F5 Bigip　Big ip

###前提・実現したいこと
F5 Big ipの設計についてご質問です。
下記セグメントの分け方の設定をお伺いさせてください。
①L3～LB(Big ip)セグメント：10.0.0.0/24
②LB(Big ip)のバーチャルサーバセグメント：10.0.10.0/24
③Webサーバ(負荷分散対象)セグメント：10.0.20.0/24
よくある設定の仕方として①と②が同じセグメントで設計することが多いですが今回セグメントを分ける設定をいたします。
そこで、上記の通信を可能にするための設定をご教示いただけましでしょうか。
※技術名と参考になるURLをいただけると助かります。

###試したこと
環境的に実機をさわることができません。

行動規範の内容に同意します

回答2件

負荷分散と言っているので，IP Forwarding Virtual Server (Pool を使えない) ではなく，TCP コネクションを終端する L4 以上で動作するタイプの Virtual Server を使いたいのだと思います．

①L3～LB(Big ip)セグメント：10.0.0.0/24
②LB(Big ip)のバーチャルサーバセグメント：10.0.10.0/24

上記で仰りたいのは，client-side の self-ip が 10.0.0.0/24 の内で，
VirtualServer (VS) の VIP (virtual ip) が 10.0.10.0/24 の内である，と理解しました．

例として，client-side の self-ip が 10.0.0.1 で VIP が 10.0.10.1 だとします．
そうすると self-ip の設定は /config/bigip_base.conf でみると以下のようになります．

net self /Common/client_side {
    address 10.0.0.1/24
    vlan /Common/vlan_client_side
}

VS の最小設定は，以下です．

ltm virtual /Common/vs1 {
    destination /Common/10.0.10.1:80
    ip-protocol tcp
    mask any
    pool /Common/vs1
    profiles {
        /Common/fastL4 { }
    }
    source 0.0.0.0/0
    source-address-translation {
        type automap
    }
    translate-address enabled
    translate-port enabled
}

クライアント pc が 10.0.0.2/24 だとすると，その pc は 10.0.10.1 に対するルートを持っていないでしょうから，static ルートを追加してあげます．

linux での例

$ route add 10.0.10.1/32 gw 10.0.0.1

static ルートを pc に設定する事により，VIP へパケットを送りたい場合には gw である 10.0.0.1 の mac address を使うようになり，BIG-IP にパケットが到達します．

dst mac が自身の mac address であるパケットが BIG-IP に到達すると，dst ip に該当する VS が無いか確認され，best match である VS により受け付けられます．

best match というのは，例えば，以下のような二つの VS があったとします．vs2 の 0.0.0.0 は他に該当する VS がなければ全ての dst ip を受け付けるという設定です．
dst ip が 10.0.10.1 であれば best match は vs1 となり，それ以外であれば vs2 です．

ltm virtual /Common/vs1 {
destination /Common/10.0.10.1:80

ltm virtual /Common/vs2 {
destination /Common/0.0.0.0:80

詳細はこちら
https://support.f5.com/csp/article/K14800

③Webサーバ(負荷分散対象)セグメント：10.0.20.0/24

server-side の self-ip と，pool (負荷分散対象)の設定は以下のようになります．

net self /Common/server_side {
    address 10.0.20.1/24
    vlan /Common/vlan_server_side
}

ltm pool /Common/vs1 {
    members {
        /Common/10.0.20.2:80 {
            address 10.0.20.2
        }
    }
}

アドレスを纏まると

PC     : mac 00:00:00:00:00:01 | ip 10.0.0.2/24
BIG-IP : client-side mac 00:00:00:00:00:02 | ip 10.0.0.1/24
         VIP                               | ip 10.0.10.1
         server-side mac 00:00:00:00:00:03 | ip 10.0.20.1/24
Server : mac 00:00:00:00:00:04 | ip 10.0.20.2/24

パケットのアドレスは以下のようになるでしょう．

PC     ----> BIG-IP : dst mac 00:00:00:00:00:02 | dst ip 10.0.10.1
                    : src mac 00:00:00:00:00:01 | src ip 10.0.0.2

BIG-IP ----> Server : dst mac 00:00:00:00:00:04 | dst ip 10.0.20.2
                      src mac 00:00:00:00:00:03 | src ip 10.0.20.1

ドキュメントについては，見つけられませんでした．

投稿2019/11/08 02:49

編集2019/11/08 02:53

pied_piper

総合スコア40

これは、BIGIPが3つの物理インターフェース(10.0.0.0/24、10.0.10.0/24、10.0.20.0/24)を持ち、BIGIPで10.0.0.0/24 ~ 10.0.10.0/24のL3ルーティングをしたいという理解で間違いないでしょうか?
そうであれば、そのような構成での設定例を示したサイトは見つかりませんでした。
L3機能は持っているので可能なのかもしれませんが・・・

実機触れないとのことですが、BIGIPは期間限定試用版の仮想イメージを提供していたはずです。
こちらで挙動を確認してみては如何でしょうか?

投稿2017/04/17 00:59