資源描述:
《防火墻負載均衡原理》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、企業(yè)級IT項目實戰(zhàn)第一品牌——專注所以專業(yè)www.combat‐lab.com防火墻負載均衡原理F5Bigip應(yīng)用交換機實現(xiàn)防火墻負載均衡標準結(jié)構(gòu)及闡述企業(yè)級IT項目實戰(zhàn)第一品牌——專注所以專業(yè)www.combat‐lab.com防火墻負載均衡原理一、為什么需要對防火墻進行負載均衡?1、消除性能瓶井:單臺防火墻性能不夠;隨著網(wǎng)絡(luò)流量的增加,單臺防火墻可能成為網(wǎng)絡(luò)的瓶井。通過實現(xiàn)防火墻的負載均衡,橫加增加防火墻的數(shù)量,又保護了原有投資。2、提高設(shè)備利用率:處于Active/Standy雙機模式的防火墻可以轉(zhuǎn)換成Active
2、/Active方式。3、提高系統(tǒng)的擴展性:采用負載均衡器對防火墻進行負載均衡,系統(tǒng)的擴展性大大增加,可以隨著網(wǎng)絡(luò)流量的增加,橫加增加防火墻的數(shù)量,而且新增加的防火墻并不局限在同一型號。二、防火墻負載均衡的典型網(wǎng)絡(luò)架構(gòu):對一進一出的二路防火墻,一般采用如下圖的防火墻三明治結(jié)構(gòu)(在實際應(yīng)用環(huán)境中,為了防止網(wǎng)絡(luò)中出現(xiàn)單點故障,負載均衡器往往會采用雙機結(jié)構(gòu),具體的網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計請參考<<F5Bigip應(yīng)用交換機實現(xiàn)防火墻負載均衡標準結(jié)構(gòu)及闡述>>):如果是采用Untrust,Trust,DMZ的三路防火墻,則防火墻負載均衡的典
3、型拓撲結(jié)構(gòu)如下:企業(yè)級IT項目實戰(zhàn)第一品牌——專注所以專業(yè)www.combat‐lab.comInterneeRouterARouterBDMZ對于三路防火墻的負載均衡,在一個無單點故障的網(wǎng)絡(luò)設(shè)計中要采用六臺負載均衡器。另外在三路防火墻負載均衡的設(shè)計中,針對防火墻的健康檢查要特別當心、精心設(shè)計。三、為什么需要防火墻負載均衡需要采用三明治的結(jié)構(gòu)?目前的絕大多數(shù)防火墻都是基于連接狀態(tài)檢測的防火墻,也即是說對于構(gòu)成完整用戶會話的雙向數(shù)據(jù)流進行監(jiān)控,以確定數(shù)據(jù)流的合法性。當采用多臺防火墻對網(wǎng)絡(luò)流量進行負載均衡時,如果數(shù)據(jù)流處理不
4、當,可能出現(xiàn)的情況是對構(gòu)成同一個用戶會話的雙向數(shù)據(jù)包,在多臺防火墻上進行處理,而每一個防火墻上都看到到完整的用戶會話信息。而防火墻如果看不到完整的用戶會話信息,就會將該數(shù)據(jù)包當作非法訪問而拋棄掉。只有采用三明治結(jié)構(gòu),通過在防火墻的兩端都設(shè)置四層交換機,四層交換機可以在作流量分發(fā)的同時,維持用戶會話的完整性,使對某一用戶的同一會話產(chǎn)生的雙向數(shù)據(jù)包始終都由同一臺防火墻來處理,而使防火墻得于在負載均衡環(huán)境下還可以正常工作。四、F5Bigip應(yīng)用交換機對防火墻作負載均衡時所用到的主要功能:利用F5Bigip應(yīng)用交換機對防火墻作負
5、載均衡時,與用F5Bigip應(yīng)用交換機對服務(wù)器作負載均衡時類似,都是需要將防火墻放在一個Pool里面,然后根據(jù)Pool的負載均衡算法在防火墻之間進行流量分發(fā)。但為了支持防火墻負載均衡器上,F(xiàn)5Bigip應(yīng)用交換機有以下幾個功能是區(qū)別于服務(wù)器負載均衡的:?LastHop功能Bigip上的LastHop功能,又叫基于連接的路由(PerConnecitonRouting),是用于當回應(yīng)的路據(jù)包需要經(jīng)由相鄰企業(yè)級IT項目實戰(zhàn)第一品牌——專注所以專業(yè)www.combat‐lab.com的傳輸最初發(fā)起訪問數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備時。如下圖:
6、InternetRouter200.1.1.0/24FW#2201.1.1.0/24BIG-IP202.1.1.0/24當一個客戶發(fā)起到內(nèi)網(wǎng)服務(wù)器訪問,假設(shè)他是經(jīng)由防火墻1進來(如褐色線條所示),當服務(wù)器接受到這次訪問而產(chǎn)生回應(yīng)時,回應(yīng)的數(shù)據(jù)包首先到達內(nèi)網(wǎng)的負載均衡器,這時負載均衡器即可以將加應(yīng)的數(shù)據(jù)包經(jīng)回防火墻1發(fā)出去,也可以經(jīng)由防火墻2發(fā)出去。根據(jù)基于狀態(tài)防火墻的工作特點,對于同一連接的雙向數(shù)據(jù)須經(jīng)由同一防火墻處理。而Bigig的LastHop功能是可以實現(xiàn)這一點,當內(nèi)網(wǎng)的負載均衡器首次接收到用用戶的訪問請求時,它就
7、會在它的連接表中創(chuàng)建一條LastHop記錄,記錄本次連接發(fā)起請求是由哪個設(shè)備傳送過來的(俗稱最后一跳記錄,實際上就是該設(shè)備的MAC地址,本例中就是防火墻1內(nèi)網(wǎng)卡的MAC地址)。當它收到服務(wù)器回應(yīng)的數(shù)據(jù)包時,它可以識別出這個回應(yīng)數(shù)據(jù)包所屬的連接,并查找出這一連接所對應(yīng)的LastHop記錄,并將服務(wù)器回應(yīng)包發(fā)給那臺設(shè)備――防火墻1。如果用戶再次發(fā)起一個新的連接,假設(shè)這一次,外網(wǎng)的負載均衡器將它負載均衡到了防火墻2上(如藍色線條所示),這時能過內(nèi)網(wǎng)的負載均衡器的LastHop功能,由服務(wù)器對本次連接請求所回應(yīng)的數(shù)據(jù)包將都由防火
8、墻2出去。注:如果對負載均衡器的四層連接表有疑問,請對考服務(wù)器負載均衡工作原理。企業(yè)級IT項目實戰(zhàn)第一品牌——專注所以專業(yè)www.combat‐lab.com?Transparent健康檢查功能BigipTransparent健康檢查功能是指Bigip對某一非相鄰節(jié)點(非相鄰節(jié)點是指與Bgip的SelfIP不在同一網(wǎng)