防火墻負(fù)載均衡原理by dw

1、防火墻負(fù)載均衡原理F5 Bigip應(yīng)用交換機(jī)實現(xiàn)防火墻負(fù)載均衡標(biāo)準(zhǔn)結(jié)構(gòu)及闡述Prepared By F5 Networks Inc,David Wang2004-11-30第一篇、 防火墻負(fù)載均衡原理2第二篇、F5 Bigip應(yīng)用交換機(jī)實現(xiàn)防火墻負(fù)載均衡標(biāo)準(zhǔn)結(jié)構(gòu)及闡述10第一篇、 防火墻負(fù)載均衡原理一、為什么需要對防火墻進(jìn)行負(fù)載均衡？1、 消除性能瓶井：單臺防火墻性能不夠；隨著網(wǎng)絡(luò)流量的增加，單臺防火墻可能成為網(wǎng)絡(luò)的瓶井。通過實現(xiàn)防火墻的負(fù)載均衡，橫加增加防火墻的數(shù)量，又保護(hù)了原有投資。2、 提高設(shè)備利用率：處于Active/Standy雙機(jī)模式的防火墻可以轉(zhuǎn)換成Active/Active方式

2、。3、 提高系統(tǒng)的擴(kuò)展性：采用負(fù)載均衡器對防火墻進(jìn)行負(fù)載均衡，系統(tǒng)的擴(kuò)展性大大增加，可以隨著網(wǎng)絡(luò)流量的增加，橫加增加防火墻的數(shù)量，而且新增加的防火墻并不局限在同一型號。二、防火墻負(fù)載均衡的典型網(wǎng)絡(luò)架構(gòu)：對一進(jìn)一出的二路防火墻，一般采用如下圖的防火墻三明治結(jié)構(gòu)（在實際應(yīng)用環(huán)境中，為了防止網(wǎng)絡(luò)中出現(xiàn)單點故障，負(fù)載均衡器往往會采用雙機(jī)結(jié)構(gòu)，具體的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計請參考F5 Bigip應(yīng)用交換機(jī)實現(xiàn)防火墻負(fù)載均衡標(biāo)準(zhǔn)結(jié)構(gòu)及闡述)：如果是采用Untrust, Trust, DMZ的三路防火墻，則防火墻負(fù)載均衡的典型拓?fù)浣Y(jié)構(gòu)如下：Router AInternetRouter BDMZ對于三路防火墻的負(fù)載均

3、衡，在一個無單點故障的網(wǎng)絡(luò)設(shè)計中要采用六臺負(fù)載均衡器。另外在三路防火墻負(fù)載均衡的設(shè)計中，針對防火墻的健康檢查要特別當(dāng)心、精心設(shè)計。三、為什么需要防火墻負(fù)載均衡需要采用三明治的結(jié)構(gòu)？目前的絕大多數(shù)防火墻都是基于連接狀態(tài)檢測的防火墻，也即是說對于構(gòu)成完整用戶會話的雙向數(shù)據(jù)流進(jìn)行監(jiān)控，以確定數(shù)據(jù)流的合法性。當(dāng)采用多臺防火墻對網(wǎng)絡(luò)流量進(jìn)行負(fù)載均衡時，如果數(shù)據(jù)流處理不當(dāng)，可能出現(xiàn)的情況是對構(gòu)成同一個用戶會話的雙向數(shù)據(jù)包，在多臺防火墻上進(jìn)行處理，而每一個防火墻上都看到到完整的用戶會話信息。而防火墻如果看不到完整的用戶會話信息，就會將該數(shù)據(jù)包當(dāng)作非法訪問而拋棄掉。只有采用三明治結(jié)構(gòu)，通過在防火墻的兩端都設(shè)置

4、四層交換機(jī)，四層交換機(jī)可以在作流量分發(fā)的同時，維持用戶會話的完整性，使對某一用戶的同一會話產(chǎn)生的雙向數(shù)據(jù)包始終都由同一臺防火墻來處理，而使防火墻得于在負(fù)載均衡環(huán)境下還可以正常工作。四、F5Bigip應(yīng)用交換機(jī)對防火墻作負(fù)載均衡時所用到的主要功能：利用F5Bigip應(yīng)用交換機(jī)對防火墻作負(fù)載均衡時，與用F5Bigip應(yīng)用交換機(jī)對服務(wù)器作負(fù)載均衡時類似，都是需要將防火墻放在一個Pool里面，然后根據(jù)Pool的負(fù)載均衡算法在防火墻之間進(jìn)行流量分發(fā)。但為了支持防火墻負(fù)載均衡器上，F(xiàn)5Bigip應(yīng)用交換機(jī)有以下幾個功能是區(qū)別于服務(wù)器負(fù)載均衡的：u Last Hop功能Bigip上的Last Hop功能，又

5、叫基于連接的路由(Per Conneciton Routing)，是用于當(dāng)回應(yīng)的路據(jù)包需要經(jīng)由相鄰的傳輸最初發(fā)起訪問數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備時。如下圖：/24/24/24InternetBIG-IPRouterFW #2當(dāng)一個客戶發(fā)起到內(nèi)網(wǎng)服務(wù)器訪問，假設(shè)他是經(jīng)由防火墻1進(jìn)來（如褐色線條所示），當(dāng)服務(wù)器接受到這次訪問而產(chǎn)生回應(yīng)時，回應(yīng)的數(shù)據(jù)包首先到達(dá)內(nèi)網(wǎng)的負(fù)載均衡器，這時負(fù)載均衡器即可以將加應(yīng)的數(shù)據(jù)包經(jīng)回防火墻1發(fā)出去，也可以經(jīng)由防火墻2發(fā)出去。根據(jù)基于狀態(tài)防火墻的工作特點，對于同一連接的雙向數(shù)據(jù)須經(jīng)由同一防火墻處理。而Bigig的Last Hop

6、功能是可以實現(xiàn)這一點，當(dāng)內(nèi)網(wǎng)的負(fù)載均衡器首次接收到用戶的訪問請求時，它就會在它的連接表中創(chuàng)建一條Last Hop記錄，記錄本次連接發(fā)起請求是由哪個設(shè)備傳送過來的(俗稱最后一跳記錄，實際上就是該設(shè)備的MAC地址，本例中就是防火墻1內(nèi)網(wǎng)卡的MAC地址)。當(dāng)它收到服務(wù)器回應(yīng)的數(shù)據(jù)包時，它可以識別出這個回應(yīng)數(shù)據(jù)包所屬的連接，并查找出這一連接所對應(yīng)的Last Hop記錄，并將服務(wù)器回應(yīng)包發(fā)給那臺設(shè)備防火墻1。如果用戶再次發(fā)起一個新的連接，假設(shè)這一次，外網(wǎng)的負(fù)載均衡器將它負(fù)載均衡到了防火墻2上（如藍(lán)色線條所示），這時能過內(nèi)網(wǎng)的負(fù)載均衡器的Last Hop功能，由服務(wù)器對本次連接請求所回應(yīng)的數(shù)據(jù)包將都由防火

7、墻2出去。注：如果對負(fù)載均衡器的四層連接表有疑問，請對考服務(wù)器負(fù)載均衡工作原理。u Transparent健康檢查功能Bigip Transparent健康檢查功能是指Bigip對某一非相鄰節(jié)點(非相鄰節(jié)點是指與Bgip的SelfIP不在同一網(wǎng)段的某一節(jié)點)進(jìn)行健康檢查的數(shù)據(jù)包，需要經(jīng)由某一指定相鄰節(jié)點進(jìn)行發(fā)送。Transparent健康檢查方法可以實現(xiàn)對某一網(wǎng)絡(luò)通路或路徑(Path)的連通性檢查。在對防火墻負(fù)載均衡時，負(fù)載均衡需要不斷地檢查防火墻的健康，當(dāng)某一防火墻發(fā)生故障時， 負(fù)載均衡器不應(yīng)該再將網(wǎng)絡(luò)流量分發(fā)到已故障的防火墻。而這里所指的防火墻的健康狀態(tài)，不僅僅是指與防火墻與負(fù)載均衡相鄰的

8、鏈路故障，而是指內(nèi)外網(wǎng)負(fù)載均衡器之間某一防火墻所使用的完整網(wǎng)絡(luò)通路的健康狀態(tài)。例如通過Transparent健康檢查功能，在外網(wǎng)負(fù)載均衡器上可以設(shè)定，需要經(jīng)由防火墻1來檢查內(nèi)網(wǎng)負(fù)載均衡器上的某一VIP，如果Transparent健康檢查的結(jié)果是這一個VIP是可以經(jīng)由防火墻1訪問到，則證明防火墻1所使用的的內(nèi)外網(wǎng)負(fù)載均衡器之間的通路是可用的，外網(wǎng)負(fù)載均衡器可以將網(wǎng)絡(luò)流量分發(fā)給防火墻1。u Transparent Virtual ServersTransparent Virtual Server是指不對目的地址作地址轉(zhuǎn)換的虛擬服務(wù)器VIP。注：如果對Bigip的虛擬服務(wù)器（VIP）地址轉(zhuǎn)換工作原理

9、有疑問，請參考服務(wù)器負(fù)載均衡工作原理或Bigip用戶手冊。u Network Virtual ServerNetwork Virtual Server是相對于Server Virtual Server而言，Network Virtual Server可以對一組IP地址起到VIP的作用。例如Network Virtual Server :*（假設(shè)子網(wǎng)掩碼為）, 可以對從到54的所有IP地址起作用。與Server Virtual Server一樣，Network Virtual Server所對應(yīng)的資

10、源可以是Server Pool、Forwarding或Rules。 u WildCast Virtual ServerWildCast Virtual Server是指:0這個對所有地址都有效的虛擬服務(wù)器。在F5的Bigip實現(xiàn)的防火墻負(fù)載均衡中，在Bigip配置Network Virtual Server（一般Network Virtual Server都是Transparent Virtual Server），起到了路由器上的靜態(tài)路由功能。而區(qū)別于普通的靜態(tài)路由的是，Bigip上的Network Virtual Server所對應(yīng)的Server Pool使用靜態(tài)路由的下一跳（

11、Next Hop）可以是多個，而不是只能有一個。而且Bigip上的EAV健康檢查可以保證只有正常的下一跳才會被選中來傳輸數(shù)據(jù)。注：如果對Bigip的Network Virutal Server、WildCast Virtual Server有疑問請查閱Bigip用戶用冊。五、F5Bigip應(yīng)用交換機(jī)對防火墻作負(fù)載均衡時的配置過程以下圖為例，來說明用F5Bigip應(yīng)用交換機(jī)對防火墻作負(fù)載均衡時的配置過程。BIG-IP #1BIG-IP #/16/24/16/

12、245454 VIP 005454u 外網(wǎng)負(fù)載均衡器的設(shè)置：Network Virtual Server:/24:0 fw_ext_pool Disable IP Address Translation/16:0 fw_ext_pool Disable IP Addre

13、ss Translation/0:internal vlan/0 Default_GW_pool 54Monitor:Node TCP Transparent Destination IP/Port: 00 :80Node TCP Transparent Destination IP/Port: 00 :80SelfIP Automap enableSNAT internal Vlan Automapu 內(nèi)網(wǎng)負(fù)載均衡的設(shè)置/0

14、:internal vlan/0 FW_int_pool Disable IP Address TranslationVIP: 00:80 server_pool :80 :80Monitor:Node ICMP Transparent 54Node ICMP Transparent 54注：以上配置對Monitor的設(shè)置需要通過試驗進(jìn)一步確認(rèn)。六、防火墻作負(fù)載均衡是，防火墻之間是否需要啟用會話狀態(tài)同步機(jī)

15、制？在防火墻負(fù)載均衡來說，防火墻之間是否需要啟用會話狀態(tài)同步機(jī)制需要視網(wǎng)絡(luò)上所支持的應(yīng)用類型及對應(yīng)用可靠性而定。對長連接的應(yīng)用(一般是指在連接中斷后不會迅速自動重建連接的那種)，如果對應(yīng)用的可靠性要求特別高，要求某一防火墻突然發(fā)生故障時已建連接不能有任何中斷，這種情況就需要在作負(fù)載均衡的防火墻之間啟用會話狀態(tài)同步機(jī)制。如果要在防火墻啟用狀態(tài)同步機(jī)制，一般要求作負(fù)載均衡的防火墻是同一型號的負(fù)載均衡器。注：對上述應(yīng)用，如果要求負(fù)載均衡發(fā)生切換時，也不能出現(xiàn)連接中斷，還需要在雙機(jī)HA模式的負(fù)載均衡器之間啟用Connection Mirroring功能。如果對Bigip Connection Mirr

16、oring功能有疑問，請參考Bigip用戶手冊。而對于短連接的應(yīng)用，如常見的http運行，由于短連接應(yīng)用一般都支持重建連接，就不一定需要在防火墻上啟用會話狀態(tài)同步機(jī)制。因為在防火墻上啟用會話狀態(tài)同步機(jī)制，會對防火墻的性能帶來比較大的影響。而且如果防火墻的數(shù)量多于兩臺以后，多臺防火墻之間的會話同步會帶來更多的問題，同時對系統(tǒng)的擴(kuò)展性也會帶來影響。七、當(dāng)?shù)谝粚拥呢?fù)載均衡器即作鏈路負(fù)載均衡又作防火墻負(fù)載均衡時，有防火墻有什么特殊設(shè)置要求？當(dāng)?shù)谝粚拥呢?fù)載均衡器即作鏈路負(fù)載均衡又作防火墻負(fù)載均衡時，防火墻需要對內(nèi)網(wǎng)的服務(wù)器啟用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）。對于第一層即作鏈路負(fù)載均衡又作防火墻負(fù)載均衡的負(fù)載均衡

17、器，其上的VIP所對應(yīng)的Server Pool成員必須采用防火墻上的NAT地址，而不能直接采用第二層負(fù)載均衡上的VIP地址或內(nèi)網(wǎng)服務(wù)器的真實地址。注：對于F5Link Controller實現(xiàn)鏈路負(fù)載均衡，如有疑問，請查閱F5Link Controller鏈路控制器用戶手冊。八、通過負(fù)載均衡器對防火墻作負(fù)載均衡與防火墻集群（Cluster）方式的由防火墻自己作負(fù)載均衡有什么區(qū)別？目前有一些防火墻也開始支持防火墻之間的負(fù)載均衡功能。防火墻自己作負(fù)載均衡時，常用的方法有：u 基于IPMulticast方式：這種方式下，構(gòu)成集群的所有防火墻都會接受到全部的網(wǎng)絡(luò)數(shù)據(jù)，防火墻之間通過協(xié)商各自對一部份網(wǎng)絡(luò)

18、流理進(jìn)行處理。u 基于主從的方法：在集群中有一臺防火墻負(fù)責(zé)起主導(dǎo)，起到負(fù)載均衡器的作用，由它先接受所有的網(wǎng)絡(luò)流量，然后在其它從的防火墻之間分發(fā)。在實際環(huán)境中，考慮部署防火墻負(fù)載均衡主要就是解決單臺防火墻處理能力不夠的問題。上述兩種方法，都沒有真正提升防火墻群集的處理能力，因為總是有一臺防火墻要承受全部的網(wǎng)絡(luò)流量，也即是說防火墻群集的處理能力還是受限于單臺防火墻的處理能力。這也是為什么很少在實際環(huán)境中見到防火墻自己作負(fù)載均衡運行方式的原因，絕大多數(shù)的防火墻集群還是運行于主備方式。而通過獨立的負(fù)載均衡器對防火墻作負(fù)載均衡，是真正提高了防火墻群集的處理能力。九、F5產(chǎn)品實現(xiàn)防火墻負(fù)載均衡的成功案例北

19、京國稅、北京地稅、河南地稅、江蘇地稅、CNNIC。第二篇、 F5 Bigip應(yīng)用交換機(jī)實現(xiàn)防火墻負(fù)載均衡標(biāo)準(zhǔn)結(jié)構(gòu)及闡述注：在以下的防火墻負(fù)載均衡網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計中，負(fù)載均衡器都是采用雙機(jī)HA配置，以減少單點故障。如果對F5Bigip的雙機(jī)HA配置有疑問，請先查閱F5Bigip用戶手冊。 當(dāng)采用F5 Bigip應(yīng)用交換機(jī)實現(xiàn)防火墻負(fù)載均衡時，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計受防火墻特點的限制可以作出不同的選擇：一、當(dāng)防火墻支持多個網(wǎng)絡(luò)接口放在一起設(shè)置同一個IP地址時（例如Netscreen防火墻，可以將兩個網(wǎng)絡(luò)接口設(shè)置成主從接口，共用一個IP地址。當(dāng)主接口故障時，從接口可以接管主接口的工作），可以采用如下的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：防火墻防火墻核心交換機(jī)核心交換機(jī)上述拓?fù)浣Y(jié)構(gòu)的特點是負(fù)載均衡器與防火墻之間采用了冗余鏈接，當(dāng)通路中只有一條鏈路故障時，通過鏈路切換即可恢復(fù)系統(tǒng)的運行，而不會引起負(fù)載均衡器或防火墻的切換。采用上述拓?fù)浣Y(jié)構(gòu)時，要注意的一點是如果防火墻是采用Netscreen那種主從接口的方式時，處于雙機(jī)的負(fù)載均衡器之間必須在防火墻一則的Vlan之間有一根線相連，以保證防火防的主從接口發(fā)成切換時，防火墻與Active負(fù)載均衡器之間的鏈路通路。如果防火