当A10 Thunder/vThunder凭借LLB角色成为数据中心的出口管家婆以后,日常的端口映射也需要尤其完成。本次home lab拓扑中原有opnsense的fw角色决定由Forefront TMG 2010替换,原因是opnsense不怎么靠谱。
很多用户对发布的业务并非集群架构,所以端口映射的步骤应该是server—service group—WAN virtual server。如果是集群业务映射,则会先有LAN virtual Server再到WAN virtual Server。
TMG因处于A10的后侧,故采用候断防火墙模式(路由模式),图中的本地主机是指TMG,前端防火墙这里应该指A10。外围网络可理解成前后防火墙之间的DMZ。
以上部署模式在企业网中十分普遍,要求运维人员同时熟悉ADC与FW的技术细节:
LLB-11-Active-affinity-def-vMaster[1/1](config:1)#show running-config | sec P_
slb server ASP_10.254.100.1 10.254.100.1
port 80 tcp
health-check-disable
slb service-group SG_ASP_80 tcp
member ASP_10.254.100.1 80
slb virtual-server VS_ASP_122.227.231.110 122.227.231.110
port 80 tcp
service-group SG_ASP_80
use-rcv-hop-for-resp
slb virtual-server VS_ASP_60.12.220.110 60.12.220.110
port 80 tcp
service-group SG_ASP_80
use-rcv-hop-for-resp
slb virtual-server VS_SAP_223.96.100.110 223.96.100.110
port 80 tcp
source-nat auto
service-group SG_ASP_80
use-rcv-hop-for-resp
LLB-11-Active-affinity-def-vMaster[1/1](config:1)#A10方面配置结束后,需要TMG一侧放行相关web策略。
