Глобальные настройки для профиля фермы L4xNAT #

Профиль фермы L4xNAT создает фермы LSLB уровня 4 с исключительной производительностью, поддерживая больше одновременных подключений по сравнению с ядрами балансировщика нагрузки уровня 7. Эта повышенная производительность на уровне 4 контрастирует с расширенными возможностями обработки контента профилей фермы уровня 7.

В отличие от профилей фермы уровня 7, которые обычно поддерживают только порты 80 и 443, профиль фермы L4xNAT может использовать несколько портов, включая диапазоны портов.

В этом разделе представлены подробные инструкции по настройке профиля фермы L4xNAT, в которых особое внимание уделяется использованию Farmguardian для внутреннего мониторинга, поскольку в этом профиле отсутствуют встроенные функции проверки работоспособности.

Обратите внимание на Статус индикатор и Действия раздел в правом верхнем углу. Действия доступные в этом разделе позволяют выполнять такие операции, как Перезапуск, Начало или Остановка ферма.

Это Статус цветовые индикаторы и их значения:

Зелёная: Средства UP, Ферма работает, и все бэкэнды включены или перенаправление настроено.
Red: Средства DOWN. Ферма остановилась.
Цвет - Черный.: Средства КРИТИЧЕСКОЕ. Ферма работает, но серверная часть недоступна или все серверные части находятся в режиме обслуживания.
Blue: Средства ПРОБЛЕМА, Ферма работает, но по крайней мере один сервер не работает.
Апельсин: Средства ОБСЛУЖИВАНИЕ, Ферма работает, но по крайней мере один сервер находится в режиме обслуживания.

Эти цветовые коды одинаковы для всего графического пользовательского интерфейса. Найдите подробное объяснение этих цветовых кодов в LSLB Фермы Секция.

Основная конфигурация #

Это параметры для профиля L4xNAT.

Имя. Метка, которая легко идентифицирует службу фермы. Чтобы изменить это значение, необходимо сначала остановить ферму. Убедитесь, что новое имя фермы еще не используется, иначе появится сообщение об ошибке.

Виртуальный IP и порт. Они определяют адрес и порт, на которых ферма будет прослушивать внутренние сообщения внутри устройства. Если вы хотите изменить эти поля, убедитесь, что новый виртуальный IP-адрес и виртуальные порты в настоящее время не используются другой фермой. После внесения изменений сохраните их, и служба фермы автоматически перезапустится.

Чтобы выбрать один порт или диапазон виртуальных портов в профиле фермы L4xNAT, Тип протокола является обязательным. Если установлен протокол BCE, ферма будет прослушивать все порты с виртуального IP. Виртуальный порт будет недоступен для редактирования и будет отмечен звездочкой. (*).

После выбора протокола TCP, UDP или любого другого используйте его для указания порта, списка портов (разделенных запятыми, например, '20,21,22') или диапазонов портов (разделенных двоеточием, например, '80:89').

Расширенная конфигурация #

Тип протокола #

В этом поле перечислены все поддерживаемые протоколы балансировщика нагрузки. По умолчанию ферма использует TCP протокол.

BCE. Ферма будет прослушивать входящие подключения к текущему виртуальному IP-адресу и порту(ам) по всем протоколам. Если вы выбрали эту опцию, виртуальный порт изменится на порт по умолчанию.*«, и вы не будете его редактировать. Итак, ферма будет прослушивать все порты.
TCP. Включение этого параметра позволяет ферме прослушивать входящие TCP-подключения к текущим виртуальным IP-адресам и портам.
UDP. Включение этого параметра позволяет ферме прослушивать входящие подключения UDP к текущему виртуальному IP-адресу и портам.
SCTP. Включение этого параметра позволяет ферме прослушивать входящие соединения SCTP с текущим виртуальным IP-адресом.
SIP. Включение этого параметра позволяет ферме прослушивать входящие пакеты UDP на виртуальный IP-адрес и порт по умолчанию 5060. Затем ферма будет анализировать заголовки SIP каждого пакета для правильного распределения на серверные части.
Ftp. Включение этого параметра позволяет ферме прослушивать входящие TCP-подключения к текущему виртуальному IP-адресу и порту по умолчанию 21. Затем ферма будет анализировать заголовки FTP каждого пакета для правильного распределения на серверные части. Поддерживаются два режима: активный и пассивный.
TFTP. Включение этого параметра позволяет ферме прослушивать входящие пакеты UDP с текущим виртуальным IP-адресом и портом по умолчанию 69. Затем ферма будет анализировать заголовки TFTP каждого пакета для правильного распределения на серверные части.
PPTP. Включение этого параметра позволяет ферме прослушивать входящие TCP-подключения к текущему виртуальному IP-адресу и порту. Затем ферма будет анализировать заголовки PPTP каждого пакета для правильного распределения на серверные части.
SNMP. Включение этого параметра позволяет ферме прослушивать входящие пакеты UDP на текущий виртуальный IP-адрес и порт. Затем ферма будет анализировать заголовки SNMP каждого пакета для правильного распределения на серверные части.

Тип NAT #

Функциональность типа NAT в устройстве управляет всеми операциями уровня 4. Выбор подходящего варианта для вашей инфраструктуры будет зависеть от конкретной сетевой архитектуры, определенной в вашей среде.

sNAT / режим NAT по умолчанию #

Режим NAT или SNAT (исходный NAT) использует виртуальный IP-адрес фермы в качестве исходного IP-адреса для подключения к внутренним серверам. Таким образом, внутренние серверы не должны знать исходный IP-адрес источника веб-клиента по TCP, UDP или любому другому протоколу уровня 4. Таким образом, серверная часть отвечает балансировщику нагрузки, а затем балансировщик нагрузки отвечает клиенту. Эта топология позволяет развернуть однорукий балансировщик нагрузки (балансировка нагрузки с помощью 1 сетевого интерфейса).

режим дНАТ #

В режиме DNAT (Destination NAT) мы будем использовать IP-адрес клиента для подключения к внутреннему серверу. В результате серверная часть будет напрямую отвечать на IP-адрес клиента. В этом случае IP-адрес балансировщика нагрузки должен быть настроен как шлюз по умолчанию для серверной части, эффективно отделяя внутреннюю сеть от сети обслуживания клиентов. Эта топология обеспечивает прозрачность между клиентами и серверами.

режим DSR #

В режиме DSR клиент подключается к виртуальному IP-адресу (VIP) балансировщика нагрузки. Затем балансировщик нагрузки изменяет MAC-адрес назначения, изменяя его на адрес внутреннего сервера без изменения какого-либо IP-адреса. Однако все внутренние серверы должны находиться в той же сети, что и балансировщик нагрузки. Когда внутренний сервер получает и обрабатывает запрос, он напрямую отвечает клиенту, минуя балансировщик нагрузки.

Требования к DSR:

1. VIP и бэкэнды должен быть в одной сети
2. Виртуальный порт и серверная часть Порты должно быть таким же
3. Необходимо настроить бэкэнд-интерфейсы обратной связи с теми же IP-адрес как VIP настроить в балансировщике нагрузки и отключить ARP в этом интерфейсе.

Бэкэнды Linux

root:~# ifconfig lo:0 192.168.0.99 netmask 255.255.255.255 -arp up

Отключение недопустимых ответов ARP в бэкэнде.

root:~# echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
root:~# echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

Серверные части Windows

1. Начать > Настройки > Панель управления > Сетевые и модемные соединения.
2. Щелкните правой кнопкой мыши сетевой адаптер и выберите Основные свойства
3. Только приблизительно Межсетевой протокол необходимо выбрать (уберите выбор «Клиент для сетей MS» и «Общий доступ к файлам и принтерам»)
4. Свойства TCP/IP > Введите IP-адрес VIP-персоны в RELIANOID Ферма АЦП. Шлюз по умолчанию не требуется, маска — 255.255.255.255.
5. Установите метрику интерфейса на 254. Эта конфигурация необходима, чтобы прекратить отвечать на любой ответ ARP на VIP.
6. Press OK и сохраните изменения.

Сначала настройте надежную модель безопасности хоста, чтобы разрешить прием трафика от RELIANOID АЦП на интерфейсе сетевой карты. Кроме того, разрешите RELIANOID ADC для отправки и получения трафика через интерфейс NIC по умолчанию. Откройте командную строку от имени администратора и выполните три предоставленные команды.

netsh interface ipv4 set interface NIC weakhostreceive=enabled
netsh interface ipv4 set interface loopback weakhostreceive=enabled
netsh interface ipv4 set interface loopback weakhostsend=enabled

Примечание: Измените NIC и loopback на имена интерфейсов по умолчанию вашего компьютера с Windows.

Режим dNAT без сохранения состояния #

При использовании Stateless DNAT балансировщик нагрузки изменяет адрес назначения на внутренний адрес и передает его дальше, не отслеживая какие-либо детали соединения. Этот подход снижает нагрузку на систему, поскольку он реализуется на ранних этапах потока данных. Он наиболее подходит для протоколов уровня 4 с интенсивным трафиком и для протоколов, которые не ориентированы на поддержание соединений или потоков, например RTP or СИСЛОГ UDP Режим.

Журналы. Чтобы сохранить сведения о соединениях, полученных на ферме, включите параметр Журнал команда. Это рекомендуется только для целей отладки или мониторинга, поскольку это замедлит трафик, обрабатываемый балансировщиком нагрузки.

Настройки сервиса #

Служба, созданная на уровне L4, предоставляет следующие параметры конфигурации для управления путями данных и поведением соединения.

Планировщик балансировки нагрузки #

В этом поле указывается алгоритм балансировки нагрузки, который будет использоваться для определения внутреннего сервера. По умолчанию алгоритм балансировки нагрузки будет Вес: соединение линейной диспетчеризации по весу

Вес: соединение линейной диспетчеризации по весу. Балансирует соединения в зависимости от значения веса, присвоенного каждому бэкенду. Запросы доставляются с использованием вероятностного алгоритма с использованием определенного веса.
Source Hash: хэш для исходного IP и исходного порта. Балансирует пакеты, которые соответствуют одному и тому же исходному IP-адресу и порту, к одному и тому же бэкэнду, используя планировщик хэшей.
Простой исходный хеш: хэш только для исходного IP. Балансирует пакеты, соответствующие одному и тому же исходному IP-адресу, одному и тому же бэкэнду, используя планировщик хэшей.
Симметричное хеширование: хэш в оба конца по IP и порту. Балансирует пакеты, которые соответствуют одному и тому же исходному IP-адресу и порту, а также целевому IP-адресу и порту. Таким образом, он может хэшировать соединение в обоих направлениях (во время входящего и исходящего трафика).
Round Robin: последовательный выбор бэкэнда. Он балансирует каждое входящее соединение с бэкендом, последовательно переключаясь между бэкэндами.
Наименьшие соединения: подключение всегда к наименьшему серверу соединений. Выбирает серверную часть с наименьшим количеством активных подключений, чтобы гарантировать, что нагрузка трафика активных запросов сбалансирована с нагрузкой трафика наиболее подключенного доступного реального сервера.

Настойчивость #

Это поле определяет, что постоянство будет использоваться в настроенной ферме. По умолчанию, Нет настойчивости используется.

Нет настойчивости. Ферма не будет использовать постоянство между клиентом и серверной частью.
IP: исходный IP. С этой опцией ферма будет назначать один и тот же сервер для каждого входящего соединения в зависимости от источника. IP-адрес только.
Порт: Исходный порт. При использовании этого параметра ферма будет назначать один и тот же сервер для каждого входящего соединения в зависимости от исходный порт только.
MAC: источник MAC. С этой опцией ферма будет назначать один и тот же сервер для каждого входящего соединения в зависимости от уровня связи. MAC-адрес пакета.
Исходный IP и исходный порт. С этой опцией ферма будет назначать один и тот же сервер для каждого входящего соединения в зависимости от обоих, исходный IP и исходный порт.
IP-адрес источника и порт назначения. С этой опцией ферма будет назначать один и тот же сервер для каждого входящего соединения в зависимости от обоих, исходный IP и порт назначения.

Farmguardian #

В фермах L4xNAT отсутствуют встроенные проверки работоспособности для серверных частей, что требует настройки Farmguardian для этого виртуального сервиса.

Вы можете назначить этой службе либо стандартные, либо персонализированные расширенные проверки работоспособности из любого существующего farmguardian проверить.

Для получения дополнительной информации о Farmguardian перейдите на Мониторинг> Farmguardian .

Обратите внимание, что после выбора farmguardian, он будет автоматически применен к ферме.

Backends #

В этом разделе вы сможете изменить конфигурации серверных частей или добавить новые в данную ферму.

Создать серверную часть. Эта кнопка покажет Добавить серверную часть форма при нажатии. Конфигурации предназначены для добавления нового бэкэнда в данную ферму.

• кличка, В этом поле отображается раскрывающийся список со всеми доступными псевдонимами бэкэнда.
• IP. IP-адрес сетевого уровня, который будет использоваться при переадресации трафика на серверную часть.
• порт. Порт, который будет использоваться при пересылке трафика на серверную часть.
• приоритет. Значение приоритета для текущего реального сервера. Более низкие значения имеют более высокий приоритет. Значение приоритета службы по умолчанию равно 1. В случае сбоя серверной части приоритет службы будет увеличен на 1. Когда серверная часть снова заработает, значение приоритета службы будет уменьшено на 1. Активные серверные части имеют значения приоритета, меньшие или равные приоритет обслуживания.
• Максимум. Conns. Количество подключений, которым будет разрешено подключаться к серверной части. Если предел достигнут, новые соединения будут отброшены.
• Вес. Вес серверной части для балансировки трафика при заданном алгоритме веса. Этот вес определяет, насколько бэкэнд предпочтительнее других бэкендов. В этом поле допустимы целые значения выше или равные 1 (наименьшее значение).

Массовые действия. На правой стороне Создать серверную часть, вы увидите следующие действия, которые можно выполнять для одного или нескольких бэкэндов одновременно.

Действия: это действия по настройке бэкэндов.

• Включить техобслуживание. Это действие доступно, если бэкэнд работает. Он переводит реальный внутренний сервер в режим обслуживания. Поэтому на него не будут перенаправляться никакие новые соединения. Существует два способа включения режима обслуживания:
  • Режим слива. Сохраняет установленные соединения и постоянство, если включено, но не принимает новые соединения.
  • Режим обрезки, Непосредственно отбрасывает все активные соединения с бэкэндом, закрывая все соединения между бэкэндом и клиентами
• Редактировать. Открывает форму редактирования, аналогичную форме добавления, для изменения любого внутреннего значения.
• Отключить обслуживание. Это действие доступно, только если серверная часть находится в режиме обслуживания. Это позволит снова перенаправлять новые соединения на внутренний сервер.
• Удалить. Удалите внутренний сервер виртуальной службы. Если у серверной части есть псевдоним, псевдоним не будет удален.

Backends. В этой таблице показаны все серверные части, уже настроенные на ферме.

• кличка. Псевдоним серверной части, если один псевдоним был ранее определен для серверной части.
• IP. IP-адрес серверной части, на которую будут перенаправляться соединения.
• порт. Порт, на который соединения будут перенаправлены на серверной части. Если пустой пробел или звездочка'*' установлен, соединения будут перенаправлены на тот же порт, который был получен.
• приоритет. Значение приоритета для внутреннего сервера. Допустимое значение — целое число, большее или равное 1. Меньшее значение указывает на более высокий приоритет для текущего реального сервера. По умолчанию будет установлено значение приоритета 1.
• Вес. Значение веса для текущего реального сервера. Более высокое значение указывает на то, что к текущему бэкэнду доставлено больше подключений. По умолчанию будет установлено значение веса 1.
• Максимум. Conns. Это значение будет максимальным количеством потоков или установленных подключений к определенному бэкенду. Если достигнут лимит клиентов, подключенных к данному бэкэнду, бэкэнд не будет принимать больше трафика. Клиент повторно подключится к другому подходящему бэкенду. Значение по умолчанию равно 0, что означает неограниченное количество.

Правила IPDS для ферм L4xNAT #

Этот раздел позволяет включить правила IPDS. В списке отображаются различные типы защиты с флажком для их включения. Для получения дополнительной информации обратитесь к специальной документации по IPDS > Правила черных списков, IPDS > Правила DoS, IPDS > Правила RBL or IPDS > Правила WAF конкретная документация.

Для каждого из четырех типов правил IPDS — Blacklist, DoS, WAF и RBL — существует два списка: Доступны и Включено. Значок цепочки также присутствует. в Доступны В списке вы увидите все правила одного типа, которые можно применить к данной ферме. в Включено В списке вы увидите правила того же типа, которые в данный момент применяются к выбранной ферме. Каждое правило имеет символ статуса, указывающий, является ли правило остановился (красный) or бег (зеленый).

Чтобы изменить правило, щелкните значок редактирования, который позволит вам изменить параметры правила или запустить/остановить правило. Обратите внимание, что вы не можете создать новое правило в этом представлении фермы; вы должны сделать это через IPDS .

Чтобы добавить правило, щелкните нужное правило, а затем щелкните одинарную стрелку вправо. Кроме того, вы можете выбрать несколько правил, удерживая клавишу Shift при выборе правил, которые вы хотите добавить, а затем щелкнув одну стрелку вправо. Чтобы добавить все доступные черные списки, щелкните двойную стрелку вправо.

Чтобы удалить одно или несколько правил, выберите их и щелкните стрелку влево или щелкните двойную стрелку, чтобы удалить все.