LSLB | مزارع | تحديث | L4xNAT

نُشرت في 25 أكتوبر 2021

الإعدادات العمومية لملف مزرعة L4xNAT

The L4xNAT farm profile creates LSLB farms that operate at layer 4 with exceptional performance, offering more simultaneous connections compared to load balancer cores at layer 7. The improved performance at layer 4 offsets the advanced content handling capabilities of a layer 7 farm profile.

Unlike layer 7 farm profiles that only support ports 80 and 443, the L4xNAT farm profile utilizes multiple ports, including port ranges.

This section provides a detailed explanation of the required commands for configuring an L4xNAT farm profile. We highly recommend using Farmguardian in conjunction with this profile to monitor the status of each backend configured on the farm since this profile does not include any built-in health check functionality.

يحيط علما الحالة المؤشر و الإجراءات section in the upper right corner. The Actions available in this section allow you to perform operations such as إعادة تشغيل, ابتداء، أو وقف المزرعة.

هذه هي الحالة مؤشرات اللون ومعانيها:

  • Green: يعني UP. المزرعة قيد التشغيل وجميع الواجهات الخلفية لأعلى أو تم تكوين إعادة التوجيه.
  • أحمر: يعني لأسفل. توقفت المزرعة.
  • اسود: يعني حرج. المزرعة قيد التشغيل ولكن لا توجد خلفية متاحة ، أو جميع الخلفيات في وضع الصيانة.
  • الأزرق: يعني المشاكل.. المزرعة قيد التشغيل ولكن هناك خلفية واحدة على الأقل معطلة.
  • برتقالي: يعني الصيانة. المزرعة قيد التشغيل ولكن هناك خلفية واحدة على الأقل في وضع الصيانة.

رموز الألوان هذه هي نفسها في جميع أنحاء واجهة المستخدم الرسومية. ابحث عن شرح مفصل حول رموز الألوان هذه في ملف قسم مزارع LSLB.

التكوين الأساسي

هذه هي معلمات ملف تعريف L4xNAT.

الاسم. تسمية تحدد بسهولة خدمة المزرعة. لتغيير هذه القيمة ، يجب إيقاف المزرعة أولاً. تأكد من أن اسم المزرعة الجديد ليس قيد الاستخدام بالفعل وإلا ستظهر رسالة خطأ.

IP الظاهري والمنفذ. These specify the address and port on which the farm will listen internally within the appliance. If you wish to modify these fields, ensure that the new virtual IP and virtual Ports are not currently in use by another farm. Once you have made the changes, save them, and the farm service will automatically restart.

لتحديد منفذ واحد أو مجموعة من المنافذ الافتراضية في ملف تعريف مزرعة L4xNAT ، أ نوع البروتوكول إلزامي. في حالة ضبط البروتوكول على الجميع، ستستمع المزرعة إلى جميع المنافذ من IP الظاهري. لن يكون المنفذ الافتراضي قابلاً للتعديل وسيتم تعيينه بعلامة النجمة (*).
بمجرد تحديد TCP أو UDP أو أي بروتوكول آخر ، استخدمه لتحديد منفذ أو عدة منافذ أو نطاقات منافذ.

التكوين المتقدم


نوع البروتوكول. This field lists all the supported protocols on the load balancer. By default, the farm uses the TCP بروتوكول.

  • الجميع. The farm will listen for inbound connections to the current virtual IP and port(s) over all protocols. If you selected this option, the virtual port will change to the default “*”, and you’ll not edit it. So, the farm will listen through all ports.
  • TCP. Enabling this option allows the farm to listen for inbound TCP connections to the current virtual IP and port(s).
  • UDP. Enabling this option allows the farm to listen for inbound UDP connections to the current virtual IP and port(s).
  • SCTP. Enabling this option allows the farm to listen for inbound SCTP connections to the current virtual IP.
  • SIP. Enabling this option allows the farm to listen for inbound UDP packets to the virtual IP and the default port, 5060. The farm will then parse the SIP headers of each packet to be correctly distributed to the backends.
  • FTP. Enabling this option allows the farm to listen for inbound TCP connections to the current virtual IP and the default port, 21. The farm will then parse the FTP headers of each packet to be correctly distributed to the backends. Two modes are supported: The Active and the Passive mode.
  • المبسط. Enabling this option allows the farm to listen for inbound UDP packets to the current virtual IP and the default port, 69. The farm will then parse the TFTP headers of each packet to be correctly distributed to the backends.
  • PPTP. Enabling this option allows the farm to listen for inbound TCP connections to the current virtual IP and port. The farm will then parse the PPTP headers of each packet to be correctly distributed to the backends.
  • SNMP. Enabling this option allows the farm to listen for inbound UDP packets to the current virtual IP and port. The farm will then parse the SNMP headers of each packet to be correctly distributed to the backends.

نوع NAT. The NAT Type functionality within the appliance governs all the layer 4 operations. Choosing the appropriate option for your infrastructure will depend on the specific network architecture defined in your environment.

  • NAT. The NAT mode or SNAT (source NAT) uses the farm’s Virtual IP as the source IP address to connect to the backend servers. Therefore, the backend servers shouldn’t know the original source IP address of a web client at TCP, UDP, or any other layer 4 protocol. This way, the backend responds to the load balancer, then the load balancer will respond to the client. This topology permits the deployment of a one-armed load balancer (load balancing with 1 network interface).

    طبقة 4 المصدر NAT طوب طوب

  • DTA. In DNAT (Destination NAT) mode, we shall use the client IP address to connect with a backend server. As a result, the backend will directly respond to the client IP. In this case, the load balancer IP should be configured as the backend’s default gateway, effectively separating the backend network from the client service network. This topology establishes transparency between clients and backends.

    طبقة 4 وجهة طوب NAT ليرة لبنانية

  • DSR. In DSR mode, the client connects to the load balancer’s Virtual IP (VIP). The load balancer then alters the Destination MAC address by changing it to that of a backend server without changing any IP address. However, all backend servers must be on the same network as the load balancer. When a backend server receives and processes the request, it directly responds to the client, bypassing the load balancer.

متطلبات DSR:

  1. VIP و الخلفيات must be in the same network
  2. ميناء الظاهري and the Backend الموانئ يجب أن تكون هي نفسها
  3. One must configure the backends loopback interfaces with the same عنوان IP كما VIP configured in the load balancer and disable ARP في هذه الواجهة

لينكس الخلفية

# ifconfig lo:0 192.168.0.99 netmask 255.255.255.255 -arp up

تعطيل استجابات ARP غير الصالحة في الخلفية.

# echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
# echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

النوافذ الخلفية

  1. إبدأ->الإعدادات->لوحة التحكم->Network and Dial-up Connections.
  2. انقر بزر الماوس الأيمن فوق محول الشبكة وانقر فوق عقارات
  3. فقط بروتوكول الإنترنت needs to be selected (remove the selection of “Client for MS Networks” and “File and Printer sharing”)
  4. TCP/IP Properties->enter IP address of the VIP in ZEVENET ADC farm. The default gateway is not required and the mask is 255.255.255.255
  5. Set Interface Metric to 254. This configuration is required to stop replying any ARP response to the VIP
  6. صحافة OK وحفظ التغييرات.

First, configure the strong host security model to enable traffic reception from ZEVENET ADC on the NIC interface. Additionally, allow ZEVENET ADC to send and receive traffic through the default NIC interface. Open the command prompt as an administrator and execute the three provided commands.

netsh interface ipv4 set interface NIC weakhostreceive=enabled
netsh interface ipv4 set interface loopback weakhostreceive=enabled
netsh interface ipv4 set interface loopback weakhostsend=enabled

ملاحظة: Change the NIC and loopback to the default Interface Names of your Windows computer.

عديمي الجنسية DNAT. With Stateless DNAT, the load balancer modifies the destination address to the backend address and passes it on without keeping track of any connection details. This approach reduces the burden on the system as it is implemented early in the data flow. It is most suitable for layer 4 protocols with heavy traffic and for protocols that are not focused on maintaining connections or streams, like RTP or SYSLOG UDP واسطة.

سجلات. To save the details about the connections received on the farm, enable the سجل command. This is only recommended for debugging or monitoring purposes because it will slow traffic handled by the load balancer.

إعدادات الخدمة

توفر الخدمة التي تم إنشاؤها في طبقة L4 خيارات التكوين التالية لإدارة مسارات البيانات وسلوكيات الاتصال.

جدولة موازنة التحميل. This field specifies the load balancing algorithm to be used for determining the backend server. By default, the load balancing algorithm will الوزن: اتصال خطي الإرسال حسب الوزن

  • الوزن: اتصال خطي الإرسال حسب الوزن. يوازن الاتصالات بناءً على قيمة الوزن التي تم تعيينها لكل خلفية. يتم تسليم الطلبات باستخدام خوارزمية احتمالية باستخدام الوزن المحدد.
  • تجزئة المصدر: تجزئة لكل مصدر IP و منفذ مصدر. يوازن الحزم التي تطابق نفس IP المصدر والمنفذ إلى نفس الواجهة الخلفية باستخدام جدولة التجزئة.
  • تجزئة مصدر بسيط: تجزئة لكل مصدر IP فقط. يوازن الحزم التي تطابق نفس IP المصدر لنفس الواجهة الخلفية باستخدام جدولة التجزئة.
  • هاش متماثل: تجول ذهابا وإيابا لكل IP والميناء. يوازن الحزم التي تطابق نفس المصدر IP والمنفذ ، و IP الوجهة والمنفذ. لذلك ، يمكن تجزئة الاتصال في كلا الاتجاهين (أثناء الوارد والصادر).
  • جولة روبن: اختيار الخلفية المتسلسلة. إنه يوازن بين كل اتصال وارد في الخلفية ، ويتحول بالتتابع بين الخلفيات.
  • أقل الاتصالات: الاتصال دائمًا بأدنى خادم اتصال. يحدد الواجهة الخلفية مع أقل عدد من الاتصالات النشطة لضمان موازنة حمل المرور للطلبات النشطة مع حمل حركة المرور للخادم الحقيقي المتاح الأكثر اتصالاً.

إصرار

حدد المثابرة. This field determines persistence is to be used in the configured farm. By default, لا استمرار .

  • لا استمرار. لن تستخدم المزرعة أي ثبات بين العميل والخلفية.
  • IP: مصدر IP. باستخدام هذا الخيار ، ستقوم المزرعة بتعيين نفس الخلفية لكل اتصال وارد اعتمادًا على المصدر عنوان IP فقط.
  • ميناء: ميناء المصدر. باستخدام هذا الخيار ، ستقوم المزرعة بتعيين نفس الخلفية لكل اتصال وارد اعتمادًا على ملف منفذ المصدر فقط.
  • MAC: مصدر MAC. باستخدام هذا الخيار ، ستقوم المزرعة بتعيين نفس الخلفية لكل اتصال وارد اعتمادًا على طبقة الارتباط عنوان MAC من الحزمة.
  • مصدر IP ومصدر المنفذ. باستخدام هذا الخيار ، ستقوم المزرعة بتعيين نفس الخلفية لكل اتصال وارد اعتمادًا على كليهما ، IP المصدر و منفذ المصدر.
  • مصدر IP ومنفذ الوجهة. باستخدام هذا الخيار ، ستقوم المزرعة بتعيين نفس الخلفية لكل اتصال وارد اعتمادًا على كليهما ، IP المصدر و منفذ الوجهة.

Farmguardian

L4xNAT farms lack built-in health checks for backends, making it necessary to configure Farmguardian for this virtual service.

You can assign either the default or personalized advanced health checks to this service from any existing farmguardian تحقق.

لمزيد من المعلومات حول Farmguardian ، انتقل إلى رصد >> Farmguardian والقسم الخاص به.

Notice that after selecting the farmguardian, it will be automatically applied to the farm.

الخلفيات

في هذا القسم ، ستتمكن من تعديل تكوينات الخلفيات أو إضافة تكوينات جديدة إلى مزرعة معينة.

إنشاء الخلفية. This button will show the أضف الخلفية form when clicked. The configurations are meant to add a new backend to a given farm.

  • الاسم المستعار. يعرض هذا الحقل القائمة المنسدلة مع جميع الأسماء المستعارة للواجهة الخلفية المتاحة.
  • IP. عنوان IP الخاص بطبقة الشبكة لاستخدامه عند إعادة توجيه حركة المرور إلى الواجهة الخلفية.
  • ميناء. المنفذ الذي سيتم استخدامه عند إعادة توجيه حركة المرور إلى الواجهة الخلفية.
  • درجة الأهمية. قيمة الأولوية للخادم الحقيقي الحالي. القيم الأقل لها أولوية أعلى. قيمة أولوية الخدمة الافتراضية هي 1. عند فشل الواجهة الخلفية ، ستتم زيادة أولوية الخدمة بمقدار 1. عندما يتم تشغيل الواجهة الخلفية مرة أخرى ، ستنخفض قيمة أولوية الخدمة بمقدار 1. تحتوي الخلفيات النشطة على قيم أولوية أقل من أو تساوي أولوية الخدمة.
  • ماكس. Conns. عدد الاتصالات التي سيسمح لها بالاتصال بالواجهة الخلفية. إذا تم الوصول إلى الحد الأقصى ، فسيتم تجاهل الاتصالات الجديدة.
  • الوزن. وزن الواجهة الخلفية لموازنة حركة المرور عند تعيين خوارزمية الوزن. يحدد هذا الوزن مدى تفضيل الواجهة الخلفية مقابل الخلفيات الأخرى. يسمح هذا الحقل بقيم صحيحة أعلى من أو تساوي 1 (أدنى قيمة).

إجراءات جملة. على يمين إضافة خلفية، سترى الإجراءات التالية التي يمكن تنفيذها لخلفية واحدة أو أكثر في نفس الوقت.

معظم الإجراءات المنسدلة
الإجراءات: هذه هي إجراءات تكوين الخلفيات.

  • تمكين الصيانة. هذا الإجراء متاح إذا كانت الواجهة الخلفية تعمل. يضع خادمًا خلفيًا حقيقيًا في وضع الصيانة. لذلك ، لن يتم إعادة توجيه أي اتصالات جديدة إليه. هناك طريقتان لتمكين وضع الصيانة:
    • وضع الصرف. Keeps the established connections and persistence if enabled, but will not accept new connections.
    • قطع الوضع. مباشرة يسقط جميع الاتصالات النشطة ضد الخلفية ، وإغلاق أي اتصال بين الواجهة الخلفية والعملاء
  • تعديل. يفتح نموذج التحرير ، مثل نموذج الإضافة ، لتغيير أي قيمة خلفية.
  • تعطيل الصيانة. هذا الإجراء متاح فقط إذا كانت الواجهة الخلفية في وضع الصيانة. سيمكن إعادة توجيه الاتصالات الجديدة إلى الخادم الخلفي مرة أخرى.
  • حذف. قم بإزالة الخادم الخلفي للخدمة الافتراضية. إذا كان للواجهة الخلفية اسم مستعار ، فلن يتم حذف الاسم المستعار.

الخلفيات. يوضح هذا الجدول جميع الخلفيات التي تم تكوينها بالفعل في المزرعة.

  • الاسم المستعار. اسم مستعار للخلفية إذا تم تعريف اسم مستعار سابقًا للواجهة الخلفية.
  • IP. عنوان IP للواجهة الخلفية حيث سيتم إعادة توجيه الاتصالات.
  • ميناء. المنفذ الذي سيتم إعادة توجيه الاتصالات إليه في الخلفية. اذا كان فارغة مسافة أو علامة النجمة'*' تم تعيينه ، ستتم إعادة توجيه الاتصالات إلى نفس المنفذ الذي تم استلامه.
  • درجة الأهمية. قيمة الأولوية لخادم الواجهة الخلفية. القيمة المقبولة هي عدد صحيح أعلى أو يساوي 1. تشير القيمة الأقل إلى أولوية أعلى للخادم الحقيقي الحالي. بشكل افتراضي ، سيتم تعيين قيمة الأولوية 1.
  • الوزن. قيمة الوزن للخادم الحقيقي الحالي. تشير القيمة الأعلى إلى توصيل المزيد من الاتصالات إلى الواجهة الخلفية الحالية. بشكل افتراضي ، سيتم تعيين قيمة وزن قدرها 1.
  • ماكس. Conns. ستكون هذه القيمة هي الحد الأقصى لعدد التدفقات أو الاتصالات المنشأة بخلفية معينة. إذا تم الوصول إلى حد العملاء المتصلين بخلفية معينة ، فلن تقبل الواجهة الخلفية مزيدًا من حركة المرور. سيعيد العميل الاتصال بخلفية أخرى مناسبة. القيمة الافتراضية هي 0 ، مما يعني أنها غير محدودة.

قواعد IPDS لمزارع L4xNAT

يتيح لك هذا القسم تمكين قواعد IPDS. تعرض القائمة أنواع مختلفة من الحماية ومربع اختيار لتمكينها. لمزيد من المعلومات يرجى الدخول إلى IPDS >> قوائم سوداء لقواعد, IPDS >> قواعد DoS, IPDS >> قواعد RBL or IPDS >> قواعد WAF وثائق محددة.

عرض zevenet ipds

لكل نوع من أنواع قواعد IPDS الأربعة ، القائمة السوداء ، و DoS ، و WAF ، و RBL ، هناك جدولين ، متاحين وممكّنين. يوجد أيضًا رمز سلسلة. تحت الجدول المتاح ، سترى أن جميع القواعد المتاحة من نفس النوع ، ويمكن تطبيقها على مزرعة معينة. فيما يتعلق بالجدول الممكّن ، سترى أن القواعد المطبقة على المزرعة المحددة من نفس النوع. يوجد أيضًا رمز حالة لكل قاعدة يوضح ما إذا تم إيقاف القاعدة (أحمر اللون) اللون أو إذا كان يعمل (اللون الاخضر).

يمكن الوصول إلى كل قاعدة من خلال النقر على أيقونة التحرير التي تسمح لك بتغيير معلمات القاعدة أو حتى بدء / إيقاف القاعدة. لن تتمكن من إنشاء قاعدة جديدة داخل عرض المزرعة هذا. قم بتغييره من خلال IPDS والقسم الخاص به.

أضف قاعدة من خلال النقر على القاعدة المطلوبة متبوعة بالضغط على السهم المفرد الأيمن. أو يمكنك تحديد أكثر من واحد عن طريق الضغط على مفتاح Shift وتحديد القواعد التي تريد إضافتها في نفس الوقت. سوف تنقر بعد ذلك على السهم المفرد الأيمن. يمكنك أيضًا إضافة جميع القوائم السوداء المتاحة بالنقر فوق السهم المزدوج الأيمن.

لحذف قاعدة أو أكثر ، حددها وانقر على السهم الأيسر أو انقر على السهم المزدوج لإزالة الكل.

مشاركة مع :

وثائق بموجب شروط رخصة جنو للوثائق الحرة.

هل كان المقال مساعدا؟!

نعم لا

مقالات ذات صلة