الإعدادات العامة لملف تعريف المزرعة L4xNAT #

يقوم ملف تعريف مزرعة L4xNAT بإنشاء مزارع LSLB التي تعمل في الطبقة 4 بأداء استثنائي، مما يوفر المزيد من الاتصالات المتزامنة مقارنة بنوى موازن التحميل في الطبقة 7. ويعوض الأداء المحسن في الطبقة 4 إمكانات معالجة المحتوى المتقدمة لملف تعريف مزرعة الطبقة 7.

على عكس ملفات تعريف مزرعة الطبقة 7 التي تدعم المنافذ 80 و443 فقط، يستخدم ملف تعريف مزرعة L4xNAT منافذ متعددة، بما في ذلك نطاقات المنافذ.

يقدم هذا القسم شرحًا تفصيليًا للأوامر المطلوبة لتكوين ملف تعريف مزرعة L4xNAT. نوصي بشدة باستخدام Farmguardian جنبًا إلى جنب مع ملف التعريف هذا لمراقبة حالة كل واجهة خلفية تم تكوينها في المزرعة نظرًا لأن ملف التعريف هذا لا يتضمن أي وظيفة فحص سلامة مضمنة.

يحيط علما الحالة المؤشر و الإجراءات القسم في الزاوية اليمنى العليا. تتيح لك الإجراءات المتوفرة في هذا القسم إجراء عمليات مثل إعادة تشغيل, ابتداء أو وقف المزرعة.

هذه هي الحالة مؤشرات الألوان ومعانيها:

• أخضر: وسائل UP. المزرعة قيد التشغيل وجميع الواجهات الخلفية قيد التشغيل أو تم تكوين إعادة التوجيه.
• أحمر: وسائل لأسفل. المزرعة توقفت.
• اسود: وسائل حرج. المزرعة قيد التشغيل ولكن لا توجد واجهة خلفية متاحة، أو أن جميع الواجهات الخلفية في وضع الصيانة.
• ازرق: وسائل المشاكل.. المزرعة قيد التشغيل ولكن هناك واجهة خلفية واحدة على الأقل معطلة.
• برتقال: وسائل الصيانة. المزرعة قيد التشغيل ولكن هناك واجهة خلفية واحدة على الأقل في وضع الصيانة.

رموز الألوان هذه هي نفسها في جميع أنحاء واجهة المستخدم الرسومية. ابحث عن شرح متعمق حول رموز الألوان هذه في قسم مزارع LSLB.

التكوين الأساسي #

هذه هي المعلمات الخاصة بملف تعريف L4xNAT.

الاسم. علامة تحدد خدمة المزرعة بسهولة. لتغيير هذه القيمة، يجب عليك إيقاف المزرعة أولاً. تأكد من أن اسم المزرعة الجديد ليس قيد الاستخدام بالفعل وإلا ستظهر رسالة خطأ.

IP الظاهري والميناء. تحدد هذه العناوين العنوان والمنفذ الذي ستستمع إليه المزرعة داخليًا داخل الجهاز. إذا كنت ترغب في تعديل هذه الحقول، فتأكد من أن عنوان IP الظاهري الجديد والمنافذ الافتراضية ليست قيد الاستخدام حاليًا بواسطة مزرعة أخرى. بمجرد إجراء التغييرات، احفظها، وسيتم إعادة تشغيل خدمة المزرعة تلقائيًا.

لتحديد منفذ واحد أو مجموعة من المنافذ الافتراضية في ملف تعريف مزرعة L4xNAT، أ نوع البروتوكول إلزامي. في حالة ضبط البروتوكول على الكل، ستستمع المزرعة إلى جميع المنافذ من عنوان IP الافتراضي. لن يكون المنفذ الظاهري قابلاً للتحرير وسيتم تعيينه بعلامة النجمة (*).
بمجرد تحديد TCP أو UDP أو أي بروتوكول آخر، استخدمه لتحديد منفذ أو عدة منافذ أو نطاقات المنافذ.

التكوين المتقدم #

نوع البروتوكول. يسرد هذا الحقل كافة البروتوكولات المدعومة في موازن التحميل. بشكل افتراضي، تستخدم المزرعة TCP بروتوكول.

• الكل. ستستمع المزرعة إلى الاتصالات الواردة إلى عنوان IP الظاهري الحالي والمنفذ (المنافذ) عبر جميع البروتوكولات. إذا حددت هذا الخيار، فسيتغير المنفذ الظاهري إلى المنفذ الافتراضي "*"، ولن تتمكن من تحريره. لذلك، سوف تستمع المزرعة عبر جميع المنافذ.
• TCP. يتيح تمكين هذا الخيار للمزرعة الاستماع لاتصالات TCP الواردة إلى عنوان IP والمنفذ (المنافذ) الظاهري الحالي.
• UDP. يتيح تمكين هذا الخيار للمزرعة الاستماع لاتصالات UDP الواردة إلى عنوان IP والمنفذ (المنافذ) الظاهري الحالي.
• SCTP. يتيح تمكين هذا الخيار للمزرعة الاستماع لاتصالات SCTP الواردة إلى عنوان IP الظاهري الحالي.
• SIP. يتيح تمكين هذا الخيار للمزرعة الاستماع لحزم UDP الواردة إلى عنوان IP الظاهري والمنفذ الافتراضي، 5060. ستقوم المزرعة بعد ذلك بتحليل رؤوس SIP لكل حزمة ليتم توزيعها بشكل صحيح على الواجهات الخلفية.
• FTP. يتيح تمكين هذا الخيار للمزرعة الاستماع لاتصالات TCP الواردة إلى عنوان IP الظاهري الحالي والمنفذ الافتراضي، 21. ستقوم المزرعة بعد ذلك بتحليل رؤوس FTP لكل حزمة ليتم توزيعها بشكل صحيح على الواجهات الخلفية. يتم دعم وضعين: الوضع النشط والوضع السلبي.
• المبسط. يتيح تمكين هذا الخيار للمزرعة الاستماع لحزم UDP الواردة إلى عنوان IP الظاهري الحالي والمنفذ الافتراضي، 69. ستقوم المزرعة بعد ذلك بتحليل رؤوس TFTP لكل حزمة ليتم توزيعها بشكل صحيح على الواجهات الخلفية.
• PPTP. يتيح تمكين هذا الخيار للمزرعة الاستماع لاتصالات TCP الواردة إلى عنوان IP والمنفذ الظاهري الحالي. ستقوم المزرعة بعد ذلك بتحليل رؤوس PPTP لكل حزمة ليتم توزيعها بشكل صحيح على الواجهات الخلفية.
• SNMP. يتيح تمكين هذا الخيار للمزرعة الاستماع لحزم UDP الواردة إلى عنوان IP والمنفذ الظاهري الحالي. ستقوم المزرعة بعد ذلك بتحليل رؤوس SNMP لكل حزمة ليتم توزيعها بشكل صحيح على الواجهات الخلفية.

نوع NAT. تتحكم وظيفة نوع NAT داخل الجهاز في جميع عمليات الطبقة الرابعة. يعتمد اختيار الخيار المناسب للبنية الأساسية لديك على بنية الشبكة المحددة المحددة في بيئتك.

• NAT. يستخدم وضع NAT أو SNAT (NAT المصدر) عنوان IP الظاهري للمزرعة كعنوان IP المصدر للاتصال بخوادم الواجهة الخلفية. ولذلك، لا ينبغي أن تعرف خوادم الواجهة الخلفية عنوان IP المصدر الأصلي لعميل الويب على TCP أو UDP أو أي بروتوكول آخر من الطبقة الرابعة. بهذه الطريقة، تستجيب الواجهة الخلفية لموازن التحميل، ثم يستجيب موازن التحميل للعميل. تسمح هذه الهيكلية بنشر موازن تحميل بذراع واحد (موازنة التحميل بواجهة شبكة واحدة).
• DTA. في وضع DNAT (Destination NAT)، سنستخدم عنوان IP للعميل للاتصال بخادم الواجهة الخلفية. ونتيجة لذلك، سوف تستجيب الواجهة الخلفية مباشرة لعنوان IP الخاص بالعميل. في هذه الحالة، يجب تكوين عنوان IP لموازن التحميل باعتباره البوابة الافتراضية للواجهة الخلفية، مما يؤدي إلى فصل الشبكة الخلفية عن شبكة خدمة العميل بشكل فعال. تحدد هذه الهيكلية الشفافية بين العملاء والواجهات الخلفية.
• DSR. في وضع DSR، يتصل العميل بـ Virtual IP (VIP) الخاص بموازن التحميل. يقوم موازن التحميل بعد ذلك بتغيير عنوان Destination MAC عن طريق تغييره إلى عنوان خادم الواجهة الخلفية دون تغيير أي عنوان IP. ومع ذلك، يجب أن تكون كافة الخوادم الخلفية على نفس الشبكة مثل موازن التحميل. عندما يتلقى خادم الواجهة الخلفية الطلب ويعالجه، فإنه يستجيب مباشرة للعميل، متجاوزًا موازن التحميل.

متطلبات DSR:

1. استخدم VIP و الخلفيات يجب أن يكون في نفس الشبكة
2. استخدم المنفذ الظاهري والواجهة الخلفية الموانئ يجب أن تكون هي نفسها
3. يجب على المرء تكوين واجهات الاسترجاع الخلفية بنفس الطريقة عنوان IP كما VIP تكوين في موازن التحميل وتعطيل ARP في هذه الواجهة

واجهات لينكس الخلفية

# ifconfig lo:0 192.168.0.99 قناع الشبكة 255.255.255.255 -arp up

تعطيل استجابات ARP غير الصالحة في الواجهة الخلفية.

# echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore # echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

الواجهات الخلفية لنظام Windows

1. بالبداية->الإعدادات->لوحة التحكم->اتصالات الشبكة والطلب الهاتفي.
2. انقر بزر الماوس الأيمن على محول الشبكة الخاص بك وانقر فوق عقارات
3. فقط بروتوكول الإنترنت يجب تحديده (قم بإزالة تحديد "Client for MS Networks" و"مشاركة الملفات والطابعات")
4. خصائص TCP/IP->أدخل عنوان IP الخاص بـ VIP في مزرعة Relianoid ADC. لا يلزم استخدام البوابة الافتراضية والقناع هو 255.255.255.255
5. اضبط مقياس الواجهة على 254. هذا التكوين مطلوب لإيقاف الرد على أي استجابة ARP إلى VIP
6. الإعلام OK وحفظ التغييرات.

أولاً، قم بتكوين نموذج أمان المضيف القوي لتمكين استقبال حركة المرور من Relianoid ADC على واجهة NIC. بالإضافة إلى ذلك، اسمح لـ Relianoid ADC بإرسال واستقبال حركة المرور من خلال واجهة NIC الافتراضية. افتح موجه الأوامر كمسؤول وقم بتنفيذ الأوامر الثلاثة المقدمة.

واجهة netsh ipv4 المعيّنة NIC Weakhostreceive=ممكّنة واجهة netsh ipv4 المعيّنة استرجاع الواجهة Weakhostreceive=ممكّنة واجهة netsh ipv4 المعيّنة استرجاع الواجهة ضعيفالمضيفsend=ممكّن

ملاحظة: قم بتغيير بطاقة واجهة الشبكة (NIC) والاسترجاع إلى أسماء الواجهة الافتراضية لجهاز الكمبيوتر الذي يعمل بنظام التشغيل Windows.

DNAT عديمي الجنسية. باستخدام DNAT عديم الحالة، يقوم موازن التحميل بتعديل عنوان الوجهة إلى عنوان الواجهة الخلفية وتمريره دون تتبع أي تفاصيل اتصال. يقلل هذا الأسلوب من العبء الواقع على النظام حيث يتم تنفيذه مبكرًا في تدفق البيانات. وهو مناسب أكثر لبروتوكولات الطبقة 4 ذات حركة مرور كثيفة وللبروتوكولات التي لا تركز على الحفاظ على الاتصالات أو التدفقات، مثل RTP or سيسلوغ يو دي بي واسطة.

سجلات. لحفظ تفاصيل حول الاتصالات المستلمة في المزرعة، قم بتمكين سجل يأمر. يوصى بهذا فقط لأغراض التصحيح أو المراقبة لأنه سيؤدي إلى إبطاء حركة المرور التي يعالجها موازن التحميل.

إعدادات الخدمة #

توفر الخدمة التي تم إنشاؤها في طبقة L4 خيارات التكوين التالية لإدارة مسارات البيانات وسلوكيات الاتصال.

جدولة موازنة التحميل. يحدد هذا الحقل خوارزمية موازنة التحميل التي سيتم استخدامها لتحديد خادم الواجهة الخلفية. بشكل افتراضي، سيتم تنفيذ خوارزمية موازنة التحميل الوزن: توصيل خطي بالوزن

• الوزن: توصيل خطي بالوزن. يوازن الاتصالات اعتمادًا على قيمة الوزن التي تم تعيينها لكل واجهة خلفية. يتم تسليم الطلبات باستخدام خوارزمية احتمالية باستخدام الوزن المحدد.
• تجزئة المصدر: التجزئة لكل مصدر IP ومنفذ المصدر. يوازن الحزم التي تطابق نفس عنوان IP المصدر والمنفذ مع نفس الواجهة الخلفية باستخدام برنامج جدولة التجزئة.
• تجزئة المصدر البسيط: التجزئة لكل عنوان IP مصدر فقط. يوازن الحزم التي تطابق نفس عنوان IP المصدر مع نفس الواجهة الخلفية باستخدام برنامج جدولة التجزئة.
• التجزئة المتماثلة: تجزئة ذهابًا وإيابًا لكل عنوان IP ومنفذ. يوازن بين الحزم التي تطابق نفس عنوان IP المصدر والمنفذ، وعنوان IP الوجهة والمنفذ. لذلك، يمكنه تجزئة الاتصال في كلا الاتجاهين (أثناء الدخول والخروج).
• Round Robin: اختيار الواجهة الخلفية المتسلسل. فهو يوازن بين كل اتصال وارد والواجهة الخلفية، ويقوم بالتبديل بين الواجهات الخلفية بشكل تسلسلي.
• الاتصالات الأقل: الاتصال دائمًا بالخادم الأقل اتصالاً. يحدد الواجهة الخلفية التي تحتوي على أقل عدد من الاتصالات النشطة لضمان موازنة حمل حركة المرور للطلبات النشطة مع حمل حركة المرور للخادم الحقيقي الأكثر اتصالاً.

إصرار #

اختر الثبات. يحدد هذا الحقل الاستمرارية التي سيتم استخدامها في المزرعة المكونة. بشكل افتراضي، لا استمرار .

• لا استمرار. لن تستخدم المزرعة أي ثبات بين العميل والواجهة الخلفية.
• IP: المصدر IP. باستخدام هذا الخيار، ستقوم المزرعة بتعيين نفس الواجهة الخلفية لكل اتصال وارد اعتمادًا على المصدر عنوان IP فقط.
• المنفذ: منفذ المصدر. باستخدام هذا الخيار، ستقوم المزرعة بتعيين نفس الواجهة الخلفية لكل اتصال وارد اعتمادًا على منفذ المصدر فقط.
• ماك: المصدر ماك. باستخدام هذا الخيار، ستقوم المزرعة بتعيين نفس الواجهة الخلفية لكل اتصال وارد اعتمادًا على طبقة الارتباط عنوان MAC من الحزمة.
• مصدر IP ومنفذ المصدر. باستخدام هذا الخيار، ستقوم المزرعة بتعيين نفس الواجهة الخلفية لكل اتصال وارد اعتمادًا على كليهما، IP المصدر و منفذ المصدر.
• مصدر IP ومنفذ الوجهة. باستخدام هذا الخيار، ستقوم المزرعة بتعيين نفس الواجهة الخلفية لكل اتصال وارد اعتمادًا على كليهما، IP المصدر و منفذ الوجهة.

حارس المزرعة #

تفتقر مزارع L4xNAT إلى فحوصات السلامة المضمنة للواجهات الخلفية، مما يجعل من الضروري تكوينها حارس المزرعة لهذه الخدمة الافتراضية.

يمكنك تعيين فحوصات السلامة الافتراضية أو المخصصة لهذه الخدمة من أي خدمة موجودة com.farmguardian تحقق.

لمزيد من المعلومات حول Farmguardian، انتقل إلى الرصد >> Farmguardian والقسم الخاص به.

لاحظ أنه بعد اختيار com.farmguardianسيتم تطبيقه تلقائيًا على المزرعة.

الخلفيات #

في هذا القسم، ستتمكن من تعديل تكوينات الواجهات الخلفية أو إضافة تكوينات جديدة إلى مزرعة معينة.

إنشاء الواجهة الخلفية. سيظهر هذا الزر إضافة الخلفية النموذج عند النقر عليه. تهدف التكوينات إلى إضافة واجهة خلفية جديدة إلى مزرعة معينة.

• الاسم المستعار. يعرض هذا الحقل القائمة المنسدلة بجميع الأسماء المستعارة الخلفية المتوفرة.
• IP. عنوان IP لطبقة الشبكة الذي سيتم استخدامه عند إعادة توجيه حركة المرور إلى الواجهة الخلفية.
• ميناء. المنفذ الذي سيتم استخدامه عند إعادة توجيه حركة المرور إلى الواجهة الخلفية.
• درجة الأهمية. قيمة الأولوية للخادم الحقيقي الحالي. القيم الدنيا لها أولوية أعلى. قيمة أولوية الخدمة الافتراضية هي 1. عند فشل الواجهة الخلفية، ستتم زيادة أولوية الخدمة بمقدار 1. وعندما تعمل الواجهة الخلفية مرة أخرى، ستنخفض قيمة أولوية الخدمة بمقدار 1. تحتوي الواجهات الخلفية النشطة على قيم أولوية أقل من أو تساوي أولوية الخدمة.
• الأعلى. كونس. عدد الاتصالات التي سيتم السماح لها بالاتصال بالواجهة الخلفية. إذا تم الوصول إلى الحد الأقصى، فسيتم تجاهل الاتصالات الجديدة.
• الوزن. وزن الواجهة الخلفية لموازنة حركة المرور عند تعيين خوارزمية الوزن. يحدد هذا الوزن مدى تفضيل الواجهة الخلفية على الواجهات الخلفية الأخرى. يسمح هذا الحقل بقيم عددية أعلى من أو تساوي 1 (أدنى قيمة).

إجراءات جملة. على يمين إضافة الخلفية، سترى الإجراءات التالية التي يمكن تنفيذها لواجهة خلفية واحدة أو أكثر في نفس الوقت.

الإجراءات : هذه هي الإجراءات الخاصة بتكوين الواجهات الخلفية.

• تمكين الصيانة. هذا الإجراء متاح إذا كانت الواجهة الخلفية قيد التشغيل. إنه يضع خادم الواجهة الخلفية الحقيقي في وضع الصيانة. ولذلك، سيتم إعادة توجيه أية اتصالات جديدة إليه. هناك طريقتان لتمكين وضع الصيانة:
  • وضع الصرف. يحتفظ بالاتصالات القائمة ويستمر إذا تم تمكينها، لكنه لن يقبل اتصالات جديدة.
  • قطع الوضع. يقوم بإسقاط جميع الاتصالات النشطة مباشرة على الواجهة الخلفية، مما يؤدي إلى إغلاق أي اتصال بين الواجهة الخلفية والعملاء
• تعديل. يفتح نموذج التحرير، مثل نموذج الإضافة، لتغيير أي قيمة في الواجهة الخلفية.
• تعطيل الصيانة. هذا الإجراء متاح فقط إذا كانت الواجهة الخلفية في وضع الصيانة. سيمكن من إعادة توجيه الاتصالات الجديدة إلى الخادم الخلفي مرة أخرى.
• حذف. قم بإزالة خادم الواجهة الخلفية للخدمة الافتراضية. إذا كانت الواجهة الخلفية تحتوي على اسم مستعار، فلن يتم حذف الاسم المستعار.

الخلفيات. يعرض هذا الجدول جميع الواجهات الخلفية التي تم تكوينها بالفعل في المزرعة.

• الاسم المستعار. اسم مستعار للواجهة الخلفية إذا تم تحديد اسم مستعار واحد للواجهة الخلفية مسبقًا.
• IP. عنوان IP للواجهة الخلفية حيث سيتم إعادة توجيه الاتصالات.
• ميناء. المنفذ الذي سيتم إعادة توجيه الاتصالات إليه في الواجهة الخلفية. اذا كان فارغة الفضاء أو النجمة'*' تم تعيينه، سيتم إعادة توجيه الاتصالات إلى نفس المنفذ الذي تم استلامه.
• درجة الأهمية. قيمة الأولوية لخادم الواجهة الخلفية. القيمة المقبولة هي عدد صحيح أعلى أو يساوي 1. تشير القيمة الأقل إلى أولوية أعلى للخادم الحقيقي الحالي. افتراضيًا، سيتم تعيين قيمة الأولوية 1.
• الوزن. قيمة الوزن للخادم الحقيقي الحالي. تشير القيمة الأعلى إلى تسليم المزيد من الاتصالات إلى الواجهة الخلفية الحالية. بشكل افتراضي، سيتم تعيين قيمة الوزن 1.
• الأعلى. كونس. ستكون هذه القيمة هي الحد الأقصى لعدد التدفقات أو الاتصالات التي تم إنشاؤها لواجهة خلفية معينة. إذا تم الوصول إلى الحد الأقصى للعملاء المتصلين بواجهة خلفية معينة، فلن تقبل الواجهة الخلفية المزيد من حركة المرور. سيقوم العميل بإعادة الاتصال بواجهة خلفية أخرى مناسبة. القيمة الافتراضية هي 0، وهو ما يعني غير محدود.

قواعد IPDS لمزارع L4xNAT #

يتيح لك هذا القسم تمكين قواعد IPDS. تعرض القائمة أنواعًا مختلفة من الحماية ومربع تحديد لتمكينها. لمزيد من المعلومات يرجى الذهاب إلى IPDS >> قواعد القوائم السوداء, IPDS >> قواعد دوس, IPDS >> قواعد RBL or IPDS >> قواعد WAF وثائق محددة.

لكل نوع من الأنواع الأربعة لقواعد IPDS، القائمة السوداء، وDoS، وWAF، وRBL، يوجد جدولان، متاح وممكّن. يوجد أيضًا رمز سلسلة. ضمن الجدول المتاح، ستلاحظ أن كافة القواعد المتوفرة هي من نفس النوع، ويمكن تطبيقها على مزرعة معينة. فيما يتعلق بالجدول الممكّن، سترى أن القواعد المطبقة على المزرعة المحددة هي من نفس النوع. يوجد أيضًا رمز حالة لكل قاعدة يوضح ما إذا كانت القاعدة متوقفة أم لا (أحمر اللون) اللون أو إذا كان قيد التشغيل (اللون الاخضر).

يمكن الوصول إلى كل قاعدة من خلال النقر على أيقونة التحرير التي ستسمح لك بتغيير معلمات القاعدة أو حتى بدء/إيقاف القاعدة. لن تتمكن من إنشاء قاعدة جديدة داخل طريقة عرض المزرعة هذه. تغييره من خلال اي بي دي اس والقسم الخاص به.

أضف قاعدة من خلال النقر على القاعدة المطلوبة متبوعة بالنقر على السهم الفردي الأيمن. أو يمكنك تحديد أكثر من واحدة عن طريق الضغط على مفتاح Shift وتحديد القواعد التي تريد إضافتها في نفس الوقت. سوف تقوم بعد ذلك بالنقر فوق السهم الفردي الأيمن. يمكنك أيضًا إضافة جميع القوائم السوداء المتاحة من خلال النقر على السهم المزدوج الأيمن.

لحذف قاعدة واحدة أو أكثر، حددها وانقر على السهم الأيسر أو انقر على السهم المزدوج لإزالة الكل.