LoginSignup
2
1

More than 5 years have passed since last update.

@jinnai73

BIG-IP veでDevice Trustを確立しよう(成功編)

Posted at

はじめに

前回うまくいかなかったDevice Trustの確立からやっていきます。

仮想マシンへの追加NIC設定

現在は10.0.4.0/24のネットワークにMgmtアドレスの設定だけが入っています。この先の設定を行っていくにあたって、あらかじめ必要なNICを追加しておいた方が良さそうなので、このタイミングで追加することにします。

AWSでのサブネット名 BIG-IP上のvlan名 CIDR 用途
Public internal 10.0.1.0/24 通信用インターフェース
HA HA 10.0.3.0/24 HA用インターフェース
Management (mgmt) 10.0.4.0/24 Management用インターフェース

もともとは10.0.2.0/24にPrivateというセグメントを用意していましたが、データ通信用を1ポートにして論理的ワンアーム構成を取ることにしました。

起動、NICの確認

起動してGUIからNICの確認をしました。
image.png
3つNICが繋がっているのがわかりますが、どれがmgmt、internal、HAに相当するセグメントに繋がっているか分かりません。CLIでログインしても分からなかったのですが、AWSのコンソール上でeth1がinternal、eth2がHAセグメントであることが確認できました。

VLANの作成とIPの割り当て

「Network」>「Vlans」で現在のVlan構成を確認します。
image.png
internalは作成されているものの、1.0インターフェース(mgmt)に紐付けられてしまっています。これは1.1につけなおし、さらにHA Vlanを作成して1.2に紐付けます。
image.png
できました。

次はIPアドレスです。「Network」>「Self IPs」から、自分のNICの持つIPをそれぞれ設定します。
image.png
できました。

同様に、2号機でもVlanとアドレスの設定を行っていきます。
image.png
できました。この時点で、AWSのSecurity Groupの設定が間違っていなければ、HAセグメントおよびinternalセグメントでpingが届くようになるはずです。やってみます。

[admin@ip-10-0-4-11:Active:Standalone] ~ # ping 10.0.1.12 -c 1
PING 10.0.1.12 (10.0.1.12) 56(84) bytes of data.
64 bytes from 10.0.1.12: icmp_seq=1 ttl=255 time=5.36 ms

--- 10.0.1.12 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 5ms
rtt min/avg/max/mdev = 5.365/5.365/5.365/0.000 ms

[admin@ip-10-0-4-11:Active:Standalone] ~ # ping 10.0.3.12 -c 1
PING 10.0.3.12 (10.0.3.12) 56(84) bytes of data.
64 bytes from 10.0.3.12: icmp_seq=1 ttl=255 time=4.74 ms

--- 10.0.3.12 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 4ms
rtt min/avg/max/mdev = 4.747/4.747/4.747/0.000 ms
[admin@ip-10-0-4-11:Active:Standalone] ~ #

できました。うまくいくと嬉しいですね。

コンフィグ同期用アドレスの設定

いよいよ、前回失敗した部分の再挑戦です。メニューから「Device Management」>「Devices」>自分のデバイスを選択します。続いて上のメニューで「ConfigSync」を選び、Local AddressのIPをドロップダウンから選択します。使用するのはinternalのIPです。
image.png
できました。2号機でも同様の設定をしておきます。

Device Trustの確立

メニューから「Device Management」>「Device Trust」>「Device Trust Members」を選択します。
image.png
今はTrustを確立している相手がいません。右上の「Add」を押して進みます。

image.png
次の画面ではTrustを確立する相手の情報を入れます。Device TypeはPeerで大丈夫です。Device IP Addressはinternalセグメントのものを指定します。「Retrieve Device Information」を押すと少し待たされます。
image.png

……失敗です。AWSでは適当なPrivate IPを使えとここに書いてありましたが、もしかしてアプライアンス同様にMgmtを使う必要があるのでは。。。
image.png
Mgmtセグメントの10.0.4.12でうまくいきました。

image.png
無事Device Trust Membersが追加できました。しかしNameが分かりにくいですね。管理のために分かりやすいNameをつけることにします。Nameは「Devices」から変更可能です。
image.png
先ほどTrustを確立したので、自分と相手が見えています。(Self)がついている自分を選択します。
image.png
Nameの隣にある「Change Device Name...」を選択します。Trustを結んでいると、一旦Trustを破棄するように警告が出るため、指示に従ってTrustを解除してから再度Nameを変更します。
image.png
名前はBIGIP-1、Certificateを再生成にしてUpdateを押します。
image.png
できました。2号機でも同じように、名前を変えましょう。名前が変わったら先ほどの手順で1号機からTrustを確立します。
image.png
Add Deviceの直前で相手のNameを設定できるので、1号機からBIGIP-2と入力しておきます。
image.png
できました! なお2号機でも自動的に1号機のTrustを入手できています。2号機から見るとこんな感じです。
image.png

おわりに

長くなってしまったので、本日のまとめです。
ConfigSync用のアドレスにはinternalセグメントのIPを使う。
Trust交換前に、DeviceでNameを分かりやすい表示名に変えておく。
Trust交換用のアドレスにはManagementセグメントのIPを使う。

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
1