418128, 当一个被disabled的 members/POOL在启用后，如果irule在LB selected事件之前的其它事件中执行pool 类命令的话，会导致LB::status对该对象返回的状态信息为session_disabled或down，此版本修正为输出unset 469020， 为gtm_add增加 -y参数，代表对所有问题输入YES 471856, version 11.x TMSH and REST GTM Pool and Wide IP related commands are not …

224022：HTTP response 统计信息（例如版本，状态码等）从以前的server side改到在client side统计，这样可以更准确反映客户端所得到的responses 224131：GSLB中全局设置send-wildcard-rrs（控制是否跟随掩码wideip的创建而自动在BIND中创建通配A记录，例如*.cnadn.net）默认被启用，即以后会自动创建对应的通配A记录 227347，增加可以控制cookie 属性的irule命令 250670，修正http cookie 命令不再增加无用的…

Cisco ACI - F5 Integration Documentation Cisco ACI - F5 Integration Documentation (Physical Appliance 5000 Series, Apr, 15)

如果一个企业希望当用户访问任意SSL加密的数据时也能监控其内容的话，同时又希望用户不要觉察到TA可能在被监控（至少对于绝大部分普通用户来说），可以考虑使用SSL forward proxy。该功能的基本原理类似于前段时间某强大的传说中的火墙干的那样，当请求通过时候，实时on-fly签发一张让用户感觉不到的server证书，这样客户端SSL实际是和中间设备（F5）在通信，F5在server侧模拟充当普通客户与实际网站通信，从而实现数据解密。 对于F5来说，其实际通信过程如下： client 发起 client hel…

漏洞发生在BIND分析接收到的query数据包阶段，因此对于BIND来说没有任何workaround，除了打补丁。 在F5 GTM上，被攻击的现象是，named会被重启，同时产生一个named的dump文件，日志类似如下： [crayon-69454c30181b1586601783/] 若攻击不是持续发生，理论上GTM智能解析不会受到影响，当然如果那个时候必须需要BIND返回消息的解析则会在crash期间受到影响，但named重启后则解析恢复正常。 防范： 首先F5有一篇SOL，请查看 https://suppo…

[crayon-69454c3018273536112136/]   [crayon-69454c3018277777899016/]   [crayon-69454c3018279209492786/] 如果把上面的ovs配置中的l2_population 设置为true，会导致vxlan隧道建立不起来，问题待研究。。。 F5 1.0.8 plugin: [crayon-69454c301827a285889324/]  

在还没有开始研究各种高大上的自动化控制之前，在还没有考虑各种复杂的企业场景之前，先来研究一下比较普遍的公有云下你希望购买几个server资源，并配上一个负载均衡设备，或者作为企业完全的虚拟化场景下做一些F5产品的测试场景。这些场景相对对SDN方面要求的弱些，就像ESXi上部署各种server，F5一样，是个虚拟化的过程。 此篇博客描述如何在租户内配置一个F5实例， 当一个租户获得资源后，在租户内部网络与传统网络并无二致，因此在实体网络经验下部署F5的经验统统可以用到。租户内部部署一台F5并不需要安装F5 plugi…

腾讯曾在其微信公众账号中介绍过HTTPDNS的实现，具体为什么要设计httpdns，大家可以搜一下腾讯httpdns。httpdns为手机APP提供了一种简单稳定可靠的方式来快速获取智能DNS解析结果，而且httpdns绕过了传统dns的交互步骤，使得后端智能解析决策DNS服务器可以直接看到真实客户端地址，这解决了当今edns-client-subnet还不能完全被支持的窘境，优势很大。 而实际上这个看着逼格很高的技术通过F5的irule也可以快速的实现，对已经部署GTM/LTM设备的F5客户来说，这一切很容易实现…

在三台vmware的虚拟机上模拟安装三节点openstack，网络设计如下，该结构在控制节点上安装nova，glance，keystone，neutron, horizon, 在network节点上安装网络服务相关的各种plugin，计算节点上安装nova计算 在上述网络中，compute的 eth1 和 network的eth1 通过GRE tunnel构成二层互联，DHCP服务运行在network节点上，当一个vm在compute上启动后，dhcp服务可以通过GRE隧道给该vm自动分配IP。 在network节…

F5有一个很酷的在线分析工具，能够给F5管理员提供对设备的在线分析和诊断，用户只需上传设备的qkview文件，系统即可以自动组织分析出当前设备存在的问题，qkview采集时点系统的状态数据等，是一个非常厉害的工具，是一个利器。同时ihealth API系统通过REST提供了一套访问接口，我们可以利用该工具，通过脚本完成一系列的自动化工作，用于帮组日常维护及巡检，例如定期产生qkview数据并自动上传到ihealth，并自动提取产生的问题建议（ihealth每周更新维护一次其联想分析数据库，定期执行检测可帮组发现最新…

以下为转载，2014的ADC MQ很快就会发布，看转载前，先看看历年ADC MQ情况： 2007: 2008,2009 2010 2012 2013 HOW ABOUT 2014?! Coming soon: Magic Quadrant for Application Delivery Controllers (ADC) by Andrew Lerner  |  October 21, 2014  |  Submit a Comment We just published the 2014 Magic Quadr…

此工具可用来模拟各种攻击，非常方便于测试，特别是AFM,ASM产品的测试演示。 系统需放置在一个专用的linux环境下，有兴趣的小伙伴可以私下联系获取该ova文件. 模拟地址 www.dnssecchina.com/dostool 注意只是界面演示，实际不会发生攻击。

AFM模块可用于抵抗很多种类型的DOS攻击，在系统中对各个攻击类型的检测设置一般如上图所示，包含三个配项，其含义如下： Detection Threshold PPS， 每秒包数，系统会自动采样最近1分钟内每秒包数（profile结果中的stats 1m），若统计值大于设置值，则系统认为攻击发生。攻击发生后，系统每秒采样一次值，若值依旧大于设定阀值则攻击在持续，低于该值，系统认为攻击停止。   Detection Threshold percent，这是相对值，系统将最近1分钟（stats 1m)的值与最…

  在F5的monitor中我们总会看到两个计时器选项interval和timeout，通俗的讲就是每隔interval时间执行探测一次，如果timeout时间之内没有应答（回复），则认为失败。 但这里面有不少细节，这里的timeout到底是指的什么，是指每一次探测所要等待的时间还是总时间，如果针对第一次的探测响应在第二次探测发出后才回来，会是什么结果？应用层的行为是否会反过来影响探测？ 事实上monitor用两个维度来看待上述两个计时器，当0s monitor开始工作时，系统将开始维持两个监控状态，一个…

SSL external handshake卸载，将一台F5的SSL握手处理offload给另一台F5， 这为部署VE或者购买很多低端硬件设备，又想节约投资的用户提供了方便。 SSL session mirroring，支持mirror SSL session 信息 扩展Traffic group 支持数量到127个 支持通过dns产生pool adaptive response time，为monitor增加基于monitor延迟时间的状态判定 kernal 升级 NET-SNMP升级到5.7.2 基于每part…

测试SAML协议及APM上实现 如何获得下载密码，请微信关注 F5技术 订阅号后，回复downloadpwd 或微信扫描立刻关注 [wpdm_file id=3 title="true" template="facebook drop-shadow curved curved-hz-2" ]