radware之链路负载均衡配置解析

RADWARE 之链路负载均衡配置解析 网络描述： 网络出口共有 3 条公网线路接入，一台 RADWARE 直接连接三个出 口 ISP 做链路负载均衡，来实现对内部服务器访问和内部对外访 问流量的多链路负载均衡。 设计方案： 1、RADWARE LINKPROOF 设备部署在防火墙外面，直接连接出口 ISP 2、防火墙全部修改为私有 IP 地址， 用 RADWARE LINKPROOF 负责将私有 IP 地址 转换成公网 IP 地址； 3、防火墙的 DMZ 区跑路由模式，保证 DMZ 区服务器的正常访问； 4、RADWARE LINKPROOF 利用 SmartNAT 技术，分别在每链路上配置 NAT 地址，保 证内部服务器的联网。 网络拓扑： 实施过程（关键步骤）： 1、配置公网接口地址 G-1 ：63/40 联通 G-2 ：2/28 铁通 G-3 ：2/40 电信 G-4 ：/ 内联接口地址，连接防火墙 2、配置默认路由 现网共有 3 条 ISP 链路，要将每条链路的网关进行添加，具体如下： 命令行配置 LP-Master# Lp route add 61 Lp route add 1 Lp route add 1 3、配置内网回指路由 net route table create -i 14 net route table create -i 14 net route table create -i 14 net route table create -i 14 net route table create -i 14 4、配置地址转换 地址转换主要包括内部用户的联网和服务器被访问两部分，这两部分在负载均衡上 面分别采用 Dynamic NAT 和 Static PAT 这两种 NAT 来实现，把内部的 IP 地址和服 务器的 IP 地址分别对应每条 ISP 都转换成相应的公网 IP 地址。 Dynamic NAT 是多对一的映射，并且改变用户的源端口，而且是单向的，只能出， 不能进。 LinkProof Smart NAT Dynamic NAT Table Create From local IP：被转换地址的起始地址； To local IP：被转换地址的结束地址； Server IP：对应的 ISP 的网关； Dynamic NAT IP：转换后的公网地址。 命令行配置 LP-Master# lp smartnat dynamic-nat create 55 1 2 lp smartnat dynamic-nat create 55 1 2 lp smartnat dynamic-nat create 55 61 62 Static PAT 是从外到内的一对多的映射，用来将同一公网 IP 的不同端口映射到不 同的内网服务器，而且是单向的，只能进，不能出。 LinkProof Smart NAT Static PAT Table Create 命令行配置 LP-Master# lp smartnat static-pat create 3 110 tcp 3 0 110 -pn 110mail lp smartnat static-pat create 0 88 tcp 61 68 88 -pn 88xin lp smartnat static-pat create 3 80 tcp 61 70 80 -pn 80gong lp smartnat static-pat create 3 21 tcp 61 70 21 -pn 21ftp lp smartnat static-pat create 4 80 tcp 1 0 80 -pn 80ser 5、就近性(Proixmity)配置 就近性(Proiximity)，可以为用户带来更好的网络访问服务。内网用户访问 Internet，radware linkproof 可以检测到目的地最快的链路；外网用户访问内网 服务器，radware linkproof 可以解析最佳链路上的公网 IP 给用户。 全局配置 首先我们需要全局开启 Proximity，默认是 No Proximity。如果只使用静态态表， 则选择 Static Proximity；如果只使用出向流量，则选择 Full Proximity Outbound；只使用入向，则选择 Full Proximity Inbound；如果同时使用双向， 动态和静态同时使用，则选择 Full Proximity Both，一般情况都选择这个。 LinkProof Proximity Proximity Parameter General Proximity Mode: Full Proximity Both Proximity Aging Period (min): 1440 /这里配置为 1 天,默认为 2880 分钟， 2 天。 Proximity Subnet Mask: /就近表条目网络地址的最小单位 6、静态就近表配置 有时候，在链路稳定的情况下，我们更多地希望使用静态的就近表，即访问电信的 IP 只从电信的链路出去访问；访问联通的网站只从联通链路出去。这时，我们可 以设置静态就近表。如果静态就近表的内容查到，则按静态表的规则去访问。如果 没查到，如果配置的是 Full Proximity，radware linkproof 则发起动态就近性检 查；如果配置的是 Static Proximity，则 radware linkproof 就做负载均衡，没 有就近性。 LinkProof Proximity Static Proximity 7、特殊应用会话老化时间配置 比如有一些特殊应用端口，比如游戏端口，QQ，MSN 等特殊应用，它们的会话表老 化时间会比一般应用的要长许多，如果把这类应用的会话表按常规处理，可能会带 来访问的问题。比如某个游戏一开始使用电信 IP 访问，会话表老化后，由于负载 均衡的策略，这个会话转而使用联通的 IP 去访问，远端服务器有可能对用户的 IP 进行验证，从而造成访问的问题。这时候我们需要将这类应用的会话表老化时间调 长。如果直接将所有会话表的时间都调长，则会造成会话表过大，影响性能和负载 均衡的效果。相反，对于 DNS 类的应用，我们可以将其调整得短一些。 LinkProof Global Configuration Aging By Application Port 命令行配置如下： LP-Master# lp global client-table application-aging-time create -at lp global client-table application-aging-time create 4000 -at 1800 lp global client-table application-aging-time create 8000 -at 1800 lp global client-table application-aging-time create 443 -at 600 lp global client-table application-aging-time create 5555 -at 600 lp global client-table application-aging-time create 7005 -at 600 lp global client-table application-aging-time create 7206 -at 600 lp global client-table application-aging-time create 7207 -at 600 lp global client-table application-aging-time create 7208 -at 600 lp global client-table application