F5常見(jiàn)故障處理辦法

1、-. z.F5 BIG-IP V10版本常見(jiàn)問(wèn)題處理手冊(cè)F5 Networks DATE yyyy-MM-dd * MERGEFORMAT 8/5/2022目錄 TOC o 1-3 h z HYPERLINK l _Toc308810862第1章初始化設(shè)置相關(guān)問(wèn)題處理說(shuō)明 PAGEREF _Toc308810862 h 4HYPERLINK l _Toc3088108631.1.如何通過(guò)機(jī)器前面板LCD邊上的按鍵設(shè)置BIG-IP的管理網(wǎng)口地址？ PAGEREF _Toc308810863 h 4HYPERLINK l _Toc3088108641.2.為什么通過(guò)LCD邊上的按鍵設(shè)置BIG-IP

2、的管理網(wǎng)口地址失敗？ PAGEREF _Toc308810864 h 4HYPERLINK l _Toc3088108651.3.申請(qǐng)License時(shí)出現(xiàn)以下錯(cuò)誤提示如何處理？ PAGEREF _Toc308810865 h 5HYPERLINK l _Toc308810866系統(tǒng)如何進(jìn)展配置備份和恢復(fù)？ PAGEREF _Toc308810866 h 5HYPERLINK l _Toc3088108671.5.如何將BIG-IP的配置恢復(fù)到出廠設(shè)置？ PAGEREF _Toc308810867 h 6HYPERLINK l _Toc308810868第2章日常維護(hù) PAGEREF _Toc3

3、08810868 h 7HYPERLINK l _Toc3088108692.1.如何操作BIG-IP前面板上的LCD按鍵？ PAGEREF _Toc308810869 h 7HYPERLINK l _Toc3088108702.2.如何解讀LED(設(shè)備關(guān)面板上的狀態(tài)燈)顯示的信息？ PAGEREF _Toc308810870 h 8HYPERLINK l _Toc3088108712.3.如何與BIG-IP進(jìn)展文件傳輸？ PAGEREF _Toc308810871 h 9HYPERLINK l _Toc3088108722.4.如何實(shí)時(shí)監(jiān)視BIG-IP的連接狀態(tài)？ PAGEREF _Toc3

4、08810872 h 10HYPERLINK l _Toc3088108732.5.如何實(shí)時(shí)監(jiān)視BIG-IP的流量情況？ PAGEREF _Toc308810873 h 10HYPERLINK l _Toc3088108742.6.如何監(jiān)控BIG-IP的性能指標(biāo)？ PAGEREF _Toc308810874 h 10HYPERLINK l _Toc308810875第3章異常處理 PAGEREF _Toc308810875 h 11HYPERLINK l _Toc3088108763.1.當(dāng)處于主機(jī)的BIG-IP突然發(fā)生故障時(shí)，如何盡快恢復(fù)業(yè)務(wù)？ PAGEREF _Toc308810876 h

5、 11HYPERLINK l _Toc3088108773.2.如果修改配置以后，導(dǎo)致業(yè)務(wù)異常如何處理？ PAGEREF _Toc308810877 h 11HYPERLINK l _Toc3088108783.3.故障診斷時(shí)，有時(shí)需要用到命令行，如何用命令行登陸B(tài)IG-IP？ PAGEREF _Toc308810878 h 12HYPERLINK l _Toc308810879系統(tǒng)處于Inoperational狀態(tài)如何處理？ PAGEREF _Toc308810879 h 13HYPERLINK l _Toc308810880第4章WEB與命令行管理 PAGEREF _Toc30881088

6、0 h 15HYPERLINK l _Toc3088108814.1.通過(guò)WEB界面修改配置時(shí)出現(xiàn)General Database Error錯(cuò)誤，如何處理？ PAGEREF _Toc308810881 h 15HYPERLINK l _Toc308810882訪問(wèn)具有密碼加密傳輸?shù)膬?yōu)點(diǎn)，請(qǐng)問(wèn)從哪里獲取SSH客戶端？ PAGEREF _Toc308810882 h 15HYPERLINK l _Toc3088108834.3.為什么無(wú)法用Telnet登陸到BIG-IP的命令行？ PAGEREF _Toc308810883 h 16HYPERLINK l _Toc308810884系統(tǒng)Web管理

7、員admin密碼忘記了，如何恢復(fù)？ PAGEREF _Toc308810884 h 16HYPERLINK l _Toc308810885系統(tǒng)root密碼忘記了，如何恢復(fù)？ PAGEREF _Toc308810885 h 16HYPERLINK l _Toc3088108864.6.默認(rèn)的用戶名和口令不平安，如何添加新用戶或修改現(xiàn)有用戶？ PAGEREF _Toc308810886 h 16HYPERLINK l _Toc3088108874.7如何將BIG-IP監(jiān)控到的效勞器UP/DOWN信息發(fā)到外部Syslog效勞器上？ PAGEREF _Toc308810887 h 17HYPERLIN

8、K l _Toc3088108884.8BIG-IPSyslog的事件類型有哪些？ PAGEREF _Toc308810888 h 18HYPERLINK l _Toc3088108894.9如何設(shè)定BIG-IPSyslog的事件級(jí)別？ PAGEREF _Toc308810889 h 20HYPERLINK l _Toc3088108904.10BIG-IPSyslog事件記錄的格式是怎么樣的？ PAGEREF _Toc308810890 h 20HYPERLINK l _Toc3088108914.11網(wǎng)絡(luò)設(shè)備通常有收集系統(tǒng)信息的宏命令，F(xiàn)5有沒(méi)有相應(yīng)命令？ PAGEREF _Toc3088

9、10891 h 21HYPERLINK l _Toc3088108924.12如何查詢?cè)O(shè)備的序列號(hào)？ PAGEREF _Toc308810892 h 23HYPERLINK l _Toc3088108934.13如何使用TCPDUMP進(jìn)展Troubleshooting？ PAGEREF _Toc308810893 h 23HYPERLINK l _Toc3088108944.14對(duì)*一Virtual Server用TCPDUMP命令無(wú)法抓到包如何處理？ PAGEREF _Toc308810894 h 25HYPERLINK l _Toc3088108954.15TCPDUMP出現(xiàn)truncat

10、ed-ip - 1215 bytes missing!信息是不是說(shuō)明網(wǎng)絡(luò)上有丟包？ PAGEREF _Toc308810895 h 26HYPERLINK l _Toc3088108964.16TCPDUMP 命令中的-i interface中的interface用VLAN名稱如e*ternal或internal與接口編號(hào)1.1或2.1有什么區(qū)別？ PAGEREF _Toc308810896 h 26HYPERLINK l _Toc3088108974.17TCPDUMP 命令中出現(xiàn)pcap_loop: Error: Interface packet capture busy錯(cuò)誤信息？ PAG

11、EREF _Toc308810897 h 28HYPERLINK l _Toc308810898第5章配置管理 PAGEREF _Toc308810898 h 30HYPERLINK l _Toc3088108995.1.如何備份BIG-IP LTM的配置 PAGEREF _Toc308810899 h 30HYPERLINK l _Toc3088109005.2.備份的配置文件中包含哪些內(nèi)容 PAGEREF _Toc308810900 h 31HYPERLINK l _Toc3088109015.3.恢復(fù)BIG-IP LTM的配置Restoring configuration data PA

12、GEREF _Toc308810901 h 31HYPERLINK l _Toc308810902第6章技術(shù)支持相關(guān)問(wèn)題 PAGEREF _Toc308810902 h 35HYPERLINK l _Toc3088109036.1.尋求F5技術(shù)支持時(shí)，要提供哪些信息與資料？ PAGEREF _Toc308810903 h 35HYPERLINK l _Toc3088109046.2.如何獲得更多關(guān)于F5產(chǎn)品的技術(shù)支持資料、如何查找故障處理方法？ PAGEREF _Toc308810904 h 35HYPERLINK l _Toc3088109056.3.如果BIG-IP系統(tǒng)損壞(非硬件故障)，

13、如何重裝系統(tǒng)？ PAGEREF _Toc308810905 h 36HYPERLINK l _Toc308810906發(fā)生硬件故障以后的更換流程？ PAGEREF _Toc308810906 h 36HYPERLINK l _Toc3088109076.5.如何進(jìn)入單用戶模式Solution ID: SOL4178 Booting BIG-IP in single user mode PAGEREF _Toc308810907 h 37HYPERLINK l _Toc3088109086.6.如何重置root與web admin密碼Solution ID: SOL3350 Changing a

14、ccount passwords for the mand line and Configuration utility PAGEREF _Toc308810908 h 38初始化設(shè)置相關(guān)問(wèn)題處理說(shuō)明如何通過(guò)機(jī)器前面板LCD邊上的按鍵設(shè)置BIG-IP的管理網(wǎng)口地址？通過(guò)LCD按鍵修改管理網(wǎng)口IP地址的方法如下：按紅色*按鍵進(jìn)入Options選項(xiàng)；在液晶面板上通過(guò)按鍵按以下順序設(shè)置管理網(wǎng)口的網(wǎng)絡(luò)地址：Options-System-IP Address/Netmask-mit為什么通過(guò)LCD邊上的按鍵設(shè)置BIG-IP的管理網(wǎng)口地址失敗？如果通過(guò)LCD按鍵修改完IP地址以后，選擇mit，地址無(wú)法成功

15、改變(例如出現(xiàn)IP地址為全零的情況)，很有可能是管理口IP地址與系統(tǒng)內(nèi)已經(jīng)配置發(fā)生沖突。出現(xiàn)這種情況，關(guān)機(jī)重啟以后，另選一個(gè)IP網(wǎng)段來(lái)設(shè)置管理網(wǎng)口地址。警告：在設(shè)置好網(wǎng)絡(luò)管理口地址以后，通過(guò)網(wǎng)絡(luò)登陸到BIG-IP上進(jìn)展其它配置更改時(shí)，都要保證網(wǎng)絡(luò)管理口的網(wǎng)絡(luò)連接完好。否則有時(shí)會(huì)出現(xiàn)修改的配置無(wú)法被成功加載應(yīng)用的情況，因?yàn)榫W(wǎng)絡(luò)管理口為Down的情況會(huì)阻礙配置文件的加載。申請(qǐng)License時(shí)出現(xiàn)以下錯(cuò)誤提示如何處理？錯(cuò)誤提示為T(mén)his license has already been activated on a different unit. Please contact technical s

16、upport for assistance.原因是是因?yàn)楸緳C(jī)的RegistrationKey與另外一臺(tái)已經(jīng)被激活的設(shè)備的Registration Key有沖突。碰到這種情況，請(qǐng)聯(lián)系F5的技術(shù)支持工程師協(xié)助處理。BIG-IP系統(tǒng)如何進(jìn)展配置備份和恢復(fù)？可以通過(guò)以下WEB界面進(jìn)展配置的備份與修改：進(jìn)入SystemArchives，點(diǎn)擊Create：配置備份好后，點(diǎn)擊設(shè)配置文件并下載到外部電腦上：也可以在CLI使用b config save .ucs保存配置，使用config install .ucs恢復(fù)配置。如果不指定路徑，默認(rèn)保存在目錄/var/local/ucs中。如何將BIG-IP的配置恢復(fù)

17、到出廠設(shè)置？如果是需要一個(gè)完全干凈的系統(tǒng)，建議通過(guò)重裝系統(tǒng)來(lái)恢復(fù)到出廠設(shè)置。如果沒(méi)方法重裝系統(tǒng)，但需要將配置清空以重新進(jìn)展配置，方法如下：從管理網(wǎng)口用命令行登陸B(tài)IG-IP，然后執(zhí)行以下命令：b db all resetb resetb saveb base resetb self allow default tcp ssh tcp s udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 b base save最后運(yùn)行config設(shè)置管理口IP，然后用reboot重啟。日常維護(hù)如何操作BIG-

18、IP前面板上的LCD按鍵？通過(guò)操作LCD按鍵可以實(shí)現(xiàn)以下功能： 在*個(gè)屏幕停留 使用LCD菜單 開(kāi)機(jī) 停機(jī) 關(guān)電 重啟在*個(gè)屏幕停留Normally, the screens cycle on the LCD at a constant rate. However, pushthe Check button to toggle the LCD between Hold and Rotate modes. InHold mode, a single screen is displayed. The Rotate mode changes thescreen displayed on the LC

19、D every 4 seconds.使用LCD菜單Pressing the * button puts the LCD panel in Menu mode. The buttons LeftArrow, Right Arrow, Up Arrow, and Down Arrow are only functional whenthe LCD is in Menu mode.開(kāi)機(jī)When you want to power on a unit that is shut down, press the Check buttonto turn the power on.停機(jī)We remend yo

20、u halt the unit before you power it down or reboot itusing the LCD menu options.To halt the unit1. Press the * button, then use the arrow keys to navigate to theSystem menu.2. Press Check. Navigate to the Halt menu.3. Press the Check button. Press the Check button again at theconfirmation screen.4.

21、Wait 50 seconds before powering the machine off or rebooting it.關(guān)電Hold the * button for 4 seconds to power down the unit. We remendthat you halt the system before you power down the system in this manner.Rebooting the unitHold the Check button for 4 seconds to reboot the unit. You should only usethi

22、s option after you halt the unit.去除告警事件Press the Check button to clear any alerts on the LCD screen. You mustclear any alerts on the screen before you can use the LCD.如何解讀LED(設(shè)備關(guān)面板上的狀態(tài)燈)顯示的信息？LED功能說(shuō)明如下：正常狀態(tài)下，LED的顯示情況：出現(xiàn)告警時(shí)的LED狀態(tài)：如何與BIG-IP進(jìn)展文件傳輸？出于平安考慮，BIG-IP不允許用ftp登陸到BIG-IP上進(jìn)展文件的上傳與下載。為了與BIG-IP進(jìn)展文件傳

23、輸，可以用SSH Secure Shell Client工具帶的平安文件傳輸工具進(jìn)展文件傳輸。Secure FileTransfer Client如何實(shí)時(shí)監(jiān)視BIG-IP的連接狀態(tài)？請(qǐng)使用b conn命令，顯示例如如下：54:46704 any:any :8 icmp3:41622 any:any :8 icmp.10:1354 3:ssh 3:ssh tcp:33880 :nbp any6:any udp3:36599 any:any :8 icmp54:35139 any:any :domain udp54:35140 any:any :domain udp54:35141 any:any

24、 :domain udp54:35142 any:any :domain udp54:35143 any:any :domain udp如何實(shí)時(shí)監(jiān)視BIG-IP的流量情況？請(qǐng)使用命令bigtop n delay 1”， 顯示例如如下： | bits since | bits in prior | current | Mar 2 21:17:57 | 1 seconds | timeBIG-IP ACTIVE |InOutConn-|InOutConn-| 23:48:08bigip4.f5training. 32.30G50.35G3.888M 432 432 0VIRTUAL ip:port

25、 |InOutConn-|InOutConn-|-Nodes Up-.100:80 218984 1.499M 51 0 0 0 3NODE ip:port |InOutConn-|InOutConn-|-State:53 30.57G40.71G3.257M 0 0 0 UP:80 99624 1.395M 6 0 0 0 UP:80 131528 1.006M 29 0 0 0 UP:80 12008 137184 1 0 0 0 UP:53 0 0 0 0 0 0 NODE DOWN其中bits in prior 1 second列出的In Out是各Virtual Server及Nod

26、e上的流量情況。如何監(jiān)控BIG-IP的性能指標(biāo)？通過(guò)WEB界面的OverviewPerfrormance進(jìn)展監(jiān)控。異常處理當(dāng)處于主機(jī)的BIG-IP突然發(fā)生故障時(shí)，如何盡快恢復(fù)業(yè)務(wù)？在確保雙機(jī)配置一致的前提下(通過(guò)日常巡檢來(lái)保證)，進(jìn)展主備切換，看是否能恢復(fù)業(yè)務(wù)。主備切換的方法有：通過(guò)Web管理界面進(jìn)展切換：SystemHigh AvailabilityRedundancyForce Standby。當(dāng)主備發(fā)生切換完后，看備機(jī)能否順利接收業(yè)務(wù)。如果修改配置以后，導(dǎo)致業(yè)務(wù)異常如何處理？在修改配置之前，先作一次配置備份。如果配置修改以后，業(yè)務(wù)出現(xiàn)異常，恢復(fù)配置進(jìn)展回滾?；謴?fù)配置的方法如下：在Syst

27、emArchive中選中之前備份的配置文件，點(diǎn)擊進(jìn)去后點(diǎn)選Restore即可。故障診斷時(shí)，有時(shí)需要用到命令行，如何用命令行登陸B(tài)IG-IP？假設(shè)有console線，通過(guò)19200-8-N-1方式登錄，輸入用戶名/密碼，默認(rèn)為：root/default。注：Console線是Null Modem線，如在電腦城購(gòu)置，注意連接頭是是否標(biāo)注有Null Modem字樣線序如下：DB9F to DB9F1, 4 6 2 3 3 2 5 5 6 1,4 7 8 8 7 9 open open 9如果沒(méi)有Console線，則用SSH命令登陸到BIG-IP管理網(wǎng)口的地址。(BIG-IP管理網(wǎng)口的地址可以在BIG

28、-IP前面的液晶顯示板上看到。) 可以使用PUTTY或Secure Shell Client等SSH客戶端連接BIG-IP的管理網(wǎng)口地址，進(jìn)入命令行模式。觀察液晶面板上的管理口ip地址，如45。假設(shè)有液晶板上有相應(yīng)的ip地址，則請(qǐng)準(zhǔn)備一個(gè)便攜，配上相應(yīng)網(wǎng)段的ip，通過(guò)SSH登錄。假設(shè)液晶板上無(wú)相應(yīng)的ip地址，即為.0，則在液晶板上，按*鍵，進(jìn)入system，依次設(shè)置IP Address - Netmask -Gateway-mit，輸入管理口地址，掩碼，網(wǎng)關(guān)，最后mit，觀察液晶面板上的管理地址是否生效。然后通過(guò)便攜登錄管理口。注：Secure Shell Client 可以用以下下載：。pu

29、tty的下載如下：.f5./f5gz/tools/putty.zipBIG-IP系統(tǒng)處于Inoperational狀態(tài)如何處理？BIG-IP剛開(kāi)機(jī)時(shí)會(huì)處于Inoperational狀態(tài)，等進(jìn)程啟動(dòng)完畢，配置文件加載完以后，BIG-IP會(huì)改換為Active狀態(tài)，或Standby狀態(tài)(雙機(jī)中的另外一臺(tái)處于主機(jī)的情況下)。如果系統(tǒng)長(zhǎng)時(shí)間處于Inoperational狀態(tài)，一般有兩種可能，一種可能是License沒(méi)有被激活，另外一臺(tái)可能是配置文件有問(wèn)題無(wú)法被正常加載。確認(rèn)IG-IP系統(tǒng)Liese是否處于有效激活狀態(tài)有兩種方法：一種是在WEB界面點(diǎn)擊SystemLicense，查看License信息是否

30、有效。一種方法是在命令行執(zhí)行b version命令。如果系統(tǒng)License有效的話，b version命令會(huì)給出下面類似的輸出：在Enabled Features下面會(huì)列出License所許可的所有功能模塊。如果License沒(méi)有激活或已經(jīng)到期，則Enable Features下而為空。如果為空，則需要先激活License。如果License正常，而系統(tǒng)還處理inoperational狀態(tài)，可參看3.5的方法檢查是否/config/bigip_base.conf有問(wèn)題。WEB與命令行管理通過(guò)WEB界面修改配置時(shí)出現(xiàn)General Database Error錯(cuò)誤，如何處理？如果條件允許，先將系

31、統(tǒng)重啟后再次修改配置，看問(wèn)題是否依然存在。如果問(wèn)題依然存在，或者不允許重啟系統(tǒng)，則需要用SSH客戶端以命令行方式登陸B(tài)IG-IP。注：建議從管理網(wǎng)口用命令行登陸。用SSH登陸命令行以后，看命令行提示符現(xiàn)示系統(tǒng)是否處于Inoperational狀態(tài)。如果是處于Inoperational狀態(tài)，則可能是License沒(méi)有激活或已經(jīng)到期。License到期的現(xiàn)象只發(fā)生在采用了臨時(shí)License的測(cè)試設(shè)備上。如果License已經(jīng)處于有效激活狀態(tài)，而系統(tǒng)處于Inoperaitonal狀態(tài)，則有可能是配置文件有錯(cuò)誤，導(dǎo)致配置文件無(wú)法被順利加載。如果命令行提示符提示系統(tǒng)處于Active狀態(tài)或Standby狀

32、態(tài)，而通過(guò)WEB界面修改配置出現(xiàn)General Database Error，則有可能是負(fù)責(zé)WEB管理的進(jìn)程出現(xiàn)異常，可能采用bigstart tomcat restart的方式看能否解決問(wèn)題。SSH訪問(wèn)具有密碼加密傳輸?shù)膬?yōu)點(diǎn)，請(qǐng)問(wèn)從哪里獲取SSH客戶端？常用的SSH客戶端有：Secure Shell Client 下載.ssh./support/downloads/secureshellwks/non-mercial.html或.f5./f5gz/tools/SSHSecureShellClient-.e*e。 Putty下載.f5./f5gz/tools/putty.zipTTSSH .z

33、ip.au/roca/ttssh.html TTSSH是公司標(biāo)準(zhǔn)軟件Tera Term的SSH擴(kuò)展免費(fèi)軟件。SecureCRT .vandyke./ 本軟件功能強(qiáng)大，評(píng)估版為免費(fèi)軟件。為什么無(wú)法用Telnet登陸到BIG-IP的命令行？出于平安考慮，BIG-IP不允許采用Telnet的方法登陸到BIG-IP。Please refer to the following SOL for detail.tech.f5./home/bigip-ne*t/solutions/toolsscript/sol3848.htmlBIG-IP系統(tǒng)Web管理員admin密碼忘記了，如何恢復(fù)？可以通過(guò)在命令行執(zhí)行

34、passwd admin重新設(shè)置admin密碼。方法請(qǐng)參考tech.f5./home/solutions/sol3350.html -Changing account passwords for the mand line and Configuration utility。BIG-IP系統(tǒng)root密碼忘記了，如何恢復(fù)？如果Root密碼喪失，但還可以進(jìn)入Web管理界面，則可以在System-Platform界面重新設(shè)置Root密碼。如果Root密碼喪失，且無(wú)法進(jìn)入Web管理界面，則需要進(jìn)入到單用戶模式，重新設(shè)置Root密碼。方法請(qǐng)參考 HYPERLINK l _Solution_ID:_SOL

35、4178_Booting BIG-IP Solution ID: SOL4178 Booting BIG-IP in single user mode和 HYPERLINK l _Solution_ID:_SOL3350_Changing accou Solution ID: SOL3350 Changing account passwords for the mand line and Configuration utility。默認(rèn)的用戶名和口令不平安，如何添加新用戶或修改現(xiàn)有用戶？Web管理員的密碼與命令行登陸root*的密碼可以通過(guò)Web界面進(jìn)展修改：登錄bigip的WEB管理界面時(shí)需

36、使用Admin的用戶名，登錄bigip的命令行界面需要使用root的用戶名，更改這個(gè)兩個(gè)用戶名的方法如下：點(diǎn)擊左側(cè)導(dǎo)航條的SystemPlatform，進(jìn)入其屬性頁(yè)面：在右側(cè)的頁(yè)面中，可以在User Administration中對(duì)這兩個(gè)用戶名的密碼進(jìn)展更改。更改完畢后點(diǎn)擊Update即可生效。root用戶也可以通過(guò)CLIpasswd命令進(jìn)展修改。如何將BIG-IP監(jiān)控到的效勞器UP/DOWN信息發(fā)到外部Syslog效勞器上？要將所監(jiān)控的效勞器的狀態(tài)信息通過(guò)syslog發(fā)送到外部的syslog效勞器的方法如下：在命令行編輯/etc/syslog-ng/syslog-ng.conf文件，vi /

37、etc/syslog-ng/syslog-ng.conf在文件末尾增加以下內(nèi)容：filter notdebug level(warning.emerg) and match(member);destination loghost udp(68 port (514); ;log source(local);filter(notdebug);destination(loghost);其中68是syslog效勞器， 514為syslog效勞器監(jiān)聽(tīng)端口。level(warning.emerg) and match(member);定義的要發(fā)送到syslog效勞器的信息，match(member)表示匹

38、配Pool member (.*):(.*) monitor status down 中的member那一行，這樣可以將其它與效勞器監(jiān)控?zé)o關(guān)的信息過(guò)濾掉。編輯保存文件以后，運(yùn)行/etc/init.d/syslog-ng restart，輸出以下信息：Stopping syslog-ng: OK Starting syslog-ng: OK確認(rèn)syslog運(yùn)行正常即可。(注意：一定要確保syslog-ng.conf配置正確，使syslog能正常啟動(dòng)，否則會(huì)影響系統(tǒng)中其它依賴于syslog的進(jìn)程)。BIG-IPSyslog的事件類型有哪些？BIG-IPSyslog的事件類型有以下幾種：系統(tǒng)事件Sy

39、stem eventsSystem event messages are based on Linu* events, and are not specific tothe BIG-IP system。這一類的事件一般記錄在/var/log/messages中。 包過(guò)濾事件Packet filter eventsPacket filter messages are those that result from the implementation ofpacket filters and packet-filter rules. 這一類的事件一般記錄在/var/log/pktfilter. 本

40、地流量管理事件Local traffic eventsLocal-traffic event messages pertain specifically to the local trafficmanagement system. 這一類的事件一般記錄在/var/log/ltm.Some of the specific types of events that the BIG-IP system displays on theLocal Traffic logging screen are: Address Resolution Protocol (ARP) packet and ARP ca

41、che events bigdbTM database events (such as populating and persisting bigdbvariables) protocol events pression events IP packet discard events due to e*ceptional circumstances or invalidparameters (such as a bad checksum) Layer 4 events (events related to TCP, UDP, and Fast L4 processing) MCP/TMM co

42、nfiguration events Monitor configuration events Network events (layers 1 and 2) Packet Velocity ASIC (PVA) configuration events iRuleTM events related to run-time iRule processing SSL traffic processing events General TMM events such as TMM startup and shutdown這些事件對(duì)應(yīng)的級(jí)別如下： 審計(jì)事件Audit eventsAudit even

43、t messagesare those that the BIG-IP system logs as a result ofchanges to the BIG-IP system configuration. Logging audit events isoptional.Audit logging is an optional feature that logs messages whenever a BIG-IPsystem object, such as a virtual server or a load balancing pool, isconfigured; that is,

44、created, modified, or deleted. There are three ways thatobjects can be configured: By user action By system action By loading configuration dataThe BIG-IP system logs the messages for these events in the file/var/log/ltm.如何設(shè)定BIG-IPSyslog的事件級(jí)別？對(duì)于本地流量管理事件，你可以設(shè)置最小的記錄級(jí)別。通過(guò)為不同的事件設(shè)定不同的日志級(jí)別，來(lái)控制哪些事件會(huì)被記錄下來(lái)。你

45、可以設(shè)定要SYSLOG記錄別一級(jí)別的事件，目前的事件分為以下級(jí)別： Emergency Alert Critical Error Warning Notice Informational Debug舉例來(lái)說(shuō)，如果你將bigdb事件的最小日志級(jí)別設(shè)定為Error，那BIG-IP只記錄Error以上級(jí)別的事件。如果將最小日志級(jí)別設(shè)成缺省的級(jí)別，則BIG-IP將會(huì)記錄除Debug信息以外的所有事件。BIG-IPSyslog事件記錄的格式是怎么樣的？BIG-IPSyslog的事件記錄的格式的解釋請(qǐng)參見(jiàn)下表：例如：網(wǎng)絡(luò)設(shè)備通常有收集系統(tǒng)信息的宏命令，F(xiàn)5有沒(méi)有相應(yīng)命令？與華為路由器display bas

46、e-information、華為交換機(jī)display diagnostic-information、思科show tech-support和NetScreen防火墻get tech-support命令類似，BIG-IP系統(tǒng)也有對(duì)應(yīng)信息收集工具叫F5 Qkview Diagnostic Tool。在CLI界面中執(zhí)行qkview，Qkview工具執(zhí)行完成后將輸出信息保存在文件/var/tmp/-tech.out中。在進(jìn)展故障診斷和尋求高級(jí)技術(shù)支持，別忘了執(zhí)行本命令。可以通過(guò)Web界面執(zhí)行qkview命令全面采集系統(tǒng)日志信息并下載下來(lái)。通過(guò)Qkview工具可以采集BIG-IP上的配置信息及日志信息，

47、以供離線的故障診斷。如果可以通過(guò)Web界面進(jìn)展管理，則可由SystemSupport中運(yùn)行Qkview工具，運(yùn)行過(guò)程如下：Qkview運(yùn)行過(guò)程大概會(huì)持續(xù)3至5分鐘，執(zhí)行結(jié)果如下：點(diǎn)擊Download下載Qkview的輸出文件 。注意修改下載文件的文件名以免雙機(jī)的文件重名沖突。如何查詢?cè)O(shè)備的序列號(hào)？負(fù)載均衡器的序列號(hào)可能從設(shè)備前面板右邊的機(jī)架安裝處獲得，是在一個(gè)條形碼標(biāo)簽下面以bip開(kāi)頭的一串字串。如果設(shè)備已經(jīng)上架，不方便查看設(shè)備的序列號(hào)的話，也可以通過(guò)License文件，獲取設(shè)備的序列號(hào)。License文件保存在/config/bigip.license文件中。在文件中搜尋以下信息例如：Reg

48、istration Key : J3606-22210-05459-58Licensed version : Platform ID :Z100如何使用TCPDUMP進(jìn)展Troubleshooting？當(dāng)業(yè)務(wù)無(wú)法正常工作時(shí)，經(jīng)常需要在BIG-IP上抓包進(jìn)展分析定位是什么原因?qū)е聰?shù)據(jù)包沒(méi)有被常轉(zhuǎn)發(fā)。BIG-IP上提供了TCPDUMP抓包分析工具。TCPDUMP是Uni*系統(tǒng)常用的報(bào)文分析工具，TCPDUMP經(jīng)常用于故障定位，如會(huì)話保持失效、SNAT通信問(wèn)題等。本文講述TCPDUMP命令的根本用法，更詳細(xì)的使用說(shuō)明請(qǐng)參見(jiàn)man tcpdump。命令語(yǔ)法： tcpdump -adeflnNOpqRS

49、tv* -c count -F file -i interface -m module -r file -s snaplen -T type -w file -E algo:secret e*pression 其中：-i報(bào)文捕獲監(jiān)聽(tīng)的接口，如果不指定，默認(rèn)為系統(tǒng)最小編號(hào)的接口不包括loop-back接口，一般對(duì)指定Vlan名稱進(jìn)展監(jiān)控，如-i e*ternal 是對(duì)e*ternal vlan進(jìn)展監(jiān)控；也可以對(duì)指定端口進(jìn)展監(jiān)控如 i 1.1。注意：當(dāng)vlan 名稱過(guò)長(zhǎng)時(shí)，-i后面直接用vlan名稱，tcpdump會(huì)出現(xiàn)錯(cuò)誤提示，這時(shí)需要將vlan名改由vlan加vlan ID代替。如有一vlan

50、名稱為bip_e*ternal，vlan ID為2022，如要對(duì)bip_e*ternal vlan進(jìn)展監(jiān)聽(tīng)，需采用-i vlan2022的方式。-nn不將IP地址或端口號(hào)轉(zhuǎn)化為域名或協(xié)議名稱注：與老版本的TCPDUMP命令不一樣，在BIG-IP V10里面必須用兩個(gè)nn才能使IP地址與端口不會(huì)被轉(zhuǎn)化為域名或協(xié)議名稱顯示。-r從文件中讀取該文件由-w選項(xiàng)創(chuàng)立-s確定捕獲報(bào)文大小-w直接將捕獲報(bào)文寫(xiě)入文件，而不是對(duì)其進(jìn)展解析并通過(guò)屏幕顯示與-r選項(xiàng)對(duì)應(yīng)注：如果要將TCPDUMP所抓的包保存到文件，建議采用-s1600 w /var/tmp/filename的方式，-s1600可以保證抓取完整的數(shù)據(jù)

51、包，而/var/tmp使抓包文件保存在/var/tmp目錄。-*每個(gè)報(bào)文以十六進(jìn)制方式顯示-*每個(gè)報(bào)文同時(shí)以文本和十六進(jìn)制顯示e*pression匹配表達(dá)式的分組將進(jìn)展解析。如果不指定表達(dá)式，系統(tǒng)對(duì)所有分組進(jìn)展捕獲分析。復(fù)雜表達(dá)式可以使用and與、or或以及not非操作進(jìn)展組合。表達(dá)式有三種：type三種種類：host、net和port。比方：host .1。如果不指定類型，默認(rèn)為host。dir有src、dst、src or dst和src and dst四種方向。默認(rèn)為src or dst，即雙向。proto常見(jiàn)協(xié)議有：ip、arp、tcp、udp、icmp等。如果不指定協(xié)議類型，默認(rèn)為所

52、有協(xié)議。舉例1：對(duì)e*ternal接口主機(jī)并且端口為1433的流量進(jìn)展監(jiān)控。端口不指定tcp和udp，默認(rèn)為同時(shí)對(duì)tcp和udp進(jìn)展報(bào)文捕獲。本命令不解析IP地址/端口號(hào)為主機(jī)名/效勞名稱，同時(shí)顯示報(bào)文十二進(jìn)制和文本信息，報(bào)文最大為1500字節(jié)。f5-1:# tcpdump -i e*ternal -nn -* -s 16tcpdump: listening on e*ternal 21:48:41.295546 .1201 4.1433: . 302192826:302192827(1) ack 558871968 win 64360 (DF) 0*0000 012c 0800 4500 0

53、029 38cf 4000 7f06 c3b2 .,.E.)8 0*0010 8bd4 6002 0a4b 092c 04b1 0599 1203 18ba .K., 0*0020 214f b5a0 5010 fb68 a926 0000 00 !O.P.h.&. 21:48:41.296015 4.1433 .1201: . ack 1 win 64636 (DF) 0*0000 012c 0800 4500 0028 cb2d 4000 7f06 3155 .,.E.(.-.1U 0*0010 0a4b 092c 8bd4 6002 0599 04b1 214f b5a0 .K.,.!O

54、. 0*0020 1203 18bb 5010 fc7c a812 0000 0000 0000 P.| 0*0030 0000 . 21:48:50.701130 .1206 4.1433: . 304974934:304974935(1) ack 565108263 win 64882 (DF) 0*0000 012c 0800 4500 0029 38f7 4000 7f06 c38a .,.E.)8 0*0010 8bd4 6002 0a4b 092c 04b6 0599 122d 8c56 .K.,-.V 0*0020 21ae de27 5010 fd72 0a6b 0000 00

55、 !.P.r.k. 21:48:50.702567 4.1433 .1206: . ack 1 win 65267 (DF) 0*0000 012c 0800 4500 0028 d3a6 4000 7f06 28dc .,.E.(. 0*0010 0a4b 092c 8bd4 6002 0599 04b6 21ae de27 .K.,.!. 0*0020 122d 8c57 5010 fef3 08ea 0000 0000 0000 .-.WP 0*0030 0000 . 舉例2：對(duì)internal接口主機(jī)3和1之間端口8080的流量進(jìn)展分組捕獲。本命令不解析IP地址/端口號(hào)為主機(jī)名/效勞名

56、稱，報(bào)文最大為1600字節(jié)，捕獲信息以/var/tmp/intdump文件保存： tcpdump -s 1600 -i internal -w /var/tmp/intdump host 3 and host 1 and port 8080如果查看該捕獲文件，請(qǐng)用tcpdump r /var/tmp/intdump命令。也可以將捕獲的文件下載下來(lái)用Ethereal工具解包分析。對(duì)*一Virtual Server用TCPDUMP命令無(wú)法抓到包如何處理？可能是該Virtual Server的屬性中選用了Performance Layer4類型，導(dǎo)致數(shù)據(jù)包由四層加層ASIC芯片處理而沒(méi)有流經(jīng)CPU引

57、起，碰到這種情況，選取該Virtual Server將type由Performance Layer4臨時(shí)改為Standard再來(lái)用TCPDUMP命令抓包，抓包以后，改回到Performance Layer4。TCPDUMP出現(xiàn)truncated-ip - 1215 bytes missing!信息是不是說(shuō)明網(wǎng)絡(luò)上有丟包？在BIG-IP里面出現(xiàn)Truncated-IP * bytes missing信息，一般來(lái)說(shuō)并不是網(wǎng)絡(luò)上有丟包引起的，而是在執(zhí)行TCPDUMP命令時(shí)沒(méi)有加上 s0或-s1600參數(shù)時(shí)，而數(shù)據(jù)包大小超過(guò)TCPDUMP缺省的抓包大小如果不加-s0或-s1600參數(shù)，則缺省的每個(gè)數(shù)據(jù)

58、包只抓前面400byes，就會(huì)出現(xiàn)truncated-ip的情況。出現(xiàn)這種情況，只需要重新輸入tcpdump命令，加上-s0或-s1600即可。TCPDUMP 命令中的-i interface中的interface用VLAN名稱如e*ternal或internal與接口編號(hào)1.1或2.1有什么區(qū)別？如果采用VLAN名稱作為-i的參數(shù)，TCPDUMP收集的數(shù)據(jù)包是經(jīng)由內(nèi)部接口到達(dá)TMM進(jìn)程經(jīng)由中央CPU處理的數(shù)據(jù)包。采用VLAN名稱作為-i參數(shù)的局限性在于，由于PVA四層加速芯片時(shí)位于BIG-IP的交換板(Swithboard)上，并不需要經(jīng)由主機(jī)板與交換機(jī)板的內(nèi)部接口到達(dá)中央CPU，因此TCP

59、DUMP無(wú)法抓取這些四層加速的數(shù)據(jù)包。因此采用VLAN名稱作為-i的參數(shù)一般是用于對(duì)采用Standard作為Virtual Server類型的應(yīng)用抓包時(shí)采用。注：如果Virtual Server是用PVA四層加速芯片作加速處理，則在Virtual Server的屬性中PVA Acceleration顯示為Full。The PVA handles accelerated traffic in the following order:The PVA receives accelerated traffic from the switch subsystemThe PVA transforms th

60、e packet in order to redirect the packet to the appropriate pool memberThe PVA sends the packet back to the switch subsystemFully accelerated traffic never reaches the internal trunk and is not processed by TMM. 如果采用接口編號(hào)作為-i的參數(shù)，則進(jìn)出該接口的數(shù)據(jù)包將先被鏡像給SCCP(SCCP是BIG-IP的管理子系統(tǒng))，然后送到主機(jī)板上通過(guò)TCPDUMP抓包。由于是直接鏡像了端口，因