2. 2
Introducción a F5
Application Delivery Networking
– S'assurer que les applications sont SÉCURITAIRES,
RAPIDES, DISPONIBLES
Productos F5:
– BIG-IP Local Traffic Manager
– BIG-IP Link Controller
– BIG-IP Global Traffic Manager
– BIG-IP Access Policy Manager
– BIG-IP Application Security Manager
– Enterprise Manager
– WanJet / Web Accelerator
3. 3
BIG-IP Local Traffic Manager
Internet
• Équilibrage de la charge sur les
serveurs
• Surveillance de l'état des
serveurs
4. 4
BIG-IP Global Traffic Manager (GTM)
Internet
• Équilibrage de charge DNS
• Par exemple: www.f5.com = fr 1
• Surveillance de l'état du serveur
207.46.134.222
65.197.145.183
143.166.83.200
GTM
www.f5.com = ?
207.46.134.222
www.f5.com = ?
143.166.83.200
www.f5.com = ?
207.46.134.222
5. 5
ISP #1 ISP #2
BIG-IP Link Controller
Internet
• Équilibrage des serveurs
• Liens d'entrée
• Liens de sortie
3 types d'équilibrage
6. 6
BIG-IP Enterprise Manager
LTMGTM
• Gestion des versions et
sauvegarde centralisée
• Vue centralisée des certificats
SSL
• Contrôle et inventaire des
appareils
• Prend en charge jusqu'à 300
appareils
7. 7
BIG-IP Access Policy Manager
Big-IP APM
File Servers
Web Servers
telnet a Hosts
E-mail Servers
Terminales /
Citrix
Desktop
SSL VPN
Autenticación
Autorización
Accès à distance via un navigateur ou un VPN SSL
Autorisation par groupe
8. 8
BIG-IP Application Security Manager
Firewall de couche 7
• Bloquer les attaques Web
connues ou inconnues
• Proxy inverse
• Vérification du contenu de la
sortie
216.34.94.17:80
Internet
207.17.117.25
9. 9
Web Accelerator
Cliente Web Server
• Accélérer les applications Web
• Temps de réponse plus longs
• Augmente la capacité des serveurs
• Réduire la charge du système
• Réduit le besoin de BW
• Transparent pour les utilisateurs et les applications
10. 10
1. Introduction
2. Local Traffic
3. NAT & SNAT
4. TMSH et BigIP
Management
5. Monitors and States
6. Profiles
14. 14
Plataformas BIG-IP
Hardware and virtualized designed solutions for app. sec.
•High-end Enterprise Datacenter WAF – VIPRION and 11000 series
•Industry’s best performance for low end with 1600
•Low throughput Web Application Firewall for budget conscious
buyer
•App. sec. on hypervisor infrastructure* with BIG-IP ASM VE
•Cost-effective scale and attack mitigation
8900VIPRION
4400 and 2400
6900 3900 , 3600
and 1600
11000
Virtual Edition
21. 21
Pas à pas - Connectivité initiale
1. Rack et connexions
2. Panneau LCD
3. Accès Web et SSH
4. Utilisateurs
22. 22
Paso 1 - BIG-IP Chassis Front (3600)
• Installez le kit de rack
• Connectez le câble d'alimentation
• Connectez le câble réseau dans
l'interface identifiée comme MGMT
USB Failover Ethernet
MGMT Console
LCD PanelGigabit SFP
ControlsFan Ports
23. 23
Étape 2 - Panneau LCD
LCD Panel
Controls
Le panneau a un menu avec les éléments suivants
• Menu d'information
• Menu système
• Menu des écrans
• Menu Options
24. 24
Étape 2 - Panneau LCD - cont.
1. Nous bougeons avec la flèche vers le haut et la flèche vers le bas
jusqu'à ce que nous sélectionnions "Menu Système" (pour
sélectionner, appuyez sur la touche verte centrale)
2. Dans ce menu, nous ne bougeons pas jusqu'à ce que nous
sélectionnions "Adresse IP". Nous configurons l'IP MGMT là.
3. Nous répétons l'opération de l'étape pour la partie "Netmask" et
"Route par défaut"
4. IMPORTANT: Une fois terminé, sélectionnez l'option Valider et
confirmez avec la touche verte centrale.
25. 25
Étape 3 - Accès
Deux types d'accès
• Web Interface
• HTTPS (remote)
• Command Line
• SSH (remote)
– Management Port
– Self-IPs
– SCCP / AOM
• Serial Terminal
26. 26
Étape 3 - Accès - Cont.
• Depuis un navigateur, entrez l'adresse IP configurée dans
l'exemple de l'écran LCD étape: https://172.27.166.174
27. 27
Étape 3 - Accès - Cont.
• Avec un logiciel de type terminal (putty ou crt), entrez
l'adresse IP configurée à l'étape Exemple de panneau
LCD: 192.168.21.215 à port 22
28. 28
Étape 4 - utilisateurs
• Pour l'accès via le Web, l'utilisateur par défaut est admin
• Pour l'accès vis SHH l'utilisateur par défaut est root
29. 29
Configuration initiale de BIG-IP
1. Config utility
– Adresse IP pour l'interface de gestion
– Licence
– Setup utility
– Clé Root
– Adresses IP pour les VLAN
– Affectation d'interfaces aux réseaux
locaux virtuels
– Clé Web Admin
– Acceso SSH
31. 31
Internet
Licence - Automatique
• Exécuter l'utilitaire de
configuration
• Entrer la clé d'enregistrement
PC BIG-IP
• Prenez la licence de F5
• Sélectionnez les paramètres
F5 License Server
activate.F5.com
• Redémarrer
32. 32
Licenciamiento – Manual
PC
BIG-IP
F5 License Server
activate.F5.com
Internet
•Copier le dossier sur un PC
connecté à Internet
•Collez le dossier à F5
• Télécharger la licence sur le
PC
•Téléchargement
et installation du
fichier de licence
Setup utility
PC
• https://activate.F5.com
Redémarrer
37. 37
Serveurs virtuels, membres et nœuds
Configuration de serveurs virtuels et de pools
Méthodes d'équilibrage de charge
Configuration de l'équilibrage de charge
Load Balancing
38. 38
Pools, membres et nœuds
172.16.20.1 172.16.20.2 172.16.20.3
Noeud = IP
:80 :80 :80
Membre = Noeud + Port
Pool = Groupe de membres
40. 41
Virtual Server - Traduction d'adresses IP
BIG-IP LTM effectue
la traduction des
adresses réseau vers
l'adresse réelle des
serveurs, de sorte
que toutes les
machines soient
considérées comme
un serveur virtuel
unique.
Real Server
Address
Network
Address
Translation
Virtual Server Address
Internet
216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80
172.16.20.2:4002
172.16.20.3:80
41. 42
Flux réseau - Paquet n ° 1
Resuelve www.f5.com a
l'adresse IP du serveur
virtuel 216.34.94.17:80
Internet
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
www.f5.com
DNS Server216.34.94.17:80
42. 43
Flux réseau– Paquet #1
LTM traduit l'adresse de
destination au noeud,
en fonction du Load
Balancing
Internet
Packet # 1
Src - 207.17.117.20:4003
Dest – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
Packet # 1
Src – 207.17.117.20:4003
Dest – 172.16.20.1:80
207.17.117.20
216.34.94.17:80
43. 44
Flux réseau– Paquet #1 Return
LTM traduit l'adresse
source en retour à celle
du Virtual Server
Internet
Packet # 1 - return
Dest - 207.17.117.20:4003
Src – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
Packet # 1 - return
Dest – 207.17.117.20:4003
Src – 172.16.20.1:80
207.17.117.20
216.34.94.17:80
44. 45
Flux réseau– Paquet #2
Internet
Packet # 2
Src - 207.17.117.21:4003
Dest – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
Packet # 2
Src – 207.17.117.21:4003
Dest – 172.16.20.2:4002
207.17.117.21
216.34.94.17:80
53. 54
SNATs
Mapping plusieurs à un
Le trafic initié à une adresse
SNAT est rejeté
Internet
207.10.1.102
172.16.20.1
172.16.20.2
172.16.20.3
54. 55
Pourquoi SNAT
Plusieurs adresses non
routables vers un routable Internet
172.16.20.1
172.16.20.2
172.16.20.3
207.10.1.33
VS - 207.10.1.100
172.16.1.33
172.16.11.45
• Considérations de
routage
• Si l'itinéraire par défaut
des serveurs ne va pas
au LTM
55. 56
SNATs – Flux de trafic typique
Internet
207.10.1.102
172.16.20.1
172.16.20.2
172.16.20.3
172.16.20.3:1111
205.229.151.203:80
207.10.1.102:2222
205.229.151.203:80
56. 57
SNATs – Flux de réponse
Internet
207.10.1.102
172.16.20.1
172.16.20.2
172.16.20.3
205.229.151.203:80
172.16.20.3:1111
205.229.151.203:80
207.10.1.102:2222
58. 59
SNAT pour les serveurs virtuels
Internet
172.16.X.33
172.16.20.1
172.16.20.2
172.16.20.3
Trafic vers les VS
10.10.X.100:443
SNAT Pool – Automap
Floating IP Automap
65. 66
Logs
Ils sont situés dans /var/log
daemons - /var/log/daemon.log
gtm - /var/log/gtm
ltm - /var/log/ltm
Kernel - /var/log/messages
Booteo - /var/log/boot.log
Logrotate pour la rotation des logs
Ils sont stockés dans /var/log/[archivo].1.gz -- /var/log/[archivo].5.gz
67. 68
Concepts généraux des moniteurs
Configuration des moniteurs
Assignation des moniteurs
États de nœuds et membres
Moniteurs
68. 69
Concepts
Vérification de l'adresse IP
Noeud
Vérification du service
IP: port
Vérification du contenu
IP: port + vérification des données de retour
Vérification interactive
Suivi de piste
69. 70
Vérification de l'adresse IP
Les Étapes
-Les paquets sont envoyés
à une adresse IP
-S'il n'y a pas de réponse,
aucun trafic n'est envoyé
aux membres du pool qui
utilisent l'adresse.
-Exemple: ICMP
Internet
172.16.20.1
172.16.20.2
172.16.20.3
ICMP
70. 71
Vérification du service
Les Étapes
-Ouvrir une connexion TCP
(IP: service)
-Fermez la connexion
-Si la connexion TCP échoue,
aucun trafic ne sera envoyé
aux membres associés.
-Exemple: TCP
Internet
172.16.20.1:80
172.16.20.2:80
172.16.20.3:80
TCP
Connection
71. 72
Vérification du contenu
Internet
172.16.20.1:80
172.16.20.2:80
172.16.20.3:80
Les Étapes
-Ouvrir une connexion TCP (IP:
service)
-Envoyer un REQ
-La réponse vient avec des données
utiles
-Fermez la connexion
-Si les données reçues ne
correspondent pas à une règle,
les données ne sont pas
envoyées aux membres associés
-Exemple: http
http GET /
73. 74
Track Check
Les Étapes
-Les colis sont envoyés à
travers, pas à l'appareil
-Vous pouvez vérifier la
direction IP, le service ou
le contenu
-Si la condition n'est pas
remplie, aucun trafic n'est
envoyé via le membre
associé.
Link
Cntl
ISP2ISP1
ISP1
www.f5.com
76. 77
Paramètres supplémentaires
• Règle de réception
- Si le contenu est trouvé, le noeud est
marqué Up
• Règle de réception inverse
- Si le contenu est trouvé, le noeud est
marqué Down
• Transparent
- Si le chemin est disponible, le noeud
est marqué Up
- Utilisé pour surveiller les Links
78. 79
Assignation des moniteurs
Par défaut à tous les nœuds
Options particulières de chaque noeud
- Par défaut
- Spécifique
- Aucun
Par défaut à tous les nœuds
Options particulières de chaque noeud
- Par défaut
- Spécifique
- Aucun
84. 85
Concepts
Un profil est:
• Lorsque le comportement du trafic est défini:
- SSL, compression, persistance ...
- L'application de ce comportement aux VS’s
• Défini à partir d'un modèle
• Dépend d'autres profils
87. 88
Scénario n # 3 - Serveur FTP
Le client démarre la
connexion de contrôle
Le serveur commence la
connexion de transfert
de données
88. 89
Dépendances
Certains ne
peuvent pas être
combinés dans le
même VS
Dépendances
suivant le modèle
OSI
TCP
HTTP
Cookie
UDP
FTP
Network
Data Link
Physical
89. 90
Types de profils
Services - Orienté vers le type de données
Persistance - Orienté vers la session
Protocoles - orientés vers la connexion
SSL - Orienté vers le cryptage
Authentification - Orientée vers la sécurité
Autres - Orienté vers le flux de données TCP
90. 91
Concepts de configuration
Créé à partir de profils par défaut
Les profils par défaut peuvent être modifiés mais pas
supprimés
Il y a des relations Père-Fils
Stocké dans /config/profile_base.conf
91. 92
Virtual Server Default Profiles
Chaque serveur virtuel a au moins 1 profil
TCP: pour le traitement des données TCP par
VS’s
UDP: pour le traitement des données UDP de
VS’s
FastL4: pour les VS’s qui ont une accélération
matérielle (PVA)
Fasthttp: pour le traitement du trafic HTTP de
VS’s et son accélération
96. 97
Persistance par la direction de l'origine
Persistance par Cookie
- Insert, Rewrite, Passive & Hash
Persistance
97. 98
Persistance selon la direction d'origine
Basé sur l'adresse IP du client
Netmask -> Plage d'adresses
1
2
3
1
2
3
205.229.151.10
205.229.152.11
Netmask
255.255.255.0
205.229.151.107
100. 101
Persistance par Cookie
Mode d'insertion
- BIG-IP LTM Insère le cookie dans le flux
Mode de réécriture
- Le serveur Web crée le cookie
- BIG-IP LTM le modifie
Mode passif
-Le serveur Web crée le cookie
-BIG-IP LTM le lit
105. 107
Maintenance BigIP
im <hotfix>
# im Hotfix-BIGIP-9.4.8-385.0-HF2.im
# /usr/bin/full_box_reboot
Installation de HotFix V9.X
Copier le correctif SCP (Ex winscp) dans BIGIP
Connectez-vous avec SSH avec l'utilisateur rootRun la
commande im pour installer le HotFix
L'installation de HotFix implique la réduction des services
redémarrage de l'équipent.
Une fois terminé, exécutez la commande
full_box_reboot
106. 108
Maintenance BigIP
Ils sont téléchargés sur
/shared/images/shared/images
Installation de TMOS
ISOs disponibles para instalarISOs disponibles para instalar
Versiones instaladasVersiones instaladas
107. 109
Maintenance BigIP
Ils sont téléchargés sur
/shared/images/shared/images
Installation de HOTFIX
HOTFIX para instalarHOTFIX para instalar
109. 111
Maintenance BigIP
Installation de HotFix sur V10
Les correctifs sont cumulatifs (HFA3 inclut HFA1 et HFA2).
Chaque Hotfix correspond à un numéro de version (V9.4.X
V10.1.X V10.2.X).
Nous devons avoir deux ou plusieurs volumes installés pour
appliquer les correctifs.
Installez les correctifs logiciels dans des volumes non productifs.
Testez son bon fonctionnement pendant une durée raisonnable.
Nous commençons à utiliser le correctif lorsque nous choisissons
de démarrer avec l'image mise à jour.
There are more intro images to choose from just select the photo and send it to the back.
Let’s look at insert mode cookie persistence in more detail:
Client connects the first time: the web browser has yet to receive a cookie for this site.
BIG-IP detects that no cookie is present, and forwards the connection to the most appropriate available node.
The node issues its http reply to the client.
BIG-IP inserts a cookie with the appropriate expiration value and specific node information.
Client connects back a second time. This time the web browser inserts the cookie in its http request.
BIG-IP reads the cookie, and forwards the connection to the specified server
The node issues its http reply to the client.
BIG-IP updates the expiration value in the cookie.
The advantage of insert mode cookie persistence is that the web servers remain untouched.
The drawback is that the BIG-IP controller has an increased workload.
Note that the BIG-IP controller is unable to forward the incoming connection to the appropriate node until it receives the cookie. As such, it needs to perform the initial TCP handshake with the connecting client. Once the BIG-IP controller has received and read the cookie, it can determine which node to forward the connection on to. Again, the controller must perform the initial TCP handshake with the node. As such, the BIG-IP controller behaves very much like a proxy server.
Let’s look at rewrite mode cookie persistence in more detail:
Client connects the first time: the web browser has yet to receive a cookie for this site.
BIG-IP detects that no cookie is present, and forwards the connection to the most appropriate available node.
The node issues its http reply to the client which includes a blank cookie.
BIG-IP rewrites the cookie with the expiration value and node information.
Client connects back a second time. This time the web browser inserts the cookie in its http request.
BIG-IP reads the cookie, and forwards the connection to the specified server
The node issues its http reply to the client, and again includes a blank cookie in its reply.
BIG-IP rewrites the cookie with the expiration value and node information.
The advantage of rewrite mode cookie persistence is that it somewhat reduces the workload on the BIG-IP controller. Also, the content servers can still have the same configuration, since they generate identical cookies.
The drawback is that each server needs to be modified to generate the cookie, and the BIG-IP controller still needs to rewrite the cookies.
Let’s look at passive mode cookie persistence in more detail:
Client connects the first time: the web browser has yet to receive a cookie for this site.
BIG-IP detects that no cookie is present, and forwards the connection to the most appropriate available node.
The node issues its http reply to the client which includes a cookie with the expiration value and its node information.
BIG-IP leaves the cookie untouched.
Client connects back a second time. This time the web browser inserts the cookie in its http request.
BIG-IP reads the cookie, and forwards the connection to the specified server
The node issues its http reply to the client which includes a cookie with the expiration value and its node information.
BIG-IP leaves the cookie untouched.
The advantage of passive mode cookie persistence is that it reduces the workload on the BIG-IP controller.
The drawback is that each content server needs to be configured to generate a specific cookie.
Let’s look at passive mode cookie persistence in more detail:
Client connects the first time: the web browser has yet to receive a cookie for this site.
BIG-IP detects that no cookie is present, and forwards the connection to the most appropriate available node.
The node issues its http reply to the client which includes a cookie with the expiration value and its node information.
BIG-IP leaves the cookie untouched.
Client connects back a second time. This time the web browser inserts the cookie in its http request.
BIG-IP reads the cookie, and forwards the connection to the specified server
The node issues its http reply to the client which includes a cookie with the expiration value and its node information.
BIG-IP leaves the cookie untouched.
The advantage of passive mode cookie persistence is that it reduces the workload on the BIG-IP controller.
The drawback is that each content server needs to be configured to generate a specific cookie.