Existing Application关联L3 L2设备须知

 

 

一、配置层面

Inbound Existing Application，完成了Topology的配置如下图所示，并同时创建了L3 L2的设备

同时我们看到有对应的VS生成，

 

二、L3 service添加

在VS_hackazon的配置中，对Vlan是没有限制的。

此时我们对VS添加L3 service

访问业务，我们发现不能正常访问业务，取消L3 service关联后，业务访问正常。

抓包分析来看，发现两次访问数据包有明显异常，异常的数据包量要远远大于正常访问的数据包量，所以我们可以分析出，在关联L3 service的时候，网络中出现了环路。

环路的具体原因：

当客户端的访问流量先访问命中vs_hackazon之后，流量传输给internal的vs到L3 service，L3 service处理完成流量之后，流量回包到F5之后，我们会发现它会同时匹配ssloS_GENERIC-D-0-t-4和vs_hackazon(vlan无限制)，再根据VS的匹配规则，会优先匹配精确配置的VS，所以回包流量会再次命中vs_hackazon，从而出现环路。

解决方式：在添加L3 service的Existing Application时，对应的VS要配置vlan限制，限制VS只接受来自客户端的流量。

 

三、L2 service 添加

在VS_hackazon的配置中，Vlan不做限制的

此时我们对VS添加L2 service

访问业务，发现业务可以正常访问。

L2 service添加到Existing Application，对应VS不需要做vlan限制的原因：

当客户的流量先访问命中vs_hackazon之后，L2 service自身无ip，流量传输给internal的vs（位于F5的default domain）到L2 service，L2 service处理完成流量之后，流量回包到F5之后，我们会发现它此时匹配ssloS_GENERIC_3-D-0-t-4（位于F5的另一个route domain），而不会匹配到default domain的VS，所以也就不会出现环路，业务也就可以正常访问。

 

Route domain：Route domain是一个配置对象，用于隔离网络上特定应用程序的网络流量。因为Route domain分割网络流量，所以可以将相同的IP地址或子网分配给网络上的多个节点，前提是IP地址的每个实例都驻留在一个单独的路由域中。

 

四、综述

在配置Existing Application的SSLO，并添加L3、L2的service。

需要注意的是：

添加L3 service时，Existing Application对应的VS一定要配置vlan限制，只接受客户端vlan发送到F5的业务访问流量，否则会有环路出现，影响正常业务访问。

添加L2 service时，Existing Application对应的VS不一定要配置vlan限制，因为用来接受L2 service到F5的回包流量的VS的地址配置了route domain，也就避免了环路出现，业务也就不会受到影响。