NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
• Будет ли использоваться привязка (stickiness) • Какой метод мониторинга будет использоваться Каждый из этих пунктов подробно описан в следующем разделе. Идентификация серверов Первым важным шагом при распределении SLB является идентификация серверов, между которыми распределяется нагрузка. Это может быть кластер серверов, также называемый server farm, представляющий собой группу серверов, настроенных как один «виртуальный сервер». Необходимо указать серверы, которые обрабатываются SLB как один виртуальный сервер. 10.4.2. Алгоритмы распределения SLB Существует несколько способов распределения нагрузки между серверами. NetDefendOS SLB поддерживает два следующих алгоритма для распределения нагрузки: Round-robin Алгоритм распределяет новые входящие соединения между серверами в списке на основе поочередности. Для первого соединения алгоритм выбирает сервер методом случайного отбора и назначает ему соединение. Для последовательных соединений алгоритм перенаправляет нагрузку на серверы по порядку. Несмотря на возможности каждого сервера и другие аспекты, например, количество существующих соединений на сервере или время его ответа, последовательные соединения отправляются на все доступные серверы по очереди. Данный алгоритм гарантирует, что все серверы получат одинаковое количество запросов, поэтому он является наиболее подходящим для кластеров серверов, где все серверы обладают одинаковыми возможностями и обрабатывают почти одинаковое количество запросов. Connection-rate Данный алгоритм рассматривает количество запросов, которое каждый сервер получает в течение определенного промежутка времени. Данный период времени известен как «Window Time». SLB отправляет следующий запрос на сервер, который получил наименьшее количество запросов в течение последнего периода времени «Window Time» (в секундах). «Window Time» – это настройка, которую администратор может изменить. Значение по умолчанию – 10 секунд. 10.4.3. Привязка соединения к определенному адресу (Stickiness) В некоторых сценариях, например, SSL-соединения, очень важно, чтобы для последовательных соединений использовался один и тот же сервер. Это выполняется за счет опции привязки соединения к определенному адресу (Stickiness), которая может использоваться как с алгоритмом round-robin, так и с алгоритмом connection-rate. Опции «Stickiness» выглядят следующим образом: Per-state Distribution Данный режим используется по умолчанию и означает, что опция «Stickiness» не применяется. Каждое новое соединение не зависит от остальных соединений, даже если установлено с одного и того же IPадреса или сети. По этой причине последующие соединения, установленные одним и тем же клиентом, могут передаваться на различные серверы. 456
IP Address Stickiness (Привязка к IP-адресу) Network Stickiness (Привязка к сети) Параметры привязки Данный режим не подходит для применения, если необходимо использовать один и тот же сервер для последовательных соединений, установленных одним и тем же клиентом. В таком случае необходимо использовать опцию «Stickiness». При использовании данного режима последовательные соединения, установленные определенным клиентом, будет отправлены на один и тот же сервер. Это особенно важно для служб на основе TLS и SSL, например, HTTPS, которым требуется повторное соединение с одним и тем же хостом. Данный режим аналогичен режиму IP stickiness за исключением того, что привязка может ассоциироваться с сетью вместо одного IPадреса. Для сети в качестве параметра указан ее размер. Например, если для размера сети указано значение 24 (по умолчанию), то предположительно IP-адрес 10.01.01.02 будет относиться к сети 10.01.01.00/24, к которой и будет применяться привязка. Если включена опция «Привязка соединения к IP-адресу» (IP stickiness) или «Привязка к сети» (Network stickiness), то необходимо указать следующие параметры: • Idle Timeout (Таймаут простоя) После установки соединения, IP-адрес источника фиксируется в таблице. Каждый IP-адрес ассоциируется с определенным слотом. После создания запись действительна только в течение определенного количества секунд (Idle Timeout). После установки нового соединения, в таблице выполняется поиск такого же IP-адреса источника, при этом значение таймаута для записи не будет превышено. После того, как найден соответствующий адрес, привязка обеспечивает отправку нового соединения на тот же сервер, на который были отправлены предыдущие соединения с одного и того же IP-адреса источника. По умолчанию для данной настройки указано значение 10 секунд. • Макс. кол-во слотов (Max Slots) Данный параметр определяет максимальное количество слотов в таблице привязки. Если таблица заполнена, то самая старая запись будет удалена для того, чтобы освободить место для новой записи, даже если она все еще действительна (т.е. не превышено значение Idle Timeout). Последствием переполнения таблицы может быть потеря привязки для любых отброшенных IPадресов источника. По этой причине администратор должен указать значение параметра Max Slots в соответствии с предполагаемым количеством соединений, которые потребуют привязки. По умолчанию для данной настройки указано значение 2048 слотов. • Размер сети (Net Size) Если применение привязки является важным, ресурсы для хранения и обработки данных требуют соответствия индивидуальным IP-адресам. При выборе опции «Привязка к сети» (Network Stickiness) количество данных запросов сокращается. При выборе опции «Привязка к сети» (Network Stickiness) параметр Net Size определяет размер сети, которая должна ассоциироваться с IP-адресом источника новых соединений. Поиск в таблице привязки выполняется для того, чтобы выяснить, принадлежит ли IP-адрес источника той же сети, что и предыдущее соединение, уже зафиксированное в таблице. Если IP-адреса принадлежат одной сети, то будет выполнена привязка к одному и тому же серверу. По умолчанию для данной настройки указано значение 24. 457
- Page 405 and 406: Flags : E (encryption) Cookies : 0x
- Page 407 and 408: туннелям. По умолча
- Page 409 and 410: 10 секунд, а также не
- Page 411 and 412: 6. Нажмите OK Функция
- Page 413 and 414: г. Encapsulation Mode: Transport
- Page 415 and 416: • Service: all_services • Sourc
- Page 417 and 418: 9.6. Доступ к серверу
- Page 419 and 420: умолчанию с возмож
- Page 421 and 422: 9.7.3. Команды поиска
- Page 423 and 424: Список IKE proposal не со
- Page 425 and 426: 9.7.6. Особые признак
- Page 427 and 428: Глава 10. Управление
- Page 429 and 430: Интернет-услуг, в к
- Page 431 and 432: Рис. 10.2. Правила FwdFas
- Page 433 and 434: Web-интерфейс 1. Зайд
- Page 435 and 436: Значение приоритет
- Page 437 and 438: Приоритеты применя
- Page 439 and 440: • IP-адрес назначен
- Page 441 and 442: приоритета, и далее
- Page 443 and 444: административного
- Page 445 and 446: • Приоритет 6 - VoIP (50
- Page 447 and 448: Если используется S
- Page 449 and 450: 3.Далее устанавлива
- Page 451 and 452: помощью команды CLI p
- Page 453 and 454: 10.3.2. Ограничение ск
- Page 455: 2560 и 2560G. Иллюстраци
- Page 459 and 460: Рис. 10.12. Привязка (St
- Page 461 and 462: 1. Зайдите Rules > IP Rule S
- Page 463 and 464: Глава 11. Режим высо
- Page 465 and 466: через интерфейс си
- Page 467 and 468: В результате сбоя sy
- Page 469 and 470: На приведенной схе
- Page 471 and 472: операционной систе
- Page 473 and 474: • Определить, како
- Page 475 and 476: Количество секунд
- Page 477 and 478: • Тип коммутатора
- Page 479 and 480: Для предотвращения
- Page 481 and 482: Второе отличие зак
- Page 483 and 484: По умолчанию: Включ
- Page 485 and 486: С помощью данной на
- Page 487 and 488: TCP Zero Unused URG Снимает
- Page 489 and 490: принимая во вниман
- Page 491 and 492: 13.4. Настройки состо
- Page 493 and 494: По умолчанию: 262144 TCP
- Page 495 and 496: Задает максимальны
- Page 497 and 498: определить причину
- Page 499 and 500: секунд, чтобы предо
- Page 501 and 502: Приложение А. Подпи
- Page 503 and 504: удаление базы данн
- Page 505 and 506: POP3_REQUEST-ERRORS Ошибка з
IP Address Stickiness<br />
(Привязка к IP-адресу)<br />
Network Stickiness<br />
(Привязка к сети)<br />
Параметры привязки<br />
Данный режим не подходит для применения, если необходимо<br />
использовать один и тот же сервер для последовательных<br />
соединений, установленных одним и тем же клиентом. В таком<br />
случае необходимо использовать опцию «Stickiness».<br />
При использовании данного режима последовательные соединения,<br />
установленные определенным клиентом, будет отправлены на один и<br />
тот же сервер. Это особенно важно для служб на основе TLS и SSL,<br />
например, HTTPS, которым требуется повторное соединение с одним<br />
и тем же хостом.<br />
Данный режим аналогичен режиму IP stickiness за исключением того,<br />
что привязка может ассоциироваться с сетью вместо одного IPадреса.<br />
Для сети в качестве параметра указан ее размер.<br />
Например, если для размера сети указано значение 24 (по<br />
умолчанию), то предположительно IP-адрес 10.01.01.02 будет<br />
относиться к сети 10.01.01.00/24, к которой и будет применяться<br />
привязка.<br />
Если включена опция «Привязка соединения к IP-адресу» (IP stickiness) или «Привязка к сети»<br />
(Network stickiness), то необходимо указать следующие параметры:<br />
• Idle Timeout (Таймаут простоя)<br />
После установки соединения, IP-адрес источника фиксируется в таблице. Каждый IP-адрес<br />
ассоциируется с определенным слотом. После создания запись действительна только в течение<br />
определенного количества секунд (Idle Timeout). После установки нового соединения, в таблице<br />
выполняется поиск такого же IP-адреса источника, при этом значение таймаута для записи не будет<br />
превышено. После того, как найден соответствующий адрес, привязка обеспечивает отправку нового<br />
соединения на тот же сервер, на который были отправлены предыдущие соединения с одного и того<br />
же IP-адреса источника.<br />
По умолчанию для данной настройки указано значение 10 секунд.<br />
• Макс. кол-во слотов (Max Slots)<br />
Данный параметр определяет максимальное количество слотов в таблице привязки. Если таблица<br />
заполнена, то самая старая запись будет удалена для того, чтобы освободить место для новой записи,<br />
даже если она все еще действительна (т.е. не превышено значение Idle Timeout).<br />
Последствием переполнения таблицы может быть потеря привязки для любых отброшенных IPадресов<br />
источника. По этой причине администратор должен указать значение параметра Max Slots в<br />
соответствии с предполагаемым количеством соединений, которые потребуют привязки.<br />
По умолчанию для данной настройки указано значение 2048 слотов.<br />
• Размер сети (Net Size)<br />
Если применение привязки является важным, ресурсы для хранения и обработки данных требуют<br />
соответствия индивидуальным IP-адресам. При выборе опции «Привязка к сети» (Network Stickiness)<br />
количество данных запросов сокращается.<br />
При выборе опции «Привязка к сети» (Network Stickiness) параметр Net Size определяет размер сети,<br />
которая должна ассоциироваться с IP-адресом источника новых соединений. Поиск в таблице<br />
привязки выполняется для того, чтобы выяснить, принадлежит ли IP-адрес источника той же сети,<br />
что и предыдущее соединение, уже зафиксированное в таблице. Если IP-адреса принадлежат одной<br />
сети, то будет выполнена привязка к одному и тому же серверу.<br />
По умолчанию для данной настройки указано значение 24.<br />
457