Cette formation à propos de la solution F5 BIGIP DNS vous permettra d'acquérir les compétences et connaissances nécessaires pour déployer maintenir et dépanner la solution BIGIP DNS. Cette F5 DNS regroupe les éléments essentiels pour comprendre l’approche F5 dans le traitement du Traffic DNS via : • La résolution DNS intelligente utilisée dans les contextes : Disaster Recovery, Traffic disrtibution • L’accélération DNS • Cache DNS A l'issue de cette formation, les participants seront capables de comprendre les points de différence de la solution BIGIP DNS par rapport à un DNS standard. De connaitre les composantes de la solution F5 DNS et les interactions entre ces composantes. De proposer la meilleure configuration par rapport à un scénario donné. Cette formation est accompagnée d’un lab de démonstration

1. Formation
F5 BIG-IP DNS
(anciennement GTM)
Une formation
Yassine KAMIL

2. Cursus F5 BIG-IP
Une formation

3. Plan de la formation
Une formation
Introduction
1. Introduction au module F5 DNS
2. Préparer l'infrastructure du DNS intelligent sur BIG-IP
3. Comprendre la communication entre les équipements BIG-IP
4. Configurer la résolution DNS intelligente
5. Découvrir les algorithmes de GSLB
6. Maîtriser les algorithmes de GSLB statiques
7. Maîtriser les algorithmes de GSLB dynamiques
8. Utiliser les Health Monitors
9. Explorer le logging sur F5 DNS
10. Déployer le service DNS en mode accélération DNS
11. Configurer DNSSEC
12. Configurer une paire de BIG-IP DNS en Sync Group
Conclusion

4. Public concerné
Une formation
Administrateurs réseau, système, et sécurité
Ingénieurs préparant un cursus de certification F5
Personnes avides de renforcer leurs connaissances

5. Connaissances requises
Une formation
TCP/IP
Les bases du protocole DNS
Les bases de la configuration d’un F5 BIG-IP

7. Une formation
Présentation du Lab
Yassine KAMIL

8. Plan
Une formation
Le schéma du Lab

9. Le schéma du lab
Sur le 1er Datacenter:
1 BIG-IP DNS
1 BIG-IP LTM
1 serveur applicatif
1 serveur DNS tierce
Sur le 2ème Datacenter:
1 serveur applicatif
1 BIG-IP DNS
La machine client

10. Le schéma du lab
3 sous-réseaux :
External
Internal
Management
External
198.51.100.0/24
Internal
172.16.10.0/24
Management
192.168.10.0/24

11. Une formation
Découvrir les outils de
diagnostic DNS
Yassine KAMIL

12. Plan
Une formation
NSLOOKUP et DIG
Comparaison

13. NSLOOKUP et DIG
Une formation
Clients DNS
Disponibles sous Windows / Linux / Mac
Utilisés pour faire des diagnostics
DNS
Résolution Host vers IP (ou l’inverse)
Test de serveurs DNS
Débogage
…

14. Utilisation de NSLOOKUP
Directement sur la CLI en mode inline À travers l’invite nslookup

15. NSLOOKUP vs DIG
Une formation
NSLOOKUP
Généralement plus facile à utiliser
Comportement différent selon l’OS utilisé
Dig
Beaucoup plus riche en options
Utilisé particulièrement pour le débogage

16. Une formation
Rappel des éléments
de base de F5 BIG-IP
Yassine KAMIL

17. Une formation
Redécouvrir le boitier F5
Le système d’exploitation
L’architecture Full-Proxy
Les Node, Member, Pool, VS
Plan

18. Le boitier BIG-IP
L’interface de Management
Dédiée à l’administration
Les interfaces TMM
Utilisées pour le trafic de données
Peuvent être utilisées pour l’administration

19. Le système d’exploitation

20. L’architecture Full Proxy

21. Les Node, Member, Pool, VS
172.16.10.1 172.16.10.2 172.16.10.3
172.16.10.1:80 172.16.10.2:80 172.16.10.3:80
10.10.10.10:80
172.16.10.1:443 172.16.10.2:443 172.16.10.3:8443
10.10.10.10:443
HTTP_VS  HTTP_Pool
HTTPS_VS  HTTPS_Pool
F5 DNS  Nouveaux objets

22. Une formation
Redécouvrir le fonctionnement
de la résolution DNS
Yassine KAMIL

23. Une formation
Redéfinir le DNS
Présenter les principaux types
d’enregistrements DNS
Décomposer une résolution DNS
Plan

24. Redéfinir le DNS
DNS = Domain Name System
NOM  IP
NOM  …
Hiérarchique
www.alphorm.com

25. Une formation
Types d’enregistrements DNS
A / AAAA
CNAME
NS
MX
PTR
…
www.xyz.com  1.2.3.4
xyz.com  www.xyz.com
xyz.com  ns1.ispdns.com
xyz.com  mail.xyz.com
1.2.3.4  www.xyz.com

26. .
.alphorm.com
.com
LDNS
Root Name Server
.com Name Server
.alphorm.com
Name Server
A? www.alphorm.com
A? www.alphorm.com
NS .com: a.xyz.com
a.xyz.com
ns.abc.com
A www.alphorm.com:
11.22.33.44
11.22.33.44
Iterative Recursive

27. Une formation
Pourquoi utiliser F5 DNS?
Yassine KAMIL

28. Une formation
Les limites du DNS classique
La résolution intelligente avec F5
L’accélération du DNS avec F5
Services additionnels fournis par
F5 DNS
Plan

29. Une formation
Les limites du DNS classique
Pas de mécanisme de HA fiable
Round Robin uniquement …
Mais sans visibilité sur l’état des services …
Ni de persistance
Vulnérable aux attaques
DDoS particulièrement

30. Une formation
La résolution intelligente
GSLB = Load Balancing entre différents
datacenters
Réponses DNS intelligentes basées sur
des éléments recueillis par BIG-IP
L’état des services
Les temps de réponse
L’emplacement géographique…

31. Une formation
L’accélération du DNS
BIG-IP DNS peut être configuré de façon
à accélérer le DNS fourni par d’autres
serveurs DNS
DNS Express
DNS Cache
DNS Load Balancing
DNSSEC
DNS64
IP AnyCast
iRules

32. Une formation
Définir les Data Centers
Yassine KAMIL

33. Une formation
Définir les Datacenters
Configurer un Datancenter
Plan

34. Une formation
Définir des Datacenters
Objet F5 représentant un groupement
physique de tous les objets participant à la
résolution DNS et à la fourniture de
services
F5 DNS / F5 LTM
Serveurs Web
Liaisons

35. Datacenters
Chaque objet (physique) appartient à un Datacenter

36. Configurer un Datacenter

37. Une formation
Configurer les serveurs BIG-IP
Yassine KAMIL

38. Une formation
Définir l’objet Server
Configurer un Server BIG-IP
Plan

39. Une formation
Définir l’objet Server
Objet de configuration représentant un
système participant à la résolution DNS
intelligente
Un BIG-IP DNS
Un système hôte d’applications cibles
Un F5 BIG-IP LTM
Un autre Load Balancer
Un serveur Standalone (Apache, IIS…)

40. L’objet Server
Chaque système cible doit être déclaré en tant que
serveur et associé à un DC

41. Une formation
Configurer un Server BIG-IP
Créer l’objet sur la GUI
Établir la liaison sécurisée « iQuery »
en CLI

42. Une formation
Éléments importants d’un
Server BIG-IP
Les BIG-IP System Devices
Le monitor (bigip)
Le Virtual Server Discovery

43. Une formation
Configurer les serveurs tierces
Yassine KAMIL

44. Une formation
Définir un Server tierce
Configurer un Server tierce
Plan

45. Une formation
Définir l’objet Serveur Tierce
Objet de configuration représentant un
système non F5 participant à une résolution
DNS intelligente
Un système hôte d’applications cibles
Un autre Load Balancer
Un serveur Standalone (Apache, IIS…)

46. L’objet Serveur Tierce
Chaque Système tierce concerné par la résolution DNS
intelligente doit être déclaré en tant que serveur et
associé à un DC

47. Une formation
Configuration
Créer l’objet Serveur Tierce sur la
GUI

48. Une formation
Éléments importants d’un
Server BIG-IP
Les non F5 System Devices settings
Le monitor (tcp)
Le Virtual Server Discovery

49. Configurer un Server Tierce
Les non F5 System Devices settings
Product : La marque du serveur Tierce
Address List : La liste des adresses du serveur tierce
Datacenter
Les non F5 System Configuration
Health Monitors : pour la vérification de l’état de santé des services
tierces
Les non F5 System Ressource List
Virtual Server List : La liste des services hébergés dans le serveur tierce

50. Une formation
Comprendre
les échanges iQuery
Yassine KAMIL

51. Une formation
Définir l’agent big3d
Comprendre le protocole iQuery
Plan

52. Une formation
L’agent big3d
Destiné à la collecte et le traitement
des métriques et données entre les
instances BIGIPs

53. Une formation
iQuery
Protocole de communication entre les
instances BIGIPs dans plusieurs DC
Port de communication tcp 4353
Echange de certificats entre les instances
(l’ajout est manuel)

54. Comprendre iQuery
DC 1
DC 2
DC 3
VS 1.1
VS 1.2
VS 2.1
VS 3.1

55. Comprendre iQuery
DC 1
DC 2
DC 3
VS 1.1
VS 1.2
VS 2.1
VS 3.1
VS 2.1
VS 1.1
VS 1.2
VS 3.1
VS 3.1
VS 2.1
VS 1.1
VS 1.2

56. Une formation
Utiliser les scripts GTM
Yassine KAMIL

57. Une formation
Le script gtm_add
Le script bigip_add
Le script big3d_install
Plan

58. Une formation
Le script gtm_add
Utilisé pour intégrer deux systèmes
BIGIPs DNS
Utilise SSH, et iQuery
échange de certificats / Entrées DNS
Nécessite la même version entre les instances BIGIP
gtm_add DNS_IP_address
gtm_add username@DNS_IP_address

59. Une formation
Le script bigip_add
Utilisé pour intégrer un système LTM à un
système DNS
Utilise iQuery et SSH
Échange de l’état des services entre LTM et DNS
bigip_add BIG-IP_IP_address
bigip_add username@BIGIP_address
Nécessite un compte root sur l’équipement cible
Pour les comptes non root il faut utilizer l’argument -a

60. Une formation
Le script big3d_install
Utilisé pour installée la version
actuelle du big3d sur l’instance BIGIP
distante
Utilise SSH
big3d_install BIG-IP_IP_address

61. Une formation
Diagnostiquer
les échanges iQuery
Yassine KAMIL

62. Une formation
Le script iqdump
Permet de déterminer les éventuels
problèmes de communication
iQuery
iqdump Remote_F5_IP_address

63. Une formation
Le script iqdump - Sucess
iqdump 10.10.10.20
<!-- Local hostname: lc1.example.com -->
<!-- Connected to big3d at: ::ffff:10.10.10.10:4353 -->
<!-- Subscribing to syncgroup: default -->
<!-- Tue May 6 09:55:43 2014 -->
<xml_connection>
<version>11.5.1</version>
<big3d>big3d Version 11.5.1.0.0.110</big3d>

64. Une formation
Le script iqdump - Faillure
iqdump 10.10.10.20
46947856243768:error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate
verify failed:s3_clnt.c:1168:

65. Une formation
Configurer les Virtual Servers
Yassine KAMIL

66. Une formation
Rappel du VS
Configurer un VS
Plan

67. Une formation
Rappel VS
VS (Virtual Server) est un élément F5
qui permet de recevoir le traffic client
@IP:Port
Profils : HTTP,SSL, Persistance, …
Pools

68. Une formation
Configurer un VS
Éléments nécessaires à tenir en
compte
Nom (inchangé après création depuis GUI)
Adresse Destination et port
Protocole de transport : TCP, UDP, …
Profils
Pool

69. Une formation
Créer les pools
Yassine KAMIL

70. Une formation
Rappel du pool
Configurer un pool
Plan

71. Une formation
Rappel sur le pool
C’est un élément F5 qui représente les
serveurs applicatifs (backend)
Plusieurs nœuds : Port
Health Monitor
Load Balancing Algorythm

72. Une formation
Configurer un pool
Éléments nécessaires à tenir en
compte
Nom (inchangé après création depuis GUI)
Adresse des noeuds et ports
Health Monitor : http, tcp, udp, …
Load Balancing Method : Round Robin, Least
Connections, …

73. Une formation
Configurer des Wide IP
Yassine KAMIL

74. Une formation
Définir les Wide IPs
Configurer une Wide IPs
Plan

75. Une formation
Définir les Wide IPs
Une Wide IP est une entrée DNS qui
pointe vers plusieurs Adresses IP
Les adresses IP représente le même Service
Plusieurs Datacenters,
Plusieurs Lignes ISP

76. Wide IPs
www.alphorm.com
VS – DC1
VS – DC2
VS – DC3
DC1
DC2
DC3
Wide IP

77. Une formation
Configurer une Wide IP
Nom (inchangé après création depuis GUI)
Type : A, AAAA, MX, CNAME, …
Load Balancing Method : Round Robin,
Global Availability, …
Wide IP pool

78. Une formation
Configurer Wide IP Pools
Yassine KAMIL

79. Une formation
Définir les Wide IP pools
Configurer un Wide IP pool
Plan

80. Une formation
Définir les Wide IPs
Un Wide IP pool représente les
adresses IP d’un service publié dans
plusieurs Datacenters
Plusieurs VS
Chaque VS appartient à un DC
Load Balancing Method

81. Wide IPs
www.alphorm.com
VS1 – DC1
VS2 – DC1
VS – DC2
VS – DC3
DC1
DC2
DC3
Wide IP
Wide IP
Pools

82. Une formation
Configurer un Wide IP pool
Nom (inchangé après création depuis GUI)
Type : A, AAAA, MX, CNAME, …
Load Balancing Method : Round Robin,
Global Availability, …
Wide IP pool

83. Une formation
Configurer les Links
Yassine KAMIL

84. Une formation
Définir un Link
Configurer un Link
Plan

85. Une formation
Définir un Link
Un Link représente le routeur de sortie
d’un Datacenter vers internet
Plusieurs ISP = Plusieurs Links
Chaque Link appartient à un DC
Monitoring

86. Links
VS1 – DC1
VS2 – DC1
DC1
BIGIP DNS
BIGIP LTM
Link 1 Link 2
Internet

87. Une formation
Configurer un Link
Nom (inchangé après création depuis GUI)
Monitor
Adresse Uplink
Adresse Adjacente à BIGIP

88. Une formation
Configurer les Listeners
Yassine KAMIL

89. Plan
Une formation
Rappel du Listener
Configurer un Listener

90. Une formation
Listener est un élèment DNS qui permet de
recevoir le traffic DNS client
@IP:Port
Profils : DNS, …
Pools
Rappel du Listener

91. Une formation
Eléments nécessaires à tenir en compte
Nom (inchangé après création depuis
GUI)
Adresse Destination et Port
Protocole de transport : TCP, UDP,…
Configurer un Listener

92. Une formation
Découvrir GSLB
sur BIG-IP DNS
Yassine KAMIL

93. Une formation
Définir GSLB
Les aspects de partage de
charge DNS
Plan

94. Une formation
Définir GSLB
GSLB représente le cœur de la
solution F5 DNS, il définit les critères
de résolution d’une requête DNS
Méthodes de LB : proximité
géographique, …
Prise en compte de l’état des VS, …

95. Une formation
Algorithmes de LB DNS
Algorithmes statiques
Algorithmes dynamiques

96. Une formation
Préférences de l’algorithme LB
Préféré
Alternatif
Dépannage

97. Une formation
Configurer les algorithmes
Round Robin et Ratio
Yassine KAMIL

98. Une formation
Comprendre les algorithmes
Round Robin et Ratio
Configurer les algorithmes
Round Robin et Ratio
Plan

99. Une formation
Round Robin et Ratio
Les algorithmes RR et Ratio sont des
algorithmes statiques appliqués
Au niveau Wide IP
Au niveau Wide IP pool

100. Une formation
Round Robin
Les requêtes DNS sont distribuées
équitablement à travers les membres
du pool

101. Comprendre Round Robin
DC1
@IP-VS-DC1
DC2
@IP-VS-DC2
DC3
@IP-VS-DC3
1
1 2
2 3
3
DNS
Server
4
4 5
5 6
6

102. Une formation
Ratio
Les requêtes DNS sont distribuées
selon des coefficients fixes affectés
aux membres du pool

103. Comprendre Ratio
DC1
@IP-VS-DC1
DC2
@IP-VS-DC2
DC3
@IP-VS-DC3
DNS
Servers
3 1 2
1
1
4
4
6
6
2
2 3
3
5
5

104. Une formation
GSLB
Algorithmes de LB DNS
Algorithmes statiques
Algorithmes dynamiques
Préférences de l’agorithme LB
Préféré , alternatif, et de dépannage

105. Une formation
Comprendre l'algorithme
Global Availability
Yassine KAMIL

106. Une formation
Global Availability
Choisit le premier VS disponible dans
le pool, la lecture des VS se fait du
début de la liste vers la fin :
Au niveau Wide IP
Au niveau Wide IP pool

107. Une formation
Exemple
Pool : Alphorm.com
Pool-VS-Aplorm-DC1
VS-alphorm-DC1
Pool-VS-Alphorm-DC2
VS-alphorm-DC2

108. Une formation
Exemple
Pool : Alphorm.com
Pool-VS-Aplorm-DC1
VS-alphorm-DC1
Pool-VS-Alphorm-DC2
VS-alphorm-DC2

109. Une formation
Comprendre
l'algorithme Static Persist
Yassine KAMIL

110. Une formation
L’algorithme Static Persist
Choisit le premier VS disponible selon
la table de persistance
Au niveau Wide IP
Au niveau Wide IP pool

111. Static Persist
DC1
@IP-VS-DC1
DC2
@IP-VS-DC2
DC3
@IP-VS-DC3
1
1 2
2 3
3
DNS
Server
www.alphorm.com

112. Static Persist
DC1
@IP-VS-DC1
DC2
@IP-VS-DC2
DC3
@IP-VS-DC3
DNS
Server
www.alphorm.com

113. Une formation
Comprendre
l'algorithme Topology
Yassine KAMIL

114. Une formation
Comprendre Topology
Choisit le VS disponible appartenant
au Datacenter le plus proche du client
Au niveau Wide IP
Au niveau Wide IP pool

115. Topology
UK
@IP-VS-DC1
Singapore
@IP-VS-DC2
USA
@IP-VS-DC3
1
1 2
2
DNS
Servers
Brésil
Espagne
www.alphorm.com

116. Topology
UK
@IP-VS-DC1
Singapore
@IP-VS-DC2
USA
@IP-VS-DC3
2
2 1
1
DNS
Servers
Brésil
Espagne
www.alphorm.com
2
2
1
1

117. Une formation
Créer et utiliser des régions
géographiques personnalisées
Yassine KAMIL

118. Une formation
Critères de sélection
Comprendre la Region
Création d’une Region
Plan

119. Une formation
Critères de sélection
Classifie les requêtes DNS entrantes
selon plusieurs critères
@IP CIDR du client ou du DNS Client
Region : la zone personnalisée
Ville, Pays, Continent
D’autres critères

120. Une formation
Région
Elément logique, créé pour classifier
les éléments DNS géographiquement
Elle permet de favoriser des pools de wide IPs
par rapport à d’autres

121. Une formation
Critères
La région permet de classifier les
pools selon les critère suivants
Géographique : ISP, Province, pays,
IP/Subnet, Region et continent
Opérandes : is ou is not (!)

122. Une formation
Enregistrement Topology
Permet de déterminer le comportement de
BIGIP DNS face à une requête DNS
Critères d’appartenance : Selon une région
Destination : Le pool de VS auquel la requête va
être dirigée
Weight : le coefficient de l’enregistrement

123. Une formation
Enregistrement 1
Source : Continent .. is .. Arfica
Destination : AfricaPool
Weight : 100

124. Une formation
Découvrir les autres algorithmes
statiques de GSLB
Yassine KAMIL

125. Une formation
Algorithme Drop Packet
Algorithme Fallback IP
Algorithme Return to DNS
Plan

126. Une formation
Algorithme Drop Packet
Rejette les requêtes DNS à
destination de la Wide IP :
Utilisé pour bloquer la résolution DNS d’un
FQDN

127. Une formation
Algorithme Fallback IP
Retourne une adresse IP fixe suite à
une requête DNS
Il est utilisé pour retourner une page de
maintenance

128. Une formation
Algorithme Return to DNS
Ignore les pools de Wide IP dans une
résolution DNS et transmet la
requêtes à un Serveur DNS Local

129. Une formation
Configurer les algorithmes
basés sur l'état des services
Yassine KAMIL

130. Une formation
Algorithmes de l’état des Services
Algorithme Least Connections
Algorithme VS Capacity
Algorithme KBPS
Algorithme Packet Rate
Plan

131. Une formation
Algorithmes de l’état des
Services
Sont des algorithmes qui se basent
sur les métriques fournies par les
systèmes LTM pour sélectionner le VS

132. Une formation
Algorithme Least Connections
L’algorithme Least Connections,
retourne L’adresse IP du VS ayant le
nombre de connexions minimum

133. Algorithme Least Connections
DC1
@IP-VS-DC1
DC2
@IP-VS-DC2
DC3
@IP-VS-DC3
DNS
Servers
28 26 27

134. DC1
@IP-VS-DC1
DC2
@IP-VS-DC2
DC3
@IP-VS-DC3
DNS
Servers
28
3
3
1
1 2
2
27 28
Algorithme Least Connections

135. DC1
@IP-VS-DC1
DC2
@IP-VS-DC2
DC3
@IP-VS-DC3
DNS
Servers
27
4
4 3
3
1
1 2
2
5
5
28
29
Algorithme Least Connections

136. Une formation
Algorithme Return to DNS
Ignore les pools de Wide IP dans une
résolution DNS et transmet la
requête à un Serveur DNS Local

137. Une formation
Algorithme VS Capacity
Retourne L’adresse IP du VS ayant le
nombre de connexions minimum

138. Une formation
Configurer l'algorithme
Quality of Service
Yassine KAMIL

139. Une formation
L’algorithme QoS
L’algorithme QoS est un algorithme
qui combine les différentes métriques
(RTT, Completion Rate, Hops, …) selon
des coefficients affectés par
l’administrateur BIGIP

140. Exemple
Poids VS - 1 VS - 2 VS - 3
VS Capacity 10 6 8 10
RTT 20 10 5 1
Completion
Rate
5 3 3 1
Result 19 16 12

141. Une formation
Comprendre les concepts
du Monitoring
Yassine KAMIL

142. Une formation
Définir un Monitor
Types de Monitors
Monitors F5
Plan

143. Une formation
Définir un Monitor
C’est un mécanisme qui permet à F5 de
vérifier la disponibilité :
Des VS, Links, ...
Les Monitors peuvent collecter des
métriques relatives aux VS et Links

144. Une formation
Monitor test
Un service mis en écoute
Une réponse dans un délai de …
Un intervalle de réponse défini

145. Types de Monitors
Address Check Monitor
Service Check Monitor
Content Check Monitor
Analyse du contenu du retour de serveur pour une expression
Reverse Setting
Application Monitor (External)
Script externe
Path Check Monitor : ICMP
Performance Monitors : SNMP, BIGIP

146. Une formation
Monitors F5
BIGIP dispose des monitors créés par
défaut :
bigip Monitor
bigip Link

147. Une formation
Monitors F5 – bigip
Réalise les vérifications suivantes :
Vérification de la disponibilité de la ressource
Collecte des métriques de ses propres
ressources pour les envoyer vers les systèmes
DNS

148. Une formation
Monitors F5 – bigip_link
Monitor destiné aux liens Internet, il
réalise cette vérification par :
Test des accès internet à travers les liens surveillés
Collecte des métriques : saturation, throughput,
packet drop, …

149. Une formation
Créer et utiliser des monitors
Yassine KAMIL

150. Plan
Une formation
Monitors Templates
Périmètre d’un Monitor
Création d’un Monitor

151. Une formation
Pour créer des Monitor, F5 met à disposition des
Monitor Templates
Un Monitor Template est un Monitor crée par
défaut avec une configuration par défaut
La création d’un monitor hérite nécessairement
d’un Template
Monitor Template

152. Une formation
Server Monitors
Link Monitors
Wide IP Pool Monitor
VS Monitor
Périmètre d’un Monitor

153. Une formation
Gateway_ICMP
TCP, UDP
HTTP, HTTPS, FTP, …
BIGIP/SNMP
Server Monitors

154. Une formation
Gateway _ ICMP
BIGIP_Link
Link Monitors

155. Une formation
Gateway_ICMP
tcp,udp
http, https, ldap, …
Wide IP Pool & VS Monitors

156. Une formation
Nom du Monitor
Template
Interval
Timeout Interval
Critères à tenir en considération

157. Une formation
Utiliser LDNS Probes
Yassine KAMIL

158. Plan
Une formation
Définir LDNS Probes
Utiliser LDNS Probes
Créer un LDNS Probe

159. Une formation
Un LDNS Probe est un outil qui permet de
collecter les métriques relatives à un
Datacenter et au chemin depuis LDNS
client vers DNS F5
Définir LDNS Probes

160. Une formation
Monitor
Vérification de l’état de santé, et charge des VS,
Links, pools, nodes dans un DC
LDNS Probe
Tester et collecter des métriques entre le DC et F5 et
la localisation d’un LDNS client
Monitor VS LDNS Probe

161. Une formation
LDNS Probe est donc le chemin entre le
client et DC F5
LDNS utilisé uniquement si un des LB
algorithmes requiert des métriques liées au
chemin client
Utiliser LDNS Probes

162. Utiliser LDNS Probes

163. Une formation
DNS REV, DNS DOT
F5 DNS envoi des requêtes DNS liées au LDNS client et
collecte les métriques liées à la réponse du DNS client
TCP, UDP
F5 DNS envoi des requêtes au LDNS client port 53 pour
TCP, et pour 7 pour UDP
ICMP
F5 DNS envoi des requêtes PING LDNS client
Les types de LDNS Probes

164. Une formation
Critères à tenir en considération
Nom du LDNS Probe
Paths TTL : Validité d’une réponse DNS
Paths Retry : Intervalle de probing
Hops Packet Length : Nbr de packet envoyé au
LDNS pour déterminer le chemin
Sample count : Valider les métriques
Création d’un LDNS Probe

165. Une formation
Explorer le logging sur F5
DNS
Yassine KAMIL

166. Une formation
Types de Logging
Les Logs sur F5
Internes
Externes

167. Une formation
Logs internes
Logs internes
/var/log/gtm
Facility : local2

168. Une formation
Logs externes
Logs externes
Syslog, HSL, …
SIEM

169. Une formation
Définition de HSL
High Speed Logging
Mécanisme de Logging
Filtrage des logs par destination
Filtrage de logs par type

170. Une formation
Concepts
Destination
La destination des logs
Publisher
Filtrage des Logs, et envoi vers la
destination

171. Concepts
Alerte générée
Publisher
déclenché
Envoi vers
destination
Logs envoyés
vers Syslog
Un évènement déclenche une alerte
L’alerte correspond à un publisher
Le publisher envoi le log vers la destination
La destination envoi les entrées logs vers le
serveur Syslog

172. Une formation
Découvrir l'accélération DNS
Yassine KAMIL

173. Une formation
L’accélération DNS
Fournir des réponses DNS, le plus
rapidement possible
Protéger les zones DNS

174. Une formation
Types d’accélération DNS
Load Balancing vers des serveurs DNS
tierces
Cache DNS
DNS Express

175. Une formation
Configurer le Load Balancing
vers des serveurs DNS tierces
Yassine KAMIL

176. Une formation
Eléments importants
Listener
Pool DNS

177. Une formation
Listener
VS d’écoute sur le port 53, UDP
Pour les requêtes < 512 octets
VS d’écoute sur le port 53, TCP
Pour les requêtes > 512 octets

178. Une formation
Profil DNS associé
L’ensemble des paramètres DNS
Timeout
Cache profile

179. Une formation
Pool DNS
Ensemble de serveurs DNS tierces
Autoritaires sur la zone concernée

180. Configurer le LB vers serveurs DNS tierces
DNS Server 1
DNS Server 2
DNS Server 3
Listener
Pool DNS
Requête DNS
Réponse DNS

181. Une formation
Accélérer le DNS en utilisant
le Cache DNS de F5
Yassine KAMIL

182. Une formation
Configurer cache DNS de F5
Eléments à tenir en considération
Mode de caching
Transparent
Resolver

183. Une formation
Transparent Cache
F5 enregistre les entrées DNS depuis
des serveurs tierces
Utilisé pour le mode forwarder

184. Une formation
Resolver Cache
F5 enregistre les entrées DNS
résolues depuis un serveur DNS
distant
Utilisé pour un mode resolver

185. Réponse DNS
Cache Miss
DNS Server 1
DNS Server 2
DNS Server 3
Listener
Pool DNS
Requête DNS
Mise en cache

186. Réponse DNS
Cache Hit
DNS Server 1
DNS Server 2
DNS Server 3
Listener
Pool DNS
Requête DNS
Vérification
du cache

187. Une formation
Accélérer le DNS en utilisant
DNS Express
Yassine KAMIL

188. Une formation
Le mécanisme DNS Express
Chargement des zones DNS sur la RAM
Depuis le BIND de F5
Depuis un serveur DNS distant

189. Une formation
Transfert
Transfert de zone
Port 53, TCP
Types de transfert
AXFR
Transfert de zone total
IXFR
Transfert de zone incrémental

190. Concept de fonctionnement
Fichiers de zones au niveau de F5
BIND F5
DNS Express
Disk
RAM
Demande de transfert
de zone
AXFR
Zone Chargée

191. Concept de fonctionnement
Fichiers de zones au niveau de F5
BIND F5
DNS Express
Disk
RAM
Notification
IXFR
Zone à jour
Demande
Changement au
niveau de la zone

192. Concept de fonctionnement
Fichiers de zones au niveau de F5
DNS Distant
DNS Express
Disk
RAM
Demande de transfert
de zone
AXFR
Zone Chargée

193. Concept de fonctionnement
Fichiers de zones au niveau de F5
DNS Distant
DNS Express
Disk
RAM
Notification
IXFR
Zone à jour
Demande
Changement au
niveau de la zone

194. Une formation
DNS Express
Plus rapide
Moins de ressources
Zones DNS cachées : Read Only
Serveur DNS Slave

195. Une formation
Accélérer le DNS en utilisant
DNS Express
Yassine KAMIL

196. Une formation
Comprendre l'ordre de
résolution DNS sur F5
Yassine KAMIL

197. Une formation
L'ordre de résolution DNS
L’ordre de traitement
Wide IPs
DNS cache
DNS Express
Serveur DNS tierces
Serveur BIND F5

198. Une formation
Comprendre et configurer
DNSSEC
Yassine KAMIL

199. Une formation
DNSSEC
Ensemble d’extensions permettant
de sécuriser une réponse DNS
Origine
Intégrité

200. Une formation
Propriétés
Permet de mitiger les vulnérabilités
Man-In-The-Middle DNS, DNS Cache
poisoning, …
Signer les réponses DNS
Etablir une relation de confiance entre le
Resolver et le Serveur DNS autoritaire

201. Une formation
Enregistrements DNSSEC
RRSIG
la signature de la réponse DNS
Requête DNSSEC {A}
Réponse DNS, { A,RRSIG} Listener F5

202. Une formation
DNSKEY
Analogue à un certificat digital SSL
Clé publique
Chaine de confiance

203. DS
En cas de délégation DNS, DS valide l’identité du
nouveau Serveur
training.alphorm.com
{A,RRSIG, DS}
Serveur 1
{alphorm.com}
Serveur 2
{training.alphorm.com}

204. Une formation
NSEC
Contient la prochaine entrée DNS
dans la zone
Utiliser pour voir les entrées
invalides

205. DNSSEC
$ORIGIN alphorm.com.
@ SOA …
NS NS.alphorm.com.
DNSKEY …
NSEC mailbox.alphorm.com. SOA NS NSEC
DNSKEY RRSIG
mailbox A 192.168.10.2
NSEC www.alphorm.com.
A NSEC RRSIG
WWW A 192.168.10.3
TXT Public
webserver
NSEC alphorm.com. A
NSEC RRSIG TXT

206. Une formation
NSEC et NSEC3
NSEC
Expose cependant les entrées DNS
de la zone
NSEC3
Utilise des Hash au lieu des entrées
explicites

207. Une formation
Clés DNSSEC
ZSK
Zone Signing Key
Utilisée dans la création de RRSIG, et
NSEC

208. Une formation
KSK
Key Signing Key
Utilisée dans la signature du
DNSKEY et DS

209. Une formation
Configurer DNSSEC
Etapes
Importer les ZSK correspondantes aux
Zones DNSSEC
Importer les KSK
Création des zones
Association des ZSK, et KSK à chaque zone
DNSSEC

210. Une formation
Configurer une paire de BIG-IP
DNS en Sync Group
Yassine KAMIL

211. Une formation
Sync Group
Un ensemble de boitiers BIGIPs DNS
qui partagent les mêmes
informations DNS via protocole
iQuery
Ne pas confondre avec Device Group

212. Comprendre les Sync Group
Un BIGIP ne peut adhérer qu’un seul Sync Group
DC1 DC2 DC3
Sync Group
iQuery

213. Une formation
Configurer Sync Group
Au niveau des paramètres globaux
GSLB
Les boitiers BIGIP doivent partager le
même nom du group DNS

214. Conclusion
Une formation
Yassine KAMIL

215. Bilan
Une formation
Introduction au module F5 DNS
Préparer l'infrastructure du DNS intelligent sur BIG-IP
Comprendre la communication entre les équipements BIG-IP
Configurer la résolution DNS intelligente
Découvrir les algorithmes de GSLB
Maîtriser les algorithmes de GSLB statiques
Maîtriser les algorithmes de GSLB dynamiques
Utiliser les Health Monitors
Explorer le logging sur F5 DNS
Déployer le service DNS en mode accélération DNS
Configurer DNSSEC
Configurer une paire de BIG-IP DNS en Sync Group

216. DNS entrant

217. Une formation
Listner
TCP si les requêtes DNS > 512o
UDP si les requêtes DNS <512o
Profil DNS
Zone DNS
Au niveau BIND F5
Serveurs DNS Distants
DNS Express
Ajout des zones à DNS Express
Also-notify

218. Une formation
gtm_add et bigip_add
Ajout des systèmes BIGIP distants
Découverte des VS
Définition des Datacenters, Links et Link Monitors
Configuration des Pools de VS
Configuration des Monitors et LDNS Probes
Choix des algorithmes LB
Configuration des Wide IPs
Association aux pools de VS

219. DNS sortant

220. Une formation
Listener
TCP si les requêtes DNS > 512o
UDP si les requêtes DNS <512o
Profil DNS
Edition du fichier named.conf
Définition du mode DNS F5, Resolver ou Forwarder
Pour le mode Forwarder F5 doit avoir un serveur DNS auquel
il va déléguera les requêtes
Définition de la récursivité

221. Une formation
Profil de caching
Transparent si F5 est en mode DNS Forwarder
Resolver si DNS est en mode Resolver
Association au profil DNS