F5负载均衡抓包方法汇编.docxVIP

F5负载均衡抓包方法作者：易隐者 发布于：2012-10-17 12:48 Wednesday 分类：参考资料登录F5 1，超级终端的登录： 通过Console电缆一端连接BIGIP，一端连接PC机的串口，然后打开超级终端，建立一个连接，超级终端中COM的参数设置如图：?不论是从Console口登陆，还是用SSH从网络登陆，BIG-IP的缺省登陆帐号与密码如下：缺省登陆帐号：root缺省登陆密码：default输入帐号和密码后，将见到以下界面：?缺省的终端类型为vt100，回车后如图：?F5下的tcpdump的使用1，web管理界面下的抓包Tcpdump 工具在V4.5 之前只能在CLI 下使用，V9 提供了图形界面下的Tcpdump，在 System-support 界面下，我们可以直接使用tcpdump 工具：?2，F5命令行下Tcpdump的使用示例：当业务无法正常工作时，经常需要在BIG-IP上抓包进行分析定位是什么原因导致数据包没有被常转发。BIG-IP上提供了TCPDUMP抓包分析工具。TCPDUMP是Unix系统常用的报文分析工具，TCPDUMP经常用于故障定位，如会话保持失效、SNAT通信问题等。本文讲述TCPDUMP命令的基本用法，更详细的使用说明请参见“man tcpdump”。命令语法：?????? tcpdump [ -adeflnNOpqRStvxX ] [ -c count ] [ -F file ]?????????????? [ -i interface ] [ -m module ] [ -r file ]?????????????? [ -s snaplen ] [ -T type ] [ -w file ]?????????????? [ -E algo:secret ] [ expression ]其中：?-i?报文捕获监听的接口，如果不指定，默认为系统最小编号的接口（不包括loop- back接口），一般对指定Vlan名称进行监控，如-i external 是对external vlan进行监控；也可以对指定端口进行监控如 –i 1.1。注意：当vlan 名称过长时，-i后面直接用vlan名称，tcpdump会出现错误提示，这时需要将vlan名改由vlan加vlan ID代替。如有一vlan名称为bip_external，vlan ID为2022，如要对bip_externalvlan进行监听，需采用-i vlan2022的方式。?-nn?不将IP地址或端口号转化为域名或协议名称注：与BIG-IP 4.5版本的TCPDUMP命令不一样，在BIG-IP V9里面必须用两个nn才能使IP地址与端口不会被转化为域名或协议名称显示。?-r?从文件中读取（该文件由-w选项创建）?-s?确定捕获报文大小?-w?直接将捕获报文写入文件，而不是对其进行解析并通过屏幕显示（与-r选项对应）注：如果要将TCPDUMP所抓的包保存到文件，建议采用-s1600 –w /var/tmp/filename的方式，-s1600可以保证抓取完整的数据包，而/var/tmp使抓包文件保存在/var/tmp目录。?-x?每个报文以十六进制方式显示?-X?每个报文同时以文本和十六进制显示?expression?匹配表达式的分组将进行解析。如果不指定表达式，系统对所有分组进行捕获分析。复杂表达式可以使用“and”与、“or”或以及“not”非操作进行组合。表达式有三种：?type??三种种类：host、net和port。比如：host 10.1.1.1。如果不指定类型，默认为host。?dir??有src、dst、 src or dst和src and dst四种方向。默认为src or dst，即双向。 ?proto?常见协议有：ip、arp、tcp、udp、icmp等。如果不指定协议类型，默认为所有协议。? 举例1：对external接口主机139.212.96.2并且端口为1433的流量进 行监控。端口不指定tcp和udp，默认为同时对tcp和udp进行报文捕获。本命令不解析IP地址/端口号为主机名/服务名称，同时显示报文十二进制和 文本信息，报文最大为1500字节。f5-1:~# tcpdump -i external -nn -X -s 1600? port 1433 and host 139.212.96.2????? tcpdump: listening on external????????????????????????????????????????????????? 21:48:41.295546 139.212.96.2.1201 10.75.9.44.1433: . 302192826:30219