Posts tagged: MIP

AppDirector อุปกรณ์ Load Balance แนวหน้าอีกตัวของวงการ

เอ่ยถึงอุปกณณ์ Load Balance แล้ว ผมเชื่อว่าหลายๆท่านที่ทำงานในระดับ Corporate คงจะนึกไปถึง F5 เป็นอันดับแรก เพราะยี่ห้อนี้ทำตลาดมานาน และใน Gartner Quadrant ก็อยู่ในตำแหน่งที่เรียกว่าสูงปรี๊ด นำชาวบ้านเป็นช่วงตัว

แต่ในวันนี้ผมจะขอแนะนำให้รู้จักกับ Radware AppDirector ซึ่งเป็นอุปกรณ์ประเภท Load Balance อีกตัวหนึ่ง ซึ่งแม้ว่าจะตามทาง F5 อยู่ แต่เมื่อดูในหลายๆส่วนแล้ว ตัว AppDirector เองก็สามารถทำงานออกมาให้ได้ผลลัพธ์ตามที่ต้องการได้เหมือนกันกับตัวเอ้แห่งวงการ

ในการ Manage อุปกรณ์ เราสามารถทำได้ผ่าน Web Base, CLI เหมือนอุปกรณ์ทั่วๆไป แต่ที่ถือเป็นจุดเด่นของอุปกรณ์จาก Radware คือ Insight ซึ่งเป็นซอฟท์แวร์ Manage จากทาง Radware เอง โดยเราสามารถ Manage อุปกรณ์ได้พร้อมกันทีละหลายๆตัวผ่านทาง Insight

การทำ Health Check ต่างๆ AppDirector เองก็สามารถทำได้ดี แม้ในกรณี Logic ยากๆ เช่นมี 64 Condition เราก็ยังสามารถใช้ Health Check ของ AppDirector เซตขึ้นมาได้ ในส่วนของ Method ก็มีหลากหลาย และสามารถเพิ่ม Method ใหม่ๆได้เอง เช่น กาารตรวจสอบพอร์ตเฉพาะของซอฟท์แวร์ในองค์กร

การ Backup Configuration ใน AppDirector ทำได้ค่อนข้างง่าย และตรงไปตรงมา ไฟล์ Backup ที่ได้จะเป็น Text File ซึ่งเป็น Command ที่สามารถ Copy and Paste ลงไปได้จาก CLI เลย (จุดนี้จะคล้ายกับ Juniper Firewall ที่ Backup ได้ Text File เช่นเดียวกัน)

ในการอัปเกรด Software ของอุปกรณ์ก็ทำมาได้ง่ายเช่นเดียวกัน สามารถจัดการผ่าน Web Base ได้เลย หรือจะทำผ่าน CLI ก็ได้ นอกจากนี้ยังมี Software Repository ให้เราเลือก Software Version ที่จะใช้ได้อีก

การตั้ง VIP สามารถตั้งได้โดยเลือกตามพอร์ตที่ต้องการ หรือจะใช้แบบ Any เลยก็ทำได้ (อารมณ์ประมาณ VIP, MIP ใน Juniper)

การ Redirection สามารถทำได้หลายวิธี เช่น DNS Redirection

สำหรับการ Support อันถือเป็นหัวใจอีกอย่างของผู้ใช้ระดับ Corporate ทาง Radware ก็ทำได้ดี ทั้งจากทางบุคคลากรเอง หรือการ Support จากหน้าเว็บผู้ผลิต มีการอัปเดต Hot Fix ต่างๆสม่ำเสมอ การทำ Document จัดว่าทำได้ดี และมีการปรับปรุงบ่อยพอสมควร

จากประสบการณ์ที่เคยทำมาทั้ง F5 และ AppDirector คงต้องออกตัวเลยว่าไม่ได้เชียร์ใครเป็นพิเศษ หากจะวัดกันจริงๆ คงต้องยอมรับว่าการทำงานโดยรวม F5 ค่อนข้างจะทำได้หลากหลายมากกว่า ซึ่งก็อาจจะต้องแลกมาด้วยราคาทีสูงกว่า สำหรับ AppDirector แม้จะไม่ได้มี Feature หลากหลายเท่า F5 แต่ในด้านของการใช้งานเฉพาะด้านบางอย่างแล้ว ตัว AppDirector ก็ทำได้ดีเช่นเดียวกันครับ

การทำ Static NAT บน Juniper

วันนี้มาอัปบล๊อคกันแบบมีสาระหน่อยครับ

.

การทำ Static NAT ถือเป็นเรื่องจำเป็นมากในกรณีที่เราต้องการให้ผู้ใช้ภายนอก

เข้ามาใช้งาน Server ที่อยู่ใน DMZ หรือ Trust Zone

การทำ Static NAT ใน Juniper เมื่อเทียบกับ Checkpoint อาจจะดูยุ่งยากกว่าเล็กน้อยครับ

เพราะใน Checkpoint คลิกที่ Host Object แล้วใส่ NAT IP ไปก็จบแล้ว

แต่ใน Juniper จะต้องไปเซต Interface ก่อน แล้วมาทำ Policy ต่ออีก

และหากเพิ่งเริ่มทำอาจจะงงๆได้เพราะมันจะไม่ได้เขียนว่า NAT ด้วยล่ะเอ้อ

.

Static NAT ใน Juniper จะเรียกว่า MIP หรือ Mapped IP Addresses

การทำงานจะเป็นดังรูปครับ

Juniper MIP (Static NAT)

Juniper MIP (Static NAT)

ว่าแล้วก็ส่งต่อ Command ไปครับ

set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24

set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr

อื่นๆเกี่ยวกับ MIP

  1. MIP จะเก็บอยู่ใน Global Zone
  2. เมื่อทำ MIP เวลา Server จะ Initiate Connection มันจะออกไปเป็น IP ของ MIP เลย ไม่สามารถใช้งาน NAT Policy อื่นๆได้ ดังนั้นในกรณีนี้จะเป็นปัญหาเรื่อง Security ทันที เพราะเท่ากับว่าตัว Server ภายใน DMZ หรือ Trust Zone ไม่ได้ถูกซ่อน IP จริงๆของตัวเองเอาไว้เมื่อติดต่อกับ Untrust Zone ดังนั้นหากกังวลเรื่องนี้คงจะต้องใช้วิธี NAT แบบอื่นแทน เช่น VIP ครับ

สำหรับวันนี้ขอตัวก่อนนะครับ วันหลังมีโอกาสจะแวะเอา Tips เล็กๆน้อยๆมาฝากอีกครับ

WordPress Themes