Использование ФПСУ-IP для балансировки нагрузки на порты внутреннего сервера
|
|
Использование ФПСУ-IP для балансировки нагрузки на порты внутреннего сервера |
|
|
Рассмотрим пример с балансировкой нагрузки на порты внутреннего сервера. Входящие клиентские соединения можно распределять по разным портам сервера. ФПСУ-IP отслеживает входящие пакеты в адрес сервера 192.168.10.10 на порт 80 и в зависимости от источника получения запроса изменяет порт получателя у входящего соединения. Хост 1 отправляет запросы серверу 192.168.10.10 на порт 80 по умолчанию, запросы данного хоста сервер получает на порт по умолчанию. Хосты 2 и 3 отправляют запросы серверу 192.168.10.10 на порт 80 по умолчанию, ФПСУ-IP по правилу МЭ с применением перенаправления порта MAP меняет порт назначения входящего соединения и сервер получает запросы данного хоста на другой указанный порт соответственно 1080 и 2080.
В настройках конфигурации ФПСУ-IP порта 1 (IP- адрес 10.10.10.1) необходимо описать хосты 192.168.0.1, 192.168.1.1, 192.168.2.1 или подсети, в которые они входят, как абоненты порта. В настройках конфигурации ФПСУ-IP порта 2 (IP- адрес 10.10.10.2) должен быть описан в качестве абонента сервер 192.168.10.10 или подсеть, в которой расположен сервер, принимающий запросы клиентов. Переназначение номеров портов входящих соединений клиентов задается правилами трафика межсетевого экрана, в которых указывается: •в поле опции MAP, IP-адрес назначения и новый порт; •IP-адрес отправителя в списке отправителей, пакеты которого требуется отслеживать и изменять порт назначения; •только один IP-адрес сервера в списке назначений правила; •служба, распространяющая действие правила только на пакеты TCP/UDP порта номер 80; •правило разрешается (accept, активно). Конфигурация ФПСУ-IP должна содержать следующие установки: Порт 1 Адрес Маска VLAN 010.010.010.001 255.255.255.000 Нет
АБОНЕНТЫ Адрес 192.168.000.001 Хост Имя 192.168.001.001 MAC Не задан Режим работы Ретрансляция Режим партнера Данного порта Ретрансляция Через ФПСУ Другого порта Ретрансляция Через ФПСУ Работа разрешена Правила межсетевого экрана для этого абонента serv_host1
Адрес 192.168.001.001 Хост Имя 192.168.001.001 MAC Не задан Режим работы Ретрансляция Режим партнера Данного порта Ретрансляция Через ФПСУ Другого порта Ретрансляция Через ФПСУ Работа разрешена Правила межсетевого экрана для этого абонента map_port_1080
Адрес 192.168.002.001 Хост Имя 192.168.002.001 MAC Не задан Режим работы Ретрансляция Режим партнера Данного порта Ретрансляция Через ФПСУ Другого порта Ретрансляция Через ФПСУ Работа разрешена Правила межсетевого экрана для этого абонента map_port_2080
Порт 2 Адрес Маска VLAN 010.010.010.002 255.255.255.000 Нет АБОНЕНТЫ Адрес 192.168.010.010 Хост Имя 192.168.010.010 MAC Не задан Режим работы Ретрансляция Режим партнера Данного порта Ретрансляция Через ФПСУ Другого порта Ретрансляция Через ФПСУ Работа разрешена Правила межсетевого экрана для этого абонента serv_host1 map_port_1080 map_port_2080
Межсетевой экран ФПСУ-IP должен быть задействован. Должны быть созданы и задействованы следующие правила межсетевого экрана: 1.Правило, разрешающее входящие соединения по протоколу TCP/UDP хоста 192.168.0.1 в адрес сервера 192.168.10.10 на порт 80 (по умолчанию). Данное правило будет применено к абоненту 192.168.0.1 на порту 1 ФПСУ-IP, а также на порту 2 ФПСУ-IP к абоненту сервер 192.168.10.10, указанному как хост; 2.Правило, разрешающее входящие соединения по протоколу TCP/UDP хоста 192.168.1.1 в адрес сервера 192.168.10.10, порт IP-адреса назначения - по умолчанию 80 подменяется на другой порт 1080 по заданному правилу MAP. В правиле во вкладке «Назначение» обязательно должен быть указан один и только один IP-адрес - адрес сервера. Во вкладке «Источник» явно указан источник - хост 192.168.1.1. Во вкладке «Общие» в поле MAP необходимо указать тот же IP-адрес сервера, что указан в адресе назначения, и новый порт 1080. Данное правило будет применено к абоненту 192.168.1.1 на порту 1 ФПСУ-IP, а также на порту 2 ФПСУ-IP к абоненту сервер 192.168.10.10; 3.Правило, разрешающее входящие соединения по протоколу TCP/UDP хоста 192.168.2.1 в адрес сервера 192.168.10.10, порт IP-адреса назначения - по умолчанию 80 подменяется на другой порт 2080 по заданному правилу MAP. В правиле во вкладке «Назначение» обязательно должен быть указан один и только один IP-адрес - адрес сервера. Во вкладке «Источник» явно указан источник - хост 192.168.2.1. Во вкладке «Общие» в поле MAP необходимо указать тот же IP-адрес сервера, что указан в адресе назначения, и новый порт 2080. Данное правило будет применено к абоненту 192.168.2.1 на порту 1 ФПСУ-IP, а также на порту 2 ФПСУ-IP к абоненту сервер 192.168.10.10; 4.Правило, запрещающее все остальные не указанные выше входящие и исходящие соединения, обязательно присутствует последним правилом в правилах МЭ при активации межсетевого экрана.
Межсетевой экран активен: Да
Правила трафика 1. serv_host1 Общие Действие : Accept Время работы : Любое Лог : Не вести лог Активно : Да Источник Адрес : 192.168.000.001 192.168.000.001 Назначение Адрес : 192.168.010.010 192.168.010.010 Служба TCP/UDP
2. map_port_1080 Общие Действие : Accept Map : 192.168.010.010 1080 Время работы : Любое Лог : Не вести лог Активно : Да Источник Адрес : 192.168.001.001 192.168.001.001 Назначение Адрес : 192.168.010.010 192.168.010.010 Служба TCP/UDP
3. map_port_2080 Общие Действие : Accept Map : 192.168.010.010 2080 Время работы : Любое Лог : Не вести лог Активно : Да Источник Адрес : 192.168.002.001 192.168.002.001 Назначение Адрес : 192.168.010.010 192.168.010.010 Служба TCP/UDP
4. Block other traffic Общие Действие : Drop Время работы : Любое Лог : Не вести лог Активно : Да Источник : Любой Назначение : Любой Служба : Любая
Службы
1. TCP/UDP Общие Описание : Протокол : TCP/UDP Порт источника : Любой Порт назначения : 80 (World Wide Web HTTP) В конфигурациях ФПСУ-IP приведены только необходимые для работоспособности схемы настройки, дополнительно для абонентов должен быть выключен флаг «Только Broadcast», флаг «Отвечать на Ping» устанавливается на усмотрение администратора. |
