- - PR -
BIG-IPでのルーティングについて
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-11-25 21:10
こんばんわ。BIG-IP初心者のGOZといいます。
基本的な質問で恐縮ですが、BIG-IP1500で以下のような構成で動作検証を しているのですが、端末Aよりインターネットへアクセスすることができません。 インターネット | | |(IP:グローバルIP) <YAMAHA RTX1100>※NAT |(IP:10.254.7.254) | | <---L3SW--->------端末B(IP:10.254.7.103_GW10.254.7.254) | | |External(IP:10.254.7.12) BIG-IP(GW10.254.7.254) |Internal(IP:192.168.0.11) | | 端末A(IP:192.168.0.10_GW192.168.0.11) ※GW=デフォルトゲートウェイ 端末Bからはインターネットへアクセス可能です。 端末Aからインターネットへアクセスできません。 端末A→Ping→(IP:10.254.7.12)⇒NG 端末A→Ping→(IP:192.168.0.11)⇒OK BIG-IPでは特にフィルターなどかけていません。 BIG-IPではGWの設定はしていますが、それ以外にルーティングなど の設定は特にしていません。 デフォルトでは別セグメントへルーティングしてくれないのでしょうか? どなたかご教示いただけませんでしょうか。よろしくお願い致しますm(__)m | ||||||||||||
|
投稿日時: 2006-11-25 21:40
こんばんわ.
BIG-IP は詳しくありませんが気になったので.
B が繋がっている layer3 switch では VLAN は定義されてないんですよね.
A -> RTX1100 は接続できますか? あるいは A -> B は接続できますか? BIG-IP の外側が default で ping への reply を返すことが確信できないまでも, RTX1100 と接続できれば通信できそうな気がします. ですが,BIG-IP で NAT するか, RTX1100 で A の所属する network へ routing されていなければ Internet へ接続できなくて当然だと思います. | ||||||||||||
|
投稿日時: 2006-11-25 22:12
kaz様
さっそく、ありがとうございます! > B が繋がっている layer3 switch では VLAN は定義されてないんですよね. はい、特にしていません。 > A -> RTX1100 は接続できますか? A→(IP:10.254.7.254)⇒NG > あるいは A -> B は接続できますか? A→(IP:10.254.7.103)⇒NG と、なります。 kaz様の言われるように RTX1100にて、192.168.0.0/24へのルート情報はありません。 ここは設定する必要がありますね(汗 超初心者ですみません。 しかし、 A→(IP:10.254.7.103)⇒NG A→(IP:10.254.7.12)⇒NG となるのは、BIG-IPにて192.168.0.0/24への帰りルートが書かれていないから、 ということでしょうか?? | ||||||||||||
|
投稿日時: 2006-11-25 23:16
そうですね. 複数の network を構成する際には基本的な条件です.
前者は単純に routing の問題だと思います. 試しに B で A の所属する network への static route を設定してみてください. それで A <--> B 間の通信が確立するならそれが明確になるでしょう. 後者は BIG-IP の仕様の問題かもしれません. 自分は詳しくないのでわかりませんが, BIG-IP の外側の network interface が単に default で ICMP の replay を返さない仕様なのかもしれません. あるいは別の network からの接続には reply しないのかもしれません. 単に reply するかどうかを確認するには, B -> BIG-IP へ ping してみればわかると思います. 別の network から BIG-IP への通信の仕様を確認するには, layer3 switch で VLAN を設定するなどして確認することができるかもしれません. ですがもっと簡単に,BIG-IP の製品仕様を確認するのが早道かもしれません. | ||||||||||||
|
投稿日時: 2006-11-25 23:43
kaz様 重ねてありがとうございます。 B→(IP:192.168.0.11)がNGとなれば、別ネットワークから 外側には通らない、という仕様かもしれない・・・という事ですね。 ただ、External側のInterfaceがICMPの応答を返さないような設定に なっているかもしれないと・・・。 それを切り分けるあくまで参考として、上記の方法を試してみると(^^" 明日、早速ためしてみます! ありがとうございますm(__)m | ||||||||||||
|
投稿日時: 2006-11-26 21:12
本日、検証の続きをしてきましたので(検証とよぶほど、ではないんですが汗)
報告します。 インターネット | | |(IP:グローバルIP) <YAMAHA RTX1100>※NAT |(IP:10.254.7.254) | | <---L3SW--->------端末B(IP:10.254.7.103_GW10.254.7.254) | | |External(IP:10.254.7.12) BIG-IP(GW10.254.7.254) |Internal(IP:192.168.0.11) | | 端末A(IP:192.168.0.10_GW192.168.0.11) ※GW=デフォルトゲートウェイ 上記構成で A→(IP:10.254.7.254)⇒NG となったため、以下の確認をしてみました。↓ A→(B:IP:10.254.7.12)⇒NG 上記はBのIPへの通信試験ですが、Bは結局GWを10.254.7.254と しているため、RTX1100にてAへの通信経路を書く必要があると考え、 ip route 192.168.0.0 255.255.255.0 gateway 10.254.7.12 と追記しました・・・が結局、 A→(IP:10.254.7.254)⇒NG となりました(泣 そもそも、 A→(IP:10.254.7.12)⇒NG となっていたので、BIG-IPにて Dst 192.168.0.0/24 の通信は 192.168.0.10 へ とroute を書こうとするのですが、 192.168.0.0/24はBIG-IP自身のローカルIPが属するNWであるため、 登録できない、とエラーが返されます。 BIG-IPのVLANを試しに両方ともINTERNALとしたところ、(特に根拠も無く) A→(IP:10.254.7.12)⇒OK B→(IP:192.168.0.11)⇒OK となりました。(両方とも別NWなのに同一VLANに属する・・という概念が 分からないのすが・・・) ですが A<--->B の通信ができないことは変わりありません。 なにか切り口はありますでしょうか。ご教示ください。 | ||||||||||||
|
投稿日時: 2006-11-26 21:35
こんばんわ.
それよりは,B の default gateway を BIG-IP に向けるか, B で A の network への static route を BIG-IP に向ける方が良いと思います. Router をいじるのは影響範囲が大きいと思うので.
それは至極当然で,考え方が間違っていると思います. あくまでも A の network への routing table は RTX1100 に書くべき内容でしょう.
つまり,firewall のような機能が BIG-IP に備わっているということだと思います. とすると,BIG-IP を知らない自分では回答には行き着きません,ゴメンナサイ. ちなみにそこは VLAN では無いと思います. 一般的に firewall では「内と外」を分けて考えます. 両方を internal とする場合,どちらも「信頼する network」として認識されるので, 通信上の制約が除かれるのかもしれません. そこから類推すると,"external" 側と設定された BIG-IP の network interface と通信できないのは道理かも...と思います. ※おそらく firewall の一般的な default 設定に倣っているでしょうから. ちなみに,いずれの interface も internal に設定した際, A/B からの BIG-IP の external への通信はどうなりますか? | ||||||||||||
|
投稿日時: 2006-11-26 22:12
> あくまでも A の network への routing table は RTX1100 に書くべき内容でしょう.
了解です。 > 両方を internal とする場合,どちらも「信頼する network」として > 認識されるので, 通信上の制約が除かれるのかもしれません. > そこから類推すると,"external" 側と設定された > BIG-IP の network interface と通信できないのは道理かも...と思います. なるほどです(^^" 設定上の表記ではVLANとなっていたため、 ”なぜ別ネットワークなのに同じVLANに属するように設定できるのか”と 悩んでしまいました(^^" VLAN名が”INTERNAL”とか”EXTERNAL” となっていることから推測できないといけないのでしょうか(泣 同じ”VLAN”にしないとそのような制約が逃れられない(かも)というのも わたしにはなかなか理解できなくて(笑 > ※おそらく firewall の一般的な default 設定に倣っているでしょうから. > ちなみに,いずれの interface も internal に設定した際, > A/B からの BIG-IP の external への通信はどうなりますか? BIG-IPのいずれも(10.254.7.12/192.168.0.11)、INTERNALに所属しているので BIG-IPのEXTERNALに設定されたINTERFACEが無い状態なのですが・・・。 | ||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。