F5负载均衡-配置指导手册（含IPv6）

F5负载均衡-配置手册

• 设备概况
  • 图形化界面

    通过网络形式访问F5任一接口地址，打开浏览器输入https://网络接口地址；或pc机直连F5的MGMT带外管理口，打开浏览器，输入https://192.168.1.245（MGMT地址在设备液晶面板查看）将进入F5的图形管理界面。该界面适合进行设备的基础以及高级调试，是管理员常用的管理界面。

    默认用户名/密码：admin/admin

  • 命令行界面

    通过console线直连F5的console口，或通过securecrt等工具以SSH2的形式访问F5任一接口地址，将进入命令行模式。该界面适合进行底层操作系统的调试以及排错。

    默认用户名/密码： root/default

  • F5接口示意图

    如上图所示，F5同时部署在三个网段中，其接口示意如下：

  

• 网络配置
  • 创建vlan

    进入"Network"-"VLANs"选项，点击"create"创建新vlan，如下图：

  

  名称处填写该vlan名称，如vlan_170。再将相应的接口划入该vlan中，如1.3口。如该vlan需要同交换网络中的vlan tag对应，则在tag处填写id，并将接口划入tagged栏，否则一律划入untagged。点击"Finish"完成。

  • 创建self ip

    进入"Network"-"self ips"进行F5设备的地址配置，点击"create"新建地址，如下图：

  

  填写相应地址和掩码，如192.170.1.202,掩码：255.255.255.0，在vlan处下拉选择之前创建好的vlan_170，将该地址与vlan_170绑定，即ip地址与接口做成了对应关系。在双机部署下，浮动地址的创建需要点击Floating IP的勾，并选择unit ID 为1或2（主备区分）,

  点击"Finish"完成创建。

  有多个地址需要创建时，重复完成以上步骤。

  带有unit ID的都是浮动地址，主备机的浮动地址保持一致。

  • 创建VS-forwarding(IP)

  

  

  • 创建缺省路由
    • 方法一：直接创建

    F5的静态路由分缺省路由和一般路由两种。任何情况下，F5部署上线都需要设置缺省路由。

  

  • 方法二：通过pool创建

  使用pool作为路由的好处是能够在pool界面中查看路由的健康状态。

  • 创建默认路由pool

  首先进入"Local Traffic"-"pools"，为缺省路由创建下一条地址，点击"create"，如下图：

  

  名称处可以填写default_gateway_pool用来标识该pool是作为缺省路由使用的，与其他pool名称分开，便于管理。

  健康检查选择gateway_icmp即可，因为是对网关的探测，该检测方式最佳。

  根据实际情况填写缺省路由的网关地址，并add到地址列表中，点击"Finish"完成。

  如图：

  

  我们新建192.170.1.254作为170段的缺省网关，service port选择0，全开。

  • 创建默认路由选择pool

  完成pool的建立后，进入"Network"-"Route"，创建一个新的路由，点击create，如下图：

  

  种类选择缺省路由，资源选择使用pool。如果选择使用地址的话，则在下面直接输入下一条地址，也能完成缺省路由的设置。使用pool作为路由的好处是能够在pool界面中查看路由的健康状态。

  资源选择pool后，在下面的pool选项中，下拉找到刚刚创建的default_gateway_pool，点击Finish完成即可。

  配置完成后可在default_gateway_pool中查看状态，如下图：

  

  至此，F5的基础网络配置完成，下面介绍LTM模块的配置及策略实现。

• LTM模块配置
  • 创建pool配置

    服务器负载首先需要创建内部服务器的资源pool，进入Local Traffic – Pools，创建一个pool，如下图：

  

  创建该pool的名称，以便管理员识别。健康监测方式根据应用类型选择，如开放http的web服务可选用http协议进行检测，也可用tcp进行检测。颗粒度粗细可选。原则上检测机制越细，F5对后台应用健康的判断越准。

  负载方式默认为Round Robin轮询；可根据需求选择最小连接数、比率、观测等其他负载方式。

  添加服务器或群组的地址及开放端口，add到pool列表中。该列表中的地址及端口应为同一种业务。

  点击Finish完成。若有多个服务器资源pool，则重复上述步骤。

  如下图：

  

  我们创建一个SSO应用的pool资源池，命名为SSO_7010_pool便于管理，负载方式根据软件方要求采用最小连接数Least Connection（member），提供SSO服务的设备地址一一添加到地址池中，并选择相应开放端口。当前活动可用的服务器将被标识为绿色（根据所选健康检查方式来判断），不可用的咋为红色。

  F5不会向红色服务器发送数据请求。

  • 创建vs配置

    Virtual Server以下简称VS，是F5对外发布业务时提供的虚拟服务器名称，是接收外部访问的统一接口，其访问资源将被转发至后台关联的pool中。服务器负载在创建好pool之后，需要VS将其发布出去，供客户端访问。

    进入Local Traffic – Virtual Servers，创建一个新的VS，如下图：

  

  

  名称建议与pool名称相近，便于管理员维护。添加VS地址及发布端口，这个地址及端口是对外提供服务的。负载类型根据需要选择，常用的为standard和layer4。开放协议根据负载类型会有变化。SNATPOOL开启automap时，F5将对源地址进行转换；选择None时，F5将透传源地址，使服务器能够看到客户端的源IP。SNATPOOL的选择请根据实际需求进行选择。Default pool选择与该VS对应的应用资源pool，也就是与该VS地址关联的的服务器资源，选错的话客户端访问将进入到错误的应用中。会话保持可根据具体需要选择开启或关闭。

  点击Finish完成。若有多个VS，则根据上述步骤进行创建。

  如下图：

  

  

  

  我们创建SSO的vs，命名为SSO_7010_vs便于管理。Vs地址为192.168.1.10，端口是7010。

  负载模式选择standard，协议为TCP；开启HTTP profile，对http负载进行优化；SNATpool 选择AUTOMAP。

  Default pool选择我们刚刚创建的SSO_7010_pool，将其做关联。使得客户端访问该vs（192.168.1.10:7010）时，F5将数据负载至后台的SSO_7010_Pool中的服务器上。

  会话保持根据软件方要求，选择源地址会话保持。

  点击Finish完成即可。

  至此，通过VS的地址访问，客户端可以到达后台的服务器pool资源中，对于客户端来讲，后台服务器地址是不可知的。

• 运维管理
  • 设备信息

    进入system – platform可以对设备部分信息进行修改，如下图：

  

  IP地址是设备的带外管理地址（MGMT），在设备液晶面板处可以看到，也可以在液晶面板上更改地址。若需要进行带外管理，可在管理路由处填写带外管理断的网关，连线至MGMT口即可。

  主机名的命名方式为域名，如xxx.com。

  HA下拉项为单机部署和冗余模式，生产环境中请勿变更此项。

  时区一般选为中国上海。

  密码分为两套，分别是root密码（命令行）和admin密码（图形界面），修改时请注意。

  SSH访问默认是打开的，建议关闭，需要时再开启。也可以选择下面的地址列表，定义白名单访问。

  • 主备切换

    进入system – High Available – Redundancy中，可以手动进行主备机切换，不需重启设备。如下图：

    点击force to standby即可实现主备切换。该操作只能在当前为Active状态下的设备上进行。

  

  • 配置同步

    进入system – High Available – config sync中，可以进行主备机的配置同步，如下图：

  

  请注意同步是有方向性的，以当前图片为例：

  目前是在主机上进行操作，若点选同步 to peer，则为将主机配置推送到备机。

  若点选同步 from peer，则为将备机的配置拉取到主机。

  • 配置备份

    建议进行周期性进行配置备份，并将备份文件download到本地保管，做好容灾工作。

    进入system – achieve中，create一个新的档案。命名一般以时间戳为好，方便识别新老配置。命名完成后点击Finish即可。创建完成如下图：

  

  可以看到不同时间戳命名的备份文件。点击一个文件，可以选择download到本地，也可以选择restore还原当前配置。

• IPv6配置指导
  • 配置核心思想
• 配置IPv6的默认路由
• 配置IPv6的VS
• IPv6的vs里面要启用"automap"
  • 配置IPv6的默认路由

  

  • 配置IPv6的VS
    • 第一种方法：（配置forwardingip）

  

  • 第二种方法：
    • 启用IPv6的pool

  

  • 启用L4的VS并调用上面的pool

  

  查看一下新建的pool是不是"绿色的"绿色代表生效了。

  

  调用之前的pool到vs中，查看vs是不是"绿色"，绿色代表生效，红色不生效，蓝色也可以用

  

  最终的结果，应该如下图所示："绿色"