はじめに
ふと以前仕事でハマったことを思い出したので、どこかの誰かが同じことでハマらないよう書き残しておきます。
別ベンダが担当していたF5社製負荷分散装置のBIG-IP LTMを他社製品に入れ替える際、Auto Last Hop機能で苦労させられたという話です。
BIG-IPのAuto Last Hop機能とは
応答パケットを送信元に返送する際、送信パケットを受け取った時にあらかじめ覚えておいたMACアドレスに返送する機能。
つまり複数ゲートウェイが存在するような場合、いちいちルーティングを設定しなくても送信元のゲートウェイに対してパケットを返送する機能になります。
Auto Last Hopの厄介な点
-
Auto Last Hopが有効の場合、対象となるパケットはルーティングテーブルに従わない。 - BIG-IPではデフォルトで
Auto Last Hopが有効になっている。
デフォルトで有効となっているため、そもそも担当者も分かっていない場合もあるというのが一番厄介。
理解して使用する分には非常に便利な機能なんですけどね。
何があったか
あるクライアントから通信する際、通常ネットワークA経由でBIG-IP LTMにアクセスしますが、設計書にも載っていなかった要件で、リダイレクトされた通信の場合のみネットワークB経由でアクセスしていたことが発覚しました。
そもそもルーティング等から追えなかったのは前述の通り、BIG-IP LTMではAuto Last Hopがデフォルトで有効となっているため、ルーティングテーブルに書かれていなくてもネットワークA経由で通信が来た場合はネットワークA経由で応答パケットを返送し、ネットワークB経由で通信が来た場合はネットワークB経由で応答パケットを返送していたため、気付けなかったということですね。
BIG-IP LTMは私もよく使っていた機器だったのでAuto Last Hop自体の動きも知ってましたが、さすがに設計書にも書かれていない要件までは気づけなかった・・・
どう対応したか
他社製品にはAuto Last Hopに相当する機能が無かったため、前段のルータでポリシールーティングをゴリゴリ書いて何とか対処しました。
最後に
BIG-IP LTMを別の担当者から引き継ぐとか、入れ替えるという場合は、ルーティングだけではなく、Auto Last Hopの動きにも注意しましょう。