最新F5配置指导实战书.doc

《最新F5配置指导实战书.doc》由会员分享，可在线阅读，更多相关《最新F5配置指导实战书.doc（78页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateF5配置指导实战书智能业务AIP双机服务器配置指导F5配置指导实战书WAP网关典型组网方案及网络规划1 WAP网关典型组网方案2.1 典型组网图及组网方案介绍应用程序服务器：PPG/WAP1X/WAP20GGSNSMC平台支撑服务器：RADIUSSMPADB server防火墙BIG 5交换机虚拟网络10.0.0.128/26外部网络本例中介绍的WAP网关组网方案类似

2、中国移动五期扩容南京、郑州、沈阳三个点的组网。组网方案说明：WAP网关的应用程序分成两大部分：应用部分和支撑部分，其中应用部分主要包括PPG,WAP1X协议栈处理程序、WAP2.0协议处理程序等，为了平滑扩展系统的处理能力，一般设计为通过负载均衡器将业务请求平均分担到多台服务器，本例中应用程序的服务器数量为7台SUNV480小型机。此外，平台支撑服务器主要包括：RADIUS服务器程序、SMPA短信代理以及ORACLE数据库等，为了增加系统的可靠性，支撑服务器采用双机集群的设计方案，对外提供统一的浮动IP地址。2 网络及负载均衡器IP地址规划及配置要求2.1 IP地址规划总体规划：内部所有服务器

3、使用10.0.0.192/26网段，WAP网关对外提供的虚拟服务使用10.0.0.128/26网段。场所数量需求内部网络网段规划(10.0.0.192/26) 193-254四层交换机F5内网设备IP地址分配，包括平台支撑服务器，WAP网关服务器等主要设备虚拟网络网段规划(10.0.0.128/26） 129-190防火墙和四层交换机F5之间的网络部分，主要提供了WAP网关的虚拟服务内部网络：根据上表规划，将内部机器的地址从10.0.0.193开始分配，内部不冲突即可。下表为一分配样例：设备名称说明IP地址/掩码平台支撑服务器双机浮动IP 10.0.0.193/26主机主IP 10.0.0.1

4、94/26备机主IP 10.0.0.195/26WAP网关的服务器集群节点（每个节点需要3个IP地址）10.0.0.196/26到10.0.0.216/26话单/报表服务器PC server HPDL38010.0.0.217/2610.0.0.218/26维测/告警/网管代理服务器PC server HPDL38010.0.0.219/2610.0.0.220/26网管采集机SUN F280R10.0.0.221/2610.0.0.222/2610.0.0.223/26负载均衡器：设备名称说明IP地址/掩码负载均衡器(主用)内网地址internal IP10.0.0.231/26内网shar

5、e IP10.0.0.230/26外网地址external IP10.0.0.131/26负载均衡器外网share IP10.0.0.130/26 VIP110.0.0.171:9080/26-PPGVIP210.0.0.172:80/26-HTTPproxyVIP3-1110.0.0.172:9200-9207 /26-WAP1.XVIP1210.0.0.172:1813/26 RADIUS服务器负载至10.0.0.193 VIP1310.0.0.173:80/26-WAP2.0负载均衡器(备用)内网地址internal IP10.0.0.232/26内网share IP 10.0.0.23

6、0/26外网地址 external IP10.0.0.132/26负载均衡器外网share IP10.0.0.130/26 VIP110.0.0.171:9080/26-PPGVIP210.0.0.172:80/26-HTTPproxyVIP3-1110.0.0.172:9200-9207 /26-WAP1.XVIP1210.0.0.172:1813/26-RADIUS服务器，负载到双机浮动IP地址10.0.0.193。VIP1310.0.0.173:80/26-WAP2.0四层交换机VIP设立：VIP说明10.0.0.172:80(tcp)HTTP Proxy服务地址，实现负载均衡10.0.

7、0.172:92009207(udp)WAP网关1.X的服务地址。实现负载均衡10.0.0.173:80(tcp)WAP网关2.0的服务地址，实现负载均衡10.0.0.171:9080(tcp)PPG的服务地址，实现负载均衡10.0.0.172:1813(udp)Radius server的服务地址。仅负载均衡到双机浮动地址2.2 配置要求根据上述典型的组网方案，负载均衡器主要负责WAP网关系列服务器提供统一对外虚拟IP地址，外部业务访问该虚拟服务器时，通过负载均衡器以后，由负载均衡器完成负载均衡到不同的服务器。本配置要求除负载均衡器组织主备用方式及本身需要的IP地址外，主要是完成相关虚拟IP

8、地址的设定以及与相关服务器地址的映射，此外，还需要在负载均衡器上完成负载策略的配置，以便负载均衡器以最优的负载分担方式将数据包分发到不同的机器节点上。二 负载均衡器系统的安装与配置1 负载均衡器硬件安装及物理连接2.1 负载均衡技术简单介绍由于Internet对业务服务访问具有不可预知性，传统的服务器提供大量并发服务已经面临处理能力和I/O性能的瓶颈，当业务超过已经界限将会出现“Server Too Busy”乃至服务器宕机等问题。针对单台服务器有限的性能存在瓶颈的情况，负载均衡器通过负载均衡机制将所有请求平均分配到多台节点服务器，使得系统业务处理能力大大提升。此外，负载均衡器还能监控服务器节

9、点的可用性，其中某一台服务器故障时，能将访问请求转移到其它可以正常工作的服务器。负载均衡器通常称为四层交换机或七层交换机。四层交换机主要分析IP层及TCP/UDP层，实现四层流量负载均衡。七层交换机除了支持四层负载均衡以外，还有分析应用层的信息，如HTTP协议URI或Cookie信息。2.2 负载均衡器双机硬件安装及物理连接1. 物理连接示意图防火墙防火墙 S3526 S3526图中红线表示光纤，其中GE1口系统默认编号为2.1,GE2口编号为2.2.本例中2.1口为外口连接防火墙，2.2口为内口连接3526交换机串口线普通网线Console线连接PC做配置2.3 负载均衡器配置步骤及准备要点

10、在安装BIG-IP系统之前，请检查如下准备工作是否做好： 设备物理连接规划。要注意的是如果做F5双机的话，一定要用随机带来的标有failover的线缆把两台F5之间的Failover口连接起来。 检查F5的软件版本，因F5代理商发货的原因，到现场的F5的版本常常是比较旧的版本，需要与公司或厂商确认当前比较稳定的版本，并进行升级。确认F5版本的命令为在命令行下输入：b version则可看出。 IP地址规划（参见上面表格） BIG-IP外部VLAN需要3个IP用于冗余BIG-IP配置。 每一个VIP（虚拟IP地址）或NAT需要一个外部VLAN IP。 BIG-IP内部VLAN需要3个IP用于冗余

11、BIG-IP配置。 BIG-IP内部每个节点需要一个内部VLAN IP。 确定BIG-IP主机域名，并且确保BIG-IP双机主机名不一样。2 负载均衡器系统主备环境配置2.1 主负载均衡器的安装与配置1） 启动PC，进入windows操作系统，设置PC的IP为固定IP地址，并设置为192.168.1.100，用串口线将PC的串口与主负载均衡器的串口（标有console）连起来，使用windows自带的超级终端去连接，需要注意的是每秒位数选择19200，数据流控制选择无。 默认初始用户密码：root/default。超级终端连接如2）所示。注意一定要用标有CONSOLE的串口线2） 超级终端连接

12、图启动F5，启动后超级终端显示如下：BIG-IP 4.5PTF-07 (default) (console)login:3） 输入用户名和口令输入用户“root”和默认密码“default”，回车。4） 设置终端类型Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994The Regents of the University of California. All rights reserved. 省略输出信息Terminal type? vt100缺省的终端类型为vt100，回车5） SETUP初始化相关配置缺省的主机名字是：

13、default,在提示符下面输入命令：config，回车：说明：第一次运行config或setup命令将进入setup命令界面。Setup工具可以实现逐步配置root密码、BIG-IP主机名、接口和远程管理等。default:# config6） 提示系统license不存在第一次运行，提示系统License不存在信息B I G - I P L I C E N S E P R O B L E M There is no active license on this system. To activate your license, run the setup command again aft

14、er this configuration and choose the License Activation menu item, or exit from this program now and run the license command. Exit now? (Y/N): n 按“n”键进入License Agreement窗口，按回车键继续，并选择Yes, I Agree To This License。根据系统提示，继续执行配置步骤直至正式进入Setup Utility。 Setup Utility Welcome to BIG-IP. Before using your BI

15、G-IP, you will have to configure many services and values including: the root password, BIG-IP hostname, interface cards, shared interfaces (if any), and remote administration tools. This utility will take you through the process step-by-step. Press ctrl-E to exit and configure manually press any ot

16、her key to continue 注意：进入BIG-IP Setup工具模式后，无法退出和配置回滚，必须一步一步配完。如果配置过程中发现超级终端上下键不能正确切换，请使用其他超级终端工具，重新执行config7） 设置键盘类型进入Setup界面后，第一步工作是设置键盘类型，默认使用US - Standard 101 key，回车。 Choose your keyboard type from the list below. 。 Swedish US + Cyrillic US - Standard 101 key United Kingdom 8） 系统提示输入root 密码9） 接着系

17、统提示你输入hostname，请输入负载均衡器的主机名称。S E T B I G - I P H O S T N A M E Enter BIG-IP FQDN : f5- /备机可以设置为：f5- The FQDN (Fully Qualified Domain Name) identifies this BIG-IP controller. Example: .警告：BIG-IP双机系统的主机名必须不一样，否则配置无法同步。警告：必须通过Setup工具来更改主机名，不得直接编辑/etc/hosts或用hostname命令更改主机名，否则会导致系统不可访问。10） 双机系统设置配置完主机名之

18、后，BIG-IP系统进入接口配置模式，包括VLAN、IP地址和双机配置。如果工程中配置F5双机系统unit ID（通常为1或2）、fail-over IP地址和fail-over类型。如果BIG-IP系统为双机，选择Yes, it is a redundant BIG-IP system，否则选择No, it is not a redundant BIG-IP system。C O N F I G U R E B I G - I P I N T E R F A C E S Is this a redundant BIG-IP system? Yes, it is a redundant BIG

19、-IP system No, it is not a redundant BIG-IP system 以下步骤在双机系统中需配置，如果系统为单机运行则无需配置。A. 设置Unit ID。通常主用系统Unit ID为1，备用系统Unit ID为2。unique number for each BIG-IP. For example, if this is the second BIG-IP you have configured, enter a 2 below. If it is the first, enter a 1, which is the default. Unit Number:

20、1 B. 设置Failover IP。通常为备用BIG-IP系统内部接口Self-IP地址。本例中使用备用BIG-IP系统内部接口IP地址。hat is the IP address of the failover system? This will typically be the IP of an internal interface on the redundant controller. Failover IP: 10.0.0.232 C. 设置Fail-over类型。本例中选择Hardwired，Fail-over通过双机系统连接Failover线缆来实现，请确保双机之间有Failo

21、ver线缆。我们还可以选择Network作为Fail-over类型，这时Failover心跳和同步方式将通过网络实现。BIG-IP系统支持MDI/MDI-X自适应，BIG-IP系统之间接口既可以通过直连网线也可以通过交叉网线对接。What is the IP address of the failover system? This will typically be the IP of an internal interface on the redundant controller. Failover IP: 10.0.0.232 Will hardwired or network fail

22、over be used for these systems? Hardwired Network 11） 设置接口速率和双工类型一般采用auto默认值按“c”继续。x devices configured for Auto media are incompatible and the proper duple x setting will not be negotiated between these devices. In these cases you may need to set the media settings to the same speed and duplex on b

23、oth this device and the corresponding switch or host. 1.1 auto 1.2 auto 1.3 auto 1.4 auto 1.5 auto 12） 配置VLAN 和接口IP地址。系统默认有3个VLAN：admin、external和internal。按“A”键添加新的VLAN，按“D”键删除一个VLAN，按“C”键继续下一步配置。D E F I N E V L A N S A N D I P A D D R E S S E S Use the arrow keys to navigate. Press to choose a VLAN

24、to configure or modify. Press A to add a new VLAN name. Press D to delete a configuration. Press C to continue. admin external internal Failover IP: 10.0.0.232 Redundant controller is not accessible. No addresses defined. 本例中删除admin VLAN，对于admin vlan，它是用于管理用，可以不用保留，用internal vlan作为管理。VLAN配置还包括Port L

25、ockdown 配置、IP地址/掩码/广播和浮动IP地址/掩码/广播。如果启用Port Lockdown，将无法通过该VLAN访问BIG-IP系统，即无法通过HTTPS或SSH对BIG-IP进行配置管理。通常建议对VLAN external启用Port Lockdown。下文以external为例介绍VLAN配置。A. VLAN external启用Port Lockdown：C O N F I G U R E V L A N e x t e r n a l You will now specify the attributes and IP addresses of this VLAN. P

26、ort lockdown enabled for this vlan Port lockdown disabled for this vlan Enabling port lockdown will block traffic to services running on BIG-IP itself. However, individual ports can be opened for administrative and B. 配置VLAN external IP地址/掩码/广播C O N F I G U R E V L A N e x t e r n a l You will now s

27、pecify the attributes and IP addresses of this VLAN. Port lockdown disabled for this vlan Enter IP Address: 10.0.0.131 Enter Netmask : 255.255.255.192 Enter Broadcast Address : 10.0.0.191 Enter Shared IP Alias: 10.0.0.130 Enter Shared IP Alias Netmask : 255.255.255.192然后对internal VLAN进行配置，最终VLAN和IP地

28、址配置如下： external 10.0.0.131 (Port lockdown: on) internal 10.0.0.231 (Port lockdown: off) 13） 添加接口到VLAN中根据安装前规划和设备物理连线，将接口添加到相应VLAN中。本例中，接口2.1添加到external VLAN中，接口2.2添加到internal VLAN中。此外，接口1.1,1.2,1.3，1.4用于主备BIG-IP双机系统级连，目前先不加入vlan web，将在WEB界面中进行配置。Use the arrow keys to navigate. Press to choose a VLAN

29、 and modify the list of interfaces. You must configure at least one VLAN. Press C to continue. external 2.1 internal 2.2 14） 选择VLAN IP与主机名关联Hostname: f5- external 10.0.0.131 (X) internal 10.0.0.231 指定主IP地址后，系统将保存网络配置：Wrote /etc/hosts Write /config/bigip_base.conf Update /config/bigip.conf Write bigd

30、b fields Update /etc/snmpd.conf Shutdown all services. Startup all services. bigstart: startup inetd bigstart: startup named bigstart: startup sod bigstart: startup sshd bigstart: startup bigstpd bigstart: startup big3d bigstart: startup bigd bigstart: startup sfd bigstart: startup slapd 15） 配置默认网关

31、16） 系统出现如下提示信息让你选择该负载均衡器是否是一个冗余设备，选择Yes，it is a redundant BIG-IP system。unit number 输入 1，failover ip 输入备负载均衡器的IP，例如88.88.88.121。 Unit Number: 1What is the IP address of the failover system. This will typically be the IP of an internal interface on the redundant controller.Failover IP: 88.88.88.12117

32、） 接下来系统让你选端口的类型：直接按C键（continue）。接着系统出现VLAN设置的界面：共3个vlan （internal、external、admin），需要依次选择每个VLAN，进行相应的配置。这里给出一个样例，配置数据请参见1 。1 VLAN配置信息举例表VLANIP地址NetmaskBroadcast Address浮动IP浮动IP Netmask浮动IP Broadcast AddressPort lockdown端口admin192.9.1.124192.9.1.255192.9.9.1.324192.9.1.255disabled3.1external10.76.138.

33、1572310.76.139.25510.76.138.1552310.76.139.255enabled1.10-1.162.1internal88.88.88.1202488.88.88.25588.88.88.902488.88.88.255disabled1.1-1.92.2选择admin，回车。出现以下提示信息，表示是否对该端口进行加密检查。选择Port lockdown disabled for this vlan。You will now specify the attributes and IP addresses of this VLAN.Port lockdown enabled for this vlanPort lockdown disabled for this vlanEnabling port lockdown will block traffic to services running on BIG-IP itself.However, individual ports can be opened for administrative and monitoring purposes using the global open port commands.The appropria