Tweet
Vấn đề Load Banlancing với Firewall trong hệ thống mạng, help me!!!!!
Chào mọi người!
Hiện tại hệ thống mạng cty mình đang có vấn đề cho việc load balancing. Mình Phác thảo Logical packet-flow mô hình mạng như hình vẽ:
Uploaded with ImageShack.us
attack:
Vấn đề như sau:
Giả sử một Client tại chi nhánh(Lan: 10.10.10.0/24) truy cập đến các dịch vụ tại Server-Farm(Primary Server). Tại con R2800 của chi nhánh sẽ thực hiện Load balancing(OSPF Equal-cost) trên cả hai đường Megawan và VPN về R-01 và R-02 rồi tới ISG-01 và ISG-02. Vấn đề chính ở đây là khi packet trả về, gói tin lúc này do Core-01() quyết định đi theo ISG-01 hay ISG-02.
Ta giả sử có gói tin P-01 đi theo chiều R2800->R-01->ISG-01-Core-01->Sever.
Gói tin P-02 theo chiều R2800->R-02->ISG-02->Core-02->Core-01->Sever(Server không chạy load balancing mặc dù có kết nối SAN giữa Primary và Backup Server).
Nếu gói tin P-01 trả về tới ISG-01 và P-02 trả về ISG-02 thì ko có vấn đề gì nhưng nếu 2 gói tin đó mà đi ngược lại thì lập tức sẽ bị drop(do tính năng Inspect theo session của Firewall).
Hiện tại mình không dám cho chạy load balancing trên Core-01 cho lưu lượng đi qua hai con Firewall, thay vào đó mọi lưu lượng đều phải đi qua ISG-01(giả sử P-02 tới R-02->ISG-01->Core-01; gói trả về Server->Core-01->ISG-01->R-02).
Như vậy mọi lưu lượng đều đổ dồn vào qua con ISG-01 có thể gây tắc nghẽn, trong khi đó con ISG-02 thì lại không có lưu lượng đi qua.
Xin mọi người cho mình giải pháp nào tối ưu cho hệ thống mạng này với!
Thanks a lot!
Hiện tại hệ thống mạng cty mình đang có vấn đề cho việc load balancing. Mình Phác thảo Logical packet-flow mô hình mạng như hình vẽ:
Uploaded with ImageShack.us
attack:
Vấn đề như sau:
Giả sử một Client tại chi nhánh(Lan: 10.10.10.0/24) truy cập đến các dịch vụ tại Server-Farm(Primary Server). Tại con R2800 của chi nhánh sẽ thực hiện Load balancing(OSPF Equal-cost) trên cả hai đường Megawan và VPN về R-01 và R-02 rồi tới ISG-01 và ISG-02. Vấn đề chính ở đây là khi packet trả về, gói tin lúc này do Core-01() quyết định đi theo ISG-01 hay ISG-02.
Ta giả sử có gói tin P-01 đi theo chiều R2800->R-01->ISG-01-Core-01->Sever.
Gói tin P-02 theo chiều R2800->R-02->ISG-02->Core-02->Core-01->Sever(Server không chạy load balancing mặc dù có kết nối SAN giữa Primary và Backup Server).
Nếu gói tin P-01 trả về tới ISG-01 và P-02 trả về ISG-02 thì ko có vấn đề gì nhưng nếu 2 gói tin đó mà đi ngược lại thì lập tức sẽ bị drop(do tính năng Inspect theo session của Firewall).
Hiện tại mình không dám cho chạy load balancing trên Core-01 cho lưu lượng đi qua hai con Firewall, thay vào đó mọi lưu lượng đều phải đi qua ISG-01(giả sử P-02 tới R-02->ISG-01->Core-01; gói trả về Server->Core-01->ISG-01->R-02).
Như vậy mọi lưu lượng đều đổ dồn vào qua con ISG-01 có thể gây tắc nghẽn, trong khi đó con ISG-02 thì lại không có lưu lượng đi qua.
Xin mọi người cho mình giải pháp nào tối ưu cho hệ thống mạng này với!
Thanks a lot!
Comment