f5networks.f5_modules.bigip_cgnat_lsn_pool 模块 – 管理 CGNAT LSN 池

注意

此模块是 f5networks.f5_modules 集合(版本 1.32.1)的一部分。

如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install f5networks.f5_modules

要在 playbook 中使用它,请指定:f5networks.f5_modules.bigip_cgnat_lsn_pool

f5networks.f5_modules 1.0.0 中的新增功能

概要

  • 管理 CGNAT LSN(大规模 NAT)池。

参数

参数

注释

backup_members

列表 / elements=string

指定可用作备份成员的转换 IP 地址,如果 deterministic 模式转换失败并回退到 napt 模式,则由确定性转换模式使用。

这是一个包含其前缀长度的 IP 前缀的集合。

client_conn_limit

整数

指定允许客户端或订阅者拥有的最大同时转换连接数。

有效值的范围在 04294967295(包括)之间。

description

字符串

用户创建的 LSN 池描述。

egress_interfaces

列表 / elements=string

指定允许或禁止进行源地址转换的接口集,具体取决于 egress_intf_enabled 设置。

egress_intf_enabled

布尔值

指定系统如何处理 egress_interfaces 中指定的接口上的地址转换。

设置为 true 时,仅允许在指定的 egress_interfaces 上进行源地址转换。

设置为 false 时,在指定的 egress_interfaces 上禁用源地址转换。

选择

  • false

  • true

harpin_mode

布尔值

启用或禁用对活动转换端点的传入连接的环回。

选择

  • false

  • true

icmp_echo

布尔值

启用或禁用已转换地址上的 ICMP 回显。

选择

  • false

  • true

inbound_connections

字符串

控制 BIG-IP 系统是否支持每个出站映射的入站连接。

disabled 时,系统不支持出站映射的入站连接,这将阻止端口控制协议 pcp 的正常运行。

explicit 时,系统支持显式出站映射的入站连接。

automatic 时,系统支持每个使用的出站映射的入站连接。

选择

  • "disabled"

  • "explicit"

  • "automatic"

log_profile

字符串

指定池使用的日志记录配置文件的名称。

log_publisher

字符串

指定记录转换事件的日志发布者的名称。

members

列表 / elements=string

指定池中可用的转换 IP 地址集。这是一个包含其前缀长度的 IP 前缀的集合。

所有公共端地址都来自此子网组中的地址。两个或多个确定性 LSN 池的成员不得重叠。用于确定性映射的每个外部地址必须仅在一个 LSN 池中出现。

mode

字符串

指定转换地址映射模式。

napt 模式提供标准的地址和端口转换,允许专用网络中的多个客户端使用分配给其路由器的单个 IP 地址访问远程网络。

deterministic 地址转换模式提供地址转换,消除了每个地址映射的日志记录,同时仍然允许仅使用外部地址和端口以及目标地址和端口来跟踪内部客户端地址。

pba 模式记录订阅者转换请求的端口块的分配和释放,而不是单独记录每个转换请求。

选择

  • "napt"

  • "deterministic"

  • "pba"

name

字符串 / 必需

指定要管理的 LSN 池的名称。

partition

字符串

设备分区,用于管理资源。

默认值: "Common"

pba_block_idle_timeout

整数

指定端口块变为空闲状态后经过的超时持续时间。

有效值的范围在 04294967295(包括)之间。”

pba_block_lifetime

整数

指定端口块的超时时间,超时后该块将不用于新的端口分配。

有效值的范围在 04294967295(包括)之间。

0 值对应于无限超时。

pba_block_size

整数

指定块中的端口数。

有效值的范围在 065535(包括)之间。

pba_block_size 值应小于或等于 LSN 池范围,即由 port_range_lowport_range_high 值定义的端口范围。

pba_client_block_limit

整数

指定可以分配给单个订阅者 IP 地址的块数。

pba_zombie_timeout

整数

指定僵尸端口块的超时时长。僵尸端口块是指具有一个或多个活动连接的超时端口块。当超时时长到期时,使用该僵尸端口块的连接将被终止,并且该僵尸端口块将变成可用端口块。

0 值对应于无限超时。

如果 pba_block_lifetime0,系统将忽略此参数值。

persistence_mode

字符串

指定 LSN 转换条目的持久性设置。

当为 address 时,转换尝试重用地址映射,但不重用端口映射。

当为 address-port 时,转换尝试重用来自同一内部 IP 地址和端口的后续数据包的地址和端口映射。

当为 none 时,禁用持久性。

选择

  • "address"

  • "address-port"

  • "none"

persistence_timeout

整数

指定 LSN 转换条目的持久性超时值。

如果某个特定映射在此时间长度内未使用,则该映射将过期,并且公共端地址/端口对可用于其他映射。

有效值的范围为 031536000,包括边界值。

port_range_high

整数

指定可用于转换 IP 地址的端口号范围的上限。

port_range_high 必须始终大于或等于 port_range_high 值。

有效值的范围在 065535(包括)之间。

port_range_low

整数

指定可用于转换 IP 地址的端口号范围的下限。

port_range_low 必须始终小于或等于 port_range_high 值。

有效值的范围在 065535(包括)之间。

provider

dictionary

在 f5networks.f5_modules 1.0.0 中添加

一个包含连接详细信息的字典对象。

auth_provider

字符串

配置身份验证提供程序,以便从远程设备获取身份验证令牌。

此选项主要用于处理 BIG-IQ 设备。

no_f5_teem

布尔值

如果为 yes,则不会将 TEEM 遥测数据发送到 F5。

可以通过设置环境变量 F5_TELEMETRY_OFF 来忽略此选项。

先前使用的变量 F5_TEEM 已弃用,因为其名称令人困惑。

选择

  • false ← (默认)

  • true

password

别名: pass, pwd

字符串 / 必需

用于连接到 BIG-IP 或 BIG-IQ 的用户帐户的密码。

可以通过设置环境变量 F5_PASSWORD 来忽略此选项。

server

字符串 / 必需

BIG-IP 主机或 BIG-IQ 主机。

可以通过设置环境变量 F5_SERVER 来忽略此选项。

server_port

整数

BIG-IP 服务器端口。

可以通过设置环境变量 F5_SERVER_PORT 来忽略此选项。

默认值: 443

timeout

整数

指定与网络设备通信的超时时间(以秒为单位),包括连接或发送命令。如果在操作完成之前超过超时时间,模块将出错。

transport

字符串

配置连接到远程设备时使用的传输连接。

选择

  • "rest" ← (默认)

user

字符串 / 必需

用于连接到 BIG-IP 或 BIG-IQ 的用户名。此用户必须在设备上具有管理权限。

可以通过设置环境变量 F5_USER 来忽略此选项。

validate_certs

布尔值

如果为 no,则不会验证 SSL 证书。仅在使用自签名证书的个人控制站点上使用此选项。

可以通过设置环境变量 F5_VALIDATE_CERTS 来忽略此选项。

选择

  • false

  • true ← (默认)

route_advertisement

布尔值

指定是否将转换地址传递给高级路由模块,以便通过动态路由协议进行通告。

选择

  • false

  • true

state

字符串

statepresent 时,确保 LSN 池存在。

stateabsent 时,确保 LSN 池被移除。

选择

  • "present" ← (默认)

  • "absent"

备注

注意

  • 需要 BIG-IP 上已获得许可并启用了 CGNAT。

  • 有关使用 Ansible 管理 F5 网络设备的更多信息,请参见 https://ansible.org.cn/integrations/networks/f5

  • 需要 BIG-IP 软件版本 >= 12。

  • F5 模块仅操作 F5 产品的运行配置。为确保 BIG-IP 特定配置持久化到磁盘,请务必包含至少一个使用 f5networks.f5_modules.bigip_config 模块保存运行配置的任务。有关正确使用该模块保存运行配置,请参阅模块的文档。

示例

- name: Create an lsn pool
  bigip_cgnat_lsn_pool:
    name: foo
    mode: napt
    client_conn_limit: 100
    log_profile: foo_profile
    log_publisher: foo_publisher
    members:
      - 10.1.1.0/24
    provider:
      password: secret
      server: lb.mydomain.com
      user: admin
  delegate_to: localhost

- name: Update lsn pool
  bigip_cgnat_lsn_pool:
    name: foo
    mode: pba
    pba_block_size: 128
    pba_block_lifetime: 7200
    pba_block_idle_timeout: 1800
    pba_zombie_timeout: 900
    log_profile: foo_profile
    log_publisher: foo_publisher
    provider:
      password: secret
      server: lb.mydomain.com
      user: admin
  delegate_to: localhost

- name: Remove lsn pool
  bigip_cgnat_lsn_pool:
    name: foo
    state: absent
    provider:
      password: secret
      server: lb.mydomain.com
      user: admin
  delegate_to: localhost

返回值

通用返回值记录在这里,以下是此模块特有的字段

描述

backup_members

列表 / elements=string

可用于备份成员的转换 IP 地址。

返回值: changed

示例: ["/Common/10.10.10.0/24", "/Common/11.11.11.0/25"]

client_conn_limit

整数

允许客户端或订阅者拥有的最大同时转换连接数。

返回值: changed

示例: 50

description

字符串

用户创建的 LSN 池描述。

返回值: changed

示例: "一些描述"

egress_interfaces

列表 / elements=string

允许或不允许进行源地址转换的接口集。

返回值: changed

示例: ["/Common/tunnel1", "/Common/tunnel2"]

egress_intf_enabled

布尔值

指定系统如何处理出口接口上的地址转换。

返回值: changed

示例: false

harpin_mode

布尔值

启用或禁用对活动转换端点的传入连接的环回。

返回值: changed

示例: true

icmp_echo

布尔值

启用或禁用已转换地址上的 ICMP 回显。

返回值: changed

示例: false

inbound_connections

字符串

控制 BIG-IP 系统对每个出站映射的入站连接的支持。

返回值: changed

示例: "explicit"

log_profile

字符串

池使用的日志记录配置文件的名称。

返回值: changed

示例: "/Common/foo_log_profile"

log_publisher

列表 / elements=string

记录转换事件的日志发布者的名称。

返回值: changed

示例: ["/Common/publisher_1"]

members

列表 / elements=string

池中可用的转换 IP 地址集。

返回值: changed

示例: ["/Common/10.10.10.0/24", "/Common/11.11.11.0/25"]

mode

字符串

指定转换地址映射模式。

返回值: changed

示例: "napt"

pba_block_idle_timeout

整数

端口块变为空闲状态后的超时时长。

返回值: changed

示例: 3600

pba_block_lifetime

整数

端口块的超时时间。

返回值: changed

示例: 7200

pba_block_size

整数

一个块中的端口数。

返回值: changed

示例: 128

pba_client_block_limit

整数

可以分配给单个订阅者 IP 地址的块数。

返回值: changed

示例: 3

pba_zombie_timeout

整数

僵尸端口块的超时时长。

返回值: changed

示例: 180

persistence_mode

字符串

指定 LSN 转换条目的持久性设置。

返回值: changed

示例: "address"

persistence_timeout

整数

指定 LSN 转换条目的持久性超时值。

返回值: changed

示例: 500

port_range_high

整数

可用于转换 IP 地址的端口号范围的上限。

返回值: changed

示例: 65535

port_range_low

整数

可用于转换 IP 地址的端口号范围的下限。

返回值: changed

示例: 1025

route_advertisement

布尔值

指定是否通过动态路由协议通告转换地址。

返回值: changed

示例: true

作者

  • Wojciech Wypior (@wojtek0806)