F5-VS_Outbound简单配置.docVIP

内网服务器主动出向访问 F5简单配置 F5 Networks 2016-06-20 1 服务器出向访问简单配置 4 1.1 网络拓扑 4 1.2 建立默认网关池 5 1.3 建立SNAT Pool(指定SNAT地址) 5 1.4 配置全零VS进行出向访问 6 1.5 配置iRule脚本用于自定义出向SNAT 7 服务器出向访问简单配置 网络拓扑 压测环境F5采用旁路模式部署，服务器默认网关指向核心交换机，因而如果服务器主动出向访问，默认不会经过F5，通过上行交换机就直接出去了，在这种架构下，建议服务器主动出向的SNAT由核心交换机上面的防护墙来做； 如果服务器主动出向访问一定要经过F5，由F5来做SNAT，那么在旁路模式的部署情况下，这些要主动出去访问的服务器的默认网关需要指向F5，如果是双机环境下即指向F5的floating IP (以压测环境的网络部署为例见下图) 建立默认网关池 点击Local Traffic Pools Pool List Create: 此处建立的是F5的默认网关池，调用后用于配置F5将数据包扔给哪个下一跳；在Name栏输入相应的名称如：pool_default_gateway，Health Monitors选择gateway_icmp用于探测F5与默认网关是否连通，在下面的New Members右边的Address栏输入F5的默认网关：172.16.4.254(以压测环境为例)，Service Port栏选择All Services，并点击Add，完成后点击Finished。 建立SNAT Pool(指定SNAT地址) 点击Local Traffic Address Translation SNAT Pool List Create: 在Name栏输入相应的名称方便调用如：snat_pool_out1，在下面的IP Address栏输入对应的SNAT(即想要内网服务器被SNAT成的地址)，并点击Add，完成后点击finished。 配置全零VS进行出向访问 点击Local Traffic Virtual Server Virtual Server List Create: 在Name栏输入相应的名称如：vs_outbound，Type栏选择Performance (Layer 4)，Destination右边的Type选择Network，在下面的Address和Mask栏分别输入0.0.0.0，Service Port选择All Ports，在下面的Configuration配置区域的Protocol栏选择All Protocols，Source Address Translation栏选择SNAT，在随后跳出的SNAT Pool栏选择对应的SNAT Pool，在下面Resources配置区域的Default Pool栏选择刚才创建的网关池：pool_default_gateway；完成后点击Finished。 以上配置方式的意思是，任何一台内网的服务器(它们的默认网关需指向F5)，如果主动出向访问经过F5，它们的源地址都会被转换成snat_pool_out1里的地址，并由F5将数据包扔给默认网关172.16.4.254出去(pool_default_gateway里的member地址)； 但是如果需要对出向的SNAT进行精细的控制，比如这几个内网服务器要SNAT成地址1，而另外几个内网服务器则要SNAT成地址2，以此类推，那么需要通过iRule脚本语言来实现，详见1.5节。 配置iRule脚本用于自定义出向SNAT 建立Data Group对服务器地址进行分类: Local Traffic iRules Data Group List Create: 在Name栏输入相应的名称如：server_out1方便被iRule调用，在下面的Address Records区域右边的Type栏根据具体情况选择Host还是Network，在Address栏输入对应的地址(就是要主动出向访问的内网服务器地址)，并点击Add完成后点击Finished。 编写iRule脚本用于出向指定SNAT: Local Traffic iRules iRule List Create: 以上iRule脚本的意思是：如果主动出向访问的服务器的源IP是server_out1里的地址，那么将它们的源地址SNAT成snat_pool_out1里的地址，如果主动出向访问的服务器的源IP是server_out2里的地址，那么将它们的源地址SNAT成snat_pool_out2里的地址，其他主动出向访问的服务器的源IP都SNAT成F5的floating IP出去。 将该iRule脚本关联给vs_outbound