1、F5 Link Controller1關于Link Controller的說明（簡稱LC）F5的負載均衡有三大產品LTM（Local Traffic Management）：服務器負載均衡GTM（Global Traffic Management）：全局多站點負載均衡LC（Link Controller）：鏈路負載均衡LTM通常部署在server farm前面，實現(xiàn)對web或者應用服務器的負載均衡GTM的功能可以總結為一個智能的DNS服務器，其內核用的就是Linux Bund9，通過GTM做域名

2、解析來將用戶的訪問數(shù)據(jù)流導向不同的站點或者數(shù)據(jù)中心，同時GTM還可以作為DNS服務器來使用Link Controller：LC是LTM和GTM的結合體，LC可以實現(xiàn)簡單的4層服務器負載均衡的功能和簡單的GTM的功能；因此，LC對內可以實現(xiàn)服務器的負載均衡，對外可以實現(xiàn)多ISP鏈路接入的負載均衡，通過LC的職能DNS解析功能返回給不同的客戶不同的DNS解析結果，這樣就可以實現(xiàn)根據(jù)一定的策略使不同的用戶從不同的ISP線路訪問站點2配置過程確定網絡結構圖，確定應用的訪問流程，確定詳細地址和路由規(guī)劃設備初始化LTM部分設置：主要是設置Virtual Server和Outbound流

3、量的負載均衡Link Controller部分設置：主要是通過域名解析的方式實現(xiàn)Inbound流量的負載均衡雙機設置如何進行測試如何進行故障排查3第一部分設備初始化配置4設備初始化內容，安裝BIG-IP Version 55.0的版本，最好是通過Vmware全新安裝的方式，不要通過IM升級的方式打最新的Hotfix，目前9.4.8版本最新的 Hotfix 版本為Hotfix-BIGIP-9.4.8-407.0-HF3.im 可以通過進行下載配置管理地址和管理路由如果使用默認地址，管理口為45/24如

4、果需要使用其它地址，可以在console下通過config命令進行修改，也可以通過液晶面板按鍵操作進行修改激活設備，申請license設置正確的時區(qū)，一般為 asia/shanghai，以及確認或者修改系統(tǒng)時間（在命令行下通過date命令進行修改）設定管理員admin（For web，默認為admin），root（ForCLI，默認為default）的密碼5安裝操作系統(tǒng)確認設備軟件版本，要求為BIG-IP Version 85 ，在CLI下用命令b version查看如果不是，請安裝 BIG-IP V

5、ersion 85 的版本，最好是通過Vmware全新安裝的方式，不要通過IM升級的方式安裝方法請參考相關BIGIP設備操作系統(tǒng)安裝手冊文檔注意，在安裝之前請備份/config/ RegKey.license文件通常，該文件內容如下：rootf5:Active config # more RegKey.licenseRegistrationKey: KQYHC-UMEAR-FHHUK-FJDPU-YFYHAKJ設備重裝后，該文件會丟失，而設備的license激活需要該文件，如果不慎丟失，需要開一個ca

6、se要求F5 Tac幫忙查找，會比較麻煩6安裝補丁，要求安裝最新的Hotfix，目前9.4.8版本最新的 Hotfix 版本為Hotfix-BIGIP-9.4.8-385.0-HF2.im 可以通過進行下載，下載的時候需要申請一個F5網站的帳號，登陸后即可下載有了Hotfix文件后，需要將文件上傳到F5設備上，通常上傳到 /tmp目錄下F5設備不支持telnet和ftp server，但是默認是一個SFTP server，可以通過Secure FTP客戶端直接連接到F5設備上，通過root帳號登陸，進行文件的上傳和

7、下載；如果沒有Secure FTP客戶端，也可以在筆記本上起一個FTP服務器，再通過CLI從F5設備連接到筆記本上來拉Hotfix文件上傳Hotfix后，安裝Hotfix前，請通過console連接到設備上，進入/tmp目錄下，通過執(zhí)行命令 im （hotfix文件名），安裝將會自動完成安裝完成后，設備會提示你對設備進行full box reboot，即輸入命令/usr/bin/full_box_reboot，等待設備重啟完成，也可以將設備關電重啟，完成后可以用命令b version進行驗證7激活設備license設備激活后licen

8、se如右圖所示，請確認license的正確性8初始化基本設置設置管理口地址和管理路由，默認為45設置HostName，注意要求為一個FQDN設置HighAvailability模式，此處為單機模式，選擇Single Device，如果做雙機，則要選擇Redundant Pair設置Time Zone，通常為Asia/shanghai設置Root和Admin密碼，默認為root/default，admin/admin9第二部分LC Outbound流量均衡部分配置10LinkController實施前的準備確定網絡結構圖！確定網絡結構

9、圖！確定網絡結構圖！確定應用的訪問流程！確定應用的訪問流程！確定應用的訪問流程！確定合理正確的地址路由規(guī)劃！確定合理正確的地址路由規(guī)劃！確定合理正確的地址路由規(guī)劃！11/24Vlan CNC：地址規(guī)劃ISP CTISP CNC54/2454/24Vlan CT：/24F5 Link ControllerVlan INTERNAL：00/2454/24FirewallWEB1WEB201:8

10、002:80辦公網用戶12LC V9配置邏輯結果圖-Outbound流量Link1Link2Default_Gateway_Pool:0    VSiRulesLink1Link2Internal ClientsLinkController13配置VLAN添加3個VLAN：CNC   CT   INTERNAL，并對每個VLAN劃分端口14配置SELF IP按照地址規(guī)劃配置每個VLAN的IP地址15配置一個Default_Gate

11、way_Pool16配置默認路由配置默認路由，指向Default_Gateway_Pool17配置其它靜態(tài)路由18配置Outbound Virtual Server（簡稱VS）19LC  Outbound流量均衡部分配置說明這樣，基本的Outbound負載均衡的配置就結束了，內部的用戶，可以通過兩條線路訪問外面了下面我們要繼續(xù)進一步討論如何優(yōu)化Outbound負載均衡的策略和滿足一些特殊的需求，主要是通過iRules來實現(xiàn)的20Outbound的高級配置根據(jù)運營商選擇線路典型需求如下：對于去往中國電信的訪問，走電信的線路CT_Pool，當電信的線路故障時

12、，走網通的線路，對于去往中國網通的訪問，走網通的線路CNC_Pool ，當網通的線路故障時，走電信的線路，其他的訪問在中國電信和中國網通之間負載均衡Default_Gateway_Pool配置過程：建立Pool建立電信/網通地址庫的class建立Rules將Rules和Virtual Server進行綁定21Outbound的高級配置根據(jù)運營商選擇線路建立CT_Pool:由于當電信的線路故障時候需要用網通的線路做備份，所以在CT_Pool里面啟用了”Priority GroupActivation”，把電信線路的Priority設置高一些，而網通線路的Priori

13、ty設置低一些。22Outbound的高級配置根據(jù)運營商選擇線路建立CNC_Pool:由于當網通的線路故障時候需要用電信的線路做備份，所以在CNC_Pool里面啟用了”Priority GroupActivation”，把網通線路的Priority設置高一些，而電信線路的Priority設置低一些。23Outbound的高級配置根據(jù)運營商選擇線路所有的Pool設定好以后如下：24Outbound的高級配置根據(jù)運營商選擇線路設定好Pool以后，我們需要定義中國電信和中國網通地址段的Class，然后在Rules中根據(jù)class來識別用戶去往那個運營商，通過iRules來判斷內網用戶數(shù)據(jù)包

14、的目的地址是是屬于哪個運營商，如果是訪問電信的，就將數(shù)據(jù)發(fā)送到CT_Pool，如果是訪問網通的，就將數(shù)據(jù)發(fā)送到CNC_Pool。25Outbound的高級配置根據(jù)運營商選擇線路中國電信的地址段Class(部分)：class telcom_class  network  mask network  mask network  mask network 

15、; mask network  mask network  mask network  mask 26Outbound的高級配置根據(jù)運營商選擇線路中國網通的地址段Class(部分)：class cnc_class  network  mask&#

16、160;network  mask network  mask network  mask network  mask network  mask network  mask

17、60;Class的定義內容會保存在配置文件 /config/bigip.conf 里，由于該地址庫較長，因此建議使用vi直接編輯該配置文件，然后在CLI下執(zhí)行以下兩條命令：b loadb save這樣，class就定義完成了。27Outbound的高級配置根據(jù)運營商選擇線路根據(jù)去往不同的運營商進行選擇不同線路的Rulesrule Rule.Destination_Base_Route timing onwhen CLIENT_ACCEPTED if  matc

18、hclass IP:local_addr equals $:ct_classpool CT_Pool elseif  matchclass IP:local_addr equals $:cnc_classpool CNC_Pool else pool Default_Gateway_Pool28Outbound的高級配置根據(jù)運營商選擇線路定義Rules并將其和VS_Outbound_Any進行綁定VS_Outbound_Any綁定rule后就不需要選擇Po

19、ol了，如下圖29Outbound 常用Rules參考根據(jù)到不同的運營商選定不同的NAT_Pool的Rulesrule DNS_Outbound_Snat_Rules when LB_SELECTED if     matchclass IP:remote_addr equals $:dns_class     if IP:addr LB:server addr equals&

20、#160;  snatpool DNS_SNAT_CT_Poolelseif IP:addr LB:server addr equals   snatpool DNS_SNAT_CNC_Poolelse  snat automap30Outbound 常用Rules參考對于某些內網是公網地址不需要做NAT的Ruleswhen CLIENT_ACCEPTED if  mat

21、chclass IP:local_addr equals $:cernet_add   if    matchclass IP:remote_addr equals$:donot_snat_cernet  pool cernet_donot_snat_poolelse pool cernetnat_poolelse pool tel_pool31第三部分LC Inbound流量均衡部分配置32LC

22、 Inbound流量均衡配置邏輯示意圖Link1Link2Listener1Listener2wideip:www.wideip.FVS_Link1_WWWVS_Link2_WWWPool_WWWWWW_Serverwideip:ftp.wideip.FVS_Link1_FTP             VS_Link2_FTPPool_FTPFTP_ServerLinkController33LC Inbound流量均衡過程說明ISP 

23、CTISP CNC/24Vlan CNC：F5 Link Controller用戶需要訪問www.F，其PC向Local DNS發(fā)起解析Local DNS向公網發(fā)起DNS查詢最終查詢到華訊負責解析F 這個域名的DNS服務器DSN1或者DNS2DNS1或者DNS2通過DNS遷移配置將www.F 的解析權轉到F5 Link Controller上54/24         &

24、#160;                 54/24Vlan CT：/24VS_CT_WWW:00:80VS_CNC_WWW:00:80Vlan INTERNAL：00/24最終由F5 LC返回給用戶的Local DNS解析結果，如右圖，根據(jù)一定的策略，返回www站點的公網地址100.1.1.

25、100或者00典型常用的Inbound負載均衡算法有Round Robin，RTT， Topology，GlobalAvailability等54/24FirewallDNS1                    DNS2DNS服務器DNS遷移典型配置wideip.F  IN  NS &

26、#160;wideip.F  IN  NS  www.F  IN  CNAME www.wideip.Fftp.F  IN  CNAME ftp.wideip.F01:80WEB1WEB202:8034LC Inbound流量均衡算法-Topology一個電信的用戶需要訪問www.F，首先向Local DNS發(fā)起DNS解析請求Local&

27、#160;DNS通過公網DNS查詢，找到DNS123Local DNS41電信用戶DNS1告訴Local DNS該域名由負責解析Local DNS向發(fā)起DNS解析請求ISP CT                             

28、;                   ISP CNC54/24               54/24F5 LC根據(jù)Topology算法判斷該Local DNS屬于電信的用戶F5 L

29、C返回給Local DNSVS_CT_WWW:00的地址Vlan CT ：/24VS_CT_WWW:00:80VS_CNC_WWW:00:80Vlan CNC：/24www.FLocal DNS返回給用戶00的地址DNS1                  

30、60; DNS2DNS服務器DNS遷移典型配置wideip.F  IN  NS  wideip.F  IN  NS  IN  CNAMEwww.F   IN  CNAMEwww.wideip.Fftp.F           ftp.wideip.F35

31、2Local DNS53 探測詢，找到DNS13 探測4/24VS_CT_WWW:00:80VS_CNC_WWW:00ISP CTISP CNC54/2454/24路發(fā)起對Local DNS的探/24Vlan CNC：DNS1DNS2LC Inbound流量均衡算法Round Trip Time（RTT）1某用戶需要訪問www.F，首先向Local DNS發(fā)起DNS解析請求Loc

32、al DNS通過公網DNS查用戶DNS1告訴Local DNS該域名由負責解析Local DNS向發(fā)起DNS解析請求F5 LC根據(jù)RTT算法，發(fā)起探測，分別從CT線路和CNC線測，比較兩次探測的RTT時間Vlan CT：值比如從CT線路到LDNS的RTT值為82ms，從CNC線路到LDNS的RTT值為66ms，則F5 LC返回給LDNS網通線路的地址VS_CNC_WWW:00:80LDNS返回給用戶00的地址DNS服務器DNS遷移典型配置wideip.F 

33、; IN  NS  wideip.F  IN  NS  IN  CNAME www.wideip.Fwww.Fftp.F  IN  CNAME ftp.wideip.F36LC Inbound流量均衡配置過程定義Default_Gateway_Pool并定義一條默認路由指向該pool定義pool和virtual server定義listener定義li

34、nk定義wideipDNS遷移37LC Inbound流量均衡配置過程添加Default_Gateway_Pool（包含所有l(wèi)ink的網關地址）38LC Inbound流量均衡配置過程-默認路由配置默認路由，指向Default_Gateway_Pool39LC Inbound流量均衡配置過程添加Pool設定Pool，Pool是用來代表真實服務器組的，Virtual Server將通過調用Pool將訪問請求轉發(fā)到真實的服務器上，如右圖所示，添加一個web服務器的Pool40LC Inbound流量均衡配置過程添加Virtual Serv

35、er設定完Pool，接下來要針對每一條線路設定一個VirtualServer，每個VirtualServer都會調用同一個Pool，如圖，定義VS_CT_Web,調用Pool_Web41LC Inbound流量均衡配置過程添加Virtual Server和上頁同樣的方法建立一個VS_CNC_Web的VirtualServer，調用Pool：Pool_WebVirtual Server定義完成后列表如下圖所示：42LC Inbound流量均衡配置過程添加ListenerListener作用為啟用DNS解析功能，通常為LC的外網接口地址，如果是雙機則為虛擬I

36、P如果不配置Listener，則LC不響應DNS解析請求43LC Inbound流量均衡配置過程添加LinkLink通常為ISP線路網關的地址，表示有幾條ISP線路以及其網關地址分別為多少Link需要配置monitor，注意一定要選擇bigip_link的monitor44LC Inbound流量均衡配置過程添加LinkLink定義完成后如下圖所示正常情況下，如果網線連接好，對端可ping通，Link狀態(tài)為綠色up，表示Link狀態(tài)正常，如果網關不通則標記為紅色down如果網關通的情況下，而Link卻標記為紅色down，說明設備配置有問題或者存在其它問題，需要進一步排查45

37、LC Inbound流量均衡配置過程Topology算法預設對于LC Inbound流量均衡來說，通常客戶會有電信/網通線路各一條，建議使用Topology+None+GA的算法結合由于Topology算法是判斷用戶Local DNS屬于哪個運營商（電信或者網通），從而返回給用戶相應的運營商線路的地址需要將電信/網通的地址庫列表導入到LC中該文件名為region.user，都已經整理好，直接使用即可，將該文件通過Secure FTP上傳到LC的/config/gtm目錄下運行gtmload命令，加載region.user內的配置文件到運行狀態(tài)46LC&#

38、160;Inbound流量均衡配置過程Topology算法預設rootf5:Active gtm # lsregion.user   server.crt   wideip.confwideip.conf.sample   wideip.confrootf5:Active gtm #rootf5:Active gtm # gtmloadgtmload: Initializing ./usr/bin/moni

39、tors/builtins/gtm_base_monitors.conf:SUCCESS/usr/local/gtm/include/base_region.ISP: SUCCESS/config/gtm/region.user: SUCCESS/config/gtm/wideip.conf: SUCCESSgtmload: SUCCESSrootf5:Active gtm #47LC Inbound流量均衡配置過程Topology算法預設Region.user配置文件加載后，可以在web頁面看到相應的電信/網通地址庫的內容

40、48LC Inbound流量均衡配置過程Topology算法預設定義TopologyRecord如右圖所示，定義兩條TopologyRecord即當用戶LDNS屬于電信的時候，返回網段的地址，即電信線路地址即當用戶LDNS屬于網通的時候，返回網段的地址，即網通線路地址注意：兩條Record要配置不同的Weight49LC Inbound流量均衡配置過程關鍵的Wideip配置Wideip的實質就是一個域名，對應于多個公網地址TTL為公網緩存DNS server對該wideip記錄解析值的緩存時間算法選擇Topology/None/

41、GAMember List即為該域名對應的返回地址，也即添加的Virtual Server地址GA算法匹配的是MemberList的order，先返回order居上的member地址LC響應解析請求的時候，先匹配Topology的算法，當Topology算法匹配失敗的時候，則匹配GA的算法50LC Inbound流量均衡配置過程system->global properties->global traffic->Load BalancingEnable Respect FallbackDepend

42、ancy選項啟用域名解析和wideip的member狀態(tài)邦定功能，即Enable該選項后，解析將不返回狀態(tài)down的wideipmember的地址注意：如果做雙機，需要分別在兩臺設備上手動Enable該選項51LC Inbound流量均衡配置過程DNS遷移設置(用戶有內網DNS服務器的時候）修改之前的DNS設置www.F IN A 00修改之后的DNS設置wideip.F IN NS lc1.Fwideip.F IN NS lc2.Flc1.F IN A&#

43、160;lc2.F IN A www.F IN CNAME www.wideip.F52LC Inbound流量均衡配置過程關鍵配置文件/config/bigip.conf文件：LTM部分配置，包括VS，Pool，Rules等配置/config/bigip_base.conf文件：設備管理地址，vlan劃分，self ip等配置/config/gtm/wideip：LC部分配置文件/config/gtm/region.user：地址庫文件/config/gtm/topology.

44、inc：TopologyRecord文件53LC Inbound流量均衡配置過程wideip配置文件rootf5:Active gtm # morewideip.conf# (f5.F )dumped 04/22/2008 16:38:03CST - GTM Version0.0.0globals probe_protocol icmp/ * Data Center Definitions(1)

45、 */ * Monitor Definitions (0)*/ * Link Definitions (2) *link  / datacenter=Default Dname           "CT_Link"address       100.1.1.

46、254monitor       "bigip_link"link  / datacenter=Default DCdatacenter  / 1 server(s)name"Default DC"server "f5.F"link "CNC_Link"link "CT_Link"name 

47、0;         "CNC_Link"address       54monitor       "bigip_link"54LC Inbound流量均衡配置過程wideip配置文件/ * Server Definitions (1) *serve

48、r  / datacenter=Default DC,#VS=2name"f5.F"typebigipbox  / gtmaddress address unit_id 1autoconfenablemonitor "bigip"vs name"VS_CT_Web"address00:80 / httpvs name"VS_

49、CNC_Web"address00:80 / http/ * Pool Definitions (1) *pool name"www.wideip.F"ttl                 30preferred       &#

50、160;topologyalternate        nullfallback          gamember            00:80member          

51、;  00:80/ * Wide IP Definitions (1) *wideip name"www.wideip.F"pool_lbmode  rrpool            "www.wideip.F"/ * Application Definitions (

52、0) *55第四部分如何進行相關測試56DNS解析測試工具-NslookupC:Documents and Settings>nslookupDefault Server:   it2.FAddress:   05> server Default Server:   ns-Address:   > www.FS

53、erver:   ns-Address:   DNS request timed out.timeout was 2 seconds.Non-authoritative answer:Name:www.FAddress:   00Aliases:   www.F, www.wideip.F57DNS解析測試工具-Nslookup> server Default Server:   dns-Address:   > www.FServer:   dns-