f5 ltm administering big-ip v11
DESCRIPTION
F5 LTM Official Training slidesTRANSCRIPT
1
F5 BigIP LTM Administering BigIP v11F5 BigIP LTM Administering BigIP v11
2
Introducción a F5
Application Delivery Networking– Asegurando que las aplicaciones sean SEGURAS,
RAPIDAS, DISPONIBLES
Productos F5:– BIG-IP Local Traffic Manager– BIG-IP Link Controller– BIG-IP Global Traffic Manager– BIG-IP Access Policy Manager– BIG-IP Application Security Manager – Enterprise Manager– WanJet / Web Accelerator
3
BIG-IP Local Traffic Manager
Internet• Balanceo de Carga a Servidores
• Monitoreo del estado de los servidores
4
BIG-IP Global Traffic Manager (GTM)
Internet
• Balanceo de Carga de DNS
• Por ej: www.f5.com = es 1 de
• Monitoreo de estado de los servidores
207.46.134.222
65.197.145.183143.166.83.200
GTM
www.f5.com = ?
207.46.134.222www.f5.com = ?
143.166.83.200
www.f5.com = ?
207.46.134.222
5
ISP #1 ISP #2
BIG-IP Link Controller
Internet
• Balanceo de los servidores
• Links de Entrada
• Links de Salida
3 tipos de Balanceo
6
BIG-IP Enterprise Manager
LTMGTM
• Manejo de versionado y backup centralizado
• Visión centralizadad de certificados SSL
• Control e Inventario de los dispositivos
• Soporte hasta 300 dispositivos
7
BIG-IP Access Policy Manager
Big-IP APM
File Servers
Web Servers
telnet a Hosts
E-mail Servers
Terminales / Citrix
Desktop
SSL VPN
Autenticación
Autorización
Acceso remoto a través de navegador o VPN SSL
Autorización por Grupo
8
BIG-IP Application Security Manager
Firewall de Capa 7• Bloquea ataques web
conocidos o desconocidos.• Reverse Proxy• Chequeo del contenido de
salida
216.34.94.17:80
Internet
207.17.117.25
9
WanJetOficina Remota Oficina
• Optimización WAN Resultados tipoLAN• Aceleración de Aplicaciones• Encripción site-to-site Configurable utilizando SSL
10
Web AcceleratorCliente Web Server
• Acelera Aplicaciones Web • Tiempos de respuesta a usuario mayores• Extiende la capacidad de los servidores• Reduce la carga del sistema• Reduce la necesidad de BW• Transparente a usuarios y aplicaciones
11
Agenda – Día 1
1. Introduction
2. Local Traffic
3. NAT & SNAT
4. TMSH y Administración de BigIP
5. Monitores y Estados
6. Profiles
12
Agenda – Día 2
7. Troubleshooting Big-IP
8. Persistence
9. Administration Big-IP
10. iRules
11. Labs
13
Introducción - Topología
Internet
BIG-IP LTMs
Clients
Servers
14
Plataformas BIG-IP
Instalación (Setup Utility)
Utilidades de Configuración y Acceso de Usuario
Introducción
15
Plataformas BIG-IP
Hardware and virtualized designed solutions for app. sec.
•High-end Enterprise Datacenter WAF – VIPRION and 11000 series
•Industry’s best performance for low end with 1600
•Low throughput Web Application Firewall for budget conscious buyer
•App. sec. on hypervisor infrastructure* with BIG-IP ASM VE
•Cost-effective scale and attack mitigation
8900VIPRION 4400 and 2400
6900 3900 , 3600 and 1600
11000
Virtual Edition
16
Plataformas BIG-IP
6900
3900
Diferencias• 8900 (2U)– Dual CPU, quad core (8 processors), 16G Ram– 12 puertos 10/100/1G & 8Gbit• 6900 (2U) – Dual CPU, dual core (4 processors) 8G Ram– 16 puertos 10/100/1G & 8Gbit• 3900 (1U) – Quad core CPU, 8G Ram, ASIC2– 8 puertos 10/100/1G & 4Gbit• 1600 (1U) – Dual core CPU, 4G Ram– 4 puertos 10/100/1G & 2Gbit
• Panel LCD de control• Más información-> http://www.f5.com
17
VIPRION• C4400 4-Slot Chassis (7U)
Plataformas BIG-IP
18
Plataformas BIG-IP
Blade• B4200 Blade (1U)
19
Plataformas BIG-IP
BIG-IP 3900400k L7 RPS175K L4 CPS
4G L7/L4 TPUT
BIG-IP 6900,600k L7 RPS220K L4 CPS
6G L7/L4 TPUT
BIG-IP 8900/ 8950
1.9M L7 RPS800K L4 CPS
Up to 20G TPUT
BIG-IP 11000/11050, 2.5M L7 RPS1M L4 CPSUp to 42G
TPUT
BIG-IP 1600100k L7 RPS60K L4 CPS
1G L7/L4 TPUT
BIG-IP 3600135k L7 RPS115K L4 CPS
2G L7/L4 TPUT
20
Plataformas BIG-IP
21
Plataformas BIG-IP
22
Paso a paso – Conectividad inicial
1. Rackeo y conexiones
2. Panel LCD
3. Acceso Web y SSH
4. Usaurios
23
Paso 1 - BIG-IP Chassis Front (3600)
• Intalar Kit de Rackeo• Conectar cable de Power• Conectar cable de red en la interfaz
identificada como MGMT
USB Failover Ethernet
MGMT Console
LCD PanelGigabit SFP
ControlsFan Ports
24
Paso 2 – Panel LCD
LCD Panel
Controls
El panel tiene un menu con los siguientes items• Information menu• System menu• Screens menu• Options menu
25
Paso 2 – Panel LCD – cont.
1. Nos desplazamos con las teclas flecha hacia arriba y flecha hacia abajo hasta seleccionar “System Menu” (para seleccionar pulsamos la tecla verde central)
2. Dentro de ese menu no movemos hasta seleccionar “IP Address”. Configuramos ahí la IP de MGMT.
3. Repetimos la operatoria del paso para la parte de “Netmask” y “ Default route”
4. IMPORTANTE: Una vez terminado seleccionar la opción Commit y confirmar con la tecla central verde.
26
Paso 3 - Accesos
Dos tipos de accesos
• Web Interface • HTTPS (remote)
• Command Line• SSH (remote)
– Management Port– Self-IPs– SCCP / AOM
• Serial Terminal
27
Paso 3 – Accesos – Cont.
• Desde un navegador ingresar a la IP configurada en el paso Panel LCD ejemplo: https://172.27.166.174
28
Paso 3 – Accesos – Cont.
• Con un software tipo terminal (putty o crt) ingresar a la IP configurada en el paso Panel LCD ejemplo: 192.168.21.215 al puerto 22
29
Paso 4 - usuarios
• Para el acceso via Web el usuario de default es admin
• Para el acceso vis SHH el usuario de default es root
30
Configuración Inicial de BIG-IP
1. Config utility
– Dirección IP Address para la interfaz de management
2. Licenciamiento
3. Setup utility
– Clave Root
– Direcciones IP para las VLANs
– Asignación de Interfaces a las VLANs
– Clave Web Admin
– Acceso SSH
31
config UtilityDirección IP inicial: 192.168.1.245 F5 en Hexadecimal
32
Internet
Licenciamiento – Automático
Ejecutar Setup utility
• Ingresar Registration Key
PC BIG-IP
• Tomar la licencia de F5
• Seleccionar los parametros
F5 License Server activate.F5.com
Reiniciar
33
Licenciamiento – Manual
PC
BIG-IP
F5 License Server activate.F5.com
Internet
• Copiar Dossier a una PC conectada a internet
• Pegar Dossier a F5
• Descargar la licencia a la PC
• Upload & instalación del archivo Licencia
Setup utility
PC
• https://activate.F5.com
Reiniciar
34
Setup Utilityhttps://Management IP Address
35
Setup Utility – Direccionamiento
36
Web Configuration utility
37
Local Traffic Manager
1 2 3 4
5 6 7 8
Internet
38
Virtual Servers, Miembros y Nodos
Configurando Virtual Servers y Pools
Métodos de Load Balancing
Configurando Load Balancing
Load Balancing
39
Pools, Miembros y Nodos
172.16.20.1 172.16.20.2 172.16.20.3
Nodo = Dir IP
:80 :80 :80
Miembro = Nodo + Puerto
Pool = Grupo de miembros
41
Virtual Server
Internet
172.16.20.4:8080
172.16.20.2:4002172.16.20.3:80
Virtual Server• Dirección IP
+ Servicio (Puerto)
• “Escucha” y maneja el tráfico entrante
216.34.94.17:80
• Normalmente asociada a un Pool
42
Virtual Server – Traducción de Direcciones IP
BIG-IP LTM realiza la traducción de direcciones de red a la dirección real de los servidores, de tal modo que todas las maquinas se vean como un solo Virtual Server. Real Server
Address
Network Address Translation
Virtual Server Address
Internet
216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80
172.16.20.2:4002
172.16.20.3:80
43
Flujo de Red – Paquete #1
Resuelve www.f5.com a la dirección IP del Virtual Server 216.34.94.17:80
Internet
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002172.16.20.3:80
www.f5.com
DNS Server216.34.94.17:80
44
Flujo de Red – Paquete #1
LTM traduce la dirección destino al nodo, en base al Load Balancing
Internet
Packet # 1 Src - 207.17.117.20:4003Dest – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002172.16.20.3:80
Packet # 1 Src – 207.17.117.20:4003Dest – 172.16.20.1:80
207.17.117.20
216.34.94.17:80
45
Flujo de Red – Paquete #1 Retorno
LTM traduce la dirección origen nuevamente a la del Virtual Server
Internet
Packet # 1 - return Dest - 207.17.117.20:4003Src – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002172.16.20.3:80
Packet # 1 - return Dest – 207.17.117.20:4003Src – 172.16.20.1:80
207.17.117.20
216.34.94.17:80
46
Flujo de Red – Paquete #2
Internet
Packet # 2 Src - 207.17.117.21:4003Dest – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002172.16.20.3:80
Packet # 2 Src – 207.17.117.21:4003Dest – 172.16.20.2:4002
207.17.117.21
216.34.94.17:80
47
Flujo de Red – Paquete #2 Retorno
Internet
Packet # 2 - return Dest - 207.17.117.21:4003Src – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002172.16.20.3:80
Packet # 2 - return Dest – 207.17.117.21:4003Src – 172.16.20.2:4002
207.17.117.21
216.34.94.17:80
48
Flujo de Red – Paquete #3
Internet
Packet # 3 Src - 207.17.117.25:4003Dest – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002172.16.20.3:80
Packet # 3 Src – 207.17.117.25:4003Dest – 172.16.20.4:8080
207.17.117.25
216.34.94.17:80
49
Flujo de Red – Paquete #3 Retorno
Internet
Packet # 3 - return Dest - 207.17.117.25:4003Src – 216.34.94.17:80
172.16.20.4:8080
172.16.20.1:80172.16.20.2:4002172.16.20.3:80
Packet # 3 - return Dest – 207.17.117.25:4003Src – 172.16.20.4:8080
207.17.117.25
216.34.94.17
50
Configurando Pools
51
Configurando Virtual Servers
52
NATs y SNATs
Network Address Translation
Internet
207.10.1.103
172.16.20.3
207.10.1.101
172.16.20.1
53
NAT
Conceptos SNAT
Configuración de SNAT
NATs y SNATs
54
NAT
Mapeo 1-a-1Tráfico BidireccionalDirección IP DedicadaConfiguración
Internet
207.10.1.103
172.16.20.3
207.10.1.101
172.16.20.1
55
SNATs
Mapeo varios a uno
El tráfico iniciado a una dirección de SNAT es rechazado
Internet
207.10.1.102
172.16.20.1172.16.20.2172.16.20.3
56
Razones para SNAT
Varias direcciones no enrutables a una enrutable Internet
172.16.20.1172.16.20.2172.16.20.3
207.10.1.33VS - 207.10.1.100
172.16.1.33
172.16.11.45
• Consideraciones de enrutamiento
• Si el Default Route de los servidores no va al LTM
57
SNATs – Flujo de tráfico típico
Internet
207.10.1.102
172.16.20.1172.16.20.2172.16.20.3
172.16.20.3:1111 205.229.151.203:80
207.10.1.102:2222 205.229.151.203:80
58
SNATs – Flujo de Respuesta
Internet
207.10.1.102
172.16.20.1172.16.20.2172.16.20.3
205.229.151.203:80 172.16.20.3:1111
205.229.151.203:80 207.10.1.102:2222
59
Configuración
Internet
207.10.1.102
172.16.20.1172.16.20.2172.16.20.3
Quién puede cambiar?
A qué se cambia?
Dónde llegan los paquetes?
60
SNAT para Virtual Servers
Internet
172.16.X.33
172.16.20.1172.16.20.2172.16.20.3
Tráfico al VS
10.10.X.100:443
SNAT Pool – Automap Self IP Flotante
61
Accesos de Configuración
Métodos
1. Web
• https (remoto)
2. CLI
• ssh (remoto)
• Terminal Serial
62
Procedimiento de Backup
• Guarda toda la configuración en un archivo• Si el archivo se copia a otro sistema, se
debe re-licenciar
63
Autenticación de Usuarios
64
Usuarios Administradores
65
Estadísticas SummaryVirtual Servers PoolsNodes
66
Logs
67
Logs
Se localizan en /var/logdaemons - /var/log/daemon.log
gtm - /var/log/gtm
ltm - /var/log/ltm
Kernel - /var/log/messages
Booteo - /var/log/boot.log
Logrotate para rotación de logsSe almacenan en /var/log/[archivo].1.gz -- /var/log/[archivo].5.gz
68
Monitores y Estados
Internet
172.16.20.3:80
69
Conceptos generales de Monitores
Configuración de Monitores
Asignación de Monitores
Estados de Nodos y Miembros
Monitores
70
Conceptos
Chequeo de Dirección IP
– Nodo
Chequeo de Servicio
– IP : puerto
Chequeo de Contenido
– IP : puerto + chequeo de datos de retorno
Chequeo Interactivo
Chequeo de Trayecto
71
Chequeo de Dirección IP
Pasos
– Se envían paquetes a una dirección IP
– Si no hay respuesta, no se envía tráfico alguno a los miembros de pool que utilicen la dirección.
– Ejemplo: ICMP
Internet
172.16.20.1
172.16.20.2
172.16.20.3
ICMP
72
Chequeo de Servicio
Pasos
– Abre una conexión TCP (IP : servicio)
– Cierra la conexión
– Si la conexión TCP falla, no se enviará tráfico a los miembros asociados.
– Ejemplo: TCP
Internet
172.16.20.1:80172.16.20.2:80172.16.20.3:80
TCP Connection
73
Chequeo de Contenido
Internet
172.16.20.1:80172.16.20.2:80172.16.20.3:80
Pasos– Abre una conexión TCP (IP :
servicio)– Envía un REQ– La respuesta viene con datos
útiles– Cierra la conexión– Si los datos recibidos no
concuerdan con una regla, no se envían datos a los miembros asociados
– Ejemplo: http
http GET /
74
Chequeo Interactivo
Internet
172.16.20.1:80172.16.20.2:80172.16.20.3:80
Pasos– Abre una conexión TCP (IP :
servicio)– Se genera una conversación
interactiva para simular una conexión real
– Se cierra la conexión– Si no ocurren los resultados
esperados, no se envía tráfico a los miembros asociados.
– Ejemplo: SQL request
conversation
75
Chequeo de Trayecto
Pasos– Se envían paquetes a
través, no al dispositivo– Puede chequear Dir IP,
Servicio o Contenido– Si no se cumple la
condición, no se envía tráfico a través del miembro asociado.
Link Cntl
ISP2ISP1
ISP1
www.f5.com
76
Configuración
Monitores Predefinidos (Templates)
– Chequeo de Dirección IP (icmp)
– Chequeo de Servicio (tcp)
– Chequeo de Contenido (http)
– Chequeo Interactivo (ftp)
– Disponibilidad:
–TODOS los templates pueden ser personalizados
77
Creando Nuevos Monitores
78
Parámetros Adicionales
• Regla de Recepción
– Si se encuentra el contenido, el nodo se marca Up
• Regla de recepción inversa– Si se encuentra el contenido, el
nodo se marca Down
• Transparente – Si el trayecto está disponible, el
nodo se marca Up– Utilizada para monitorear Links
79
Timers
Frecuencia (Interval)
Timeout
• Recomendado = 3n + 1
80
Asignación de MonitoresPor Default a Todos los NodosOpciones particulares de Cada Nodo– Default– Específico– Ninguno
Por Default a Todos los Miembros de un PoolOpciones Particulares a cada Miembro de Pool– Heredar de Pool– Específico– Ninguno
81
Asignación de Monitores a Nodos
Para 1 Nodo
82
Asign. De Monitores a Pools
Para 1 miembro
83
Estado de Miembro o Nodo
Status• Available – Circ. Verde• Offline – Diamante Rojo• Unknown – Cuad. Azul
84
Perfiles
Internet
Virtual Server
Los perfiles determinan la manera de procesar el tráfico de los servidores virtuales
85
Conceptos de Perfiles
Dependencias
Tipos de Perfil
Configuración
Perfiles
86
Conceptos
Un perfil es:
Donde se define el comportamiento del tráfico:
– SSL, compression, persistence…
– La aplicación de este comportamiento a VS’s
Definido a partir de un template
Dependiente de otros perfiles
87
Escenario #1 – Persistencia
12
3
12
3
88
Escenario #2 – Terminación SSL
Desencrip.
Encriptado
89
Escenario #3 – FTP Server
El cliente comienza la conexión de control
El Servidor comienza la Conexión de transferencia de datos.
90
Dependencias
Algunos no pueden ser combinados en el mismo VS
Dependencias siguiendo el modelo OSI
TCP
HTTP
Cookie
UDP
FTP
Network
Data Link
Physical
91
Tipos de Perfil
Servicios – Orientado al tipo de datos
Persistencia – Orientado a la sesión
Protocolos – Orientado a la conexión
SSL – Orientado a la encripción
Autenticación – Orientado a la seguridad
Otros – Orientados al flujo de datos TCP
92
Conceptos de Configuración
Creados a partir de perfiles por default
Los Perfiles Default pueden ser modificados pero no borrados
Existen relaciones Padre-Hijo
Almacenados en /config/profile_base.conf
93
Virtual Server Default Profiles
Cada Virtual Servers posee al menos 1 perfil
– TCP: para VS’s procesando datos TCP
– UDP: para VS’s procesando datos UDP
– FastL4: para VS’s que poseen aceleración por hardware (PVA)
– Fasthttp: para VS’s procesando tráfico HTTP y acelerandolo
94
Configuración
95
Configuración (Cont.)
Especificación de Propiedades
Mapeo a VS
96
Agenda – Día 2
7. Troubleshooting Big-IP
8. Persistence
9. Administration Big-IP
10. iRules
11. Labs
97
Persistencia
12
3
12
3
98
Persistencia por Dirección Origen
Persistencia por Cookie
– Insert, Rewrite, Passive & Hash
Persistencia
99
Persistencia por Dirección de Origen
Basada en la dirección IP del Cliente
Netmask -> Rango de Direcciones
12
3
12
3
205.229.151.10
205.229.152.11
Si Netmask es 255.255.255.0
205.229.151.107
100
Propiedades
Mapeo a VS
Persistencia por Dirección de Origen
101
Configuración
2. Apuntar a VS
1. Conf. Perfil
102
Persistencia por Cookie
Modo Insert
– BIG-IP LTM Inserta la cookie en el flujo
Modo Rewrite
– El servidor Web crea la cookie
– BIG-IP LTM la cambia
Modo Passive
– El servidor Web crea la cookie
– BIG-IP LTM la lee
103
Client Server
HTTP request (sin cookie)
TCP handshake
TCP handshake
HTTP request (sin cookie)
HTTP reply (sin cookie)
HTTP reply (con nueva cookie)
pickserver
HTTP request (con misma cookie)
TCP handshake
TCP handshake
HTTP request (sin cookie)
HTTP reply (sin cookie)
HTTP reply (cookie actualizada)
cookiespecifiesserver
1er H
it2d
o H
it
Modo Insert
104
Client Server
HTTP request (sin cookie)
TCP handshake
TCP handshake
HTTP request (sin cookie)
HTTP reply (con cookie)
HTTP reply (con cookie re-escrita)
pickserver
HTTP request (con misma cookie)
TCP handshake
TCP handshake
HTTP request (con misma cookie)
HTTP reply (con cookie)
HTTP reply (con cookie actualizada)
cookiespecifiesserver
1er H
it2d
o H
it
Modo Rewrite
105
Client Server
HTTP request (sin cookie)
TCP handshake
TCP handshake
HTTP request (sin cookie)
HTTP reply (con cookie en especial)
HTTP reply (con cookie en especial)
pickserver
HTTP request (con misma cookie)
TCP handshake
TCP handshake
HTTP request (con misma cookie)
HTTP reply (con cookie en especial)
HTTP reply (con cookie en especial)
cookiespecifiesserver
1er H
it2d
o H
it
Modo Passive
107
Config. Cookie Persistence
Luego se setea el perfil de cookie_persist
• Requiere de “http profile”
108
Mantenimiento BigIP
im <hotfix>
# im Hotfix-BIGIP-9.4.8-385.0-HF2.im
# /usr/bin/full_box_reboot
Instalación de HotFix V9.X
1. Copiar por SCP (Ej winscp) el HotFix al BIGIP
2. Loguearse por SSH con el usuario root
3. Ejecutar el comando im para instalar el HotFix
La instalación de HotFix implica el bajada de servicios y
reboot del equipo.
4. Una vez que termina, ejecutar el comando full_box_reboot
109
Mantenimiento BigIP
Son subidas a /shared/images/shared/images
Instalación TMOS
ISOs disponibles para instalarISOs disponibles para instalar
Versiones instaladasVersiones instaladas
110
Mantenimiento BigIP
Son subidos a /shared/images/shared/images
Instalación HOTFIX
HOTFIX para instalarHOTFIX para instalar
111
Mantenimiento BigIP
Podemos instalar en todos menos en el que estamos actualmente logueados
Instalación HOTFIX
112
Mantenimiento BigIP
Instalación de HotFix en V10
1. Los Hotfixes son acumulativos (HFA3 incluye el HFA1 y HFA2).
2. Cada Hotfix corresponde a un número de versión (V9.4.X V10.1.X V10.2.X).
3. Debemos tener dos o más volúmenes instalados para aplicar los Hotfixes.
4. Instalar los Hotfixes en los volumenes no productivos.
5. Probar su correcto funcionamiento durante un tiempo prudencial.
6. El Hotfix lo comenzamos a utilizar cuando elegimos bootear con la imagen actualizada.
113
Mantenimiento BigIP
Selección de versión a bootear
Con SSH switchboot