بررسی اصول نصب و استقرار Cisco ACI و F5 BIG -IP

محیط‌های مختلف در زمینه مدیریت ترافیک الزامات و نیازهای متفاوتی دارند. بعضی از کاربردها به دلیل عملکرد خاص شان یا به خاطر یک نیاز کاری خاص، مستلزم دسترسی اپلیکیشن سرورها به آی‌پی واقعی کلاینتی هستند که به اپلیکیشن مورد نظر دسترسی پیدا می‌کند.

حالا وقتی درخواست‌هایی به سمت F5 BIG-IP ارسال می‌شود، امکان تغییر آی‌پی واقعی درخواست یا حفظ آن به همان صورت قبل وجود دارد. برای عدم تغییر آی‌پی تنظیمات Source Address Translation (ترجمه آدرس منبع یا به اختصار SNAT) را روی حالت None قرار دهید.

هر چند ممکن است تغییر این تنظیمات در F5 BIG-IP کار ساده‌ای به نظر برسد اما شاید تغییر دادن چنین تنظیماتی منجر به تغییر رفتار گردش ترافیک شود.

در ادامه نگاهی به چند مثال با مقادیر واقعی داریم. کار را با تنظیم یک F5 BIG-IP مستقل با یک اینترفیس F5 BIG-IP برای کل ترافیک شروع می‌کنیم.

• کلاینت: 10.168.56.30
• آی‌پی مجازی BIG-IP: 10.168.57.11
• آی‌پی خود BIG-IP (Self IP): 10.168.57.10
• سرور: 192.168.56.30

در رسیس بیشتر بخوانید : پیاده سازی اصول امنیتی در شبکه های 5G خصوصی

سناریوی اول: با تغییر آی‌پی

از کلاینت: 10.168.56.30 مقصد: 10.168.57.11

از BIG-IP به سرور: منبع: 10.168.57.10 (Self-IP) مقصد: 192.168.56.30

در این مثال، سرور به آی‌پی 10.168.57.10 پاسخ می‌دهد و F5 BIG-IP کارهای هدایت ترافیک به سمت کلاینت را انجام می‌دهد. در اینجا اپلیکیشن سرور امکان مشاهده آی‌پی 10.168.57.10 را دارد و نه آی‌پی کلاینت.

سناریوی دوم: بدون تغییر آی‌پی

از کلاینت: 10.168.56.30 مقصد: 10.168.57.11

از BIG-IP به سرور: منبع: 10.168.56.30 مقصد: 192.168.56.30

در اینجا سرور به آی‌پی 10.168.56.30 پاسخ می‌دهد و پیچیدگی‌های کار در همین جا بروز می‌کند چون ترافیک باید به F5 برگردد نه به کلاینت واقعی. یک راه برای دستیابی به این هدف، تنظیم GW سرور روی مقدار Self-IP مربوط به BIG-IP است تا سرور ترافیک برگشتی را به سمت BIG-IP هدایت کند. اما به هر دلیلی ممکن است درگاه پیش فرض سرور تغییر نکند. در چنین مواقعی، ری‌دایرکت بر اساس سیاست‌های تعریف شده به ما کمک می‌کند. درگاه پیش فرض سرور به ساختار ACI fabric اشاره می‌کند و ACI fabric می‌تواند ترافیک را تفسیر کرده و به BIG-IP ارسال کند.

با استفاده از این روش، مزایای PBR دو چندان می‌شود

• نیازی نیست که درگاه پیش فرض سرور (یا سرورها) به F5 BIG-IP اشاره کنند بلکه می‌توانند به جای آن به ACI fabric اشاره کنند.
• آی‌پی واقعی کلاینت برای کل جریان ترافیک محفوظ می‌ماند.
• پیشگیری از هدایت ترافیک ایجاد شده توسط سرور به سمت BIG-IP امکان ایجاد یک سیستم هدایت ترافیک برای کنترل هر چه بهتر ترافیک را فراهم می‌کند. اگر حجم ترافیک هدایت شده از سمت سرور زیاد باشد، بار غیر ضروری بر روی BIG-IP ایجاد می‌شود.

توصیه می‌کنیم که قبل از پرداختن به موضوع PBR، با یکسری از مفاهیم و موضوعات Cisco ACI و F5 BIG-IP آشنایی پیدا کنید.

• Cisco ACI fundamentals
• SNAT and Automap
• F5 BIG-IP modes of deployment

حالا روش پیکربندی PBR با استفاده از یک F5 BIG-IP مجازی در حالت One-Arm را بررسی می‌کنیم.

برای استفاده از قابلیت PBR در APIC، وجود گراف سرویس ضروری است

جزئیات گراف سرویس L4-L7 در APIC

آشنایی با روش نصب نصب گراف سرویس

پیکربندی در APIC

1) Bridge domain F5-BD

• در قسمت Tenant> Networking> Bridge domains> F5-BD> Policy
• IP Data plane learning غیرفعال شود.

2) ری‌دایرکت L4-L7 بر اساس سیاست‌ها

• در قسمت Tenant> Policies> Protocol> L4-L7 Policy based redirect یک فیلد جدید با این مشخصات ایجاد کنید:
• Name: ‘bigip-pbr-policy’
• L3 destinations: F5 BIG-IP Self-IP and MAC
• IP: 10.168.57.10
• برای MAC آدرس مک اینترفیسی که Self-IP به آن اختصاص یافته را پیدا کنید (مثل: 00:50:56:AC:D2:81)

3) Logical Device Cluster – در قسمت Tenant> Services> L4-L7 یک سرویس منطقی جدید بسازید، با این مشخصات

• Managed – انتخاب نشود
• Name: ‘pbr-demo-bigip-ve`
• Service Type: ADC
• Device Type: Virtual (در این مثال)
• VMM domain  (دامنه VMM مناسب را انتخاب کنید)
• Devices: ماشین مجازی F5 BIG-IP را از منو انتخاب کرده و یک اینترفیس برای آن انتخاب کنید
• Name: ‘1_1’, VNIC: ‘Network Adaptor 2’
• Cluster interfaces
• Name: consumer, Concrete interface Device1/[1_1]
• Name: provider, Concrete interface: Device1/[1_1]

4) الگوی گراف سرویس

• در قسمت Tenant> Services> L4-L7 یک الگوی گراف سرویس بسازید.
• یک نام برای گراف انتخاب کنید مثل pbr-demo-sgt و بعد کلاستر دستگاه منطقی (pbr-demo-bigip-ve) را به گراف سرویس بکشید و رها کنید.
•  ADC: one-arm
• Route redirect: true

5) روی گراف سرویس ایجاد شده کلیک کرده و بعد به تب Policy بروید. بررسی کنید که تنظیمات کانکتورهای C1 و C2 به این صورت انجام شده باشد:

• Direct connect – True
• Adjacency type – L3

6) اعمال الگوی گراف سرویس

• روی گراف سرویس راست کلیک کرده و آن را اعمال کنید.
• End point group (‘App’) و provider End point group (‘Web’) را انتخاب کرده و یک نام برای کانتکت جدید انتخاب کنید.
• برای کانکتور:
• BD: ‘F5-BD’
• L3 destination – checked
• Redirect policy – ‘bigip-pbr-policy’
• Cluster interface – ‘provider’

پس از استقرار گراف سرویس، این گراف در حالت اعمال شده قرار می‌گیرد و مسیر شبکه بین مشتری، F5 BIG-IP و ارائه دهنده با موفقیت در APIC تنظیم می‌شوند.

پیکربندی در BIG-IP

1) مسیریابی پیش فرض/ Self-IP/ VLAN

• مسیریابی پیش فرض – 10.168.57.1
• Self-IP – 10.168.57.10
• VLAN – 4094  (untagged)- برای VE (نسخه مجازی)، کار تنظیم تگ توسط vCenter انجام می‌شود

2) نودها/ Pool/ VIP

• VIP – 10.168.57.11
• ترجمه آدرس منبع در VIP: None

3) iRule (انتهای مقاله) که می‌تواند برای عیب یابی مفید باشد

چند تفاوت پیکربندی در مواقعی که BIG-IP در حالت Virtual edition (نسخه مجازی) قرار دارد و در حالت دسترس پذیری بالا (High availability) تنظیم شده باشد:

1) BIG-IP: Set MAC Masquerade

2) APIC: Logical device cluster

• Promiscuous mode – enabled
• Add both BIG-IP devices as part of the cluster (هر دو دستگاه BIG-IP را به عنوان بخشی از کلاستر تنظیم کنید)

3) APIC: L4-L7 Policy-Based Redirect

• L3 destinations: Floating BIG-IP Self-IP و MAC masquerade را وارد کنید.

پیکربندی کامل شد، حالا نگاهی به جریان ترافیک داریم:

Client-> F5 BIG-IP -> Server

Server-> F5 BIG-IP -> Client

در مرحله دوم، وقتی ترافیک از سمت کلاینت برمی‌گردد، ACI از Self-IP و MAC که در سیاست ری‌دایرکت L4-L7 تعریف شده بودند، برای انتقال ترافیک به BIG-IP استفاده می‌کند.

کاربرد iRule برای کمک به عیب یابی در BIG-IP

خروجی مشاهده شده در مسیر /var/log/ltm از BIG-IP، به رویداد <SERVER_CONNECTED> توجه کنید:

سناریوی 1: عدم استفاده از SNAT، آی‌پی کلاینت حفظ می‌شود

اگر می‌خواهید خروجی iRule را در حالت فعال بودن SNAT در BIG-IP مشاهده کنید، می‌توانید AutoMap را در سرور مجازی BIG-IP فعال کنید.

سناریوی 2: استفاده از SNAT: آی‌پی کلاینت حفظ نمی‌شود

پیکربندی:

برای هدایت ترافیک از اپلیکیشن سرورها به BIG-IP از قابلیت PBR در Cisco ACI fabric استفاده کنید. این کار باعث می‌شود که نیاز به بازنویسی مجدد اپلیکیشن یا ایجاد تغییر در پیکربندی BIG-IP نداشته باشید.