《防火墙负载均衡原理》由会员分享,可在线阅读,更多相关《防火墙负载均衡原理(12页珍藏版)》请在金锄头文库上搜索。
1、 F5 Biggip 应应用用防防 用用交交换换防防火墙火墙负负 换换机机实实 及及企负负载载均均 实实现防现防火火 及及阐阐述述企业级 IT 项均均衡衡原原 火火墙墙负负 述述 项目实战第一原原理理 负负载均载均衡衡一品牌专 衡衡标标准准注 所以专业 准准结构结构业 m 一一 1均 23防二二出 现如一一、为什么、为什么需需 1、 消除性能 单台防火 均衡,横加增 2、 提高设备 处于 Act 3、 提高系统 采用负载 防火墙的数量二二、防火墙、防火墙负负 对一进一 出现单点故障 现防火墙负载如果是采用 U需需要对防火要对防火墙墙 能瓶井: 火墙性能不够 增加防火墙的 备利用率: tive/
2、Standy 双 统的扩展性: 载均衡器对防 量,而且新增负负载均衡的载均衡的典典 一出的二路防 障, 负载均衡 载均衡标准结Untrust, Trus防防墙墙进行负载进行负载均均够;随着网络 的数量,又保双机模式的防防火墙进行负 增加的防火墙典典型网络架型网络架构构 防火墙,一般 衡器往往会采 结构及阐述t, DMZ 的三路防防火墙火墙负负均均衡?衡? 络流量的增加 保护了原有投防火墙可以转负载均衡,系 墙并不局限在构构: 般采用如下图 采用双机结构 ): 路防火墙,则企负负载载均均加,单台防火 投资。 转换成 Active统的扩展性 在同一型号。图的防火墙三 , 具体的网络则防火墙负载企业
3、级 IT 项均均衡原衡原理理墙可能成为e/Active 方式大大增加,可三明治结构( 络拓扑结构设载均衡的典型项目实战第一理理 网络的瓶井。式。 可以随着网络在实际应用环 设计请参考型拓扑结构如一品牌专 。通过实现防络流量的增加环境中,为了 F5 Bigip 应如下: 注 所以专业 防火墙的负载加,横加增加了防止网络中 应用交换机实业 m 载加中 实墙三三 目 监 出 完 只 用 得四四 利 都 但 B对于三路 墙负载均衡的三三、为什么、为什么需需 目前的绝大多 监控,以确定 出现的情况是 完整的用户会 只有采用三明 用户会话的完 得于在负载均四四、F5 Bigi 利用 F5 Big 都是需要
4、将防 但为了支持防 Last Hop Bigip 上的 La路防火墙的负 的设计中,针需需要防火墙要防火墙负负 多数防火墙都 定数据流的合 是对构成同一 会话信息。而 明治结构,通 完整性,使对 均衡环境下还ip 应用交换应用交换机机 gip 应用交换 防火墙放在一 防火墙负载均 p 功能 st Hop 功能,Router A 负载均衡,在 针对防火墙的负负载均衡需载均衡需要要 都是基于连接 合法性。当采 一个用户会话 而防火墙如果 通过在防火墙 对某一用户的 还可以正常工机机对防火墙对防火墙作作 机对防火墙作 一个 Pool 里面 均衡器上,F5, 又叫基于连在一个无单点 的健康检查要要要采
5、用三明采用三明治治 接状态检测的 采用多台防火 话的双向数据 果看不到完整 墙的两端都设 的同一会话产 工作。 作作负载均衡负载均衡时时 作负载均衡时 面,然后根据 5 Bigip 应用连接的路由(PInterne企点故障的网络 要特别当心、治治的结构?的结构? 的防火墙,也 火墙对网络流 据包,在多台 整的用户会话 设置四层交换 产生的双向数时时所用到的所用到的主主 时,与用 F5 据 Pool 的负载 用交换机有以Per Connecitoe企业级 IT 项络设计中要采 精心设计。也即是说对于 流量进行负载 台防火墙上进 话信息,就会 换机,四层交 数据包始终都主主要功能:要功能: Big
6、ip 应用 载均衡算法在 以下几个功能on Routing),Router BD项目实战第一用六台负载均构成完整用户 均衡时,如果 行处理,而每 会将该数据包 换机可以在作 由同一台防火交换机对服务 在防火墙之间 能是区别于服是用于当回应B DMZ 一品牌专 均衡器。另外户会话的双向 果数据流处理 每一个防火墙 包当作非法访 作流量分发的 火墙来处理,务器作负载均 间进行流量分 服务器负载均应的路据包需注 所以专业 外在三路防火向数据流进行 理不当,可能 墙上都看到到 访问而抛弃掉 的同时,维持 ,而使防火墙均衡时类似, 分发。 衡的: 需要经由相邻业 m 火行 能 到 掉。 持 墙邻的这 经
7、 数在 实 它 给色 由的传输最初发当一个客 这次访问而产 经回防火墙 1 数据须经由同 而 Bigig 在它的连接表 实际上就是该 它可以识别出 给那台设备 如果用户 色线条所示) 由防火墙 2 出 注:如果发起访问数据客户发起到内 产生回应时, 1 发出去,也 同一防火墙处 的 Last Hop 表中创建一条 该设备的 MA 出这个回应数 防火墙 1 户再次发起一 ) ,这时能过 出去。 果对负载均衡Inte据包的网络设内网服务器访 回应的数据 也可以经由防 处理。 功能是可以实 条 Last Hop 记 AC 地址, 本例 数据包所属的 1。 一个新的连接 内网的负载均衡器的四层连ern
8、et 设备时。如下访问,假设他 据包首先到达 防火墙 2 发出实现这一点, 记录, 记录本 例中就是防火 的连接,并查接,假设这一 均衡器的 La连接表有疑问200.1201.1202.1BIGRoFW #2企下图: 他是经由防火 达内网的负载 出去。根据基, 当内网的负 次连接发起请 火墙 1 内网卡 查找出这一连一次,外网的 st Hop 功能问,请对考服.1.0/24 .1.0/24 .1.0/24 G-IP outer 企业级 IT 项火墙 1 进来 载均衡器,这 基于状态防火负载均衡器首 请求是由哪个 的 MAC 地址 连接所对应的的负载均衡器 能,由服务器服务器负载均项目实战第一(
9、如褐色线条 时负载均衡器 墙的工作特点首次接收到用 个设备传送过 址)。 当它收到服 Last Hop 记录将它负载均衡 对本次连接请衡工作原理一品牌专 条所示) ,当服 器即可以将加 点,对于同一用户的访问请 过来的(俗称最 服务器回应的 录,并将服务衡到了防火墙 请求所回应的。 注 所以专业 服务器接受到 加应的数据包 一连接的双向求时, 它就会 最后一跳记录 的数据包时, 务器回应包发墙 2 上(如蓝 的数据包将都业 m 到 包 向会 录,发蓝 都都 的 有注五五 Transpar Bigip 网段的某一 Trans 在对 均衡器不应 墙与负载均 态。 例如通 负载均衡器 证明防火墙 防
10、火墙 1。 Transpar Trans 注:如果对 用户手册。 Network Netw 起到 VIP 的 202.96.128 所对应的资 WildCast WildC在F5 都是 Transpa 的 Network V 有一个。而且注:如果对 B五五、F5 Bigi 以下rent 健康检查 Transparent 一节点)进行健 sparent 健康检 防火墙负载均 应该再将网络 均衡相邻的链通过 Transpa 器上的某一 V 墙 1 所使用的rent Virtual S sparent Virtua 对 Bigip 的虚k Virtual Serve work Virtual S 的
11、作用。例如 8.1 到 202.96 资源可以是 St Virtual Serv Cast Virtual S5的Bigip实现 rent Virtual Virtual Server 且 Bigip 上的Bigip 的 Netwip 应用交换应用交换机机 图为例,来说查功能 健康检查功能 健康检查的数 检查方法可以 均衡时,负载 络流量分发到 链路故障,而arent 健康检 VIP,如果 Tr 的的内外网负ervers al Server 是指 拟服务器(Ver Server 是相对 如 Network Vi 6.128.254 的所 Server Pool、ver erver 是指 0现的
12、防火墙负 Server) ,起 r 所对应的 S EAV 健康检work Virutal S机机对防火墙对防火墙作作 说明用 F5 能是指Bigip 数据包,需要 以实现对某一 载均衡需要不 到已故障的防 而是指内外网检查功能,在 ransparent 健 负载均衡器之指不对目的地 VIP)地址转对于 Server V irtual Server 所有 IP 地址起 Forwarding0.0.0.0:0 这个负载均衡中, 在 起到了路由器 erver Pool 使 查可以保证只Server、Wild作作负载均衡负载均衡时时 Bigip 应用交企对某一非相 要经由某一指 一网络通路或 不断地检
13、查防 防火墙。而这 网负载均衡器在外网负载均衡 健康检查的结 之间的通路是地址作地址转 换工作原理有irtual Server 202.96.128. 起作用。与 或 Rules。个对所有地址在Bigip配置 上的静态路 使用静态路由 只有正常的下dCast Virtual S时时的配置过的配置过程程 交换机对防火企业级 IT 项邻节点(非相 指定相邻节点 或路径(Path)的 防火墙的健康 这里所指的防 器之间某一防衡器上可以设 结果是这一个 是可用的,外转换的虚拟服 有疑问,请参而言,Netw 0:*(假设子 Server Virtua址都有效的虚Network Virt 由功能。而区 由
14、的下一跳( 下一跳才会被Server 有疑问程程 墙作负载均衡项目实战第一相邻节点是指 点进行发送。 的连通性检查 康,当某一防 火墙的健康状 火墙所使用的设定,需要经 VIP 是可以经 网负载均衡器服务器 VIP。 参考服务器负work Virtual S 子网掩码为 25 al Server 一样拟服务器。 ual Server (一 区别于普通的 Next Hop)可 被选中来传输问请查阅 Big衡时的配置过一品牌专 指与Bgip的Se查。 防火墙发生故 状态,不仅仅 的完整网络通经由防火墙 经由防火墙 器可以将网络负载均衡工作Server 可以对 55.255.255.0 样,Netw
15、ork 一般Network 的静态路由的 可以是多个, 输数据。 gip 用户用册过程。 注 所以专业 elfIP不在同一故障时, 负载 仅是指与防火 通路的健康状1 来检查内网 1 访问到,则 络流量分发给作原理或 Bigi对一组 IP 地址 ), 可以对从 Virtual ServeVirtual Serve 的是,Bigip 上 ,而不是只能。 业 m 一载 火 状网 则 给ip址 从 erer 上 能 外网负载 Network Vi 172.16.2.0/192.168.0.00.0.0.0/0:in Monitor: Node 172.1 Node 172.1SelfIP 202.1
16、 SNAT intern202.1172172.11192.168.0.202.1.载均衡器的设 irtual Server: /24:0 fw_ext_0/16:0 fw_exnternal vlan/016.1.1 TCP Tra 16.1.2 TCP Tra1.1.1 Automa nal Vlan Auto1.1.1 2.16.1.1 16.2.1 172.1192.168.0.251 .1.254 设置: _pool 172.1xt_pool 1720 Default_GWansparent De ansparent Deap enable omap 172.1172.1616.1.254 72.16.2.254 V54 19261.1.1.1 16.
