BIG-IPのデプロイメントパターンとパケットフローについて

BIG-IPのデプロイメントパターンと
パケットフローについて
パケットフローについて
F5ネットワークスジャパン株式会社
2
パケットフロー（L3構成）
 最も考慮事項が少なく、もっともポピュラーな構成
2アーム
2ア
ム
1.1.1.1
A
External VLAN
10.1.1.0/24
D
VS 10.1.1.100:80
Internal VLAN
192.168.0.0/24
B
パケットフロー
A src: 1.1.1.1:12345
B src: 1.1.1.1:12345
C src: 192.168.0.10:80
D src: 10.1.1.100:80
C
 VSで定義したトラフィックのみがサーバ側に到達するこ
とができる(サーバ側へ到達するトラフィックをすべて
BIG-IPで管理)ので、サーバ側のセグメントで強固なセ
キリテ対策を要しません
キュリティ対策を要しません
 同様に、サーバに対するDDoS攻撃をBIG-IPで防御す
ることができます
る
がきます
 サーバ上にパケットが到達した際に、クライアントのソー
スIPアドレスが保持されるため、サーバでのアクセスログ
管理がシンプルになります
dst: 10.1.1.100:80
dst: 192.168.0.10:80
dst: 1.1.1.1:12345
dst: 1.1.1.1:12345
© F5 Networks Inc.
3
パケットフロー（L3構成）
 既存の物理構成を変更せずに導入できます
1アーム
1ア
ム
1.1.1.1
A
D
VS 10.1.1.100:80
BIG-IP SelfIP
10.1.1.254
SNAT
B
192.168.0.0/24
パケットフロー
A src: 1.1.1.1:12345
B src: 10.1.1.254:9876
10 1 1 254:9876
C src: 192.168.0.10:80
D src: 10.1.1.100:80
 サーバからの戻りトラフィックをBIG-IPに返す必要があ
るため、BIG-IPでサーバへのトラフィックに対してソース
IPアドレスの変換を行う必要があります
 BIG-IP経由でサーバに到達したトラフィックのソースIP
アドレスはBIG-IPのものになるため、サーバのアクセス
ログにクライアントのIPアドレスを残したい場合はBIGグクラ
残し
場合は
IP上でHTTPヘッダにクライアントのIPアドレスを挿入し、
そのヘッダをサーバのログに残すようサーバ側での設定
が必要になります
C
 クライアント側からサーバ側への直接のトラフィックは
BIG-IPで制御することはできず、他の装置やサーバ自
体で制御する必要があり、BIG-IP以外での検討事項が
増えます
dst: 10.1.1.100:80
dst: 192.168.0.10:80
192 168 0 10:80
dst: 10.1.1.254:9876
dst: 1.1.1.1:12345
© F5 Networks Inc.
4
パケットフロー（L2構成）
 前のスライドと類似の構成で、考慮事項も同一です
1アーム
1.1.1.1
D
A
C
VS 10.1.1.100:80
10.1.1.0/24
B
SNAT
BIG-IP SelfIP
10.1.1.254
パケットフロー
A src: 1.1.1.1:12345
B src: 10.1.1.254:9876
10 1 1 254:9876
C src: 10.1.1.10:80
D src: 10.1.1.100:80
10 1 1 10
10.1.1.10
dst: 10.1.1.100:80
dst: 10.1.1.10:80
10 1 1 10:80
dst: 10.1.1.254:9876
dst: 1.1.1.1:12345
© F5 Networks Inc.
5
パケットフロー（L2構成）
Vlan
group
1.1.1.1
A
 BIG-IPはL2で透過するデバイスになるため、特に冗長
構成時はL2トポロジの設計が複雑になります
D
VS 10.1.1.100:80
VLAN Group
10.1.1.0/24
B
 既存のIPアドレス設計を変更せずに設置することができ
ます
 クライアント側からサーバ側への直接のトラフィックは
BIG-IPで制御することはできず、他の装置やサーバ自
体で制御する必要があり、BIG-IP以外での検討事項が
体
制御する必要があり、
以外
検討事項が
増えます
C
10.1.1.10
パケットフロー
A src: 1.1.1.1:12345
B src: 1.1.1.1:12345
C src: 10.1.1.10:80
D src: 10.1.1.100:80
dst: 10.1.1.100:80
dst: 10.1.1.10:80
dst: 1.1.1.1:12345
dst: 1.1.1.1:12345
© F5 Networks Inc.
6
パケットフロー（DSR）
 BIG-IPではリクエストのトラフィックのみを処理する構成
です
DSR
1.1.1.1
A
External VLAN
10.1.1.0/24
 リクエストに対してレスポンスのデータが極端に多い場
合にこの構成が使用されます
D
VS 10.1.1.100:80
Internal VLAN
192 168 0 0/24
192.168.0.0/24
 サーバ側ではiptablesの利用やloopback I/FへのVSア
ドレスと同一IPアドレスの設定が必須になります
 L4でのみ利用可能です
 L4であってもDDoS防御機能は使用できません
B
C
 サーバから出ていくトラフィックに対してBIG-IPは一切
制御できません
eth0: 192.168.0.10
192 168 0 10
lo0: 10.1.1.100
パケットフロー
A src: 1.1.1.1:12345
B src: 1.1.1.1:12345
C src: 10.1.1.100:80
D src: 10.1.1.100:80
dst: 10.1.1.100:80
dst: 10.1.1.100:80
dst: 1.1.1.1:12345
dst: 1.1.1.1:12345
© F5 Networks Inc.
7
参考情報
• AskF5 | Solution: SOL8082
Overview of TCP connection set
set-up
up for BIG
BIG-IP
IP LTM virtual server types
http://support.f5.com/kb/en-us/solutions/public/8000/000/sol8082.html?sr=11938282
• AskF5 | Solution: SOL11116 - Configuring nPath on CMP-enabled virtual
servers
htt //
http://support.f5.com/kb/en-us/solutions/public/11000/100/sol11116.html?sr=11938302
t f5
/kb/
/ l ti
/ bli /11000/100/ l11116 ht l? 11938302
© F5 Networks Inc.
Twitterでコンテンツ更新情報を
お知らせします！
@F5TechDepot
本資料の内容は、弊社製品の提供する技術に関する概要を説明するものです。
本資料の内容は
弊社製品の提供する技術に関する概要を説明するものす
各機能の紹介を主たる目的とするものであり、動作保証を行うものではありません。
また、記載の内容は予告なく変更される事があります。
本資料に関するご意見、ご要望は、下記のメールアドレス(受信専用)にお願い致します。
F5J-Tech_Depot/atmark/f5.com
※迷惑メール防止のため
※迷惑メ
ル防止のため、「@」を「/atmark/」
「@」を「/atmark/」と表記しています。
と表記しています
© 2012 F5 Networks, Inc. All rights reserved. F5, F5 Networks, the F5 logo, BIG-IP, ARX, FirePass, iControl, iRules, TMOS,
and VIPRION are registered trademarks of F5 Networks, Inc. in the U.S. and in certain other countries

Download Report