1

F5 BigIP LTM
Administering BigIP v11

Introduccin a F5
Application Delivery Networking

Asegurando que las aplicaciones sean SEGURAS,

RAPIDAS, DISPONIBLES
Productos F5:

BIG-IP Local Traffic Manager

BIG-IP Link Controller

BIG-IP Global Traffic Manager

BIG-IP Access Policy Manager

BIG-IP Application Security Manager

Enterprise Manager

WanJet / Web Accelerator

BIG-IP Local Traffic Manager

Balanceo de Carga a Servidores

Internet

Monitoreo del estado de los

servidores

BIG-IP Global Traffic Manager (GTM)

Balanceo de Carga de DNS

Por ej: www.f5.com = es 1 de

Monitoreo de estado de los

servidores

www.f5.com = ?
www.f5.com = ?
207.46.134.222
143.166.83.200

GTM

Internet

207.46.134.222
65.197.145.183

143.166.83.200

BIG-IP Link Controller

Internet

3 tipos de Balanceo

Links de Salida

Links de Entrada

Balanceo de los servidores

ISP #1

ISP #2

BIG-IP Enterprise Manager

Manejo de versionado y
backup centralizado
Visin centralizadad de
certificados SSL
Control e Inventario de los
dispositivos
Soporte hasta 300
dispositivos

GTM

LTM

BIG-IP Access Policy Manager

SSL VPN

File Servers
Autorizacin
Web Servers
Big-IP APM

E-mail Servers
telnet a Hosts

Autenticacin

Terminales /
Citrix
Desktop

Acceso remoto a travs de navegador o VPN SSL

Autorizacin por Grupo

BIG-IP Application Security Manager

207.17.117.25

Firewall de Capa 7
Bloquea ataques web
conocidos o desconocidos.
Reverse Proxy
Chequeo del contenido de
salida

Internet
216.34.94.17:80

WanJet
Oficina Remota

Oficina

Optimizacin WAN Resultados tipoLAN

Aceleracin de Aplicaciones
Encripcin site-to-site Configurable utilizando SSL

10

Web Accelerator
Cliente

Acelera Aplicaciones Web

Tiempos de respuesta a usuario mayores
Extiende la capacidad de los servidores
Reduce la carga del sistema
Reduce la necesidad de BW
Transparente a usuarios y aplicaciones

Web Server

11

Agenda Da 1
1.
2.
3.
4.

Introduction
Local Traffic
NAT & SNAT
TMSH y Administracin de
BigIP
5. Monitores y Estados
6. Profiles

12

Agenda Da 2
7.
8.
9.
10.
11.

Troubleshooting Big-IP
Persistence
Administration Big-IP
iRules
Labs

13

Introduccin - Topologa
Clients

Internet

BIG-IP LTMs
Servers

14

Introduccin
Plataformas BIG-IP
Instalacin (Setup Utility)
Utilidades de Configuracin y Acceso de Usuario

15

Plataformas BIG-IP

VIPRION
4400 and 2400

11000

8900

6900

3900 , 3600
and 1600

Virtual Edition

Hardware and virtualized designed solutions for app. sec.

High-end Enterprise Datacenter WAF VIPRION and 11000 series
Industrys best performance for low end with 1600
Low throughput Web Application Firewall for budget conscious
buyer
App. sec. on hypervisor infrastructure* with BIG-IP ASM VE
Cost-effective scale and attack mitigation

16

Plataformas BIG-IP
Diferencias
8900 (2U)
Dual CPU, quad core (8 processors), 16G Ram
12 puertos 10/100/1G & 8Gbit

6900 (2U)
Dual CPU, dual core (4 processors) 8G Ram
16 puertos 10/100/1G & 8Gbit

3900 (1U)
Quad core CPU, 8G Ram, ASIC2
8 puertos 10/100/1G & 4Gbit

6900

1600 (1U)
Dual core CPU, 4G Ram
4 puertos 10/100/1G & 2Gbit

Panel LCD de control

3900
Ms informacin-> http://www.f5.com

17

Plataformas BIG-IP
VIPRION
C4400 4-Slot Chassis (7U)

18

Plataformas BIG-IP
Blade
B4200 Blade (1U)

19

Plataformas BIG-IP

BIG-IP 1600
100k L7 RPS
60K L4 CPS
1G L7/L4
TPUT

BIG-IP 3600
135k L7 RPS
115K L4 CPS
2G L7/L4
TPUT

BIG-IP 3900
400k L7 RPS
175K L4 CPS
4G L7/L4
TPUT

BIG-IP 6900,
600k L7 RPS
220K L4 CPS
6G L7/L4 TPUT

BIG-IP 8900/
8950
1.9M L7 RPS
800K L4 CPS
Up to 20G
TPUT

BIG-IP
11000/11050,
2.5M L7 RPS
1M L4 CPS
Up to 42G
TPUT

20

Plataformas BIG-IP

21

Plataformas BIG-IP

22

Paso a paso Conectividad inicial

1. Rackeo y conexiones
2. Panel LCD
3. Acceso Web y SSH
4. Usaurios

23

Paso 1 - BIG-IP Chassis Front (3600)

Intalar Kit de Rackeo
Conectar cable de Power
Conectar cable de red en la interfaz
identificada como MGMT
MGMT

USB

Console

Failover

Fan Ports

Ethernet

Gigabit SFP

Controls

LCD Panel

24

Paso 2 Panel LCD

El panel tiene un menu con los siguientes items
Information menu
System menu
Screens menu
Options menu
Controls

LCD Panel

25

Paso 2 Panel LCD cont.

1. Nos desplazamos con las teclas flecha hacia arriba y flecha hacia
abajo hasta seleccionar System Menu (para seleccionar pulsamos
la tecla verde central)
2. Dentro de ese menu no movemos hasta seleccionar IP Address.
Configuramos ah la IP de MGMT.
3. Repetimos la operatoria del paso para la parte de Netmask y
Default route
4. IMPORTANTE: Una vez terminado seleccionar la opcin Commit y
confirmar con la tecla central verde.

26

Paso 3 - Accesos
Dos tipos de accesos
Web Interface
HTTPS (remote)

Command Line
SSH (remote)
Management Port
Self-IPs
SCCP / AOM
Serial Terminal

27

Paso 3 Accesos Cont.

Desde un navegador ingresar a la IP configurada en el paso

Panel LCD ejemplo: https://172.27.166.174

28

Paso 3 Accesos Cont.

Con un software tipo terminal (putty o crt) ingresar a la

IP configurada en el paso Panel LCD ejemplo:
192.168.21.215 al puerto 22

29

Paso 4 - usuarios

Para el acceso via Web el usuario de default es admin

Para el acceso vis SHH el usuario de default es root

30

Configuracin Inicial de BIG-IP

1. Config utility
Direccin IP Address para la interfaz de
management
2. Licenciamiento
3. Setup utility
Clave Root
Direcciones IP para las VLANs
Asignacin de Interfaces a las VLANs
Clave Web Admin
Acceso SSH

31

config Utility
Direccin IP inicial: 192.168.1.245

F5 en Hexadecimal

32

Licenciamiento Automtico
PC

F5 License Server
activate.F5.com

BIG-IP

Ingresar Registration Key

Seleccionar los parametros
Tomar la licencia de F5
Ejecutar Setup utility
Reiniciar

Internet

33

Licenciamiento Manual
Copiar Dossier a una PC
conectada a internet
https://activate.F5.com
Pegar Dossier a F5
Descargar la licencia a la
PC
Upload &
instalacin del
archivo Licencia
Setup utility
Reiniciar

PC

PC

BIG-IP
F5 License Server
activate.F5.com

Internet

34

Setup Utility
https://Management IP Address

35

Setup Utility Direccionamiento

36

Web Configuration utility

37

Local Traffic Manager

Internet

2
5

3
6

4
7

38

Load Balancing
Virtual Servers, Miembros y Nodos
Configurando Virtual Servers y Pools
Mtodos de Load Balancing
Configurando Load Balancing

39

Pools, Miembros y Nodos

172.16.20.1 :80

Nodo = Dir IP

172.16.20.2 :80

172.16.20.3 :80

Miembro = Nodo + Puerto

Pool = Grupo de miembros

41

Virtual Server
Direccin IP
+ Servicio (Puerto)

Internet

Virtual Server

216.34.94.17:80

Escucha y maneja el
trfico entrante
:
0.4
6.2
2.1
17
80
80

:80
0.3
6.2
2.1
17
02
:40
0.2
6.2
2.1
17

Normalmente
asociada a un Pool

42

Virtual Server Traduccin de

Direcciones IP
Internet
216.34.94.17:80

Network
Address
Translation

. 3: 8
0

02
2: 40

. 1: 8

0
:808
20.4
.16.
172

.
6.20

20
.16.
172

.1
172

20
.16.
172

BIG-IP LTM realiza la

traduccin de
direcciones de red a
la direccin real de
los servidores, de tal
modo que todas las
maquinas se vean
como un solo Virtual
Server.

Virtual Server Address

Real Server
Address

43

Flujo de Red Paquete #1

www.f5.com
Internet
216.34.94.17:80

DNS Server
Resuelve www.f5.com a
la direccin IP del
Virtual Server
216.34.94.17:80

80
80
4:
0.
.2
16
2.
80
17
3:
0.
.2
16
2.
02
17
40
2:
0.
.2
16
2.
17
80
1:
0.
.2
16
2.
17

44

Flujo de Red Paquete #1

207.17.117.20
Packet # 1
Src - 207.17.117.20:4003
Dest 216.34.94.17:80

Internet
216.34.94.17:80

LTM traduce la
direccin destino al
nodo, en base al Load
Balancing
Packet # 1
Src 207.17.117.20:4003
Dest 172.16.20.1:80

80
80
4:
0.
.2
16
2.
80
17
3:
0.
.2
16
2.
02
17
40
2:
0.
.2
16
2.
17
80
1:
0.
.2
16
2.
17

45

Flujo de Red Paquete #1 Retorno

207.17.117.20

Internet
216.34.94.17:80

Packet # 1 - return
Dest - 207.17.117.20:4003
Src 216.34.94.17:80

LTM traduce la
direccin origen
nuevamente a la del
Virtual Server
Packet # 1 - return
Dest 207.17.117.20:4003
Src 172.16.20.1:80

80
80
4:
0.
.2
16
2.
80
17
3:
0.
.2
16
2.
02
17
40
2:
0.
.2
16
2.
17
80
1:
0.
.2
16
2.
17

46

Flujo de Red Paquete #2

207.17.117.21

Internet

Packet # 2
Src - 207.17.117.21:4003
Dest 216.34.94.17:80

216.34.94.17:80

Packet # 2
Src 207.17.117.21:4003
Dest 172.16.20.2:4002

80
80
4:
0.
.2
16
2.
80
17
3:
0.
.2
16
2.
02
17
40
2:
0.
.2
16
2.
17
80
1:
0.
.2
16
2.
17

47

Flujo de Red Paquete #2 Retorno

207.17.117.21

Internet

Packet # 2 - return
Dest - 207.17.117.21:4003
Src 216.34.94.17:80

216.34.94.17:80

Packet # 2 - return
Dest 207.17.117.21:4003
Src 172.16.20.2:4002

80
80
4:
0.
.2
16
2.
80
17
3:
0.
.2
16
2.
02
17
40
2:
0.
.2
16
2.
17
80
1:
0.
.2
16
2.
17

48

Flujo de Red Paquete #3

207.17.117.25

Internet

Packet # 3
Src - 207.17.117.25:4003
Dest 216.34.94.17:80

216.34.94.17:80

Packet # 3
Src 207.17.117.25:4003
Dest 172.16.20.4:8080

80
80
4:
0.
.2
16
2.
80
17
3:
0.
.2
16
2.
02
17
40
2:
0.
.2
16
2.
17
80
1:
0.
.2
16
2.
17

49

Flujo de Red Paquete #3 Retorno

207.17.117.25

Internet

Packet # 3 - return
Dest - 207.17.117.25:4003
Src 216.34.94.17:80

216.34.94.17

Packet # 3 - return
Dest 207.17.117.25:4003
Src 172.16.20.4:8080

80
80
4:
0.
.2
16
2.
80
17
3:
0.
.2
16
2.
02
17
40
2:
0.
.2
16
2.
17
80
1:
0.
.2
16
2.
17

50

Configurando Pools

51

Configurando Virtual Servers

52

NATs y SNATs
Internet
207.10.1.101

207.10.1.103

172.16.20.1

172.16.20.3

Network Address
Translation

53

NATs y SNATs
NAT
Conceptos SNAT
Configuracin de SNAT

54

NAT
Internet
Mapeo 1-a-1
Trfico Bidireccional
Direccin IP Dedicada
Configuracin

207.10.1.101

172.16.20.1

207.10.1.103

172.16.20.3

55

SNATs

Mapeo varios a uno

El trfico iniciado a una direccin
de SNAT es rechazado

Internet
207.10.1.102

3
0.
.2
16
2.
17
2
0.
.2
16
2.
17
1
0.
.2
16
2.
17

56

Razones para SNAT

Varias direcciones no
enrutables a una enrutable

Internet
VS - 207.10.1.100

Consideraciones de
enrutamiento
Si el Default Route de
los servidores no va al
LTM

207.10.1.33

172.16.1.33

45
1.
.1
16
2.
17
3
0.
.2
16
2.
17
2
0.
.2
16
2.
17
1
0.
.2
16
2.
17

57

SNATs Flujo de trfico tpico

207.10.1.102:2222
205.229.151.203:80

Internet

207.10.1.102

172.16.20.3:1111
205.229.151.203:80
3
0.
.2
16
2.
17
2
0.
.2
16
2.
17
1
0.
.2
16
2.
17

58

SNATs Flujo de Respuesta

205.229.151.203:80
207.10.1.102:2222

Internet
207.10.1.102

205.229.151.203:80
172.16.20.3:1111
3
0.
.2
16
2.
17
2
0.
.2
16
2.
17
1
0.
.2
16
2.
17

59

Configuracin
Quin puede cambiar?
A qu se cambia?
Dnde llegan los paquetes?

Internet
207.10.1.102

3
0.
.2
16
2.
17
2
0.
.2
16
2.
17
1
0.
.2
16
2.
17

60

SNAT para Virtual Servers

Trfico al VS
Internet
10.10.X.100:443

172.16.X.33

3
0.
.2
16
2.
17
2
0.
.2
16
2.
17
1
0.
.2
16
2.
17

SNAT Pool Automap

Self IP Flotante

61

Accesos de Configuracin
Mtodos
1. Web
https (remoto)
2. CLI
ssh (remoto)
Terminal Serial

62

Procedimiento de Backup

Guarda toda la configuracin en un archivo

Si el archivo se copia a otro sistema, se
debe re-licenciar

63

Autenticacin de Usuarios

64

Usuarios Administradores

65

Estadsticas
Summary
Virtual Servers
Pools
Nodes

66

Logs

67

Logs
Se localizan en /var/log
daemons
gtm
ltm
Kernel
Booteo

- /var/log/daemon.log
- /var/log/gtm
- /var/log/ltm
- /var/log/messages
- /var/log/boot.log

Logrotate para rotacin de logs

Se almacenan en /var/log/[archivo].1.gz -- /var/log/[archivo].5.gz

68

Monitores y Estados
Internet

172.16.20.3:80

69

Monitores
Conceptos generales de Monitores
Configuracin de Monitores
Asignacin de Monitores
Estados de Nodos y Miembros

70

Conceptos
Chequeo de Direccin IP
Nodo
Chequeo de Servicio
IP : puerto
Chequeo de Contenido
IP : puerto + chequeo de datos de retorno
Chequeo Interactivo
Chequeo de Trayecto

71

Chequeo de Direccin IP
Internet

ICMP

0.3
6.2
2.1
17

0.2
6.2
2.1
17

0.1
6.2
2.1
17

Pasos
Se envan paquetes a
una direccin IP
Si no hay respuesta, no
se enva trfico alguno
a los miembros de pool
que utilicen la direccin.
Ejemplo: ICMP

72

Chequeo de Servicio
Pasos
Abre una conexin TCP
(IP : servicio)
Cierra la conexin

TCP
Connection

:80
0.3
6.2
2.1
17
:80
0.2
6.2
2.1
17
:80
0.1
6.2
2.1
17

Si la conexin TCP falla,

no se enviar trfico a
los miembros asociados.
Ejemplo: TCP

Internet

73

Chequeo de Contenido

Internet

http GET /

80

80

80

:
0.3
6.2
2.1
17

:
0.2
6.2
2.1
17

:
0.1
6.2
2.1
17

Pasos
Abre una conexin TCP (IP :
servicio)
Enva un REQ
La respuesta viene con datos
tiles
Cierra la conexin
Si los datos recibidos no
concuerdan con una regla, no
se envan datos a los miembros
asociados
Ejemplo: http

74

Chequeo Interactivo
Internet

conversation

:80
0.3
6.2
2.1
17
:80
0.2
6.2
2.1
17
:80
0.1
6.2
2.1
17

Pasos
Abre una conexin TCP (IP :
servicio)
Se genera una conversacin
interactiva para simular una
conexin real
Se cierra la conexin
Si no ocurren los resultados
esperados, no se enva trfico
a los miembros asociados.
Ejemplo: SQL request

75

Chequeo de Trayecto
Pasos
Se envan paquetes a
travs, no al dispositivo
Puede chequear Dir IP,
Servicio o Contenido
Si no se cumple la
condicin, no se enva
trfico a travs del
miembro asociado.

www.f5.com
ISP1

ISP1

ISP2

Link
Cntl

76

Configuracin
Monitores Predefinidos (Templates)
Chequeo de Direccin IP (icmp)
Chequeo de Servicio (tcp)
Chequeo de Contenido (http)
Chequeo Interactivo (ftp)
Disponibilidad:
TODOS los templates pueden ser
personalizados

77

Creando Nuevos Monitores

78

Parmetros Adicionales
Regla de Recepcin
Si se encuentra el contenido, el
nodo se marca Up

Regla de recepcin inversa

Si se encuentra el contenido, el
nodo se marca Down

Transparente
Si el trayecto est disponible, el
nodo se marca Up
Utilizada para monitorear Links

79

Timers
Frecuencia (Interval)
Timeout

Recomendado = 3n + 1

80

Asignacin de Monitores
Por Default a Todos los Nodos
Opciones particulares de Cada Nodo
Default
Especfico
Ninguno
Por Default a Todos los Miembros de un Pool
Opciones Particulares a cada Miembro de Pool
Heredar de Pool
Especfico
Ninguno

81

Asignacin de Monitores a Nodos

Para 1 Nodo

82

Asign. De Monitores a Pools

Para 1 miembro

83

Estado de Miembro o Nodo

Status
Available Circ. Verde
Offline Diamante Rojo
Unknown Cuad. Azul

84

Perfiles
Internet
Virtual Server

Los perfiles determinan

la manera de procesar el
trfico de los servidores
virtuales

85

Perfiles
Conceptos de Perfiles
Dependencias
Tipos de Perfil
Configuracin

86

Conceptos
Un perfil es:
Donde se define el comportamiento del trfico:

SSL, compression, persistence

La aplicacin de este comportamiento a VSs

Definido a partir de un template
Dependiente de otros perfiles

87

Escenario #1 Persistencia

1
3

1
3

88

Escenario #2 Terminacin SSL

Encriptado

Desencrip.

89

Escenario #3 FTP Server

El cliente comienza la
conexin de control

El Servidor comienza la
Conexin de
transferencia de datos.

90

Dependencias
Dependencias
siguiendo el
modelo OSI
Algunos no
pueden ser
combinados en el
mismo VS

Cookie
HTTP

FTP

TCP
Network
Data Link
Physical

UDP

91

Tipos de Perfil
Servicios Orientado al tipo de datos
Persistencia Orientado a la sesin
Protocolos Orientado a la conexin
SSL Orientado a la encripcin
Autenticacin Orientado a la seguridad
Otros Orientados al flujo de datos TCP

92

Conceptos de Configuracin
Creados a partir de perfiles por default
Los Perfiles Default pueden ser modificados pero no
borrados
Existen relaciones Padre-Hijo
Almacenados en /config/profile_base.conf

93

Virtual Server Default Profiles

Cada Virtual Servers posee al menos 1 perfil
TCP: para VSs procesando datos TCP

UDP: para VSs procesando datos UDP

FastL4: para VSs que poseen aceleracin por

hardware (PVA)

Fasthttp: para VSs procesando trfico HTTP y

acelerandolo

94

Configuracin

95

Configuracin (Cont.)
Especificacin de
Propiedades

Mapeo a VS

96

Agenda Da 2
7.
8.
9.
10.
11.

Troubleshooting Big-IP
Persistence
Administration Big-IP
iRules
Labs

97

Persistencia

1
3

1
3

98

Persistencia
Persistencia por Direccin Origen
Persistencia por Cookie
Insert, Rewrite, Passive & Hash

99

Persistencia por Direccin de Origen

Basada en la direccin IP del Cliente
Netmask -> Rango de Direcciones
205.229.151.10
205.229.151.107

205.229.152.11

Si Netmask es
255.255.255.0

1
3

1
3

100

Persistencia por Direccin de Origen

Propiedades

Mapeo a VS

101

Configuracin
1. Conf. Perfil
2. Apuntar a VS

102

Persistencia por Cookie

Modo Insert
BIG-IP LTM Inserta la cookie en el flujo
Modo Rewrite
El servidor Web crea la cookie
BIG-IP LTM la cambia
Modo Passive
El servidor Web crea la cookie
BIG-IP LTM la lee

103

Modo Insert
TCP handshake
HTTP request (sin cookie)

1er Hit

pick
server

TCP handshake
HTTP request (sin cookie)
HTTP reply (sin cookie)

HTTP reply (con nueva cookie)

Client

TCP handshake

Server

HTTP request (con misma cookie)

2do Hit

cookie
specifies
server

TCP handshake
HTTP request (sin cookie)
HTTP reply (sin cookie)

HTTP reply (cookie actualizada)

104

Modo Rewrite
TCP handshake
HTTP request (sin cookie)

1er Hit

pick
server

TCP handshake
HTTP request (sin cookie)
HTTP reply (con cookie)

HTTP reply (con cookie re-escrita)

Client

TCP handshake

Server

HTTP request (con misma cookie)

2do Hit

cookie
specifies
server

TCP handshake
HTTP request (con misma cookie)
HTTP reply (con cookie)

HTTP reply (con cookie actualizada)

105

Modo Passive
TCP handshake
HTTP request (sin cookie)

1er Hit

pick
server

TCP handshake
HTTP request (sin cookie)
HTTP reply (con cookie en especial)

HTTP reply (con cookie en especial)

Client

TCP handshake

Server

HTTP request (con misma cookie)

2do Hit

cookie
specifies
server

TCP handshake
HTTP request (con misma cookie)
HTTP reply (con cookie en especial)

HTTP reply (con cookie en especial)

107

Config. Cookie Persistence

Requiere de http profile
Luego se setea el perfil de cookie_persist

108

Mantenimiento BigIP
Instalacin de HotFix V9.X
1. Copiar por SCP (Ej winscp) el HotFix al BIGIP
2. Loguearse por SSH con el usuario root
3. Ejecutar el comando im para instalar el HotFix
La instalacin de HotFix implica el bajada de servicios y
reboot del equipo.

4. Una vez que termina, ejecutar el comando

full_box_reboot
im <hotfix>
# im Hotfix-BIGIP-9.4.8-385.0-HF2.im
# /usr/bin/full_box_reboot

109

Mantenimiento BigIP
Instalacin TMOS

Versiones instaladas

ISOs disponibles para instalar

Son subidas a /shared/images

110

Mantenimiento BigIP
Instalacin HOTFIX

HOTFIX para instalar

Son subidos a /shared/images

111

Mantenimiento BigIP
Instalacin HOTFIX

Podemos instalar en todos menos en el que

estamos actualmente logueados

112

Mantenimiento BigIP
Instalacin de HotFix en V10
1. Los Hotfixes son acumulativos
(HFA3 incluye el HFA1 y HFA2).
2. Cada Hotfix corresponde a un nmero de versin
(V9.4.X V10.1.X V10.2.X).
3. Debemos tener dos o ms volmenes instalados para
aplicar los Hotfixes.
4. Instalar los Hotfixes en los volumenes no productivos.
5. Probar su correcto funcionamiento durante un tiempo
prudencial.
6. El Hotfix lo comenzamos a utilizar cuando elegimos bootear
con la imagen actualizada.

113

Mantenimiento BigIP
Seleccin de versin a bootear

Con SSH switchboot