1、內(nèi)網(wǎng)服務(wù)器主動出向訪問F5簡單配置F5 Networks2016-06-201服務(wù)器出向訪問簡單配置41.1網(wǎng)絡(luò)拓撲41.2建立默認網(wǎng)關(guān)池51.3建立SNAT Pool(指定SNAT地址)51.4配置全零VS進行出向訪問61.5配置iRule腳本用于自定義出向SNAT71 服務(wù)器出向訪問簡單配置1.1 網(wǎng)絡(luò)拓撲(1) 壓測環(huán)境F5采用旁路模式部署，服務(wù)器默認網(wǎng)關(guān)指向核心交換機，因而如果服務(wù)器主動出向訪問，默認不會經(jīng)過F5，通過上行交換機就直接出去了，在這種架構(gòu)下，建議服務(wù)器主動出向的SNAT由核心交換機上面的防護墻來做；(2) 如果服務(wù)器主動出向訪問一定要經(jīng)過F5，由F5來做SNAT，那么在旁

2、路模式的部署情況下，這些要主動出去訪問的服務(wù)器的默認網(wǎng)關(guān)需要指向F5，如果是雙機環(huán)境下即指向F5的floating IP (以壓測環(huán)境的網(wǎng)絡(luò)部署為例見下圖)1.2 建立默認網(wǎng)關(guān)池點擊Local Traffic Pools Pool List Create:此處建立的是F5的默認網(wǎng)關(guān)池，調(diào)用后用于配置F5將數(shù)據(jù)包扔給哪個下一跳；在Name欄輸入相應(yīng)的名稱如：pool_default_gateway，Health Monitors選擇gateway_icmp用于探測F5與默認網(wǎng)關(guān)是否連通，在下面的New Members右邊的Address欄輸入F5的默認網(wǎng)關(guān)：172.16.4.254(以壓測環(huán)境為

3、例)，Service Port欄選擇All Services，并點擊Add，完成后點擊Finished。1.3 建立SNAT Pool(指定SNAT地址)點擊Local Traffic Address Translation SNAT Pool List Create:在Name欄輸入相應(yīng)的名稱方便調(diào)用如：snat_pool_out1，在下面的IP Address欄輸入對應(yīng)的SNAT(即想要內(nèi)網(wǎng)服務(wù)器被SNAT成的地址)，并點擊Add，完成后點擊finished。1.4 配置全零VS進行出向訪問點擊Local Traffic Virtual Server Virtual Server List

4、 Create:在Name欄輸入相應(yīng)的名稱如：vs_outbound，Type欄選擇Performance (Layer 4)，Destination右邊的Type選擇Network，在下面的Address和Mask欄分別輸入0.0.0.0，Service Port選擇All Ports，在下面的Configuration配置區(qū)域的Protocol欄選擇All Protocols，Source Address Translation欄選擇SNAT，在隨后跳出的SNAT Pool欄選擇對應(yīng)的SNAT Pool，在下面Resources配置區(qū)域的Default Pool欄選擇剛才創(chuàng)建的網(wǎng)關(guān)池：po

5、ol_default_gateway；完成后點擊Finished。(1) 以上配置方式的意思是，任何一臺內(nèi)網(wǎng)的服務(wù)器(它們的默認網(wǎng)關(guān)需指向F5)，如果主動出向訪問經(jīng)過F5，它們的源地址都會被轉(zhuǎn)換成snat_pool_out1里的地址，并由F5將數(shù)據(jù)包扔給默認網(wǎng)關(guān)172.16.4.254出去(pool_default_gateway里的member地址)；(2) 但是如果需要對出向的SNAT進行精細的控制，比如這幾個內(nèi)網(wǎng)服務(wù)器要SNAT成地址1，而另外幾個內(nèi)網(wǎng)服務(wù)器則要SNAT成地址2，以此類推，那么需要通過iRule腳本語言來實現(xiàn)，詳見1.5節(jié)。1.5 配置iRule腳本用于自定義出向SNAT

6、(1) 建立Data Group對服務(wù)器地址進行分類: Local Traffic iRules Data Group List Create:在Name欄輸入相應(yīng)的名稱如：server_out1方便被iRule調(diào)用，在下面的Address Records區(qū)域右邊的Type欄根據(jù)具體情況選擇Host還是Network，在Address欄輸入對應(yīng)的地址(就是要主動出向訪問的內(nèi)網(wǎng)服務(wù)器地址)，并點擊Add完成后點擊Finished。(2) 編寫iRule腳本用于出向指定SNAT: Local Traffic iRules iRule List Create:以上iRule腳本的意思是：如果主動出向訪問的服務(wù)器的源IP是server_out1里的地址，那么將它們的源地址SNAT成snat_pool_out1里的地址，如果主動出向訪問的服務(wù)器的源IP是server_out2里的地址，那么將它們