1

F5 BigIP LTM Administering BigIP v11F5 BigIP LTM Administering BigIP v11

2

Introducción a F5

Application Delivery Networking– Asegurando que las aplicaciones sean SEGURAS,

RAPIDAS, DISPONIBLES

Productos F5:– BIG-IP Local Traffic Manager– BIG-IP Link Controller– BIG-IP Global Traffic Manager– BIG-IP Access Policy Manager– BIG-IP Application Security Manager – Enterprise Manager– WanJet / Web Accelerator

3

BIG-IP Local Traffic Manager

Internet• Balanceo de Carga a Servidores

• Monitoreo del estado de los servidores

4

BIG-IP Global Traffic Manager (GTM)

Internet

• Balanceo de Carga de DNS

• Por ej: www.f5.com = es 1 de

• Monitoreo de estado de los servidores

207.46.134.222

65.197.145.183143.166.83.200

GTM

www.f5.com = ?

207.46.134.222www.f5.com = ?

143.166.83.200

www.f5.com = ?

207.46.134.222

5

ISP #1 ISP #2

BIG-IP Link Controller

Internet

• Balanceo de los servidores

• Links de Entrada

• Links de Salida

3 tipos de Balanceo

6

BIG-IP Enterprise Manager

LTMGTM

• Manejo de versionado y backup centralizado

• Visión centralizadad de certificados SSL

• Control e Inventario de los dispositivos

• Soporte hasta 300 dispositivos

7

BIG-IP Access Policy Manager

Big-IP APM

File Servers

Web Servers

telnet a Hosts

E-mail Servers

Terminales / Citrix

Desktop

SSL VPN

Autenticación

Autorización

Acceso remoto a través de navegador o VPN SSL

Autorización por Grupo

8

BIG-IP Application Security Manager

Firewall de Capa 7• Bloquea ataques web

conocidos o desconocidos.• Reverse Proxy• Chequeo del contenido de

salida

216.34.94.17:80

Internet

207.17.117.25

9

WanJetOficina Remota Oficina

• Optimización WAN Resultados tipoLAN• Aceleración de Aplicaciones• Encripción site-to-site Configurable utilizando SSL

10

Web AcceleratorCliente Web Server

• Acelera Aplicaciones Web • Tiempos de respuesta a usuario mayores• Extiende la capacidad de los servidores• Reduce la carga del sistema• Reduce la necesidad de BW• Transparente a usuarios y aplicaciones

11

Agenda – Día 1

1. Introduction

2. Local Traffic

3. NAT & SNAT

4. TMSH y Administración de BigIP

5. Monitores y Estados

6. Profiles

12

Agenda – Día 2

7. Troubleshooting Big-IP

8. Persistence

9. Administration Big-IP

10. iRules

11. Labs

13

Introducción - Topología

Internet

BIG-IP LTMs

Clients

Servers

14

Plataformas BIG-IP

Instalación (Setup Utility)

Utilidades de Configuración y Acceso de Usuario

Introducción

15

Plataformas BIG-IP

Hardware and virtualized designed solutions for app. sec.

•High-end Enterprise Datacenter WAF – VIPRION and 11000 series

•Industry’s best performance for low end with 1600

•Low throughput Web Application Firewall for budget conscious buyer

•App. sec. on hypervisor infrastructure* with BIG-IP ASM VE

•Cost-effective scale and attack mitigation

8900VIPRION 4400 and 2400

6900 3900 , 3600 and 1600

11000

Virtual Edition

16

Plataformas BIG-IP

6900

3900

Diferencias• 8900 (2U)– Dual CPU, quad core (8 processors), 16G Ram– 12 puertos 10/100/1G & 8Gbit• 6900 (2U) – Dual CPU, dual core (4 processors) 8G Ram– 16 puertos 10/100/1G & 8Gbit• 3900 (1U) – Quad core CPU, 8G Ram, ASIC2– 8 puertos 10/100/1G & 4Gbit• 1600 (1U) – Dual core CPU, 4G Ram– 4 puertos 10/100/1G & 2Gbit

• Panel LCD de control• Más información-> http://www.f5.com

17

VIPRION• C4400 4-Slot Chassis (7U)

Plataformas BIG-IP

18

Plataformas BIG-IP

Blade• B4200 Blade (1U)

19

Plataformas BIG-IP

BIG-IP 3900400k L7 RPS175K L4 CPS

4G L7/L4 TPUT

BIG-IP 6900,600k L7 RPS220K L4 CPS

6G L7/L4 TPUT

BIG-IP 8900/ 8950

1.9M L7 RPS800K L4 CPS

Up to 20G TPUT

BIG-IP 11000/11050, 2.5M L7 RPS1M L4 CPSUp to 42G

TPUT

BIG-IP 1600100k L7 RPS60K L4 CPS

1G L7/L4 TPUT

BIG-IP 3600135k L7 RPS115K L4 CPS

2G L7/L4 TPUT

20

Plataformas BIG-IP

21

Plataformas BIG-IP

22

Paso a paso – Conectividad inicial

1. Rackeo y conexiones

2. Panel LCD

3. Acceso Web y SSH

4. Usaurios

23

Paso 1 - BIG-IP Chassis Front (3600)

• Intalar Kit de Rackeo• Conectar cable de Power• Conectar cable de red en la interfaz

identificada como MGMT

USB Failover Ethernet

MGMT Console

LCD PanelGigabit SFP

ControlsFan Ports

24

Paso 2 – Panel LCD

LCD Panel

Controls

El panel tiene un menu con los siguientes items• Information menu• System menu• Screens menu• Options menu

25

Paso 2 – Panel LCD – cont.

1. Nos desplazamos con las teclas flecha hacia arriba y flecha hacia abajo hasta seleccionar “System Menu” (para seleccionar pulsamos la tecla verde central)

2. Dentro de ese menu no movemos hasta seleccionar “IP Address”. Configuramos ahí la IP de MGMT.

3. Repetimos la operatoria del paso para la parte de “Netmask” y “ Default route”

4. IMPORTANTE: Una vez terminado seleccionar la opción Commit y confirmar con la tecla central verde.

26

Paso 3 - Accesos

Dos tipos de accesos

• Web Interface • HTTPS (remote)

• Command Line• SSH (remote)

– Management Port– Self-IPs– SCCP / AOM

• Serial Terminal

27

Paso 3 – Accesos – Cont.

• Desde un navegador ingresar a la IP configurada en el paso Panel LCD ejemplo: https://172.27.166.174

28

Paso 3 – Accesos – Cont.

• Con un software tipo terminal (putty o crt) ingresar a la IP configurada en el paso Panel LCD ejemplo: 192.168.21.215 al puerto 22

29

Paso 4 - usuarios

• Para el acceso via Web el usuario de default es admin

• Para el acceso vis SHH el usuario de default es root

30

Configuración Inicial de BIG-IP

1. Config utility

– Dirección IP Address para la interfaz de management

2. Licenciamiento

3. Setup utility

– Clave Root

– Direcciones IP para las VLANs

– Asignación de Interfaces a las VLANs

– Clave Web Admin

– Acceso SSH

31

config UtilityDirección IP inicial: 192.168.1.245 F5 en Hexadecimal

32

Internet

Licenciamiento – Automático

Ejecutar Setup utility

• Ingresar Registration Key

PC BIG-IP

• Tomar la licencia de F5

• Seleccionar los parametros

F5 License Server activate.F5.com

Reiniciar

33

Licenciamiento – Manual

PC

BIG-IP

F5 License Server activate.F5.com

Internet

• Copiar Dossier a una PC conectada a internet

• Pegar Dossier a F5

• Descargar la licencia a la PC

• Upload & instalación del archivo Licencia

Setup utility

PC

• https://activate.F5.com

Reiniciar

34

Setup Utilityhttps://Management IP Address

35

Setup Utility – Direccionamiento

36

Web Configuration utility

37

Local Traffic Manager

1 2 3 4

5 6 7 8

Internet

38

Virtual Servers, Miembros y Nodos

Configurando Virtual Servers y Pools

Métodos de Load Balancing

Configurando Load Balancing

Load Balancing

39

Pools, Miembros y Nodos

172.16.20.1 172.16.20.2 172.16.20.3

Nodo = Dir IP

:80 :80 :80

Miembro = Nodo + Puerto

Pool = Grupo de miembros

41

Virtual Server

Internet

172.16.20.4:8080

172.16.20.2:4002172.16.20.3:80

Virtual Server• Dirección IP

+ Servicio (Puerto)

• “Escucha” y maneja el tráfico entrante

216.34.94.17:80

• Normalmente asociada a un Pool

42

Virtual Server – Traducción de Direcciones IP

BIG-IP LTM realiza la traducción de direcciones de red a la dirección real de los servidores, de tal modo que todas las maquinas se vean como un solo Virtual Server. Real Server

Address

Network Address Translation

Virtual Server Address

Internet

216.34.94.17:80

172.16.20.4:8080

172.16.20.1:80

172.16.20.2:4002

172.16.20.3:80

43

Flujo de Red – Paquete #1

Resuelve www.f5.com a la dirección IP del Virtual Server 216.34.94.17:80

Internet

172.16.20.4:8080

172.16.20.1:80172.16.20.2:4002172.16.20.3:80

www.f5.com

DNS Server216.34.94.17:80

44

Flujo de Red – Paquete #1

LTM traduce la dirección destino al nodo, en base al Load Balancing

Internet

Packet # 1 Src - 207.17.117.20:4003Dest – 216.34.94.17:80

172.16.20.4:8080

172.16.20.1:80172.16.20.2:4002172.16.20.3:80

Packet # 1 Src – 207.17.117.20:4003Dest – 172.16.20.1:80

207.17.117.20

216.34.94.17:80

45

Flujo de Red – Paquete #1 Retorno

LTM traduce la dirección origen nuevamente a la del Virtual Server

Internet

Packet # 1 - return Dest - 207.17.117.20:4003Src – 216.34.94.17:80

172.16.20.4:8080

172.16.20.1:80172.16.20.2:4002172.16.20.3:80

Packet # 1 - return Dest – 207.17.117.20:4003Src – 172.16.20.1:80

207.17.117.20

216.34.94.17:80

46

Flujo de Red – Paquete #2

Internet

Packet # 2 Src - 207.17.117.21:4003Dest – 216.34.94.17:80

172.16.20.4:8080

172.16.20.1:80172.16.20.2:4002172.16.20.3:80

Packet # 2 Src – 207.17.117.21:4003Dest – 172.16.20.2:4002

207.17.117.21

216.34.94.17:80

47

Flujo de Red – Paquete #2 Retorno

Internet

Packet # 2 - return Dest - 207.17.117.21:4003Src – 216.34.94.17:80

172.16.20.4:8080

172.16.20.1:80172.16.20.2:4002172.16.20.3:80

Packet # 2 - return Dest – 207.17.117.21:4003Src – 172.16.20.2:4002

207.17.117.21

216.34.94.17:80

48

Flujo de Red – Paquete #3

Internet

Packet # 3 Src - 207.17.117.25:4003Dest – 216.34.94.17:80

172.16.20.4:8080

172.16.20.1:80172.16.20.2:4002172.16.20.3:80

Packet # 3 Src – 207.17.117.25:4003Dest – 172.16.20.4:8080

207.17.117.25

216.34.94.17:80

49

Flujo de Red – Paquete #3 Retorno

Internet

Packet # 3 - return Dest - 207.17.117.25:4003Src – 216.34.94.17:80

172.16.20.4:8080

172.16.20.1:80172.16.20.2:4002172.16.20.3:80

Packet # 3 - return Dest – 207.17.117.25:4003Src – 172.16.20.4:8080

207.17.117.25

216.34.94.17

50

Configurando Pools

51

Configurando Virtual Servers

52

NATs y SNATs

Network Address Translation

Internet

207.10.1.103

172.16.20.3

207.10.1.101

172.16.20.1

53

NAT

Conceptos SNAT

Configuración de SNAT

NATs y SNATs

54

NAT

Mapeo 1-a-1Tráfico BidireccionalDirección IP DedicadaConfiguración

Internet

207.10.1.103

172.16.20.3

207.10.1.101

172.16.20.1

55

SNATs

Mapeo varios a uno

El tráfico iniciado a una dirección de SNAT es rechazado

Internet

207.10.1.102

172.16.20.1172.16.20.2172.16.20.3

56

Razones para SNAT

Varias direcciones no enrutables a una enrutable Internet

172.16.20.1172.16.20.2172.16.20.3

207.10.1.33VS - 207.10.1.100

172.16.1.33

172.16.11.45

• Consideraciones de enrutamiento

• Si el Default Route de los servidores no va al LTM

57

SNATs – Flujo de tráfico típico

Internet

207.10.1.102

172.16.20.1172.16.20.2172.16.20.3

172.16.20.3:1111 205.229.151.203:80

207.10.1.102:2222 205.229.151.203:80

58

SNATs – Flujo de Respuesta

Internet

207.10.1.102

172.16.20.1172.16.20.2172.16.20.3

205.229.151.203:80 172.16.20.3:1111

205.229.151.203:80 207.10.1.102:2222

59

Configuración

Internet

207.10.1.102

172.16.20.1172.16.20.2172.16.20.3

Quién puede cambiar?

A qué se cambia?

Dónde llegan los paquetes?

60

SNAT para Virtual Servers

Internet

172.16.X.33

172.16.20.1172.16.20.2172.16.20.3

Tráfico al VS

10.10.X.100:443

SNAT Pool – Automap Self IP Flotante

61

Accesos de Configuración

Métodos

1. Web

• https (remoto)

2. CLI

• ssh (remoto)

• Terminal Serial

62

Procedimiento de Backup

• Guarda toda la configuración en un archivo• Si el archivo se copia a otro sistema, se

debe re-licenciar

63

Autenticación de Usuarios

64

Usuarios Administradores

65

Estadísticas SummaryVirtual Servers PoolsNodes

66

Logs

67

Logs

Se localizan en /var/logdaemons - /var/log/daemon.log

gtm - /var/log/gtm

ltm - /var/log/ltm

Kernel - /var/log/messages

Booteo - /var/log/boot.log

Logrotate para rotación de logsSe almacenan en /var/log/[archivo].1.gz -- /var/log/[archivo].5.gz

68

Monitores y Estados

Internet

172.16.20.3:80

69

Conceptos generales de Monitores

Configuración de Monitores

Asignación de Monitores

Estados de Nodos y Miembros

Monitores

70

Conceptos

Chequeo de Dirección IP

– Nodo

Chequeo de Servicio

– IP : puerto

Chequeo de Contenido

– IP : puerto + chequeo de datos de retorno

Chequeo Interactivo

Chequeo de Trayecto

71

Chequeo de Dirección IP

Pasos

– Se envían paquetes a una dirección IP

– Si no hay respuesta, no se envía tráfico alguno a los miembros de pool que utilicen la dirección.

– Ejemplo: ICMP

Internet

172.16.20.1

172.16.20.2

172.16.20.3

ICMP

72

Chequeo de Servicio

Pasos

– Abre una conexión TCP (IP : servicio)

– Cierra la conexión

– Si la conexión TCP falla, no se enviará tráfico a los miembros asociados.

– Ejemplo: TCP

Internet

172.16.20.1:80172.16.20.2:80172.16.20.3:80

TCP Connection

73

Chequeo de Contenido

Internet

172.16.20.1:80172.16.20.2:80172.16.20.3:80

Pasos– Abre una conexión TCP (IP :

servicio)– Envía un REQ– La respuesta viene con datos

útiles– Cierra la conexión– Si los datos recibidos no

concuerdan con una regla, no se envían datos a los miembros asociados

– Ejemplo: http

http GET /

74

Chequeo Interactivo

Internet

172.16.20.1:80172.16.20.2:80172.16.20.3:80

Pasos– Abre una conexión TCP (IP :

servicio)– Se genera una conversación

interactiva para simular una conexión real

– Se cierra la conexión– Si no ocurren los resultados

esperados, no se envía tráfico a los miembros asociados.

– Ejemplo: SQL request

conversation

75

Chequeo de Trayecto

Pasos– Se envían paquetes a

través, no al dispositivo– Puede chequear Dir IP,

Servicio o Contenido– Si no se cumple la

condición, no se envía tráfico a través del miembro asociado.

Link Cntl

ISP2ISP1

ISP1

www.f5.com

76

Configuración

Monitores Predefinidos (Templates)

– Chequeo de Dirección IP (icmp)

– Chequeo de Servicio (tcp)

– Chequeo de Contenido (http)

– Chequeo Interactivo (ftp)

– Disponibilidad:

–TODOS los templates pueden ser personalizados

77

Creando Nuevos Monitores

78

Parámetros Adicionales

• Regla de Recepción

– Si se encuentra el contenido, el nodo se marca Up

• Regla de recepción inversa– Si se encuentra el contenido, el

nodo se marca Down

• Transparente – Si el trayecto está disponible, el

nodo se marca Up– Utilizada para monitorear Links

79

Timers

Frecuencia (Interval)

Timeout

• Recomendado = 3n + 1

80

Asignación de MonitoresPor Default a Todos los NodosOpciones particulares de Cada Nodo– Default– Específico– Ninguno

Por Default a Todos los Miembros de un PoolOpciones Particulares a cada Miembro de Pool– Heredar de Pool– Específico– Ninguno

81

Asignación de Monitores a Nodos

Para 1 Nodo

82

Asign. De Monitores a Pools

Para 1 miembro

83

Estado de Miembro o Nodo

Status• Available – Circ. Verde• Offline – Diamante Rojo• Unknown – Cuad. Azul

84

Perfiles

Internet

Virtual Server

Los perfiles determinan la manera de procesar el tráfico de los servidores virtuales

85

Conceptos de Perfiles

Dependencias

Tipos de Perfil

Configuración

Perfiles

86

Conceptos

Un perfil es:

Donde se define el comportamiento del tráfico:

– SSL, compression, persistence…

– La aplicación de este comportamiento a VS’s

Definido a partir de un template

Dependiente de otros perfiles

87

Escenario #1 – Persistencia

12

3

12

3

88

Escenario #2 – Terminación SSL

Desencrip.

Encriptado

89

Escenario #3 – FTP Server

El cliente comienza la conexión de control

El Servidor comienza la Conexión de transferencia de datos.

90

Dependencias

Algunos no pueden ser combinados en el mismo VS

Dependencias siguiendo el modelo OSI

TCP

HTTP

Cookie

UDP

FTP

Network

Data Link

Physical

91

Tipos de Perfil

Servicios – Orientado al tipo de datos

Persistencia – Orientado a la sesión

Protocolos – Orientado a la conexión

SSL – Orientado a la encripción

Autenticación – Orientado a la seguridad

Otros – Orientados al flujo de datos TCP

92

Conceptos de Configuración

Creados a partir de perfiles por default

Los Perfiles Default pueden ser modificados pero no borrados

Existen relaciones Padre-Hijo

Almacenados en /config/profile_base.conf

93

Virtual Server Default Profiles

Cada Virtual Servers posee al menos 1 perfil

– TCP: para VS’s procesando datos TCP

– UDP: para VS’s procesando datos UDP

– FastL4: para VS’s que poseen aceleración por hardware (PVA)

– Fasthttp: para VS’s procesando tráfico HTTP y acelerandolo

94

Configuración

95

Configuración (Cont.)

Especificación de Propiedades

Mapeo a VS

96

Agenda – Día 2

7. Troubleshooting Big-IP

8. Persistence

9. Administration Big-IP

10. iRules

11. Labs

97

Persistencia

12

3

12

3

98

Persistencia por Dirección Origen

Persistencia por Cookie

– Insert, Rewrite, Passive & Hash

Persistencia

99

Persistencia por Dirección de Origen

Basada en la dirección IP del Cliente

Netmask -> Rango de Direcciones

12

3

12

3

205.229.151.10

205.229.152.11

Si Netmask es 255.255.255.0

205.229.151.107

100

Propiedades

Mapeo a VS

Persistencia por Dirección de Origen

101

Configuración

2. Apuntar a VS

1. Conf. Perfil

102

Persistencia por Cookie

Modo Insert

– BIG-IP LTM Inserta la cookie en el flujo

Modo Rewrite

– El servidor Web crea la cookie

– BIG-IP LTM la cambia

Modo Passive

– El servidor Web crea la cookie

– BIG-IP LTM la lee

103

Client Server

HTTP request (sin cookie)

TCP handshake

TCP handshake

HTTP request (sin cookie)

HTTP reply (sin cookie)

HTTP reply (con nueva cookie)

pickserver

HTTP request (con misma cookie)

TCP handshake

TCP handshake

HTTP request (sin cookie)

HTTP reply (sin cookie)

HTTP reply (cookie actualizada)

cookiespecifiesserver

1er H

it2d

o H

it

Modo Insert

104

Client Server

HTTP request (sin cookie)

TCP handshake

TCP handshake

HTTP request (sin cookie)

HTTP reply (con cookie)

HTTP reply (con cookie re-escrita)

pickserver

HTTP request (con misma cookie)

TCP handshake

TCP handshake

HTTP request (con misma cookie)

HTTP reply (con cookie)

HTTP reply (con cookie actualizada)

cookiespecifiesserver

1er H

it2d

o H

it

Modo Rewrite

105

Client Server

HTTP request (sin cookie)

TCP handshake

TCP handshake

HTTP request (sin cookie)

HTTP reply (con cookie en especial)

HTTP reply (con cookie en especial)

pickserver

HTTP request (con misma cookie)

TCP handshake

TCP handshake

HTTP request (con misma cookie)

HTTP reply (con cookie en especial)

HTTP reply (con cookie en especial)

cookiespecifiesserver

1er H

it2d

o H

it

Modo Passive

107

Config. Cookie Persistence

Luego se setea el perfil de cookie_persist

• Requiere de “http profile”

108

Mantenimiento BigIP

im <hotfix>

# im Hotfix-BIGIP-9.4.8-385.0-HF2.im

# /usr/bin/full_box_reboot

Instalación de HotFix V9.X

1. Copiar por SCP (Ej winscp) el HotFix al BIGIP

2. Loguearse por SSH con el usuario root

3. Ejecutar el comando im para instalar el HotFix

La instalación de HotFix implica el bajada de servicios y

reboot del equipo.

4. Una vez que termina, ejecutar el comando full_box_reboot

109

Mantenimiento BigIP

Son subidas a /shared/images/shared/images

Instalación TMOS

ISOs disponibles para instalarISOs disponibles para instalar

Versiones instaladasVersiones instaladas

110

Mantenimiento BigIP

Son subidos a /shared/images/shared/images

Instalación HOTFIX

HOTFIX para instalarHOTFIX para instalar

111

Mantenimiento BigIP

Podemos instalar en todos menos en el que estamos actualmente logueados

Instalación HOTFIX

112

Mantenimiento BigIP

Instalación de HotFix en V10

1. Los Hotfixes son acumulativos (HFA3 incluye el HFA1 y HFA2).

2. Cada Hotfix corresponde a un número de versión (V9.4.X V10.1.X V10.2.X).

3. Debemos tener dos o más volúmenes instalados para aplicar los Hotfixes.

4. Instalar los Hotfixes en los volumenes no productivos.

5. Probar su correcto funcionamiento durante un tiempo prudencial.

6. El Hotfix lo comenzamos a utilizar cuando elegimos bootear con la imagen actualizada.

113

Mantenimiento BigIP

Selección de versión a bootear

Con SSH switchboot