F5 BIG-IP 21.1 LTS 发布 - 多云安全和应用交付
BIG-IP 是硬件平台和软件解决方案的集合,提供专注于安全性、可靠性和性能的服务
请访问原文链接:https://sysin.org/blog/f5-big-ip-21-lts/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
BIG-IP 是一套由硬件平台和软件解决方案组成的产品组合,旨在提供以安全性、可靠性和性能为核心的服务(sysin)。
BIG-IP 软件产品是运行于 F5 Traffic Management Operating System®(TMOS)之上的授权模块。
BIG-IP 产品概述
详见:F5 BIG-IP 下载汇总 - 业界领先的应用交付与安全服务
BIG-IP
F5 持续扩展的产品组合,可提供您所需的可用性、性能与安全性
BIG-IP Access Policy Manager (APM)
保护、简化并安全管控用户对应用和数据的访问
BIG-IP Advanced Firewall Manager (AFM)
保护您的网络免受包括复杂 DDoS 攻击在内的入站威胁
BIG-IP Advanced WAF
通过行为分析、Bot 防护以及应用层加密保护应用
BIG-IP Carrier-Grade NAT (CGNAT)
作为整合功能套件的一部分,提供快速、可扩展且安全的 IPv4/IPv6 IP 地址管理
BIG-IP DNS
在高查询量和 DNS DDoS 攻击期间提供超大规模能力与安全防护
BIG-IP Local Traffic Manager (LTM)
管理网络流量,确保应用始终保持快速、可用和安全
BIG-IP Policy Enforcement Manager (PEM)
通过有效的策略管理提升网络性能
BIG-IP Service Proxy for Kubernetes
为云原生 5G 提供多协议入口/出口信令控制、安全性与可观测性
BIG-IP SSL Orchestrator
通过加密/解密与流量引导最大化基础设施效率与安全性
Container Ingress Services
为容器部署提供自动化、编排与网络服务
BIG-IP Deployment
可在本地、云端或混合环境中部署您的应用。
BIG-IP iSeries Appliances
具备 L4/L7 吞吐与连接处理能力的可编程 ADC 硬件设备
BIG-IP VIPRION Chassis and Blades
通过增加刀片扩展基础设施,而不会中断应用或用户(sysin)
BIG-IP Virtual Edition
基于软件的流量管理、应用安全与可观测性
Cloud-Native Network Functions
帮助您向云与 5G 转型的云原生解决方案
F5 rSeries
具备完全自动化架构,并为关键应用提供最高级别的可靠性、安全性与访问控制
VELOS Chassis and Blades
提供现代架构所需的敏捷性与扩展能力
BIG-IP 软件支持策略
Major Release and Long-Term Stability Release versions supported with active software development
| Major Release, Minor Release, and Long-Term Stability Release versions | First customer ship | End of Software Development | End of Technical Support | Latest maintenance release |
|---|---|---|---|---|
| 21.1.x | May 5, 2026 | May 5, 2029 | May 5, 2029 | 21.1.x |
| 21.0.x | November 6, 2025 | August 6, 2026 | August 6, 2026 | 21.0.x |
| 17.5.x | February 27, 2025 | January 1, 2029 | January 1, 2029 | 17.5.x |
| 17.1.x | March 14, 2023 | March 31, 2027 | March 31, 2027 | 17.1.x |
| 16.1.x (EoL) | July 7, 2021 | July 31, 2025 | July 31, 2025 | 16.1.6 |
| 15.1.x (EoL) | December 11, 2019 | December 31, 2024 | December 31, 2024 | 15.1.10 |
| 14.1.x (EoL) | December 11, 2018 | December 31, 2023 | December 31, 2023 | 14.1.5 |
| 13.1.x (EoL) | December 19, 2017 | December 31, 2022 | December 31, 2023 | 13.1.5 |
| 12.1.x (EoL) | May 18, 2016 | May 18, 2021 | May 18, 2022 | 12.1.5 |
| 11.6.x (EoL) | May 10, 2016 | May 10, 2021 | May 10, 2022 | 11.6.5 |
Note: EoTS and EoSD will occur on the same date, unless specified otherwise (sysin).
新增功能
BIG-IP 版本 21.1.0 中的新增功能
更新日期:2026 年 5 月 6 日
通用
✅ 支持就地升级
BIG-IP 21.1 引入了一种新的、更快的 BIG-IP 软件升级方式——就地升级(in-place upgrade)。传统的完整升级流程会将所有 RPM 包安装到新的或现有的软件卷中,随后进行系统重启;而就地升级则通过将更新直接应用于活动软件卷内的修改组件,从而简化了体验。
重要提示:
这并非在线升级(in-service upgrade)。
尽管升级速度更快,但在操作过程中设备仍需保持离线状态,以确保安全性和一致性。
最初,仅有经过精心挑选的工程热修复补丁 (EHF) 将支持就地升级。随着功能的成熟,支持列表将逐步扩大。
就地升级的主要优势包括:
- 显著加快升级速度 仅安装修改后的 RPM 包及其依赖项,避免了基础版本及所有 EHF RPM 包的全量安装。
- 缩短维护窗口 由于处理的组件更少,升级所需的总停机时间得以缩短。
- 聚焦组件级更新 每个受影响进程按正确顺序单独重启,而非触发全系统重启(除非必需)。
作为该功能的一部分,引入了空运行(Dry Run)功能。空运行会比较您选择的升级镜像与活动卷上当前运行的版本,并确定系统支持哪种方式:
- 就地升级
- 带重启的就地升级
- 完整升级(仅重启)
空运行执行一系列兼容性检查,以帮助您了解升级需求和变更范围。某些检查仅适用于就地升级,而另一些则同时适用于就地和完整升级工作流。
更多信息,请参阅《BIG-IP 新增功能和安装发行说明》中的“就地升级”部分。
✅ 移除 Node.js v0.12 支持
BIG-IP 21.1 移除了对 Node.js v0.12 和 Node Inspector v0.12.10 的支持,以提升安全性并与平台路线图保持一致。如果您使用基于 Node.js v0.12 的 iRules LX 工作区,必须将其更新为 Node.js v6 以保持功能正常。
不再支持 node-inspector 调试器。Node.js v6.3.0 及更高版本包含基于 Chrome DevTools 的内置调试器,取代了 node-inspector。升级期间,受影响的工作区会被标记,日志消息会识别受影响的配置。请在升级前检查并更新您的 iRules LX 工作区以避免中断。
✅ 带有验证选项的 UCS 迁移增强功能
BIG-IP 21.1 增强了使用 tmsh load sys ucs命令配合 platform-migrate选项的基于 UCS 的迁移工作流。新的 validate(验证)选项允许在加载 UCS 归档文件之前预览配置更改,生成 JSON 格式的报表并突出显示被忽略的对象和属性的警告,以帮助评估兼容性。
完整的配置迁移功能此前在 F5 Journeys 工具中可用。这些功能现已集成到 platform-migrate工作流中,可在 UCS 加载期间自动处理特定于平台的差异。
该工作流还会针对目标平台应用所需的调整。这些调整包括移除不支持的链路聚合(trunks)、STP 设置和其他依赖于平台的对象,以帮助确保成功迁移到 rSeries、VELOS 和 BIG-IP VE。在验证期间 (sysin),某些依赖于平台的对象不包含在 JSON 输出中,但在迁移期间仍可能被处理。这些对象包括接口、接口捆绑、管理 IP 和路由,以及 VLAN 或链路聚合分配。目标系统上的管理 IP 和 DHCP 设置将被保留,以防止意外覆盖。
✅ 支持更改主管理员账户
BIG-IP 21.1 引入了将主管理员从默认的“admin”账户更改为您选择的管理员用户账户的功能,可通过 BIG-IP 管理界面(如配置实用程序 TMUI、TMSH 和 iControl REST)进行操作。
✅ ACMEv2 协议支持
BIG-IP 中的 ACMEv2 协议支持实现了与现代安全要求和运营现实相一致的自动化证书管理。主要证书颁发机构的证书寿命正在缩短。自动化证书管理现已变得必不可少,而不仅仅是方便。
BIG-IP 现在可自动处理证书供应、续订和部署,防止因证书过期导致的服务中断和安全风险。
该实现支持符合 ACMEv2 标准的 CA(证书颁发机构),不仅仅是 Let's Encrypt。这包括 ZeroSSL、DigiCert、Buypass、Google Trust Services 和 SSL.com 等提供商。证书订单管理为所有支持的 CA 提供直接的 API 集成。
这种双重方法确保了证书管理策略的灵活性 (sysin),同时降低了因证书过期而导致的停机风险。组织通过这一基本功能获得了运营效率、增强的安全性和合规性准备。
✅ BIG-IP 增强功能:64 位升级
BIG-IP 21.1 通过将基本组件从 32 位过渡到 64 位 (x86_64) 架构,推进了正在进行的平台现代化计划。这在可扩展性、内存利用率和对现代工具链的支持方面带来了改进。
诸如 mergeD 等关键守护进程已转换为 64 位架构。这种转换通过使用扩展的可寻址内存增强了 TM 统计表的处理能力。restjavad组件已从 Java 8 更新至 Java 21,在垃圾回收和内存管理方面有所改进。
对 iControl 服务使用的 TMSH 库添加了 64 位架构支持,使依赖组件(如 iControl REST (restjavad) 和 icrd_child)能够使用 64 位地址空间与现代工具链。为了保持与尚未移植模块的兼容性,系统同时支持 32 位和 64 位 TMSH 库。
此更改仅适用于内部 iControl 组件,对最终用户是透明的,不影响 TMSH CLI 功能或现有的 iControl REST 和 SOAP API 客户端。
devmgmt_cpp_client控制平面模块已迁移到 64 位架构。此次迁移涉及对构建配置、验证和递归依赖项的更新。硬编码的 devfs 路径已被支持的构建宏所取代,以保持架构合规性 (sysin)。
这些架构更新未引入功能性变化,并保持与现有配置和客户端交互的完全兼容。全面的回归测试(包括手动验证、BVT 和 ATOM 测试套件)已验证系统稳定性和向后兼容性。
✅ OOM 优先级处理
由于应用程序内存泄漏或主机内存配置不足,会发生 OOM(内存不足)情况。
增强的 OOM 优先级处理:为了提高低内存条件下的系统稳定性,增强了 MCPd 的 OOM 优先级处理。MCPd 现在受到内核 OOM Killer 更高的终止保护,以便在内存压力下保持此关键系统组件的可用性。这些守护进程会以 5 秒延迟重启,以防止连续终止。
MCPd 重启的影响:MCPd 重启会破坏系统操作并中断数据路径。它们还会影响其他守护进程和 TMM,导致暂时性的数据路径中断。
对于持续性 OOM 事件:请根据系统中的配置对象增加主机内存:
tmsh modify sys db provision.extramb value <value_in_MB>
示例:
tmsh modify sys db provision.extramb value 4096 #对应 4 GB
自动优先级调整:如果 MCPd 消耗过多内存并在 2 分钟内导致至少 10 次其他进程的连续 OOM 重启,系统会自动降低 MCPd 的优先级。这使得内核可以在下一次 OOM 事件时重启 MCPd,从而从潜在的内存泄漏中恢复。
✅ iControl REST API 的速率限制
TMOS iControl REST API 增加了速率限制功能,增强了 API 的安全性和响应能力。
主要功能包括:
- 通过 CLI 命令和 TMUI 配置速率限制参数。
- 在 /mgmt 端点强制执行每客户端请求限制。
- 缓解来自不受限制的 API 使用和应用层 DoS 攻击的风险。
该计划通过基于配置的速率限制对 /mgmt 端点的 iControl REST 请求进行限制,从而提高了对 DoS 攻击场景的响应能力。
您可以使用以下 tmsh 命令修改每客户端请求速率、最大并发请求数和错误响应码的值:
tmsh modify sys httpd api-ratelimit <value>
tmsh modify sys httpd api-requestlimit <value>
tmsh modify sys httpd api-ratelimit-errcode <value>
有关参数和默认值的更多信息,请参阅《BIG-IP 系统:基础指南》中的“速率限制 iControl REST API 调用”部分。
✅ 针对大规模配置的 BigD 增强功能
BigD 已增强为多线守护进程(单实例),能够高效监控大规模配置。此更新支持多达 15,000 个控制平面监视器,每个 BigD 线程平均分配监控负载,同时保持最低的 CPU 利用率。监视器的 tmctl 命令现在将显示反映多线程架构的合并输出,涉及监视器实例和统计信息。这种多线程增强提高了可扩展性和监控效率,且不影响现有配置,确保了无缝的系统稳定性和响应能力。
-> BigD 线程数量
确定线程数量 BigD 线程的数量主要基于可用的 vCPU 数量确定。计算方法因系统类型而异:
超线程用例:由于超线程 (HT) 核心的性能约为真实核心的 60%,BigD 线程被分配大约剩余一半 HT 核心的 60%(假设 TMM 占用了另一半)。
公式:BigD 线程数 = (vCPU 数量 × 6) ÷ 10
普通用例:在普通场景(非超线程)中,BigD 线程被分配略少于可用核心的一半。
公式:BigD 线程数 = (vCPU 数量 ÷ 2) - 1
-> 配置
您可以使用数据库变量 bigd.numprocs手动设置所需的线程数。但是,用户可以配置的线程数将根据可用的 vCPU 数量进行上限限制,确保平衡性能和有效的资源利用。
注意:默认情况下,
bigd.numprocs的值为 0,表示线程数将使用上述公式自动计算。
✅ TMUI 的现代化
此版本引入了增强型 BIG-IP UI 的初始版本。该版本侧重于视觉增强和微小的可用性改进。增强型 BIG-IP UI 默认禁用,可通过选择 Settings > Preferences 中的 New UI (Beta) 选项进行访问。这是早期迭代版本,界面将在即将发布的版本中持续演变,尽可能根据客户反馈进行优化。
平台新特性
✅ 支持 F5OS 上的 BIG-IP 租户使用 cloud-init
平台:VELOS | 所有 rSeries 型号
F5OS 现在支持在 VELOS 和 rSeries 平台上进行 BIG-IP 租户部署时使用 cloud-init。创建租户时,管理员可以使用 cloud init 用户数据字段定义初始配置设置——例如密码、用户账户、SSH 密钥和自动化声明——这些设置会在 BIG-IP 租户启动时自动应用。这消除了手动部署后配置的需要,并实现了简化的零接触配置体验。
该功能将 BIG-IP 虚拟版上可用的相同 cloud-init 自动化引入基于 F5OS 的部署,使得更容易接入新设备、标准化租户配置并自信地扩展部署。它支持标准 cloud-init 选项和 F5 特定的自动化工具链集成 (sysin),包括声明式上线 (DO) 和应用程序服务 (AS3),帮助团队加速服务上线时间,同时减少运营开销。
✅ VELOS 和 rSeries 上支持针对轮询 DAG (RRDAG) 的每端口 UDP 支持
此版本引入了对 VELOS 和 rSeries 平台上的 BIG-IP 租户基于每协议、每端口配置轮询 DAG (RRDAG) 的支持。以前,RRDAG 是在 VLAN 级别应用的,会影响所有流量。您现在可以将 RRDAG 限制在特定的 UDP 端口,从而在不影响其他流量的情况下,针对 SIP/VoIP 等应用程序进行定向流量分配。
支持的平台:
- VELOS:BX110(不支持 BX520)
- rSeries:r5000, r10000, r12000(包括 DF 变体)关键细节:
- 仅适用于 UDP 流量
- 需要配置 UDP 端口列表
- 如果未指定端口,则不应用 RRDAG
- 需要 F5OS 2.0 或更高版本
- 除非主机平台运行 F5OS 2.0+,否则该功能不可用,即使 BIG-IP 租户已升级 现有配置将继续按以前的方式工作。不需要额外的许可证。
✅ 与 VELOS 平台的 Q-in-Q 配置集成
Q-in-Q 功能在 Viprion 和 iSeries 等传统平台上一直受支持,现扩展到 F5OS 环境下的 VELOS 平台。这一过渡确保了功能的延续性,并配备了更新的配置管理机制。VELOS 平台上的所有 Q-in-Q 配置都将通过 F5OS Confd 进行管理,并受 F5OS 配置框架的管辖。
注意:该功能需要 F5OS 2.0.0 或更高版本
✅ BIG-IP TMOS 21.x 平台兼容性
BIG-IP TMOS 21.x 不支持 iSeries 和 VIPRION 平台。尝试在这些系统上安装或启动此版本可能会导致不受支持的行为或启动失败。使用这些平台的客户应继续使用 BIG-IP 17.x 版本,这些版本在硬件达到软件支持结束之前仍然受支持。要使用 BIG-IP 21.x,需要迁移到受支持的平台,如 rSeries 或 VELOS。此外,可以部署带有 BIG-IP 21.x 的 vCMP 租户,但不受支持。详情请参阅 K4309。
LTM 新特性
BIG-IP 21.1 为 LTM 引入了以下新特性:
✅ 引入 MCP 持久性
引入了 MCP 持久性配置文件,使大型语言模型 (LLM) AI 系统能够与后端服务器保持有状态会话。它通过在整个会话期间保持客户端连接到同一后端服务器,确保即使在具有多台服务器的环境中也能实现无缝且一致的交互。一旦建立连接,客户端的所有后续请求都将被路由到同一台服务器,提供连续性和高效的会话管理。
TMM 为客户端提供一个包装并加密的 Mcp-Session-ID 值,以确保会话连续性和安全性。
✅ 通过 X25519 硬件加速提升 TLS 性能
BIG-IP 21.1 通过在配备 QAT 功能硬件的平台上使用 Intel QuickAssist Technology (QAT) 为 X25519 密钥交换添加硬件加速,从而增强了 TLS 性能。X25519 广泛用于 TLS 1.3 以实现前向保密,将 TLS 握手处理卸载到 QAT 可降低 CPU 利用率并提高高流量环境下的性能。该功能默认启用,适用于 ClientSSL 和 ServerSSL 配置文件。无需更改配置,如果硬件加速不可用,系统会自动回退到软件处理。
✅ TLS 支持 SecP256rMLKEM768 和 SecP384rMLKEM1024 混合密钥交换
BIG-IP 现在支持客户端和服务器端通信中 TLS 的 SecP256r1MLKEM768 和 SecP384r1MLKEM1024 混合密钥交换。这些机制分别结合了广泛信任的 SecP256r1 和 SecP384r1 椭圆曲线密钥交换与 MLKEM768 和 MLKEM1024,确保在面向未来的量子威胁下具有增强的安全性和弹性。
此版本加强了 BIG-IP 的加密灵活性,在经典和后量子环境中为安全通信提供了改进的兼容性和强大的保护。现有配置保持不变。在支持的地方,这些新选项提供了额外的安全层 (sysin)。这一增强彰显了 BIG-IP 致力于推进安全和现代化应用程序通信的承诺。
✅ 支持在 TMM 内监视器中使用 SNAT 池 IP
TMM 内健康监视器(GATEWAY ICMP, TCP, HTTP/HTTPS)现在支持使用 SNAT 池作为监视器探测的源地址。默认情况下,监视器使用自 IP 地址作为源;启用 SNAT 池 IP 允许监视流量源自公共或客户认可的 IP 地址。这对于出站 VIP 配置至关重要,因为后端池成员位于不路由到私有自 IP 地址的客户网络中。在 HA 部署中,只有主用单元发送监视器探测,并自动将端点状态同步到备用单元。
✅ 支持使用 ARP 在 TMM 中监视 MAC 地址
BIG-IP 21.1 支持使用地址解析协议 (ARP) 在其流量管理微内核 (TMM) 内直接进行基于 MAC 的健康检查。这些健康检查在 MAC(第 2 层)级别监视设备,而不是依赖基于 IP 的方法,从而允许更快、更准确地验证设备可用性。
✅ 支持将 TLS 1.3 和 DTLS 1.2 作为默认的客户端和服务器 SSL/TLS 父配置文件
BIG-IP 21.1 支持将 TLS 1.3 和 DTLS 1.2 作为默认设置的客户端和服务器 SSL/TLS 父配置文件,以平衡安全性、兼容性和性能,同时保留旧版客户端和服务器配置,防止对现有子配置文件造成中断。
✅ 可配置的 OCSP 请求随机数 (Nonce)
BIG-IP 21.1 提供了在 cert-LDAP 认证期间控制是否在 OCSP 请求中包含随机数的能力。默认情况下,随机数使用保持启用状态,保留了现有行为并与安全最佳实践保持一致。
此增强功能为使用旧版或不兼容 OCSP 响应程序的环境提供了更大的灵活性,这些响应程序可能无法正确处理启用了随机数的请求。管理员可以在需要时禁用随机数以提高兼容性并避免认证失败,同时通过默认启用随机数使用来遵守安全最佳实践。
优化了 BIG-IP UI 中的 OCSP 处理,避免在每个 HTTP 请求上进行 OCSP 检查,减少了不必要的 OCSP 流量,并提高了认证稳定性。
示例:tmsh modify sys httpd ssl-ocsp-use-request-nonce off
✅ 增强的 C3D 功能
C3D 功能现在包括覆盖伪造证书的 notBefore(有效期起始)属性的能力。这使您可以动态地将证书的开始时间设置为证书伪造的确切时间。Server SSL Profile页面上引入了Override Certificate Start Date选项,为实时流量和合规性要求提供了更大的灵活性。您现在可以缓存伪造的客户端证书,减少了为类似事务重复生成它们的需要 (sysin),从而在高流量场景中提高了效率。此Cache Forged Certificate选项在Server SSL Profile页面上引入,优化了流量处理并减少了 TLS 代理流中的计算开销。
SubjectDirectoryAttributes 扩展已添加到 C3D 中伪造证书的可用证书扩展列表中。此扩展提供有关证书主题的附加属性,例如地理位置、组织属性或其他元数据。如果需要,您现在可以在动态伪造的证书中包含 SubjectDirectoryAttributes。这可以通过Server SSL Profile设置进行配置。您现在可以对 C3D 使用以下 iRules:
| 命令 | 描述 |
|---|---|
SSL::c3d cert_lifespan [1-8760] |
覆盖配置文件配置的 C3D 生命周期。 |
SSL::c3d cert_start_date [override / original] |
如果设置为 override:使用证书伪造的时间覆盖 notBefore。如果设置为 original:保留原始客户端证书的 notBefore值,不受配置文件配置影响。 |
SSL::c3d extension KU "digitalSignature, keyEncipherment" |
将 KeyUsage 约束注入伪造证书。 |
SSL::c3d extension EKU "serverAuth, clientAuth" |
将 extendedKeyUsage 约束注入伪造证书。 |
SSL::c3d extension SDA "dateOfBirth:20000101000000Z, countryOfCitizenship:US" |
将 subjectDirectoryAttributes 约束注入伪造证书。 |
WAF 新特性
BIG-IP 21.1 为 WAF 引入了以下新特性:
✅ HTTP/3 Web 防护
现在支持对 HTTP/3 客户端流量进行 Web 应用程序防火墙 (WAF) 检查。HTTP/3 基于 QUIC (UDP) 构建,正越来越多地被现代 Web 应用程序采用,BIG-IP 现在将 WAF、Bot Defense 和 L7 DoS 防护扩展到支持 HTTP/3 的虚拟服务器。任何模板类型的安全策略都可以与支持 HTTP/3 的虚拟服务器关联,提供与 HTTP/1.1 和 HTTP/2 相同的检查保真度,包括对跨站脚本 (XSS) 和 SQL 注入 (SQLi) 等威胁的防护。
目前的限制包括仅支持客户端、无法从 WAF UI 创建 HTTP/3 虚拟服务器以及不支持行为 DoS (BADOS)。
注意:BIG-IP LTM 上的底层 HTTP/3 实现仍然是实验性的。详情请参阅 K60235402:BIG-IP 上的 HTTP/3 协议概述。
✅ OpenAPI 3.1 支持
BIG-IP Application Security Manager (ASM) 支持使用 OpenAPI Specification 3.1 版本创建 API 安全策略。可以使用现有工作流导入 OpenAPI 3.1 文件,无需更改配置或使用方式。
✅ MCP 协议保护(针对模型上下文协议流量的 WAF 检查)
此版本引入了 MCP 协议保护,能够对模型上下文协议 (MCP) 流量进行 WAF 检查和内联检测与阻断,从而保护 AI 和智能体工作流。它包括专用的 MCP 策略模板,支持提示/工具注入检测、SSRF 防护、敏感数据掩码 (Data Guard)、JWT 验证以及本地或远程事件日志记录。
该解决方案以最小的延迟影响保护 MCP 集成,同时允许合法流量。对于基于流式传输和 SSE 的响应 (text/event-stream),绕过响应侧检查和日志记录,仅应用请求侧保护。提供了针对 SSE 应用程序、日志记录配置、JWT 设置和签名调整的指南。
✅ 增强的 Splunk 键值日志记录
引入了新的日志格式 Splunk Key-Value Pairs – Extended,通过 XML violation_details 元素以额外的违规上下文丰富远程日志。现有的 Key-Value Pairs (Splunk) 格式更名为 Splunk Key-Value Pairs – Basic。此增强功能改善了 Splunk 中安全违规行为的可见性和分析能力。
注意:使用 Extended 格式的配置无法加载到不支持此日志选项的版本上。
APM 新特性
BIG-IP 21.1 为 APM 引入了以下新特性:
✅ APM 中基于会话的策略添加 HTTP 连接器支持
F5 BIG-IP Access Policy Manager (APM) 中现已支持在基于会话的策略中使用 HTTP 连接器。此功能允许管理员在会话建立期间向外部服务发送 HTTP 请求,并使用响应进行身份验证、授权和访问控制决策。
文档已更新以反映当前的配置模型,包括 HTTP 连接器传输、请求和代理对象之间的清晰分离。导航路径和程序已优化,以符合 BIG-IP UI 和配置工作流,使其更易于配置和与自定义身份验证及授权系统等外部服务集成。
✅ 门户访问:针对现代 JavaScript 应用程序的 ECMAScript (ES13) 支持
APM 内的门户访问增强了对现代 ECMAScript 版本的支持。以前仅限于 ES6,JavaScript 重写引擎现在支持高达 ES13 的语法和功能,提高了与现代 Web 应用程序的兼容性。更新扩展了解析、转换和运行时功能以处理较新的语言结构,同时保持向后兼容性。不需要更改现有的门户访问配置或重写配置文件。
此增强功能使使用最新 ECMAScript 功能的现代应用程序能够正常运行,无需手动 URL 重写或故障排除。它减少了支持案例,提高了应用程序可靠性,并确保通过 F5 BIG-IP Access Policy Manager 无缝最终用户访问现代应用程序。
✅ 动态客户端注册 (DCR) 支持
此版本添加了对 OAuth 2.0 动态客户端注册 (RFC 7591) 的支持。管理员可以在 OAuth 配置文件上启用 DCR,允许授权客户端使用初始访问令牌 (IAT) 进行动态注册。该功能包括支持客户端凭据授予类型、可配置的客户端身份验证设置、客户端密钥过期和增强的日志记录。
✅ Windows Edge Client 的自定义日志记录首选项
Windows Edge Client 现在提供自定义日志记录首选项,让您能够更好地控制日志详细程度,从而提高安全性和灵活性。
在 BIG-IP 中从 Access > Connectivity / VPN > Connectivity > Profiles 创建连接配置文件时,您可以从 General Settings 中的 APM Client Log Level 下拉菜单中选择所需的日志级别。默认情况下,它设置为 Info。
注意:如果 BIG-IP Server log level 设置为 ERROR、WARN或 INFO,它将覆盖客户端日志级别。APM Client Log Level 仅在 BIG-IP Server log level 设置为 DEBUG或 TRACE时才被考虑。如果两者不同,则应用较低的日志级别(详细程度较低)。
重要提示:对 ServerLogLevel 的更改是动态应用的,不需要重新安装 Edge Client。更新后的设置将在客户端连接到具有启用自定义日志记录选项的连通性配置文件的 APM 虚拟服务器时自动反映出来。但是,如果需要在客户端进行详细的调试级日志记录,必须手动在注册表编辑器中创建 MachineLogLevel。更多信息请参阅 APM 客户端文档。
此功能需要 BIG-IP 版本 21.1 或更高版本。
✅ Windows 原生支持 SAML 身份验证
以前,Windows 上 APM 客户端通过默认浏览器进行的 SAML 身份验证是通过 iRules 实现的。然而,该功能现在已在 BIG-IP 上原生实现,不再需要 iRules。此功能显着改善了用户体验 (sysin),简化了可维护性,并提高了整体可支持性。macOS 和 Windows 上的 Edge Client 可以使用系统默认浏览器对用户进行身份验证身份提供商 (IdP)。这使得现代身份验证方法成为可能,例如 FIDO2 和 Microsoft Entra ID 设备身份验证。
要启用此功能,请在 BIG-IP 中从 Access > Connectivity / VPN > Connectivity > Profiles 创建连接配置文件时,在 Desktop Client Settings 中选择 Enable System Browser 复选框。
Enable System Browser 设置动态生效,不需要重新安装客户端。
✅ 支持访问 IPsec VPN 隧道
在 Access 中增加了对 IPsec VPN 隧道的支持,以实现从 SSL/TLS-VPN 到 IPsec VPN 的过渡。客户端现在可以使用 Windows 上的 BIG-IP Edge Client 或 macOS 上的 F5 Access 通过 IPsec VPN 连接到 BIG-IP,并安全地访问后端网络。
Connectivity Profile屏幕中引入了一个新字段 VPN Type。当您将其设置为 IPsec 时,系统会自动生成一个访问 IPsec 策略。
您可以根据需求修改属性并更新策略。
当您配置带有 IPsec VPN 类型连接配置文件的 Virtual Server 时,会创建关联的 IPsec 对象:IPsec Policy、IKE Peer和Traffic Selector。
注意:
- 使用 LTM IPsec 时,针对访问虚拟服务器的流量可能会被错误地路由到 LTM IPsec 转发虚拟服务器。为避免这种情况,请勿在同一环境中同时部署 LTM IPsec 和访问 IPsec,并对每种用例使用单独的 VLAN。
- IPsec 身份验证仅支持机器证书身份验证,需要在访问策略中配置机器证书代理。如果没有配置机器证书代理,IPsec 将无法建立连接。
- IPsec 配置是动态应用的,不需要重新安装 Windows Edge Client 或 F5 Access for macOS。
- 您可以通过将连接配置文件中的 VPN Profile type 从 SSL 更新为 IPsec,将现有的连接配置文件从 SSL-VPN 转换为 IPsec。但是,不支持将现有的连接配置文件从 IPsec 转换为 SSL-VPN,需要创建新配置文件。
✅ 自动升级机器隧道服务
当 Windows Edge Client 在 BIG-IP 上有可用更新且启用了自动升级功能时,现在可以自动升级 F5 机器隧道服务。此外,如果机器隧道服务在升级前正在运行,它会在升级完成后继续运行,而不影响现有的 VPN 配置设置。此功能要求 Edge Client 已安装,并且在安装最新版本的客户端后至少成功连接过一次 VPN。
✅ Ubuntu ARM64 上的端点检查支持
端点检查现在支持带有 ARM64 的 Ubuntu,允许在 Linux ARM64 平台上无缝管理和检查端点。
DNS 新特性
BIG-IP 21.1 为 DNS 引入了以下新特性。
✅ BIG-IP DNS:支持优先级排序和多 RPZ 及增强的策略操作
BIG-IP DNS 现在支持将多个响应策略区域 (RPZ) 订阅源区域(最多 65,535 个)关联到单个 DNS 缓存,从而能够集成多种策略源,例如监管订阅源、第三方威胁情报和内部管理策略。以前仅限于单个 RPZ 订阅源和全局响应行为,系统现在可以根据可配置的优先级顺序评估多个 RPZ 区域,从而实现更灵活、可扩展的 DNS 策略实施。还添加了对使用 TSIG (HMAC-SHA-512) 进行安全 RPZ 区域传输的支持。
此版本通过支持更广泛的响应策略操作扩展了 RPZ 功能,包括 NXDOMAIN、NODATA、CNAME(围墙花园)、本地数据、PASSTHRU、DROP、仅 TCP、Given 和 Disabled,与 RPZ 规范保持一致。BIG-IP DNS 现在支持 RPZ 定义的 A 记录响应,实现基于每个 FQDN 的响应处理,而不是单一的全局围墙花园 IP。除了基于 QNAME 的匹配外,还支持客户端 IP 和响应 IP 触发器,提供对 DNS 响应更细粒度的控制和增强的 DNS 策略实施。
下载地址
BIG-IP 21.0.0, Release date - Nov 04, 2025
| Filename | Description | Size |
|---|---|---|
| BIGIP-21.0.0-0.0.10.iso | Use for upgrades. Does not include EUD. | 4 GB |
| BIGIP-21.0.0-0.0.10.iso.md5 | MD5 file for Use for upgrades. Does not include EUD. | 57 Bytes |
| BIGIP-RECOVERY-21.0.0-0.0.10.iso | Use for re-imaging. Includes EUD. | 4 GB |
| BIGIP-RECOVERY-21.0.0-0.0.10.iso.md5 | MD5 file for Use for re-imaging. Includes EUD. | 66 Bytes |
| BIG-IP-21.0.0-0.0.10.html | BIGIP-21.0.0 release notes | 612 KB |
BIG-IP 21.0.0_Virtual-Edition, Release date - Nov 04, 2025
| Filename | Description | Size |
|---|---|---|
| BIGIP-21.0.0-0.0.10.ALL-vmware.ova | Image fileset for VMware ESXi Server | 3 GB |
| BIGIP-21.0.0-0.0.10.ALL-vmware.ova.md5 | MD5 file for Image fileset for VMware ESXi Server | 68 Bytes |
| BIGIP-21.0.0-0.0.10.ALL.qcow2.zip | Image file set for KVM Red Hat Enterprise Linux/CentOS | 3 GB |
| BIGIP-21.0.0-0.0.10.ALL.qcow2.zip.md5 | MD5 file for Image file set for KVM Red Hat Enterprise Linux/CentOS | 67 Bytes |
| BIGIP-21.0.0-0.0.10.ALL.vhd.zip | Image fileset for Microsoft Hyper-V | 3 GB |
| BIGIP-21.0.0-0.0.10.ALL.vhd.zip.md5 | MD5 file for Image fileset for Microsoft Hyper-V | 65 Bytes |
请访问:https://sysin.org/blog/f5-big-ip-21-lts/
更多:HTTP 协议与安全
