NE80E上如何配置安全特性确保出端口流量均衡,并且使同一个TCP连接的数据包发向同一端口

发布时间:  2012-07-26 浏览次数:  105 下载次数:  0
问题描述
在城域网的三个出口上加了光分离器,连到NE80E的三个10GPOS上,出口是到23个服务器上。要求数据平均分配到22个服务上,同一个TCP连接的数据发向同一台服务器上,且目的地址是*.*.*.*(RADIUS地址)至向第23端口。在behavior中采用hash-type 0(根据目的和源IP进行hash),用来保证同一个TCP连接的数据发往同一台服务器。
告警信息

处理过程
根据具体的源地址来发送到不同的端口上,经过统计该市共使用1600多个C的地址,把地址重新分每70个一组,数据发往一台服务器。结果发现这样的确能保证同一个TCP连接数据发往了同一台服务器,就是流量端口差别很大。不同的IP地址段流量差别非常大。
采用根据源IP地址的末位来区分,因为同一个C里的地址流量差别非常小,还可以做个微调。这样既可以保证流量的负荷分担,也可以保证同一个TCP连接发往同一台服务器。
acl number 2001 match-order auto
 rule 5 permit source 0.0.0.0 255.255.255.3
acl number 2002 match-order auto
 rule 5 permit source 0.0.0.4 255.255.255.3
…… ……
 acl number 2064 match-order auto
 rule 5 permit source 0.0.0.252 255.255.255.3
#
acl number 3000
 rule 0 permit ip destination *.*.*.* 0
 
根因
在behavior中采用hash-type 0(根据目的和源IP进行hash),用来保证同一个TCP连接的数据发往同一台服务器,就无法更好的保证数据的负荷分担,接受流量大的有时服务器承受不起。 
建议与总结
1、将acl  2001 ~ 2020,分别加入NE80E的20个classifier中(对应NE80E前20个出端口) 。
2、将acl  2021 ~2040,分别再加入NE80E的20个classifier中(对应NE80E前20个出端口)。
3、将acl 2041~ 2060,分别再加入NE80E的20个classifier中(对应NE80E前20个出端口) 。
4、将acl 2061、2062,放入加入NE80E的21个classifier中(对应NE80E第21个出端口)。
5、将acl 2063、2064,放入加入NE80E的22个classifier中(对应NE80E第22个出端口)。
这样,地址均匀散开。例如,第一个服务器上,分别有acl 2001、2021、2041等三类不连续的地址段。最后一台服务器负担最轻,因为它最重要,最后2台负担也较轻,可将某些负载重的服务器,移到这2台上面上来。
经过测试把2个流量稍大的端口中匹配的ACL取出来一个放到了最后2个上,这样端口流量基本一样,同一个TCP送到了同一个端口上。且目的地址是*.*.*.*(RADIUS地址)至向第23端口,问题达到解决。
最后,在配置policy时,要首先配置匹配了ACL 3000的behavior,因为前根据源地址ACL2001-2064
已经包含了所有的源地址。

END