1、F5 升级注意事项 - License问题
(1)检查 F5 设备 Service Check Date
1 2 3 4 5 # 方式一: grep "Service check date" /config/bigip.license # 方式二: tmsh show sys license | grep "Service Check Date"
(2)查看目标版本 License Check Date
1 https://support.f5.com/csp/article/K7727
(3)F5 设备升级
如果 Service Check Date
早于 License Check Date
,则需要重新激活License,再进行升级,反之不需要重新激活License进行升级。
2、修改日志服务器
1 2 tmsh modify /sys syslog remote-servers add { name { host ip remote-port 514 } } # 官方文档:https://support.f5.com/csp/article/K13080
3、修改密码策略
1 2 3 tmsh modify auth password-policy minimum-length 8 password-memory 3 max-duration 90 max-login-failures 5 # 注:mininum-length为最小密码长度,password-memory最少密码复杂度,max-duration密码最大期限 # 官方文档:https://clouddocs.f5.com/cli/tmsh-reference/latest/modules/auth/auth_password-policy.html
4、登录超时时间设置
1 2 3 4 5 6 7 8 9 # SSH 登陆超时时间 tmsh modify /sys sshd inactivity-timeout 300 # 官方文档:https://support.f5.com/csp/article/K9908 # console 会话超时时间 tmsh modify /sys global-setting console-inactivity-timeout 300 # HTTP 会话超时时间 tmsh modify sys httpd auth-pam-idle-timeout 180
5、banner 配置
(1)登陆前 banner 配置
1 2 3 4 # 配置登陆前 banner,“” 中添加 banner 语。 tmsh modify sys sshd banner enabled banner-text "Authorized users only. All activity may be monitored and reported." # 取消登陆前 banner 配置 tmsh modify /sys sshd banner disabled banner-text none
(2)登录后 banner 配置
1 2 3 4 # 配置登陆后 banner,在 “” 中添加 banner 语。 echo " banner " > /etc/motd # 取消登陆后 banner 配置 cat /dev/null > /etc/motd
6、查看当前硬件支持软件版本
1 https://support.f5.com/csp/article/K9476
7、修改 web 登录端口
修改业务地址 httpd 端口1200,注意修改端口后,业务地址需要放通该端口。
1 2 3 4 # 使用 1200 端口登录为例 tmsh modify sys httpd ssl-port 1200 tmsh modify net self-allow defaults add { tcp:1200 } tmsh save sys config
修改管理地址 httpd 端口1200,管理地址默认放通全部端口
1 2 3 # 使用 1200 端口登录为例 tmsh modify sys httpd ssl-port 1200 tmsh save sys config
8、查看不同系统的 TTL
1 https://subinsb.com/default-device-ttl-values/
9、重新加载系统
1 2 image2disk --format=volumes --nosaveconfig /shared/images/BIGIP-13.0.1-0.0.3.iso # 官方文档:https://support.f5.com/csp/article/K13117
10、HTTP Monitor
1 2 3 4 5 6 7 8 9 10 # HTTP 0.9 "GET /\n" or "GET /\r\n". # HTTP 1.0 "GET / HTTP/1.0\r\n\r\n" or "GET / HTTP/1.0\n\n" # HTTP 1.1 "GET / HTTP/1.1\r\nHost: server.com\r\n\r\n" or "GET / HTTP/1.1\r\nHost: server.com\r\nConnection: close\r\n\r\n" # 或者 GET /index.html HTTP/1.1\r\nHost: host.domain.com\r\nConnection: Close\r\n\r\n
11、清除设备告警
1 2 3 4 5 6 7 8 9 10 # i系列清除lcd警告 tmsh reset-stats sys alert lcd # 其他除VIPRION清除lcd告警 BIG-IP 12.1.5, BIG-IP 13.1.0 and later for i in 0 1 2 3 4 5; do lcdwarn -c "${i}"; done BIG-IP 13.0.0, BIG-IP 12.1.4 and earlier for i in 0 1 2 3 4 5; do lcdwarn -c "${i}" 0; done # 官方文档:https://support.f5.com/csp/article/K11094>
12、三角传输 loopback 接口配置
1 2 3 4 5 6 cat ifcfg-lo:1 DEVICE=lo:1 IPADDR=10.10.1.1 NETMASK=255.255.255.255 ONBOOT=yes NAME=loopback1
13、F5 大文件查询
1 find /usr/ -xdev -type f -exec du {} \; | sort -rn | head -20
14、禁用httpd支持的密码套件
示例:禁用DES密码
禁用前:
1 2 3 4 root@(localdns3)(cfg-sync Disconnected)(LICENSE EXPIRED)(/Common)(tmos)# list sys httpd ssl-ciphersuite sys httpd { ssl-ciphersuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES128-SHA256:AES256-SHA256:!3DES }
禁用:
1 root@(localdns3)(cfg-sync Disconnected)(LICENSE EXPIRED)(/Common)(tmos)# modify sys httpd ssl-ciphersuite '"ssl-ciphersuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES128-SHA256:AES256-SHA256:!3DES:DES"'
官方KB:https://support.f5.com/csp/article/K61363565
15、Xshell 连接F5记住密码登录
默认 Xshell 连接 F5 设备需要键盘交互输入密码,无法记住密码。希望下次登录记住密码直接登录。
优化方式:登录 F5 设备 修改 sshd 配置,如下所示:
1 2 3 4 5 6 7 8 9 10 11 vim /run/config/sshd_config # 配置允许root登录 PermitRootLogin yes # 允许用密码方式登陆 PasswordAuthentication yes # 把上述参数前面的 # 把上述参数的no改成yes # 按键【Esc】,输入:wq!,即保存并退出编辑状态
重启 SSHD 服务
16、清除LTM会话保持
1 tmsh delete ltm persistence persist-records virtual virtual_名称
17、查看 F5 第三方服务版本
1 https://support.f5.com/csp/article/K65097545
18、查看 F5 14版本所支持密码套件,其他版本也通过本链接进行跳转
1 https://support.f5.com/csp/article/K54125331
19、查看 F5 操作系统信息(操作系统和内核版本等)
1 https://support.f5.com/csp/article/K3645
20、F5 external monitor 脚本(仅供参考)
1 2 3 4 5 6 7 8 9 10 11 # !/bin/bash server=192.168.6.80 port=8080 status=`curl -s -X GET "http://${server}:${port}/test/" -H "accept: */*"` if [ $status -eq 1 ]; then echo "UP" fi exit