F5BIG-IPV9常见问题处理手册.doc

version:3文档名称: f5 big-ip v9产品的常见问题处理手册 f5 big-ip v9产品的常见问题处理手册version 3f5 networks2019-01-22目 录第1章初始化设置相关问题处理说明11.1.如何通过机器前面板lcd边上的按键设置big-ip的管理网口地址？11.2.为什么通过lcd边上的按键设置big-ip的管理网口地址失败？11.3.申请license时出现以下错误提示如何处理？21.4.big-ip系统如何进行配置备份和恢复？21.5.如何将big-ip的配置恢复到出厂设置？3第2章日常维护42.1.如何操作big-ip前面板上的lcd按键？42.2.如何解读led(设备关面板上的状态灯)显示的信息？52.3.如何与big-ip进行文件传输？62.4.如何实时监视big-ip的连接状态？72.5.如何实时监视big-ip的流量情况？72.6.如何监控big-ip的性能指标？7第3章异常处理83.1.当处于主机的big-ip突然发生故障时，如何尽快恢复业务？83.2.如果修改配置以后，导致业务异常如何处理？83.3.故障诊断时，有时需要用到命令行，如何用命令行登陆big-ip？93.4.big-ip系统处于inoperational状态如何处理？103.5.通过web界面修改配置以后，重新启动big-ip以后，发现配置丢失如何处理？11第4章web与命令行管理134.1.通过web界面修改配置时出现general database error错误，如何处理？134.2.ssh访问具有密码加密传输的优点，请问从哪里获取ssh客户端？134.3.为什么无法用telnet登陆到big-ip的命令行？144.4.big-ip系统web管理员admin密码忘记了，如何恢复？144.5.big-ip系统root密码忘记了，如何恢复？144.6.默认的用户名和口令不安全，如何添加新用户或修改现有用户？154.7.如果忘记了sccp的密码，如何恢复sccp的密码到出厂设置？154.1.如何将big-ip监控到的服务器up/down信息发到外部syslog服务器上？184.2.big-ipsyslog的事件类型有哪些？184.3.如何设定big-ipsyslog的事件级别？204.4.big-ipsyslog事件记录的格式是怎么样的？214.5.网络设备通常有收集系统信息的宏命令，f5有没有相应命令？224.6.如何查询设备的序列号？234.7.如何使用tcpdump进行troubleshooting？244.8.对某一virtual server用tcpdump命令无法抓到包如何处理？264.9.tcpdump出现“truncated-ip - 1215 bytes missing!”信息是不是说明网络上有丢包？264.10.tcpdump 命令中的-i interface中的interface用vlan名称（如external或internal）与接口编号（1.1或2.1）有什么区别？264.11.tcpdump 命令中出现“pcap_loop: error: interface packet capture busy”错误信息？28第5章配置管理305.1.如何备份big-ip ltm的配置305.2.备份的配置文件中包含哪些内容315.3.恢复big-ip ltm的配置restoring configuration data31第6章技术支持相关问题356.1.寻求f5技术支持时，要提供哪些信息与资料？356.2.如何获得更多关于f5产品的技术支持资料、如何查找故障处理办法？356.3.如果big-ip系统损坏(非硬件故障)，如何重装系统？366.4.big-ip发生硬件故障以后的更换流程？366.5.如何进入单用户模式solution id: sol4178 booting big-ip in single user mode376.6.如何重置root与web admin密码solution id: sol3350 changing account passwords for the command line and configuration utility386.1.1changing root and support passwords386.1.2changing an administrative account password39version:3文档名称: f5 big-ip v9产品的常见问题处理手册 第1章 初始化设置相关问题处理说明1.1. 如何通过机器前面板lcd边上的按键设置big-ip的管理网口地址？通过lcd按键修改管理网口ip地址的方法如下：1. 按红色x按键进入options选项；2. 在液晶面板上通过按键按以下顺序设置管理网口的网络地址：options-system-ip address/netmask-commit1.2. 为什么通过lcd边上的按键设置big-ip的管理网口地址失败？如果通过lcd按键修改完ip地址以后，选择commit，地址无法成功改变(例如出现ip地址为全零的情况)，很有可能是管理口ip地址与系统内已经配置发生冲突。出现这种情况，关机重启以后，另选一个ip网段来设置管理网口地址。警告：在设置好网络管理口地址以后，通过网络登陆到big-ip上进行其它配置更改时，都要保证网络管理口的网络连接完好。否则有时会出现修改的配置无法被成功加载应用的情况，因为网络管理口为down的情况会妨碍配置文件的加载。1.3. 申请license时出现以下错误提示如何处理？错误提示为“this license has already been activated on a different unit. please contact technical support for assistance.”原因是是因为本机的registrationkey与另外一台已经被激活的设备的registration key有冲突。碰到这种情况，请联系f5的技术支持工程师协助处理。1.4. big-ip系统如何进行配置备份和恢复？可以通过以下web界面进行配置的备份与修改：进入systemarchives，点击create： 配置备份好后，点击设配置文件并下载到外部电脑上：也可以在cli使用“b config save .ucs”保存配置，使用“config install .ucs”恢复配置。如果不指定路径，默认保存在目录“/var/local/ucs”中。1.5. 如何将big-ip的配置恢复到出厂设置？如果是需要一个完全干净的系统，建议通过重装系统来恢复到出厂设置。如果没办法重装系统，但需要将配置清空以重新进行配置，方法如下：从管理网口用命令行登陆big-ip，然后执行以下命令：b db all resetb resetb saveb base resetb self allow default tcp ssh tcp https udp efs tcp snmp proto ospf udp domain udp snmp tcp 4353 tcp domain udp 4353 b base save最后运行config设置管理口ip，然后用reboot重启。第2章 日常维护2.1. 如何操作big-ip前面板上的lcd按键？通过操作lcd按键可以实现以下功能： 在某个屏幕停留 使用lcd菜单 开机 停机 关电 重启 在某个屏幕停留normally, the screens cycle on the lcd at a constant rate. however, push the check button to toggle the lcd between hold and rotate modes. in hold mode, a single screen is displayed. the rotate mode changes the screen displayed on the lcd every 4 seconds. 使用lcd菜单pressing the x button puts the lcd panel in menu mode. the buttons left arrow, right arrow, up arrow, and down arrow are only functional when the lcd is in menu mode. 开机when you want to power on a unit that is shut down, press the check button to turn the power on. 停机we recommend you halt the unit before you power it down or reboot it using the lcd menu options.to halt the unit1. press the x button, then use the arrow keys to navigate to the system menu.2. press check. navigate to the halt menu.3. press the check button. press the check button again at the confirmation screen.4. wait 50 seconds before powering the machine off or rebooting it. 关电hold the x button for 4 seconds to power down the unit. we recommend that you halt the system before you power down the system in this manner. rebooting the unit hold the check button for 4 seconds to reboot the unit. you should only use this option after you halt the unit. 清除告警事件press the check button to clear any alerts on the lcd screen. you must clear any alerts on the screen before you can use the lcd.2.2. 如何解读led(设备关面板上的状态灯)显示的信息？led功能说明如下：正常状态下，led的显示情况：出现告警时的led状态：2.3. 如何与big-ip进行文件传输？出于安全考虑，big-ip不允许用ftp登陆到big-ip上进行文件的上传与下载。为了与big-ip进行文件传输，可以用ssh secure shell client工具带的安全文件传输工具进行文件传输。secure filetransfer client2.4. 如何实时监视big-ip的连接状态？请使用“b conn”命令，显示示例如下：54:46704 any:any :8 icmp3:41622 any:any :8 icmp0:1354 3:ssh 3:ssh tcp:33880 :nbp any6:any udp3:36599 any:any :8 icmp54:35139 any:any :domain udp54:35140 any:any :domain udp54:35141 any:any :domain udp54:35142 any:any :domain udp54:35143 any:any :domain udp2.5. 如何实时监视big-ip的流量情况？请使用命令“bigtop n delay 1”， 显示示例如下： | bits since | bits in prior | current | mar 2 21:17:57 | 1 seconds | timebig-ip active |-in-out-conn-|-in-out-conn-| 23:48:08 32.30g 50.35g 3.888m 432 432 0virtual ip:port |-in-out-conn-|-in-out-conn-|-nodes up-00:80 218984 1.499m 51 0 0 0 3node ip:port |-in-out-conn-|-in-out-conn-|-state-:53 30.57g 40.71g 3.257m 0 0 0 up:80 99624 1.395m 6 0 0 0 up:80 131528 1.006m 29 0 0 0 up:80 12008 137184 1 0 0 0 up:53 0 0 0 0 0 0 node down其中bits in prior 1 second列出的in out是各virtual server及node上的流量情况。2.6. 如何监控big-ip的性能指标？通过web界面的overviewperfrormance进行监控。第3章 异常处理3.1. 当处于主机的big-ip突然发生故障时，如何尽快恢复业务？在确保双机配置一致的前提下(通过日常巡检来保证)，进行主备切换，看是否能恢复业务。主备切换的方法有：通过web管理界面进行切换：systemhigh availabilityredundancyforce standby。当主备发生切换完后，看备机能否顺利接管业务。3.2. 如果修改配置以后，导致业务异常如何处理？在修改配置之前，先作一次配置备份。如果配置修改以后，业务出现异常，恢复配置进行回滚。备份与恢复配置的方法如下：3.3. 故障诊断时，有时需要用到命令行，如何用命令行登陆big-ip？若有console线，通过19200-8-n-1方式登录，输入用户名/密码 root/default。注：console线是null modem线，（如在电脑城购买，注意连接头是是否标注有null modem字样）线序如下：db9f to db9f 1, 4- 6 2 - 3 3 - 2 5 - 5 6 - 1,4 7 - 8 8 - 7 9 open open 9 如果没有console线，则用ssh命令登陆到big-ip管理网口的地址。(big-ip管理网口的地址可以在big-ip前面的液晶显示板上看到。) 可以使用putty或secure shell client等ssh客户端连接big-ip的管理网口地址，进入命令行模式。察看液晶面板上的管理口ip地址，如45。若有液晶板上有相应的ip地址，那么请准备一个便携，配上相应网段的ip，通过ssh登录。若液晶板上无相应的ip地址，即为，则在液晶板上，按x键，进入system，依次设置ip address - netmask -gateway-commit，输入管理口地址，掩码，网关，最后commit，察看液晶面板上的管理地址是否生效。然后通过便携登录管理口。注：secure shell client 可以用以下链接下载：/f5gz/tools/sshsecureshellclient-3.2.5.exe。 putty的下载链接如下：/f5gz/tools/putty.zip3.4. big-ip系统处于inoperational状态如何处理？big-ip刚开机时会处于inoperational状态，等进程启动完毕，配置文件加载完以后，big-ip会改换为active状态，或standby状态(双机中的另外一台处于主机的情况下)。如果系统长时间处于inoperational状态，一般有两种可能，一种可能是license没有被激活，另外一台可能是配置文件有问题无法被正常加载。确认ig-ip系统licnese是否处于有效激活状态有两种方法：一种是在web界面点击systemlicense，查看license信息是否有效。一种办法是在命令行执行b version命令。如果系统license有效的话，b version命令会给出下面类似的输出：f5test-1:# b versionkernel:linux 2.4.21-2.0smppackage:big-ip version 9.2.2 76.6final editionenabled features:zonerunner - dns zone management early access features global application support link total cost load balancing cname redirection global custom region definitions link capacity load balancing gtm failover to one data center ip classifier internet weather map 在enabled features下面会列出license所许可的所有功能模块。如果license没有激活或已经到期，则enable features下而为空。如果为空，则需要先激活license。如果license正常，而系统还处理inoperational状态，可参看3.5的办法检查是否/config/bigip_base.conf有问题。3.5. 通过web界面修改配置以后，重新启动big-ip以后，发现配置丢失如何处理？用命令行登陆big-ip，检查/config/bigip_base.conf文件，是否有以下几行：interface mgmt media none注：（如何用命令行登陆big-ip请参见3.3故障诊断时，有时需要用到命令行，如何用命令行登陆big-ip？）当管理网口没有接网线而做了配置修改就会在/config/bigip_base.conf中出现这几行。而这几行将导致机器重启时在这以后的配置不能正常加载。这一问题目前仅限发生于big-ip 9.2版本。如出现这种情况，请在命令行按以下步骤进行操作：1、 # cp /config/bigip_base.conf /root/ 保存bigip_base.conf文件2、 # vi /config/bigip_base.conf把如下语句（若有）删掉interface mgmt media none3、 检查bigip_base.conf文件中是否有如下语句,其中的45是管理网口地址，实际可能不一样。mgmt 45 netmask 若没有，则手工添加。也可以设为你所需要的管理网段地址。4、 保存退出，执行b load重加加载配置或运行reboot命令重启。注：为防止这一问题出现，在做配置修改时，要保证管理口有连接（接交换机或着通过交叉线同另外一台big-ip的管理口连接），则不会出现此现象。第4章 web与命令行管理4.1. 通过web界面修改配置时出现general database error错误，如何处理？如果条件允许，先将系统重启后再次修改配置，看问题是否依然存在。如果问题依然存在，或者不允许重启系统，则需要用ssh客户端以命令行方式登陆big-ip。注：建议从管理网口用命令行登陆。用ssh登陆命令行以后，看命令行提示符现示系统是否处于inoperational状态。如果是处于inoperational状态，则可能是license没有激活或已经到期。（license到期的现象只发生在采用了临时license的测试设备上）。如果license已经处于有效激活状态，而系统处于inoperaitonal状态，则有可能是配置文件有错误，导致配置文件无法被顺利加载。如果命令行提示符提示系统处于active状态或standby状态，而通过web界面修改配置出现general database error，则有可能是负责web管理的进程出现异常，可能采用bigstart tomcat restart的方式看能否解决问题。4.2. ssh访问具有密码加密传输的优点，请问从哪里获取ssh客户端？常用的ssh客户端有： secure shell client 下载链接/support/downloads/secureshellwks/non-commercial.html或/f5gz/tools/sshsecureshellclient-3.2.5.exe。 putty下载链接/f5gz/tools/putty.zip ttssh .au/roca/ttssh.html ttssh是公司标准软件tera term的ssh扩展免费软件。 securecrt / 本软件功能强大，评估版为免费软件。4.3. 为什么无法用telnet登陆到big-ip的命令行？出于安全考虑，big-ip不允许采用telnet的方法登陆到big-ip。please refer to the following sol for detail./home/bigip-next/solutions/toolsscript/sol3848.html4.4. big-ip系统web管理员admin密码忘记了，如何恢复？可以通过在命令行执行 passwd admin重新设置admin密码。方法请参考/home/solutions/sol3350.html -changing account passwords for the command line and configuration utility。4.5. big-ip系统root密码忘记了，如何恢复？如果root密码丢失，但还可以进入web管理界面，则可以在system-platform界面重新设置root密码。如果root密码丢失，且无法进入web管理界面，则需要进入到单用户模式，重新设置root密码。方法请参考solution id: sol4178 booting big-ip in single user mode和solution id: sol3350 changing account passwords for the command line and configuration utility。4.6. 默认的用户名和口令不安全，如何添加新用户或修改现有用户？web管理员的密码与命令行登陆root帐可以密码可以通过web界面进行修改：登录bigip的web管理界面时需使用admin的用户名，登录bigip的命令行界面需要使用root的用户名，更改这个两个用户名的方法如下：点击左侧导航条的systemplatform，进入其属性页面：在右侧的页面中，可以在user administration中对这两个用户名的密码进行更改。更改完毕后点击update即可生效。“root”用户也可以通过cli“passwd”命令进行修改。4.7. 如果忘记了sccp的密码，如何恢复sccp的密码到出厂设置？in normal operating conditions the root password on the sccp is synchronized from the root password on the big-ip host, thus the sccp root password is the same as the big-ip root password.to reset password, the procedure as below:resetting the sccp password to its default value will allow you to access the sccp, if required. to reset the sccp password to its factory default value, perform the following steps:note: this procedure must be performed from the console (accessed through the console terminal).1.power up the big-ip system from a powered-off state.2.at the press any key to stop autoboot prompt, stop the boot.the system will return a = prompt.3.from the = prompt, type the following commands:setenv runlevel init=/bin/bash -s -run flashbootnote: in order for the command to execute properly, you must include the two dashes (-) at the end of the setenv runlevel init=/bin/bash -s - line of code, above.the system will return a bash prompt.4.from the bash prompt, type the following commands:echo /dev/fd/0 / ext2 rw 0 0 /etc/mtabmount /proc5.type the following command:note: 下面的命令须在同一命令行执行ln -s awk /boot fs/ printf(/dev/mtdblock/%s n, substr($1, 4, 1); /etc/fstab7.type the following commands:mount -acd /bootrm nvfiles.tgzsynccd /umount /boot8.power-cycle the box.important: the system must be power cycled for this procedure to be effective.note: as the big-ip reboots you will see warning messages, which are expected at this stage in the procedure. the warning messages will appear as follows:warning: remote host identification has changed!backing up the known_hosts file and re-synchronizing the ssh keysthe known_hosts files now need to be updated on the big-ip system and the sccp, and the ssh keys need to be synchronized to the sccp, and from the sccp to the big-ip system. the following steps will back up the current known_hosts files and re-synchronize the ssh keys.note: for this procedure, big-ip is also known as the host.1.log in to the console command line as the root account.2.rename the /var/ssh/root/known_hosts file, by typing the following command:mv /var/ssh/root/known_hosts /var/ssh/root/known_hosts.orig3.synchronize the keys from the big-ip to the sccp, by typing the following command:keyswap.sh sccpa message will appear, indicating that the authenticity of host sccp () cannot be established.4.at the are you sure you want to continue connecting (yes/no)? prompt, type yes.you will be prompted for a password.5.type the sccp password default.you will be prompted several more times (approximately 6 times) for the password. continue to type the password default for each prompt until you are returned to the big-ip command line.6.connect to the sccp by typing the following command:ssh sccpa message will appear indicating that the authenticity of host sccp () cannot be established.7.at the are you sure you want to continue connecting (yes/no)? prompt, type yes.if the ssh keys have been properly synchronized from the host to the sccp, the system should not prompt you for a password.you should now be connected to the sccp, and have an sccp# prompt.8.rename the /root/.ssh/known_hosts file, by typing the following command:mv /root/.ssh/known_hosts /root/.ssh/known_hosts.orig9.synchronize the keys from the sccp to the host, by typing the following command:keyswap.sh hosta message will appear indicating that the authenticity of host sccp () cannot be established.10.at the are you sure you want to continue connecting (yes/no)? prompt, type yes.you will be prompted for a password.11.type the password for the hosts root account.you will be prompted several more times (approximately 6 times) for the password. continue to type the password default for each prompt until you are returned to the big-ip command line.12.connect to the host by typing the following command:ssh hosta message will appear, indicating that the authenticity of host sccp () cannot be established.13.at the are you sure you want to continue connecting (yes/no)? prompt, type yes.if the ssh keys have been properly synchronized from the sccp to the host, the system should not prompt you for a password.you should now be connected to the host, and have the big-ip prompt rootbigip:standby root #.14.exit the host and return to the sccp, by typing the following command:exit15.exit the sccp and return to the host, by typing the following command:exit16.reboot the host, by typing the following command:4.1. 如何将big-ip监控到的服务器up/down信息发到外部syslog服务器上？要将所监控的服务器的状态信息通过syslog发送到外部的syslog服务器的方法如下：在命令行编辑/etc/syslog-ng/syslog-ng.conf文件，vi /etc/syslog-ng/syslog-ng.conf在文件末尾增加以下内容：filter notdebug level(warning.emerg) and match(member);destination loghost udp(68 port (514); ;log source(local);filter(notdebug);destination(loghost);其中68是syslog服务器， 514为syslog服务器监听端口。level(warning.emerg) and match(member);定义的要发送到syslog服务器的信息，match(member)表示匹配pool member (.*?):(.*?) monitor status down 中的member那一行，这样可以将其它与服务器监控无关的信息过滤掉。编辑保存文件以后，运行/etc/init.d/syslog-ng restart，输出以下信息：stopping syslog-ng: ok starting syslog-ng: ok确认syslog运行正常即可。(注意：一定要确保syslog-ng.conf配置正确，使syslog能正常启动，否则会影响系统中其它依赖于syslog的进程)。4.2. big-ipsyslog的事件类型有哪些？big-ipsyslog的事件类型有以下几种： 系统事件（system events）system event messages are based on linux events, and are not specific tothe big-ip system。这一类的事件一般记录在/var/log/messages中。 包过滤事件（packet filter events）packet filter messages are those that result from the implementation ofpacket filters and packet-filter rules. 这一类的事件一般记录在/var/log/pktfilter. 本地流量管理事件（local traffic events）local-traffic event messages pertain specifically to the local trafficmanagement system. 这一类的事件一般记录在/var/log/ltm.some of the specific types of events that the big-ip system displays on thelocal traffic logging screen are: address resolution protocol (arp) packet and arp cache events bigdbtm database events (such as populating and persisting bigdbvariables) http protocol events http compression events ip packet d