LSLB | 農場| 更新する L4xNATプロファイル

投稿日: 25 年 2021 月 XNUMX 日

L4xNATファームプロファイルのグローバル設定

L4xNAT ファーム プロファイルは、優れたパフォーマンスでレイヤー 4 で動作する LSLB ファームを作成し、レイヤー 7 のロード バランサー コアと比較してより多くの同時接続を提供します。レイヤー 4 でのパフォーマンスの向上により、レイヤー 7 ファーム プロファイルの高度なコンテンツ処理機能が相殺されます。

ポート 7 と 80 のみをサポートするレイヤー 443 ファーム プロファイルとは異なり、L4xNAT ファーム プロファイルはポート範囲を含む複数のポートを利用します。

このセクションでは、L4xNAT ファーム プロファイルの構成に必要なコマンドについて詳しく説明します。 このプロファイルには組み込みのヘルス チェック機能が含まれていないため、ファームで構成されている各バックエンドのステータスを監視するには、このプロファイルと Farmguardian を組み合わせて使用​​することを強くお勧めします。

に注意してください 状態 インジケーターと アクション 右上隅のセクション。 このセクションで使用できるアクションを使用すると、次のような操作を実行できます。 再起動する, 起動または 停止 農場。

これらは、 状態 カラー インジケータとその意味:

  • グリーン: 手段 UP。 ファームが実行中で、すべてのバックエンドが稼働しているか、リダイレクトが構成されています。
  • レッド: 手段 ダウン. 農場は停止しました。
  • ブラック: 手段 CRITICAL. ファームは稼働していますが、利用可能なバックエンドがないか、すべてのバックエンドがメンテナンス モードになっています。
  • : 手段 問題。 ファームは実行されていますが、少なくともXNUMXつのバックエンドがダウンしています。
  • オレンジ: 手段 メインテナンス 。 ファームは実行されていますが、少なくともXNUMXつのバックエンドがメンテナンスモードになっています。

これらのカラー コードは、グラフィカル ユーザー インターフェイス全体で同じです。 これらのカラー コードに関する詳細な説明については、 LSLB農場セクション.

基本設定

これらは、L4xNAT プロファイルのパラメータです。

お名前. ファーム サービスを簡単に識別できるラベル。 この値を変更するには、最初にファームを停止する必要があります。 新しいファーム名がまだ使用されていないことを確認してください。使用されていない場合、エラー メッセージが表示されます。

仮想IPとポート。 これらは、ファームがアプライアンス内で内部的にリッスンするアドレスとポートを指定します。 これらのフィールドを変更する場合は、新しい仮想 IP と仮想ポートが現在別のファームで使用されていないことを確認してください。 変更を行ったら、変更を保存すると、ファーム サービスが自動的に再起動されます。

L4xNAT ファーム プロファイルで単一のポートまたは仮想ポートの範囲を選択するには、 プロトコルの種類 必須です。 プロトコルが 全て、ファームは仮想 IP からのすべてのポートでリッスンします。 仮想ポートは編集できず、アスタリスクで設定されます (*).
TCP、UDP、またはその他のプロトコルを選択したら、それを使用してポート、複数のポート、またはポート範囲を指定します。

高度な設定


プロトコルの種類。 このフィールドには、ロード バランサーでサポートされているすべてのプロトコルがリストされます。 デフォルトでは、ファームは TCP プロトコル。

  • 全て。 ファームは、すべてのプロトコルを介して現在の仮想 IP およびポートへの受信接続をリッスンします。 このオプションを選択した場合、仮想ポートはデフォルトの「*」に変更され、編集できなくなります。 したがって、ファームはすべてのポートを介してリッスンします。
  • TCP。 このオプションを有効にすると、ファームは現在の仮想 IP およびポートへの受信 TCP 接続をリッスンできるようになります。
  • UDP。 このオプションを有効にすると、ファームは現在の仮想 IP およびポートへの受信 UDP 接続をリッスンできるようになります。
  • SCTP。 このオプションを有効にすると、ファームは現在の仮想 IP への受信 SCTP 接続をリッスンできるようになります。
  • SIP。 このオプションを有効にすると、ファームは仮想 IP およびデフォルト ポート 5060 への受信 UDP パケットをリッスンできるようになります。ファームは各パケットの SIP ヘッダーを解析し、バックエンドに正しく配信されます。
  • FTP。 このオプションを有効にすると、ファームは現在の仮想 IP とデフォルト ポート 21 への受信 TCP 接続をリッスンできるようになります。ファームは各パケットの FTP ヘッダーを解析し、バックエンドに正しく配信されます。 アクティブ モードとパッシブ モードの XNUMX つのモードがサポートされています。
  • TFTP。 このオプションを有効にすると、ファームは現在の仮想 IP とデフォルト ポート 69 への受信 UDP パケットをリッスンできるようになります。ファームは各パケットの TFTP ヘッダーを解析し、バックエンドに正しく配信されます。
  • PPTP。 このオプションを有効にすると、ファームは現在の仮想 IP およびポートへの受信 TCP 接続をリッスンできるようになります。 次に、ファームは各パケットの PPTP ヘッダーを解析し、バックエンドに正しく配布します。
  • SNMP。 このオプションを有効にすると、ファームは現在の仮想 IP およびポートへの受信 UDP パケットをリッスンできるようになります。 その後、ファームは各パケットの SNMP ヘッダーを解析し、バックエンドに正しく配布します。

NATの種類。 アプライアンス内の NAT タイプ機能は、すべてのレイヤー 4 操作を制御します。 インフラストラクチャに適切なオプションの選択は、環境で定義されている特定のネットワーク アーキテクチャによって異なります。

  • NAT。 NAT モードまたは SNAT (ソース NAT) は、ファームの仮想 IP をソース IP アドレスとして使用して、バックエンド サーバーに接続します。 したがって、バックエンド サーバーは、TCP、UDP、またはその他のレイヤー 4 プロトコルでの Web クライアントの元の送信元 IP アドレスを認識すべきではありません。 このようにして、バックエンドがロード バランサーに応答し、ロード バランサーがクライアントに応答します。 このトポロジでは、ワンアーム ロード バランサー (1 つのネットワーク インターフェイスによるロード バランシング) の展開が可能になります。

    レイヤ4送信元NAT lbトポロジ

  • DTA。 DNAT (宛先 NAT) モードでは、クライアント IP アドレスを使用してバックエンド サーバーに接続します。 その結果、バックエンドはクライアント IP に直接応答します。 この場合、ロード バランサー IP をバックエンドのデフォルト ゲートウェイとして構成し、バックエンド ネットワークをクライアント サービス ネットワークから効果的に分離する必要があります。 このトポロジは、クライアントとバックエンド間の透明性を確立します。

    レイヤ4宛先NAT lbトポロジ

  • DSR。 DSR モードでは、クライアントはロード バランサーの仮想 IP (VIP) に接続します。 次に、ロード バランサは、IP アドレスを変更せずに、宛先 MAC アドレスをバックエンド サーバーのアドレスに変更します。 ただし、すべてのバックエンド サーバーがロード バランサーと同じネットワーク上に存在する必要があります。 バックエンド サーバーがリクエストを受信して​​処理すると、ロード バランサーをバイパスしてクライアントに直接応答します。

DSRの要件:

  1. VIP 及び バックエンド 同じネットワーク内にある必要があります
  2. 仮想ポート そしてバックエンド ポート 同じでなければなりません
  3. バックエンドのループバック インターフェイスを同じように設定する必要があります。 IPアドレス として VIP ロードバランサで設定して無効にします ARP このインターフェースで

Linux バックエンド

# ifconfig lo:0 192.168.0.99 netmask 255.255.255.255 -arp up

バックエンドでの無効な ARP 応答を無効にします。

# echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
# echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

Windows バックエンド

  1. 開始->設定->コントロールパネル->ネットワークとダイヤルアップ接続。
  2. ネットワークアダプターを右クリックし、 プロパティ
  3. のみ インターネットプロトコル を選択する必要があります (「MS ネットワーク用クライアント」と「ファイルとプリンターの共有」の選択を削除します)
  4. [TCP/IP プロパティ] -> ZEVENET ADC ファームの VIP の IP アドレスを入力します。 デフォルト ゲートウェイは必要なく、マスクは 255.255.255.255 です。
  5. インターフェイス メトリックを 254 に設定します。この設定は、VIP への ARP 応答の返信を停止するために必要です。
  6. イベント OK 変更を保存します。

まず、強力なホスト セキュリティ モデルを構成して、NIC インターフェイス上で ZEVENET ADC からのトラフィック受信を有効にします。 さらに、ZEVENET ADC がデフォルトの NIC インターフェイスを介してトラフィックを送受信できるようにします。 管理者としてコマンド プロンプトを開き、提供されている XNUMX つのコマンドを実行します。

netsh interface ipv4 set interface NIC weakhostreceive=enabled
netsh interface ipv4 set interface loopback weakhostreceive=enabled
netsh interface ipv4 set interface loopback weakhostsend=enabled

Note: NIC とループバックを Windows コンピュータのデフォルトのインターフェイス名に変更します。

ステートレスDNAT。 ステートレス DNAT を使用すると、ロード バランサーは宛先アドレスをバックエンド アドレスに変更し、接続の詳細を一切追跡せずにそれを渡します。 このアプローチはデータ フローの早い段階で実装されるため、システムの負担が軽減されます。 これは、トラフィックが多いレイヤー 4 プロトコルや、接続やストリームの維持に重点を置いていないプロトコルに最適です。 RTP or SYSLOG UDP モード。

ログ。 ファームで受信した接続に関する詳細を保存するには、 ログ 指図。 これは、ロード バランサーによって処理されるトラフィックが遅くなるため、デバッグまたは監視の目的でのみ推奨されます。

サービス設定

L4 レイヤーで作成されたサービスは、データ パスと接続動作を管理するための次の構成オプションを提供します。

負荷分散スケジューラ。 このフィールドは、バックエンド サーバーを決定するために使用される負荷分散アルゴリズムを指定します。 デフォルトでは、負荷分散アルゴリズムは次のようになります。 重量:重量による接続線形発送

  • 重量:重量による接続線形発送. 各バックエンドに割り当てられた重み値に応じて、接続のバランスをとります。 要求は、定義された重みを使用した確率的アルゴリズムを使用して配信されます。
  • 送信元ハッシュ:送信元IPおよび送信元ポートごとのハッシュ. ハッシュ スケジューラを使用して、同じソース IP とポートに一致するパケットを同じバックエンドに分散します。
  • シンプルソースハッシュ:ソースIPごとのハッシュのみ. ハッシュ スケジューラを使用して、同じ送信元 IP に一致するパケットを同じバックエンドに分散します。
  • 対称ハッシュ:IPおよびポートごとのラウンドトリップハッシュ. 同じ送信元 IP とポート、および宛先 IP とポートに一致するパケットのバランスを取ります。 そのため、両方の方法で接続をハッシュできます (インバウンドとアウトバウンドの間)。
  • ラウンドロビン:シーケンシャルバックエンド選択. バックエンドへの各着信接続のバランスを取り、バックエンド間で順次切り替えます。
  • 最小接続数:常に最小接続サーバーへの接続. アクティブな接続の数が最も少ないバックエンドを選択して、アクティブなリクエストのトラフィック負荷が、最も多く接続されている利用可能な実サーバーのトラフィック負荷とバランスが取れていることを確認します。

固執

永続性を選択。 このフィールドは、構成されたファームで永続性が使用されることを決定します。 デフォルトでは、 持続性なし 使用されている。

  • 持続性なし. ファームは、クライアントとバックエンドの間で永続性を使用しません。
  • IP:送信元IP. このオプションを使用すると、ファームはソースに応じて各着信接続に同じバックエンドを割り当てます IPアドレス のみ。
  • ポート:送信元ポート. このオプションを使用すると、ファームは受信接続ごとに同じバックエンドを割り当てます。 送信元ポート のみ。
  • MAC:送信元MAC. このオプションを使用すると、ファームはリンク層に応じて、着信接続ごとに同じバックエンドを割り当てます。 MACアドレス パケットの
  • 送信元IPと送信元ポート. このオプションを使用すると、ファームは両方に応じて、各着信接続に同じバックエンドを割り当てます。 送信元IP 及び 送信元ポート.
  • 送信元IPと宛先ポート. このオプションを使用すると、ファームは両方に応じて、各着信接続に同じバックエンドを割り当てます。 送信元IP 及び 宛先ポート.

農場の守護者

L4xNAT ファームにはバックエンドのヘルスチェックが組み込まれていないため、構成する必要があります。 農場の守護者 この仮想サービスの場合。

デフォルトまたはパーソナライズされた高度なヘルスチェックを既存のヘルスチェックからこのサービスに割り当てることができます。 農家 チェック。

Farmguardian の詳細については、 監視>>ファームガード のセクションから無料でダウンロードできます。

を選択した後、 農家、ファームに自動的に適用されます。

バックエンド

このセクションでは、バックエンドの構成を変更したり、特定のファームに新しい構成を追加したりできます。

バックエンドを作成する。 このボタンには、 バックエンドを追加 クリックするとフォームが表示されます。 この構成は、特定のファームに新しいバックエンドを追加することを目的としています。

  • エイリアス。 このフィールドは、利用可能なすべてのバックエンドエイリアスを含むドロップダウンリストを表示します。
  • IP. トラフィックをバックエンドに転送するときに使用されるネットワーク層 IP アドレス。
  • ポート. トラフィックをバックエンドに転送するときに使用するポート。
  • 優先. 現在の実サーバーのプライオリティ値。 値が小さいほど優先度が高くなります。 デフォルトのサービス優先度値は 1 です。バックエンドに障害が発生すると、サービス優先度は 1 増加します。バックエンドが再び稼働すると、サービス優先度値は 1 減少します。アクティブなバックエンドには、以下の優先度値が含まれます。サービス優先。
  • 最大 Conns. バックエンドへの接続が許可される接続の数。 制限に達すると、新しい接続は破棄されます。
  • 重量 . 重みアルゴリズムが設定されている場合のトラフィック バランシングのバックエンドの重み。 この重みは、バックエンドが他のバックエンドに対してどの程度好ましいかを決定します。 このフィールドには、1 (最小値) 以上の整数値を使用できます。

一括操作。 の右側に 追加を追加、XNUMX つ以上のバックエンドに対して同時に実行できる次のアクションが表示されます。

一括操作ドロップダウン
アクション: これらは、バックエンドを構成するためのアクションです。

  • メンテナンスを有効にする. このアクションは、バックエンドが稼働している場合に使用できます。 実際のバックエンド サーバーをメンテナンス モードにします。 したがって、新しい接続はリダイレクトされません。 メンテナンス モードを有効にするには、次の XNUMX つの方法があります。
    • 排水モード。 有効にすると、確立された接続と永続性が維持されますが、新しい接続は受け入れられません。
    • カットモード。 バックエンドに対するすべてのアクティブな接続を直接削除し、バックエンドとクライアント間の接続をすべて閉じます。
  • 編集. 追加フォームと同じ編集フォームを開いて、バックエンド値を変更します。
  • メンテナンスを無効にする. このアクションは、バックエンドがメンテナンス モードの場合にのみ使用できます。 これにより、新しい接続をバッ​​クエンド サーバーに再び転送できるようになります。
  • 削除. 仮想サービスのバックエンド サーバーを削除します。 バックエンドにエイリアスがある場合、エイリアスは削除されません。

バックエンド. このテーブルには、ファームで既に構成されているすべてのバックエンドが表示されます。

  • エイリアス. バックエンドに対して XNUMX つのエイリアスが以前に定義されている場合は、バックエンド エイリアス。
  • IP. 接続が転送されるバックエンドの IP アドレス。
  • ポート. バックエンドで接続がリダイレクトされるポート。 もし ブランク スペースまたはアスタリスク'*' が設定されている場合、接続は受信したのと同じポートにリダイレクトされます。
  • 優先. バックエンド サーバーの優先度の値。 受け入れられる値は、1 以上の整数です。値が小さいほど、現在の実サーバーの優先順位が高くなります。 デフォルトでは、優先度の値 1 が設定されます。
  • 重量 . 現在の実サーバーの重み値。 値が大きいほど、現在のバックエンドに配信される接続が多いことを示します。 デフォルトでは、重み値 1 が設定されます。
  • 最大 Conns. この値は、特定のバックエンドへのフローまたは確立された接続の最大数になります。 特定のバックエンドに接続されているクライアントの制限に達すると、バックエンドはそれ以上のトラフィックを受け入れなくなります。 クライアントは別の適切なバックエンドに再接続します。 デフォルト値は 0 で、無制限を意味します。

L4xNATファームのIPDS規則

このセクションではIPDSルールを有効にします。 リストには、さまざまな種類の保護とそれらを有効にするための選択ボックスが表示されます。 詳細については IPDS >>ブラックリストルール, IPDS >> DoSルール, IPDS >> RBLルール or IPDS >> WAFルール 特定のドキュメント

zevenet ipdsビュー

ブラックリスト、DoS、WAF、および RBL の XNUMX 種類の IPDS ルールのそれぞれについて、Available および enabled という XNUMX つのテーブルがあります。 鎖のアイコンもあります。 利用可能なテーブルの下に、利用可能なすべてのルールが同じ種類のものであり、特定のファームに適用できることがわかります。 有効なテーブルに関しては、選択したファームに適用されるルールが同じタイプであることがわかります。 ルールが停止しているかどうかを示す各ルールのステータス シンボルもあります。 (赤色) 色または実行中かどうか (緑色).

編集アイコンをクリックすると、各ルールにアクセスできます。これにより、ルール パラメータを変更したり、ルールを開始/停止したりできます。 このファーム ビュー内で新しいルールを作成することはできません。 を通じてそれを変更します IPDS のセクションから無料でダウンロードできます。

ルールを追加するには、目的のルールをクリックしてから、右の一重矢印をクリックします。 または、Shift キーを同時に押しながら、追加するルールを選択することで、複数のルールを選択できます。 次に、右の一重矢印をクリックします。 右二重矢印をクリックして、利用可能なすべてのブラックリストを追加することもできます。

XNUMXつ以上のルールを削除するには、それらを選択して左矢印をクリックするか、二重矢印をクリックしてすべてを削除します。

上の共有:

GNU Free Documentation Licenseの条項に基づくドキュメンテーション。

この記事は役に立ちましたか?

関連記事