F5 常用手册(长期更新)

首页 / 🍁F5 / 正文

1、F5 升级注意事项 - License问题

(1)检查 F5 设备 Service Check Date

# 方式一:
grep "Service check date" /config/bigip.license

# 方式二:
tmsh show sys license | grep "Service Check Date"

(2)查看目标版本 License Check Date

https://support.f5.com/csp/article/K7727

(3)F5 设备升级
 如果 Service Check Date 早于 License Check Date ,则需要重新激活License,再进行升级,反之不需要重新激活License进行升级。

2、修改日志服务器

tmsh modify /sys syslog remote-servers add { name { host ip remote-port 514 } }
#官方文档:https://support.f5.com/csp/article/K13080

3、修改密码策略

tmsh modify auth password-policy minimum-length 8 password-memory 3 max-duration 90 max-login-failures 5 
#注:mininum-length为最小密码长度,password-memory最少密码复杂度,max-duration密码最大期限
#官方文档:https://clouddocs.f5.com/cli/tmsh-reference/latest/modules/auth/auth_password-policy.html

4、登录超时时间设置

# SSH 登陆超时时间
tmsh modify /sys  sshd inactivity-timeout 300
#官方文档:https://support.f5.com/csp/article/K9908
 
# console 会话超时时间
tmsh modify /sys global-setting console-inactivity-timeout 300

# HTTP 会话超时时间
tmsh modify sys httpd auth-pam-idle-timeout 180

5、banner 配置

(1)登陆前 banner 配置

# 配置登陆前 banner,“” 中添加 banner 语。
tmsh modify sys sshd banner enabled banner-text "Authorized users only. All activity may be monitored and reported."
# 取消登陆前 banner 配置
tmsh modify /sys sshd banner disabled banner-text none

(2)登录后 banner 配置

# 配置登陆后 banner,在 “” 中添加 banner 语。
echo " banner " > /etc/motd
# 取消登陆后 banner 配置
cat /dev/null > /etc/motd

6、查看当前硬件支持软件版本

https://support.f5.com/csp/article/K9476

7、修改 web 登录端口

修改业务地址 httpd 端口1200,注意修改端口后,业务地址需要放通该端口。

# 使用 1200 端口登录为例
tmsh modify sys httpd ssl-port 1200
tmsh modify net self-allow defaults add { tcp:1200 }
tmsh save sys config

修改管理地址 httpd 端口1200,管理地址默认放通全部端口

# 使用 1200 端口登录为例
tmsh modify sys httpd ssl-port 1200
tmsh save sys config

8、查看不同系统的 TTL

https://subinsb.com/default-device-ttl-values/

9、重新加载系统

image2disk --format=volumes --nosaveconfig /shared/images/BIGIP-13.0.1-0.0.3.iso      
# 官方文档:https://support.f5.com/csp/article/K13117

10、HTTP Monitor

# HTTP 0.9
"GET /\n" or "GET /\r\n".

# HTTP 1.0
"GET / HTTP/1.0\r\n\r\n" or "GET / HTTP/1.0\n\n"

# HTTP 1.1
"GET / HTTP/1.1\r\nHost: server.com\r\n\r\n" or "GET / HTTP/1.1\r\nHost: server.com\r\nConnection: close\r\n\r\n"
# 或者
GET /index.html HTTP/1.1\r\nHost: host.domain.com\r\nConnection: Close\r\n\r\n

11、清除设备告警

# i系列清除lcd警告
tmsh reset-stats sys alert lcd
    
# 其他除VIPRION清除lcd告警
BIG-IP 12.1.5, BIG-IP 13.1.0 and later
for i in 0 1 2 3 4 5; do lcdwarn -c "${i}"; done
BIG-IP 13.0.0, BIG-IP 12.1.4 and earlier
for i in 0 1 2 3 4 5; do lcdwarn -c "${i}" 0; done
    
# 官方文档:https://support.f5.com/csp/article/K11094>

12、三角传输 loopback 接口配置

cat ifcfg-lo:1
DEVICE=lo:1
IPADDR=10.10.1.1
NETMASK=255.255.255.255
ONBOOT=yes
NAME=loopback1

13、F5 大文件查询

find /usr/ -xdev -type f -exec du {} \; | sort -rn | head -20

14、禁用httpd支持的密码套件

示例:禁用DES密码

禁用前:

root@(localdns3)(cfg-sync Disconnected)(LICENSE EXPIRED)(/Common)(tmos)# list sys httpd ssl-ciphersuite 
sys httpd {
    ssl-ciphersuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES128-SHA256:AES256-SHA256:!3DES
}

禁用:

root@(localdns3)(cfg-sync Disconnected)(LICENSE EXPIRED)(/Common)(tmos)# modify sys httpd ssl-ciphersuite '"ssl-ciphersuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES128-SHA256:AES256-SHA256:!3DES:DES"'
官方KB:https://support.f5.com/csp/article/K61363565

15、Xshell 连接F5记住密码登录

默认 Xshell 连接 F5 设备需要键盘交互输入密码,无法记住密码。希望下次登录记住密码直接登录。
优化方式:登录 F5 设备 修改 sshd 配置,如下所示:
vim /run/config/sshd_config

# 配置允许root登录
PermitRootLogin yes

# 允许用密码方式登陆
PasswordAuthentication yes

# 把上述参数前面的#注释去掉
# 把上述参数的no改成yes
# 按键【Esc】,输入:wq!,即保存并退出编辑状态
重启 SSHD 服务
systemctl restart sshd

16、清除LTM会话保持

tmsh delete ltm persistence persist-records virtual virtual_名称

17、查看 F5 第三方服务版本

https://support.f5.com/csp/article/K65097545

18、查看 F5 14版本所支持密码套件,其他版本也通过本链接进行跳转

https://support.f5.com/csp/article/K54125331

19、查看 F5 操作系统信息(操作系统和内核版本等)

https://support.f5.com/csp/article/K3645

20、F5 external monitor 脚本(仅供参考)

#!/bin/bash

server=192.168.6.80
port=8080

status=`curl -s -X GET "http://${server}:${port}/test/" -H "accept: */*"`

if [ $status -eq 1 ]; then
  echo "UP"
fi
exit
打赏
文章目录