RADWARE之链路负载均衡配置解析

Radware Radius负载均衡配置指导书Table of Contents目录第1章AppDirector产品介绍 (3)1.1 Radware基本概念 (3)第2章主AD设备配置 (6)第3章初始化AD设备 (7)3.1 连接AD设备 (7)3.2 登录AD设备 (9)3.3 确认当前设备的版本 (10)3.4 查看当前设备的License (11)3.5 初始化AD设备 (11)第4章WEB配置 (14)4.1 登录WEB管理界面 (14)4.2 配置端口IP地址 (15)4.3 配置路由 (17)4.4 配置farm (18)4.5 配置负载均衡算法中的Radius属性 (20)4.6 配置L4 Policy (22)4.7 配置server (23)4.8 配置server NAT (24)第5章健康检查配置 (26)5.1 全局打开高级健康检查功能 (26)5.2 设置Check Table (26)5.3 设置Bining Table (29)5.4 修改Farm Table (30)5.5 查看健康检查结果 (30)第6章主备AD冗余配置 (31)6.1 配置冗余方式 (31)6.2 配置Selective Interface Grouping (31)6.3 配置Virtual Router (32)6.4 配置浮动ip (33)6.5 配置端口Associated IP (34)第7章启动主备冗余 (35)7.1 基本配置 (35)7.2 启动冗余 (36)7.3 配置会话表镜像 (36)Table of Contents 目录第1章AppDirector产品介绍 (3)1.1 Radware基本概念 (3)第2章主AD设备配置 (6)第3章初始化AD设备 (7)第4章WEB配置 (14)第5章健康检查配置 (26)第6章主备AD冗余配置 (31)第7章 3.5启动主备冗余 (35)AppDirector产品介绍AppDirector产品有一系列产品，从低端到高端产品分别是AD200/202、AD1000、AD3020和AD6000，对应的产品相关指标分别如下，对于AppDirector产品而言处理的关键在于处理流量的大小,以下简称AD。

RADWARE之链路负载均衡配置解析网络描述：网络出口共有3条公网线路接入，一台RADWARE直接连接三个出口ISP做链路负载均衡，来实现对内部服务器访问和内部对外访问流量的多链路负载均衡。

设计方案：1、RADWARE LINKPROOF设备部署在防火墙外面，直接连接出口ISP2、防火墙全部修改为私有IP地址，用RADWARE LINKPROOF负责将私有IP地址转换成公网IP地址；3、防火墙的DMZ区跑路由模式，保证DMZ区服务器的正常访问；4、RADWARE LINKPROOF利用SmartNAT技术，分别在每链路上配置NAT地址，保证内部服务器的联网。

网络拓扑：实施过程（关键步骤）：1、配置公网接口地址G-1 ：218.28.63.163/255.255.255.240 联通G-2 ：211.98.192.12/255.255.255.128 铁通G-3 ：222.88.11.82/255.255.255.240 电信G-4 ：3.3.3.2/255.255.255.0 内联接口地址，连接防火墙2、配置默认路由现网共有3条ISP链路，要将每条链路的网关进行添加，具体如下：命令行配置LP-Master#Lp route add 0.0.0.0 0.0.0.0 218.28.63.161Lp route add 0.0.0.0 0.0.0.0 211.98.192.11Lp route add 0.0.0.0 0.0.0.0 222.88.11.813、配置内网回指路由net route table create 192.168.5.0 255.255.255.0 3.3.3.1 -i 14net route table create 192.168.6.0 255.255.255.0 3.3.3.1 -i 14net route table create 192.168.7.0 255.255.255.0 3.3.3.1 -i 14net route table create 192.168.8.0 255.255.255.0 3.3.3.1 -i 14net route table create 192.168.9.0 255.255.255.0 3.3.3.1 -i 144、配置地址转换地址转换主要包括内部用户的联网和服务器被访问两部分，这两部分在负载均衡上面分别采用Dynamic NAT和Static PAT这两种NAT来实现，把内部的IP地址和服务器的IP地址分别对应每条ISP都转换成相应的公网IP地址。

高新区管委会链路负载测试实施方案目录1. 用户网络背景 (3)1.1. 实施前的网络拓扑 (3)2. 网络拓扑结构 (4)2.1. 改造后的网络拓扑结构 (4)2.2. 具体网络规划方案介绍 (4)2.2.1. 防火墙实现部分NA T转换工作 (4)2.2.2. 防火墙不再实现目的地址转换工作 (5)2.3. IP地址规划 (5)3. 实施过程 (7)3.1. 配置接口地址 (7)3.2. 配置默认路由 (7)3.3. 配置回指路由 (7)3.4. 地址转换 (8)3.4.1. Dynamic NAT (8)3.4.2. Static PA T (9)3.5. DNS配置.................................................................................... 错误！未定义书签。

3.5.1. 配置Host表 ................................................................... 错误！未定义书签。

3.5.2. DNS服务器修改............................................................ 错误！未定义书签。

3.6. 就近性(Proixmity)配置 (14)3.6.1. 全局配置 (14)3.6.2. 静态就近表配置 (15)3.7. 静态就近表配置......................................................................... 错误！未定义书签。

3.8. 特殊配置 (16)3.8.1. 特殊应用会话老化时间 (16)3.8.2. Cluster (18)1.用户网络背景高新区管委会目前已经申请了四条ISP链路,分别为网通网通50M、网通100M、电信100M和电信教育网1G。

Radware负载均衡项目配置实战解析之二组网架构和配置流程接上一小节内容，这一节主要介绍RADWARE实战项目中的组网架构和配置流程问题。

radware在使用中都是采用双机主备方式工作，其对应的组网依据不同的方式分为单臂组网、双臂组网和三角传输方式组网，下面依次做一下介绍。

一、单臂组网以下组网称为单臂组网，是目前使用比较多的组网方法。

此种组网方式可以实现完全的主备切换。

通常情况下，服务器的网关需要指向负载均衡设备的浮动网关。

在这种组网方式下，如果有两级交换机级连，此时核心局域网交换机及局域网交换机上都要启用生成树（STP）协议，以消除环路。

使用单臂时，如果内网与外网不在同一网段，可以使用802.1Q Vlan Trunk进行配置。

通常情况下，服务器的网关需要指向负载均衡设备的内网浮动网关。

我们将AD虚拟出来的作为服务器网关的地址称为浮动IP地址，与交换机的浮动IP概念相同；对外提供业务服务的虚拟IP称为VIP。

二、双臂组网以下组网称为双臂组网，是目前使用比较多的组网方法，逻辑上看，它属于路由方式。

此种组网方式可以实现完全的主备切换。

单臂时，使用一条物理连接；双臂时，使用2条物理链路，分别连通内网服务器和外网防火墙或路由器。

|在这种组网方式下，如果有两级交换机级连，此时核心局域网交换机及局域网交换机上都要启用生成树（STP）协议，以消除环路。

通常情况下，服务器的网关需要指向负载均衡设备的内网浮动网关。

三、三角传输对于流媒体类型的应用，会采用三角传输组网，本地三角传输也称路径外回应。

它是为提高整体网络性能的一种解决方案。

目前有MTV项目使用此组网方法。

在此暂不做详细介绍。

下面介绍一下负载均衡的基本配置流程仅列出关键的配置内容，其他的内容跟据场景的不同，有的需要配置，有的不用配置。

比如Client NAT，在通常的场景下是不需要配置的。

基本配置大致包含以下几个方面：1.网络拓扑和地址规划2.初始化配置3.全局表项配置配置4.配置IP5.配置路由和网关6.配置双机的全局参数和VRRP7.业务配置l Farml Serverl L4 Policyl Cookie会话保持8. 同步配置到备机我们先确定网络拓扑的整体设计方案，然后再进行地址和应用规划1、先看网络拓扑。

如何实现在冗余配置中的FTP 负载均衡1. 网络拓扑10.1.1.101Gw:10.1.1.110.1.1.102Gw:10.1.1.1P2-10.1.1.1P2-10.1.1.2P1-20.1.1.1P1-20.1.1.2Gw:20.1.1.32. mirror 配置active 设备的配置：standby设备的配置：对mirror的一点说明：当ACTIVE设备运行时，在STANBY设备上不会看到Client table，但是，Client table 已经Mirror到STANBY设备之上了。

如果ACTIVE断线或者关电时，在STANBY设备上会马上看到原ACTIVE设备上全部的Client table，（说明已经全部Mirror过来了）3. 关键技术点FTP协议的数据传输存在两种模式：主动模式和被动模式。

对于主动模式来说（例如：windown命令行界面的FTP客户端只支持主动模式），client 通过21控制信息端口与服务器进行连接，连接成功，服务器会主动地回连客户端自己的20端口。

对于被动模式来说（例如一些FTP客户端软件，可同时支持主动模式，被动模式，自动适应），client通过21控制信息端口与服务器进行连接，连接成功，客户端使用一个随机端口连接服务器的20端口。

这样，如果在传输大的文件时，21控制信息端口可能长时间处于一个空闲状态，（如果是专用的FTP客户端的话，可能定期发送LIST命令来保证21端口的Keepalive），这样，如果空闲的时间超过WSD的client table的aging time的话，WSD会把21端口分别向CLIENT 和SERVER发送rest命令，中断这个21的会话，但是由于WSD把FTP的20，和21看作两个独立的会话，所以，虽然21控制信息端口断开，但是20端口的会话，仍然会在传输数据，其后果是，在这个大文件传输完毕之后，由于21控制端口会话已经被复位，所以会没有任何文件传输成功的响应，此后，FTP将不会响应任何命令（由于21会话已被复位），等到FTP客户端软件自身的超时值到达之后提示连接已经中断。

高新区管委会链路负载测试实施方案目录1. 用户网络背景 (3)1.1. 实施前的网络拓扑 (3)2. 网络拓扑结构 (4)2.1. 改造后的网络拓扑结构 (4)2.2. 具体网络规划方案介绍 (4)2.2.1. 防火墙实现部分NAT转换工作 (4)2.2.2. 防火墙不再实现目的地址转换工作 (5)2.3. IP地址规划 (5)3. 实施过程 (6)3.1. 配置接口地址 (6)3.2. 配置默认路由 (7)3.3. 配置回指路由 (7)3.4. 地址转换 (7)3.4.1. Dynamic NAT (7)3.4.2. Static PAT (8)3.5. DNS配置........................................... 错误!未定义书签。

3.5.1. 配置Host表.................................. 错误!未定义书签。

3.5.2. DNS服务器修改............................... 错误!未定义书签。

3.6. 就近性(Proixmity)配置 (15)3.6.1. 全局配置 (15)3.6.2. 静态就近表配置 (16)3.7. 静态就近表配置..................................... 错误!未定义书签。

3.8. 特殊配置 (17)3.8.1. 特殊应用会话老化时间 (17)3.8.2. Cluster (19)1.用户网络背景高新区管委会目前已经申请了四条ISP链路,分别为网通网通50M、网通100M、电信100M 和电信教育网1G。

主要业务分为三部分：◆内部工作人员的上网；◆Internet用户访问内部的网站、服务器。

目前主要的问题是针对各个运营商相互通信时，速度非常慢，所以准备通过链路均衡器来解决。

实现对内部的服务器访问的（Inbound）和内部人员对外访问流量（Outbound）的多链路负载均衡。