SlideShare une entreprise Scribd logo
1
F5 BigIP LTM
Administering BigIP v11
2
Introducción a F5
Application Delivery Networking
– S'assurer que les applications sont SÉCURITAIRES,
RAPIDES, DISPONIBLES
Productos F5:
– BIG-IP Local Traffic Manager
– BIG-IP Link Controller
– BIG-IP Global Traffic Manager
– BIG-IP Access Policy Manager
– BIG-IP Application Security Manager
– Enterprise Manager
– WanJet / Web Accelerator
3
BIG-IP Local Traffic Manager
Internet
• Équilibrage de la charge sur les
serveurs
• Surveillance de l'état des
serveurs
4
BIG-IP Global Traffic Manager (GTM)
Internet
• Équilibrage de charge DNS
• Par exemple: www.f5.com = fr 1
• Surveillance de l'état du serveur
207.46.134.222
65.197.145.183
143.166.83.200
GTM
www.f5.com = ?
207.46.134.222
www.f5.com = ?
143.166.83.200
www.f5.com = ?
207.46.134.222
5
ISP #1 ISP #2
BIG-IP Link Controller
Internet
• Équilibrage des serveurs
• Liens d'entrée
• Liens de sortie
3 types d'équilibrage
6
BIG-IP Enterprise Manager
LTMGTM
• Gestion des versions et
sauvegarde centralisée
• Vue centralisée des certificats
SSL
• Contrôle et inventaire des
appareils
• Prend en charge jusqu'à 300
appareils
7
BIG-IP Access Policy Manager
Big-IP APM
File Servers
Web Servers
telnet a Hosts
E-mail Servers
Terminales /
Citrix
Desktop
SSL VPN
Autenticación
Autorización
Accès à distance via un navigateur ou un VPN SSL
Autorisation par groupe
8
BIG-IP Application Security Manager
Firewall de couche 7
• Bloquer les attaques Web
connues ou inconnues
• Proxy inverse
• Vérification du contenu de la
sortie
216.34.94.17:80
Internet
207.17.117.25
9
Web Accelerator
Cliente Web Server
• Accélérer les applications Web
• Temps de réponse plus longs
• Augmente la capacité des serveurs
• Réduire la charge du système
• Réduit le besoin de BW
• Transparent pour les utilisateurs et les applications
10
1. Introduction
2. Local Traffic
3. NAT & SNAT
4. TMSH et BigIP
Management
5. Monitors and States
6. Profiles
11
7. Troubleshooting Big-IP
8. Persistence
9. Administration Big-IP
10. iRules
11. Labs
12
Introduction - Topology
Internet
BIG-IP LTMs
Clients
Servers
13
Plateformes BIG-IP
Installation (utilitaire de configuration)
Configuration des utilitaires et accès des
utilisateurs
Introduction
14
Plataformas BIG-IP
Hardware and virtualized designed solutions for app. sec.
•High-end Enterprise Datacenter WAF – VIPRION and 11000 series
•Industry’s best performance for low end with 1600
•Low throughput Web Application Firewall for budget conscious
buyer
•App. sec. on hypervisor infrastructure* with BIG-IP ASM VE
•Cost-effective scale and attack mitigation
8900VIPRION
4400 and 2400
6900 3900 , 3600
and 1600
11000
Virtual Edition
15
Plataformas BIG-IP
6900
3900
Diferencias
• 8900 (2U)
– Dual CPU, quad core (8 processors), 16G Ram
– 12 puertos 10/100/1G & 8Gbit
• 6900 (2U)
– Dual CPU, dual core (4 processors) 8G Ram
– 16 puertos 10/100/1G & 8Gbit
• 3900 (1U)
– Quad core CPU, 8G Ram, ASIC2
– 8 puertos 10/100/1G & 4Gbit
• 1600 (1U)
– Dual core CPU, 4G Ram
– 4 puertos 10/100/1G & 2Gbit
• Panel LCD de control
• Más información-> http://www.f5.com
16
VIPRION
• C4400 4-Slot Chassis (7U)
Plataformas BIG-IP
17
Plataformas BIG-IP
Blade
• B4200 Blade (1U)
18
Plateformes BIG-IP
BIG-IP 3900
400k L7 RPS
175K L4 CPS
4G L7/L4
TPUT
BIG-IP 6900,
600k L7 RPS
220K L4 CPS
6G L7/L4 TPUT
BIG-IP 8900/
8950
1.9M L7 RPS
800K L4 CPS
Up to 20G
TPUT
BIG-IP
11000/11050,
2.5M L7 RPS
1M L4 CPS
Up to 42G
TPUT
BIG-IP 1600
100k L7 RPS
60K L4 CPS
1G L7/L4
TPUT
BIG-IP 3600
135k L7 RPS
115K L4 CPS
2G L7/L4
TPUT
19
Plateformes BIG-IP
20
Plateformes BIG-IP
21
Pas à pas - Connectivité initiale
1. Rack et connexions
2. Panneau LCD
3. Accès Web et SSH
4. Utilisateurs
22
Paso 1 - BIG-IP Chassis Front (3600)
• Installez le kit de rack
• Connectez le câble d'alimentation
• Connectez le câble réseau dans
l'interface identifiée comme MGMT
USB Failover Ethernet
MGMT Console
LCD PanelGigabit SFP
ControlsFan Ports
23
Étape 2 - Panneau LCD
LCD Panel
Controls
Le panneau a un menu avec les éléments suivants
• Menu d'information
• Menu système
• Menu des écrans
• Menu Options
24
Étape 2 - Panneau LCD - cont.
1. Nous bougeons avec la flèche vers le haut et la flèche vers le bas
jusqu'à ce que nous sélectionnions "Menu Système" (pour
sélectionner, appuyez sur la touche verte centrale)
2. Dans ce menu, nous ne bougeons pas jusqu'à ce que nous
sélectionnions "Adresse IP". Nous configurons l'IP MGMT là.
3. Nous répétons l'opération de l'étape pour la partie "Netmask" et
"Route par défaut"
4. IMPORTANT: Une fois terminé, sélectionnez l'option Valider et
confirmez avec la touche verte centrale.
25
Étape 3 - Accès
Deux types d'accès
• Web Interface
• HTTPS (remote)
• Command Line
• SSH (remote)
– Management Port
– Self-IPs
– SCCP / AOM
• Serial Terminal
26
Étape 3 - Accès - Cont.
• Depuis un navigateur, entrez l'adresse IP configurée dans
l'exemple de l'écran LCD étape: https://172.27.166.174
27
Étape 3 - Accès - Cont.
• Avec un logiciel de type terminal (putty ou crt), entrez
l'adresse IP configurée à l'étape Exemple de panneau
LCD: 192.168.21.215 à port 22
28
Étape 4 - utilisateurs
• Pour l'accès via le Web, l'utilisateur par défaut est admin
• Pour l'accès vis SHH l'utilisateur par défaut est root
29
Configuration initiale de BIG-IP
1. Config utility
– Adresse IP pour l'interface de gestion
– Licence
– Setup utility
– Clé Root
– Adresses IP pour les VLAN
– Affectation d'interfaces aux réseaux
locaux virtuels
– Clé Web Admin
– Acceso SSH
30
config Utility
Adresse IP initiale : 192.168.1.245 F5 en Hexadecimal
31
Internet
Licence - Automatique
• Exécuter l'utilitaire de
configuration
• Entrer la clé d'enregistrement
PC BIG-IP
• Prenez la licence de F5
• Sélectionnez les paramètres
F5 License Server
activate.F5.com
• Redémarrer
32
Licenciamiento – Manual
PC
BIG-IP
F5 License Server
activate.F5.com
Internet
•Copier le dossier sur un PC
connecté à Internet
•Collez le dossier à F5
• Télécharger la licence sur le
PC
•Téléchargement
et installation du
fichier de licence
Setup utility
PC
• https://activate.F5.com
Redémarrer
33
Setup Utility
https://Management IP Address
34
Setup Utility – Adressage
35
Web Configuration utility
36
Local Traffic Manager
1 2 3 4
5 6 7 8
Internet
37
Serveurs virtuels, membres et nœuds
Configuration de serveurs virtuels et de pools
Méthodes d'équilibrage de charge
Configuration de l'équilibrage de charge
Load Balancing
38
Pools, membres et nœuds
172.16.20.1 172.16.20.2 172.16.20.3
Noeud = IP
:80 :80 :80
Membre = Noeud + Port
Pool = Groupe de membres
40
Virtual Server
Internet
172.16.20.4:8080
172.16.20.2:4002
172.16.20.3:80
Virtual Server
• Adresse IP
• + Service (Port)
• "Écouter" et gérer le trafic
entrant
216.34.94.17:80
• Normalement associé
à un Pool
41
Virtual Server - Traduction d'adresses IP
BIG-IP LTM effectue
la traduction des
adresses réseau vers
l'adresse réelle des
serveurs, de sorte
que toutes les
machines soient
considérées comme
un serveur virtuel
unique.
Real Server
Address
Network
Address
Translation
Virtual Server Address
Internet
216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80
172.16.20.2:4002
172.16.20.3:80
42
Flux réseau - Paquet n ° 1
Resuelve www.f5.com a
l'adresse IP du serveur
virtuel 216.34.94.17:80
Internet
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
www.f5.com
DNS Server216.34.94.17:80
43
Flux réseau– Paquet #1
LTM traduit l'adresse de
destination au noeud,
en fonction du Load
Balancing
Internet
Packet # 1
Src - 207.17.117.20:4003
Dest – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
Packet # 1
Src – 207.17.117.20:4003
Dest – 172.16.20.1:80
207.17.117.20
216.34.94.17:80
44
Flux réseau– Paquet #1 Return
LTM traduit l'adresse
source en retour à celle
du Virtual Server
Internet
Packet # 1 - return
Dest - 207.17.117.20:4003
Src – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
Packet # 1 - return
Dest – 207.17.117.20:4003
Src – 172.16.20.1:80
207.17.117.20
216.34.94.17:80
45
Flux réseau– Paquet #2
Internet
Packet # 2
Src - 207.17.117.21:4003
Dest – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
Packet # 2
Src – 207.17.117.21:4003
Dest – 172.16.20.2:4002
207.17.117.21
216.34.94.17:80
46
Flux réseau– Paquet #2 Return
Internet
Packet # 2 - return
Dest - 207.17.117.21:4003
Src – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
Packet # 2 - return
Dest – 207.17.117.21:4003
Src – 172.16.20.2:4002
207.17.117.21
216.34.94.17:80
47
Flux réseau– Paquet #3
Internet
Packet # 3
Src - 207.17.117.25:4003
Dest – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
Packet # 3
Src – 207.17.117.25:4003
Dest – 172.16.20.4:8080
207.17.117.25
216.34.94.17:80
48
Flux réseau– Paquet #3 Return
Internet
Packet # 3 - return
Dest - 207.17.117.25:4003
Src – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002
172.16.20.3:80
Packet # 3 - return
Dest – 207.17.117.25:4003
Src – 172.16.20.4:8080
207.17.117.25
216.34.94.17
49
Configuration des pools
50
Configuration de serveurs virtuels
51
NATs y SNATs
Network Address
Translation
Internet
207.10.1.103
172.16.20.3
207.10.1.101
172.16.20.1
52
NAT
Conceptos SNAT
Configuración de SNAT
NATs y SNATs
53
NAT
Cartographie 1-à-1
Trafic bidirectionnel
Adresse IP dédiée
Configuration
Internet
207.10.1.103
172.16.20.3
207.10.1.101
172.16.20.1
54
SNATs
Mapping plusieurs à un
Le trafic initié à une adresse
SNAT est rejeté
Internet
207.10.1.102
172.16.20.1
172.16.20.2
172.16.20.3
55
Pourquoi SNAT
Plusieurs adresses non
routables vers un routable Internet
172.16.20.1
172.16.20.2
172.16.20.3
207.10.1.33
VS - 207.10.1.100
172.16.1.33
172.16.11.45
• Considérations de
routage
• Si l'itinéraire par défaut
des serveurs ne va pas
au LTM
56
SNATs – Flux de trafic typique
Internet
207.10.1.102
172.16.20.1
172.16.20.2
172.16.20.3
172.16.20.3:1111 
205.229.151.203:80
207.10.1.102:2222 
205.229.151.203:80
57
SNATs – Flux de réponse
Internet
207.10.1.102
172.16.20.1
172.16.20.2
172.16.20.3
205.229.151.203:80
 172.16.20.3:1111
205.229.151.203:80
 207.10.1.102:2222
58
Configuration
Internet
207.10.1.102
172.16.20.1
172.16.20.2
172.16.20.3
Qui peut changer?
Qu'est-ce qui a changé?
Où arrivent les colis?
59
SNAT pour les serveurs virtuels
Internet
172.16.X.33
172.16.20.1
172.16.20.2
172.16.20.3
Trafic vers les VS
10.10.X.100:443
SNAT Pool – Automap
Floating IP Automap
60
Configuration des accès
Méthodes
Web
• https (remote)
CLI
• ssh (remote)
• Terminal Serial
61
Backup procedure
• Enregistrer tous les paramètres dans un
fichier
• Si le fichier est copié sur un autre système,
il doit être re-licencié
62
User Authentication
63
Administrators Users
64
Statistics
Summary
Virtual Servers
Pools
Nodes
65
Logs
66
Logs
Ils sont situés dans /var/log
daemons - /var/log/daemon.log
gtm - /var/log/gtm
ltm - /var/log/ltm
Kernel - /var/log/messages
Booteo - /var/log/boot.log
Logrotate pour la rotation des logs
Ils sont stockés dans /var/log/[archivo].1.gz -- /var/log/[archivo].5.gz
67
Moniteurs et États
Internet
172.16.20.3:80
68
Concepts généraux des moniteurs
Configuration des moniteurs
Assignation des moniteurs
États de nœuds et membres
Moniteurs
69
Concepts
Vérification de l'adresse IP
Noeud
Vérification du service
IP: port
Vérification du contenu
IP: port + vérification des données de retour
Vérification interactive
Suivi de piste
70
Vérification de l'adresse IP
Les Étapes
-Les paquets sont envoyés
à une adresse IP
-S'il n'y a pas de réponse,
aucun trafic n'est envoyé
aux membres du pool qui
utilisent l'adresse.
-Exemple: ICMP
Internet
172.16.20.1
172.16.20.2
172.16.20.3
ICMP
71
Vérification du service
Les Étapes
-Ouvrir une connexion TCP
(IP: service)
-Fermez la connexion
-Si la connexion TCP échoue,
aucun trafic ne sera envoyé
aux membres associés.
-Exemple: TCP
Internet
172.16.20.1:80
172.16.20.2:80
172.16.20.3:80
TCP
Connection
72
Vérification du contenu
Internet
172.16.20.1:80
172.16.20.2:80
172.16.20.3:80
Les Étapes
-Ouvrir une connexion TCP (IP:
service)
-Envoyer un REQ
-La réponse vient avec des données
utiles
-Fermez la connexion
-Si les données reçues ne
correspondent pas à une règle,
les données ne sont pas
envoyées aux membres associés
-Exemple: http
http GET /
73
Vérification interactive
Internet
172.16.20.1:80
172.16.20.2:80
172.16.20.3:80
Les Étapes
-Ouvrir une connexion TCP (IP:
service)
-Une conversation interactive est
générée pour simuler une
connexion réelle
-La connexion est fermée
-Si les résultats attendus ne se
produisent pas, le trafic n'est pas
envoyé aux membres associés.
-Exemple: requête SQL
conversation
74
Track Check
Les Étapes
-Les colis sont envoyés à
travers, pas à l'appareil
-Vous pouvez vérifier la
direction IP, le service ou
le contenu
-Si la condition n'est pas
remplie, aucun trafic n'est
envoyé via le membre
associé.
Link
Cntl
ISP2ISP1
ISP1
www.f5.com
75
Configuration
Moniteurs prédéfinis (modèles)
-Vérification de l'adresse IP (icmp)
-Vérification de service (tcp)
-Vérification du contenu (http)
-Vérification interactive (ftp)
Disponibilité:
TOUS les modèles peuvent être personnalisé
76
Créer de nouveaux moniteurs
77
Paramètres supplémentaires
• Règle de réception
- Si le contenu est trouvé, le noeud est
marqué Up
• Règle de réception inverse
- Si le contenu est trouvé, le noeud est
marqué Down
• Transparent
- Si le chemin est disponible, le noeud
est marqué Up
- Utilisé pour surveiller les Links
78
Timers
Fréquence (Interval)
Timeout
• Recommandé = 3n + 1
79
Assignation des moniteurs
Par défaut à tous les nœuds
Options particulières de chaque noeud
- Par défaut
- Spécifique
- Aucun
Par défaut à tous les nœuds
Options particulières de chaque noeud
- Par défaut
- Spécifique
- Aucun
80
Affectation de moniteurs aux noeuds
Pour 1 noeud
81
Attribuer Des moniteurs aux Pools
Pour 1 membre
82
Statut de membre ou de nœud
Statut
-Disponible - Circ. Vert
-Hors ligne - Red
-Inconnu - Cuad. Bleu
83
Profils
Internet
Virtual Server
Les profils détermine la
manière de traiter le
trafic des serveurs
virtuels
84
Concepts de profils
Dépendances
Types de profils
Configuration
Profiles
85
Concepts
Un profil est:
• Lorsque le comportement du trafic est défini:
- SSL, compression, persistance ...
- L'application de ce comportement aux VS’s
• Défini à partir d'un modèle
• Dépend d'autres profils
86
Scénario n#1 - Persistance
1
2
3
1
2
3
87
Scénario n # 2 - Résiliation SSL
Descript
Chiffré
88
Scénario n # 3 - Serveur FTP
Le client démarre la
connexion de contrôle
Le serveur commence la
connexion de transfert
de données
89
Dépendances
Certains ne
peuvent pas être
combinés dans le
même VS
Dépendances
suivant le modèle
OSI
TCP
HTTP
Cookie
UDP
FTP
Network
Data Link
Physical
90
Types de profils
Services - Orienté vers le type de données
Persistance - Orienté vers la session
Protocoles - orientés vers la connexion
SSL - Orienté vers le cryptage
Authentification - Orientée vers la sécurité
Autres - Orienté vers le flux de données TCP
91
Concepts de configuration
Créé à partir de profils par défaut
Les profils par défaut peuvent être modifiés mais pas
supprimés
Il y a des relations Père-Fils
Stocké dans /config/profile_base.conf
92
Virtual Server Default Profiles
Chaque serveur virtuel a au moins 1 profil
TCP: pour le traitement des données TCP par
VS’s
UDP: pour le traitement des données UDP de
VS’s
FastL4: pour les VS’s qui ont une accélération
matérielle (PVA)
Fasthttp: pour le traitement du trafic HTTP de
VS’s et son accélération
93
Configuration
94
Configuration (suite)
Spécification des
propriétés
Mappage des VS
95
7. Troubleshooting Big-IP
8. Persistence
9. Administration Big-IP
10. iRules
11. Labs
96
Persistance
1
2
3
1
2
3
97
Persistance par la direction de l'origine
Persistance par Cookie
- Insert, Rewrite, Passive & Hash
Persistance
98
Persistance selon la direction d'origine
Basé sur l'adresse IP du client
Netmask -> Plage d'adresses
1
2
3
1
2
3
205.229.151.10
205.229.152.11
Netmask
255.255.255.0
205.229.151.107
99
Propriétés
Mappage VS
Persistance selon la direction d'origine
100
Configuration
2. Pointé sur VS
1. Conf. Profile
101
Persistance par Cookie
Mode d'insertion
- BIG-IP LTM Insère le cookie dans le flux
Mode de réécriture
- Le serveur Web crée le cookie
- BIG-IP LTM le modifie
Mode passif
-Le serveur Web crée le cookie
-BIG-IP LTM le lit
102
Client Server
HTTP request (sin cookie)
TCP handshake
TCP handshake
HTTP request (sin cookie)
HTTP reply (sin cookie)
HTTP reply (con nueva cookie)
pick
server
HTTP request (con misma cookie)
TCP handshake
TCP handshake
HTTP request (sin cookie)
HTTP reply (sin cookie)
HTTP reply (cookie actualizada)
cookie
specifies
server
1erHit2doHit
Mode Insert
103
Client Server
HTTP request (sin cookie)
TCP handshake
TCP handshake
HTTP request (sin cookie)
HTTP reply (con cookie)
HTTP reply (con cookie re-escrita)
pick
server
HTTP request (con misma cookie)
TCP handshake
TCP handshake
HTTP request (con misma cookie)
HTTP reply (con cookie)
HTTP reply (con cookie actualizada)
cookie
specifies
server
1erHit2doHit
Mode Rewrite
104
Client Server
HTTP request (sin cookie)
TCP handshake
TCP handshake
HTTP request (sin cookie)
HTTP reply (con cookie en especial)
HTTP reply (con cookie en especial)
pick
server
HTTP request (con misma cookie)
TCP handshake
TCP handshake
HTTP request (con misma cookie)
HTTP reply (con cookie en especial)
HTTP reply (con cookie en especial)
cookie
specifies
server
1erHit2doHitMode Passive
106
Config. Persistance des cookies
Ensuite, le profil du cookie_persist
• Nécessite “http profile”
107
Maintenance BigIP
im <hotfix>
# im Hotfix-BIGIP-9.4.8-385.0-HF2.im
# /usr/bin/full_box_reboot
Installation de HotFix V9.X
Copier le correctif SCP (Ex winscp) dans BIGIP
Connectez-vous avec SSH avec l'utilisateur rootRun la
commande im pour installer le HotFix
L'installation de HotFix implique la réduction des services
redémarrage de l'équipent.
Une fois terminé, exécutez la commande
full_box_reboot
108
Maintenance BigIP
Ils sont téléchargés sur
/shared/images/shared/images
Installation de TMOS
ISOs disponibles para instalarISOs disponibles para instalar
Versiones instaladasVersiones instaladas
109
Maintenance BigIP
Ils sont téléchargés sur
/shared/images/shared/images
Installation de HOTFIX
HOTFIX para instalarHOTFIX para instalar
110
Maintenance BigIP
Nous pouvons installer dans tout sauf celui où
nous sommes actuellement connectés
Installation de HOTFIX
111
Maintenance BigIP
Installation de HotFix sur V10
Les correctifs sont cumulatifs (HFA3 inclut HFA1 et HFA2).
Chaque Hotfix correspond à un numéro de version (V9.4.X
V10.1.X V10.2.X).
Nous devons avoir deux ou plusieurs volumes installés pour
appliquer les correctifs.
Installez les correctifs logiciels dans des volumes non productifs.
Testez son bon fonctionnement pendant une durée raisonnable.
Nous commençons à utiliser le correctif lorsque nous choisissons
de démarrer avec l'image mise à jour.
112
Maintenance BigIP
Sélection de la version pour démarrer
Con SSH  switchboot

Contenu connexe

Tendances

EVPN Introduction
EVPN IntroductionEVPN Introduction
Linux host orchestration with Foreman, Puppet and Gitlab
Linux host orchestration with Foreman, Puppet and GitlabLinux host orchestration with Foreman, Puppet and Gitlab
Linux host orchestration with Foreman, Puppet and Gitlab
Ben Tullis
 
Ccna command
Ccna commandCcna command
Ccna command
Siddhartha Rajbhatt
 
BIG-IP 4200v Hardware Platform
BIG-IP 4200v Hardware PlatformBIG-IP 4200v Hardware Platform
BIG-IP 4200v Hardware Platform
F5 Networks
 
BPF - in-kernel virtual machine
BPF - in-kernel virtual machineBPF - in-kernel virtual machine
BPF - in-kernel virtual machine
Alexei Starovoitov
 
Introduction of dmvpn
Introduction of dmvpnIntroduction of dmvpn
Introduction of dmvpn
E-Lins Technology Co. Ltd.
 
Configurar Servidor DHCP windows server 2016
Configurar Servidor DHCP windows server 2016Configurar Servidor DHCP windows server 2016
Configurar Servidor DHCP windows server 2016
David García Lopez
 
Cisco Live Milan 2015 - BGP advance
Cisco Live Milan 2015 - BGP advanceCisco Live Milan 2015 - BGP advance
Cisco Live Milan 2015 - BGP advance
Bertrand Duvivier
 
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm
 
cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6
EL AMRI El Hassan
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
Manassé Achim kpaya
 
Composants et fonctionnement d'un Switch Cisco
Composants et fonctionnement d'un Switch Cisco Composants et fonctionnement d'un Switch Cisco
Composants et fonctionnement d'un Switch Cisco
DJENNA AMIR
 
CCNA - Routing & Switching Commands
CCNA - Routing & Switching CommandsCCNA - Routing & Switching Commands
CCNA - Routing & Switching Commands
Eng. Emad Al-Atoum
 
PLNOG15: BGP New Advanced Features - Piotr Wojciechowski
PLNOG15: BGP New Advanced Features - Piotr WojciechowskiPLNOG15: BGP New Advanced Features - Piotr Wojciechowski
PLNOG15: BGP New Advanced Features - Piotr Wojciechowski
PROIDEA
 
TD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdfTD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdf
Ines Ben Hassine
 
OVS Hardware Offload with TC Flower
OVS Hardware Offload with TC FlowerOVS Hardware Offload with TC Flower
OVS Hardware Offload with TC Flower
Netronome
 
C2 Réseaux : medias - equipements
C2 Réseaux : medias - equipementsC2 Réseaux : medias - equipements
C2 Réseaux : medias - equipements
PRONETIS
 
Vxlan deep dive session rev0.5 final
Vxlan deep dive session rev0.5   finalVxlan deep dive session rev0.5   final
Vxlan deep dive session rev0.5 final
KwonSun Bae
 
Juniper Bgp
Juniper BgpJuniper Bgp
Juniper Bgp
Hussein Elmenshawy
 
Vpc notes
Vpc notesVpc notes
Vpc notes
Krunal Shah
 

Tendances (20)

EVPN Introduction
EVPN IntroductionEVPN Introduction
EVPN Introduction
 
Linux host orchestration with Foreman, Puppet and Gitlab
Linux host orchestration with Foreman, Puppet and GitlabLinux host orchestration with Foreman, Puppet and Gitlab
Linux host orchestration with Foreman, Puppet and Gitlab
 
Ccna command
Ccna commandCcna command
Ccna command
 
BIG-IP 4200v Hardware Platform
BIG-IP 4200v Hardware PlatformBIG-IP 4200v Hardware Platform
BIG-IP 4200v Hardware Platform
 
BPF - in-kernel virtual machine
BPF - in-kernel virtual machineBPF - in-kernel virtual machine
BPF - in-kernel virtual machine
 
Introduction of dmvpn
Introduction of dmvpnIntroduction of dmvpn
Introduction of dmvpn
 
Configurar Servidor DHCP windows server 2016
Configurar Servidor DHCP windows server 2016Configurar Servidor DHCP windows server 2016
Configurar Servidor DHCP windows server 2016
 
Cisco Live Milan 2015 - BGP advance
Cisco Live Milan 2015 - BGP advanceCisco Live Milan 2015 - BGP advance
Cisco Live Milan 2015 - BGP advance
 
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
Alphorm.com Formation CCNA 200-301 version 2020 (1of6) : Les Fondamentaux des...
 
cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
Composants et fonctionnement d'un Switch Cisco
Composants et fonctionnement d'un Switch Cisco Composants et fonctionnement d'un Switch Cisco
Composants et fonctionnement d'un Switch Cisco
 
CCNA - Routing & Switching Commands
CCNA - Routing & Switching CommandsCCNA - Routing & Switching Commands
CCNA - Routing & Switching Commands
 
PLNOG15: BGP New Advanced Features - Piotr Wojciechowski
PLNOG15: BGP New Advanced Features - Piotr WojciechowskiPLNOG15: BGP New Advanced Features - Piotr Wojciechowski
PLNOG15: BGP New Advanced Features - Piotr Wojciechowski
 
TD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdfTD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdf
 
OVS Hardware Offload with TC Flower
OVS Hardware Offload with TC FlowerOVS Hardware Offload with TC Flower
OVS Hardware Offload with TC Flower
 
C2 Réseaux : medias - equipements
C2 Réseaux : medias - equipementsC2 Réseaux : medias - equipements
C2 Réseaux : medias - equipements
 
Vxlan deep dive session rev0.5 final
Vxlan deep dive session rev0.5   finalVxlan deep dive session rev0.5   final
Vxlan deep dive session rev0.5 final
 
Juniper Bgp
Juniper BgpJuniper Bgp
Juniper Bgp
 
Vpc notes
Vpc notesVpc notes
Vpc notes
 

Similaire à F5 ltm administering big ip v11

#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'Internet#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'Internet
NetSecure Day
 
Diapo zig bee_amin_jan11_final
Diapo zig bee_amin_jan11_finalDiapo zig bee_amin_jan11_final
Diapo zig bee_amin_jan11_final
Amin Ferjani
 
Réseau MiNET
Réseau MiNETRéseau MiNET
Réseau MiNET
Guillaume Rose
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics  | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics  | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
☁️Seyfallah Tagrerout☁ [MVP]
 
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseriesBreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
Xavier MARIN
 
Petit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossirPetit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossir
LionelTopotam
 
3 Microsoft Advanced Threat Analytics - Genève
3   Microsoft Advanced Threat Analytics - Genève3   Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève
aOS Community
 
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6  - Protocoles TCP/IP, UDP/IPChapitre 6  - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Tarik Zakaria Benmerar
 
Presentation Of indfra network du PFE.pptx
Presentation Of indfra network du PFE.pptxPresentation Of indfra network du PFE.pptx
Presentation Of indfra network du PFE.pptx
yassinqattib
 
ITN_Module_17.pdf
ITN_Module_17.pdfITN_Module_17.pdf
ITN_Module_17.pdf
sirinejlassi1
 
Presentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedPresentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamed
TECOS
 
Propostion un Iaas
Propostion un IaasPropostion un Iaas
Propostion un Iaas
yacine sebihi
 
S21 les dernières nouveautés php sous ibm i (zend server 8.5 et zend studio...
S21   les dernières nouveautés php sous ibm i (zend server 8.5 et zend studio...S21   les dernières nouveautés php sous ibm i (zend server 8.5 et zend studio...
S21 les dernières nouveautés php sous ibm i (zend server 8.5 et zend studio...
Gautier DUMAS
 
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.xAlphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm
 
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
Alphorm
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
mia884611
 
alphorm.com - Formation Hyper-V & SCVMM 2008 R2 (70-659)
alphorm.com - Formation Hyper-V & SCVMM 2008 R2 (70-659)alphorm.com - Formation Hyper-V & SCVMM 2008 R2 (70-659)
alphorm.com - Formation Hyper-V & SCVMM 2008 R2 (70-659)
Alphorm
 
Le monitoring de la performance front
Le monitoring de la performance frontLe monitoring de la performance front
Le monitoring de la performance front
Jean-Pierre Vincent
 
Administration reseau
Administration reseauAdministration reseau
Administration reseau
nadimoc
 

Similaire à F5 ltm administering big ip v11 (20)

#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'Internet#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'Internet
 
Diapo zig bee_amin_jan11_final
Diapo zig bee_amin_jan11_finalDiapo zig bee_amin_jan11_final
Diapo zig bee_amin_jan11_final
 
Réseau MiNET
Réseau MiNETRéseau MiNET
Réseau MiNET
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics  | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics  | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
 
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseriesBreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
 
Petit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossirPetit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossir
 
3 Microsoft Advanced Threat Analytics - Genève
3   Microsoft Advanced Threat Analytics - Genève3   Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève
 
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6  - Protocoles TCP/IP, UDP/IPChapitre 6  - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IP
 
Presentation Of indfra network du PFE.pptx
Presentation Of indfra network du PFE.pptxPresentation Of indfra network du PFE.pptx
Presentation Of indfra network du PFE.pptx
 
ITN_Module_17.pdf
ITN_Module_17.pdfITN_Module_17.pdf
ITN_Module_17.pdf
 
Presentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamedPresentation de nagios mohamed bouhamed
Presentation de nagios mohamed bouhamed
 
Propostion un Iaas
Propostion un IaasPropostion un Iaas
Propostion un Iaas
 
S21 les dernières nouveautés php sous ibm i (zend server 8.5 et zend studio...
S21   les dernières nouveautés php sous ibm i (zend server 8.5 et zend studio...S21   les dernières nouveautés php sous ibm i (zend server 8.5 et zend studio...
S21 les dernières nouveautés php sous ibm i (zend server 8.5 et zend studio...
 
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.xAlphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
 
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
Alphorm.com Formation F5 BIG-IP DNS (anciennement GTM)
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
 
alphorm.com - Formation Hyper-V & SCVMM 2008 R2 (70-659)
alphorm.com - Formation Hyper-V & SCVMM 2008 R2 (70-659)alphorm.com - Formation Hyper-V & SCVMM 2008 R2 (70-659)
alphorm.com - Formation Hyper-V & SCVMM 2008 R2 (70-659)
 
Le monitoring de la performance front
Le monitoring de la performance frontLe monitoring de la performance front
Le monitoring de la performance front
 
Administration reseau
Administration reseauAdministration reseau
Administration reseau
 
Ccna4
Ccna4Ccna4
Ccna4
 

Dernier

BATIMENT 5.pptx. Fil français tourné en France
BATIMENT 5.pptx. Fil français tourné en FranceBATIMENT 5.pptx. Fil français tourné en France
BATIMENT 5.pptx. Fil français tourné en France
Txaruka
 
Bibliothèque de L'Union - Bilan de l'année 2023
Bibliothèque de L'Union - Bilan de l'année 2023Bibliothèque de L'Union - Bilan de l'année 2023
Bibliothèque de L'Union - Bilan de l'année 2023
Bibliothèque de L'Union
 
Dimensionnement réseau de transmission pour un réseau GSM-R - AIT KADDOUR Ghi...
Dimensionnement réseau de transmission pour un réseau GSM-R - AIT KADDOUR Ghi...Dimensionnement réseau de transmission pour un réseau GSM-R - AIT KADDOUR Ghi...
Dimensionnement réseau de transmission pour un réseau GSM-R - AIT KADDOUR Ghi...
MustaphaZhiri
 
Presentation powerpoint sur la filiere electrotechnique
Presentation powerpoint sur la filiere electrotechniquePresentation powerpoint sur la filiere electrotechnique
Presentation powerpoint sur la filiere electrotechnique
mohammadaminejouini
 
Veille Audocdi 90 - mois de juin 2024.pdf
Veille Audocdi 90 - mois de juin 2024.pdfVeille Audocdi 90 - mois de juin 2024.pdf
Veille Audocdi 90 - mois de juin 2024.pdf
frizzole
 
Proyecto Erasmus Jardineros y jardineras de paz
Proyecto Erasmus Jardineros y jardineras de pazProyecto Erasmus Jardineros y jardineras de paz
Proyecto Erasmus Jardineros y jardineras de paz
Morzadec Cécile
 
Textes de famille concernant les guerres V2.pdf
Textes de famille concernant les guerres V2.pdfTextes de famille concernant les guerres V2.pdf
Textes de famille concernant les guerres V2.pdf
Michel Bruley
 

Dernier (7)

BATIMENT 5.pptx. Fil français tourné en France
BATIMENT 5.pptx. Fil français tourné en FranceBATIMENT 5.pptx. Fil français tourné en France
BATIMENT 5.pptx. Fil français tourné en France
 
Bibliothèque de L'Union - Bilan de l'année 2023
Bibliothèque de L'Union - Bilan de l'année 2023Bibliothèque de L'Union - Bilan de l'année 2023
Bibliothèque de L'Union - Bilan de l'année 2023
 
Dimensionnement réseau de transmission pour un réseau GSM-R - AIT KADDOUR Ghi...
Dimensionnement réseau de transmission pour un réseau GSM-R - AIT KADDOUR Ghi...Dimensionnement réseau de transmission pour un réseau GSM-R - AIT KADDOUR Ghi...
Dimensionnement réseau de transmission pour un réseau GSM-R - AIT KADDOUR Ghi...
 
Presentation powerpoint sur la filiere electrotechnique
Presentation powerpoint sur la filiere electrotechniquePresentation powerpoint sur la filiere electrotechnique
Presentation powerpoint sur la filiere electrotechnique
 
Veille Audocdi 90 - mois de juin 2024.pdf
Veille Audocdi 90 - mois de juin 2024.pdfVeille Audocdi 90 - mois de juin 2024.pdf
Veille Audocdi 90 - mois de juin 2024.pdf
 
Proyecto Erasmus Jardineros y jardineras de paz
Proyecto Erasmus Jardineros y jardineras de pazProyecto Erasmus Jardineros y jardineras de paz
Proyecto Erasmus Jardineros y jardineras de paz
 
Textes de famille concernant les guerres V2.pdf
Textes de famille concernant les guerres V2.pdfTextes de famille concernant les guerres V2.pdf
Textes de famille concernant les guerres V2.pdf
 

F5 ltm administering big ip v11

  • 2. 2 Introducción a F5 Application Delivery Networking – S'assurer que les applications sont SÉCURITAIRES, RAPIDES, DISPONIBLES Productos F5: – BIG-IP Local Traffic Manager – BIG-IP Link Controller – BIG-IP Global Traffic Manager – BIG-IP Access Policy Manager – BIG-IP Application Security Manager – Enterprise Manager – WanJet / Web Accelerator
  • 3. 3 BIG-IP Local Traffic Manager Internet • Équilibrage de la charge sur les serveurs • Surveillance de l'état des serveurs
  • 4. 4 BIG-IP Global Traffic Manager (GTM) Internet • Équilibrage de charge DNS • Par exemple: www.f5.com = fr 1 • Surveillance de l'état du serveur 207.46.134.222 65.197.145.183 143.166.83.200 GTM www.f5.com = ? 207.46.134.222 www.f5.com = ? 143.166.83.200 www.f5.com = ? 207.46.134.222
  • 5. 5 ISP #1 ISP #2 BIG-IP Link Controller Internet • Équilibrage des serveurs • Liens d'entrée • Liens de sortie 3 types d'équilibrage
  • 6. 6 BIG-IP Enterprise Manager LTMGTM • Gestion des versions et sauvegarde centralisée • Vue centralisée des certificats SSL • Contrôle et inventaire des appareils • Prend en charge jusqu'à 300 appareils
  • 7. 7 BIG-IP Access Policy Manager Big-IP APM File Servers Web Servers telnet a Hosts E-mail Servers Terminales / Citrix Desktop SSL VPN Autenticación Autorización Accès à distance via un navigateur ou un VPN SSL Autorisation par groupe
  • 8. 8 BIG-IP Application Security Manager Firewall de couche 7 • Bloquer les attaques Web connues ou inconnues • Proxy inverse • Vérification du contenu de la sortie 216.34.94.17:80 Internet 207.17.117.25
  • 9. 9 Web Accelerator Cliente Web Server • Accélérer les applications Web • Temps de réponse plus longs • Augmente la capacité des serveurs • Réduire la charge du système • Réduit le besoin de BW • Transparent pour les utilisateurs et les applications
  • 10. 10 1. Introduction 2. Local Traffic 3. NAT & SNAT 4. TMSH et BigIP Management 5. Monitors and States 6. Profiles
  • 11. 11 7. Troubleshooting Big-IP 8. Persistence 9. Administration Big-IP 10. iRules 11. Labs
  • 13. 13 Plateformes BIG-IP Installation (utilitaire de configuration) Configuration des utilitaires et accès des utilisateurs Introduction
  • 14. 14 Plataformas BIG-IP Hardware and virtualized designed solutions for app. sec. •High-end Enterprise Datacenter WAF – VIPRION and 11000 series •Industry’s best performance for low end with 1600 •Low throughput Web Application Firewall for budget conscious buyer •App. sec. on hypervisor infrastructure* with BIG-IP ASM VE •Cost-effective scale and attack mitigation 8900VIPRION 4400 and 2400 6900 3900 , 3600 and 1600 11000 Virtual Edition
  • 15. 15 Plataformas BIG-IP 6900 3900 Diferencias • 8900 (2U) – Dual CPU, quad core (8 processors), 16G Ram – 12 puertos 10/100/1G & 8Gbit • 6900 (2U) – Dual CPU, dual core (4 processors) 8G Ram – 16 puertos 10/100/1G & 8Gbit • 3900 (1U) – Quad core CPU, 8G Ram, ASIC2 – 8 puertos 10/100/1G & 4Gbit • 1600 (1U) – Dual core CPU, 4G Ram – 4 puertos 10/100/1G & 2Gbit • Panel LCD de control • Más información-> http://www.f5.com
  • 16. 16 VIPRION • C4400 4-Slot Chassis (7U) Plataformas BIG-IP
  • 18. 18 Plateformes BIG-IP BIG-IP 3900 400k L7 RPS 175K L4 CPS 4G L7/L4 TPUT BIG-IP 6900, 600k L7 RPS 220K L4 CPS 6G L7/L4 TPUT BIG-IP 8900/ 8950 1.9M L7 RPS 800K L4 CPS Up to 20G TPUT BIG-IP 11000/11050, 2.5M L7 RPS 1M L4 CPS Up to 42G TPUT BIG-IP 1600 100k L7 RPS 60K L4 CPS 1G L7/L4 TPUT BIG-IP 3600 135k L7 RPS 115K L4 CPS 2G L7/L4 TPUT
  • 21. 21 Pas à pas - Connectivité initiale 1. Rack et connexions 2. Panneau LCD 3. Accès Web et SSH 4. Utilisateurs
  • 22. 22 Paso 1 - BIG-IP Chassis Front (3600) • Installez le kit de rack • Connectez le câble d'alimentation • Connectez le câble réseau dans l'interface identifiée comme MGMT USB Failover Ethernet MGMT Console LCD PanelGigabit SFP ControlsFan Ports
  • 23. 23 Étape 2 - Panneau LCD LCD Panel Controls Le panneau a un menu avec les éléments suivants • Menu d'information • Menu système • Menu des écrans • Menu Options
  • 24. 24 Étape 2 - Panneau LCD - cont. 1. Nous bougeons avec la flèche vers le haut et la flèche vers le bas jusqu'à ce que nous sélectionnions "Menu Système" (pour sélectionner, appuyez sur la touche verte centrale) 2. Dans ce menu, nous ne bougeons pas jusqu'à ce que nous sélectionnions "Adresse IP". Nous configurons l'IP MGMT là. 3. Nous répétons l'opération de l'étape pour la partie "Netmask" et "Route par défaut" 4. IMPORTANT: Une fois terminé, sélectionnez l'option Valider et confirmez avec la touche verte centrale.
  • 25. 25 Étape 3 - Accès Deux types d'accès • Web Interface • HTTPS (remote) • Command Line • SSH (remote) – Management Port – Self-IPs – SCCP / AOM • Serial Terminal
  • 26. 26 Étape 3 - Accès - Cont. • Depuis un navigateur, entrez l'adresse IP configurée dans l'exemple de l'écran LCD étape: https://172.27.166.174
  • 27. 27 Étape 3 - Accès - Cont. • Avec un logiciel de type terminal (putty ou crt), entrez l'adresse IP configurée à l'étape Exemple de panneau LCD: 192.168.21.215 à port 22
  • 28. 28 Étape 4 - utilisateurs • Pour l'accès via le Web, l'utilisateur par défaut est admin • Pour l'accès vis SHH l'utilisateur par défaut est root
  • 29. 29 Configuration initiale de BIG-IP 1. Config utility – Adresse IP pour l'interface de gestion – Licence – Setup utility – Clé Root – Adresses IP pour les VLAN – Affectation d'interfaces aux réseaux locaux virtuels – Clé Web Admin – Acceso SSH
  • 30. 30 config Utility Adresse IP initiale : 192.168.1.245 F5 en Hexadecimal
  • 31. 31 Internet Licence - Automatique • Exécuter l'utilitaire de configuration • Entrer la clé d'enregistrement PC BIG-IP • Prenez la licence de F5 • Sélectionnez les paramètres F5 License Server activate.F5.com • Redémarrer
  • 32. 32 Licenciamiento – Manual PC BIG-IP F5 License Server activate.F5.com Internet •Copier le dossier sur un PC connecté à Internet •Collez le dossier à F5 • Télécharger la licence sur le PC •Téléchargement et installation du fichier de licence Setup utility PC • https://activate.F5.com Redémarrer
  • 34. 34 Setup Utility – Adressage
  • 36. 36 Local Traffic Manager 1 2 3 4 5 6 7 8 Internet
  • 37. 37 Serveurs virtuels, membres et nœuds Configuration de serveurs virtuels et de pools Méthodes d'équilibrage de charge Configuration de l'équilibrage de charge Load Balancing
  • 38. 38 Pools, membres et nœuds 172.16.20.1 172.16.20.2 172.16.20.3 Noeud = IP :80 :80 :80 Membre = Noeud + Port Pool = Groupe de membres
  • 39. 40 Virtual Server Internet 172.16.20.4:8080 172.16.20.2:4002 172.16.20.3:80 Virtual Server • Adresse IP • + Service (Port) • "Écouter" et gérer le trafic entrant 216.34.94.17:80 • Normalement associé à un Pool
  • 40. 41 Virtual Server - Traduction d'adresses IP BIG-IP LTM effectue la traduction des adresses réseau vers l'adresse réelle des serveurs, de sorte que toutes les machines soient considérées comme un serveur virtuel unique. Real Server Address Network Address Translation Virtual Server Address Internet 216.34.94.17:80 172.16.20.4:8080 172.16.20.1:80 172.16.20.2:4002 172.16.20.3:80
  • 41. 42 Flux réseau - Paquet n ° 1 Resuelve www.f5.com a l'adresse IP du serveur virtuel 216.34.94.17:80 Internet 172.16.20.4:8080 172.16.20.1:80172.16.20.2:4002 172.16.20.3:80 www.f5.com DNS Server216.34.94.17:80
  • 42. 43 Flux réseau– Paquet #1 LTM traduit l'adresse de destination au noeud, en fonction du Load Balancing Internet Packet # 1 Src - 207.17.117.20:4003 Dest – 216.34.94.17:80 172.16.20.4:8080 172.16.20.1:80172.16.20.2:4002 172.16.20.3:80 Packet # 1 Src – 207.17.117.20:4003 Dest – 172.16.20.1:80 207.17.117.20 216.34.94.17:80
  • 43. 44 Flux réseau– Paquet #1 Return LTM traduit l'adresse source en retour à celle du Virtual Server Internet Packet # 1 - return Dest - 207.17.117.20:4003 Src – 216.34.94.17:80 172.16.20.4:8080 172.16.20.1:80172.16.20.2:4002 172.16.20.3:80 Packet # 1 - return Dest – 207.17.117.20:4003 Src – 172.16.20.1:80 207.17.117.20 216.34.94.17:80
  • 44. 45 Flux réseau– Paquet #2 Internet Packet # 2 Src - 207.17.117.21:4003 Dest – 216.34.94.17:80 172.16.20.4:8080 172.16.20.1:80172.16.20.2:4002 172.16.20.3:80 Packet # 2 Src – 207.17.117.21:4003 Dest – 172.16.20.2:4002 207.17.117.21 216.34.94.17:80
  • 45. 46 Flux réseau– Paquet #2 Return Internet Packet # 2 - return Dest - 207.17.117.21:4003 Src – 216.34.94.17:80 172.16.20.4:8080 172.16.20.1:80172.16.20.2:4002 172.16.20.3:80 Packet # 2 - return Dest – 207.17.117.21:4003 Src – 172.16.20.2:4002 207.17.117.21 216.34.94.17:80
  • 46. 47 Flux réseau– Paquet #3 Internet Packet # 3 Src - 207.17.117.25:4003 Dest – 216.34.94.17:80 172.16.20.4:8080 172.16.20.1:80172.16.20.2:4002 172.16.20.3:80 Packet # 3 Src – 207.17.117.25:4003 Dest – 172.16.20.4:8080 207.17.117.25 216.34.94.17:80
  • 47. 48 Flux réseau– Paquet #3 Return Internet Packet # 3 - return Dest - 207.17.117.25:4003 Src – 216.34.94.17:80 172.16.20.4:8080 172.16.20.1:80172.16.20.2:4002 172.16.20.3:80 Packet # 3 - return Dest – 207.17.117.25:4003 Src – 172.16.20.4:8080 207.17.117.25 216.34.94.17
  • 50. 51 NATs y SNATs Network Address Translation Internet 207.10.1.103 172.16.20.3 207.10.1.101 172.16.20.1
  • 52. 53 NAT Cartographie 1-à-1 Trafic bidirectionnel Adresse IP dédiée Configuration Internet 207.10.1.103 172.16.20.3 207.10.1.101 172.16.20.1
  • 53. 54 SNATs Mapping plusieurs à un Le trafic initié à une adresse SNAT est rejeté Internet 207.10.1.102 172.16.20.1 172.16.20.2 172.16.20.3
  • 54. 55 Pourquoi SNAT Plusieurs adresses non routables vers un routable Internet 172.16.20.1 172.16.20.2 172.16.20.3 207.10.1.33 VS - 207.10.1.100 172.16.1.33 172.16.11.45 • Considérations de routage • Si l'itinéraire par défaut des serveurs ne va pas au LTM
  • 55. 56 SNATs – Flux de trafic typique Internet 207.10.1.102 172.16.20.1 172.16.20.2 172.16.20.3 172.16.20.3:1111  205.229.151.203:80 207.10.1.102:2222  205.229.151.203:80
  • 56. 57 SNATs – Flux de réponse Internet 207.10.1.102 172.16.20.1 172.16.20.2 172.16.20.3 205.229.151.203:80  172.16.20.3:1111 205.229.151.203:80  207.10.1.102:2222
  • 58. 59 SNAT pour les serveurs virtuels Internet 172.16.X.33 172.16.20.1 172.16.20.2 172.16.20.3 Trafic vers les VS 10.10.X.100:443 SNAT Pool – Automap Floating IP Automap
  • 59. 60 Configuration des accès Méthodes Web • https (remote) CLI • ssh (remote) • Terminal Serial
  • 60. 61 Backup procedure • Enregistrer tous les paramètres dans un fichier • Si le fichier est copié sur un autre système, il doit être re-licencié
  • 65. 66 Logs Ils sont situés dans /var/log daemons - /var/log/daemon.log gtm - /var/log/gtm ltm - /var/log/ltm Kernel - /var/log/messages Booteo - /var/log/boot.log Logrotate pour la rotation des logs Ils sont stockés dans /var/log/[archivo].1.gz -- /var/log/[archivo].5.gz
  • 67. 68 Concepts généraux des moniteurs Configuration des moniteurs Assignation des moniteurs États de nœuds et membres Moniteurs
  • 68. 69 Concepts Vérification de l'adresse IP Noeud Vérification du service IP: port Vérification du contenu IP: port + vérification des données de retour Vérification interactive Suivi de piste
  • 69. 70 Vérification de l'adresse IP Les Étapes -Les paquets sont envoyés à une adresse IP -S'il n'y a pas de réponse, aucun trafic n'est envoyé aux membres du pool qui utilisent l'adresse. -Exemple: ICMP Internet 172.16.20.1 172.16.20.2 172.16.20.3 ICMP
  • 70. 71 Vérification du service Les Étapes -Ouvrir une connexion TCP (IP: service) -Fermez la connexion -Si la connexion TCP échoue, aucun trafic ne sera envoyé aux membres associés. -Exemple: TCP Internet 172.16.20.1:80 172.16.20.2:80 172.16.20.3:80 TCP Connection
  • 71. 72 Vérification du contenu Internet 172.16.20.1:80 172.16.20.2:80 172.16.20.3:80 Les Étapes -Ouvrir une connexion TCP (IP: service) -Envoyer un REQ -La réponse vient avec des données utiles -Fermez la connexion -Si les données reçues ne correspondent pas à une règle, les données ne sont pas envoyées aux membres associés -Exemple: http http GET /
  • 72. 73 Vérification interactive Internet 172.16.20.1:80 172.16.20.2:80 172.16.20.3:80 Les Étapes -Ouvrir une connexion TCP (IP: service) -Une conversation interactive est générée pour simuler une connexion réelle -La connexion est fermée -Si les résultats attendus ne se produisent pas, le trafic n'est pas envoyé aux membres associés. -Exemple: requête SQL conversation
  • 73. 74 Track Check Les Étapes -Les colis sont envoyés à travers, pas à l'appareil -Vous pouvez vérifier la direction IP, le service ou le contenu -Si la condition n'est pas remplie, aucun trafic n'est envoyé via le membre associé. Link Cntl ISP2ISP1 ISP1 www.f5.com
  • 74. 75 Configuration Moniteurs prédéfinis (modèles) -Vérification de l'adresse IP (icmp) -Vérification de service (tcp) -Vérification du contenu (http) -Vérification interactive (ftp) Disponibilité: TOUS les modèles peuvent être personnalisé
  • 76. 77 Paramètres supplémentaires • Règle de réception - Si le contenu est trouvé, le noeud est marqué Up • Règle de réception inverse - Si le contenu est trouvé, le noeud est marqué Down • Transparent - Si le chemin est disponible, le noeud est marqué Up - Utilisé pour surveiller les Links
  • 78. 79 Assignation des moniteurs Par défaut à tous les nœuds Options particulières de chaque noeud - Par défaut - Spécifique - Aucun Par défaut à tous les nœuds Options particulières de chaque noeud - Par défaut - Spécifique - Aucun
  • 79. 80 Affectation de moniteurs aux noeuds Pour 1 noeud
  • 80. 81 Attribuer Des moniteurs aux Pools Pour 1 membre
  • 81. 82 Statut de membre ou de nœud Statut -Disponible - Circ. Vert -Hors ligne - Red -Inconnu - Cuad. Bleu
  • 82. 83 Profils Internet Virtual Server Les profils détermine la manière de traiter le trafic des serveurs virtuels
  • 83. 84 Concepts de profils Dépendances Types de profils Configuration Profiles
  • 84. 85 Concepts Un profil est: • Lorsque le comportement du trafic est défini: - SSL, compression, persistance ... - L'application de ce comportement aux VS’s • Défini à partir d'un modèle • Dépend d'autres profils
  • 85. 86 Scénario n#1 - Persistance 1 2 3 1 2 3
  • 86. 87 Scénario n # 2 - Résiliation SSL Descript Chiffré
  • 87. 88 Scénario n # 3 - Serveur FTP Le client démarre la connexion de contrôle Le serveur commence la connexion de transfert de données
  • 88. 89 Dépendances Certains ne peuvent pas être combinés dans le même VS Dépendances suivant le modèle OSI TCP HTTP Cookie UDP FTP Network Data Link Physical
  • 89. 90 Types de profils Services - Orienté vers le type de données Persistance - Orienté vers la session Protocoles - orientés vers la connexion SSL - Orienté vers le cryptage Authentification - Orientée vers la sécurité Autres - Orienté vers le flux de données TCP
  • 90. 91 Concepts de configuration Créé à partir de profils par défaut Les profils par défaut peuvent être modifiés mais pas supprimés Il y a des relations Père-Fils Stocké dans /config/profile_base.conf
  • 91. 92 Virtual Server Default Profiles Chaque serveur virtuel a au moins 1 profil TCP: pour le traitement des données TCP par VS’s UDP: pour le traitement des données UDP de VS’s FastL4: pour les VS’s qui ont une accélération matérielle (PVA) Fasthttp: pour le traitement du trafic HTTP de VS’s et son accélération
  • 94. 95 7. Troubleshooting Big-IP 8. Persistence 9. Administration Big-IP 10. iRules 11. Labs
  • 96. 97 Persistance par la direction de l'origine Persistance par Cookie - Insert, Rewrite, Passive & Hash Persistance
  • 97. 98 Persistance selon la direction d'origine Basé sur l'adresse IP du client Netmask -> Plage d'adresses 1 2 3 1 2 3 205.229.151.10 205.229.152.11 Netmask 255.255.255.0 205.229.151.107
  • 99. 100 Configuration 2. Pointé sur VS 1. Conf. Profile
  • 100. 101 Persistance par Cookie Mode d'insertion - BIG-IP LTM Insère le cookie dans le flux Mode de réécriture - Le serveur Web crée le cookie - BIG-IP LTM le modifie Mode passif -Le serveur Web crée le cookie -BIG-IP LTM le lit
  • 101. 102 Client Server HTTP request (sin cookie) TCP handshake TCP handshake HTTP request (sin cookie) HTTP reply (sin cookie) HTTP reply (con nueva cookie) pick server HTTP request (con misma cookie) TCP handshake TCP handshake HTTP request (sin cookie) HTTP reply (sin cookie) HTTP reply (cookie actualizada) cookie specifies server 1erHit2doHit Mode Insert
  • 102. 103 Client Server HTTP request (sin cookie) TCP handshake TCP handshake HTTP request (sin cookie) HTTP reply (con cookie) HTTP reply (con cookie re-escrita) pick server HTTP request (con misma cookie) TCP handshake TCP handshake HTTP request (con misma cookie) HTTP reply (con cookie) HTTP reply (con cookie actualizada) cookie specifies server 1erHit2doHit Mode Rewrite
  • 103. 104 Client Server HTTP request (sin cookie) TCP handshake TCP handshake HTTP request (sin cookie) HTTP reply (con cookie en especial) HTTP reply (con cookie en especial) pick server HTTP request (con misma cookie) TCP handshake TCP handshake HTTP request (con misma cookie) HTTP reply (con cookie en especial) HTTP reply (con cookie en especial) cookie specifies server 1erHit2doHitMode Passive
  • 104. 106 Config. Persistance des cookies Ensuite, le profil du cookie_persist • Nécessite “http profile”
  • 105. 107 Maintenance BigIP im <hotfix> # im Hotfix-BIGIP-9.4.8-385.0-HF2.im # /usr/bin/full_box_reboot Installation de HotFix V9.X Copier le correctif SCP (Ex winscp) dans BIGIP Connectez-vous avec SSH avec l'utilisateur rootRun la commande im pour installer le HotFix L'installation de HotFix implique la réduction des services redémarrage de l'équipent. Une fois terminé, exécutez la commande full_box_reboot
  • 106. 108 Maintenance BigIP Ils sont téléchargés sur /shared/images/shared/images Installation de TMOS ISOs disponibles para instalarISOs disponibles para instalar Versiones instaladasVersiones instaladas
  • 107. 109 Maintenance BigIP Ils sont téléchargés sur /shared/images/shared/images Installation de HOTFIX HOTFIX para instalarHOTFIX para instalar
  • 108. 110 Maintenance BigIP Nous pouvons installer dans tout sauf celui où nous sommes actuellement connectés Installation de HOTFIX
  • 109. 111 Maintenance BigIP Installation de HotFix sur V10 Les correctifs sont cumulatifs (HFA3 inclut HFA1 et HFA2). Chaque Hotfix correspond à un numéro de version (V9.4.X V10.1.X V10.2.X). Nous devons avoir deux ou plusieurs volumes installés pour appliquer les correctifs. Installez les correctifs logiciels dans des volumes non productifs. Testez son bon fonctionnement pendant une durée raisonnable. Nous commençons à utiliser le correctif lorsque nous choisissons de démarrer avec l'image mise à jour.
  • 110. 112 Maintenance BigIP Sélection de la version pour démarrer Con SSH  switchboot

Notes de l'éditeur

  1. There are more intro images to choose from just select the photo and send it to the back.
  2. Let’s look at insert mode cookie persistence in more detail: Client connects the first time: the web browser has yet to receive a cookie for this site. BIG-IP detects that no cookie is present, and forwards the connection to the most appropriate available node. The node issues its http reply to the client. BIG-IP inserts a cookie with the appropriate expiration value and specific node information. Client connects back a second time. This time the web browser inserts the cookie in its http request. BIG-IP reads the cookie, and forwards the connection to the specified server The node issues its http reply to the client. BIG-IP updates the expiration value in the cookie. The advantage of insert mode cookie persistence is that the web servers remain untouched. The drawback is that the BIG-IP controller has an increased workload. Note that the BIG-IP controller is unable to forward the incoming connection to the appropriate node until it receives the cookie. As such, it needs to perform the initial TCP handshake with the connecting client. Once the BIG-IP controller has received and read the cookie, it can determine which node to forward the connection on to. Again, the controller must perform the initial TCP handshake with the node. As such, the BIG-IP controller behaves very much like a proxy server.
  3. Let’s look at rewrite mode cookie persistence in more detail: Client connects the first time: the web browser has yet to receive a cookie for this site. BIG-IP detects that no cookie is present, and forwards the connection to the most appropriate available node. The node issues its http reply to the client which includes a blank cookie. BIG-IP rewrites the cookie with the expiration value and node information. Client connects back a second time. This time the web browser inserts the cookie in its http request. BIG-IP reads the cookie, and forwards the connection to the specified server The node issues its http reply to the client, and again includes a blank cookie in its reply. BIG-IP rewrites the cookie with the expiration value and node information. The advantage of rewrite mode cookie persistence is that it somewhat reduces the workload on the BIG-IP controller. Also, the content servers can still have the same configuration, since they generate identical cookies. The drawback is that each server needs to be modified to generate the cookie, and the BIG-IP controller still needs to rewrite the cookies.
  4. Let’s look at passive mode cookie persistence in more detail: Client connects the first time: the web browser has yet to receive a cookie for this site. BIG-IP detects that no cookie is present, and forwards the connection to the most appropriate available node. The node issues its http reply to the client which includes a cookie with the expiration value and its node information. BIG-IP leaves the cookie untouched. Client connects back a second time. This time the web browser inserts the cookie in its http request. BIG-IP reads the cookie, and forwards the connection to the specified server The node issues its http reply to the client which includes a cookie with the expiration value and its node information. BIG-IP leaves the cookie untouched. The advantage of passive mode cookie persistence is that it reduces the workload on the BIG-IP controller. The drawback is that each content server needs to be configured to generate a specific cookie.
  5. Let’s look at passive mode cookie persistence in more detail: Client connects the first time: the web browser has yet to receive a cookie for this site. BIG-IP detects that no cookie is present, and forwards the connection to the most appropriate available node. The node issues its http reply to the client which includes a cookie with the expiration value and its node information. BIG-IP leaves the cookie untouched. Client connects back a second time. This time the web browser inserts the cookie in its http request. BIG-IP reads the cookie, and forwards the connection to the specified server The node issues its http reply to the client which includes a cookie with the expiration value and its node information. BIG-IP leaves the cookie untouched. The advantage of passive mode cookie persistence is that it reduces the workload on the BIG-IP controller. The drawback is that each content server needs to be configured to generate a specific cookie.