入門售后apm poc training基本功能安裝配置

1、APM POC Training常見部署方式基本功能安裝配置如何排錯(cuò)典型應(yīng)用場(chǎng)景分析目錄常見部署方式基于SSL VPN的功能，部署方式多為串接。單臂或雙臂接入，其目的是打通不同職能的兩個(gè)網(wǎng)段。常見部署方式基本功能安裝配置如何排錯(cuò)典型應(yīng)用場(chǎng)景分析APM 配置-Wizard選擇配置類型：Network Access、Portal Access、Web Application for LTM VS針對(duì)特殊應(yīng)用，可去 上下載iApp，部署更便捷。 AAA Server 配置AD 配置 Domain Name：域名Domain Controller:域控服務(wù)器名稱（FQDN）Admin Name:管理員

2、名稱Admin Password:密碼注：DN與DC填寫內(nèi)容肯定不一樣。Admin Name注意大小寫，可不寫Administrator，只要是VPN用戶所在Group或OU的管理員賬號(hào)都可以。使用AD需配置DNS、NTP，已確保域名解析及時(shí)間差，AD與F5時(shí)間差需小于5分鐘AAA Server 配置AD Query可過濾從AD查詢的信息內(nèi)容，減少數(shù)據(jù)量。進(jìn)一步過濾查詢信息，只要memberOf屬性的內(nèi)容AAA Server 配置傳統(tǒng)的AD Query已知AD中vpn用戶分為三個(gè)組，group a、group b、group c，在Ad Query中添加三條branch rules，分別對(duì)應(yīng)三

3、組用戶的member of。如果一個(gè)用戶屬于多個(gè)組，branch rule可使用or、and。Member of屬性填寫時(shí)字母與標(biāo)點(diǎn)之間無空格，切記。問題：當(dāng)用戶有幾十個(gè)組時(shí)怎么辦？AAA Server 配置LDAPServer Address: Ldap server的IP地址Admin DN: CN=Administrator, ,DC=cnAdmin Password:管理員密碼LDAP同AD，需配置DNS及NTPAAA Server 配置LDAP QuerySearchDN是必填項(xiàng)SearchFilter可選擇填寫，可過濾query結(jié)果Branch Rules配置與AD相同AAA Se

4、rver 配置RadiusServer Address：填寫radius服務(wù)器IP地址Secret：填寫密碼注：部分Radius Server需綁定源IP，也就是F5 的Self IP AddressAAA Server 配置Radius 認(rèn)證及QueryRadius Server中用戶的Attribute值可作為區(qū)分用戶的值，如memerof一樣。AAA Server 配置OCSP URL： server IP注：ocsp server與F5的時(shí)間差要小于5分鐘，否則WebtopFull Type：可關(guān)聯(lián)所有資源Network Access：只能關(guān)聯(lián)網(wǎng)絡(luò)連接Portal Access：只能關(guān)

5、聯(lián)Portal鏈接ACLACL可按源、目的、地址段、端口段、host、協(xié)議做限制Log：Packet Enable對(duì)所有命中ACL的流量做記錄，為排錯(cuò)、審計(jì)提供參考。ACL針對(duì)多個(gè)組分配不同ACL時(shí)，可按組配置好各組ACL，按精細(xì)度調(diào)整ACL的Order值，將All_Deny放在最后，用戶的訪問行為會(huì)按Acl Order值從低到高去配置，匹配一條即停止。這樣的配置邏輯清晰且便于運(yùn)維管理。Network AccessIPV4 Lease Pool：分配給VPN用戶的地址池，可與selfIP地址同網(wǎng)段，也可不同網(wǎng)段SNAT Pool：因Network方式無法分配給客戶端網(wǎng)關(guān)，所以Lease poo

6、l地址與self ip不同網(wǎng)段時(shí)，需打開auto map，Log仍保證用戶可以看到源IPSplit tunnel：隧道分離DNS/host：可為用戶分配DNS也可為特殊訪問做host與IP的綁定Network AccessLaunch ApplicationLaunch Application：調(diào)用客戶端默認(rèn)瀏覽器，打開 。支持windows、Linus、MAC、iOS、rooted android 低于4.0、android 4.0、三星手機(jī)。建議：針對(duì)復(fù)雜頁面，尤其是HTML5或Flash編寫的，使用這種方式，Portal Access會(huì)有很多不確定的因素。Portal AccessPat

7、ching：改寫頁面內(nèi)容可根據(jù)頁面狀況適當(dāng)調(diào)整Application URL：頁面的鏈接地址常見部署方式基本功能安裝配置如何排錯(cuò)典型應(yīng)用場(chǎng)景分析善用 LogSession log 顯示了VPN登陸的整個(gè)流程涵蓋了審計(jì)、排錯(cuò)需要的很多內(nèi)容如源IP、分配的資源、獲取的IP地址、訪問行為等善用 Log截止到上圖中PPP tunnel，以上部分保存在/var/log/apm中。往下部分保存在/var/log/pktfilter中。注：V11版本后apm的log不在寫入到/var/log/apm中，可在manage session、Reports中查看?？赏ㄟ^下方命令讓log寫入到/var/log/ap

8、m中。tmsh modify /sys db log.access.syslog value enable 常見部署方式基本功能安裝配置如何排錯(cuò)典型應(yīng)用場(chǎng)景分析典型應(yīng)用場(chǎng)景分析用戶需求：VPN用戶使用證書登陸，驗(yàn)證成功后使用用戶名及密碼由AD驗(yàn)證同時(shí)做分組信息查詢，不同用戶組（8個(gè)組且AD中組信息使用中文）分配不同權(quán)限（資源、ACL）；移動(dòng)終端使用用戶名及密碼登陸，但PC不允許使用，如訪問需重定向到PC的訪問入口，分配資源與PC相同。要求看到客戶端源地址并對(duì)訪問行為做記錄。使用On-Demand Cert Auth ,SSL Profile中client certficate使用ignoreP

9、C終端VPE流程圖典型應(yīng)用場(chǎng)景分析Full Resource Assign詳解原理：流程走到此步驟后，用戶會(huì)從上到下逐條去匹配策略，會(huì)將匹配到的策略全部賦給用戶。操作：VPE中添加的AD Query不增添branch rules，目的只是從AD中取回用戶屬性。Full Resource Assign中先添加Add new entry，然后change Expression，添加AD Query的branch rules，然后點(diǎn)擊add/delete添加資源。重復(fù)操作將所有組添加完成。好處：AD中組、OU數(shù)量多時(shí)，使用傳統(tǒng)方法配置太過繁瑣，幾乎不可能完成。新方法可大大降低工作量，更便于后期用戶的

10、運(yùn)維。典型應(yīng)用場(chǎng)景分析移動(dòng)終端VPE配置流程圖典型應(yīng)用場(chǎng)景分析用戶需求：VPN用戶分兩部分，一部分使用證書登陸，一部分使用用戶名及密碼由Radius驗(yàn)證同時(shí)做分組信息查詢，不同用戶組分配不同權(quán)限（資源、ACL）；移動(dòng)終端使用用戶名及密碼登陸，分配資源與PC相同。要求看到客戶端源地址并對(duì)訪問行為做記錄。此需求要求證書用戶與非證書用書從同一個(gè)VS訪問，使用Decision Box選擇框提示用戶對(duì)是否使用證書認(rèn)證做選擇，然后使用Client Cert Inspection 對(duì)證書用戶進(jìn)行驗(yàn)證并做radius認(rèn)證，最后在Full Resource Assign使用radius query并分配資源。贈(zèng)品一直以來困擾我的問題就是AD或LDAP中用戶的組或OU信息是中文的。一個(gè)用戶屬于多個(gè)組，只要有一個(gè)組的名字是中文的，用戶所有m