Conoce la función de Server Load Balancing (SLB) en un firewall USG6000E III

44 0 0 0

Bienvenidos de nueva cuenta al foro, en esta publicación conoceremos sobre las limitaciones y precauciones que debemos tomar en cuenta cuando utilizamos la función SLB. Sin más demora pasemos a la información.


Requerimientos de Hardware

La función SLB es compatible con todos los modelos excepto el USG6510E / 6510E-POE / 6530E.


Requerimientos de Licencia

La función SLB no está controlada por licencia.


Limitaciones

● IPv4 es el único protocolo IP compatible con SLB


● FTP es el único protocolo multicanal compatible con SLB.


● Después de configurar el load balancing (SLB), el FW generará automáticamente una ruta Black-hole para la dirección IP del servidor virtual para evitar loops de enrutamiento. Consulte la tabla de enrutamiento a través de la interfaz de usuario web o la CLI. Puede ver la entrada de enrutamiento correspondiente: la dirección de destino es la dirección IP del servidor virtual, la longitud de la máscara es de 32 bits y el siguiente salto es la interfaz NULL0. Después de eliminar la dirección IP del servidor virtual o cancelar el enlace entre el servidor virtual y el grupo de servidores físicos, la ruta del black-hole se eliminará automáticamente. Sin embargo, si la dirección IP del servidor virtual es la misma que la dirección IP de la interfaz WAN, la ruta del black-hole correspondiente no se generará automáticamente. Después de que el FW recibe un paquete de Internet, si el paquete coincide con una entrada del mapa del servidor, el FW traduce la dirección del paquete y lo reenvía a la red privada especificada; si el paquete no coincide con ninguna entrada del mapa del servidor, el FW considera el paquete destinado a sí mismo. En este caso, la política de seguridad entre la zona de seguridad de la interfaz WAN y la zona de seguridad local determina cómo procesa el paquete el FW. Si la política permite el paquete, el FW lo procesa. Si la política niega el paquete, el FW lo descarta.


● Después de configurar SLB, configure las direcciones IP para los servidores virtuales al configurar las políticas de seguridad entre zonas. Al configurar rutas, debe configurar direcciones IP para servidores físicos.


● Si la función de comprobación de estado o health check del servicio está configurada, el algoritmo de equilibrio de carga se ve directamente afectado por el resultado de la comprobación de estado, lo que además afecta el resultado de SLB. Los servidores físicos cuyo estado de comprobación de estado está inactivo no participan en el equilibrio de carga.


● Para las funciones de capa 7 SLB (sesión fija basada en cookies HTTP, sesión fija basada en ID de sesión SSL, HTTP X-Forward, política de programación de clases HTTP y descarga SSL), asegúrese de que las rutas directa e inversa sean las mismas. De lo contrario, los servicios serán anormales. En el clúster o la red en espera activa, no se puede hacer una copia de seguridad de cierta información de sesión. Como resultado, los servicios de capa 7 SLB no se pueden cambiar de manera simple.


● En el clúster o en una red configurada como hot standby, la función NAT de origen de SLB no puede usar el modo de interfaz de salida. En el modo de interfaz de salida, el FW usa directamente la dirección IP de la interfaz del host como la dirección traducida, pero el dispositivo en espera no tiene la dirección IP de la interfaz del host. Por lo tanto, la sesión de host deja de estar disponible después de realizar una copia de seguridad en el dispositivo en espera. En consecuencia, cuando se produce el cambio de FW active / standby, SLB no se puede cambiar sin problemas, lo que compromete los servicios.


● La dirección IP del servidor virtual en el sistema virtual debe asignarse previamente al sistema virtual actual.


Precauciones

La dirección IP de un servidor virtual debe ser diferente de cualquiera de las siguientes direcciones IP:


● Dirección IP pública (dirección IP global) del servidor NAT


nota_slb_2


● Dirección IPv4 pública asignada estáticamente *****AT64


● Dirección IP en el grupo de direcciones IPv4 público (grupo global) mapeado estáticamente *****AT444


● Dirección IP pública (global-ip) asignada al sistema virtual


● Dirección IP de un servidor real


La dirección IP de un servidor real debe ser diferente de cualquiera de las siguientes direcciones IP:


● Dirección IP del servidor virtual


● Dirección IP de la puerta de enlace


● Dirección IP de la interfaz en el FW

 

Gracias por acompañarnos en estas publicaciones y estén pendientes de los próximos temas que traeremos para Uds.


FIN


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba