F5应用交付设备操作手册.pdf

F5应用交付设备操作手册F5Networks张嘉鑫2015年12月18日 目录1.实现功能简介...........................................................................................................................31)负载均衡策略...................................................................................................................32)服务器的健康检查和监控...............................................................................................43)会话保持...........................................................................................................................54)连接复用技术...................................................................................................................75)DDos防护........................................................................................................................86)全代理安全性...................................................................................................................82.基础配置..................................................................................................................................91)设备信息...........................................................................................................................92)配置备份及恢复...............................................................................................................93)SNMP配置.....................................................................................................................134)设备新账户及新Partition配置.....................................................................................133.网络层配置............................................................................................................................141)Portchannel配置.............................................................................................................142)接口划分及类型配置.....................................................................................................143)接口IP配置...................................................................................................................154)路由配置.........................................................................................................................154.集群配置................................................................................................................................161)NTP配置........................................................................................................................172)建立HA步骤.................................................................................................................175.应用配置................................................................................................................................221)配置Pool（提供相同服务的服务器群）.....................................................................222)配置VirtualServer虚拟服务器（对外提供服务）......................................................236.状态察看................................................................................................................................241)Dashboard.......................................................................................................................242)Performance.....................................................................................................................257.故障采集................................................................................................................................261)寻求F5技术支持时，要提供哪些信息与资料？.......................................................262)获取Qkview的方式.......................................................................................................27 1.实现功能简介1)负载均衡策略F5BIG-IP利用VirtualServer虚拟服务器（VS由IP地址和TCP/UDP应用的端口组成）来为用户的一个或多个目标服务器（称为Node：目标服务器的IP地址和TCP/UDP应用的端口组成，它可以是私网地址）提供服务。因此，它能够为大量的基于TCP/IP的网络应用提供服务器应用交付服务。根据服务类型不同分别定义服务器群组，可以根据不同服务端口将流量导向到相应的服务器。F5BIG-IP连续地对目标服务器进行L4到L7合理性检查，当用户通过VIP请求目标服务器服务时，F5BIG-IP根椐目标服务器之间性能和网络健康情况，选择性能最佳的服务器响应用户的请求。如果能够充分利用所有的服务器资源，将所有流量均衡的分配到各个服务器，我们就可以有效地避免“不平衡”现象的发生。F5BIG-IP是一台对流量和内容进行管理分配的设备。它提供灵活的算法将数据流有效地转发到它所连接的服务器群。而面对用户，只是一台虚拟服务器。用户此时只须记住一台服务器，即虚拟服务器。但他们的数据流却被F5BIG-IP灵活地均衡到所有的服务器。算法包括：轮询（RoundRobin）：顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7层的故障，F5BIG-IP就把其从顺序循环队列中拿出，不参加下一次的轮询，直到其恢复正常。比率（Ratio）：给每个服务器分配一个加权值为比例，根椐这个比例，把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障，F5BIG-IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。优先权（Priority）：给所有服务器分组，给每个组定义优先权，F5BIG-IP用户的请求，分配给优先级最高的服务器组（在同一组内，采用轮询或比率算法，分配用户的请求）；当最高优先级中所有服务器出现故障，F5BIG-IP才将请求送给次优先级的服务器组。这种方式，实际为用户提供一种热备份的方式。最少的连接方式（LeastConnection）：传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7层的故障，F5BIG-IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。 最快模式（Fastest）：传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7层的故障，F5BIG-IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。观察模式（Observed）：连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7层的故障，F5BIG-IP就把其从服务器队列中拿出，不参加下一次的用户请求的分配，直到其恢复正常。预测模式（Predictive）：F5BIG-IP利用收集到的服务器当前的性能指标，进行预测分析，选择一台服务器在下一个时间片内，其性能将达到最佳的服务器相应用户的请求。(被F5BIG-IP进行检测)动态性能分配（DynamicRatio-APM):F5BIG-IP收集到的应用程序和应用服务器的各项性能参数，动态调整流量分配。动态服务器补充（DynamicServerAct.):当主服务器群中因故障导致数量减少时，动态地将备份服务器补充至主服务器群。服务质量(QoS)：按不同的优先级对数据流进行分配。服务类型(ToS)：按不同的服务类型（在TypeofField中标识）对数据流进行分配。规则模式：针对不同的数据流设置导向规则，用户可自行编辑流量分配规则，F5BIG-IP利用这些规则对通过的数据流实施导向控制。2)服务器的健康检查和监控F5BIG-IPLTM提供了先进的监视器，用于检查设备、应用和内容的可用性，包括适合多种应用的专用监视器(包括多种应用服务器、SQL、SIP、LDAP、XML/SOAP、RTSP、SASP、SMB等)，以及用于检查内容和模拟应用调用的定制监视器。服务器(Node)-Ping(ICMP)F5BIG-IP可以定期的通过ICMP包对后台服务器的IP地址进行检测，如果在设定的时间内能收到该地址的ICMP的回应，则认为该服务器能提供服务服务(Port)-ConnectF5BIG-IP可以定期的通过TCP包对后台服务器的服务端口进行检测，如果在设定的时间内能收到该服务器端口的回应，则认为该服务器能提供服务扩展内容查证(ECV:ExtendedContentVerification)-ECV ECV是一种非常复杂的服务检查，主要用于确认应用程序能否对请求返回对应的数据。如果一个应用对该服务检查作出响应并返回对应的数据，则F5BIG-IP控制器将该服务器标识为工作良好。如果服务器不能返回相应的数据，则将该服务器标识为宕机。宕机一旦修复，F5BIG-IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。该功能使F5BIG-IP可以将保护延伸到后端应用如Web内容及数据库。F5BIG-IP的ECV功能允许您向Web服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询，然后检查返回的响应。这将有助于确认您为客户提供的内容正是其所需要的。扩展应用查证(EAV:ExtendedApplicationVerification)EAV是另一种服务检查，用于确认运行在某个服务器上的应用能否对客户请求作出响应。为完成这种检查，F5BIG-IP控制器使用一个被称作外部服务检查者的客户程序，该程序为F5BIG-IP提供完全客户化的服务检查功能，但它位于F5BIG-IP控制器的外部。例如，该外部服务检查者可以查证一个Internet或Intranet上的从后台数据库中取出数据并在HTML网页上显示的应用能否正常工作。EAV是F5BIG-IP提供的非常独特的功能，它提供管理者将F5BIG-IP客户化后访问各种各样应用的能力，该功能使F5BIG-IP在提供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要的反馈。该功能对于电子商务和其它应用至关重要，它用于从客户的角度测试您的站点。例如，您可以模拟客户完成交易所需的所有步骤－连接到站点、从目录中选择项目以及验证交易使用的信用卡。一旦F5BIG-IP掌握了该"可用性"信息，即可利用负载平衡使资源达到最高的可用性。3)会话保持当使用F5对服务器进行负载均衡时，就需要会话保持。如果某位客户连接到了一台服务器上，那么我们肯定希望该客户在将来再次连接时将仍可连接到该台服务器上。当该服务器存有客户相关数据，并且这些数据并不与其它服务器动态共享时，持续性就显得十分有必要了。例如，假设一位客户在某网站采购了一“购物车”的商品，然后还未结帐就离开了该网站。如果在其重新登录网站后，F5应用交换机将客户请求路由至不同的服务器，那么新的服务器对该客户的数据和其所购买的商品将一无所知。当然，如果所有服务器都在同一个后台数据库服务器中存储客户信息及其选购商品的话，那么一切就不成问题了。但是如果网站不是这样设计的，那么具体的购物车数据就只能存储在特定的服务器上。这样，F5应用 交换机就必需选择客户曾连接上的那台服务器，以无缝地处理客户请求。F5提供以下几种会话保持方法：SimplePersistence，SSLSessionIDPersistence，SIPPersistence，CookiePersistence，iModePersistence，目的地址归类。SimplePersistence：根据源地址做会话保持，即相同源地址的访问请求定位在同一台服务器上面。SSLSessionIDPersistence：根据SSL会话ID做会话保持。SIPPersistence：SIP协议会话保持技术。HTTPCookiePersistence：F5支持四种Cookie会话保持技术，即：改写模式，插入模式，被动的cookie，Cookie散列：1．Cookie改写模式，服务器将插入一个cookie，然后F5应用交换机将对其进行重写，访问流程如下：首次命中，HTTP请求（不带有cookie）进入F5应用交换机，F5应用交换机任选一台服务器，将请求发送至该服务器，来自该服务器的HTTP回复此时包括一个空白的cookie，F5应用交换机重写cookie，并在粘贴一个特殊的cookie后将HTTP回复发送回去。再次命中，HTTP请求（带有与上面同样的cookie）进入F5应用交换机，F5应用交换机借助cookie信息确定合适的服务器，HTTP请求（带有与上面同样的cookie）进入服务器，HTTP回复（带有空白cookie）返回F5应用交换机，后者将向客户机提供更新后的cookie。如下图所示：2．Cookie插入模式，F5插入一个cookie，服务器无需作出任何修改，访问流程如下：首次命中，HTTP请求（不带cookie）进入F5应用交换机，F5应用交换机任选一台服 务器，将请求发送至该服务器，HTTP回复（不带cookie）被发回F5应用交换机F5应用交换机插入cookie，将HTTP回复返回到客户机。再次命中，HTTP请求（带有与上面同样的cookie）进入F5应用交换机，Cookie指定合适的服务器，HTTP请求（带有与上面同样的cookie）进入服务器，HTTP回复（不带有cookie）进入F5应用交换机，后者将为客户机提供更新后的cookie。3．被动模式，服务器使用特定信息来设置cookie，访问流程如下：首次命中，HTTP请求（不带有cookie）进入F5应用交换机，F5应用交换机任选一台服务器，将请求发送至该服务器，HTTP回复（带有特定cookie）返回至F5应用交换机，F5应用交换机将HTTP回复（带有特定cookie）发回客户机。再次命中，发送HTTP请求（带有与上面同样的cookie），Cookie指定合适的服务器，HTTP请求（带有与上面同样的cookie）进入服务器，HTTP回复（带有特定cookie）返回至F5应用交换机，后者将HTTP回复（带有特定cookie）发送回客户机。F5应用交换机Cookie持续性模式与SSL持续性模式之间的主要区别在于：对于Cookie持续性而言，数据存储在客户机上，而不是F5应用交换机上，因此可充分使用客户机上的无限资源。即Cookie持续性体现在HTTPCookie上，而信息则存储于客户机的磁盘驱动器上。4．Cookie会话保持散列模式，该模式只能在BIG－IPHA控制器和企业上使用。散列模式使您可以通过设定cookie中一定字节数的信息来确定连接的目的地。该模式用于将cookie值映射到节点上，之后该值这将用于连接含该cookie的客户机，从而实现了节点的持续性。4)连接复用技术F5BIG-IP通过Oneconnect技术，将所有客户端的TCP连接转移至F5BIG-IP进行处理；而F5BIG-IP与服务器之间仅建立少量的、持续的TCP连接。使Web服务器从处理大量的并发TCP请求和TCP连接建立/卸载的负担中解脱出来，同时当F5BIG-IP收到用户请求后才发送到服务器，服务器可免于受到客户端和网络异常的影响。F5BIG-IP还会缓存所有服务器的响应数据包，服务器以LAN速度发送数据到F5BIG-IP，服务器不会受到慢速客户端连接的牵累。服务器的大量CPU资源被释放来提供数据，而不是管理连接。 F5BIG-IP通过控制容量需求和访问分析优化了服务性能和带宽。企业也因为增加了更多的计算资源，减少了出口带宽需求而降低服务器和带宽投资，并且减少服务响应延迟和运营成本。5)DDos防护F5BIG-IP的全代理架构提供的功能可以在拒绝服务(DoS)和分散式拒绝服务(DDoS)攻击到达数据中心服务器之前减轻攻击的损坏，因而确保了应用的可用性。即购即用的功能包含了全方位的规则。借助这些规则，企业可以即刻跟踪、报告和防御各种知名的网络DDoS矢量攻击和方法，包括flood、sweep、teardrop和smurf攻击等等。6)全代理安全性与传统防火墙不同，F5BIG-IP基于全代理架构。这意味着，在将入站客户端连接转发至服务器之前，F5BIG-IP会将这些连接完全终止，检查其是否包含可能的安全威胁。在确定不存在任何威胁后，才会将其转发至服务器。在相反方向，服务器到客户端的通信也被代理。安装有F5BIG-IPAFM的F5应用交付防火墙解决方案会过滤返回的数据，看是否存在敏感信息—例如会泄露网络信息进行侦查攻击的协议响应代码和私人数据（如信用卡号或社会保险号等）。 2.基础配置1)设备信息System—Platform注意：主机名称必须为FQDN格式，即域名格式。由于集群配置为设备间的证书互信，故配置好集群后，尽量不更改主机名称及root账户以及admin帐户密码。2)配置备份及恢复配置备份点击System选项卡中的Archives选项，在右侧菜单栏中选择Create选项备份当前的配置。 为备份的配置文件命名并点击Finished完成。下载配置文件到本地点击System选项卡中的Archives选项，点击需要回滚的配置文件名称（并不是打勾）。 点击Download，选择本地目录保存即可。上传配置文件通过web界面上传点击System选项卡中的Archives选项，在右侧菜单栏中选择Upload选项上传本地配置文件。通过ftp方式上传 通过ftp的方式上传到F5设备的/var/local/ucs目录下。配置回滚点击System选项卡中的Archives选项，点击需要回滚的配置文件名称（并不是打勾）。 点击Restore回滚配置文件，待系统提示回滚完毕后再点击OK（不可提前点击）。3)SNMP配置System—SNMP4)设备新账户及新Partition配置System—UsersPartition切换为右上角的下拉菜单 3.网络层配置注意：建议所有网络层配置在Common的Partition下建立1)Portchannel配置Network—TrunksCreate新建配置2)接口划分及类型配置Network—VLANsCreate新建配置 3)接口IP配置Network—SelfIPsCreate新建配置。若为接口的真实IP则选择TrafficGroup为traffic-group-loca-only(non-floting)4)路由配置Network—RoutesCreate新建配置 4.集群配置注意：从11.4.0开始BIGIP支持在不同硬件平台之间建立Configsync和Failover，如果是11.4.0之前的版本则需要硬件平台一致。各硬件平台操作系统版本必须一致。所有设备的license必须一致，否则同步配置时会报错。一定要保证设备时间尽量相同，相差不超过30s，建议配置NTP服务器，否则建devicetrust时可能出现问题。修改设备时间方法为命令行输入：【date月日时分年】（例2015年12月18日11点12分，date121811122015），修改完时间后使用hwclock–systohc将时间写入时钟。在做基础配置时，时区要一致。 1)NTP配置System—Configuration—Device—NTP用ntpq–p命令确认是否与ntp同步成功，如果未同步可以尝试重启ntpd进程（bigstartrestartntpd）##############################################################################[root@ltm1:Active:Standalone]config#ntpq-premoterefidsttwhenpollreachdelayoffsetjitter==============================================================================*192.168.11.220.CDMA.1u326410.4592.5290.436172.24.1.105192.168.11.1683u316410.2481.9800.344##############################################################################命令nc测试udp123端口是否可达##############################################################################[root@ltm1:Active:Standalone]config#nc-u192.168.11.220123aaa^C[root@ltm1:Active:Standalone]config###############################################################################2)建立HA步骤a)完成基础网络配置，包括VLAN，SELFIP。FloatingIP完成HA配置之后再添加。我这里用的例子：EXTERNALVLAN：100.1.1.11(LTM1)100.1.1.12(LTM2)100.1.1.13(LTM3)INTERNALVLAN：13.1.1.11(LTM1)13.1.1.12(LTM2)13.1.1.13(LTM3)HAVLAN：1.1.1.11(LTM1)1.1.1.12(LTM2)1.1.1.13(LTM3)PortLockdown选择allowdefault，traffic-group选择local-only b)测试NTPServer的连通性，并添加NTPc)在三台设备上分别选择DeviceManagementDevicesltmx.f5.com(self)DeviceConnectivityConfigSync选择用来做configsync的地址，本例中选择1.1.1.0/24的selfIP。d)在三台设备上分别选择DeviceManagementDevicesltmx.f5.com(self)DeviceConnectivityFailover选择用来做Failover的地址，本例中选择1.1.1.0/24的selfIP和管理口地址（强烈建议把管理口加入failover中）e)如果有connectionmirror或者persistencemirror配置DeviceManagementDevicesltmx.f5.com(self)DeviceConnectivityMirror地址，否则跳过此步。f)在三台设备上分别选择DeviceManagementDevicesTrustResetDeviceTrust选择GenerateNewSelf-SignedAuthority，如果是生产设备，考虑到双A的问题，可以将不需要承载业务的设备forceofflineg)在ltm1上DeviceManagementDevicesTrustPeerList添加ltm2 h)在ltm1和ltm2上分别查看DeviceManagementDevicesTrustPeerList状态，要能够看到对方的hostnameSerialNumber和Mac，如看不到这些信息，可以在看不到对端信息的设备上手动添加，或者resetdevicetrust重加。i)在ltm1上加ltm3，完成后三台设备上都可以看到两个对端设备j)在ltm1上建立devicegroup，grouptype选择sync-failover，将三台设备都加入member中，并勾选networkfailover。此配置会自动同步到其他设备。 k)8．DeviceManagementDevicesTrustTrafficGroup。此例子中ltm1为traffic-group-1的active，ltm3为standby。Ltm2为traffic-group-2的active，ltm3为standby。l)选择traffic-group-1，FailoverOrder中添加ltm1和ltm3m)建立traffic-group-2，FailoverOrder中选择ltm2和ltm3n)DeviceManagementOverview从ltm1同步给同步组中其他设备，建议勾选OverwriteConfiguration。同步完成后如下图。如果同步出错查看/var/log/ltm查看出错原因，以进一步排查。 o)查看DeviceManagementTrafficGroups，状态如下图：此时ltm1为traffic-group-1的active，ltm2为traffic-group-2的active，ltm3为这两个group的standby。p)建立floatingIP，分别放入所需的traffic-groupq)10建立VS，将virtualaddress放入所需的traffic-group r)11如果有snatpool，将snat地址放入所需的traffic-group5.应用配置1)配置Pool（提供相同服务的服务器群）点击LocalTracffic选项卡中的Pools选项，在右侧菜单栏中选择Create选项建立新的Pool池为Pool池定义名称、健康检查方式、负载均衡算法以及成员。点击Finished完成 常用负载均衡算法：RoundRobin<轮询>：F5将客户端请求按照轮询的方式分发到后台所有Member成员（服务器）LeastConnections（member）<最小连接数>：F5监控后台所有Member成员的当前连接数，将新的请求分配到当前连接数最小的服务器上常用健康检查方式：gateway_icmp：F5向后端服务器发送ping测试，以确定服务器是否正常tcp：F5与后端服务器建立三次握手，若成功则确定服务器为正常http：F5向后端服务器发生发送HTTPGET请求，根据服务器是否响应来确定服务器是否正常2)配置VirtualServer虚拟服务器（对外提供服务）点击LocalTracffic选项卡中的VirtualServers选项，在右侧菜单栏中选择Create选项建立新的VS为VS进行详细设置，点击Configuration处的下拉菜单，将Basic改选为Advanced以进行详尽的设置 根据提供的不同应用服务而对应进行VS的配置。6.状态察看1)Dashboard 2)Performance 7.故障采集1)寻求F5技术支持时，要提供哪些信息与资料？一般来说，如果要寻求F5的技术支持(不论是F5第三方技术支持中心或F5全球技术支持中心)，都要准备以下信息：产品序列号(在BIG-IP机架安装耳朵的边上以F5-开头的字串)，产品序列号是判断设备是否在服务有效期内；Qkview输出文件：里面包含了BIG-IP的配置信息及日志信息。如果是双机，则两台机器的qkview输出文件都需要提供；故障描述； 如果必要，还需要提供TCPDUMP的抓包文件，并指出数据包异常现象；如条件允许，对技术支持人员开放远程访问权限。2)获取Qkview的方式System—Support只勾选QKView，点击Start下载到本地