Мне было поручено настроить наш LTM F5 Big-IP. Он работает под управлением 9.4.8.
Я немного прочитал документы и немного запутался. Он указывает, что существует две сети VLAN по умолчанию: внутренняя и внешняя. Проблема в том, что серверы, которые я хочу сбалансировать, находятся в нашей DMZ, где также находится балансировщик нагрузки. При запуске мастера настройки он не позволяет мне указать сеть DMZ на внутреннем интерфейсе, так как она уже определена в другой VLAN (внешнем интерфейсе).
В такой настройке, как моя, необходимо internal и external VLAN, как определил мастер, ненужны? Поскольку балансировщик нагрузки находится в той же подсети, что и серверы, которые он балансирует, могу ли я использовать только один интерфейс?
Это возможно, даже если Мастер не позволит вам настроить это таким образом.
Чтобы настроить его, вам просто нужно настроить одну VLAN на своем интерфейсе, которая будет обрабатывать внутренний и внешний трафик. Служба поддержки F5 называет эту топологию «однорукой».
SNAT должен быть включен на виртуальных серверах, которые используют эту VLAN для правильного прохождения трафика. Это единственное предостережение, о котором мне рассказала служба поддержки.
Использование внутренних и внешних виртуальных локальных сетей - лучший способ защиты внутренней сети, но это не обязательно.
Я не помню мастера v9, но в любом случае просто следуйте ему, и вы сможете сразу все изменить.
Вы можете балансировать нагрузку трафика на одном интерфейсе, но это не идеально, поскольку вы будете накапливать трафик на стороне клиента и на стороне сервера по одному и тому же каналу, и это может быть проблемой, если у вас высокая нагрузка.
Если возможно, продолжайте использовать внутренние и внешние в одной и той же DMZ, но с разными подсетями.
Настройка IP-адреса блока f5 не обязательно должна отражать точную подсеть DMZ.
Также обратите внимание, что если у вас есть DMZ, это означает, что у вас есть брандмауэр. Вы можете установить барьер между брандмауэром и вашими серверами, создав Forwarding VS, который позволит ему работать в качестве шлюза для всего трафика без балансировки нагрузки.
Теперь, если вы хотите, чтобы все было в одной подсети (обратите внимание, что интерфейс управления не может находиться в той же подсети, что и любой другой собственный IP-адрес f5, но вы можете управлять ящиком через собственный IP-адрес), просто создайте одну единую VLAN с одним собственный IP.
Большой IP-адрес будет обращаться к узлам и обрабатывать трафик через один и тот же интерфейс, но все будет работать нормально.
На самом деле платформа bigip позволяет настроить любую сеть (я никогда особо не ограничивался). Ваша настройка будет зависеть от требуемого уровня безопасности и конструкции сети.
Создание единой VLAN - не проблема для лаборатории. Но если вам нужно справиться с общественным трафиком, вам придется немного больше подумать о том, где стоять критиком.