آموزش

بررسی اصول نصب و استقرار Cisco ACI و F5 BIG -IP

بررسی اصول نصب و استقرار Cisco ACI و F5 BIG -IP

بررسی اصول نصب و استقرار Cisco ACI و F5 BIG -IP ابزارهای مختلف در زمینه مدیریت ترافیک الزامات و نیازهای متفاوتی دارند. بعضی از کاربردها به دلیل عملکرد خاص شان یا به خاطر یک نیاز کاری خاص، مستلزم دسترسی اپلیکیشن سرورها به آی‌پی واقعی کلاینتی هستند که به اپلیکیشن مورد نظر دسترسی پیدا می‌کند. حالا…

بررسی اصول نصب و استقرار Cisco ACI و F5 BIG -IP

ابزارهای مختلف در زمینه مدیریت ترافیک الزامات و نیازهای متفاوتی دارند. بعضی از کاربردها به دلیل عملکرد خاص شان یا به خاطر یک نیاز کاری خاص، مستلزم دسترسی اپلیکیشن سرورها به آی‌پی واقعی کلاینتی هستند که به اپلیکیشن مورد نظر دسترسی پیدا می‌کند. حالا وقتی درخواست‌هایی به سمت F5 BIG-IP ارسال می‌شود، امکان تغییر آی‌پی واقعی درخواست یا حفظ آن به همان صورت قبل وجود دارد. برای عدم تغییر آی‌پی تنظیمات Source Address Translation (به اختصار SNAT) را روی حالت None قرار دهید.

هر چند ممکن است تغییر این تنظیمات در F5 BIG-IP کار ساده‌ای به نظر برسد اما شاید تغییر دادن چنین تنظیماتی منجر به تغییر رفتار گردش ترافیک شود.

در ادامه نگاهی به چند مثال با مقادیر واقعی داریم. کار را با تنظیم یک F5 BIG-IP مستقل با یک اینترفیس F5 BIG-IP برای کل ترافیک شروع می‌کنیم.

  • کلاینت: 10.168.56.30
  • آی‌پی مجازی BIG-IP: 10.168.57.11
  • آی‌پی خود BIG-IP (Self IP): 10.168.57.10
  • سرور: 192.168.56.30

سناریوی اول: با تغییر آی‌پی

از کلاینت: 10.168.56.30 مقصد: 10.168.57.11

از BIG-IP به سرور: منبع: 10.168.57.10 (Self-IP) مقصد: 192.168.56.30

در این مثال، سرور به آی‌پی 10.168.57.10 پاسخ می‌دهد و F5 BIG-IP کارهای هدایت ترافیک به سمت کلاینت را انجام می‌دهد. در اینجا اپلیکیشن سرور امکان مشاهده آی‌پی 10.168.57.10 را دارد و نه آی‌پی کلاینت.

سناریوی دوم: بدون تغییر آی‌پی

از کلاینت: 10.168.56.30 مقصد: 10.168.57.11

از BIG-IP به سرور: منبع: 10.168.56.30 مقصد: 192.168.56.30

در اینجا سرور به آی‌پی 10.168.56.30 پاسخ می‌دهد و پیچیدگی‌های کار در همین جا بروز می‌کند چون ترافیک باید به F5 برگردد نه به کلاینت واقعی. یک راه برای دستیابی به این هدف، تنظیم GW سرور روی مقدار Self-IP مربوط به BIG-IP است تا سرور ترافیک برگشتی را به سمت BIG-IP هدایت کند. اما به هر دلیلی ممکن است درگاه پیش فرض سرور تغییر نکند. در چنین مواقعی، Redirect بر اساس سیاست‌های تعریف شده به ما کمک می‌کند. درگاه پیش فرض سرور به ساختار ACI fabric اشاره می‌کند و ACI fabric می‌تواند ترافیک را تفسیر کرده و به BIG-IP ارسال کند.

فایروال i5800 F5

با استفاده از این روش، مزایای PBR دو چندان می‌شود

  • نیازی نیست که درگاه پیش فرض سرور (یا سرورها) به F5 BIG-IP اشاره کنند بلکه می‌توانند به جای آن به ACI fabric اشاره کنند.
  • آی‌پی واقعی کلاینت برای کل جریان ترافیک محفوظ می‌ماند.
  • پیشگیری از هدایت ترافیک ایجاد شده توسط سرور به سمت BIG-IP امکان ایجاد یک سیستم هدایت ترافیک برای کنترل هر چه بهتر ترافیک را فراهم می‌کند. اگر حجم ترافیک هدایت شده از سمت سرور زیاد باشد، بار غیر ضروری بر روی BIG-IP ایجاد می‌شود.

توصیه می‌کنیم که قبل از پرداختن به موضوع PBR، با یکسری از مفاهیم و موضوعات Cisco ACI و F5 BIG-IP آشنایی پیدا کنید.

حالا روش پیکربندی PBR با استفاده از یک F5 BIG-IP مجازی در حالت One-Arm را بررسی می‌کنیم.

برای استفاده از قابلیت PBR در APIC، وجود گراف سرویس ضروری است.

جزئیات گراف سرویس L4-L7 در APIC

آشنایی با روش نصب نصب گراف سرویس

پیکربندی در APIC

1) Bridge domain F5-BD

  • در قسمت Tenant> Networking> Bridge domains> F5-BD> Policy
  • IP Data plane learning غیرفعال شود.

2) ارسال L4-L7 بر اساس سیاست‌ها

  • در قسمت Tenant> Policies> Protocol> L4-L7 Policy based redirect یک فیلد جدید با این مشخصات ایجاد کنید:
  • Name: ‘bigip-pbr-policy’
  • L3 destinations: F5 BIG-IP Self-IP and MAC
  • IP: 10.168.57.10
  • برای MAC آدرس مک اینترفیسی که Self-IP به آن اختصاص یافته را پیدا کنید (مثل: 00:50:56:AC:D2:81)

3) Logical Device Cluster – در قسمت Tenant> Services> L4-L7 یک سرویس منطقی جدید بسازید، با این مشخصات

  • Managed – انتخاب نشود
  • Name: ‘pbr-demo-bigip-ve`
  • Service Type: ADC
  • Device Type: Virtual (در این مثال)
  • VMM domain  (دامنه VMM مناسب را انتخاب کنید)
  • Devices: ماشین مجازی F5 BIG-IP را از منو انتخاب کرده و یک اینترفیس برای آن انتخاب کنید
  • Name: ‘1_1’, VNIC: ‘Network Adaptor 2’
  • Cluster interfaces
  • Name: consumer, Concrete interface Device1/[1_1]
  • Name: provider, Concrete interface: Device1/[1_1]

4) الگوی گراف سرویس

  • در قسمت Tenant> Services> L4-L7 یک الگوی گراف سرویس بسازید.
  • یک نام برای گراف انتخاب کنید مثل pbr-demo-sgt و بعد کلاستر دستگاه منطقی (pbr-demo-bigip-ve) را به گراف سرویس بکشید و رها کنید.
  •  ADC: one-arm
  • Route redirect: true

5) روی گراف سرویس ایجاد شده کلیک کرده و بعد به سربرگ Policy بروید. بررسی کنید که تنظیمات کانکتورهای C1 و C2 به این صورت انجام شده باشد:

  • Direct connect – True
  • Adjacency type – L3

6) اعمال الگوی گراف سرویس

  • روی گراف سرویس راست کلیک کرده و آن را اعمال کنید.
  • End point group (‘App’) و provider End point group (‘Web’) را انتخاب کرده و یک نام برای کانتکت جدید انتخاب کنید.
  • برای کانکتور:
  • BD: ‘F5-BD’
  • L3 destination – checked
  • Redirect policy – ‘bigip-pbr-policy’
  • Cluster interface – ‘provider’

پس از استقرار گراف سرویس، این گراف در حالت اعمال شده قرار می‌گیرد و مسیر شبکه بین مشتری، F5 BIG-IP و ارائه دهنده با موفقیت در APIC تنظیم می‌شوند.

پیکربندی در BIG-IP

1) مسیریابی پیش فرض/ Self-IP/ VLAN

  • مسیریابی پیش فرض – 10.168.57.1
  • Self-IP – 10.168.57.10
  • VLAN – 4094  (untagged)- برای VE (نسخه مجازی)، کار تنظیم تگ توسط vCenter انجام می‌شود

2) نودها/ Pool/ VIP

  • VIP – 10.168.57.11
  • ترجمه آدرس منبع در VIP: None

3) iRule (انتهای مقاله) که می‌تواند برای عیب یابی مفید باشد

چند تفاوت پیکربندی در مواقعی که BIG-IP در حالت Virtual edition (نسخه مجازی) قرار دارد و در حالت دسترس پذیری بالا (High availability) تنظیم شده باشد:

1) BIG-IP: Set MAC Masquerade

2) APIC: Logical device cluster

  • Promiscuous mode – enabled
  • Add both BIG-IP devices as part of the cluster (هر دو دستگاه BIG-IP را به عنوان بخشی از کلاستر تنظیم کنید)

 

 

3) APIC: L4-L7 Policy-Based Redirect

  • L3 destinations: Floating BIG-IP Self-IP و MAC masquerade را وارد کنید.

 

پیکربندی کامل شد، حالا نگاهی به جریان ترافیک داریم:

Client-> F5 BIG-IP -> Server

Server-> F5 BIG-IP -> Client

در مرحله دوم، وقتی ترافیک از سمت کلاینت برمی‌گردد، ACI از Self-IP و MAC که در سیاست Redirect L4-L7 تعریف شده بودند، برای انتقال ترافیک به BIG-IP استفاده می‌کند.

کاربرد iRule برای کمک به عیب یابی در BIG-IP

خروجی مشاهده شده در مسیر /var/log/ltm از BIG-IP، به رویداد <SERVER_CONNECTED> توجه کنید:

سناریوی 1: عدم استفاده از SNAT، آی‌پی کلاینت حفظ می‌شود

اگر می‌خواهید خروجی iRule را در حالت فعال بودن SNAT در BIG-IP مشاهده کنید، می‌توانید AutoMap را در سرور مجازی BIG-IP فعال کنید.

سناریوی 2: استفاده از SNAT: آی‌پی کلاینت حفظ نمی‌شود

پیکربندی:

برای هدایت ترافیک از اپلیکیشن سرورها به BIG-IP از قابلیت PBR در Cisco ACI fabric استفاده کنید. این کار باعث می‌شود که نیاز به بازنویسی مجدد اپلیکیشن یا ایجاد تغییر در پیکربندی BIG-IP نداشته باشید.

شاید این مطالب نیز برای شما جالب باشد

امنیت سایبری با هدف شرکت های تکنولوژی

امنیت سایبری با هدف شرکت های تکنولوژی

ارتقا کارایی و امنیت سایبری در برابر حملات پیشرفته به طور کلی شرکت های فناوری همواره به دنبال ارائه ابداعات و نوآوری های دیجیتالی برای...

مقابله سازمان ها با چالش های امنیتی دورکاری

مقابله سازمان ها با چالش های امنیتی دورکاری

یافته های کلیدی در خصوص سیستم دورکاری به طور تقریبی 60 درصد از سازمان ها قصد دارند هزینه های گزافی بابت امنیت سیستم دورکاری آینده...

معرفی dellemc powerstore

معرفی dellemc powerstore

شرکت DELL EMC یک شرکت چند ملیتی آمریکایی است که دفتر مرکزی آن در هاپکینتون ، ماساچوست ، ایالات متحده است. Dell EMC به فروش ذخیره اطلاعات ، امنیت...

ارتقا امنیت توسط SD-WAN

ارتقا امنیت توسط SD-WAN

ارتقا امنیت توسط SD-WAN با توجه به رشد سازمان ها در جهت افزودن شعب و محل های خارج از سازمان، گزینه Software-Defined Wide Area networks (SD-WAN) در فرایند تکامل...

تکنولوژی Quality Of Service

تکنولوژی Quality Of Service

تعریف Quality Of Service با استفاده از تکنولوژی Quality Of Service که به اختصار به آن QoS گفته می شود، می توان جنبه های مختلف ترافیک شبکه را تنظیم نمود، از...

امنیت سایبری با هدف شرکت های تکنولوژی

امنیت سایبری با هدف شرکت های تکنولوژی

ارتقا کارایی و امنیت سایبری در برابر حملات پیشرفته به طور کلی شرکت های فناوری همواره به دنبال ارائه ابداعات و نوآوری های دیجیتالی برای...

بررسی اصول نصب و استقرار Cisco ACI و F5 BIG -IP

بررسی اصول نصب و استقرار Cisco ACI و F5 BIG -IP

بررسی اصول نصب و استقرار Cisco ACI و F5 BIG -IP ابزارهای مختلف در زمینه مدیریت ترافیک الزامات و نیازهای متفاوتی دارند. بعضی از کاربردها به دلیل...

مقابله سازمان ها با چالش های امنیتی دورکاری

مقابله سازمان ها با چالش های امنیتی دورکاری

یافته های کلیدی در خصوص سیستم دورکاری به طور تقریبی 60 درصد از سازمان ها قصد دارند هزینه های گزافی بابت امنیت سیستم دورکاری آینده...

معرفی dellemc powerstore

معرفی dellemc powerstore

شرکت DELL EMC یک شرکت چند ملیتی آمریکایی است که دفتر مرکزی آن در هاپکینتون ، ماساچوست ، ایالات متحده است. Dell EMC به فروش ذخیره اطلاعات ، امنیت...

ارتقا امنیت توسط SD-WAN

ارتقا امنیت توسط SD-WAN

ارتقا امنیت توسط SD-WAN با توجه به رشد سازمان ها در جهت افزودن شعب و محل های خارج از سازمان، گزینه Software-Defined Wide Area networks (SD-WAN) در فرایند تکامل...

تکنولوژی Quality Of Service

تکنولوژی Quality Of Service

تعریف Quality Of Service با استفاده از تکنولوژی Quality Of Service که به اختصار به آن QoS گفته می شود، می توان جنبه های مختلف ترافیک شبکه را تنظیم نمود، از...

اصالت کالا
پشتیبانی
گارانتی تعویض
پست پیشتاز
Call Now Button