Checkpoint ConnectControl Loadbalance(负载均衡配置)

Posted by: luke 2014-10-15 评论

说明:此文只涉及具体操作,负载均衡的作用及具体的技术细节请参考厂家文档,另外测试环境我开的是全通策略,在生产环境中也需要注意

测试环境

服务器:两台windows2003服务器,对外提供webTelnet服务

防火墙:Checkpoint R71软件版本 SecurePlatform评估版

Debbug使用工具:wiresharktcpdump

测试目的

分别测试httpother类型的负载均衡,http类型主要接收httphttps流量类型,other可接收所有类型

如业务只有httphttps流量,建议采用http类型,否则,建议采用other类型

测试拓扑

主机110.1.1.2

—–内网(10.1.1.1/24—–防火墙——外网(192.168.1.1/24)——–

主机210.1.1.3

两台主机对外的地址为192.168.1.5

测试步骤

Other类型

新建两台主机(提供服务的实际机器)

设置hide NAT

注意:此处和文档描述的不同,文档中说是automatic nat,但是测试不通

Hide NAT的地址为后面设置的logical server的地址

新建simple group,将两台主机加入到此组中

 

新建logical server

注意:IP地址和之前hide NAT的地址相同

Servers设置为之前的simple group

Persistent server mode:会话保持模式,参考厂家文档

Balance:负载均衡方法,一般选择round Robin(轮询模式)

新建策略

注意:这条策略必须添加,否则logical server不能激活

测试

http服务

telnet服务

更换测试端的IP地址

Web服务

telnet服务

确认已负载均衡

http类型

other类型不同,http类型需要为每台真实的host设置static nat,并且只支持httphttps协议

主机配置

Host1(将之前的hide nat更改为static nat)

Host2

Logical server配置

此处的server类型更改为http

策略设置

此处的协议必须设置为http,否则会出现以下错误提示

测试

按照官方文档,之前可以做到负载均衡,但第二天发现不正常了,用tcpdump抓包发现防火墙可以收到http请求,但logical server没有重定向到真正的web server

后来我只好采用手动设置NAT的方式来做,具体配置如下:

手动设置

在主机上取消静态NAT

设置两条NAT策略

设置group(这里的group我为了省事,只做了一台,我们只要确认logicalserver会将http request重定向到真实服务器即可)

注意:这里必须要填写映射后的虚拟地址

Proxy-arp填加,务必添加正确的proxy-arp,不然也不访问

local.arp文件默认不存在,需要新建,更改完local.arp之后,需要重启启动防火墙进程(cpstop&cpstart)

实际访问效果,192.168.1.5的访问请求会转发到192.168.1.20010.1.1.2)上面

发表评论

电子邮件地址不会被公开。 必填项已用*标注