LSLB | Gårde | Opdatering | L4xNAT Profil

SLAGT DEN 25. oktober 2021

Globale indstillinger for L4xNAT Farm Profile

L4xNAT-farmprofilen skaber LSLB-farme, der opererer på lag 4 med enestående ydeevne, og tilbyder flere samtidige forbindelser sammenlignet med load balancer-kerner på lag 7. Den forbedrede ydeevne på lag 4 opvejer de avancerede indholdshåndteringsegenskaber i en lag 7-farmprofil.

I modsætning til lag 7-farmprofiler, der kun understøtter porte 80 og 443, bruger L4xNAT-farmprofilen flere porte, inklusive portområder.

Dette afsnit giver en detaljeret forklaring af de nødvendige kommandoer til konfiguration af en L4xNAT-farmprofil. Vi anbefaler stærkt at bruge Farmguardian sammen med denne profil til at overvåge status for hver backend, der er konfigureret på farmen, da denne profil ikke indeholder nogen indbygget sundhedstjekfunktionalitet.

Vær opmærksom på Status indikator og handlinger sektion i øverste højre hjørne. De tilgængelige handlinger i dette afsnit giver dig mulighed for at udføre handlinger som f.eks Genstart, Starter eller Standsning gården.

Disse er Status farveindikatorer og deres betydning:

  • Grøn: Midler UP. Gården kører, og alle backends er OP, eller omdirigeringen er konfigureret.
  • Rød: Midler DOWN. Gården er stoppet.
  • Sort: Midler KRITISK. Farmen er OP, men der er ingen backend tilgængelig, eller alle backends er i vedligeholdelsestilstand.
  • Blå: Midler PROBLEM. Gården kører, men mindst en backend er nede.
  • Orange: Midler VEDLIGEHOLDELSE. Gården kører, men mindst en backend er i vedligeholdelsestilstand.

Disse farvekoder er de samme over hele den grafiske brugergrænseflade. Find en dybdegående forklaring om disse farvekoder i LSLB Farms Section.

Grundlæggende konfiguration

Dette er parametrene for L4xNAT-profilen.

Navn. Et mærke, der nemt identificerer en gårdtjeneste. For at ændre denne værdi skal du stoppe gården først. Sørg for, at det nye gårdnavn ikke allerede er i brug, ellers vises en fejlmeddelelse.

Virtual IP og Port. Disse angiver adressen og porten, som gården vil lytte til internt i apparatet. Hvis du ønsker at ændre disse felter, skal du sikre dig, at den nye virtuelle IP og virtuelle porte ikke i øjeblikket er i brug af en anden farm. Når du har foretaget ændringerne, skal du gemme dem, og gårdtjenesten genstarter automatisk.

For at vælge en enkelt port eller en række virtuelle porte i L4xNAT-farmprofilen, a Protokol type er obligatorisk. I tilfælde af at protokollen er indstillet til ALLE, vil farmen lytte på alle porte fra den virtuelle IP. Den virtuelle port vil ikke kunne redigeres og vil blive angivet med en stjerne (*).
Når TCP, UDP eller enhver anden protokol er valgt, skal du bruge den til at angive en port, flere porte eller portområder.

Avanceret konfiguration


Protokol Type. Dette felt viser alle de understøttede protokoller på belastningsbalanceren. Som standard bruger gården TCP protokol.

  • ALLE. Farmen vil lytte efter indgående forbindelser til den aktuelle virtuelle IP og port(e) over alle protokoller. Hvis du valgte denne mulighed, ændres den virtuelle port til standard "*", og du vil ikke redigere den. Så gården vil lytte gennem alle havne.
  • TCP. Aktivering af denne mulighed giver farmen mulighed for at lytte efter indgående TCP-forbindelser til den aktuelle virtuelle IP og port(e).
  • UDP. Aktivering af denne mulighed giver farmen mulighed for at lytte efter indgående UDP-forbindelser til den aktuelle virtuelle IP og port(e).
  • SCTP. Aktivering af denne mulighed giver farmen mulighed for at lytte efter indgående SCTP-forbindelser til den aktuelle virtuelle IP.
  • SIP. Aktivering af denne mulighed giver farmen mulighed for at lytte efter indgående UDP-pakker til den virtuelle IP og standardporten, 5060. Farmen vil derefter parse SIP-headerne for hver pakke, så de bliver korrekt distribueret til backends.
  • FTP. Aktivering af denne mulighed giver farmen mulighed for at lytte efter indgående TCP-forbindelser til den aktuelle virtuelle IP og standardporten, 21. Farmen vil derefter parse FTP-headerne for hver pakke for at blive korrekt distribueret til backends. To tilstande understøttes: den aktive og den passive tilstand.
  • TFTP. Aktivering af denne mulighed gør det muligt for farmen at lytte efter indgående UDP-pakker til den aktuelle virtuelle IP og standardporten, 69. Farmen vil derefter analysere TFTP-headerne for hver pakke for at blive korrekt distribueret til backends.
  • PPTP. Aktivering af denne mulighed giver farmen mulighed for at lytte efter indgående TCP-forbindelser til den aktuelle virtuelle IP og port. Farmen vil derefter parse PPTP-headerne for hver pakke for at blive korrekt distribueret til backends.
  • SNMP. Aktivering af denne mulighed giver farmen mulighed for at lytte efter indgående UDP-pakker til den aktuelle virtuelle IP og port. Farmen vil derefter parse SNMP-headerne for hver pakke for at blive korrekt distribueret til backends.

NAT Type. NAT Type-funktionaliteten i apparatet styrer alle lag 4-operationer. Valget af den passende mulighed for din infrastruktur vil afhænge af den specifikke netværksarkitektur, der er defineret i dit miljø.

  • NAT. NAT-tilstanden eller SNAT (kilde-NAT) bruger farmens virtuelle IP som kilde-IP-adresse til at oprette forbindelse til backend-serverne. Derfor bør backend-serverne ikke kende den originale kilde-IP-adresse på en webklient ved TCP, UDP eller nogen anden lag 4-protokol. På denne måde reagerer backend på load balanceren, så vil load balanceren reagere på klienten. Denne topologi tillader udrulning af en en-armet load balancer (belastningsbalancering med 1 netværksinterface).

    layer 4 kilde NAT lb topologi

  • DNAT. I DNAT-tilstand (Destination NAT) skal vi bruge klientens IP-adresse til at oprette forbindelse til en backend-server. Som følge heraf vil backend svare direkte på klientens IP. I dette tilfælde skal load balancer-IP'en konfigureres som backends standardgateway, der effektivt adskiller backend-netværket fra klientservicenetværket. Denne topologi etablerer gennemsigtighed mellem klienter og backends.

    layer 4 destination NAT lb topologi

  • DSR. I DSR-tilstand opretter klienten forbindelse til belastningsbalancerens virtuelle IP (VIP). Loadbalanceren ændrer derefter destinationens MAC-adresse ved at ændre den til en backend-server uden at ændre nogen IP-adresse. Alle backend-servere skal dog være på samme netværk som load balanceren. Når en backend-server modtager og behandler anmodningen, reagerer den direkte på klienten og omgår belastningsbalanceren.

Krav til DSR:

  1. VIP backends skal være i samme netværk
  2. Virtual Port og Backend Havne skal være den samme
  3. Man skal konfigurere backends loopback-grænseflader med det samme IP-adresse som VIP konfigureret i belastningsbalanceren og deaktiver ARP i denne grænseflade

Linux-backends

# ifconfig lo:0 192.168.0.99 netmask 255.255.255.255 -arp up

Deaktiverer ugyldige ARP-svar i backend.

# echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
# echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

Windows backends

  1. Starten->Indstillinger->kontrol panel->Netværk og opkaldsforbindelser.
  2. Højreklik på din netværksadapter og klik Ejendomme
  3. Kun Internet Protocol skal vælges (fjern valget af "Client for MS Networks" og "Fil and Printer Sharing")
  4. TCP/IP-egenskaber->indtast IP-adressen på VIP'en i ZEVENET ADC-farmen. Standardgatewayen er ikke påkrævet, og masken er 255.255.255.255
  5. Indstil Interface Metric til 254. Denne konfiguration er påkrævet for at stoppe med at svare på ethvert ARP-svar til VIP'en
  6. Presse OK og gem ændringerne.

Konfigurer først den stærke værtssikkerhedsmodel til at aktivere trafikmodtagelse fra ZEVENET ADC på NIC-grænsefladen. Tillad desuden ZEVENET ADC at sende og modtage trafik gennem standard NIC-grænsefladen. Åbn kommandoprompten som administrator og udfør de tre angivne kommandoer.

netsh interface ipv4 set interface NIC weakhostreceive=enabled
netsh interface ipv4 set interface loopback weakhostreceive=enabled
netsh interface ipv4 set interface loopback weakhostsend=enabled

Bemærk: Skift NIC og loopback til standardgrænsefladenavnene på din Windows-computer.

Stateless DNAT. Med Stateless DNAT ændrer load balanceren destinationsadressen til backend-adressen og sender den videre uden at holde styr på forbindelsesdetaljer. Denne tilgang reducerer byrden på systemet, da det implementeres tidligt i datastrømmen. Det er mest velegnet til lag 4-protokoller med tung trafik og til protokoller, der ikke er fokuseret på at vedligeholde forbindelser eller streams, som f.eks. RTP or SYSLOG UDP mode.

Logs. For at gemme detaljerne om de forbindelser, der er modtaget på gården, skal du aktivere Log kommando. Dette anbefales kun til fejlfinding eller overvågningsformål, fordi det vil bremse trafikken, der håndteres af belastningsbalanceren.

Tjenesteindstillinger

Tjenesten oprettet i L4-laget giver følgende konfigurationsmuligheder til styring af datastier og forbindelsesadfærd.

Planlægger for belastningsbalancering. Dette felt specificerer den belastningsbalanceringsalgoritme, der skal bruges til at bestemme backend-serveren. Som standard vil belastningsbalanceringsalgoritmen Vægt: Tilslutning lineær forsendelse efter vægt

  • Vægt: Tilslutning lineær forsendelse efter vægt. Balancerer forbindelserne afhængigt af vægtværdien, der er blevet tildelt til hver backend. Forespørgslerne leveres ved hjælp af en probabilistisk algoritme ved hjælp af den definerede vægt.
  • Source Hash: Hash per kilde IP og Source Port. Balancerer de pakker, der matcher den samme kilde-IP og port til den samme backend ved hjælp af en hash-planlægger.
  • Simple Source Hash: Hash pr. Kilde IP kun. Balancerer de pakker, der matcher den samme kilde-IP til den samme backend ved hjælp af en hash-planlægger.
  • Symmetrisk Hash: Round trip hash pr. IP og Port. Balancerer de pakker, der matcher den samme kilde-IP og port, og destinations-IP og port. Så det kan hash en forbindelse på begge måder (under indgående og udgående).
  • Round Robin: Sekventiel backend-valg. Det balancerer hver indkommende forbindelse til en backend, og skifter sekventielt mellem backends.
  • Mindste tilslutninger: Tilslutning altid til den minimale forbindelsesserver. Vælger backend med det mindste antal aktive forbindelser for at sikre, at trafikbelastningen af ​​de aktive anmodninger er afbalanceret med trafikbelastningen på den mest tilsluttede tilgængelige rigtige server.

Vedholdenhed

Vælg vedholdenhed. Dette felt bestemmer, at persistens skal bruges i den konfigurerede farm. Som standard, Ingen vedholdenhed anvendes.

  • Ingen vedholdenhed. Farmen vil ikke bruge nogen persistens mellem klienten og backend.
  • IP: Source IP. Med denne mulighed vil gården tildele den samme backend for hver indgående forbindelse afhængigt af kilden IP-adresse alene.
  • Port: Kildeport. Med denne mulighed vil gården tildele den samme backend for hver indgående forbindelse afhængigt af kildeport alene.
  • MAC: Source MAC. Med denne mulighed vil gården tildele den samme backend for hver indgående forbindelse afhængigt af link-laget Mac-adresse af pakken.
  • Kilde IP og Source Port. Med denne mulighed vil gården tildele den samme backend for hver indgående forbindelse afhængigt af begge, kilde IP kildeport.
  • Kilde IP og destinationsport. Med denne mulighed vil gården tildele den samme backend for hver indgående forbindelse afhængigt af begge, kilde IP Destinationshavn.

Farmguardian

L4xNAT-farme mangler indbyggede sundhedstjek for backends, hvilket gør det nødvendigt at konfigurere Farmguardian for denne virtuelle tjeneste.

Du kan tildele enten standard- eller personlige avancerede sundhedstjek til denne tjeneste fra enhver eksisterende farmguardian tjek.

For yderligere information om Farmguardian, gå til Overvågning >> Farmguardian sektion.

Bemærk, at efter at have valgt farmguardian, vil det automatisk blive anvendt på gården.

underliggende programmer

I dette afsnit vil du være i stand til at ændre konfigurationerne af backends eller tilføje nye til en given farm.

Opret backend. Denne knap vil vise Tilføj backend formular, når der klikkes. Konfigurationerne er beregnet til at tilføje en ny backend til en given farm.

  • Alias. Dette felt viser rullemenuen med alle tilgængelige backend-aliaser.
  • IP. Network-Layer IP-adressen, der skal bruges, når trafik videresendes til backend.
  • port. Porten, der skal bruges ved videresendelse af trafik til backend.
  • Prioritet. Prioritetsværdien for den aktuelle rigtige server. Lavere værdier har højere prioritet. Standardværdien for serviceprioritet er 1. Når en backend fejler, øges serviceprioriteten med 1. Når backend'en går live igen, vil serviceprioritetsværdien blive reduceret med 1. Aktive backends indeholder prioritetsværdier mindre end eller lig med serviceprioritet.
  • Maks. Conns. Antallet af forbindelser, der får tilladelse til at oprette forbindelse til backend. Hvis grænsen nås, vil de nye forbindelser blive kasseret.
  • Vægt. Backend-vægten til trafikbalancering, når vægtalgoritmen er indstillet. Denne vægt bestemmer, hvor foretrukket backend er i forhold til andre backends. Dette felt tillader heltalsværdier højere end eller lig med 1 (laveste værdi).

Massehandlinger. Til højre for TILFØJE TILBAGE, vil du se følgende handlinger, som kunne udføres for en eller flere backends på samme tid.

dropdown i bulkhandlinger
handlinger: Dette er handlingerne til at konfigurere backends.

  • Aktivér vedligeholdelse. Denne handling er tilgængelig, hvis backend er oppe. Det sætter en rigtig backend-server i vedligeholdelsestilstand. Derfor vil ingen nye forbindelser blive omdirigeret til den. Der er to metoder til at aktivere vedligeholdelsestilstanden:
    • Dræningstilstand. Bevarer de etablerede forbindelser og persistens, hvis aktiveret, men accepterer ikke nye forbindelser.
    • Cut-tilstand. Direkte dråber alle aktive forbindelser mod bagenden, lukker enhver forbindelse mellem backend og klienter
  • Redigere. Åbner redigeringsformularen, den samme som tilføjelsesformularen, for at ændre enhver backend-værdi.
  • Deaktiver vedligeholdelse. Denne handling er kun tilgængelig, hvis backend er i vedligeholdelsestilstand. Det vil gøre det muligt at videresende nye forbindelser til backend-serveren igen.
  • Slette. Fjern backend-serveren for den virtuelle tjeneste. Hvis backend har et alias, slettes aliaset ikke.

underliggende programmer. Denne tabel viser alle de backends, der allerede er konfigureret på farmen.

  • Alias. Et backend-alias, hvis et alias tidligere er defineret for backend.
  • IP. IP-adressen på den backend, hvor forbindelserne vil blive videresendt.
  • port. Porten, hvor forbindelserne vil blive omdirigeret til i backend. Hvis en blank mellemrum eller en stjerne'*' er indstillet, vil forbindelser blive omdirigeret til den samme port, som blev modtaget.
  • Prioritet. Prioritetsværdien for backend-serveren. Den accepterede værdi er et heltal højere eller lig med 1. En mindre værdi angiver højere prioritet til den aktuelle rigtige server. Som standard indstilles en prioritetsværdi på 1.
  • Vægt. Vægtværdien for den aktuelle rigtige server. En højere værdi angiver flere forbindelser leveret til den aktuelle backend. Som standard indstilles en vægtværdi på 1.
  • Maks. Conns. Denne værdi vil være det maksimale antal flows eller etablerede forbindelser til en bestemt backend. Hvis grænsen for klienter forbundet til en given backend nås, vil backend ikke acceptere mere trafik. Klienten vil genoprette forbindelse til en anden passende backend. Standardværdien er 0, hvilket betyder ubegrænset.

IPDS regler for L4xNAT gårde

Dette afsnit giver dig mulighed for at aktivere IPDS-regler. Listen viser forskellige typer beskyttelse og en markeringsboks for at aktivere dem. For yderligere information, besøg venligst IPDS >> Blacklists regler, IPDS >> DoS-regler, IPDS >> RBL-regler or IPDS >> WAF regler specifik dokumentation.

zevenet ipds visning

For hver af de fire typer IPDS-regler, Blacklist, DoS, WAF og RBL, er der to tabeller, Tilgængelige og aktiverede. Der er også et kædeikon. Under tabellen Tilgængelig vil du se, at alle de tilgængelige regler er af samme slags og kan anvendes på en given bedrift. Med hensyn til den aktiverede tabel vil du se, at reglerne, der anvendes på den valgte gård, er af samme type. Der er også et statussymbol for hver regel, som fortæller om reglen er stoppet (rød farve) farve eller om den kører (grøn farve).

Hver regel kan tilgås ved at klikke på redigeringsikonet, som giver dig mulighed for at ændre regelparametre eller endda starte/stoppe reglen. Du vil ikke være i stand til at oprette en ny regel i denne gårdvisning. Skift det gennem IPDS sektion.

Tilføj en regel ved at klikke på den ønskede regel efterfulgt af at klikke på den enkelte højre pil. Eller du kan vælge mere end én ved samtidig at taste Shift-tasten og vælge de regler, du vil tilføje. Du vil derefter klikke på den enkelte højre pil. Du kan også tilføje alle tilgængelige sortlister ved at klikke på højre dobbeltpil.

For at slette en eller flere regler skal du vælge dem og klikke på venstre pil eller klikke på dobbeltpilen for at fjerne alle.

Del på:

Dokumentation i henhold til GNU Free Documentation License.

Var denne artikel til hjælp?

Relaterede artikler