radware 相关（alteon产品）

术语
组网
配置思路
IP 规划
- 负载均衡器的IP规划
- 服务器的IP规划
登陆设备
简单命令行配置
标准负载均衡
L7 Policy
会话保持
NAT
双机
应用加速
虚拟化配置
维护
维护命令

术语

负载均衡

负载均衡既是为了保证每个server的承载合理farm分配请求消息到server的算法。
会话保持

Alteon分配了client的第一个请求到server后，client的后继请求必须分配到同一个server。Alteon可以完成网络层和应用层上的会话保持。
Group

Group是指提供相同服务的服务器的集合，类似于AD的Farm。Alteon设备可以根据服务器提供的不同服务类型定义不同的Group。当客户端请求服务时，Alteon设备根据所请求的服务类型，从对应的Group中选择一个最适合的服务器来提供服务。
Real Servers

在Alteon中的配置，表示具体的物理服务器，属于一个或者多个Group。
VIP（Virtual IP Address）

VIP是Group通过Alteon设备向客户端提供的一个请求服务的虚拟IP地址，客户端通过VIP向Group中的服务器请求相应的服务。

Alteon设备通过Group中服务器的本地IP地址来标识不同的服务器，从而将客户端的服务请求转发到最佳的服务器上。

Alteon设备选择服务器为客户端提供服务的过程，对客户端是透明的。
Virtual Servers

在Alteon中的配置， Virtual Servers类似于AD的L4 Policy。Virtual Servers可以配置网络层一些参数。Virtual Servers可以理解为根据源IP地址，目的IP地址及协议端口号等参数进行负载均衡处理。VIP在Virtual Server中配置。
Virtual Serivce

在Alteon中的配置，定义具体的应用，位于Virtual Server功能之下。
L7 Policy

在Alteon中的配置，基于请求中的特定内容进行负载均衡处理，通常对HTTP协议进行L7处理。
DAM

Direct Access Mode，此模式开启后，可以直接访问服务器。
NAT（Network Address Translation）

NAT可以在不同网络间进行IP地址的转换，特别用在私网IP地址和公网IP地址之间的转换。
PIP（Proxy IP ）

Proxy IP用于客户端访问VIP时隐藏其IP地址。通常用于服务器网关未指向负载均衡器的场景。

对数据包进行源地址转换，旁挂模式应用PIP可避免三角传输问题。
健康检查

Alteon可靠的健康状况检查可以保证用户获得最佳的服务。

Alteon可以监视服务器在IP、TCP、UDP、应用和内容等所有协议层上的工作状态。如果发现某个服务器发生故障，用户请求被透明地重定向到正常工作的服务器上。这可以保证用户始终能够获得他们所期望的信息。
Redundancy

主备冗余，用于Alteon的双机配置和通信，防止设备单点故障。使用VRRP方法来保证可用性。目前可以自动同步主备机配置。
SSL加速

在SSL处理过程中，所有的传输内容均采用加密算法处理。其中最重要的两个部分为SSL握手时交换秘钥的非对称加密和数据传输时的对称加密。在现有的系统中，通常非对成加密采用1024位的密钥进行加解密，因此对服务器的CPU占用率非常高。Alteon可以进行SSL处理，与服务器采用HTTP协议，Alteon与用户之间使用HTTPS协议，来减少服务器的压力。
Cache(缓存)

于对经常使用HTTP内容，Alteon会缓存在内存中，当用户再次请求相同的URL时，Alteon直接将缓存内容回应给用户，而不是转发给服务器处理，减少服务器的压力。
压缩

Alteon可以支持HTTP协议的压缩选项，将传输出的内容进行压缩处理，减少带宽消耗。
VX

于如果使用alteon5224及以上平台的设备，可以支持虚拟化，即虚拟成多台逻辑负载均衡设备，彼此之间相互隔离，拥有各自的资源和配置以及管理。VX就是虚拟化的HyperVisor,用来配置和管理虚拟机的资源。
vadc

vadc就是虚拟的负载均衡设备
Standalone

相对于虚拟化的负载均衡器，如果运行在单机模式，就是Standalone

组网

直连
单臂/双臂

单臂时，使用一条物理连接；双臂时，使用2条物理链路，分别连通内网服务器和外网防火墙或路由器。
三角传输

对于流媒体类型的应用，会采用三角传输组网，本地三角传输也称路径外回应（Direct Server Return）。它是为提高整体网络性能的一种解决方案。

在Alteon上配置VIP地址用来提供对外服务，在每服务器上配置环回地址，这个环回IP地址也是VIP地址。服务器的网关指向路由器，与Alteon的网关相同。环回地址的特性是它永远是激活的，但并不会响应ARP请求。当路由器发送ARP请求查询VIP的MAC地址时，Alteon会响应，将Alteon的MAC地址告诉路由器；而服务器的环回网卡不回应任何请求。

用户访问VIP，Alteon收到请求后，将用户的请求数据包的目标MAC进行更改，而三层的IP包不作任何改变(这与常规四层交换不同，常规四层交换需要更改目标IP)，用服务器网卡的MAC地址封装此包，服务器处理完请求后，仍然使用VIP作为它的源地址通过网关回应数据包给用户，绕过了Alteon。

配置思路

下面仅列出关键的内容，其他的内容跟据场景的不同，有的需要配置，有的不用配置。

1.网络拓扑和地址规划(第2章)

2.初始化配置 (第3章)

4.配置IP（Vlan Tag）(3.12节)

5.配置路由和网关 (3.12节)

6.业务配置（仅配置主设备）（第5章）

Group

Server

VIP

L7 Policy (可选)

Cookie会话保持(可选)

7.配置双机的VR (Virtual Router) (第4章)

8. 同步配置到备机（第6章）

IP 规划

负载均衡器的IP规划

在实施配置前，请先规划好Alteon和服务器的地址。这里仅示例，以现网IP进行修改。

单元	主机名	端口	IP地址	浮动IP地址(服务器网关)	网关(下一跳)
1	AlteonMaster	1	192.168.40.1/24 (TRUST网段) 192.168.50.1/25 (USDP内网)	192.168.40.3/24 192.168.50.3/25	192.168.40.254
2	AlteonSlave	1	192.168.40.2/24 (TRUST网段) 192.168.50.2/25 (USDP内网)	192.168.40.3/24 192.168.50.3/25	192.168.40.254

RADWARE支持在一个端口上配置一个或多个不同网段的IP，建议采用1个或2个千兆端口连接交换机即可。

服务器的IP规划

主机名	IP地址	默认网关	Virtual IP地址
USDP01	192.168.50.21/25	192.168.50.3	192.168.40.11/24
USDP02	192.168.50.22/25	192.168.50.3	192.168.40.11/24

登陆设备

 ➤ telnet 10.20.254.97

Trying 10.20.254.97...

Connected to 10.20.254.97.

Escape character is '^]'.

Enter login username: admin

Enter login password:

System Information at 11:05:08 Wed May 11, 2022

Time zone: No timezone configured (GMT offset +08:00)

Memory profile is Default

Alteon Application Switch 5208 NG

Switch is up 195 days, 17 hours, 25 minutes and 49 seconds.

Last boot: 18:56:40 Wed Oct 27, 2021 (power cycle)

Last apply: 11:32:00 Tue May 10, 2022

Last save: 11:32:09 Tue May 10, 2022

MAC Address                :    2c:b6:93:44:cd:00

Hardware MainBoard No|Rev  :    ODSVL2-MB | C.C18

Hardware DB No             :    Not Available

Hardware Serial Number     :    41704331

Note - When the measured temperature inside the switch EXCEEDs

       the anomaly threshold at 90 degree Celsius or the critical

       temperature at 97 degree Celsius different syslog messages

       will be generated.

Software Version 31.0.15.50 Image ID 3, active configuration.

HA State:    MASTER

Mode of operation: by Name

------------------------------------------------------------------

 [Main Menu]

     info     - Information Menu

     stats    - Statistics Menu

     cfg      - Configuration Menu

     oper     - Operations Command Menu

     boot     - Boot Options Menu

     maint    - Maintenance Menu

     apropos  - Look for cli commands pattern  [global command]

     diff     - Show pending config changes  [global command]

     apply    - Apply pending config changes [global command]

     save     - Save updated config to FLASH [global command]

     revert   - Revert pending or applied changes [global command]

     exit     - Exit  [global command, always available]

>> Standalone ADC - Main#

简单命令行配置

Radware Alteon设备的命令是缓存提交方式，Alteon的配置可以使用命令行和WEB方式来进行，在每次的配置完成之后，都需要使用apply命令来激活所做的修改，如果有必要也要使用save命令将这些配置保存在系统的flash中，以便系统下次启动的时候能够自动的生效。

如果在apply命令之前想放弃之前所做的修改，可以使用revert命令来放弃修改。

Radware Alteon设备的命令使用类似Unix目录分层结构的命令，其操作也和Unix/Linux类似，比如 “/”回到主菜单，’../’ 回到上一层菜单。以下是主菜单的结构，其中加"*"部分是全局命令，可以在任意位置执行。

Main Menu

 info     - Information Menu          // 用来查看各种状态信息，比如服务器，VRRP信息

 stats    - Statistics Menu             // 用来查看统计信息，比如流量统计

 cfg      - Configuration Menu        // 用来进行配置

 oper     - Operations Command Menu            // 用来执行一些操作，比如临时关闭服务器

 boot     - Boot Options Menu         // 用来进行软件和配置的管理

 maint    - Maintenance Menu         // 用来进行故障处理

 **diff     - Show pending config changes  [global command]**

 **apply    - Apply pending config changes [global command]**

 **save     - Save updated config to FLASH [global command]**

 **revert   - Revert pending or applied changes [global command]**

 **exit     - Exit  [global command, always available]**

同级层次下的命令可以使用“/”分隔，在同一行里配置。比如：

/c/sys/access    ## /c 是 /cfg 的简写

        http ena

        tnet ena

也可以写成，效果是相同的。

/c/sys/access/http ena/tnet ena

命令行支持简写。 /c和/cfg是相同的，只要不会引起歧义，可以使用最简化命令。

管理IP

可以使用以下命令创建管理IP：

/c/sys/mmgmt

        addr 172.16.100.30

        mask 255.255.255.0

        broad 172.16.100.255

        gw 172.16.100.254

        ena

然后运行apply命令生效配置，并且使用save保存配置。

Alteon设备均配置了带外专用管理端口，管理IP有自己的网关，和业务的网关不冲突。我们可以创建管理IP和业务IP在相同网段，也可以是相同网关。他们分属不同的进程，路由表各自独立。

管理IP不能进行负载均衡处理，其状态不影响双机VRRP的操作。我们建议配置专用管理端口进行配置工作。

确认设备版本

>> Standalone ADC - Main# /info/sys/g

------------------------------------------------------------------

[System Menu]

     general  - Show general system information

     geo      - Show geo location database update status

>> Standalone ADC - Main# /info/sys/general

System Information at 11:18:16 Wed May 11, 2022

Time zone: No timezone configured (GMT offset +08:00)

Memory profile is Default

Alteon Application Switch 5208 NG

Switch is up 195 days, 17 hours, 38 minutes and 58 seconds.

Last boot: 18:56:40 Wed Oct 27, 2021 (power cycle)

Last apply: 11:32:00 Tue May 10, 2022

Last save: 11:32:09 Tue May 10, 2022

MAC Address                :    2c:b6:93:44:cd:00

Hardware MainBoard No|Rev  :    ODSVL2-MB | C.C18

Hardware DB No             :    Not Available

Hardware Serial Number     :    41704331

Note - When the measured temperature inside the switch EXCEEDs

       the anomaly threshold at 90 degree Celsius or the critical

       temperature at 97 degree Celsius different syslog messages

       will be generated.

Software Version 31.0.15.50 Image ID 3, active configuration.

HA State:    MASTER

Mode of operation: by Name

telnet/sshd/http enable

/c/sys/access/http ena

网络

基本配置
L2配置
L3配置

标准负载均衡

最基本的负载均衡配置包括以下几部分：创建Group，创建Server，创建Virtual Servers，最后创建Virtual Service。这几部分配置完成后，就可以实现基本的负载均衡功能了。每步配置中均需要将状态设置为ena才能使用。

全局配置

全局配置用来定义负载均衡功能的开关以及访问服务器的选项。

>> Main# /cfg/slb/on                         # 启用slb功能

>> Main# /cfg/slb/adv/direct ena             # 允许直接访问服务器

如果客户端请求从端口1进来，服务器响应从端口2返回，则需要配置下面命令:

/c/slb/port 1/client ena               # 在端口1上启动4层client处理

/c/slb/port 2/server ena               # 在端口2上启动4层server处理

服务器配置说明

服务器（Real Server）是Group下面的元素，隶属于Group。定义服务器的名称，IP地址，以及服务的端口号。

服务器的网关通常指向Alteon的地址，而不是防火墙，Alteon是双机时，这个地址是浮动IP。
服务器多端口配置

如果服务器使用了多于一个端口，并且位于同一个group下，我们可以使用addport命令来增加端口配置。
逻辑服务器配置

在AD设备中，有逻辑服务器的概念，使得服务器的多端口配置非常灵活。从Alteon 29.0开始，也支持逻辑服务器的配置，同一个IP地址，可以配置到多个Real Server中，通过addport来区分。

L7 Policy

有些场景下面，我们需要根据用户请求内容进行负载均衡处理。比较常见的是根据请求路径进行分发。

会话保持

有的应用可能需要实现基于Cookie的会话保持功能。即TCP会话已经断开，但Cookie的生存期可能比TCP会话要长很多，这时要求用户的请求仍然要分发给同一台服务器。

L4 会话保持

L4的会话保持是基于源IP地址的会话保持，同一个源IP来的请求，在特定时间内需要分配到同一台服务器中。
L7 会话保持

L4会话保持都是以L4的信息：源IP，来进行会话保持的。

有代理服务器产生大量会话会导致负载不均衡。

这时我们需要考虑使用L7会话保持，Alteon不依赖L4的信息，而是请求中的特定消息来实现会话保持。

NAT

Dynamic NAT
Static NAT

双机

配置双机时，仅需要配置主机的全部配置，备机只需要配置一个可以登录管理的IP并配置好Peer即可，主用Alteon可以通过保存配置文件的方式自动生机备机的完整配置文件，仅需要上在主机上执行一条命令即可完成双机的同步工作。

VRRP
同步配置
冗余模式配置

应用加速

SSL 加速

Alteon可以实现SSL的卸载，即用户到Alteon为HTTPS访问，Alteon转发给服务器为HTTP访问，减少了服务器的负担。
SSL双向认证

由于单向认证模式的配置相比较双向认证模式的配置要简单，而且大部分配置与双向认证模式的配置相同，这里就不再做描述。

在SSL双向认证模式下，分别有两种配置模式：一种是强制验证客户端证书，另一种是不验证客户端证书。而在SSL双向认证体系下多采用证书链的多级认证方式，所以这里会将Alteon的配置方式详细说明。
连接复用

Alteon可以实现连接复用(HTTP Multiplexing)功能，将多个用户的会话请求合并，到服务器端使用少量连接，减少了服务器处理TCP会话的负担。
压缩

Alteon可以实现压缩功能，将HTTP内容进行压缩处理，减少了网络流量。

虚拟化配置

Alteon5系列以上型号（5224、5412）支持负载均衡的虚拟化，一台物理设备可以虚拟成多台负载均衡设备，虚拟负载均衡设备之间是完全隔离的，CPU资源，内存，以及网络都是隔离的，互不影响。每个虚拟负载均衡设备均有管理IP，配置方法与独立设备完全相同。

维护

保持配置
恢复配置
SNMP 字串管理
用户名密码
修改时间
Syslog配置
审计配置
配置允许访问管理IP的网段
主备机切换测试
检查设备状态
获取tsdump文件，寻求帮助
分析会话表
端口镜像/抓包
查看当前引导的系统

Alteon所有系统只所有平台的CF卡上可以保存2套系统，任何一套系统均可以做为生产环境使用。我们有时候需要查看是哪套系统引导的，可以通过以下方式查看：

Main# /boot/cur
升级
软件包说明

Alteon有2种格式的软件，一种是tar格式的，一种是img格式的。

Tar格式的通常用来恢复系统，通常通过U盘来进行系统恢复。Img格式是日常的软件升级。

维护命令

查看L3信息

/info/l3/ip
查看电源状态

/info/sys/ps
查看CPU、mem

/stats/mp/cpu

/stats/mp/mem

/stats/sp/cpu

查看端口流量

/stats/port 1/dump
查看设备温度

/info/sys/temp
查看风扇状态

/info/sys/fan
查看服务器连接用户数

/stats/slb/real 1
查看会话表

/info/slb/sess/dump
查看双机冗余状态

/info/l3/vrrp
查看全部配置

/cfg/dump