Globale Einstellungen für das L4xNAT-Farmprofil

Das L4xNAT-Farmprofil erstellt LSLB-Farmen, die auf Schicht 4 mit außergewöhnlicher Leistung arbeiten und im Vergleich zu Lastausgleichskernen auf Schicht 7 mehr gleichzeitige Verbindungen bieten. Die verbesserte Leistung auf Schicht 4 gleicht die erweiterten Inhaltsverarbeitungsfunktionen eines Schicht-7-Farmprofils aus.

Im Gegensatz zu Layer-7-Farmprofilen, die nur die Ports 80 und 443 unterstützen, nutzt das L4xNAT-Farmprofil mehrere Ports, einschließlich Portbereiche.

In diesem Abschnitt finden Sie eine detaillierte Erläuterung der erforderlichen Befehle zum Konfigurieren eines L4xNAT-Farmprofils. Wir empfehlen dringend, Farmguardian in Verbindung mit diesem Profil zu verwenden, um den Status jedes auf der Farm konfigurierten Backends zu überwachen, da dieses Profil keine integrierte Integritätsprüfungsfunktion enthält.

Beachten Sie die Status Anzeige und die Aktionen Abschnitt in der oberen rechten Ecke. Mit den in diesem Abschnitt verfügbaren Aktionen können Sie Vorgänge ausführen, z Neustart, Beginnen Sie, oder Einstellung der Bauernhof.

Dies sind die Status Farbindikatoren und ihre Bedeutung:

• Grün: Meint UP. Die Farm wird ausgeführt und alle Backends sind UP oder die Umleitung ist konfiguriert.
• Rot: Meint AB. Der Bauernhof hat aufgehört.
• Schwarz: Meint KRITISCH. Die Farm ist UP, aber es ist kein Back-End verfügbar, oder alle Back-Ends befinden sich im Wartungsmodus.
• Blau: Meint AUFGABENSTELLUNG. Die Farm läuft, aber mindestens ein Backend ist ausgefallen.
• Orange: Meint WARTUNG. Die Farm wird ausgeführt, aber mindestens ein Backend befindet sich im Wartungsmodus.

Diese Farbcodes sind auf der gesamten grafischen Benutzeroberfläche gleich. Eine ausführliche Erklärung zu diesen Farbcodes finden Sie in der LSLB Farms Section.

Grundlegende Konfiguration

Dies sind die Parameter für das L4xNAT-Profil.

Name. Ein Etikett, das einen Farmdienst leicht identifiziert. Um diesen Wert zu ändern, müssen Sie zuerst die Farm stoppen. Stellen Sie sicher, dass der neue Farmname nicht bereits verwendet wird, da sonst eine Fehlermeldung angezeigt wird.

Virtuelle IP und Port. Diese geben die Adresse und den Port an, an denen die Farm intern innerhalb der Appliance lauscht. Wenn Sie diese Felder ändern möchten, stellen Sie sicher, dass die neue virtuelle IP und die neuen virtuellen Ports derzeit nicht von einer anderen Farm verwendet werden. Sobald Sie die Änderungen vorgenommen haben, speichern Sie sie und der Farmdienst wird automatisch neu gestartet.

So wählen Sie einen einzelnen Port oder eine Reihe virtueller Ports im L4xNAT-Farmprofil aus: a Protokolltyp ist obligatorisch. Falls das Protokoll auf eingestellt ist ALLER, überwacht die Farm alle Ports der virtuellen IP. Der virtuelle Port kann nicht bearbeitet werden und wird mit einem Sternchen versehen (*).
Sobald TCP, UDP oder ein anderes Protokoll ausgewählt ist, verwenden Sie es, um einen Port, mehrere Ports oder Portbereiche anzugeben.

Erweiterte Konfiguration

Protokolltyp. In diesem Feld werden alle unterstützten Protokolle auf dem Load Balancer aufgeführt. Standardmäßig verwendet die Farm die TCP Protokoll.

• ALLER. Die Farm überwacht alle Protokolle auf eingehende Verbindungen zur aktuellen virtuellen IP und den Ports. Wenn Sie diese Option ausgewählt haben, wird der virtuelle Port auf den Standardwert „*“ geändert und Sie können ihn nicht bearbeiten. Die Farm überwacht also alle Ports.
• TCP. Wenn Sie diese Option aktivieren, kann die Farm auf eingehende TCP-Verbindungen zur aktuellen virtuellen IP und den aktuellen Ports warten.
• UDP. Wenn Sie diese Option aktivieren, kann die Farm auf eingehende UDP-Verbindungen zur aktuellen virtuellen IP und den aktuellen Ports warten.
• SCTP. Wenn Sie diese Option aktivieren, kann die Farm auf eingehende SCTP-Verbindungen zur aktuellen virtuellen IP warten.
• SIP. Durch die Aktivierung dieser Option kann die Farm auf eingehende UDP-Pakete an der virtuellen IP und dem Standardport 5060 lauschen. Die Farm analysiert dann die SIP-Header jedes Pakets, um es korrekt an die Backends zu verteilen.
• fTP. Wenn Sie diese Option aktivieren, kann die Farm auf eingehende TCP-Verbindungen zur aktuellen virtuellen IP und zum Standardport 21 warten. Die Farm analysiert dann die FTP-Header jedes Pakets, um es korrekt an die Backends zu verteilen. Es werden zwei Modi unterstützt: Der Aktiv- und der Passivmodus.
• TFTP. Durch die Aktivierung dieser Option kann die Farm auf eingehende UDP-Pakete an der aktuellen virtuellen IP und dem Standardport 69 warten. Die Farm analysiert dann die TFTP-Header jedes Pakets, um es korrekt an die Backends zu verteilen.
• PPTP. Wenn Sie diese Option aktivieren, kann die Farm auf eingehende TCP-Verbindungen zur aktuellen virtuellen IP und zum aktuellen Port warten. Die Farm analysiert dann die PPTP-Header jedes Pakets, um sie korrekt an die Backends zu verteilen.
• SNMP. Wenn Sie diese Option aktivieren, kann die Farm auf eingehende UDP-Pakete an der aktuellen virtuellen IP und dem aktuellen Port warten. Die Farm analysiert dann die SNMP-Header jedes Pakets, um es korrekt an die Backends zu verteilen.

NAT-Typ. Die NAT-Typ-Funktionalität innerhalb der Appliance regelt alle Layer-4-Vorgänge. Die Auswahl der geeigneten Option für Ihre Infrastruktur hängt von der spezifischen Netzwerkarchitektur ab, die in Ihrer Umgebung definiert ist.

• NAT. Der NAT-Modus oder SNAT (Quell-NAT) verwendet die virtuelle IP der Farm als Quell-IP-Adresse, um eine Verbindung zu den Backend-Servern herzustellen. Daher sollten die Backend-Server die ursprüngliche Quell-IP-Adresse eines Web-Clients bei TCP, UDP oder einem anderen Layer-4-Protokoll nicht kennen. Auf diese Weise antwortet das Backend auf den Load Balancer, dann antwortet der Load Balancer auf den Client. Diese Topologie ermöglicht den Einsatz eines einarmigen Load Balancers (Lastausgleich mit 1 Netzwerkschnittstelle).

  

• DTA. Im DNAT-Modus (Destination NAT) verwenden wir die Client-IP-Adresse, um eine Verbindung mit einem Backend-Server herzustellen. Dadurch antwortet das Backend direkt auf die Client-IP. In diesem Fall sollte die Load-Balancer-IP als Standard-Gateway des Backends konfiguriert werden, wodurch das Backend-Netzwerk effektiv vom Client-Service-Netzwerk getrennt wird. Diese Topologie stellt Transparenz zwischen Clients und Backends her.

  

• DSR. Im DSR-Modus stellt der Client eine Verbindung zur virtuellen IP (VIP) des Load Balancers her. Der Load Balancer ändert dann die Ziel-MAC-Adresse, indem er sie in die eines Backend-Servers ändert, ohne die IP-Adresse zu ändern. Allerdings müssen sich alle Backend-Server im selben Netzwerk wie der Load Balancer befinden. Wenn ein Backend-Server die Anfrage empfängt und verarbeitet, antwortet er direkt an den Client und umgeht dabei den Load Balancer.

  

Anforderungen an DSR:

1. DIE Premium und Backends muss sich im selben Netzwerk befinden
2. DIE Virtueller Port und das Backend Ports muss das Selbe sein
3. Man muss die Backend-Loopback-Schnittstellen entsprechend konfigurieren IP-Adresse wie die Premium im Load Balancer konfiguriert und deaktiviert werden ARP in dieser Schnittstelle

Linux-Backends

# ifconfig lo:0 192.168.0.99 netmask 255.255.255.255 -arp up

Deaktivieren ungültiger ARP-Antworten im Backend.

# echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
# echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

Windows-Backends

1. Start->Einstellungen ->Systemsteuerung->Netzwerk- und DFÜ-Verbindungen.
2. Klicken Sie mit der rechten Maustaste auf Ihren Netzwerkadapter und klicken Sie auf Immobilien
3. Nur Internet-Protokoll muss ausgewählt werden (entfernen Sie die Auswahl von „Client für MS-Netzwerke“ und „Datei- und Druckerfreigabe“).
4. TCP/IP-Eigenschaften -> Geben Sie die IP-Adresse des VIP in der ZEVENET ADC-Farm ein. Das Standard-Gateway ist nicht erforderlich und die Maske lautet 255.255.255.255
5. Stellen Sie die Schnittstellenmetrik auf 254 ein. Diese Konfiguration ist erforderlich, um keine ARP-Antworten mehr an den VIP zu senden
6. Presse OK und speichern Sie die Änderungen.

Konfigurieren Sie zunächst das starke Host-Sicherheitsmodell, um den Datenverkehrempfang von ZEVENET ADC auf der NIC-Schnittstelle zu ermöglichen. Erlauben Sie ZEVENET ADC außerdem, Datenverkehr über die Standard-NIC-Schnittstelle zu senden und zu empfangen. Öffnen Sie die Eingabeaufforderung als Administrator und führen Sie die drei bereitgestellten Befehle aus.

netsh interface ipv4 set interface NIC weakhostreceive=enabled
netsh interface ipv4 set interface loopback weakhostreceive=enabled
netsh interface ipv4 set interface loopback weakhostsend=enabled

Hinweis: Ändern Sie die Netzwerkkarte und den Loopback auf die Standardschnittstellennamen Ihres Windows-Computers.

Zustandslose DNAT. Bei Stateless DNAT ändert der Load Balancer die Zieladresse in die Backend-Adresse und gibt sie weiter, ohne die Verbindungsdetails im Auge zu behalten. Dieser Ansatz reduziert die Belastung des Systems, da er früh im Datenfluss implementiert wird. Es eignet sich am besten für Layer-4-Protokolle mit starkem Datenverkehr und für Protokolle, die nicht auf die Aufrechterhaltung von Verbindungen oder Streams ausgerichtet sind RTP or SYSLOG UDP Modus arbeiten können.

Logs. Um die Details zu den in der Farm empfangenen Verbindungen zu speichern, aktivieren Sie die Log Befehl. Dies wird nur zu Debug- oder Überwachungszwecken empfohlen, da es den vom Load Balancer verarbeiteten Datenverkehr verlangsamt.

Serviceeinstellungen

Der in der L4-Schicht erstellte Dienst bietet die folgenden Konfigurationsoptionen zum Verwalten der Datenpfade und des Verbindungsverhaltens.

Lastausgleichsplaner. Dieses Feld gibt den Lastausgleichsalgorithmus an, der zur Bestimmung des Backend-Servers verwendet werden soll. Standardmäßig wird der Lastausgleichsalgorithmus dies tun Gewicht: Verbindung linearer Versand nach Gewicht

• Gewicht: Verbindung linearer Versand nach Gewicht. Gleicht die Verbindungen in Abhängigkeit von dem Gewichtungswert aus, der jedem Backend zugewiesen wurde. Die Anfragen werden unter Verwendung eines probabilistischen Algorithmus unter Verwendung der definierten Gewichtung zugestellt.
• Quell-Hash: Hash pro Quell-IP und Quell-Port. Gleicht die Pakete, die mit derselben Quell-IP und demselben Port übereinstimmen, mithilfe eines Hash-Schedulers auf dasselbe Backend aus.
• Simple Source Hash: Nur Hash pro Quell-IP. Gleicht die Pakete, die mit derselben Quell-IP übereinstimmen, mithilfe eines Hash-Schedulers auf dasselbe Backend aus.
• Symmetrischer Hash: Roundtrip-Hash pro IP und Port. Gleicht die Pakete aus, die mit der gleichen Quell-IP und dem gleichen Port sowie der Ziel-IP und dem Port übereinstimmen. Es könnte also eine Verbindung auf beide Arten hashen (während des eingehenden und des ausgehenden Datenverkehrs).
• Round Robin: Sequentielle Backend-Auswahl. Es gleicht jede eingehende Verbindung zu einem Backend aus und wechselt nacheinander zwischen den Backends.
• Least Connections: Verbindung immer zum Server mit der geringsten Verbindung. Wählt das Backend mit der geringsten Anzahl aktiver Verbindungen aus, um sicherzustellen, dass die Verkehrslast der aktiven Anfragen mit der Verkehrslast des am stärksten verbundenen verfügbaren realen Servers ausgeglichen ist.

Beharrlichkeit

Persistenz wählen. Dieses Feld bestimmt, dass in der konfigurierten Farm Persistenz verwendet werden soll. Standardmäßig, Keine Beharrlichkeit wird eingesetzt.

• Keine Beharrlichkeit. Die Farm verwendet keine Persistenz zwischen dem Client und dem Back-End.
• IP: Quell-IP. Mit dieser Option weist die Farm je nach Quelle für jede eingehende Verbindung dasselbe Backend zu IP-Adresse nur.
• Port: Quellport. Mit dieser Option weist die Farm das gleiche Backend für jede eingehende Verbindung zu, abhängig von der Quellport nur.
• MAC: Quell-MAC. Mit dieser Option weist die Farm je nach Verbindungsschicht für jede eingehende Verbindung dasselbe Backend zu MAC-Adresse des Pakets.
• Quell-IP und Quell-Port. Mit dieser Option weist die Farm das gleiche Backend für jede eingehende Verbindung zu, abhängig von beiden, Quell-IP und Quellport.
• Quell-IP und Ziel-Port. Mit dieser Option weist die Farm das gleiche Backend für jede eingehende Verbindung zu, abhängig von beiden, Quell-IP und Zielhafen.

Farmguardian

L4xNAT-Farmen verfügen nicht über integrierte Integritätsprüfungen für Backends, sodass eine Konfiguration erforderlich ist Farmguardian für diesen virtuellen Dienst.

Sie können diesem Dienst entweder die standardmäßigen oder personalisierten erweiterten Gesundheitsprüfungen aus jedem vorhandenen Dienst zuweisen farmguardian prüfen.

Weitere Informationen zu Farmguardian finden Sie unter Überwachung >> Farmguardian .

Beachten Sie, dass nach der Auswahl von farmguardian, wird es automatisch auf die Farm angewendet.

Backends

In diesem Abschnitt können Sie die Konfigurationen von Backends ändern oder einer bestimmten Farm neue hinzufügen.

Backend erstellen. Diese Schaltfläche zeigt die Backend hinzufügen Formular, wenn darauf geklickt wird. Die Konfigurationen dienen dazu, einer bestimmten Farm ein neues Backend hinzuzufügen.

• Alias. In diesem Feld wird die Dropdown-Liste mit allen verfügbaren Backend-Aliasnamen angezeigt.
• IP. Die IP-Adresse der Netzwerkschicht, die beim Weiterleiten von Datenverkehr an das Back-End verwendet werden soll.
• Hafen. Der Port, der beim Weiterleiten des Datenverkehrs an das Back-End verwendet werden soll.
• Priorität. Der Prioritätswert für den aktuellen realen Server. Niedrigere Werte haben höhere Priorität. Der Standardwert für die Dienstpriorität ist 1. Wenn ein Backend ausfällt, wird die Dienstpriorität um 1 erhöht. Wenn das Backend wieder live geht, wird der Dienstprioritätswert um 1 verringert. Aktive Backends enthalten Prioritätswerte kleiner oder gleich dem Dienstpriorität.
• Max. Conns. Die Anzahl der Verbindungen, die eine Verbindung zum Back-End herstellen dürfen. Wenn das Limit erreicht ist, werden die neuen Verbindungen verworfen.
• Gewicht. Die Back-End-Gewichtung für den Traffic-Ausgleich, wenn der Gewichtungsalgorithmus festgelegt ist. Diese Gewichtung bestimmt, wie vorteilhaft das Backend gegenüber anderen Backends ist. Dieses Feld erlaubt ganzzahlige Werte größer oder gleich 1 (niedrigster Wert).

Massenaktionen. Rechts neben HINZUFÜGEN BACKEND, sehen Sie die folgenden Aktionen, die für ein oder mehrere Backends gleichzeitig durchgeführt werden können.

Aktionen: Dies sind die Aktionen zum Konfigurieren der Backends.

• Wartung aktivieren. Diese Aktion ist verfügbar, wenn das Back-End aktiv ist. Es versetzt einen echten Backend-Server in den Wartungsmodus. Daher werden keine neuen Verbindungen dorthin umgeleitet. Es gibt zwei Methoden, um den Wartungsmodus zu aktivieren:
  • Entleeren Sie Modus. Behält die bestehenden Verbindungen und die Persistenz bei, wenn diese Option aktiviert ist, akzeptiert jedoch keine neuen Verbindungen.
  • Schnittmodus. Löst alle aktiven Verbindungen direkt gegen das Backend und schließt alle Verbindungen zwischen dem Backend und den Clients
• Bearbeiten. Öffnet das Bearbeiten-Formular, dasselbe wie das Hinzufügen-Formular, um einen beliebigen Backend-Wert zu ändern.
• Wartung deaktivieren. Diese Aktion ist nur verfügbar, wenn sich das Backend im Wartungsmodus befindet. Dadurch können neue Verbindungen wieder an den Backend-Server weitergeleitet werden.
• Löschen. Entfernen Sie den Back-End-Server des virtuellen Dienstes. Wenn das Back-End einen Alias ​​hat, wird der Alias ​​nicht gelöscht.

Backends. Diese Tabelle zeigt alle Back-Ends, die bereits in der Farm konfiguriert sind.

• Alias. Ein Backend-Alias, wenn zuvor ein Alias ​​für das Backend definiert wurde.
• IP. Die IP-Adresse des Backends, an das die Verbindungen weitergeleitet werden.
• Hafen. Der Port, zu dem die Verbindungen am Backend umgeleitet werden. Wenn ein leer Leerzeichen oder ein Sternchen'*' gesetzt ist, werden Verbindungen auf denselben Port umgeleitet, der empfangen wurde.
• Priorität. Der Prioritätswert für den Back-End-Server. Der akzeptierte Wert ist eine Ganzzahl größer oder gleich 1. Ein niedrigerer Wert zeigt eine höhere Priorität für den aktuellen realen Server an. Standardmäßig wird ein Prioritätswert von 1 festgelegt.
• Gewicht. Der Gewichtswert für den aktuellen realen Server. Ein höherer Wert zeigt an, dass mehr Verbindungen an das aktuelle Back-End geliefert werden. Standardmäßig wird ein Gewichtswert von 1 eingestellt.
• Max. Conns. Dieser Wert ist die maximale Anzahl von Flüssen oder hergestellten Verbindungen zu einem bestimmten Backend. Wenn das Limit der mit einem bestimmten Back-End verbundenen Clients erreicht ist, akzeptiert das Back-End keinen weiteren Datenverkehr. Der Client verbindet sich erneut mit einem anderen geeigneten Backend. Der Standardwert ist 0, was unbegrenzt bedeutet.

IPDS-Regeln für L4xNAT-Farmen

In diesem Abschnitt können Sie IPDS-Regeln aktivieren. Die Liste zeigt die verschiedenen Schutzarten und ein Auswahlfeld, um sie zu aktivieren. Weitere Informationen finden Sie im IPDS >> Blacklists-Regeln, IPDS >> DoS-Regeln, IPDS >> RBL-Regeln or IPDS >> WAF-Regeln spezifische Dokumentation.

Für jede der vier Arten von IPDS-Regeln, Blacklist, DoS, WAF und RBL, gibt es zwei Tabellen, Verfügbar und Aktiviert. Es gibt auch ein Kettensymbol. Unter der Tabelle „Verfügbar“ sehen Sie, dass alle verfügbaren Regeln von derselben Art sind und auf eine bestimmte Farm angewendet werden können. In Bezug auf die aktivierte Tabelle sehen Sie, dass die auf die ausgewählte Farm angewendeten Regeln vom gleichen Typ sind. Außerdem gibt es für jede Regel ein Statussymbol, das angibt, ob die Regel gestoppt wurde (rote Farbe) Farbe oder ob es läuft (grüne Farbe).

Sie können auf jede Regel zugreifen, indem Sie auf das Bearbeitungssymbol klicken, mit dem Sie Regelparameter ändern oder sogar die Regel starten/stoppen können. In dieser Farmansicht können Sie keine neue Regel erstellen. Ändern Sie es durch die IPDS .

Fügen Sie eine Regel hinzu, indem Sie auf die gewünschte Regel klicken und anschließend auf den rechten Einzelpfeil klicken. Sie können auch mehrere auswählen, indem Sie gleichzeitig die Umschalttaste drücken und die Regeln auswählen, die Sie hinzufügen möchten. Sie klicken dann auf den rechten Einzelpfeil. Sie können auch alle verfügbaren Blacklists hinzufügen, indem Sie auf den rechten Doppelpfeil klicken.

Um eine oder mehrere Regeln zu löschen, wählen Sie sie aus und klicken Sie auf den Linkspfeil oder klicken Sie auf den Doppelpfeil, um alle zu entfernen.