F5-BIG-IP安装配置维护手册

F5BIG-IP

安装、配置及维护手册

^^A)niTrusty

北京协力友信科技发展有限公司

2005年11月

目录

F5设备初始化安装3

功能配置及维护25

基于Web配置BIG-IP的准备25

基于Web配置BIG-IP25

服务器群组规定和VIP28

Pool（服务器池）配置28

会话连续性保持设定29

VinualServer（VIP）配置31

服务器健康状况监控44

健康检查管理界面44

定义特别的健康检查45

绑定对服务器的检查方法49

其它系统设置51

路由转发功能51

附加冗余设定52

查看实时系统内存状态53

日志文件54

Pool（服务器池）及其节点的实时状态56

设备管理58

多级管理员权限控制58

系统配置备份和恢复59

实时查看数据包分发状态60

注意事项61

管理员账号密码61

CBD机房F5BIG-IP配置内容62

F5设备初始化安装

F5所有的产品在初始化配置时是一样的，只是根据具体配置信息做相应更改即可。

准备工作：

使用超级终端建立一个连接，通过Console电缆一端连接BIG-IP,一端连接COM,COM

的参数设置如图：

针对本项目中的BIG-IP2400,具体配置信息如下：

1、建立连接后，输入“root”帐号和默认密码“default”（该密码可以通过标准的unix命令进行

更改）后，即可登录BIP-IP系统:

2、缺省的终端类型为山00,回车后在提示符下面输入config命令（config命令是对F5

进行初始化配置时使用的命令），如图:

2-SecureCRT-OX

EditViewOptionsTransferScriptTookWindowHelp

⑪虱I④泪|跑唱鼎与齿绣9f|B

Copyright1996-2002F5Networks,Inc.,Seattle,Washington,U.S.A.

Allrightsreserved.

F5,F5Networks,theF5logo,BIG-IP,3-DNS,ICONTROL,GLOBAL-SITE,

SEE-IT,EDGE-FX,FIREGUARD,INTERNETCONTROLARCHITECTURE,and

IPAPPLICATIONSWITCHareregisteredtrademarksortrademarksoF

F5Networks,Inc.intheU.S.andcertainothercountries.Allother

trademarksmentionedinthisdocumentarethepropertyoftheir

respectiveowners.

U.S.Patents6,374,300;6,473,802.Otherpatentspending.

BYUSINGTHISSOFTWAREYOUAGREETHATYOUHAVEREADTHELICENSEANDANY

OTHERRELEVANTLICENSE<S>,THATYOUAREBOUNDBYALLTERMSANDTHATITIS

THEONLYAGREEMENTBETWEENUS,SUBJECTTOAMENDMENTS,REGARDINGTHE

SOFTWAREANDDOCUMENTATION.PLEASENOTETHATYOUMAYNOTUSE,COPY,MODIFY

ORTRANSFERTHEPROGRAMORDOCUMENTATIONORANYCOPY,EXCEPTASEXPRESSLY

PROVIDEDBYAGREEMENT.

ContactinformationislocatedintheFile：/CONTACTS

Terminaltype?CvtlOO]

TArmiHAItUOAit”匕

|Readyssh2:AE5^|24,22-24Rows180ColsVT100/

3、命令执行后，出现配置主菜单，其中有3部分选项：（A）（R）/Requested/OptionaL当我

们第一次配置时可以使用选项A,以后修改配置时可以使用Requested配置，定义其他

选项时，可以使用Optional选项，冗余系统可以使用选项（R）,更改root密码可以使

用选项（P）,更改WEB管理员的密码（W）等。在这里,我们选择选项A

4、经过确认后，系统将提示您是否同意对系统配置代修改，并且您原来的系统设置会被存

在/usf7local/ucs/se1up_b文件当中做备份，在这里我们选择“是"继续。

5、经过确认页面后，进入键盘布局选择，通常情况下（缺省）选择：US-Standard101key：

6、接下来，系统要求用户键入root用户的口令，并确认一次:

7、要求用户输入BIG-IP完全域名（FQDN）,我们输入bip2400_b.jczx。这个域名没有实

际意义，只要是按照标准的域名格式填写即可。如图:

8、卜.面开始进入网络i殳置，首先是冗余的选择。由于这次我们实施的是两台设备冗余的方

案,因此我们选择“是”：

9、接着是冗余配置的基本信息，包括：UnitNumber（用来区分互为冗余的两台设备，不

存在主备之分）、FailoverIP（形成冗余的另一台设备的IP地址，通常建议采用单独

VLAN）、冗余监测方法（Hardwired表示用专用心跳线，Network表示用网线）。在这里,

UnitNumber输入2.FailoverIP（另一台BIG-IP的VLANfail_over的IP

地址），冗余监测方法选择Hardwired：

10、接着是端口速率传输设定，为10/100BASE-TX端口，通常情况下将其设置为auto即

可；为1000BAS3sx端口，通常情况下将其设置为auto即可；为管理用端口，设为

auto即可。如图所示，并按C键继续:

厘2-SecureCRT口回冈

FileEditViewOptionsTransferScriptTookWindowHelp

⑪刘④泪|电乌铝昌富线，9|国

i-CONFIGUREINTERFACES

Usethearrowkeystonavigate.Press<Enter>tochooseaninterface

andconfigureitsmediasettings.PressCtocontinue.

NOTE：Forbestresults,choosetheAutomediasetting.Insomecases,

devicesconfiguredforAutomediaareincompatibleandtheproperduplex

settingwillnotbenegotiatedbetweenthesedevices.Inthesecases

youmayneedtosetthemediasettingstothesamespeedandduplexon

boththisdeviceandthecorrespondingswitchorhost.

115

1♦16auto

2♦1auto

2♦2auto

3♦1Lauto

♦auto

<scN

ollisttosee«ore>

ReadysshZ:AE542f|15,2624Rows,80ColsVT100

11、下面进入VLANIP的设置，在VLANIP的设置界面中，按A可以增加新的VLAN,

按D可以删除现有VLAN。我们将多余VLAN删除，并仓U建新的VLAN,如下图所示:

选中VLANexternal,回车后，选择“禁止端口锁死"(Portlockdown功能定义管理员

是否可以通过这人VLAN进入BIG-IP系统进行管理。如果为on则为不能进入，如果

为。ft则为可以进入):

并进行如FIP设置:

设置完成后返回VLANIP设置主菜单:

选中VLANinternal回车后，同样选择“禁止端11锁死”:

并进行如下IP设置:

VLANIP最终设置如卜.图所示:

12、然后是VLAN端口的设定，VLAN端口的设置界面如下图所示:

选中external回车后，将1.17.8各端口前面选上X,划入该VLAN：

按C键返回:

按C键返回，然后选中internal回车后，将端II划入该VLAN：

2-SecureCRTEl回区1

EditViewOptionsTransferScriptTookWindowHelp

⑪刘热泪|电噂Q|乌考昌富终，9|国

——ASSIGNINTERFACEST0VLANS

Usethearrowkeystonavigate.Press<Enter>tochooseaVLANand

modifythelistofinterfaces.PressCtocontinue.

external1.11.21.31.41.5l.G1.71.82.12.2

internal1.151.16

Press<Enter>totoggleInterfacesForVLAN[internalJ：

Usearrowkeystoaccessinterfacesnotshown.PressCtocontinue♦

X1.15

X1C.1A6

Jo

l

23,a

Ready|ssh2:AES-12€|13,56|24Rows,80Cds|VT100

最终VLAN端口设置如下:

13、下面选择host文件里对应刚才输入的FQDN(bip2400_b.jczx)的VLANIP,我们选

择external：

14、下面是定义默认网关，我们输入06254：

10.10.6.32-SecureCRT口回国

EditViewOptionsTransferScriptTookWindowHelp

疝就泪I电eq•考昌富终，91国

-CONFIGUREDEFAULTGATEWAY

ThedefaultgatewayroutedetermineswheretheBIG-IPshouldsend

networktrafficForwhichthereisnomorespecificroute.

Tosetupasingledefaultroute,typeonedefaultgatewayIPaddress♦

Ifyoutypemorethanoneaddress,theBIG-IPcreatesadefault

gatewaypool.TheFirstaddressinthelistisenteredasa

traditionaldefaultroute.EachIPaddressinthelistmustbeonthe

sameIPnetworkastheBIG-IP.NOTE;Onlyadefaultroute,nodeFault

gatewaypool,willbesetuponunlicensedsystems.

Enterdefaultrouteaddressesseparatedbyaspace.

Ifyoudonotwantadefaultroute,leavethisoptionblank,

IPs：10.10.6.254-

Readyssh2:AES-12J18,2024Rows,80ColsVT100

15、然后是Web管理的相关设置，首先进入如卜界面:

这个管理界面用又将域名与VLAN作一对一的绑定，只有作了域名绑定的VLAN才能

够被管理者从远程通过Web的方式访问到。因此，我们将现有的两个VLAN都进行

域名绑定，以便进行远程Web管理。首先选中external,回车：

输入合适的FQDN后回车，选择“Replacekeys"，以使BIP重新生成HTTPS访问所

需要的key,完成后返回域名与VLAN绑定的主设置菜单，选择internal,进行相同设

置:

输入合适的FQDN后回车，选择“Replacekeys"，以使BIP重新生成HTTPS访问所

需要的key。

最终域名与VLAN绑定结果如下图:

85]2-SecureCRT-OX

FileEditViewOptionsTransferScriptTookWindowHelp

⑪盅i④泪I电eQ|0鼎昌囱矮qf|B

I-CONFIGUREWEBUTILITYINTERFACES

YouwillnowconfiguretheBIG-IPwebserverforusewiththe

ConfigurationUtility.Thewebservermaylistenonanyorallof

theVLANSbelow.ForeachVLAN,youwillbeaskedForthenameby

whichtheserverwillbeknownonthenetworkassociatedwiththat

VLAN,Itisvalidtoassignthesamenametomorethanoneentry.

Usethearrowkeystonavigate.Press<Enter>tochooseanentryto

configure,modify,orreplacekeys.Press"C'tocontinuetonext

stage.

externalexternal.bigip2400_b.Jczx♦gov.cS

internalinternal.bigip2400Jb.Jczx.gov.cn

Readyssh2:AES-12£|13,5324Rows,80ColsVT100A

16、下面是Web访问管理的管理员密码设定:

17、接下来是设定Web管理者的IP范围，可以使用*作为通配符:

18、然后，系统需要用户输入一些相关信息，以便生成SSL需要的key（理论上讲这里的

信息可以任意填写）：

10.10.6.32-SecureCRT口回国

EditViewOptionsTransferScriptTookWindowHelp

疝就泪I电eq•考昌富终，91国

I-ENTERWEBSERVERCERTIFICATION

Country：CN

State/Province：BJ

City：BJ

Company：GD

CompanyDivision：GD

Entertheinformationtogenerateaself-signedSSLcertificate.This

willenableSSLonyourwebserverandshouldbesufficientforinternal

use.YoumillbeaskedForyourcountry,state,city,company,and

companydivision.Theentereddataisnotvalidatedxbutkeepinmind

thatitwillbedisplayedwiththecertificate.Itisvalidtoleave

the"Division"Fieldblank.

Readyssh2:AES-12€8,3424Rows,80ColsVT100

19、下面是远程SSH访问的设定，首先选择“改变原有SSH设定”:

20、然后设定SSH管理者的IP地址范围:

21、下面BIP会让用户选择，是否为F5工程师留有一个可远程登录此设备的support帐

号，以便接受远程的技术支持服务。通常，为安全起见，我们直接按回车，将此帐号

关闭：

22、然后是时区设置，我们选择“Asia/Shanghai"（无Asia/BHjing）：

23、关闭NTP功能:

24、DNSProxy功能无须设置:

25、由于我们没有结合外部的LDAP或RADIUS服务器对用户进行身份验证、计费的需求,

所以在“是否采用远程认证”这一项里选择“N”：

26、全部初始化设置完毕:

27、BIP将自动重启，如果BIP没有自动重启，建议手动键入reboot命令使设备重启:

至此，全部初始化配置完成，以后如果需要更改一些设置，可以通过再次输入config命令,

使用REQUESTED、OPTIONAL下面的选项，进行修改。它们是选项（A）的一部分。

功能配置及维护

基于Web配置BIG-IP的准备

1、PC一台

2、IE4或者更高的版本

基于Web配置BIG-IP

由于我们在前面已经对BIG-IP进行了初始化配置，所以在这里，只要使我们的客户端主机

能够访问到BIG-IP,即可通过Web界血对BIG-IP进行配置维护。由于BIG-IP使用SSL加密的

HTTP,所以我们在IE的地址栏内输入：，回车即可。如下图所示：

3aboutd>lank-MicrosoftInternettxplorer

NeEd<VtewTookHeip的

二G：凶圆心Q』也Wi0氏BN.回卷&»

七|葡httpg：“l0.10^^一近十Co：]洪•|三的"MchWcb,Wopttrw,

Opent^pagehttp$://10.10^.32/...[■■■]U:internet

±7drt»均4boa：bUnt・~g♦.SI2-Secure...qDoomenU・网050..10:26

IE会提示安全警告信息，缺省为No,为了配置BIG-IP选择Yes。

然后系统提示输入基于WEB配置的用户名和密码:

Connectto2?x

在初始化配置时，我们已设置密码为:

用户名：admin

密码：default

注：这个用户名及密码的定义是在初始化时配置的，如果用户想对密码进行更改，必需到超

级终端中选择（W）Configwebservers项进行更改。

单击OK,进入BIG-IP的WEB页面，单击超级链接ConfigureyourBIG-IP(R)usingthe

ConfigurationUtility：

3BIG-IP-Micro»oftInternetExplorer

FifeEd<V^ewF^orftesTookHdp

，。画国心户…☆，《<««e氏3・,皿笈y•

|匐httA：“l0.10632jb^wVbQ：N3?co<rmZ・Qene<&jrdex▼[g]GoCo•[—三]除SearchWeb■&)292UocUd@OphrwJ

ConfigurationUtility

TheConfiguratonUtilitytsawebapplicationthatyoucanusetoadministerandmonrtorthisBIG-IP(R)overasecure

BIGIPconnectionFomthisutilityyoucancooHgureaw>devarietyofitemsmdudingkrtualserversandnodes,redundantsyslemsettogi,

IPfibersandralefibers,networkaddresstranslationsforindividualnodes,andSNMPsettmgs

SuppoitedBiowseis:Netscape(R)Nwgator(R)47(Windows(R)orUnuxOS),andMicrosoft(R)InternetExplorer50and55

(WidowsOS)

CoiifiUineyouiBIGIP⑻usingtfieC

Vigwihe"theConfigijratiooUbhtvSo

SgtupUlilhyUsefwfirst-timeboo：setup

SiteConfigurationWizards

QasjcSiltConfi<iut<>tionWizoid

ie_SheC、nflgmailonWizdid单击这里进入配置界面

ActiveActiveWizui

On-lineDocumentation

8GpSoMon$Guide(odO

Rafe佗neeGuide(p%

单击这里可以卜载Link

AdditionalLinksF5NecworkEHomePage的说明文档

AskF5WebS3Control

CompMYComaciIMormalion_

TermsandEndUse，LicenseAgreement

AgreementsLeaalNohc”

AdditionalSoftwareDownloads

SSHSSHChEs

SNMP81GlpMi8ElhRdjkeMIS1“。危」9MB

RMONMl。BnUgtMI6

4)Oom二合.Internet

然后进入BIP设置的主页面:

⑥小应用年序夕叫出stated；S3:Q•讯阳必

通过上面这个页面，我们就可以对F5进行一系列的功能配置。

服务器群组规定和VIP

本手册中的配置以本项目中的BIG4P2400（10.10632）为例

由于我们要对后台服务器做负载均衡，所以要提供一个供Intranet用户访问的IP地址，在

BIG-IP中，我们称这个IP地址为VIP.要建立VIP要做两个工作：其一是对需要做负载均衡的服

务器设置成组（在BIG-IP中我们称这个组为Pool（服务器池））：其一是要为这个组设置一个VIP.

具体配置如下：

Pool（服务器池）配置

通过单击页面左侧对象树的Pool（服务器池），在页面右侧显示Pool（服务器池）的信息。

我们可以根据需要通过单击添加一个pool（服务器池），也可以通过单击国来删除

□,会出现如下图所示的设置窗口:

一个Pool（服务器池）。点击

在上面的窗口中可以编辑Pool（服务器池）的相关信息，其中包括：可以编辑Pool（服务滞池）

的名字（zhenghe）；可以在LoadBalancingMethod下拉菜单中选择一种适合的负载均衡的算法，

在Resources中，输入要做负载均衡的Server的IP地址、服务、与同一个Pool（服务器池）中

其它Server之间的轮发数据报的比例、优先级。然后单击>>,同样输入所有做负载均衡Server

的信息，然后单击DONE,完成Pool（服务器池）的添加。

另外，通过点击对应的Pool（服务器池）的名称这个对象，我们可以浏览和编辑该Fool（服

务器池）对象的各种属性：负载均衡算法、成员列表、权重比率、优先级、会话连续性保持、Pool

（服务器池）会话状态等。编辑修改任何属性后，需点击“Apply”使新的配置生效。

会话连续性保持设定

单击对应的Pool（服务器池）的名称，进入下图界面:

3ConfiqurationUUlity-MicrosoftinternetLxplorer

&*eiJewFff^orfceslootUdp

Q«**•0回国6/赍，*2e备心%，UKB£11•⑥，

▼]HGoCoogk"[三]&SearchWeb,§)292UocUd@OpbmsJ

二i：金)http5：//l2ibg<^uitibQ：or/.eg

BIIINIIHbigip2400_BIGIP

Standby?

2311:18:51CST2OO4PodSwtstcsVPersisteNConnectons

000449

ReturntcPoolLis：

System

由VirtualServers

2NodesPoolzhenghe

君Pools

9RulesLeosiConnections(nodeoddress)▼

士NATs

歌中骑CurrentMembers

,ProxiesMemberAddressService:

PNetwork

&FiltersResources:10.106.11:8000

010.106.H8000

Monitors

LBIGpipeorchoose▼orchoose▼

CStatistics

Minimum,

■LogFiles

ActiveMembers:

MMindtermSSH

窗SystemAdminFallbackHost:

HeaderToInsert:

HeaderToErase:

EnableSNAT:

EnableNAT:.

rncar

IInknn<8-

朗小应用程序夕必出3.irwt

继续点击“Persistence"，进入会话连续性保持设定:

3ConGqurationUUlfty-、ro40ftInternetLxplorer

&teW<lookUdp

,0回图6Qjk货.ES*20备融△•jm£1"⑥，

二)：金]http5：“l0.10632ibQRAg：Nc。▼]QGoCoogle[三]&SearchWeb,§3292UocUd@OpbmsJ

fSIIINIRHbigip2400_

Standby

Frig2311:19:01CST2004PoolPropert>^\/%r*HtensVPoetPemstentConrtecacm

Wkne00(X59

■,System

AVirtualServersPoolzhenghe

2Nodes

理PoolsMirror

8RulesNodeSelec

士NATsExpression

lhProxiesNone

PNetwork

SSLTimeout:

&Filters

MonitorsSIP

LBIGpipeTimeout:

BStatisticsSimple

■LogFiles

MMindtermSSH

%SystemAdmin

Timeout:

PersistenceType

Expression:

PassiveHTTPCookie

Method:

secs

©小应用程序夕双7出stated

根据需要，启用SimplePersistence功能，将Timeout时间设置为7200秒，用以根据用户

端IP保证用户访问服务器的持续性。由于是冗余系统，在“MirrorPersistence”后面打勾，开启“会

话连续性保持信息即时同步工

VirtualServer(VIP)酉己置

通过单击页面左侧对象树的VirtualServers,在页面右侧显示VirtualServers的信息:

益小应用H序夕（出stated3・…必

同样的，我们可以根据需要通过单击来添加一个VIP,也可以通过单击值来删除一个

VIP。点击丽D|,会出现如下图所示的设置窗口:

在上图窗口中“Address"一栏中填入VIP的IP地址0635；“Service”一栏填入VIP提供服务

的TCP/UDP端口号80（或者从右面下拉框中选择），不填即代表0,也就是所有端口；“Netmask”

一栏可以根据需求填写子网掩码，使VIP成为一组IP,而非一个单一IP。完成后点击“NEXT”出

现如下窗口：

mAddVirtualServerWizard-MicrosoftInternetExplorer-nx

?

卷MmMSAddVirtualServerHELP

ConfigureBasicProperties

Enable:

EnableAddressTranslation:

EnablePortTranslation:0

EnableResetonServiceDown:□

EnableConnectionRebind:□

EnableARP:

EnableResetonTimeout:

DisableFastFlowAcceleration:□

ConnectionLimit:

Disaoled:Existing:

回

external

DisabledVLANsinternal

CANCELPREVIOUSNEXT

这里我们可以设定该VIP是否允许地址转换(AddressTranslation)和端口转换(Port

Translation),以及该VIP在哪些VLAN里面生效。根据具体需求,这里无须改动，直接点击“NEXT”,

进入下一页面：

在这个窗口中可以选择该VIP使用的Pool（服务器池），或Rule。在这里我们选择刚刚设

置好的Pool（服务器池）一zhenghe。点击“NEXT”继续:

mAddVirtualServerWizard-MicrosoftInternetExplorer-[nX

®NIIHIIKSAddVirtualServerX

ConfigureRedundantProperties

CANCELPREVIOUSNEXTDONE

这个窗口用来设置该VP的会话信息是否即时同步到互为冗余的另一台BIPo出于应用系统

需求，我们将其选择为“是”，在后面的方框中打上勾。点击“NEXT”，系统会提示进行会话信息同

步将消耗大量的系统性能，点击“Yes”，确定，出现下图窗口：

这个窗口用来设置“下一跳”使用的Pool（服务器池）。点击“DONE"，完成VIP的添加。完成

后如下图所示:

4］小应用艺序夕MA（出started讯审M

点击0635,进入该VIP的属性配置界面:

3ConGqurationUUlfty-MicrosoftinternetLxplorer

W<lookUdp

0^-Q回国弓✓isea,£heQ-&团“j©级”⑥，

&)httx：“l0.10632QgwA^y"c。▼gjsGo.igk'r，|除SearchWeb-RjZ9ZUocled包Opttorw/

BIIIHIIHbigip2400_BIGIP

Standby

VrtuaiAMtess?

Fri23112402CST2004Proped电5

001000

ReturntoVirtualServerList

System

由VirtualServers

2NodesVirtualServer5:80

名Pools

8RulesEnable:“

士NATsStatus:ENABLE厂

■ProxiesVirtualServerAddress(5)Status:ENABLED

P

NetworkEnableTranslation:Address9,PortR

&Filters

EnableResetonServiceDown:□

/Monitors

EnableConnectionRebind：!□

C-BIGpipe

EnableARP:f3

DStatistics

■LogFilesEnableResetonTimeout:/

MMindtermSSHDisableFastFlow