MODULO LTM
Elementos
Virtual Server
El propósito principal del VS es distribuir la carga entre los pools de la red interna. Los Virtual Servers incrementa la disponibilidad de los recursos para procesar la solicitud de los clientes.
¿Cuáles son sus funcionalidades más comunes?
-HTTP compression,
-cifrar, descifrar conexiones SSL y verificar los certificados digitales.
-Persistencia para trafico especifico; HTTP, SSL, SIP Y MSRDP
-Aplicar iRULES. Por ejemplo; puedes crear una iRule que busque el contenido de una conexión TCP para una cadena especifica, si la encuentra ira dirarectamente a un pool especifico.
¿Qué funciones desempeñan?
-Distribuir las solicitudes de los clientes a los servidores.
-Aplica el comportamiento de un tráfico
-Habilita persistencia para un tipo de tráfico.
-Flexibilidad a través de las iRules.
¿Cuáles son los tipos de Virtual Server que existen?
STANDARD
Directamente balancea la carga a un pool
También conocido como el VS Load Balancing. Pasa directamente el tráfico al pool y este lo balancea a sus correspondientes nodos.
FORWARD VIRTUAL SERVER
Proporciona una IP limitada para un simple host o una IP de una subred. Con esta opcion; el trfico que llega al BIGIP, destina a cualquier nodo que machee la direccion del FVS y es reenviada a la red apropiada.
Sin embargo hay otros tipos de de virtual servers, que no estan asociados a pools. Los virtual Server procesado el trafico basado en una IP standard para enlutar paquetes destinados a la direccion del VS.
Ejemplos de FVS
Acceso VPN a un Firewall interno.
Acceso directo a una subred interna con acceso denegado a otras subredes internas.
Autenticacion de dominio de Windows NT de un servidor interno.
Verificacion de funcionalidad de Nodo a traves de PING
Nota: Los FVS con una simple direccion, el ARP debe deshabilitarse puesto que puede entrar en conflicto con el nodo actual.
NETWORK VIRTUAL SERVER
Es una IP con un servicio que los clientes tienen que alcanzar. En algunas ocasiones representan un grupo de direcciones (en vez de poner una direccion ponemos una red) y son llamados NETWORK VIRTUAL SERVER; tienen las mismas caracteristicas que los demas VS. Son comúnmente utlizados cuando un f5 tiene multitud de conexiones a varios destinos SIN traducir la direccion destino.
En general los NETWORK VIRTUAL SERVER deben tener deshabilitado el ARP( no responde a solicitudes ARP). Son los dispositivos host quien deben responder a estas solicitude. Los routers necesitaran saber que el F5 es la ruta al destino de la red. Una vez que llega el trafico al f5, lo procesara por el VS definido.
¿Qué es un Virtual address?
Es una IP asociada a un VS,por ejemplo tu creas 3 VS ; 10.10.10.2:80, 10.10.10.2:443, and 10.10.10.2:161 y su direccion virtual es 10.10.10.2
Cuando tu deshabilitas una direccion virtual, ninguno de los virtual servers asociados con la direccion puede recibir trafico entrante.
Tu creas un Virtual Server y automicamente creas una Virtual address. Cuando esta ocurre, el BIGIP asocia la virtual address con una MAC address. Con lo que responde a las solicitudes ARP y envia ARP gratuitos y responde con respecto al VS.
(Se puede deshabilitar el ARP aunque en raras ocasiones comprmete el sistema)
¿Cómo funciona un virtual Server?
Un usuario desde una red externa se conecta a través de su navegador mediante http.
El usuario inicia una conexión mediante su navegador a una URL. El browser resuelve la URL a un VS que esta previamente creado en el BIGIP. La dirección del VS es la dirección destino en la solicitud.
El BIGIP examina el correspondiente VS configurado y determina el pool de los servidores Web al que envía el tráfico entrante.
Se fija el VS y se examina el pool asociado determinado el método de balanceo de carga que se va utilizar
POOL
Es un grupo lógico de pool members. Aquí se especifica el método de balanceo y la asignación de monitores para que comprenda de un modo global
POOL MEMBERS
Cada uno de los servidores utilizados por el cliente tiene definido un pool member en el BIGIP. Cada pool member se compone de una IP y un servicio y estos son agrupados de manera lógica dentro del pool.
Nodos
Es representado mediante una IP, no son definidos directamente puesto que cuando se crea un pool member se crea el nodo al que pertenece. Un nodo puede representar varios pool members; esto significa que pueden haber diferentes servicios corriendo en la misma máquina
LOAD BALANCING
Escenario cliente-servidor
Un cliente solicita ir a una direccion IP con un destino especifico en la cabecera de la solicitud.
¿Qué es un balanceo de carga?
Es una configuración lógica de dispositivos,(servidores web) que tú agrupas todos juntos para recibir y procesar trafico. En vez de enviar directamente a una direccion IP, el BIGIP envía la solicitud a los members de un pool.
Cuando tu creas un pool, tu asignas pool members al pool. Un pool member es un objeto lógico que representa un nodo físico en una red.
Asociamos dicho pool con un virtual Server que será la IP que ataquen los clientes.
Métodos
Estáticos
Round Robin
Es el método de balanceo de carga mas sencillo. Distribuye la carga de un modo equitativo a los pool members que se encuentran disponibles dentro del pool.
Este algoritmo no distribuye la carga en función; ni de la carga de los servidores ni de los tiempos de respuesta.
Las nuevas sesiones que van llegando van siendo balanceadas al siguiente servidor disponible de la lista.
Ratio
Este metodo de balanceo distribuye la carga en funcion a los “pesos” que hayas configurado en los servidores. Un ejemplo: tenemos un servidor nuevo, varios servidores altamente preparados y servidores viejos.
Asignariamos pesos en funcion de la capacidad de procesamiento de trafico de los mismos.
Aunque tampoco responderían a la carga de los servidores ni a los tiempos de respuesta dinámicamente.
Con este algoritmo las nuevas conexiones son distribuidas basandose en un Round Robin pero respondiendo a la asignación de pesos.
Dinámicos
Fastest
Se basa en el numero de conexiones de conexiones de capa 7 que se estan procesando.
Su principal funcion es analizar los tiempos de respuesta de la solicitudes de los clientes.
Si un nodo ofrece mejor T/R que otro…
Es dinamico puesto que si un nodo ofrece mejor T/R que otro cambiara rapidamente y atacara al que mejor se lo ofrezca.
Least conection
Este modo determina que miembro tiene el menor numero de solicitudes alojadas en el servidor. En funcion de esta decision balancea a los nodos con menor numero de solicitudes.
Este metodo es utilizado para distribuir el trafico a los nodos que soportan los protocolos de larga duracion como por ejemplo: FTP y TELNET.
Observed
Este metodo chequea cada segundo el numero de conexiones de capa 4 de cada servidor y dinámicamente actualiza los valores de los pesos.
Ficheros de Configuración.
Config/Bigip.conf
Almacena todos los objetos de la configuración: Virtual Server, pools , profiles y SNATS.
Importante: Algunos objetos, tales como las SNATSà No residen en las particiones, Asi que si tu editas este fichero y lo añades a la seccion de este archivo, el objeto sera guardado pero no en la partición. Por consiguiente el objeto no es protegido por el control de acceso de la partición.
/config/bigip_base.conf
Almacena los componentes de red. Cuando sincronizas con el otro sistema , este fichero no lo compartes con la otra unidad.
Comandos
bigtop [options]
Parámetros :
-delay n : refresco.
-n : no traduce los nombres.
-once : muestra los datos solo una vez.
-bytes : en bytes en lugar de bits.
-pkts : en nº paquetes en lugar de bits.
-vips n : nº de Virtual Servers a mostrar.
-nodes n : nº de nodos a mostrar.
bigstart opciones
memstat : visualiza la memoria que ocupan
los procesos.
list : lista los procesos arrancados durante
el arranque.
status : muestra el estado actual de los
procesos.
start [proceso] : arranca el proceso
especificado o arranca todos los procesos
default por defecto.
stop [proceso] : para todos los procesos
deafult o uno en concreto.
restart [proceso] : reinicia todos los
procesos default o uno en concreto
add proceso : añade el proceso del inicio
del sistema.
del proceso : borra el proceso del inicio
del sistema.
add –default proceso : añade el
proceso de a la lista default.
del –default proceso : borra el
proceso de la lista default.
b ó bigpipe opciones
Parámetros :
version : versión de BIG-IP.
save : Todo lo que hayamos hecho
mediante el comando b pasa a grabarse a
los ficheros correspondientes.
list : Lista la configuración actual (En
memoria).
load : Si modificamos directamente un
fichero de configuración y queremos que los
cambios sean efectivos en el acto.
help : muestra la ayuda.
config sync all : Sincroniza la configuración
entre dos máquinas conectadas en HA.
db : muestra o configura las variables del
fichero /config/BigDB.dat
verify load / load verify : chequea sintaxis
de /config/bigip.conf.
tmm : estadisiticas del tmm.
global : estadisiticas del tmm, PVA, Host, ..
memory : consumo de memoria del Host y
del TMM.
Ejemplos :
b db boot.NetReboot enable
b db show
b global
b tmm
b config
Parámetros :
save fichero : Guarda la configuración a un
fichero.
install fichero : Carga la configuración
desde un fichero.
check : chequa la configuración.
sync show : comprueba estado de la
sincronización.
sync : Sincroniza la configuración al Peer.
sync pull : Sincroniza la configuración
desde el Peer.
b hardware [opciones]
Parámetros :
show : muestra el baud rate del puerto
serie.
baud rate valor : cambia el baud rate.
b platform [opciones]
Parámetros :
show : muestra licencia, software y
hardware del equipo.
bios rev : versión de la BIOS.
b db Boot.NetReboot enable
Arrancará por red la próxima vez
b conn [opciones]
Parámetros :
all delete ; borra todas las conexiones.
show : muestra las conexiones.
b makecookie IP:puerto
Genera una cookie
b failover standby
Pasa a modo standby
bigpipe self opciones
Parámetros :
show : muestra las Self IPs.
Creación :
b self 10.10.10.24 vlan internal
Borrado
b self 10.10.10.24 delete
bigpipe vlan opciones
Parámetros :
show : muestra las VLANs.
Creación :
b vlan miVLAN interface 1.1 1.2
Modificación :
b vlan miVLAN interface 1.1 1.2 1.3
Borrado :
b vlan miVLAN delete
bigpipe node opciones
Parámetros :
show : muestra los nodos.
bigpipe monitor opciones
Parámetros :
show : muestra los monitores.
Ejemplo _
b monitor mi_http2 { defaults from http
interval 5 timeout 16 dest *.80
send \"GET /\" recv \"Server\"}
Pools
b pool <poolname> {lb method <lb choice> <member definitions>}
Parámetros :
show : muestra los pools.
stats : estadisiticas.
reset : resetea estadisiticas.
Creación de Pools
b pool http_pool { lb method fastest
member 172.16.20.1:80 member
172.16.20.2:80 }
b pool HTTP_POOL2 { lb method fastest
min active members 2 member
192.168.1.146:80 priority 2 member
192.168.1.147:80 priority 2 member
Virtual Servers
b virtual <name> destination <vipip : service> pool <pool name>
Parámetros :
show : muestra los virtual servers.
stats : estadisiticas.
reset : resetea estadisiticas.
Ejemplos :
b virtual VS_ftp destination
10.10.X.100:21 pool ftp_pool
mirror conn enable
b virtual stats
Profiles
b profile <type> <name> mode <modetype>
Parámetros :
show : muestra los profiles.
http nombre ramcache dump : ve los
objetos almacenados en la caché.
http nombre ramcache reset : borra
objetos almacenados en la caché.
Ejemplos :
b profile persist Src_Persist mode
source addr timeout 15 mask
255.255.255.0 mirror enable
b profile clientssl perfilSSL
{ defaults from clientssl mode
“enable” key “certificado.key” cer
“certificado.cer”}
b profile http Miperfil ramcache dump
iRules
b rule
Parámetros :
show : muestra los iRules.
Ejemplos :
b rule irule_texto '{ when HTTP_REQUEST
{ if {[HTTP::uri] contains "text"}
{pool Pool_HTTP} else {pool
HTTP_POOL2}}}'
sNAT
b snat
Parámetros :
show : muestra las sNATs.
delete : borra una SNAT.
Ejemplos :
Borrado :
b snat MySNAT delete
Creación de una sNAT :
b snat MiSNAT { translation 10.10.1.200
origin 10.10.0.0 mask 255.255.0.0 }
b snat MiSNAT { translation
192.168.1.151 origin default }
Persistencia
b persist [opciones]
Parámetros .
show all : muestra los registros de persistencia actual.
all delete : Borra todos los registros.
SSL
b ssl [opciones]
Parámetros .
show : muestra las estadisiticas (TPS...).
stats : estadisiticas.
reset : resetea estadisiticas.
ASM
HTTP Class
¿Qué es?
Es un “puente” lógico entre LTM y ASM. La utilizamos para especificar el trafico entrante http, se aplica al sistema; application security antes de que el virtual Server reenvie el trafico a la aplicación web.
Cuando creas un application security class , el sistema automáticamente crea por defecto una aplicación web y una politica de seguridad.