F5 BIG-IPを初期化してリストアするとき
基本的に設定が飛ぶことはありません。
※ただし機器を変更してリストア作業する場合
シリアルキーが必要になります。
UCSバックアップをしっかり行ってからやりましょう。
1.F5 BIG-IP 初期化作業
2.再度セットアップユーティリティを実行。
ホストネーム、ルートアカウント及びアドミンアカウントパスワード再入力。
※ログイン時はadmin/adminに戻っている。
3.パスワードを設定すると再ログインを要求される。
4.ログイン後、Network>Finishedでセットアップを終了。
5.System>Archivesから事前にバックアップしておいた
UCSファイルを選択してRestoreを実行。
以上で元通りに戻ります。
通常機器の故障でリプレースする場合が多いと思うので
作業前のバックアップやシリアルの控えなどは必ずとって
おきましょう。
スポンサードリンク
F5 BIG-IP 初期化
F5 BIG-IP 初期化手順。
1.TeraTermでコンソール接続。
2.初期化コマンド
-------------------
#tmsh
(tmos)#load sys config default
(tmos)#y
#save sys config
--------------------
[削除される設定]
・全ての Local Traffic 設定
・全ての Network 設定
・システムメンテナンスアカウント以外のアカウント
[維持される設定]
・Management IP アドレス
・システムメンテナンスアカウント/パスワード(root and admin)
・ライセンスファイル
・.UCSファイル etc.
これで初期化できます。
TOP OF THE NETWORK×NETWORK1.TeraTermでコンソール接続。
2.初期化コマンド
-------------------
#tmsh
(tmos)#load sys config default
(tmos)#y
#save sys config
--------------------
[削除される設定]
・全ての Local Traffic 設定
・全ての Network 設定
・システムメンテナンスアカウント以外のアカウント
[維持される設定]
・Management IP アドレス
・システムメンテナンスアカウント/パスワード(root and admin)
・ライセンスファイル
・.UCSファイル etc.
これで初期化できます。
NETWORK×NETWORK
F5 BIG-IP SCF(テキスト)バックアップ
F5 BIG-IPのGUIはわかりやすくバックアップも
WEBからUCSで保存することができる。
ただUCSだと簡単にテキストで中身をみることができない。
そこでSCF(テキスト)バックアップをしてみた。
1.TeraTermでSSH接続
TeraTermを使用してSSHでログイン。
ユーザを入力してチャレンジレスポンスモードでパスワード入力。
※接続できない場合はここを確認
2.tmsh実行
Last login: Fri May 17 00:00:00 2014 from 192.168.1.100
[root@Test:ModuleNotLicensed:Active:In Sync]config # tmsh
3.ファイルテキストバックアップ
root@(Test)(cfg-sync In Sync)(ModuleNotLicensed:Active)(/Common)(tmos) #
save sys config file [Test_20140517(ファイル名)]
Saving running configuration...
/var/local/scf/Test_20140517
/var/local/scf/Test_20140517.tar
root@(Test)(cfg-sync In Sync)(ModuleNotLicensed:Active)(/Common)(tmos) #quit
4.確認
[root@Test:ModuleNotLicensed:Active:In Sync]config # cd /var/local/scf
[root@Test:ModuleNotLicensed:Active:In Sync]scf # ls
Test_20140517 Test_20140517.tar
[root@Test:ModuleNotLicensed:Active:In Sync]scf #
5.作成したテキストファイルをローカル保存
TeraTermのファイル>SSH SCP
今回はF5からPCへファイルをダウンロードするので下段枠に入力。
From:/var/local/scrf/Test_20140517.tar(保存したファイル名)
To:C:\Program Files\teraterm(保存先)
Recieve
これでファイルが指定した保存先に保存されていればOK。
TOP OF THE NETWORK×NETWORKWEBからUCSで保存することができる。
ただUCSだと簡単にテキストで中身をみることができない。
そこでSCF(テキスト)バックアップをしてみた。
1.TeraTermでSSH接続
TeraTermを使用してSSHでログイン。
ユーザを入力してチャレンジレスポンスモードでパスワード入力。
※接続できない場合はここを確認
2.tmsh実行
Last login: Fri May 17 00:00:00 2014 from 192.168.1.100
[root@Test:ModuleNotLicensed:Active:In Sync]config # tmsh
3.ファイルテキストバックアップ
root@(Test)(cfg-sync In Sync)(ModuleNotLicensed:Active)(/Common)(tmos) #
save sys config file [Test_20140517(ファイル名)]
Saving running configuration...
/var/local/scf/Test_20140517
/var/local/scf/Test_20140517.tar
root@(Test)(cfg-sync In Sync)(ModuleNotLicensed:Active)(/Common)(tmos) #quit
4.確認
[root@Test:ModuleNotLicensed:Active:In Sync]config # cd /var/local/scf
[root@Test:ModuleNotLicensed:Active:In Sync]scf # ls
Test_20140517 Test_20140517.tar
[root@Test:ModuleNotLicensed:Active:In Sync]scf #
5.作成したテキストファイルをローカル保存
TeraTermのファイル>SSH SCP
今回はF5からPCへファイルをダウンロードするので下段枠に入力。
From:/var/local/scrf/Test_20140517.tar(保存したファイル名)
To:C:\Program Files\teraterm(保存先)
Recieve
これでファイルが指定した保存先に保存されていればOK。
NETWORK×NETWORK
F5 BIG-IPシリーズ ポート数
F5のBIG-IP1600のポート数は4つだった。
その後継機にあたる
F5のBIG-IP2000はポート数が8つになった。
BIG-IP1600 : 1.1 - 1.4
BIG-IP2000 : 1.1 - 1.8
ポート数が増えて不便になることはないので
いいことである!
あとFAILOVERポートの形状が変わった。
BIG-IP 1500, 1600, 3400, 3600, 3900, 6400,
6800, 6900, 8900, 8950, 11000, 11050シリーズは
DE9 9-pin D-sub ケーブルコネクタ。
BIG-IP 2000, 4000, 5000, 7000, 10000シリーズは
RJ-45 CAT 5 crossover ケーブルコネクタ。
SOL1426 : Pinouts for the failover cable used with BIG-IP platforms
こちらは注意が必要だな。
TOP OF THE NETWORK×NETWORKその後継機にあたる
F5のBIG-IP2000はポート数が8つになった。
BIG-IP1600 : 1.1 - 1.4
BIG-IP2000 : 1.1 - 1.8
ポート数が増えて不便になることはないので
いいことである!
あとFAILOVERポートの形状が変わった。
BIG-IP 1500, 1600, 3400, 3600, 3900, 6400,
6800, 6900, 8900, 8950, 11000, 11050シリーズは
DE9 9-pin D-sub ケーブルコネクタ。
BIG-IP 2000, 4000, 5000, 7000, 10000シリーズは
RJ-45 CAT 5 crossover ケーブルコネクタ。
SOL1426 : Pinouts for the failover cable used with BIG-IP platforms
こちらは注意が必要だな。
NETWORK×NETWORK
F5 BIG-IP2000 インターネット接続
F5 BIG-IP2000でDMZやInternalPCから
インターネット接続ができなかった。
最初はポリシーの問題かと思ったけどBIG-IPは
設定しない限り通信はすべてAcceptのようである。
SSGやFortigateなどのFWではInternalから
インターネット接続を行う場合NATをかけないと
通信できない。
そこでF5でもバーチャルルータを作成してみた。
Local Traffic>Virtual Servers>Create
Name:router
Type:Forwading(IP)
Source:0.0.0.0/0
Destination
:Type Network
:Address 0.0.0.0
:Mask 0.0.0.0
Service Port:0 All Ports
State:Enable
Finished
で作成したところインターネット接続できるようになった。
他にもNAT設定で接続できるようになった。
どっちがいいんだろう・・・・
TOP OF THE NETWORK×NETWORKインターネット接続ができなかった。
最初はポリシーの問題かと思ったけどBIG-IPは
設定しない限り通信はすべてAcceptのようである。
SSGやFortigateなどのFWではInternalから
インターネット接続を行う場合NATをかけないと
通信できない。
そこでF5でもバーチャルルータを作成してみた。
Local Traffic>Virtual Servers>Create
Name:router
Type:Forwading(IP)
Source:0.0.0.0/0
Destination
:Type Network
:Address 0.0.0.0
:Mask 0.0.0.0
Service Port:0 All Ports
State:Enable
Finished
で作成したところインターネット接続できるようになった。
他にもNAT設定で接続できるようになった。
どっちがいいんだろう・・・・
NETWORK×NETWORK
F5 BIG-IP2000 WEB(GUI)接続ができない
F5 BIG-IP2000でGUI設定したい場合WEBで接続する。
マネージメントポートがあるのでIPを設定すると
IEなどからhttps://設定したIPアドレスで接続することができる。
ただ、Internal, DMZ, ExternalなどのポートにWEB接続を
行いたい場合は作成時に設定が必要である。
もちろん作成後も設定変更は可能。
Network>SelfIPs>Create>PortLockdown>
デフォルトがAllow Noneに設定されているので
ここをAllow Allに変更するとhttpsだけでなくSSHでも
接続可能となる。
TOP OF THE NETWORK×NETWORKマネージメントポートがあるのでIPを設定すると
IEなどからhttps://設定したIPアドレスで接続することができる。
ただ、Internal, DMZ, ExternalなどのポートにWEB接続を
行いたい場合は作成時に設定が必要である。
もちろん作成後も設定変更は可能。
Network>SelfIPs>Create>PortLockdown>
デフォルトがAllow Noneに設定されているので
ここをAllow Allに変更するとhttpsだけでなくSSHでも
接続可能となる。
NETWORK×NETWORK
F5 BIG-IP 2000 仮想MACアドレス
F5でフローティングIPアドレス(仮想IP)を設定する場合
仮想MACアドレスも設定しないといけない。
アクティブ機とスタンバイ機で冗長化していても
それぞれのMACアドレスを参照しているため切り替えが
うまくいかない場合がある。
Device Management>Traffic Groups>traffic-group-1を選択
MAC Masquerade Address:[ここに仮想MACアドレスを入力]
※Traffic Groupsの場所はF5のOSバージョンによって場所が違う。
※仮想MACアドレスのルールはこちらを参照。
F5 仮想MACアドレスルール SOL3523
まーようは頭のアドレスが00で始まってる場合は
1bit追加して02になるようである。
設定後の確認としては対向先の機器でMACアドレスを
確認して仮想MACアドレスが表示されていればOK。
PCの場合、c:\>arp -a
ciscoの場合、#show arp
TOP OF THE NETWORK×NETWORK仮想MACアドレスも設定しないといけない。
アクティブ機とスタンバイ機で冗長化していても
それぞれのMACアドレスを参照しているため切り替えが
うまくいかない場合がある。
Device Management>Traffic Groups>traffic-group-1を選択
MAC Masquerade Address:[ここに仮想MACアドレスを入力]
※Traffic Groupsの場所はF5のOSバージョンによって場所が違う。
※仮想MACアドレスのルールはこちらを参照。
F5 仮想MACアドレスルール SOL3523
まーようは頭のアドレスが00で始まってる場合は
1bit追加して02になるようである。
設定後の確認としては対向先の機器でMACアドレスを
確認して仮想MACアドレスが表示されていればOK。
PCの場合、c:\>arp -a
ciscoの場合、#show arp
NETWORK×NETWORK
F5 ライセンス アクティベーション
F5を利用するにはライセンスアクティベーションを
行う必要があります。
ライセンスのアクティベーションを行うと機器の
保守契約が開始されます。
なので保守開始日を考えてアクティベーションを
行う必要がある。
通常はアクティベーションに関しての資料がF5の
箱に同封されているはずである。
今回はネットワールド様の保守なのでここから
手順書をダウンロードしてアクティベーション作業。
http://www.networld.co.jp/f5/partner.htm
TOP OF THE NETWORK×NETWORK行う必要があります。
ライセンスのアクティベーションを行うと機器の
保守契約が開始されます。
なので保守開始日を考えてアクティベーションを
行う必要がある。
通常はアクティベーションに関しての資料がF5の
箱に同封されているはずである。
今回はネットワールド様の保守なのでここから
手順書をダウンロードしてアクティベーション作業。
http://www.networld.co.jp/f5/partner.htm
NETWORK×NETWORK
F5 Hotfix Install方法
Version11.2.1にHotfixをインストールする方法です。
コンフィグ設定はそのまま引き継がれます。
※作業は自己責任で行ってください。
↓事前準備↓
・作業前バックアップ(UCS[イメージ]/SCF[テキスト])
・作業前SYNC
・2号機(スタンバイ)ISOのアップロード/インストール(通信影響なし)
System > Software Management > Hotfix List > Import > イメージを選択 > Import
System > Software Management > Hotfix List > Available Images > インストールしたいイメージにチェック > Install
・1号機(アクティブ)ISOのアップロード/インストール(通信影響なし)
スタンバイ機と同様
※イメージのActivateをしない限りは既存環境に影響ありません。
↓本番作業↓
【2号機作業】
・2号機(スタンバイ)ISOのActivate
System > Software Management > BootLocation > [インストールしたHDを選択] > Activate
これで再起動が実行されます。
※電源は自動的に落ちません。
本体全面モニタを確認しての赤い×ボタンを長押ししてください。
※電源は自動的に起動しません。本体の緑チェックを長押ししてください。
※起動には5分ほどかかります。びびりますが気長にまってください。
・起動してきたらISOの確認を行います。
System > Software Management > Image List > Installed Images
ActivateしたイメージがActive[Yes]になっていることを確認します。
【1号機作業】
・1号機(アクティブ)フェールオーバー作業
Device Management > Devices > Properties > Force to Standby
※これでアクティブ機とスタンバイ機が入れ替わります。
【通信確認作業】
・2号機がアクティブとなったところで通信テストを行います。
【1号機作業】
・1号機(スタンバイ)のActivateも上記同様行います。
・起動したらISOの確認を行います。
System > Software Management > Image List > Installed Images
ActivateしたイメージがActive[Yes]になっていることを確認します。
すべての作業が終わり起動してきたら
再度1号機をアクティブ、2号機をスタンバイに強制フェールオーバーします。
再度通信確認を行い問題なければOKです。
TOP OF THE NETWORK×NETWORKコンフィグ設定はそのまま引き継がれます。
※作業は自己責任で行ってください。
↓事前準備↓
・作業前バックアップ(UCS[イメージ]/SCF[テキスト])
・作業前SYNC
・2号機(スタンバイ)ISOのアップロード/インストール(通信影響なし)
System > Software Management > Hotfix List > Import > イメージを選択 > Import
System > Software Management > Hotfix List > Available Images > インストールしたいイメージにチェック > Install
・1号機(アクティブ)ISOのアップロード/インストール(通信影響なし)
スタンバイ機と同様
※イメージのActivateをしない限りは既存環境に影響ありません。
↓本番作業↓
【2号機作業】
・2号機(スタンバイ)ISOのActivate
System > Software Management > BootLocation > [インストールしたHDを選択] > Activate
これで再起動が実行されます。
※電源は自動的に落ちません。
本体全面モニタを確認しての赤い×ボタンを長押ししてください。
※電源は自動的に起動しません。本体の緑チェックを長押ししてください。
※起動には5分ほどかかります。びびりますが気長にまってください。
・起動してきたらISOの確認を行います。
System > Software Management > Image List > Installed Images
ActivateしたイメージがActive[Yes]になっていることを確認します。
【1号機作業】
・1号機(アクティブ)フェールオーバー作業
Device Management > Devices > Properties > Force to Standby
※これでアクティブ機とスタンバイ機が入れ替わります。
【通信確認作業】
・2号機がアクティブとなったところで通信テストを行います。
【1号機作業】
・1号機(スタンバイ)のActivateも上記同様行います。
・起動したらISOの確認を行います。
System > Software Management > Image List > Installed Images
ActivateしたイメージがActive[Yes]になっていることを確認します。
すべての作業が終わり起動してきたら
再度1号機をアクティブ、2号機をスタンバイに強制フェールオーバーします。
再度通信確認を行い問題なければOKです。
NETWORK×NETWORK
F5 BIG-IP password(初期パスワード)
F5のログイン初期パスワードは昔だと
【旧Ver】
UserID:root
Password:default
Level:Administrator
【最近Ver】
UserID:admin
Password:admin
Level:Administrator
http及びSSHどちらで接続する場合も同じ。
TOP OF THE NETWORK×NETWORK【旧Ver】
UserID:root
Password:default
Level:Administrator
【最近Ver】
UserID:admin
Password:admin
Level:Administrator
http及びSSHどちらで接続する場合も同じ。
NETWORK×NETWORK
