F5 big-ipでshow running configを取得する方法。
--------------------------------------------------------------------------
■ログ取得その1
#tmsh
(tmos)#show running-config
Display all 250 items? (y/n)
--------------------------------------------------------------------------
これだと毎回聞かれるのでめんどくさい。
Ciscoでいうterminal length 0的なコマンドがほしい。
F5 big-ip v11以降だと以下のコマンドが使える。
--------------------------------------------------------------------------
■ログ取得その2
#tmsh
(tmos)#show running-config one-line
--------------------------------------------------------------------------
F5 big-ip v10より以前だとtmshに入らずshell(bash)からの
パイプ渡しででも取得可能かな。
--------------------------------------------------------------------------
■ログ取得その3
# yes | tmsh show running-config
--------------------------------------------------------------------------
F5 big-ip v10より以前だとterminal length 0的なコマンドもある。
--------------------------------------------------------------------------
■ログ取得その4
無効にする方法
#tmsh
(tmos)#modify cli preference pager disabled
有効にする方法
#tmsh
(tmos)#modify cli preference pager enabled
--------------------------------------------------------------------------
F5はrunning-configでのコンフィグ流し込みリストアなどはできないが、
running-configも取得しておくと何かと便利。
バックアップやリストアはGUIからUCSで実施しましょう!!
スポンサードリンク
F5 BIG-IP Module Not Licensed
F5 BIG-IPにSSH(CLI)接続したところ
ModuleNotLicensedと表示されていた。
しょうがないのでGUIで接続して確認ところ
provisioning warningの警告が出ていた。
GUIで必要な作業を行い再度SSHを確認したところ
REBOOT REQUIREDと表示されている。
リブートコマンドで再起動!
#reboot
しばらくしてから前面パネルの赤い×ボタンを押してシャットダウンします。
しばらくしてから緑のチェックボタンを押して起動します。
するとあーら不思議ModuleNotLicensedが消えています。
TOP OF THE NETWORK×NETWORKModuleNotLicensedと表示されていた。
しょうがないのでGUIで接続して確認ところ
provisioning warningの警告が出ていた。
GUIで必要な作業を行い再度SSHを確認したところ
REBOOT REQUIREDと表示されている。
リブートコマンドで再起動!
#reboot
しばらくしてから前面パネルの赤い×ボタンを押してシャットダウンします。
しばらくしてから緑のチェックボタンを押して起動します。
するとあーら不思議ModuleNotLicensedが消えています。
NETWORK×NETWORK
F5 BIG-IP provisioning warning
F5 BIG-IPにWEB接続したところ[Provisioning Warning]の
警告が左上に表示されている。
この警告を消したいので確認。
Main>System>Resource Provisioning>Configuration
Access Policy(APM)のLicense Statusが
[Limited mode available without a license]になっていて、
Provisioningにチェックが入っていると警告が表示されるようです。
チェックをはずして再起動すると警告が消えます。
※消すときは機能を使用してないか確認が必要!
再起動後、警告が消えたことを確認
TOP OF THE NETWORK×NETWORK警告が左上に表示されている。
この警告を消したいので確認。
Main>System>Resource Provisioning>Configuration
Access Policy(APM)のLicense Statusが
[Limited mode available without a license]になっていて、
Provisioningにチェックが入っていると警告が表示されるようです。
チェックをはずして再起動すると警告が消えます。
※消すときは機能を使用してないか確認が必要!
再起動後、警告が消えたことを確認
NETWORK×NETWORK
F5 BIG-IP CLI License
F5のライセンスキーは重要です。
作業前にバックアップとっておきましょう!!
TeraTermのSSH(CLI)で接続します。
◆CLIでライセンスバックアップ
#cd /config
config#dir
[bigip.license]が存在することを確認
config#cat bigip.license
ライセンスファイルの中身を確認すると下の方に
Registration Key:******-******-******-******-******
今回はこのライセンスファイルをTeraTermの機能を使用して
クライアントPCにコピーしてみます。
ファイル>SSH SCP...
受信するときは下の段を利用!!
From:/config/bigip.license
To:C:\Program Files\teraterm
Receive
先ほど指定したフォルダを確認すると
[bigip.license]がPCに保存されています。
サクラエディタなどで中身もみれます。
ー*ー*ー*ー*ー*ー*ー*ー*ー*ー*ー*ー*ー*ー*ー*ー*ー*ー
・F5自身にライセンスファイルのバックアップを作成する場合のコマンド
#cp -p /config/bigip.license /config/bigip.license.bak
・[bigip.license.bak]が作成されたか確認
config#dir
bigip.license.bakが表示されていればOK
TOP OF THE NETWORK×NETWORK作業前にバックアップとっておきましょう!!
TeraTermのSSH(CLI)で接続します。
◆CLIでライセンスバックアップ
#cd /config
config#dir
[bigip.license]が存在することを確認
config#cat bigip.license
ライセンスファイルの中身を確認すると下の方に
Registration Key:******-******-******-******-******
今回はこのライセンスファイルをTeraTermの機能を使用して
クライアントPCにコピーしてみます。
ファイル>SSH SCP...
受信するときは下の段を利用!!
From:/config/bigip.license
To:C:\Program Files\teraterm
Receive
先ほど指定したフォルダを確認すると
[bigip.license]がPCに保存されています。
サクラエディタなどで中身もみれます。
ー*ー*ー*ー*ー*ー*ー*ー*ー*ー*ー*ー*ー*ー*ー*ー*ー*ー
・F5自身にライセンスファイルのバックアップを作成する場合のコマンド
#cp -p /config/bigip.license /config/bigip.license.bak
・[bigip.license.bak]が作成されたか確認
config#dir
bigip.license.bakが表示されていればOK
NETWORK×NETWORK
F5 BIG-IP SSH(CLI) つながらない
F5 BIG-IPにSSH(CLI)で接続できないとき。
※一瞬接続されてTeraTermが落ちるときなど。。
WEB(GUI)でF5に接続後、
Main>System>Users>User List>
adminのconsoleを確認する
ここがDisabledに設定されているとSSHでつながらない
adminユーザーを選択
Terminal Access:[Advanced shell]を選択
Update
※強制的にログアウトさせられるので再度adminでログイン
Main>System>Users>User List>
adminのconsoleを確認してAdvanced shellと
設定が変更されていればOK
これでTeraTermからSSH(CLI)接続も難なく行えるはずや!!
MGMT(マネジメント)以外のポート
からWEB(GUI)接続ができない
TOP OF THE NETWORK×NETWORK※一瞬接続されてTeraTermが落ちるときなど。。
WEB(GUI)でF5に接続後、
Main>System>Users>User List>
adminのconsoleを確認する
ここがDisabledに設定されているとSSHでつながらない
adminユーザーを選択
Terminal Access:[Advanced shell]を選択
Update
※強制的にログアウトさせられるので再度adminでログイン
Main>System>Users>User List>
adminのconsoleを確認してAdvanced shellと
設定が変更されていればOK
これでTeraTermからSSH(CLI)接続も難なく行えるはずや!!
MGMT(マネジメント)以外のポート
からWEB(GUI)接続ができない
NETWORK×NETWORK
F5 BIG-IP SSH access
F5 BIG-IPでSSH(CLI)接続を行いたいとき!!
まずはTeraTermを準備しましょう。
◆F5 BIG-IP SSH(CLI)接続手順
TeraTerm起動
TCP/IP ホスト:[IPアドレス入力]
サービス:SSH SSHバージョン[SSH2]
OK
チャレンジレスポンス認証を使う(キーボードインタラクティブ)にチェック
ユーザ名:admin
するとパスワード入力画面が別途表示される。
Password:admin
※F5デフォルトユーザー&パスワード
ログインが成功するとF5のCLI画面が表示される!
CLI画面が接続できない場合はこちらを参考
F5 BIG-IP SSH(CLI) つながらない
TOP OF THE NETWORK×NETWORKまずはTeraTermを準備しましょう。
◆F5 BIG-IP SSH(CLI)接続手順
TeraTerm起動
TCP/IP ホスト:[IPアドレス入力]
サービス:SSH SSHバージョン[SSH2]
OK
チャレンジレスポンス認証を使う(キーボードインタラクティブ)にチェック
ユーザ名:admin
するとパスワード入力画面が別途表示される。
Password:admin
※F5デフォルトユーザー&パスワード
ログインが成功するとF5のCLI画面が表示される!
CLI画面が接続できない場合はこちらを参考
F5 BIG-IP SSH(CLI) つながらない
NETWORK×NETWORK
F5 バージョンアップ注意事項
F5のファームウェアアップデートするときの注意点。
これ知らなくてご迷惑をおかけしました!!
準備内容は下記ブログを参照。
【BIG-IP】OSバージョンアップ手順
【BIG-IP】 エラー License is not operational について
networkめも(初級)参照
このライセンスキーの再アクティベートが重要です。
やらないと大惨事になります👀
sol7727: License activation may be required prior
to a software upgrade for the BIG-IP or
Enterprise Manager system
F5アップデートするときは確認してから
ファームウェアあげましょう!!!
TOP OF THE NETWORK×NETWORKこれ知らなくてご迷惑をおかけしました!!
準備内容は下記ブログを参照。
【BIG-IP】OSバージョンアップ手順
【BIG-IP】 エラー License is not operational について
networkめも(初級)参照
このライセンスキーの再アクティベートが重要です。
やらないと大惨事になります👀
sol7727: License activation may be required prior
to a software upgrade for the BIG-IP or
Enterprise Manager system
F5アップデートするときは確認してから
ファームウェアあげましょう!!!
NETWORK×NETWORK
F5 BIG-IP 5000 Routing設定
F5でルーティングを有効にする方法メモ。
◆ルーティング追加
Network>Routes>Add
Name:Gateway
Destination:0.0.0.0
Netmask:0.0.0.0
Resource:Use Gateway
Gateway Address:IP Address [Gatewayを入力]
>Finished
◆バーチャルサーバ作成
Local Traffic>Virtual Servers>Virtual Server List>Create
General Properties
Name:FORWARDING
Type:Forwarding(IP)
Source Address:0.0.0.0/0
Destination Address:0.0.0.0/0
Service Port:0 [*All Ports]
Notify Status to Virtual Address:
State:Enabled
Configuration(Basic)
Protocol:*All Protocols
Protocol Profile(Client):fastL4
VLAN and Tunnel Traffic:All VLANs and Tunnels
Source Address Translation:None
>Update
これでインターネットにもスイスイいけるはずです。
ちなみにStatusはUnknown(Enabled)で四角い青のままです。
以上。
TOP OF THE NETWORK×NETWORK◆ルーティング追加
Network>Routes>Add
Name:Gateway
Destination:0.0.0.0
Netmask:0.0.0.0
Resource:Use Gateway
Gateway Address:IP Address [Gatewayを入力]
>Finished
◆バーチャルサーバ作成
Local Traffic>Virtual Servers>Virtual Server List>Create
General Properties
Name:FORWARDING
Type:Forwarding(IP)
Source Address:0.0.0.0/0
Destination Address:0.0.0.0/0
Service Port:0 [*All Ports]
Notify Status to Virtual Address:
State:Enabled
Configuration(Basic)
Protocol:*All Protocols
Protocol Profile(Client):fastL4
VLAN and Tunnel Traffic:All VLANs and Tunnels
Source Address Translation:None
>Update
これでインターネットにもスイスイいけるはずです。
ちなみにStatusはUnknown(Enabled)で四角い青のままです。
以上。
NETWORK×NETWORK
F5 BIG-IP 5000 http health moniter
F5でhttp(8080)のヘルスモニタを作成。
Local Traffic>Monitors>Monitor List>Create
Name(任意):http_8080
Type:HTTP
Parent Monitor:http
Alias Service Port:8080 Other
>Finished
これをプールメンバに割り当てた。
Local Traffic>Pools>Pool List>[割り当てるPoolを選択]>
Health Monitors>http_8080(先ほど作成)を選択>Update
これだとなぜかStatusがダウンした状態になる。
再度先ほど作成したモニタを確認。
Local Traffic>Monitors>Monitor List>http_8080(先ほど作成)
Properties>Configuration[Basic]>
Send String:GET / HTTP/1.1\r\n\r\n
Receive String:HTTP
>Update
これでプールのStatusを確認したところ
Available(Enabled)-The pool is available
になっていました。
めでたし、めでたし。。
TOP OF THE NETWORK×NETWORKLocal Traffic>Monitors>Monitor List>Create
Name(任意):http_8080
Type:HTTP
Parent Monitor:http
Alias Service Port:8080 Other
>Finished
これをプールメンバに割り当てた。
Local Traffic>Pools>Pool List>[割り当てるPoolを選択]>
Health Monitors>http_8080(先ほど作成)を選択>Update
これだとなぜかStatusがダウンした状態になる。
再度先ほど作成したモニタを確認。
Local Traffic>Monitors>Monitor List>http_8080(先ほど作成)
Properties>Configuration[Basic]>
Send String:GET / HTTP/1.1\r\n\r\n
Receive String:HTTP
>Update
これでプールのStatusを確認したところ
Available(Enabled)-The pool is available
になっていました。
めでたし、めでたし。。
NETWORK×NETWORK
F5 証明書更新コマンド
F5 BIG-IP2000で突然クライアントが認証できなくなった。
一気にすべて使用できなくなったので原因はサーバかF5あたりか。
クライアント側を確認したところcrl expiredと表示されている。
実際の証明書を確認したところ有効期限はまだまだ先。
どうやらF5側の問題のようだ。
crlの更新がうまくいってないように考えられる。
そこでcrlをコマンドで更新してみた。
◆crlコマンド更新
[root@:Active:Standalone] config # /root/crl/update_crl.sh
Active F5: Continuing...
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
101 2222 101 2222 0 0 2345 0 --:--:-- --:--:-- --:--:-- 111k
crl upload success.
◆crlログ確認
[root@:Active:Standalone] config # cat /root/crl/update_crl.log
Active F5: Continuing...
crl upload success.
◆crlエラーログ確認
[root@:Active:Standalone] config # cat /root/crl/update_crl_err.log
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
101 2222 101 2222 0 0 7777 0 --:--:-- --:--:-- --:--:-- 111k
[root@:Active:Standalone] config #
crl upload success.と表示あされたあと再度
確認したところ無事クライアント認証できました!
よかった。
TOP OF THE NETWORK×NETWORK一気にすべて使用できなくなったので原因はサーバかF5あたりか。
クライアント側を確認したところcrl expiredと表示されている。
実際の証明書を確認したところ有効期限はまだまだ先。
どうやらF5側の問題のようだ。
crlの更新がうまくいってないように考えられる。
そこでcrlをコマンドで更新してみた。
◆crlコマンド更新
[root@:Active:Standalone] config # /root/crl/update_crl.sh
Active F5: Continuing...
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
101 2222 101 2222 0 0 2345 0 --:--:-- --:--:-- --:--:-- 111k
crl upload success.
◆crlログ確認
[root@:Active:Standalone] config # cat /root/crl/update_crl.log
Active F5: Continuing...
crl upload success.
◆crlエラーログ確認
[root@:Active:Standalone] config # cat /root/crl/update_crl_err.log
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
101 2222 101 2222 0 0 7777 0 --:--:-- --:--:-- --:--:-- 111k
[root@:Active:Standalone] config #
crl upload success.と表示あされたあと再度
確認したところ無事クライアント認証できました!
よかった。
NETWORK×NETWORK
