F5总结的常用故障排除.doc

精品文档F5给我们提供了很多有用的命令供我们平时使用，而且命令都非常实用，下面给出的都是常用的命令：b conn show ；查看连接数bigstart restart ；启动所有进程bigstart restart gtmd ；启动gtm进程bigtop n delay 1 ；查看实时流量tmstat ；查看实时状态tcpdump ni 1.1 ；接口1.1的数据流向分析tcpdump ni vlan_name ；某vlan下的流向分析tcpdump ni vlan_name host ip ；某vlan下指定某个IP的数据流向分析tcpdump ni vlan_name host ip and port 80 ；某vlan下指定某个IP的80端口的数据流向分析tcpdump ni vlan_name host ip and icmp ；某vlan下指定某个IP有ICMP数据流向分析physmem m显示所有安装的物理内存。TMM只给Kernel 留380M的空间。b memory show显示TMM的内存分配情况。注意，这部分和top看到的内存加起来正好应该等于物理内存。b platform显示设备的序列号，板卡序列号等。还包含CPU温度、各监测点的温度、风扇、电源的状况等。tmstat动态显示TMM的CPU占用率、内存占用情况、连接建立情况等。bigtop动态显示系统的吞吐率、VS、Member的连接数量等。在命令行下看TMM CPU占用率：tmstat在命令行下看TMM的其他状态tmsctl -a在命令行下看带宽控制的实时状态b rate class show切换BIGIP的启动分区switchboot命令即可，详情请参阅BIGIP 9.02的Release Notes。启用：b global ipforwarding enable禁用：b global ipforwarding disableDate 查看系统时间用命令：date MMDDhhmmYYYY.SS更改系统时间rootlocalhost:Active config # date 092115442005然后运行：hwclock -systohc将系统时间存到BigIP BIOS 里，否则下次启动系统时间将再次不对。通过ssh登录到F5tcpdump -ni internal host 6（也可以把IP改成用户的IP，可以跟踪到用户请求的服务器是哪台）按ctrl+z结束tcpdump -ni internal host 6 -c 1000 -w inter.cap把抓包结果保存成文件右击“连接sftp标签”get 文件名lpwdtcpdump -ni internal host 4tcpdump -ni internal host 4 -c 1000 -w 218095039014.captcpdump -ni internal host 19tcpdump -ni internal host 19 -c 1000 -w 121012116219.captcpdump -ni internal host 4tcpdump -ni internal host 4 -c 1000 -w 58178414.capcap通过WIRESHARK打开F5的负载均衡产品Bigip不用我多介绍了，是ADN（应用交付网络）市场里的龙头老大。由于其基于Linux系统，所以同样拥有tcpdump网络抓包工具，是网络排错方面的必备工具。下面简单介绍用法。对特定网络接口做抓包：tcpdump -i 例如： tcpdump -i ext1禁用名称解析： 默认情况下，tcpdump会尝试将IP地址解析为名称。这样会导致抓包过程中很多时间耗费在DNS解析上，其输出结果也会比较繁杂，令人不知所以。 要禁用名称解析，可以使用-n标志： tcpdump -n将tcpdump输出到文件(输出到文件时，不会同时输出到屏幕)： 有两种选择：输出为二进制文件，输出为文本文件。二进制文件：tcpdump -w 例如：tcpdump -w dump1.bin文本文件： tcpdump 例如：tcpdump dump1.txt那么怎么查看tcpdump生成的文件呢？依然使用tcpdump命令，加上-r参数： tcpdump -r 例如：tcpdump -r dump1.bin过滤器： f5的tcpdump可以在抓包时就进行过滤。1. IP地址过滤1.1 对IP地址过滤(包括了这个IP上流进和流出的包)： tcpdump host 例如：tcpdump host 1.2. 对来自某IP地址的包进行过滤：tcpdump src host 1.3. 对流向某IP地址的包进行过滤：tcpdump dst host 2. 端口过滤2.1 源端口过滤：tcpdump src port 2.2 目的端口过滤：tcpdump dst port 3. tcpdump还可以对TCP数据段标志位进行过滤。这个对传输层排错很有用：3.1 过滤SYN标志： tcpdump tcptcpflags&(tcp-syn)!=03.2 过滤RST标志： tcpdump tcptcpflags&(tcp-rst)!=0and操作符可以将多个过滤器联合起来工作，产生更符合需求的抓包结果。 tcpdump src host 0 and dst port 80在直接输出至屏幕，或者从已抓取文件中读出结果时，应该使用-X开关，以便以ASCII码进行输出包头信息。TCP包的主体数据还是以十六进制表示。如果要查看全部信息，推荐用wireshark工具打开dump文件，能看到全部七层信息。例如： tcpdump -X -s200 src host 0 and dst port 80忽略名称解析和端口解析： 前面说过，名称解析会耗费系统资源，建议使用-n开关来关闭名称解析。端口解析虽然不像名称解析那么耗费资源，但也不建议使用。要同时关闭名称和端口解析，使用-nn开关即可。例如： tcpdump -nn src host 0 and dst port 80综合实例： tcpdump -Xs200 -nni eth0 -w /var/tmp/mgmt.cap dst host 0 and dst port 162超级详细Tcpdump 的用法第一种是关于类型的关键字，主要包括host，net，port, 例如 host ，指明 是一台主机，net 指明 是一个网络地址，port 23 指明端口号是23。如果没有指定类型，缺省的类型是host.第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明，src ,指明ip包中源地址是 , dst net 指明目的网络地址是 。如果没有指明方向关键字，则缺省是src or dst关键字。第三种是协议的关键字，主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定 的网络协议，实际上它是ether的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和 分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。 除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是 not ! , 与运算是and,&;或运算 是or ,；这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来说明。 普通情况下，直接启动tcpdump将监视第一个网络界面上所有流过的数据包。# tcpdumptcpdump: listening on fxp011:58:47.873028 0.netbios-ns 27.netbios-ns: udp 5011:58:47.974331 0:10:7b:8:3a:56 1:80:c2:0:0:0 802.1d ui/C len=43 0000 0000 0080 0000 1007 cf08 0900 0000 0e80 0000 902b 4695 0980 8701 0014 0002 000f 0000 902b 4695 0008 0011:58:48.373134 0:0:e8:5b:6d:85 Broadcast sap e0 ui/C len=97 ffff 0060 0004 ffff ffff ffff ffff ffff 0452 ffff ffff 0000 e85b 6d85 4008 0002 0640 4d41 5354 4552 5f57 4542 0000 0000 0000 00使用-i参数指定tcpdump监听的网络界面，这在计算机具有多个网络界面时非常有用，使用-c参数指定要监听的数据包数量，使用-w参数指定将监听到的数据包写入文件中保存A想要截获所有 的主机收到的和发出的所有的数据包：#tcpdump host B想要截获主机 和主机 或的通信，使用命令：（在命令行中适用括号时，一定要#tcpdump host and ( or )C如果想要获取主机除了和主机之外所有主机通信的ip包，使用命令：#tcpdump ip host and ! D如果想要获取主机接收或发出的telnet包，使用如下命令：#tcpdump tcp port 23 host E 对本机的udp 123 端口进行监视 123 为ntp的服务端口# tcpdump udp port 123F 系统将只对名为hostname的主机的通信数据包进行监视。主机名可以是本地主机，也可以是网络上的任何一台计算机。下面的命令可以读取主机hostname发送的所有数据：#tcpdump -i eth0 src host hostnameG 下面的命令可以监视所有送到主机hostname的数据包：#tcpdump -i eth0 dst host hostnameH 我们还可以监视通过指定网关的数据包：#tcpdump -i eth0 gateway GatewaynameI 如果你还想监视编址到指定端口的TCP或UDP数据包，那么执行以下命令：#tcpdump -i eth0 host hostname and port 80J 如果想要获取主机除了和主机之外所有主机通信的ip包，使用命令：#tcpdump ip host and ! K 想要截获主机 和主机 或的通信，使用命令：（在命令行中适用括号时，一定要#tcpdump host and ( or )L 如果想要获取主机除了和主机之外所有主机通信的ip包，使用命令：#tcpdump ip host and ! M 如果想要获取主机接收或发出的telnet包，使用如下命令：#tcpdump tcp port 23 host 第三种是协议的关键字，主要包括fddi,ip ,arp,rarp,tcp,udp等类型除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是 not ! , 与运算是and,&;或运算 是or ,|；第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,如果我们只需要列出送到80端口的数据包，用dst port；如果我们只希望看到返回80端口的数据包，用src port。#tcpdump i eth0 host hostname and dst port 80 目的端口是80或者#tc