F5-VS_Outbound简单配置.doc

学习资料收集于网络，仅供参考内网服务器主动出向访问F5简单配置F5 Networks2016-06-201服务器出向访问简单配置41.1网络拓扑41.2建立默认网关池51.3建立SNAT Pool(指定SNAT地址)51.4配置全零VS进行出向访问61.5配置iRule脚本用于自定义出向SNAT71 服务器出向访问简单配置1.1 网络拓扑(1) 压测环境F5采用旁路模式部署，服务器默认网关指向核心交换机，因而如果服务器主动出向访问，默认不会经过F5，通过上行交换机就直接出去了，在这种架构下，建议服务器主动出向的SNAT由核心交换机上面的防护墙来做；(2) 如果服务器主动出向访问一定要经过F5，由F5来做SNAT，那么在旁路模式的部署情况下，这些要主动出去访问的服务器的默认网关需要指向F5，如果是双机环境下即指向F5的floating IP (以压测环境的网络部署为例见下图)1.2 建立默认网关池点击Local Traffic Pools Pool List Create:此处建立的是F5的默认网关池，调用后用于配置F5将数据包扔给哪个下一跳；在Name栏输入相应的名称如：pool_default_gateway，Health Monitors选择gateway_icmp用于探测F5与默认网关是否连通，在下面的New Members右边的Address栏输入F5的默认网关：172.16.4.254(以压测环境为例)，Service Port栏选择All Services，并点击Add，完成后点击Finished。1.3 建立SNAT Pool(指定SNAT地址)点击Local Traffic Address Translation SNAT Pool List Create:在Name栏输入相应的名称方便调用如：snat_pool_out1，在下面的IP Address栏输入对应的SNAT(即想要内网服务器被SNAT成的地址)，并点击Add，完成后点击finished。1.4 配置全零VS进行出向访问点击Local Traffic Virtual Server Virtual Server List Create:在Name栏输入相应的名称如：vs_outbound，Type栏选择Performance (Layer 4)，Destination右边的Type选择Network，在下面的Address和Mask栏分别输入0.0.0.0，Service Port选择All Ports，在下面的Configuration配置区域的Protocol栏选择All Protocols，Source Address Translation栏选择SNAT，在随后跳出的SNAT Pool栏选择对应的SNAT Pool，在下面Resources配置区域的Default Pool栏选择刚才创建的网关池：pool_default_gateway；完成后点击Finished。(1) 以上配置方式的意思是，任何一台内网的服务器(它们的默认网关需指向F5)，如果主动出向访问经过F5，它们的源地址都会被转换成snat_pool_out1里的地址，并由F5将数据包扔给默认网关172.16.4.254出去(pool_default_gateway里的member地址)；(2) 但是如果需要对出向的SNAT进行精细的控制，比如这几个内网服务器要SNAT成地址1，而另外几个内网服务器则要SNAT成地址2，以此类推，那么需要通过iRule脚本语言来实现，详见1.5节。1.5 配置iRule脚本用于自定义出向SNAT(1) 建立Data Group对服务器地址进行分类: Local Traffic iRules Data Group List Create:在Name栏输入相应的名称如：server_out1方便被iRule调用，在下面的Address Records区域右边的Type栏根据具体情况选择Host还是Network，在Address栏输入对应的地址(就是要主动出向访问的内网服务器地址)，并点击Add完成后点击Finished。(2) 编写iRule脚本用于出向指定SNAT: Local Traffic iRules iRule List Create:以上iRule脚本的意思是：如果主动出向访问的服务器的源IP是server_out1里的地址，那么将它们的源地址SNAT成snat_pool_out1里的地址，如果主动出向访问的服务器的源IP是server_out2里的地址，那么将它们的源地