L4xNAT ファーム プロファイルのグローバル設定 #

L4xNAT ファーム プロファイルは、レイヤー 4 で優れたパフォーマンスで動作する LSLB ファームを作成し、レイヤー 7 のロード バランサ コアと比較して、より多くの同時接続を提供します。レイヤー 4 でのパフォーマンスの向上により、レイヤー 7 ファーム プロファイルの高度なコンテンツ処理機能が相殺されます。

ポート 7 と 80 のみをサポートするレイヤー 443 ファーム プロファイルとは異なり、L4xNAT ファーム プロファイルはポート範囲を含む複数のポートを利用します。

このセクションでは、L4xNATファームプロファイルの設定に必要なコマンドについて詳しく説明します。このプロファイルにはヘルスチェック機能が組み込まれていないため、ファームに設定されている各バックエンドのステータスを監視するには、Farmguardianを併用することを強くお勧めします。

に注意してください ステータス インジケーターと 右上のセクションにあります。このセクションで利用可能なアクションを使用すると、次のような操作を実行できます。 再起動する, 起動または 停止 農場。

これらは、 ステータス 色のインジケーターとその意味:

• グリーン： 手段 UPファームが実行中で、すべてのバックエンドが稼働しているか、リダイレクトが構成されています。
• レッド： 手段 ダウン農場は停止しました。
• ブラック： 手段 CRITICALファームは稼働していますが、利用可能なバックエンドがないか、すべてのバックエンドがメンテナンス モードになっています。
• 青： 手段 問題ファームは実行中ですが、少なくとも 1 つのバックエンドがダウンしています。
• オレンジ： 手段 メインテナンス ファームは実行中ですが、少なくとも 1 つのバックエンドがメンテナンス モードになっています。

これらのカラーコードはグラフィカルユーザーインターフェース全体で同じです。これらのカラーコードに関する詳しい説明は、 LSLB 農場セクション.

基本設定 #

これらは L4xNAT プロファイルのパラメータです。

名前ファーム サービスを簡単に識別するラベル。この値を変更するには、まずファームを停止する必要があります。新しいファーム名がまだ使用されていないことを確認してください。使用されていない場合は、エラー メッセージが表示されます。

仮想IPとポートこれらは、ファームがアプライアンス内で内部的にリッスンするアドレスとポートを指定します。これらのフィールドを変更する場合は、新しい仮想 IP と仮想ポートが現在別のファームで使用されていないことを確認してください。変更を加えたら保存すると、ファーム サービスが自動的に再起動します。

L4xNATファームプロファイルで単一のポートまたは仮想ポートの範囲を選択するには、 プロトコルの種類 必須です。プロトコルが 全て、ファームは仮想IPからのすべてのポートをリッスンします。仮想ポートは編集できず、アスタリスクで設定されます。 （*）.
TCP、UDP、またはその他のプロトコルを選択したら、それを使用してポート、複数のポート、またはポート範囲を指定します。

高度な設定 #

プロトコルの種類このフィールドには、ロードバランサーでサポートされているすべてのプロトコルがリストされます。デフォルトでは、ファームは TCP プロトコル。

• 全てファームは、現在の仮想IPとポートへの着信接続をすべてのプロトコルでリッスンします。このオプションを選択した場合、仮想ポートはデフォルトの「*」に変更され、編集できません。つまり、ファームはすべてのポートでリッスンします。
• TCPこのオプションを有効にすると、ファームは現在の仮想 IP とポートへの受信 TCP 接続をリッスンできるようになります。
• UDPこのオプションを有効にすると、ファームは現在の仮想 IP とポートへの受信 UDP 接続をリッスンできるようになります。
• SCTPこのオプションを有効にすると、ファームは現在の仮想 IP への受信 SCTP 接続をリッスンできるようになります。
• SIPこのオプションを有効にすると、ファームは仮想 IP とデフォルト ポート 5060 への受信 UDP パケットをリッスンできるようになります。ファームは各パケットの SIP ヘッダーを解析し、バックエンドに正しく配布します。
• FTPこのオプションを有効にすると、ファームは現在の仮想 IP とデフォルト ポート 21 への着信 TCP 接続をリッスンできるようになります。ファームは各パケットの FTP ヘッダーを解析し、バックエンドに正しく配布します。アクティブ モードとパッシブ モードの XNUMX つのモードがサポートされています。
• TFTPこのオプションを有効にすると、ファームは現在の仮想 IP とデフォルト ポート 69 への受信 UDP パケットをリッスンできるようになります。ファームは各パケットの TFTP ヘッダーを解析し、バックエンドに正しく配布します。
• PPTPこのオプションを有効にすると、ファームは現在の仮想 IP とポートへの着信 TCP 接続をリッスンできるようになります。ファームは各パケットの PPTP ヘッダーを解析し、バックエンドに正しく配布します。
• SNMPこのオプションを有効にすると、ファームは現在の仮想 IP とポートへの受信 UDP パケットをリッスンできるようになります。ファームは各パケットの SNMP ヘッダーを解析し、バックエンドに正しく配布します。

NATの種類アプライアンス内のNATタイプ機能は、すべてのレイヤー4操作を制御します。インフラストラクチャに適したオプションの選択は、環境に定義されている特定のネットワークアーキテクチャによって異なります。

• NATNATモードまたはSNAT（送信元NAT）では、ファームの仮想IPアドレスを送信元IPアドレスとして使用し、バックエンドサーバーに接続します。そのため、バックエンドサーバーは、TCP、UDP、その他のレイヤー4プロトコルにおいて、Webクライアントの元の送信元IPアドレスを認識する必要はありません。これにより、バックエンドがロードバランサーに応答し、ロードバランサーがクライアントに応答します。このトポロジにより、片腕型ロードバランサー（1つのネットワークインターフェースによる負荷分散）の導入が可能になります。
• DTADNAT（Destination NAT）モードでは、クライアントIPアドレスを使用してバックエンドサーバーに接続します。その結果、バックエンドはクライアントIPアドレスに直接応答します。この場合、ロードバランサのIPアドレスをバックエンドのデフォルトゲートウェイとして設定し、バックエンドネットワークとクライアントサービスネットワークを効果的に分離する必要があります。このトポロジにより、クライアントとバックエンド間の透過性が確立されます。
• DSRDSRモードでは、クライアントはロードバランサの仮想IP（VIP）に接続します。ロードバランサは、IPアドレスを変更することなく、宛先MACアドレスをバックエンドサーバのMACアドレスに変更します。ただし、すべてのバックエンドサーバはロードバランサと同じネットワーク上になければなりません。バックエンドサーバがリクエストを受信して​​処理すると、ロードバランサを経由せずにクライアントに直接応答します。

DSR の要件:

1. その VIP の三脚と バックエンド 同じネットワーク内にある必要があります
2. その 仮想ポート バックエンド ポート 同じでなければなりません
3. バックエンドのループバックインターフェースを同じ方法で設定する必要があります。 IPアドレス として VIP ロードバランサーで設定し、無効にする ARP このインターフェースで

Linux バックエンド

# ifconfig lo:0 192.168.0.99 ネットマスク 255.255.255.255 -arp アップ

バックエンドで無効な ARP 応答を無効にします。

# エコー 1 > /proc/sys/net/ipv4/conf/all/arp_ignore # エコー 2 > /proc/sys/net/ipv4/conf/all/arp_announce

Windows バックエンド

1. お気軽にご連絡ください->設定->コントロールパネル->ネットワークとダイヤルアップ接続。
2. ネットワークアダプタを右クリックしてクリック 特性
3. のみ インターネットプロトコル 選択する必要があります（「MSネットワーク用クライアント」と「ファイルとプリンターの共有」の選択を解除します）
4. TCP/IPプロパティ -> Relianoid ADCファームのVIPのIPアドレスを入力します。デフォルトゲートウェイは不要で、IPアドレスマスクは255.255.255.255です。
5. インターフェースメトリックを254に設定します。この設定は、VIPへのARP応答を停止するために必要です。
6. メディア掲載 OK 変更を保存します。

まず、強力なホストセキュリティモデルを設定し、NICインターフェースでRelianoid ADCからのトラフィック受信を有効にします。さらに、Relianoid ADCがデフォルトのNICインターフェースを介してトラフィックを送受信できるようにします。管理者としてコマンドプロンプトを開き、以下の3つのコマンドを実行します。

netsh interface ipv4 インターフェース NIC に weakhostreceive=enabled を設定します。netsh interface ipv4 インターフェース ループバックに weakhostreceive=enabled を設定します。netsh interface ipv4 インターフェース ループバックに weakhostsend=enabled を設定します。

注意： NIC とループバックを Windows コンピュータのデフォルトのインターフェース名に変更します。

ステートレス DNATステートレスDNATでは、ロードバランサは宛先アドレスをバックエンドアドレスに変更し、接続の詳細を一切記録せずにそのまま転送します。このアプローチはデータフローの早い段階で実装されるため、システムへの負荷を軽減します。これは、トラフィック量の多いレイヤー4プロトコルや、接続やストリームの維持に重点を置かないプロトコル（例えば、 RTP or SYSLOGUDP ログ モード。

ログファームで受信した接続の詳細を保存するには、 歳入録 コマンド。ロード バランサーによって処理されるトラフィックが遅くなるため、デバッグまたは監視の目的でのみ使用することをお勧めします。

サービス設定 #

L4 レイヤーで作成されたサービスは、データ パスと接続動作を管理するための次の構成オプションを提供します。

負荷分散スケジューラこのフィールドは、バックエンドサーバーを決定する際に使用する負荷分散アルゴリズムを指定します。デフォルトでは、負荷分散アルゴリズムは 重量: 重量による接続線形ディスパッチ

• 重量: 重量による接続線形ディスパッチ各バックエンドに割り当てられた重み値に応じて接続のバランスをとります。リクエストは、定義された重みを使用して確率的アルゴリズムで配信されます。
• ソースハッシュ: ソース IP とソースポートごとのハッシュハッシュ スケジューラを使用して、同じ送信元 IP とポートに一致するパケットを同じバックエンドに分散します。
• シンプルソースハッシュ: ソース IP ごとのハッシュのみハッシュ スケジューラを使用して、同じ送信元 IP に一致するパケットを同じバックエンドに分散します。
• 対称ハッシュ: IPおよびポートごとのラウンドトリップハッシュ同じ送信元 IP とポート、および宛先 IP とポートに一致するパケットのバランスをとります。そのため、接続を両方向 (受信と送信) でハッシュできます。
• ラウンドロビン: 順次バックエンド選択バックエンドへの各着信接続のバランスを取り、バックエンド間を順番に切り替えます。
• 最小接続: 常に最小接続サーバーに接続しますアクティブな接続数が最も少ないバックエンドを選択して、アクティブなリクエストのトラフィック負荷が、最も接続数の多い利用可能な実サーバーのトラフィック負荷とバランスが取れるようにします。

固執 #

持続性を選択このフィールドは、設定されたファームで永続性を使用するかどうかを決定します。デフォルトでは、 持続性なし 使用されている。

• 持続性なしファームはクライアントとバックエンド間の永続性を使用しません。
• IP: ソースIPこのオプションを使用すると、ファームはソースに応じて各着信接続に同じバックエンドを割り当てます。 IPアドレス のみ。
• ポート: 送信元ポートこのオプションを選択すると、ファームは、 送信元ポート のみ。
• MAC: 送信元MACこのオプションを使用すると、ファームはリンク層に応じて各着信接続に同じバックエンドを割り当てます。 MACアドレス パケットの。
• 送信元 IP と送信元ポートこのオプションを使用すると、ファームは、次の両方に応じて、各着信接続に同じバックエンドを割り当てます。 送信元IP の三脚と 送信元ポート.
• 送信元IPと宛先ポートこのオプションを使用すると、ファームは、次の両方に応じて、各着信接続に同じバックエンドを割り当てます。 送信元IP の三脚と 宛先ポート.

ファームガーディアン #

L4xNATファームにはバックエンドのヘルスチェックが組み込まれていないため、設定する必要がある。 ファームガーディアン この仮想サービスのために。

既存のヘルスチェックからデフォルトまたはパーソナライズされた高度なヘルスチェックをこのサービスに割り当てることができます。 農場守護者 チェック。

Farmguardianの詳細については、 モニタリング >> Farmguardian のセクションから無料でダウンロードできます。

選択後、 農場守護者、ファームに自動的に適用されます。

バックエンド #

このセクションでは、バックエンドの設定を変更したり、特定のファームに新しいバックエンドを追加したりすることができます。

バックエンドを作成するこのボタンは、 バックエンドを追加 クリックするとフォームが表示されます。構成は、特定のファームに新しいバックエンドを追加することを目的としています。

• エイリアスこのフィールドには、使用可能なすべてのバックエンド エイリアスを含むドロップダウン リストが表示されます。
• IPトラフィックをバックエンドに転送するときに使用するネットワーク層 IP アドレス。
• ポートトラフィックをバックエンドに転送するときに使用するポート。
• 優先現在の実サーバーの優先度の値。値が小さいほど優先度が高くなります。デフォルトのサービス優先度の値は 1 です。バックエンドに障害が発生すると、サービス優先度が 1 増加します。バックエンドが再び稼働すると、サービス優先度の値は 1 減少します。アクティブなバックエンドには、サービス優先度以下の優先度の値が含まれます。
• マックス・コンズバックエンドに接続できる接続数。制限に達すると、新しい接続は破棄されます。
• 重量 重みアルゴリズムが設定されている場合のトラフィック分散のバックエンドの重み。この重みによって、バックエンドが他のバックエンドに対してどの程度優先されるかが決まります。このフィールドには、1 (最小値) 以上の整数値を指定できます。

一括操作。 の右側に バックエンドを追加、1 つ以上のバックエンドに対して同時に実行できる次のアクションが表示されます。

: これらはバックエンドを構成するためのアクションです。

• メンテナンスを有効にするこのアクションは、バックエンドが稼働している場合に使用できます。これにより、実際のバックエンド サーバーがメンテナンス モードになります。そのため、新しい接続はリダイレクトされません。メンテナンス モードを有効にするには、次の 2 つの方法があります。
  • 排水モード有効になっている場合は確立された接続と永続性を維持しますが、新しい接続は受け入れません。
  • カットモードバックエンドに対するすべてのアクティブな接続を直接切断し、バックエンドとクライアント間の接続をすべて閉じます。
• 編集追加フォームと同じ編集フォームを開き、バックエンドの値を変更します。
• メンテナンスを無効にするこのアクションは、バックエンドがメンテナンス モードの場合にのみ使用できます。これにより、新しい接続がバックエンド サーバーに再度転送されるようになります。
• 削除仮想サービスのバックエンド サーバーを削除します。バックエンドにエイリアスがある場合、エイリアスは削除されません。

バックエンドこの表には、ファームですでに構成されているすべてのバックエンドが表示されます。

• エイリアスバックエンドにエイリアスが 1 つ定義されている場合は、バックエンドのエイリアス。
• IP接続が転送されるバックエンドの IP アドレス。
• ポートバックエンドで接続がリダイレクトされるポート。 ブランク スペースまたはアスタリスク'*' が設定されている場合、接続は受信された同じポートにリダイレクトされます。
• 優先バックエンド サーバーの優先度の値。受け入れられる値は 1 以上の整数です。値が小さいほど、現在の実サーバーの優先度が高くなります。デフォルトでは、優先度の値 1 が設定されます。
• 重量 現在の実サーバーの重み値。値が大きいほど、現在のバックエンドに配信される接続が多くなります。デフォルトでは、重み値 1 が設定されます。
• マックス・コンズこの値は、特定のバックエンドへのフローまたは確立された接続の最大数になります。特定のバックエンドに接続されているクライアントの制限に達すると、バックエンドはそれ以上のトラフィックを受け入れなくなります。クライアントは別の適切なバックエンドに再接続します。デフォルト値は 0 で、無制限を意味します。

L4xNAT ファームの IPDS ルール #

このセクションでは、IPDSルールを有効にできます。リストには、さまざまなタイプの保護と、それらを有効にする選択ボックスが表示されます。詳細については、 IPDS >> ブラックリストのルール, IPDS >> DoSルール, IPDS >> RBLルール or IPDS >> WAFルール 特定のドキュメント

IPDSルールの4つのタイプ（ブラックリスト、DoS、WAF、RBL）ごとに、「利用可能」と「有効」の2つのテーブルがあります。チェーンアイコンも表示されます。「利用可能」テーブルでは、利用可能なすべてのルールが同じ種類であり、特定のファームに適用可能であることを確認できます。「有効」テーブルでは、選択したファームに適用されているルールが同じ種類であることを確認できます。また、各ルールには、ルールが停止されているかどうかを示すステータスシンボルがあります。 （赤色） 色または実行中の場合 （緑色）.

各ルールは編集アイコンをクリックすることでアクセスできます。編集アイコンをクリックすると、ルールパラメータを変更したり、ルールの開始/停止を行ったりできます。このファームビューでは新しいルールを作成することはできません。変更するには、 IPDS のセクションから無料でダウンロードできます。

ルールを追加するには、対象のルールをクリックし、右の一重矢印をクリックします。または、Shiftキーを押しながら追加したいルールを選択することで、複数のルールを選択することもできます。その後、右の一重矢印をクリックします。また、右の二重矢印をクリックすると、利用可能なすべてのブラックリストを追加できます。

1 つ以上のルールを削除するには、それらを選択して左矢印をクリックするか、二重矢印をクリックしてすべてを削除します。