F5 VIP 需要在外部 VLAN 上吗?

网络工程 局域网 负载均衡器 f5
2022-02-07 07:29:33

我有以下网络图

              [Core Switch] <-- VLAN 20 external
                   |
                   |    <--- VIP 
                  [F5]
                   |    <--- VLAN 10 (Pool membber)
                   |
             --------------
             |     |      |

如上图所示,VLAN 20 是外部公共 VLAN,VLAN 10 是 WWW 服务器的内部 VLAN。

根据上图,我需要VLAN 20在我的 F5 上进行配置并创建SelfIP吗?

我想我只需要在 F5 上添加 VLAN 10 对吗?

编辑:

核心交换机接口配置

interface Port-channel1
 description Connected_to_F5
 switchport
 switchport access vlan 2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 10,20
 switchport mode trunk
2个回答

在 External 上肯定需要 SelfIP,因为它会在此处为 VIP 地址发出信号。应该使用 VLAN 10 上的那个,以便它可以在本地联系盒子,否则它将参考路由表来了解如何到达池中的节点。

因此,您通常有以下三种选择:

  1. 如果您不打算为服务器创建本地 IP,则必须使用 SNAT,否则服务器将尝试直接响应请求者,而防火墙将不知道为什么该服务器正在回复之前的连接本来是为了F5所以放弃的。

  2. 如果您在 VLAN 10 上创建本地 IP 地址,您将需要配置 SNAT,以便将源流量发回 F5,并将其他非 Web 流量(即用于 mgmt 的 SSH/RDP)发送回原始默认值网关。如果这样做,您将要配置一个启用了“forward X-headers”选项的新 HTTP 配置文件,这样您就可以知道原始来源是什么,否则您的所有 Web 服务器日志都会告诉您 F5 浮动/selfip正在为每个请求访问服务器。

  3. 本地 selfip 的另一个选项是将服务器的默认网关设置为 F5 并创建一个 L3 VFS 服务器以将不用于特定 VIP 的其他连接传递给服务器,这样 F5 仍会将其 NAT 退出到 VIP ip 以转发到防火墙并允许直接发往服务器的流量,如果您选择此选项,请确保您的网络设备的下一跳设置为本地 IP 地址上该网络的 F5,否则您将遇到问题非对称路由(即本地 pcs 将流量转发到防火墙到那里,然后服务器响应转到 F5,F5 将响应转发到原来转发出去的接口以外的接口,并且流量被丢弃)

TL;DR 您必须在外部 VLAN 中有一个自有 IP 才能为 VIP 代理 arp。最简单的选择是在两个 VLAN 中创建一个自 ip,然后为服务器 VLAN 启用 SNAT。

无需任何假设,如果您想要外部网络 (VLAN 20) 中的 VIP 并能够通过该 VIP 访问内部网络 (VLAN 10) 中的节点,那么您应该在 F5 上的每个网络中添加两个具有自身 IP 的 VLAN。

其它你可能感兴趣的问题
上一篇从Linux中的路由表中删除直接连接的路由 下一篇DHCP 关闭但仍然是动态寻址