BIGIP标准配置文档

本文格式为Word版，下载可任意编辑——BIGIP标准配置文档

BIGIP标准配置文档

杨明非F5工程师

2023-11-21

目录

1.连接BIGIP4

1.1Console方式41.2网络连接方式4

1.2.1基于WEB方式41.2.2基于SSH方式7

2.网络配置9

2.1网络配置步骤及流程9

2.1.1L2Vlan配置102.1.2L3selfip配置112.2服务器直连模式网络配置12

2.2.1网络连接拓扑图122.2.2VLAN划分122.2.3IP地址划分132.3服务器非直连模式网络配置14

2.3.1网络拓扑结构142.3.2VLAN划分142.3.3IP地址划分152.4透明模式网络配置16

2.4.1网络拓扑结构162.4.2VLAN划分162.4.3IP地址划分162.5静态路由的添加173.负载均衡配置17

2

3.1负载均衡的概念173.2Pool配置193.3VirtualServer配置223.4会话保持配置24

3.4.1会话保持的概念243.4.2Simple会话保持253.4.3Cookie会话保持263.5iRules配置273.6Monitor配置30

3.6.1Monitor的添加303.6.2NodeAddressMonitor配置333.6.3NodeAssociationMonitor配置353.6.4Monitor的验证36

4.SNAT配置37

4.1SNAT的概念374.2NAT配置384.3SNAT配置39

4.3.1SNATIP配置394.3.2SNATAutoMap配置41

5.Redundent配置426.系统维护部分派置46

6.1SNMP配置466.2Syslog配置476.3NTP配置476.4用户管理50

3

6.5Radius认证配置527.BIGIP命令行常用命令解释57

7.1系统配置相关命令577.2系统维护相关命令57

1.连接BIGIP

1.1Console方式

基于Console终端配置BIG-IP的准备

安装Windows操作系统的PC一台（装有超级终端）BIGIP设备自带的Console电缆一条

使用超级终端建立一个连接，通过Console电缆一端连接BIGIP，一端连接COM，COM的参数设置如图：

1.2网络连接方式1.2.1基于WEB方式

在浏览器地址栏键入https://（BIGIP设备IP地址），如下图：

4

回车后，出现以下界面：

此对话框为浏览器与BIGIP通讯交换的证书提醒，点击“是〞继续

5

输入用户名和密码点击确定继续

点击ConfigureyourBIGIPUsingConfigrationUtility进入BIGIP配置主界面。在此页面的下方可下载BIGIP的操作手册（ReferenceGuide）、SSHClient软件和BIGIP的私有MIB库等。

6

此界面为BIGIP的配置主界面，左侧为系统配置主菜单。右侧为具体功能配置和显示界面，右侧顶部为菜单子项目切换按钮。点击后即可切换配置界面。1.2.2基于SSH方式

基于SSH方式访问BIGIP有两种方式：

一种是采用专用的客户端，此处以SecureCRT为例：在SecureCRT中新建连接，配置如下：

另外一种方式是登陆进入BIGIPWEB管理界面后启动BIGIP自带的SSHClient->MindTermSSH:

7

点击MintermSSH后弹出单独窗口如下：

8

键入root用户和对应密码后出现：

直接回车选择终端类型为Vt100即可

注意：假使客户端使用WindowsXP系统并且没有安装JAVA虚拟机时，该功能不可用。

2.网络配置

2.1网络配置步骤及流程

9

2.1.1L2Vlan配置

通过单击页面左侧对象树的Network，在页面右侧显示VLAN的信息。

在这里以配置两个VLAN“external〞和“internal〞为例：

点击系统左侧Network菜单

通过单击这两个对象，可以进一步观测这两个网络的具体配置。假使要删除某个网络对象，可以单击图标这是“external〞网络的窗口。

假使要修改该网络所包括的Interfece，可从Resource中左侧的InterfaceNumber中选取空闲的端口后，单击untagged>>，添加到当前的VLAN中。在CurrentInterfaces中选中一个或几个端口，单击

2.1.2L3selfip配置

新添加的VLAN没有IP地址，需要给所有的VLAN指定一个IP地址。单击Network->SelfIPAddress

通过单击相应的IP地址可以对其相关配置进行浏览和修改。

下图是两台BIG-IP外网IP地址的配置窗口

通过单击VLAN框的下拉按钮，可以选择该IP地址对应的网络。

注意：

上图中的Floating复选框假使是ShareIP必需选中。假使是实际IP不要选中。

11

我们可以根据需要通过单击一个IP地址。

来添加一个IP地址，也可以通过单击来删除

2.2服务器直连模式网络配置

在结构一下，我们需要进行以下网络配置2.2.1网络连接拓扑图

Cisco6009

Bigip

Bigip

Web/APPServerWeb/APPServer

服务器负载均衡标准接法一(双机方式)

在该模式下，所有的服务器都直接连接到BIGIP上。假使服务器单网卡运行，则寻常将同组的服务器连接分散在两台BIGIP上。假使服务器为双网卡冗余模式，则可将每台服务其的两块网卡分别连接在BIGIP上。BIGIP通过交织连接方式连接到上端的交换机。注意需要在上端交换机中开启SpanningTree，而在BIGIP上则无需启动SpanningTree。

2.2.2VLAN划分

在服务器直接连接模式，建议BIGIP上划分4个VLAN，分别为：

External：用于连接上端交换机，根据上端交换机不同，我们可以将千兆光纤端口或者100M以太网端口划分在此VLAN12

中。Internal：用于连接后端的服务器，寻常，我们采用100M端口连接后端服务器。failover_vlan：主要用于两台BIGIP之间的配置同步和Session同步。寻常状况下在端口数量足够的时候我们用一个单独的端口用于配置和Session同步。假使在端口数量不足时，可不使用本VLAN而使用internalVLAN来进行配置和Session同步。Admin：该VLAN为BIGIP保存VLAN，主要用于网络管理，该VLAN只包含一个3.1端口。建议寻常状况下保存该端口不使用，在进行现场调试或配置的时候再使用该端口进行错误排查和管理配置。默认状况下，BIGIP上已经配置了External、Internal和AdminVLAN，所以只需要添加failover_vlan即可。

2.2.3IP地址划分

每个VLAN必需采用不同的IP网段。BIGIP上必需配置的IP包括以下几个部分：

ExternalvlanselfIP为BIGIPExternalVlan与其它设备互联的IP地址，每台设备的ExternalVlanSelfIP均是不同的Externalvlanshared为两台BIGIP在ExternalVlan上的浮动地址，该IP地址会漂移在Active的BIGIP设备上，主要用于上端路由器指往下一段IP的网关地址，在Redundence结构下，两台BIGIP的ExternalVlanSharedIP的地址是一致的InternalvlanselfIP为BIGIPInternalVlan与其它设备互联的IP地址，每台设备的InternalVlanSelfIP均是不同的Internalvlanshared为两台BIGIP在InternalVlan上的浮动地址，该IP地址会漂移在Active的BIGIP设备上，主要用于后端服务器指往下一段IP的网关地址，在Redundence结构下，两台BIGIP的InternalVlanSharedIP的地址是一致的Failover_vlanselfIP为两台BIGIP之间相互访问的专用地址，主要用于配置同步和Session同步。建议两台设备分别为/24和/24Failover_vlanshared为两台BIGIP在Failover_vlan上的浮动地址，该IP地址会漂移在Active的BIGIP设备上，该地址没有实际作用，建议配置该地址为：54/24AdminvlanselfIP为BIGIPAdminvlan地址，该地址主要用于设备管理，在BIGIP出现故障或进行现场维护的时候使用，每台设备的AdminVlanSelfIP均为13

45/24，假使需要接入网管网，则可根据网管网的IP地址划分进行重新配置AdminvlansharedIP为两台BIGIP在AdminVlan上的浮动地址，该地址会漂移在Active的BIGIP设备上，该地址没有实际作用，建议配置该地址为54/24

2.3服务器非直连模式网络配置2.3.1网络拓扑结构

Bigip

Bigip

Web/APPServer

Web/APPServer

Web/APPServer

高可靠性FullMesh接法(千兆上连)只适用于Bigip5000/5100/5100

在该结构下，所有服务器均连接在二层交换机上，通过二层交换机再连接到BIGIP上。每台BIGIP通过交织网线连接到与其相关的每台设备。在BIGIP上关闭SpanningTree功能，在其他交换机上开启SpanningTree功能。2.3.2VLAN划分

在服务器非直接连接模式，建议BIGIP上划分4个VLAN，分别为：

External：用于连接上端交换机，根据上端交换机不同，我们可以将千兆光纤端口或者100M以太网端口划分在此VLAN中。Internal：用于连接后端的服务器，寻常，我们采用100M端口连接后端服务器。failover_vlan：主要用于两台BIGIP之间的配置同步和Session同步。寻常状况下在端口数量足够的时候我们用一个单独的14

端口用于配置和Session同步。假使在端口数量不足时，可不使用本VLAN而使用internalVLAN来进行配置和Session同步。Admin：该VLAN为BIGIP保存VLAN，主要用于网络管理，该VLAN只包含一个3.1端口。建议寻常状况下保存该端口不使用，在进行现场调试或配置的时候再使用该端口进行错误排查和管理配置。默认状况下，BIGIP上已经配置了External、Internal和AdminVLAN，所以只需要添加failover_vlan即可。

2.3.3IP地址划分

每个VLAN必需采用不同的IP网段。BIGIP上必需配置的IP包括以下几个部分：

ExternalvlanselfIP为BIGIPExternalVlan与其它设备互联的IP地址，每台设备的ExternalVlanSelfIP均是不同的Externalvlanshared为两台BIGIP在ExternalVlan上的浮动地址，该IP地址会漂移在Active的BIGIP设备上，主要用于上端路由器指往下一段IP的网关地址，在Redundence结构下，两台BIGIP的ExternalVlanSharedIP的地址是一致的InternalvlanselfIP为BIGIPInternalVlan与其它设备互联的IP地址，每台设备的InternalVlanSelfIP均是不同的Internalvlanshared为两台BIGIP在InternalVlan上的浮动地址，该IP地址会漂移在Active的BIGIP设备上，主要用于后端服务器指往下一段IP的网关地址，在Redundence结构下，两台BIGIP的InternalVlanSharedIP的地址是一致的Failover_vlanselfIP为两台BIGIP之间相互访问的专用地址，主要用于配置同步和Session同步。建议两台设备分别为/24和/24Failover_vlanshared为两台BIGIP在Failover_vlan上的浮动地址，该IP地址会漂移在Active的BIGIP设备上，该地址没有实际作用，建议配置该地址为：54/24AdminvlanselfIP为BIGIPAdminvlan地址，该地址主要用于设备管理，在BIGIP出现故障或进行现场维护的时候使用，每台设备的AdminVlanSelfIP均为45/24，假使需要接入网管网，则可根据网管网的IP地址划分进行重新配置AdminvlansharedIP为两台BIGIP在AdminVlan上的浮动地址，该地址会漂移在Active的BIGIP设备上，该地址没有实际作用，建议配置该地址为54/2415

2.4透明模式网络配置

2.4.1网络拓扑结构

Server

Bigip

基于双机的单臂接法

在透明模式下，BIGIP以单臂方式接入，服务器、BIGIP上的VirtualServer在同一网段上。该方式有一个限制就是访问VirtualServer的客户端与服务器不能位于同一网段。并且要求服务器的默认网关均指向BIGIP。

2.4.2VLAN划分

在透明模式下，建议BIGIP上划分3个VLAN，分别为：

Internal：用于连接后端的服务器，寻常，我们采用100M端口连接后端服务器。failover_vlan：主要用于两台BIGIP之间的配置同步和Session同步。寻常状况下在端口数量足够的时候我们用一个单独的端口用于配置和Session同步。假使在端口数量不足时，可不使用本VLAN而使用internalVLAN来进行配置和Session同步。Admin：该VLAN为BIGIP保存VLAN，主要用于网络管理，该VLAN只包含一个3.1端口。建议寻常状况下保存该端口不使用，在进行现场调试或配置的时候再使用该端口进行错误排查和管理配置。

默认状况下，BIGIP上已经配置了External、Internal和AdminVLAN，所以我们需要删除ExternalVLAN并添加failover_vlan。

2.4.3IP地址划分

16

每个VLAN必需采用不同的IP网段。BIGIP上必需配置的IP包括以下几个部分：

InternalvlanselfIP为BIGIPInternalVlan与其它设备互联的IP地址，每台设备的InternalVlanSelfIP均是不同的Internalvlanshared为两台BIGIP在InternalVlan上的浮动地址，该IP地址会漂移在Active的BIGIP设备上，主要用于后端服务器指往下一段IP的网关地址，在Redundence结构下，两台BIGIP的InternalVlanSharedIP的地址是一致的Failover_vlanselfIP为两台BIGIP之间相互访问的专用地址，主要用于配置同步和Session同步。建议两台设备分别为/24和/24Failover_vlanshared为两台BIGIP在Failover_vlan上的浮动地址，该IP地址会漂移在Active的BIGIP设备上，该地址没有实际作用，建议配置该地址为：54/24AdminvlanselfIP为BIGIPAdminvlan地址，该地址主要用于设备管理，在BIGIP出现故障或进行现场维护的时候使用，每台设备的AdminVlanSelfIP均为45/24，假使需要接入网管网，则可根据网管网的IP地址划分进行重新配置AdminvlansharedIP为两台BIGIP在AdminVlan上的浮动地址，该地址会漂移在Active的BIGIP设备上，该地址没有实际作用，建议配置该地址为54/24

2.5静态路由的添加

BIGIP上的路由添加有两种方式：

方式一：在命令行模式下键入以下命令：

routeadd-net-netmask-gateway该命令表示去往网段/通过网关地址通过命令行方式添加的路由马上生效，但在BIGIP重起后丢失。

方式二：编辑文件/config/routes

在命令行界面用VI创立一个文件/config/routes。在该文件中添加命令行：routeadd-net-netmask-gateway保存文件，在系统重新启动后该路由仍将保持。

3.服务器负载均衡配置3.1负载均衡的概念

BIGIP对负载均衡的实现，主要通过VirtualServer、iRules、Pool、Node、Monitor和Persistent（会话保持）实现。

17

Node为每一个服务器的IP地址加上服务端口。每一个Node代表一个应用程序。在配置过程中，Node不需要单独添加，而在Pool的配置中进行。寻常，在一个对外提供同样功能的Node组中，所有的Node必需保持一致。

Pool的主要作用是对一组执行一致功能的服务器应用进行捆绑，在Pool中可定义负载均衡算法，将外部的访问流量依照规则分派到不同的服务器上。在定义一个Pool时，必需知道每台服务器的IP地址和对外提供服务的端口号，不同的服务器可以以不同的端口提供服务，BIGIP可执行端口映射将这些服务对外进行统一端口服务。

iRules是BIGIP特性中的一个重要组件，Rule是一个用户编写的script，用来在两个或者更多的pool中进行选择。换句话说，rule用于根据一定的判断条件选择和一个VirtualServer相关联的pool。Rules是一个可选的特性使您可以将流量不单是定义到默认的对应VirtualServer的pool。Rules允许您直接将流量分派到您所指定的pool中去。

VirtualServer为BIGIP上对外提供服务的地址加上服务端口，每个VirtualServer后对应一个或者多个Pool。BIGIP将从每个VirtualServer接收到的流量分派到一个或多个Pool中，然后依照Pool重的负载均衡算法分派到一个或多个Node中。

Monitor的作用是检查服务器的健康状态。BIGIP对服务器的健康检查配置分为3个部分，NodeAddress，NodeAssociations和Service。其中NodeAddress相关的部分主要是通过ICMP检查服务器节点状态。对于每一个地址，假使其NodeAddress检查状态失败，则与该IP相关的所有Node（端口）均会设置为失败状态。NodeAssociations主要是检查服务器上的端口，该健康检查的配置为每个IP:端口组合设置。Services则是对所有的同样服务端口的节点都进行同样的健康检查。Services配置主要目的是简化配置，寻常状况下不建议使用。

18

对于客户端每发起的一个Soket连接，BIGIP识别为一个Connection。在BIGIP内部，存放有一张所有Soket连接分派的服务器对应表。该表的单项结构大致如下：

SIPSPortVirtualServerIP:PortNodeIP:PortSIP：客户端的源IP地址Sport：客户端发起请求的源端口，寻常，该端口为一个随机值VirtualServerIP:Port:用户访问的VirtualServer地址和端口NodeIP:Port:该Connection被分派去往的Node节点IP和端口

3.2Pool配置

点击左侧Pools菜单，选择ADD。

19

填入pool名称，并选择正确的负载均衡策略：

BIGIP支持以下负载均衡选项：

?轮询（RoundRobin）：顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生其次到第7层的故障，BIG/IP就把其从顺序循环队列中拿出，不参与下一次的轮询，直到其恢复正常。

?最小的连接数（LeastConnection）：传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生其次到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参与下一次的用户请求的分派，直到其恢复正常。

?最快模式（Fastest）：传递连接给那些响应最快的服务器。当其中某个服务器发生其次到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参与下一次的用户请求的分派，直到其恢复正常。

20

?观测模式（Observed）：连接数目和响应时间以这两项的最正确平衡为依据为新的请求选择服务器。当其中某个服务器发生其次到第7层的故障，BIG/IP就把其从服务器队列中拿出，不参与下一次的用户请求的分派，直到其恢复正常。

?预计模式（Predictive）：BIG/IP利用收集到的服务器当前的性能指标，进行预计分析，选择一台服务器在下一个时间片内，其性能将达到最正确的服务器相应用户的请求。(被BIGIP进行检测)

?动态比率（DynamicRatio）：BIGIP通过Agent或者SNMP收集服务器的CPU占用率、内存占用率、磁盘占用率等系统关键参数，并依照比率来对这些参数进行计算，最终得出服务器的性能状况来进行流量分派。

在Resource部分填入真实服务器的IP地址和对应端口。输入的方法为在左边填入之后点击向右的按钮：

其余选项均选择默认配置，然后点击最右下方Finish按钮终止。

21

3.3VirtualServer配置

在Pool配置终止后，才能进行VirtualServer配置。点击左侧菜单中的VirtualServers菜单项选择项

选择ADD按钮添加一个VirtualServer，输入VirtualServer的IP地址和服务端口。假使需要开放所有的Service，则在Service部分填入0。Netmask不需要输入。

22

点击Next继续

默认状况下，该页不需要任何配置。点击Next继续

23

选择VirtualServer对应的Pool名称。点击Done。则系统返回VirtualServerList页面。

3.4会话保持配置3.4.1会话保持的概念

24

会话保持主要用于将同一个客户端发出的多个连接分派到同一台服务器上。在一些状况下，譬如对应用服务器的负载均衡，从一个用户寻常会发出多个连接来完成整个交易。并且在服务器端会对每一个用户分派一个SessionID和一些其他的相关资源，这些资源寻常存放在服务器的内存里。这时，假使同一用户的多个请求被分派到不同的服务器上，则会出现服务器拒绝服务的状况。所以在对此类应用，我们寻常需要配置会话保持。

BIGIP内存放有一张会话保持表，记录会话与后端服务器的对应关系。假使在Pool中配置了会话保持，则在BIGIP运行过程中，未在会话保持表中有对应项的新建的联接将会命中Pool的负载均衡策略，然后BIGIP在会话保持表中参与该记录。而已经在会话保持表中的新建联接将会根据会话保持的策略去往对应的服务器。

常用的会话保持有两种，基于IP的会话保持和基于浏览器客户端的Cookie会话保持。基于IP的会话保持主要是根据源地址进行。此时BIGIP将同一IP认为是同一用户，凡是同一IP过来的连接均发往同一服务器。基于IP的会话保持寻常在大量客户端都为不同IP地址时使用。

基于浏览器客户端的Cookie会话保持主要是通过在BIGIP上插入、修改或读取Cookie方式实现。插入或修改的Cookie会依照BIGIP的格式进行插入，并且进行加密处理，不会泄露任何与用户相关的信息，具有良好的安全性。

选择左侧菜单Pools，出现Pool列表，然后选择需要配置的Pool。点击进入后，选择顶部的Persistence选项。出现以下页面：

3.4.2Simple会话保持

25

Simple会话保持即基于源地址的会话保持方式。

配置SimplePersistence则选中Simple选项，在Timeout中填入需要保持的时间，寻常该时间需要大于服务器端的Timeout时间。Mask选项主要用于将源地址分组，位于同一掩码网段的所有客户端在BIGIP上只存在一条记录。如掩码为时，则所有位于同一C网段的用户都会被认为是同一用户而分派到同一台服务器上。3.4.3Cookie会话保持

寻常状况下，我们采用InsertCookie的方式来保持对应用的最小修改量。在服务器不发放Cookie的状况下最为适合。不需要对服务器做出任何改动。

26

寻常我们选用ActiveHTTPCookie中的Insert模式，将时间值设置为0，则在浏览器未关闭之前，将持续使用该Cookie与BIGIP进行通讯。

3.5iRules配置

Rules配置是BIGIP灵活处理的部分，在寻常状况下，不需要配置Rules，此处可作一个了解，实际需要配置Rules的时候请与F5工程师联系。

当一个连接到达VirtualServer的时候，假使它没有命中当前的Session表，BIGIP系统可以通过执行rule来选择一个相关的pool。Rule可以根据特定的数据譬如IP包头来直接将流量转到相应的pool。例如，Rules可以配置为判断以下条件：

是否在数据包中包含以〞cgi〞作为结尾的HTTP请求？是否数据包的源地址是以八进制“206〞为开头？是否在TCP的数据包中包含字符串“ABC〞？

另外，可以通过创立一个rule来对用户请求进行重定向，譬如hostname，目标端口或者URI路径。Rules包含statementsandexpressions。在Expressions中，你可以使用大量元素，譬如函数，表达式运算符，literal或者运算符。

根据内容交换的需求不同，Rules的创立可以简单也可以繁杂。下面给出了一个简单的rule的例子。这个例子中将包含.gif和.html的连接送往cache_pool，其他的流量都送往poolserver_pool。

if(http_uriends_with\

27

use(cache_pool)}else{

use(server_pool)}

Rule配置举例：

在系统左侧的菜单中选择Rules，然后点击ADD按钮。

选择RuleBuilder则进入简单的Rule配置界面

28

点击Next继续。

选择Pool，则说明将源地址位于/24网段的地址发送到

testPool。将其余的流量发送到http_pool。

点击Done按钮则返回rule配置界面，选择test_rule。则可查看生成的rule

29

当然我们也可以在熟悉规则的语法之后，可以直接手动输入或者编辑规则的文本。

3.6Monitor配置3.6.1Monitor的添加

BIGIP自带的Monitor模版有20个，这里，我们以HTTPMonitor为例进行添加。

选择左侧菜单Monitor。

然后点击ADD按钮。

30

输入MonitorName，并选择InheritsFromhttp。点击Next

按钮继续。

31

此处配置健康检查的间隔和Timeout时间。在上例中，系统每5秒钟对服务器进行一次健康检查，在等待16秒没有收到返回结果则认为服务器故障。

点击NEXT按钮继续

在该配置下，由BIGIP向服务器发起GET/index.html\\r\\n的请求。在返回的结果中查询是否有字符串〞〞，假使找到〞〞则认为服务器正常工作。

点击NEXT继续

32

在DestinationService处填入服务器端口。此处以80端口为例。点击Done终止配置。

3.6.2NodeAddressMonitor配置

33

寻常，NodeAddress的监测通过icmp进行。

选择Monitor配置中顶部的NodeAddressAssociations。

在ChooseMonitor下拉菜单中选择icmp，点击向右的箭头，然后在节点IP对应的AssociateCurrentMonitorRule的CheckBox中选择。

点击Apply终止

34

3.6.3NodeAssociationMonitor配置

在Monitor配置中选择NodeAssociation，在ChooseMonitor下拉菜单中选择http_monitor。

35

点击向右的按钮并在节点IP后的AssociateCurrentMonitorRule的checkbox中选择。

点击Apply终止。

3.6.4Monitor的验证

验证Monitor是否生效可进入左侧System菜单，选择NetworkMap选项。

36

在节点地址和节点前均能看到绿色向上的箭头。

4.SNAT配置

4.1SNAT的概念

SNAT在BIGIP中的全名叫SecureNAT，主要包括NAT和SNAT两种。其中，NAT主要用于将内网的一个地址映射到外网的一个地址。SNAT是将多个地址对外映射为一个地址。

BIGIP的多对一的SNAT还分为两类，一类是将指定的源地址NAT为一个指定的地址；另外一类是将指定的原地址在离开BIGIP的时候NAT为BIGIP对应VLAN的SelfIP地址，也称为SNATAutoMap。

点击左侧菜单的SNAT选项，则进入SNAT的配置界面：

37

4.2NAT配置

在NATs的配置界面中点击ADD按钮

填入NATAddress和OriginAddress。寻常，NATAddress为External网段地址，OriginAddress为内部服务器或者客户端地址。配置完成后，则该内部地址被一对一映射到外部地址。

38

4.3SNAT配置

选择上方的SNATs控制选项，则进入SNAT的配置界面

在这里，一般不需要对默认配置进行改变。

4.3.1SNATIP配置

39

点击顶部左侧的ADD按钮添加一个SNAT

填入TranslationAddress，则说明将下方的OriginList的服务器或客户端主动发起的流量转换为该地址。BIGIP的OriginList可包含多个IP网段或者某个VLAN。点击向右的箭头即可将配置的网段或者VLAN参与OriginList。点击Done终止配置

40

4.3.2SNATAutoMap配置

在SNATAutoMap的配置中，需要两个步骤协同。

第一个步骤是配置SNATAutoMap，在TranslationAddress部分选择AutoMap，然后配置OriginList。

点击Done终止

其次个步骤是在Network->SelfIP中配置AutoMap。

41

这样，假使来自于OriginList的流量在离开BIGIP的时候，其源地址就会被转换成为对应SelfIP的地址。

5.Redundant配置

5.1BIGIPRedundant的概念

在BIGIP系统中，Redundant机制可保证系统的高可靠性。在一台设备或其网络连接发生故障的时候，BIGIP冗余系统可以在毫秒级切换到另外一台设备上，保证系统的正常运行。

两台BIGIP之间的通讯机制可通过两种方式进行：

串口数据线方式：通过相互检测对端的心跳信号，来判断对端设备的工作状态，在每台BIGIP设备内，都有专用的WatchDog芯片来产生心跳信号和检测对端的心跳信号。

网络数据线方式：两台BIGIP通过网络连接来发送和接收心跳信号。寻常，在两台BIGIP距离较远的时候采用这种方式。BIGIP的心跳网络连接要求二层通道。即可采用专用的数据线连接或者通过二层交换机连接。

两台BIGIP之间的切换触发除了以检测心跳之外，还有网关检查和VLAN检查方式。其中，网关检查方式较为常用，每台BIGIP上分别配置自己检查的网关地址，也可两台设备使用同样的网关地址，当Active设备无法Ping通网关的时候发生切换，假使两台设备均无法ping通网关，则都处于备份状态。VLAN检查方式下，BIGIP将会检查配置了VlanArmsafe的VLAN流量，假使该VLAN没有流量，则BIGIP自动重起，从而触发主备切换。寻常状况下，VLAN检查方式使用较少。

42

5.2Redundant配置

BIGIP设备的Redundant配置，可在系统进行初始化的时候进行，也可在系统初始化配置完成后进行。下面，以系统初始化完成后配置Redundant配置为例:

采用命令行方式登陆BIGIP，运行config命令，进入如下界面，选择R：

回车继续：

系统询问是否需要备份当前配置，回复Y继续

43

输入BIGIPFQDN名称，注意两台BIGIP不能使用同样的名称。

按多个回车键略过系统提醒部分。

对于冗余系统，一定要选择YES

44

对于设备1，选择UnitNumber1。这里UnitID只能为1或者2，两台BIGIP不能使用同样的ID。

在FailoverIP位置填入对端设备的冗余接口IP，寻常为单独划分的一个VLAN的SelfIP地址。

在随下的选项中选择Hardwired方式，也就是心跳线方式。余下的配置流