配置反向粘性
回想一下您在第10章中学到的粘性功能。您可以在需要将负载均衡到与原始流量相同的服务器的多个TCP流程时配置粘性,以保留存储在服务器上流量的信息。FWLB相同的原则是正确的。对于在同一应用程序会话中相同方向上需要多个连接的应用程序,例如HTTP和Passive-FTP,您可以通过地址散列使用IP会话粘性或分发,以确保多个TCP会话粘附到同一防火墙上。也就是说,您可以在第10章到FWLB中申请相同的“转发”粘性配置。
然而,对于应用程序在同一会话中在两个方向打开的连接,如Active-FTP,你必须使用IP反向粘性,以确保在反方向TCP连接采取同样的防火墙。在前面的例子中,CSM一个选择防火墙B中的客户端连接,但CSM b中选择防火墙的服务器发起连接。随着应用程序,如Active-FTP,你将需要CSM B到选择防火墙B,使用防火墙可以调和FTP数据和控制“哥们”关系出于安全目的。参考图把了解如何IP反向粘作品。
IP Reverse-Sticky
CSMB上配置IP反向粘使其能够存储由客户端的初始连接时在其粘表粘性项。IP反粘力CSMB覆盖由真实服务器做出位于其粘数据库客户端后续连接请求其正常的负载均衡决策过程。
要配置CSMB IP反向粘性,可以使用配置实施例11-13所示,作为适用于对CSM乙先前HTTP配置;然而,HTTP虚拟服务器通常不需要反粘主动-FTP是使用反向粘最常见的应用。
例如11-13IP Reverse-Sticky
粘性77 NetMask 255.255.255.255地址目的地超时100VSERVER出连接虚拟0.0.0.0 0.0.0.0任何VLAN 20在服务器农场的防火墙粘100组77Inservice vserver Web-Vip Virtual 10.1.20.100 255.255.255.0 WWW VLAN 21 ServerFarm Web-Farm反向粘77在使用中的
在图把你可以看到,当通过防火墙B中的进入客户端连接的虚拟服务器匹配“网络VIP,” CSM B创建与客户端的源IP地址(10.1.10.99),并在真实服务器(防火墙B)粘性项粘数据库。从后端真实服务器后续的TCP连接触发CSM B到该请求的目的地IP地址执行粘性表查找。如果一个真实的服务器发起通过防火墙B至10.1.10.99,CSM乙转发TCP SYN请求的连接,从而重写目的地散列的正常传出负载平衡方法。
配置单CSM FWLB
在单个CSM FWLB配置中,如图11:6建议,您必须将防火墙的内部和外部接口直接连接到CSM。
单CSM FWLB
示例11-14提供了单CSM FWLB配置。
例如11-14使用单个CSM配置FWLB
国防部csm 4VLAN 10客户端描述***客户端的启动连接来自VLAN 10 IP地址10.1.10.1 2555.25.255.0 VLAN 20服务器说明*** VLAN 20包含外部接口外部IP地址10.1.20.1 255.255.25.0 VLAN 30 Server描述***的防火墙VLAN 30包含内部接口IP地址的防火墙IP地址10.1.30.1 255.255.0 VLAN 40服务器描述***用于Web服务器的内部子网IP地址10.1.40.1 255.25.0 ServerFARM Forward No NAT服务器NO NAT客户端预测器转发ServerFARM内部防火墙描述**包含防火墙的内部接口** NO NAT服务器NO NAT客户端预测器哈希地址源255.255.255.255 Real 10.1.20.10 Inservice Real 10.1.20.11 Inservice ServerFarm外防火墙描述**包含防火墙的外部接口**没有NAT Server没有NAT客户端预测哈希地址目的地255.255.255.10 Inservice Real 10.1.30 Inservice ServerFarm Web-Farm说明**包含Web服务器s ** nat服务器没有NAT客户端Real 10.1.40.10 Inservice Real 10.1.40.11 Inservice vserver内部连接说明**分配两个防火墙的传入连接** Virtual 10.1.40.0 255.255.255.0任何VLAN 10 ServerFarm外防火墙Inservice vserverout-conns-20说明**根据路由表从VLAN 20从VLAN 20到Internet路由到Internet ** Virtual 0.0.0.0 0.0.0.0任何ServerFARM前进VLAN 20 Inservice VServer Out-Conns-40说明**从两个防火墙中从VLAN 40分发来自Web服务器的传出连接** Virtual 0.0.0 0.0.0.0 0.0.0.0任何VLAN 40 ServerFARM Inservice VServer Web-VIP描述**从互联网从VLAN 30跨越两者遍布互联网Web服务器** Virtual 10.1.40.100 255.255.255.0 WWW VLAN 30 ServerFARM Web-Farm Inservice
当CSM从客户端VLAN 10接收到VIP 10.1.40.100的客户端TCP SYN段时,它执行虚拟服务器查找,并将其与虚拟服务器“连接中”进行匹配。CSM然后在两个防火墙之间进行负载平衡,如图所示图11:6CSM在VLAN 20上转发请求,防火墙B在VLAN 30上转发请求。CSM在VLAN 30上接收请求,执行另一个虚拟服务器查找,并匹配名为“web-vip”的虚拟服务器。CSM负载平衡请求到真实流的实际返回流量,真实流通过同一防火墙,给定现有的CSM连接表项。
服务器发起连接到达的CSM从VLAN 40,符合VIP“出是conns-40”,并进行负载的防火墙平衡。防火墙转发传出连接请求返回到CSM上VLAN 20 CSM的VIP“出是conns-20”,将请求转发给使用它的路由表的客户相匹配。
注意:要配置隐身模式FWLB,请参阅Cisco.com上的产品文档。
在CSM VPN负载均衡
您可以在CSM上加载平衡VPN连接,以提高性能并为VPN终端设备提供冗余。示例11-15给出了调度模式CSM VPN负载平衡配置。
例如11-15在CSM上配置VPN负载分担
serverfarm vpn-farmNo NAT server No NAT client real 10.1.10.10 inservice real 10.1.10.12 inservice sticky 5 netmask 255.255.255.255 timeout 60 policy vpn-policy stick -group 5 serverfarm vpn-farm vserver vpn-ah virtual 10.1.10.100 51 slb-policy vpn-policy inservice vserver vpn-esp virtual 10.1.10.100 50 slb-policy vpn-policy inservice vserver vpn-ike virtual . properties properties属性值10.1.10.100 udp 500 slb-policy vpn-policy服务中
注意:CSS不支持VPN负载平衡,因为它不了解IPSec协议。
要为VPN负载均衡配置CSM,必须为身份验证标题(AH),加密安全有效载荷(ESP)和Internet密钥交换(IKE)协议创建虚拟服务器。类似于SSL,基于IPSec的VPN使用多个TCP连接来建立VPN会话。因此,为了确保客户端跨越TCP连接到同一VPN集中器,应使用该源IP地址粘性粘性网状掩码命令。
注意:如果需要配置定向方式的VPN负载分担,只需输入命令即可NAT服务器在服务器群配置模式下。在内容交换机上重写VPN流量中的字段时要小心,因为许多VPN协议都有保护VPN消息完整性的安全特性。
使用syn - cookie防止连接表泛洪
为了避免在基于syn flood的拒绝服务(DoS)攻击期间填满它的连接表,CSM使用syn -cookie,这在第4章中有简要介绍。SYN-flood攻击是指攻击者在大量SYN报文中随机设置源IP地址,发送给攻击对象。受害者收到SYN包,在其连接表中创建一个条目,以TCP SYN-ACK包响应,并等待发送方的最后一个ACK段。最后一段永远不会到来。因此,受害者的连接很快就会被不完整的TCP连接项填满。
但是,使用SYN-cookie, CSM不是从它的客户端为每个SYN段分配一条记录,而是发送SYN- ack段,其中包含精心构造的序列号,这些序列号是由连接的4元组、最大段大小和一个随时间不断变化的秘密生成的。连接4元组包含源和目的IP地址以及源和目的端口。当有效的客户机使用ACK响应SYN-ACK时,它们将包括这个特殊的序列号,CSM可以在创建连接条目之前验证这个序列号。在没有SYN-cookie的情况下,CSM在收到客户端的初始SYN报文时创建连接表项。使用syn -cookie, CSM在验证客户机的ACK段以完成连接时创建连接。由于SYN-flood攻击者一般不响应SYN-ACK报文段,所以SYN-flood流量不会淹没CSM的连接表。图11-7说明了实践中的同步饼干。
使用syn - cookie防止SYN-Flood流量对CSM连接表的泛洪
总结
通过本章,您可以了解如何在内容交换机上配置以下技术:
安全套接字层(SSL)终止-您了解了如何配置CSS和CSM以代表客户端终止SSL连接。
防火墙负载均衡(FWLB)- 您学习了如何配置CSS和CSM以在多个防火墙上分发客户端流量。
虚拟专用网络(VPN)负载平衡(FWLB)- 你学会了如何配置你的CSM在多个VPN集中分发客户端的流量。
SYN-FORPER保护的同步饼干-您了解了CSM如何使用syn -cookie防止SYN-flood攻击淹没CSM的连接表。
内容切换使您能够从每秒包数、每秒连接数和带宽方面提高SSL、防火墙和VPN设备的性能。您还可以使用内容交换技术增加这些设备的可伸缩性。
检视问题
什么粘的配置,你应该在SSL终止环境中执行?
什么是HTTP头插入和URL重写的目的是什么?
IP反向粘性的目的是什么?
在执行FWLB时,为什么要使用内容交换机“三明治”您的防火墙?
在例11-12,你为什么要上配置传入的请求和目的哈希由Web服务器发起请求的源IP地址散列?
您如何在示例11-14中的单CSM示例中应用反向粘性?
推荐阅读
钱德拉Kopparapu,负载均衡服务器、防火墙和缓存.威利,2002
RFC 2402”。IP认证头,IETF."http://www.ietf.org/rfc/rfc2402.txt,1998年
RFC 2406”。IP封装安全有效载荷(ESP)” IETF,http://www.ietf.org/rfc/rfc2406.txt,1998年
RFC 2409”。Internet密钥交换(IKE)” IETF,http://www.ietf.org/rfc/rfc2409.txt.,1998年
版权所有©2007培生教育。保留所有权利。
l>