我负责配置我们的 F5 Big-IP LTM。它运行的是 9.4.8。
我读了一下文档,但有点困惑。它指定有两个默认 VLAN:内部和外部。问题是我想要负载平衡的服务器位于我们的 DMZ 中,这也是负载平衡器所在的位置。运行配置向导时,它不允许我在内部接口上指定 DMZ 网络,因为它已经在另一个 VLAN(外部接口)上定义。
在像我这样的设置中,向导定义的 VLAN 是否internal不必要external?由于负载平衡器与要平衡的服务器位于同一子网中,我可以只使用单个接口吗?
答案1
尽管向导不允许您以这种方式进行配置,但这是可能的。
要进行配置,您只需在接口上设置一个 VLAN 来处理内部和外部流量。F5 支持将此称为“单臂”拓扑。
必须在使用该 VLAN 的虚拟服务器上启用 SNAT,才能使流量正确流动。这是支持人员让我意识到的唯一警告。
答案2
使用内部和外部 VLAN 是保护内部网络的最佳做法,但这不是强制性的。
我不记得 v9 向导,但无论如何,只要按照它,您就可以更改所有内容。
您可以在单个接口上对流量进行负载平衡,但这并不理想,因为您会在同一个链接上累积客户端和服务器端的流量,如果负载很高,这可能会成为问题。
如果可能的话,继续在同一个 DMZ 但不同的子网中使用内部和外部。
f5 盒 IP 设置不必反映精确的 DMZ 子网。
还要注意,如果你有 DMZ,那就意味着你有防火墙。你可以将 bigip 放在防火墙和服务器之间,通过创建转发 VS,使 bigip 能够作为所有非负载平衡流量的网关。
现在,如果您想让所有内容都在同一个子网上(请注意,管理接口不能与任何其他 f5 自 IP 位于同一子网上,但您可以通过自 IP 管理该盒子),只需创建一个具有单个自 IP 的 VLAN。
大 IP 将通过相同的接口访问节点并处理流量,但一切都将正常运行。
实际上,bigip 平台允许任何网络设置(我从未受到过真正的限制)。您的设置将取决于您需要的安全级别和网络设计。
在实验室中,单个 VLAN 设计不是问题。但如果您需要处理公共流量,那么您将不得不多考虑一下 bigip 应该放在哪里。