AD+RSA令牌动态密码+域密码这种模式下，配置后如果要取消域密码验证，不要简单的在用户--全局下 将“单独注册使用额外的网域密码”，而应该先在主组的验证界面将“依靠域验证”先勾去，再勾去全局下的设置。否则，系统还认为设置存在。那样怎么都登陆不了了~，日志会显示domain password错误。我的版本是6.0.1...

之前公司的RSA认证服务器一直是同事给VPN提供的，我也没装过，于是昨天想着让Firepass也用令牌来验证。就装了一套RSA ACE服务器。下面总结几个：1.ACE服务器支持RSA native 和radius两种模式，Firepass上如何设置rsa native有专门的帖子，ACE将FP作为agent host。前提注意将agent host的name提前在host文件中编辑好和IP的对应关系，这很重要。2.当使用rsa的radius时候，fp上配置较简单切换到radius认证 填上简单信...

确实是佩服F5公司，网上说FP是屡获殊荣，有着绝对领先于竞争产品的验证技术，一点也不假！它的动态组映射，确实太有开创意义了，本地无需任何帐号，却能完成几乎目前能见到的所有认证方式～今天仔细研究了其与AD进行KERBOS认证的行为，自感觉似乎还没完全领会其中的奥秘，仅记录以便后查FP利用预配置的域帐号进行的帐号查询---->组映射无匹配，不会执行主组验证用户---->查询是否本地有对应账户----->如果没有，则使用从属主组里的组来验证（按顺序）。注：在V5。5版本的时候这个验证...

本文的背景环境是,FP部署在运维域中,使用运维域做基本认证,但却希望让另一个域(比如客户域)的用户使用其自己的域帐号来登录.1.在动态组映射中设置的验证,只是用来校验在验证服务器中是否存在登录的用户，并不校验密码，它是利用预置在“请求配置”里的具有域权限的帐号来查询这个用户是否存在于验证服务器中，如果存在，并命中了组映射中的条目，那么它将接着使用master group中的指定的验证方式来验证，这个时候才是真正的核对用户名和密码信息。 例如，假设想让A域中某个用...

FP resource group mapping process FP master group mapping process...

...

a/a模式下的同步除了要对同步进行基本的配置外（此模式下有相同的配置文件/config/bigip.conf），还需做以下工作：1.关联 vs ,selfip address, snat 和机器单元号，如unit 1上的则关联到1 ，2上的关联到22.执行双向同步。查看和关联的命令是：查看：b virtual address all show 显示所有VS的详细属性          b virt...

客户端、服务器段在同一网段(要求服务器能看到正确的客户端IP) 除了利用之前的一篇文章处理外，还可以利用 vlangroup，如上图，vlangroup包括vlan a和vlan b，且VLANGROUP的IP也是在同一网段（这是F5要求的），此时：建立一个VS,vip 10.0.0.250/16

简单总结ACTIVE/STANDBY 模式，单向浮动，单向复制ACTIVE/ACTIVE模式， 双向浮动，双向复制VS对外表现无需关心，但有一个link down time设置，以便其他设备重新学习到MAC只有A.S模式有MAC伪装功能配置顺序：单台基本配置，单台冗余配置，冗余高级属性配置，配置同步failover ip 就是实际的self ipfloating ip是浮动给后端服务器看的IP待讨论：当容许时候，启用了SNAT的VS，在转发数据给后端服务器的时候是否依然用self ip作Sour...

众所周知 ，F5常见的接入模式是采用串联接入，串联接入的好处是结构清晰简洁，但事实中，一个已经建好在用的网络可能很难接受断网串结带来的改变，此时旁路模式则是一种非常好的办法，它不用改变网络物理结构，同时还能满足串接的逻辑结构。如图： 在正常的访问中，client访问VIP地址192.168.165.200，F5处理接到的数据包并均衡给相关server，server响应的数据则会被发给F5，F5在发给client，这样就完成了一次完整的逻辑串联数据处理流程。如果说，我们日常就这么用，到也...