Verteilungsregeln

Auf der Registerkarte Network Protection > Server-Lastverteilung > Verteilungsregeln können Sie Lastverteilungsregeln für die Sophos UTM-Software festlegen. Nachdem Sie eine Regel erstellt haben, können Sie zusätzlich die Gewichtung der Lastverteilung zwischen den Servern und die Schnittstellenbindung festlegen.

Um eine Lastverteilungsregel anzulegen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf der Registerkarte Verteilungsregeln auf Neue Lastverteilungsregel.

    Das Dialogfeld Lastverteilungsregel hinzufügen öffnet sich.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Dienst: Wählen Sie den Netzwerkdienst aus, dessen Last Sie verteilen wollen.

    Virtueller Server: Der ursprüngliche Zielhost des eingehenden Datenverkehrs. Üblicherweise entspricht die Adresse der externen Adresse des Gateways.

    Echte Server: Die Hosts, die abwechselnd den Datenverkehr für diesen Dienst akzeptieren.

    Tipp – Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.

    Prüfmethode: Wählen Sie einen der folgenden Prüfmethoden um den Dienst zu überwachen.

    • TCP: TCPClosed-Verbindungsaufbau
    • UDP: UDPClosed-Verbindungsaufbau
    • Ping: ICMPClosed-Ping
    • HTTP-Host: HTTPClosed-Anfragen
    • HTTPS-Hosts: HTTPSClosed-Anfragen

    Wenn Sie UDP verwenden, wird zunächst eine Ping-Anfrage versendet. Ist diese erfolgreich, folgt ein UDP-Paket mit der Payload 0. Ist der Ping erfolglos oder der ICMP-Port nicht erreichbar, gilt der Server als ausgefallen. Für HTTP- und HTTPS-Anfragen können Sie eine URL angeben, welche einen Hostnamen enthalten kann, aber nicht muss, z.B. index.html oder http://www.beispiel.de/index.html.

    Intervall: Geben Sie einen Prüfintervall in Sekunden ein. Das Standardintervall beträgt 15 Sekunden, d.h. alle 15 Sekunden werden alle echten Server auf ihre Funktionsfähigkeit überprüft.

    Zeitüberschreitung: Geben Sie eine maximale Zeitspanne in Sekunden ein, in der echte Server antworten müssen. Wenn ein Server in diesem Zeitraum nicht antwortet, gilt er als „tot“.

    Automatische Firewallregeln (optional): Wählen Sie diese Option, um automatisch Firewallregeln anlegen zu lassen. Diese Regeln erlauben die Weiterleitung von Datenverkehr von beliebigen Hosts zu den echten Servern.

    Virtuelle Serverddresse abschalten (optional): Sie können diese Option nur aktivieren, wenn Sie eine zusätzliche Adresse als virtuellen Server für Lastverteilung verwenden (siehe Kapitel Schnittstellen > Zusätzliche Adressen). Sollten alle echten Server unerreichbar werden, schaltet sich diese zusätzliche Adressenschnittstelle automatisch ab.

    Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  3. Klicken Sie auf Speichern.

    Die neue Regel wird in der Liste Verteilungsregeln angezeigt.

  4. Aktivieren Sie die Lastverteilungsregel.

    Die neue Regel ist standardmäßig deaktiviert (Schieberegler ist grau). Klicken Sie auf den Schieberegler, um die Regel zu aktivieren.

    Die Regel ist jetzt aktiv (Schieberegler ist grün).

Um eine Regel zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.

Angenommen, Sie besitzen in Ihrer DMZ zwei HTTP-Server mit den IP-Adressen 192.168.66.10 und 192.168.66.20. Nun wollen Sie den HTTP-Verkehr, der auf der externen Schnittstelle des Gateways ankommt, gleichmäßig auf beide Server verteilen. Um eine Lastverteilungsregel zu erstellen, wählen Sie eine Hostdefinition oder legen Sie eine Hostdefinition für jeden Server an. Sie könnten sie http_server_1 und http_server_2 nennen. Wählen Sie dann im Dialogfeld Neue Lastverteilungsregel erstellenHTTP als Dienst aus. Wählen Sie außerdem die externe Adresse des Gateways als Virtuellen Server aus und fügen Sie zuletzt die Hostdefinitionen zum Feld Echte Server hinzu.

Gewichtung der Lastverteilung und Schnittstellenbindung

Zur Gewichtung der Lastverteilungs-Server und/oder zur Einstellung ihrer Schnittstellenbindung gehen Sie folgendermaßen vor:

  1. Klicken Sie auf die Schaltfläche Bearbeiten einer Lastverteilungsregel.

    Das Dialogfeld Lastverteilungsregel bearbeiten wird geöffnet.

  2. Klicken Sie auf die Planer-Schaltfläche in der Kopfzeile des Feldes Echte Server.

    Das Dialogfenster Planer bearbeiten wird geöffnet.

  3. Nehmen Sie die folgenden Einstellungen vor:

    Gewichtung: Für die Gewichtung kann ein Wert zwischen 0 und 100 gewählt werden. Sie legen damit fest, wie viel Datenverkehr ein Server im Verhältnis zu allen anderen Servern verarbeitet. Hierfür wird ein gewichteter Round-Robin-Algorithmus verwendet, d.h. ein höherer Wert bedeutet, dass mehr Datenverkehr an den jeweiligen Server geroutet wird. Die Werte werden im Verhältnis zueinander bewertet, daher muss ihre Summe nicht 100 ergeben. Stattdessen können Sie zum Beispiel eine Konfiguration vornehmen, in der Server 1 den Wert 100, Server 2 den Wert 50 und Server 3 den Wert 0 hat. In diesem Fall verarbeitet Server 2 halb so viel Datenverkehr wie Server 1, während Server 3 nur beansprucht wird, wenn die anderen Server beide nicht verfügbar sind. Der Wert 0 bedeutet in diesem Fall, dass, falls verfügbar, immer ein Server mit einem höheren Wert ausgewählt wird.

    Bindung: Schnittstellenbindung (Interface Persistence) ist eine Methode, die sicherstellt, dass nachfolgende Verbindungen von einem Client immer über dieselbe Uplink-Schnittstelle geroutet werden. Die Bindung hat eine Zeitbeschränkung von einer Stunde. Sie können die Schnittstellenbindung für diese Lastverteilungsregel auch deaktivieren.

  4. Klicken Sie auf Speichern.

    Das Dialogfenster Planer bearbeiten wird geschlossen und Ihre Einstellungen werden gespeichert.

  5. Klicken Sie auf Speichern.

    Das Dialogfeld Lastverteilungsregel bearbeiten wird geschlossen.