我还能说什么,都是洋垃圾。。希望能帮到你们
思科N系列数据中心交换机
N7K
引擎主备切换
#Step.1.验证设备冗余情况;
show system redundancy status
show module
#Step.2.执行引擎主备切换该命令,主引擎会重启,备引擎接管设备;
system switchover
#Step.3.重新登录设备,验证设备冗余情况;
show system redundancy status
show module
VPC角色切换
#Step.1.确认当前设备vpc的角色
Show vpc
#Step.2.进入VPC domain配置:
vpc domain <domain_id>
#Step.3.在VPC domain配置下,重新键入命令vpc role priority <priority_number>(priority值和原来相同)
#Step.4.对于peer link 接口执行shutdown-no shutdown操作
interface portchannel X
shutdown
no shutdown
#Step.5.通过命令确认当前设备为primary角色
Show vpc
配置回滚,备份及恢复
#Step.1.创建和验证检查点配置:
checkpoint
Processing the Request... Please Wait
................................. Done
show checkpoint summary
-------------------------------------------------------------------------------
Name UserName Created at
-------------------------------------------------------------------------------
auto-2 admin Tue May 24 22:24:01 2010
#Step.2.查看可回滚的配置列表
show checkpoint all
#Step.3.回滚配置过程:
rollback running-configuration checkpoint auto-2
#清除检查点数据库
clear checkpoint database
#备份文件
copy running-config bootflash:my-config
#备份文件恢复
copy bootflash:my-config running-config
copy running-config startup-config
admin用户密码恢复
Step.1.如果存在2个管理引擎,那么断电或拆除其中一个。
Step.2. 用console线连接活跃状态的管理引擎,然后重启整个设备。
Step.3. 当系统重新启动过程中,看到如下提示时à“Loading system software”同时按下“CRTL+]”键组合。
Step.4. 应该出现“switch(boot)#” kickstart image 提示。
Step.5. 使用“config t” 和“admin-password xxxxxxx”命令配置管理密码并exit推出配置模式。
Step.6. 加载NX-OS 使用“load bootflash:NX-OS” 命令。
Step.7. 登陆NX-OS 使用新的“admin”密码。
Step.8. 再次更改“admin” 密码以便同步 SNMPv3。
Step.9. 保存running-configuration到startup-configuration
Step.10. 安装之前断电或拆除的引擎。
如果存在2个管理引擎,那么断电或拆除其中一个。
N5K,N2K
VPC角色切换
#Step.1.确认当前设备vpc的角色
Show vpc
#Step.2.进入VPC domain配置:
vpc domain <domain_id>
#Step.3.在VPC domain配置下,重新键入命令vpc role priority <priority_number>(priority值和原来相同)
#Step.4.对于peer link 接口执行shutdown-no shutdown操作
interface portchannel X
shutdown
no shutdown
#Step.5.通过命令确认当前设备为primary角色
Show vpc
admin用户密码恢复
Step.1.
Step.2. 用console线连接活跃状态的管理引擎,然后重启整个设备。
Step.3. 当系统重新启动过程中,看到如下提示时à“Loading system software”同时按下“CRTL+]”键组合。
Step.4. 应该出现“switch(boot)#” kickstart image 提示。
Step.5. 使用“config t” 和“admin-password xxxxxxx”命令配置管理密码并exit推出配置模式。
Step.6. 加载NX-OS 使用“load bootflash:NX-OS” 命令。
Step.7. 登陆NX-OS 使用新的“admin”密码。
Step.8. 再次更改“admin” 密码以便同步 SNMPv3。
Step.9. 保存running-configuration到startup-configuration
Step.10. 安装之前断电或拆除的引擎。
如果存在2个管理引擎,那么断电或拆除其中一个。
故障信息收集方法及命令
#接口板卡故障
Show clock
Show version
Show module
Show inventory
Show logging log
Show logging nvram
Show accounting log
Show diagnostic result module x detail
Show core vdc-all
Show module internal event-history error
Show module internal exceptionlog module x
Show module internal event-history module x
Show module internal all module x
Show module internal activity module x
Show system reset-reason
Show system reset-reason module x
Show system internal platform internal error
Show logging onboard obfl-logs
Show logging onboard internal reset-reason
Show logging onboard stack-trace
Show logging onboard kernel-trace
Show logging onboard exception-log
Show logging onboard module x exception-log
Show logging onboard module x internal reset-reason
#电源故障
show env fan
show logging
#风扇故障
show env fan
show logging
#cpu 故障
show processes cpu
show processes cpu history
show processes cpu sort
show system internal processes cpu
#内存利用率
show processes memory
show system internal processes memory
show system internal memory-alerts-log
show system internal memory-usage-per-module
#acl资源
show access-lists
Show hardware access-list resource utilization
show system internal access-list resource utilization
show system internal access-list input redirect
show system internal access-list input statistics
#查看温度
show environment temperature
#PBR问题
show ip policy vrf all
show system internal access-list input redirect
show system internal access-list input statistics
#堆叠故障
show vpc
show vpc consistency-parameters global
show system internal vpcm info all
show system internal vpcm event-history errors
#STP状态异常
show spanning-tree root
show spanning-tree
show spanning-tree internal errors
show spanning-tree internal event-history all
show logging
#链路聚合异常
show interface port-channelX
show port-channel traffic interface port-channel X
show port-channel database
show port-channel load-balance
show port-channel internal sdb
show port-channel internal info all
show port-channel internal event-history all
show interface brief
# 接口异常
show interface eX/X
show interface brief
show interface eX/X transceiver details
show interface eX/X capabilities
show interface eX/X counters detailed
show hardware internal forwarding interface eX/X
show hardware internal forwarding engine usage
# 环路定位
show processes cpu
show processes cpu history
show logging last 100
show spanning-tree
# 丢包定位
show interface EX/X
attach module X
show hardware internal qengine inst X voq-status non-empty
show hardware internal qengine vqi-map
# HSRP状态异常
show hsrp brief
show hsrp group X detail
show logging
#主备倒换
show redundancy status
show system internal redundancy status
show hardware internal errors module 5/6
#路由异常
show ip ospf
show ip ospf route
show ip ospf neighbors
show ip ospf database
show ip route
show ip ospf event-history
# 检查VPC
show vPC
show vPC role
# 检查SPAN
show span sum
show span
show vlan sum
JUNIPER SRX 防火墙
主备切换
SRX转发层面切换及恢复按照下面的步骤进行操作:
#检查双机状态正常后,在防火墙上执行以下命令进行转发平面主备切换:
> request chassis cluster failover redundancy-group 1 node 1
> request chassis cluster failover reset redundancy-group 1
#在防火墙上确认切换是否正常:
> show chassis cluster status
#恢复原转发平面的主备关系:
> request chassis cluster failover redundancy-group 1 node 0
> request chassis cluster failover reset redundancy-group 1
#在防火墙上确认是否正常恢复原有状态:
> show chassis cluster status
SRX控制层面切换及恢复按照下面的步骤进行操作:
#检查双机状态正常后,在防火墙上执行以下命令进行转发平面主备切换:
> request chassis cluster failover redundancy-group 0 node 1
> request chassis cluster failover reset redundancy-group 0
#在防火墙上确认切换是否正常:
> show chassis cluster status
#恢复原转发平面的主备关系:
> request chassis cluster failover redundancy-group 0 node 0
> request chassis cluster failover reset redundancy-group 0
#在防火墙上确认是否正常恢复原有状态:
> show chassis cluster status
SRX双机模式下更换备墙按照下面的步骤进行操作:
在备墙上执行命令,将备墙关机
> request system halt
将备墙上所有连接线缆取下,并将备墙下架。将新的备墙上架后,开机确认硬件运行正常,并恢复原有的线路链接
将新的备墙加入到双机模式:
# set chassis cluster control-ports fpc 22 port 0
# set interfaces fab1 fabric-options member-interfaces ge-12/1/0
> set chassis cluster cluster-id 1 node 1 reboot
备墙重启完成后确认是否正常恢复原有状态:
> show chassis cluster status
在主墙上commit一次做双机配置同步
# commit
SRX双机模式下更换主墙按照下面的步骤进行操作:
#在防火墙上执行以下命令进行转发平面主备切换:
> request chassis cluster failover redundancy-group 0 node 1
> request chassis cluster failover reset redundancy-group 0
#在防火墙上确认切换是否正常:
> show chassis cluster status
#在原主墙上执行命令,将主墙关机
> request system halt
#将主墙上所有连接线缆取下,并将主墙下架。将新的主墙上架后,开机确认硬件运行正常,并恢复原有的线路链接
#将新的主墙加入到双机模式:
# set chassis cluster control-ports fpc 10 port 0
# set interfaces fab1 fabric-options member-interfaces ge-10/1/0
> set chassis cluster cluster-id 1 node 0 reboot
#主重启完成后确认是否正常恢复原有状态:
> show chassis cluster status
#然后通过手工方式恢复原主备关系。
> request chassis cluster failover redundancy-group 0 node 0
> request chassis cluster failover redundancy-group 1 node 0
> request chassis cluster failover reset redundancy-group 0
> request chassis cluster failover reset redundancy-group 1
#在主墙上commit一次做双机配置同步
# commit
配置备份及还原方法
配置备份及还原按照下面的步骤进行操作:
1. 可以将配置通过命令保存本地
# save srx5800config
还原时通过命令直接调取配置文件
# load override srx5800config
# commit
2. 可以将配置通过命令保存在ftp 服务器上
# save ftp://10.1.1.1/srx5800config.gz
还原时通过命令调取ftp 服务器上的文件
# load override ftp://10.1.1.1/srx5800config.gz
# commit
密码修改方法
密码的修改方法通过如下命令进行操作:
# set system login user admin class super-user-local authentication plain-text-password
根据提示来输入两次新密码即可生效
密码恢复
SRX Root密码丢失,并且没有其他的超级用户权限,那么就需要执行密码恢复,该操作需要中断设备正常运行,但不会丢失配置信息,这点与ScreenOS存在区别。
要进行密码恢复,请按照下面操作进行:
1. Console口连接SRX,然后重启SRX。
2. 在启动过程中,console上出现下面的提示的时候,按空格键中断正常启动方式,然后再进入单用户状态,并输入:boot -s
Loading /boot/defaults/loader.conf
/kernel data=… … syms=[… …]
Hit [Enter] to boot immediately, or space bar for command prompt.
loader>
loader> boot -s
3. 执行密码恢复:在以下提示文字后输入recovery,设备将自动进行重启
Enter full pathname of shell or 'recovery' for root password recovery or RETURN for /bin/sh: recovery
4. 进入配置模式,删除root密码,并重现设置root密码:
> configure
Entering configuration mode
#delete system root-authentication
#set system root-authentication plain-text-password
#New password:
#Retype new password:
# commit
commit complete
常用维护命令
下列操作命令在操作模式下使用,或在配置模式下run show
l Show system software 查看当前软件版本号
l show system uptime 查看系统启动时间
l Show chassis haredware 查看硬件板卡及序列号
l show chassis environment 查看硬件板卡当前状态
l show chassis routing-engine 查看主控板(RE)资源使用及状态
l show chassis fpc 查看各业务板块运行状态
l show security monitoring 查看防火墙最大新建会话数和SPU负载
l show route 查看路由表
l show arp 查看ARP表
l show log messages 查看系统日志
l show interface terse 查看所有接口运行状态
l show interface ge-x/y/z detail 查看接口运行细节信息
l monitor interface ge-x/y/z 动态统计接口数据包转发信息
l monitor traffic interface ge-x/y/z 动态报文抓取(Tcpdump,类似ScreenOS snoop命令)
l show security flow session summary 查看当前防火墙并发会话数
l show security flow session 查看当前防火墙具体并发会话
l clear security flow session all 清除当前session
l show security alg status 检查全局ALG开启情况
l SRX对应ScreenOS debug flow basic跟踪报文处理路径的命令:
§ set security flow traceoptions flag basic-datapath 开启SRX基本报文处理Debug
§ set security flow traceoptions file filename.log 将输出信息记录到指定文件中
§ set security flow traceoptions file filename.log size <file-size> 设置该文件大
小,缺省128k
§ set security flow traceoptions packet-filter filter1 destination-prefix 5.5.5.2
设置报文跟踪过滤器
§ run file show filename.log 查看该Log输出信息
l SRX对应ScreenOS get tech命令,开Case时需要抓取的信息:request support information
l 查看cluster interface
root@router> show chassis cluster interfaces
l 查看cluster 状态、节点状态、主备关系
lab@srx5800a# run show chassis cluster status
l 取消cluster配置
srx5800a# set chassis cluster disable reboot
lab> show security monitoring performance session
lab> show security monitoring performance spu
…
admin@SRX-A> show configuration
admin@SRX-A> show log messages
admin@SRX-A> show system uptime
admin@SRX-A> show version
admin@SRX-A> show security flow session
admin@SRX-A> show security flow session summary
admin@SRX-A> show chassis cluster status
admin@SRX-A> show chassis cluster interfaces
admin@SRX-A> show configuration | compare config20120831.txt
admin@SRX-A# show | compare rollback 0
admin@SRX-A> request support information | save filename
admin@SRX-A> request system snapshot
admin@SRX-A> show security monitoring performance session
admin@SRX-A> show security monitoring performance spu
admin@SRX-A> show chassis routing-engine
JUNIPER ISG(Netscreen)
配置备份及还原方法
Netscreen防火墙可以把配置文件备份到外部TFTP Server上,也可以通过TFTP Server对防火墙配置进行恢复。
配置备份及还原按照下面的步骤进行操作:
1. 可以将配置通过命令保存到TFTP Server上。
netscreen-> save config to tftp xx.xx.xx.xx
borderfw1_config_021107_1215.txt
Read the current config.
Save configurations (3918 bytes) to borderfw1_config_021107_1215.txt
on TFTP server xx.xx.xx.xx
!!!!!!!!!!!!!!!!!!!
tftp transferred records = 8
tftp success!!
2. 通过TFTP Server对防火墙配置进行恢复
netscreen-> save config from tftp xx.xx.xx.xx borderfw1_config_021107_1215.txt to flash
netscreen-> reset 重启设备,使加载的配置生效。
单机设备关机
Netscreen防火墙不支持命令关机,需要通过关闭电源开关的方式进行关机。
单机设备重启
Netscreen重启必须按照下面的步骤进行操作:
1. 管理终端连接SRX console口。
2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。
3. 在提示符下输入下面的命令:
netscreen-> reset
netscreen-> System reset, are you sure? y/[n]y
4. 等待console设备的输出,操作系统已经重新启动。
双机主备切换
1、exec nsrp sync rto all from peer
切换前在备墙上执行该命令进行手动同步RTO信息,然后通过命令get session info对比主备墙的session数目是否相近。
2、exec nsrp vsd-group 0 mode backup
手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备应没有启用抢占模式。
3、exec nsrp vsd-group 0 mode ineligible
手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备已启用抢占模式。
双机配置同步方法
1、exec nsrp sync global-config check-sum
在备机上检查双机配置是否同步,通过console口执行这条命令时,防火墙会直接提示当前双机配置是否同步,如通过telnet执行该命令时,需要通过get db stream来查看是否同步提示信息。
2、exec nsrp sync global-config save
如双机配置信息没有自动同步,请在备机上手动执行此同步命令,需重启系统,重启系统前如果提示是否要保存配置,选NO。
双机更换备墙
在Netscreen防火墙双机模式,对备用防火墙进行更换时,应该按照如下步骤进行;
1、关闭备用防火墙电源,将备墙下电将配置完成的新防火墙替换掉备墙,然后加电开机启动。
3、新防火墙启动完成后,确定新防火墙是否为备用状态,使用命令exec nsrp sync global-config check-sum检查双机配置是否同步,通过console口执行这条命令时,防火墙会直接提示当前双机配置是否同步,如通过telnet执行该命令时,需要通过get db stream来查看是否同步提示信息。
4、如双机配置信息没有自动同步,请在备机上手动执行此同步命令,需重启系统,重启系统前如果提示是否要保存配置,选NO。
5、在备墙上执行命令exec nsrp sync rto all from peer进行手动同步RTO信息,然后通过命令get session info对比主备设备的session数目是否相近。
双机更换主墙
在Netscreen防火墙双机模式,对主用防火墙进行更换时,应该按照如下步骤进行;
1、切换前为了进一步确保主备墙的session是同步的,在备墙上执行命令exec nsrp sync rto all from peer进行手动同步RTO信息,然后通过命令get session info对比主备设备的session数目是否相近。
2、在主用设备上执行exec nsrp vsd-group 0 mode backup切换命令进行手动主备切换,此时该主用设备应没有启用抢占模式。
3、关闭主用防火墙电源,将主墙下电,将配置完成的新防火墙替换掉备墙,然后加电开机启动。
5、新防火墙启动完成后,确定新防火墙是否为备用状态,使用命令exec nsrp sync global-config check-sum检查双机配置是否同步,通过console口执行这条命令时,防火墙会直接提示当前双机配置是否同步,如通过telnet执行该命令时,需要通过get db stream来查看是否同步提示信息。
6、如双机配置信息没有自动同步,请在新防火墙上手动执行此同步命令,需重启系统,重启系统前如果提示是否要保存配置,选NO。
7、在新防火墙上执行命令exec nsrp sync rto all from peer进行手动同步RTO信息,然后通过命令get session info对比主备设备的session数目是否相近。
8、在主防火墙上执行exec nsrp vsd-group 0 mode backup切换命令进行手动主备切换,此时该主用设备应没有启用抢占模式。
9、切换完成后,确认新上线防火墙为主用状态。
密码修改及重置
A. 使用命令更改根用户密码:
set admin password xxx
B. 使用命令更改admin管理员用户密码:
set admin user xxx password xxx privilege all
C. 使用命令更改只读用户的密码:
set admin user xxx password privilege read-only
当丢失根用户密码时,可以使用如下方式进行恢复:
1、Console或者Telnet连接设备。
2、以设备序列号为用户名和密码登录设备。
3、此时设备会有告警信息提示是否继续,输入Y。
4、设备会有再次告警确认信息,在次输入Y,防火墙会进行自动重启。
5、重启完成后,设备恢复出厂配置,默认登录用户名和密码为netscreen。
常用命令
|
get config |
全局查看当前设备运行配置 |
|
get interface |
查看接口配置及状态 |
|
get config | inc nsrp |
检查安全设备NSRP配置 |
|
exec policy verify |
检查策略是否有重复 |
|
ping x.x.x.x from ethx/x |
通过源接口PING目的检查路由是否可达 |
|
get system |
查看当前设备系统运行的参数 |
|
get session info |
查看当前会话数 |
|
get session |
查看所有会话数 |
|
get performance session detail |
查看每秒新建链接数 |
|
get performance cpu detail |
查看即时CPU利用率 |
思科asa防火墙
思科ASA资料太少,整理了个详细配置
常用命令
|
检查类别 |
检查项 |
具体命令 |
|
基本信息 |
CPU |
show cpu show processes cpu |
|
内存 |
show memory |
|
|
新建会话 |
show processes session detail |
|
|
并发会话 |
条目:show conn count 明细:show conn |
|
|
接口流量 |
show traffic |
|
|
接口状态 |
show interface ip brief show interface |
|
|
板卡状态(序列号) |
show module |
|
|
设备序列号(机箱) |
show inventory |
|
|
软件版本 |
show version |
|
|
电源状态 |
show environment power-supplies |
|
|
风扇状态 |
show environment fans |
|
|
温度查看 |
||
|
电压查看 |
||
|
设备运行配置 |
show running-config | in failover |
|
|
HA情况 |
双机配置 |
show running-config | in failover |
|
双机状态 |
show failover state |
|
|
track-ip地址失败告警时查看 |
show failover | include interface |
|
|
查看所有监控的状态 |
||
|
双机切换(主切到备) |
备机上操作failover active |
|
|
主备自动切换的可能原因 |
||
|
告警、日志和时间 |
查看系统级别的重要日志 |
|
|
有无dump信息 |
||
|
查看详细日志信息 |
show log |
|
|
设备当前时间 |
show clock |
|
|
在线运行时间 |
||
|
网管某条告警含义 |
||
|
策略和session |
查看策略有没有开最好还是搜索配置,建议测试时查看session状态来判断即可。 |
get config | in x.x.x.x get session | in x.x.x.x |
|
映射 |
查看该映射地址包含的策略 |
show xlate |
|
故障信息收集和测试 |
反馈厂商时收集技术支持信息 |
show tech-support |
|
ping |
||
|
tracert |
||
|
路由表 |
路由查询 |
show route |
|
防**和flow等参数 |
screen |
|
|
所有flow参数 |
||
|
是否开启了syn-check |
||
|
是否忽略sequence-check |
配置举例
|
接口配置 |
hostname(config)# interface Management0/1 hostname(config-if)# nameif mangement hostname(config-if)# security-level number(60) hostname(config-if)# ip address active_addr netmask standby standby_addr |
进入ASA管理接口,为接口命名,将此接口设置为管理接口,安全级别设置为(60),配置IP地址及standby地址。 |
|
interface GigabitEthernet 0/X //outside hostname(config-if)# nameif outside hostname(config-if)# security-level 0 hostname(config-if)# ip address active_addr netmask standby standby_addr |
进入ASA物理接口,为接口命名,将此接口设置为outside接口,安全级别设置为(0),配置IP地址及standby地址。 |
|
|
interface GigabitEthernet 0/Y //inside hostname(config-if)# nameif inside hostname(config-if)# security-level 100 hostname(config-if)# ip address active_addr netmask standby standby_addr |
进入ASA的物理接口,为接口命名,将此接口设置为inside接口,安全级别设置为(100),配置IP地址及standby地址。 |
|
|
interface GigabitEthernet x/y description Failover interface |
设置failover接口 |
|
|
interface GigabitEthernet x/y description STATE Failover interface |
设置state failover接口 |
|
|
路由设置 |
route outside x.x.x.x y.y.y.y z.z.z.z 1 |
设置静态路由 |
|
route inside x.x.x.x y.y.y.y z.z.z.z 1 |
设置静态路由 |
|
|
route mangement x.x.x.x y.y.y.y z.z.z.z 1 |
设置静态路由 |
|
|
SNMP配置 |
snmp-server location XXX |
指定snmp-server的位置地点 |
|
snmp-server contact XXX |
指定snmp-server的联系人 |
|
|
snmp-server community xxxx |
指定snmp-server community |
|
|
snmp-server host inside x.x.x.x ver 2 |
指定snmp-server服务器地址 |
|
|
snmp-server enable traps all |
开启snmp-server traps |
|
|
snmp cpu threshold rising 50% 2 |
设置snmp cpu门限值 |
|
|
snmp interface threshold 75% |
设置snmp 接口门限值 |
|
|
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart |
设置snmp traps参数 |
|
|
snmp-server enable traps syslog |
||
|
snmp-server enable traps ipsec start stop |
||
|
snmp-server enable traps entity config-change fru-insert fru-remove fan-failure power-supply cpu-temperature |
||
|
snmp-server enable traps memory-threshold |
||
|
snmp-server enable traps interface-threshold |
||
|
snmp-server enable traps remote-access session-threshold-exceeded |
||
|
snmp-server enable traps connection-limit-reached |
||
|
snmp-server enable traps cpu threshold rising |
||
|
snmp-server enable traps ikev2 start stop |
||
|
snmp-server enable traps nat packet-discard |
||
|
syslog配置 |
logging enable |
开启logging功能 |
|
logging host inside x.x.x.x |
指定log服务器地址 |
|
|
logging timestamp |
开启log时间戳 |
|
|
logging trap errors |
开启logging trap information |
|
|
logging asdm errors |
开启 asdm log管理功能 |
|
|
logging buffered errors |
开启buffer的日志 |
|
|
logging buffer-size 1048576 |
定义logging buffer 大小 |
|
|
Active ASA防火墙 failover配置 |
failover lan unit primary |
定义这个unit做为主unit |
|
failover lan interface failover GigabitEthernet x/y |
指定failover lan接口 |
|
|
failover polltime unit 1 holdtime 3 |
定义failover的polltime参数 |
|
|
failover polltime interface 1 holdtime 5 |
定义failover的polltime参数 |
|
|
prompt hostname state context priority failover replication http |
切换策略 |
|
|
failover link statelink GigabitEthernet x/y |
定义failover link statelink接口 |
|
|
failover interface ip failover ip-address netmask standby ip-address failover interface ip statelink ip-address netmask standby ip-address |
分配active和standby地址在failover链路上。 |
|
|
monitor-interface outside monitor-interface inside |
监控业务端口:物理接口默认开启监控,不显示;逻辑接口默认不开启,必须配置 |
|
|
no monitor-interface mangement |
failover监控接口,不监控manage端口 |
|
|
failover |
开启failover功能 |
|
|
standby ASA防火墙 failover配置 |
failover lan unit secondary |
定义这个unit做为备份unit |
|
failover lan interface failover GigabitEthernet x/y |
指定failover lan接口 |
|
|
failover link statelink GigabitEthernet x/y |
定义failover link statelink接口 |
|
|
failover interface ip failover ip-address netmask standby ip-address failover interface ip statelink ip-address netmask standby ip-address |
分配active和standby地址在failover链路上。 |
|
|
failover |
开启failover功能 |
|
|
ssh管理 |
SSH x.x.x.x x.x.x.x outside |
设定允许ssh的主机地址(outside) |
|
SSH x.x.x.x x.x.x.x inside |
设定允许ssh的主机地址(inside) |
|
|
ssh timeout 15 |
||
|
ssh version 2 |
||
|
telnet管理 |
telnet x.x.x.x x.x.x.x outside |
设定允许ssh的主机地址(outside) |
|
telnet x.x.x.x x.x.x.x inside |
设定允许ssh的主机地址(inside) |
|
|
telnet timeout 5 |
设定允许ssh的主机地址(inside) |
|
|
http管理 |
http server enable |
开启http功能 |
|
http x.x.x.x x.x.x.x management |
设定允许http的主机地址 |
|
|
安全功能 |
no dns-guard |
关闭dns-guard |
|
ip verify reverse-path interface inside |
URPF反向地址解析 |
|
|
NTP配置 |
clock timezone beijing 8 |
配置NTP相关参数 |
|
ntp server x.x.x.x |
||
|
AAA配置 |
aaa authentication ssh console LOCAL |
本地验证 |
|
aaa authentication http console LOCAL |
本地验证 |
|
|
aaa authentication enable console LOCAL |
本地验证 |
|
|
aaa authorization exec LOCAL |
本地验证 |
|
|
username xxx password xxx privilege 15 |
超级用户 |
|
|
username xxx password xxx privilege 5 |
只读用户 |
|
|
用户权限设置 |
privilege cmd level 5 mode exec command copy |
用户权限设置 |
|
privilege show level 5 mode exec command import |
用户权限设置 |
|
|
privilege show level 5 mode exec command running-config |
用户权限设置 |
|
|
privilege show level 5 mode exec command startup-config |
用户权限设置 |
|
|
privilege show level 5 mode exec command version |
用户权限设置 |
|
|
privilege show level 5 mode exec command conn |
用户权限设置 |
|
|
privilege show level 5 mode exec command asp |
用户权限设置 |
|
|
privilege show level 5 mode exec command inventory |
用户权限设置 |
|
|
privilege show level 5 mode exec command memory |
用户权限设置 |
|
|
privilege show level 5 mode exec command tcpstat |
用户权限设置 |
|
|
privilege show level 5 mode exec command counters |
用户权限设置 |
|
|
privilege show level 5 mode exec command cpu |
用户权限设置 |
|
|
privilege show level 5 mode exec command tech-support |
用户权限设置 |
|
|
privilege show level 5 mode exec command perfmon |
用户权限设置 |
|
|
privilege show level 5 mode exec command tcpstat |
用户权限设置 |
|
|
privilege show level 5 mode exec command xlate |
用户权限设置 |
|
|
privilege show level 5 mode exec command traffic |
用户权限设置 |
|
|
privilege show level 5 mode exec command interface |
用户权限设置 |
|
|
privilege show level 5 mode exec command clock |
用户权限设置 |
|
|
privilege show level 5 mode exec command access-list |
用户权限设置 |
|
|
privilege show level 5 mode exec command logging |
用户权限设置 |
|
|
privilege show level 5 mode exec command ip |
用户权限设置 |
|
|
privilege show level 5 mode exec command failover |
用户权限设置 |
|
|
privilege show level 5 mode exec command arp |
用户权限设置 |
|
|
privilege show level 5 mode exec command route |
用户权限设置 |
|
|
privilege show level 5 mode exec command blocks |
用户权限设置 |
|
|
privilege show level 5 mode exec command ntp |
用户权限设置 |
|
|
privilege show level 5 mode exec command service-policy |
用户权限设置 |
|
|
privilege show level 5 mode exec command module |
用户权限设置 |
|
|
privilege show level 5 mode exec command processes |
用户权限设置 |
|
|
privilege show level 5 mode exec command environment |
用户权限设置 |
|
|
privilege show level 5 mode exec command crashinfo |
用户权限设置 |
|
|
privilege show level 5 mode configure command asp |
用户权限设置 |
|
|
privilege show level 5 mode configure command interface |
用户权限设置 |
|
|
privilege show level 5 mode configure command clock |
用户权限设置 |
|
|
privilege show level 5 mode configure command access-list |
用户权限设置 |
|
|
privilege show level 5 mode configure command tcp-map |
用户权限设置 |
|
|
privilege show level 5 mode configure command logging |
用户权限设置 |
|
|
privilege show level 5 mode configure command ip |
用户权限设置 |
|
|
privilege show level 5 mode configure command failover |
用户权限设置 |
|
|
privilege show level 5 mode configure command asdm |
用户权限设置 |
|
|
privilege show level 5 mode configure command arp |
用户权限设置 |
|
|
privilege show level 5 mode configure command route |
用户权限设置 |
|
|
privilege show level 5 mode configure command ntp |
用户权限设置 |
|
|
privilege show level 5 mode configure command service-policy |
用户权限设置 |
|
|
privilege show level 5 mode configure command privilege |
用户权限设置 |
|
|
长连接 |
class class_timeout_TCP-1523-24h set connection timeout idle 24:00:00 class-map class_timeout_TCP-1523-24h match access-list timeout_TCP-1523-24h 5:18 PM access-list timeout_TCP-1523-24h extended permit object-group svc_TCP-1523-24h host 80.4.3.93 host 80.25.30.20 |
配置与长连接相关参数 |
|
配置NAT(可选) |
object network obj_name range ip_address_1 ip_address_2 |
配置动态NAT |
|
object-group network grp_name {network-object {object net_obj_name | host ip_address} | group-object grp_obj_name} |
||
|
object network obj_name |
||
|
{host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2} |
||
|
nat [(real_ifc,mapped_ifc)] dynamic mapped_obj [interface] [dns] |
||
|
object network obj_name {host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2} |
配置静态NAT |
|
|
object-group network grp_name {network-object {object net_obj_name | subnet_address netmask | host ip_address} | group-object grp_obj_name} |
||
|
object network obj_name |
||
|
{host ip_address | subnet subnet_address netmask | range ip_address_1 ip_address_2} |
||
|
nat [(real_ifc,mapped_ifc)] static {mapped_inline_ip | mapped_obj | interface} [dns | service {tcp | udp} real_port mapped_port] [no-proxy-arp] |
F5负载均衡
健康检查
CPU利用率、内存利用率
命令行:
root@ltm1(Active)(tmos)# show sys performance system
web界面:
root@ltm1(Active)(tmos)# show sys hardware
root@ltm1(Active)(tmos)# show sys hardware
硬盘状态
(tmos)# show sys raid array
(tmos)# show sys raid disk
接口状态
tmsh show net interface all-properties -hidden
0.x为HSB(High-Speed Bridge)与CPU连接的接口
4.x为HSB与交换子系统连接的接口
软件状态
tmsh show sys software
b failover show #双机状态
SNAT
root@ltm1(Active)(tmos)#show ltm snatpool SNATpool
流量
#
Virtual Server
show ltm virtual IIS_VS
Pool
show ltm pool IIS_Pool
Pool member
tmsh show ltm pool IIS_Pool members
日志
/var/log/ltm
/var/log/gtm
/var/log/daemon.log
/var/log/kern.log
/var/log/audit
收集分析数据
QKView
1.使用root用户登陆命令行。
2.键入命令nice -n 19 qkview,之后稍等片刻。
[root@ltm1:Active] log # nice -n 19 qkview
Gathering System Diagnostics: Please wait ...
Diagnostic information has been saved in:
/var/tmp/ltm1.XXX.com.tgz
Please send this file to F5 support.
Log
1.使用root用户登陆命令行。
2.键入命令tar zcvf /var/tmp/$HOSTNAME-logs.tar.gz /var/log/*
tar: Removing leading `/' from member names
/var/log/apm
/var/log/audit
/var/log/audit.1.gz
/var/log/audit.2.gz
/var/log/audit.3.gz
……
登录管理
配置举例
|
配置命令 |
备注 |
|
modify cm device xx.xx.xx hostname xx.xx.xx |
配置hostname |
|
create sys management-route xx.xx.xx.xx gatewayxx.xx.xx.xxnetwork xx.xx.xx.xx
delete sys management-route default |
配置管理路由 |
|
modify auth user admin shell bash prompt-for-password xxxxx! modify auth passwod xxx xxx xxx |
修改admin账号密码 |
|
modify sys ntp timezone Asia/Shanghai |
配置时区 |
|
create net trunk turnk_to_dis interfaces add { 2.1 2.2 } lacp enabled lacp-mode active lacp-timeout long create net trunk Failover_trunk interfaces add { 1.3 1.4 } lacp enabled lacp-mode active lacp-timeout long |
配置port-channal |
|
create net vlan fail_over interfaces add { Failover_trunk } tag 4094 create net vlan vlan_ext interfaces add { turnk_to_dis { tagged } } tag 142 failsafe enabled failsafe-timeout 20 failsafe-action failover create net vlan vlan_int interfaces add { turnk_to_dis { tagged } } tag 143 failsafe enabled failsafe-timeout 20 failsafe-action failover |
配置VLAN |
|
create net self xxx.xx.xx.xxvlan vlan_ext allow-service none create net self xx.xx.xx.xx vlan vlan_int allow-service none create net self xx.xx.xx.xx vlan fail_over allow-service all |
配置selfip |
|
create net self xx.xx.xx.xx vlan vlan_ext allow-service none traffic-group traffic-group-1 |
配置浮动IP |
|
modify cm device xx.xx.xx configsync-ip 1.1.1.1 modify cm device xx.xx.xx unicast-address {{ ip 1.1.1.1 } { xx.xx.x.xx}} modify cm device xx.xx.xx mirror-ip 1.1.1.1 |
配置configsync-ip地址 |
|
modify cm trust-domain /Common/Root ca-devices add { 1.1.1.2 } namexxxxx username admin password xxxxx |
添加设备信任 |
|
create cm device-group SyncFailover devices add { xx.xx.xxxxxxx } type sync-failover |
创建F5 device-group组 |
|
run cm config-sync to-group SyncFailover |
将本机配置同步到device-group组中 |
|
create auth user user role guest shell tmsh prompt-for-password xxxxxx
|
配置纳管账号 |
|
modify sys httpd allow add { xxx.xx.xx.xx/xx} modify sys sshd allow add { xx.xx.xx.xx/xx } modify sys httpd auth-pam-idle-timeout 600 modify sys sshd inactivity-timeout 600 |
配置WEB及SSH访问控制,配置WEB及SSH登录超时时间 |
|
modify sys ntp servers add { xx.xx.xx.xx } |
配置NTP |
|
edit sys syslog all-propertise 将include none替换为下面的内容 include " filter f_remote_loghost { level(notice..emerg); };
destination d_remote_loghost { udp(\"xx.xx.xx\" port(514)); udp(\"xx.xx.xx\" port(514)); udp(\"xx.xx.xx.xx\" port(514)); udp(\xx.xx.xx.xx\" port(514)); };
log { source(s_syslog_pipe); filter(f_remote_loghost); destination(d_remote_loghost); }; " |
配置日志 |
|
modify sys snmp allowed-addresses replace-all-with { xx.xx.xx.xx/xx } communities replace-all-with { xxxxx{ access ro community-name xxxx } } |
配置SNMP |
|
create ltm snatpool OPN3_PUBLIC_tcp_web_snatpool members add { xx.xx.xx.xx} modify ltm snatpool OPN3_PUBLIC_tcp_web_snatpool members add { xx.xx.xx.xx } |
添加SNAT池 |
|
create net route default gw xx.xx.xx.xx default create net route xx.xx.xx/xx gw xx.xx.xx network xx.xx.xx.xx/xx |
添加路由 |
Citirx负载均衡
常用监控命令
stat system 显示整机统计信息
stat system cpu 显示CPU统计信息
stat system memory 显示内存统计信息
stat system cpu [<id>] 指定相应CPU的使用情况
show interface 显示接口状态信息
stat interface 显示接口统计信息
show HA node 显示HA状态信息
stat HA node 显示HA统计信息
show vserver 显示虚拟服务器状态
stat lb vserver 显示虚拟服务器统计信息
配置举例
|
主机名 |
set ns hostname xxxx |
主备设备分别配置 |
|
NSIP(管理地址) |
set ns config -IPAddress X.X.X.X.-netmask xxx.xxx.xx add ns ip xxxx.xx.xx.xx -type NSIP -vServer DISABLED -telnet DISABLED -ftp DISABLED -gui SECUREONLY -mgmtAccess ENABLED -dynamicRouting ENABLED |
主备设备分别配置 |
|
HA |
add ha node 1 xx.xx.x.xx |
主备设备分别配置 |
|
关闭无用接口 |
disable interface xx set interface xx -hamonitor off |
关闭无用业务接口 关闭物理口和管理口的hamonitor 主备设备分别配置 |
|
SNIP(业务地址) |
add ns ip xx.xx.x.xx -vServer DISABLED |
配置和交换机互联IP地址,主备都用同一个地址 |
|
互联接口 |
set interface 10/1 -haMonitor OFF -lacpMode ACTIVE -lacpKey 1 -lacpTimeout SHORT -throughput 0 -bandwidthHigh 0 -bandwidthNormal 0 -intftype "Intel 10G" -ifnum LA/1 set interface 10/2 -haMonitor OFF -lacpMode ACTIVE -lacpKey 1 -lacpTimeout SHORT -throughput 0 -bandwidthHigh 0 -bandwidthNormal 0 -intftype "Intel 10G" -ifnum LA/1 set channel LA/1 -tagall ON -throughput 0 -lrMinThroughput 0 -bandwidthHigh 0 -bandwidthNormal 0 |
配置和交换机互联接口、绑定LACP,旁挂模式和交换机交叉互联 主备设备分别配置 |
|
VLAN |
add vlan 142 -aliasName vlan_external bind vlan 142 -ifnum LA/1 -tagged bind vlan 142 -ipaddress xx.xxx.xx.xx xx.xx.xx add vlan 3000 -aliasName vlan_ha bind vlan 3000 -ifnum LA/1 |
配置业务VLAN,进出用同一个VLAN 配置心跳vlan,交换机需要放开心跳vlan和业务vlan 主备设备分别配置 |
|
时区 |
set ns param -timezone "GMT+08:00-CST-Asia/Shanghai" |
配置时区 |
|
NTP |
server XX.XX.XX.XXminpoll 4 maxpoll 4 prefer |
配置ntp |
|
SYSLOG |
add audit syslogAction server xx.xx.xx xx.xx.xx -logLevel EMERGENCY ALERT CRITICAL ERROR WARNING NOTICE -tcp ALL -acl ENABLED -userDefinedAuditlog YES add audit syslogAction serverxx.xx.xxxx.xx.xx-logLevel EMERGENCY ALERT CRITICAL ERROR WARNING NOTICE -tcp ALL -acl ENABLED -userDefinedAuditlog YES add audit syslogPolicy policiesxx.xx.xxns_true server xx.xx.xx.xx add audit syslogPolicy policiesxx.xx.xx ns_true serverxx.xx.xx |
配置syslog |
|
SNMP |
add snmp community xx.xx.xx.xx ALL add snmp managerxx.xx.xx.xx -netmask 255.255.255.240
add snmp trap generic xx.xx.xx-communityName "\"XXXXX\"" add snmp trap generic xx.xx.xx -communityName "\"XXXXX\"" |
配置snmp |
|
路由 |
add route 0.0.0.0 0.0.0.0 xx.xx.xx.xx |
配置业务路由和管理路由 |
|
管理用户 |
set system user nsroot xxxx -encrypted -timeout 600 add system user user xxxx -encrypted -timeout 600 add system user admin xxxx -encrypted -timeout 600 add system user XX xxxx -encrypted -timeout 600 add system user XX xxxx -encrypted -timeout 600 bind system user user read-only 0 bind system user admin superuser 0 bind system user XX superuser 0 bind system user XX read-only 0 |
配置用户 |
|
访问控制 |
add ns acl ha ALLOW -srcIP = XX.XX.XX.XX -destIP =XX.XX.XX.XX-protocol TCP -priority 10 -kernelstate SFAPPLIED61
apply ns acls |
配置访问控制,destip改成主备设备的管理ip |
|
保存配置 |
save ns conf |
保存配置 |
