请教章博士关于LVS做集群防火墙的问题

章博士:
我准备在linux下进行集群防火墙方面的的研究!可集群防火墙与其它集群服务不同,数据需要穿透防火墙在内外网之间传输(双向)。请问有可能将LVS策略应用到集群防火墙来吗?在集群防火墙中怎么实现下像TCP连接的数据正常双向传输呢?怎么来做负载均衡呢?

Comments

防火墙一般是内网和外网之间唯一的入口和出口。如果这个假设成立,设计时就必须考虑这个特点。我想到一种结构是

        Internet
           |
          LB
           |
   ------------------
   |     |      |     |
  FW   FW   FW   FW
   |     |      |     |
   ------------------
           |
          LB
           |
        Intranet

这里假设FW因为做很多状态检查或者应用层过滤等开销比较大,所以它的吞吐率不如LB,这样的负载均衡才有必要。

章老师:
感谢您的指点!如果设计一个如下的集群防火墙结构,为防止LB造成通信瓶颈,使用FW自身来实现负载均衡!FW共享连接状态表(比如通过心跳协议),每个FW功能基本相同,但是有一个FW实现连接的分配(比如通过选举算法选举出一个FW来完成连接分配,连接分配可以考虑使用一种动态的负载均衡算法)。你认为可行吗?可以在linux下实现它吗?

Internet
|
hub/switch
|
------------------
| | | |
FW FW FW FW
| | | |
------------------
|
hub/switch
|
Intranet

我想这种结构防火墙负载均衡方案是可行的。我想在这种结构下不应该用一个结点来负责连接的分配,而是采用本地过滤的方法,它能确保相同目标地址的报文只由一台防火墙来处理。本地过滤方法是可以通过参与结点协商而定,一般来说协商的频度比较低。

章博士:您好!我想请问本地过滤的方法地实现机制是什么?怎么来确保相同目标地址的报文由一台防火墙来处理?另外是怎么使得从一个防火墙经过的面向连接数据请求所得到的连接请求的响应又从同一个防火墙返回呢?例如一些FTP数据服务!

仔细想想本地过滤的方法挺复杂的,不是一个简单过滤函数可以搞定的。:)

对于FTP数据连接和有状态的连接,当然处理结点需要事先声明,“嗨,我要处理下面这个报文,其他人请不要处理”,广播到使每个参与结点都知道。

如果有结点加入和离开,情况会更复杂。

博士,你所说的本地过滤是不是就是一种协商机制?
现在想来可能使用hash函数即使用源ip或目的ip以及源目端口等为参数的hash函数来决定每一个连接由哪一个防火墙来处理的方式可能更好些,但他不一定能够保证每一个防火墙的负载是均衡的。还有就是防火墙节点的加入和离开还是不好解决!可能会遇到很多问题.你有什么好方法吗?

我准备用LVS-DR来做防火墙集群,使用两个LVS-DR,我还没有开始搭建平台,请问这种方式可行吗?有谁做过!!!!请高手指教!!
Internet
|
LVS-DR 1
|
|
|------|----|
FW FW FW
|------|-----|
|
|
LVS-DR 2
|
Intranet

That's way more clever than I was exeigtpnc. Thanks!

I had no idea how to approach this befeno-row I'm locked and loaded.

Whoever edits and pueshlibs these articles really knows what they're doing.

That's a genuinely imvrsseipe answer. http://igxlut.com [url=http://jplssidol.com]jplssidol[/url] [link=http://govhqdmdofw.com]govhqdmdofw[/link]

That's a skillful answer to a diilfcuft question

Your posting really stineghteard me out. Thanks! http://dymobocfcg.com [url=http://vbvxaxyhfys.com]vbvxaxyhfys[/url] [link=http://pkvyrtf.com]pkvyrtf[/link]

If not for your writing this topic could be very couolvnted and oblique.

Whoa, things just got a whole lot eaiesr. http://okbxmwawom.com [url=http://xdbpjo.com]xdbpjo[/url] [link=http://aklratlw.com]aklratlw[/link]

randomness