امنیت
آلیاسیس آرتباط
بدون دیدگاه

پیکربندی BIG-IP vWire در محصولات شبکه F5

پیکربندی BIG-IP vWire

ایمن سازی ساختار یک شبکه گاها نیازمند بازطراحی کل شبکه و معماری آن است. پیاده سازی ابزارهایی که در لایه ۲ مدل OSI کار می‌کنند، می‌توانند پیچیدگی چنین پیاده سازی هایی را به مراتب کاهش دهند.

اپلاینس سخت افزاری کمپانی F5 یعنی BIG-IP می‌تواند به عنوان دستگاه‌های لایه دوم در یک شبکه قرار گیرد. این کار می‌تواند از طریق virtual Wire (vWire) یا bridge کردن VLAN ها در یک VLAN Group انجام شود.

در این مقاله به پیکربندی vWire در BIG-IP های Standalone با دو اینترفیس فیزیکی می‌پردازیم. دو اینترفیس فیزیکی با هم Bridge می‌شوند و به BIG-IP اجازه حرکت ترافیک را می‌دهند که در نتیجه مثل یک “سیم” عمل می‌کنند.

نکته: Virtual Wire روی سخت افزار BIG-IP در دسترس است.

f5-usecase

برای اطلاعات بیشتر در رابطه با امنیت F5 و بقیه ماژول‌ها و پیکربندی‌های آن، به وب‌سایت www.f5.com مراجعه کنید. پیکربندی‌های ماژول‌های BIG-IP مثل آن دسته از مواردی که حفاظت و مقابله با DDoS یا SSL را فراهم می‌آورند خارج از حوصله این مقاله است که انشاءالله در مقاله‌های آینده به بررسی آن‌ها می‌پردازیم.

نکته مهم

پیاده سازی Virtual Wire ها از پیکربندی دو آبجکت VLAN که با VLAN GROUP ها Bridge شده‌اند استفاده می‌کند. برای سادگی کار در ادامه یکی را “آبجک VLAN ورودی” و دیگری را “آبجکت VLAN خروجی” در نظر می‌گیریم. به این طریق می‌توانید از این آبجکت‌ها در پیکربندی‌تان استفاده کنید و Listener ایجاد نمایید و به VLANها تخصیص دهید.

پیکربندی Big-IP vWire

پیکربندی این قابلیت را از طریق CLI و رابطه کاربری به شما نشان خواهیم داد که در ادامه به بررسی آن خواهیم پرداخت.

استفاده از CLI

به این منظور به صورت خلاصه موارد زیر را انجام می‌دهیم:

  1. تغییر مد دو اینترفیس برای پشتیبانی از Virtual Wire
  2. ایجاد ۲ تا VLAN با استفاده از اینترفیس‌هایی که بالا انتخاب کردید با استفاده از VLAN id شماره ۴۰۹۶ (این مقدار به عنوان پیشفرض “any” است که همه ترافیک‌هایی که تگ ۸۰۲٫۱Q را دارند را انتقال می دهد).
  3. ایجاد ۲ آبجکت VLAN با استفاده از همان اینترفیس‌هایی که بالا استفاده کردید و تخصیص VLAN id مورد نظر (که در اینجا ۵۱۲ در نظر گرفتیم)
  4. ایجاد VLAN Group هایی برای Bridge کردن VLANهایی که بالا ایجاد شد

دستورات لازم برای پیکربندی:

دستورات زیر یک Virtual Wire از نوع VLAN 802.1Q با id مقدار ۵۱۲ می‌سازد.

پیکربندی اینترفیس‌ها برای پشتیبانی از virtual Wire:

root@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# modify net interface 1.1 port-fwd-mode virtual-wire

root@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# modify net interface 1.2 port-fwd-mode virtual-wire

ایجاد همه تگ‌های VLAN:

root@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# create net vlan Direct_all_vlan_4096_1 tag 4096 interfaces add { 1.1 { tagged } }root@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# create net vlan Direct_all_vlan_4096_2 tag 4096 interfaces add { 1.2 { tagged } }

ایجاد VLAN از نوع ۸۰۲٫۱Q با شماره ۵۱۲:

root@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# create net vlan Direct_vlan_512_1 tag 512 interfaces add { 1.1 { tagged } }root@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# create net vlan Direct_vlan_512_2 tag 512 interfaces add { 1.2 { tagged } }

ایجاد VLAN Group:

root@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# create net vlan-group Direct_all_vlan members add { Direct_all_vlan_4096_1 Direct_all_vlan_4096_2 } mode virtual-wireroot@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# create net vlan-group Direct_vlan_512 members add { Direct_vlan_512_1 Direct_vlan_512_2 } mode virtual-wire

در انتها نیز آن را save می‌کنیم:

root@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# save sys config partitions all

استفاده از رابط کاربری تحت وب:

برای این کار به صورت خلاصه مراحل زیر را انجام می‌دهیم:

یک رابط کاربری برای ایجاد و پیکربندی‌های لازم این دستگاه وجود دارد.

  1. در ابتدا یک Virtual Wire با اینترفیس‌های مورد نظر ایجاد کنید.
  2. VLAN هایی که از BIG-IP استفاده می‌کنند را مشخص کنید.
  3. پیکربندی را ذخیره کنید.

نحوه پیکربندی:

از رابط کاربری BIG-IP از مسیر Network > Virtual Wire مراحل زیر را انجام دهید:

  • ابتدا روی Create در سمت راست صفحه کلیک کنید
  • مقادیر اینترفیس‌هایی که به Virtual Wire اضافه شده‌اند را اضافه کنید
  • اطلاعات VLAN را وارد کنید و روی Add برای هر VLAN که ایجاد کردید کلیک کنید

bigip

هنگامی که همه گزینه‌ها را انتخاب کردید روی “Coming Changes to System” کلیک کنید:

bigip-2

با صفحه‌ای مشابه تصویر زیر مواجه خواهید شد:

bigip3

پیکربندی VLAN نیز به صورت زیر خواهد بود:

bigip4

تاثیرات احتمالی پیکربندی از طریق رابط کابری:

Virtual Wire که از طریق رابط کاربری ایجاد شده است:

  • پیکربندی vWire از طریق رابط کاربری VLAN های مذکور را به صورت اتوماتیک ایجاد می‌کند. در زمان فرایند ایجاد VLAN، شناسه‌ای به آبجکت VLAN اضافه می‌شود. این شناسه در BIG-IP های متنوع با هم متفاوت است.
  • هنگامی که به منظور ایجاد HA مجموعه‌ای BIG-IP ایجاد می‌کنید، پیکربندی Virtual Wire آبجکت‌هایی با نام‌های متفاوت روی هر کدام از BIG-IP ها ایجاد می‌کند. برای مثال ایجاد vwire_lab01 سبب ایجاد VLAN هایی با نام‌های vwire_lab01_1_567 و vwire_lab01_2_567 روی یک BIG-IP می‌شود. در حالی که BIG-IP دیگر مقادیر vwire_lab01_1_000 و vwire_lab01_2_000 را دارد. برای ماژول‌هایی از قبیل SSL Orchestrator یا در زمانی که یک سرور مجازی قصد ارتباط با یک VLAN مشخص را دارد، شماره دهی مشکل‌ساز می‌شود. چون ادمین سیستم نمی‌تواند سرور مجازی را به یک آبجکت VLAN (vwire_lab01_2_567) روی BIG-IP اول و آبجکت VLAN دیگر (vwire_lab01_2_000) را روی BIG-IP دیگر تخصیص دهد. این موضوع به چندین دلیل امکان پذیر نیست. یک دلیل آن به نحوه همگام سازی پیکربندی‌ها بین دستگاه‌های BIG-IP بر می‌گردد.
  • این موضوع سبب لزوم پیکربندی دستی که در بالا اشاره کردیم می‌شود.

آبجکت‌های VLAN در دسترس به منظور پیکربندی:

پس از ایجاد آبجکت‌های Virtual Wire می‌توانید VLAN ها را برای سرویس‌های مورد نظر پیکربندی کنید. یعنی سرویس‌هایی مثل BIG-IP LTM یا SSL Orchestrator که به شما اجازه می‌دهند اقدامات متنوعی در زمانی که ترافیک روی هر کدوم از اینترفیس‌های Virtual Wire ها قرار می‌گیرند، انجام دهید. برای مثال شاید بخواهید اتصالاتی که از طرف LAN در تصویر فوق می‌آیند رمزگشایی شوند تا مشاهدات امنیتی روی آن اعمال گردد. یا مثلا در عین حال ترافیکی که از فایروال وارد می‌شوند بتوانند به داخل شبکه حرکت کنند.

نتیجه گیری

پیاده سازی BIG-IP در مد Virtual Wire روشی قدرتمند برای اعمال سرویس‌ها به درون شبکه بدون تحت تاثیر قرار دادن بقیه پیکربندی‌های شبکه، روتینگ و فورواردینگ است. انعطاف پذیری BIG-IP به شما این امکان را می‌دهد که ترافیکی از BIG-IP به سمت هر کدام از VLAN ها می‌رود را کنترل کنید.

شناسه مطلب: ۲۳۱۳
منبع:
وبلاگ تخصصی آلیاسیس
0.95
19
18
فیسبوک توییتر گوگل + لینکداین تلگرام واتس اپ کلوب
آلیاسیس آرتباط

مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

هسته اصلی شرکت آلیاسیس ارتباط از سال 1383 تاکنون در زمینه فن آوری اطلاعات و ارتباطات ( ICT) فعالیت می نماید. شرکت آلیاسیس ارتباط با تجربه ای بالغ بر یک دهه حضور در صنعت فناوری اطلاعات و ارتباطات از تامین و توزیع تا ارائه خدمات مهندسی و خدمات پس از فروش به مجموعه کسب و کارهای بزرگ ، متوسط و کوچک در سه حوزه تجهیز تخصصی سخت افزارهای شبکه - ارائه خدمات مشاوره ، طراحی ، پیاده سازی ، پشتیبانی ، آموزش و خدمات پس از فروش در شبکه های محلی و گسترده ، امنیت شبکه ، مراکز داده و ارتباطات یکپارچه - ارائه راهکارهای جامع مبتنی بر شبکه های رایانه ایی ارائه خدمت می نماید.

دسترسی سریع