La formation F5 BIG-IP - Configuration et administration vous permettra de découvrir l’Application Delivery Controller (ADC) F5 BIG-IP et d’appréhender ses concepts de base nécessaires tels que le rôle et la relation entre VS, pools et nodes, l’utilité des profils, ou les outils de troubleshooting d’un F5 BIG-IP.
A travers cette formation, et en plus de la partie théorique, nous allons simuler en lab un environnement de production avec une application web qu’on devra déployer et sécuriser par un F5 BIG-IP. Cela vous permettra de mettre la main et de vous familiariser avec les tâches d’administration couramment utilisées, en plus de découvrir la multitude de fonctionnalités offertes par F5 BIG-IP.
A l’issue de cette formation, vous serez en mesure de mettre en service un système F5 BIG-IP autonome ou en cluster, de déployer une application avec des fonctionnalités de base et d’effectuer les tâches courantes de diagnostic et de maintenance.
Lors de cette formation, nous allons aborder les thèmes suivants :
L’offre de produits F5
La mise en service d’un système BIG-IP
La configuration réseau
Le Traffic Management sur F5
Le Monitoring
Les Profiles
La persistance
La gestion du trafic SSL
Les translations d’adresses (NAT et SNAT)
Les iRules
Le Troubleshooting et la maintenance
La haute disponibilité
3. Plan de la formation (1/2)
Une formation
1. Découvrir F5 BIG-IP
2. Mettre en service un nouveau système BIG-IP
3. Comprendre et configurer le réseau
4. Comprendre le Traffic Management sur BIG-IP
5. Comprendre et configurer le Monitoring
6. Comprendre et configurer les profils
7. Comprendre et configurer la persistance
4. Plan de la formation (2/2)
Une formation
8. Comprendre et configurer la terminaison et
l'offloading SSL
9. Comprendre et configurer le NAT/SNAT
10. Découvrir et paramétrer les iRules
11. Diagnostiquer et maintenir un système BIG-IP
12. Comprendre et configurer la Haute disponibilité
14. Une formation
Découvrir l’offre F5
Les plateformes BIG-IP
Introduction au système d’exploitation
Explorer les modules logiciels BIG-IP
Accéder aux portails F5 sur le Web
Plan
19. Une formation
BIG-IP Local Traffic Manager (LTM)
Load Balancing
Supervision des serveurs
Optimisation du trafic
Internet
LTM
20. Une formation
BIG-IP Local Traffic Manager (DNS)
Anciennement appelé GTM
Serveur DNS intelligent
Load Balancing sur plusieurs Data Center (GSLB)
Résout les requêtes DNS vers l’IP la plus optimale
Supervision des serveurs
Alternative plus sécurisée au serveur BIND
23. Une formation
BIG-IP Application Security Manager (ASM)
Attack
Block
Bloque les attaques connues et inconnues
Moteur d’apprentissage de l’application
Protection DDoS
Protection des Web Services (XML, JSON)
24. Accès distant sécurisé (VPN SSL)
Authentification
Contrôle des machines
Une formation
BIG-IP Access Policy Manager (APM)
Auth & Controls
26. Une formation
BIG-IP Link Controller (LC)
Load Balancing des liaisons internet
En entrée et en sortie
Selon des critères définies (débit,
performance …)
27. Une formation
Les portails Web F5
askF5.com
Portail officiel de support et documentation
devcentral.f5.com
Communauté F5 (forum, codeshare, articles…)
university.f5.com
Formations gratuites sur les produits F5
ihealth.f5.com
Outil de diagnostic de configurations F5
32. Une formation
Avantages d’un Full-Proxy
Visibilité et contrôle total du trafic
Optimisation TCP
Optimisation HTTP
Terminaison SSL
33. Utiliser le Setup Utility et
comprendre le resource
provisionning
Une formation
Mohamed Amine Kadimi
34. Une formation
Découvrir le BIG-IP Setup Utility
Activer son BIG-IP
Comprendre le Resource Provisioning
Mettre en service un nouveau
système BIG-IP
Plan
35. Une formation
BIG-IP Setup Utility
Activation de la licence
Provisioning des modules
Configuration de base
réseau et système
Configuration HA
36. Une formation
Activation automatique
Le système BIG-IP a un accès Internet
Le système communique directement avec
les serveurs F5 pour s’auto-activer
F5 Licensing Service
activate.f5.comAdmin PC
Internet
37. Une formation
Activation manuelle
Le système ne requiert pas d’accès Internet
L’administrateur récupère le « dossier »
Il l’utilise pour récupérer la licence sur le site
Enfin, il injecte la licence sur son BIG-IP
F5 Licensing Service
activate.f5.comAdmin PC Internet
Dossier
Licence
42. Une formation
Configurer les serveurs DNS et NTP
Changer le Device Certificate
Reconfigurer les paramètres de base
du BIG-IP
Modifier les préférences d’affichage
Plan
43. Une formation
Configurer les serveurs DNS et NTP
Une configuration correcte du DNS et NTP
est généralement requise
Exemples
• Téléchargement des signatures d’attaques
• Intégration avec Active Directory
• Mise en cluster
• Horodatage des entrées du journal
44. Une formation
Changer le Device Certificate
Pourquoi changer le certificat par défaut?
Comment importer une paire certificat/clé
Comment générer un CSR et le faire signer
par une CA externe
45. Une formation
Reconfigurer les paramètres
de base du BIG-IP
IP de Management
Host Name
Time Zone
Mots de passe administrateur
…
46. Une formation
Modifier les préférences d’affichage
Permet d’ajuster l’ergonomie de la console
Permet de répondre aux exigences de la
sécurité
48. Une formation
Définir une interface
Distinguer entre les types d’interfaces
Le nommage des interfaces
Configurer les interfaces
Diagnostiquer les interfaces
Plan
49. Une formation
Définition des interfaces BIG-IP
Une interface est un port physique
utilisé pour se connecter en réseau
50. Une formation
Les types d’interfaces
L’interface de Management
• Dédiée à l’administration
Les interfaces TMM
• Utilisées pour le trafic de données
• Peuvent être utilisées pour l’administration
51. Une formation
Les conventions de nommage
<slot>.<port> pour les interfaces
TMM
MGMT pour l’interface de Management
1.1 … 1.4
2.1 … 2.4
3.0 … 6.0MGMT
52. Une formation
Configurer les interfaces
Interfaces TMM
• Pas de configuration réseau directe
• Activer/désactiver une interface
• Modifier les paramètres Layer-2 (Speed, Duplex)
Interface Management
• Configuration réseau directe (GUI, CLI, LCD)
53. Une formation
Diagnostiquer les interfaces
Etat des interfaces
Statistiques des paquets et erreurs
Informations consultables en GUI, CLI et dans
le fichier /var/log/ltm
55. Une formation
Définition des VLANs sur F5
Configurer les VLANs
Assigner des interfaces aux VLANs
Comprendre les interfaces Trunk
Plan
56. Une formation
Définition des VLANs
Un VLAN est un segment réseau sur
lequel BIG-IP peut communiquer
• Chaque VLAN cible doit être configuré sur BIG-IP
• On y assigne des interfaces TMM
Les VLANs représentent les interfaces
logiques du BIG-IP
58. Une formation
Assigner des interfaces aux VLANs
Deux modes d’assignation:
• Untagged
L’interface transporte un seul VLAN
Équivaut au mode Access chez Cisco
• Tagged
L’interface peut transporter plusieurs VLANs
Protocole IEEE 802.1Q
Équivaut au mode Trunk chez Cisco
59. WAN: 1.1 untagged
DMZ: 1.2 untagged
10: 1.4 tagged
20: 1.4 tagged
30: 1.4 tagged
WAN, DMZ, 10, 20, 30
Une formation
VLANs et interfaces - exemple
Combien de VLAN à créer
sur F5?
Lesquels?
Comment les interfaces
TMM y sont assignées?
VLAN Interface Type
WAN 1.1 Untagged
DMZ 1.2 Untagged
10 1.4 Tagged
20 1.4 Tagged
30 1.4 Tagged
60. Un Trunk est l’agrégation logique de
plusieurs interfaces physiques
• Augmenter la bande passante
• Fournir la haute disponibilité des liens
• LACP
• Assigné au VLAN
Une formation
Les interfaces Trunk
61. Mettre en place l’adressage IP
et le Port Lockdown
Une formation
Mohamed Amine Kadimi
62. Une formation
Comprendre et configurer les Self IP
Distinguer les types d’adresses Self IP
Configurer le Port Lockdown
Plan
63. Une formation
Définir les adresses Self IP
Une Self IP est une adresse IP portée
par F5 BIG-IP
• Permet de joindre les autres hôtes du réseau
• Permet aux hôtes de joindre le BIG-IP
• Doit être associée à un VLAN
• Plusieurs Self IP peuvent être portées sur le même
VLAN
64. Une formation
Les types d’adresses Self IP
Self IP statique
• Portée toujours par un seul et même nœud BIG-IP
• Reconnaissable par son appartenance au Traffic Group
traffic-group-local-only
Self IP flottante
• Adresse virtuelle partagée entre les nœuds d’un cluster
• Portée par le nœud actif uniquement
• En cas de basculement, elle bascule vers le nœud actif
65. Une formation
Static et Floating Self IP
10.10.10.201 10.10.10.202
172.16.10.201 172.16.10.202
10.10.10.200
172.16.10.200
66. Une formation
Configurer le Port Lockdown
Mécanisme de sécurité contrôlant les
services en écoute sur une Self IP
4 options:
• Allow None
• Allow Default
• Allow All
• Allow Custom
68. Une formation
Définir les Nodes
Définir les Pools et les Pool Members
Définir les VS
Démonstration
Plan
69. Une formation
Les Nodes
Serveur physique ou virtuel
172.16.10.1
Représenté par une adresse IP
172.16.10.2 172.16.10.3
Node = IP
70. Une formation
Les Pools Members
172.16.10.1
Représenté par une adresse IP + port
172.16.10.2 172.16.10.3
Member = IP:port
172.16.10.1:80 172.16.10.2:80 172.16.10.3:80
72. Une formation
Les Virtual Servers
172.16.10.1 172.16.10.2 172.16.10.3
VS = Listener
associé au pool
172.16.10.1:80 172.16.10.2:80 172.16.10.3:80
Représenté par une
adresse IP + port
Listener pour le trafic216.34.94.17:80
73. Une formation
VS, Pool, Members - Exemple
172.16.10.1 172.16.10.2 172.16.10.3
172.16.10.1:80 172.16.10.2:80 172.16.10.3:80
10.10.10.10:80
172.16.10.1:443 172.16.10.2:443 172.16.10.3:443
10.10.10.10:443
HTTP_VS HTTP_Pool
HTTPS_VS HTTPS_Pool
80. Une formation
Utiliser la Network Map
Présentation hiérarchique des VS, avec
le détail de leur Pool associé
Virtual Server
Pool associé
Membres
Membre Up
Membre Down
Détecter visuellement les nœuds offline
81. Une formation
Exploiter les statistiques
Performances du système
Statistiques sur le trafic
• Globalement
• Par interface, VS, Pool, ou Pool Member
Dashboard avec diagrammes et gauges
84. Une formation
Introduction au monitoring
Tester la disponibilité des
ressources
• Nodes
• Members
Réagir en cas de faille
Internet
85. Une formation
Active vs Passive Monitoring
Active Monitoring
• BIG-IP initie périodiquement des requêtes de
monitoring
Passive Monitoring (Inband)
• BIG-IP se base sur les requêtes du trafic clients
• Pas de requêtes spécifiques initiées par BIG-IP
88. Une formation
Les types de Monitors
Address Check
Service Check
Content Check
Interactive Check
Path Check
89. Une formation
Address Check
Les adresses IP des Nodes sont testées
Exemple : ICMP
Si pas de réponse:
• Le Node est marqué Down
• Le(s) Member également
Internet
172.16.10.1 172.16.10.2 172.16.10.3
ICMP
90. Une formation
Service Check
Le service est testé en
ouvrant une connexion TCP
Exemple : TCP
Si pas de réponse:
• Member marqué Down
Internet
172.16.10.1:80 172.16.10.2:80 172.16.10.3:80
TCP_SYN
91. Une formation
Content Check
En plus de vérifier que le service est UP
• Une commande est envoyée
• La réponse est examinée et validée
Si réponse non valide:
• Member marqué Down
Exemple : HTTP
Internet
172.16.10.1:80 172.16.10.2:80 172.16.10.3:80
HTTP
92. Une formation
Interactive Check
Un script externe personnalisé
• Exécute un ou plusieurs tests
• Retourne un résultat
Selon le retour du script
• BIG-IP marque le Member UP ou DOWN
Internet
172.16.10.1:80 172.16.10.2:80 172.16.10.3:80
External
93. Une formation
Path Check
Est-ce qu’un chemin vers une
adresse est disponible?
• Une adresse de confiance est indiquée
• Pour tester un pool de routeurs
(directement connectés)
Si l’adresse ne répond pas:
• C’est le Member qui est marqué Down
Internet
ISP 1 ISP 2
4.2.2.2
8.8.8.8
96. Une formation
Configurer un Monitor
Utiliser les Monitors BIG-IP pré-définis
• Adaptés à la plupart des situations
• Mais ne sont pas configurables
Créer des Monitors personnalisés
• De type défini (http, ftp, icmp…)
• Personnalisables
• Basés sur un template (un autre Monitor)
97. Une formation
Configurer un Monitor
Interval et Timeout
• Interval = Fréquence de monitoring
• Timeout = Temps d’attente avant de considérer la
ressource Down
0 5 10 15 seconds16
F5 recommande:
Timeout = (3 x Interval) + 1
98. Une formation
Configurer un Monitor
Send String et Receive String
• Send String = Commande à envoyer pour un
Content Check
• Receive String = Réponse attendue
99. Une formation
Assigner les Monitors
Pour l’utiliser, un Monitor doit être
assigné :
• Monitor par défaut pour les Nodes
• A un un Node spécifique
• A un Pool entier
• A un Pool Member spécifique
100. Une formation
Assignation Multiple
On peut assigner plusieurs Monitors à
la même ressource
On spécifie alors la nombre de
Monitors qui doivent répondre :
• All
• At least N
106. Une formation
Les indicateurs de statut
Disabled
• Actuellement indisponible pour cause temporaire
(limite de connexions atteinte)
• Ne reçoit pas de trafic
107. Disabled / Forced OfflineUne formation
Les indicateurs de statut
Unknown Available Offline Unavailable
Reçoit le
traffic
Reçoit le
traffic
Ne reçoit pas
de traffic
Ne Reçoit pas
de traffic
108. Une formation
Héritage de statut
Un Pool Member hérite le statut de son node
parent
Le statut d’un Pool est dicté par celui de ses
membres
• Offline si tous ses membres sont offline
• Available si un membre available
Le VS prend le statut de son pool associé
109. Une formation
Héritage de statut – Exemple
172.16.10.1 172.16.10.2 172.16.10.3
172.16.10.1:80 172.16.10.2:80 172.16.10.3:80
VS 10.10.10.200
POOL
110. Une formation
Héritage de statut – Exemple
172.16.10.1 172.16.10.2 172.16.10.3
172.16.10.1:80 172.16.10.2:80 172.16.10.3:80
VS 10.10.10.200
POOL
111. Une formation
Héritage de statut – Exemple
172.16.10.1 172.16.10.2 172.16.10.3
172.16.10.1:80 172.16.10.2:80 172.16.10.3:80
VS 10.10.10.200
POOL
112. Une formation
Héritage de statut – Exemple
172.16.10.1 172.16.10.2 172.16.10.3
172.16.10.1:80 172.16.10.2:80 172.16.10.3:80
VS 10.10.10.200
POOL
113. Une formation
Exploiter le journal des événements
Logs consignés dans /var/log/ltm
Consultable également depuis la GUI
115. Une formation
Introduction aux Profiles
Exemples d’usage
Configurer un Profile
Relation parent-fils entre Profiles
Plan
116. Une formation
Introduction aux Profiles
Un Profile permet de manipuler le
trafic transitant par un VS
• Lecture
• Manipulation
Les Profiles sont au cœur de la gestion
du trafic sur F5
117. Une formation
Exemples d’usage des Profiles
Optimisation TCP
Manipulation HTTP (header insertion)
Offloading SSL
Offloading de compression
Persistance
…
118. Une formation
Configurer un Profile
Utiliser les Profiles BIG-IP pré-définis
• Modifiables, mais éviter de le faire
Créer des Profiles personnalisés
• Basés sur un Parent Profile (un autre Profile)
Un Profile doit être assigné au VS pour
fonctionner
124. Une formation
La dépendance inter-profils
Les profils de couches
supérieures dépendent
des profils des couches
sous-jacentes
cookie http
tcp
httpftp
udp tcp
128. Une formation
Définition du profil Web Acceleration
Accélère la livraison des réponses aux
clients
Diminue la charge sur les serveurs
Seul le contenu dit « cacheable » est
mis en cache (par défaut)
129. Une formation
Configurer le profil Web Acceleration
1. Configurer le profil
2. L’associer au VS
3. Tester et voir les statistiques
132. Une formation
Définition du profil HTTP Compression
Permet de compresser les données web
Uncompressed data
Compressed data
133. Une formation
Définition du profil HTTP
Compression
Accélère la livraison des réponses aux
clients
Diminue la charge sur les serveurs
Supporte les méthodes Gzip et Deflate
Eviter absolument de compresser ce
qui est déjà compressé!
134. Une formation
Fonctionnement du profil HTTP
Compression
GET /file.html
Accept-Encoding: gzip,deflate
file.html
GET /file.html
file.html
Content-Encoding: gzip
135. Une formation
Configurer le profil HTTP
Compression
1. Configurer le profil
2. L’associer au VS
3. Tester et voir les statistiques
140. Une formation
Les types de persistance
Ou comment identifier un client unique?
• Adresse IP source + Masque sous-réseau
• Cookie
• SSL
• Universal
• Autres
141. Une formation
Configurer la persistance
Utiliser un profil préexistant ou créer un
nouveau profil
Associer le profil au VS
• Possible d’associer un profil principal et un
profil de fallback
144. Une formation
Paramétrer le profil de persistance par
IP source
Assigner et tester la persistance par IP
source
Plan
145. Une formation
Paramétrer le profil de
persistance par IP source
Match Across
Partager les entrées de
persistance entre plusieurs
VS, Pools, ou Services
Exemple:
Persister après le passage
de http vers https
146. Une formation
Paramétrer le profil de
persistance par IP source
Timeout
La durée de la persistance.
Exemple: 600 secondes
après 10 minutes d’inactivité
le client et re-load balancé
147. Une formation
Paramétrer le profil de
persistance par IP source
Prefix Length
Le masque de sous-réseau
appliqué à l’IP source
Exemple : 24
Pour un client avec l’IP
1.2.3.4 le système persistera
la plage 1.2.3.0/24 sur le
même membre
150. Une formation
Paramétrer le profil de persistance par
cookie
Assigner et tester la persistance par
cookie
Plan
151. Une formation
Paramétrer le profil de
persistance par cookie
Les paramètres par défaut
conviennent à la plupart
des cas
BIG-IP insère le cookie ou utilise
un cookie inséré par le serveur?
Cookie de session ou cookie
avec délai d’expiration fixe?
Outrepasser la limite de
connexions du VS pour les
clients persistants?
155. Une formation
Rappel du fonctionnement SSL
SSL/TLS Handshake
Client Hello, Server Hello
Cipher à utiliser
Échange certificat + clé
Génération clé de session
Envoi des données
chiffrées
TCP Connection
HTTP Requests
HTTP Responses
FIN TCP Connection
HTTP Requests
HTTP Responses
156. Une formation
Comment F5 gère le trafic SSL?
SSL Offloading
SSL entre le client et BIG-IP
Clair entre BIG-IP et serveurs
SSL Termination
SSL entre le client et BIG-IP
SSL entre BIG-IP et serveurs
BIG-IP déchiffre puis re-chiffre
157. Une formation
Comment F5 gère le trafic SSL?
Les paramètres de la connexion SSL
sont définis dans un profil
• La paire certificat/clé du serveur
• Les Ciphers
• …
Deux types de profils
• Client SSL
• Server SSL
161. Une formation
Avantages du SSL Offloading
SSL géré par le BIG-IP
Visibilité sur le trafic
Déchargement des serveurs
Gain en performance
Gestion centralisée des certificats
162. Une formation
Configurer le SSL Offloading
Trois étapes:
• Importer ou créer le certificat SSL/TLS
• Configurer un nouveau profil Client SSL
• Associer le profil au VS https
163. Une formation
Concept du SSL Termination
Quels avantages apporte le SSL
Termination
Configurer le SSL Termination
Plan
164. Une formation
Concept du SSL Termination
Trafic SSL côté client
Trafic SSL côté serveur
Certificats et clés
indépendants
165. Une formation
Avantages du SSL
Termination
Visibilité sur le trafic
SSL géré par le BIG-IP
Déchargement des serveurs
Gain en performance
Chiffrement entre BIG-IP et serveurs
166. Une formation
Configurer le SSL Termination
4 étapes:
1. Importer ou créer le certificat SSL/TLS
2. Configurer un nouveau profil Client SSL
3. Configurer un nouveau profil Server SSL
4. Associer les profils au VS https
169. Une formation
Comprendre le NAT
Mapping One-to-One
• IP réelle IP translatée
Permet d’atteindre un Node directement
• Pas de Load Balancing
Permet à une adresse privée de
communiquer sur le réseau public
Autorise tout le trafic de/vers l’IP réelle!
170. Une formation
Comprendre le NAT
172.16.10.1 216.34.94.17
Internet
DST ADDR = 216.34.94.17
DST ADDR = 172.16.10.1
172.16.10.1 172.16.10.2 172.16.10.3
Pas de Load
Balancing
Les ports ne sont
pas translatés
SRC ADDR = 172.16.10.1
SRC ADDR = 216.34.94.17
Pas de VS ni de
Pool configuré
173. Une formation
Comprendre le SNAT
SNAT pour les connexions sortantes
SNAT pour les connexions entrantes
Les types de SNAT
Configurer le SNAT
Plan
174. Une formation
Comprendre le SNAT
Mapping Many-to-One
• IPs mulitiples IP translatée
• Port source Port source ou translaté
Permet aux nœuds internes de communiquer sur le
réseau public
Résout le problème de routage asymétrique
Le trafic initié vers l’adresse translatée n’est pas
autorisé
178. Une formation
Les types d’adresses SNAT
Une IP particulière
• Max ~64K connexions
Un pool d’adresses IP
Automap
• Adresse Self IP du VLAN de sortie
• L’adresse flottante est préférée
Attention au SNAT
Port Exhaustion
179. Une formation
Configurer le SNAT
Trois options:
1. SNAT en tant qu’objet de configuration global
A préférer pour le SNAT du trafic sortant, ou pour
ouvrir un flux vers un nœud interne sans faire du LB
2. SNAT en tant qu’attribut d’un Virtual Server
A préférer pour le SNAT du trafic destiné au VS
3. SNAT avec iRule
Si les deux premières ne répondent pas au besoin
182. Une formation
Découvrir le concept des iRules
S’initier à la syntaxe des iRules
Comment configurer une iRule
Plan
183. Une formation
Découvrir le concept des iRules
Scripts basés sur TCL
• Exécutés sur le trafic transitant par un VS
• Pour manipuler le trafic
• Afin de répondre à une multitude de besoins
Exemples :
• Redirection HTTP vers HTTPS
• Persistance par header HTTP ou toute autre clé
DevCentral
184. Une formation
S’initier à la syntaxe des iRules
when EVENT {
if {CONDITION} {
Instructions
}
}
Event: quand exécuter la
portion de code?
Condition: test avant
action
Instrcutions:
opérations souhaitées
Commandes, variables, opérateurs
185. Redirige example.com/home vers example.com/
Une formation
Exemple
when HTTP_REQUEST {
if { [HTTP::uri] equals "/home" } {
HTTP::redirect "/"
}
}
186. Une formation
Syntaxe des iRules – Events
A quel point exact du flux réseau les
instructions doivent-elle être exécutées?
• A l’établissement de la connexion TCP?
• A chaque requête HTTP du client?
• A chaque réponse du serveur?
• …
devcentral.f5.com/wiki/iRules.Events.ashx
187. HTTP_RESPONSEUne formation
Syntaxe des iRules – Events
SYN
SYN-ACK
ACK
HTTP_GET /
SYN
SYN-ACK
ACK
HTTP_GET /
HTTP_RESPONSE
CLIENT_ACCEPTED
HTTP_REQUEST
SERVER_CONNECTED
188. Une formation
Syntaxe des iRules – Conditions
Définir des structures conditionnelles
• Pour conditionner l’exécution des instructions
Deux types de structures de conditions:
• if … else … elseif
• switch
189. Une formation
Syntaxe des iRules – Conditions
if { [HTTP::host] eq "abc.fr" } {
pool FR_pool
}
elseif { [HTTP::host] eq "abc.de" } {
pool DE_pool
}
else {
pool default_pool
}
190. switch [HTTP::host] {
"abc.fr" – "abc.be" – "abc.ch" {
pool FR_pool
}
"abc.de" {
pool DE_pool
}
default {
pool default_pool
}}
switch [HTTP::host] {
"abc.fr" {
pool FR_pool
}
"abc.de" {
pool DE_pool
}
default {
pool default_pool
}}Une formation
Syntaxe des iRules – Conditions
191. Une formation
Syntaxe des iRules –
Opérateurs
Les conditions if/elseif utilisent
généralement des opérateurs
== !=
< <=
> >=
Égalité/inégalité booléenne
Infériorité/supériorité
eq equals Égalité de chaînes de caractères
starts_with
ends_with
contains
Si une chaîne commence par une autre
Si une chaîne se termine par une autre
Si une chaîne contient une autre
192. Une formation
Syntaxe des iRules – Commandes
Les commandes exécutent des actions
• Sans commande, l’iRule est inutile
• Tout le reste sert à définir la logique de l’iRule
Exemple de commandes
• pool
• log
• HTTP::redirect
Une commande n’est autorisée qu’à
l’intérieur d’un Event qui l’accepte
193. Une formation
Syntaxe des iRules – Variables
Espace de stockage pouvant être
manipulé (lecture / écriture)
if { [HTTP::host] eq "abc.fr" } {
set lang_var "FR"
}
…
log local0. "Langue demandée: " $lang_var
197. Une formation
Exemple 1: Remplacer le
nom du cookie PHPSESSID
Côté client, le cookie doit être nommé SID
Côté serveur, il doit garder le nom PHPSESSID
Pour tester
• Utiliser le VS HTTP ou HTTPS sur l’URI /secure
• Avec persistance activée
• Se connecter avec student1/student1
• La session student1 doit réussir
198. Une formation
Exemple 1 : Remplacer le
nom du cookie PHPSESSID
Events à utiliser
• HTTP_REQUEST et HTTP_RESPONSE
Commande
• HTTP::cookie
199. Une formation
Ex. 2: Gérer les erreurs HTTP
Si le serveur renvoie une erreur 4XX
• Entrée de log avec le code HTTP de l’erreur, l’IP du
client, et l’URI demandée
En plus, pour les erreurs 403 et 404
• Rediriger le client vers l’URI /403.php ou /404.php
Erreurs 3XX
• Entrée de log avec le code HTTP de l’erreur, l’URI
demandée et le Header « Location »
200. Une formation
Ex. 2: Gérer les erreurs HTTP
Pour tester
• Erreur 403: /config
• Erreur 404: /noexist
• Erreur 401: /private
• Erreur 301: /home
201. Une formation
Ex. 2: Gérer les erreurs HTTP
Events
• HTTP_REQUEST et HTTP_RESPONSE
Commandes
• set URI [HTTP::uri]
• [string match {40[34]} [HTTP::status]]
• log
• [IP::client_addr]
• HTTP::redirect
• …
204. Une formation
Définir ce qu’est le tcpdump?
Comment utiliser tcpdump?
Utiliser les options de tcpdump
Utiliser les filtres de tcpdump
Interpréter une output tcpdump
Plan
205. Une formation
Qu’est ce que le TCPDUMP?
Outil incontournable d’analyse de paquets
en ligne de commandes
• Disponible sous UNIX/Linux
• Installé d’office sur F5 BIG-IP
• Supporte plusieurs protocoles (TCP, UDP, ICMP, ARP…)
TCPDUMP « sniffe » le trafic réseau
entrant/sortant et le traduit en output
206. Une formation
Comment utiliser TCPDUMP?
tcpdump <options> <filtre>
Les options modifient le comportement par
défaut
Le filtre spécifie les paquets à capturer
tcpdump –i eth0 host 10.10.1.1
207. Une formation
Quelques options TCPDUMP
-i Spécifie l’interface/vlan d’écoute
-i 0.0 pour toutes les interfaces TMM
-n Pas de résolution d’IP à nom DNS
-nn Pas de résolution d’IP ni de port
-s Longueur de paquet à capturer
-s0 pour ne pas limiter la longueur
-v Plus de verbosité (ou -vv -vvv)
-w Output vers fichier au format pcap
208. Une formation
Les filtres TCPDUMP
Filtres par Host
tcpdump -i external host 10.1.1.1
tcpdump -i external src host 10.1.1.1
tcpdump -i external dst host 10.1.1.1
Filtres par port
tcpdump -i external port 443
tcpdump -i external src port 8443
tcpdump -i external dst port 443
209. Une formation
Les filtres TCPDUMP
Filtres avec expression composée
tcpdump -i 0.0 host 10.1.1.1 and port 443
tcpdump -i 0.0 host 1.2.3.4 or host 10.1.1.1
Négation
tcpdump -i 0.0 host 10.1.1.1 and not port 443
213. Une formation
Définir ce qu’est le iHealth?
Comment utiliser le iHealth?
Démonstration iHealth
Plan
214. Une formation
Qu’est ce que l’outil iHealth?
Outil en ligne d’analyse du système BIG-IP
• Gratuit, requiert un compte sur F5
• Analyse la configuration logicielle et matérielle
• Détecte les problèmes
• Propose des solutions et des recommandations
pour optimiser performance et sécurité du BIG-IP
ihealth.f5.com
215. Une formation
Comment utiliser iHealth?
1. Générer un fichier « qkview » à partir de
System > Support
2. Uploader le fichier dans le site iHealth
3. Attendre l’analyse
Il est possible de référencer ou lier votre upload à un
ticket de support F5
218. Une formation
Définir les archives UCS?
Comment générer une archive UCS?
Comment restaurer une archive UCS?
Plan
219. Une formation
Considérations importantes
Un fichier UCS contient des données
sensibles
Les UCS sont utilisés pour sauvegarder
et restaurer des plateformes identiques
La restauration écrase par défaut la
licence actuelle!
223. Mettre à jour le système
Une formation
Mohamed Amine Kadimi
224. Une formation
Comment BIG-IP utilise le disque et
les volumes
Décrire les étapes d’une mise à jour
Précautions et bonnes pratiques
Plan
225. Une formation
Disque et volumes du BIG-IP
• Configuration spécifique
• Version de l’OS spécifique
• Un seul actif à la fois
• Seul un volume inactif peut
être modifié (supprimé/écrasé)
Le système est installé dans un volume
logique indépendant du disque dur
226. Une formation
Les étapes d’une mise à jour
1. Télécharger la nouvelle image
2. L’importer sur le BIG-IP
3. L’installer
• Vers un nouveau volume
• Ou vers un volume inactif
4. Redémarrer sur le nouveau volume
• Tout en y copiant la config actuelle
227. Une formation
Précautions et bonnes pratiques
Lire la Release Note
Choisir une fenêtre de maintenance
S’assurer que le support F5 est actif
Sauvegarder la config et l’externaliser
Prendre un qkview
Réactiver la licence
tmsh load /sys config verify
Vérifier le hash md5 de l’image téléchargée
Si HA, vérifier que les nœuds sont synchronisés
230. Une formation
Introduction au Clustering sur BIG-IP
Définir les Device Groups et les Traffic Groups
Utilité de la Floating IP dans le cluster
Modes Active/Standby et Active/Active
Types de connexions de Failover
Configurer la haute disponibilité
Plan
231. Une formation
Introduction au DSC
F5 DSC (Device Service Clustering)
• Synchronisation de la configuration
• Failover
• Mirroring de connexions
232. Une formation
Définition des Device Groups
Deux types de Device Groups:
• Sync-Failover, jusqu’à 8 Devices
• Synchro + Failover
• Sync-Only, jusqu’à 32 Devices
• Synchro uniquement
233. Une formation
Définition des Traffic Groups
Ensemble d’objets à « flotter » d’un Device à
l’autre en cas de failover
Un Traffic Group a un statut sur chaque
Device (Active ou Standby)
• Ne peut être Active que sur un seul Device
Traffic-group-1
Virtual IPs
SNATs
Floating IPs
234. Une formation
Utilité de la Floating IP
IP partagée par les membres du cluster
Portée par un seul device à la fois
Utilisée pour le trafic de production
« Flotte » en cas de failover
172.16.10.202
235. Une formation
Le mode Active/Standby
Un Traffic Group a un statut sur chaque Device
Il est Active sur un seul Device
• C’est le Device qui traitera le trafic de production
Et Standby sur l’autre (ou les autres)
• Prêts à prendre le relai en cas de failover
Traffic-group-1
(Active)
Traffic-group-1
(Standby)
Traffic-group-1
(Standby)
Traffic-group-1
(Active)
236. Une formation
Le mode Active/Active
Au moins 2 TG pour fonctionner en
Active/Active
• Le partage de charge se fait en distribuant
les TG entre Devices
Traffic-group-1
(Active)
Traffic-group-1
(Standby)
Traffic-group-1
(Standby)
Traffic-group-1
(Active)
Traffic-group-2
(Active)
Traffic-group-2
(Standby)
237. Une formation
Types de connexions de Failover
Failover série
• Heartbeat sous forme de pulsions électriques
• Entre deux boitiers uniquement
• Distance Max : 50ft (~15m)
Failover réseau
• Heartbeat à travers le réseau
• Requis pour le mode Active/Active
• Supporte plusieurs boitiers
238. Une formation
Configurer la haute disponibilité
Préparer la configuration réseau (VLAN, Self IP)
Spécifier les interfaces à utiliser pour la HA
Établir le « Device Trust »
Créer le Device Group
Synchroniser la config
Créer un deuxième Traffic-Group (optionnel)
Activer le mirroring sur les VS (optionnel)
Synchroniser la config
242. Une formation
Rappel du mode Active/Standby
Mode par défaut, utilisant un seul TG
Il est Active sur un seul Device
• C’est le Device qui traitera le trafic de production
Et Standby sur l’autre (ou les autres)
• Prêts à prendre le relai en cas de failover
Traffic-group-1
(Active)
Traffic-group-1
(Standby)
Traffic-group-1
(Standby)
Traffic-group-1
(Active)
243. Une formation
La HA en mode Active/Active
Préparer la configuration réseau (VLAN, Self IP)
Spécifier les interfaces à utiliser pour la HA
Établir le « Device Trust »
Créer le Device Group
Synchroniser la config
Créer un deuxième Traffic-Group (optionnel)
Activer le mirroring sur les VS (optionnel)
Synchroniser la config
247. Une formation
Rappel du mode Active/Active
Au moins 2 TG pour fonctionner en
Active/Active
• Le partage de charge se fait en distribuant
les TG entre Devices
Traffic-group-1
(Active)
Traffic-group-1
(Standby)
Traffic-group-1
(Standby)
Traffic-group-1
(Active)
Traffic-group-2
(Active)
Traffic-group-2
(Standby)
248. Une formation
La HA en mode Active/Active
Préparer la configuration réseau (VLAN, Self IP)
Spécifier les interfaces à utiliser pour la HA
Établir le « Device Trust »
Créer le Device Group
Synchroniser la config
Créer un deuxième Traffic-Group (optionnel)
Activer le mirroring sur les VS (optionnel)
Synchroniser la config
251. Une formation
Définir le Connection Mirroring
Les considérations à prendre en compte
Configurer le Connection Mirroring
Plan
252. Une formation
Fonctionnalité de réplication de
connexions en temps réel :
• La table de connexion est synchronisée entre les
Device Active et Standby
• Permet de maintenir les sessions client en cas de
Failover
• Autrement, le client apercevra une coupure
• Activable par VS
Définition du Connection Mirroring
253. Une formation
Requiert une configuration hardware
identique
Ne convient pas aux connexions courtes (ex.
HTTP, UDP)
Peut impacter la performance
Éviter d’utiliser un VLAN de production et
préférer un VLAN dédié à la HA
Considérations relatives au
Connection Mirroring
254. Une formation
Préparer la configuration réseau (VLAN, Self IP)
Spécifier les interfaces à utiliser pour la HA
Établir le « Device Trust »
Créer le Device Group
Synchroniser la config
Créer un deuxième Traffic-Group (optionnel)
Activer le mirroring sur les VS (optionnel)
Synchroniser la config
Configurer le Connection Mirroring
268. Une formation
La maintenance et le
troubleshooting
TCPDUMP
iHealth
Sauvegarde et restauration
Mise à jour du système
269. Une formation
La haute disponibilité
Synchronisation de la configuration
Failover
Mirroring de connexions
Les modes Active/Standby et Active/Active