BIG-IP veでDevice Trustを確立しよう(成功編)

はじめに

前回うまくいかなかったDevice Trustの確立からやっていきます。

仮想マシンへの追加NIC設定

現在は10.0.4.0/24のネットワークにMgmtアドレスの設定だけが入っています。この先の設定を行っていくにあたって、あらかじめ必要なNICを追加しておいた方が良さそうなので、このタイミングで追加することにします。

AWSでのサブネット名 BIG-IP上のvlan名 CIDR 用途
Public internal 10.0.1.0/24 通信用インターフェース
HA HA 10.0.3.0/24 HA用インターフェース
Management (mgmt) 10.0.4.0/24 Management用インターフェース

もともとは10.0.2.0/24にPrivateというセグメントを用意していましたが、データ通信用を1ポートにして論理的ワンアーム構成を取ることにしました。

起動、NICの確認

起動してGUIからNICの確認をしました。
image.png
3つNICが繋がっているのがわかりますが、どれがmgmt、internal、HAに相当するセグメントに繋がっているか分かりません。CLIでログインしても分からなかったのですが、AWSのコンソール上でeth1がinternal、eth2がHAセグメントであることが確認できました。

VLANの作成とIPの割り当て

「Network」>「Vlans」で現在のVlan構成を確認します。
image.png
internalは作成されているものの、1.0インターフェース(mgmt)に紐付けられてしまっています。これは1.1につけなおし、さらにHA Vlanを作成して1.2に紐付けます。
image.png
できました。

次はIPアドレスです。「Network」>「Self IPs」から、自分のNICの持つIPをそれぞれ設定します。
image.png
できました。

同様に、2号機でもVlanとアドレスの設定を行っていきます。
image.png
できました。この時点で、AWSのSecurity Groupの設定が間違っていなければ、HAセグメントおよびinternalセグメントでpingが届くようになるはずです。やってみます。

[admin@ip-10-0-4-11:Active:Standalone] ~ # ping 10.0.1.12 -c 1
PING 10.0.1.12 (10.0.1.12) 56(84) bytes of data.
64 bytes from 10.0.1.12: icmp_seq=1 ttl=255 time=5.36 ms

--- 10.0.1.12 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 5ms
rtt min/avg/max/mdev = 5.365/5.365/5.365/0.000 ms

[admin@ip-10-0-4-11:Active:Standalone] ~ # ping 10.0.3.12 -c 1
PING 10.0.3.12 (10.0.3.12) 56(84) bytes of data.
64 bytes from 10.0.3.12: icmp_seq=1 ttl=255 time=4.74 ms

--- 10.0.3.12 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 4ms
rtt min/avg/max/mdev = 4.747/4.747/4.747/0.000 ms
[admin@ip-10-0-4-11:Active:Standalone] ~ # 

できました。うまくいくと嬉しいですね。

コンフィグ同期用アドレスの設定

いよいよ、前回失敗した部分の再挑戦です。メニューから「Device Management」>「Devices」>自分のデバイスを選択します。続いて上のメニューで「ConfigSync」を選び、Local AddressのIPをドロップダウンから選択します。使用するのはinternalのIPです。
image.png
できました。2号機でも同様の設定をしておきます。

Device Trustの確立

メニューから「Device Management」>「Device Trust」>「Device Trust Members」を選択します。
image.png
今はTrustを確立している相手がいません。右上の「Add」を押して進みます。

image.png
次の画面ではTrustを確立する相手の情報を入れます。Device TypeはPeerで大丈夫です。Device IP Addressはinternalセグメントのものを指定します。「Retrieve Device Information」を押すと少し待たされます。
image.png

……失敗です。AWSでは適当なPrivate IPを使えとここに書いてありましたが、もしかしてアプライアンス同様にMgmtを使う必要があるのでは。。。
image.png
Mgmtセグメントの10.0.4.12でうまくいきました。

image.png
無事Device Trust Membersが追加できました。しかしNameが分かりにくいですね。管理のために分かりやすいNameをつけることにします。Nameは「Devices」から変更可能です。
image.png
先ほどTrustを確立したので、自分と相手が見えています。(Self)がついている自分を選択します。
image.png
Nameの隣にある「Change Device Name...」を選択します。Trustを結んでいると、一旦Trustを破棄するように警告が出るため、指示に従ってTrustを解除してから再度Nameを変更します。
image.png
名前はBIGIP-1、Certificateを再生成にしてUpdateを押します。
image.png
できました。2号機でも同じように、名前を変えましょう。名前が変わったら先ほどの手順で1号機からTrustを確立します。
image.png
Add Deviceの直前で相手のNameを設定できるので、1号機からBIGIP-2と入力しておきます。
image.png
できました! なお2号機でも自動的に1号機のTrustを入手できています。2号機から見るとこんな感じです。
image.png

おわりに

長くなってしまったので、本日のまとめです。
ConfigSync用のアドレスにはinternalセグメントのIPを使う。
Trust交換前に、DeviceでNameを分かりやすい表示名に変えておく。
Trust交換用のアドレスにはManagementセグメントのIPを使う。

Sign up for free and join this conversation.
Sign Up
If you already have a Qiita account log in.