Globale indstillinger for L4xNAT Farm Profile

L4xNAT-farmprofilen tillader oprettelsen af ​​LSLB-farme, der arbejder på lag 4 med meget høj ydeevne og mere samtidige forbindelser end belastningsbalancerkerner i lag 7. Forbedring af ydeevne på lag 4 modvirker den avancerede indholdshåndtering, som lag 7-farmprofilen kunne klare.

L4xNAT-farmprofilen understøtter flere porte med intervaller og lister over porte mod lag 7-farmprofiler, der kun understøtter én port.

Dette afsnit giver en dybdegående forklaring af de nødvendige kommandoer til konfiguration af en L4xNAT-farmprofil. Vores anbefaling er at bruge Farmguardian med denne profil til at kontrollere status for hver backend, der er konfigureret på farmen, da denne profil ikke implementerer noget indbygget sundhedstjek.

I øverste højre hjørne skal du bemærke, at der er en statusindikator og en handlingssektion. Handlingerne vil gøre dig i stand til at genstarte, starte eller stoppe farmen:

Disse er Status farveindikatorer og deres betydning:

• Grøn: Midler UP. Gården kører, og alle backends er OP, eller omdirigeringen er konfigureret.
• Rød: Midler DOWN. Gården er stoppet.
• Sort: Midler KRITISK. Farmen er OP, men der er ingen backend tilgængelig, eller alle backends er i vedligeholdelsestilstand.
• Blå: Midler PROBLEM. Gården kører, men mindst en backend er nede.
• Orange: Midler VEDLIGEHOLDELSE. Gården kører, men mindst en backend er i vedligeholdelsestilstand.

Disse farvekoder er de samme over hele den grafiske brugergrænseflade. Find en dybdegående forklaring om disse farvekoder i LSLB Farms Section.

Grundlæggende konfiguration

Dette er parametrene for L4xNAT-profilen.

Navn. Et mærke, der nemt identificerer en gårdtjeneste. For at ændre denne værdi skal du stoppe gården først. Sørg for, at det nye gårdnavn ikke allerede er i brug, ellers vises en fejlmeddelelse.

Virtual IP og Port. Dette er en virtuel IP-adresse eller en virtuel PORT, hvor farmen vil være bundet til at lytte inde fra belastningsbalancesystemet. For at foretage ændringer i disse felter skal du sikre dig, at den nye virtuelle IP og virtuelle porte ikke er i brug. Efter at have gemt ændringerne, genstarter gårdtjenesten automatisk.

For at vælge en enkelt port eller en række virtuelle porte i L4xNAT-farmprofilen, a Protokol type er obligatorisk. I tilfælde af at protokollen er indstillet til ALLE, vil farmen lytte på alle porte fra den virtuelle IP. Den virtuelle port vil ikke kunne redigeres og vil blive angivet med en stjerne (*).
Når TCP, UDP eller enhver anden protokol er valgt, skal du bruge den til at angive en port, flere porte eller portområder.

Avanceret konfiguration

Protokol Type. Dette felt angiver det protokollag, der skal balanceres. Som standard bruger gården TCP-protokollen.

• ALLE. Farmen vil lytte efter indgående forbindelser til den aktuelle virtuelle IP og port(e) over alle protokoller. Hvis du valgte denne mulighed, ændres den virtuelle port til standard "*", og du vil ikke redigere den. Så gården vil lytte gennem alle havne.
• TCP. Aktivering af denne mulighed giver farmen mulighed for at lytte efter indgående TCP-forbindelser til den aktuelle virtuelle IP og port(e).
• UDP. Aktivering af denne mulighed giver farmen mulighed for at lytte efter indgående UDP-forbindelser til den aktuelle virtuelle IP og port(e).
• SCTP. Aktivering af denne mulighed giver farmen mulighed for at lytte efter indgående SCTP-forbindelser til den aktuelle virtuelle IP.
• SIP. Aktivering af denne mulighed giver farmen mulighed for at lytte efter indgående UDP-pakker til den virtuelle IP og standardporten, 5060. Farmen vil derefter parse SIP-headerne for hver pakke, så de bliver korrekt distribueret til backends.
• FTP. Aktivering af denne mulighed giver farmen mulighed for at lytte efter indgående TCP-forbindelser til den aktuelle virtuelle IP og standardporten, 21. Farmen vil derefter parse FTP-headerne for hver pakke, så de bliver korrekt distribueret til backends. To tilstande understøttes: den aktive og den passive tilstand.
• TFTP. Aktivering af denne mulighed giver farmen mulighed for at lytte efter indgående UDP-pakker til den aktuelle virtuelle IP og standardporten, 69. Farmen vil derefter parse TFTP-headerne for hver pakke for at blive korrekt distribueret til backends.
• PPTP. Aktivering af denne mulighed giver farmen mulighed for at lytte efter indgående TCP-forbindelser til den aktuelle virtuelle IP og port. Farmen vil derefter parse PPTP-headerne for hver pakke for at blive korrekt distribueret til backends.
• SNMP. Aktivering af denne mulighed giver farmen mulighed for at lytte efter indgående UDP-pakker til den aktuelle virtuelle IP og port. Farmen vil derefter parse SNMP-headerne for hver pakke for at blive korrekt distribueret til backends.

NAT Type. NAT-typen styrer, hvordan lag 4-topologierne fungerer. Valg af den indstilling, der passer til din tjeneste og infrastruktur, afhænger af den definerede netværksarkitektur. Som standard fungerer gården i NAT-tilstand.

• NAT. NAT-tilstanden eller SNAT (kilde-NAT) bruger load balancer-IP som sin backend-forbindelseskilde-IP-adresse. Derfor kender backend ikke klientens IP-adresse ved TCP, UDP eller nogen anden lag 4-protokol. På denne måde reagerer backend på belastningsbalanceren for at sende svaret på anmodningen. Denne topologi tillader udrulning af en en-armet load balancer (belastningsbalancering med 1 netværksinterface).

  

• DNAT. DNAT-tilstanden (Destination NAT) bruger klientens IP-adresse som backend-forbindelsens kilde-IP-adresse. Derfor vil backend svare direkte på klientens IP. I dette tilfælde skal load balancer-IP'en konfigureres som backend-standardgatewayen og vil isolere backend-netværket fra klientservicenetværket. Denne topologi bruges til at udføre gennemsigtighed mellem klienter og backends.

  

• DSR. I DSR-tilstand (Direct Server Return) opretter klienten forbindelse til VIP'en, efterfulgt af at load balanceren ændrer destinations-MAC-adressen for backend'en (serveren skal være på det samme linkmedie som load balanceren) og videresender den uden at ændre dens IP-adresse. Backend besvarer andragendet direkte uden at passere gennem load balanceren.

  

  Krav til DSR:

  • VIP og backends skal være i det samme netværk
  • Den virtuelle port og backend-porten skal være ens
  • Backends skal konfigurere en loopback-grænseflade med samme IP som VIP, der er konfigureret i belastningsbalanceren og deaktivere ARP i denne grænseflade
    

  • Linux-backends

  # ifconfig lo:0 192.168.0.99 netmask 255.255.255.255 -arp up

  Behov for at deaktivere ugyldige ARP-svar i backend.

  # echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
  # echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

  • Windows backends

  Start->Indstillinger->Kontrolpanel->Netværks- og opkaldsforbindelser.
  Højreklik på den nye adapter og vælg egenskaber
  Kun "Internet Protocol" skal vælges (fjern valget af "Client for MS Networks" og "Fil and Printer Sharing")
  TCP/IP-egenskaber->indtast IP-adressen på VIP'en i ZEVENET ADC-farmen, standard gw er ikke påkrævet og maske 255.255.255.255
  Indstil Interface Metric til 254, denne konfiguration er påkrævet for at stoppe med at svare på ethvert ARP-svar til VIP'en
  Tryk på OK og gem ændringerne.

  Nu skal vi konfigurere den stærke værtssikkerhedsmodel og tillade den normale NIC-grænseflade at modtage trafik fra ZEVENET ADC og tillade ZEVENET ADC at sende trafikformular/til standard NIC-grænsefladen, åbne et cmd-vindue og udføre de 3 kommandoer

  netsh interface ipv4 set interface NIC weakhostreceive=enabled
  netsh interface ipv4 set interface loopback weakhostreceive=enabled
  netsh interface ipv4 set interface loopback weakhostsend=enabled
  

  Skift venligst NIC og loopback med standardgrænsefladenavnene i dit nuværende Windows.

• Stateless DNAT. I Stateless DNAT skifter load balanceren destinationsadressen til backend-adressen og videresender den til backend, men den administrerer ingen forbindelsesinformation. DNAT-konfiguration reducerer belastningen på systemet, da den udføres i en tidlig datasti, idet den er den mest angivne NAT-tilstand for lag 4-protokoller med høj belastning og ikke forbindelsesorienterede eller strømorienterede protokoller, som den er i RTP- eller SYSLOG UDP-tilstand .

Logs. For at gemme de forbindelser, der er modtaget på gården, skal du aktivere Log kommando. Dette anbefales kun til fejlfinding eller overvågningsformål, fordi det vil bremse mængden af ​​trafik, der kan håndteres af belastningsbalanceren.

Tjenesteindstillinger

Tjenesten oprettet i L4-laget giver følgende konfigurationsmuligheder til styring af datastier og forbindelsesadfærd.

Planlægger for belastningsbalancering. Dette felt specificerer den belastningsbalanceringsalgoritme, der skal bruges til at bestemme backend-serveren. Som standard vil vægtalgoritmen være den standardvalgte algoritme.

• Vægt: Tilslutning lineær forsendelse efter vægt. Balancerer forbindelserne afhængigt af vægtværdien, der er blevet tildelt til hver backend. Forespørgslerne leveres ved hjælp af en probabilistisk algoritme ved hjælp af den definerede vægt.
• Source Hash: Hash per kilde IP og Source Port. Balancerer de pakker, der matcher den samme kilde-IP og port til den samme backend ved hjælp af en hash-planlægger.
• Simple Source Hash: Hash pr. Kilde IP kun. Balancerer de pakker, der matcher den samme kilde-IP til den samme backend ved hjælp af en hash-planlægger.
• Symmetrisk Hash: Round trip hash pr. IP og Port. Balancerer de pakker, der matcher den samme kilde-IP og port, og destinations-IP og port. Så det kan hash en forbindelse på begge måder (under indgående og udgående).
• Round Robin: Sekventiel backend-valg. Det balancerer hver indkommende forbindelse til en backend, og skifter sekventielt mellem backends.
• Mindste tilslutninger: Tilslutning altid til den minimale forbindelsesserver. Vælger backend med det mindste antal aktive forbindelser for at sikre, at trafikbelastningen af ​​de aktive anmodninger er afbalanceret med trafikbelastningen på den mest tilsluttede tilgængelige rigtige server.

Vedholdenhed

Vælg vedholdenhed. Dette felt bestemmer, om der er brug for persistens i den konfigurerede gård. Som standard anvendes ingen vedholdenhed.

• Ingen vedholdenhed. Farmen vil ikke bruge nogen persistens mellem klienten og backend.
• IP: Source IP. Med denne mulighed vil gården tildele den samme backend for hver indgående forbindelse afhængigt af kilden IP-adresse alene.
• Port: Kildeport. Med denne mulighed vil gården tildele den samme backend for hver indgående forbindelse afhængigt af kildeport alene.
• MAC: Source MAC. Med denne mulighed vil gården tildele den samme backend for hver indgående forbindelse afhængigt af link-laget Mac-adresse af pakken.
• Kilde IP og Source Port. Med denne mulighed vil gården tildele den samme backend for hver indgående forbindelse afhængigt af begge, kilde IP kildeport.
• Kilde IP og destinationsport. Med denne mulighed vil gården tildele den samme backend for hver indgående forbindelse afhængigt af begge, kilde IP Destinationshavn.

Farmguardian

L4xNAT-farme giver ingen indfødte sundhedstjek for backends. Så Farmguardian-konfigurationen er påkrævet i denne virtuelle tjeneste.

Indbyggede eller tilpassede avancerede sundhedstjek kan tildeles denne service fra enhver eksisterende farmguardian-kontrol.

For yderligere information om Farmguardian, gå til Overvågning >> Farmguardian sektion.

Bemærk, at efter at have valgt farmguardian, bliver den automatisk påført gården.

underliggende programmer

I dette afsnit vil du være i stand til at ændre konfigurationerne af backends eller tilføje nye til en given farm.

Opret backend. Denne knap viser formularen Tilføj backend, når der klikkes på den. Konfigurationerne er beregnet til at tilføje en ny backend til en given farm.

• Alias. Dette felt viser rullemenuen med alle tilgængelige backend-aliaser.
• IP. Network-Layer IP-adressen, der skal bruges, når trafik videresendes til backend.
• port. Porten, der skal bruges ved videresendelse af trafik til backend.
• Prioritet. Prioritetsværdien for den aktuelle rigtige server. Lavere værdier har højere prioritet. Standardværdien for serviceprioritet er 1. Når en backend fejler, øges serviceprioriteten med 1. Når backend'en går live igen, vil serviceprioritetsværdien blive reduceret med 1. Aktive backends indeholder prioritetsværdier mindre end eller lig med serviceprioritet.
• Maks. Conns. Antallet af forbindelser, der får tilladelse til at oprette forbindelse til backend. Hvis grænsen nås, vil de nye forbindelser blive kasseret.
• Vægt. Backend-vægten til trafikbalancering, når vægtalgoritmen er indstillet. Denne vægt bestemmer, hvor foretrukket backend er i forhold til andre backends. Dette felt tillader heltalsværdier højere end eller lig med 1 (laveste værdi).

Massehandlinger. Til højre for TILFØJE TILBAGE, vil du se følgende handlinger, som kunne udføres for en eller flere backends på samme tid.

handlinger: Dette er handlingerne til at konfigurere backends.

• Aktivér vedligeholdelse. Denne handling er tilgængelig, hvis backend er oppe. Det sætter en rigtig backend-server i vedligeholdelsestilstand. Derfor vil ingen nye forbindelser blive omdirigeret til den. Der er to metoder til at aktivere vedligeholdelsestilstanden:
  • Dræningstilstand. Bevarer de etablerede forbindelser og persistens, hvis aktiveret, men vil ikke tillade nye forbindelser.
  • Cut-tilstand. Direkte dråber alle aktive forbindelser mod bagenden, lukker enhver forbindelse mellem backend og klienter
• Redigere. Åbner redigeringsformularen, den samme som tilføjelsesformularen, for at ændre enhver backend-værdi.
• Deaktiver vedligeholdelse. Denne handling er kun tilgængelig, hvis backend er i vedligeholdelsestilstand. Det vil gøre det muligt at videresende nye forbindelser til backend-serveren igen.
• Slette. Fjern backend-serveren for den virtuelle tjeneste. Hvis backend har et alias, slettes aliaset ikke.

underliggende programmer. Denne tabel viser alle de backends, der allerede er konfigureret på farmen.

• Alias. Et backend-alias, hvis et alias tidligere er defineret for backend.
• IP. IP-adressen på den backend, hvor forbindelserne vil blive videresendt.
• port. Porten, hvor forbindelserne vil blive omdirigeret til i backend. Hvis en blank mellemrum eller en stjerne'*' er indstillet, vil forbindelser blive omdirigeret til den samme port, som blev modtaget.
• Prioritet. Prioritetsværdien for backend-serveren. Den accepterede værdi er et heltal højere eller lig med 1. En mindre værdi angiver højere prioritet til den aktuelle rigtige server. Som standard indstilles en prioritetsværdi på 1.
• Vægt. Vægtværdien for den aktuelle rigtige server. En højere værdi angiver flere forbindelser leveret til den aktuelle backend. Som standard indstilles en vægtværdi på 1.
• Maks. Conns. Denne værdi vil være det maksimale antal flows eller etablerede forbindelser til en bestemt backend. Hvis grænsen for klienter forbundet til en given backend nås, vil backend ikke acceptere mere trafik. Klienten vil genoprette forbindelse til en anden passende backend. Standardværdien er 0, hvilket betyder ubegrænset.

IPDS regler for L4xNAT gårde

Dette afsnit giver dig mulighed for at aktivere IPDS-regler. Listen viser forskellige typer beskyttelse og en markeringsboks for at aktivere dem. For yderligere information, besøg venligst IPDS >> Blacklists regler, IPDS >> DoS-regler, IPDS >> RBL-regler or IPDS >> WAF regler specifik dokumentation.

For hver af de fire typer IPDS-regler, Blacklist, DoS, WAF og RBL, er der to tabeller, Tilgængelige og aktiverede. Der er også et kædeikon. Under tabellen Tilgængelig vil du se, at alle de tilgængelige regler er af samme slags og kan anvendes på en given bedrift. Med hensyn til den aktiverede tabel vil du se, at reglerne, der anvendes på den valgte gård, er af samme type. Der er også et statussymbol for hver regel, som fortæller om reglen er stoppet (rød farve) farve eller om den kører (grøn farve).

Hver regel kan tilgås ved at klikke på redigeringsikonet, som giver dig mulighed for at ændre regelparametre eller endda starte/stoppe reglen. Du vil ikke være i stand til at oprette en ny regel i denne gårdvisning. Skift det gennem IPDS sektion.

Tilføj en regel ved at klikke på den ønskede regel efterfulgt af at klikke på den enkelte højre pil. Eller du kan vælge mere end én ved samtidig at taste Shift-tasten og vælge de regler, du vil tilføje. Du vil derefter klikke på den enkelte højre pil. Du kan også tilføje alle tilgængelige sortlister ved at klikke på højre dobbeltpil.

For at slette en eller flere regler skal du vælge dem og klikke på venstre pil eller klikke på dobbeltpilen for at fjerne alle.