通过抓包查看数据包中的客户端源IP。
-s snaplen snaplen表示从一个包中截取的字节数。0表示包不截断,抓完整的数据包。默认的话 tcpdump 只显示部分数据包,默认68字节。
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
tcpdump -ni0.0 -s0 -w /var/tmp/test.cap host 146.240.31.148 -vvv
ssldump -i 1.1 host 145.255.248.82
抓包命令:~# tcpdump -s0 -nni 0.0:nnn host 10.128.48.1 -vw /var/tmp/text.pcap
tcpdump -ni 0.0:nnnp -s0 host 10.27.96.4 and port 443 -vvv -w /appdata/mus.pcap VS-ip and port 抓包
某vlan下指定某个IP的数据流向分析 tcpdump -ni internal host 10.27.210.4
tcpdump –nivlan_name host ip and port 80 ;某vlan下指定某个IP的80端口的数据流向分析
tcpdump -ni internal host 10.27.210.4 and port 80
F5 命令行查看http会话
命令详解:(tmos)#show sys connection 后面可以加以下参数:
1.VS cs-server-addr 指定活动连接的客户端本地地址。支持子网。【VS-IP 常用】
cs-server-port 指定活动连接的客户端本地端口。 tmsh show sys connection cs-server-addr 58.49.204.248 cs-server-port 443
2.客户源 cs-client-addr 指定活动连接的客户端远程地址。支持子网。【Client-IP】
cs-client-port 指定活动连接的客户端远程端口。 tmsh show sys connection cs-client-addr 223.104.12.112
max-result-limit 指定要显示的最高匹配结果的最大数量。默认 1000。
protocol 指定用于指定连接的协议(例如:tcp、udp)。
3.后端服务器 ss-server-addr 指定活动连接的服务器端远程地址。【Server-IP】
ss-server-port 指定活动连接的服务器端远程端口。 tmsh show sys connection ss-server-addr 10.26.7.6 ss-server-port 443
- SNAT地址 ss-client-addr 指定活动连接的服务器端本地地址。【SNAT地址】//前提是:做了snat
ss-client-port 指定活动连接的服务器端本地端口。
type 指定用于指定连接的连接类型(例如:any、mirror、self)
常用命令:(tmos)#show sys connection cs-server-addr VS_IP cs-server-port VS_Port
备注:10.128.48.147为F5的SNAT地址
配置记录Log的iRules
Note: 可以看到Pool中成员被访问的客户端源IP的log.
iRules如下:
when CLIENT_ACCEPTED {
set vip [IP::local_addr]:[TCP::local_port]
}
when SERVER_CONNECTED {
set client "[IP::client_addr]:[TCP::client_port]"
set node "[IP::server_addr]:[TCP::server_port]"
log local0.info "Client $client -> VIP: $vip -> Node: $node"
}
将此irules关联VS
后台查看Log日志
Note: 一般可以看到7天左右的日志,如果要看很早的日志,可以查看QKView
cat /var/log/ltm
bigstartrestrart重新bigip进程
查看网络配置信息:
list /net vlan
list /net interface
list /net arp
list /net route
list /net self
list /net self-allow
list /net trunk
list /ltm pool 查看Pool配置信息
list /ltm pool [http-pool] 查看vs配置信息
list /ltm virtual
list /ltm virtual-address
create net route 10.0.0.0/24 gw 10.128.10.1
查看/sys配置信息:
list /sys db
list /sys httpd allow
list /sys management-ip(查看设备管理口地址)
list /sys management-route(查看设备管理口路由)
list /sys ntp(查看ntp配置信息)
list /sys provision(查看设备模块激活状态)
list /sys service(查看服务开启状态)
list /sys snmp(查看snmp配置信息)
list /sys syslog(查看syslog配置信息)
show /net命令:
show /cli history(查看命令行历史记录)
show /net arp(查看arp映射信息)
show /net interface(查看各个接口统计流量信息)
show /net route(查看路由表)
show /net vlan(查看各个vlan流量统计信息)
show /net vlan-group
show /net trunk(查看trunk流量统计信息)
show /sys命令:
show /sys config-sync(查看系统配置同步状态信息)
show /sys connection
show /sys connection | grep 1026 #查看HA状态,成对为正常
show /sys cpu
show /sys hardware(查看系统硬件信息)
show /sys host-info
show /sys raid(查看硬盘raid状态)
show /sys performance system(查看系统总体性能)
show /sys software(查看系统总体软件信息)
show /sys ip-address(查看系统ip地址,包括所有的vs、pool地址信息)
show /sys ip-address | grep 10.25.25
show /sys ip-address all-properties(查看系统地址信息,包括地址属性)
show /sys license(查看系统license摘要信息)
show /sys license detail
show /sys log ltm(查看系统log信息)
show /sys mac-address(查看系统中所有的mac地址信息)
show /sys mcp-state(查看mcp运行状态)
show /sys memory(查看系统内存统计信息)
show /sys ucs(查看保存的ucs文件名称)
show /sys version(查看系统软件版本信息)
show /sys software(查看系统软件版本信息)
导配置
tmsh save sys ucs test.ucs
/var/local/ucs (ucs目录)
tmsh load /sys ucs xxxx.ucs no-license(导入配置V11)
load /sys ucs xxxx.ucs rma (v10-这里面有个技巧输入rma是不会恢复证书的因此不需要重新激活)
save /sys config
tmsh load sys ucs [ucs file name] no-platform-check no-license
在tmsh模式下使用相关的测试命令:
run util ping 1.1.1.1(执行ping操作)
run util tcpdump(执行tcpdump抓包分析)
run util tracepath 1.1.1.1(执行tracepath操作)
创建和删除pool: # create /ltm pool [abc] # delete /ltm pool [abc]
重置pool、vs的统计信息:
reset-stats /ltm pool
reset-stats /ltm pool [http-pool]
reset-stats /ltm virtual
reset-stats /ltm virtual [vs-test-80]
启动、停止、重启系统中某个服务:
start /sys service [snmpd]
stop /sys service [snmpd]
restart /sys service [snmpd]
bigstart status snmpd:查看进程运行状态
定义和删除别名:
create /cli alias [xx] command ["save /sys config"]
delete /cli alias [xx] 创建pool
并添加pool-member:
create /ltm pool [abc] members add { 9.9.9.9:http 7.7.7.7:http }
对创建的pool增加健康检查方式:
modify /ltm pool [abc] monitor http
modify /ltm pool [abc] monitor http and https
modify /ltm pool [abc] monitor none
创建vs,使用源地址会话保持,并指定缺省的pool
create /ltm virtual abcd { destination 6.6.6.6:http persist replace-all-with { source_addr } pool a
quit:退出tmos
CRT---SFTP
sftp> cd /var/log #cd目录
sftp> lcd c:\ #lcd本地目的
sftp> get ltm #获取ltm的log