A10-广东移动防火墙负载均衡解决方案-YL.docVIP

Page PAGE 1 / NUMPAGES 16 ?2008 Performance by DesignAll Rights Reserved Performance by Design A10广东移动 防火墙负载均衡解决方案 概述 随着数据流量的增大，防火墙的性能经常会遇到瓶颈。对于大的企业和IDC来说，单台防火墙无法满足Internet出口流量的安全保护。如果采用多台防火墙，则只能手工做一些策略，让不同流量经过不同的防火墙，这种方式有几个缺点： 1）不同防火墙的负载很难均衡，容易造成某些防火墙性能吃紧，某些却相对空闲。 2）为了保证防火墙的高可用性，每种策略需要一对防火墙采用主备方式工作，这样将造成一台防火墙的资源浪费。 3）增加了网络的复杂性和维护的难度。 针对这种情况，最好的办法是对多台防火墙做负载均衡，这样一方面可以提高防火墙的总体性能，另一方面可以根据每一台防火墙的性能把所有防火墙充分利用起来，并且降低管理的难度。 需求描述 配置性能超过当前出口流量的负载均衡设备。 根据防火墙的性能实现防火墙的负载均衡。 防火墙可以不限厂家和型号。 同一个用户的连接的请求和应答都需要经过同一台防火墙处理以保证处理的一致性和合法性。 整个系统要有灵活的扩展性和冗余性。 A10防火墙负载均衡解决方案 网络结构 防火墙的工作原理需要对连接状态进行检测，也就是说对于构成完整用户会话的双向数据流进行监控，以确定数据流的合法性。当采用多台防火墙对网络流量进行负载均衡时，如果数据流处理不当，可能出现的情况是对构成同一个用户会话的双向数据包，在多台防火墙上进行处理，而每一个防火墙上都必须要看到完整的用户会话信息，而防火墙如果看不到完整的用户会话信息，就会将该数据包当作非法访问而抛弃掉。 采用三明治结构，在防火墙的两端都连接负载均衡设备，可以做到在对进出流量均衡分发的同时，维持用户会话的完整性，使得对某一用户的同一会话产生的双向数据包始终都由同一台防火墙来处理，而使防火墙得于在负载均衡环境下还可以正常工作。 解决方案说明 本方案中多台防火墙被两对AX/THUNDER(每对AX/THUNDER作HA)通过三明治的方式夹在中间，这样无论进出的流量，都可以被不同的AX/THUNDER记住状态，并根据所记录的状态，转发回之前处理相关会话的防火墙。下面根据用户从外部访问内部和从内部访问外部两个方向介绍AX/THUNDER的处理机制。 从外部访问内部 假设用户从外部访问内部的一台服务器或者映射在内部AX/THUNDER上的VIP，请求首先到达外部的AX/THUNDER，外部AX/THUNDER通过负载均衡将流量转发到一台防火墙，然后防火墙将流量转发给内部AX/THUNDER，内部AX/THUNDER此时会将该会话加入会话表并记住最后一跳是通过哪台防火墙发过来的(use-rcv-hop-for-resp功能)，然后内部AX/THUNDER将请求转发给真实服务器，真实服务器在应答时，首先会发给内部AX/THUNDER，内部AX/THUNDER检查会话表，并找出最后一跳的记录，然后将应答转发给发来请求的防火墙，该防火墙把应答转发给外部AX/THUNDER，然后外部AX/THUNDER通过路由转发给用户，这就是每个会话的处理流程。 从内部访问外部 如果用户从内部访问外部（Internet）的某台服务器，请求首先到达内部的AX/THUNDER，内部AX/THUNDER通过负载均衡将流量转发到一台防火墙，然后防火墙将流量转发给外部AX/THUNDER，外部AX/THUNDER此时会将该会话加入会话表并记住最后一跳是通过哪台防火墙发过来的(use-rcv-hop-for-resp功能)，然后外部AX/THUNDER通过路由将请求转发到外部服务器，外部服务器的应答包，首先会经过外部AX/THUNDER，外部AX/THUNDER检查会话表，并找出最后一跳的记录，然后将应答转发给发来请求的防火墙，该防火墙把应答转发给内部AX/THUNDER，然后内部AX/THUNDER转发给用户。 以上的处理方式中，如果防火墙为透明的，则每台AX/THUNDER转发的下一条为另一台AX/THUNDER与防火墙相连的端口IP，处理流程完全相同。 如果在做防火墙负载均衡的同时，还需要对服务器做负载均衡，那么服务器负载均衡既可以配置在内部的AX/THUNDER上，也可以配置在外部的AX/THUNDER上。如果是配置在外部AX/THUNDER上，外部AX/THUNDER跟real server的通信也会命中防火墙负载均衡的处理。 防火墙的健康检查 由于多台防火墙一起工作，必然涉及到每台防火墙的健康检查，AX/THUNDER支持基于ping, tcp,udp 等协议的多种健康检查方法，可对每台防