Ressis Logo -white

دسته بندی مطالب

> امنیت

> آموزش

> ویدئوها

> ذخیره سازی اطلاعات

> سیسکو و تجهیزات رادیویی

نظرات اخیر

شرکت رسیس در بحث امنیت شبکه ، امنیت سایبری پیشگام هست و در بخش پشتیبانی فنی و تولید محتوای مرتبط با تجهیزات شبکه واقعا عالی هستن
علی ناصری
علی ناصریمدیر فروش
محتوای خیلی خوبی در بخش امنیت شبکه و محتوای ویدئویی از سایت شما دیدم ، ممنون از این اطلاعات تخصصی که در اخیارمون گذاشتید
محمد قربانی
محمد قربانی
دستگاه فایروال فورتی گیت از شما تهیه کردم اطلاعات خوبی هم از بخش بلاگتون به دست آوردم ، ممنون رسیس
محمد علی زاهدی
محمد علی زاهدی
محتوای خیلی خوبی در بخش امنیت شبکه و محتوای ویدئویی از سایت شما دیدم ، ممنون از این اطلاعات تخصصی که در اخیارمون گذاشتید
محمد قربانی
محمد قربانی
قبلی
بعدی

    بررسی اصول نصب و استقرار Cisco ACI و F5 BIG -IP

    محیط‌های مختلف در زمینه مدیریت ترافیک الزامات و نیازهای متفاوتی دارند. بعضی از کاربردها به دلیل عملکرد خاص شان یا به خاطر یک نیاز کاری خاص، مستلزم دسترسی اپلیکیشن سرورها به آی‌پی واقعی کلاینتی هستند که به اپلیکیشن مورد نظر دسترسی پیدا می‌کند.

    حالا وقتی درخواست‌هایی به سمت F5 BIG-IP ارسال می‌شود، امکان تغییر آی‌پی واقعی درخواست یا حفظ آن به همان صورت قبل وجود دارد. برای عدم تغییر آی‌پی تنظیمات Source Address Translation (ترجمه آدرس منبع یا به اختصار SNAT) را روی حالت None قرار دهید.

    هر چند ممکن است تغییر این تنظیمات در F5 BIG-IP کار ساده‌ای به نظر برسد اما شاید تغییر دادن چنین تنظیماتی منجر به تغییر رفتار گردش ترافیک شود.

    در ادامه نگاهی به چند مثال با مقادیر واقعی داریم. کار را با تنظیم یک F5 BIG-IP مستقل با یک اینترفیس F5 BIG-IP برای کل ترافیک شروع می‌کنیم.

    • کلاینت: 10.168.56.30
    • آی‌پی مجازی BIG-IP: 10.168.57.11
    • آی‌پی خود BIG-IP (Self IP): 10.168.57.10
    • سرور: 192.168.56.30

    در رسیس بیشتر بخوانید : پیاده سازی اصول امنیتی در شبکه های 5G خصوصی

    سناریوی اول: با تغییر آی‌پی

    از کلاینت: 10.168.56.30 مقصد: 10.168.57.11

    از BIG-IP به سرور: منبع: 10.168.57.10 (Self-IP) مقصد: 192.168.56.30

    در این مثال، سرور به آی‌پی 10.168.57.10 پاسخ می‌دهد و F5 BIG-IP کارهای هدایت ترافیک به سمت کلاینت را انجام می‌دهد. در اینجا اپلیکیشن سرور امکان مشاهده آی‌پی 10.168.57.10 را دارد و نه آی‌پی کلاینت.

    سناریوی دوم: بدون تغییر آی‌پی

    از کلاینت: 10.168.56.30 مقصد: 10.168.57.11

    از BIG-IP به سرور: منبع: 10.168.56.30 مقصد: 192.168.56.30

    در اینجا سرور به آی‌پی 10.168.56.30 پاسخ می‌دهد و پیچیدگی‌های کار در همین جا بروز می‌کند چون ترافیک باید به F5 برگردد نه به کلاینت واقعی. یک راه برای دستیابی به این هدف، تنظیم GW سرور روی مقدار Self-IP مربوط به BIG-IP است تا سرور ترافیک برگشتی را به سمت BIG-IP هدایت کند. اما به هر دلیلی ممکن است درگاه پیش فرض سرور تغییر نکند. در چنین مواقعی، ری‌دایرکت بر اساس سیاست‌های تعریف شده به ما کمک می‌کند. درگاه پیش فرض سرور به ساختار ACI fabric اشاره می‌کند و ACI fabric می‌تواند ترافیک را تفسیر کرده و به BIG-IP ارسال کند.

     

    مشاهده محصولات سیسکو بنر

    با استفاده از این روش، مزایای PBR دو چندان می‌شود

    • نیازی نیست که درگاه پیش فرض سرور (یا سرورها) به F5 BIG-IP اشاره کنند بلکه می‌توانند به جای آن به ACI fabric اشاره کنند.
    • آی‌پی واقعی کلاینت برای کل جریان ترافیک محفوظ می‌ماند.
    • پیشگیری از هدایت ترافیک ایجاد شده توسط سرور به سمت BIG-IP امکان ایجاد یک سیستم هدایت ترافیک برای کنترل هر چه بهتر ترافیک را فراهم می‌کند. اگر حجم ترافیک هدایت شده از سمت سرور زیاد باشد، بار غیر ضروری بر روی BIG-IP ایجاد می‌شود.

    توصیه می‌کنیم که قبل از پرداختن به موضوع PBR، با یکسری از مفاهیم و موضوعات Cisco ACI و F5 BIG-IP آشنایی پیدا کنید.

    حالا روش پیکربندی PBR با استفاده از یک F5 BIG-IP مجازی در حالت One-Arm را بررسی می‌کنیم.

    win with cisco 1

    برای استفاده از قابلیت PBR در APIC، وجود گراف سرویس ضروری است

    جزئیات گراف سرویس L4-L7 در APIC

    آشنایی با روش نصب نصب گراف سرویس

    پیکربندی در APIC

    1) Bridge domain F5-BD

    • در قسمت Tenant> Networking> Bridge domains> F5-BD> Policy
    • IP Data plane learning غیرفعال شود.

    2) ری‌دایرکت L4-L7 بر اساس سیاست‌ها

    • در قسمت Tenant> Policies> Protocol> L4-L7 Policy based redirect یک فیلد جدید با این مشخصات ایجاد کنید:
    • Name: ‘bigip-pbr-policy’
    • L3 destinations: F5 BIG-IP Self-IP and MAC
    • IP: 10.168.57.10
    • برای MAC آدرس مک اینترفیسی که Self-IP به آن اختصاص یافته را پیدا کنید (مثل: 00:50:56:AC:D2:81)

    win with cisco 2

    3) Logical Device Cluster – در قسمت Tenant> Services> L4-L7 یک سرویس منطقی جدید بسازید، با این مشخصات

    • Managed – انتخاب نشود
    • Name: ‘pbr-demo-bigip-ve`
    • Service Type: ADC
    • Device Type: Virtual (در این مثال)
    • VMM domain  (دامنه VMM مناسب را انتخاب کنید)
    • Devices: ماشین مجازی F5 BIG-IP را از منو انتخاب کرده و یک اینترفیس برای آن انتخاب کنید
    • Name: ‘1_1’, VNIC: ‘Network Adaptor 2’
    • Cluster interfaces
    • Name: consumer, Concrete interface Device1/[1_1]
    • Name: provider, Concrete interface: Device1/[1_1]

    win with cisco 3

    4) الگوی گراف سرویس

    • در قسمت Tenant> Services> L4-L7 یک الگوی گراف سرویس بسازید.
    • یک نام برای گراف انتخاب کنید مثل pbr-demo-sgt و بعد کلاستر دستگاه منطقی (pbr-demo-bigip-ve) را به گراف سرویس بکشید و رها کنید.
    •  ADC: one-arm
    • Route redirect: true

    Win with cisco ACI and f5 Big-IP

    5) روی گراف سرویس ایجاد شده کلیک کرده و بعد به تب Policy بروید. بررسی کنید که تنظیمات کانکتورهای C1 و C2 به این صورت انجام شده باشد:

    • Direct connect – True
    • Adjacency type – L3

    Win with cisco ACI and f5 Big-IP

    6) اعمال الگوی گراف سرویس

    • روی گراف سرویس راست کلیک کرده و آن را اعمال کنید.
    • End point group (‘App’) و provider End point group (‘Web’) را انتخاب کرده و یک نام برای کانتکت جدید انتخاب کنید.
    • برای کانکتور:
    • BD: ‘F5-BD’
    • L3 destination – checked
    • Redirect policy – ‘bigip-pbr-policy’
    • Cluster interface – ‘provider’

    پس از استقرار گراف سرویس، این گراف در حالت اعمال شده قرار می‌گیرد و مسیر شبکه بین مشتری، F5 BIG-IP و ارائه دهنده با موفقیت در APIC تنظیم می‌شوند.

    پیکربندی در BIG-IP

    1) مسیریابی پیش فرض/ Self-IP/ VLAN

    • مسیریابی پیش فرض – 10.168.57.1
    • Self-IP – 10.168.57.10
    • VLAN – 4094  (untagged)- برای VE (نسخه مجازی)، کار تنظیم تگ توسط vCenter انجام می‌شود

    2) نودها/ Pool/ VIP

    • VIP – 10.168.57.11
    • ترجمه آدرس منبع در VIP: None

    3) iRule (انتهای مقاله) که می‌تواند برای عیب یابی مفید باشد

    چند تفاوت پیکربندی در مواقعی که BIG-IP در حالت Virtual edition (نسخه مجازی) قرار دارد و در حالت دسترس پذیری بالا (High availability) تنظیم شده باشد:

    1) BIG-IP: Set MAC Masquerade

    2) APIC: Logical device cluster

    Cisco ACI & Big IP

    • Promiscuous mode – enabled
    • Add both BIG-IP devices as part of the cluster (هر دو دستگاه BIG-IP را به عنوان بخشی از کلاستر تنظیم کنید)

    3) APIC: L4-L7 Policy-Based Redirect

    • L3 destinations: Floating BIG-IP Self-IP و MAC masquerade را وارد کنید.

    پیکربندی کامل شد، حالا نگاهی به جریان ترافیک داریم:

    Cisco ACI & Big IP

    Client-> F5 BIG-IP -> Server

    Server-> F5 BIG-IP -> Client

     

    Cisco ACI & Big IP

    در مرحله دوم، وقتی ترافیک از سمت کلاینت برمی‌گردد، ACI از Self-IP و MAC که در سیاست ری‌دایرکت L4-L7 تعریف شده بودند، برای انتقال ترافیک به BIG-IP استفاده می‌کند.

    کاربرد iRule برای کمک به عیب یابی در BIG-IP

    win with cisco 9

    خروجی مشاهده شده در مسیر /var/log/ltm از BIG-IP، به رویداد <SERVER_CONNECTED> توجه کنید:

    سناریوی 1: عدم استفاده از SNAT، آی‌پی کلاینت حفظ می‌شود

    win with cisco 10

    اگر می‌خواهید خروجی iRule را در حالت فعال بودن SNAT در BIG-IP مشاهده کنید، می‌توانید AutoMap را در سرور مجازی BIG-IP فعال کنید.

    سناریوی 2: استفاده از SNAT: آی‌پی کلاینت حفظ نمی‌شود

    Cisco ACI & Big Ip

    پیکربندی:

    برای هدایت ترافیک از اپلیکیشن سرورها به BIG-IP از قابلیت PBR در Cisco ACI fabric استفاده کنید. این کار باعث می‌شود که نیاز به بازنویسی مجدد اپلیکیشن یا ایجاد تغییر در پیکربندی BIG-IP نداشته باشید.

    مطالب مرتبط

    Group-ressis-footer

    دفتر تهران

     

    سعادت آباد ،بلوار پاکنژاد ،آسمان ۴ شرقی ،پلاک۹ ،طبقه۲

     

    تلفن : ۵۴۷۱۴-۰۲۱

     

     

     

    دفتر کرج

     

    کرج، گوهردشت، فلکه اول، برج نیکامال، طبقه 8

     

    تلفن : ۸-۳۴۲۵۶۰۵۶-۰۲۶

     

    go-up

    Follow us in social network