F5 BIG-IP – Life of a packet

Connaître la durée de vie d'un paquet est très important pour les ingénieurs réseau. Cela nous aide à savoir où se trouve le paquet en cas de problème. J'ai étudié la durée de vie d'un paquet dans le pare-feu FortiGate il y a des années lorsque j'ai commencé à installer ce type d'appliances. Aujourd’hui, j’étudie également la durée de vie d’un paquet pour les appareils BIG-IP. Jetons un coup d'œil à l'article suivant.

 

La vie d'un paquet

Nous allons commencer avec le paquet entrant dans la boîte et c'est là que l'interface va frapper le paquet et entrer. La première chose qu'elle va faire, si nous avons une boîte hardware, est d'appuyer sur l'ASIC de déchargement matériel et , au niveau hardware, nous examinerons plusieurs choses différentes. Nous avons d'abord les secteurs DoS L2 à L4, puis nous avons également l'intelligence IP (IPI) et enfin l'accélération hardware. Si nous avons une baisse du DoS L2 vers L4 ou de l'IPI, alors nous allons réinitialiser le trafic.

S’il n’y a rien d’autre que l’ASIC puisse examiner, il passera à la couche deux. C'est dans L2 que nous allons avoir les filtres de paquets sans état, puis nous aurons également notre recherche de flux. Si les filtres de paquets sans état détectent quelque chose, nous allons les supprimer et les réinitialiser au point de recherche de flux. Nous allons en fait jeter un œil au tableau des flux. Ce n’est pas vraiment un chemin actif. C'est juste une sorte de plan de contrôle. Cela va faire une requête puis il va répondre, oui ou non, sur un flux existant. S'il existe un flux existant, il doit être dirigé vers la chaîne HUD, qui concerne tous les modules sur BIG-IP tels que LTM, ASM, DNS ou APM. À propos, Tcpdump se produit en L2. Cependant, s’il n’y a pas de correspondance pour un flux existant, nous passons à L3.

Si nous n’avons pas de boîtier hardware, nous avons également des vecteurs DoS L2 à L4 côté logiciel. Par conséquent, si ces vecteurs trouvent une correspondance dans l’une de ces heuristiques, les paquets seront supprimés. Sinon, nous allons procéder à une recherche des Virtual Servers. N'oubliez pas que BIG-IP sans Virtual Servers ne transmettra aucun trafic. Nous pouvons avoir toutes les routes du monde mais c’est une boîte de refus par défaut. Pas des Virtual Servers, pas de trafic. Au moins pas de trafic via la box. Le trafic atteindra évidemment la boîte, mais il ne passera pas à moins qu'il n'y ait une correspondance des Virutal Servers.

Si nous avons l'AFM, nous avons le contexte global, nous avons les domaines de routage et ensuite nous avons les Virtual Servers. Les Virutal Servers s’intègrent évidemment à l’intérieur et à l’extérieur de l’AFM. Si nous n’avons pas d’AFM, le processus du Virutal Server s’applique toujours. Dans le contexte global, nous n'avons que le pare-feu réseau. Cependant, nous disposons d'un IPI et d'un pare-feu réseau dans les domaines de routage et les Virutal Servers.

Enfin, nous allons passer à l’acceptation du flux et le flux va être créé. Ensuite, nous allons remplir la table des flux avec ce flux. Alors la prochaine fois, il sait que c'est un bon flux. Le flux est accepté puis il passe par la chaîne HUD où va tous les profils que nous avons créés, d'abord côté client et plus tard côté serveur. Ensuite, les paquets vont vers L3, puis L2, où Tcpdump a lieu, et enfin via les interfaces réseau.

Connaissez-vous la durée de vie d'un paquet dans BIG-IP ?