在 CBT Nuggets F5 视频系列的第 21 个视频中,Keith Barker 解释说,使 F5 “路由”的方法是创建 IP 转发虚拟服务器。此服务器将具有以下设置:
Dst IP: 0.0.0.0/0
Service port: * (all)
Type: Forwarding (IP)
Protocol Profile: fastL4
我的问题是:为什么 Keith Barker 建议这样做,而不是简单地在 F5 设备上创建指向下一跳的静态默认路由?我试图用谷歌搜索这个以及在 devcentral 中查看,但我似乎无法找到答案。
您并不孤单,转发虚拟服务器以及它在 F5 LTM 中扮演的角色常常令人困惑。没有看过相关视频,我只能推测基思·巴克到底说了些什么/他为什么这么说。然而,知道他的其他培训视频的高质量,我可以假设以下是他驾驶的内容。
本质上,可以这样想:
请参阅此非常有用的通过 F5 LTM 的流量图。您会注意到,所有操作的新流量都与虚拟服务器、SNAT 和 NAT 匹配。
请记住 F5 LTM 的用途,它是一个负载均衡器,旨在通过其虚拟服务器构造显式代理连接。
为了让它简单地传递流量,您可以配置一个“默认”转发虚拟服务器,它侦听所有地址和所有端口。这允许您在某种程度上欺骗系统,并让它通过设备传输流量,但不能传输到服务器池。
这通常用于允许流量从 LTM 后面的服务器流出,出站到世界进行修补等。此外,如果您想做的不仅仅是简单地路由该流量(例如应用数十种精彩的LTM 提供的“旋钮”,例如 TCP 修复或 iRule),您可以在转发虚拟服务器上执行此操作。
您当然可以在 TMSH 中使用以下命令配置标准静态 IP 路由:
create net route <route destination/mask> gw <IP addres>
然而,如果没有某种类型的 LTM 配置(虚拟服务器、转发虚拟服务器、SNAT 或 NAT),流量将被简单地丢弃,甚至永远不会达到对路由表进行路由查找的程度。 F5 LTM 是默认拒绝设备,它不会转发您未明确允许/配置的流量。