择SYSTEMPlatform把Hith Availability设置中应选择为

22、Redundant Pair模式。其中BIG-IP1的Unit ID为1，BIG-IP2的Unit ID为2。然后，在WEB页面的左侧导航条选择SYSTEMHith Availability：BIG-IP1的设置如下：BIG-IP2的设置如下Primary Failover Address输入两台BIGIP的内网 Self IP地址：BIG-IP1的Self IP为, Peer IP为;BIG-IP1的Self IP为, Peer IP为;Secondary Failover Address输入两台BIGI

23、P的外网Self IP地址。BIG-IP1的Self IP为24, Peer IP为25;BIG-IP1的Self IP为25, Peer IP为24;Redundancy Mode选择Active/Standby模式并Enable Network Failover选项。(勾上则表示心跳vlan也会引起切换。此处可以不勾，完全由fail-safe中vlan引起切换，当心跳线即同步口掉线时，也不会切换。)其他参数保持默认值。配置双机自动切换机制FailSafe配置Failsafe设置在满足某些条件的时候，触发

24、BIGIP发生切换。根据彩铃5期的要求，配置了VLANs的FailSafe配置，当处于Active状态的BIGIP的internal和external两个VALN在设定的时间内没有任何流量，自动切换到备机。警告：在没有完成External VLAN和Internal VLAN的网络接线之前，不要启用自动切换机制。对External VLAN和Internal VLAN启用基于VLAN监控的自动切换机制，步骤如下：在WEB页面的左面导航界面选择:SYSTEM High AvailabilityFail-safe点击“Add”按钮VLAN：选择监控的VLANTimeout :默认值是90秒，一般改

25、为30秒其中Action选用Fail Over方式，而不是缺省的Reboot方式。设置完后，结果如下：2.7配置服务器负载均衡注：服务器负载均衡器的设置只需要在一台BIG-IP1上进行设置，设置好以后，可以通过双机配置同步的方式将配置更新到BIG-IP2上。在设置好基础网络,即可对实现服务器负载均衡进行配置。主要涉及以下几个方面： Monitor(不一定需要设，有时候可以采用系统自带Monitor)Monitor跟踪Pool成员的当前状态或者性能Profile(不一定需要设，有时候可以采用系统自带Profile)Profile包含定义Virtual Server行为的设置。负载均衡Pool负载

26、均衡Pool包含可以将请求发送到其中进行处理的服务器。Virtual ServerVirtual Server接收客户端的访问请求，然后将请求分发给被负载均衡的服务器上。SNAT在负载均衡器内部的服务器主动向外发起访问时，在负载均衡器上所做的地址映射。访问时配置MonitorMonitor可以实现对服务器实施健康检查。以确定服务器是否可以对外提供服务。注：目前MMSC对服务器的运行状态的检查，都采用的是BIG-IP内置的健康检查方法。不需要另行创建。可以直接进入到下一步骤。如果需要对检查方法的属性进行定制，以下以定制TCP端口检查为例，方法如下：点击左侧导航条中的Local TrafficMo

27、nitorCreate，在General Properties中选择TCP在General Properties中输入你要建立的健康检查方式的名字，可以按需要设置好Interval和Timeout的时间。最后点击Finished。配置ProfileProfile定义的Virtual Server的属性集合。MMSC与WAP项目的Virtual Server采用BIG-IP系统自带的Profile即可，不需要自行定义。配置负载均衡Pool负载均衡Pool是您组合起来接收和处理流量的一组设备，如Web服务器。BIGIP系统将客户机发往Virtual Server的请求发送到Pool成员中的任一服务

28、器上。当创建负载均衡Pool时，将服务器（称作Pool成员）分配到pool中，然后将pool与BIGIP系统中的Virtual Server相关联。然后，BIPIP系统将进入Virtual Server中的流量传输到Pool成员。单个服务器可隶属于一个或多个pool，这取决于您希望如何管理您的网络流量。创建pool的方法如下：点击左侧导航条中的Local TrafficVirtual ServerspoolsCreate:输入pool的名字，并指定该pool中的member成员的IP 地址及service port，并指定对Pool成员的健康检查方法，然后点击即可。接照MMS的情况,定义poo

29、l及相应的member成员如下：pool POOL_MMSC-MM1 monitor all tcp member 4:8001 member 5:8002 member 8:8003 member 9:8004 member 2:8005 member 3:8006pool POOL_MMSC-MM7 monitor all tcp member 4:8801 member 5:8802 member 192.168.

30、2.18:8803 member 9:8804 member 2:8805 member 3:8806pool POOL_MMSC-SMTP monitor all tcp member 4:2501 member 5:2502 member 8:2503 member 9:2504 member 2:2505 member 3:2506pool POOL_MMSC-INRPT monitor al

31、l tcp member 9:8088pool POOL_MMSC-NOTIFY monitor all udp member 4:9101 member 5:9102 member 8:9103 member 9:9104 member 2:9105 member 3:9106还有其它一些没有列在上面的pool，可以根据实际环境的需要进行添加。建立Virtual server,实现对服务器的负载均衡Virtual Server是BIG-IP

32、本地流量管理（LTM）配置中最重要的组件。BIG-IP收到到Virtual Server的客户请求后，以地址转换的方式，将客户端的请求发送到Virtual Server相应Pool中的某个成员服务器上。Virtual Server可提高用于处理客户机请求的资源的可用性。创建Virtual Server的方法如下：点击左侧导航条中的Local TrafficVirtual ServersCreate: 在General Properties部分，需指定该Virtual server的名称，IP地址及服务端口。在Configuration部分，用户需跟据该Virtual server的类型，选择相

33、应的配置参数。注：对于http流量或ftp流量，用户必需选择Http profile或Ftp profile，否则这两种virtual server将不能正常访问。对于MMS与WAP应用来说，会大量应用到Performance Layer4的类型：而协议（Protocol）则要根据虚拟服务器的类型选择是TCP，还是UDP还是Any。例如对于虚拟服务器VIP_MMSC_MM1的设置如下：在Resources部分，Default Pool选择Virtual Server所对应的Server Pool。针对MMSC的项目，我们建立了如下几个virtual server:注：Status为绿色，表示该

34、Virtual Server对应的Pool中至少有一台服务器可用，红色表示没有一台服务器可用，蓝色表示服务器的状态未知(可能没有对Pool设置健康检查方法，或正在对服务器状态进行检查。)其中的Virtual Server根据实际情况进行添加。设置SNATSNAT 是一个将原始IP 地址（也就是源IP 地址）映射到您所选择的转换地址的对象。因此，SNAT 会让LTM 系统将入站数据包的源IP 地址转换为您指定的地址。SNAT 的目的非常简单，即：确保负载均衡器内网的服务器主动向负载均衡器外部的网络进行访问时，地址会转换为外网可路由的地址。创建方法如下：先修改系统的General Properti

35、esLocal Traffic:将SNA Packet Forwarding设置由TCP and UDP Only改为All Traffic，使SNAT不仅支持TCP与UDP包的地址转换，不可以支持ICMP的地址转换。注：如果不改为All Traffic，将无法由Internal VLAN Ping通外网地址。点击左侧导航条中的Local TrafficSNATsCreate:为该SNAT设置一个名称，并在Translation中输入转换后的IP地址，点击Origin的下拉菜单，选择IP address list在address中输入IP地址点击ADD进行添加。输入完毕后，点击Finished

36、即可。MMSC项目中要将所有内网服务器的地址都转成Virtual Server的地址，因此一个设置好的SNAT的属性如下：这个设置将对所有主动由internal VLAN的设备发往负载均衡器外网的数据包进行地址转换，转换成0。此外，还要选取Translation修改SNAT地址的Idle TimeOut值。例如对0，点击右侧Translation 地址：在SNAT Address的TCP idle Timeout的选项选择Specify，输入Timeout的参数，一般改为3600。而对UDP和IP的Idle Timeout值可以不需要设定，采用缺省值

37、。2.8两台BIGIP配置同步BIGIP的配置信息，除了Network的配置（例如：VLAN，IP等），其他的配置可以通过ConfigSync同步，步骤如下：进入SystemHigh AvailabilityConfigsync页面：Synchronize TO Peer: 把本地的配置同步到对方Synchronize FROM Peer: 把另外一台BIGIP的配置同步到本地。成功的配置同步后的信息如下：2.9备份配置在完成上述配置，并顺利完成同步以后，请尽快将配置备份出来。备份方法如下：进入SystemArchives，点击Create: 配置备份好后，点击设配置文件并下载到外部电脑上：三、系统运行状态检查及维护3.1检查系统日志信息：选取Local Traffic查看Pool Member的状态变化信息。可以点击TimeStamp选择日志信息排列的时序。3.2检查Node状态点击左侧导航条中的Local Traffic-Nodes图中绿色状态表示节点状态正常。3.3查看流量信息点击左侧导航条中的Local Traffic-Pools-Statistics,可以查看到各Pool以及Pool的Members的状态，以及流量和连接数的信息。3.4查看系统当前性能参数点击左侧导航条中的Overview-Performance，可以查看M