在談及負載均衡應用的時候，說的最多的就是流量控制，網(wǎng)站負載，以及服務器負載等等。那么，現(xiàn)在要給大家介紹的是防火墻負載均衡的應用。還是讓我們從基礎了解，防火墻大家都知道，它是安全上網(wǎng)的一道屏障，有了它在很多不安因子都被擋在門外。那么，我們現(xiàn)在來看看如何進行防火墻的負載均衡。

防火墻負載均衡技術  
  
概述

網(wǎng)絡安全性是許多ICP和ISP長期擔心的問題,網(wǎng)絡安全已經成為了人們關注的焦點｡網(wǎng)絡安全技術將防火墻作為一種防止對網(wǎng)絡資源進行非授權訪問的常用方法｡

盡管目前防火墻產品可以有效地防止網(wǎng)絡入侵｡但是,它本身也給ICP和ISP網(wǎng)絡帶來了問題｡尤其是,目前防火墻技術限制了網(wǎng)絡的性能和可伸縮性,并且由于防火墻經常成為單故障點,因而它降低了整體網(wǎng)絡的可用性｡

由于防火墻處于數(shù)據(jù)路徑上,因此,它們可能會限制網(wǎng)絡的性能和可伸縮性｡在內部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡流量都必須經過防火墻｡可惜的是,最適于防火墻的處理結構不適于檢查高容量的數(shù)據(jù)包｡由于防火墻必須處理每一個數(shù)據(jù)包,因而造成了通信速度的下降｡擴展防火墻的性能十分困難,因為它一般要直接升級到功能更強大的硬件平臺｡

也是由于防火墻安放在數(shù)據(jù)路徑上,因此,它們形成了降低網(wǎng)絡資源可用性的單故障點｡盡管多數(shù)防火墻可以使用市面上已有的高可用性軟件以熱備份的配置部署,但是,迄今為止,沒有一種解決方案可以安全､可靠､高效支持多臺防火墻同時工作｡

新型Web交換機的防火墻負載均衡技術解決了上述問題｡先進的Web交換機允許防火墻并行運行,使用戶無需將防火墻升級就可以最大限度地發(fā)揮防火墻的工作效力,擴展防火的性能,同時使防火墻不再成為一種單故障點｡

實現(xiàn)原理

與傳統(tǒng)包交換機不同,Web交換機支持第四層以上的交換功能并具有維護不同TCP會話狀態(tài)的能力｡這類設備為實現(xiàn)防火墻的負載均衡提供了完美的平臺｡在實施防火墻負載均衡技術時,至少需要兩臺Web交換機:一臺安裝在防火墻的外部,另一臺安裝在內部｡

改變所有輸入數(shù)據(jù)流流向的過濾器被配置在連接外部網(wǎng)和內部網(wǎng)的Web交換機端口上｡

為保持高可用性,Web交換機對防火墻的健康進行監(jiān)控,只將數(shù)據(jù)包發(fā)向健康的防火墻｡Web交換機通過正常地向每個防火墻另一端對應的交換機發(fā)送ping數(shù)據(jù)包來監(jiān)控防火墻的健康情況｡如果某個Web交換機接口不能回應ping命令,累計達到用戶定義的次數(shù),這個Web交換機端口(以及暗指的相關防火墻)就被置成"服務器故障"狀態(tài)｡同時,對應Web交換機停止向這個接口發(fā)送數(shù)據(jù)流,而將數(shù)據(jù)流分配到其余的健康的Web交換機接口和防火墻上｡

當一個Web交換機接口處于"服務器故障"狀態(tài)時,其對應的Web交換機繼續(xù)以用戶配置的速率向它發(fā)送ping命令｡在發(fā)回第一個成功的ping回應后,該接口(以及防火墻)恢復到服務狀態(tài)｡

前幾節(jié)描述的防火墻健康監(jiān)控技術是Web交換機保證應用程序高可用性的一種方式｡在采用防火墻負載均衡技術的同時使用熱備份Web交換機,可以使應用獲得更高水平的可用性｡在使用防火墻負載均衡技術的情況下,可以采用Web交換機對(一臺處于工作狀態(tài),另一臺處于熱備份狀態(tài)｡)來構造整個系統(tǒng)無單故障點的網(wǎng)絡拓撲結構｡這意味著Web交換機不是單故障點,使用它不會造成網(wǎng)絡另一些點上的單故障點｡

防火墻負載均衡功能實現(xiàn)

在案例中,使用了四臺交換機,兩臺位于防火墻的外部,兩臺位于防火墻的內部｡

在實施熱備份配置時,每對Web交換機中的一臺被指定為激活交換機,另一臺被指定為備份交換機｡在激活Web交換機與備份Web交換機之間配置一條直通鏈路,即所謂的故障轉移鏈路｡通常故障轉移鏈路在激活的和備份Web交換機之間只傳遞Web交換機狀態(tài)信息,數(shù)據(jù)流只有在激活Web交換機端口現(xiàn)出故障的情況下才經過故障轉移鏈路傳輸｡

如果激活Web交換機檢測到鏈路故障的話,它就將此信息通過故障轉移鏈路通知備份Web交換機｡如果備份Web交換機上的相應端口是健康的話,該端口就被激活｡