Académique Documents
Professionnel Documents
Culture Documents
BIGIP LTM
Version 13.1
F5 Networks
Table des Matières
1. Description de la solution BIGIP LTM .................................................................................................... 4
1.1. Les Plateformes BIG-IP .................................................................................................................. 4
1.2. Cas d’usages du BIG-IP LTM .......................................................................................................... 5
1.3. Le Système d’Exploitation TMOS .................................................................................................. 6
1.4. Architecture Modulaire................................................................................................................. 7
2. Descriptif Technique ............................................................................................................................. 9
2.1. Réseau ........................................................................................................................................... 9
2.1.1. Commutation ........................................................................................................................ 9
2.1.2. Redondance .......................................................................................................................... 9
2.1.3. Routage ............................................................................................................................... 10
2.1.4. Sécurité ............................................................................................................................... 10
2.2. Haute disponibilité et synchronisation des configurations ........................................................ 13
2.2.1. Description du Device Service Clustering (DSC) .................................................................. 13
2.2.2. Les composants du DSC ...................................................................................................... 16
2.2.3. Les SYNC-FAILOVER DEVICE GROUPS.................................................................................. 18
2.2.4. Les SYNC-ONLY DEVICE GROUPS......................................................................................... 20
2.2.5. Détection de Failover .......................................................................................................... 21
2.2.6. Serial et Network Failover................................................................................................... 22
2.2.7. Exemples d’architectures de haute disponibilité ................................................................ 23
2.3. Proxy Applicatifs.......................................................................................................................... 28
2.4. Partage de charge ....................................................................................................................... 29
2.4.1. Description des méthodes de partage de charge ............................................................... 29
2.5. Modèles d’architecture............................................................................................................... 30
2.5.1. Architecture en mode Bridge (niveau 2) ............................................................................. 30
2.5.2. Architecture routage ou niveau 3 ....................................................................................... 30
2.5.3. Architecture dite en manchot (ou One Leg) ....................................................................... 31
2.5.4. Mutualisation du BIG-IP LTM sur plusieurs sous-réseaux................................................... 32
2.5.5. Retour direct des serveurs .................................................................................................. 32
2.6. Tests de vie.................................................................................................................................. 33
2.7. Mécanismes de persistance ........................................................................................................ 34
2.8. Translations d’adresses IP ........................................................................................................... 35
1 Solution BIGIP LOCAL TRAFFIC MANAGER V13.1 | F5 NETWORKS
2.9. Fonctions d’optimisations ........................................................................................................... 36
2.9.1. Terminaison SSL .................................................................................................................. 36
2.9.2. Optimisation TCP ................................................................................................................ 39
2.9.3. Compression HTTP .............................................................................................................. 41
2.9.4. Caching ................................................................................................................................ 44
2.9.5. Passerelle HTTP/2 ............................................................................................................... 46
2.9.6. Rate Shaping ....................................................................................................................... 47
2.9.7. Contrôle de bande passante ............................................................................................... 47
2.9.8. TCP Request Queueing ........................................................................................................ 48
2.9.9. Multiplexage de connexions ............................................................................................... 49
2.9.10. Prioritisation des Flux.......................................................................................................... 49
2.10. Gestion des tunnels................................................................................................................. 51
2.10.1. Tunnels IP ............................................................................................................................ 51
2.10.2. IPSEC.................................................................................................................................... 51
2.10.3. Ether IP ................................................................................................................................ 52
2.11. Les policies .............................................................................................................................. 52
2.12. Les iRules ................................................................................................................................. 53
2.13. Virtualisation des Solutions BIG-IP LTM .................................................................................. 55
2.13.1. Partition d’administration ................................................................................................... 55
2.13.2. Segmentation réseau, Route-domain ................................................................................. 55
2.13.3. Virtualisation (vCMP) .......................................................................................................... 56
3. Exploitation de la solution LTM .......................................................................................................... 61
3.1. Statistiques et Reporting granulaires : module AVR ................................................................... 61
3.2. Facilité de Configuration et de Gestion des Applications : iApp ................................................. 64
3.2.1. Templates............................................................................................................................ 66
3.2.2. Application Services ............................................................................................................ 67
3.3. Log des Requêtes et Réponses à haut débit (High Speed Logging) ............................................ 68
3.4. Administration et supervision ..................................................................................................... 71
3.4.1. Interface de commande en ligne ........................................................................................ 71
3.4.2. Interface graphique sécurisée :........................................................................................... 71
3.4.3. Supervision SNMP ............................................................................................................... 73
3.4.4. iControlREST........................................................................................................................ 73
2 Solution BIGIP LOCAL TRAFFIC MANAGER V13.1 | F5 NETWORKS
3.4.5. Outils de diagnostique ........................................................................................................ 73
3.4.6. Gestion des fichiers configurations..................................................................................... 74
3.4.7. Résolution d’incidents......................................................................................................... 74
3.4.8. Historisation des événements ............................................................................................ 75
3.4.9. Historisation des configurations ......................................................................................... 76
4. Points forts de la solution F5 .............................................................................................................. 77
5. Mise à jour du document et releases ................................................................................................. 79
5.1. Version 11.0 ................................................................................................................................ 79
5.2. Version 11.1 ................................................................................................................................ 79
5.3. Version 11.2 ................................................................................................................................ 79
5.4. Version 11.5 ................................................................................................................................ 80
5.5. Version 12.0 ................................................................................................................................ 80
5.6. Version 13.1 ................................................................................................................................ 80
Les équipements BIG-IP permettent de bâtir l’infrastructure critique de l’entreprise sur un matériel
fiable, avec des composants échangeables à chaud, des alimentations et des ventilateurs redondants, le
multi-boot et une administration toujours disponible.
La gamme des plateformes BIG-IP est homogène et couvre des besoins variés en termes de performance
et d’évolutivité. Il existe des BIG-IP sous différents formats :
▪ Appliances BIG-IP
▪ Chassis VIPRION
▪ Edition Virtuelle (Virtual Edition – VE)
i2000 series i4000 series i5000 Series i7000 Series i10000 Series i11000 Series
Dans le mode proxy, l’ensemble de la connexion client est gérée différemment de la connexion serveur,
ce qui permet à la fois de prendre des décisions de répartition de charge en fonction de critères fournis
par le client et/ou le serveur, pour chaque connexion, pour chaque requête ou réponse, etc.
Ce mode nécessite la gestion du niveau 4 à 7 des échanges entre les clients et les serveurs.
TMOS est :
VMWare
Plugin Ecosystem
Container
BIG-IQ Centralized Management™ orchestrator
Azure
BIG-IP® BIG-IP® BIG-IP® WebSafe et BIG-IP® BIG-IP® BIG-IP®
Link Local DNS MobileSafe Application Advanced Access Policy
Controller Traffic Security Firewall Manager OpenStack
Manager Manager Manager (APM)
(LTM) (ASM) (AFM)
AWS
ADC
Fabric
Security
Cloud
Orchestration
▪ Haute disponibilité et répartition de charge : LTM ou Local Traffic Manager. Ce module est un
répartiteur de charge L4/L7 (répartition de charge, test de vie,…) qui offre en complément des
fonctions de reverse-proxy : réécriture d’URL et de contenu, cache & compression HTTP, gestion
du SSL, NAT et SNAT.
▪ Haute Disponibilité / Equilibrage de charge des accès aux applications situées sur plusieurs sites
géographiques, PRA/PCA : DNS : ce module permet de rediriger, automatiquement et de façon
transparente, les utilisateurs vers le data center le plus disponible et le plus rapide pour un
service particulier.
▪ Haute Disponibilité / Equilibrage de charge de plusieurs liaisons ISP : Link Controller : dans le
cadre d’infrastructure de type multi-home, le Link Controller permet d’aiguiller,
automatiquement et de façon transparente, le trafic à travers le lien le plus disponible et rapide
pour joindre une destination spécifique.
▪ Filtrage réseau et protection DDoS : AFM ou Advanced Firewall Manager. Ce module est pare-
feu réseau qui permet d’offrir une sécurité réseau périmétrique en tête de datacenter (DCFW :
Data Center Firewall) et de protéger le datacenter des attaques DDoS grâce à 60 vecteurs de
détection accélérés matériellement.
▪ sécurité et authentification centralisé des accès distants aux applications : APM ou Access Policy
Manager : ce module permet de mettre en œuvre des accès aux application et ressources
internes via des tunnels SSL VPN. Il permet aussi de configurer des politiques d’authentification
(Radius, LDAP, Active Directory, Tacacs+, délégation Kerberos, SSO) centralisée. Enfin, APM peut
valider dans quel contexte se connecte un utilisateur (type et version d’OS, antivirus, firewall
personnel, etc).
2.1.1. Commutation
Les plateformes F5 supportent des fonctions de niveau 2, celles-ci sont assurées par une architecture
non bloquante, en Hardware :
▪ Nombre maximal d’adresses MAC : 4 096. Cette valeur est valable pour tous les modèles de
boitiers F5. Elle est stockée dans la table ARL (Address Resolution List) des ASIC de la matrice de
commutation, donc est assurée en Hardware.
▪ Le support des protocoles 802.1d (spanning tree), 802.1w (rapid spanning tree protocol), 802.1p
(priorisation), 802.1q (VLANs) et 802.3ad (LACP) est assuré en Hardware. La solution de
« trunk » F5 est compatible avec le PaGP des switchs Cisco.
▪ Il est possible de définir plusieurs VLANs par ports dans la limite maximale de 4095 VLANs. Le
traitement de cette fonction est assuré en Hardware.
▪ Le boitier BIG-IP LTM peut présenter des adresses MAC identiques pour tous les VLANs déclarés,
ou bien des MAC différentes par VLAN, suivant la compatibilité des équipements de switching
connectés. Il est aussi possible, pour chaque VLAN, de configurer du « MAC Masquerading »
permettant de présenter une adresse MAC créé de toute pièce par l’administrateur, à la fois
pour les adresses IP virtuelles portées par le F5, mais également les adresses IP des serveurs
virtuels hébergés par le F5.
2.1.2. Redondance
La redondance réseau est assurée par un mécanisme propriétaire de type VRRP/HSRP vis-à-vis des
équipements réseau tiers :
▪ En mode actif/passif, seul l’équipement actif communique les adresses MAC correspondant aux
VS hébergés, ainsi que les adresses MAC des adresses IP flottantes (principe similaire au VRRP,
HSRP). Lorsqu’il y a une bascule, le boitier de backup reprend les adresses IP correspondantes et
émet des « gratuitous ARP » vers l’ensemble des VLANS ou sont connectées ces adresses IP. Si
du « MAC masquerading » est configuré, l’adresse MAC qui est émise dans les « gratuitous
ARP », est la même que sur le boitier qui était actif.
▪ En mode actif/actif, les VS sont répartis en groupe logique (Traffic Group). Chaque boîtier est
actif pour un ou plusieurs Traffic Group et publie ainsi les adresses MAC associées aux VS des
Traffic Group. Le mode de fonctionnement est détaillée au paragraphe 2.2.
▪ Dans les 2 cas, les boitiers disposent d’une adresse IP dite « flottante » permettant aux solutions
connectées sur les différents VLANs (serveurs, routeurs, firewalls, …) de communiquer au
travers des répartiteurs de charge, indépendamment du boitier physique actif à l’instant t. C’est
un mécanisme similaire aux protocoles HSRP/VRRP.
▪ Le nombre maximal d’adresses IP configurables est de 65 000 et il n’y a pas de limitations quant
au nombre maximal d’adresses IP par interface. Il est possible de faire de l’IP aliasing (ajout de
2.1.3. Routage
Il est possible de router spécifiquement les flux, vers des serveurs ou des passerelles spécifiques, en
fonction de la source (VLAN source, adresse IP source, adresse MAC source). Cela permet par
exemple de réagir à une attaque provenant d’un VLAN ou une adresse IP particulier, et le
transmettre à un serveur de type « honeypot ».
Toutes les fonctions de routage statique sont supportées et il est possible d’effectuer de façon
optionnelle des fonctions de routage dynamique :
Par défaut, le boitier F5 BIG-IP LTM n’effectue pas de routage. Lorsqu’un flux doit traverser
l’équipement, il doit avoir au préalable été « déclaré » au travers d’un serveur virtuel de type Host
(adresse IP unicast /32) ou bien de type réseau (adresse IP de type network). Le routage peut
également être réalisé, non pas uniquement par adresse IP, mais également en fonction d’un port
applicatif donné (comme par exemple, router les flux http au travers du répartiteur de charge à
destination de proxys, et tous les autres flux, au travers de firewalls).
Il est possible de créer des serveurs virtuels dédiés au routage. Configurés généralement de façon
spécifique, par Vlan(s). Le routage peut donc être réalisé en fonction de critère de VLAN origine,
pour un même réseau destination.
2.1.4. Sécurité
2.1.4.1 Filtrage IP par ACLs
Il est possible d’activer un pare feu (stateful firewall) pour le filtrage des flux routés/bridgés (adresses
source, destination, protocole, service, …). Chaque ligne de filtrage peut être configurée pour logguer
l’événement (soit paquet par paquet, soit par connexion). Ce log est horodaté, et est préfixé dans le
message du log, par le nom de la ligne de filtrage s’étant déclenchée.
Le filtrage des flux peut être réalisé de type « white list » ou « black list », par le biais des filtres de type
ACLs. Ces filtres sont nommés, configurables en ligne de commande (CLI) ou par l’interface graphique.
▪ Attaques par déni de service combattues (suppression des connexions passives à l’aide d’un
timer d’inactivité)
▪ Windows exploits :
▪ Web attacks
▪ Botnets
▪ Scanners
▪ Denial of Service
▪ Infected Source
▪ Phishing
▪ Proxy
Le système d’exploitation TMOS (Traffic Management Operating System inclut une nouvelle architecture
appelée Device Service Clustering (DSC). Le DSC est une technologie qui permet de mettre en place plus
de deux équipements redondants en parallèle. Ces équipements se partagent un pool d’applications
pour un maximum de disponibilité et d’évolutivité. Le DSC permet de gérer plusieurs équipements
comme si vous n’en aviez qu’un. En plus de la facilité de management, le DSC fourni la possibilité de
distribuer, application par application, la charge à travers les ADCs. Cette architecture met en œuvre la
synchronisation de la configuration et un système de haute disponibilité à plusieurs niveaux définis par
l’administrateur. Plus spécifiquement, un Big-IP peut être configuré pour :
Dans le cas d’une paire de Big-IP, une configuration de type actif/standby ou actif/actif est possible.
Avec plus de deux équipements, on peut mettre en place une configuration dans laquelle plusieurs Big-
IP sont actifs et peuvent basculer vers un des autres équipements.
Il est donc possible de mettre en œuvre une architecture de type N+M, dans laquelle on a N BIG-IP actifs
et M Big-IP Standby. Les propriétés ci-dessous sont données pour deux équipements et se déclinent sur
plus de deux dans le cas N+M :
▪ Actif/Standby : un BIG-IP LTM est actif et le deuxième est passif. Le BIG-IP LTM en Standby
devient Actif en cas failover, et le second deviendra Standby après un reboot ou la résolution du
failover. Il est possible d’indiquer quel BIG-IP LTM doit être Actif en priorité, dans la paire en
Haute Disponibilité
▪ Actif/Actif : Les deux BIG-IP sont actifs au même instant. Les performances sont alors
dédoublées en répartissant les serveurs virtuels entre les deux boîtiers BIG-IP LTM.
Le DSC se configure via la fonction appelée Device Management. Cette fonction, peut être accédée via
les menus Device Management :
▪ Un device group est un ensemble de Big-IP qui partagent une relation de confiance commune et
peuvent synchroniser leur configuration et/ou basculer les uns sur les autres en cas de failover.
Il existe deux types de device groups :
▪ Sync-Failover : ce device group contient des équipements qui synchronisent toute leur
configuration et supporte les traffic groups pour les besoin du failover quand un
équipement devient indisponible. Les équipements membres d’un même Sync-Failover
device group doivent être du même model, avoir les mêmes licences et provisionner les
mêmes modules. Ceci pour éviter un mauvais comportement dans le cas d’une bascule
d’un équipement à l’autre.
▪ Sync-Only : un Sync-Only device group contient des équipements qui synchronisent
certains objets de leur configuration (iRules, iApps et Profiles par exemple), et ne
synchronisent pas les objets de failover.
Un BIG-IP peut être membre d’un seul Sync-Failover device group. Cependant, un BIG-IP peut appartenir
aux deux types de device group à la fois.
▪ Un traffic group est un ensemble relatif à des objets de la configuration (tels que les adresses IP
virtuelles et les adresses de selfIP), qui tournent sur un Big-IP et prennent en charge un trafic
applicatif particulier. Quand un équipement devient indisponible, un traffic group peut flotter
vers un autre équipement du device group afin de s’assurer que le trafic applicatif continue de
fonctionner correctement.
Les objets qui peuvent être inclus dans un traffic group sont :
▪ Applications iApp
▪ Virtuals Servers
▪ NATs
16 Solution BIGIP LOCAL TRAFFIC MANAGER V13.1 | F5 NETWORKS
▪ SNAT
▪ Adresses de selfIP (adresses des interfaces physiques)
Sur les Big-IPs, chaque traffic group est dans un état actif ou standby. Un traffic group en état
actif sur un équipement veut dire que l’équipement prend en charge le trafic applicatif attaché à
ce traffic group. Dans le cas standby, l’équipement est inactif pour le trafic applicatif attaché au
traffic group.
Quand un équipement, avec un traffic group actif, devient indisponible, le traffic group flotte
vers un autre équipement (le plus disponible dans le device group). Le terme flotte veut dire que
sur l’équipement cible, le traffic group passe de l’état standby à l’état actif.
Le schéma suivant montre une configuration typique avec deux BigIP et un traffic group (appelé
my_traffic_group). Dans cette illustration, le traffic group est actif sur le BigIP A et standby sur le
BigIP B.
Si une bascule a lieu, le traffic group flotte vers l’autre équipement. Dans le schéma suivant, le
BigIP A devient indisponible, ayant pour conséquence de basculer le traffic group vers le BigIP B.
Le traffic group est alors actif sur le BigIP B et standby sur le BigIP A.
Il est possible de forcer un traffic group actif à passer en état standby. Forcer un traffic group à
passer dans un état standby, a pour conséquence de passer le traffic group en mode actif sur un
autre membre du device group. En général, on force un traffic group à passer en état standby
quand :
▪ La mise en œuvre opérationnelle des device groups et traffic groups fait appel à un autre
concept appelé device trust. Le Device Trust permet d’établir une relation de confiance entre
plusieurs Big-IPs, à travers l’utilisation de certificats. On a alors un domaine de confiance.
▪ Les folders et sub folders sont des containeurs d’objets. Pour chaque partition administrative, il
y a cinq niveaux de folders (dossiers). Le folder appelé root représente le plus haut niveau de la
hiérarchie. Le Big-IP utilise les folders pour contrôler quels objets de la configuration doivent
être synchronisés avec les autres équipements dans le device group.
Les bascules se font de manière automatique ou manuelle (il est possible de forcer une bascule). La
synchronisation de configuration ne peut se faire que de façon manuelle.
Un équipement dans un domaine de confiance peut appartenir à un seul Sync-Failover device group.
Cet exemple montre deux Sync-Failover device groups dans un domaine de confiance local. Device
Group A est une configuration classique actif/standby. En temps normal, seul Bigip1 prend en charge le
trafic pour l’application A. Bigip1 et Bigip2 synchronisent leurs configurations, et Bigip1 bascule vers
Bigip2 si Bigip1 devient indisponible. Bigip1 ne peut pas basculer vers Bigip3 ou Bigip4 car ces
équipements sont dans un autre device group.
Device Group B est aussi une configuration classique de type actif/standby, dans laquelle seul Bigip3
prend en charge le trafic pour l’application B. Bigip3 et Bigip4 synchronisent leurs configurations, et
Bigip3 bascule vers Bigip4 si Bigip3 devient indisponible. Bigip3 ne peut pas basculer vers Bigip1 ou
Bigip2 car ces équipements sont dans un autre device group.
Un équipement dans un domaine de confiance peut être membre de plusieurs Sync-Only device groups.
Un équipement peut aussi être membre à la fois d’un Sync-Only device group et d’un Sync-Failover
device group.
Une utilisation typique d’un Sync-Only device group est lorsque vous désirez synchroniser des objets
spécifiques (type iRule, iApp, profiles, etc) vers d’autres BIG-IPs.
Il est possible de configurer jusqu’à 32 BIG-IPs dans un même Sync-Only devic e group.
Il n’est pas nécessaire d’avoir une homogénéité de plateforme, licences ou modules pour les BIG-IPs
d’un même Sync-Only device group.
Une fois activée, tous les Big-IP dans le device group synchronisent leur configuration vers les autres
membres du device group dès qu’une donnée est modifiée.
Dans le même temps, un Sync-Failover device group peut être utilisé pour assurer la bascule des autres
objets de configuration vers un sous ensemble d’équipement dans le domaine.
Dans cette configuration, l’attribut Sync-Only device group est utilisé sur un dossier afin de remplacer
l’attribut Sync-Failover device group hérité par défaut.
Dans l’exemple ci-dessous, Bigip1 et Bigip2 sont membres, à la fois, des Sync-Only et Sync-Failover
device groups.
▪ VLAN Failsafe : Le BIG-IP LTM supporte la détection de panne sur tous les adaptateurs réseaux
et éléments réseaux associés. Quand la fonction de VLAN failsafe est activée sur un VLAN, le
BIG-IP LTM analyse le trafic réseau à travers le VLAN. Si le BIG-IP LTM ne détecte pas de trafic
sur ce VLAN durant la moitié du timeout de failover, il entreprend de générer du trafic à partir
de requêtes ARP sur les éléments réseaux connus. Si le BIG-IP LTM ne reçoit pas de trafic avant
Cependant, l’utilisation du câble série n’est possible que dans un device group qui contient un maximum
de deux Big-IPs. Pour un groupe avec plus de deux équipements, le network failover est requis. Enfin, si
la plateforme est un VIPRION, il est obligatoire d’utiliser le network failover.
▪ Hardware Failover : Ce mode utilise une connexion directe à partir d’un câble de failover (fourni)
deux BIG-IP LTM. Cette fonctionnalité permet de relier deux BIG-IP LTM sans aucun lien réseau.
C’est un système simple permettant de relier deux BIG-IP LTM pour détecter sur le serveur Actif
une variation de courant à travers le câble. Le BIG-IP LTM en Standby devient Actif en moins de
200ms après la détection du changement de courant du BIG-IP Actif. Le hardware failover est
validé par défaut. Le Hardware failover est limité à 50 feet (env. 16m) ; au-delà de cette distance
l’atténuation du signal est trop forte. Pour éviter le point de défaillance du câble série, il est
possible d’utiliser un second câble failover de type « network failover » en complément.
▪ Network failover : Ce mode utilise le réseau pour les communications entre les BIG-IP LTM.
L’utilisation du réseau permet ainsi d’installer les boîtiers dans des zones éloignées sans
limitation comparable au Hardware Failover. Ils doivent cependant être configurés dans le
même sous réseau. Comme pour le Hardware Failover, la perte de signal due à une rupture du
réseau déclenche le basculement d’un des BIG-IPs en mode Standby en mode Actif.
Dans cette architecture, un Sync-Failover Device Group est créé et contient l’équipement LTM1 et
l’équipement LTM2 en tant que membres.
Le Traffic-Group 1 contient tous les objets en charge du traffic (SelfIPs, VIPs, NAT, etc).
Dans cette architecture, un Sync-Failover Device Group est créé et contient l’équipement LTM1 et
l’équipement LTM2 en tant que membres.
Pour chaque traffic group, il est désigné un BigIP différent en tant qu’équipement Actif et équipement
standby.
Cette architecture est la même que précédemment mais en ajoutant un troisième traffic group et un
troisième équipement.
La configuration est la même que pour l’exemple Actif/Actif. Il faut juste ajouter un troisième
équipement (LTM3) dans le Sync-Failover device group ; et créer un nouveau traffic-group sur lequel
l’équipement Actif sera le LTM3.
Les deux méthodes d’élection décrites ci-dessous peuvent utiliser le mécanisme appelé HA Group
Monitor qui permet de savoir si un équipement est disponible pour prendre la gestion du traffic group
(cf 2.2.5). La méthode HA Score nécessite l’utilisation du HA Group Monitor.
Avec cette méthode, le prochain équipement actif pour un traffic group est le premier BIG-IP disponible
de la liste. Si aucun BIG-IP n’est disponible dans la liste « Preferred Order », la méthode Load Aware est
alors utilisée.
La méthode Load Aware fait en sorte que les Traffic Group qui génèrent le plus de trafic soient
automatiquement gérés par les boîtiers les plus puissants. Pour cela, on définit une « HA Capacity » qui
représente la capacité de charge du boîtier. Cette charge est définie relativement aux autres éléments
du groupe (ex : un équipement avec une « HA Capacity » de 4 pourra traiter deux fois plus de trafic
De la même manière, il faut définir un « HA Load Factor » sur chaque trafic group qui représente la
charge de trafic générée par un Traffic Group relativement aux autres.
Ces deux valeurs permettent de déterminer le « Next Active Device » qui représente l’équipement qui
devra reprendre un ou plusieurs Traffic Group en cas d’indisponibilité d’un des équipements.
Figure 16 : Ecran de configuration « Preffered Device Order and then Load Aware »
b. HA Score
La méthode HA Score utilise le score calculé par la fonction HA Group pour déterminer l’équipement
actif pour un Traffic Group.
c. Automatic failback
Il est possible d’ajouter la fonction Automatic failback à la méthode de sélection de l’équipement actif
pour faire en sorte que le traffic group rebascule sur l’ancien BIG-IP actif dès que celui-ci est disponible.
d. Recommandations
Voici quelques recommandations sur les méthodes de sélection de l’équipement actif pour un traffic
group en fonction des besoins :
Deux Sync-Failover groups sont créés : le groupe A qui contient LTM1 et LTM2 ; le groupe B qui contient
LTM3 et LTM4.
Chaque groupe se voit attribuer son propre Traffic-Group pour la bascule du trafic applicatif.
Un Sync-Only device group est créé sur un répertoire particulier dans chaque LTM. Ce répertoire
contient les objets à partager entre tous les équipements.
L’application de l’intelligence de niveau 7 sur un service porté par le BIG-IP LTM passe par l’utilisation
d’un profile. 8 profils sont aujourd’hui disponibles pour gérer les applications les plus utilisées dans le
monde de l’entreprise. Voici la liste des applications supportées :
▪ HTTP
▪ HTTPs
▪ FTP
▪ DNS
▪ Radius
▪ Diameter
▪ SIP
▪ SMTP
▪ Il est possible de répartir un service sur des ports applicatifs différents ou non.
▪ Il n’y a pas de limite spécifique au nombre de serveurs réels par serveur virtuel
▪ Il est possible de définir plusieurs serveurs virtuels associés à un serveur réel
Le BIG-IP agira comme une passerelle de niveau 2 en réémettant tout paquet avec sa propre adresse
MAC.
Dans ce mode, le BIG-IP LTM est positionné en coupure des flux. Il vient protéger les réseaux internes en
n’autorisant uniquement les connexions des clients au travers des Serveurs Virtuels configurés. Ainsi
aucun accès direct aux serveurs n’est possible (sauf ouverture de flux spécifiques configurés).
▪ Address checks (pings) : BIG-IP LTM envoie une requête ICMP à l’adresse du serveur spécifiée
(node). Cette vérification est par défaut active et réalisée sur la totalité des serveurs configurés.
Ce test permet de vérifier si l’adresse IP est joignable.
▪ Service checks (Connexion TCP) : BIG-IP LTM essaye d’établir une connexion TCP sur les serveurs
spécifiés. Une fois la connexion établie, elle est immédiatement fermée. Ce test permet de
vérifier si le service écoute correctement sur un serveur donné.
▪ Enhanced Content Verification (ECV ou Vérification avancée du contenu) : BIG-IP LTM ne se
contente pas uniquement d’établir une connexion TCP sur les serveurs spécifiés, il vérifie aussi
que la réponse du service correspond à un format de requête donné. Ce test permet de vérifier
si le service répond correctement à une simple requête. Tous les protocoles TCP sont supportés.
▪ Enhanced Application Verification (EAV ou Vérification avancée de l’application) : BIG-IP LTM ne
se contente pas uniquement d’établir une connexion TCP sur les serveurs spécifiés, il interagît
avec ceux-ci en respectant le protocole. BIG-IP LTM exécute un script (Shell ou Perl pouvant
faire appel à des applications externes) qui lui retournera un résultat positif ou négatif. Ce test
permet de simuler un scénario utilisateur avec une application spécifique. Les scripts supportés
La fréquence (nombre de tentatives) ainsi que le time-out des Health checks pour les différents modes
présentés ci-dessus sont totalement configurables. BIG-IP LTM orientera les nouvelles connexions
uniquement vers les serveurs détectés comme disponibles.
Tous les health checks sont réalisés à chaque intervalle de test configuré (pas de test cyclique), et le
nombre de serveurs et de services n’impacte pas l’intervalle d’un ou plusieurs serveurs. Le rythme de
chaque test est déterminé par un temps « intervalle » et un temps « limite » configurable par test. En
cas de non réponse, le boitier F5 retente 3 fois en patientant le temps de « l’intervalle » configuré et
jusqu'au temps « limite ». Si durant cette période aucune réponse correspondant n’est reçue, le test est
considéré comme échoué et l’élément auquel il était associé est marqué comme tel. Il est possible de
définir des health checks globaux qui seront utilisés de manière dynamique sur les différents serveurs ou
services associés à un même pool sans avoir à définir pour chaque serveur un objet health check
spécifique.
Plusieurs Healthcheck peuvent être positionnés sur les mêmes serveurs. Cela permet par exemple de
faire une requète http et une requète LDAP sur un serveur pour valider une application intégrant http et
LDAP. Mais il est également possible de valider que le serveur 1 est actif, si il répond aux requètes http
et que le serveur 2 répond aux requètes SQL. Les moniteurs applicatifs permettent en cela de valider
une chaine applicative complète distribuée sur des serveurs différents, pour un seul membre.
▪ Persistance Simple (basée sur adresse IP) : Basée sur l’adresse IP source ou destination
▪ SSL persistence : Basée sur l’identifiant de session SSL (Session ID)
▪ Windows Terminal Server Persistence : Basée sur le numéro de session msrdp
▪ SIP persistence : Basée sur le champ Call-Id
▪ Cookie persistence :
▪ Insert mode : BIG-IP LTM insère un cookie sur le navigateur client
▪ Rewrite mode : BIG-IP LTM réécrit le cookie serveur et l’insère sur le navigateur client
▪ Passive mode : BIG-IP LTM base sa table de persistance sur le contenu du cookie déclaré
▪ Hash mode : BIG-IP LTM « hashe » un cookie afin d’en extraire un identifiant unique par
utilisateur
Il est également possible de configurer le BIG-IP LTM afin de faire persister l’ensemble des connexions
d’un même utilisateur vers le même serveur réel quel que soit le service auquel il veut accéder. Ainsi un
utilisateur accédant à une page d’un service VIP : HTTP persistera sur le même serveur s’il accède
ensuite au service VIP : HTTPS (fonction : Persistance Accross Services).
Il en est de même si l’on souhaite associer une persistence entre 2 adresses de services applicatifs sur
des adresses IP différentes (Fonction : persist accross virtuals).
▪ NAT : le BIG-IP LTM convertit l’adresse IP déclarée, vers une autre adresse IP, quel que soit le
traitement effectué par le boitier (routage, répartition de charge, …). Cette fonctionnalité peut
être limité aux VLAN sur lesquels arrivent le trafic. Il est donc possible de faire du NAT 1 vers 1,
seulement dans le cas ou le flux arrive par un des VLANs déclarés dans la configuration.
▪ SNAT global : Le BIG-IP LTM effectue une translation de type PAT (Port and Adress Translation).
Dans ce cas, un groupe d’adresses IP est converti en une seule et unique adresse de
Pour permettre au BIG-IP de gérer au niveau 7 les flux chiffrés et à la fois permettre une authentification
de l’utilisateur avec certificat, il est possible d’implémenter la technologie Proxy SSL.
Dans ce mode de fonctionnement le BIG-IP dispo des clefs privées des serveurs afin de déchiffrer la
session avec l’utilisateur mais reste transparent sur la phase d’établissement de la session entre
l’utilisateur et le serveur. De cette façon si le serveur demande une authentification mutuelle, le client
aura la possibilité d’envoyer son certificat.
Step Description
La session HTTPS (SSL) est négociée entre le Client et le BIG-IP LTM. Le BIG-IP LTM
1
termine la session SSL et la décrypte.
La répartition de charge est effectuée par le BIG-IP LTM (éventuellement au niveau 7) sur
2
la session HTTP.
User
BIG-IP 12250v
F5 Hardware Multiple
BIG-IP Virtual Editions
High Performance
High Capacity SSL
Applications
La partie symétrique du chiffrement, moins coûteuse en ressources, reste traitée par la Virtual Edition.
Cela permet des optimisations symétriques et asymétriques, sans nécessiter aucun client particulier.
Les profils commençant par le préfixe « f5 » sont ceux à utiliser de préférence lors des déploiements.
Seuls les objets HTTP de type texte sont compressés : html, css, javascript,… La reconnaissance du type
de fichier à compresser se fait en analysant le MIME-Type des objets renvoyés par le serveur.
Note : Les objets HTTP mis en cache sont stockés sous forme compressés afin d’optimiser les temps de
traitement. Il existe certains bugs connus des navigateurs dans l’implémentation de la compression. Afin
de faciliter le déploiement de la solution, BIG-IP implémente des mécanismes de contournement afin de
respecter la compatibilité avec ces navigateurs.
Quand la compression HTTP est activée dans un environnement Client/Server, le browser insère dans le
header HTTP le paramètre Accept-Encoding spécifiant les algorithmes de compression supportés par le
browser. Le serveur lit le header http en provenance de l’utilisateur et compresse le contenu de la
réponse avec un des algorithmes supportés. Le serveur insère dans le header http de la réponse le
paramètre Content-Encoding pour informer le browser que le contenu a été compresse et avec quel
algorithme.
Les avantages d’utiliser la compression http sur BIG-IP sont les suivants :
▪ Activation granulaire selon des règles iRule : il est possible de réaliser la compression à partir de
critères applicatifs.
▪ Première connexion : le contenu n’est pas dans le cache du BIG-IP. Le client initie la requête (1).
Le BIG-IP la transfère au serveur (le serveur est choisi en fonction de la méthode de répartition
de charge configurée) (2). Le serveur répond au BIG-IP (3). Ce dernier stocke le contenu de la
réponse dans son cache (4) ainsi que les informations de validité renvoyées par le serveur et
renvoie le contenu au serveur (5).
▪ Deuxième connexion ; le contenu est dans le cache du BIG-IP. Le client initie la requête (1). Le
BIG-IP récupère le contenu à partir de son cache (2) tout en vérifiant que le contenu est toujours
valide. Si le contenu est valide le contenu est renvoyé au client (3) sinon la requête est
acheminée vers le serveur. TMOS possède une solution de RAM cache, pour augmenter les
temps de réponse des serveurs Web.
▪ Possibilité de cacher les contenus suivant : 200, 203, 206, 300, 301, et 410 responses
▪ Contrôle la bande passante dans toutes les directions: VLAN, VIP, Serveurs, Users, …
▪ Débit de base
▪ Débit Crête
▪ Burst
– Stochastic Fair
– Priority Fifo
Les politiques de contrôle de bande passante peuvent être statiques ou dynamiques (par session
utilisateur lorsque le module APM est utilisé ou activées par iRules). Elles contiennent une valeur
maximum de débit. Le trafic qui dépasse la limite est stocké en file d’attente puis droppé si la file
d’attente est pleine. Une politique de contrôle par défaut est créée automatiquement pour traiter le
trafic non traité par les autres politiques (valeur par défaut de 320 Gbps, modifiable par configuration).
Lorsque la persistance de session est utilisée, une requête est mise en file d’attente quand la limite de
connexion du membre est atteinte.
Sans persistance, quand tous les membres du pool ont une limite de connexions spécifiée, une requête
est mise en file d’attente quand tous les membres ont atteint leur limite de connexions.
3. BIG-IP cherche une connexion déjà établie sur ce serveur pour la réutiliser
4. Si aucune connexion préétablie n’est disponible, une nouvelle connexion est créée vers le
serveur choisi
Lorsque les connexions clientes utilisent le protocole HTTP/1.0, il est possible de convertir en HTTP1.1
les requêtes à destination des serveurs.
Les champs QoS et ToS des parquets peuvent server aux équipements réseaux en amont et aval à
identifier et traiter des flux différemment en y appliquant des politiques de gestion de bande passante
différentes.
Le BIG-IP peut marquer ou réécrire les champs QoS et ToS d’un paquet entrant ou sortant du BIG-IP(côté
client et côté serveur), en se basant sur les critères définis dans le pool. Ainsi le BIG-IP peut marquer le
trafic selon la priorité des applications.
Par exemple, il est possible de configurer un flux applicative sur le BIG-IP afin qu’un paquet envoyé du
BIG-IP vers les serveurs soit marquer avec un champ QoS de 4 et côté client avec un champ QoS de 3.
BIG-IP est capable d’effectuer des décisions d’équilibrage de charge basées sur les champs:
▪ Niveau de QoS
▪ Niveau de ToS
Ainsi à l’aide des iRules, ll est par exemple possible, selon le champ QoS ou ToS du paquet d’envoyer le
flux vers une ferme de serveurs différente.
2.10.1. Tunnels IP
En utilisant les technologies de tunneling F5, vous pouvez configurer un tunnel entre deux équipements
sur différents réseaux de niveau 2, ou implémenter une architecture multi-sites à travers des réseaux
routés. Lorsque vous connaissez l'adresse IP des équipements aux deux extrémités du tunnel, vous
pouvez créer un tunnel d'encapsulation point-à-point entre un BIG-IP et un autre équipement.
▪ GRE
▪ DSLITE
▪ IPIP
▪ IPv4IPv4
▪ IPv4IPv6
▪ IPv6IPv4
▪ IPv6IPv6
▪ PPP
▪ WCCPGRE
▪ VXLAN (avec ou sans OVSDB)
▪ EtherIP
▪ Geneve
2.10.2. IPSEC
Vous pouvez configurer les protocoles IPsec et IKE lorsque vous souhaitez utiliser un autre protocole que
le protocole SSL pour sécuriser le trafic qui traverse un réseau étendu (WAN), d'un système BIG-IP à un
autre. Avec cette mise en œuvre, vous devez configurer le protocole IKE pour établir un canal sécurisé
lors de la phase 1 des négociations.
2.10.3. Ether IP
Dans certaines architectures réseau, le BIG-IP LTM est configuré pour envoyer le trafic des applications
sur des serveurs qui sont mises en œuvre en tant que machines virtuelles VMware (VM). Ces machines
virtuelles peuvent subir une migration en direct, à l'aide de VMware vMotion à travers un réseau étendu
(WAN) sur un hôte dans un autre centre de données.
Afin de préserver toutes les connexions existantes entre le système BIG-IP et une machine virtuelle
pendant que la machine virtuelle migre vers un autre centre de données, vous pouvez créer un tunnel
EtherIP.
Un tunnel EtherIP est un objet que vous créez sur chacun des deux systèmes BIG-IP qui sont installés de
chaque côté d'un WAN. Le tunnel EtherIP utilise le protocole standard de l'industrie EtherIP au tunnel
Ethernet et IEEE 802.3 Media Access Control (MAC) des trames sur un réseau IP. Les deux objets tunnel
EtherIP forment ensemble un tunnel qui relie logiquement deux centres de données. Lorsque le trafic
des applications qui passe entre l'un des BIG-IP et la MV est acheminé à travers le tunnel EtherIP, les
connexions sont conservées pendant et après la migration VM.
Après avoir configuré le système BIG-IP pour préserver les connexions aux machines virtuelles
migrantes, vous pouvez créer un moniteur pour localiser la ressource applicative. Ce moniteur garantit
que le système BIG-IP envoie les connexions à un membre du groupe local plutôt que sur un serveur à
distance, quand quelques-uns des membres du pool ont migré vers un centre de données distant.
Une policy est attachée à un Virtual Server et est composée de règles. Chaque règle contient un ou
plusieurs conditions et une ou plusieurs actions :
Les règles peuvent être appliquées soit dans l’ordre et dans ce cas, la première règle qui correspond au
trafic est appliqué ou avec algorithme de ‘best-match’ et dans ce cas, toutes les règles sont évaluées et
la plus précise par rapport au trafic est activée.
Les capacités des policies ne se limitent pas à HTTP, il est aussi possible de déclencher des actions sur du
trafic TCP (adresses IP, vlan, port, route domain, …) et SSL (vérification de la version de protocole utilisée
et des cipher suites négociées).
▪ Choisir un paramètre dans le contenu de la transaction pour prendre une décision de load
balancing
▪ Modifier le contenu des échanges
▪ Appliquer une règle de NAT en fonction de critères de niveau 7
▪ Appliquer un profil de log spécifique à une transaction
▪ Réécrire des urls http
▪ Renvoyer un contenu spécifique à l’utilisateur
▪ Utiliser la base de géolocalisation pour prendre des décisions
▪ Implémenter un proxy applicatif pour une application non connue du BIG-IP
▪ Aller chercher une information sur un service externe pour prendre une décision locale
Les conditions peuvent être multiples et peuvent s’imbriquées les unes avec les autres :
if (condition1== TRUE and condition2== TRUE)
else { discard }
La programmation d’une irule est orienté évènement car on définit des actions lorsque la transaction de
l’utilisateur passe une certaine étape dans le traitement de la transaction fait par le BIG-IP LTM. Par
exemple, lorsque la session TCP est établie, lorsque l’on a choisi un serveur pour envoyer la transaction
ou encore lorsque l’on vient de recevoir une requête http.
Toutes les informations relatives aux Irules sont disponibles sur un site communautaire utilisé par 40000
ingénieurs, développeurs, clients. Ce site est accessible à l’url suivante : https://devcentral.f5.com/
Le principe des partitions d’administration est la création de silos étanches contenant les objets de la
configuration.
Il n’existe dans ce mode qu’un fichier de configuration et chaque objet est identifié (notation /<partition
name>/<object name>) comme appartenant à une unique partition d’administration.
Lorsqu’un compte administrateur est défini sur le TMOS, il est associé à une unique partition. A la
connexion à la CLI ou à la GUI des équipements, l’administrateur ne voit que les objets appartenant à sa
partition.
Common Partition
(Read Only for all – Admin can R/W)
Il est aussi possible d’avoir le même plan d’adressage réseau dans deux « Route Domain »
(chevauchement ou overlapping IP) en cas de mutualisation des boitiers.
Un Route Domain est composé de 1 ou plusieurs VLANs autorisés à échanger du trafic. Lors de la
création d’un objet IP (VIP, serveurs,…), ce dernier est associé à un unique Route Domain soit de
manière explicite si aucune partition administrative n’est définie en rajoutant la notation ‘%x’ (x étant
l’ID du Route Domain) à la fin de l’adresse IP soit de manière implicite si le Route Domain est associé à
une partition administrative. Dans cette configuration, tout objet IP créé dans une partition
administrative est automatiquement créé dans le Route Domain associé à cette partition. Il est possible
de limiter la bande passante consommée par chaque Route Domain (Bandwith Control).
vCMP (Virtualized Clustered Multi Processing) est une fonction qui permet de faire tourner plusieurs
instances de BIG-IP sur le même équipement physique. vCMP alloue et réserve des ressources
matérielles à chaque instance appelée guest vCMP. Chaque guest créé se comporte comme un
équipement BIG-IP, ayant sa propre CPU, mémoire, espace disque et version de firmware.
vCMP est basé sur la technologie CMP de F5 Networks. CMP permet aux membres d’un cluster (c’est-à-
dire les lames dans un chassis ou les instances TMM sur une appliance) de travailler ensemble, afin de
▪ Hôte vCMP : c’est le système sur lequel repose l’hyperviseur et qui permet de gérer tous
les guest. L’hôte vCMP est en charge d’allouer les ressources matérielles à chaque guest.
▪ Guest : c’est une instance créée sur le système vCMP dans le but de prendre en charge
un ou plusieurs modules BIG-IP. Chaque guest consiste en une instance de TMOS, plus
un ou plusieurs modules BIG-IP. Chaque guest a ses propres ressources matérielles que
l’hôte vCMP lui alloue. Par conséquent, chaque guest fonctionne comme un équipement
BIG-IP indépendant.
▪ VM : une VM est une portion de guest qui réside sur un slot. Par exemple, un guest qui
utilise quatre slots est composé de quatre VMs.
▪ Cluster BIG-IP : un cluster est un ensemble de slots (appelé aussi membre du cluster)
disponibles sur le chassis.
▪ Cluster Virtuel : un cluster virtuel est similaire à un cluster sur un chassis, excepté que
contrairement à ce dernier, un cluster virtuel est créé pour chaque guest. Un cluster
virtuel contient uniquement la portion des slots qui appartiennent à un guest individuel.
Par exemple, si un guest utilise deux slots, alors ces deux slots représentent un cluster
virtuel. Un guest correspond à un cluster virtuel spécifique.
▪ Disque virtuel : c’est une portion de l’espace disque que le système a alloué à un guest.
Par exemple, si un guest utilise trois slots, le système crée trois disques virtuels pour ce
guest.
▪ Adresse IP de cluster : c’est l’adresse IP de management assignée à un cluster pour
accéder au système. Sur un système vCMP, il y a plusieurs adresses IP de cluster. Une
pour le cluster BIG-IP (pour accéder à l’hôte vCMP), et une pour chaque cluster virtuel
(pour accéder à chaque guest).
L’illustration suivante montre un VIPRION dans lequel trois guests ont été provisionnés. Le guest 1 utilise
uniquement un slot. Les guests 2 et 3 utilisent les quatres slots à disposition.
De plus, un guest peut être bridgé ou isolé du réseau de management de l’hôte vCMP.
Dans le cas bridgé, un accès niveau deux entre les guests, l’hôte vCMP et els équipements connectés à
l’interfaces de management de l’hôte existe. Cela permet de monter des connexions de l’extérieur ou de
l’hôte vers les guests et réciproquement. Malgré le fait que les guests et l’hôte partage la même
interface réseau, chaque guest est vu avec sa propre adresse MAC et IP sur le réseau.
Dans le cas isolé, un guest ne peut pas communiqué avec d’autres guests ou avec l’hôte. La seule façon
qu’ils ont de communiquer est d’utiliser une interface de production configurée explicitement pour
accepter le trafic de management.
Enfin, un guest se voit allouer une liste de VLANs auxquels il a accès pour communiquer avec les réseaux
extérieurs.
▪ Configured : c’est l’état pas défaut lorsqu’un guest est créé. Dans cet état, le guest n’est
pas lancé et aucune ressource ne lui est allouée. Il n’est pas non plus possible de
configurer les modules qui lui sont assignés. Pour cela, il faut provisionner et déployer le
guest, et ensuite, provisionner les modules BIG-IP dans le guest.
▪ Provisioned : quand un guest est passé dans cet état, le système alloue les ressources
(cœurs CPU, mémoire physique, etc) pour ce guest. Le système créé aussi les disques
virtuels pour le guest et installe l’image ISO sélectionnée. Tant qu’il est dans l’état
provisionned, un guest ne peut pas être utilisé. Pour cela, il faut le passer dans l’état
Deployed.
▪ Deployed : Après avoir provisionné un guest, on peut le déployer. Quand on déploie un
guest pour la première fois, le système installe une instance du guest sur son disque
virtuel. Dans cet état, le système démarre et maintient une VM sur chaque slot pour
laquelle le guest a des ressources allouées. Par la suite, toute modification (host name,
adresse IP de cluster et liste des VLANs autorisés) est propagée à toutes les VM du
guest.
Les modules BIG-IPs (tels que Local Traffic Manager) peuvent être configurés lorsque le guest est dans
l’état Deployed. De plus, chaque guest hérite de la licence de l’hôte vCMP.
Il est possible d’allouer des ressources SSL par Guest. Trois modes d’allocation sont possibles :
De la même manière, il est possible de limiter la bande passante par Guest. Le principe est le même que
celui du Rate Shaping décrit plus haut. Une politique de shaping appelée « Color Policer » est crée avec
les valeurs de débit minimum, maximum et de burst. Le « Color Policer » est ensuite appliqué au Guest.
Les métriques sont visibles par application, par Virtual Server, par membre de pool, par URLs, par
géolocalisation de pays, etc. AVR permet aussi de voir des statistiques sur le trafic applicatif qui passe à
travers le système telles que des compteurs au niveau des codes de réponse, des user-agents, des
méthodes HTTP, des pays et des adresses IP.
Ce module vous donne aussi la capacité de capturer du trafic pour l’examiner plus finement, et
positionner des alertes afin d’être prévenu à l’avance de comportement spécifiques. Enfin, le module
AVR peut être configuré pour envoyer les statistiques sur un serveur distant de type Syslog. Vous pouvez
alors utiliser un outil de centralisation (Splunk par exemple) afin de corréler toutes les statistiques et les
analyser.
Le module se configure via des profils de type «Analytics» que l’on peut ensuite utiliser au niveau des
différentes applications. Un profile Analytics est un ensemble de définitions qui détermine les
circonstances sous lesquelles le système recueille, log, alerte et affiche graphiquement les informations
en rapport à une application. Un seul profile Analytics peut être configuré par application. Dans un
profile Analytic, on peut spécifier :
Les statistiques et rapports peuvent être vus dans l’interface graphique d’administration. Les
informations affichées peuvent être filtrées, par exemple, par application ou URL.
Figure 49 : Géolocalisation des clients et nombre total de TPS Figure 50 : Top 10 des URLs et moyenne des TPS associées
associées
A des fins de compréhension, on peut comparer le mode de comparaison sans iApp et avec iApp. Sans
iApp, l’administrateur doit configurer et maintenir tous les objets de manière indépendante les uns des
autres. A titre d’exemple, pour une application Exchange 2010, cela donnerait :
Ainsi, il n’est plus nécessaire de se souvenir qu’un objet de la configuration est utilisé pour plusieurs
services. Toute modification se fait à un niveau applicatif et les éléments qui doivent être modifiés sont
modifiés sans impact sur d’autres services.
iApp est composé de deux composants : Les Templates et les Applications Services.
▪ Copié
▪ Importé
▪ Exporté
▪ Personnalisé
Un template supporte les modules suivants :
▪ LTM
▪ GTM
▪ APM
▪ WAM
▪ WOM
Il existe plus de 20 templates fournis dans la première version 11 de BIG-IP. Des templates sont
disponibles au fur et à mesure sur le portail DevCentral. Ces templates permettent de mettre à jour la
liste de templates sans avoir à faire une mise à jour de firmware.
Une fois un template utilisé, un Application Service est créé. Liste des Templates disponibles dans la
version 13.1 :
▪ F5.bea_weblogic
▪ f5.cifs
▪ f5.diameter
▪ f5.dns
▪ f5.ftp
▪ f5.http
▪ f5.ip_forwarding
▪ f5.ldap
▪ f5.microsoft_sharepoint_2010
▪ f5.npath
▪ f5.oracle_as_10g
▪ f5.oracle_ebs
▪ f5.peoplesoft_9
▪ f5.radius
D’autres templates pour d’autres versions ou des versions plus récentes (Sharepoint 2016, Outlook
2016, ..) sont disponibles ici : https://devcentral.f5.com/codeshare/topic/iapps
Enfin, toute application déployée via iApp peut être protégée contre les modifications accidentelles : les
modifications devront être faites via l’application service et ne pourront pas être faites directement sur
les objets.
3.3. Log des Requêtes et Réponses à haut débit (High Speed Logging)
Il est possible de configurer le BIG-IP pour loguer, en temps réel, toutes les requêtes et/ou réponses qui
traversent l’équipement. Cela se fait via la configuration d’un profile appelé Request Logging (malgré
son nom, ce type de profile permet bien de loguer les réponses si besoin). Comme tous les profiles, vous
pouvez créer autant de profile Request Logging que nécessaire (chacun avec ses propres propriétés) ;
puis utiliser ces profiles au niveau des différentes applications déployées. Ainsi, le format de logs, les
serveurs de logs et le type de données à loguer (requêtes et/ou réponses) peuvent être différents selon
les applications et les flux.
Le principe de base est d’envoyer des logs à partir des instances TMM vers plusieurs serveurs de log. Le
fait d’utiliser plusieurs serveurs de logs et de ne pas utiliser le disque local permet de maintenir un haut
niveau de requêtes par seconde et de pouvoir loguer une grande quantité de données (Jusqu’à 200,000
messages HSL par seconde).
Il est possible d’utiliser ces profils de log, aussi bien pour des applications HTTP, que pour des
applications TCP ou UDP. Quel que soit le cas, les requêtes sont loguées lorsqu’elles sortent du BIG-IP
pour aller vers les serveurs ; et les réponses sont loguées lorsqu’elles sortent du BIG-IP pour aller vers
les clients.
La configuration peut se faire entièrement via l’interface graphique comme le montre la capture d’écran
suivante.
Deux sections principales composent le profile : Request Logging et Response Logging. Chacune de ces
sections supporte les mêmes fonctions et peuvent activées ou désactivées (pour loguer les réponses
et/ou les réponses).
L’interface de commande en ligne est accessible par le port console ainsi qu’en SSH (shell sécurisé).
Chaque accès SSH est authentifié par login/mot de passe. Cette authentification peut être
éventuellement déléguée à un serveur LDAP.
Les accès SSH peuvent être restreints en limitant le nombre de stations pouvant se connecter par
l’intermédiaire d’une access list. Dans une configuration où le BIG-IP est mutualisé sur plusieurs sous-
réseaux il convient de limiter l’accès soit au VLAN d’administration s’il en existe un soit à une liste de
machines sélectionnées.
Elle est très ergonomique et elle permet d’effectuer toutes les fonctions de configuration,
d’administration et de monitoring. L’accès à l’interface graphique est spécifié par VLAN. Dans le cas où
le BIG-IP LTM est mutualisé sur plusieurs VLAN, il convient soit d’interdire l’accès à l’interface graphique
à partir de tout VLAN sauf le VLAN d’administration, soit de lister les machines autorisées à y accéder.
De plus, pour chaque compte d’administration créé, il est nécessaire de spécifier les droits d’accès de
cet utilisateur parmi :
Il est également possible de procéder à l’authentification des utilisateurs via des serveurs externes :
▪ Radius
▪ Tacacs
▪ LDAP
▪ MS Active Directory
Les informations collectées par l’agent SNMP sont sécurisées par le nom de communauté, ainsi qu’un
contrôle d’accès des stations autorisées à manager le BIG-IP LTM en SNMP.
3.4.4. iControlREST
L’APl iControlREST est la couche logicielle, développée par F5 Networks, commune à l’ensemble des
produits de la gamme F5 leur permettant de communiquer avec des outils tiers. Basée sur des
standards ouverts (REST/JSON), cette couche de communication est accessible gratuitement.
Cette API peut être utilisée pour automatiser des déploiements de configuration, automatiser les tâches
et récupérer des statistiques.
Tous ces outils sont disponibles en mode CLI (CLI ou Web pour tcpdump).
Un mécanisme de réplication de trafic (port mirroring) est disponible pour les interfaces. Les
fonctionnalités suivantes sont supportées :
Le protocole NTP, de préférence en mode sécurisé (authentification MD5), est supporté (pour le réglage
de la date et de l’heure). Le passage à l’heure d’hiver et à l’heure d’été est automatique.
Un mécanisme de retour à la configuration d’usine existe. Il s’agit de se connecter en mode terminal sur
le boitier (connexion série), de s’authentifier avec un compte ayant les droits d’administration en mode
cli, de passer le boitier en mode single user (init 1), puis d’exécuter la commande « Sys-reset ».
La solution dispose d’une solution permettant de remettre à zéro les mots de passe « administrateur ».
Permettant de mettre en œuvre plusieurs comptes utilisateurs, F5 recommande d’utiliser une gestion
des accès par utilisateur.
Enfin, les équipements BIG-IP LTM permettent la sauvegarde des configurations par connexion depuis le
boitier vers un serveur TFTP, FTP, SFTP ou SCP, ou depuis un serveur vers le boitier en SCP et HTTPS.
Visuellement, les différents états sont distingués par un voyant lumineux pour chaque interface. Le
schéma ci-dessous représente les interfaces physiques de type Gigabit Cuivre et Gigabit SFP.
L █ L █ L █ L █
Basé sur le produit référence du marché Syslog-NG, l’ensemble de l’historisation des événements F5
peut être personnalisée pour refléter au mieux les besoins.
L’accès à ces informations peut se faire via l’interface Web ou via une consultation des fichiers
directement stockés sur les BIG-IP LTM. Un mécanisme de rotation et de compression automatisé des
fichiers d’historisation des événements est paramétré par défaut à un fichier par jour. Il est possible de
modifier ce mécanisme pour y ajouter l’exportation de ces fichiers.
Il est possible de créer plusieurs packages de configuration, incluant la totalité des éléments nécessaires
à la restauration de la configuration sur le même boitier ou un boitier de spare.
Comme les éléments de cette configuration peuvent intégrer des certificats SSL (clefs privées et
publiques), la sauvegarde peut intégrer ces certificats ou on (choix de l’administrateur), et cela de façon
chiffré, via une clef symétrique (type passphrase).
Il est également possible de créer des configurations qui incluent la totalité de la configuration et du
système d’exploitation : « les SNAPSHOT ». Cela permet par exemple de dupliquer complètement une
configuration existante vers un autre boitier, sans toutefois devoir installer sur le boitier cible, la même
version d’OS, puisque l’OS est intégré dans ce backup.
De plus, chaque boitier bénéficie en standard de 3 partitions, permettant de basculer d’une version d’OS
à une autre. L’on dispose donc en standard sur les boitiers de 3 images d’OS, ainsi que 3 configurations
différentes.
Lors d’un upgrade, il est possible de réaliser l’upgrade d’une partition vers une autre, cela afin de
rapidement valider la nouvelle version, sans toutefois devoir faire un downgrade en cas de problème lié
à cette mise à jour.
▪ Fonctionnement Full Proxy (2 connexions par client : 1 entre le client et le load balancer,
1 entre le load balancer et le serveur)
▪ CPU puissants de dernière génération (utile pour les traitements applicatifs intelligents)
▪ Evolutivité de la solution
▪ Management
▪ Connaissance Native de protocoles tels que http, SIP, FTP, RTSP (pas uniquement http)
▪ Pérennité de la société
▪ F5 est une société focalisé dans le domaine de l’ADC et un leader de ce marché (vu
comme leader par les différents analystes de ce marché, part de marché et croissance
annuelle importante).
▪ De nombreux éditeurs importants ont tissé des partenariats forts avec la société F5
(Oracle, Microsoft, IBM, BEA, VMWare,etc.).