F5 LTM Administering BIG-IP v11
-
Upload
anonymous-bteafag -
Category
Documents
-
view
562 -
download
90
description
Transcript of F5 LTM Administering BIG-IP v11
![Page 1: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/1.jpg)
1
F5 BigIP LTM Administering BigIP v11F5 BigIP LTM Administering BigIP v11
![Page 2: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/2.jpg)
2
Introducción a F5
Application Delivery Networking– Asegurando que las aplicaciones sean SEGURAS,
RAPIDAS, DISPONIBLES
Productos F5:– BIG-IP Local Traffic Manager– BIG-IP Link Controller– BIG-IP Global Traffic Manager– BIG-IP Access Policy Manager– BIG-IP Application Security Manager – Enterprise Manager– WanJet / Web Accelerator
![Page 3: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/3.jpg)
3
BIG-IP Local Traffic Manager
Internet• Balanceo de Carga a Servidores
• Monitoreo del estado de los servidores
![Page 4: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/4.jpg)
4
BIG-IP Global Traffic Manager (GTM)
Internet
• Balanceo de Carga de DNS
• Por ej: www.f5.com = es 1 de
• Monitoreo de estado de los servidores
207.46.134.222
65.197.145.183143.166.83.200
GTM
www.f5.com = ?
207.46.134.222www.f5.com = ?
143.166.83.200
www.f5.com = ?
207.46.134.222
![Page 5: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/5.jpg)
5
ISP #1 ISP #2
BIG-IP Link Controller
Internet
• Balanceo de los servidores
• Links de Entrada
• Links de Salida
3 tipos de Balanceo
![Page 6: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/6.jpg)
6
BIG-IP Enterprise Manager
LTMGTM
• Manejo de versionado y backup centralizado
• Visión centralizadad de certificados SSL
• Control e Inventario de los dispositivos
• Soporte hasta 300 dispositivos
![Page 7: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/7.jpg)
7
BIG-IP Access Policy Manager
Big-IP APM
File Servers
Web Servers
telnet a Hosts
E-mail Servers
Terminales / Citrix
Desktop
SSL VPN
Autenticación
Autorización
Acceso remoto a través de navegador o VPN SSL
Autorización por Grupo
![Page 8: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/8.jpg)
8
BIG-IP Application Security Manager
Firewall de Capa 7• Bloquea ataques web
conocidos o desconocidos.• Reverse Proxy• Chequeo del contenido de
salida
216.34.94.17:80
Internet
207.17.117.25
![Page 9: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/9.jpg)
9
WanJetOficina Remota Oficina
• Optimización WAN Resultados tipoLAN• Aceleración de Aplicaciones• Encripción site-to-site Configurable utilizando SSL
![Page 10: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/10.jpg)
10
Web AcceleratorCliente Web Server
• Acelera Aplicaciones Web • Tiempos de respuesta a usuario mayores• Extiende la capacidad de los servidores• Reduce la carga del sistema• Reduce la necesidad de BW• Transparente a usuarios y aplicaciones
![Page 11: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/11.jpg)
11
Agenda – Día 1
1. Introduction
2. Local Traffic
3. NAT & SNAT
4. TMSH y Administración de BigIP
5. Monitores y Estados
6. Profiles
![Page 12: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/12.jpg)
12
Agenda – Día 2
7. Troubleshooting Big-IP
8. Persistence
9. Administration Big-IP
10. iRules
11. Labs
![Page 13: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/13.jpg)
13
Introducción - Topología
Internet
BIG-IP LTMs
Clients
Servers
![Page 14: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/14.jpg)
14
Plataformas BIG-IP
Instalación (Setup Utility)
Utilidades de Configuración y Acceso de Usuario
Introducción
![Page 15: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/15.jpg)
15
Plataformas BIG-IP
Hardware and virtualized designed solutions for app. sec.
•High-end Enterprise Datacenter WAF – VIPRION and 11000 series
•Industry’s best performance for low end with 1600
•Low throughput Web Application Firewall for budget conscious buyer
•App. sec. on hypervisor infrastructure* with BIG-IP ASM VE
•Cost-effective scale and attack mitigation
8900VIPRION 4400 and 2400
6900 3900 , 3600 and 1600
11000
Virtual Edition
![Page 16: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/16.jpg)
16
Plataformas BIG-IP
6900
3900
Diferencias• 8900 (2U)– Dual CPU, quad core (8 processors), 16G Ram– 12 puertos 10/100/1G & 8Gbit• 6900 (2U) – Dual CPU, dual core (4 processors) 8G Ram– 16 puertos 10/100/1G & 8Gbit• 3900 (1U) – Quad core CPU, 8G Ram, ASIC2– 8 puertos 10/100/1G & 4Gbit• 1600 (1U) – Dual core CPU, 4G Ram– 4 puertos 10/100/1G & 2Gbit
• Panel LCD de control• Más información-> http://www.f5.com
![Page 17: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/17.jpg)
17
VIPRION• C4400 4-Slot Chassis (7U)
Plataformas BIG-IP
![Page 18: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/18.jpg)
18
Plataformas BIG-IP
Blade• B4200 Blade (1U)
![Page 19: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/19.jpg)
19
Plataformas BIG-IP
BIG-IP 3900400k L7 RPS175K L4 CPS
4G L7/L4 TPUT
BIG-IP 6900,600k L7 RPS220K L4 CPS
6G L7/L4 TPUT
BIG-IP 8900/ 8950
1.9M L7 RPS800K L4 CPS
Up to 20G TPUT
BIG-IP 11000/11050, 2.5M L7 RPS1M L4 CPSUp to 42G
TPUT
BIG-IP 1600100k L7 RPS60K L4 CPS
1G L7/L4 TPUT
BIG-IP 3600135k L7 RPS115K L4 CPS
2G L7/L4 TPUT
![Page 20: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/20.jpg)
20
Plataformas BIG-IP
![Page 21: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/21.jpg)
21
Plataformas BIG-IP
![Page 22: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/22.jpg)
22
Paso a paso – Conectividad inicial
1. Rackeo y conexiones
2. Panel LCD
3. Acceso Web y SSH
4. Usaurios
![Page 23: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/23.jpg)
23
Paso 1 - BIG-IP Chassis Front (3600)
• Intalar Kit de Rackeo• Conectar cable de Power• Conectar cable de red en la interfaz
identificada como MGMT
USB Failover Ethernet
MGMT Console
LCD PanelGigabit SFP
ControlsFan Ports
![Page 24: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/24.jpg)
24
Paso 2 – Panel LCD
LCD Panel
Controls
El panel tiene un menu con los siguientes items• Information menu• System menu• Screens menu• Options menu
![Page 25: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/25.jpg)
25
Paso 2 – Panel LCD – cont.
1. Nos desplazamos con las teclas flecha hacia arriba y flecha hacia abajo hasta seleccionar “System Menu” (para seleccionar pulsamos la tecla verde central)
2. Dentro de ese menu no movemos hasta seleccionar “IP Address”. Configuramos ahí la IP de MGMT.
3. Repetimos la operatoria del paso para la parte de “Netmask” y “ Default route”
4. IMPORTANTE: Una vez terminado seleccionar la opción Commit y confirmar con la tecla central verde.
![Page 26: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/26.jpg)
26
Paso 3 - Accesos
Dos tipos de accesos
• Web Interface • HTTPS (remote)
• Command Line• SSH (remote)
– Management Port– Self-IPs– SCCP / AOM
• Serial Terminal
![Page 27: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/27.jpg)
27
Paso 3 – Accesos – Cont.
• Desde un navegador ingresar a la IP configurada en el paso Panel LCD ejemplo: https://172.27.166.174
![Page 28: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/28.jpg)
28
Paso 3 – Accesos – Cont.
• Con un software tipo terminal (putty o crt) ingresar a la IP configurada en el paso Panel LCD ejemplo: 192.168.21.215 al puerto 22
![Page 29: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/29.jpg)
29
Paso 4 - usuarios
• Para el acceso via Web el usuario de default es admin
• Para el acceso vis SHH el usuario de default es root
![Page 30: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/30.jpg)
30
Configuración Inicial de BIG-IP
1. Config utility
– Dirección IP Address para la interfaz de management
2. Licenciamiento
3. Setup utility
– Clave Root
– Direcciones IP para las VLANs
– Asignación de Interfaces a las VLANs
– Clave Web Admin
– Acceso SSH
![Page 31: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/31.jpg)
31
config UtilityDirección IP inicial: 192.168.1.245 F5 en Hexadecimal
![Page 32: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/32.jpg)
32
Internet
Licenciamiento – Automático
Ejecutar Setup utility
• Ingresar Registration Key
PC BIG-IP
• Tomar la licencia de F5
• Seleccionar los parametros
F5 License Server activate.F5.com
Reiniciar
![Page 33: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/33.jpg)
33
Licenciamiento – Manual
PC
BIG-IP
F5 License Server activate.F5.com
Internet
• Copiar Dossier a una PC conectada a internet
• Pegar Dossier a F5
• Descargar la licencia a la PC
• Upload & instalación del archivo Licencia
Setup utility
PC
• https://activate.F5.com
Reiniciar
![Page 34: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/34.jpg)
34
Setup Utilityhttps://Management IP Address
![Page 35: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/35.jpg)
35
Setup Utility – Direccionamiento
![Page 36: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/36.jpg)
36
Web Configuration utility
![Page 37: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/37.jpg)
37
Local Traffic Manager
1 2 3 4
5 6 7 8
Internet
![Page 38: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/38.jpg)
38
Virtual Servers, Miembros y Nodos
Configurando Virtual Servers y Pools
Métodos de Load Balancing
Configurando Load Balancing
Load Balancing
![Page 39: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/39.jpg)
39
Pools, Miembros y Nodos
172.16.20.1 172.16.20.2 172.16.20.3
Nodo = Dir IP
:80 :80 :80
Miembro = Nodo + Puerto
Pool = Grupo de miembros
![Page 40: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/40.jpg)
41
Virtual Server
Internet
172.16.20.4:8080
172.16.20.2:4002172.16.20.3:80
Virtual Server• Dirección IP
+ Servicio (Puerto)
• “Escucha” y maneja el tráfico entrante
216.34.94.17:80
• Normalmente asociada a un Pool
![Page 41: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/41.jpg)
42
Virtual Server – Traducción de Direcciones IP
BIG-IP LTM realiza la traducción de direcciones de red a la dirección real de los servidores, de tal modo que todas las maquinas se vean como un solo Virtual Server. Real Server
Address
Network Address Translation
Virtual Server Address
Internet
216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80
172.16.20.2:4002
172.16.20.3:80
![Page 42: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/42.jpg)
43
Flujo de Red – Paquete #1
Resuelve www.f5.com a la dirección IP del Virtual Server 216.34.94.17:80
Internet
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002172.16.20.3:80
www.f5.com
DNS Server216.34.94.17:80
![Page 43: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/43.jpg)
44
Flujo de Red – Paquete #1
LTM traduce la dirección destino al nodo, en base al Load Balancing
Internet
Packet # 1 Src - 207.17.117.20:4003Dest – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002172.16.20.3:80
Packet # 1 Src – 207.17.117.20:4003Dest – 172.16.20.1:80
207.17.117.20
216.34.94.17:80
![Page 44: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/44.jpg)
45
Flujo de Red – Paquete #1 Retorno
LTM traduce la dirección origen nuevamente a la del Virtual Server
Internet
Packet # 1 - return Dest - 207.17.117.20:4003Src – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002172.16.20.3:80
Packet # 1 - return Dest – 207.17.117.20:4003Src – 172.16.20.1:80
207.17.117.20
216.34.94.17:80
![Page 45: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/45.jpg)
46
Flujo de Red – Paquete #2
Internet
Packet # 2 Src - 207.17.117.21:4003Dest – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002172.16.20.3:80
Packet # 2 Src – 207.17.117.21:4003Dest – 172.16.20.2:4002
207.17.117.21
216.34.94.17:80
![Page 46: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/46.jpg)
47
Flujo de Red – Paquete #2 Retorno
Internet
Packet # 2 - return Dest - 207.17.117.21:4003Src – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002172.16.20.3:80
Packet # 2 - return Dest – 207.17.117.21:4003Src – 172.16.20.2:4002
207.17.117.21
216.34.94.17:80
![Page 47: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/47.jpg)
48
Flujo de Red – Paquete #3
Internet
Packet # 3 Src - 207.17.117.25:4003Dest – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002172.16.20.3:80
Packet # 3 Src – 207.17.117.25:4003Dest – 172.16.20.4:8080
207.17.117.25
216.34.94.17:80
![Page 48: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/48.jpg)
49
Flujo de Red – Paquete #3 Retorno
Internet
Packet # 3 - return Dest - 207.17.117.25:4003Src – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002172.16.20.3:80
Packet # 3 - return Dest – 207.17.117.25:4003Src – 172.16.20.4:8080
207.17.117.25
216.34.94.17
![Page 49: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/49.jpg)
50
Configurando Pools
![Page 50: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/50.jpg)
51
Configurando Virtual Servers
![Page 51: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/51.jpg)
52
NATs y SNATs
Network Address Translation
Internet
207.10.1.103
172.16.20.3
207.10.1.101
172.16.20.1
![Page 52: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/52.jpg)
53
NAT
Conceptos SNAT
Configuración de SNAT
NATs y SNATs
![Page 53: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/53.jpg)
54
NAT
Mapeo 1-a-1Tráfico BidireccionalDirección IP DedicadaConfiguración
Internet
207.10.1.103
172.16.20.3
207.10.1.101
172.16.20.1
![Page 54: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/54.jpg)
55
SNATs
Mapeo varios a uno
El tráfico iniciado a una dirección de SNAT es rechazado
Internet
207.10.1.102
172.16.20.1172.16.20.2172.16.20.3
![Page 55: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/55.jpg)
56
Razones para SNAT
Varias direcciones no enrutables a una enrutable Internet
172.16.20.1172.16.20.2172.16.20.3
207.10.1.33VS - 207.10.1.100
172.16.1.33
172.16.11.45
• Consideraciones de enrutamiento
• Si el Default Route de los servidores no va al LTM
![Page 56: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/56.jpg)
57
SNATs – Flujo de tráfico típico
Internet
207.10.1.102
172.16.20.1172.16.20.2172.16.20.3
172.16.20.3:1111 205.229.151.203:80
207.10.1.102:2222 205.229.151.203:80
![Page 57: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/57.jpg)
58
SNATs – Flujo de Respuesta
Internet
207.10.1.102
172.16.20.1172.16.20.2172.16.20.3
205.229.151.203:80 172.16.20.3:1111
205.229.151.203:80 207.10.1.102:2222
![Page 58: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/58.jpg)
59
Configuración
Internet
207.10.1.102
172.16.20.1172.16.20.2172.16.20.3
Quién puede cambiar?
A qué se cambia?
Dónde llegan los paquetes?
![Page 59: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/59.jpg)
60
SNAT para Virtual Servers
Internet
172.16.X.33
172.16.20.1172.16.20.2172.16.20.3
Tráfico al VS
10.10.X.100:443
SNAT Pool – Automap Self IP Flotante
![Page 60: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/60.jpg)
61
Accesos de Configuración
Métodos
1. Web
• https (remoto)
2. CLI
• ssh (remoto)
• Terminal Serial
![Page 61: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/61.jpg)
62
Procedimiento de Backup
• Guarda toda la configuración en un archivo• Si el archivo se copia a otro sistema, se
debe re-licenciar
![Page 62: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/62.jpg)
63
Autenticación de Usuarios
![Page 63: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/63.jpg)
64
Usuarios Administradores
![Page 64: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/64.jpg)
65
Estadísticas SummaryVirtual Servers PoolsNodes
![Page 65: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/65.jpg)
66
Logs
![Page 66: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/66.jpg)
67
Logs
Se localizan en /var/logdaemons - /var/log/daemon.log
gtm - /var/log/gtm
ltm - /var/log/ltm
Kernel - /var/log/messages
Booteo - /var/log/boot.log
Logrotate para rotación de logsSe almacenan en /var/log/[archivo].1.gz -- /var/log/[archivo].5.gz
![Page 67: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/67.jpg)
68
Monitores y Estados
Internet
172.16.20.3:80
![Page 68: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/68.jpg)
69
Conceptos generales de Monitores
Configuración de Monitores
Asignación de Monitores
Estados de Nodos y Miembros
Monitores
![Page 69: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/69.jpg)
70
Conceptos
Chequeo de Dirección IP
– Nodo
Chequeo de Servicio
– IP : puerto
Chequeo de Contenido
– IP : puerto + chequeo de datos de retorno
Chequeo Interactivo
Chequeo de Trayecto
![Page 70: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/70.jpg)
71
Chequeo de Dirección IP
Pasos
– Se envían paquetes a una dirección IP
– Si no hay respuesta, no se envía tráfico alguno a los miembros de pool que utilicen la dirección.
– Ejemplo: ICMP
Internet
172.16.20.1
172.16.20.2
172.16.20.3
ICMP
![Page 71: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/71.jpg)
72
Chequeo de Servicio
Pasos
– Abre una conexión TCP (IP : servicio)
– Cierra la conexión
– Si la conexión TCP falla, no se enviará tráfico a los miembros asociados.
– Ejemplo: TCP
Internet
172.16.20.1:80172.16.20.2:80172.16.20.3:80
TCP Connection
![Page 72: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/72.jpg)
73
Chequeo de Contenido
Internet
172.16.20.1:80172.16.20.2:80172.16.20.3:80
Pasos– Abre una conexión TCP (IP :
servicio)– Envía un REQ– La respuesta viene con datos
útiles– Cierra la conexión– Si los datos recibidos no
concuerdan con una regla, no se envían datos a los miembros asociados
– Ejemplo: http
http GET /
![Page 73: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/73.jpg)
74
Chequeo Interactivo
Internet
172.16.20.1:80172.16.20.2:80172.16.20.3:80
Pasos– Abre una conexión TCP (IP :
servicio)– Se genera una conversación
interactiva para simular una conexión real
– Se cierra la conexión– Si no ocurren los resultados
esperados, no se envía tráfico a los miembros asociados.
– Ejemplo: SQL request
conversation
![Page 74: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/74.jpg)
75
Chequeo de Trayecto
Pasos– Se envían paquetes a
través, no al dispositivo– Puede chequear Dir IP,
Servicio o Contenido– Si no se cumple la
condición, no se envía tráfico a través del miembro asociado.
Link Cntl
ISP2ISP1
ISP1
www.f5.com
![Page 75: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/75.jpg)
76
Configuración
Monitores Predefinidos (Templates)
– Chequeo de Dirección IP (icmp)
– Chequeo de Servicio (tcp)
– Chequeo de Contenido (http)
– Chequeo Interactivo (ftp)
– Disponibilidad:
–TODOS los templates pueden ser personalizados
![Page 76: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/76.jpg)
77
Creando Nuevos Monitores
![Page 77: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/77.jpg)
78
Parámetros Adicionales
• Regla de Recepción
– Si se encuentra el contenido, el nodo se marca Up
• Regla de recepción inversa– Si se encuentra el contenido, el
nodo se marca Down
• Transparente – Si el trayecto está disponible, el
nodo se marca Up– Utilizada para monitorear Links
![Page 78: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/78.jpg)
79
Timers
Frecuencia (Interval)
Timeout
• Recomendado = 3n + 1
![Page 79: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/79.jpg)
80
Asignación de MonitoresPor Default a Todos los NodosOpciones particulares de Cada Nodo– Default– Específico– Ninguno
Por Default a Todos los Miembros de un PoolOpciones Particulares a cada Miembro de Pool– Heredar de Pool– Específico– Ninguno
![Page 80: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/80.jpg)
81
Asignación de Monitores a Nodos
Para 1 Nodo
![Page 81: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/81.jpg)
82
Asign. De Monitores a Pools
Para 1 miembro
![Page 82: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/82.jpg)
83
Estado de Miembro o Nodo
Status• Available – Circ. Verde• Offline – Diamante Rojo• Unknown – Cuad. Azul
![Page 83: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/83.jpg)
84
Perfiles
Internet
Virtual Server
Los perfiles determinan la manera de procesar el tráfico de los servidores virtuales
![Page 84: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/84.jpg)
85
Conceptos de Perfiles
Dependencias
Tipos de Perfil
Configuración
Perfiles
![Page 85: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/85.jpg)
86
Conceptos
Un perfil es:
Donde se define el comportamiento del tráfico:
– SSL, compression, persistence…
– La aplicación de este comportamiento a VS’s
Definido a partir de un template
Dependiente de otros perfiles
![Page 86: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/86.jpg)
87
Escenario #1 – Persistencia
12
3
12
3
![Page 87: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/87.jpg)
88
Escenario #2 – Terminación SSL
Desencrip.
Encriptado
![Page 88: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/88.jpg)
89
Escenario #3 – FTP Server
El cliente comienza la conexión de control
El Servidor comienza la Conexión de transferencia de datos.
![Page 89: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/89.jpg)
90
Dependencias
Algunos no pueden ser combinados en el mismo VS
Dependencias siguiendo el modelo OSI
TCP
HTTP
Cookie
UDP
FTP
Network
Data Link
Physical
![Page 90: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/90.jpg)
91
Tipos de Perfil
Servicios – Orientado al tipo de datos
Persistencia – Orientado a la sesión
Protocolos – Orientado a la conexión
SSL – Orientado a la encripción
Autenticación – Orientado a la seguridad
Otros – Orientados al flujo de datos TCP
![Page 91: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/91.jpg)
92
Conceptos de Configuración
Creados a partir de perfiles por default
Los Perfiles Default pueden ser modificados pero no borrados
Existen relaciones Padre-Hijo
Almacenados en /config/profile_base.conf
![Page 92: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/92.jpg)
93
Virtual Server Default Profiles
Cada Virtual Servers posee al menos 1 perfil
– TCP: para VS’s procesando datos TCP
– UDP: para VS’s procesando datos UDP
– FastL4: para VS’s que poseen aceleración por hardware (PVA)
– Fasthttp: para VS’s procesando tráfico HTTP y acelerandolo
![Page 93: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/93.jpg)
94
Configuración
![Page 94: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/94.jpg)
95
Configuración (Cont.)
Especificación de Propiedades
Mapeo a VS
![Page 95: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/95.jpg)
96
Agenda – Día 2
7. Troubleshooting Big-IP
8. Persistence
9. Administration Big-IP
10. iRules
11. Labs
![Page 96: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/96.jpg)
97
Persistencia
12
3
12
3
![Page 97: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/97.jpg)
98
Persistencia por Dirección Origen
Persistencia por Cookie
– Insert, Rewrite, Passive & Hash
Persistencia
![Page 98: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/98.jpg)
99
Persistencia por Dirección de Origen
Basada en la dirección IP del Cliente
Netmask -> Rango de Direcciones
12
3
12
3
205.229.151.10
205.229.152.11
Si Netmask es 255.255.255.0
205.229.151.107
![Page 99: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/99.jpg)
100
Propiedades
Mapeo a VS
Persistencia por Dirección de Origen
![Page 100: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/100.jpg)
101
Configuración
2. Apuntar a VS
1. Conf. Perfil
![Page 101: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/101.jpg)
102
Persistencia por Cookie
Modo Insert
– BIG-IP LTM Inserta la cookie en el flujo
Modo Rewrite
– El servidor Web crea la cookie
– BIG-IP LTM la cambia
Modo Passive
– El servidor Web crea la cookie
– BIG-IP LTM la lee
![Page 102: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/102.jpg)
103
Client Server
HTTP request (sin cookie)
TCP handshake
TCP handshake
HTTP request (sin cookie)
HTTP reply (sin cookie)
HTTP reply (con nueva cookie)
pickserver
HTTP request (con misma cookie)
TCP handshake
TCP handshake
HTTP request (sin cookie)
HTTP reply (sin cookie)
HTTP reply (cookie actualizada)
cookiespecifiesserver
1er H
it2d
o H
it
Modo Insert
![Page 103: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/103.jpg)
104
Client Server
HTTP request (sin cookie)
TCP handshake
TCP handshake
HTTP request (sin cookie)
HTTP reply (con cookie)
HTTP reply (con cookie re-escrita)
pickserver
HTTP request (con misma cookie)
TCP handshake
TCP handshake
HTTP request (con misma cookie)
HTTP reply (con cookie)
HTTP reply (con cookie actualizada)
cookiespecifiesserver
1er H
it2d
o H
it
Modo Rewrite
![Page 104: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/104.jpg)
105
Client Server
HTTP request (sin cookie)
TCP handshake
TCP handshake
HTTP request (sin cookie)
HTTP reply (con cookie en especial)
HTTP reply (con cookie en especial)
pickserver
HTTP request (con misma cookie)
TCP handshake
TCP handshake
HTTP request (con misma cookie)
HTTP reply (con cookie en especial)
HTTP reply (con cookie en especial)
cookiespecifiesserver
1er H
it2d
o H
it
Modo Passive
![Page 105: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/105.jpg)
107
Config. Cookie Persistence
Luego se setea el perfil de cookie_persist
• Requiere de “http profile”
![Page 106: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/106.jpg)
108
Mantenimiento BigIP
im <hotfix>
# im Hotfix-BIGIP-9.4.8-385.0-HF2.im
# /usr/bin/full_box_reboot
Instalación de HotFix V9.X
1. Copiar por SCP (Ej winscp) el HotFix al BIGIP
2. Loguearse por SSH con el usuario root
3. Ejecutar el comando im para instalar el HotFix
La instalación de HotFix implica el bajada de servicios y
reboot del equipo.
4. Una vez que termina, ejecutar el comando full_box_reboot
![Page 107: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/107.jpg)
109
Mantenimiento BigIP
Son subidas a /shared/images/shared/images
Instalación TMOS
ISOs disponibles para instalarISOs disponibles para instalar
Versiones instaladasVersiones instaladas
![Page 108: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/108.jpg)
110
Mantenimiento BigIP
Son subidos a /shared/images/shared/images
Instalación HOTFIX
HOTFIX para instalarHOTFIX para instalar
![Page 109: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/109.jpg)
111
Mantenimiento BigIP
Podemos instalar en todos menos en el que estamos actualmente logueados
Instalación HOTFIX
![Page 110: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/110.jpg)
112
Mantenimiento BigIP
Instalación de HotFix en V10
1. Los Hotfixes son acumulativos (HFA3 incluye el HFA1 y HFA2).
2. Cada Hotfix corresponde a un número de versión (V9.4.X V10.1.X V10.2.X).
3. Debemos tener dos o más volúmenes instalados para aplicar los Hotfixes.
4. Instalar los Hotfixes en los volumenes no productivos.
5. Probar su correcto funcionamiento durante un tiempo prudencial.
6. El Hotfix lo comenzamos a utilizar cuando elegimos bootear con la imagen actualizada.
![Page 111: F5 LTM Administering BIG-IP v11](https://reader030.fdocuments.net/reader030/viewer/2022033003/5695d3a61a28ab9b029eaec1/html5/thumbnails/111.jpg)
113
Mantenimiento BigIP
Selección de versión a bootear
Con SSH switchboot