Recebi a tarefa de configurar nosso F5 Big-IP LTM. Está rodando 9.4.8.
Eu li os documentos um pouco e estou um pouco confuso. Especifica que há duas VLANs padrão: interna e externa. O problema é que os servidores que eu quero balancear a carga estão em nossa DMZ, que é também onde está o balanceador de carga. Ao executar o assistente de configuração, ele não me permite especificar a rede DMZ na interface interna, pois ela já está definida em outra VLAN (a interface externa).
Em uma configuração como a minha, a necessidade de internal e external VLANs, conforme definido pelo assistente, é desnecessária? Como o balanceador de carga está na mesma sub-rede que os servidores que ele está balanceando, posso usar apenas uma única interface?
É possível mesmo que o Assistente não permita que você o configure dessa maneira.
Para configurá-lo, basta configurar uma única VLAN na sua interface que manipulará o tráfego interno e externo. O suporte a F5 chama isso de topologia de "um braço".
O SNAT deve estar ativado nos servidores virtuais que usam essa VLAN para que o tráfego flua corretamente. Essa é a única ressalva que o apoio me fez ciente.
Usar VLANs internas e externas é uma prática recomendada para manter a rede interna protegida, mas não é obrigatória.
Eu não me lembro do v9 wizard, mas em todo caso, apenas siga-o e você poderá mudar tudo logo após.
Você pode carregar o tráfego de tráfego em uma única interface, mas não é ideal, pois você acumulará tráfego no lado do cliente e no lado do servidor no mesmo link, e isso pode ser um problema se você tiver carga alta.
Se possível, continue usando interno e externo no mesmo DMZ, mas com sub-redes diferentes.
A configuração do IP da caixa f5 não precisa refletir exatamente a sub-rede da DMZ.
Observe também que, se você tem uma DMZ, isso significa que você tem um firewall. Você pode colocar o bigip entre o firewall e seus servidores, criando o Forwarding VS que permitirá que o bigip funcione como um gateway para todo o tráfego sem carga balanceada.
Agora, se você quiser ter tudo na mesma sub-rede (observe que a interface de gerenciamento não pode estar na mesma sub-rede do que qualquer outro IP f5, mas você pode gerenciar a caixa através de um IP pessoal), basta criar uma única VLAN. com um único IP pessoal.
O IP grande acessará os nós e lidará com o tráfego através da mesma interface, mas tudo funcionará bem.
Na verdade, a plataforma bigip permite qualquer configuração de rede (nunca fui muito limitada). Sua configuração dependerá do nível de segurança e do projeto de rede que você precisa.
Um único design de VLAN não é um problema em um laboratório. Mas se você precisa lidar com o tráfego público, então você terá que pensar um pouco mais sobre onde o bigip tem que ficar.
Tags load-balancing f5-big-ip