F5_V9申请并激活License

密级：文档编号：第版分册名称：第册/共册如何申请并激活License（V9）F5 NETWORKS北京信诺瑞得信息技术有限公司李亮如何申请并激活License（V9）首先打开F5电源，把一根网线（交叉线）连接F5和笔记本电脑，注意F5应连接到管理口3.1，如图1-1所示：图1-1把笔记本电脑的IP地址配置为 192.168.1.* /24 (F5出厂配置的 3.1管理口的缺省IP为192.168.1.245/24或192.168.245.245/24)，如图1-2所示：图1-2打开IE窗口，在地址栏中输入https://192.168.1.245，如图1-3所示：图1-3系统自动弹出一个认证对话框，在此输入缺省的用户名：admin, 缺省的口令：admin。

进入管理界面之后点击Activate进入申请界面，如图1-4所示：下一步，注意选择红圈里的事项，如图1-5所示：图1-5点击Download/Upload File，把dossier作为一个文件下载到本地计算机，如图1-6，1-7，1-8，1-9所示：图1-6图1-7图1-8图1-9登录F5的License激活站点https:///license/dossier.jsp, 然后把刚才download 下来的文件upload上去或者把文本的内容用“记事本”打开，把里面的全部内容复制到文本框中，然后点击“next”激活按钮，如图1-10所示：图1-10点击“Download license”按钮下载License文件到你的笔记本电脑上，（后者直接复制大红圈中的全部文本到你的计算机的bigip.license 文件中），如图1-11所示：图1-11返回WEB管理界面，在下图中点击“浏览”按钮，然后在你的计算机上找到刚才下载的bigip.license文件，如图1-12所示：点击next，安装license完成，一切完成。

B-type SAN 交换机license激活步骤2005-B16默认不支持级联，即E_Ports，需要fc#7450 Full Fabric的激活许可(如果MES升级，Full Fabric编号为fc#7451)，并且一个Fabric里最多支持10台。

下面是级联license，即Full Fabric的激活步骤：1. 在产品包装中找到一张黄颜色的许可清单，在IBM Logo下方标有Feature 7450（或7451）- B16 Full Fabric Upgrade2. 应用如下方法获取B16交换机的LicenseID，所谓LicenseID，就是交换机的WWNa. GUI图形界面：通过网页浏览器，登陆到交换机，默认用户名密码为admin/password，如果B16 FabricOS是5.x以上版本，点击Switch Info按钮后，将显示licenseID信息b. CLI命令行：telnet登陆到B16，默认IP为10.77.77.77，默认用户名密码为admin/password，进入后在命令行下输入 licenseidshow，回车将显示licenseID信息WWN将以10:00:xx:xx:xx:xx:xx:xx,形式出现，这个值对于交换机是唯一的。

3. 登陆以下网址： /storage/key4. 在网页提示下，输入你的电子邮箱地址，LicenseID和许可清单上的Transaction Key注意：LicenseID在World Wide Name区域输入；Transaction Key是大小写敏感的，这个序列号只能在一个交换机上被激活，注册前请不要泄露该信息，注册后也请保留该信息，以备日后有据可查。

5. 提交以上信息后，将在网页上生成Feature Activation Key，请务必记录该信息6. 激活许可a.GUI图形界面：Web登陆后，进入 Switch Admin -> License -> Add,将Feature Activation Key添加后确认即可b.CLI命令行：telnet登陆，使用licenseadd命令激活，格式如下：licenseadd [Feature Activation Key]7.确认激活a.GUI图形界面：Web登陆后，进入 Switch Admin -> License，在license 窗口下如果在features列显示“Fabric”说明激活成功b.CLI命令行：telnet登陆，使用licenseshow命令，输入后屏幕上将输出license信息，回车后如果显示“Fabric License”说明激活成功。

F5LTM VE下载，安装和使用下载https:///trial/secure/，需要用户登陆点击download&documentation点击download点击Virtual-Edition-Trial下载Vmware workstation v7.0版得然后到vmware网站下载vmware workstation7.序列号为JM4AJ-0VL4K-H8C3A-0TCH0-C82L1安装先安装workstation7，默认安装就可以。

解压BIGIP-10.1.0.3341.1078.zip文件，然后在workstation中选择open找到解压缩的文件vmx打开后如下然后准备修改network配置，这里有三个network adapter，第一个为管理mgmt口，另外两个为1.1和1.2口，我们只需要修改一下network adapter1就可以了，我这里选择得是custom（vmnet1）。

点击edit，选择virtual network editor如下显示我将vmnet1得subnetip设置为192.168.226.0，在这里启用了dhcp，由于我的LTM VE中管理ip设置为192.168.226.128，因此我需要将这个subnet ip必须设置成和管理ip一个网段的，在第一次使用LTM VE时，管理ip为自动获取，可以在console中查看然后登陆修改，后面会介绍。

然后我们可以启动LTM VE了然后用root用户，密码default来登录这时候需要等一会才能用https的方式登陆，我们先查看管理ip的地址，用命令ifconfig–a| more我们可以看到mgmt的ip为192.168.226.128，这时我们用https://192.168.226.128这样我们就可以使用了，然后就是申请license了。

申请license我们在https:///trial/secure/点击registration key这里会有我的信息，key最多可以一次申请四个，需要验证码（这个比较烦人），一个key 申请license可以用90天，四个的话可以用360天。

华为路由器License操作指导文档版本01发布日期2020-06-28版权所有 © 华为技术有限公司 2020。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：https://客户服务邮箱：support@客户服务电话：4008302118目录1 License、License分类与License机制 (1)2 查看设备出厂时是否已预激活License (8)3 为新到货设备申请并激活License文件 (10)4 激活硬件RTU与业务License (14)4.1 激活硬件RTU（Right to Use） (14)4.2 激活业务License (19)5 激活试用License (23)6 更换商用License (24)7 变更ESN（如更换备件）时失效并激活License (27)8 升降级版本时管理License (30)9 查看License有效期（剩余激活天数） (35)10 手工启用紧急模式（发生自然灾害或License即将超过保活期时） (36)11 使用License查询工具查看License项 (37)A License文件参数说明 (38)B License常见命令速查 (44)C 申请ESDP网站权限 (47)D 调整多个设备之间的License资源（拆分License） (49)E License激活常见问题处理 (51)E.1 文件不存在（Error: The specified file does not exist） (51)E.2 License文件格式不匹配（Error: The format of the license file is invalid） (52)E.3 ESN或产品版本不匹配（Error: The ESN or version of the license file does not match with the device） (52)E.4 产品类型不匹配（Error: The product type of the license file does not match with the device） (53)E.5 License控制项不匹配（Warning: No product feature is present in the license file） (53)E.6 License文件过期（Info: The license file has expired） (54)E.7 连续验证失败（Error: Verify license failed） (54)E.8 误失效License后如何找回License (55)E.9 执行激活硬件RTU命令失败 (56)E.10 执行激活业务License命令失败 (57)1 License、License分类与License机制License即“许可证”或“授权”，是供应商与客户对所销售/购买的产品使用范围、功能、期限等进行授权/被授权的一种合约形式。

F5LinkController关于LinkController的说明（简称LC）F5的负载均衡有三大产品LTM（LocalTrafficManagement）：服务器负载均衡GTM（GlobalTrafficManagement）：全局多站点负载均衡LC（LinkController）：链路负载均衡LTM通常部署在serverfarm前面，实现对web或者应用服务器的负载均衡GTM的功能可以总结为一个智能的DNS服务器，其内核用的就是LinuxBund9，通过GTM做域名解析来将用户的访问数据流导向不同的站点或者数据中心，同时GTM还可以作为DNS服务器来使用LinkController：LC是LTM和GTM的结合体，LC可以实现简单的4层服务器负载均衡的功能和简单的GTM的功能；因此，LC对内可以实现服务器的负载均衡，对外可以实现多ISP链路接入的负载均衡，通过LC的职能DNS解析功能返回给不同的客户不同的DNS解析结果，这样就可以实现根据一定的策略使不同的用户从不同的ISP线路访问站点2配置过程确定网络结构图，确定应用的访问流程，确定详细地址和路由规划设备初始化LTM部分设置：主要是设置VirtualServer和Outbound流量的负载均衡LinkController部分设置：主要是通过域名解析的方式实现Inbound流量的负载均衡双机设置如何进行测试如何进行故障排查3第一部分设备初始化配置4，设备初始化内容安装BIG-IPVersion 的版本，最好是通过Vmware 全新安装的方式，不要通过IM 升级的方式 打最新的Hotfix ，目前版本最新的Hotfix 版本为可以通过 进行下载配置管理地址和管理路由 如果使用默认地址，管理口为如果需要使用其它地址，可以在console 下通过config 命令进 行修改，也可以通过液晶面板按键操作进行修改激活设备，申请license设置正确的时区，一般为asia/shanghai ，以及确认或者修改 系统时间（在命令行下通过date 命令进行修改）设定管理员admin （Forweb ，默认为admin ），root （For CLI ，默认为default ）的密码5安装操作系统确认设备软件版本，要求为BIG-IPVersion，在CLI下用命令bversion查看如果不是，请安装BIG-IPVersion的版本，最好是通过Vmware全新安装的方式，不要通过IM升级的方式安装方法请参考相关《BIGIP设备操作系统安装手册》文档注意，在安装之前请备份/config/文件通常，该文件内容如下：[root@f5:Active]config#moreRegistrationKey:KQYHC-UMEAR-FHHUK-FJDPU-YFYHAKJ 设备重装后，该文件会丢失，而设备的license激活需要该文件，如果不慎丢失，需要开一个case要求F5T ac帮忙查找，会比较麻烦6， 安装补丁要求安装最新的Hotfix ，目前版本最新的Hotfix 版本为 可以通过 进行下载，下载的时候需要申请一个F5网站的帐号，登陆后即可下载 有了Hotfix 文件后，需要将文件上传到F5设备上，通常上传到/tmp 目录下F5设备不支持telnet 和ftpserver ，但是默认是一个SFTPserver ， 可以通过SecureFTP 客户端直接连接到F5设备上，通过root 帐号登 陆，进行文件的上传和下载；如果没有SecureFTP 客户端，也可以 在笔记本上起一个FTP 服务器，再通过CLI 从F5设备连接到笔记本上 来拉Hotfix 文件上传Hotfix 后，安装Hotfix 前，请通过console 连接到设备上，进入 /tmp 目录下，通过执行命令im （hotfix 文件名），安装将会自动完 成安装完成后，设备会提示你对设备进行fullboxreboot ，即输入命令 /usr/bin/full_box_reboot ，等待设备重启完成，也可以将设备关电 重启，完成后可以用命令bversion 进行验证7激活设备license设备激活后license如右图所示，请确认license的正确性8初始化基本设置设置管理口地址和管理路由，默认为设置HostName，注意要求为一个FQDN设置HighAvailability模式，此处为单机模式，选择SingleDevice，如果做双机，则要选择RedundantPair设置TimeZone，通常为Asia/shanghai设置Root和Admin密码，默认为root/default，admin/admin9第二部分LCOutbound流量均衡部分配置10LinkController实施前的准备确定网络结构图！确定网络结构图！确定网络结构图！确定应用的访问流程！确定应用的访问流程！确定应用的访问流程！确定合理正确的地址路由规划！确定合理正确的地址路由规划！确定合理正确的地址路由规划！11地址规划ISPCT ISPCNCVlanCT：F5LinkControllerVlanINTERNAL：Firewall WEB1WEB2办公网用户12VlanCNC：LCV9配置逻辑结果图-Outbound流量Link1Link2Default_Gateway_Pool VSiRulesLink1Link2InternalClientsLinkController13配置VLAN添加3个VLAN：CNCCTINTERNAL，并对每个VLAN划分端口14配置SELFIP按照地址规划配置每个VLAN的IP地址15配置一个Default_Gateway_Pool16配置默认路由配置默认路由，指向Default_Gateway_Pool17配置其它静态路由18配置OutboundVirtualServer（简称VS）19LCOutbound流量均衡部分配置说明这样，基本的Outbound负载均衡的配置就结束了，内部的用户，可以通过两条线路访问外面了下面我们要继续进一步讨论如何优化Outbound负载均衡的策略和满足一些特殊的需求，主要是通过iRules来实现的20Outbound的高级配置－根据运营商选择线路典型需求如下：对于去往中国电信的访问，走电信的线路CT_Pool，当电信的线路故障时，走网通的线路，对于去往中国网通的访问，走网通的线路CNC_Pool，当网通的线路故障时，走电信的线路，其他的访问在中国电信和中国网通之间负载均衡Default_Gateway_Pool配置过程：建立Pool建立电信/网通地址库的class建立Rules将Rules和VirtualServer进行绑定21由于当电信的线路故障时候需要用网通的线路做备份，所以在CT_Pool里面启用了”PriorityGroupActivation”，把电信线路的Priority设置高一些，而网通线路的Priority设置低一些。

配置介绍登录:F5有一个默认接口,IP地址为192.168.1.245,默认账号密码为admin/admin,可以通过SSH 或者HTTPS等方式进行登录(不能用telnet).也可以通过CONSOLE线进行配置.激活license: 假如license过期,则可以通过修改时间等方法来进行使用.用命令：＃date MMDDhhmmYYYY.SS修改系统时间[root@localhost:Active] config # date 092115442005Wed Sep 21 15:44:00 PDT 2005[root@localhost:Active] config #然后运行：＃hwclock --systohc将系统时间存到BigIP BIOS 里，否则下次启动系统时间将再次不对。

(此种命令行方式需要SSH等方式进行登录)注册方式在另一F5 license管理文件中有详细介绍.接口介绍: 根据设备型号的不同f5上的接口数也不尽相同.主要有MANAGEMENT口,电口(Ethernet口),console口,failover口.,另外有个usb口Mgmt口: management口,即拥有默认地址192.168.1.245的接口,主要用于登录管理. Console口: 与交换机console口作用相同Failover口: 用于进行HA操作,有专门的failover线进行连接,但据F5方面介绍据说使用普通网线也能够进行failover配置,该问题需要进一步研究.Ethernet口: 用于连接网络设备或主机.Usb口: 主要用于安装操作系统.注:安装操作系统的主要方式是在一台PC上安装虚拟机(vmvare),并将该pc与F5通过网络相连,具体操作方法见<F5系统安装傻瓜书>.F5使用原理介绍:Vlan的配置: 在实施了ha的环境下,一个VLAN的地址由两种地址构成.比如设备A为主,那么他的vlan A下就会有一个self ip,(vlan接口的实际地址),一个floating ip(相当于HSRP中的虚拟地址),同样设备B作为备机也会有一个自己的self ip和floating ip(这个地址与A的floating ip 地址相同).路由的配置: 在这里我们完全可以把F5看成一个普通的三层交换机,根据自身需要去配置路由.这里不做详细介绍.F5下的基本组件: 在这里按照我的理解暂时把这些构成F5的基本元素称为它的组件.VS: 即virtual server,从数据包的角度来看,当一个数据包进入到F5的接口上时,F5会根据数据包自身需要到达的ip地址和端口等信息选择一个VS来对包进行处理.数据包是如何选择VS的呢?在配置中通过设定Destination地址段来进行判定,这种方式就象使用ACL对包进行匹配,Destination地址段指定了一个IP地址段和端口号.例如100.0.0.0/24 :30,如果某个数据包的目标地址是100网段下而且它的目标端口是30那么它就进入到了这个VS的处理进程中.每个VS下包含与其关联的pool和rule.POOL: 数据包在进入了VS后,接下来就要与相应的pool相对应.一个基本的pool配置中主要包括和health monitor(健康检查)和member(成员).在说到健康检查之前我们首先要明白member的概念.Member通常被认为是一个套接字地址(ip与port的组合).比如在我们有N台服务器,通过F5对其进行负载均衡,假设服务器A,B,C同时运行了www,ftp两种服务.F5在进行对FTP 的负载均衡处理时使用了ROUND ROBIN(轮询方式),它第一次将数据发给A,第二次给B,注意到F5仅进行的是FTP的负载均衡,它在处理WWW的负载均衡又可以采用不同的策略.为了将不同的应用从主机上分离出来并实施不同的策略,我们就使用member这一概念来对需要负载均衡的对象进行定义.而健康检查即是F5对每个member所进行轮询的策略,假设A,B,C三个member按照1:1:1的策落进行负载,那么这时候A死机了,F5仍然按照原来的策略发包到A上,那么这无疑是没有必要的,这个时候我们就使用健康检查对其状态进行探测,主要方式有ICMP,TCP,http 等方式.一旦某member挂掉,F5即重新改变负载策略.Member之前的负载关系是通过定义load balancing method来确定的主要的负载方法有round robin(轮询),ratio等方式.还是回到数据包的角度来分析F5是如何运行的,数据包到达后根据其IP地址选择VS,该VS自身看一下它的负载策略,哦,是轮询,上一个包已经发给了member A,那么下个包就该发给member B了.就这样完成了它的负载选择.可以把VS的处理方式看成是一个NAT转换的过程,IP A转给了IP B.需要考虑到的是数据包都是一去一回的,那么我们可能需要在两个方面上进行不同的VS设置.在我们现网的应用中,F5主要用了双出口链路上的负载均衡.在实现这一功能时F5需要特定的license(具体的名称不太记得了).然后在之前提到了VS 和POOL功能之外还需要一些基于命令行的工具如RULE和CLASS的辅助.class ct_class{network 58.32.0.0 mask 255.224.0.0network 59.32.0.0 mask 255.224.0.0network 60.63.0.0 mask 255.255.0.0network 60.160.0.0 mask 255.224.0.0network 61.128.0.0 mask 255.252.0.0network 61.132.0.0 mask 255.255.0.0network 61.133.128.0 mask 255.255.128.0}这段代码是对某运营商地址段的设置.把它们集中到一个类中.例如网通和电信的IP地址段放到不同的class中,名为ct_class和cnc_class.再建立两个不同的POOL,两者的member即为F5对端所连的ISP接入点IP地址. 这两个POOL 可以分别叫做ct_pool和cnc_pool.再使用rule来帮助其选择POOL.rule Rule.Destination_Base_Route{＃timing onwhen CLIENT_ACCEPTED {if { [matchclass[IP::local_addr] equals $::ct_class]}{pool CT_Pool} elseif{ [matchclass[IP::local_addr] equals $::cnc_class]}{pool CNC_Pool} else {pool Default_Gateway_Pool}}}这段代码使用的是LINUX下的VC编辑器语言所写.不过基本的含义还是可以了解当数据包到达触发VS时,首先第一个条件,是否满足它的目标IP包含在ct_class中(电信的地址段),如果满足该条件就进入到CT_POOL中,也就是转换到与电信相连的那个地址上去.如果不满足再看它的目标地址是不是在CNC_CLASS(网通地址段)中,如满足则跑到网通的下一跳.如果还不满足,就选默认POOL,假设这个下一跳是电信.也即是当这个地址既不是电信的也不是网通的我们都把他发到电信链路上去,(电信的实力比较强大).总结F5的原理并不难,但是想要真正掌握到F5的使用也非朝夕之功.比如对RULE的编写,可能更多的需要一些编程的知识.工具是死的,用法是活的,如何让这些VS,POOL为网络需求服务,这个仍需要在实践和研究中继续加强.我这里抛砖引玉提供了一些浅薄之见,大家多多海涵.一些尚不很明确的知识点: SNAT, PROFILE,。