1. 连接BIGIP
1.1 Console方式
基于Console终端配置BIG-IP 的准备
安装Windows操作系统的PC一台(装有超级终端)
BIGIP设备自带的Console电缆一条
使用超级终端建立一个连接,通过Console电缆一端连接BIGIP,一端连接COM,COM的参数设置如图:
1.2 网络连接方式
1.2.1 基于WEB方式
在浏览器地址栏键入https://(BIGIP 设备IP地址),如下图:
回车后,出现以下界面:
此对话框为浏览器与BIGIP通讯交换的证书提示,点击“是”继续
输入用户名和密码点击确定继续
点击Configure your BIGIP Using Configration Utility进入BIGIP配置主界面。在此页面的下方可下载BIGIP的操作手册(Reference Guide)、SSH Client软件和BIGIP的私有MIB库等。
此界面为BIGIP的配置主界面,左侧为系统配置主菜单。右侧为具体功能配置和显示界面,右侧顶部为菜单子项目切换按钮。点击后即可切换配置界面。
1.2.2 基于SSH方式
基于SSH方式访问BIGIP有两种方式:
一种是采用专用的客户端,此处以SecureCRT为例:
在Secure CRT中新建连接,配置如下:
另外一种方式是登陆进入BIGIP WEB管理界面后启动BIGIP自带的SSH Client ->MindTerm SSH:
点击Minterm SSH后弹出单独窗口如下:
键入root用户和对应密码后出现:
直接回车选择终端类型为Vt100即可
注意:如果客户端使用Windows XP系统并且没有安装JAVA虚拟机时,该功能不可用。
2. 网络配置
2.1 网络配置步骤及流程
2.1.1 L2 Vlan 配置
通过单击页面左侧对象树的Network,在页面右侧显示VLAN的信息。
在这里以配置两个VLAN“external”和“internal”为例:
点击系统左侧Network菜单
通过单击这两个对象,可以进一步观察这两个网络的具体配置。
如果要删除某个网络对象,可以单击图标
这是“external”网络的窗口。
如果要修改该网络所包括的Interfece,可从Resource中左侧的Interface Number中选取空闲的端口后,单击untagged>>,添加到当前的VLAN中。在Current Interfaces中选中一个或几个端口,单击<<可以把端口从当前VLAN中删除。划定端口后,单击DONE。
以下是““internal ”网络的窗口。
2.1.2 L3 self ip 配置
新添加的VLAN没有IP地址,需要给所有的VLAN指定一个IP地址。单击Network->Self IP Address
通过单击相应的IP地址可以对其相关配置进行浏览和修改。
下图是两台BIG-IP外网IP地址的配置窗口
通过单击VLAN框的下拉按钮,可以选择该IP地址对应的网络。
注意:
上图中的Floating 复选框如果是 Share IP必须选中。如果是实际IP不要选中。
我们可以根据需要通过单击 来添加一个IP地址,也可以通过单击 来删除一个IP地址。
2.2 服务器直连模式网络配置
在结构一下,我们需要进行以下网络配置
2.2.1 网络连接拓扑图
在该模式下,所有的服务器都直接连接到BIGIP上。如果服务器单网卡运行,则通常将同组的服务器连接分散在两台BIGIP上。如果服务器为双网卡冗余模式,则可将每台服务其的两块网卡分别连接在BIGIP上。BIGIP通过交叉连接方式连接到上端的交换机。注意需要在上端交换机中开启SpanningTree,而在BIGIP上则无需启动SpanningTree。
2.2.2 VLAN划分
在服务器直接连接模式,建议BIGIP上划分4个VLAN,分别为:
External: 用于连接上端交换机,根据上端交换机不同,我们可以将千兆光纤端口或者100M以太网端口划分在此VLAN中。
Internal: 用于连接后端的服务器,通常,我们采用100M端口连接后端服务器。
failover_vlan: 主要用于两台BIGIP之间的配置同步和Session同步。通常情况下在端口数量足够的时候我们用一个单独的端口用于配置和Session同步。如果在端口数量不足时,可不使用本VLAN而使用internal VLAN来进行配置和Session同步。
Admin: 该VLAN为BIGIP保留VLAN,主要用于网络管理,该VLAN只包含一个3.1端口。建议通常情况下保留该端口不使用,在进行现场调试或配置的时候再使用该端口进行错误排查和管理配置。
默认情况下,BIGIP上已经配置了External、Internal和Admin VLAN,所以只需要添加failover_vlan即可。
2.2.3 IP地址划分
每个VLAN必须采用不同的IP网段。BIGIP上必须配置的IP包括以下几个部分:
External vlan self IP 为BIGIP External Vlan与其它设备互联的IP地址,每台设备的External Vlan Self IP均是不同的
External vlan shared IP 为两台BIGIP在External Vlan上的浮动地址,该地址会漂移在Active的BIGIP设备上,主要用于上端路由器指往下一段IP的网关地址,在Redundence结构下,两台BIGIP的External Vlan Shared IP的地址是相同的
Internal vlan self IP 为BIGIP Internal Vlan与其它设备互联的IP地址,每台设备的Internal Vlan Self IP均是不同的
Internal vlan shared IP 为两台BIGIP在Internal Vlan上的浮动地址,该地址会漂移在Active的BIGIP设备上,主要用于后端服务器指往下一段IP的网关地址,在Redundence结构下,两台BIGIP的Internal Vlan Shared IP的地址是相同的
Failover_vlan self IP 为两台BIGIP之间相互访问的专用地址,主要用于配置同步和Session同步。建议两台设备分别为1.1.1.1/24和1.1.1.2/24
Failover_vlan shared IP 为两台BIGIP在Failover_vlan上的浮动地址,该地址会漂移在Active的BIGIP设备上,该地址没有实际作用,建议配置该地址为:1.1.1.254/24
Admin vlan self IP 为BIGIP Admin vlan地址,该地址主要用于设备管理,在BIGIP出现故障或进行现场维护的时候使用,每台设备的Admin Vlan SelfIP均为192.168.1.245/24,如果需要接入网管网,则可根据网管网的IP地址划分进行重新配置
Admin vlan shared IP 为两台BIGIP在Admin Vlan上的浮动地址,该地址会漂移在Active的BIGIP设备上,该地址没有实际作用,建议配置该地址为192.168.1.254/24
2.3 服务器非直连模式网络配置
2.3.1 网络拓扑结构
在该结构下,所有服务器均连接在二层交换机上,通过二层交换机再连接到BIGIP上。每台BIGIP通过交叉网线连接到与其相关的每台设备。在BIGIP上关闭SpanningTree功能,在其他交换机上开启SpanningTree功能。
2.3.2 VLAN划分
在服务器非直接连接模式,建议BIGIP上划分4个VLAN,分别为:
External: 用于连接上端交换机,根据上端交换机不同,我们可以将千兆光纤端口或者100M以太网端口划分在此VLAN中。
Internal: 用于连接后端的服务器,通常,我们采用100M端口连接后端服务器。
failover_vlan: 主要用于两台BIGIP之间的配置同步和Session同步。通常情况下在端口数量足够的时候我们用一个单独的端口用于配置和Session同步。如果在端口数量不足时,可不使用本VLAN而使用internal VLAN来进行配置和Session同步。
Admin: 该VLAN为BIGIP保留VLAN,主要用于网络管理,该VLAN只包含一个3.1端口。建议通常情况下保留该端口不使用,在进行现场调试或配置的时候再使用该端口进行错误排查和管理配置。
默认情况下,BIGIP上已经配置了External、Internal和Admin VLAN,所以只需要添加failover_vlan即可。
2.3.3 IP地址划分
每个VLAN必须采用不同的IP网段。BIGIP上必须配置的IP包括以下几个部分:
External vlan self IP 为BIGIP External Vlan与其它设备互联的IP地址,每台设备的External Vlan Self IP均是不同的
External vlan shared IP 为两台BIGIP在External Vlan上的浮动地址,该地址会漂移在Active的BIGIP设备上,主要用于上端路由器指往下一段IP的网关地址,在Redundence结构下,两台BIGIP的External Vlan Shared IP的地址是相同的
Internal vlan self IP 为BIGIP Internal Vlan与其它设备互联的IP地址,每台设备的Internal Vlan Self IP均是不同的
Internal vlan shared IP 为两台BIGIP在Internal Vlan上的浮动地址,该地址会漂移在Active的BIGIP设备上,主要用于后端服务器指往下一段IP的网关地址,在Redundence结构下,两台BIGIP的Internal Vlan Shared IP的地址是相同的
Failover_vlan self IP 为两台BIGIP之间相互访问的专用地址,主要用于配置同步和Session同步。建议两台设备分别为1.1.1.1/24和1.1.1.2/24
Failover_vlan shared IP 为两台BIGIP在Failover_vlan上的浮动地址,该地址会漂移在Active的BIGIP设备上,该地址没有实际作用,建议配置该地址为:1.1.1.254/24
Admin vlan self IP 为BIGIP Admin vlan地址,该地址主要用于设备管理,在BIGIP出现故障或进行现场维护的时候使用,每台设备的Admin Vlan SelfIP均为192.168.1.245/24,如果需要接入网管网,则可根据网管网的IP地址划分进行重新配置
Admin vlan shared IP 为两台BIGIP在Admin Vlan上的浮动地址,该地址会漂移在Active的BIGIP设备上,该地址没有实际作用,建议配置该地址为192.168.1.254/24
2.4 透明模式网络配置
2.4.1 网络拓扑结构
在透明模式下,BIGIP以单臂方式接入,服务器、BIGIP上的Virtual Server在同一网段上。该方式有一个限制就是访问Virtual Server的客户端与服务器不能位于同一网段。并且要求服务器的默认网关均指向BIGIP。
2.4.2 VLAN划分
在透明模式下,建议BIGIP上划分3个VLAN,分别为:
Internal: 用于连接后端的服务器,通常,我们采用100M端口连接后端服务器。
failover_vlan: 主要用于两台BIGIP之间的配置同步和Session同步。通常情况下在端口数量足够的时候我们用一个单独的端口用于配置和Session同步。如果在端口数量不足时,可不使用本VLAN而使用internal VLAN来进行配置和Session同步。
Admin: 该VLAN为BIGIP保留VLAN,主要用于网络管理,该VLAN只包含一个3.1端口。建议通常情况下保留该端口不使用,在进行现场调试或配置的时候再使用该端口进行错误排查和管理配置。
默认情况下,BIGIP上已经配置了External、Internal和Admin VLAN,所以我们需要删除External VLAN并添加failover_vlan。
2.4.3 IP地址划分
每个VLAN必须采用不同的IP网段。BIGIP上必须配置的IP包括以下几个部分:
Internal vlan self IP 为BIGIP Internal Vlan与其它设备互联的IP地址,每台设备的Internal Vlan Self IP均是不同的
Internal vlan shared IP 为两台BIGIP在Internal Vlan上的浮动地址,该地址会漂移在Active的BIGIP设备上,主要用于后端服务器指往下一段IP的网关地址,在Redundence结构下,两台BIGIP的Internal Vlan Shared IP的地址是相同的
Failover_vlan self IP 为两台BIGIP之间相互访问的专用地址,主要用于配置同步和Session同步。建议两台设备分别为1.1.1.1/24和1.1.1.2/24
Failover_vlan shared IP 为两台BIGIP在Failover_vlan上的浮动地址,该地址会漂移在Active的BIGIP设备上,该地址没有实际作用,建议配置该地址为:1.1.1.254/24
Admin vlan self IP 为BIGIP Admin vlan地址,该地址主要用于设备管理,在BIGIP出现故障或进行现场维护的时候使用,每台设备的Admin Vlan SelfIP均为192.168.1.245/24,如果需要接入网管网,则可根据网管网的IP地址划分进行重新配置
Admin vlan shared IP 为两台BIGIP在Admin Vlan上的浮动地址,该地址会漂移在Active的BIGIP设备上,该地址没有实际作用,建议配置该地址为192.168.1.254/24
2.5 静态路由的添加
BIGIP上的路由添加有两种方式:
方式一:在命令行模式下键入以下命令:
route add -net 192.168.1.0 -netmask 255.255.255.0 -gateway 10.1.1.1
该命令表示去往网段192.168.1.0/255.255.255.0通过网关地址10.1.1.1
通过命令行方式添加的路由立即生效,但在BIGIP重起后丢失。
方式二:编辑文件/config/routes
在命令行界面用VI创建一个文件/config/routes。在该文件中添加命令行:
route add -net 192.168.1.0 -netmask 255.255.255.0 -gateway 10.1.1.1
保存文件,在系统重新启动后该路由仍将保持。
3. 服务器负载均衡配置
3.1 负载均衡的概念
BIGIP对负载均衡的实现,主要通过Virtual Server、iRules、Pool、Node、Monitor和Persistent(会话保持)实现。
Node为每一个服务器的IP地址加上服务端口。每一个Node代表一个应用程序。在配置过程中,Node不需要单独添加,而在Pool的配置中进行。通常,在一个对外提供同样功能的Node组中,所有的Node必须保持一致。
Pool的主要作用是对一组执行相同功能的服务器应用进行捆绑,在Pool中可定义负载均衡算法,将外部的访问流量按照规则分配到不同的服务器上。在定义一个Pool时,必须知道每台服务器的IP地址和对外提供服务的端口号,不同的服务器可以以不同的端口提供服务,BIGIP可执行端口映射将这些服务对外进行统一端口服务。
iRules是BIGIP特性中的一个重要组件,Rule是一个用户编写的script,用来在两个或者更多的pool中进行选择。换句话说,rule用于根据一定的判断条件选择和一个Virtual Server相关联的pool。Rules是一个可选的特性使您可以将流量不单是定义到默认的对应Virtual Server的pool。Rules允许您直接将流量分配到您所指定的pool中去。
Virtual Server为BIGIP上对外提供服务的地址加上服务端口,每个Virtual Server后对应一个或者多个Pool。BIGIP将从每个Virtual Server接收到的流量分配到一个或多个Pool中,然后按照Pool重的负载均衡算法分配到一个或多个Node中。
Monitor的作用是检查服务器的健康状态。BIGIP对服务器的健康检查配置分为3个部分,Node Address,Node Associations和Service。其中Node Address相关的部分主要是通过ICMP检查服务器节点状态。对于每一个地址,如果其Node Address检查状态失败,则与该IP相关的所有Node(端口)均会设置为失败状态。Node Associations主要是检查服务器上的端口,该健康检查的配置为每个 IP:端口组合设置。Services则是对所有的同样服务端口的节点都进行同样的健康检查。Services 配置主要目的是简化配置,通常情况下不建议使用。
对于客户端每发起的一个Soket连接,BIGIP识别为一个Connection。在BIGIP内部,存放有一张所有Soket连接分配的服务器对应表。该表的单项结构大致如下:
SIP SPort Virtual Server IP:Port Node IP:Port
SIP:客户端的源IP地址
Sport:客户端发起请求的源端口,通常,该端口为一个随机值
Virtual Server IP:Port :用户访问的Virtual Server地址和端口
Node IP:Port:该Connection被分配去往的Node节点IP和端口
3.2 Pool配置
点击左侧Pools菜单,选择ADD。
填入pool名称,并选择正确的负载均衡策略:
BIGIP支持以下负载均衡选项:
? 轮询(RoundRobin):顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7 层的故障,BIG/IP 就把其从顺序循环队列中拿出,不参加下一次的轮询,直到其恢复正常。
? 最小的连接数(LeastConnection):传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7 层的故障,BIG/IP 就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
? 最快模式(Fastest):传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7层的故障,BIG/IP 就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
? 观察模式(Observed):连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7 层的故障,BIG/IP 就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
? 预测模式(Predictive):BIG/IP 利用收集到的服务器当前的性能指标,进行预测分析,选择一台服务器在下一个时间片内,其性能将达到最佳的服务器相应用户的请求。(被BIGIP进行检测)
? 动态比率(Dynamic Ratio):BIGIP通过Agent或者SNMP收集服务器的CPU占用率、内存占用率、磁盘占用率等系统关键参数,并按照比率来对这些参数进行计算,最终得出服务器的性能状况来进行流量分配。
在Resource部分填入真实服务器的IP地址和对应端口。输入的方法为在左边填入之后点击向右的按钮:
其余选项均选择默认配置,然后点击最右下方Finish按钮结束。
3.3 Virtual Server配置
在Pool配置结束后,才能进行Virtual Server配置。点击左侧菜单中的Virtual Servers菜单选项
选择ADD按钮添加一个Virtual Server,输入Virtual Server的IP地址和服务端口。如果需要开放所有的Service,则在Service部分填入 0 。Netmask不需要输入。
点击Next继续
默认情况下,该页不需要任何配置。点击Next继续
选择Virtual Server对应的Pool名称。点击Done。则系统返回Virtual Server List页面。
3.4 会话保持配置
3.4.1 会话保持的概念
会话保持主要用于将同一个客户端发出的多个连接分配到同一台服务器上。在一些情况下,比如对应用服务器的负载均衡,从一个用户通常会发出多个连接来完成整个交易。并且在服务器端会对每一个用户分配一个Session ID和一些其他的相关资源,这些资源通常存放在服务器的内存里。这时,如果同一用户的多个请求被分配到不同的服务器上,则会出现服务器拒绝服务的情况。所以在对此类应用,我们通常需要配置会话保持。
BIGIP内存放有一张会话保持表,记录会话与后端服务器的对应关系。如果在Pool中配置了会话保持,则在BIGIP运行过程中,未在会话保持表中有对应项的新建的联接将会命中Pool的负载均衡策略,然后BIGIP在会话保持表中加入该记录。而已经在会话保持表中的新建联接将会根据会话保持的策略去往对应的服务器。
常用的会话保持有两种,基于IP的会话保持和基于浏览器客户端的Cookie会话保持。基于IP的会话保持主要是根据源地址进行。此时BIGIP将同一IP认为是同一用户,凡是同一IP过来的连接均发往同一服务器。基于IP的会话保持通常在大量客户端都为不同IP地址时使用。
基于浏览器客户端的Cookie会话保持主要是通过在BIGIP上插入、修改或读取Cookie方式实现。插入或修改的Cookie会按照BIGIP的格式进行插入,并且进行加密处理,不会泄露任何与用户相关的信息,具有良好的安全性。
选择左侧菜单Pools,出现Pool列表,然后选择需要配置的Pool。点击进入后,选择顶部的Persistence选项。出现以下页面:
3.4.2 Simple会话保持
Simple会话保持即基于源地址的会话保持方式。
配置Simple Persistence则选中Simple选项,在Timeout中填入需要保持的时间,通常该时间需要大于服务器端的Timeout时间。Mask选项主要用于将源地址分组,位于同一掩码网段的所有客户端在BIGIP上只存在一条记录。如掩码为255.255.255.0时,则所有位于同一C网段的用户都会被认为是同一用户而分配到同一台服务器上。
3.4.3 Cookie 会话保持
通常情况下,我们采用Insert Cookie的方式来保持对应用的最小修改量。在服务器不发放Cookie的情况下最为适合。不需要对服务器做出任何改动。
通常我们选用Active HTTP Cookie中的Insert模式,将时间值设置为0,则在浏览器未关闭之前,将持续使用该Cookie与BIGIP进行通讯。
3.5 iRules配置
Rules配置是BIGIP灵活处理的部分,在通常情况下,不需要配置Rules,此处可作一个了解,实际需要配置Rules的时候请与F5工程师联系。
当一个连接到达Virtual Server的时候,如果它没有命中当前的Session表,BIGIP系统可以通过执行rule来选择一个相关的pool。Rule可以根据特定的数据比如IP包头来直接将流量转到相应的pool。例如,Rules可以配置为判断以下条件:
是否在数据包中包含以”cgi”作为结尾的HTTP请求?
是否数据包的源地址是以八进制“206”为开头?
是否在TCP的数据包中包含字符串“ABC”?
另外,可以通过创建一个rule来对用户请求进行重定向,比如host name,目标端口或者URI路径。Rules包含statements and expressions。在Expressions中,你可以使用许多元素,比如函数,表达式运算符,literal或者运算符。
根据内容交换的需求不同,Rules的创建可以简单也可以复杂。下面给出了一个简单的rule的例子。这个例子中将包含.gif和.html的连接送往cache_pool,其他的流量都送往pool server_pool。
if ( http_uri ends_with "gif" or http_uri ends_with "html" ) {
use ( cache_pool )
}
else {
use ( server_pool )
}
Rule配置举例:
在系统左侧的菜单中选择Rules,然后点击ADD按钮。
选择Rule Builder则进入简单的Rule配置界面
点击Next 继续。
选择Pool,则表明将源地址位于202.108.4.0/24网段的地址发送到test Pool。
将其余的流量发送到 http_pool。
点击Done按钮则返回rule配置界面,选择test_rule。则可查看生成的rule
当然我们也可以在熟悉规则的语法之后,可以直接手动输入或者编辑规则的文本。
3.6 Monitor配置
3.6.1 Monitor的添加
BIGIP自带的Monitor模版有20个,这里,我们以HTTP Monitor为例进行添加。
选择左侧菜单Monitor。
然后点击ADD按钮。
输入 Monitor Name,并选择Inherits From http。点击Next按钮继续。
此处配置健康检查的间隔和Timeout时间。在上例中,系统每5秒钟对服务器进行一次健康检查,在等待16秒没有收到返回结果则认为服务器故障。
点击NEXT按钮继续
在该配置下,由BIGIP向服务器发起GET /index.html rn的请求。在返回的结果中查询是否有字符串”icbc.com.cn”,如果找到”icbc.com.cn”则认为服务器正常工作。
点击NEXT继续
在Destination Service 处填入服务器端口。此处以80端口为例。
点击Done结束配置。
3.6.2 Node Address Monitor配置
通常,Node Address的监测通过icmp进行。
选择Monitor配置中顶部的Node Address Associations。
在Choose Monitor下拉菜单中选择icmp,点击向右的箭头,然后在节点IP对应的Associate Current Monitor Rule 的CheckBox中选择。
点击Apply结束
3.6.3 Node Association Monitor配置
在Monitor配置中选择Node Association,在Choose Monitor下拉菜单中选择http_monitor。
点击向右的按钮并在节点IP后的Associate Current Monitor Rule的checkbox中选择。
点击Apply结束。
3.6.4 Monitor 的验证
验证Monitor是否生效可进入左侧System菜单,选择Network Map选项。
在节点地址和节点前均能看到绿色向上的箭头。
4. SNAT配置
4.1 SNAT的概念
SNAT在BIGIP中的全名叫Secure NAT,主要包括NAT和SNAT两种。其中,NAT主要用于将内网的一个地址映射到外网的一个地址。SNAT是将多个地址对外映射为一个地址。
BIGIP的多对一的SNAT还分为两类,一类是将指定的源地址NAT为一个指定的地址;另外一类是将指定的原地址在离开BIGIP的时候NAT为BIGIP对应VLAN的SelfIP地址,也称为SNAT AutoMap。
点击左侧菜单的SNAT选项,则进入SNAT的配置界面:
4.2 NAT配置
在NATs的配置界面中点击ADD按钮
填入NAT Address和Origin Address。通常,NAT Address为External网段地址,Origin Address为内部服务器或者客户端地址。配置完成后,则该内部地址被一对一映射到外部地址。
4.3 SNAT配置
选择上方的SNATs控制选项,则进入SNAT的配置界面
在这里,一般不需要对默认配置进行改变。
4.3.1 SNAT IP配置
点击顶部左侧的ADD按钮添加一个SNAT
填入Translation Address,则表明将下方的Origin List的服务器或客户端主动发起的流量转换为该地址。BIGIP的Origin List可包含多个IP网段或者某个VLAN。点击向右的箭头即可将配置的网段或者VLAN加入Origin List。
点击Done结束配置
4.3.2 SNAT AutoMap配置
在SNAT AutoMap的配置中,需要两个步骤配合。
第一个步骤是配置SNAT AutoMap,在Translation Address部分选择AutoMap,然后配置Origin List。
点击Done结束
第二个步骤是在Network->SelfIP中配置AutoMap。
这样,如果来自于Origin List的流量在离开BIGIP的时候,其源地址就会被转换成为对应SelfIP的地址。
5. Redundant配置
5.1 BIGIP Redundant的概念
在BIGIP系统中,Redundant机制可保证系统的高可靠性。在一台设备或其网络连接发生故障的时候,BIGIP冗余系统可以在毫秒级切换到另外一台设备上,保证系统的正常运行。
两台BIGIP之间的通讯机制可通过两种方式进行:
串口数据线方式:通过互相检测对端的心跳信号,来判断对端设备的工作状态,在每台BIGIP设备内,都有专用的WatchDog芯片来产生心跳信号和检测对端的心跳信号。
网络数据线方式:两台BIGIP通过网络连接来发送和接收心跳信号。通常,在两台BIGIP距离较远的时候采用这种方式。BIGIP的心跳网络连接要求二层通道。即可采用专用的数据线连接或者通过二层交换机连接。
两台BIGIP之间的切换触发除了以检测心跳之外,还有网关检查和VLAN检查方式。其中,网关检查方式较为常用,每台BIGIP上分别配置自己检查的网关地址,也可两台设备使用同样的网关地址,当Active设备无法Ping通网关的时候发生切换,如果两台设备均无法ping通网关,则都处于备份状态。VLAN检查方式下,BIGIP将会检查配置了Vlan Armsafe的VLAN流量,如果该VLAN没有流量,则BIGIP自动重起,从而触发主备切换。通常情况下,VLAN检查方式使用较少。
5.2 Redundant配置
BIGIP设备的Redundant配置,可在系统进行初始化的时候进行,也可在系统初始化配置完成后进行。下面,以系统初始化完成后配置Redundant配置为例:
采用命令行方式登陆BIGIP,运行config命令,进入如下界面,选择R:
回车继续:
系统询问是否需要备份当前配置,回答Y继续
输入BIGIP FQDN名称,注意两台BIGIP不能使用同样的名称。
按多个回车键略过系统提示部分。
对于冗余系统,一定要选择YES
对于设备1,选择Unit Number 1。这里Unit ID只能为1或者2,两台BIGIP不能使用同样的ID。
在Failover IP位置填入对端设备的冗余接口IP,通常为单独划分的一个VLAN的SelfIP地址。
在随下的选项中选择Hardwired方式,也就是心跳线方式。
余下的配置流程按照标准配置即可,基本不需要进行调整。
在冗余方式基本配置完成后,进入System-〉Redundant Propoties界面,可进行冗余相关配置。
其中:
Failover Partner为对端设备SelfIP地址。
Active/Standby显示系统当前状态,如果是Active状态,在状态后方还有一个按钮用于状态切换。
Configsync User为本系统登陆对端系统的用户名。
Stateful Failover Enabled为允许Session 同步复制
Network Failover Enabled为允许网络心跳冗余
SSL Accelarator Failover Enable为允许SSL加速系统冗余
Active-Active Mode Enabled为允许系统实现双Active方式
Failover Linkdown为设置切换时的等待时间
GateWay FailSafe为配置网关冗余方式下的目标地址,Ping间隔和TimeOut时间。
6. 系统维护部分配置
BIGIP提供丰富的系统维护接口,包括安全访问SSH、HTTPS和Console。SNMP网管支持和iControl接口。同时,BIGIP可通过Syslog、NTP和远程认证等功能实现方便的系统维护和监控。
6.1 SNMP配置
点击左侧菜单中的System Admin,然后点击顶部的SNMP Administration,则进入SNMP的配置界面:
首先,如果需要使用SNMP,必须将Enable后的小框打上钩。启用SNMP。
在Allow List中填入网管设备的IP地址段,点击向右的按钮加Current List。注意,系统原有的127.0.0.1不能删除。在System Contact部分填入设备管理人员的联系方式。在Machine Location部分可填入设备所在的位置,如大楼名称,楼层和机柜号码等。Community String为网管软件与BIGIP之间沟通的密码,必须设置,并在网管软件一端进行相应设置。
如需配置Trap,则首先应当将Auth Trap Enable。然后在Trap List位置填入Community、Service端口和Sink(网管服务器地址)。
点击Apply结束配置。
6.2 Syslog配置
Syslog服务主要用于记录设备的Log信息,包括设备启动、Monitor检查结果以及系统的错误信息等。
首先需要配置好Syslog服务器,配置步骤请参阅Syslog Server相关文档。
在BIGIP上配置Syslog服务须用命令行方式登录到BIGIP。用VI编辑/etc/syslog.conf文档,在文档的最后一行加入:
*.* @192.168.0.1
这里,需要用Syslog服务器的IP地址替换192.168.0.1。
6.3 NTP配置
NTP采用网络中的统一NTP服务器来保持全网的所有设备保持同一时间设定,配置NTP服务有助于Log日志的统一和设备的监控等。
在命令行界面中键入 config,进入以下界面
选择M进入NTP配置界面
选择Configure NTP Support。
系统将列出已定义的NTP服务器的地址。如果设备在公网并可信任这些地址,则可选择一个配置NTP服务,如在系统内部已经有NTP服务器,则按回车键继续。
填入网络内部的NTP服务器地址,按回车键继续。
按回车键结束配置。
在配置NTP服务后,可手工执行Sync time命令同步时钟。BIGIP会在一定的间隔时间自动同步时间。
6.4 用户管理
点击左侧System Admin菜单,选择顶部User Administration进入用户管理界面。
点击左上方ADD按钮添加用户
UserID为用户登录名,Password为用户登录密码。
BIGIP将用户的使用权限分为六个级别:
级别 权限
Web Read Only 只允许WEB方式登录,察看系统所有信息,但不允许修改,通常该用户用于系统监察人员
Partial Web Read/Write 只允许以WEB方式登录,可以察看系统所有信息。但可修改Node节点的Enable和Disable状态。通常该用户用于系统的基本维护人员和应用管理人员用于系统维护和服务器下线处理。
Full Web Read/Write 只允许以WEB方式登录,可以在WEB界面中察看和修改所有的配置
CLI 只允许以命令行方式登录,并可在命令行进行察看和修改
CLI+Full Web Read/Write 允许以WEB方式和命令行方式登录,拥有系统所有的配置察看和修改的权利,通常用于系统管理员
None 不赋予任何权限,通常用于暂时保留用户名和Disable一些远程认证用户使用
点击Done结束配置
6.5 Radius认证配置
Radius认证主要用于远程用户认证,BIGIP支持的远程用户认证方式包括Radius和LDAP,常用的以Radius认证为主。
在命令行键入config命令,进入以下界面:
选择C进入Remote Authentication配置
回答Y进入下一步配置:
选择RADIUS
输入Primary Radius Server地址,回车继续
选择Radius服务器端口,如不清楚,请联系Radius服务器管理员。
输入Radius secret值并选择是否有备选RADIUS服务器。
按任意键结束Radius配置
重新回到Web管理界面,可看到系统增加了远程用户配置。
v
其中,Default Role为默认的远程认证通过用户的权限,该权限通常设置为None。如果需要对某个用户设置权限,则需要单独添加该用户并赋予相应的权限。
注意:在配置远程用户认证后,除root和admin用户之外的其他用户都必须通过远程认证进行。BIGIP对其他用户不进行本地认证。
7. BIGIP命令行常用命令解释
7.1 系统配置相关命令
b config save <file>
保存系统配置,保存的配置将存放在/usr/local/ucs/目录下。
b config install <file>
恢复系统配置,将指定的配置文件恢复到系统中。
b config sync
同步Redundent设备的配置,注意是从运行命令的系统同步到对端系统。
7.2 系统维护相关命令
b conn [<ip addr>[:<service>]] [dump [mirror]]
如果只键入b conn,则显示所有的当前联接
b conn dump mirror则显示从Active设备同步过来的所有connection信息
b conn <ip addr>[:<service>] delete
删除指定IP和端口的连接信息
b conn [all] delete
删除所有的当前连接
b failover standby
强制当前设备切换为备份设备
b failover [show]
显示当前设备的主备状态
b interface show
显示所有的端口信息
b maint
将BIGIP设置为maintanence状态,此时BIGIP将维护现有的用户连接,而拒绝所有的新用户连接。主要用于系统停机维护。
b monitor show
显示所有的monitor检查信息。
b node show
显示所有的Node节点信息
b pool show
显示所有的pool信息
b self show
显示所有的SelfIP信息
b virtual show
显示所有的Virtual Server信息
b vlan show
显示所有的Vlan信息
bigtop
显示所有Virtual Server和Node的连接和流量统计信息
top
显示系统当前的CPU、内存和进程运行信息
ifconfig –a
显示系统所有的ip配置信息
如果您喜欢本站,点击这儿可以捐赠本站
这些信息可能会帮助到你: 联系作者 | 报毒说明
修改版本软件,加群提示等均为修改者自留,非本站信息,注意鉴别
这些信息可能会帮助到你: 联系作者 | 报毒说明
修改版本软件,加群提示等均为修改者自留,非本站信息,注意鉴别
评论(0)