F5负载均衡设备维护手册

1、F5负载均衡设备维护手册CONTENTS目录 TOC o 1-5 h z HYPERLINK l bookmark21 o Current Document 第一章日常物理检查3 HYPERLINK l bookmark24 o Current Document F5 BiglP设备面板结构3 HYPERLINK l bookmark37 o Current Document 状态灯判断3 HYPERLINK l bookmark40 o Current Document 第二章日常运行监控4 HYPERLINK l bookmark43 o Current Document 检测各台BIG-

2、IP设备的主备工作状态.4 HYPERLINK l bookmark55 o Current Document 检测F5设备负载状况4 HYPERLINK l bookmark61 o Current Document 检测BIG-IP的CPU和内存使用状况使用命令行：top.4 HYPERLINK l bookmark73 o Current Document 检测客户连接数量4 HYPERLINK l bookmark96 o Current Document 查看服务器节点状态5 HYPERLINK l bookmark111 o Current Document 查看当前建立的所有连接

3、6备份日志6 HYPERLINK l bookmark114 o Current Document 查看LOG列表6 HYPERLINK l bookmark120 o Current Document 第三章变更操作7 HYPERLINK l bookmark123 o Current Document F5 BIG-IP设备的变更操作.7 HYPERLINK l bookmark133 o Current Document 服务器的变更维护管理8 HYPERLINK l bookmark140 o Current Document 第四章系统管理10 HYPERLINK l bookmar

4、k143 o Current Document 用户管理10 HYPERLINK l bookmark156 o Current Document SNMP 管理11 HYPERLINK l bookmark160 o Current Document 第五章标准故障诊断流程11 HYPERLINK l bookmark191 o Current Document 第六章系统配置备份及恢复14系统配置的备份146.1.1命令行方式14 HYPERLINK l bookmark209 o Current Document 系统配置的恢复166.2.1命令行方式16 HYPERLINK l boo

5、kmark213 o Current Document 第七章基本错误处理流程18 HYPERLINK l bookmark218 o Current Document 第八章应急处理189.1.系统访问异常，但Telnet（ssh）或Console可以连接上F5 Active设备 步骤：19 HYPERLINK l bookmark225 o Current Document 系统访问异常，切Telnet （ssh）和Console均无法连接主设备。19第一章日常物理检查根据设备检查需要，可以进行设备物理检查，观察设备面板指示灯，分析设备运行状态。F5 BigIP设备面板结构10/100 i

6、nterface模光纤接口多个10/100 M自适应的网络接口 Gigabit fiber interface多个1000M多Serial console port 一个串口命令行管理端口 Failover port一个串口冗余状态判断端口Mgmt interface 一个 10/100M 管理端口1.2状态灯判断BigIP在正常工作时可以通过端口状态显示灯判断工作状态：10/100 M端口连接状态灯绿色为100M连接正常，橙色为10M连接正常10/100 M端口数据通讯状态灯 停止为无流量，闪烁为正在进行数据通讯1000 M端口连接状态灯绿色为1000M连接正常1000 M端口数据通讯状态灯

7、停止为无流量，闪烁为正在进行数据通讯 可以通过系统面板右侧系统状态灯，检查系统运行状态：System正常情况下为绿色为系统工作正常Status正常情况下的Active设备为绿色，而Backup设备为橙色Activity在有数据流量通过 时闪烁，无数据流量时定时闪Alarm 健康检查报警，系统发现有服务节点处于“不健康”状态时提示报警第二章 日常运行监控2.1检测各台BIG-IP设备的主备工作状态在命令行输入b failover show确认SLB51MO3-1工作在active状态，SLB51MO3-2工作在standby状态这是系统默认状态，如果有变化且非人为设定，则代表系统切换过，需细查原

8、因。2.2检测F5设备负载状况通常情况下，我们可以通过在命令行输入如下命令，分别获取相关的F5设备信息：2.3检测BIG-IP的CPU和内存使用状况 使用命令行：topoot4Cl. 16.24.241 仁8511-1.99-0?日门5811_3.491 167x47File Edit Settings VT Options Tunnels Helpload averages； 0. 06j C. 0. OS54 processes： 1 r uiuni ng, 53 si e epi ngCFU states : 0.6% user, Cl. 0% Rice, 3.2% system, Cl

9、.U窝 iiiterruLit.日&.2% i dlwMemorw： Real： W9M/115M13洲/489M Fzrwe：日N1M-FIDUSEOAlflEFBIBICESIZERESSTATETIMEwcruCFUCOMHAHB16722iaem cm204316E6204Ksleeji441Cl.蹒0.琳bi gEruTip ii423i：=Lt=rri ：in1802264KT92E0000. 00%0. 00%httlid424laem cm1802264K792Ksleep000 . 00%0. 00%ht tpdS30laem cm1802328K7SBKsleeji000.

10、 000. 00%ht tjid831daem on1802328K788Ksleep0000. 00%0. 00%ht tp dS3&d=Lm onLS02340ETS4K吝1自捋000Q. 00%0. 口篮ht tpd425laem cmIS02264K7S0Esleep0000. 00%0. 00%ht tpd530ilaHiri on1802316K776E0010. 00%0. 00%ht tp d16085root180416K404KEl&ep0000. 00%0. 00%nt p-i30rcnjt100T52K1436E0000. 00%0. 00%Tn：illTLt_rTif

11、E2514IUijt100966K936Ksleep000 . 00%0. 00%bash2Srcnj t100T52E376Ksleeji000. mo. cmrrinuiLt.m fs416rcnjt100Z16K248K0000. 00%0. 00%蛀L1L00136E1SQK吝1自捋000Q. 00%0. 口篮ini t3S5rcnj t10008K136Ksleep000. 000. 00%re sp aATL如果需要将top执行的结果保存在文件里，可执行以下命令top - d 5 |tee /var/tmp/topresults.txt其中的5表示连续输出5次结果。2.4检测客户连

12、接数量检测当前BIG-IP上的连接数量，以及每个对外服务的虚拟服务器的用户连接数量，使用命 令行：bigtop*oot 10,16,24243. SSH-l,99-OpenSSH_3,4plL67x47File Edit Settings VT Optians Tunnels Help10. 16.24.8:：my256.OH 403.0M2.5E47.OE43. OKMODE iP：por t|InLHitLorm-|InLHitCmr10. 16.24.2:imy114. OH184.0M88126.OE23. OKIQ. 15.24.3;=iTL762. OH1Q3.JM5142,OE9

13、, OKQ10. IS. 24.1:my45. ON63.0M51210.OK9. OK10. 16.24.4:33. OH51. DM6000aVIF Lp:port|State 班班UPUF平时应观察正常工作时，BIG-IP上的用户请求数量，并针对各个时间段作记录，以便于当bits sinceMay 1 17；10；324 secondsIn1tl 七C oriiL-In1tl 七C oriiL-cuiTent ti tit 12:10:37BI(MP ACTIVESLB5LM03-1. icbc. com. c 256. 0M 403.0M 2. 5E 47. OE 43. OK 0遭受

14、攻击时可以判定。2.5查看服务器节点状态通过进AF5管理界面，登陆下面界面，我们可以清楚地看到，所有服务器节点所处的状态:上半下半部分显示各服务器池（pool）中各节点的L4或者L7的健康检查结果。部分测试结果上图中Node Address栏表示服务器是否能Ping通，如果服务器能Ping通，则前头为 向上的绿色，如果不能ping通，则前头为向下的红色。Virtual Servers and Nodes栏表示使用Monitor Service检测对服务器的检查结 果，在 本例中如果BIGIP对服务器的两个端口8210和8001进行TCP端口检查 都通的时候，则前头 为向上的绿色。如果某台服务器

15、只要有一个端口TCP检查 不通则前头为向下的红色。补充说明：如果在上图健康状态监视中，只要有一项不能通过，在F5 BIG-IP的前面板 的第四个指示灯Alarm会变黄。2.6查看当前建立的所有连接g System :击:Virtual Servers P Nodes 圜 Pools i砒表 i-MATiA Proxies p NelwmK :Filters e Moninors :l BIGpipe + Statistics Log Files 菜 Minerrn SSH ,书 System AdmliLO.15.25. 161:37943 L0. 15- 254161:37944 L0u 1

16、5.354.151:37345 61:37946 L0. IE. 3E4.1&1:37947 LO. 15.254-170:64736 10.15.25d. 161:37915 LO. 15.354161:37940 LO. 15.我土 1T0: &4741 LO. 15.254.155:39699 10-15- 254. &： 37534 L0.15.25. 155:39900 L0.15.254155:39901 ULL土朋4.1时；我曲& L55:39902 10. IE. 354.5:37916L EE; 39903 10.15- 25 i| i W：i h 辑 fl m * : *r

17、ip J 审Mil r心 1 i 5. | IjlS 十土 ！ J C；IKX；1 t%is Jlj515;35: 4liLEiD50&iJ_abjs1iTl:.；5_TciTiit ht tpdJim515;-35! 44-bLlp5ui,i sHeNu七cel 2nclrili: TsiicatLogMtarfter Lng下图是关于各服务器健康检查的LOG记录:第三章变更操作F5 BIG-IP设备的变更操作在进行参数变更，修改系统配置时，建议在ACTIVE设备上进行操作。确认冗余系统的设备是否处于ACTIVE状态，方法为：看下图第二行中显示的本机的状 态；或看BIG-IP的前面板的第二个

18、指示灯Status，绿色代表ACTIVE，黄色代Standby。村日wertlV 5 电Hf Nf g MlQf_R：HQ.uiidAiiE PnifDfiiTlAEi_FafigM Portal邸a 1 1 口 *hr;nrrs r；nr.Jiiurrf?b hnActlvfStanciLx：且匚TIV巳Je a院血仙尸Configsync User：ad mEnfnn卵Stateftil Falaver Mirror Enlxled:Network Fail over Enabl-ed;LSSL A-ocsIorator Fall-over EnabEed:LActive-Acfive M

19、ode Enableif:rFallcver Llnkdawn:FailsafeEnabFed;田u睡r;!Ping (ssctmdfl：口Timcoiut (sCGinil|:Aar：/ Hasar |在ACTIVE设备上做完配置之后，如果确认无误，点击如下“Synchronize Configuration 按钮，即可把本机上的新配置文件同步到对端，如果对端设备故 障更换新设备之后也可以通 过这种方法自动地在对端新设备上生成全套配置。如果想对BIG-IP ACTIVE设备做停机维护，可以首先点击如下“Force toStandby”按钮，手动把本机设置为Standby状态，然后再退出系统。

20、根据.2服务器的变更维护管理厂家如果想对服务器做变更维护，由于有BIG-IP设备对服务器池做HA，所以不必非要等到夜间 资户连接很少的时候才退出运行，进行变更操作。料在F5 BIG-IP管理界面中中打开对应的节点的窗口，在第一行的“Enable Sessions”中 的对勾去掉，并Apply保存配置，该接点就处于Disble”状态，此 时，F5停止向该服务器发 送新的流量。F5当管理员通过下图监视到对应的服务器上现存的连接数逐渐下降为0时，就 可以安全地把该服务器退出运行，开始变更、停机等维护工作。Connection!Addre&s servicePackets!J1 J:M61.EMm 1

21、M0 030 .CM33.2 M51.CM10-16-74.4 0豹bKInBfts10-15-24.1 074. IMJD0.EM60.CM48.BK26.3双:M 网枳83.D60. SM 佃.WPackets电 5134 M44. EM 34.7;Password:j 如.r* y y半由 hi 5v *i 如ir*:Jr Admlrabphnriiion禺.血 门血创wi AdriElnBborUma尊EitffWmrwslraljDncucica user name in the list to viw me propmieis or that uir.Level;Retype Pa

22、aswrd:d；|wV-b Rjh Oiil-f1PrtisiR&ad/-AA heFlHmh H AJVi/iVnlRUl | l j| g缸 H;=nrbWnfe NEB角NIIWHM Add UserL ncaf Uss rsadminCLI + Full Web ReBd/UUHteSNMP 管理SNMP管理，我们可以设置通过SNMP把相关信息自动发送到网管工作站上，包括SNMP管 理和SNMP Trap 的使用，BigIP 支持MIB I, MIB II, Private MIB。CEHtimunl, Cm?J_SFiiip /J WU皿ikdi ling彳 P 岗UEimirSIt

23、i门 2grrliUWKii i-r r.i r* k i. i Im nfi Ml ii冉utHTr叩.EnableClient *，财髭富System InfarmaiiQinLocflJbort: TrapCttnflgurartriIP AdrirosE orAllcw N&iwork Address: Netmask:KE . .curTm Lisi: F |i?nniG omnnynlly： servlet: Sink Trap List： .I Current LBt: rl第五章标准故障诊断流程1 .故障发生时，首先保存现场故障信息，并将信息保存，以备以后检查。收集系统Tech

24、 Support信息，在命令行输入：qkview检测各台BIG-IP设备的主备工作状态在命令行输入：b failover show确认两台主备负载均衡器工作状态，确认当前工作在active状态的负载 均衡器，另一台应 工作在standby状态。检查用户请求数量根据平时收集的正常状态用户请求数量，分析当前是否遇到攻击。检测各台BIG-IP设备上的日志请参见3.6章通过图形界面检查当天的BIG-IP日志，其中System记录了系统硬件相关信息， BIG-IP Log则记录了所有BIG-IP配置变更信息，而MonitorLog则记录了对服务器检查的情况。 通常，可以通过观察Monitor日志可以确认

25、所有服务器是否发生过异常。如果需要检查前7天内 的日 志，则必须使用命令行方式，进入/var/log目录检索所查当日的记录。检测F5设备的状况通常情况下，我们可以通过在命令行输入如下命令，分别获取相关的F5设备信息:top检测BIG-IP的CPU和内存使用状况海4CL16.24.241 167x47File Ed it Settings VT Options Tunnels Help1 a =d aver ages! 0. 06.,0. LI0_,0 . US54 procezzes： 1 rurLTting. 53 sleepingCPU states : Ll.BS：. usei-,. L

26、l. 0% ni ce_, 3. system., D. 0 常 i 工世 er if 口 t, 弱.咨 i dl 巳M所如-裂；F2 al;网帛U 5M li r t; 13洲何4瞠M Fr加；E曰MFIDUSEOAHEFBIBICESIZEEES STkTETIMEwcruCPUCOMNAini16722daem on204316E6204K sleep4:410. 33% 0.93%bi gsrnTip d423daem on1602264KT92K sleep0:000. 00% 0.00%ht tp d424laem cmIS02264E792K sleep0:00. cm o.cm

27、ht tpdS30laem cm1802328K7SBK sleep0:000. 00% 0.00%ht tjid831i：=Lt=rri ：in1802328KTS8E sl&ep0:000. 00% 0.00%httlid836laem cm1802340E704K sleep0:00 . 00% 0.00%ht tpd425daem cnLS02E&4ETOOK sleep0;00Q. 00% Cl, 口篮ht tpdF30la&m cm1802316E77BK sleepC:01ci. o.cmht tpil160S5r o : i180416K404K sleep0:000. 00%

28、 0.00%ntp-130rrn：it100T52E1436K sleep0:000. 00% 0.00%Tn：nirLt_TifE2514rcnjt100968K936K sleep0:000. 00% 0.00%bash罪100T52E376K sleepC；DOQ. 00% 0.Q理rio】mt_Ti 玷4L&rcnj t100216K24BK sleep0:00ci. cm o.00%sk1rcnjt100136K1S0K sl&ep0:000. 00% 0.00%Ini t385rcnjt10088E136K sleep0:000. 00% 0.00%ruEpaATi如果需要将top

29、执行的结果保存在文件里，可执行以下命令top - d 5 |tee /var/tmp/topresults.txt其中的5表示连续输出5次结果。iHroot 41 167x47gFile Edit Settings VT Options Tunnels Helpbits s i nc aMay 21 17:10:32InOutC oriTL-4 sec uruls1 IILliltC ijliliTtIG-IF ACTIVELB51M03-1. icbc. com. c 256.0M 403.0M256. 0M 403. 0M 2. 5K 47. OK 43. OK前. 16.24.2:ari

30、y114.0M 184.0M88128. OK23. OK10. 16.24.3:ariy62.0M 103.0M5149. OK9. OK很.低跑.1:any45.0M 63.0M51210. OK9. OK?0. 16.24.4:any33.0M 51.0M60000Ib pool show检查当前BIG-IP上的服务器组的连接状况上的连接以及每个对外服务的虚拟服务器的用户连接数量5LE51MQ3-1；律SLB51M03-1:#SLB51M03-1SLE51M03-11 pool showFOOL D3R_F00L LB_METHOD round_robiR(cur, mast, Limi

31、t, tot) = CTT, 185, Cl, 2507)(jckti.bits) in = (221299, 269844&S0 out = (2:01475, 425337952)+ MEMBER 10. 16. 24. 1:0ACTIVE, Wour, may, Limit, tot) = (2D, 49, 0, 512JtpoktE.bitE) in = (40376, 4840439Z), out = (35961, 6T2523B4)+ MEMBER 10. 16. 24.2:0ACTIVE, UT(curj eskLimit, tot) = (IS, 5%881)in = (96

32、263, 120420848 ou-t =旧775, 194813680)+ MEMBER 10. IB. 24.3:0ACTIVE, UTour, may, Limit, tot) = C21, 4& 0, 514Jtpcktz.bits) in = (54921, 66127752), out = (5&54, 109288784=)+ MEMBER 10. 16. 24.4:0ACTIVE, UT(curj eskLimit, tot) = (0 4、1 60。)(jckti.bits) in = (29739/ 34B916B8); out = 027069, 539B3104)SLB

33、51M03-1:# |b virtual show检查当前virtual server虚拟服务器的连接状况SLB51M03-1:# b virtual showVIRTITAL + 10. 16.24.8(cur,Limit,(pckts, bi ts) in = PASS AM IF: disabledinur 1tct) = (58, IBS, D, 25073+ -+ WILDCARD SERVICEEMkBLEDhw_ac c eler ation none (cur, manLimit, (pckts, bi ts) in =FOOL DSR FOQLMEMBERtot)= 68,

34、185, D, 25073(222108, 270829856), out = C202211 427025568MEMBERMEMBERMEMBER10.IB.24.1 :*(cur jLifnit,(pcktE, bi ts) in =10. 16. 24.(tufj majfj Limit(pcktSj hit,。in ：10. 16. 24. 3:*(cur, m叽 Limit,(pcktz, bi ts) in =10. IB. 24. 4;*(cur j majtj Limi tj(pckts? bi is) m :UP tot) (40514,UP 顷)= 附珥UP tot)=

35、(5509T,UP tot)=电咀D,48560560X512)out = G6080, 6T4S1560M 0.121024256), out = C8S231, 19594324)16, 46, D,6&329T44Xg 41, 0.C2976T, 34915296XSSL)514)out = 60810, 109563912)600)out = (27093, 54026472(222108, Z70829856), out = C202211 427025568b node monitor show 用于观察Monitor 对Node点的检查状态第六章系统配置备份及恢复F5的设备配置可

36、以保存为一个后缀为.ucs的文件，以便今后必要时进行系统恢复。该系配两置个文件系统配置的备份6.1.11命令行方式备到 份 当 前 配 置SLB51MO3-1_200302201025.ucs 这个文件中（文件名由管理员确定）红色为管理员输入命令，黑色为系统显示内容SLB51MO3-1:#确认连接到的是SLB51MO3-1 这台SLB51MO3-1:#configsaveSLB51MO3-1_200302201025.ucs|Saving active configuration.Creating UCS for config save request.SLB51MO3-1: # cd /us

37、r/local/ucsSLB51MO3-1:/usr/local/ucs# lsSLB51MO3-1_200302201025.ucscs_backup.ucs.1cs_backup.ucslast boot.ucs保存在/usr/local/ucs 目录下请再次确认上一步骤的确产生了SLB51MO3-1_200302201025.ucs 这个文E、嵬口肴英希霞甫SLB51MO3-1:/usr/local/ucs# ftp Trying 9.21.Connected to 9.220 raymond Microsoft FTP Service (Version 5.0). Name (:roo

38、t): ftp331 Anonymous access allowed, send identity (e-mail name) as password.Password:230 Anonymous user loggedin. Remote system type isWindows_NT.ftp bin200 Type set to I.ftp hashHash mark printing on (1024 bytes/hashmark). ftp put SLB51MO3-1_200302201025.ucs采用FTP连接到管理员的工作站（本例 为）采用二进制传输文件（BIN格式）显示传

39、输进程 （hash为on）local:传送系统配置ucs文件到管理员工作#226 Transfer complete.274511 bytes sent in 0.0194 seconds (14139118 bytes/s)ftpled /configLocal directory now /configftp put bigip.confftpput bigip_base.confftpbye221SLB51MO3-1:/usr/local/ucs#从/usr/local/ucs目录切换到/config目 录备份bigip.conf文件备份bigip_base.conf文件 退出ftp进程

40、一系统配置的恢复6.2.1命令行方式同上，管理员工作站采用网络连接到BIG-IP上，同时管理员工作站必须配置有FTP服务 器。具体操作如下：红色为管理员输入命令，黑色为系统显示内容SLB51MO3-1:#确认连接到的是这台BIG-IP设备SLB51MO3-1:# cd /varSLB51MO3-1:/var#cd /tmp进入/var/tmp目录以避免 直接传 送 ucs文件到 /usr/local/ucs目录覆盖本地SLB51MO3-1:/var/tmp# ftp Trying .Connected to 9.220 raymond Microsoft FTP Service (Versio

41、n 5.0). Name (9:root): ftp331 Anonymous access allowed, send identity (e-mail name) as password.Password:230 Anonymous user loggedin. Remote system type is Windows_NT.ftp ls227 Entering Passive Mode (9,4,55). 125 Data connection already open; Transfer starting.02-19-0410:24AM274511SLB51MO3-1_2003022

42、01025.ucs02-19-0410:27AM274482SLB51MO3-1_200302200930.ucs226 Transfer complete.ftp bin200 Type set to I.的系统uc甘T文连接管理员工作站查看目录并确认存在备份 系统配置ucs文 件SLB51MO3-1_200302201025.ucs采用二进制传输文件（BIN格 式）显示传输进程（hash为on）1 I-rm 口 i- /Z-、L /、乂 K /口 ac-t 口XISLB51MO3-1:/var/tmp# lsSLB51MO3-1_200302201025.ucsfinish.logvi.recover/从管理员工作站传送系统配置 确认巳取到系统配置ucs文件使用SLB51MO3-1:/tmp#b configSLB51MO3-1_200302201025.ucsCreating UCS for config save request. Passwords restored.Loaded base configuration from /