Lab F5 – Mise en place – LTM + Quagga

Posted by – May 23, 2016

Je suis en train de preparer les 2 certifications F5 301a et 301b.

Autant la 201 TMOS etait relativement simple quand on a l’habitude du F5 grace au day-to-day en PROD, autant la 301 requiert un peu plus de preparation, et un lab un peu plus pousse.

Je vais donc avoir un premier F5 standalone, compose de 2 partitions (VRF.RED et VRF.BLUE).

Ainsi q’un cluster de F5 avec ces 2 memes partitions.

Pour m’occuper du routage ce sera un Quagga.

Habituellement pour le routage je fonctionne avec du cisco, des vCSR1000 dans mes labs.
Le probleme du vCSR est la limitation pour le lab a 5ko/s.
Mais comme le point important ici c’est les F5, une fois que j’aurai mis en place ma distribution je ne devrais plus y toucher.

Mon routage sera donc fait avec un serveur debian, et une surcouche Quagga.
Voila ce que je vise:

F5_quagga-VRF.RED

Ce sera la meme chose pour la VRF BLEUE.

F5_quagga-VRF.BLUE
Le seul point “moins propre” est que je ne sais pas comment mettre en place des VRF sur un quagga (et je n’ai pas envie de chercher, a priori il faudrait lancer 2 instances), mais peu importe ici ce n’est pas le routage qui m’interesse, mais la partie F5, donc tout fonctionnera dans la GRT (Global Routing Table).

Mon acces internet est fourni par un ASA virtuel que je joins avec un subnet /30 grace a mon vlan 2027.

 

Le reseau sur mes F5

Mon F5 possede 4 interfaces.

F5_quagga-if-f5

Mais seules les interfaces Network adapter 2,3 et 4 seront visibles sur le GUI, la premiere etant pour la gestion.

F5_quagga-if-f5-GUI

Le network adapter 3 ( = 1.2 dans le GUI) m’est utile pour joindre mon vlan DMZ, c’est dans cette zone que je situe mon GTM (Sur le meme equipement F5, j’y reviendrai surement plus tard).

Le network adapter 2 ( = 1.1 dans le GUI) est l’interface super importante pour moi, il faut le voir comme un trunk, c’est un Virtual Port Group dans un de mes vSwitch sur l’esxi, et il fait passer tous les vlans, donc dans le F5 je preciserai via cette interface tous les vlans qui m’interessent, ils sont precises sur les schemas plus haut.

 

Le reseau sur le quagga

J’utilise un serveur Debian GNU/Linux 8.4 en netinstall

J’ai 3 interfaces dessus:

F5_quagga-if-quagga

 

Configuration du Quagga:

Dans le fichier des interfaces, outre eth0 que j’ai configure pour ma gestion du serveur, j’ai juste active les 2 autres interfaces:

Ensuite j’ai simplement installe 2 choses

Il suffit maintenant de modifier 2 fichiers de conf et de relancer le service

Apres cela il suffit de se logguer dans le “routeur” quagga, pour se faire 2 solutions, et j’avoue ne pas bien saisir pourquoi… Mais peu importe, je voulais un routeur rapide a monter.

soit:

ce sera la meme chose que pour de l’ios (en tout cas tres proche) mais la commande ping n’existe pas…

soit en root

La on a bien la commande ping mais un (END) se met a chaque fois que l’on tape une commande et il faut appuyer sur ‘q’ pour le passer, c’est super agacant. Je suppose que ce genre de details doit pouvoir se regler, mais encore une fois ca ne m’embete pas outre mesure, je laisse comme ca.

Le Quagga a partir de la va recuperer les interfaces qui sont presentes sur le Debian, Quagga est une surcouche sur le serveur.

L’idee c’est de creer des sous interfaces avec les bons vlan (comme specifies dans mes schemas plus haut, grace au package ‘vlan’ installe plus haut il me suffit de faire:

Si on retourne sur le Quagga:

Maintenant il suffit de configurer normalement le Quagga, et voila la config finale:

 

Ne surtout pas oublier d’activer le ip forwarding

 

Configuration du F5

Il ne reste plus qu’a configurer les F5. Je vais passer sur la configuration de base, je pars du principe qu’on a deja un F5 fonctionnel avec une partition Common, je detaillerai dans un autre article ce genre de configuration.

Pour commencer on va creer la partition, on se place dans Common (par defaut) et on navigue dans System > Users > Partition List

esx-partition-1
On clique ensuite sur Create…

esx-partition-2
On choisi un nom, ici VRF.BLUE et on clique sur Finished
esx-partition-3
Apres cela on va changer de partition (tout en haut a droite) pour aller dans celle que l’on vient de creer
esx-partition-4
Maintenant on navigue dans Network > VLANs > VLAN List
esx-partition-5
On clique sur Create…
On choisit un nom, dans le champs Tag, on precise le numero du vlan.
Dans la partie Resources, on precise que c’est l’interface 1.1 et qu’on souhaite tagguer, et on clique sur Add.
Une fois que c’est ok on clique sur Finished

esx-partition-6
On repete l’operation pour le vlan interne (2202) et on obtient cela:
esx-partition-7

Ne pas tenir compte du vlan GTM_Externe, qui est dans la partition Common, et qui correspond a autre chose.

Maintenant qu’on a nos 2 VLANs, on va creer le route domain, qui est comme une instance de routage pour cette partition, on va dans Network > Route Domains et on clique sur Create…
Chaque route domain doit avoir un ID unique, 0 est l’ID par defaut de la partition Common, j’ai deja cree un autre route domain pour la VRF.RED avec l’ID 10, on va donc creer ce route domain avec l’ID 20
Les VLANs disponibles seront les 2 vlans crees precedemment, et on precise egalement dans le dernier champs:
Make this route domain the Partition Default Route Domain
esx-partition-12

On va configurer nos adresses IP, on va dans Network > Self IPs et on clique sur Create…
esx-partition-8

On va renseigner ensuite les informations necessaires.
Le point important (outre l’adresse IP evidemment), c’est le VLAN, ici on va utiliser le vlan cree precedemment.
Pour l’adresse IP qui correspond a la partie Externe (par la ou les clients arriveront) on utilisera le vlan Externe.
esx-partition-9
Le Port Loackdown ici ne nous sera pas utile, c’est ce qu’on autorise vers cette adresse IP, ici, rien du tout.
Si on met en place un GTM qui viendra poller cette adresse, ce sera important de repasser par ce menu.
De plus avec un Allow None, on ne pourra pas non plus se connecter sur cette adresse IP pour gerer le F5.

Ce qui nous donne:
esx-partition-10

On va maintenant creer les routes utiles, on va dans Network > Routes
On clique sur Add
Pour joindre les Serveurs, il faudra passer par le vlan Interne, donc on utilisera l’ip 10.205.31.238
esx-partition-11
Ensuite on cree une route par defaut (pour les clients) qui passera par 10.205.31.254
esx-partition-13

Et voila nos routes:
esx-partition-14
La configuration est terminee.

Il suffira de choisir pour nos VS des ips dans le subnet 10.205.24.0/24 et pour le SNAT dans le subnet 10.205.25.0/24

3 Comments on Lab F5 – Mise en place – LTM + Quagga

  1. Molly says:

    Aprcipiateng the dedication you put into your site and in depth information youoffer. It’s nice to come across a blog every once in a while that isn’t the same out ofdate rehashed information. Great read! I’ve bookmarked your site and I’m including your RSS feeds to my Google account.

  2. http://www./ says:

    Le quizz donne un résultat en fonction des réponses que TU choisis…Donc en quelque part si t’as répondu sincèrement…P-ê que s’t’un côté caché que tu ignores involontairement…

  3. Jlab says:

    Merci pour cette mise en place
    Jlab du site http://www.testmateriel.net/meilleurs-routeurs-wifi/

Leave a Reply

Your email address will not be published. Required fields are marked *