F5负载均衡抓包方法

F5负载均衡抓包方法

作者：易隐者发布于：2012-10-17 12:48 Wednesday 分类：参考资料

登录F5

1，超级终端的登录：

通过Console电缆一端连接BIGIP，一端连接PC机的串口，然后打开超级终端，建立一个连接，超级终端中COM的参数设置如图：

不论是从Console口登陆，还是用SSH从网络登陆，BIG-IP的缺省登陆帐号与密码如下：缺省登陆帐号：root

缺省登陆密码：default

输入帐号和密码后，将见到以下界面：

缺省的终端类型为vt100，回车后如图：

F5下的tcpdump的使用

1，web管理界面下的抓包

Tcpdump 工具在V4.5 之前只能在CLI 下使用，V9 提供了图形界面下的Tcpdump，在System->support 界面下，我们可以直接使用tcpdump 工具：

2，F5命令行下Tcpdump的使用示例：

当业务无法正常工作时，经常需要在BIG-IP上抓包进行分析定位是什么原因导致数据包没有被常转发。BIG-IP上提供了TCPDUMP抓包分析工具。

TCPDUMP是Unix系统常用的报文分析工具，TCPDUMP经常用于故障定位，如会话保持失效、SNAT通信问题等。本文讲述TCPDUMP命令的基本用法，更详细的使用说明请参见“man tcpdump”。

命令语法：

tcpdump [ -adeflnNOpqRStvxX ] [ -c count ] [ -F file ]

[ -i interface ] [ -m module ] [ -r file ]

[ -s snaplen ] [ -T type ] [ -w file ]

[ -E algo:secret ] [ expression ]

其中：

⌝-i 报文捕获监听的接口，如果不指定，默认为系统最小编号的接口（不包括loop- back 接口），一般对指定Vlan名称进行监控，如-i external 是对external vlan进行监控；也可以对指定端口进行监控如–i 1.1。注意：当vlan 名称过长时，-i后面直接用vlan 名称，tcpdump会出现错误提示，这时需要将vlan名改由vlan加vlan ID代替。如有一vlan 名称为bip_external，vlan ID为2022，如要对bip_externalvlan进行监听，需采用-i vlan2022的方式。

⌝-nn 不将IP地址或端口号转化为域名或协议名称

注：与BIG-IP 4.5版本的TCPDUMP命令不一样，在BIG-IP V9里面必须用两个nn才能使IP地址与端口不会被转化为域名或协议名称显示。

⌝-r 从文件中读取（该文件由-w选项创建）

⌝-s 确定捕获报文大小

⌝-w 直接将捕获报文写入文件，而不是对其进行解析并通过屏幕显示（与-r选项对应）

注：如果要将TCPDUMP所抓的包保存到文件，建议采用-s1600 –w /var/tmp/filename的方式，-s1600可以保证抓取完整的数据包，而/var/tmp使抓包文件保存在/var/tmp目录。

⌝-x 每个报文以十六进制方式显示

⌝-X 每个报文同时以文本和十六进制显示

⌝expression 匹配表达式的分组将进行解析。如果不指定表达式，系统对所有分组进行捕获分析。复杂表达式可以使用“and”与、“or”或以及“not”非操作进行组合。表达式有三种：

⎫type 三种种类：host、net和port。比如：host 10.1.1.1。如果不指定类型，默认为host。

⎫dir 有src、dst、 src or dst和src and dst四种方向。默认为src or dst，即双向。

⎫proto 常见协议有：ip、arp、tcp、udp、icmp等。如果不指定协议类型，默认为所有协议。

举例1：对external接口主机139.212.96.2并且端口为1433的流量进行监控。端口不指定tcp和udp，默认为同时对tcp和udp进行报文捕获。本命令不解析IP地址/端口号为主机名/服务名称，同时显示报文十二进制和文本信息，报文最大为1500字节。

f5-1:~# tcpdump -i external -nn -X -s 1600 port 1433 and host

139.212.96.2

tcpdump: listening on

external

21:48:41.295546 139.212.96.2.1201 > 10.75.9.44.1433: . 302192826:302192827(1) ac k 558871968 win 64360

(DF)

0x0000 012c 0800 4500 0029 38cf 4000 7f06

c3b2 .，..E..)8.@.....

0x0010 8bd4 6002 0a4b 092c 04b1 0599 1203

18ba ..`..K.，........

0x0020 214f b5a0 5010 fb68 a926 0000

00 !O..P..h.&...

21:48:41.296015 10.75.9.44.1433 > 139.212.96.2.1201: . ack 1 win 64636 (DF)

0x0000 012c 0800 4500 0028 cb2d 4000 7f06

3155 .，..E..(.-@...1U

0x0010 0a4b 092c 8bd4 6002 0599 04b1 214f

b5a0 .K.，..`.....!O..

0x0020 1203 18bb 5010 fc7c a812 0000 0000

0000 ....P..|........

0x0030 0000

..

21:48:50.701130 139.212.96.2.1206 > 10.75.9.44.1433: . 304974934:304974935(1) ac k 565108263 win 64882

(DF)