ADC

用例 10:入侵检测系统服务器的负载平衡

要使 NetScaler 设备支持入侵检测系统 (IDS) 服务器的负载平衡,必须通过启用端口镜像的交换机连接 IDS 服务器和客户端。客户端向服务器发送请求。由于交换机上启用了端口镜像,因此请求数据包会被复制或发送到 NetScaler 设备虚拟服务器端口。然后,设备使用配置的负载平衡方法来选择 IDS 服务器,如下图所示。

图 1. 负载均衡 IDS 服务器的拓扑

拓扑

注意:目前,设备仅支持被动 IDS 设备的负载平衡。

如上图所示,IDS 负载平衡设置功能如下:

  1. 客户端请求被发送到 IDS 服务器,启用镜像端口的交换机将这些数据包转发到 IDS 服务器。源 IP 地址是客户机的 IP 地址,目标 IP 地址是服务器的 IP 地址。源 MAC 地址是路由器的 MAC 地址,目标 MAC 地址是服务器的 MAC 地址。
  2. 流经交换机的流量将镜像到设备。设备使用第 3 层信息(源 IP 地址和目标 IP 地址)将数据包转发到选定的 IDS 服务器,而不更改源 IP 地址或目标 IP 地址。它将源 MAC 地址和目标 MAC 地址修改为所选 IDS 服务器的 MAC 地址。

注意:在对 IDS 服务器进行负载平衡时,您可以配置 SRCIPHASH、DESTIPHASH 或 SRCIPDESTIPHASH 负载平衡方法。推荐使用 SRCIPDESTIPHASH 方法,因为从客户端流向设备上某项服务的数据包必须发送到单个 IDS 服务器。

假设 service-any-1、service-any-2 和 service-any-3 已创建并绑定到 vServer-LB-1。虚拟服务器平衡服务负载。下表列出了在设备上配置的实体的名称和值。

实体类型 名称 IP 地址 Port(端口) 协议
虚拟服务器 Vserver-LB-1 * * 任何
服务 Service-ANY-1 10.102.29.101 * 任何
  Service-ANY-2 10.102.29.102 * 任何
  Service-ANY-3 10.102.29.103 * 任何
显示器 Ping

注意:您可以使用内联模式或单臂模式进行 IDS 负载平衡设置。

下图显示了要在设备上配置的参数的负载平衡实体和值。

图 2. 负载平衡 IDS 服务器的实体模型

实体模型

要配置 IDS 负载平衡设置,必须首先启用基于 Mac 的转发。还可以在设备上禁用第 2 层和第 3 层模式。

使用命令行界面启用基于 Mac 的转发

在命令提示符下,键入:

enable ns mode <ConfigureMode>
<!--NeedCopy-->

示例:

enable ns mode MAC
<!--NeedCopy-->

使用配置实用程序启用基于 Mac 的转发

导航到 系统 > 设置 > 配置模式,然后选择 基于 MAC 的转发

接下来,请参阅“设置基本负载平衡”,以配置基本负载平衡设置。

配置基本负载平衡设置后,必须通过配置受支持的负载平衡方法(例如,无会话虚拟服务器上的 SRCIPDESTIP 哈希方法)并启用 MAC 模式对其进行自定义。设备不维护连接状态,仅将数据包转发到 IDS 服务器而不对其进行处理。目标 IP 地址和端口保持不变,因为虚拟服务器处于 MAC 模式。

使用命令行界面为无会话虚拟服务器配置负载平衡方法和重定向模式

在命令提示符下,键入:

set lb vserver <vServerName> -lbMethod <LBMethodOption> -m <RedirectionMode> -sessionless <Value>
<!--NeedCopy-->

示例:

set lb vserver Vserver-LB-1 -lbMethod SourceIPDestIPHash -m MAC -sessionless enabled
<!--NeedCopy-->

注意

对于绑定到启用了-m MAC 选项的虚拟服务器的服务,必须绑定非用户监视器。

使用配置实用程序为无会话虚拟服务器配置负载平衡方法和重定向模式

  1. 导航到流量管理 > 负载平衡 > 虚拟服务器
  2. 打开虚拟服务器,然后在重定向模式下选择基于 MAC。
  3. 在“高级设置”中,单击“方法”,然后选择 SRCIPDESTIPHASH。单击“流量设置”,然后选择“无会话负载平衡”。

使用命令行界面将服务设置为使用源 IP 地址

在命令提示符下,键入:

set service <ServiceName> -usip <Value>
<!--NeedCopy-->

示例:

set service Service-ANY-1 -usip yes
<!--NeedCopy-->

使用配置实用程序将服务设置为使用源 IP 地址

  1. 导航到“流量管理”>“负载平衡”>“服务”。
  2. 打开服务,然后在“设置”中选择“使用源 IP 地址”。

要使 USIP 正常工作,必须将其设置为全局。有关全局配置 USIP 的更多信息,请参阅 IP 寻址