F5负载均衡抓包方法

1、F5负载均衡抓包方法作者：易隐者发布于：2012-10-1712:48Wednesday分类：参考资料登录F51，超级终端的登录：通过Console电缆一端连接BIGIP,端连接PC机的串口，然后打开超级终端，建立一个连接，超级终端中COM的参数设置如图：不论是从Console口登陆，还是用SSH从网络登陆，BIG-IP的缺省登陆帐号与密码如下:缺省登陆帐号：root缺省登陆密码：default输入帐号和密码后，将见到以下界面：二272-5555272-5556FileEditSettingsVIOptidnsTunnelsHelpLEthlPiitil空uppMtMUt加t：谢ww.ants

2、org；rontI92.168J.2450023Copyright1996-300(2F5Iktwork冷Inc;.Seattle,Washingtcn,US.k.Allriglttir?servedSuppOtt珀Cotti1(a88)8S-EIGIF(206)(206)4uBajltoll-frefvoic：Eax祐REETHATYOUHAVEREADTHHLKEHSE顿MTHATYOUAMEOUHDBYAllTEEMSAWTHATITIS笑SI/BJZCTTOEmMEJiTS,RE打曲I跖TKEPLEEHOTTKTYOUMYHOIUSE.COPLMODIFYDOCUMEtfrfctlOK

3、OKANYCOH,EJtCEHASEKFK改口BYU3THGTHISSOFTTMtETOVOTHERHLZVAHUCEHSEGXTHE口NUAiGREZMBUT7EEITSOFTAHAHU5XE!FT*TI0trorTWJsrzRmfhogiumorFEOVIDIDBYW3肚蚀EMTFSj,F5Networks,BIGIF3BH5registeredtrademfljrk-sofF5JietorkE.Im.Othwandcompanyrtsmegsrere.g：istrdtr5.4emarksflrtr氐de皆frftheirresptciaveholders.Terminaltype?vt1

4、00警告：Applet口缺省的终端类型为vt100,回车后如图:rootI92.Ib8.I.245|：023-JnJx|FileEditSettingsVTOptionsTunnelsHelpAllrjghij*jF馬F5Networkijzd3-DMSartrejisteredtr*(lmark5ofF5Httcrks,Inc.OthtTfrodkdcompingntmtiarfrcfiitrtdtridtmurksortradtmurjcsothirriEpectivcholders.BYUSINGTHISS0FT1#ABEYOUkGREETHATYOUKVEREAUTHELICENSEA

5、SHJJTYOTHERKELEVAHT口CEHSE3，TK/kTYOUAfilBOUllLBYALLTEENSABPTHATITISTHEONLYAGREEMENTBETWEENUS,SUBJECTTOAMEBLMENTS,EEGAEDINGTHESOFTWAREWTODOCUMENTATIONPLEASENOTETHAT70UMAYNOTUSE,COFT,MODIFYORTRANSFERTHEFROGRAHORDaCUMEflTMIONORANYCOFT?EXCEPTASEXPRESSLYPROVIDEDBYAGREEMENTEuppirt5.camI38-BIIPC206)272-5555

6、(206)272-5556Fortechiiisuppojrtcontacttoll-frt：voict：fix;Terminaltje?vtlOOTerminaltypsisYtlUO.default:2#I會告:Applet闺口F5下的tcpdump的使用1,web管理界面下的抓包Tcpdump工具在V4.5之前只能在CLI下使用，V9提供了图形界面下的Tcpdump，在System-support界面下,我们可以直接使用tcpdump工具:功RIIkIP*丄如wtnfl直wn-kiemrtBt口站廿曲*；J.SffHdlFP甘*Me*卓二口TmJ如r12，F5命令

7、行下Tcpdump的使用示例：当业务无法正常工作时，经常需要在BIG-IP上抓包进行分析定位是什么原因导致数据包没有被常转发。BIG-IP上提供了TCPDUMP抓包分析工具。TCPDUMP是Unix系统常用的报文分析工具，TCPDUMP经常用于故障定位，如会话保持失效、SNAT通信问题等。本文讲述TCPDUMP命令的基本用法，更详细的使用说明请参见“mantcpdump”。命令语法：tcpdump-adeflnNOpqRStvxX-ccount-Ffile-iinterface-mmodule-rfile-ssnaplen-Ttype-wfile-Ealgo:secretexpression其

8、中：-i报文捕获监听的接口，如果不指定，默认为系统最小编号的接口（不包括loop-back接口），一般对指定Vlan名称进行监控，如-iexternal是对externalvlan进行监控；也可以对指定端口进行监控如-i1.1。注意：当vlan名称过长时，-i后面直接用vlan名称，tcpdump会出现错误提示，这时需要将vlan名改由vlan加vlanID代替。如有一vlan名称为bip_external,vlanID为2022，如要对bip_externalvlan进行监听，需采用-ivlan2022的方式。-nn不将IP地址或端口号转化为域名或协议名称注：与BIG-IP4.5版本的TCP

9、DUMP命令不一样，在BIG-IPV9里面必须用两个nn才能使IP地址与端口不会被转化为域名或协议名称显示。-r从文件中读取（该文件由-w选项创建）-1-s确定捕获报文大小-w直接将捕获报文写入文件，而不是对其进行解析并通过屏幕显示（与-r选项对应）注：如果要将TCPDUMP所抓的包保存到文件，建议采用-S1600-w/var/tmp/filename的方式，-sl600可以保证抓取完整的数据包，而/var/tmp使抓包文件保存在/var/tmp目录。-x每个报文以十六进制方式显示-X每个报文同时以文本和十六进制显示expression匹配表达式的分组将进行解析。如果不指定表达式，系统对所有分

10、组进行捕获分析。复杂表达式可以使用“and”与、“or”或以及“not”非操作进行组合。表达式有三种：type三种种类：host、net和port。比如：host。如果不指定类型，默认为host。dir有src、dst、srcordst和srcanddst四种方向。默认为srcordst,即双向。proto常见协议有：ip、arp、tcp、udp、icmp等。如果不指定协议类型，默认为所有协议。举例1：对external接口主机并且端口为1433的流量进行监控。端口不指定tcp和udp，默认为同时对tcp和udp进行报文捕获。本命令不解析IP地址/端口号

11、为主机名/服务名称，同时显示报文十二进制和文本信息，报文最大为1500字节。f5-1:#tcpdump-iexternal-nn-X-s1600port1433andhosttcpdump:listeningonexternal21:48:41.295546.1204.1433:.302192826:302192827(1)ack558871968win64360(DF)0 x0000012c08004500002938cf40007f06c3b2.，.E.)8.0 x00108bd460020a4b092c04b105991

12、20318ba,0 x0020214fb5a05010fb68a926000000!O.P.h.&.21:48:41.2960154.1433.1201:.ack1win64636(DF)0 x0000012c080045000028cb2d40007f063155.,.E.(.1U0 x00100a4b092c8bd46002059904b1214fb5a0.K.，.!0.0 x0020120318bb5010fc7ca812000000000000P.|0 x0030000021:48:50.701130.120610.75

13、.9.44.1433:.304974934:304974935(1)ack565108263win64882(DF)0 x0000012c08004500002938f740007f06c38a.，.E.)8.0 x00108bd460020a4b092c04b60599122d8c56.K.,-.V0 x002021aede275010fd720a6b000000!.P.r.k.21:48:50.7025674.1433.1206:.ack1win65267(DF)0 x0000012c080045000028d3a640007f0628dc.，.E

14、.(.(.0 x00100a4b092c8bd46002059904b621aede27.K.,.0 x0020122d8c575010fef308ea000000000000.-.WP0 x00300000举例2：对internal接口主机3和1之间端口8080的流量进行分组捕获。本命令不解析IP地址/端口号为主机名/服务名称，报文最大为1600字节，捕获信息以“/var/tmp/intdump”文件保存：tcpdump-s1600-iinternal-w/var/tmp/intdumphost3andhost172.3

15、1.230.51andport8080如果查看该捕获文件，请用tcpdump-r/var/tmp/intdump命令。也可以将捕获的文件下载下来用Ethereal工具解包分析。Tcpdump的具体使用语法参见tcpdump使用手册F5命令行下使用tcpdump的常见问题1,对某一VirtualServer用TCPDUMP命令无法抓到包如何处理？可能是该VirtualServer的属性中选用了PerformanceLayer4类型，导致数据包由四层加层ASIC芯片处理而没有流经CPU引起，碰到这种情况，选取该VirtualServer将type由PerformanceLayer4临时改为Stan

16、dard再来用TCPDUMP命令抓包，抓包以后，改回到PerformanceLayer4。2，TCPDUMP出现“truncated-ip-1215bytesmissing!”信息是不是说明网络上有丢包？在BIG-IPV9里面出现TruncatedTPxxxxbytesmissing”信息，一般来说并不是网络上有丢包引起的，而是在执行TCPDUMP命令时没有加上-s0或-S1600参数时，而数据包大小超过TCPDUMP缺省的抓包大小（如果不加-s0或-S1600参数，则缺省的每个数据包只抓前面400byes），就会出现truncated-ip的情况。出现这种情况，只需要重新输入tcpdump命

17、令，加上-s0或-S1600即可。3,TCPDUMP命令中的-iinterface中的interface用VLAN名称（如external或internal）与接口编号（1.1或2.1）有什么区别？如果采用VLAN名称作为-i的参数，TCPDUMP收集的数据包是经由内部接口到达TMM进程经由中央CPU处理的数据包。采用VLAN名称作为-i参数的局限性在于，由于PVA四层加速芯片时位于BIG-IP的交换板（Swithboard）上，并不需要经由主机板与交换机板的内部接口到达中央CPU，因此TCPDUMP无法抓取这些四层加速的数据包。因此采用VLAN名称作为-i的参数一般是用于对采用Standar

18、d作为VirtualServer类型的应用抓包时采用。注：如果VirtualServer是用PVA四层加速芯片作加速处理，则在VirtualServer的属性中PVAAcceleration显示为Full。(ThePVAhandlesacceleratedtrafficinthefollowingorder:ThePVAreceivesacceleratedtrafficfromtheswitchsubsystemThePVAtransformsthepacketinordertoredirectthepackettotheappropriatepoolmemberThePVAsendsthe

19、packetbacktotheswitchsubsystemFullyacceleratedtrafficneverreachestheinternaltrunkandisnotprocessedbyTMM.)如果采用接口编号作为-i的参数，则进出该接口的数据包将先被镜像给SCCP(SCCP是BIG-IP的管理子系统)，然后送到主机板上通过TCPDUMP抓包。由于是直接镜像了端口，因此经由四层加速芯处理的数据包也能被TCPDUMP获取。采用接口编号作为-i的参数的局限性在于，由于数据包是经由SCCP(管理子系统)转发给主机板，数据包的处理速度有限，每秒只能处理200个数据包。因此采用接口编号作

20、为-i的参数一般是用于做基本网络故障诊断时。(Whentcpdumpisrunonaninterfac，ethepacketiscopiedonswitchingresstotheSCCP，whichthensendsittothehosttobecapturedbytcpdump.LimitationsRunningtcpdumponaswitchinterfaceisrate-limitedto200packetspersecond.Therefore，ifyouruntcpdumponaninterfacethatisprocessingmorethan200packetsperseco

21、nd，thecapturedtcpdumpfilewillnotincludeallofthepackets.Forexample，thefollowingcommandwillcapturePVAacceleratedtraffic，butthesyntaxwillresultinaratelimitof200packetspersecond。)注：对于采用了PVA四层加速芯片加速处理的Virtual,而且网络流量又比较大时，如果需要进行抓包分析，建议在上一级交换机作端口镜像，将网络流量输出到外部的抓包主机上处理。4，TCPDUMP命令中出现“pcap_loop:Error:Interfac

22、epacketcapturebusy”错误信息？同时执行多个TCPDUMP，出现“pcap_loop:Error:Interfacepacketcapturebusy”错误，例如：rootbigip1:Activeconfig#tcpdump:listeningon1.1rootbigip1:Activeconfig#tcpdump-ni1.3-s1600-X-w/var/tmp/v741-E13.dmpport22&36813tcpdump:listeningon1.3rootbigip1:Activeconfig#tcpdump-ni1.4-s1600-X-w/var/tmp/v742-E14.dmpport22&46820tcpdump:listeningon1.4rootbigip1:Activeconfig#tcpdump:pcap_loop:Error:Interfacepacketcapturebusytcpdump:pcap_loop:Error:Interfacepacketcapturebusy这种情况一般只发生在TCPDUMP-i参数采用接口编号时。原因