پیکربندی BIG-IP vWire در محصولات شبکه F5
پیکربندی BIG-IP vWire
ایمن سازی ساختار یک شبکه گاها نیازمند بازطراحی کل شبکه و معماری آن است. پیاده سازی ابزارهایی که در لایه ۲ مدل OSI کار میکنند، میتوانند پیچیدگی چنین پیاده سازی هایی را به مراتب کاهش دهند.
اپلاینس سخت افزاری کمپانی F5 یعنی BIG-IP میتواند به عنوان دستگاههای لایه دوم در یک شبکه قرار گیرد. این کار میتواند از طریق virtual Wire (vWire) یا bridge کردن VLAN ها در یک VLAN Group انجام شود.
در این مقاله به پیکربندی vWire در BIG-IP های Standalone با دو اینترفیس فیزیکی میپردازیم. دو اینترفیس فیزیکی با هم Bridge میشوند و به BIG-IP اجازه حرکت ترافیک را میدهند که در نتیجه مثل یک “سیم” عمل میکنند.
نکته: Virtual Wire روی سخت افزار BIG-IP در دسترس است.
برای اطلاعات بیشتر در رابطه با امنیت F5 و بقیه ماژولها و پیکربندیهای آن، به وبسایت www.f5.com مراجعه کنید. پیکربندیهای ماژولهای BIG-IP مثل آن دسته از مواردی که حفاظت و مقابله با DDoS یا SSL را فراهم میآورند خارج از حوصله این مقاله است که انشاءالله در مقالههای آینده به بررسی آنها میپردازیم.
نکته مهم
پیاده سازی Virtual Wire ها از پیکربندی دو آبجکت VLAN که با VLAN GROUP ها Bridge شدهاند استفاده میکند. برای سادگی کار در ادامه یکی را “آبجک VLAN ورودی” و دیگری را “آبجکت VLAN خروجی” در نظر میگیریم. به این طریق میتوانید از این آبجکتها در پیکربندیتان استفاده کنید و Listener ایجاد نمایید و به VLANها تخصیص دهید.
پیکربندی Big-IP vWire
پیکربندی این قابلیت را از طریق CLI و رابطه کاربری به شما نشان خواهیم داد که در ادامه به بررسی آن خواهیم پرداخت.
استفاده از CLI
به این منظور به صورت خلاصه موارد زیر را انجام میدهیم:
- تغییر مد دو اینترفیس برای پشتیبانی از Virtual Wire
- ایجاد ۲ تا VLAN با استفاده از اینترفیسهایی که بالا انتخاب کردید با استفاده از VLAN id شماره ۴۰۹۶ (این مقدار به عنوان پیشفرض “any” است که همه ترافیکهایی که تگ ۸۰۲٫۱Q را دارند را انتقال می دهد).
- ایجاد ۲ آبجکت VLAN با استفاده از همان اینترفیسهایی که بالا استفاده کردید و تخصیص VLAN id مورد نظر (که در اینجا ۵۱۲ در نظر گرفتیم)
- ایجاد VLAN Group هایی برای Bridge کردن VLANهایی که بالا ایجاد شد
دستورات لازم برای پیکربندی:
دستورات زیر یک Virtual Wire از نوع VLAN 802.1Q با id مقدار ۵۱۲ میسازد.
پیکربندی اینترفیسها برای پشتیبانی از virtual Wire:
root@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# modify net interface 1.1 port-fwd-mode virtual-wire
root@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# modify net interface 1.2 port-fwd-mode virtual-wire
ایجاد همه تگهای VLAN:
root@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# create net vlan Direct_all_vlan_4096_1 tag 4096 interfaces add { 1.1 { tagged } }root@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# create net vlan Direct_all_vlan_4096_2 tag 4096 interfaces add { 1.2 { tagged } }
ایجاد VLAN از نوع ۸۰۲٫۱Q با شماره ۵۱۲:
root@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# create net vlan Direct_vlan_512_1 tag 512 interfaces add { 1.1 { tagged } }root@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# create net vlan Direct_vlan_512_2 tag 512 interfaces add { 1.2 { tagged } }
ایجاد VLAN Group:
root@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# create net vlan-group Direct_all_vlan members add { Direct_all_vlan_4096_1 Direct_all_vlan_4096_2 } mode virtual-wireroot@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# create net vlan-group Direct_vlan_512 members add { Direct_vlan_512_1 Direct_vlan_512_2 } mode virtual-wire
در انتها نیز آن را save میکنیم:
root@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# save sys config partitions all
استفاده از رابط کاربری تحت وب:
برای این کار به صورت خلاصه مراحل زیر را انجام میدهیم:
یک رابط کاربری برای ایجاد و پیکربندیهای لازم این دستگاه وجود دارد.
- در ابتدا یک Virtual Wire با اینترفیسهای مورد نظر ایجاد کنید.
- VLAN هایی که از BIG-IP استفاده میکنند را مشخص کنید.
- پیکربندی را ذخیره کنید.
نحوه پیکربندی:
از رابط کاربری BIG-IP از مسیر Network > Virtual Wire مراحل زیر را انجام دهید:
- ابتدا روی Create در سمت راست صفحه کلیک کنید
- مقادیر اینترفیسهایی که به Virtual Wire اضافه شدهاند را اضافه کنید
- اطلاعات VLAN را وارد کنید و روی Add برای هر VLAN که ایجاد کردید کلیک کنید
هنگامی که همه گزینهها را انتخاب کردید روی “Coming Changes to System” کلیک کنید:
با صفحهای مشابه تصویر زیر مواجه خواهید شد:
پیکربندی VLAN نیز به صورت زیر خواهد بود:
تاثیرات احتمالی پیکربندی از طریق رابط کابری:
Virtual Wire که از طریق رابط کاربری ایجاد شده است:
- پیکربندی vWire از طریق رابط کاربری VLAN های مذکور را به صورت اتوماتیک ایجاد میکند. در زمان فرایند ایجاد VLAN، شناسهای به آبجکت VLAN اضافه میشود. این شناسه در BIG-IP های متنوع با هم متفاوت است.
- هنگامی که به منظور ایجاد HA مجموعهای BIG-IP ایجاد میکنید، پیکربندی Virtual Wire آبجکتهایی با نامهای متفاوت روی هر کدام از BIG-IP ها ایجاد میکند. برای مثال ایجاد vwire_lab01 سبب ایجاد VLAN هایی با نامهای vwire_lab01_1_567 و vwire_lab01_2_567 روی یک BIG-IP میشود. در حالی که BIG-IP دیگر مقادیر vwire_lab01_1_000 و vwire_lab01_2_000 را دارد. برای ماژولهایی از قبیل SSL Orchestrator یا در زمانی که یک سرور مجازی قصد ارتباط با یک VLAN مشخص را دارد، شماره دهی مشکلساز میشود. چون ادمین سیستم نمیتواند سرور مجازی را به یک آبجکت VLAN (vwire_lab01_2_567) روی BIG-IP اول و آبجکت VLAN دیگر (vwire_lab01_2_000) را روی BIG-IP دیگر تخصیص دهد. این موضوع به چندین دلیل امکان پذیر نیست. یک دلیل آن به نحوه همگام سازی پیکربندیها بین دستگاههای BIG-IP بر میگردد.
- این موضوع سبب لزوم پیکربندی دستی که در بالا اشاره کردیم میشود.
آبجکتهای VLAN در دسترس به منظور پیکربندی:
پس از ایجاد آبجکتهای Virtual Wire میتوانید VLAN ها را برای سرویسهای مورد نظر پیکربندی کنید. یعنی سرویسهایی مثل BIG-IP LTM یا SSL Orchestrator که به شما اجازه میدهند اقدامات متنوعی در زمانی که ترافیک روی هر کدوم از اینترفیسهای Virtual Wire ها قرار میگیرند، انجام دهید. برای مثال شاید بخواهید اتصالاتی که از طرف LAN در تصویر فوق میآیند رمزگشایی شوند تا مشاهدات امنیتی روی آن اعمال گردد. یا مثلا در عین حال ترافیکی که از فایروال وارد میشوند بتوانند به داخل شبکه حرکت کنند.
نتیجه گیری
پیاده سازی BIG-IP در مد Virtual Wire روشی قدرتمند برای اعمال سرویسها به درون شبکه بدون تحت تاثیر قرار دادن بقیه پیکربندیهای شبکه، روتینگ و فورواردینگ است. انعطاف پذیری BIG-IP به شما این امکان را میدهد که ترافیکی از BIG-IP به سمت هر کدام از VLAN ها میرود را کنترل کنید.
