简介:防火墙负载均衡原理 David Wang 2004-11-30 第一篇、 防火墙负载均衡原理 一、为什么需要对防火墙进行负载均衡? 1、消 除性能瓶井:单台防火墙性能不够;随着网络流量的增加,单台防火墙可能成为网络的瓶井。通过实现 ... 关键字:防火墙 负载均衡 F5
信息披露
兰州教育学院学报>涪江
第一篇、 防火墙负载均衡原理 一、为什么需要对防火墙进行负载均衡? 1、 消除性能瓶井: 单台防火墙性能不够;随着网络流量的增加,单台防火墙可能成为网络的瓶井。通过实现防火墙的负载均衡,横加增加 防火墙的数量,又保护了原有投资。 2、 提高设备利用率: 处于 Active/Standy 双机模式的防火墙可以转换成 Active/Active 方式。 3、 提高系统的扩展性: 采用负载均衡器对防火墙进行负载均衡,系统的扩展性大大增加,可以随着网络流量的增加,横加增加防火墙的数量, 而且新增加的防火墙并不局限在同一型号。 二、防火墙负载均衡的典型网络架构: 对一进一出的二路防火墙,一般采用如下图的防火墙三明治结构(在实际应用环境中,为了防止网络中出现单点故障, 负载均衡器往往会采用双机结构,具体的网络拓扑结构设计请参考<<F5 Bigip 应用交换机实现防火墙负载均衡标准结 构及阐述>>):如果是采用 Untrust, Trust, DMZ 的三路防火墙,则防火墙负载均衡的典型拓扑结构如下:
对于三路防火墙的负载均衡,在一个无单点故障的网络设计中要采用六台负载均衡器。另外在三路防火
墙负载均衡的设 计中,针对防火墙的健康检查要特别当心、精心设计。 三、为什么需要防火墙负载均衡需要采用三明治的结构? 目前的绝大多数防火墙都是基于连接状态检测的防火墙,也即是说对于构成完整用户会话的双向数据流进行监控,以确 定数据流的合法性。当采用多台防火墙对网络流量进行负载均衡时,如果数据流处理不当,可能出现的情况是对构成同 一个用户会话的双向数据包,在多台防火墙上进行处理,而每一个防火墙上都看到到完整的用户会话信息。而防火墙如 果看不到完整的用户会话信息,就会将该数据包当作非法访问而抛弃掉。 只有采用三明治结构,通过在防火墙的两端都设置四层交换机,四层交换机可以在作流量分发的同时,维持用户会话的 完整性,使对某一用户的同一会话产生的双向数据包始终都由同一台防火墙来处理,而使防火墙得于在负载均衡环境下 还可以正常工作。 四、F5 Bigip 应用交换机对防火墙作负载均衡时所用到的主要功能:
利用 F5 Bigip 应用交换机对防火墙作负载均衡时,与用 F5
Bigip 应用交换机对服务器作负载均衡时类似,都是需要 将防火墙放在一个 Pool 里面,然后根据 Pool 的负载均衡算法在防火墙之间进行流量分发。 但为了支持防火墙负载均衡器上,F5 Bigip 应用交换机有以下几个功能是区别于服务器负载均衡的: υ Last Hop 功能 Bigip 上的 Last Hop 功能,又叫基于连接的路由(Per Conneciton Routing),是用于当回应
的路据包需要经由相邻的 传输最初发起访问数据包的网络设备时。如下图:
当一个客户发起到内网服务器访问,假设他是经由防火墙 1 进来(如褐线条所示),当服务器接受到这次访问而产生 回应时,回应的数据包首先到达内网的负载均衡器,这时负载均衡器即可以将加应的数据包经回防火墙 1 发出去,也可 以经由防火墙 2 发出去。根据基于状态防火墙的工作特点,对于同一连接的双向数据须经由同一防火墙处理。 而 Bigig 的 Last Hop 功能是可以实现这一点,当内网的负载均衡器首次接收到用户的访问请求时,它就会在它的连接 表中创建一条 Last Hop 记录,记录本次连接发起请求是由哪个设备传送过来的(俗称最后一跳记录,实际上就是该设备史东鹏
的 MAC 地址,本例中就是防火墙 1 内网卡的 MAC 地址)。当它收到服务器回应的数据包时,它可以识别出这个回应数 据包所属的连接,并查出这一连接所对应的 Last Hop 记录,并将服务器回应包发给那台设备――防火墙 1。 如果用户再次发起一个新的连接,假设这一次,外网的负载均衡器将它负载均衡到了防火墙 2 上(如蓝线条所示), 这时能过内网的负载均衡器的 Last Hop 功能,由服务器对本次连接请求所回应的数据包将都由防火墙 2 出去。 注:如果对负载均衡器的四层连接表有疑问,请对考服务器负载均衡工作原理。 υ Transparent 健康检查功能 Bigip Transparent 健康检查功能是指 Bigip 对某一非相邻节点(非相邻节点是指与 Bgip 的 SelfIP 不在同一网段的某 一节点)进行健康检查的数据包,需要经由某一指定相邻节点进行发送。 Transparent 健康检查方法可以实现对某一网络通路或路径(Path)的连通性检查。 在对防火墙负载均衡时,负载均衡需要不断地检查防火墙的健康,
当某一防火墙发生故障时, 负载均衡器不应该再将网 络流量分发到已故障的防火墙。而这里所指的防火墙的健康状态,不仅仅是指与防火墙与负载均衡相邻的链路故障,而 是指内外网负载均衡器之间某一防火墙所使用的完整网络通路的健康状态。 例如通过 Transparent 健康检查功能,在外网负载均衡器上可以设定,需要经由防火墙 1 来检查内网负载均衡器上的 某一 VIP,如果 Transparent 健康检查的结果是这一个 VIP 是可以经由防火墙 1 访问到,则证明防火墙 1 所使用的的 内外网负载均衡器之间的通路是可用的,外网负载均衡器可以将网络流量分发给防火墙 1。 υ Transparent Virtual Servers Transparent Virtual Server 是指不对目的地址作地址转换的虚拟服务器 VIP。 注:如果对 Bigip 的虚拟服务器(VIP)地址转换工作原理有疑问,请参考服务器负载均衡工作原理或 Bigip 用户手册。 υ Network Virtual Server Network Virtual Server 是相对于 Server Virtual Server 而言,Network Virtual Server 可以对一组 IP 地址起到 VIP 的作用。例如 Network Virtual Server 202.96.128.0:*(假设子网掩码为 255.255.255.0), 可以对从 202.9 6.128.1 到 202.96.128.254 的所有 IP 地址起作用。与 Server Virtual Server 一样,Network Virtual Server 所 对应的资源可以是 Server Pool、Forwarding 或 Rules。射洪县卫生局
www.10wk
υ WildCast Virtual Server WildCast Virtual Server 是指 0.0.0.0:0 这个对所有地址都有效的虚拟服务器。 在 F5 的 Bigip 实现的防火墙负载均衡中,在 Bigip 配置 Network Virtual Server(一般 Network Virtual Server 都 是 Transparent Virtual Server),起到了路由器上的静态路由功能。而区别于普通的
静态路由的是,Bigip 上的 Net work Virtual Server 所对应的 Server Pool 使用静态路由的下一跳(Next Hop)可以是多个,而不是只能有一个。 而且 Bigip 上的 EAV 健康检查可以保证只有正常的下一跳才会被选中来传输数据。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议