ADC

Firewall-Lastausgleich

Der Firewall-Load-Balancing verteilt den Datenverkehr auf mehrere Firewalls und sorgt so für Fehlertoleranz und erhöhten Durchsatz. Der Firewall-Load-Balancing schützt Ihr Netzwerk durch:

  • Verteilung der Last auf die Firewalls, wodurch ein einziger Fehlerpunkt vermieden wird und das Netzwerk skaliert werden kann.
  • Erhöhung der Hochverfügbarkeit.

Die Konfiguration einer NetScaler-Appliance für den Firewall-Lastenausgleich ähnelt der Konfiguration des Lastenausgleichs, mit der Ausnahme, dass der empfohlene Diensttyp ANY ist, der empfohlene Monitortyp PING ist und der virtuelle Servermodus für den Lastausgleich auf MAC eingestellt ist.

Sie können den Firewall-Lastenausgleich in einer Sandwich-, Unternehmens- oder Mehr-Firewall-Umgebungskonfiguration einrichten. Die Sandwich-Umgebung wird für den Lastenausgleich von Datenverkehr, der von außen in das Netzwerk eingeht, und für den Datenverkehr, der das Netzwerk zum Internet verlässt, verwendet. Dazu werden zwei NetScaler-Appliances konfiguriert, eine auf jeder Seite einer Reihe von Firewalls. Sie konfigurieren eine Unternehmensumgebung für den Lastenausgleich von Datenverkehr, der das Netzwerk verlässt, in das Internet. Die Unternehmensumgebung beinhaltet die Konfiguration einer einzelnen NetScaler-Appliance zwischen dem internen Netzwerk und den Firewalls, die den Zugriff auf das Internet ermöglichen. Die Umgebung mit mehreren Firewalls wird für den Load-Balance-Verkehr verwendet, der von einer anderen Firewall kommt. Wenn der Firewall-Lastenausgleich auf beiden Seiten der NetScaler Appliance aktiviert ist, wird der Datenverkehr sowohl in ausgehender als auch in eingehender Richtung verbessert und eine schnellere Verarbeitung des Datenverkehrs gewährleistet. Die Umgebung mit mehreren Firewalls beinhaltet die Konfiguration einer NetScaler-Appliance, die sich zwischen zwei Firewalls befindet.

Wichtig: Wenn Sie statische Routen auf der NetScaler-Appliance für die Ziel-IP-Adresse konfigurieren und den L3-Modus aktivieren, verwendet die NetScaler-Appliance ihre Routingtabelle, um den Datenverkehr weiterzuleiten, anstatt den Datenverkehr an den vServer mit dem Load Balancing zu senden.

Hinweis: Damit FTP funktioniert, sollte auf der NetScaler-Appliance ein zusätzlicher virtueller Server oder Dienst mit IP-Adresse und Port als * bzw. 21 und als Diensttyp als FTP konfiguriert werden. In diesem Fall verwaltet die NetScaler-Appliance das FTP-Protokoll, indem sie die FTP-Steuerverbindung akzeptiert, die Payload ändert und die Datenverbindung verwaltet — alles über dieselbe Firewall.

Der Firewall-Load Balancing unterstützt nur einige der Load-Balancing-Methoden, die auf der NetScaler-Appliance unterstützt werden. Außerdem können Sie nur einige Arten von Persistenz und Monitoren konfigurieren.

Methoden zum Firewall-Lastenausgleich

Die folgenden Load-Balancing-Methoden werden für den Firewall-Lastenausgleich unterstützt.

  • Geringste Verbindungen
  • Runde Robin
  • Am wenigsten Pakete
  • Geringste Bandbreite
  • Quell-IP-Hash
  • Ziel-IP-Hash
  • Quell-IP-Ziel-IP-Hash
  • Quell-IP-Quellport-Hash
  • Methode mit der geringsten Reaktionszeit (LRTM)
  • Benutzerdefinierte Last

Firewall-Persistenz

Nur auf SOURCEIP, DESTIP und SOURCEIPDESTIP basierende Persistenz wird für den Firewall-Lastenausgleich unterstützt.

Überwachung des Firewall-Servers

Beim Firewall-Lastenausgleich werden nur PING und transparente Monitore unterstützt. Sie können einen PING-Monitor (Standard) an den Backend-Dienst binden, der die Firewall darstellt. Wenn eine Firewall so konfiguriert ist, dass sie nicht auf Ping-Pakete reagiert, können Sie transparente Monitore konfigurieren, um Hosts auf der vertrauenswürdigen Seite mithilfe einzelner Firewalls zu überwachen.

Firewall-Lastausgleich