第1章 网络拓扑和IP 规划
1.1 单臂组网
以下组网是称为单臂组网,是目前使用比较多的组网方法。此种组网方式可以实现完全的主备切换。通常情况下,服务器的网关需要指向负载均衡设备的浮动网关。
在本例中,AD 使用一条物理链路连接交换机,使用Vlan Trunk 来实现多个Vlan 的访问。连接防火墙使用Vlan 101,这是AD 对外的出口,Portal 的VIP 地址在这个网段。VXML 位于VLAN30,只提供内部访问。Portal 位于VLAN40,它通过VLAN101的VIP 地址来提供服务。DB 位于VLAN50。
AD 使用Vlan Trunk 与交换机相连,AD 包含有Vlan30, Vlan40, Vlan101,因为数据库不需要负载均衡,AD 不设置直连网段,通过三层换机路由。
整个业务的数据流是: 外网用户访问Portal VIP ,DB 访问VXML 的VIP 。
为了与其他厂家的负载均衡器的术语区分。我们将AD 虚拟出来的作为服务器网关的地址称为浮动IP 地址,与交换机的浮动IP 概念相同;对外提供业务服务的虚拟IP 称为VIP 。
AD 主机
DB VXML1
VXML2
VR-IP
AD 备机
Portal-1 Portal-2
1.2 VLAN划分及地址分配
1.2.1 VLAN30
说明:VXML也需要使用RADWARE进行负荷分担,但不向Internet开放,因
此要将其划分在另外一个独立的VLAN30中
1.2.2 VLAN40
说明:Portal也需要使用RADWARE进行负荷分担,对Internet开放,因此要将
其划分在另外一个独立的VLAN40中
1.2.3 VLAN101
RADWARE External网段与E200互连VLAN
网段:172.168.1.112~172.168.1.127 掩码:255.255.255.240 28
第2章 AppDirector基本配置
2.1 主机初始化配置
2.1.1 配置VLAN Tag
某些场景中,AD只使用一条千兆端口连接交换机,使用802.1Q Vlan Trunk方式连接,同时将内部Vlan与外部Vlan在一根链路上跑。这时,我们需要配置Vlan Trunk。
首先将全局Vlan环境打开。
进入Device ->VLAN Tagging
802.1q Environment: 设置为Enable
VLAN Tag Handling: 保留为默认的Overwrite,如果使用Segmentation则配置为Retain 点击Set并启设备后生效。
命令行配置如下:
AD-Master# net vlan-tag-environment set 1
2.1.2 定义IP地址
进入Router->IP Router->interface Parameters
IP Address:输入IP地址
Network mansk:输入子网掩码
If Number:选择某个物理端口或者选择已建立的Vlan interface Number
其他保持默认配置即可。
点击Set即可完成。
命令行配置如下:
AD-Master# net ip-interface create 172.168.1.76 255.255.255.0 1 -v 30 AD-Master# net ip-interface create 172.168.1.88 255.255.255.0 1 -v 40 AD-Master# net ip-interface create 172.168.1.116 255.255.255.0 1 -v 101
配置完成后的IP列表
命令行帮助如下:
AppDirector# net ip-interface create IP <地址> <子网掩码> <接口号>
AD-Master# #net ip-interface help
net ip-interface help:
set
create/add
Switches:
-m : Network Mask
-i : If Number
-f : Fwd Broadcast
-ba : Broadcast Addr
-v : VlanTag
The IP Interfaces Table contains a record of each of the AppDirector's IP
interfaces. AppDirector performs routing between all the defined IP interfaces.
You can add and delete interfaces through this table.
2.1.3 Routing Table
打开“Router>Routing Table”,点击“Create”,可以配置路由
点击“Set”图标保存配置
除了配置默认网关,我们还需要定义AD到数据库服务器的静态路由
AD-Master# net route table create 0.0.0.0 0.0.0.0 172.168.1.124 -i 1
AD-Master# net route table create 172.168.1.0 255.255.255.192 172.168.1.124 -i 1
目标网段和掩码后面紧跟的是下一跳接口地址,-i表示该路由的下一跳的接口号;
例子中第一条是默认网关的配置。
AD-Master# net route table help
net route table help:
set
destroy/del
create/add
Switches:
-i : Interface Index
-t : Type
-m : Metric
AD-Master#
说明:
Radware AppDirector在配置路由时,只有在端口up的情况下,才能配置。
例如:
端口1上的IP地址为192.168.1.1,掩码为255.255.255.0
如要配置一条缺省路由,下一跳为192.168.1.254,则只能当端口1 up,才能配置该路由。在命令行的最后面使用help参数可以获取帮助。
2.2 备机初始化配置
2.2.1 配置VLAN Tag
某些场景中,AD只使用一条千兆端口连接交换机,使用802.1Q Vlan Trunk方式连接,同时将内部Vlan与外部Vlan在一根链路上跑。这时,我们需要配置Vlan Trunk。
首先将全局Vlan环境打开。
进入Device ->VLAN Tagging
命令行配置如下:
AD-Master# net vlan-tag-environment set 1
2.2.2 定义IP地址
进入Router->IP Router->interface Parameters
IP Address:输入IP地址
Network mansk:输入子网掩码
If Number:选择某个物理端口或者选择已建立的Vlan interface Number
其他保持默认配置即可。
点击Set即可完成。
命令行配置如下:
AD-Master# net ip-interface create 172.168.1.77 255.255.255.0 1 -v 30 AD-Master# net ip-interface create 172.168.1.89 255.255.255.0 1 -v 40 AD-Master# net ip-interface create 172.168.1.117 255.255.255.0 1 -v 101
2.2.3 Routing Table
打开“Router>Routing Table”,点击“Create”,可以配置路由
点击“Set”图标保存配置
命令行配置如下:
AD-Master# net route table create 0.0.0.0 0.0.0.0 172.168.1.124 -i 1
AD-Master# net route table create 172.168.1.0 255.255.255.192 172.168.1.124 -i 1 路由表完成后的列表:
第3章双机配置
在业务与软件产品中使用AppDirector设备一般都会配置双机。
无论主用设备还是备用设备都要进行基本配置。VRRP与ARP不能同时使用,请确定冗余方式,选择其中的一种。本例使用VRRP方式。
3.1 主机VRRP配置
使用VRRP冗余方式时配置如下参数。如果是ARP方式,请跳过VRRP配置。本章的配置,为主用设备的配置。
3.1.1 全局配置开启VRRP
打开AppDirector > Redundancy > Global Configuration >.打开冗余全局配置表
IP Redundancy Admin Status:选择VRRP,我们一般采用VRRP双机方式。Interface Grouping: 主设备选择enable,表示在一个端口出现问题的时候进行整体设备切换,备用设备通常使用默认的disable状态。
下面是命令行下的配置,与上面配置的效果相同,可以自行选择配置方式。
AD-Master# redundancy mode set VRRP
AD-Master# redundancy interface-group set enable
3.1.2 配置VR (Virtual Router)
打开AppDirector > Redundancy > VRRP > Virtual Routers >. 打开虚拟路由器配置表
分别为每个接口创建一个VR.
If Index:定义VR使用的端口
VR ID:定义VR的ID号,注意同一个Vlan中的ID号不要与其他设备冲突
Admin Status:定义VR的状态,一开始必须为down,只有当Associated IP配置完成后才能up.
Priority:定义VR的优先级,最大255。优先级高的为主设备,主设备通常设置为200 Primary IP:这里需要配置,因为同一个接口有3个VLAN,3个IP地址。需要明确区分。
我们分别为3个VLAN配置VR。
下表是VR配置完成后的列表状态:
下面是命令行下的配置,与上面配置的效果相同,可以自行选择配置方式。
主AD配置:
AD-Master#redundancy vrrp virtual-routers create 1 10 -as 2 -p 200 -pip 172.168.1.116 AD-Master#redundancy vrrp virtual-routers create 1 11 -as 2 -p 200 -pip 172.168.1.76 AD-Master#redundancy vrrp virtual-routers create 1 12 -as 2 -p 200 -pip 172.168.1.88
3.2 备机VRRP配置
使用VRRP冗余方式时配置如下参数。如果是ARP方式,请跳过VRRP配置。本章的配置,为主用设备的配置。
3.2.1 全局配置开启VRRP
打开AppDirector > Redundancy > Global Configuration >. 打开冗余全局配置表
IP Redundancy Admin Status:选择VRRP,我们一般采用VRRP双机方式。Interface Grouping: 备用设备通常使用默认的disable状态。
下面是命令行下的配置,与上面配置的效果相同,可以自行选择配置方式。
AD-Backup#redundancy mode set VRRP
3.2.2 配置VR (Virtual Router)
打开AppDirector > Redundancy > VRRP > Virtual Routers >. 打开虚拟路由器配置表
分别为每个接口创建一个VR.
备AD配置:
AD-Master#redundancy vrrp virtual-routers create 1 10 -as 2 -pip 172.168.1.117 AD-Master#redundancy vrrp virtual-routers create 1 11 -as 2 -pip 172.168.1.77 AD-Master#redundancy vrrp virtual-routers create 1 12 -as 2 -pip 172.168.1.89
优先级默认为100,这里使用默认值,可以不写。
第4章业务配置
最基本的负载均衡配置包括以下几部分:创建Farm,创建Server,创建L4 Policy,这几部分配置完成后,就可以实现基本的负载均衡功能了。双机配置时,我们只需要配置主机,备机可以通过同步的方式完成业务配置。
4.1 命名规则
Radware的Farm,Server,L4 Policy,Health Check等都需要命名,名字使用大小写字母,数字和下划线,不推荐使用空格和“-”号,以免引起配置上的错误。
4.2 Farm 配置
Farm是一组提供相同服务的服务器群组,这个群组下包含的服务器具有相同的属性。AppDirector >Farms>Farm Table
4.2.1 定义Portal Farm
红色框为必选项,其他的保持默认即可。
Farm Name: Portal ,定义Farm名称
Aging Time: 60 , 用户会话表的老化时间
DisPatch Method:通常使用Fewest Number of Users,即最小用户数Connectivity Check Method: TCP Port,使用TCP端口检查服务器的状态。Connectivity Check Port: HTTP,Portal 使用80端口。
做好配置后,点击“set”图片保存配置。
4.2.2 定义VXML Farm
红色框为必选项,其他的保持默认即可。
Farm Name: VXML ,定义Farm名称
Aging Time: 60 , 用户会话表的老化时间
DisPatch Method:通常使用Fewest Number of Users,即最小用户数
Connectivity Check Method: TCP Port,使用TCP端口检查服务器的状态。
Connectivity Check Port: 8090,Portal 使用8090端口。
做好配置后,点击“set”图片保存配置。
命令行配置:
AD-Master#appdirector farm table create Portal -dm "Fewest Number of Users" -cm "TCP Port"
AD-Master#appdirector farm table create VXML -dm "Fewest Number of Users" \ -cm
"TCP Port" -cp 8090
4.3 服务器配置
服务器是Farm下面的元素,隶属于Farm。定义服务器的名称,IP地址,以及服务的端口
号。服务器的网关通常指向AD的地址,而不是防火墙,AD是双机时,这个地址是浮动IP。
Open AppDirector>Server>Application Server,
F5 LTM故障检测及信息收集 这篇文章是介绍硬件故障的处理和报错信息的收集,用于向F5 SUPPORT提出RMA或DOA申请(软件以及系统设置方面的故障这里没有包括),综合现场工程师和我所经手处理过的故障现象,总结了F5提供的解决方案和现场处理方法,以及RMA处理的一些经验。 主要分以下三个方面: ●常见故障现象 ●故障处理和报错信息的收集 ●注意事项 一、主要故障现象 分为两个部分:V4.5系统和V9系统。 V4.5系统对应的机型为F5 1000、2400、5100系列。 V9系统对应的机型为F5 1500、3400、6400、6800系列 1、V4.5系统常见的故障现象 ●电源故障 ●风扇故障 ●CF存储卡故障 ●光纤端口故障 ●系统启动故障 2、V9系统常见故障 ●电源故障 ●风扇故障 ●CPU温度过高的故障 ●系统启动故障 ●机器内部的板卡故障 二、故障处理和报错信息的收集 1、对于V4.5的系统由于没有专项的检测程序,所以我们要收集以下主要内容: ●QKVIEW的运行结果(机器能够启动进入OS) ●LOG文件(机器能够启动进入OS) ●观察机器故障时的前面板状态灯的情况、风扇工作情况、电源和电源风扇的工作情 况; ●CONSOLE口的输出内容; ●有条件的话,对故障机器拍照(针对一些特殊的故障现象)。 2、对于V9系统由于有硬件检测程序,我们主要收集以下内容: ●硬件检测程序EUD 的运行结果(机器能够启动或使用外置USB光驱运行); ●CONSOLE口的输出内容 ●观察机器故障时的前面板状态灯的情况、风扇工作情况、电源和电源风扇的工作情 况以及前面板液晶屏幕的显示内容; ●有条件的话,对故障机器拍照(针对一些特殊的故障现象); ●启动进入系统后,运行一些命令的结果。 3、下面介绍一些针对不同故障的信息收集和一些常见故障的解决方法。
Radware+AppDirector配置手册 (v 140909)
版本说明
1 地址分配说明 负载均衡设备上的IP 地址分配如下: 说明: ?APPdirector IP:负载均衡设备在单臂部署下的接口IP。 ?Virtual IP Interf ace: 是冗余地址, 作为服务器的网关,主/备用负载均衡设备的 地址相同。 ?Farm IP:代替服务器被外部用户访问的IP 地址。主/备用负载均衡设备的Farm IP 相同。 ?Client NAT IP:为服务器同时对内部用户提供服务所使用的IP 地址转换。 ?Route IP:负载均衡设备上的网关IP(防火墙地址)。 ?Active 为主用负载均衡设备,backup 为备用负载均衡设备。
2 R a dw ar e A p pD ir ec to r设备配置步骤 2.1登陆A pp D i r e c t o r设备 2.2配置A pp D i r e c t o r设备 3 R a dw ar e A p pD ir ec to r设备的登陆 3.1r a d w a r e A pp D i r e c t o r和电脑的连接: 3.2定义r a d w a r e A pp D i r e c t o r C o n s o l e参数:
3.3 初始化,清配置: 给设备加电,在3 秒内按任意键 CPU: RadWa re BOOMER - MPC740/750 Active boot: 1 DRAM si z e:256M Flas h si z e:16M Altera version: 24 BSP version: 6.00 Creation date:Oct 11 2005,16:34:37 Press any key to stop auto-boot... 3 > > ? ? - print this list @- boot (loa d and go) e - print fata l exception w- download via xmode m a - print installed applications list i- set active appl ication u- download to secondary boot via xmode m x - extract from an archi ve >q0(清空原有配置参数,恢复缺省值) >q1(清空原有配置参数,恢复缺省值) Q 是隐含命令,防止用户误删除配置. > q0 Erasing conf igurati on... Erasing Netwo rk Section ... done > q1 Erasing conf igurati on... fl:/ - Volume is OK config file is not foundErasing Netwo rk Section ... done >@(设备重启)
Radware 日常维护注意事项 Radware外观: 一、常见管理方式有以下几种方式: 1.基于console方式 2.基于WEB方式 3.基于telnet方式 4.基于SSH方式 注:telnent是明文的方式登录,SSH通过密文的方式登录,安全性高于telnet,因此建议用SSH进行登录管理设备. (一)基于console的管理登陆方式 5.用设备自带的console线连接到设备前面板的串口上 6.将另一端连接到到电脑上 7.然后打开超级终端 8.超级终端参数设置如下:
5.连接后在“>”提示符下,输入login命令,输入用户名密码即可登录,默认的用户名密码均为radware,登录成功后提示符变为“#”。 (二)WEB方式管理 启动WEB管理之前需要配置一个IP地址,该IP地址用于管理维护Radware,例如可以选取第一个电口,通过上面介绍的串口连接后输入以下命令:net ip-interface create 10.164.72.151 255.255.255.0 1 输入以下命令启动WEB管理:manage web status set 1。 启动IE浏览器(建议IE6.0以上),在地址栏输入http://192.168.101.1,此时会提示输入用户名/密码,输入用户名密码(默认radware/radware)后即可进入WEB管理界面。
(三)telnet、SSH登录方式 可以通过windows自带的cmd进行登录或者第三方工具SecureCRT 软件。要对radware设备进行管理,首先要保证管理主机到radware设备之间路由可达。 Windows登录界面如下: SecureCRT登录界面如下: 点击新建会话建立一个SSH会话连接,如下图
1.公司状况对比 1.1Gartner的市场分析图: 可以看到,F5处于领导者地位,Radware与F5的差距是非常大的。 1.2Dell’Oro Group的市场占有率分析(端口数)
从上图可以看出,Radware的市场占有率和F5相比还有很大的距离,并且该距离在越走越大。 2.设备硬件架构对比 2.1Radware产品的硬件架构 下图是Radware设备的内部结构,我们可以看到Radware所谓的交换机架构其实是一个交换板同一台PC机器通过2个PCI的接口接合起来的。所以其架构是基于PC的架构,处理能力也非常差,所谓的ASIC架构只是交换板部分的接口部分的2层ASIC,这种ASIC只有设备在做2层转发的时候才具有实际的意义,而负载均衡设备都是工作在4-7层,此时Radware 所谓的ASIC无法对4-7层的处理进行优化。 其所谓的NP 处理器也只是在其高端产品上(3020以上平台)才有使用,并且其NP对外通讯只具备3个千兆端口,因此在很大程度上会影响到系统的扩展性。 在NP的设计理论中,一个NP的最佳运行状态应当是运行单个应用,并且不适合于复杂的七层信息处理,因此Radware的NP基本上仅用于四层交换,而其他的功能大部分在CPU内完成。 在6000以下平台,均采用500Mhz的Motorola Power PC 7410作为核心CPU,该CPU在1999年时是作为Apple G4电脑的核心处理器,是一个已经过时很久的产品。在最高端的6000平台上,也只采用了1.7Ghz主频的产品,即使在RISC 芯片家族中,也是一个非常落后的一个CPU产品。在处理复杂内容如字符串检索、内容替换等功能时时,单纯精简指令的RISC CPU就比RISC、CISC混合指令集的CPU存在非常大的差距了。因此在Radware设备上根本无法完成F5产品所具有的灵活多变的功能,而只能实现简单、固定的功能。使用户的投资无法得到保证。
FAQ- ODS平台系统恢复 处理过程 1.准备一个空白的U盘或将设备的CF卡取出并格式化。 2.将Install文件和tar格式的系统软件copy到U盘或CF卡上,不需要解压缩。 下面是Install文件,tar软件请向Radware工程师索取。 3.开机,系统提示下,按ESC中断启动,进入boot提示下,如果是U盘启动,输入 uda1:/install,如果是CF卡,输入hda1:/install boot: boot: uda1:/install 在设备启动过程中,根据提示中断设备的自动启动过程: Press
Found USB block device 2 dma_to_td: can not find td dma_to_td: can not find td dma_to_td: can not find td dma_to_td: can not find td dma_to_td: can not find td Disk read error dev=3 drive=0 sector=0 boot: uda:/install LinuxLabs USB bootloader New USB device, setting address 2 Manufacturor: Product: USB DISK 2.0 Serial: 077813BE019A Found USB block device 2 Unknown filesystem type boot: boot: boot: boot: uda1:/install LinuxLabs USB bootloader New USB device, setting address 2 Manufacturor: Product: USB DISK 2.0 Serial: 077813BE019A Found USB block device 2 Mounted fat Loading image... Jumping to entry point... EEPROM type for motherboard is 0 bd0: Bulk device is created readSMBusDevice: failed to read byte. Device 0xa0, offset 250 EEPROM type for daughterboard is 1 flashProbe: W39V040C found at physical address: 0xfff80000 VxWorks System Boot Copyright 1984-2004 Wind River Systems, Inc. CPLD VER : 0xc9 CORE FREQ : 2600 MHz Bios VER : 0602.041 CPU : AMD OPTERON Version : VxWorks5.5.1
Alteon基本配置示例 目录 1. 设备基本配置 (2) 设备连接示意图 (2) 配置步骤 (3) 2. 设备配置备份及升级 (5) 设备连接示意图 (5) 配置步骤 (6) 3. SLB/RSTP SLB配置 (10) 设备连接示意图 (10) 配置步骤 (10) 4. SYN Attack Detection (13) 设备连接示意图 (13) 配置步骤 (14) 5. TCP Rate Limiting (16) 此功能需要license (16) 设备连接示意图 (17) 配置步骤 (17) 6. WAN Link Load Balancing (21) 设备连接示意图 (21) 配置步骤 (21) 出线路负载均衡 (21) 入线路负载均衡 (25) 7. Alteon双机模式Active/Standby (31) 设备连接示意图 (31) 配置步骤 (31)
1. 设备基本配置 设备连接示意图 Client #1 I P=10.1.11.31/24 Clien t #2 I P=10.1.11.35/24 I F 1=10.1.11.1/24I F 2=10.1.1.1/24 I P=10.1.1.32/24I P=10.1.1.33/24 配置要求: 端口1、2配置为外部client 端,端口7、8配置为内部服务器端,地址如上图所示。
配置步骤 1、配置超级终端: Baud rate = 9600 Data bits = 8 Parity = none Stop bits = 1 2、登录到设备上:缺省密码为:admin 3、恢复配置成出厂默认值 a、 /boot/conf factory: Boot Options# conf Currently set to use active config block on next boot. Specify new block to use ["active"/"backup"/"factory"]: fac Next boot will use factory default config block instead of active. Confirm : Do you want to keep management port connectivity? [y/n]: y (如果选n的话,网管端口的配置也会被清空) Nov 3 11:22:05 NOTICE mgmt: boot config block changed b、 /boot/reset重启设备 c、按Enter确认重启 4、配置IP接口 a、/cfg/L3/if 1 b、mask 255.255.255.0 c、addr 10.1.11.1
Radware负载均衡设备 巡检文档
1.1负载均衡检查(Radware AD) 1.1.1数据备份 检查项目:Radware AD数据备份 检查目的:及时备份数据,确保设备故障时能及时恢复 检查步骤: 登陆,即AD的物理接口ip登录到AD,执行以下操作:File →Configuration→Receive from Device; 点Set,保存;将配置文件进行存档。如下图所示:
检查标准:数据正常备份。 异常处理:如果无法备份,需要尽快定位问题。 1.1.2软件版本检查 检查项目:软件版本检查 检查目的:确保Radware AD版本合乎要求,并且主备AD版本一致 检查方法:登陆,即AD的物理接口ip登录到AD,执行以下操作:Device →Device Information;(也可以输入命令system dev-info)
检查标准: 在现网的设备只允许使用AD build89 或者AD Build106版 本,且主备两台AD的版本必须一致 1.1.3运行服务器状态检查 检查项目:服务器的运行状态 检查目的:确保服务器各节点状态正常 检查步骤: 登陆,即AD的ip登录到AD ,点击Device→Device Information 观察各Virtual Server的状态。如下图所示:
检查标准:各Virtual Server的状态均正常(绿色打钩图标)。 异常处理: 如果有节点down掉了(红色叉图标),先确认是不是AD把它 给shutdown掉了,如果不是在去查节点的问题,然后进行处 理。 1.1.4主备状态检查 检查项目:AD的主备状态 检查目的:确保两台AD处于正常主备状态 检查步骤:登陆,即AD的ip登录到AD ,点击AppDirector→Redundancy →VRRP→Virtual router观察各接口VRRP的状态。,观察AD显 示的状态为一个master,一个standby(也可以在命令行输入 redundancy vrrp virtual-routers)。如下图所示:
Radware-DefensePro 安全解决方案 Radware China
目录 1需求分析 (3) 1.1传统安全架构无法应对基于应用的攻击模式 (3) 1.2单一的IPS和DOS防范模式无法应对层出不穷的攻击手段 (5) 2Radware DefensePro(DP)解决方案 (6) 2.1DefensePro攻击防范 (6) 2.1.1Dosshield实现已知攻击工具防范 (7) 2.1.2Behavioral DoS基于网络行为模式实现自动攻击防范 (8) 2.1.3入侵防范防范各类应用攻击 (9) 2.1.4其它安全相关功能 (10) 2.2DefensePro的安全报告 (11) 3DefensePro解决方案优势 (12)
1 需求分析 当前,随信息化发展而来的网络安全问题日渐突出,这不仅严重阻碍了社会信息化发展的进程,而且还进一步影响到整个国家的安全和经济发展。面对网络安全的严峻形势,如何建设高质量、高稳定性、高可靠性的安全网络成为我们通信行业乃至整个社会发展所要面临和解决的重大课题。 现如今,全球网民数量已接近7亿,网络已经成为生活离不开的工具,经济、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性,决定了网络安全威胁的客观存在。人们在享受到各种生活便利和沟通便捷的同时,网络安全问题也日渐突出、形势日益严峻。网络攻击、病毒传播、垃圾邮件等迅速增长,利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升,严重影响了网络的正常秩序。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点。(以上摘自《通信信息报》) 威胁触目惊心 根据公安部一份信息网络安全状况调查显示,在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等信息网络中,发生网络安全事件的比例为58%。其中,计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79%,拒绝服务、端口扫描和篡改网页等网络攻击事件占43%,大规模垃圾邮件传播造成的安全事件占36%。特别地,计算机病毒的感染率为87.9%,比上一年增加了2%。 上述调查对象都是国内信息安全投入比较高的大行业,防火墙、入侵检测、防病毒等常见安全产品基本都已部署,但仍然遭受了触目惊心的安全危害。 1.1 传统安全架构无法应对基于应用的攻击模式 防火墙无法保护处于它身后的网络不受外界的侵袭和干扰 防火墙一直是网络及应用安全的代名词,在瞬息万变的信息时代,这个曾经叱咤风云的一代宗师,今天却成为了信息安全的误区,防火墙仍然安全吗? 众所周知,今天的应用逐渐向Web转换,这意味着什么呢?参见下图:
中国移动DSMP系统--Radware 服务器负载均衡方案 用户背景: 中国移动通信主要经营移动话音、数据、IP电话和多媒体业务,并具有计算机互联网国际联网单位经营权和国际出入口局业务经营权。MISC是中国移动数据业务管理核心平台, 主要功能是管理订购关系和代计费,支撑着短信、WAP、彩信等主要数据业务,是目前全球 规模最大的数据业务管理系统。DSMP是由中国移动主持、卓望科技参与制订的数据业务管理平台技术标准,卓望科技MISC平台即是对应DSMP技术规范的产品。据悉,中国移动与卓望科技共同完成的DSMP设计与开发项目,在今年中国通信学会科技评比中荣获一等奖。目前,MISC 平台在全国共建有28个节点,覆盖了中国移动集团及所有省级公司,管理着 3 000多家SP和上万项全网及本地业务。 Radware作为MISC平台智能应用交换设备的供应商,旗下的WSD已经布署在全国1 4个核心节点,目前系统运行稳定可靠,为业务的开展提供了良好的基础保障。经过近两年的不懈努力,中国移动数据业务管理系统(MISC)已在全网建成。而MISC平台在数据业务管理中正发挥着及其重要的作用。该系统性能稳定并经受了高峰期大业务量的考验,从技术上大大提升了中国移动“移动梦网”业务合作管理体系的能力,用户投诉明显下降,下降率达96%。MISC平台将在中国移动未来数据业务发展进程中扮演非常重要的角色。 用户需求: 应用服务器负载均衡技术的需求 为了MISC系统的网络应用的高可用性、高性能和安全性,中国移动通信网络应用存在下列需求: 提高网络应用的可靠性:
应用服务器由于服务器硬件的稳定性、流量压力超载、网络攻击等情况经常会出现意外宕机的情况,从而无法保证网络应用的7x24小时的持续性服务。 需要自动的网络应用可用性检查,保证网络应用的7x24小时的持续性服务。 提高网络应用的性能: 在网络应用系统中,通常会采用多台服务器同时提供服务的方式。但是由于网络中的流量并不均衡,因此经常会出现某台服务器由于访问量过大而宕机,造成网络应用性能的不稳定,从而影响到整个网络应用系统的性能。需要智能负载均衡技术来提高网络网络应用的性能。 对DSMP应用的全面识别和支持: 通过多种手段正确判断服务器的健康状况,识别会话中的Cookie,支持会话保持功能;实现服务器的端口对外转换,隐藏服务器的真实端口,提高安全性。 Radware解决方案 本方案中采用Radware 公司的Web Server Director (APPDirector)应用交换(AS I I)实现APP Server服务器的负载分担。 WSD-Pro是提供本地的服务器群负载均衡和容错的产品,主要目的其实是为了使多台主 机协同对外提供服务,而从外部看来就好像是一台主机一样(虚拟服务器),从而提高服务器的处理性能。 对于上述这个系统,WSD的解决方案提供了三级全面冗余机制: 对于每种应用,负载均衡设备根据管理员事先设定的负载算法和当前网络的实际的动态的负载情况决定下一个用户的请求将被重定向到的服务器。而这一切对于用户来 说是完全透明的,用户完成了对WEB服务的请求,并不用关心具体是哪台服务器完成
Radware WSD 服务器负载均衡解决方案
1.1 WSD ―服务器负载均衡 1.1.1Radware 网络应用系统负载均衡的基本工作原理 Radware的WSD通过对于数据包的4-7层信息的检查来进行负载均衡的判断,服务器负载均衡是最普遍的一种4-7层交换的例子,下面我们就以服务器负载均衡的整个流程来介绍Radware WSD的工作原理: 1.1.1.1 会话“session”。 请看下面会话的例子: 为了识别会话,客户机和服务器都使用TCP“埠”。客户机和服务器之间的TCP会话由四个参数定义:客户机IP地址、客户机TCP端口、服务器IP地址和服务器TCP端口。所以,如果IP地址为199.1.1.1的客户机使用TCP端口1234与IP地址为145.145.100.100的服务器(TCP埠80)建立会话,则该会话定义如下: (clntIP,clntPORT,srvrIP,crvrPORT )= (199.1.1.1,1234,145.145.100.100,80) 1.1.1.2 服务器负载均衡 假设图1中所示的样例,客户机通过访问服务器负载均衡设备WSD的虚拟地址145.1.1.1 进行HTTP应用的访问。再假设选择服务器145.145.100.100响应此客户机,则客户表的记录如下所示:
如果启用此记录,WSD 会执行以下两个任务: 1. 所有从客户机199.1.1.1发送到服务器群145.145.1.1且目标TCP 端口为80的数据包将被发送到服务器145.145.100.100。 2. 所有从服务器145.145.100.100发送到客户机199.1.1.1且源TCP 端口为80的数据包将被改为源地址145.145.1.1发送出去。 即:对于用户199.1.1.1 来说,145.145.1.1 是他要访问的服务器IP 地址,当WSD(145.145.1.1),收到用户请求后,会根据后面2台服务器的“健康状况”和负载均衡算法将用户的请求转发到某一台服务器145.145.100.100 1.1.1.3 健康检查 由于负载均衡设备同应用的关系比较紧密,所以需要对负载均衡的元素进行“健康”检查,如果负载均衡设备不能在应用进行健康检查,就无法做到对应用的高可靠性的保障。 Radware 的高级健康检查模块,可以准确的做到应用层的健康检查。这种新的模块与流量复位向模块紧密相连,可以提前检验所有应用和网络部件的可用性和功能,这些网络部件包括应用服务器、防火墙、cache 服务器和路由器等。
Nginx负载均衡的详细配置及使用案例详解. 技术无止境, 我们仍需努力! 1,话不多说, 这里我们来说下很重要的负载均衡, 那么什么是负载均衡呢? 由于目前现有网络的各个核心部分随着业务量的提高,访问量和数据流量的快速增长,其处理能力和计算强度也相应地增大,使得单一的服务器设备根本无法承担。在此情况下,如果扔掉现有设备去做大量的硬件升级,这样将造成现有资源的浪费,而且如果再面临下一次业务量的提升时,这又将导致再一次硬件升级的高额成本投入,甚至性能再卓越的设备也不能满足当前业务量增长的需求。 针对此情况而衍生出来的一种廉价有效透明的方法以扩展现有网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性的技术就是负载均衡(Load Balance)。 2, 负载均衡的种类 1)一种是通过硬件来进行解决,常见的硬件有NetScaler、F5、Radware 和Array等商用的负载均衡器,但是它们是比较昂贵的 2)一种是通过软件来进行解决的,常见的软件有LVS、Nginx、apache 等,它们是基于Linux系统并且开源的负载均衡策略.
3, 这里我们只来说Nginx(其他的大家有兴趣可以自行查阅相关文档) Nginx(发音同engine x)是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like 协议下发行。由俄罗斯的程序设计师Igor Sysoev(伊戈尔·西索夫)所开发,供俄国大型的入口网站及搜索引擎Rambler(漫步者)(俄文:Рамблер)使用。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:新浪、网易、腾讯等。 优点: 1:可运行linux,并有 Windows 移植版。 2:在高连接并发的情况下,Nginx是Apache服务器不错的替代品Nginx在美国是做虚拟主机生意的老板们经常选择的软件平台之一。能够支持高达50,000 个并发连接数的响应 4, 创建两台Nginx服务器 由于自己在自己电脑上搭建, 所以现在只模拟搭建两台Nginx服务器. 负载均衡的功能: 转发 故障移除
FAQ- ODS平台系统恢复 现象描述 ODS系统开机后,无法引导,boot: hdb1:/bootrom出现问题,提示错误,不断重启。 BIOS Version: 0602.041 LinuxBIOS-2.0.0_Fallback Thu Jun 5 15:14:20 CST 2008 booting... The copyright on LinuxBIOS is owned by a large number of developers and companies. Please check the individual source files for details. The resulting LinuxBIOS images licensed under the terms of GNU General Public License, version 2 which can be found at https://www.doczj.com/doc/a55227677.html,/licenses/old-licenses/gpl-2.0.html Initializing CPU #1 Initializing CPU #0 8888888b. 888 888 Y88b 888 888 888 888 888 d88P 8888b. .d88888 888 888 888 8888b. 888d888 .d88b. 8888888P" "88b d88" 888 888 888 888 "88b 888P" d8P Y8b 888 T88b .d888888 888 888 888 888 888 .d888888 888 88888888 888 T88b 888 888 Y88b 888 Y88b 888 d88P 888 888 888 Y8b. 888 T88b "Y888888 "Y88888 "Y8888888P" "Y888888 888 "Y8888 Platform ODS2 H/W Revision C.05 System Serial Number: 21900500 Manufacture date: 23/02/09 CPU: AMD Opteron 2218 2.6GHz DDR size: 2048M 667MHz Flash size: 991M + 128M Base MAC address: 00:03:b2:4c:06:c0 FILO version 0.5 (sevenwang@TSOU) Wed Jan 2 22:39:20 CST 2008 Copyright (C) 2003 by SONE Takeshi
相关日志操作说明 Radware负载均衡器可以通过Console、Syslog 服务器、本地日志系统等收集日志。建议优先通过Console口收集日志,可以收集到比其它方法更详细的日志,如网络中断或系统还无法及时写入本地Flash的日志;如果无法通过Console 口收集日志,建议设置Syslog服务器,可以保存较长时间的日志。 第1章通过CONSOLE口收集日志 1.1 通过console线连接AD 使用WINDOWS的超级终端,设置参数如下: 每秒位数:19200 数据位:8 奇偶校验位:无 停止位:1 数据流控制:None
1.2 捕捉日志 捕捉超级终端屏幕的输出,并保存到本地硬盘。 如果使用SecureCRT软件,可以使用Raw Log Session的功能进行保存日志,在菜单File中,有一个Raw Log Session项,保存到本地硬盘。 第2章 Syslog 服务器配置 有时为了分析系统日志,需要使用syslog功能。 进入Services ->Syslog Reporting
Syslog Operation: syslog状态 Syslog Station:syslog服务器的地址 Syslog协议标准使用udp 514端口,请确认防火墙开放此端口。第3章本地日志系统
如果没有syslog服务器,可以配置本地日志。建议本地日志仅在分析故障时使用。这个功能仅在1.07.11DL build 102版本后可以使用。 进入Services -> Trap Logging Trap Logging: 本地日志状态 Minimum Severity for Trap Logging: 本地日志的保存级别,info表示info级别以上的信息全部记录,包括端口up/down,服务器up/down等信息。 Traps Log File Size :本地日志保存的条目数,默认为1000条,满了自动删除以前日志
第1章、A LTEON 4408负载均衡器实施方案 1、A LTEON 4408负载均衡器实施规划 本项目采购了两台Radware Alteon 4408 负载均衡器,两台负载均衡器规划为三台应用服务器实现http服务负载均衡功能,两台负载均衡器配置冗余热备模式。 设备规格型号: Radware Alteon 4408 实施规划表 1)Web services 服务器群负载均衡1规划表 2)Web services 服务器群负载均衡2规划表
2、A LTEON 4408负载均衡器网络逻辑拓扑结构图 NEW web服务器1NEW web服务器2NEW web服务器3 3、A LTEON 4408负载均衡器实施主要配置过程 1. Alteon 4408 初始化配置 1)管理端口初始化配置 用console线连接PC机串口到alteon web switch交换机管理口打开超级终端软件设置为以下参数
打开switch电源,按回车键进入如下提示: 输入缺省管理密码:admin 配置管理IP 和默认网关,比如: /cfg/sys/mmgmt/addr 192.168.1.50 /cfg/sys/mmgmt/mask 255.255.255.0 /cfg/sys/mmgmt/gw 192.168.1.1 /cfg/sys/mmgmt/ena 启用可通过Telnet、SSH 、HTTP 访问服务 /cfg/sys/access/http/ena /cfg/sys/access/tnet/ena /cfg/sys/access/sshd/on/ena apply save 2)配置VLAN,端口等L2信息 创建VLAN 进入配置菜单 输入:>> Configuration#vlan (2-1024)进入vlan配置菜单
AppDirector配置指导书 二○○六年四月
目录 说明 (3) 1Radware WSD设备配置步骤 (4) 1.1登陆WSD设备 (4) 1.2配置WSD设备 (4) 2Radware WSD设备的登陆 (4) 2.1radware WSD和电脑的连接: (4) 2.2定义radware WSD Console参数: (4) 2.3初始化,清配置: (5) 2.4配置WSD的管理口地址: (5) 2.5登录Radware设备 (6) 3Radware WSD 配置 (7) 3.1网络结构图 (7) 3.2配置过程 (8) 3.2.1WSD (8) 3.2.1.1划分VLAN和配置IP地址 (8) 3.2.1.2配置默认路由 (9) 3.2.1.3配置Farm Table (10) 3.2.1.4把服务器地址加入到Farm Table中 (11) 3.2.1.5配置VIP地址 (13) 3.2.1.6配置健康检查Health Monitoring (14) 3.2.1.6.1启用health monitoring功能 (15) 3.2.1.6.2配置check table (15) 3.2.1.6.3将定义的健康检查方式绑定到相应的server上 (16) 3.2.1.7配置Tuning (17) 3.2.1.8配置client NAT (18) 3.3其他配置 (21) 3.3.1Syslog (23) 3.3.2Telnet (24) 3.3.3WEB管理 (24) 3.3.4安全管理 (25)
版本注释: 版本 1.0 2006-3-6 创建 说明 Software Version: 1.01.01A (build 8ca06c)。 只有该版本支持对服务器的多端口的负载均衡功能。
中国银行零售贷款在线审批系统应用 Radware实现负载均衡 1.项目介绍 中国银行,作为2008年奥运会的银行合作伙伴,始终致力于为集团企业客户提供安全、稳定的基于INTERNET的财务管理平台。“零售贷款在线审批系统”作为网络银行系统的一部分,在实现网上银行与后台业务系统自动联机处理的基础上,与其它系统共同为客户提供实时高效、覆盖全国、7 X 24小时的财务管理、资金集中管理和现金管理服务。 2.用户需求 用户系统采用业界标准的三层架构,即数据库,中间件和前端WEB服务器。用户的请求通过HTTPS加密访问业务系统。数据经过处理后,再经过HTTPS加密返回用户端。为此,用户业务系统有以下需求必须满足: 1. 可靠性需求:如何屏蔽因服务器故障造成业务中断,是用户关系的首要问题。 2. 安全性要求:作为网上在线交易,安全性是客户最关心的问题。 3. 高性能需求:如何解决单台服务器性能问题以及如何实现SSL的加速处理,以摆脱服务器 的性能压力。 4. 扩充性要求:随着业务量的逐步增加,如何平滑扩展业务,扩充生产处理能力,是用户开始关 心的问题。 3.Radware解决方案描述 通过RadWare”应用前端解决方案”并结合以下专业设备的使用,满足用户生产系统的需求,如下图所示:
AppXcel SSL加速设备(简称AX):通过使用专用的SSL加速设备,将生产服务器从繁重的解密工作中解放出来,使企业用户HTTPS访问的速度得以大幅度提升。 AppDirector(简称AD):服务器负载均衡设备:通过对生产系统的中间件、前端WEB服务器组和APPXECEL SSL加速设备负载均衡,保证生产系统7 X 24小时不间断服务。 企业客户通过HTTPS加密协议访问生产系统。加密数据首先被AD平均转发到两台AX设备,对数据进行解密处理,然后再送回AD设备,再次将明文流量平均分配到后台业务系统处理(前端WEB服务器组和中间件服务器组)。 在AD将数据转发前,通过”应用前端解决方案”中多种技术的综合运用,要对服务器进行”健康检测”和”性能评估,保证将数据发送到性能最好的服务器上。同时,也能在最快的时间里发现服务器硬件故障、操作系统故障或应用业务故障,并将后续流量只发送到正常服务器上处理,为系统提供高效和稳定的保障。 4.Radware为客户带来的价值 1. AppDirector为中国银行提供结构优化、容错冗余、可扩展性以及应用级安全性,从而实现 快速、可靠、安全的应用交付。 2. 使用AppXcel进行HTTPS加速后,生产服务器压力减少80%,用户基本感觉不到因加密数 据带来的业务延迟。 3. 当服务器出现故障或需要维护时,通过解决方案中特有技术,可以将请求全部导向工作正常 的服务器上,对用户完全透明,不会影响上网操作。 4. 当需要扩充性能时,只需在交换机后面添加更多的服务器即可,无须对服务器做特使复杂配 置,减少维护成本和风险。
中国银联Alteon 5412应用案例 中国银联全称中国银联股份有限公司(英文名称:China UnionPay Co., Ltd.), 2002 年3月26日成立,总部设在上海。是经中国人民银行批准的、由八十多家国内金融 机构共同发起设立的股份制金融机构。公司采用先进的信息技术与现代公司经营机 制,建立和运营全国银行卡跨行信息交换网络,实现银行卡全国范围内的联网通用, 推动我国银行卡产业的迅速发展,实现"一卡在手,走遍神州",乃至"走遍世界"的目 标。 中国银联的成立标志着“规则联合制定、业务联合推广、市场联合拓展、秩序联合规 范、风险联合防范”的产业发展新体制正式形成,标志着我国银行卡产业开始向集约 化、规模化发展,进入了全面、快速发展的新阶段。 技术需求 中国银联原有的卡业务系统,采用不同的下联卡负责不同身份业务接入,冗余机制 较差,管理复杂,无法继续支持快速增长的业务需求。中国银联需要建立: ●应用交付架构:实现卡业务接入的高可用性; ●应用交付虚拟化:为了保障业务的性能、故障和管理独立性,负载均衡资源池 需采用虚拟化分割的方式来,不同的虚拟设备负责不同区域接入业务的负载均衡; ●要求细致的虚拟负载均衡设备划分颗粒度,支持100M性能的虚拟机划分颗粒 度; ●虚拟负载均衡设备的性能可动态调节,对于单独的虚拟负载均衡设备设置性能 阈值,当到达一定的阈值后可以自动动态调节虚机的性能,以满足业务增长的需求; ●支持统一集中管理,方便对所有虚机的监控;
解决方案 在经过多次论证和严密测试后,中国银联最终选择了Radware Alteon 5412 – VX,建立虚拟化应用交付架构。具体拓扑如下图所示: 信息总中心负载均衡部署 ?采用Radware虚拟化负载均衡解决方案平台Alteon 5412 20G,并配置10个vADC虚拟化License许可; ?采用Trunk技术实现链路捆绑,提高带宽,采用vlan tag技术实现单根物理链路连接多个vlan; ?通过状态同步技术实现主备设备的会话表同步,从而实现在设备发生冗余切换的时候,连接信息不会丢失,交易不会中断; ?通过虚拟化解决方案实现不同地市的业务采用不同的虚拟设备进行处理,从而实现性能、网络、故障互相不影响,独立运 行管理; ?采用Radware虚拟化负载均衡解决方案极大的提高了设备利用效率;