RADWARE之链路负载均衡配置解析汇报汇报

1、RADWARE之链路负载均衡配置解析网络描述：网络出口共有3条公网线路接入，一台 RADWARE直接连接三 个出口 ISP做链路负载均衡，来实现对内部服务器访问和内部对 外访问流量的多链路负载均衡。1、RADWARE LINKPROOF 设备部署在防火墙外面，直接连接出口 ISP2、防火墙全部修改为私有 IP地址，用RADWARE LINKPROOF 负责将私有IP地址转换成公网IP地址；3、 防火墙的DMZ区跑路由模式，保证 DMZ区服务器的正常访问；4、RADWARE LINKPROOF 利用SmartNAT 技术，分别在每链路上配置 NAT地址，保证内部服务器的联网。网络拓扑：换心区WW

2、W.2CTO COM业务系统实施过程（关键步骤）1、配置公网接口地址WWW2CTOCOMInterface meters CreateIP Add眄*0 0.0 0ffNumtwrGdTNetwork MaskGOODFwd SroadcastEmb陆 *Bradcasl AddrONE FILL *VIAN Tag0One rp Rout 即 I riterfK « Onty DsMI*戸£戟 A-ddfessG-1:63/40联通G-2:2/28铁通G-3:222.88.1

3、1.82/40电信J*G-4 : 2、配置默认路由内联接口地址，连接防火墙现网共有3条ISP链路，要将每条链路的网关进行添加，具体如下：命令行配置LP-Master#3、配置内网回指路由4、配置地址转换地址转换主要包括内部用户的联网和服务器被访问两部分，这两部分在负载均衡上面分别采用 Dynamic NAT和Static PAT 这两种NAT来实现，把内部的IP地址和服务器的IP地址分别对应每条ISP都转换成相应的公网IP地址。DynamicNAT是多对一的映射，并且改变用户的源端口，而且是单向的，只能出，不能进。Lin kProof > Smart NAT &

4、gt; Dyn amic NAT Table > CreateFdeDeviceBndg®R)OUt«fLrnkPraofHealth MontorjngRepcflinSecutity0WMClassesPtrforfnafitServit&$Global ConjurationFilmsStiversrs Servers5町軻 LB par?mel«5Flow Wn旳EmgnTChantsVirtual IPSmart MATPrOXrrllilyDNS ConficuralionLoad Balancing Algorithms »D

5、ynamk: NAT Table CreateR&uteri Servers FirewaH ServersFrom Sc廟 IP 0 0 0 QSeiver IP218 2S 6J 161-Redundancy Mod* Reguiaf *P I Server IP Dyiunnic NAT IP Recfunctency ModeNo MA7 TabFeSidtit fLAT TqLiIeBsic blAT Tablf?Drishis MAT TableTa Locaf IP fl 0 0 0Dynamic 卜 1AT IP 0 0 0 0Set Cance:WWW.2CTO.CO

6、MFrom local IP :被转换地址的起始地址;To local IP :被转换地址的结束地址;Server IP :对应的ISP的网关；Dyn amic NAT IP :转换后的公网地址。命令行配置LP-Master#IP的不同端口映射到不Static PAT是从外到内的一对多的映射，用来将同一公网同的内网服务器，而且是单向的，只能进，不能出。Lin kProof > Smart NAT > Static PAT Table > CreateStatic PAT Table CreateInternal NPProtocolExtern Al |PStatic PAT

7、 Mod咛DU©! 0 n o oCntemal Port.0Server IP213 29 63 161Ext® rr* si Port0Static PATdofa ,* 址Z* JSUWWW.2CTO.COMSet命令行配置LP-Master#5、就近性(Proixmity)配置就近性(Proiximity)，可以为用户带来更好的网络访问服务。内网用户访问In ternet ， radware lin kproof 可以检测到目的地最快的链路；外网用户访问内网服务器，radware linkproof可以解析最佳链路上的公网IP给用户。全局配置首先我们需要全局开启Pr

8、oximity ，默认是No Proximity。如果只使用静态态表,则选择Static Proximity ;如果只使用出向流量，则选择Full ProximityOutbou nd;只使用入向，则选择 Full Proximity In bou nd ;如果同时使用双向，动态和静态同时使用，则选择Full Proximity Both，一般情况都选择这个。Lin kProof > Proximity > Proximity Parameter > GeneralFikD时供SridgtRQWtEF阿IWHpilm McflflKingRtpoitmQBWWGMnl Gon

9、figurfliion卜FarmsSfinffrs*LBk1 FlswM*n缚mgifi iClienlt岸W讪1 IP胡Nppfrd IPSmart NATPr6 thirtyDhlSCCigur-ion1 *!1A*. A-GeneralSat'C PmimiiT2PuB Puximity Both *Proximity Parameters - GeneralPfoxirnfty ModeMain DNS：0 0.0.0Full Proximity Both0.0 0.0W»A/W 2CTO.COMProxinirty Aging Period (min):1440FU

10、se router mode decisions inside proxinirty:enable *Proximity Subnet Mask:26& 256 248 0J珏Backup DNS:Proximity Mode: Full Proximity BothProximity Agi ng Period (min): 1440/天。Proximity Sub net Mask: /这里配置为1天默认为2880分钟，2就近表条目网络地址的最小单位6、静态就近表配置有时候，在链路稳定的情况下，我们更多地希望使用静态的就近表，即访问电信的 IP只从电信的

11、链路出去访问；访问联通的网站只从联通链路出去。这时，我们可 以设置静态就近表。如果静态就近表的内容查到，则按静态表的规则去访问。如果 没查到，如果配置的是Full Proximity ， radware linkproof则发起动态就近性检查；如果配置的是 Static Proximity，贝U radware linkproof 就做负载均衡，没有就近性。Lin kProof > Proximity > Static ProximityFileDeviceBridgeRouterGlobal ConfigurationFarmsServersContent LB Pararnel

12、ersFlow ManagementLinkProofClienisHealih MonitoringReportingSecurityBWClassesPerformanceVirtual IPMapped IP TableSnarl NATProximityDNS ConfigurationNHR1 HHR2DeleteProximity Parameters Static ProximityStatic Proximity Table CreateFrom Address.NHR 1 -NHR 3:54210 1 1 1WWW 2CTO COM7、特殊应用会话老化

13、时间配置比如有一些特殊应用端口，比如游戏端口,QQ，MSN等特殊应用，它们的会话表老化时间会比一般应用的要长许多，如果把这类应用的会话表按常规处理，可能会带来访问的问题。比如某个游戏一开始使用电信IP访问，会话表老化后，由于负载均衡的策略，这个会话转而使用联通的IP去访问，远端服务器有可能对用户的IP进行验证，从而造成访问的问题。这时候我们需要将这类应用的会话表老化 时间调长。如果直接将所有会话表的时间都调长，则会造成会话表过大，影响性能和负载均衡的效果。相反，对于DNS类的应用，我们可以将其调整得短一些。LinkProof >Global Configuration > Agin

14、g By Application PortFdeDevicetJudgeRouterUnit ProofH&lth MonitoringRtruarliaF armakSpiersIR PrarftteriF IvwCllRHlS卜GeneralCkemDelayed BindTwt jht-Rules Tah0Alias PortsFor! LE3 SlamsGlobal Co FigurationVtrtuat IPGenera!Ayiny By App|ic»lion PortWWW.2CTC.COM命令行配置如下:应用端口LP-Master# Ip global cl

15、ient-table application-aging-time create <号> -at < 时长>Ip global client-table application-aging-time create 4000 -at 1800 Ip global client-table application-aging-time create 8000 -at 1800 lp global clie nt-table applicatio n-agin g-time create 443 -at 600 lp global clie nt-table applicat

16、io n-agin g-time create 5555 -at 600 lp global clie nt-table applicatio n-agin g-time create 7005 -at 600 lp global clie nt-table applicatio n-agin g-time create 7206 -at 600 lp global clie nt-table applicatio n-agin g-time create 7207 -at 600 lp global clie nt-table applicatio n-agin g-time create 720