通过抓包查看数据包中的客户端源IP。
抓包命令:~# tcpdump -s0 -nni 0.0:nnn host 10.128.48.1 -vw /var/tmp/text.pcap
备注:10.128.48.147为F5的SNAT地址
F5 命令行查看http会话
命令详解:(tmos)#show sys connection 后面可以加以下参数:
cs-server-addr 指定活动连接的客户端本地地址。支持子网。【VS-IP 常用】
cs-server-port 指定活动连接的客户端本地端口。
cs-client-addr 指定活动连接的客户端远程地址。支持子网。【Client-IP】
cs-client-port 指定活动连接的客户端远程端口。
max-result-limit 指定要显示的最高匹配结果的最大数量。默认 1000。
protocol 指定用于指定连接的协议(例如:tcp、udp)。
ss-server-addr 指定活动连接的服务器端远程地址。【Server-IP】
ss-server-port 指定活动连接的服务器端远程端口。
ss-client-addr 指定活动连接的服务器端本地地址。【SNAT地址】//前提是:做了snat
ss-client-port 指定活动连接的服务器端本地端口。
type 指定用于指定连接的连接类型(例如:any、mirror、self)
常用命令:(tmos)#show sys connection cs-server-addr VS_IP cs-server-port VS_Port
配置记录Log的iRules
Note: 可以看到Pool中成员被访问的客户端源IP的log.
iRules如下:
when CLIENT_ACCEPTED {
set vip [IP::local_addr]:[TCP::local_port]
}
when SERVER_CONNECTED {
set client "[IP::client_addr]:[TCP::client_port]"
set node "[IP::server_addr]:[TCP::server_port]"
log local0.info "Client $client -> VIP: $vip -> Node: $node"
}
将此irules关联VS
后台查看Log日志
Note: 一般可以看到7天左右的日志,如果要看很早的日志,可以查看QKView
cat /var/log/ltm