F5 ltm administering big ip v11

1. 1
F5 BigIP LTM
Administering BigIP v11

2. 2
Introducción a F5
Application Delivery Networking
– S'assurer que les applications sont SÉCURITAIRES,
RAPIDES, DISPONIBLES
Productos F5:
– BIG-IP Local Traffic Manager
– BIG-IP Link Controller
– BIG-IP Global Traffic Manager
– BIG-IP Access Policy Manager
– BIG-IP Application Security Manager
– Enterprise Manager
– WanJet / Web Accelerator

3. 3
BIG-IP Local Traffic Manager
Internet
• Équilibrage de la charge sur les
serveurs
• Surveillance de l'état des
serveurs

4. 4
BIG-IP Global Traffic Manager (GTM)
Internet
• Équilibrage de charge DNS
• Par exemple: www.f5.com = fr 1
• Surveillance de l'état du serveur
207.46.134.222
65.197.145.183
143.166.83.200
GTM
www.f5.com = ?
207.46.134.222
www.f5.com = ?
143.166.83.200
www.f5.com = ?
207.46.134.222

5. 5
ISP #1 ISP #2
BIG-IP Link Controller
Internet
• Équilibrage des serveurs
• Liens d'entrée
• Liens de sortie
3 types d'équilibrage

6. 6
BIG-IP Enterprise Manager
LTMGTM
• Gestion des versions et
sauvegarde centralisée
• Vue centralisée des certificats
SSL
• Contrôle et inventaire des
appareils
• Prend en charge jusqu'à 300
appareils

7. 7
BIG-IP Access Policy Manager
Big-IP APM
File Servers
Web Servers
telnet a Hosts
E-mail Servers
Terminales /
Citrix
Desktop
SSL VPN
Autenticación
Autorización
Accès à distance via un navigateur ou un VPN SSL
Autorisation par groupe

8. 8
BIG-IP Application Security Manager
Firewall de couche 7
• Bloquer les attaques Web
connues ou inconnues
• Proxy inverse
• Vérification du contenu de la
sortie
216.34.94.17:80
Internet
207.17.117.25

9. 9
Web Accelerator
Cliente Web Server
• Accélérer les applications Web
• Temps de réponse plus longs
• Augmente la capacité des serveurs
• Réduire la charge du système
• Réduit le besoin de BW
• Transparent pour les utilisateurs et les applications

10. 10
1. Introduction
2. Local Traffic
3. NAT & SNAT
4. TMSH et BigIP
Management
5. Monitors and States
6. Profiles

11. 11
7. Troubleshooting Big-IP
8. Persistence
9. Administration Big-IP
10. iRules
11. Labs

12. 12
Introduction - Topology
Internet
BIG-IP LTMs
Clients
Servers

13. 13
Plateformes BIG-IP
Installation (utilitaire de configuration)
Configuration des utilitaires et accès des
utilisateurs
Introduction

14. 14
Plataformas BIG-IP
Hardware and virtualized designed solutions for app. sec.
•High-end Enterprise Datacenter WAF – VIPRION and 11000 series
•Industry’s best performance for low end with 1600
•Low throughput Web Application Firewall for budget conscious
buyer
•App. sec. on hypervisor infrastructure* with BIG-IP ASM VE
•Cost-effective scale and attack mitigation
8900VIPRION
4400 and 2400
6900 3900 , 3600
and 1600
11000
Virtual Edition

15. 15
Plataformas BIG-IP
6900
3900
Diferencias
• 8900 (2U)
– Dual CPU, quad core (8 processors), 16G Ram
– 12 puertos 10/100/1G & 8Gbit
• 6900 (2U)
– Dual CPU, dual core (4 processors) 8G Ram
– 16 puertos 10/100/1G & 8Gbit
• 3900 (1U)
– Quad core CPU, 8G Ram, ASIC2
– 8 puertos 10/100/1G & 4Gbit
• 1600 (1U)
– Dual core CPU, 4G Ram
– 4 puertos 10/100/1G & 2Gbit
• Panel LCD de control
• Más información-> http://www.f5.com

16. 16
VIPRION
• C4400 4-Slot Chassis (7U)
Plataformas BIG-IP

17. 17
Plataformas BIG-IP
Blade
• B4200 Blade (1U)

18. 18
Plateformes BIG-IP
BIG-IP 3900
400k L7 RPS
175K L4 CPS
4G L7/L4
TPUT
BIG-IP 6900,
600k L7 RPS
220K L4 CPS
6G L7/L4 TPUT
BIG-IP 8900/
8950
1.9M L7 RPS
800K L4 CPS
Up to 20G
TPUT
BIG-IP
11000/11050,
2.5M L7 RPS
1M L4 CPS
Up to 42G
TPUT
BIG-IP 1600
100k L7 RPS
60K L4 CPS
1G L7/L4
TPUT
BIG-IP 3600
135k L7 RPS
115K L4 CPS
2G L7/L4
TPUT

19. 19
Plateformes BIG-IP

20. 20
Plateformes BIG-IP

21. 21
Pas à pas - Connectivité initiale
1. Rack et connexions
2. Panneau LCD
3. Accès Web et SSH
4. Utilisateurs

22. 22
Paso 1 - BIG-IP Chassis Front (3600)
• Installez le kit de rack
• Connectez le câble d'alimentation
• Connectez le câble réseau dans
l'interface identifiée comme MGMT
USB Failover Ethernet
MGMT Console
LCD PanelGigabit SFP
ControlsFan Ports

23. 23
Étape 2 - Panneau LCD
LCD Panel
Controls
Le panneau a un menu avec les éléments suivants
• Menu d'information
• Menu système
• Menu des écrans
• Menu Options

24. 24
Étape 2 - Panneau LCD - cont.
1. Nous bougeons avec la flèche vers le haut et la flèche vers le bas
jusqu'à ce que nous sélectionnions "Menu Système" (pour
sélectionner, appuyez sur la touche verte centrale)
2. Dans ce menu, nous ne bougeons pas jusqu'à ce que nous
sélectionnions "Adresse IP". Nous configurons l'IP MGMT là.
3. Nous répétons l'opération de l'étape pour la partie "Netmask" et
"Route par défaut"
4. IMPORTANT: Une fois terminé, sélectionnez l'option Valider et
confirmez avec la touche verte centrale.

25. 25
Étape 3 - Accès
Deux types d'accès
• Web Interface
• HTTPS (remote)
• Command Line
• SSH (remote)
– Management Port
– Self-IPs
– SCCP / AOM
• Serial Terminal

26. 26
Étape 3 - Accès - Cont.
• Depuis un navigateur, entrez l'adresse IP configurée dans
l'exemple de l'écran LCD étape: https://172.27.166.174

27. 27
Étape 3 - Accès - Cont.
• Avec un logiciel de type terminal (putty ou crt), entrez
l'adresse IP configurée à l'étape Exemple de panneau
LCD: 192.168.21.215 à port 22

28. 28
Étape 4 - utilisateurs
• Pour l'accès via le Web, l'utilisateur par défaut est admin
• Pour l'accès vis SHH l'utilisateur par défaut est root

29. 29
Configuration initiale de BIG-IP
1. Config utility
– Adresse IP pour l'interface de gestion
– Licence
– Setup utility
– Clé Root
– Adresses IP pour les VLAN
– Affectation d'interfaces aux réseaux
locaux virtuels
– Clé Web Admin
– Acceso SSH

30. 30
config Utility
Adresse IP initiale : 192.168.1.245 F5 en Hexadecimal

31. 31
Internet
Licence - Automatique
• Exécuter l'utilitaire de
configuration
• Entrer la clé d'enregistrement
PC BIG-IP
• Prenez la licence de F5
• Sélectionnez les paramètres
F5 License Server
activate.F5.com
• Redémarrer

32. 32
Licenciamiento – Manual
PC
BIG-IP
F5 License Server
activate.F5.com
Internet
•Copier le dossier sur un PC
connecté à Internet
•Collez le dossier à F5
• Télécharger la licence sur le
PC
•Téléchargement
et installation du
fichier de licence
Setup utility
PC
• https://activate.F5.com
Redémarrer

33. 33
Setup Utility
https://Management IP Address

34. 34
Setup Utility – Adressage

35. 35
Web Configuration utility

36. 36
Local Traffic Manager
1 2 3 4
5 6 7 8
Internet

37. 37
Serveurs virtuels, membres et nœuds
Configuration de serveurs virtuels et de pools
Méthodes d'équilibrage de charge
Configuration de l'équilibrage de charge
Load Balancing

38. 38
Pools, membres et nœuds
172.16.20.1 172.16.20.2 172.16.20.3
Noeud = IP
:80 :80 :80
Membre = Noeud + Port
Pool = Groupe de membres

39. 40
Virtual Server
Internet
172.16.20.4:8080
172.16.20.2:4002
172.16.20.3:80
Virtual Server
• Adresse IP
• + Service (Port)
• "Écouter" et gérer le trafic
entrant
216.34.94.17:80
• Normalement associé
à un Pool

40. 41
Virtual Server - Traduction d'adresses IP
BIG-IP LTM effectue
la traduction des
adresses réseau vers
l'adresse réelle des
serveurs, de sorte
que toutes les
machines soient
considérées comme
un serveur virtuel
unique.
Real Server
Address
Network
Address
Translation
Virtual Server Address
Internet
216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80
172.16.20.2:4002
172.16.20.3:80

41. 42
Flux réseau - Paquet n ° 1
Resuelve www.f5.com a
l'adresse IP du serveur
virtuel 216.34.94.17:80
Internet
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
www.f5.com
DNS Server216.34.94.17:80

42. 43
Flux réseau– Paquet #1
LTM traduit l'adresse de
destination au noeud,
en fonction du Load
Balancing
Internet
Packet # 1
Src - 207.17.117.20:4003
Dest – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
Packet # 1
Src – 207.17.117.20:4003
Dest – 172.16.20.1:80
207.17.117.20
216.34.94.17:80

43. 44
Flux réseau– Paquet #1 Return
LTM traduit l'adresse
source en retour à celle
du Virtual Server
Internet
Packet # 1 - return
Dest - 207.17.117.20:4003
Src – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
Packet # 1 - return
Dest – 207.17.117.20:4003
Src – 172.16.20.1:80
207.17.117.20
216.34.94.17:80

44. 45
Flux réseau– Paquet #2
Internet
Packet # 2
Src - 207.17.117.21:4003
Dest – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
Packet # 2
Src – 207.17.117.21:4003
Dest – 172.16.20.2:4002
207.17.117.21
216.34.94.17:80

45. 46
Flux réseau– Paquet #2 Return
Internet
Packet # 2 - return
Dest - 207.17.117.21:4003
Src – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
Packet # 2 - return
Dest – 207.17.117.21:4003
Src – 172.16.20.2:4002
207.17.117.21
216.34.94.17:80

46. 47
Flux réseau– Paquet #3
Internet
Packet # 3
Src - 207.17.117.25:4003
Dest – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
Packet # 3
Src – 207.17.117.25:4003
Dest – 172.16.20.4:8080
207.17.117.25
216.34.94.17:80

47. 48
Flux réseau– Paquet #3 Return
Internet
Packet # 3 - return
Dest - 207.17.117.25:4003
Src – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
Packet # 3 - return
Dest – 207.17.117.25:4003
Src – 172.16.20.4:8080
207.17.117.25
216.34.94.17

48. 49
Configuration des pools

49. 50
Configuration de serveurs virtuels

50. 51
NATs y SNATs
Network Address
Translation
Internet
207.10.1.103
172.16.20.3
207.10.1.101
172.16.20.1

51. 52
NAT
Conceptos SNAT
Configuración de SNAT
NATs y SNATs

52. 53
NAT
Cartographie 1-à-1
Trafic bidirectionnel
Adresse IP dédiée
Configuration
Internet
207.10.1.103
172.16.20.3
207.10.1.101
172.16.20.1

53. 54
SNATs
Mapping plusieurs à un
Le trafic initié à une adresse
SNAT est rejeté
Internet
207.10.1.102
172.16.20.1
172.16.20.2
172.16.20.3

54. 55
Pourquoi SNAT
Plusieurs adresses non
routables vers un routable Internet
172.16.20.1
172.16.20.2
172.16.20.3
207.10.1.33
VS - 207.10.1.100
172.16.1.33
172.16.11.45
• Considérations de
routage
• Si l'itinéraire par défaut
des serveurs ne va pas
au LTM

55. 56
SNATs – Flux de trafic typique
Internet
207.10.1.102
172.16.20.1
172.16.20.2
172.16.20.3
172.16.20.3:1111 
205.229.151.203:80
207.10.1.102:2222 
205.229.151.203:80

56. 57
SNATs – Flux de réponse
Internet
207.10.1.102
172.16.20.1
172.16.20.2
172.16.20.3
205.229.151.203:80
 172.16.20.3:1111
205.229.151.203:80
 207.10.1.102:2222

57. 58
Configuration
Internet
207.10.1.102
172.16.20.1
172.16.20.2
172.16.20.3
Qui peut changer?
Qu'est-ce qui a changé?
Où arrivent les colis?

58. 59
SNAT pour les serveurs virtuels
Internet
172.16.X.33
172.16.20.1
172.16.20.2
172.16.20.3
Trafic vers les VS
10.10.X.100:443
SNAT Pool – Automap
Floating IP Automap

59. 60
Configuration des accès
Méthodes
Web
• https (remote)
CLI
• ssh (remote)
• Terminal Serial

60. 61
Backup procedure
• Enregistrer tous les paramètres dans un
fichier
• Si le fichier est copié sur un autre système,
il doit être re-licencié

61. 62
User Authentication

62. 63
Administrators Users

63. 64
Statistics
Summary
Virtual Servers
Pools
Nodes

64. 65
Logs

65. 66
Logs
Ils sont situés dans /var/log
daemons - /var/log/daemon.log
gtm - /var/log/gtm
ltm - /var/log/ltm
Kernel - /var/log/messages
Booteo - /var/log/boot.log
Logrotate pour la rotation des logs
Ils sont stockés dans /var/log/[archivo].1.gz -- /var/log/[archivo].5.gz

66. 67
Moniteurs et États
Internet
172.16.20.3:80

67. 68
Concepts généraux des moniteurs
Configuration des moniteurs
Assignation des moniteurs
États de nœuds et membres
Moniteurs

68. 69
Concepts
Vérification de l'adresse IP
Noeud
Vérification du service
IP: port
Vérification du contenu
IP: port + vérification des données de retour
Vérification interactive
Suivi de piste

69. 70
Vérification de l'adresse IP
Les Étapes
-Les paquets sont envoyés
à une adresse IP
-S'il n'y a pas de réponse,
aucun trafic n'est envoyé
aux membres du pool qui
utilisent l'adresse.
-Exemple: ICMP
Internet
172.16.20.1
172.16.20.2
172.16.20.3
ICMP

70. 71
Vérification du service
Les Étapes
-Ouvrir une connexion TCP
(IP: service)
-Fermez la connexion
-Si la connexion TCP échoue,
aucun trafic ne sera envoyé
aux membres associés.
-Exemple: TCP
Internet
172.16.20.1:80
172.16.20.2:80
172.16.20.3:80
TCP
Connection

71. 72
Vérification du contenu
Internet
172.16.20.1:80
172.16.20.2:80
172.16.20.3:80
Les Étapes
-Ouvrir une connexion TCP (IP:
service)
-Envoyer un REQ
-La réponse vient avec des données
utiles
-Fermez la connexion
-Si les données reçues ne
correspondent pas à une règle,
les données ne sont pas
envoyées aux membres associés
-Exemple: http
http GET /

72. 73
Vérification interactive
Internet
172.16.20.1:80
172.16.20.2:80
172.16.20.3:80
Les Étapes
-Ouvrir une connexion TCP (IP:
service)
-Une conversation interactive est
générée pour simuler une
connexion réelle
-La connexion est fermée
-Si les résultats attendus ne se
produisent pas, le trafic n'est pas
envoyé aux membres associés.
-Exemple: requête SQL
conversation

73. 74
Track Check
Les Étapes
-Les colis sont envoyés à
travers, pas à l'appareil
-Vous pouvez vérifier la
direction IP, le service ou
le contenu
-Si la condition n'est pas
remplie, aucun trafic n'est
envoyé via le membre
associé.
Link
Cntl
ISP2ISP1
ISP1
www.f5.com

74. 75
Configuration
Moniteurs prédéfinis (modèles)
-Vérification de l'adresse IP (icmp)
-Vérification de service (tcp)
-Vérification du contenu (http)
-Vérification interactive (ftp)
Disponibilité:
TOUS les modèles peuvent être personnalisé

75. 76
Créer de nouveaux moniteurs

76. 77
Paramètres supplémentaires
• Règle de réception
- Si le contenu est trouvé, le noeud est
marqué Up
• Règle de réception inverse
- Si le contenu est trouvé, le noeud est
marqué Down
• Transparent
- Si le chemin est disponible, le noeud
est marqué Up
- Utilisé pour surveiller les Links

77. 78
Timers
Fréquence (Interval)
Timeout
• Recommandé = 3n + 1

78. 79
Assignation des moniteurs
Par défaut à tous les nœuds
Options particulières de chaque noeud
- Par défaut
- Spécifique
- Aucun
Par défaut à tous les nœuds
Options particulières de chaque noeud
- Par défaut
- Spécifique
- Aucun

79. 80
Affectation de moniteurs aux noeuds
Pour 1 noeud

80. 81
Attribuer Des moniteurs aux Pools
Pour 1 membre

81. 82
Statut de membre ou de nœud
Statut
-Disponible - Circ. Vert
-Hors ligne - Red
-Inconnu - Cuad. Bleu

82. 83
Profils
Internet
Virtual Server
Les profils détermine la
manière de traiter le
trafic des serveurs
virtuels

83. 84
Concepts de profils
Dépendances
Types de profils
Configuration
Profiles

84. 85
Concepts
Un profil est:
• Lorsque le comportement du trafic est défini:
- SSL, compression, persistance ...
- L'application de ce comportement aux VS’s
• Défini à partir d'un modèle
• Dépend d'autres profils

85. 86
Scénario n#1 - Persistance
1
2
3
1
2
3

86. 87
Scénario n # 2 - Résiliation SSL
Descript
Chiffré

87. 88
Scénario n # 3 - Serveur FTP
Le client démarre la
connexion de contrôle
Le serveur commence la
connexion de transfert
de données

88. 89
Dépendances
Certains ne
peuvent pas être
combinés dans le
même VS
Dépendances
suivant le modèle
OSI
TCP
HTTP
Cookie
UDP
FTP
Network
Data Link
Physical

89. 90
Types de profils
Services - Orienté vers le type de données
Persistance - Orienté vers la session
Protocoles - orientés vers la connexion
SSL - Orienté vers le cryptage
Authentification - Orientée vers la sécurité
Autres - Orienté vers le flux de données TCP

90. 91
Concepts de configuration
Créé à partir de profils par défaut
Les profils par défaut peuvent être modifiés mais pas
supprimés
Il y a des relations Père-Fils
Stocké dans /config/profile_base.conf

91. 92
Virtual Server Default Profiles
Chaque serveur virtuel a au moins 1 profil
TCP: pour le traitement des données TCP par
VS’s
UDP: pour le traitement des données UDP de
VS’s
FastL4: pour les VS’s qui ont une accélération
matérielle (PVA)
Fasthttp: pour le traitement du trafic HTTP de
VS’s et son accélération

92. 93
Configuration

93. 94
Configuration (suite)
Spécification des
propriétés
Mappage des VS

94. 95
7. Troubleshooting Big-IP
8. Persistence
9. Administration Big-IP
10. iRules
11. Labs

95. 96
Persistance
1
2
3
1
2
3

96. 97
Persistance par la direction de l'origine
Persistance par Cookie
- Insert, Rewrite, Passive & Hash
Persistance

97. 98
Persistance selon la direction d'origine
Basé sur l'adresse IP du client
Netmask -> Plage d'adresses
1
2
3
1
2
3
205.229.151.10
205.229.152.11
Netmask
255.255.255.0
205.229.151.107

98. 99
Propriétés
Mappage VS
Persistance selon la direction d'origine

99. 100
Configuration
2. Pointé sur VS
1. Conf. Profile

100. 101
Persistance par Cookie
Mode d'insertion
- BIG-IP LTM Insère le cookie dans le flux
Mode de réécriture
- Le serveur Web crée le cookie
- BIG-IP LTM le modifie
Mode passif
-Le serveur Web crée le cookie
-BIG-IP LTM le lit

101. 102
Client Server
HTTP request (sin cookie)
TCP handshake
TCP handshake
HTTP request (sin cookie)
HTTP reply (sin cookie)
HTTP reply (con nueva cookie)
pick
server
HTTP request (con misma cookie)
TCP handshake
TCP handshake
HTTP request (sin cookie)
HTTP reply (sin cookie)
HTTP reply (cookie actualizada)
cookie
specifies
server
1erHit2doHit
Mode Insert

102. 103
Client Server
HTTP request (sin cookie)
TCP handshake
TCP handshake
HTTP request (sin cookie)
HTTP reply (con cookie)
HTTP reply (con cookie re-escrita)
pick
server
HTTP request (con misma cookie)
TCP handshake
TCP handshake
HTTP request (con misma cookie)
HTTP reply (con cookie)
HTTP reply (con cookie actualizada)
cookie
specifies
server
1erHit2doHit
Mode Rewrite

103. 104
Client Server
HTTP request (sin cookie)
TCP handshake
TCP handshake
HTTP request (sin cookie)
HTTP reply (con cookie en especial)
HTTP reply (con cookie en especial)
pick
server
HTTP request (con misma cookie)
TCP handshake
TCP handshake
HTTP request (con misma cookie)
HTTP reply (con cookie en especial)
HTTP reply (con cookie en especial)
cookie
specifies
server
1erHit2doHitMode Passive

104. 106
Config. Persistance des cookies
Ensuite, le profil du cookie_persist
• Nécessite “http profile”

105. 107
Maintenance BigIP
im <hotfix>
# im Hotfix-BIGIP-9.4.8-385.0-HF2.im
# /usr/bin/full_box_reboot
Installation de HotFix V9.X
Copier le correctif SCP (Ex winscp) dans BIGIP
Connectez-vous avec SSH avec l'utilisateur rootRun la
commande im pour installer le HotFix
L'installation de HotFix implique la réduction des services
redémarrage de l'équipent.
Une fois terminé, exécutez la commande
full_box_reboot

106. 108
Maintenance BigIP
Ils sont téléchargés sur
/shared/images/shared/images
Installation de TMOS
ISOs disponibles para instalarISOs disponibles para instalar
Versiones instaladasVersiones instaladas

107. 109
Maintenance BigIP
Ils sont téléchargés sur
/shared/images/shared/images
Installation de HOTFIX
HOTFIX para instalarHOTFIX para instalar

108. 110
Maintenance BigIP
Nous pouvons installer dans tout sauf celui où
nous sommes actuellement connectés
Installation de HOTFIX

109. 111
Maintenance BigIP
Installation de HotFix sur V10
Les correctifs sont cumulatifs (HFA3 inclut HFA1 et HFA2).
Chaque Hotfix correspond à un numéro de version (V9.4.X
V10.1.X V10.2.X).
Nous devons avoir deux ou plusieurs volumes installés pour
appliquer les correctifs.
Installez les correctifs logiciels dans des volumes non productifs.
Testez son bon fonctionnement pendant une durée raisonnable.
Nous commençons à utiliser le correctif lorsque nous choisissons
de démarrer avec l'image mise à jour.

110. 112
Maintenance BigIP
Sélection de la version pour démarrer
Con SSH  switchboot