Lab F5 – Installation basique d’un LTM

Posted by – May 23, 2016

Pour commencer j’ai deploye la version ova du F5 de test que l’on peut trouver ici:

https://f5.com/products/trials/product-trials

J’ai pris la version d’evaluation de 90 jours uniquement avec le LTM.

J’ai deploye de maniere classique le .ova dans mon esxi. Ce qui est eventuellement notable c’est le choix au niveau des interfaces.

La premiere interface est dans mon vlan de gestion, les 2 suivantes, qui correspondent a Interne et Externe (dans le template) sera dans mon vlan F5_all, qui est un group port dans un vswitch avec tous les vlans (une sorte de trunk), et la derniere interface qu’ils appellent HA, j’ai utilise le group port HA Control vSwitch1 – Cluster 1. J’utiliserai bien sur le meme pour le 2eme F5 qui sera installe plus tard dans un cluster.

More

Lab F5 – Mise en place – LTM + Quagga

Posted by – May 23, 2016

Je suis en train de preparer les 2 certifications F5 301a et 301b.

Autant la 201 TMOS etait relativement simple quand on a l’habitude du F5 grace au day-to-day en PROD, autant la 301 requiert un peu plus de preparation, et un lab un peu plus pousse.

Je vais donc avoir un premier F5 standalone, compose de 2 partitions (VRF.RED et VRF.BLUE).

Ainsi q’un cluster de F5 avec ces 2 memes partitions.

Pour m’occuper du routage ce sera un Quagga.

Habituellement pour le routage je fonctionne avec du cisco, des vCSR1000 dans mes labs.
Le probleme du vCSR est la limitation pour le lab a 5ko/s.
Mais comme le point important ici c’est les F5, une fois que j’aurai mis en place ma distribution je ne devrais plus y toucher.

Mon routage sera donc fait avec un serveur debian, et une surcouche Quagga.
Voila ce que je vise:

F5_quagga-VRF.RED

More

MP-BGP Cisco – CF Juniper – 3 vrfs

Posted by – May 20, 2016

Ici je vais mettre en place une topologie avec un coeur de reseau MPLS, compose de 5 PE et d’un P qui sera notre Route Reflector.
On va y faire du MP-BGP pour 3 VRF:

MAD_I1 – VRF Client 1
MAD_I2 – VRF Client 2
MAD_F – VRF Fusion, qui permettra aux clients d’une VRF de transiter d’un Coupe Feu a l’autre pour atterir dans la seconde VRF Client.

mp-bgp-cisco-cf-global

More

Juniper advertise-peer-as

Posted by – April 8, 2016

Chez Cisco c’est simple, si on veut faire du peer du genre:

AS1 – AS2 – AS1

Avec par exemple la vrf red pour la premiere occurence de l’AS1 et la vrf blue pour la seconde occurence de l’AS1, on va mettre un allowas-in X (avec X le nombre d’occurence autorise, qui est 3 par defaut sur les dernieres version d’ios XE.

 

Chez Juniper c’est un peu different, car le routeur (ou tout du moins l’equipement avec un junos on va dire) va reflechir a la place du peer.

Dans mon exemple du haut on aurait ce setup:

Les connexions entre chaque equipements sont des liaisons ebgp

 

juniper_3_hops

More

FTP mode Actif et FTP mode Passif

Posted by – January 13, 2015

On entend souvent parler de ces 2 modes, je ne m’etais en fait jamais penche dessus…

 

Fonctionnement du mode actif

1/ Le client contacte le serveur sur le port 21 depuis un port aleatoire > 1024. Three-way handshake classique en TCP
2/ Le client envoie la commande PORT qui va specifier au serveur un numero de port a contacter
3/ Le Serveur demarre une nouvelle connexion vers le client sur le port specifie par le Client, avec en port source le port 20. S’en suit un Three way handshake sur ce nouveau port.

Les datas transiteront ensuite par cette connexion.

Fonctionnement du mode passif

1/ Le client contacte le serveur sur le port 21 depuis un port aleatoire > 1024. Three-way handshake classique en TCP
2/ Le client envoie la commande PASV pour signifier au serveur qu’il souhaite une connexion dite passive.
3/ Le serveur Acknowledge la demande du client et lui repond avec le port sur lequel le joindre.
4/ Le client demarre une nouvelle connexion vers le serveur sur le port specifie, avec en port source un nouveau port aleatoire > 1024. S’en suit un Three way handshake sur ce nouveau port.

 

More

MP-BGP Reseau redondant – Part3/3

Posted by – May 13, 2014

Partie 1 : Mise en place de la configuration IP basique

Partie 2 : Configuration (i|e)BGP

Dans cette troisieme et derniere partie, je vais expliquer en detail les choix retenus pour l’architecture en terme de flux IP. On souhaite avoir un routage symetrique et robuste, mais comme un schema sera plus parlant:

 

More

MP-BGP Reseau redondant – Part2/3

Posted by – May 7, 2014

Dans ce second article, on va mettre en place les liaisons (i|e)BGP entre tous les routeurs.

A la fin de cet article, ce qui sera mis en place ne beneficiera d’aucun controle de flux, globalement ce sera inutilisable en l’etat ! Il faudra mettre en place de la redistribution, des local_pref des weights des prefix-list etc…
Ce sera l’objet de l’article suivant, histoire de ne pas surcharger celui-ci.
Le prochain article sera donc a mon sens le plus interessant.

Nous ferons donc du MP-BGP pour faire transiter nos VRF via BGP.

Le schema des AS est ainsi:

bgp-AS-simple

Avec dans l’AS 65300 les routeurs PE1 a PE5 

 

More

Cisco WSA – interdire spécifiquement un site web et changer la page de notification

Posted by – May 6, 2014

De temps en temps, il m’arrive de me perdre dans les méandres d’Internet et il me faut un petit coup de pouce pour me remettre dans le droit chemin.

Avec Cisco WSA (Web Security Appliance), un proxy web, nous avons une solution interessante:

More

MP-BGP Reseau redondant – Part1/3

Posted by – May 4, 2014

Voila 3 articles qui vont se suivre, le premier va permettre de mettre en place la partie un peu chiante, la configuration niveau 2 et 3 avec le reseau dorsal ospf, dans la partie 2 nous verrons comment mettre en place MP-BGP pour avoir une configuration totalement redondante (ou quasiment, dans mon lab je ne vais pas doubler tous les equipements…)

Le 3eme article parlera des regles qu’on mettra en place (route-map/prefix-list-AS_Prepend…) pour obtenir la robustesse souhaitee, et le routage symetrique avec des regles precises.

On va mettre en place un reseau redondant pour donner acces a plusieurs clients (CE) a internet et egalement etre eux.

On va specifier 2 zones (A et B) qui pourraient correspondre a 2 zones geographiques.

Chacune des zones aura son propre acces a internet.

On veut pouvoir remonter a un routeur “Firewall” (FWA ou FWB). Quand on va sur internet ou quand on veut communiquer avec une autre VRF que la notre.

On pourrait imaginer que dans ces FW on implemente de regles de filtrage.

Le schema qu’on veut implementer ressemblera a ca:

layer-bgp-easy3

More

BGP – Definitions

Posted by – April 20, 2014

Il existe beaucoup d’acronymes et de definitions existantes pour tout ce qui a trait a BGP, voila un rapide resume de ce qu’on peut dire a ce niveau la.

More