F5 LTM Administering BIG-IP v11

June 21, 2016 | Author: Anonymous bTeAFag | Category: Types, Instruction manuals
Share Embed Donate


Short Description

F5 LTM Official Training slides...

Description

1

F5 BigIP LTM Administering BigIP v11

2

Introducción a F5 Application Delivery Networking – Asegurando que las aplicaciones sean SEGURAS, RAPIDAS, DISPONIBLES Productos F5: – BIG-IP Local Traffic Manager – BIG-IP Link Controller – BIG-IP Global Traffic Manager – BIG-IP Access Policy Manager – BIG-IP Application Security Manager – Enterprise Manager – WanJet / Web Accelerator

3

BIG-IP Local Traffic Manager



Balanceo de Carga a Servidores Internet



Monitoreo del estado de los servidores

4

BIG-IP Global Traffic Manager (GTM) •

Balanceo de Carga de DNS •



Por ej: www.f5.com = es 1 de

Monitoreo de estado de los servidores

www.f5.com = ? www.f5.com = ? 207.46.134.222 143.166.83.200

GTM

Internet

207.46.134.222 65.197.145.183

143.166.83.200

5

BIG-IP Link Controller

Internet

3 tipos de Balanceo •

Links de Salida



Links de Entrada



Balanceo de los servidores

ISP #1

ISP #2

6

BIG-IP Enterprise Manager • Manejo de versionado y backup centralizado • Visión centralizadad de certificados SSL • Control e Inventario de los dispositivos • Soporte hasta 300 dispositivos

GTM

LTM

7

BIG-IP Access Policy Manager SSL VPN

File Servers Autorización Web Servers Big-IP APM

E-mail Servers telnet a Hosts

Autenticación

Terminales / Citrix Desktop

Acceso remoto a través de navegador o VPN SSL Autorización por Grupo

8

BIG-IP Application Security Manager 207.17.117.25

Firewall de Capa 7 • Bloquea ataques web conocidos o desconocidos. • Reverse Proxy • Chequeo del contenido de salida

Internet 216.34.94.17:80

9

WanJet Oficina Remota

• • •

Oficina

Optimización WAN  Resultados tipoLAN Aceleración de Aplicaciones Encripción site-to-site Configurable utilizando SSL

10

Web Accelerator Cliente

• Acelera Aplicaciones Web • Tiempos de respuesta a usuario mayores • Extiende la capacidad de los servidores • Reduce la carga del sistema • Reduce la necesidad de BW • Transparente a usuarios y aplicaciones

Web Server

11

Agenda – Día 1 1. 2. 3. 4.

Introduction Local Traffic NAT & SNAT TMSH y Administración de BigIP 5. Monitores y Estados 6. Profiles

12

Agenda – Día 2 7. 8. 9. 10. 11.

Troubleshooting Big-IP Persistence Administration Big-IP iRules Labs

13

Introducción - Topología Clients

Internet

BIG-IP LTMs Servers

14

Introducción Plataformas BIG-IP Instalación (Setup Utility) Utilidades de Configuración y Acceso de Usuario

15

Plataformas BIG-IP

VIPRION 4400 and 2400

11000

8900

6900

3900 , 3600 and 1600

Virtual Edition

Hardware and virtualized designed solutions for app. sec. •High-end Enterprise Datacenter WAF – VIPRION and 11000 series •Industry’s best performance for low end with 1600 •Low throughput Web Application Firewall for budget conscious buyer •App. sec. on hypervisor infrastructure* with BIG-IP ASM VE •Cost-effective scale and attack mitigation

16

Plataformas BIG-IP Diferencias • 8900 (2U) – Dual CPU, quad core (8 processors), 16G Ram – 12 puertos 10/100/1G & 8Gbit

• 6900 (2U) – Dual CPU, dual core (4 processors) 8G Ram – 16 puertos 10/100/1G & 8Gbit

• 3900 (1U) – Quad core CPU, 8G Ram, ASIC2 – 8 puertos 10/100/1G & 4Gbit

6900

• 1600 (1U) – Dual core CPU, 4G Ram – 4 puertos 10/100/1G & 2Gbit

• Panel LCD de control 3900 • Más información-> http://www.f5.com

17

Plataformas BIG-IP VIPRION • C4400 4-Slot Chassis (7U)

18

Plataformas BIG-IP Blade • B4200 Blade (1U)

19

Plataformas BIG-IP

BIG-IP 1600 100k L7 RPS 60K L4 CPS 1G L7/L4 TPUT

BIG-IP 3600 135k L7 RPS 115K L4 CPS 2G L7/L4 TPUT

BIG-IP 3900 400k L7 RPS 175K L4 CPS 4G L7/L4 TPUT

BIG-IP 6900, 600k L7 RPS 220K L4 CPS 6G L7/L4 TPUT

BIG-IP 8900/ 8950 1.9M L7 RPS 800K L4 CPS Up to 20G TPUT

BIG-IP 11000/11050, 2.5M L7 RPS 1M L4 CPS Up to 42G TPUT

20

Plataformas BIG-IP

21

Plataformas BIG-IP

22

Paso a paso – Conectividad inicial

1. Rackeo y conexiones 2. Panel LCD 3. Acceso Web y SSH 4. Usaurios

23

Paso 1 - BIG-IP Chassis Front (3600) • Intalar Kit de Rackeo • Conectar cable de Power • Conectar cable de red en la interfaz identificada como MGMT MGMT

USB

Console

Failover

Fan Ports

Ethernet

Gigabit SFP

Controls

LCD Panel

24

Paso 2 – Panel LCD El panel tiene un menu con los siguientes items • Information menu • System menu • Screens menu • Options menu Controls

LCD Panel

25

Paso 2 – Panel LCD – cont. 1. Nos desplazamos con las teclas flecha hacia arriba y flecha hacia abajo hasta seleccionar “System Menu” (para seleccionar pulsamos la tecla verde central) 2. Dentro de ese menu no movemos hasta seleccionar “IP Address”. Configuramos ahí la IP de MGMT. 3. Repetimos la operatoria del paso para la parte de “Netmask” y “ Default route” 4. IMPORTANTE: Una vez terminado seleccionar la opción Commit y confirmar con la tecla central verde.

26

Paso 3 - Accesos Dos tipos de accesos • Web Interface • HTTPS (remote)

• Command Line • SSH (remote) – Management Port – Self-IPs – SCCP / AOM • Serial Terminal

27

Paso 3 – Accesos – Cont. •

Desde un navegador ingresar a la IP configurada en el paso Panel LCD ejemplo: https://172.27.166.174

28

Paso 3 – Accesos – Cont. •

Con un software tipo terminal (putty o crt) ingresar a la IP configurada en el paso Panel LCD ejemplo: 192.168.21.215 al puerto 22

29

Paso 4 - usuarios •

Para el acceso via Web el usuario de default es admin



Para el acceso vis SHH el usuario de default es root

30

Configuración Inicial de BIG-IP 1. Config utility – Dirección IP Address para la interfaz de management 2. Licenciamiento 3. Setup utility – Clave Root – Direcciones IP para las VLANs – Asignación de Interfaces a las VLANs – Clave Web Admin – Acceso SSH

31

config Utility Dirección IP inicial: 192.168.1.245

F5 en Hexadecimal

32

Licenciamiento – Automático PC

F5 License Server activate.F5.com

BIG-IP

• Ingresar Registration Key • Seleccionar los parametros • Tomar la licencia de F5 Ejecutar Setup utility Reiniciar

Internet

33

Licenciamiento – Manual • Copiar Dossier a una PC conectada a internet • https://activate.F5.com • Pegar Dossier a F5 • Descargar la licencia a la PC • Upload & instalación del archivo Licencia Setup utility Reiniciar

PC

PC

BIG-IP F5 License Server activate.F5.com

Internet

34

Setup Utility https://Management IP Address

35

Setup Utility – Direccionamiento

36

Web Configuration utility

37

Local Traffic Manager Internet

1

2 5

3 6

4 7

8

38

Load Balancing Virtual Servers, Miembros y Nodos Configurando Virtual Servers y Pools Métodos de Load Balancing Configurando Load Balancing

39

Pools, Miembros y Nodos

172.16.20.1 :80

Nodo = Dir IP

172.16.20.2 :80

172.16.20.3 :80

Miembro = Nodo + Puerto

Pool = Grupo de miembros

41

Virtual Server • Dirección IP + Servicio (Puerto)

Internet

Virtual Server

216.34.94.17:80

• “Escucha” y maneja el tráfico entrante : 0.4 6.2 2.1 17 80 80

:80 0.3 6.2 2.1 17 02 :40 0.2 6.2 2.1 17

• Normalmente asociada a un Pool

42

Virtual Server – Traducción de Direcciones IP Internet 216.34.94.17:80

Network Address Translation

. 3: 8 0

0

02 2: 40

. 1: 8

0 :808 20.4 .16. 172

. 6.20

20 .16. 172

.1 172

20 .16. 172

BIG-IP LTM realiza la traducción de direcciones de red a la dirección real de los servidores, de tal modo que todas las maquinas se vean como un solo Virtual Server.

Virtual Server Address

Real Server Address

43

Flujo de Red – Paquete #1 www.f5.com Internet 216.34.94.17:80

DNS Server Resuelve www.f5.com a la dirección IP del Virtual Server 216.34.94.17:80

80 80 4: 0. .2 16 2. 80 17 3: 0. .2 16 2. 02 17 40 2: 0. .2 16 2. 17 80 1: 0. .2 16 2. 17

44

Flujo de Red – Paquete #1 207.17.117.20 Packet # 1 Src - 207.17.117.20:4003 Dest – 216.34.94.17:80

Internet 216.34.94.17:80

LTM traduce la dirección destino al nodo, en base al Load Balancing Packet # 1 Src – 207.17.117.20:4003 Dest – 172.16.20.1:80

80 80 4: 0. .2 16 2. 80 17 3: 0. .2 16 2. 02 17 40 2: 0. .2 16 2. 17 80 1: 0. .2 16 2. 17

45

Flujo de Red – Paquete #1 Retorno 207.17.117.20

Internet 216.34.94.17:80

Packet # 1 - return Dest - 207.17.117.20:4003 Src – 216.34.94.17:80

LTM traduce la dirección origen nuevamente a la del Virtual Server Packet # 1 - return Dest – 207.17.117.20:4003 Src – 172.16.20.1:80

80 80 4: 0. .2 16 2. 80 17 3: 0. .2 16 2. 02 17 40 2: 0. .2 16 2. 17 80 1: 0. .2 16 2. 17

46

Flujo de Red – Paquete #2 207.17.117.21

Internet

Packet # 2 Src - 207.17.117.21:4003 Dest – 216.34.94.17:80

216.34.94.17:80

Packet # 2 Src – 207.17.117.21:4003 Dest – 172.16.20.2:4002

80 80 4: 0. .2 16 2. 80 17 3: 0. .2 16 2. 02 17 40 2: 0. .2 16 2. 17 80 1: 0. .2 16 2. 17

47

Flujo de Red – Paquete #2 Retorno 207.17.117.21

Internet

Packet # 2 - return Dest - 207.17.117.21:4003 Src – 216.34.94.17:80

216.34.94.17:80

Packet # 2 - return Dest – 207.17.117.21:4003 Src – 172.16.20.2:4002

80 80 4: 0. .2 16 2. 80 17 3: 0. .2 16 2. 02 17 40 2: 0. .2 16 2. 17 80 1: 0. .2 16 2. 17

48

Flujo de Red – Paquete #3 207.17.117.25

Internet

Packet # 3 Src - 207.17.117.25:4003 Dest – 216.34.94.17:80

216.34.94.17:80

Packet # 3 Src – 207.17.117.25:4003 Dest – 172.16.20.4:8080

80 80 4: 0. .2 16 2. 80 17 3: 0. .2 16 2. 02 17 40 2: 0. .2 16 2. 17 80 1: 0. .2 16 2. 17

49

Flujo de Red – Paquete #3 Retorno 207.17.117.25

Internet

Packet # 3 - return Dest - 207.17.117.25:4003 Src – 216.34.94.17:80

216.34.94.17

Packet # 3 - return Dest – 207.17.117.25:4003 Src – 172.16.20.4:8080

80 80 4: 0. .2 16 2. 80 17 3: 0. .2 16 2. 02 17 40 2: 0. .2 16 2. 17 80 1: 0. .2 16 2. 17

50

Configurando Pools

51

Configurando Virtual Servers

52

NATs y SNATs Internet 207.10.1.101

207.10.1.103

172.16.20.1

172.16.20.3

Network Address Translation

53

NATs y SNATs NAT Conceptos SNAT Configuración de SNAT

54

NAT Internet Mapeo 1-a-1 Tráfico Bidireccional Dirección IP Dedicada Configuración

207.10.1.101

172.16.20.1

207.10.1.103

172.16.20.3

55

SNATs

Mapeo varios a uno El tráfico iniciado a una dirección de SNAT es rechazado

Internet 207.10.1.102

3 0. .2 16 2. 17 2 0. .2 16 2. 17 1 0. .2 16 2. 17

56

Razones para SNAT Varias direcciones no enrutables a una enrutable

Internet VS - 207.10.1.100

• Consideraciones de enrutamiento • Si el Default Route de los servidores no va al LTM

207.10.1.33

172.16.1.33

45 1. .1 16 2. 17 3 0. .2 16 2. 17 2 0. .2 16 2. 17 1 0. .2 16 2. 17

57

SNATs – Flujo de tráfico típico 207.10.1.102:2222  205.229.151.203:80

Internet

207.10.1.102

172.16.20.3:1111  205.229.151.203:80 3 0. .2 16 2. 17 2 0. .2 16 2. 17 1 0. .2 16 2. 17

58

SNATs – Flujo de Respuesta 205.229.151.203:80  207.10.1.102:2222

Internet 207.10.1.102

205.229.151.203:80  172.16.20.3:1111 3 0. .2 16 2. 17 2 0. .2 16 2. 17 1 0. .2 16 2. 17

59

Configuración Quién puede cambiar? A qué se cambia? Dónde llegan los paquetes?

Internet 207.10.1.102

3 0. .2 16 2. 17 2 0. .2 16 2. 17 1 0. .2 16 2. 17

60

SNAT para Virtual Servers Tráfico al VS Internet 10.10.X.100:443

172.16.X.33

3 0. .2 16 2. 17 2 0. .2 16 2. 17 1 0. .2 16 2. 17

SNAT Pool – Automap Self IP Flotante

61

Accesos de Configuración Métodos 1. Web • https (remoto) 2. CLI • ssh (remoto) • Terminal Serial

62

Procedimiento de Backup • •

Guarda toda la configuración en un archivo Si el archivo se copia a otro sistema, se debe re-licenciar

63

Autenticación de Usuarios

64

Usuarios Administradores

65

Estadísticas Summary Virtual Servers Pools Nodes

66

Logs

67

Logs Se localizan en /var/log daemons gtm ltm Kernel Booteo

- /var/log/daemon.log - /var/log/gtm - /var/log/ltm - /var/log/messages - /var/log/boot.log

Logrotate para rotación de logs Se almacenan en /var/log/[archivo].1.gz -- /var/log/[archivo].5.gz

68

Monitores y Estados Internet

172.16.20.3:80

69

Monitores Conceptos generales de Monitores Configuración de Monitores Asignación de Monitores Estados de Nodos y Miembros

70

Conceptos Chequeo de Dirección IP – Nodo Chequeo de Servicio – IP : puerto Chequeo de Contenido – IP : puerto + chequeo de datos de retorno Chequeo Interactivo Chequeo de Trayecto

71

Chequeo de Dirección IP Internet

ICMP

0.3 6.2 2.1 17

0.2 6.2 2.1 17

0.1 6.2 2.1 17

Pasos – Se envían paquetes a una dirección IP – Si no hay respuesta, no se envía tráfico alguno a los miembros de pool que utilicen la dirección. – Ejemplo: ICMP

72

Chequeo de Servicio Pasos – Abre una conexión TCP (IP : servicio) – Cierra la conexión

TCP Connection

:80 0.3 6.2 2.1 17 :80 0.2 6.2 2.1 17 :80 0.1 6.2 2.1 17

– Si la conexión TCP falla, no se enviará tráfico a los miembros asociados. – Ejemplo: TCP

Internet

73

Chequeo de Contenido

Internet

http GET /

80

80

80

: 0.3 6.2 2.1 17

: 0.2 6.2 2.1 17

: 0.1 6.2 2.1 17

Pasos – Abre una conexión TCP (IP : servicio) – Envía un REQ – La respuesta viene con datos útiles – Cierra la conexión – Si los datos recibidos no concuerdan con una regla, no se envían datos a los miembros asociados – Ejemplo: http

74

Chequeo Interactivo Internet

conversation

:80 0.3 6.2 2.1 17 :80 0.2 6.2 2.1 17 :80 0.1 6.2 2.1 17

Pasos – Abre una conexión TCP (IP : servicio) – Se genera una conversación interactiva para simular una conexión real – Se cierra la conexión – Si no ocurren los resultados esperados, no se envía tráfico a los miembros asociados. – Ejemplo: SQL request

75

Chequeo de Trayecto Pasos – Se envían paquetes a través, no al dispositivo – Puede chequear Dir IP, Servicio o Contenido – Si no se cumple la condición, no se envía tráfico a través del miembro asociado.

www.f5.com ISP1

ISP1

ISP2

Link Cntl

76

Configuración Monitores Predefinidos (Templates) – Chequeo de Dirección IP (icmp) – Chequeo de Servicio (tcp) – Chequeo de Contenido (http) – Chequeo Interactivo (ftp) – Disponibilidad: – TODOS los templates pueden ser personalizados

77

Creando Nuevos Monitores

78

Parámetros Adicionales • Regla de Recepción – Si se encuentra el contenido, el nodo se marca Up



Regla de recepción inversa – Si se encuentra el contenido, el nodo se marca Down



Transparente – Si el trayecto está disponible, el nodo se marca Up – Utilizada para monitorear Links

79

Timers Frecuencia (Interval) Timeout



Recomendado = 3n + 1

80

Asignación de Monitores Por Default a Todos los Nodos Opciones particulares de Cada Nodo – Default – Específico – Ninguno Por Default a Todos los Miembros de un Pool Opciones Particulares a cada Miembro de Pool – Heredar de Pool – Específico – Ninguno

81

Asignación de Monitores a Nodos

Para 1 Nodo

82

Asign. De Monitores a Pools

Para 1 miembro

83

Estado de Miembro o Nodo Status • Available – Circ. Verde • Offline – Diamante Rojo • Unknown – Cuad. Azul

84

Perfiles Internet Virtual Server

Los perfiles determinan la manera de procesar el tráfico de los servidores virtuales

85

Perfiles Conceptos de Perfiles Dependencias Tipos de Perfil Configuración

86

Conceptos Un perfil es: Donde se define el comportamiento del tráfico: –

SSL, compression, persistence…



La aplicación de este comportamiento a VS’s Definido a partir de un template Dependiente de otros perfiles

87

Escenario #1 – Persistencia

1 3

2

1 3

2

88

Escenario #2 – Terminación SSL

Encriptado

Desencrip.

89

Escenario #3 – FTP Server

El cliente comienza la conexión de control

El Servidor comienza la Conexión de transferencia de datos.

90

Dependencias Dependencias siguiendo el modelo OSI Algunos no pueden ser combinados en el mismo VS

Cookie HTTP

FTP

TCP Network Data Link Physical

UDP

91

Tipos de Perfil Servicios – Orientado al tipo de datos Persistencia – Orientado a la sesión Protocolos – Orientado a la conexión SSL – Orientado a la encripción Autenticación – Orientado a la seguridad Otros – Orientados al flujo de datos TCP

92

Conceptos de Configuración Creados a partir de perfiles por default Los Perfiles Default pueden ser modificados pero no borrados Existen relaciones Padre-Hijo Almacenados en /config/profile_base.conf

93

Virtual Server Default Profiles Cada Virtual Servers posee al menos 1 perfil – TCP: para VS’s procesando datos TCP –

UDP: para VS’s procesando datos UDP



FastL4: para VS’s que poseen aceleración por hardware (PVA)



Fasthttp: para VS’s procesando tráfico HTTP y acelerandolo

94

Configuración

95

Configuración (Cont.) Especificación de Propiedades

Mapeo a VS

96

Agenda – Día 2 7. 8. 9. 10. 11.

Troubleshooting Big-IP Persistence Administration Big-IP iRules Labs

97

Persistencia

1 3

2

1 3

2

98

Persistencia Persistencia por Dirección Origen Persistencia por Cookie – Insert, Rewrite, Passive & Hash

99

Persistencia por Dirección de Origen Basada en la dirección IP del Cliente Netmask -> Rango de Direcciones 205.229.151.10 205.229.151.107

205.229.152.11

Si Netmask es 255.255.255.0

1 3

2

1 3

2

100

Persistencia por Dirección de Origen Propiedades

Mapeo a VS

101

Configuración 1. Conf. Perfil 2. Apuntar a VS

102

Persistencia por Cookie Modo Insert – BIG-IP LTM Inserta la cookie en el flujo Modo Rewrite – El servidor Web crea la cookie – BIG-IP LTM la cambia Modo Passive – El servidor Web crea la cookie – BIG-IP LTM la lee

103

Modo Insert TCP handshake HTTP request (sin cookie)

1er Hit

pick server

TCP handshake HTTP request (sin cookie) HTTP reply (sin cookie)

HTTP reply (con nueva cookie)

Client

TCP handshake

Server

HTTP request (con misma cookie)

2do Hit

cookie specifies server

TCP handshake HTTP request (sin cookie) HTTP reply (sin cookie)

HTTP reply (cookie actualizada)

104

Modo Rewrite TCP handshake HTTP request (sin cookie)

1er Hit

pick server

TCP handshake HTTP request (sin cookie) HTTP reply (con cookie)

HTTP reply (con cookie re-escrita)

Client

TCP handshake

Server

HTTP request (con misma cookie)

2do Hit

cookie specifies server

TCP handshake HTTP request (con misma cookie) HTTP reply (con cookie)

HTTP reply (con cookie actualizada)

105

Modo Passive TCP handshake HTTP request (sin cookie)

1er Hit

pick server

TCP handshake HTTP request (sin cookie) HTTP reply (con cookie en especial)

HTTP reply (con cookie en especial)

Client

TCP handshake

Server

HTTP request (con misma cookie)

2do Hit

cookie specifies server

TCP handshake HTTP request (con misma cookie) HTTP reply (con cookie en especial)

HTTP reply (con cookie en especial)

107

Config. Cookie Persistence • Requiere de “http profile” Luego se setea el perfil de cookie_persist

108

Mantenimiento BigIP Instalación de HotFix V9.X 1. Copiar por SCP (Ej winscp) el HotFix al BIGIP 2. Loguearse por SSH con el usuario root 3. Ejecutar el comando im para instalar el HotFix La instalación de HotFix implica el bajada de servicios y reboot del equipo.

4. Una vez que termina, ejecutar el comando full_box_reboot im # im Hotfix-BIGIP-9.4.8-385.0-HF2.im # /usr/bin/full_box_reboot

109

Mantenimiento BigIP Instalación TMOS

Versiones instaladas

ISOs disponibles para instalar

Son subidas a /shared/images

110

Mantenimiento BigIP Instalación HOTFIX

HOTFIX para instalar

Son subidos a /shared/images

111

Mantenimiento BigIP Instalación HOTFIX

Podemos instalar en todos menos en el que estamos actualmente logueados

112

Mantenimiento BigIP Instalación de HotFix en V10 1. Los Hotfixes son acumulativos (HFA3 incluye el HFA1 y HFA2). 2. Cada Hotfix corresponde a un número de versión (V9.4.X V10.1.X V10.2.X). 3. Debemos tener dos o más volúmenes instalados para aplicar los Hotfixes. 4. Instalar los Hotfixes en los volumenes no productivos. 5. Probar su correcto funcionamiento durante un tiempo prudencial. 6. El Hotfix lo comenzamos a utilizar cuando elegimos bootear con la imagen actualizada.

113

Mantenimiento BigIP Selección de versión a bootear

Con SSH  switchboot

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF