F5 BIG-IP 21.1 LTS 发布 - 多云安全和应用交付

F5 BIG-IP 21.1 LTS 发布 - 多云安全和应用交付BIG-IP 是硬件平台和软件解决方案的集合提供专注于安全性、可靠性和性能的服务请访问原文链接https://sysin.org/blog/f5-big-ip-21-lts/ 查看最新版。原创作品转载请保留出处。作者主页sysin.orgBIG-IP 是一套由硬件平台和软件解决方案组成的产品组合旨在提供以安全性、可靠性和性能为核心的服务sysin。BIG-IP 软件产品是运行于 F5 Traffic Management Operating System®TMOS之上的授权模块。BIG-IP 产品概述详见F5 BIG-IP 下载汇总 - 业界领先的应用交付与安全服务BIG-IPF5 持续扩展的产品组合可提供您所需的可用性、性能与安全性BIG-IP Access Policy Manager (APM)保护、简化并安全管控用户对应用和数据的访问BIG-IP Advanced Firewall Manager (AFM)保护您的网络免受包括复杂 DDoS 攻击在内的入站威胁BIG-IP Advanced WAF通过行为分析、Bot 防护以及应用层加密保护应用BIG-IP Carrier-Grade NAT (CGNAT)作为整合功能套件的一部分提供快速、可扩展且安全的 IPv4/IPv6 IP 地址管理BIG-IP DNS在高查询量和 DNS DDoS 攻击期间提供超大规模能力与安全防护BIG-IP Local Traffic Manager (LTM)管理网络流量确保应用始终保持快速、可用和安全BIG-IP Policy Enforcement Manager (PEM)通过有效的策略管理提升网络性能BIG-IP Service Proxy for Kubernetes为云原生 5G 提供多协议入口/出口信令控制、安全性与可观测性BIG-IP SSL Orchestrator通过加密/解密与流量引导最大化基础设施效率与安全性Container Ingress Services为容器部署提供自动化、编排与网络服务BIG-IP Deployment可在本地、云端或混合环境中部署您的应用。BIG-IP iSeries Appliances具备 L4/L7 吞吐与连接处理能力的可编程 ADC 硬件设备BIG-IP VIPRION Chassis and Blades通过增加刀片扩展基础设施而不会中断应用或用户sysinBIG-IP Virtual Edition基于软件的流量管理、应用安全与可观测性Cloud-Native Network Functions帮助您向云与 5G 转型的云原生解决方案F5 rSeries具备完全自动化架构并为关键应用提供最高级别的可靠性、安全性与访问控制VELOS Chassis and Blades提供现代架构所需的敏捷性与扩展能力BIG-IP 软件支持策略Major Release and Long-Term Stability Release versions supported with active software developmentMajor Release, Minor Release, and Long-Term Stability Release versionsFirst customer shipEnd of Software DevelopmentEnd of Technical SupportLatest maintenance release21.1.xMay 5, 2026May 5, 2029May 5, 202921.1.x21.0.xNovember 6, 2025August 6, 2026August 6, 202621.0.x17.5.xFebruary 27, 2025January 1, 2029January 1, 202917.5.x17.1.xMarch 14, 2023March 31, 2027March 31, 202717.1.x16.1.x (EoL)July 7, 2021July 31, 2025July 31, 202516.1.615.1.x (EoL)December 11, 2019December 31, 2024December 31, 202415.1.1014.1.x (EoL)December 11, 2018December 31, 2023December 31, 202314.1.513.1.x (EoL)December 19, 2017December 31, 2022December 31, 202313.1.512.1.x (EoL)May 18, 2016May 18, 2021May 18, 202212.1.511.6.x (EoL)May 10, 2016May 10, 2021May 10, 202211.6.5Note: EoTS and EoSD will occur on the same date, unless specified otherwise (sysin).新增功能BIG-IP 版本 21.1.0 中的新增功能更新日期2026 年 5 月 6 日通用✅支持就地升级BIG-IP 21.1 引入了一种新的、更快的 BIG-IP 软件升级方式——就地升级in-place upgrade。传统的完整升级流程会将所有 RPM 包安装到新的或现有的软件卷中随后进行系统重启而就地升级则通过将更新直接应用于活动软件卷内的修改组件从而简化了体验。重要提示这并非在线升级in-service upgrade。尽管升级速度更快但在操作过程中设备仍需保持离线状态以确保安全性和一致性。最初仅有经过精心挑选的工程热修复补丁 (EHF)将支持就地升级。随着功能的成熟支持列表将逐步扩大。就地升级的主要优势包括显著加快升级速度仅安装修改后的 RPM 包及其依赖项避免了基础版本及所有 EHF RPM 包的全量安装。缩短维护窗口由于处理的组件更少升级所需的总停机时间得以缩短。聚焦组件级更新每个受影响进程按正确顺序单独重启而非触发全系统重启除非必需。作为该功能的一部分引入了**空运行Dry Run**功能。空运行会比较您选择的升级镜像与活动卷上当前运行的版本并确定系统支持哪种方式就地升级带重启的就地升级完整升级仅重启空运行执行一系列兼容性检查以帮助您了解升级需求和变更范围。某些检查仅适用于就地升级而另一些则同时适用于就地和完整升级工作流。更多信息请参阅《BIG-IP 新增功能和安装发行说明》中的“就地升级”部分。✅移除 Node.js v0.12 支持BIG-IP 21.1 移除了对 Node.js v0.12 和 Node Inspector v0.12.10 的支持以提升安全性并与平台路线图保持一致。如果您使用基于 Node.js v0.12 的 iRules LX 工作区必须将其更新为 Node.js v6 以保持功能正常。不再支持 node-inspector 调试器。Node.js v6.3.0 及更高版本包含基于 Chrome DevTools 的内置调试器取代了 node-inspector。升级期间受影响的工作区会被标记日志消息会识别受影响的配置。请在升级前检查并更新您的 iRules LX 工作区以避免中断。✅带有验证选项的 UCS 迁移增强功能BIG-IP 21.1 增强了使用tmsh load sys ucs命令配合platform-migrate选项的基于 UCS 的迁移工作流。新的validate验证选项允许在加载 UCS 归档文件之前预览配置更改生成 JSON 格式的报表并突出显示被忽略的对象和属性的警告以帮助评估兼容性。完整的配置迁移功能此前在 F5 Journeys 工具中可用。这些功能现已集成到platform-migrate工作流中可在 UCS 加载期间自动处理特定于平台的差异。该工作流还会针对目标平台应用所需的调整。这些调整包括移除不支持的链路聚合trunks、STP 设置和其他依赖于平台的对象以帮助确保成功迁移到 rSeries、VELOS 和 BIG-IP VE。在验证期间 (sysin)某些依赖于平台的对象不包含在 JSON 输出中但在迁移期间仍可能被处理。这些对象包括接口、接口捆绑、管理 IP 和路由以及 VLAN 或链路聚合分配。目标系统上的管理 IP 和 DHCP 设置将被保留以防止意外覆盖。✅支持更改主管理员账户BIG-IP 21.1 引入了将主管理员从默认的“admin”账户更改为您选择的管理员用户账户的功能可通过 BIG-IP 管理界面如配置实用程序 TMUI、TMSH 和 iControl REST进行操作。✅ACMEv2 协议支持BIG-IP 中的 ACMEv2 协议支持实现了与现代安全要求和运营现实相一致的自动化证书管理。主要证书颁发机构的证书寿命正在缩短。自动化证书管理现已变得必不可少而不仅仅是方便。BIG-IP 现在可自动处理证书供应、续订和部署防止因证书过期导致的服务中断和安全风险。该实现支持符合 ACMEv2 标准的 CA证书颁发机构不仅仅是 Let’s Encrypt。这包括 ZeroSSL、DigiCert、Buypass、Google Trust Services 和 SSL.com 等提供商。证书订单管理为所有支持的 CA 提供直接的 API 集成。这种双重方法确保了证书管理策略的灵活性 (sysin)同时降低了因证书过期而导致的停机风险。组织通过这一基本功能获得了运营效率、增强的安全性和合规性准备。✅BIG-IP 增强功能64 位升级BIG-IP 21.1 通过将基本组件从 32 位过渡到 64 位 (x86_64) 架构推进了正在进行的平台现代化计划。这在可扩展性、内存利用率和对现代工具链的支持方面带来了改进。诸如mergeD等关键守护进程已转换为 64 位架构。这种转换通过使用扩展的可寻址内存增强了 TM 统计表的处理能力。restjavad组件已从 Java 8 更新至 Java 21在垃圾回收和内存管理方面有所改进。对 iControl 服务使用的 TMSH 库添加了 64 位架构支持使依赖组件如 iControl REST (restjavad) 和icrd_child能够使用 64 位地址空间与现代工具链。为了保持与尚未移植模块的兼容性系统同时支持 32 位和 64 位 TMSH 库。此更改仅适用于内部 iControl 组件对最终用户是透明的不影响 TMSH CLI 功能或现有的 iControl REST 和 SOAP API 客户端。devmgmt_cpp_client控制平面模块已迁移到 64 位架构。此次迁移涉及对构建配置、验证和递归依赖项的更新。硬编码的 devfs 路径已被支持的构建宏所取代以保持架构合规性 (sysin)。这些架构更新未引入功能性变化并保持与现有配置和客户端交互的完全兼容。全面的回归测试包括手动验证、BVT 和 ATOM 测试套件已验证系统稳定性和向后兼容性。✅OOM 优先级处理由于应用程序内存泄漏或主机内存配置不足会发生 OOM内存不足情况。**增强的 OOM 优先级处理**为了提高低内存条件下的系统稳定性增强了 MCPd 的 OOM 优先级处理。MCPd 现在受到内核 OOM Killer 更高的终止保护以便在内存压力下保持此关键系统组件的可用性。这些守护进程会以 5 秒延迟重启以防止连续终止。**MCPd 重启的影响**MCPd 重启会破坏系统操作并中断数据路径。它们还会影响其他守护进程和 TMM导致暂时性的数据路径中断。**对于持续性 OOM 事件**请根据系统中的配置对象增加主机内存tmsh modify sys db provision.extramb valuevalue_in_MB示例tmsh modify sys db provision.extramb value4096#对应 4 GB**自动优先级调整**如果 MCPd 消耗过多内存并在 2 分钟内导致至少 10 次其他进程的连续 OOM 重启系统会自动降低 MCPd 的优先级。这使得内核可以在下一次 OOM 事件时重启 MCPd从而从潜在的内存泄漏中恢复。✅iControl REST API 的速率限制TMOS iControl REST API 增加了速率限制功能增强了 API 的安全性和响应能力。主要功能包括通过 CLI 命令和 TMUI 配置速率限制参数。在 /mgmt 端点强制执行每客户端请求限制。缓解来自不受限制的 API 使用和应用层 DoS 攻击的风险。该计划通过基于配置的速率限制对 /mgmt 端点的 iControl REST 请求进行限制从而提高了对 DoS 攻击场景的响应能力。您可以使用以下 tmsh 命令修改每客户端请求速率、最大并发请求数和错误响应码的值tmsh modify sys httpd api-ratelimitvaluetmsh modify sys httpd api-requestlimitvaluetmsh modify sys httpd api-ratelimit-errcodevalue有关参数和默认值的更多信息请参阅《BIG-IP 系统基础指南》中的“速率限制 iControl REST API 调用”部分。✅针对大规模配置的 BigD 增强功能BigD 已增强为多线守护进程单实例能够高效监控大规模配置。此更新支持多达 15,000 个控制平面监视器每个 BigD 线程平均分配监控负载同时保持最低的 CPU 利用率。监视器的 tmctl 命令现在将显示反映多线程架构的合并输出涉及监视器实例和统计信息。这种多线程增强提高了可扩展性和监控效率且不影响现有配置确保了无缝的系统稳定性和响应能力。-BigD 线程数量确定线程数量BigD 线程的数量主要基于可用的 vCPU 数量确定。计算方法因系统类型而异超线程用例由于超线程 (HT) 核心的性能约为真实核心的 60%BigD 线程被分配大约剩余一半 HT 核心的 60%假设 TMM 占用了另一半。公式BigD 线程数 (vCPU 数量 × 6) ÷ 10普通用例在普通场景非超线程中BigD 线程被分配略少于可用核心的一半。公式BigD 线程数 (vCPU 数量 ÷ 2) - 1-配置您可以使用数据库变量bigd.numprocs手动设置所需的线程数。但是用户可以配置的线程数将根据可用的 vCPU 数量进行上限限制确保平衡性能和有效的资源利用。注意默认情况下bigd.numprocs的值为 0表示线程数将使用上述公式自动计算。✅TMUI 的现代化此版本引入了增强型 BIG-IP UI 的初始版本。该版本侧重于视觉增强和微小的可用性改进。增强型 BIG-IP UI 默认禁用可通过选择设置 首选项中的新 UI (Beta)选项进行访问。这是早期迭代版本界面将在即将发布的版本中持续演变尽可能根据客户反馈进行优化。平台新特性✅支持 F5OS 上的 BIG-IP 租户使用 cloud-init平台VELOS | 所有 rSeries 变体F5OS 现在支持在 VELOS 和 rSeries 平台上进行 BIG-IP 租户部署时使用 cloud-init。创建租户时管理员可以使用 cloud init 用户数据字段定义初始配置设置——例如密码、用户账户、SSH 密钥和自动化声明——这些设置会在 BIG-IP 租户启动时自动应用。这消除了手动部署后配置的需要并实现了简化的零接触配置体验。该功能将 BIG-IP 虚拟版上可用的相同 cloud-init 自动化引入基于 F5OS 的部署使得更容易接入新设备、标准化租户配置并自信地扩展部署。它支持标准 cloud-init 选项和 F5 特定的自动化工具链集成 (sysin)包括声明式上线 (DO) 和应用程序服务 (AS3)帮助团队加速服务上线时间同时减少运营开销。✅VELOS 和 rSeries 上支持针对轮询 DAG (RRDAG) 的每端口 UDP 支持此版本引入了对 VELOS 和 rSeries 平台上的 BIG-IP 租户基于每协议、每端口配置轮询 DAG (RRDAG) 的支持。以前RRDAG 是在 VLAN 级别应用的会影响所有流量。您现在可以将 RRDAG 限制在特定的 UDP 端口从而在不影响其他流量的情况下针对 SIP/VoIP 等应用程序进行定向流量分配。支持的平台VELOSBX110不支持 BX520rSeriesr5000, r10000, r12000包括 DF 变体关键细节仅适用于 UDP 流量需要配置 UDP 端口列表如果未指定端口则不应用 RRDAG需要 F5OS 2.0 或更高版本除非主机平台运行 F5OS 2.0否则该功能不可用即使 BIG-IP 租户已升级 现有配置将继续按以前的方式工作。不需要额外的许可证。✅与 VELOS 平台的 Q-in-Q 配置集成Q-in-Q 功能在 Viprion 和 iSeries 等传统平台上一直受支持现扩展到 F5OS 环境下的 VELOS 平台。这一过渡确保了功能的延续性并配备了更新的配置管理机制。VELOS 平台上的所有 Q-in-Q 配置都将通过 F5OS Confd 进行管理并受 F5OS 配置框架的管辖。注意该功能需要 F5OS 2.0.0 或更高版本✅BIG-IP TMOS 21.x 平台兼容性BIG-IP TMOS 21.x 不支持 iSeries 和 VIPRION 平台。尝试在这些系统上安装或启动此版本可能会导致不受支持的行为或启动失败。使用这些平台的客户应继续使用 BIG-IP 17.x 版本这些版本在硬件达到软件支持结束之前仍然受支持。要使用 BIG-IP 21.x需要迁移到受支持的平台如 rSeries 或 VELOS。此外可以部署带有 BIG-IP 21.x 的 vCMP 租户但不受支持。详情请参阅 K4309。LTM 新特性BIG-IP 21.1 为 LTM 引入了以下新特性✅引入 MCP 持久性引入了 MCP 持久性配置文件使大型语言模型 (LLM) AI 系统能够与后端服务器保持有状态会话。它通过在整个会话期间保持客户端连接到同一后端服务器确保即使在具有多台服务器的环境中也能实现无缝且一致的交互。一旦建立连接客户端的所有后续请求都将被路由到同一台服务器提供连续性和高效的会话管理。TMM 为客户端提供一个包装并加密的 Mcp-Session-ID 值以确保会话连续性和安全性。✅通过 X25519 硬件加速提升 TLS 性能BIG-IP 21.1 通过在配备 QAT 功能硬件的平台上使用 Intel QuickAssist Technology (QAT) 为 X25519 密钥交换添加硬件加速从而增强了 TLS 性能。X25519 广泛用于 TLS 1.3 以实现前向保密将 TLS 握手处理卸载到 QAT 可降低 CPU 利用率并提高高流量环境下的性能。该功能默认启用适用于 ClientSSL 和 ServerSSL 配置文件。无需更改配置如果硬件加速不可用系统会自动回退到软件处理。✅TLS 支持 SecP256rMLKEM768 和 SecP384rMLKEM1024 混合密钥交换BIG-IP 现在支持客户端和服务器端通信中 TLS 的SecP256r1MLKEM768和SecP384r1MLKEM1024混合密钥交换。这些机制分别结合了广泛信任的 SecP256r1 和 SecP384r1 椭圆曲线密钥交换与 MLKEM768 和 MLKEM1024确保在面向未来的量子威胁下具有增强的安全性和弹性。此版本加强了 BIG-IP 的加密灵活性在经典和后量子环境中为安全通信提供了改进的兼容性和强大的保护。现有配置保持不变。在支持的地方这些新选项提供了额外的安全层 (sysin)。这一增强彰显了 BIG-IP 致力于推进安全和现代化应用程序通信的承诺。✅支持在 TMM 内监视器中使用 SNAT 池 IPTMM 内健康监视器GATEWAY ICMP, TCP, HTTP/HTTPS现在支持使用 SNAT 池作为监视器探测的源地址。默认情况下监视器使用自 IP 地址作为源启用 SNAT 池 IP 允许监视流量源自公共或客户认可的 IP 地址。这对于出站 VIP 配置至关重要因为后端池成员位于不路由到私有自 IP 地址的客户网络中。在 HA 部署中只有主用单元发送监视器探测并自动将端点状态同步到备用单元。✅支持使用 ARP 在 TMM 中监视 MAC 地址BIG-IP 21.1 支持使用地址解析协议 (ARP) 在其流量管理微内核 (TMM) 内直接进行基于 MAC 的健康检查。这些健康检查在 MAC第 2 层级别监视设备而不是依赖基于 IP 的方法从而允许更快、更准确地验证设备可用性。✅支持将 TLS 1.3 和 DTLS 1.2 作为默认的客户端和服务器 SSL/TLS 父配置文件BIG-IP 21.1 支持将 TLS 1.3 和 DTLS 1.2 作为默认设置的客户端和服务器 SSL/TLS 父配置文件以平衡安全性、兼容性和性能同时保留旧版客户端和服务器配置防止对现有子配置文件造成中断。✅可配置的 OCSP 请求随机数 (Nonce)BIG-IP 21.1 提供了在 cert-LDAP 认证期间控制是否在 OCSP 请求中包含随机数的能力。默认情况下随机数使用保持启用状态保留了现有行为并与安全最佳实践保持一致。此增强功能为使用旧版或不兼容 OCSP 响应程序的环境提供了更大的灵活性这些响应程序可能无法正确处理启用了随机数的请求。管理员可以在需要时禁用随机数以提高兼容性并避免认证失败同时通过默认启用随机数使用来遵守安全最佳实践。优化了 BIG-IP UI 中的 OCSP 处理避免在每个 HTTP 请求上进行 OCSP 检查减少了不必要的 OCSP 流量并提高了认证稳定性。示例tmsh modify sys httpd ssl-ocsp-use-request-nonce off✅增强的 C3D 功能C3D 功能现在包括覆盖伪造证书的notBefore有效期起始属性的能力。这使您可以动态地将证书的开始时间设置为证书伪造的确切时间。服务器 SSL 配置文件页面上引入了覆盖证书开始日期选项为实时流量和合规性要求提供了更大的灵活性。您现在可以缓存伪造的客户端证书减少了为类似事务重复生成它们的需要 (sysin)从而在高流量场景中提高了效率。此缓存伪造证书选项在服务器 SSL 配置文件页面上引入优化了流量处理并减少了 TLS 代理流中的计算开销。SubjectDirectoryAttributes扩展已添加到 C3D 中伪造证书的可用证书扩展列表中。此扩展提供有关证书主题的附加属性例如地理位置、组织属性或其他元数据。如果需要您现在可以在动态伪造的证书中包含SubjectDirectoryAttributes。这可以通过服务器 SSL 配置文件设置进行配置。您现在可以对 C3D 使用以下 iRules命令描述SSL::c3d cert_lifespan [1-8760]覆盖配置文件配置的 C3D 生命周期。SSL::c3d cert_start_date [override / original]如果设置为override使用证书伪造的时间覆盖notBefore。如果设置为original保留原始客户端证书的notBefore值不受配置文件配置影响。SSL::c3d extension KU digitalSignature, keyEncipherment将KeyUsage约束注入伪造证书。SSL::c3d extension EKU serverAuth, clientAuth将extendedKeyUsage约束注入伪造证书。SSL::c3d extension SDA dateOfBirth:20000101000000Z, countryOfCitizenship:US将subjectDirectoryAttributes约束注入伪造证书。WAF 新特性BIG-IP 21.1 为 WAF 引入了以下新特性✅HTTP/3 Web 防护现在支持对 HTTP/3 客户端流量进行 Web 应用程序防火墙 (WAF) 检查。HTTP/3 基于 QUIC (UDP) 构建正越来越多地被现代 Web 应用程序采用BIG-IP 现在将 WAF、Bot Defense 和 L7 DoS 防护扩展到支持 HTTP/3 的虚拟服务器。任何模板类型的安全策略都可以与支持 HTTP/3 的虚拟服务器关联提供与 HTTP/1.1 和 HTTP/2 相同的检查保真度包括对跨站脚本 (XSS) 和 SQL 注入 (SQLi) 等威胁的防护。目前的限制包括仅支持客户端、无法从 WAF UI 创建 HTTP/3 虚拟服务器以及不支持行为 DoS (BADOS)。注意BIG-IP LTM 上的底层 HTTP/3 实现仍然是实验性的。详情请参阅 K60235402BIG-IP 上的 HTTP/3 协议概述。✅OpenAPI 3.1 支持BIG-IP Application Security Manager (ASM) 支持使用 OpenAPI Specification 3.1 版本创建 API 安全策略。可以使用现有工作流导入 OpenAPI 3.1 文件无需更改配置或使用方式。✅MCP 协议保护针对模型上下文协议流量的 WAF 检查此版本引入了 MCP 协议保护能够对模型上下文协议 (MCP) 流量进行 WAF 检查和内联检测与阻断从而保护 AI 和智能体工作流。它包括专用的 MCP 策略模板支持提示/工具注入检测、SSRF 防护、敏感数据掩码 (Data Guard)、JWT 验证以及本地或远程事件日志记录。该解决方案以最小的延迟影响保护 MCP 集成同时允许合法流量。对于基于流式传输和 SSE 的响应 (text/event-stream)绕过响应侧检查和日志记录仅应用请求侧保护。提供了针对 SSE 应用程序、日志记录配置、JWT 设置和签名调整的指南。✅增强的 Splunk 键值日志记录引入了新的日志格式Splunk Key-Value Pairs – Extended通过 XML violation_details 元素以额外的违规上下文丰富远程日志。现有的Key-Value Pairs (Splunk)格式更名为Splunk Key-Value Pairs – Basic。此增强功能改善了 Splunk 中安全违规行为的可见性和分析能力。注意使用 Extended 格式的配置无法加载到不支持此日志选项的版本上。APM 新特性BIG-IP 21.1 为 APM 引入了以下新特性✅APM 中基于会话的策略添加 HTTP 连接器支持F5 BIG-IP Access Policy Manager (APM) 中现已支持在基于会话的策略中使用 HTTP 连接器。此功能允许管理员在会话建立期间向外部服务发送 HTTP 请求并使用响应进行身份验证、授权和访问控制决策。文档已更新以反映当前的配置模型包括 HTTP 连接器传输、请求和代理对象之间的清晰分离。导航路径和程序已优化以符合 BIG-IP UI 和配置工作流使其更易于配置和与自定义身份验证及授权系统等外部服务集成。✅门户访问针对现代 JavaScript 应用程序的 ECMAScript (ES13) 支持APM 内的门户访问增强了对现代 ECMAScript 版本的支持。以前仅限于 ES6JavaScript 重写引擎现在支持高达 ES13 的语法和功能提高了与现代 Web 应用程序的兼容性。更新扩展了解析、转换和运行时功能以处理较新的语言结构同时保持向后兼容性。不需要更改现有的门户访问配置或重写配置文件。此增强功能使使用最新 ECMAScript 功能的现代应用程序能够正常运行无需手动 URL 重写或故障排除。它减少了支持案例提高了应用程序可靠性并确保通过 F5 BIG-IP Access Policy Manager 无缝最终用户访问现代应用程序。✅动态客户端注册 (DCR) 支持此版本添加了对 OAuth 2.0 动态客户端注册 (RFC 7591) 的支持。管理员可以在 OAuth 配置文件上启用 DCR允许授权客户端使用初始访问令牌 (IAT) 进行动态注册。该功能包括支持客户端凭据授予类型、可配置的客户端身份验证设置、客户端密钥过期和增强的日志记录。✅Windows Edge Client 的自定义日志记录首选项Windows Edge Client 现在提供自定义日志记录首选项让您能够更好地控制日志详细程度从而提高安全性和灵活性。在 BIG-IP 中从访问 连接性 / VPN 连接性 配置文件创建连接配置文件时您可以从常规设置中的APM 客户端日志级别下拉菜单中选择所需的日志级别。默认情况下它设置为信息。注意如果BIG-IP 服务器日志级别设置为ERROR、WARN或INFO它将覆盖客户端日志级别。APM 客户端日志级别仅在BIG-IP 服务器日志级别设置为DEBUG或TRACE时才被考虑。如果两者不同则应用较低的日志级别详细程度较低。重要提示对ServerLogLevel的更改是动态应用的不需要重新安装 Edge Client。更新后的设置将在客户端连接到具有启用自定义日志记录选项的连通性配置文件的 APM 虚拟服务器时自动反映出来。但是如果需要在客户端进行详细的调试级日志记录必须手动在注册表编辑器中创建MachineLogLevel。更多信息请参阅 APM 客户端文档。此功能需要 BIG-IP 版本21.1或更高版本。✅Windows 原生支持 SAML 身份验证以前Windows 上 APM 客户端通过默认浏览器进行的 SAML 身份验证是通过 iRules 实现的。然而该功能现在已在 BIG-IP 上原生实现不再需要 iRules。此功能显着改善了用户体验 (sysin)简化了可维护性并提高了整体可支持性。macOS 和 Windows 上的 Edge Client 可以使用系统默认浏览器对用户进行身份验证身份提供商 (IdP)。这使得现代身份验证方法成为可能例如 FIDO2 和 Microsoft Entra ID 设备身份验证。要启用此功能请在 BIG-IP 中从访问 连接性 / VPN 连接性 配置文件创建连接配置文件时在桌面客户端设置中选择启用系统浏览器复选框。启用系统浏览器设置动态生效不需要重新安装客户端。✅支持访问 IPsec VPN 隧道在 Access 中增加了对 IPsec VPN 隧道的支持以实现从 SSL/TLS-VPN 到 IPsec VPN 的过渡。客户端现在可以使用 Windows 上的 BIG-IP Edge Client 或 macOS 上的 F5 Access 通过 IPsec VPN 连接到 BIG-IP并安全地访问后端网络。连接配置文件屏幕中引入了一个新字段VPN 类型。当您将其设置为IPsec时系统会自动生成一个访问 IPsec 策略。您可以根据需求修改属性并更新策略。当您配置带有 IPsec VPN 类型连接配置文件的虚拟服务器时会创建关联的 IPsec 对象IPsec 策略、IKE 对等体和流量选择器。注意使用 LTM IPsec 时针对访问虚拟服务器的流量可能会被错误地路由到 LTM IPsec 转发虚拟服务器。为避免这种情况请勿在同一环境中同时部署 LTM IPsec 和访问 IPsec并对每种用例使用单独的 VLAN。IPsec 身份验证仅支持机器证书身份验证需要在访问策略中配置机器证书代理。如果没有配置机器证书代理IPsec 将无法建立连接。IPsec 配置是动态应用的不需要重新安装Windows Edge Client或F5 Access for macOS。您可以通过将连接配置文件中的VPN 配置文件类型从SSL更新为IPsec将现有的连接配置文件从 SSL-VPN 转换为 IPsec。但是不支持将现有的连接配置文件从 IPsec 转换为 SSL-VPN需要创建新配置文件。✅自动升级机器隧道服务当 Windows Edge Client 在 BIG-IP 上有可用更新且启用了自动升级功能时现在可以自动升级 F5 机器隧道服务。此外如果机器隧道服务在升级前正在运行它会在升级完成后继续运行而不影响现有的 VPN 配置设置。此功能要求 Edge Client 已安装并且在安装最新版本的客户端后至少成功连接过一次 VPN。✅Ubuntu ARM64 上的端点检查支持端点检查现在支持带有 ARM64 的 Ubuntu允许在 Linux ARM64 平台上无缝管理和检查端点。有关所需附加系统库的详细信息请参阅BIG-IP Edge Client for LinuxF5 VPN 和 F5 Endpoint Inspector 所需的附加系统库。DNS 新特性BIG-IP 21.1 为 DNS 引入了以下新特性。✅BIG-IP DNS支持优先级排序和多 RPZ 及增强的策略操作BIG-IP DNS 现在支持将多个响应策略区域 (RPZ) 订阅源区域最多 65,535 个关联到单个 DNS 缓存从而能够集成多种策略源例如监管订阅源、第三方威胁情报和内部管理策略。以前仅限于单个 RPZ 订阅源和全局响应行为系统现在可以根据可配置的优先级顺序评估多个 RPZ 区域从而实现更灵活、可扩展的 DNS 策略实施。还添加了对使用 TSIG (HMAC-SHA-512) 进行安全 RPZ 区域传输的支持。此版本通过支持更广泛的响应策略操作扩展了 RPZ 功能包括 NXDOMAIN、NODATA、CNAME围墙花园、本地数据、PASSTHRU、DROP、仅 TCP、Given 和 Disabled与 RPZ 规范保持一致。BIG-IP DNS 现在支持 RPZ 定义的 A 记录响应实现基于每个 FQDN 的响应处理而不是单一的全局围墙花园 IP。除了基于 QNAME 的匹配外还支持客户端 IP 和响应 IP 触发器提供对 DNS 响应更细粒度的控制和增强的 DNS 策略实施。下载地址BIG-IP 21.0.0,Release date - Nov 04, 2025FilenameDescriptionSizeBIGIP-21.0.0-0.0.10.isoUse for upgrades. Does not include EUD.4 GBBIGIP-21.0.0-0.0.10.iso.md5MD5 file for Use for upgrades. Does not include EUD.57 BytesBIGIP-RECOVERY-21.0.0-0.0.10.isoUse for re-imaging. Includes EUD.4 GBBIGIP-RECOVERY-21.0.0-0.0.10.iso.md5MD5 file for Use for re-imaging. Includes EUD.66 BytesBIG-IP-21.0.0-0.0.10.htmlBIGIP-21.0.0 release notes612 KBBIG-IP 21.0.0_Virtual-Edition, Release date - Nov 04, 2025FilenameDescriptionSizeBIGIP-21.0.0-0.0.10.ALL-vmware.ovaImage fileset for VMware ESXi Server3 GBBIGIP-21.0.0-0.0.10.ALL-vmware.ova.md5MD5 file for Image fileset for VMware ESXi Server68 BytesBIGIP-21.0.0-0.0.10.ALL.qcow2.zipImage file set for KVM Red Hat Enterprise Linux/CentOS3 GBBIGIP-21.0.0-0.0.10.ALL.qcow2.zip.md5MD5 file for Image file set for KVM Red Hat Enterprise Linux/CentOS67 BytesBIGIP-21.0.0-0.0.10.ALL.vhd.zipImage fileset for Microsoft Hyper-V3 GBBIGIP-21.0.0-0.0.10.ALL.vhd.zip.md5MD5 file for Image fileset for Microsoft Hyper-V65 Bytes请访问https://sysin.org/blog/f5-big-ip-21-lts/相关产品F5 产品下载汇总 - 多云安全和应用交付更多HTTP 协议与安全