f5做ftp负载均衡

F5 实现 FTP 负载均衡的配置与原理

基础概念与注意事项

1. FTP 协议特性

   • FTP 包含控制连接（端口 21）和数据连接（端口 20 或动态分配）。
   • 数据连接方向分为 主动模式（服务器主动连接客户端）和 被动模式（客户端主动连接服务器）。
   • F5 需同时处理控制连接和数据连接的负载均衡。

2. F5 负载均衡关键点

   • 持久会话：确保控制连接与数据连接路由到同一后端服务器。
   • 健康检查：需验证后端 FTP 服务可用性（如 TCP 握手或自定义命令）。
   • iRules：用于修正被动模式下的数据连接端口或处理主动模式 NAT。

配置步骤与核心参数

创建 FTP 虚拟服务器

配置服务器池

被动模式优化（数据连接处理）

• 问题：被动模式下，客户端请求数据连接时，F5 需返回后端真实服务器的 IP 和动态端口。
• 解决方案：
  • 启用 Passive Mode Support（配置 > 网络 > FTP Passive Support）。
  • 通过 iRule 修改响应，将数据连接重定向至 F5 的指定端口（如 2020），再由 F5 转发至后端。

主动模式优化（NAT 转换）

• 问题：主动模式下，客户端会直接连接后端数据端口，需通过 NAT 转换回 F5。
• 解决方案：
  • 配置 iRule 捕获数据连接请求，修改目标 IP 为 F5 虚拟地址。
  • 示例 iRule：

    when CLIENT_ACCEPTED {
        set node [LB::server node]
        if {[string tolower [HTTP::header "FTP-Request"]] contains "pasv"} {
            # 重写 PASV 响应中的 IP 和端口
            HTTP::respond 227 "Entering Passive Mode ([IP::client_addr],[CLIENT_PORT])"
        }
    }

常见问题与验证方法

相关问题与解答

问题 1：如何测试 F5 的 FTP 负载均衡是否生效？

• 解答：
  1. 控制连接测试：通过客户端（如 FileZilla）连接 F5 的 21 端口,观察是否被分配到不同后端服务器。
  2. 数据连接验证：在被动模式下，检查数据连接是否通过 F5 的指定端口（如 2020）转发至后端。
  3. 日志分析：在 F5 上查看 /var/log/ltm 日志,确认流量分发情况。

问题 2：FTPS（FTP over SSL）如何配置负载均衡？

• 解答：
  1. 协议选择：将虚拟服务器协议改为 HTTPS（或 TCP），并绑定 990 端口（FTPS 默认端口）。
  2. SSL 终止：在 F5 上配置 SSL 证书，由 F5 处理加密流量，后端服务器仅需接收明文 FTP。
  3. iRules 调整：确保 SSL 握手后，FTP 数据流仍按持久会话规则路由。

通过以上配置，F5 可有效实现 FTP 的负载均衡，同时兼容主动/被动模式，实际环境中需根据业务需求调整超时、健康检查频率等