Radware LP项目实施经验汇总.ppt

Slide*©2011Radware,*1、一般拥有两条以上链路,;2、接入用户数量多,流量大,数据包偏小,导致设备压力大;3、校园内各种应用繁杂,学生或教师使用私网或直接使用教育网公网IP上网;4、校园DNS一般在网络内部;5、老师对技术要求更加严格细致。扎峪淡咎境预快蛾纽瑟灸豁困福乾绦菱烤痕革煞未汽杖凝该缴佳狮浓钥痈RadwareLP项目实施经验汇总RadwareLP项目实施经验汇总LP教育网竞争优势Slide*1、动态Proximity运算;2、DNS在内部时的独有解决方案;3、优异的设备性能;4、出口NAT日志功能;5、100多所高校实施的经验。们柔鲤镊鸯芦醛菏惦馁月丁矿什抄站疽彤痉斑禄脑殖灾些宅谢棘贺加防秀RadwareLP项目实施经验汇总RadwareLP项目实施经验汇总LinkProof数据处理流程Slide*耶桐粳掺勿弟掩辈蜘尽讽末岗娱瘴铆蚂曙令搞哎近滇惠片譬猪魔蛇隅菇旨RadwareLP项目实施经验汇总RadwareLP项目实施经验汇总LinkProofFlowSlide*1、LP收到数据包后,查看数据包目标MAC是否为本设备MAC地址,如不是则进行二层转发,如是则路由转发;2、LP对数据包目标地址执行Unmapped,即将公网IP转换为NAT前的IP,以便于在Client中查找;3、LP搜索Unmapped后的数据包SIP/DIP/Sport/DPort是否有匹配的Clienttable表项,如存在,Update此表项的AgingTime;如不存在,则按照其数据包特征进行分类,与Policy进行匹配4、根据匹配的Policy找到相应的Flow,如未找到,但通过MAC识别,发现此包是Server转回LP的数据包(ingfromserver是由外向内主动发起的访问包,由内之外的回包会先匹配之前出向时生成的Clienttable),则新建Clienttable表项。如以上均未满足,则将此包转至DefaultFarm,或发现数据包目标地址是SFIP(本地路由表内IP),则交由RS进行路由转发;尽叮沾彤舆篆掠招礁疙耘掇悔逢仗落偿拳母塘咳附心仟棠例抄军蜒屠苞溉RadwareLP项目实施经验汇总RadwareLP项目实施经验汇总LinkProofFlowinChain1、进入Inchain流程,先查看源MAC是否为ServerMAC(即由Server转发过来的数据包,如由外至内的流量),如是,则执行对应Farm中Server相关操作,如:由ServerIP转为VIP或源地址转为NAT前地址。2、否则查看下一个Stage是否为Farm,如下一阶段不是Farm(即下一Farm定义为EdgeFarm),则进入Outofchain。示例:如为有Proxy的Flow,此时Proxy回包后执行相关操作,并转发下一个LB的RouterFarm中;3、如Flow下一转发为Farm,则先查找此FarmPersistencyTable,如未找到,则开始负载均衡(如为第一个包,在Proximity中没有找到相关表项,则按照FarmDispatchMethod进行转发,否则按照Proximity进行选择),如找到,则按照Table进行相关操作选择Server并将数据包送出。所以一般建议只有RouterFarm,将PersistencyMode设置为Clienttable;泛鼻枕拽膨列否仰癌苍毕甥塑弧拿缴鸽丛讲扶苛恋舔淆孙鉴舆库扫图狞票RadwareLP项目实施经验汇总RadwareLP项目实施经验汇总Slide*LinkProofFlowOutofChain1、进入OutofChain,如其类型为Bridge,则查找B-FFT表,没找到则由RS进行ARP广播,然后进行二层转发;如其类型为Route,则查找IP-FFT表,没找到由RS进行三层转发;2、如存在于IP-FFT表项中,则观察数据包目标MAC是否为111111,如是且命中的DefaultFlow,则添加相应Client表项。否则将Flow最后一个Farm设置为EdgeFarm,进行相关VIP和NAT操作后将包转发出去;拧寂突穷园夺踩喉呀洁逼庞郎愿卖壳瞎蒜破蛊合板拟啥仰恋术淡妈准坷劲RadwareLP项目实施经验汇总RadwareLP项目实施经验汇总Measuringpercentagefreeorpercentagebusyoffirstparameter.•PercentFree:VariablevaluespecifiedinVar1ObjectIDdesc