RADWARE之鏈路負載均衡配置解析匯報匯報

RADWARE之鏈路負載均衡配置解析網(wǎng)絡(luò)描述：網(wǎng)絡(luò)出口共有3條公網(wǎng)線路接入，一臺RADWARE直接連接三個出口ISP做鏈路負載均衡，來實現(xiàn)對內(nèi)部服務(wù)器訪問和內(nèi)部對外訪問流量的多鏈路負載均衡。1、 RADWARELINKPROOF設(shè)備部署在防火墻外面，直接連接出口ISP2、 防火墻全部修改為私有IP地址，用RADWARELINKPROOF負責(zé)將私有IP地址轉(zhuǎn)換成公網(wǎng)IP地址；3、防火墻的DMZ區(qū)跑路由模式，保證DMZ區(qū)服務(wù)器的正常訪問；4、 RADWARELINKPROOF利用SmartNAT技術(shù)，分別在每鏈路上配置NAT地址，保證內(nèi)部服務(wù)器的聯(lián)網(wǎng)。網(wǎng)絡(luò)拓撲：實施過程（關(guān)鍵步驟）1、配置公網(wǎng)接口地址InterfacemetersCreateIPAdd「眄*00.00ffNumtwrGd TNetworkMaskGOODFwdSroadcastEmb陸*Br^adcaslAddrONEFILL*VIANTag0Onerp{Rout即IriterfK?Onty]DsMI*戸￡戟A-ddfessG-1:63/40聯(lián)通G-2:2/28鐵通G-3:2/40電信■J*G-4:3.332/2、配置默認路由內(nèi)聯(lián)接口地址，連接防火墻現(xiàn)網(wǎng)共有3條ISP鏈路，要將每條鏈路的網(wǎng)關(guān)進行添加，具體如下：命令行配置LP-Master#Lprouteadd61Lprouteadd1Lprouteadd13、 配置內(nèi)網(wǎng)回指路由netroutetablecreate-i14netroutetablecreate-i14netroutetablecreate-i14netroutetablecreate-i14netroutetablecreate-i144、 配置地址轉(zhuǎn)換地址轉(zhuǎn)換主要包括內(nèi)部用戶的聯(lián)網(wǎng)和服務(wù)器被訪問兩部分，這兩部分在負載均衡上面分別采用DynamicNAT 和StaticPAT這兩種NAT來實現(xiàn)，把內(nèi)部的IP地址和服務(wù)器的IP地址分別對應(yīng)每條ISP都轉(zhuǎn)換成相應(yīng)的公網(wǎng)IP地址。Dynamic NAT是多對一的映射，并且改變用戶的源端口，而且是單向的，只能出，不能進。LinkProof>SmartNAT>DynamicNATTable>CreateFdeDeviceBndg?R)OUt?fLrnkPraofHealthMontorjngRepcflin^Secutity0WMClassesPtrforfnafit^Servit&$GlobalConjurationFilmsStiversrsServers5町軻LBpar?mel?5FlowWnFdeDeviceBndg?R)OUt?fLrnkPraofHealthMontorjngRepcflin^Secutity0WMClassesPtrforfnafit^Servit&$GlobalConjurationFilmsStiversrsServers5町軻LBpar?mel?5FlowWn旳EmgnTChantsVirtualIPSmartMATPrOXrrllilyDNSConficuralionLoadBalancingAlgorithms?Dynamk:NATTableCreateR&uteriServersFirewaHServersFromSc廟IP000QSeiverIP 2182S6J161 -RedundancyMod*Reguiaf*PIServerIPDyiunnicNATIPRecfunctencyModeNoMA7TabFeSidtitfLATTqLiIeB^sicblATTablf?DrishisMATTableTaLocafIPfl000Dynamic卜1ATIP0000Set■Cance:WWW.2CTO.COMFromlocalIP:被轉(zhuǎn)換地址的起始地址;TolocalIP:被轉(zhuǎn)換地址的結(jié)束地址;ServerIP:對應(yīng)的ISP的網(wǎng)關(guān)；DynamicNATIP:轉(zhuǎn)換后的公網(wǎng)地址。命令行配置LP-Master#Ipsmartnatdynamic-natcreate5512lpsmartnatdynamic-natcreate5512lpsmartnatdynamic-natcreate556162IP的不同端口映射到不StaticPAT是從外到內(nèi)的一對多的映射，用來將同一公網(wǎng)IP的不同端口映射到不同的內(nèi)網(wǎng)服務(wù)器，而且是單向的，只能進，不能出。LinkProof>SmartNAT>StaticPATTable>CreateStaticPATTableCreateInternalNPProtocolExternAl|PInternalNPProtocolExternAl|PStaticPATMod嚀CntemalPort. 0ServerIP 2132963161 ▼Ext?rr*siPort 0StaticPAT dofa, *址Z**? JSUWWW.2CTO.COMSet命令行配置LP-Master#Ipsmartnatstatic-patcreate3110tcp30110-pn110maillpsmartnatstatic-patcreate088tcp616888-pn88xinlpsmartnatstatic-patcreate380tcp617080-pn80gonglpsmartnatstatic-patcreate321tcp617021-pn21ftplpsmartnatstatic-patcreate480tcp1080-pn80ser5、就近性(Proixmity)配置就近性(Proiximity)，可以為用戶帶來更好的網(wǎng)絡(luò)訪問服務(wù)。內(nèi)網(wǎng)用戶訪問Internet，radwarelinkproof可以檢測到目的地最快的鏈路；外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器，radwarelinkproof 可以解析最佳鏈路上的公網(wǎng) IP給用戶。全局配置首先我們需要全局開啟 Proximity，默認是NoProximity。如果只使用靜態(tài)態(tài)表,則選擇StaticProximity;如果只使用出向流量，則選擇 FullProximityOutbound ;只使用入向，則選擇FullProximityInbound;如果同時使用雙向，動態(tài)和靜態(tài)同時使用，則選擇 FullProximityBoth ，一般情況都選擇這個。LinkProof>Proximity>ProximityParameter>GeneralFikD時供SridgtRQWtEF阿IWHpilmMcflflKingRtpoitmQBWWGMnlGonfigurfliionFikD時供SridgtRQWtEF阿IWHpilmMcflflKingRtpoitmQBWWGMnlGonfigurfliion卜Farms?Sfinffrs*LBk1FlswM*n縛mgifi?iClienlt岸W訕1IP胡NppfrdIPSmartNAT■Pr6thirtyDhlSCCi^gur-^ion1■*! 1 A* .■A-GeneralSat'CPmimiiT2ProximityParameters-GeneralPfoxirnftyModeMainDNS：00.0.0ProxinirtyAgingPeriod(min):1440FUseroutermodedecisionsinsideproxinirty:enable*■ProximitySubnetMask:26&2562480J玨BackupDNS:ProximityMode:FullProximityBothProximityAgingPeriod(min):1440 //天。ProximityMode:FullProximityBothProximityAgingPeriod(min):1440 //天。ProximitySubnetMask://這里配置為1天默認為2880分鐘，2就近表條目網(wǎng)絡(luò)地址的最小單位6、靜態(tài)就近表配置有時候，在鏈路穩(wěn)定的情況下，我們更多地希望使用靜態(tài)的就近表，即訪問電信的IP只從電信的鏈路出去訪問；訪問聯(lián)通的網(wǎng)站只從聯(lián)通鏈路出去。這時，我們可以設(shè)置靜態(tài)就近表。如果靜態(tài)就近表的內(nèi)容查到，則按靜態(tài)表的規(guī)則去訪問。如果沒查到，如果配置的是 FullProximity，radwarelinkproof 則發(fā)起動態(tài)就近性檢查；如果配置的是StaticProximity ，貝Uradwarelinkproof就做負載均衡，沒有就近性。LinkProof>Proximity>StaticProximityFileDeviceBridgeRouterGlobalConfigurationFileDeviceBridgeRouterGlobalConfigurationFarmsServersContentLBPararnelersFlowManagementLinkProofClienisHealihMonitoringReportingSecurityBWClassesPerformanceVirtualIPMappedIPTableSnarlNATProximityDNSConfigurationNHR1HHR2DeleteProximityParameters?StaticProximityStaticProximityTableCreateFromAddress.NHR1-FromAddress.NHR1-NHR3:7、特殊應(yīng)用會話老化時間配置比如有一些特殊應(yīng)用端口，比如游戲端口,QQ，MSN比如有一些特殊應(yīng)用端口，比如游戲端口,QQ，MSN等特殊應(yīng)用，它們的會話表老化時間會比一般應(yīng)用的要長許多，如果把這類應(yīng)用的會話表按常規(guī)處理，可能會帶來訪問的問題。比如某個游戲一開始使用電信IP會帶來訪問的問題。比如某個游戲一開始使用電信IP訪問，會話表老化后，由于負載均衡的策略，這個會話轉(zhuǎn)而使用聯(lián)通的 IP去訪問，遠端服務(wù)器有可能對用戶的IP進行驗證，從而造成訪問的問題。這時候我們需要將這類應(yīng)用的會話表老化時間調(diào)長。如果直接將所有會話表的時間都調(diào)長，則會造成會話表過大，影響性能和負載均衡的效果。相反，對于 DNS類的應(yīng)用，我們可以將其調(diào)整得短一些。LinkProof>GlobalConfiguration>AgingByApplicationPort

FdeDevicetJudgeRouterUnitProofH^<hMonitoringRtruarl^iaFarmakSpiers?IRP^rarft^teriFarmakSpiers?IRP^rarft^teriFIvw?CllRHlS卜GeneralCkem ?DelayedBindTwtjht-RulesTah]0AliasPortsFor!LE3SlamsGlobalCoFigurationVtrtuatIP應(yīng)用端口LP-Master#Ipglobalclient-tableapplication-aging-timecreate<應(yīng)用端口號>-at<時長>Ipglobalclient-tableapplication-aging-timecreate4000-at1800Ipglobalclient-tableapplication-aging-timecreate8000-at1800lpglobalclient-tableapplication-aging-timecreate443-at600lpglobalclient-tableapplication-aging-timecreate5555-at600lpglobalclient-tableapplication-aging-timecreate7005-at600lpglobalclient-tableapplication-aging-timecreate7206-at600lpglobalclient-tableapplication-aging-timecreate7207-at600lpglobalclient-