Radware AppDirector負載均衡器指導書

RadwareAppDirector負載均衡器指導書RadwareAppDirector負載均衡器配置指導書擬制：日期：2010-3審核：日期：審核：日期：批準：日期：

修訂記錄日期修訂版本描述作者2006-11-300.99初稿劉慶明2010-3-171.0以AD2.11為標準配置劉慶明2010-5-281.1增加了連接復用，壓縮和Cache的配置劉慶明2010-5-28V1.1.2增加審計的配置劉慶明2010-5-31V1.1.3增加Trunk配置劉慶明2010-7-5V1.1.4修正一些錯誤劉慶明RadwareAppDirector負載均衡器指導書-11-17第10頁,共SECTIONPAGES\*Arabic12頁關鍵詞：摘要：按照常見的配置步驟，本文對RadwareAppDirector負載均衡器設備配置進行說明，這是一個通用手冊，旨在為初次接觸Radware負載均衡器的用戶提供一個參考，具體的項目請參考相關的項目配置指導書。由于AS平臺已經淡出市場，并且AS平臺不支持2.0以上版本。本指導書全部以ODS系列平臺為例?？s略語清單：ADAppDirectorVRRPVirtualRouterRedundancyProtocolNATNetworkaddresstranslationODSOnDemandSwitch硬件平臺型號圖例說明：創(chuàng)建，創(chuàng)建一個新的條目刪除，刪除選定的條目選擇，在刪除條目前必須先選擇設置，設置后生效放棄，放棄當前的改動幫助，在工作站可以連接Internet的情況下，可以去Radware網站獲取當前配置的詳細幫助后退前進刷新頁面RadwareAppDirector產品AppDirector產品介紹AppDirector產品有一系列產品，從低端到高端產品分別是AD508/1008/2008/4008(ODSVL)、AD1016/2016/4016(ODS2)、AD8016/12016/16016(ODS3)，對應的產品相關指標分別如下，對于AppDirector產品而言處理的關鍵在于處理流量的大小，其性能可根據(jù)license來控制。指標名稱AppDirector504:高達500MbpsAppDirector1004:高達1GbpsAppDirector2004:高達2GbpsAppDirector4004:高達4GbpsAppDirector1016:高達1GbpsAppDirector2016:高達2GbpsAppDirector4016:高達4Gbps硬件名稱ODS-1ODS-2型號 SSL500TPS-10,000TPS500TPS-10,000TPS壓縮100M100M內存(DRAM)

1GB/2GB

(DRAM)

2GB

/4GB背板帶寬48Gbps

48Gbps

交換架構無阻塞交換

無阻塞交換ASIC交換每個端口基于ASIC硬件交換

每個端口基于ASIC硬件交換

機箱尺寸1U（424mmx600mm雙電源為2U1U（424mmx600mm雙電源為2U網絡接口4×10/100/1000Base-T+4×1000Base-SX(共用)+2×10/100/1000Base-T管理端口16×10/100/1000Base-T+4×1000Base-SX+2×10/100/1000Base-T管理端口Layer4-7吞吐量512M/1G/2G/4G1G/2G/4G并發(fā)會話數(shù)5M8M支持的路由協(xié)議OSPF,RIPII,RIPOSPF,RIPII,RIP管理方式基于JAVA的管理軟件，SNMPbasedGUI,Webbasedmanagement/SSLCommandline/Telnet/SSHHPOpenView嵌入式支持基于JAVA的管理軟件，SNMPbasedGUI,Webbasedmanagement/SSLCommandline/Telnet/SSHHPOpenView嵌入式支持具有應用安全/入侵避免功能超過1300多種攻擊和病毒特征的鑒別和防止：多種病毒特征超過1300多種攻擊和病毒特征的鑒別和防止：多種病毒特征具有防DoS/DDoS攻擊功能是是指標名稱AppDirector508:高達500MbpsAppDirector1008:高達1GbpsAppDirector2008:高達2GbpsAppDirector4008:高達4GbpsAppDirector8016:高達8GbpsAppDirector12016:高達12GbpsAppDirector16016:高達16Gbps硬件名稱ODS-VLODS-3型號 SSL500TPS-5,000TPS500TPS-10,000TPS壓縮100M-1.5G100M-250M內存(DRAM)

4GB/8GB

(DRAM)

8GB背板帶寬48Gbps

400Gbps

交換架構無阻塞交換

無阻塞交換

ASIC交換每個端口基于ASIC硬件交換

每個端口基于ASIC硬件交換

機箱尺寸1U（424mmx600mm雙電源為2U2U（424mmx600mm網絡接口6×10/100/1000Base-T+2×1000Base-SX4×10GB8×10/100/1000Base-T+4×1000Base-SX+2×10/100/1000Base-T管理端口Layer4-7吞吐量512M/1G/2G/4G8G/12G/16G并發(fā)會話數(shù)5M11.5M支持的路由協(xié)議OSPF,RIPII,RIPOSPF,RIPII,RIP管理方式基于JAVA的管理軟件，SNMPbasedGUI,Webbasedmanagement/SSLCommandline/Telnet/SSHHPOpenView嵌入式支持基于JAVA的管理軟件，SNMPbasedGUI,Webbasedmanagement/SSLCommandline/Telnet/SSHHPOpenView嵌入式支持具有應用安全/入侵避免功能超過1300多種攻擊和病毒特征的鑒別和防止：多種病毒特征超過1300多種攻擊和病毒特征的鑒別和防止：多種病毒特征具有防DoS/DDoS攻擊功能是是基本術語FarmFarm是指提供相同服務的服務器的集合。AD設備可以根據(jù)服務器提供的不同服務類型定義不同的Farm。當客戶端請求服務時，AD設備根據(jù)所請求的服務類型，從對應的Farm中選擇一個最適合的服務器來提供服務。負載均衡和會話保持負載均衡既是為了保證每個server的承載合理farm分配請求消息到server的算法。會話保持：AD分配了client的第一個請求到server后，client的后繼請求必須分配到同一個server。AD可以完成網絡層和應用層上的會話保持。L4Policy在appdirector中的配置，對于原先farm/SuperFarmIP定義的概念已經改為使用L4Policy方式來代替。即Farm中不再出現(xiàn)IP的定義；L4Policy可以配置網絡層一些參數(shù)。VIP（VirtualIPAddress）VIP是Farm通過AD設備向客戶端提供的一個請求服務的虛擬IP地址，客戶端通過VIP向Farm中的服務器請求相應的服務。AD設備通過Farm中服務器的本地IP地址來標識不同的服務器，從而將客戶端的服務請求轉發(fā)到最佳的服務器上。AD設備選擇服務器為客戶端提供服務的過程，對客戶端是透明的。NAT（NetworkAddressTranslation）NAT可以在不同網絡間進行IP地址的轉換，特別用在私網IP地址和公網IP地址之間的轉換。ServerNATServerNAT用于服務器訪問外網時隱藏其IP地址，通常使用VIP地址。ClientNATClientNAT用于解決內網服務器訪問VIP的問題。它使用一個新地址。健康檢查AD可靠的健康狀況檢查可以保證用戶獲得最佳的服務。AD可以監(jiān)視服務器在IP、TCP、UDP、應用和內容等所有協(xié)議層上的工作狀態(tài)。如果發(fā)現(xiàn)某個服務器發(fā)生故障，用戶請求被透明地重定向到正常工作的服務器上。這可以保證用戶始終能夠獲得他們所期望的信息。健康檢查可以有兩種方式，可以使用ConnectivityCheck方式，在Farm里面配置可以使用HealthMonitoring方式，推薦還是使用健康檢查模塊來做，更靈活，精確些。Redundancy主備冗余，用于AD的雙機配置和通信，防止設備單點故障。兩種方法來保證可用性：ARP和VRRP，一般使用VRRP。SSL加速在SSL處理過程中，所有的傳輸內容均采用加密算法處理。其中最重要的兩個部分為SSL握手時交換秘鑰的非對稱加密和數(shù)據(jù)傳輸時的對稱加密。在現(xiàn)有的系統(tǒng)中，通常非對成加密采用1024位的密鑰進行加解密，因此對服務器的CPU占用率非常高。AD可以進行SSL處理，與服務器采用HTTP協(xié)議，AD與用戶之間使用HTTPS協(xié)議，來減少服務器的壓力。Cache(緩存)于對經常使用HTTP內容，AD會緩存在內存中，當用戶再次請求相同的URL時，AD直接將緩存內容回應給用戶，而不是轉發(fā)給服務器處理，減少服務器的壓力。壓縮AD可以支持HTTP協(xié)議的壓縮選項，將傳輸出的內容進行壓縮處理，減少帶寬消耗。AppDirector組網和配置流程AppDirector在使用中都是采用雙機主備方式工作，其對應的組網依據(jù)不同的方式分為單臂組網雙臂組網和三角傳輸方式組網，下面依次做詳細介紹。單臂組網以下組網是稱為單臂組網，是目前使用比較多的組網方法。此種組網方式可以實現(xiàn)完全的主備切換。通常情況下，服務器的網關需要指向負載均衡設備的浮動網關。AD主機AD主機服務器服務器服務器SW-1SW-2VR-IPAD備機防火墻服務器服務器防火墻注意：在這種組網方式下，如果有兩級交換機級連，此時核心局域網交換機及局域網交換機上都要啟用生成樹（STP）協(xié)議，以消除環(huán)路。使用單臂時，如果內網與外網不在同一網段，可以使用802.1QVlanTrunk進行配置，詳見VLAN配置。通常情況下，服務器的網關需要指向負載均衡設備的內網浮動網關。為了與其他廠家的負載均衡器的術語區(qū)分。我們將AD虛擬出來的作為服務器網關的地址稱為浮動IP地址，與交換機的浮動IP概念相同；對外提供業(yè)務服務的虛擬IP稱為VIP。雙臂組網以下組網是稱為雙臂組網，是目前使用比較多的組網方法，邏輯上看，它屬于路由方式。此種組網方式可以實現(xiàn)完全的主備切換。單臂時，使用一條物理連接；雙臂時，使用2條物理鏈路，分別連通內網服務器和外網防火墻或路由器。AD主機AD主機服務器服務器服務器SW-1SW-2核心交換機AD備機防火墻服務器服務器防火墻注意：在這種組網方式下，如果有兩級交換機級連，此時核心局域網交換機及局域網交換機上都要啟用生成樹（STP）協(xié)議，以消除環(huán)路。我們建議與AD相連的端口設置為PortFast，不參于生成樹計算。通常情況下，服務器的網關需要指向負載均衡設備的內網浮動網關。三角傳輸對于流媒體類型的應用，會采用三角傳輸組網，本地三角傳輸也稱路徑外回應。它是為提高整體網絡性能的一種解決方案。目前有MTV項目使用此組網方法。其結構圖如下：VIPVIP地址三角傳輸internet服務器LoopBackIP=VIP用戶用戶請求服務器回應在AppDirector上配置VIP地址用來提供對外服務，在每服務器上配置環(huán)回地址，這個環(huán)回IP地址也是VIP地址。服務器的網關指向路由器，與AppDirector的網關相同。環(huán)回地址的特性是它永遠是激活的，但并不會影響ARP請求。當路由器發(fā)送ARP請求查詢VIP的MAC地址時，AppDirector會響應，將AppDirector的MAC地址告訴路由器；而服務器的環(huán)回網卡不回應任何請求。用戶訪問VIP，AppDirector收到請求后，將用戶的請求數(shù)據(jù)包的目標MAC進行更改，而三層的IP包不作任何改變(這與常規(guī)四層交換不同，常規(guī)四層交換需要更改目標IP)，用服務器網卡的MAC地址封裝此包，服務器處理完請求后，仍然使用VIP作為它的源地址通過網關回應數(shù)據(jù)包給用戶，繞過了AppDirector。配置負載均衡的基本流程配置的過程基本上按照章節(jié)的順序進行。下面僅列出關鍵的內容，其他的內容跟據(jù)場景的不同，有的需要配置，有的不用配置。比如ClientNAT，在通常的場景下面是不用配置。1.網絡拓撲和地址規(guī)劃(第2章)2.初始化配置(第3章)3.全局表項配置配置（僅配置主設備）（3.11節(jié)）4.配置IP（VlanTag）(3.12節(jié))5.配置路由和網關(3.12節(jié))6.配置雙機的全局參數(shù)和VR(VirtualRouter)(第4章)7.業(yè)務配置（僅配置主設備）（第5章）FarmServerL7Policy(可選)L4PolicyCookie會話保持8.同步配置到備機（第6章）負載均衡的地址規(guī)劃在實施配置前，請先規(guī)劃好AD和服務器的地址。這里僅示例，以現(xiàn)網IP進行修改。地址的規(guī)劃通常如下：單元主機名端口IP地址浮動IP地址(服務器網關)網關(下一跳)1ADMaster1/24(TRUST網段)/25(USDP內網)29/25(VXML內網)/24(PORTAL內網)/24/2531/25/2454（TRUST區(qū)）2ADSlave1/24(TRUST網段)/25(USDP內網)30/25(VXML內網)/24(PORTAL內網)同上同上注：30/25表示IP為30，子網掩碼為28（25位1）RADWARE支持在一個端口上配置一個或多個不同網段的IP，建議采用1個或2個千兆端口連接交換機即可。服務器地址規(guī)劃服務器的規(guī)劃如下：主機名IP地址默認網關VirtualIP地址USDP011/251/24USDP022/25……VXML0121/25312/24VXML0222/2531……PORTAL011/243/24PORTAL022/24AppDirector基本配置通過console線連接AD使用WINDOWS的超級終端，設置參數(shù)如下：每秒位數(shù):19200數(shù)據(jù)位:8奇偶校驗位:無停止位:1數(shù)據(jù)流控制:None在“>”提示符下，輸入login命令，輸入用戶名密碼即可登錄，默認的用戶名密碼均為radware，登錄成功后提示符變?yōu)椤?”。如果Console顯示中存在亂碼，請輸入如下命令AppDirector＃manageterminalgrid-modesetdisable說明：“>”需要特別說明一下?！?gt;”如果前面沒有字符，則是在BootRom狀態(tài)下面，可以進行系統(tǒng)軟件和配置的維護；如果“AppDirector”，則系統(tǒng)處于工作狀態(tài)下。登錄設備默認情況下，用戶名和密碼都是radwareAppDirector>loginUser:radwarePassword:radware23-11-200817:06:11INFOUserradwareloggedinviaterminalAppDirector#初始化配置恢復出廠配置有可能設備已加過電，并留有配置，在新使用前，最好先清空原有配置。如果系統(tǒng)已經提示輸入IP地址，則跳過這一步。在設備啟動過程中，根據(jù)提示中斷設備的自動啟動過程：VxWorksSystemBootCopyright1984-2004WindRiverSystems,Inc.BiosVER:0602.037CPU:AMDOPTERONVersion:VxWorks5.5.1DRAMsize:1024MBSPversion:Boot6.12Activeboot:MainCreationdate:Feb172008,12:18:26Pressanykeytostopauto-boot...01//按回車鍵中斷啟動這時進入“>”提示符，可以進行恢復出廠的操作在中斷設備的自動啟動過程后，系統(tǒng)會進入“>”提示符下，在該提示符下，依次完成如下命令：>q0//清空網絡配置Erasingconfiguration...fl:/-VolumeisOKconfigfileisnotfoundErasingNetworkSection...done>q1 //清空應用配置Erasingconfiguration...cm:/-VolumeisOKErasingNetworkSection...fl:/-VolumeisOKdone>@ //繼續(xù)啟動Attachingtomemorydevice...LookingforsoftwareversiononCompactFlash...配置初始化IP地址設備第一次開機或者清空配置后，系統(tǒng)會提示初使化配置：StartupConfiguration0IPAddress1IPsubnetmask2Portnumber1//輸入綁定該IP地址的特理端口號3DefaultrouterIPaddress54//默認網關地址4RIPversion(0,1,2)[0]5EnableOSPF(y/n)[n]6OSPFareaID7UserNameradware//用戶名8UserPasswordradware//密碼，這是默認值9EnableWebAccess(y/n)[n]y//啟用http的管理方式10EnableSecureWebAccess(y/n)[n]11EnableTelnetAccess(y/n)[n]y//啟用telnet的管理方式12EnableSSHAccess(y/n)[n]SNMPConfiguration//以下內容可使用系統(tǒng)默認配置，按回車即可0SupportedSNMPversions[123]1Community[Public]2SNMPRootUser3PrivacyProtocol(NONE/DES)[NONE]4PrivacyPassword5AuthenticationProtocol(NONE/SHA/MD50[NONE]6AuthenticationPassword7NMSIPAddress8ConfigurationFileName注：加重標記部分為必需配置的內容說明：如果在30秒內未完成配置或未輸入任何字符，系統(tǒng)會自動生成一個默認的配置：IP:，mask,PortNumber:MNG-1。Username:radware,Password:radware。可以刪除這些配置，重新配置需要的IP地址。命令行登錄用戶模式下，系統(tǒng)提示符是<設備名稱>>，如：AppDirector>用戶模式下，不能進行任何操作，只能輸入login命令。登錄時，系統(tǒng)提示輸入用戶名和密碼，成功后，進入特權模式下，用戶可以進行任何系統(tǒng)配置和操作。特權模式的提示符是#AppDirector>loginUser:radwarePassword:radware23-11-200717:06:11INFOUserradwareloggedinviaterminalAppDirector#Radware設備的命令是行提交方式，即輸完命令回車后立即生效，并自動保存，不需要輸入保存配置的命令。命令行支持簡寫方式，如act相當于appdirectorclienttable命令。說明：“>”需要特別說明一下?！?gt;”如果前面沒有字符(設備名稱)，則是在BootRom狀態(tài)下面，可以進行系統(tǒng)軟件和配置的維護；如果是“AppDirector”，則系統(tǒng)處于工作狀態(tài)下。通過WEB頁面連接啟動WEB管理之前需要配置一個IP地址，該IP地址用于管理維護Radware，例如可以選取第一個電口，通過上面介紹的串口連接后輸入以下命令：netip-interfacecreate511輸入以下命令啟動WEB管理：managewebstatusset1。啟動IE瀏覽器（建議IE6.0以上），在地址欄輸入，此時會提示輸入用戶名/密碼，輸入用戶名密碼（默認radware/radware）后即可進入WEB管理界面。確認當前設備的版本在WEB方式下，進入Device->DeviceInformation最下面一行可以看到BaseMACAddress，這就是設備的MAC地址。在“#”命令提示符下輸入如下命令，即可查看當前設備的版本信息AppDirector#systemdevice-infoDeviceInformationType:AppDirectorwithCookiePersistency//設備功能類型Platform:OnDemandSwitchVL//設備平臺類型Ports:8PortsConfig:6CopperGigaEthernet+2GigaEthernetHWVersion:A.2SWVersion:2.11.20//當前設備的版本信息Build:Nov292009,16:42:34(Build:22)Throughput:Limitedto4GbpsSSLCPS:500Compression:100MbpsonserversideSSLPeakCPS:0CompressionVersionAPSoluteOS:10.31-07.01:2.06.10NetworkDriver:11.61.08RAMsize:4GBFlashsize:96MBHardDisk(s):1SSLCard:NotinstalledCompressionCard:NotinstalledSerialNumber:21903485Date:17.03.2010Time:09:49:03Uptime:0days,16hours,29minutes,14secondsBaseMAC:00:03:b2:50:78:80//設備的MAC地址ActiveBoot:6.00SecondaryBoot:6.00PowerSupply:SinglePowerSupplyOKNumberofcores:4NumberofCPUs:1查看當前設備的LicenseAppDirector#systemlicensegetLicensekey:appdirector-cookie-CFvcklTl//一定要記錄下來這串字符?。?！MACaddress:0003b224ee80LicenseID:cc2-74a-5fAppDirector#systemthroughput-licensegetLicensekey:4Gbps-gRaGZE3y//一定要記錄下來這串字符！?。ACaddress:0003b224ee80LicenseID:98a-508-b94說明：通過systemlicenseget命令顯示Licensecode、MACaddress、LicenseID三個參數(shù)，這三個參數(shù)一定要記錄下來，以防設備以后出故障，license失效的情況下將該三個參數(shù)發(fā)給廠商用來重新申請license或者升級時生成密碼。關于radware的license的有效期是永久性的，在設備發(fā)貨的時候就帶有，不需再重新申請。命令行顯示亂碼問題Console連接時，系統(tǒng)默認使用英文的制表符，會與中文系統(tǒng)的內碼沖突，所以最好先關閉制表符的輸出。Telnet和SSH已經默認關閉制表符的輸出，無此問題。AppDirector#netipInterfaceTable哪哪哪哪哪哪哪哪哪穆哪哪哪哪哪哪哪哪哪穆哪哪哪哪哪哪哪哪哪穆哪哪哪哪哪哪哪哪哪IPAddress砃etworkMask矷fNumber砎lanTag哪哪哪哪哪哪哪哪哪吶哪哪哪哪哪哪哪哪哪吶哪哪哪哪哪哪哪哪哪吶哪哪哪哪哪哪哪哪哪???哪哪哪哪哪哪哪哪哪吶哪哪哪哪哪哪哪哪哪吶哪哪哪哪哪哪哪哪哪吶哪哪哪哪哪哪哪哪哪???哪哪哪哪哪哪哪哪哪牧哪哪哪哪哪哪哪哪哪牧哪哪哪哪哪哪哪哪哪牧哪哪哪哪哪哪哪哪哪AppDirector#manageterminalgrid-modesetdisDisplayofasciigraphicscharacters:disabledAppDirector#netipInterfaceTableIPAddressNetworkMaskIfNumberVlanTag2030設備名稱以下兩條命令是用來標識AppDirector設備的，給它們取個好記的名字；設置命令提示符，讓你知道現(xiàn)在正登錄在哪臺設備上，當設備多的時候，尤其是多設備冗余時。進入Device->GlobalParameters主設備:AppDirector#systemmib2-namesetAD-Master//這個修改Web及SNMP提示AppDirector#manageterminalpromptsetAD-Master//這個修改CLI提示AD-Master#備設備:AppDirector#systemmib2-namesetAD-BackupAppDirector#manageterminalpromptsetAD-BackupAD-Backup#管理界面進入Service菜單，CLI打開管理方式，telnet/ssh/http/https，1表示enable，相應地，關閉它們是set2。AppDirector#managetelnetstatusset1AppDirector#managesshstatusset1AppDirector#managewebstatus1AppDirector#managesecure-webstatus1全局表項Radware內存分配是靜態(tài)的，我們可以事先定義好各種參數(shù)，通常情況下，系統(tǒng)默認的已經足夠使用。各種參數(shù)是以使用的條目數(shù)為單位的，而不是以字節(jié)為單位。以下這些命令，任意一條更改后都需要重啟機器才能生效，放在前面一次配置完，可以減少重啟機器的次數(shù)。以下是二/三層轉發(fā)表的配置，最好三條同時配置，這些值的大小直接會影響到PPS的性能，太小不利于大量PPS轉發(fā)，太大會占用內存空間。AppDirector#systemtuneip-fft-tableset256000AppDirector#systemtunearp-tableset10000會話表也是非常重要的配置，ODS使用默認值即可。通常情況下，都已經足夠使用。AppDirector#systemtuneclient-tableset800000如果需要使用L7負載均衡或會話保持策略，請調整以下參數(shù)：AppDirector#systemtunerequest-tableset30000AppDirector#systemtunesession-id-tableset200000如果需要使用OutboundNAT，請調整以下參數(shù)：AppDirector#systuneoutbound-nat-addressset2表示可以使用2個地址作為OutboundNAT地址。進入Service->Tuning->Device調整完成后，要選擇set，然后再選擇memorycheck,選擇performtest最后重啟設備就完成了參數(shù)調整。如果出現(xiàn)紅色提示，則表示內存不夠，需要將一部分表調小。如果出現(xiàn)上述提示，則表示內存足夠使用，可以重啟生效?；揪W絡配置網絡層配置，主要包括vlan劃分及IP地址定義。Vlan不是必須的，可以直接將接口IP配置在物理端口上，Radware設備的端口是路由端口，同一個物理接口也可以配置多個IP地址。只有服務器直接連接AD端口的情況下才需要配置VLAN。物理端口千兆物理電接口連接1G端口時不能關閉為自動協(xié)商,只能自動協(xié)商。如果千兆物理電接口需要設置為100M時，必須關閉自動協(xié)商。ODS平臺端口速率不般不需要調整，只有光口協(xié)商不成功的情況下才需要調整。進入Device->PhysicalInterface命令行配置如下：AppDirector#netphysical-interfacesetG-9-s"FastEthernet"-dFull-aOffRadware負載均衡器使用netphysical-interfaceget<接口號>查看接口的速率和雙工狀態(tài)。舉例如下：AppDirector#netphysical-interfaceget9PortIndex:G-9Speed(-s):FastEthernetDuplex(-d):FullAutoNegotiate(-a):Off端口命令設定方法當Radware負載均衡器出現(xiàn)接口速率/雙工/協(xié)商不匹配時，需要對設備進行手工調整。Radware負載均衡器通過netphysical-interface<接口號>-s{1|2|3|4}命令調整接口速率，含義如下:(1)Ethernet(2)FastEthernet(3)GigaEthernet(4)XGEthernet在速率手工指定的情況下通過netphysical-interface<接口號>-d{1|2}命令調整接口雙工狀態(tài)。含義如下:(1)Half(2)FullRadware負載均衡器通過netphysical-interface<接口號>-a{1|2}命令調整自動協(xié)商狀態(tài)，含義如下:(1)On(2)OffRadware負載均衡器配置為行提交方式,按回車自動保存，無需手工保存。各平臺端口命名AD508/1008/2008/4008(ODSVL)的前面板端口AD508中，G1到G6為千兆電口，即端口1-6；G7到G8為千兆光口，即端口7-8；AD508沒有專用管理端口，可以任意指定一個端口做為管理使用，通常使用G6為MNG口。AD504/1004/2004/4004(ODS1)的前面板端口AD1004，全部為千兆端口，沒有百兆口，光口和電口為一個端口，不能同時使用。如果SFP未插入光模塊，則啟用電口；插入光模塊則電口不可用。G1-G4為千兆電口或SFP模塊槽，可以使用光口或電口。這些端口編號從1-4。AD1004有專用管理端口，為千兆電口，可以使用這些端口做為管理用途。命名為MNG-1和MNG-2，命令行下面的編號為5和6。AD1016/2016/4016(ODS2)的前面板端口G1-G12為千兆電口，G13-G16為SFP模塊槽，可以使用光口或電口。這些端口編號從1-16。AD1016有專用管理端口，為千兆電口，可以使用這些端口做為管理用途。命名為MNG-1和MNG-2，命令行下面的編號為17和18。AD8016/12016/16016(ODS3)的前面板端口G1-G8為千兆電口，G9-G12為SFP模塊槽，可以使用光口或電口。這些端口編號從1-12。XG1-XG4為萬兆XFP模塊槽。AD8016有專用管理端口，為千兆電口，可以使用這些端口做為管理用途。命名為MNG-1和MNG-2。定義IP地址進入Router->IPRouter->interfaceParameters點擊creat,并添加下表：IPAddress:輸入IP地址Networkmansk:輸入子網掩碼IfNumber:選擇某個物理端口或者選擇已建立的VlaninterfaceNumberPeerAddress:輸入備機相關接口的IP，主AD可以自動生成備機的配置文件。其他保持默認配置即可。點擊Set即可完成。說明：RadwareAppDirector配完IP后，如果需要在此基礎上修改IP地址，則只能先將該IP刪掉再添加，不能直接修改。如果是修改子網掩碼和物理接口，則可以直接修改。除了物理端口外，以下是邏輯端口。T-1到T-7為Trunk端口，也即端口/鏈路會聚。物理端口后面的編號。10000開頭的為Vlan號，這是Radware內部的名稱，相當于Vlan名，與交換機的Vlan命名不同，這是基于端口的Vlan。命令行格式如下：AppDirector#netip-interfacecreateIP<地址><子網掩碼><接口號>AD-Master#netip-interfacecreate51G-1AD-Master#netip-interfacehelpnetip-interfacehelp:<get><IPAddress>set<IPAddress><-switchvalue>destroy/del<IPAddress>create/add<IPAddress><NetworkMask><IfNumber><-switchvalue>help<-switch>Switches:-m:NetworkMask-i:IfNumber-f:FwdBroadcast-ba:BroadcastAddr-v:VlanTag-pa:PeerAddressTheIPInterfacesTablecontainsarecordofeachoftheAppDirector'sIPinterfaces.AppDirectorperformsroutingbetweenallthedefinedIPinterfaces.Youcanaddanddeleteinterfacesthroughthistable.RoutingTable打開“Router>RoutingTable”,點擊“Create”，可以配置路由點擊“Set”圖標保存配置AD-Master#netroutetablecreate-iG-1目標網段和掩碼后面緊跟的是下一跳接口地址，-i表示該路由的下一跳的接口號；例子中第一條是默認網關的配置。AD-Master#netroutetablehelpnetroutetablehelp:<get><DestinationAddress><NetworkMask><NextHop>set<DestinationAddress><NetworkMask><NextHop><-switchvalue>destroy/del<DestinationAddress><NetworkMask><NextHop>create/add<DestinationAddress><NetworkMask><NextHop><-switchvalue>help<-switch>Switches:-i:InterfaceIndex-t:Type-m:Metric說明：RadwareAppDirector在配置路由時，只有在端口up的情況下，才能配置。例如：端口G-1上的IP地址為，掩碼為如要配置一條缺省路由，下一跳為54，則只能當端口G-1up，才能配置該路由。在命令行的最后面使用help參數(shù)可以獲取幫助。配置VLANTag某些場景中，AD只使用一條千兆端口連接交換機，使用802.1QVlanTrunk方式連接，同時將內部Vlan與外部Vlan在一根鏈路上跑。這時，我們需要配置VlanTrunk。首先將全局Vlan環(huán)境打開。進入Device->VLANTagging802.1qEnvironment:設置為EnableVLANTagHandling:通常設置為Overwrite，如果使用Segmentation則配置為Retain點擊Set并啟設備后生效。命令行配置如下：AD-Master#netvlan-tag-environmentset1接下來，在接口地址上加上VLANTag號，這個編號與交換機上配置的Vlan號一致。命令行格式如下：AD-Master#netip-interfaceset71-v100配置端口聚合Trunk功能指將多個物理網口進行綁定后，實現(xiàn)端口聚合，增加重輸速度并屏蔽線路故障。Radware支持的是標準的802.3ad，可以最多支持8個端口的綁定及最多設置7個trunk。如果是100M電口，需要調整物理端口為非自動協(xié)商，Duplex為Full，如果是1G電口，則保持默認值。Device-PhysicalInterface再設置LinkAggregationDevice-LinkAggregation-porttable設置端口1及端口2在Trunkindex1。PortStatus顯示為Aggregate，則顯示該端口已設置為Trunk模式，Trunkindex1則代表該端口與同是index1的端口綁定。查看TrunkTable，驗證trunkindex已啟用。Device-LinkAggregation-Trunktable在該頁中，TrunkStatus顯示了Trunkindex1的狀態(tài)已變?yōu)锳ggregate。.設置分發(fā)規(guī)則Device-LinkAggregation-Globalconfigurationdefinethetrunk’salgorithmforLayer2,Layer3,andLayer4accordingtotheexplanationsprovided:IgnoreIgnoretheheadersofthatlayer.SourceAddressConsiderpacket’ssourceonly.DestinationAddressConsiderpacket’sdestinationonly.BothAddressesConsiderpacket’ssourceanddestination.這個配置必需與對接的交換機相一至。設置IP地址在配置完Trunk之后，我們就可以為這個trunk綁定IP地址。在設置IP地址時，選擇InterfaceNumber為Trunk的number號。即從物理端口的最后一個往后排列。驗證方法在本例中，我們設置了端口1及端口2在同一Trunk中，所以我們用筆記本與端口1互連，然后ping其IP地址，可以互通，更換到端口2，同樣可以ping通。雙機配置在業(yè)務與軟件產品中使用AppDirector設備一般都會配置雙機。無論主用設備還是備用設備都要進行基本配置。VRRP與ARP不能同時使用，請確定冗余方式，選擇其中的一種。配置雙機時，僅需要配置主機的全部配置，備機只需要配置一個可以登錄管理的IP即可，主用AD可以通過保存配置文件的方式自動生機備機的完整配置文件，僅需要上傳生成的備機配置并重啟備機即可完成雙機的同步工作?？梢圆皇褂萌魏喂ぞ咿D換即可方便實現(xiàn)配置同步。主機VRRP配置使用VRRP冗余方式時配置如下參數(shù)。如果是ARP方式，請?zhí)^VRRP配置。本章的配置，為主用設備的配置。從2.11版本起，Redundancy不再位于AppDirector菜單下面，而是單獨以主菜單形式出現(xiàn)。全局配置開啟VRRP打開Redundancy>GlobalConfiguration>.打開冗余全局配置表IPRedundancyAdminStatus:選擇VRRP，我們一般采用VRRP雙機方式。InterfaceGrouping:主設備選擇enable，表示在一個端口出現(xiàn)問題的時候進行整體設備切換，備用設備通常使用默認的disable狀態(tài)。下面是命令行下的配置，與上面配置的效果相同，可以自行選擇配置方式。AD-Master#redundancymodesetVRRPAD-Master#redundancyinterface-groupsetenable配置VR(VirtualRouter)打開Redundancy>VRRP>VirtualRouters>.打開虛擬路由器配置表分別為每個接口創(chuàng)建一個VR.IfIndex：定義VR使用的端口VRID：定義VR的ID號，注意同一個Vlan中的ID號不要與其他設備沖突AdminStatus：定義VR的狀態(tài)，一開始必須為down，只有當AssociatedIP配置完成后才能up.Priority：定義VR的優(yōu)先級，最大255。優(yōu)先級高的為主設備，主設備通常設置為200PrimaryIP：可以不設置，默認為端口的實際IP地址，當一個物理端口存在多個IP時，需要指定。下面是命令行下的配置，與上面配置的效果相同，可以自行選擇配置方式。主AD配置：AD-Master#redundancyvrrpvirtual-routerscreate11-as2-p200AD-Master#redundancyvrrpvirtual-routerscreate92-as2-p200IfIndex:1VRID:1AdminStatus:downPriority:200IfIndex:9VRID:2AdminStatus:downPriority:200說明：到這一步，VRRP并沒有配置完成。等配置完業(yè)務后，所有VIP的AssoicatedIP會自動添加，配置完成后再啟用VR。備機VRRP配置不需要配置。業(yè)務配置最基本的負載均衡配置包括以下幾部分：創(chuàng)建Farm，創(chuàng)建Server，創(chuàng)建L4Policy，這幾部分配置完成后，就可以實現(xiàn)基本的負載均衡功能了。命名規(guī)則Radware的Farm，Server，L4Policy，HealthCheck等都需要命名，名字使用大小寫字母，數(shù)字和下劃線，不推薦使用空格和“-”號，以免引起配置上的錯誤。Farm管理Farm是一組提供相同服務的服務器群組，這個群組下包含的服務器具有相同的屬性。與Farm相關的參數(shù)通常有2張表，一張表在Farm表中，一張在Extended表中（Farm創(chuàng)建后自動生成）AppDirector>Farms>FarmTable紅色框為必選項，其他的保持默認即可。FarmName:XXXFarm，定義Farm名稱AgingTime:60,用戶會話表的老化時間ConnectivityMethod:PING,健康檢查方式缺省為PING，但是可有多種選擇。通常使用TCP+Port方式SessionMode:會話的保持模式，默認為EntryPerSession，表示為基于源地址做會話保持；選擇ServerPerSession則不做會話保持。做好配置后，點擊“set”圖片保存配置。需要注意的幾個參數(shù)：Agingtime：會話表的老化時間,單位是秒,越長會話保持的越久,但表的數(shù)量會增加。DispatchMethod：負載均衡算法Cyclic(RoundRobin)：輪循WeightedCyclic：基于權重的輪循方式(通過手工靜態(tài)地來定義包分發(fā)比重)LeastTraffic：最少流量LeastNumberofUsers：最少用戶連接數(shù)ResponseTimeLoadBalancing：最快反應時間，需啟用健康檢查模塊配合使用NTSNMPParameters：根據(jù)Windows服務器SNMP參數(shù)取到的值選擇服務器，僅對Windows服務器有效，并且Windows服務器需要打開SNMP功能User-ConfigurableSNMPParameters：與NT類似，只不過不限定Windows服務器，任何提供SNMP的服務器都可以，用戶需要設置相關的SNMPOID值及權重作為健康檢查對象Hashing：哈希算法,根據(jù)源地址選擇服務器,同一地址無論任何時候訪問VIP都會分配到同一臺服務器,當需要做長時間會話保持時,使用該算法不需要增加會話表的超時時間，有助于減少會話表的條目，同是不影響會話保持一般情況下后面三種不用命令行配置如下：AD-Master#appdirectorfarmtablehelpappdirectorfarmtablehelp:<get><FarmName>set<FarmName><-switchvalue>destroy/del<FarmName>create/add<FarmName><-switchvalue>help<-switch>Switches:-as:AdminStatus-at:AgingTime-dm:DispatchMethod-cm:ConnectivityCheckMethod-cp:Connectivity-ci:ConnectivityCheckInterval-cr:ConnectivityCheckRetries-ef:ExtendedCheckFrequency-hp:Homesm:SessionsMode-bl:BandwidthLimit-un:AuthorizedUsername-pw:AuthorizedPasswordManagestheAppDirectorfarms.AnAppDirectorfarmisagroupofnetworkedserversthatprovidethesameservice.說明：關于Radware的AppDirector會話保持是基于clienttable的。Clienttablemode簡單來說有三種：Regular:：3層會話表模式，只記錄用戶源IP，目標IP和目標端口。一個用戶，無論打開多少會話，只要源IP不變,AppDirector只記錄一條會話。EntryPerSession：4層會話表模式，記錄用戶源IP,，源端口，目標IP和目標端口.。對于同一源IP地址,負載均衡算法只執(zhí)行第一次請求，同一用戶后續(xù)請求，無論新開多少會話，都去到相同的服務器，但每個新的會話，都會記錄在Clienttable中。ServerPerSession：4層會話表模式，記錄用戶源IP，源端口，目標IP和目標端口。AppDirector對每個新的會話，都進行負載均衡算法計算。同一用戶后續(xù)請求，可能會去到不同的服務器，每個新的會話,都會記錄在Clienttable中。服務器管理服務器是Farm下面的元素，隸屬于Farm。定義服務器的名稱，IP地址，以及服務的端口號。服務器的網關通常指向AD的地址，而不是防火墻，AD是雙機時，這個地址是浮動IP。OpenAppDirector>Server>ApplicationServer,創(chuàng)建server，進入到AppDirector>Servers>ApplicationServers>Table點擊“creat”圖標如下圖所示：紅色框為必選FarmName:XXX-farm，F(xiàn)arm名稱ServerAddress:服務器的真實IP地址ServerPort:服務器的真實端口號，如果服務器的真實端口號與VIP對外提供服務的端口號一致，就保持默認值None；如果服務器真實端口為8080，對外服務端口為80，則配置為8080ServerName:標識服務器的名稱配置好后，點擊“set”保存命令行配置如下：AD-Master#appdirectorfarmservertablehelpappdirectorfarmservertablehelp:<get><FarmName><ServerAddress><Serverset<FarmName><ServerAddress><Serverdestroy/del<FarmName><ServerAddress><Servercreate/add<FarmName><ServerAddress><Serverhelp<-switch>Switches:-sn:ServerName-w:Weight-om:OperationMode-st:Type-cl:ConnectionLimit-as:AdminStatus-bl:BandwidthLimit-rt:RedirectTo-cn:ClientNAT-sd:ServerDescription-rs:ResponseThreshold[ms]-ba:BackupServerAddress-pm:BackupPreemption-nr:Client-ln:FarmNameForLocalFarmServer(0)NoneManagestheparametersoftheapplicationserversthatarepartofAppDirectorfarms.L7Policy管理(可選)待補充。L4Policy管理L4Policy主要功能就是定義對外服務的虛擬地址和服務端口，也就是負載均衡功能的入口。它是一個最大的容器，包含了Farm，F(xiàn)arm又包含了Server。這個策略將VIP，對外提供的協(xié)議及端口和Farm關聯(lián)起來。L4Policy常用為2種類型。一是VIP，另一種是浮動IP。AppDirector>Layer4TrafficRedirection>Layer4Policies>CreateVIP配置配置L4Policy虛擬地址和、協(xié)議類型、端口號以及名稱，此組合就是提供給外部訪問的VIP，再將定義好的Farm與之關聯(lián)。定義PortalVIP172.168.119，外網用戶通過19的80端口訪問PortalVirtualIP:19L4Protocol:TCPL4Port:80L4PolicyName:P_PortalFarmName:Portal命令行配置如下：AD-Master#appdirectorl4-policytablecreate19TCP80P_Portal-fnPortalAD-Master#appdirectorl4-policytablecreate9TCP8090P_VXML-fnVXML浮動網關配置浮動網IP類似交換機VRRP中的浮動IP概念，專門用來做為服務器的網關使用。每個Vlan配置一個。VirtualIP:8L4Protocol:AnyL4Port:AnyL4PolicyName:Float_30FarmName:NoneApplication:VirtualIPInterface配置好后，點擊“set”保存。命令行配置如下：AD-Master#appdirectorl4-policytablecreate8AnyAny\Float_30-ta"VirtualIPInterface"AD-Master#appdirectorl4-policytablehelpappdirectorl4-policytablehelp:<get><VirtualIP><L4Protocol><L4Port><SourceIPFrom>set<VirtualIP><L4Protocol><L4Port><SourceIPFrom><-switchvalue>destroy/del<VirtualIP><L4Protocol><L4Port><SourceIPFrom>create/add<VirtualIP><L4Protocol><L4Port><SourceIPFrom><L4PolicyName><-switchvalue>help<-switch>Switches:-ipt:SourceIPTo-po:L7PolicyName-fn:FarmName-ta:Application-rs:RedundancyStatus-sn:SegmentName-sl:SSLPolicy-co:CompressionPolicy-ca:CachingPolicy-au:ClientAuthenticationPolicy-ht:HTTPPolicyL4Protocol(1)TCP(2)UDP(3)ICMP(6)SCTP(4)Any(5)OtherL4Port(0)AnyALayer4Policydefinesasinglepointofentry(VirtualIP)intothenetwork,thatprovidesavarietyofapplicationservicesallowingdifferentgroupsofuserstoreceiveservicesaccordingtotheirindividualneeds.TheapplicationisidentifiedbyLayer4protocolandapplicationport.Cookie會話保持有的應用可能需要實現(xiàn)基于Cookie的會話保持功能。即TCP會話已經斷開，但Cookie的生存期可能比TCP會話要長很多，這時要求用戶的請求仍然要分發(fā)給同一臺服務器。AppDirector>Layer7SeverPersistency>TextMatch>Create選擇需要做會話保持的服務器的Farm，配置L4協(xié)議類型、端口號以及會話保持的關鍵字名稱，需要注意Cookie的老化時間與應用的一致，單位是秒。FarmName:Farm名稱ApplicationPort:應用服務的端口號PersistencyParameter:Cookie的ID，通常是JSESSIONIDLearningDirection:系統(tǒng)默認為ServerReply，這也是最常的配置方法。表示AD學習并記錄Cookie是從服務器的回包中進行。當用戶第一次登錄時，請求包通常沒有帶上Cookie信息，這時服務器會主動插入一個Cookie回應用戶，這時AD就記下這個Cookie是哪臺服務器發(fā)的，下次用戶只要帶上這個Cookie訪問，AD就會主動將這個請求分發(fā)給發(fā)布該Cookie的服務器。也可以配置為ClientRequest，但不常用，表示Cookie學習的方向來自客戶的請求InactivityTimeout:Cookie的老化時間，應該與應用的一致，1800秒為30分鐘比較常見配置好后，點擊“set”保存。AppDirector>Layer7SeverPersistency>Statistics可以查看學習到的Cookie情況，有助于我們分析配置是否正確CookieInsert配置(unknow_simon)AD可以在服務器響應用戶時插入一個動態(tài)cookie，并記住對應的服務器，當用戶請求再次到AD時，AD會將用戶的會話分配到同一臺服務器中打開AppDirector>Farms>Extendedparameters,打開webseal_httpFarm的內容，將InsertCookieforHTTPPersistency設置為Enabled。系統(tǒng)會自動配置其他參數(shù)。我們需要調整Cookie的老化時間，系統(tǒng)默認為1800秒（半小時）。打開AppDirector>L7ServerPersistency>TextMatch,進入配置頁面，將InactivityTimeout設置為3600(1小時)同時，我們需要調整Farm的參數(shù)，以便讓負載均衡效果更好。打開AppDirector>Farms>FarmTable將SessionMode改為RemoveOnSessionEnd-SPS，這樣，當代理服務器來的許多用戶的請求就可以根據(jù)Cookie分配到不同的服務器上去。配置健康檢查通常情況下，只需要對業(yè)務進一種類形