RADWARE之链路负载均衡配置解析

RADWARE之链路负载均衡配置解析网络描述：网络出口共有3条公网线路接入，一台RADWARE直接连接三个出口ISP做链路负载均衡，来实现对内部服务器访问和内部对外访问流量的多链路负载均衡。设计方案：1、RADWARELINKPROOF设备部署在防火墙外面，直接连接出口ISP2、防火墙全部修改为私有IP地址，用RADWARELINKPROOF负责将私有IP地址转换成公网IP地址；3、防火墙的DMZ区跑路由模式，保证DMZ区服务器的正常访问；4、RADWARELINKPROOF利用SmartNAT技术，分别在每链路上配置NAT地址，保证内部服务器的联网。WWW.2CTCCOM业务系统IH—WWW.2CTCCOM业务系统IH—IIIII亠一一**1;!-.实施过程（关键步骤）：1、配置公网接口地址InterfaceParametersCreateIPAddress.Ne-two^kIf{Jumber:FwdBroadcast:EnableBroadcastASdrVLANT赳OneIp(RculerInterfaceOnly)PefirAddressIjVWVWIPAddress.Ne-two^kIf{Jumber:FwdBroadcast:EnableBroadcastASdrVLANT赳OneIp(RculerInterfaceOnly)PefirAddressIjVWVWr2CT0.CCMG-1:63/40联通G-2:2/28铁通G-3:2/40电信G-4:G-4:/内联接口地址，连接防火墙2、配置默认路由现网共有3条ISP链路，要将每条链路的网关进行添加，具体如下:命令行配置LP-Master#Lprouteadd61Lprouteadd1Lprouteadd13、配置内网回指路由netroutetablecreate-i14netroutetablecreate-i14netroutetablecreate-i14netroutetablecreate-i14netroutetablecreate-i144、配置地址转换地址转换主要包括内部用户的联网和服务器被访问两部分，这两部分在负载均衡上面分别采用DynamicNAT和StaticPAT这两种NAT来实现，把内部的IP地址和服务器的IP地址分别对应每条ISP都转换成相应的公网IP地址。

DynamicNAT是多对一的映射，并且改变用户的源端口，而且是单向的，只能出,不能进。LinkProof>SmartNAT>DynamicNATTable>CreateFileGlobalCcrtli0uratronFileranrisBridgeRouterLi/ikPrOOfHealthMonlonngReportingSecurity日阳ChasesPejformancBSe<vi«$ServereBridgeRouterLi/ikPrOOfHealthMonlonngReportingSecurity日阳ChasesPejformancBSe<vi«$ServereC?n!en(LBPara[W?l?rsFlowManagemeptCliantsrsServtr?p'ServerJPDynamicNAfIPRedundancyMode•、SmartNAT►NoNATTablePraximity*StaticMATTabl^DNSConfigLrrsiionBa^icNATTableGdBalancingAlgariihmeD}<iam：cNATTableMappedIPTabi&DynamicMATTableCreateRoutersServersFirewallServersFromLocalIPFromLocalIPToLocalIPSeiverIP：SeiverIP：21828G3U1DynamicMATIP000-QRedundancyModsReguhf〒Cance：WWW2CTOCOMCance：WWW2CTOCOMFromlocalIP:被转换地址的起始地址;TolocalIP：被转换地址的结束地址；ServerIP：对应的ISP的网关；DynamicNATIP：转换后的公网地址。命令行配置LP-Master#lpsmartnatdynamic-natcreate5512lpsmartnatdynamic-natcreate5512

lpsmartnatdynamic-natcreateO.O.O.l556162StaticPAT是从外到内的一对多的映射，用来将同一公网IP的不同端口映射到不同的内网服务器，而且是单向的，只能进，不能出。LinkProof>SmartNAT>StaticPATTable>CreateStaticPATTableCreateFiuuteifServeisFiiewaflServersFiuuteifServeisFiiewaflServersIrrtemalIPProtocol:ExternalIPFnternalPort.ServerIP：ExlernalPori&1f0Stoti-cPATIrrtemalIPProtocol:ExternalIPFnternalPort.ServerIP：ExlernalPori&1f0Stoti-cPATMad-o:RogularStaticPATCancelWWW2CT0COM命令行配置LP-Master#lpsmartnatstatic-patcreate3110tcp30110-pn110maillpsmartnatstatic-patcreate088tcp616888-pn88xinlpsmartnatstatic-patcreate380tcp617080-pn80gonglpsmartnatstatic-patcreate321tcp617021-pn21ftplpsmartnatstatic-patcreate480tcp10:80-pn80ser5、就近性(Proixmity)配置就近性(Proiximity)，可以为用户带来更好的网络访问服务。内网用户访问Internet,radwarelinkproof可以检测到目的地最快的链路；外网用户访问内网服务器，radwarelinkproof可以解析最佳链路上的公网IP给用户。全局配置

首先我们需要全局开启Proximity,默认是NoProximity。如果只使用静态态表,则选择StaticProximity；如果只使用出向流量，则选择FullProximityOutbound；只使用入向，则选择FullProximityInbound；如果同时使用双向，动态和静态同时使用，则选择FullProximityBoth,—般情况都选择这个。LinkProof>Proximity>ProximityParameter>GeneralFife0扁购BridgePouterHeslthMofifoiingReportingS^cuiicyewwClause?Fife0扁购BridgePouterHeslthMofifoiingReportingS^cuiicyewwClause?P^rfoimanctG毗*1C哋u圖血KFamrrsk:卜C<>nlerilLBParameters*FIqw^si「申界m*讯卜Ciienls吶11MlIP►MsppeifIP7aH»SntanNAT►Pfix舟ityDNSCoiafigur^tiQnI1■-GeneralpfoxmftyStaticP'OKinnitjFullProxirnhyBothGeneralParameter►ProximityAgingPeriod(min}:1440'Useroutermodedecisionsinsideproximity:ena&l&v.BackupDNS'ProximitySubnetMask:256256.2480WWW2CTOCOMProximityParameters-GeneralBackupDNS'ProximitySubnetMask:256256.2480WWW2CTOCOMProximityMode:FullProximityBoth卜MainDNS0.00.0ProximityMode:FullProximityBothProximityAgingPeriod(min):1440//这里配置为1天，默认为2880分钟,2天。ProximitySubnetMask://就近表条目网络地址的最小单位6、静态就近表配置有时候，在链路稳定的情况下，我们更多地希望使用静态的就近表，即访问电信的IP只从电信的链路出去访问；访问联通的网站只从联通链路出去。这时，我们可以设置静态就近表。如果静态就近表的内容查到，则按静态表的规则去访问。如果

没查到，如果配置的是FullProximity,radwarelinkproof则发起动态就近性检查；如果配置的是StaticProximity,则radwarelinkproof就做负载均衡，没有就近性。LinkProof>Proximity>StaticProximityFileDevreeBridgeRouterLinkProofFileDevreeBridgeRouterLinkProofHealthMonitoringReportingSecurity8WMClassesPerformancejjlobalConfiguration►Farm^卜Server^'ContentLBParamstVFiowManagement卜Clients卜■VirtualIPMappedIPTableSmart.忖AT卜Proximity►DNE!：Qonfiguration卜iNHR1NHR2NHR3Proximity'Parameters-卜StaticProximity'D&l&teStaticFrojdmityTableCreateNHR1:NHR3:FromAddress:ToAddress:NHR2:54WWW2CTO.COMNHR1:NHR3:FromAddress:ToAddress:NHR2:54WWW2CTO.COM7、特殊应用会话老化时间配置比如有一些特殊应用端口，比如游戏端口，QQ,MSN等特殊应用，它们的会话表老化时间会比一般应用的要长许多，如果把这类应用的会话表按常规处理，可能会带来访问的问题。比如某个游戏一开始使用电信IP访问，会话表老化后，由于负载均衡的策略，这个会话转而使用联通的IP去访问，远端服务器有可能对用户的IP进行验证，从而造成访问的问题。这时候我们需要将这类应用的会话表老化时间调长。如果直接将所有会话表的时间都调长，则会造成会话表过大，影响性能和负载均衡的效果。相反，对于DNS类的应用，我们可以将其调整得短一些。LinkProof〉GlobalConfiguration>AgingByApplicationPortFileDeviceBudgeFileDeviceBudgeRouterUnkPnaofHealthMonitoringR-enortinaGloball-omigurstionJGe?n©r$ilFarms卜ClientTable►GensrslS-eivers卜DelayedBiirrdA^ingByA.p[jl-ic3iiQ：iPonCnntpntLBParstrrifit►Tweaks^.00口FluwM^nagem^rntRulesTableClients紅嘤AL邂VirtuitFIPPonLBSutusWWW2CTO.COM命令行配置如下:LP-Master#lpglobalclient-tableapplication-aging-timecreate<应用端口号〉-at〈时长〉lpglobalclient-tableapplication-aging-timecreate4000-at1800lpglobalclient-tableapplication-aging-timecreate8000-at1800lpglobalclient-tableapplication-aging-timecreate443-at(600lpglobalclient-tableapplication-aging-timecreate5555-at600lpglobalclient-tableapplication-aging-timecreate7005-at600lpglobalclient-tableapplication-aging-timecreate7206-at600lpglobalclient-tableapplication-aging-timecreate7207-at600