F5基本操作

Posted 2020-09-04

设备面板标识

F5 BIGIP 2000产品图片

面板结构

F5 BigIP 2000 设备的面板结构:

10/100/1000 interface — 8个10/100/1000 M 自适应的网络接口（图5）

Gigabit fiber interface — 2个1000M 多模光纤接口（图6）

Serial console port — 一个串口命令行管理端口（图3）

Failover port — 一个串口冗余状态判断端口（图4）

Mgmt interface — 一个10/10/1000M 管理端口（图1）

状态灯判断

 

BigIP 在正常工作时可以通过状态显示灯判断工作状态：

面板右侧系统状态灯

System 正常情况下为绿色, 为系统工作正常（双机配置时：Active 设备为绿色, 而Backup 设备为橙色）；

Alarm  为健康检查报警, 当系统发现有服务节点处于”不健康”状态时的提示报警或者液晶面板有显示信息是，橙色是普通报警信息，红色为error报警，需要关注；

Power1 在后端电源插槽1插有电源模块并加电正常时为绿色；

Power2 在后端电源插槽2插有电源模块并加电正常时为绿色。

 

 

运维部分功能介绍

在发现系统工作不正常的情况下, 一般建议通过GUI的WEB界面进行进一步的故障判断和排除。

 

基于Web 配置BIG-IP 的准备

1、 安装Windows 操作系统的PC 一台

2、 IE 6 或者更高的版本

3、 一根网线, 连接PC 和BigIP 的Mgmt 管理端口

 

基于Web 配置BIG-IP

1．当没有对BIG-IP 进行任何配置的时候，可以通过液晶屏看到机器的管理IP 地

址，一默认为192.168.1.245.

我们配置客户端主机的IP 地址为管理地址的同网段地址，由于BIG-IP 使用SSL

加密的HTTP，所以我们在IE 的地址栏内输入，比如：https:// 10.134.2.3

 

2．回车后，出现安全警告信息，为了配置BIG-IP 选择“继续浏览此网站(不推荐)”。

 

3．然后系统提示输入基于WEB 配置的用户名和密码，默认的用户名是admin 密码：admin，系统已经对用户名和密码进行了更改，请用自己的用户名和密码登陆。

 

 

4．单击OK，进入BIG-IP 的WEB 页面，左边的菜单里共有五栏，分别用来配置不同的信息：

 

系统运行状态监视

通过statistics 界面可以看到BIGIP 是的资源的总信息，如，有多少VS，其中几个是UP 的，几个是DOWN 的，有多少POOL，有几个是UP 的，机个是DOWN的，以及NODE 的信息。

如下图，说明BIGIP 上有25 个VS，其中25 个都是UP 的，如果有DOWN的，会标识为Offline

 

点击VS，POOL 或NODE 可以查看它们的具体信息。如点击VS 后面的数字25，就能得到VS 的总体信息。

 

点击VS 的名字 ，可以查看VS 的信息

 

点击resouce 下面的EDIT，可以查看这个VS 调节器用的资源（POOL 或RULES）。

 

F5 BIG-IP设备的运维管理

一般我们在修改系统配置是，建议在ACTIVE 设备上操作；确认冗余系统的设备是否处于ACTIVE 状态有多种方法：

第一：看BIG-IP 的前面板的第一个指示灯 Status，绿色代表ACTIVE，黄色代表Standby。

第二：液晶屏上也有显示：在ACTIVE 设备上做完配置之后，如果确认无误，点击如下“SynchronizeConfiguration”按钮，即可把本机上的新配置文件同步到对端，如果对端设备故障，更换新设备之后，也可以通过这种方法自动地在对端新设备上生成全套配置。

第三：查看WEB界面左上角，上面标示该设备在主备方式的具体状态，如下图：

 

如果想对BIG-IP ACTIVE 设备做运维，可以首先点击如下“Force to Standby”按钮，手动把本机设置为Standby 状态，然后再退出系统。

 

查看当前整机系统状态

点击overview 下的performance，可以查看系统运行情况：

上图是系统连接数的变化情况

 

下图中有新建连接数，流量、HTTP 请求等等曲线图

 

查看LOG列表

点击System->logs，可以查看系统LOG，有系统本身的LOG，BIGIP LOG 及Monitor log

 

系统管理

首先，是用户的管理，我们可以自行增加、编辑、删除BIG-IP 的管理员帐号，并设置其各自的权限：只读/读写，管理CLI/WEB 等等。

 

 

其次是SNMP 的管理，我们可以设置通过SNMP 把相关信息自动发送到网管工作站上, 包括SNMP 管理和SNMP Trap 的使用, BigIP 支持MIB I, MIB II,Private MIB 。

 

 

命令行下常用的几个管理命令

1、  查看BIGIP 上各VS、NODE 上的数据流量，总连接数及几秒内的新建连接均会显示出来。

命令：bigtop

 

[[email protected]:Active:In Sync] ~ # tmsh show sys conn | wc

6521   58676  753523

[[email protected]:Active:In Sync] ~ # tmsh show sys conn | wc -l

6576

2、  查看CPU 情况

命令：tmstat

top

 

 

3、  查看连接情况。

b conn 查看所有连接（连接数太大时不能用）

b conn | grep X.X.X.X 查看地址X.X.X.X 的连接情况

b conn | wc 统计连接总数

 

4、  查看路由信息，追踪地址

命令：route

traceroute

 

 

常见排错方法

 

当VS 不能访问时，我们首先可以在WEB 界面下查看NODE 的健康检查状态，如果发现NODE 当机，则重点检查NODE 的运行状况及BIGIP 到SERVER 的链路情况。

如果NODE 的健康检查是正常的，VS 还是不能访问，最简单有效的方法是用

tcpdump 查看数据流情况，分别看四部分

 

1、 客户机到BIGIP

2、 BIGIP 到SERVER

3、 SERVER 到BIGIP

4、 BIGIP 到客户机，

 

 

在VS 服务正常的情况下，数据流的四部分都是正常的，当服务不正常时，我们通过查看这四部分就能找到总是所在。

 

V10 提供了图形界面下的Tcpdump，

在System->support 界面下，我们可以直接使用tcpdump 工具

 

 

常见故障处理问答

当处于主机的BIG-IP突然发生故障时，如何尽快恢复业务？

在确保双机配置一致的前提下(能过日常巡检来保证)，进行主备切换，看是否能恢复业务。主备切换的方法有：通过Web管理界面进行切换：

 

SystemàHigh AvailabilityàRedundancyàForce Standby。

 

当主备发生切换完后，看备机能否顺利接管业务。

 

如何修改配置以后，导致业务异常如何处理？

在修改配置之前，先作一次配置备份。如果配置修改以后，业务出现异常，恢复配置进行回滚。备份与恢复配置的方法如下：

 

如何操作BIG-IP前面板上的LCD按键？

通过操作LCD按键可以实现以下功能：

Pause on a screen

Use the LCD menus

Power up the unit

Halt the unit

Power down the unit

Reboot the unit

  Pausing on a screen

Normally, the screens cycle on the LCD at a constant rate. However, push

the Check button to toggle the LCD between Hold and Rotate modes. In

Hold mode, a single screen is displayed. The Rotate mode changes the

screen displayed on the LCD every 4 seconds.

  Using LCD menus

Pressing the X button puts the LCD panel in Menu mode. The buttons Left

Arrow, Right Arrow, Up Arrow, and Down Arrow are only functional when

the LCD is in Menu mode.

  Powering up the unit

When you want to power on a unit that is shut down, press the Check button

to turn the power on.

  Halting the unit

We recommend you halt the unit before you power it down or reboot it

using the LCD menu options.

To halt the unit

1. Press the X button, then use the arrow keys to navigate to the System menu.

2. Press Check. Navigate to the Halt menu.

3. Press the Check button. Press the Check button again at the confirmation screen.

4. Wait 50 seconds before powering the machine off or rebooting it.

  Powering down the unit

Hold the X button for 4 seconds to power down the unit. We recommend

that you halt the system before you power down the system in this manner.

Rebooting the unit

Hold the Check button for 4 seconds to reboot the unit. You should only use

this option after you halt the unit.

  Clearing alerts

Press the Check button to clear any alerts on the LCD screen. You must

clear any alerts on the screen before you can use the LCD.

 

如何解读LED(设备关面板上的状态灯)显示的信息？

LED功能说明如下：

正常状态下，LED的显示情况：

出现告警时的LED状态：

 

故障诊断时，有时需要用到命令行。如何用命令行登陆BIG-IP？

用SSH命令登陆到BIG-IP管理网口的地址。(BIG-IP管理网口的地址可以在BIG-IP前面的液晶显示板上看到。)

 

SSH访问具有密码加密传输的优点，请问从哪里获取SSH客户端？

常用的SSH客户端有：

  Secure Shell Client ——http://www.ssh.com/support/downloads/secureshellwks/non-commercial.html

  TTSSH —— http://www.zip.com.au/~roca/ttssh.html  TTSSH是公司标准软件Tera Term的SSH扩展免费软件。

  SecureCRT —— http://www.vandyke.com  软件功能强大，评估版为免费软件。

能否采用Telnet登陆到BIG-IP的命令行？

出于安全考虑，BIG-IP不允许采用Telnet的方法登陆到BIG-IP。

Please refer to the following SOL for detail.

http://tech.f5.com/home/bigip-next/solutions/toolsscript/sol3848.html

 

BIG-IP单机或两台双机系统处于Standby状态，为什么？

单系统处于Standby状态，通常是BIG-IP系统Licnese没有生效，请执行了b version

解决办法：激活License。激活License后bigstart restart命令结果如下：

 

f5test-1:~# bigstart restart

bigstart: restart inetd

bigstart: restart named

bigstart: restart sod

Jan 16 14:52:29 f5test-1 kernel: BIG-IP authorization successful.

Jan 16 14:52:29 f5test-1 kernel:        SSL TPS Level:  100

<输出省略>

f5test-1:~# b version

Kernel:

Linux 2.4.21-9.2.2.72.0smp

Package:

BIG-IP Version 9.2.2 76.6

Final Edition

 

Enabled Features:

ZoneRunner - DNS Zone Management        Early Access Features                  

Global Application Support              Link Total Cost Load Balancing         

CNAME Redirection                       Global Custom Region Definitions        

Link Capacity Load Balancing            GTM Failover To One Data Center        

IP Classifier                           Internet Weather Map      

……

如果License已经激活，则在Enable Features下会列出所有支持的功能模块。

 

BIG-IP系统Web管理员admin密码忘记了，如何恢复？

可以通过在命令行执行 passwd admin重新设置admin密码。

方法请参考http://tech.f5.com/home/solutions/sol3350.html --Changing account passwords for the command line and Configuration utility。

 

BIG-IP系统root密码忘记了，如何恢复？

如果Root密码丢失，但还可以进入Web管理界面，则可以在System->Platform界面重新设置Root密码。

如果Root密码丢失，且无法进入Web管理界面，则需要进入到单用户模式，重新设置Root密码。方法请参考http://tech.f5.com/home/solutions/sol3350.html --Changing account passwords for the command line and Configuration utility和

http://tech.f5.com/home/solutions/sol4178.html--Booting BIG-IP into single user mode

 

默认的用户名和口令不安全，如何添加新用户或修改现有用户？

Web管理员的密码与命令行登陆root帐可以密码可以通过Web界面进行修改：

登录bigip的WEB管理界面时需使用Admin的用户名，登录bigip的命令行界面需要使用root的用户名，更改这个两个用户名的方法如下：

点击左侧导航条的Systemàplatform

进入其属性页面：

在右侧的页面中，可以在User Administration中对这两个用户名的密码进行更改。更改完毕后点击Update即可生效。

“root”用户也可以通过CLI“passwd”命令进行修改。

 

BIG-IP系统如何进行配置备份和恢复？

可以通过以下WEB界面进行配置的备份与修改：

System ->Archive

 

也可以在CLI使用“b config save <config-file>.ucs”保存配置，使用“config install <config-file>.ucs”恢复配置。如果不指定路径，默认保存在目录“/var/local/ucs”中。

 

网络设备通常有收集系统信息的宏命令，F5有没有相应命令？

与华为路由器“display base-information”、华为交换机“display diagnostic-information”、思科“show tech-support”和NetScreen防火墙“get tech-support”命令类似，BIG-IP系统也有对应信息收集工具叫F5 Qkview Diagnostic Tool。在CLI界面中执行“qkview”，Qkview工具执行完成后将输出信息保存在文件“/var/tmp/<host-name>-tech.out”中。

 

在进行故障诊断和寻求高级技术支持，需要执行本命令。

可以通过Web界面执行qkview命令全面采集系统日志信息并下载下来。

 

如何使用TCPDUMP进行Troubleshooting？

当业务无法正常工作时，经常需要在BIG-IP上抓包进行分析定位是什么原因导致数据包没有被常转发。BIG-IP上提供了TCPDUMP抓包分析工具。

TCPDUMP是Unix系统常用的报文分析工具，TCPDUMP经常用于故障定位，如会话保持失效、SNAT通信问题等。本文讲述TCPDUMP命令的基本用法，更详细的使用说明请参见“man tcpdump”。

命令语法：

       tcpdump [ -adeflnNOpqRStvxX ] [ -c count ] [ -F file ]

               [ -i interface ] [ -m module ] [ -r file ]

               [ -s snaplen ] [ -T type ] [ -w file ]

               [ -E algo:secret ] [ expression ]

其中：

  -i     报文捕获监听的接口，如果不指定，默认为系统最小编号的接口（不包括loop-back接口），一般对指定Vlan名称进行监控，如-i external 是对external vlan进行监控；也可以对指定端口进行监控如 –i 1.1。注意：当vlan 名称过长时，-i后面直接用vlan名称，tcpdump会出现错误提示，这时需要将vlan名改由vlan加vlan ID代替。如有一vlan名称为bip_external，vlan ID为2022，如要对bip_external vlan进行监听，需采用-i vlan2022的方式。

  -n    不将IP地址或端口号转化为域名或协议名称

  -r    从文件中读取（该文件由-w选项创建）

  -s     确定捕获报文大小

  -w   直接将捕获报文写入文件，而不是对其进行解析并通过屏幕显示（与-r选项对应）

  -x    每个报文以十六进制方式显示

  -X   每个报文同时以文本和十六进制显示

  expression      匹配表达式的分组将进行解析。如果不指定表达式，系统对所有分组进行捕获分析。复杂表达式可以使用“and”与、“or”或以及“not”非操作进行组合。表达式有三种：

ü  type        三种种类：host、net和port。比如：host 10.1.1.1。如果不指定类型，默认为host。

ü  dir          有src、dst、 src or dst和src and dst四种方向。默认为src or dst，即双向。

ü  proto       常见协议有：ip、arp、tcp、udp、icmp等。如果不指定协议类型，默认为所有协议。 

举例1：对external接口主机139.212.96.2并且端口为1433的流量进行监控。端口不指定tcp和udp，默认为同时对tcp和udp进行报文捕获。本命令不解析IP地址/端口号为主机名/服务名称，同时显示报文十二进制和文本信息，报文最大为1500字节。

f5-1:~# tcpdump -i external -n -X -s 1500  port 1433 and host 139.212.96.2     

tcpdump: listening on external                                                 

21:48:41.295546 139.212.96.2.1201 > 10.75.9.44.1433: . 302192826:302192827(1) ac

k 558871968 win 64360 (DF)                                                      

0x0000   012c 0800 4500 0029 38cf 4000 7f06 c3b2        .,..E..)[email protected]       

0x0010   8bd4 6002 0a4b 092c 04b1 0599 1203 18ba        ..`..K.,........       

0x0020   214f b5a0 5010 fb68 a926 0000 00               !O..P..h.&...          

21:48:41.296015 10.75.9.44.1433 > 139.212.96.2.1201: . ack 1 win 64636 (DF)    

0x0000   012c 0800 4500 0028 cb2d 4000 7f06 3155        .,..E..([email protected]       

0x0010   0a4b 092c 8bd4 6002 0599 04b1 214f b5a0        .K.,..`.....!O..       

0x0020   1203 18bb 5010 fc7c a812 0000 0000 0000        ....P..|........       

0x0030   0000                                           ..                     

21:48:50.701130 139.212.96.2.1206 > 10.75.9.44.1433: . 304974934:304974935(1) ac

k 565108263 win 64882 (DF)                                                     

0x0000   012c 0800 4500 0029 38f7 4000 7f06 c38a        .,..E..)[email protected]       

0x0010   8bd4 6002 0a4b 092c 04b6 0599 122d 8c56        ..`..K.,.....-.V       

0x0020   21ae de27 5010 fd72 0a6b 0000 00               !..‘P..r.k...          

21:48:50.702567 10.75.9.44.1433 > 139.212.96.2.1206: . ack 1 win 65267 (DF)    

0x0000   012c 0800 4500 0028 d3a6 4000 7f06 28dc        .,..E..([email protected](.       

0x0010   0a4b 092c 8bd4 6002 0599 04b6 21ae de27        .K.,..`.....!..‘       

0x0020   122d 8c57 5010 fef3 08ea 0000 0000 0000        .-.WP...........       

0x0030   0000                                           ..                     

 

举例2：对internal接口主机172.31.230.53和172.31.230.51之间端口8080的流量进行分组捕获。本命令不解析IP地址/端口号为主机名/服务名称，报文最大为1600字节，捕获信息以“/var/tmp/intdump”文件保存：

tcpdump -s 1600 -ni internal -w /var/tmp/intdump　 host 172.31.230.53 and host 172.31.230.51 and port 8080

如果查看该捕获文件，请用tcpdump –r  /var/tmp/intdump命令。也可以将捕获的文件下载下来用Ethereal工具解包分析。

 

寻求F5技术支持时，要提供哪些信息与资料？

一般来说，如果要寻求F5的技术支持(不论是F5第三方技术支持中心或F5全球技术支持中心)，都要准备以下信息：

1、              产品序列号(在BIG-IP机架安装耳朵的边上以bip开头的字串)，产品序列号是判断设备是否在服务有效期内；

2、              Qkview输出文件：里面包含了BIG-IP的配置信息及日志信息。如果是双机，则两台机器的qkview输出文件都需要提供；

3、              故障描述；

4、              网络拓扑及IP地址说明；

5、              如果必要，还需要提供TCPDUMP的抓包文件，并指出数据包异常现象；

6、              如条件允许，对技术支持人员开放远程访问权限。

 

如何获得更多关于F5产品的技术支持资料、如何查找故障处理办法？

登陆http://ask.f5.com，只需简单注册一下即可下载F5产品的用户手册、并可以用提问的方法查找问题的答案。

 

其中常用的F5 BIG-IP用户手册可以从

http://tech.f5.com/home/bigip-next/manuals/index.html#ltm 中找到。

例如：

BIG-IP网络与系统管理指南“BIG-IP Network and System Management Guide”-- http://tech.f5.com/home/bigip-next/manuals/bigip9_2_3/bigip9_2_3mgmt/nsm_guide_923.pdf

BIG-IP流量管理解决方法指南“Solutions Guide for BIG-IP Traffic Management Systems”-- http://tech.f5.com/home/bigip-next/manuals/bigip9_2_2/bigip9_2_2sol/sol_guide.pdf

 

如果BIG-IP系统损坏(非硬件故障)，如何重装系统？

需要通过网络重装系统，安装方法请参考：“http://tech.f5.com/home/solutions/sol4411.html”--Reinstalling system software from a network boot server。

 

如何实时监视BIG-IP的连接状态？

请使用“b conn”命令，显示示例如下：

192.168.1.254:46704 <-> any:any <-> 192.168.1.1:8   icmp

192.168.4.33:41622 <-> any:any <-> 192.168.20.1:8   icmp

10.9.4.10:1354 <-> 10.10.4.33:ssh <-> 10.10.4.33:ssh   tcp

127.1.1.1:33880 <-> 127.1.1.2:nbp <-> any6:any   udp

192.168.4.33:36599 <-> any:any <-> 192.168.20.3:8   icmp

192.168.1.254:35139 <-> any:any <-> 192.168.1.1:domain   udp

192.168.1.254:35140 <-> any:any <-> 192.168.1.1:domain   udp

192.168.1.254:35141 <-> any:any <-> 192.168.1.1:domain   udp

192.168.1.254:35142 <-> any:any <-> 192.168.1.1:domain   udp

192.168.1.254:35143 <-> any:any <-> 192.168.1.1:domain   udp

 

如何实时监视BIG-IP的流量情况？

请使用命令“bigtop –n –delay 1”， 显示示例如下：

                     |  bits  since       |  bits  in prior    |  current

                     |  Mar  2 21:17:57   |  1 seconds         |  time

BIG-IP      ACTIVE   |---In----Out---Conn-|---In----Out---Conn-|  23:48:08

bigip4.f5training.cn  32.30G 50.35G 3.888M    432    432      0

VIRTUAL ip:port      |---In----Out---Conn-|---In----Out---Conn-|-Nodes Up--

10.10.4.100:80        218984 1.499M     51      0      0      0      3

NODE ip:port         |---In----Out---Conn-|---In----Out---Conn-|--State----

192.168.1.1:53        30.57G 40.71G 3.257M      0      0      0 UP

192.168.20.2:80        99624 1.395M      6      0      0      0 UP

192.168.20.1:80       131528 1.006M     29      0      0      0 UP

192.168.20.3:80        12008 137184      1      0      0      0 UP

192.168.1.2:53             0      0      0      0      0      0 NODE DOWN

其中bits in prior 1 second列出的In Out是各Virtual Server及Node上的流量情况。

 

 

 

本文出自 “Linux运维之道” 博客，谢绝转载！