Documente Academic
Documente Profesional
Documente Cultură
F5 BigIP LTM
Administering BigIP v11
Introduccin a F5
Application Delivery Networking
Enterprise Manager
www.f5.com = ?
www.f5.com = ?
207.46.134.222
143.166.83.200
GTM
Internet
207.46.134.222
65.197.145.183
143.166.83.200
Internet
3 tipos de Balanceo
Links de Salida
Links de Entrada
ISP #1
ISP #2
GTM
LTM
File Servers
Autorizacin
Web Servers
Big-IP APM
E-mail Servers
telnet a Hosts
Autenticacin
Terminales /
Citrix
Desktop
Firewall de Capa 7
Bloquea ataques web
conocidos o desconocidos.
Reverse Proxy
Chequeo del contenido de
salida
Internet
216.34.94.17:80
WanJet
Oficina Remota
Oficina
10
Web Accelerator
Cliente
Web Server
11
Agenda Da 1
1.
2.
3.
4.
Introduction
Local Traffic
NAT & SNAT
TMSH y Administracin de
BigIP
5. Monitores y Estados
6. Profiles
12
Agenda Da 2
7.
8.
9.
10.
11.
Troubleshooting Big-IP
Persistence
Administration Big-IP
iRules
Labs
13
Introduccin - Topologa
Clients
Internet
BIG-IP LTMs
Servers
14
Introduccin
Plataformas BIG-IP
Instalacin (Setup Utility)
Utilidades de Configuracin y Acceso de Usuario
15
Plataformas BIG-IP
VIPRION
4400 and 2400
11000
8900
6900
3900 , 3600
and 1600
Virtual Edition
16
Plataformas BIG-IP
Diferencias
8900 (2U)
Dual CPU, quad core (8 processors), 16G Ram
12 puertos 10/100/1G & 8Gbit
6900 (2U)
Dual CPU, dual core (4 processors) 8G Ram
16 puertos 10/100/1G & 8Gbit
3900 (1U)
Quad core CPU, 8G Ram, ASIC2
8 puertos 10/100/1G & 4Gbit
6900
1600 (1U)
Dual core CPU, 4G Ram
4 puertos 10/100/1G & 2Gbit
17
Plataformas BIG-IP
VIPRION
C4400 4-Slot Chassis (7U)
18
Plataformas BIG-IP
Blade
B4200 Blade (1U)
19
Plataformas BIG-IP
BIG-IP 1600
100k L7 RPS
60K L4 CPS
1G L7/L4
TPUT
BIG-IP 3600
135k L7 RPS
115K L4 CPS
2G L7/L4
TPUT
BIG-IP 3900
400k L7 RPS
175K L4 CPS
4G L7/L4
TPUT
BIG-IP 6900,
600k L7 RPS
220K L4 CPS
6G L7/L4 TPUT
BIG-IP 8900/
8950
1.9M L7 RPS
800K L4 CPS
Up to 20G
TPUT
BIG-IP
11000/11050,
2.5M L7 RPS
1M L4 CPS
Up to 42G
TPUT
20
Plataformas BIG-IP
21
Plataformas BIG-IP
22
1. Rackeo y conexiones
2. Panel LCD
3. Acceso Web y SSH
4. Usaurios
23
USB
Console
Failover
Fan Ports
Ethernet
Gigabit SFP
Controls
LCD Panel
24
LCD Panel
25
26
Paso 3 - Accesos
Dos tipos de accesos
Web Interface
HTTPS (remote)
Command Line
SSH (remote)
Management Port
Self-IPs
SCCP / AOM
Serial Terminal
27
28
29
Paso 4 - usuarios
30
31
config Utility
Direccin IP inicial: 192.168.1.245
F5 en Hexadecimal
32
Licenciamiento Automtico
PC
F5 License Server
activate.F5.com
BIG-IP
Internet
33
Licenciamiento Manual
Copiar Dossier a una PC
conectada a internet
https://activate.F5.com
Pegar Dossier a F5
Descargar la licencia a la
PC
Upload &
instalacin del
archivo Licencia
Setup utility
Reiniciar
PC
PC
BIG-IP
F5 License Server
activate.F5.com
Internet
34
Setup Utility
https://Management IP Address
35
36
37
2
5
3
6
4
7
38
Load Balancing
Virtual Servers, Miembros y Nodos
Configurando Virtual Servers y Pools
Mtodos de Load Balancing
Configurando Load Balancing
39
172.16.20.1 :80
Nodo = Dir IP
172.16.20.2 :80
172.16.20.3 :80
41
Virtual Server
Direccin IP
+ Servicio (Puerto)
Internet
Virtual Server
216.34.94.17:80
Escucha y maneja el
trfico entrante
:
0.4
6.2
2.1
17
80
80
:80
0.3
6.2
2.1
17
02
:40
0.2
6.2
2.1
17
Normalmente
asociada a un Pool
42
Network
Address
Translation
. 3: 8
0
02
2: 40
. 1: 8
0
:808
20.4
.16.
172
.
6.20
20
.16.
172
.1
172
20
.16.
172
Real Server
Address
43
DNS Server
Resuelve www.f5.com a
la direccin IP del
Virtual Server
216.34.94.17:80
80
80
4:
0.
.2
16
2.
80
17
3:
0.
.2
16
2.
02
17
40
2:
0.
.2
16
2.
17
80
1:
0.
.2
16
2.
17
44
Internet
216.34.94.17:80
LTM traduce la
direccin destino al
nodo, en base al Load
Balancing
Packet # 1
Src 207.17.117.20:4003
Dest 172.16.20.1:80
80
80
4:
0.
.2
16
2.
80
17
3:
0.
.2
16
2.
02
17
40
2:
0.
.2
16
2.
17
80
1:
0.
.2
16
2.
17
45
Internet
216.34.94.17:80
Packet # 1 - return
Dest - 207.17.117.20:4003
Src 216.34.94.17:80
LTM traduce la
direccin origen
nuevamente a la del
Virtual Server
Packet # 1 - return
Dest 207.17.117.20:4003
Src 172.16.20.1:80
80
80
4:
0.
.2
16
2.
80
17
3:
0.
.2
16
2.
02
17
40
2:
0.
.2
16
2.
17
80
1:
0.
.2
16
2.
17
46
Internet
Packet # 2
Src - 207.17.117.21:4003
Dest 216.34.94.17:80
216.34.94.17:80
Packet # 2
Src 207.17.117.21:4003
Dest 172.16.20.2:4002
80
80
4:
0.
.2
16
2.
80
17
3:
0.
.2
16
2.
02
17
40
2:
0.
.2
16
2.
17
80
1:
0.
.2
16
2.
17
47
Internet
Packet # 2 - return
Dest - 207.17.117.21:4003
Src 216.34.94.17:80
216.34.94.17:80
Packet # 2 - return
Dest 207.17.117.21:4003
Src 172.16.20.2:4002
80
80
4:
0.
.2
16
2.
80
17
3:
0.
.2
16
2.
02
17
40
2:
0.
.2
16
2.
17
80
1:
0.
.2
16
2.
17
48
Internet
Packet # 3
Src - 207.17.117.25:4003
Dest 216.34.94.17:80
216.34.94.17:80
Packet # 3
Src 207.17.117.25:4003
Dest 172.16.20.4:8080
80
80
4:
0.
.2
16
2.
80
17
3:
0.
.2
16
2.
02
17
40
2:
0.
.2
16
2.
17
80
1:
0.
.2
16
2.
17
49
Internet
Packet # 3 - return
Dest - 207.17.117.25:4003
Src 216.34.94.17:80
216.34.94.17
Packet # 3 - return
Dest 207.17.117.25:4003
Src 172.16.20.4:8080
80
80
4:
0.
.2
16
2.
80
17
3:
0.
.2
16
2.
02
17
40
2:
0.
.2
16
2.
17
80
1:
0.
.2
16
2.
17
50
Configurando Pools
51
52
NATs y SNATs
Internet
207.10.1.101
207.10.1.103
172.16.20.1
172.16.20.3
Network Address
Translation
53
NATs y SNATs
NAT
Conceptos SNAT
Configuracin de SNAT
54
NAT
Internet
Mapeo 1-a-1
Trfico Bidireccional
Direccin IP Dedicada
Configuracin
207.10.1.101
172.16.20.1
207.10.1.103
172.16.20.3
55
SNATs
Internet
207.10.1.102
3
0.
.2
16
2.
17
2
0.
.2
16
2.
17
1
0.
.2
16
2.
17
56
Internet
VS - 207.10.1.100
Consideraciones de
enrutamiento
Si el Default Route de
los servidores no va al
LTM
207.10.1.33
172.16.1.33
45
1.
.1
16
2.
17
3
0.
.2
16
2.
17
2
0.
.2
16
2.
17
1
0.
.2
16
2.
17
57
Internet
207.10.1.102
172.16.20.3:1111
205.229.151.203:80
3
0.
.2
16
2.
17
2
0.
.2
16
2.
17
1
0.
.2
16
2.
17
58
Internet
207.10.1.102
205.229.151.203:80
172.16.20.3:1111
3
0.
.2
16
2.
17
2
0.
.2
16
2.
17
1
0.
.2
16
2.
17
59
Configuracin
Quin puede cambiar?
A qu se cambia?
Dnde llegan los paquetes?
Internet
207.10.1.102
3
0.
.2
16
2.
17
2
0.
.2
16
2.
17
1
0.
.2
16
2.
17
60
172.16.X.33
3
0.
.2
16
2.
17
2
0.
.2
16
2.
17
1
0.
.2
16
2.
17
61
Accesos de Configuracin
Mtodos
1. Web
https (remoto)
2. CLI
ssh (remoto)
Terminal Serial
62
Procedimiento de Backup
63
Autenticacin de Usuarios
64
Usuarios Administradores
65
Estadsticas
Summary
Virtual Servers
Pools
Nodes
66
Logs
67
Logs
Se localizan en /var/log
daemons
gtm
ltm
Kernel
Booteo
- /var/log/daemon.log
- /var/log/gtm
- /var/log/ltm
- /var/log/messages
- /var/log/boot.log
68
Monitores y Estados
Internet
172.16.20.3:80
69
Monitores
Conceptos generales de Monitores
Configuracin de Monitores
Asignacin de Monitores
Estados de Nodos y Miembros
70
Conceptos
Chequeo de Direccin IP
Nodo
Chequeo de Servicio
IP : puerto
Chequeo de Contenido
IP : puerto + chequeo de datos de retorno
Chequeo Interactivo
Chequeo de Trayecto
71
Chequeo de Direccin IP
Internet
ICMP
0.3
6.2
2.1
17
0.2
6.2
2.1
17
0.1
6.2
2.1
17
Pasos
Se envan paquetes a
una direccin IP
Si no hay respuesta, no
se enva trfico alguno
a los miembros de pool
que utilicen la direccin.
Ejemplo: ICMP
72
Chequeo de Servicio
Pasos
Abre una conexin TCP
(IP : servicio)
Cierra la conexin
TCP
Connection
:80
0.3
6.2
2.1
17
:80
0.2
6.2
2.1
17
:80
0.1
6.2
2.1
17
Internet
73
Chequeo de Contenido
Internet
http GET /
80
80
80
:
0.3
6.2
2.1
17
:
0.2
6.2
2.1
17
:
0.1
6.2
2.1
17
Pasos
Abre una conexin TCP (IP :
servicio)
Enva un REQ
La respuesta viene con datos
tiles
Cierra la conexin
Si los datos recibidos no
concuerdan con una regla, no
se envan datos a los miembros
asociados
Ejemplo: http
74
Chequeo Interactivo
Internet
conversation
:80
0.3
6.2
2.1
17
:80
0.2
6.2
2.1
17
:80
0.1
6.2
2.1
17
Pasos
Abre una conexin TCP (IP :
servicio)
Se genera una conversacin
interactiva para simular una
conexin real
Se cierra la conexin
Si no ocurren los resultados
esperados, no se enva trfico
a los miembros asociados.
Ejemplo: SQL request
75
Chequeo de Trayecto
Pasos
Se envan paquetes a
travs, no al dispositivo
Puede chequear Dir IP,
Servicio o Contenido
Si no se cumple la
condicin, no se enva
trfico a travs del
miembro asociado.
www.f5.com
ISP1
ISP1
ISP2
Link
Cntl
76
Configuracin
Monitores Predefinidos (Templates)
Chequeo de Direccin IP (icmp)
Chequeo de Servicio (tcp)
Chequeo de Contenido (http)
Chequeo Interactivo (ftp)
Disponibilidad:
TODOS los templates pueden ser
personalizados
77
78
Parmetros Adicionales
Regla de Recepcin
Si se encuentra el contenido, el
nodo se marca Up
Transparente
Si el trayecto est disponible, el
nodo se marca Up
Utilizada para monitorear Links
79
Timers
Frecuencia (Interval)
Timeout
Recomendado = 3n + 1
80
Asignacin de Monitores
Por Default a Todos los Nodos
Opciones particulares de Cada Nodo
Default
Especfico
Ninguno
Por Default a Todos los Miembros de un Pool
Opciones Particulares a cada Miembro de Pool
Heredar de Pool
Especfico
Ninguno
81
Para 1 Nodo
82
Para 1 miembro
83
84
Perfiles
Internet
Virtual Server
85
Perfiles
Conceptos de Perfiles
Dependencias
Tipos de Perfil
Configuracin
86
Conceptos
Un perfil es:
Donde se define el comportamiento del trfico:
87
Escenario #1 Persistencia
1
3
1
3
88
Encriptado
Desencrip.
89
El cliente comienza la
conexin de control
El Servidor comienza la
Conexin de
transferencia de datos.
90
Dependencias
Dependencias
siguiendo el
modelo OSI
Algunos no
pueden ser
combinados en el
mismo VS
Cookie
HTTP
FTP
TCP
Network
Data Link
Physical
UDP
91
Tipos de Perfil
Servicios Orientado al tipo de datos
Persistencia Orientado a la sesin
Protocolos Orientado a la conexin
SSL Orientado a la encripcin
Autenticacin Orientado a la seguridad
Otros Orientados al flujo de datos TCP
92
Conceptos de Configuracin
Creados a partir de perfiles por default
Los Perfiles Default pueden ser modificados pero no
borrados
Existen relaciones Padre-Hijo
Almacenados en /config/profile_base.conf
93
94
Configuracin
95
Configuracin (Cont.)
Especificacin de
Propiedades
Mapeo a VS
96
Agenda Da 2
7.
8.
9.
10.
11.
Troubleshooting Big-IP
Persistence
Administration Big-IP
iRules
Labs
97
Persistencia
1
3
1
3
98
Persistencia
Persistencia por Direccin Origen
Persistencia por Cookie
Insert, Rewrite, Passive & Hash
99
205.229.152.11
Si Netmask es
255.255.255.0
1
3
1
3
100
Mapeo a VS
101
Configuracin
1. Conf. Perfil
2. Apuntar a VS
102
103
Modo Insert
TCP handshake
HTTP request (sin cookie)
1er Hit
pick
server
TCP handshake
HTTP request (sin cookie)
HTTP reply (sin cookie)
Client
TCP handshake
Server
2do Hit
cookie
specifies
server
TCP handshake
HTTP request (sin cookie)
HTTP reply (sin cookie)
104
Modo Rewrite
TCP handshake
HTTP request (sin cookie)
1er Hit
pick
server
TCP handshake
HTTP request (sin cookie)
HTTP reply (con cookie)
Client
TCP handshake
Server
2do Hit
cookie
specifies
server
TCP handshake
HTTP request (con misma cookie)
HTTP reply (con cookie)
105
Modo Passive
TCP handshake
HTTP request (sin cookie)
1er Hit
pick
server
TCP handshake
HTTP request (sin cookie)
HTTP reply (con cookie en especial)
Client
TCP handshake
Server
2do Hit
cookie
specifies
server
TCP handshake
HTTP request (con misma cookie)
HTTP reply (con cookie en especial)
107
108
Mantenimiento BigIP
Instalacin de HotFix V9.X
1. Copiar por SCP (Ej winscp) el HotFix al BIGIP
2. Loguearse por SSH con el usuario root
3. Ejecutar el comando im para instalar el HotFix
La instalacin de HotFix implica el bajada de servicios y
reboot del equipo.
109
Mantenimiento BigIP
Instalacin TMOS
Versiones instaladas
110
Mantenimiento BigIP
Instalacin HOTFIX
111
Mantenimiento BigIP
Instalacin HOTFIX
112
Mantenimiento BigIP
Instalacin de HotFix en V10
1. Los Hotfixes son acumulativos
(HFA3 incluye el HFA1 y HFA2).
2. Cada Hotfix corresponde a un nmero de versin
(V9.4.X V10.1.X V10.2.X).
3. Debemos tener dos o ms volmenes instalados para
aplicar los Hotfixes.
4. Instalar los Hotfixes en los volumenes no productivos.
5. Probar su correcto funcionamiento durante un tiempo
prudencial.
6. El Hotfix lo comenzamos a utilizar cuando elegimos bootear
con la imagen actualizada.
113
Mantenimiento BigIP
Seleccin de versin a bootear