LSLB | Farmen | Update | L4xNAT-Profil

  • Blog
  • LSLB | Farmen | Update | L4xNAT-Profil

Knowledge Base

Erfahrung mit Site-Zuverlässigkeit

Kategorien anzeigen

LSLB | Farmen | Update | L4xNAT-Profil

12 min gelesen

Inhaltsverzeichnis

Globale Einstellungen für das L4xNAT-Farmprofil #

Das L4xNAT-Farmprofil erstellt Layer-4-LSLB-Farmen mit außergewöhnlicher Leistung und unterstützt mehr gleichzeitige Verbindungen als Layer-7-Load-Balancer-Kerne. Diese verbesserte Leistung auf Layer 4 steht im Gegensatz zu den erweiterten Inhaltsverarbeitungsfunktionen von Layer-7-Farmprofilen.

Im Gegensatz zu Farmprofilen der Schicht 7, die normalerweise nur die Ports 80 und 443 unterstützen, kann das L4xNAT-Farmprofil mehrere Ports verwenden, einschließlich Portbereiche.

Dieser Abschnitt enthält detaillierte Anweisungen zum Konfigurieren eines L4xNAT-Farmprofils und betont die Verwendung von Farmguardian zur Backend-Überwachung, da diesem Profil eine integrierte Integritätsprüfungsfunktion fehlt.

Achten Sie auf die Status Anzeige und die Aktion Abschnitt in der oberen rechten Ecke. Der Aktion Mit den in diesem Abschnitt verfügbaren Funktionen können Sie beispielsweise Neustart, Schon abden Einstellung der Bauernhof.

Relianoid V8 Load Balancer Farm-Statusaktionen

Dies sind die Status Farbindikatoren und ihre Bedeutung:

Grün: Bedeutet UP. Die Farm läuft und alle Backends sind aktiv oder die Umleitung ist konfiguriert.
Rot: Bedeutet AB. Der Betrieb wurde eingestellt.
Schwarz: Bedeutet KRITISCH. Die Farm ist aktiv, aber es ist kein Backend verfügbar oder alle Backends befinden sich im Wartungsmodus.
Blau: Bedeutet AUFGABENSTELLUNG. Die Farm läuft, aber mindestens ein Backend ist ausgefallen.
Orange: Bedeutet WARTUNG. Die Farm läuft, aber mindestens ein Backend befindet sich im Wartungsmodus.

Diese Farbcodes sind auf der gesamten grafischen Benutzeroberfläche gleich. Eine ausführliche Erklärung zu diesen Farbcodes finden Sie im LSLB-Farmbereich.

Grundlegende Konfiguration #

Dies sind die Parameter für das L4xNAT-Profil.

Name. Eine Bezeichnung, die einen Farmdienst leicht identifiziert. Um diesen Wert zu ändern, müssen Sie zuerst die Farm stoppen. Stellen Sie sicher, dass der neue Farmname nicht bereits verwendet wird, da sonst eine Fehlermeldung angezeigt wird.

Virtuelle IP und Port. Diese geben die Adresse und den Port an, auf denen die Farm intern innerhalb der Appliance lauscht. Wenn Sie diese Felder ändern möchten, stellen Sie sicher, dass die neue virtuelle IP und die neuen virtuellen Ports derzeit nicht von einer anderen Farm verwendet werden. Nachdem Sie die Änderungen vorgenommen haben, speichern Sie sie und der Farmdienst wird automatisch neu gestartet.

Um einen einzelnen Port oder einen Bereich virtueller Ports im L4xNAT-Farmprofil auszuwählen, Protokolltyp ist obligatorisch. Falls das Protokoll auf ALLER, wird die Farm alle Ports der virtuellen IP abhören. Der virtuelle Port ist nicht editierbar und wird mit einem Asterisk markiert (*).

Sobald TCP, UDP oder ein anderes Protokoll ausgewählt ist, verwenden Sie es, um einen Port, mehrere Ports oder Portbereiche anzugeben.

Erweiterte Konfiguration #

Relianoid V8 Lastenausgleich LSLB L4nat erweitert

Protokolltyp #

In diesem Feld sind alle unterstützten Protokolle des Load Balancers aufgeführt. Standardmäßig verwendet die Farm das TCP Protokoll.

ALLER. Die Farm wartet auf eingehende Verbindungen zur aktuellen virtuellen IP und den Ports über alle Protokolle. Wenn Sie diese Option ausgewählt haben, ändert sich der virtuelle Port auf den Standardwert „*“, und Sie können es nicht bearbeiten. Die Farm wird also über alle Ports lauschen.
TCP. Durch Aktivieren dieser Option kann die Farm auf eingehende TCP-Verbindungen zur aktuellen virtuellen IP und den aktuellen Ports warten.
UDP. Durch Aktivieren dieser Option kann die Farm auf eingehende UDP-Verbindungen zur aktuellen virtuellen IP und den aktuellen virtuellen Ports warten.
SCTP. Durch Aktivieren dieser Option kann die Farm auf eingehende SCTP-Verbindungen zur aktuellen virtuellen IP warten.
SIP. Durch Aktivieren dieser Option kann die Farm auf eingehende UDP-Pakete an die virtuelle IP und den Standardport 5060 warten. Die Farm analysiert dann die SIP-Header jedes Pakets, um eine korrekte Verteilung an die Backends zu gewährleisten.
fTP. Durch Aktivieren dieser Option kann die Farm auf eingehende TCP-Verbindungen zur aktuellen virtuellen IP und zum Standardport 21 warten. Die Farm analysiert dann die FTP-Header jedes Pakets, um eine korrekte Verteilung an die Backends zu gewährleisten. Es werden zwei Modi unterstützt: der aktive und der passive Modus.
TFTP. Durch Aktivieren dieser Option kann die Farm auf eingehende UDP-Pakete an die aktuelle virtuelle IP und den Standardport 69 warten. Die Farm analysiert dann die TFTP-Header jedes Pakets, um eine korrekte Verteilung an die Backends zu gewährleisten.
PPTP. Durch Aktivieren dieser Option kann die Farm auf eingehende TCP-Verbindungen zur aktuellen virtuellen IP und zum aktuellen Port warten. Die Farm analysiert dann die PPTP-Header jedes Pakets, um eine korrekte Verteilung an die Backends zu gewährleisten.
SNMP. Durch Aktivieren dieser Option kann die Farm auf eingehende UDP-Pakete an die aktuelle virtuelle IP-Adresse und den aktuellen Port warten. Die Farm analysiert dann die SNMP-Header jedes Pakets, um eine korrekte Verteilung an die Backends zu gewährleisten.

NAT-Typ #

Die NAT-Typ-Funktionalität innerhalb der Appliance steuert alle Layer-4-Vorgänge. Die Auswahl der geeigneten Option für Ihre Infrastruktur hängt von der spezifischen Netzwerkarchitektur ab, die in Ihrer Umgebung definiert ist.

sNAT / Standard-NAT-Modus #

Der NAT-Modus oder SNAT (Source NAT) verwendet die virtuelle IP der Farm als Quell-IP-Adresse, um eine Verbindung mit den Backend-Servern herzustellen. Daher sollten die Backend-Server die ursprüngliche Quell-IP-Adresse eines Webclients bei TCP, UDP oder einem anderen Layer-4-Protokoll nicht kennen. Auf diese Weise antwortet das Backend dem Load Balancer, und dieser antwortet dann dem Client. Diese Topologie ermöglicht die Bereitstellung eines einarmigen Load Balancers (Lastausgleich mit 1 Netzwerkschnittstelle).

Relianoid V8 Load Balancer L4XNAT Snat-Modus

dNAT-Modus #

Im DNAT-Modus (Destination NAT) verwenden wir die Client-IP-Adresse, um eine Verbindung mit einem Backend-Server herzustellen. Dadurch antwortet das Backend direkt auf die Client-IP. In diesem Fall sollte die Load Balancer-IP als Standard-Gateway des Backends konfiguriert werden, um das Backend-Netzwerk effektiv vom Client-Service-Netzwerk zu trennen. Diese Topologie stellt Transparenz zwischen Clients und Backends her.

Relianoid V8 Load Balancer L4XNAT DNAT-Modus

DSR-Modus #

Im DSR-Modus stellt der Client eine Verbindung zur virtuellen IP (VIP) des Lastenausgleichs her. Der Lastenausgleich ändert dann die Ziel-MAC-Adresse, indem er sie in die eines Backend-Servers ändert, ohne die IP-Adresse zu ändern. Alle Backend-Server müssen sich jedoch im selben Netzwerk wie der Lastenausgleich befinden. Wenn ein Backend-Server die Anforderung empfängt und verarbeitet, antwortet er direkt an den Client und umgeht den Lastenausgleich.

Relianoid V8 Load Balancer L4XNAT DSR-Modus

Anforderungen für DSR:

1. Die VIP und Backends müssen sich im selben Netzwerk befinden
2. Die Virtueller Port und das Backend Ports muss das Selbe sein
3. Man muss die Backend-Loopback-Schnittstellen mit dem gleichen IP-Adresse wie die VIP im Load Balancer konfiguriert und deaktivieren ARP in dieser Schnittstelle.

Linux-Backends

root:~# ifconfig lo:0 192.168.0.99 netmask 255.255.255.255 -arp up

Deaktivieren ungültiger ARP-Antworten im Backend.

root:~# echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
root:~# echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

Windows-Backends

1. Start > Einstellungen > Systemsteuerung > Netzwerk- und DFÜ-Verbindungen.
2. Klicken Sie mit der rechten Maustaste auf Ihren Netzwerkadapter und klicken Sie auf Immobilien
3. Nur Internet-Protokoll muss ausgewählt werden (Auswahl von „Client für MS-Netzwerke“ und „Datei- und Druckerfreigabe“ entfernen)
4. TCP/IP-Eigenschaften > Geben Sie die IP-Adresse ein des VIPs in RELIANOID ADC-Farm. Das Standard-Gateway ist nicht erforderlich und die Maske lautet 255.255.255.255
5. Stellen Sie die Schnittstellenmetrik auf 254 ein. Diese Konfiguration ist erforderlich, um zu verhindern, dass ARP-Antworten an den VIP gesendet werden.
6. Presse OK und speichern Sie die Änderungen.

Konfigurieren Sie zunächst das starke Host-Sicherheitsmodell, um den Datenverkehr von RELIANOID ADC auf der NIC-Schnittstelle. Erlauben Sie außerdem RELIANOID ADC zum Senden und Empfangen von Datenverkehr über die Standard-NIC-Schnittstelle. Öffnen Sie die Eingabeaufforderung als Administrator und führen Sie die drei bereitgestellten Befehle aus.

netsh interface ipv4 set interface NIC weakhostreceive=enabled
netsh interface ipv4 set interface loopback weakhostreceive=enabled
netsh interface ipv4 set interface loopback weakhostsend=enabled

Hinweis: Ändern Sie die Netzwerkkarte und den Loopback in die Standardschnittstellennamen Ihres Windows-Computers.

Zustandsloser dNAT-Modus #

Bei Stateless DNAT ändert der Load Balancer die Zieladresse in die Backend-Adresse und leitet sie weiter, ohne Verbindungsdetails zu verfolgen. Dieser Ansatz reduziert die Belastung des Systems, da er früh im Datenfluss implementiert wird. Er eignet sich am besten für Layer-4-Protokolle mit hohem Datenverkehr und für Protokolle, die nicht auf die Aufrechterhaltung von Verbindungen oder Streams ausgerichtet sind, wie RTP or SYSLOG UDP Modus arbeiten können.

Logs. Um die Details zu den auf der Farm empfangenen Verbindungen zu speichern, aktivieren Sie die Log Befehl. Dies wird nur zu Debugging- oder Überwachungszwecken empfohlen, da es den vom Load Balancer verarbeiteten Datenverkehr verlangsamt.

Serviceeinstellungen #

Der in der L4-Schicht erstellte Dienst bietet die folgenden Konfigurationsoptionen zum Verwalten der Datenpfade und Verbindungsverhalten.
Relianoid V8 Lastenausgleich L4XNAT-Scheduler

Lastenausgleichsplaner #

Dieses Feld gibt den Lastausgleichsalgorithmus an, der zur Bestimmung des Backend-Servers verwendet werden soll. Standardmäßig wird der Lastausgleichsalgorithmus Gewicht: Verbindung linearer Versand nach Gewicht

Gewicht: Verbindung linearer Versand nach Gewicht. Gleicht die Verbindungen je nach dem Gewichtungswert aus, der jedem Backend zugewiesen wurde. Die Anfragen werden mithilfe eines Wahrscheinlichkeitsalgorithmus unter Verwendung der definierten Gewichtung übermittelt.
Quell-Hash: Hash pro Quell-IP und Quell-Port. Verteilt die Pakete, die mit derselben Quell-IP und demselben Port übereinstimmen, mithilfe eines Hash-Schedulers auf dasselbe Backend.
Einfacher Quell-Hash: Nur Hash pro Quell-IP. Verteilt die Pakete, die mit derselben Quell-IP übereinstimmen, mithilfe eines Hash-Schedulers auf dasselbe Backend.
Symmetrischer Hash: Roundtrip-Hash pro IP und Port. Gleicht die Pakete aus, die mit derselben Quell-IP und demselben Quell-Port sowie derselben Ziel-IP und demselben Ziel-Port übereinstimmen. So kann eine Verbindung in beide Richtungen gehasht werden (beim Eingehen und beim Ausgehen).
Round Robin: Sequentielle Backend-Auswahl. Es gleicht jede eingehende Verbindung zu einem Backend aus und wechselt sequenziell zwischen den Backends.
Least Connections: Verbindung immer zum Server mit der geringsten Verbindung. Wählt das Backend mit der geringsten Anzahl aktiver Verbindungen aus, um sicherzustellen, dass die Verkehrslast der aktiven Anforderungen mit der Verkehrslast des am besten verbundenen verfügbaren realen Servers ausgeglichen wird.

Beharrlichkeit #

Dieses Feld bestimmt, welche Persistenz in der konfigurierten Farm verwendet werden soll. Standardmäßig Keine Beharrlichkeit wird eingesetzt.

Relianoide V8 LSLB-Farmen aktualisieren L4XNAT-Persistenz

Keine Beharrlichkeit. Die Farm verwendet keine Persistenz zwischen dem Client und dem Backend.
IP: Quell-IP. Mit dieser Option weist die Farm für jede eingehende Verbindung dasselbe Backend zu, abhängig von der Quelle IP-Adresse nur.
Port: Quellport. Mit dieser Option weist die Farm jeder eingehenden Verbindung das gleiche Backend zu, abhängig von der Quellport nur.
MAC: Quell-MAC. Mit dieser Option weist die Farm für jede eingehende Verbindung dasselbe Backend zu, abhängig von der Verbindungsschicht MAC-Adresse des Pakets.
Quell-IP und Quell-Port. Mit dieser Option weist die Farm jeder eingehenden Verbindung das gleiche Backend zu, abhängig von: Quell-IP und Quellport.
Quell-IP und Zielport. Mit dieser Option weist die Farm jeder eingehenden Verbindung das gleiche Backend zu, abhängig von: Quell-IP und Zielhafen.

Bauernwächter #

L4xNAT-Farmen verfügen nicht über integrierte Integritätsprüfungen für Backends, sodass eine Konfiguration erforderlich ist Bauernwächter für diesen virtuellen Dienst.

Sie können diesem Dienst entweder die standardmäßigen oder personalisierten erweiterten Integritätsprüfungen aus jedem vorhandenen Abonnieren prüfen.

Relianoid V8 Lastenausgleich LSLB Farms Update L4xnat Farmguardian

Weitere Informationen zu Farmguardian finden Sie im Überwachung > Farmguardian .

Beachten Sie, dass nach der Auswahl der Abonnieren, wird es automatisch auf die Farm angewendet.

Backends #

In diesem Abschnitt können Sie die Konfigurationen von Backends ändern oder einer bestimmten Farm neue hinzufügen.

Backend erstellen. Diese Schaltfläche zeigt die Backend hinzufügen Formular, wenn angeklickt. Die Konfigurationen dienen dazu, einer bestimmten Farm ein neues Backend hinzuzufügen.

Relianoid v8 LSLB Farms Update L4XNAT Backends erstellen

  • Alias. Dieses Feld zeigt die Dropdown-Liste mit allen verfügbaren Backend-Aliasen.
  • IP. Die Netzwerkschicht-IP-Adresse, die bei der Weiterleitung des Datenverkehrs an das Backend verwendet werden soll.
  • Hafen. Der Port, der bei der Weiterleitung des Datenverkehrs an das Backend verwendet werden soll.
  • Priorität. Der Prioritätswert für den aktuellen realen Server. Niedrigere Werte haben eine höhere Priorität. Der Standardwert für die Dienstpriorität ist 1. Wenn ein Backend ausfällt, wird die Dienstpriorität um 1 erhöht. Wenn das Backend wieder live geht, wird der Dienstprioritätswert um 1 verringert. Aktive Backends enthalten Prioritätswerte, die kleiner oder gleich der Dienstpriorität sind.
  • Max. Conns. Die Anzahl der Verbindungen, die eine Verbindung zum Backend herstellen dürfen. Wenn das Limit erreicht ist, werden die neuen Verbindungen verworfen.
  • Gewicht. Das Backend-Gewicht für den Verkehrsausgleich, wenn der Gewichtungsalgorithmus festgelegt ist. Dieses Gewicht bestimmt, wie bevorzugt das Backend gegenüber anderen Backends ist. Dieses Feld erlaubt ganzzahlige Werte größer oder gleich 1 (niedrigster Wert).

Massenaktionen. Auf der rechten Seite Backend erstellen, sehen Sie die folgenden Aktionen, die für ein oder mehrere Backends gleichzeitig ausgeführt werden können.

Dropdown-Liste für Massenaktionen des Relianoid V8-Load Balancers
Aktion: Dies sind die Aktionen zum Konfigurieren der Backends.

  • Wartung aktivieren. Diese Aktion ist verfügbar, wenn das Backend aktiv ist. Sie versetzt einen echten Backend-Server in den Wartungsmodus. Daher werden keine neuen Verbindungen dorthin umgeleitet. Es gibt zwei Methoden, um den Wartungsmodus zu aktivieren:
    • Entleeren Sie Modus. Behält die hergestellten Verbindungen und die Persistenz bei, falls aktiviert, akzeptiert jedoch keine neuen Verbindungen.
    • Schnittmodus. Beendet direkt alle aktiven Verbindungen zum Backend und schließt alle Verbindungen zwischen dem Backend und den Clients.
  • Bearbeiten. Öffnet das Bearbeitungsformular (das gleiche wie das Hinzufügungsformular), um beliebige Backend-Werte zu ändern.
  • Wartung deaktivieren. Diese Aktion ist nur verfügbar, wenn sich das Backend im Wartungsmodus befindet. Sie ermöglicht die erneute Weiterleitung neuer Verbindungen an den Backend-Server.
  • Löschen. Entfernen Sie den Backend-Server des virtuellen Dienstes. Wenn das Backend einen Alias ​​hat, wird dieser nicht gelöscht.

BackendsDiese Tabelle zeigt alle bereits auf der Farm konfigurierten Backends.

Relianoide V8 LSLB-Farmen aktualisieren L4XNAT-Backends

  • Alias. Ein Backend-Alias, wenn zuvor ein Alias ​​für das Backend definiert wurde.
  • IP. Die IP-Adresse des Backends, an das die Verbindungen weitergeleitet werden.
  • Hafen. Der Port, an den die Verbindungen im Backend umgeleitet werden. Wenn ein leer Leerzeichen oder ein Sternchen'*' gesetzt ist, werden Verbindungen an denselben Port umgeleitet, der empfangen wurde.
  • Priorität. Der Prioritätswert für den Backend-Server. Der akzeptierte Wert ist eine Ganzzahl größer oder gleich 1. Ein niedrigerer Wert gibt eine höhere Priorität für den aktuellen realen Server an. Standardmäßig wird ein Prioritätswert von 1 festgelegt.
  • Gewicht. Der Gewichtungswert für den aktuellen realen Server. Ein höherer Wert zeigt an, dass mehr Verbindungen zum aktuellen Backend hergestellt wurden. Standardmäßig wird ein Gewichtungswert von 1 festgelegt.
  • Max. Conns. Dieser Wert ist die maximale Anzahl von Flows oder hergestellten Verbindungen zu einem bestimmten Backend. Wenn das Limit der mit einem bestimmten Backend verbundenen Clients erreicht ist, akzeptiert das Backend keinen weiteren Datenverkehr. Der Client stellt eine erneute Verbindung zu einem anderen geeigneten Backend her. Der Standardwert ist 0, was unbegrenzt bedeutet.

IPDS-Regeln für L4xNAT-Farmen #

In diesem Abschnitt können Sie IPDS-Regeln aktivieren. In der Liste werden verschiedene Schutzarten mit einem Kontrollkästchen zum Aktivieren angezeigt. Weitere Informationen finden Sie in der spezifischen Dokumentation für IPDS > Blacklist-Regeln, IPDS > DoS-Regeln, IPDS > RBL-Regeln or IPDS > WAF-Regeln spezifische Dokumentation.

Relianoid V8 Load Balancer LSLB HTTP-Farmen aktualisieren IPDS

Für jeden der vier IPDS-Regeltypen (Blacklist, DoS, WAF und RBL) gibt es zwei Listen: Verfügbar und Nutzer der Smart‑Spaces‑App mit Google Wallet erhalten berührungslosen Mobile‑Zutritt an jedem NFC‑fähigen HID® Signo™‑Leser.. Ein Kettensymbol ist ebenfalls vorhanden. Im Verfügbar Liste sehen Sie alle Regeln desselben Typs, die auf eine bestimmte Farm angewendet werden können. In der Nutzer der Smart‑Spaces‑App mit Google Wallet erhalten berührungslosen Mobile‑Zutritt an jedem NFC‑fähigen HID® Signo™‑Leser. Liste sehen Sie die Regeln desselben Typs, die derzeit auf die ausgewählte Farm angewendet werden. Jede Regel verfügt über ein Statussymbol, das angibt, ob die Regel gestoppt (rot) or läuft (grün).

Um eine Regel zu ändern, klicken Sie auf das Bearbeitungssymbol. Dadurch können Sie die Regelparameter ändern oder die Regel starten/stoppen. Beachten Sie, dass Sie in dieser Farmansicht keine neue Regel erstellen können. Dies müssen Sie über das IPDS .

Um eine Regel hinzuzufügen, klicken Sie auf die gewünschte Regel und dann auf den einfachen Pfeil nach rechts. Alternativ können Sie mehrere Regeln auswählen, indem Sie die Umschalttaste gedrückt halten, während Sie die hinzuzufügenden Regeln auswählen und dann auf den einfachen Pfeil nach rechts klicken. Um alle verfügbaren Blacklists hinzuzufügen, klicken Sie auf den Doppelpfeil nach rechts.

Um eine oder mehrere Regeln zu löschen, wählen Sie sie aus und klicken Sie auf den linken Pfeil oder klicken Sie auf den Doppelpfeil, um alle zu entfernen.

📄 Laden Sie dieses Dokument im PDF-Format herunter #

    EMAIL: *

    Erhöhte Sicherheit. Geringerer Aufwand. Nachhaltiger Erfolg. BetterDocs