Tag Archives: F5

扫盲计划之:log&syslog

Posted on by
1

GUI下的log显示有:

system———->/var/log/messages

packer filter ————->/var/log/pktfilter

Local traffic————–>/var/log/ltm

audit—————–>/var/log/audit

打开GUI下的审计需要打开MCP审计功能并确保MCP的日志级别不高于notice

打开b 命令的审计则需打开bigpipe的审计

在/var/log 下其实还有很多其他日志文件

——————————————————

使用logtool可以快速的在所有日志中查找感兴趣的日志,使用方法如下

[root@v10-1:Active] log # logtool –help
Unknown option: help
Usage: /usr/bin/logtool [options] ["<SearchString>"]
Options:
–filename:    Append the log file name to the message
–level=LEVEL: Search for messages at a level
–system=NAME: Search for messages from a system
–slot=NUMBER: Search for messages from a slot
–zipped:      Search for messages in compressed log files

注意searchstring是区分大小写的。

—————————————-

在命令行下查看日志时候可以通过增加 bigcodes 管道来解析F5一些专用的抽象代码,例如

cat /var/log/ltm | bigcodes |less

—————————————-

resize-logFS 可以用来resize 给/var/log预分配的固定空间,默认是7G,可配区间是1-10G

——————–

配置syslog-ng将log发送到远程syslog服务器

Continue reading

[原]config sync 排错指导

Posted on by
Reply

在GUI点击config sync to peer和命令b config sync 具有等同的效果,都是将配置推送到对端设备上,当执行b config sync时候:

1.  系统将尝试连接对端icontrol接口(运行在对端的443之上),其间要建立SSL,并向对方出示web管理员账号和密码。

2.  同步设备master key,检查时间差异

3.  本机产生一份当前的配置的ucs,放在/var/tmp下

4.  传送ucs文件到对端的/var/local/ucs下,作为一个临时ucs

5.  通知对端备份当前配置为cs_backup.ucs

6.  通知对端机器上执行b config install安装传送过来的临时ucs文件

7.  通知对端删除临时ucs

8.  通过获取对端/var/log/configsync_peer.log日志,将对端ucs安装情况打印在屏幕上

从上述过程可以看出,任何一步受到影响都可能造成同步的失败,因此当遇到同步失败时候可以从这些过程入手,分解测试各个环节是否都正常:

Continue reading

GTM的那些事

Posted on by
Reply

SOL 类

updating。。。。。

GTM Essentials,详细介绍GTM重要知识点 UPDATED TO V1.2

Posted on by
Reply

该PPT适合对GTM/LTM已经有一定基础同学,涉及:

  • GTM中的对象关系
  • Listener决策策略
  • 证书交换机制
  • Add new GTM to sync group八步法
  • iquery结构关系
  • gtmd、big3d的选举
  • Monitor及path metric collection
  • 私有地址server情形下的NAT处理
  • Named.conf,zone,wideip.conf,persistence的同步
  • ZoneRunner & BIND
  • GTM配置十步法
  • 日志检查及排错

Continue reading

【原创】F5+MS TS+TS Session directory 服务器部署

Posted on by
2

2008年第一天,值班,于是研究了下Terminal和会话目录服务器配合F5的负载均衡。这在大量用户利用终端服务工作,并需要每次都能连上自己中断的会话非常有用。也因此可以避免用户在不同的终端服务器上留下自己的孤儿会话,避免资源浪费。 

网络结构是:
F5旁挂在核心交换机上,self ip:192.168.162.254
配置一个POOL:172.20.20.100:3389,172.20.20.211:3389,轮询:最小连接数(结点),TCP健康检查
配置一个VS:192.168.162.253:3389,使用标准TCP类型,并且给pool指定ms_ts_profile(这个profile是预先配置的,父profile是msrdp,具体可在F5网站上查阅TS解决方案)

pool,VS均为绿色。

172.20.20.100和172.20.20.211都是TS服务器,分别叫TS-A,TS-B,同时172.20.20.100兼做Session directory 服务器。
另有两台客户机:10.7.21.38,10.7.21.39,客户机器只和VS地址通,与TS服务器不直接通。

所有操作系统都是WIN2003 企业版

实际测试结果:
客户机连接192.168.162.253:3389,被定向到TS-A,在上面开个IE。
换个客户机连VS,并定向到TS-B,还用前面相同的用户名密码登录,却没有出现希望的效果:被重定向到TS-A上(按照微软的说法,这个用户应该最终连到之前拥有会话的服务器上)

这个会是什么原因呢。是F5问题还是会话服务器没生效。好郁闷。

 
经过分析,最后发现问题所在:
登录的帐号必须是统一的域帐号,用本地帐号不行,计算2机器的本地帐号名一样。这个地方在MS手册上却说没有说明,MS手册上说目前与域没有太大关系,将来会增加更多的与域集成(难道是手册太老????我看的是2007.11更新过的官方手册啊,晕死)。
 
下面总结下配置方法和步骤:
一、MS系统配置
        前提:所有服务器都使用2003 企业版以上系统,全部加入域
    1.配置一台TSSD服务器       将Terminal session directory service启用,并设置为“自动”。启用该服务后,将在SYSTEM32下创建 tssesdir 目录,该目录就是会话服务器的数据库目录。同时还会创建一个session directory computers组,此时该组没有成员,通过选择计算机将所有TS计算机名加入该组中,否则后面的步骤将无法完成。
    2. 配置各个Terminal服务器,注意不是配置成remote desktop哦,然后在终端服务配置里的 会话目录 属性中按如下配置:
      
       图中最后一个选项意义,后面再说。
 
二、配置F5
       按照F5官方部署WTS向导手册配置。
      1.profile的配置
       
      2.POOL配置:
         将各个TS加入池中,均衡算法自行设置,一般选择按最小连接数
      3.配置VS,大部分是缺省设置,我这里由于是旁挂,所以启用了snat.具体实际环境具体对待。
        
      4.VS的资源中调用上述池及配置的profile即可。
 
按上述都配置完毕后,先使用客户机直接连接单独的172.20.20.100(TS-A)服务器,并在172.20.20.100(TS-A)上开一个应用程序窗口,并直接强行关闭远程连接,以便一会测试效果。
 
开始测试:
1.使用客户机连接到192.168.162.253:3389上,很巧,F5随机给了我TS-B服务器使用(如果你不巧,正好连到TS-A上,那就换客户端连,直到是给你TS-B服务器用),填入域帐号登录(你之前肯定要配好让这个域帐号有权限远程登录),点确定。你会发现半天没界面出现,是的,确实是这样,因为之前的配置错了(别扔鸡蛋,因为是故意这样的,以便理解其中的奥秘)。此时看netstat:
     TCP    10.7.21.38:4023        172.20.20.100:3389     SYN_SENT
 客户机IP竟然直接连TS-A了,而且没有SYN+ACK,等待握手中。这是由于在配置TS的终端服务中(第一个张图)我们选择了最后的勾。如果选择了这个,则整个通信过程是这样的:
      1).客户机访问虚拟集群地址,这里是192.168.162.253
      2).F5随机选择一个实际TS给客户,这里是选择了TS-B
      3).用户填入用户名和密码,并点确定后,TS-B向会话服务器查询,看这个用户名是否有断开的会话在。
      4).会话服务器告知TS-B,在TS-A上有这个用户的会话
      5).TS-B接到通知后,告诉客户机应该连接到TS-A上,于是客户端会重新自动向TS-A连接,而上面的网络环境,客户机是不可以和TS直接通信的,所以就出现了上面的问题。
      解决方法就是:在各个TS上,不要选择最后的选框。全部不选后,再重新测试,一切正常,TCP连接过程如下:
      输入用户名、密码前:TCP    10.7.21.38:4027        192.168.162.253:3389   ESTABLISHED
      输入用户名、密码后,界面显示的是TS-A的内容,而且在整个过程,可以看到瞬间重定向连接的界面效果。此时TCP:
      TCP    10.7.21.38:4027        192.168.162.253:3389   ESTABLISHED,看么有变.
      为什么此时不变了呢?因为我们启用了路由令牌模式,此时的通信过程如下:
      1) 客户机访问虚拟集群地址,这里是192.168.162.253
      2)F5随机选择一个实际TS给客户,这里是选择了TS-B
      3)用户填入用户名和密码,并点确定后,TS-B向会话服务器查询,看这个用

户名是否有断开的

LTM上一个问题

Posted on by
Reply

LTM 测试用 没有什么特殊设置。该设备是旁挂在交换机上,只通过一个口连接到核心交换机,self IP 192.168.162.254。路由都有。

设置一个POOL :202.104.236.144 :80,TCP检测,检测为绿

设置一个VS:192.168.162.253:80,选中地址转换,选中SNATP AUTOMAP。

修改客户端机器的HOST文件 使得192.168.162.253 www.mycisco.cn

然后浏览器访问www.mycisco.cn  无法打开.b conn 设备上连接发现LTM以127.1.1.1为原地址来访问202.104.236.144. 这是为什么呢,应该以self ip才对啊。

我将pool中的地址由202.104.236.144 改为192.168.0.253(内网中一个服务器)。然后在访问192.168.162.253 VS,就可以打开,LTM看到的connect是以LTM的self ip为源地址的。

为什么用公网地址就不可以呢?

Firepass下验证的一个BUG

Posted on by
Reply

AD+RSA令牌动态密码+域密码
这种模式下,配置后如果要取消域密码验证,不要简单的在用户–全局下 将“单独注册使用额外的网域密码”,而应该先在主组的验证界面将“依靠域验证”先勾去,再勾去全局下的设置。否则,系统还认为设置存在。那样怎么都登陆不了了~,日志会显示domain password错误。
我的版本是6.0.1