LinkProof配置指南v435.docx
《LinkProof配置指南v435.docx》由会员分享,可在线阅读,更多相关《LinkProof配置指南v435.docx(27页珍藏版)》请在冰豆网上搜索。
LinkProof配置指南v435
LPconfigstepbystep
RADWARE北京办事处
陈亮
配置实例2
1.拓扑图:
3
2.网络层配置4
3.定义routingtable4
4.DefineNHR5
5.DefineFullhealthymonitor7
6.DefineSmartNAT8
a)StaticNATTable8
b)DynamicNAT11
7.defineDNS13
a)NametoLocalIP13
b)DNSvirtualIP15
c)DnsRespones17
8.启用SmartNAT18
9.GlobalConfiguration18
clienttablemode19
10.更改默认的负载均衡算法19
11.EnableProximity20
高级配置21
1.根据静态Proximity21
2.根据静态策略(grouping)进行分配22
a)根据目的IP地址22
b)根据不同应用24
c)根据不同源IP地址24
d)多个组协同工作25
3.根据特殊应用设置agingtime26
配置实例
LinkProofApplicationSwitch-withSynApps,DoSShield
Version:
4.35.04
该手册讲述内容为4.35.04版本
1.拓扑图:
整体配置思路:
ConfigurationnotesforbasicLPinstallation
1.DefineIPinterfacesforinternalnetworkandexternalnetworks
2.Definestaticroutes(*defaultgateway)
3.EnableSmartNAT
4.DefineNHRs
5.DefineSmartNAT
6.EnableProximity
*WhenalltheNHRsareconnectedtothesamephysicalport,onlyoneNHRhastobeconfiguredasadefaultgateway.
2.网络层配置
根据该拓扑图所示,LP需要配置三个IP地址,即一个内网,二个外网(不同ISP)。
现有连接中加入了交换机,所以对外的二个IP地址可以绑定在同一物理端口上,就无需再配置VLAN。
建立IP地址及绑定的相应端口如下:
3.定义routingtable
定义默认网关时,要特别注意,在该例中,LP上连两个ISP采用的同一物理端口,所以默认网关指向其中一个就可以。
如果是两个不同的物理端口上连不同的ISP,必需在routingtable中设置两条配置默认路由,否则,当其中设有网关的连线断掉时,LP将因为没有默认网关而无法正常工作。
4.DefineNHR
NHR代表Nexthoprouter,radware最多可支持100个。
对于多链路负载均衡,需要将各ISP上的网关定义为NHR
Open“LinkProofNextHopRouterNextHopRoutersTable”,createNHRs1.1.1.100and2.2.2.100
点击Set后,即可建立完成。
5.DefineFullhealthymonitor
Open“LinkProofNextHopRouterFullHealthMonitorTable“CreateFullPathHealthMonitorforNHR1.1.1.100and2.2.2.100
默认的,LP已经对两条链路的NHR地址进行了健康判断(在这里定义的检查只是ping的方式)。
但是,为了能更加准确判断两条链路的状况,需要设置更远的位置进行检查。
在这里,可以建立多个检查地址,并绑定在相应链路上,判断两条链路的状况。
6.DefineSmartNAT
a)StaticNATTable
StaticNAT中定义了将内部服务器分别在两条链路上映射为公网IP地址供用户访问。
Open“LinkProofSmartNATStaticNATTable”,createstaticNATforinsideserver192.168.0.212)from1.1.1.100and2.2.2.100
点击Creat添加内容。
b)DynamicNAT
DynamicNAT中定义了当内部用户访问Internet时,由LP动态将内部用户的IP地址映射为相应的ISP链路的IP地址。
Open“LinkProofSmartNATDynamicNATTable”,configureDynamicNATforinsideusersfrom1.1.1.100and2.2.2.100
点击create,添加如下记录:
如果定义内部所有IP地址,需严格按照该格式:
FromlocalIP:
0.0.0.1TolocalIP:
255.255.255.255
如果是指定的某个网段:
FromlocalIP:
192.168.0.1TolocalIP:
192.168.0.255
7.defineDNS
a)NametoLocalIP
Open"LinkProofDNSConfigurationNameToLocalIP”,ConfiguretheHostNametolocalHostIPaddress
NametoLocalIP要求管理员设置一个域名,并与在Static中设置的两条链路上的serverIP地址进行绑定。
b)DNSvirtualIP
Open"LinkProofDNSConfigurationDNSVirtualIP”,ConfiguretheVirtualDNSaddressfor1.1.1.1and2.2.2.1
DNSVirtualIP代表为LP设置一个DNS解析的服务IP地址(只能解析A记录),用户通过访问该地址进行域名解析。
c)DnsRespones
Open"LinkProofDNSConfigurationRespond”,
TTL:
指定每笔记录的过期时间。
TwoRecordsinDNSReply:
是否启用返还两个记录的方式
URLtoIPSearchMode:
▪NametoIP:
LinkProofsearchesfortherequestedURLintheNametoIPTableonly.
▪VariableNametoIP:
LinkProofsearchesfortherequestedURLintheVariableNametoIPTableonly.
▪Both:
LinkProofsearchesfortherequestedURLfirstintheNametoIPTable,andifnotfound,thensearchesfortheURLintheVariableNametoIPTable.
▪DNSResponseMode:
ThisparameterenablescustomerstodefinewhetherthedevicewillanswerDNSqueriesaccordingtoSmartNatstatusornot.InconfigurationswhereNATisperformedbydevicesittinginfrontofLinkProof(accessroutersorfirewall)theSmartNATisdisabledwhichmeansthedevicewillanswerDNSquerieswithinternalserverslocalIPaddress.Howevertobeabletoperforminboundloadbalancing,LinkProofmustbeabletoanswerDNSquerieswithpublicIPaddresses(staticNAT). Thevaluesforthisparameterinclude:
▪AccordingtoSmartNatmode(staticNATaddressifSmartNATisenabled,localIPaddressotherwise).
▪AlwaysNATIPaddress(staticNATaddress)
▪AlwaysLocalIPaddress.
8.启用SmartNAT
Open"LinkProofGlobalConfigurationSmartNAT”,Enable“SmartNAT”,
9.GlobalConfiguration
在该配置页中,可以调整LP记录clienttable的模式,对高级会话的处理。
Open"LinkProofGlobalConfiguration:
clienttablemode
settheClientTabletoLayer4
10.更改默认的负载均衡算法
在LP没有启用Proximity之前,LP是接照默认的cycle的方式进行流量转发,我们可以改变这个配置:
Open"LinkProofGlobalconfigurationgeneral”,changetheDispatchMethod:
11.EnableProximity
默认的,Proximity是没有启用的,在没有启用的情况下,LP是按照上述设置的方式进行负载均衡。
我们可以启用Proximity,由LP来根据latency及hops来进行自动选择。
Open"LinkProofProximityProximityParametersGeneral
选择Proximitymode:
为FullProximityboth.
在这里可以修改Proximity在设备里保存的时间,过期后将对地址进行重新记算。
查看Proximity表
#lpproximitydynamic-table
高级配置
1.根据静态Proximity
设置静态Proximity有助于对已知的IP地址段进行手工指定,对于Outbund流量,这个地址段可以是目标地址。
对于Inbound流量,这个地址可以是LocalDNS的地址。
OpenLinkproofProximitystaticProximity
2.根据静态策略(grouping)进行分配
a)根据目的IP地址
OpenLinkproofNHR’sadvancedConfigurationsgroupingdestinationgrouping
在该页中可以设置基于destination的策略。
为了能够让某条链路出现故障后,LP自动将请求导向另一条链路,需要基于每个目标建立两条记录,其中一个operationalmode为regular,另一个为backup。
这样,当regular链路出现故障,backup就会自动启动。
注:
如果希望根据某个具体的IP地址,需要在mask位填写255.255.255.255的掩码
b)根据不同应用
OpenLinkproofNHR’sadvancedConfigurationsgroupingapplicationgrouping
c)根据不同源IP地址
OpenLinkproofNHR’sadvancedConfigurationsgroupingsourcegrouping
注:
如果希望根据某个具体的IP地址,需要在mask位填写255.255.255.255的掩码
d)多个组协同工作
情况一
一个连接同时属于多个组,例如同时属于HTTP应用(NHR1和NHR2);源地址:
192.168.1.0/26–(NHR2和NHR3)
•只有同时符合两个组的NHR才能被选中。
•在上面这个例子里NHR2是唯一满足条件的NHR.
情况二,
如果一个连接同时属于多个组,例如同时属于HTTP应用(NHR1和NHR2);源地址:
192.168.1.0/26–(NHR2和NHR1)
•只有同时符合两个组的NHR才能被选中。
•在上面这个例子里NHR2和NHR1全都满足,这时,LP的默认配置是根据destination进行选择。
•管理员可以改变这个顺序,即在这种情况下,使用Application应用优先。
改变方法:
Openlinkproofglobalconfigurationtweaks
调整GroupingServerModeMethod即可。
注:
该操作必需重启才生效
•如果同时属于两个组的客户Proximity表项没有重叠NHR,那么链路选择将按照满足下面组的就近性选择结果优先级别选择:
•目的地址
•应用类型
•源地址
3.根据特殊应用设置agingtime
在链路负载均衡中,对于特殊应用如:
msn,qq等需要特别设置agingtime才能使这些应用正常运行,设置方法如下:
OpenLinkproofNHRadvancedconfigurationagingbyapplicationport:
常用的端口如下:
MSN:
文字聊天:
TCP1863
文件传输:
TCP6891-6900
语音传输:
UDP1863
视频传输:
TCP1863
其他端口:
UDP5190,6901
升级会员 