F5 BIG-IP LC 标准配置文档
Hangzhou DigitalChina
Chen Jun 2008-6-9
目 录
一、设备配置准备工作 ................................................................................................................... 3
1.设备硬件环境准备 ................................................................................................................ 3 2.工作站F5设备连接 ............................................................................................................. 3 二、网络基础配置 ........................................................................................................................... 6
1.激活License .......................................................................................................................... 6 2.网络配置 .............................................................................................................................. 13 三、Outbound VS配置 .................................................................................................................. 17
1.配置链路优先pool .............................................................................................................. 17 2.创建链路Class .................................................................................................................... 19 3创建链路选择iRules .......................................................................................................... 20 4创建default_gateway_vs ..................................................................................................... 21 5.创建default_gateway_ftp_vs .............................................................................................. 23 6.创建default_gateway_dns_vs ............................................................................................. 25 7.创建default_gateway_443_vs ............................................................................................. 27 8.创建default_gateway_25_vs ............................................................................................... 29 9.创建default_gateway_110_vs ............................................................................................. 31 四、Inbound VS配置 .................................................................................................................... 34
1.创建my_http的monitor ..................................................................................................... 34 2.创建tcp_25的monitor ....................................................................................................... 35 3.创建tcp_110的monitor ..................................................................................................... 36 4.创建WWW服务的pool .................................................................................................... 37 4.创建Mail 25端口服务的pool ........................................................................................... 38 5.创建Mail 110端口服务的pool ......................................................................................... 39 5.创建WWW服务的VS ...................................................................................................... 40 6.创建Mail服务的VS .......................................................................................................... 44 五、Inbound 链路配置 ................................................................................................................. 48
1.创建链路Link ..................................................................................................................... 48 2.创建Listeners ...................................................................................................................... 50 3.创建Topology ..................................................................................................................... 51 六、创建双链路域名解析 ............................................................................................................. 54
1.创建Inbound Wide IPs ........................................................................................................ 54 2.更改DNS记录 .................................................................................................................... 55
一、设备配置准备工作
1.设备硬件环境准备
1. BigIP Link Controller 1500及电源线、Console线、网线等;
2. 工作站一台并且预装了下列软件工具:SSH工具软件如SecureCRT;SFTP工具软件如
WinSCP;
3. 上网环境:需要上网激活F5设备; 4. LC实施完成后拓扑图:
2.工作站F5设备连接
1. 将Console线连接工作站COM口和F5的console口,网线连接工作站网口和F5的MGMT
网口。
MGMT网口 Console口
2. 如果工作站使用“超级终端”,COM口设置如下:
如果工作站使用SecureCRT,设置如下:
3. F5的MGMT网口默认的IP地址为192.168.1.245/24,因此,配置工作站网口的地址为
192.168.1.200/24,以便与F5设备连接; 4. 工作站上ssh工具如SecureCRT设置如下:
二、网络基础配置
1.激活License
1. 系统时间修改:
使用超级终端或者SecureCRT登录F5 BIG-IP的console口,输入命令: [root@localhost:Active] config # date 查看当前系统时间:
如果系统时间正确,则不作修改,退出console;
如果系统时间不正确,使用下面两条命令修改到正确的时间: [root@localhost:Active] config # date MMDDhhmmYYYY [root@localhost:Active] config # hwclock --systohc
2. 登录F5 BIG-IP LTM设备并输入key,获取dossior.do文件 在工作站使用IE浏览器,输入https://192.168.1.245登录BIG-IP
点击“是”确认证书。
输入默认的账号/密码:admin/admin
点击:Activate„
输入Base Registration Key,如果还有功能模块的key,在Registration key中输入并“Add”,
选择“Manual”后按“Next”
选择“Download/Upload File”后,如图
选择Step 1:Dossier “Click Here To Download Dossier File”,保存dossier.do文件
3. 登录F5 license激活站点,获取设备对应的License文件
更改工作站的网络连接,使得工作站能够访问公网;访问F5 license激活站点:https://activate.f5.com/license/
上传前一操作下载的dossier.do文件,点击:Next
点击“Download license”,下载License.txt文件到本机 4. 在F5 BIG-IP设备上激活License文件
修改客户机的配置,重现连接到F5的MGMT网口,使用IE浏览器再次登录
在“Step 3: License”中,上传License.txt文件,并点击:Next
点击“Next”进入网络设置:
必须配置F5 BIG-IP设备的Hostname,设定root和admin的密码并确定
如果单击“Finishd”则会完成 Setup Utility 步骤,进入管理配置界面。
至此,F5 BIG-IP LTM license激活完成。
2.网络配置
在BIG-IPlicense激活后,需要对基本网络进行配置。 1. 配置default_gateway_pool Local Traffic-》Pools,点击“+”
建立“default_gateway_pool”
健康检查方式选择“gateway_icmp”,Priority group Activation 选择“Less than 1”,分别添加电信和网通两条链路的网关地址,Service Port输入0,点击“Add”完成网关地址的添加。点击“Finished”完成“default_gateway_pool”的创建。
2. 创建BIG-IPLC设备的默认网关 Network-》Routes,点击Add
按照如图设置,点击“Finished”完成默认网关的创建。 如果有其他路由策略,也是在这个页面添加。
3. 创建Vlan
Network-》VLANs,点击“Create”
按照上图所示,创建Internal、CT_Link和CNC_Link三个Vlan,并分别将1.1、1.2、1、3分配给这三个Vlan。建立完成后,如图:
4. 分配Self IP
Network-》Self IPs,点击“Create”
分别为Internal、CT_Link和CNC_Link分配相应的IP地址;
分配IP完成后,如图:
至此,基础网络配置结束。
三、Outbound VS配置
为了LC内部的用户或者是服务器能够正常访问外网(比如网上银行等应用),通常,在LC上需要配置一些特别的Virtual Server
1.配置链路优先pool
Local Traffic -> Pools,点击“+”号创建pool
创建CT_first_pool,特别注意电信网关地址61.164.138.225的priority值为10,而网通网关地址60.12.38.137的priority值为1:
创建CNC_first_pool,特别注意网通网关地址60.12.38.137的 priority值为10,而电信网关地址61.164.138.225的priority值为1:
2.创建链路Class
Local Traffic –》iRules –》 Data Group List, create
分别创建CT_Class和CNC_Class,Type选择“Address”将对应的网段加入Class。 或者也可以使用root来ssh登录设备后,直接编辑/config/bigip.conf文件。
3创建链路选择iRules
Local Traffic –》iRules –》iRule List,点击Create创建新的irule。 3.1 建立链路选择irule:irule_link when CLIENT_ACCEPTED {
if { [matchclass [IP::local_addr] equals $::CT_class]} { pool CT_first_pool } else {
if { [matchclass [IP::local_addr] equals $::CNC_class]} { pool CNC_first_pool } else {
pool default_gateway_pool snat automap } } }
3.2建立mail的irule:mail_irule when LB_SELECTED {
if {[IP::addr [LB::server addr] equals 61.164.138.225] and [IP::addr [IP::client_addr] equals 192.168.50.2]} {
snat 61.164.138.227 }
elseif {[IP::addr [LB::server addr] equals 60.12.38.137] and [IP::addr [IP::client_addr] equals 192.168.50.2]} {
snat 60.12.38.139 } else {
snat automap } }
4创建default_gateway_vs
Local Traffic –》Virtual Servers,点击“+”号创建VS:
按照下图所示,添加default_gateway_vs:选择Network,在Address和Mask都输入0.0.0.0,Service Port选择“*”
Type选择“Performance (Layer 4)”,Protocol选择“All Protocols”,VLAN Traffic选择“Enabled on”,VLAN List选择“Internal”,SNAT Pool选择“Auto Map”。
iRules选择创建好的“irule_link”,Default Persistence Profile选择“Source_addr”,点击Finished创建完成。
5.创建default_gateway_ftp_vs
Local Traffic –》Virtual Servers,点击“+”号创建VS:
按照下图所示,添加default_gateway_ftp_vs:选择Network,在Address和Mask都输入0.0.0.0,Service Port选择“21”
Type选择“Standard”,FTP Profile选择“ftp”,VLAN Traffic选择“Enabled on”,VLAN List选择“Internal”,SNAT Pool选择“Auto Map”;
iRules选择创建好的“irule_link”,Default Persistence Profile选择“Source_addr”,点击Finished创建完成。
6.创建default_gateway_dns_vs
Local Traffic –》Virtual Servers,点击“+”号创建VS:
按照下图所示,添加default_gateway_dns_vs:选择Network,在Address和Mask都输入0.0.0.0,Service Port选择“53”:
Type选择“Performance (Layer 4)”,Protocol选择“All Protocols”,VLAN Traffic选择“Enabled on”,VLAN List选择“Internal”,SNAT Pool选择“Auto Map”。
Default Pool选择“CT_first_pool”,点击Finished创建完成。
7.创建default_gateway_443_vs
Local Traffic –》Virtual Servers,点击“+”号创建VS:
按照下图所示,添加default_gateway_443_vs:选择Network,在Address和Mask都输入0.0.0.0,Service Port选择“443”:
Type选择“Performance (Layer 4)”,VLAN Traffic选择“Enabled on”,VLAN List选择“Internal”,SNAT Pool选择“Auto Map”。
Default Pool选择“CT_first_pool”,点击Finished创建完成。
8.创建default_gateway_25_vs
Local Traffic –》Virtual Servers,点击“+”号创建VS:
按照下图所示,添加default_gateway_25_vs:选择Network,在Address和Mask都输入0.0.0.0,Service Port选择“25”
Type选择“Performance(Layer 4)”,SNAT Pool选择“None”:
iRules选择创建好的“mail_irule”,Default Pool选择“CT_first_pool”,点击Finished创建完成。
9.创建default_gateway_110_vs
Local Traffic –》Virtual Servers,点击“+”号创建VS:
按照下图所示,添加default_gateway_110_vs:选择Network,在Address和Mask都输入0.0.0.0,Service Port选择“110”
Type选择“Performance(Layer 4)”,SNAT Pool选择“None”:
iRules选择创建好的“mail_irule”,Default Pool选择“CT_first_pool”,点击Finished创建完成。
四、Inbound VS配置
由实施拓扑图可知,一共需要创建4个VS,WWW对应的后台服务器是192.168.50.80,Mail对应的后台服务器是192.168.50.2。
1.创建my_http的monitor
Local Traffic –》Monitors,点击“+”号,按照如图设置,创建一个用于web服务器健康检查的monitor,Type选择“HTTP”,点击Finished完成创建:
2.创建tcp_25的monitor
Local Traffic –》Monitors,点击“+”号,按照如图设置,创建一个用于tcp 25端口健康检查的monitor,Type选择“TCP”,Alias Services Port输入“25”:
3.创建tcp_110的monitor
Local Traffic –》Monitors,点击“+”号,按照如图设置,创建一个用于tcp 110端口健康检查的monitor,Type选择“TCP”,Alias Services Port输入“110”:
4.创建WWW服务的pool
Local Traffic –》Pools,点击“Create”,按照如图设置,创建一个用于WWW服务的Pool,健康检查方式选择“my_http”,加入WWW服务的menber192.168.50.80,点击Finished完成创建:
4.创建Mail 25端口服务的pool
Local Traffic –》Pools,点击“Create”,按照如图设置,创建一个用于Mail 25端口服务的Pool,健康检查方式选择“tcp_25”,加入mail服务的menber192.168.50.2,点击Finished完成创建:
5.创建Mail 110端口服务的pool
Local Traffic –》Pools,点击“Create”,按照如图设置,创建一个用于Mail 110端口服务的Pool,健康检查方式选择“tcp_110”,加入mail服务的menber192.168.50.2,点击Finished完成创建:
5.创建WWW服务的VS
由于WWW服务需要对电信和网通两条链路都启用,因此需要分别针对两条链路建立VS: 5.1电信链路WWW服务VS
Local Traffic –》Virtual Servers,点击“Create”创建www_80_ct_vs,输入电信链路WWW服务的地址,Service Port 输入“80”:
Type选择“Standard”,HTTP Profile选择“http”,勾选启用Address Translation 和 Port Translation,SNAT Pool选择“Auto Map”:
Default Pool选择“www_80_pool”,点击Finished完成创建:
5.2网通链路WWW服务VS
Local Traffic –》Virtual Servers,点击“Create”创建www_80_cnc_vs,输入网通链路WWW服务的地址,Service Port 输入“80”:
Type选择“Standard”,HTTP Profile选择“http”,勾选启用Address Translation 和 Port Translation,SNAT Pool选择“Auto Map”:
Default Pool选择“www_80_pool”,点击Finished完成创建:
6.创建Mail服务的VS
Mail服务使用了2个端口,为了保障安全性以及节约IP资源,因此需要建立两个端口对应的Virtual Server。
1.创建mail 25端口的VS
Local Traffic –》Virtual Servers,点击“Create”创建mail_25_vs,输入mail服务器的电信公网地址,Service Port 输入“25”:
Type选择“Performance(Layer 4)”,勾选启用Address Translation 和 Port Translation,SNAT Pool选择“Auto Map”:
Default Pool选择“mail_25_pool”,点击Finished完成创建:
2.创建mail 110端口的VS
Local Traffic –》Virtual Servers,点击“Create”创建mail_110_vs,输入mail服务器的电信公网地址,Service Port 输入“110”:
Type选择“Performance(Layer 4)”,勾选启用Address Translation 和 Port Translation,SNAT Pool选择“Auto Map”:
Default Pool选择“mail_110_pool”,点击Finished完成创建:
如果有其他类型的应用比如BEA weblogic、Microsoft Exchange Server、Oracle等服务应用需要创建Virtual Server,请参考http://www.f5.com/solution-center/deployment-guides/
五、Inbound 链路配置
1.创建链路Link
本例中,LC有两条链路,所以需要创建2条Link。
Link Controller –》 Links,点击Create,创建CT_Link:Router Address输入电信链路的网关地址,健康检查方式选择bigip_link:
Link Controller –》 Links,点击Create,创建CNC_Link:Router Address输入网通链路的网关地址,健康检查方式选择bigip_link:
创建完成后,如图
2.创建Listeners
Link Controller –》 Listeners,点击Create,Destination输入电信链路F5 LC的端口地址:
Link Controller –》 Listeners,点击Create,Destination输入网通链路F5 LC的端口地址:
创建完成后,如图:
3.创建Topology
1.创建Region
Link Controller –》 Topology –》 Regions,点击Create创建CT_ISP:Member Type选择“IP Subnet”,IP Subnet输入电信IP地址段,点击Add添加记录;点击Create完成创建; 也可以ssh登录LC设备,直接编辑/config/gtm/region.user文件。
Link Controller –》 Topology –》 Regions,点击Create创建CNC_ISP:Member Type选择“IP Subnet”,IP Subnet输入网通IP地址段,点击Add添加记录;点击Create完成创建; 也可以ssh登录LC设备,直接编辑/config/gtm/region.user文件。
创建完成后,如图:
2.创建Records
Link Controller –》Topology –》Records,点击Create创建:Request Source设置为“Region is CT_ISP”,Destination设置为“IP Subnet is 61.164.138.224/28”(此处的地址段为用户的电信地址段),Weight输入“50”,点击Create完成创建;
Link Controller –》Topology –》Records,点击Create创建:Request Source设置为“Region is CNC_ISP”,Destination设置为“IP Subnet is 60.12.38.136/29”(此处的地址段为用户的网通地址段),Weight输入“100”,点击Create完成创建;
两条Records创建完成后,如图:
六、创建双链路域名解析
用户的WWW服务器域名为www.abcd.com,对应的IP地址为61.164.138.227,为了能够实现电信网通用户解析www.abcd.com这个域名,得到分属于电信和网通的不同IP地址,需要做下列操作。
1.创建Inbound Wide IPs
Link Controller –》Inbound Wide IPs,点击Create创建:Name输入“www.f5.abcd.com”,Load Balancing Method由上至下分别选择“Topology”、“Global Availability”、“Round Robin”,在Member List中加入WWW服务电信和网通的两个VS点击Create完成创建:
2.更改DNS记录
登录DNS管理服务器,此处以万网DNS域名自助解析系统为例: http://diy.hichina.com/cgi-bin/login
登录后,这个域名自助解析系统里面现有记录如下: NS(域名服务器)记录: abcd.com dns9.hichina.com abcd.com dns10.hichina.com A(IP v4主机)记录:
www.abcd.com 61.164.138.227
需要对这些记录做如下调整: 删除A记录:
www.abcd.com 61.164.138.227 增加CNAME (别名)记录: www.abcd.com www.f5.abcd.com 增加NS记录:
f5.abcd.com lc1.f5.abcd.com f5.abcd.com lc2.f5.abcd.com 增加A记录:
lc1.f5.abcd.com 61.164.138.226(F5 LC电信链路端口IP地址) lc2.f5.abcd.com 60.12.38.138(F5 LC网通链路端口IP地址)
如果需要对更多的域名做双链路的解析,重复上述调整过程即可。
因篇幅问题不能全部显示,请点此查看更多更全内容