可同時處理500萬個Session的伺服器負載平衡設備

ServerIronGT EGC16是一款伺服器負載平衡設備，光是Layer 4負載平衡功能就有100多條指令列，它還具備Layer 2交換功能，可容納32,000個MAC Address位址，支援802.1d STP（Spanning Tree Protocol）協定及VLAN。加裝硬體晶片後，更支援Layer 3路由服務，例如RIP及OSFP，使得單款設備幾乎可處理所有網路服務，由於操作指令類似Cisco語法，對有相關經驗的人，較容易理解。

管理模組可擴充成12顆處理器
EGC16具有2個板卡及1個電源供應器，其中一個板卡為管理模組，另一個則是連接埠模組（16埠100/1000 BASE-T），它可以擴充安裝到4張板卡及2個電源供應器。EGC16與同系列其他2款ServerIronGT類似，只是預設的板卡數目及效能不同，後續升級等方面售後服務則都相同。

這臺設備的背板可擴充到4張板卡，而這4張板卡可依情況自行升級成管理模組或連接埠模組。在管理模組方面，採用WSM6-1（Web Switch Management），裡面包括BP（Barrel Processors）及MP（Management Processor）等2種處理器，能分別處理不同運算服務，BP處理Layer 4~7層的封包資料為主，MP則負責管理設備，因此當管理者執行指令時，是由MP負責，MP處理套用的設定後，就讓BP接手後續運算事宜。

BP及MP都具備獨立的處理器及記憶體，可個別運算，避免單一處理元件負責全部運算能力，而造成效能不足的問題。以EGC16為例，管理模組是WSM6-1，代表內建1個MP及1個BP。依據原廠建議，WSM6-1可以同時處理5百萬個Sessions，應用層Throughput可達2Gbps，Layer 4的CPS（Connection Performance）約可處理5萬個，Layer 7的CPS可處理1.5萬個；如果管理模組升級成WSM6-2（1個MP及2個BP），處理效能就提升2倍，以此類推。

因此，如果企業需要高效能的負載平衡服務，EGC16除了預設安裝1張WSM6-1管理模組外，可再加裝1~2張管理模組，最後1個插槽安裝1張連接埠模組即可。或者你也可以換成3張WSM6管理模組（3個BP與1個MP），再搭配1張連接埠模組，就同時擁有12顆處理器的效能。

至於連接埠模組，EGC16提供10/100 BASE-T、GbE、10GbE、光纖及GBIC等介面，選擇彈性很高。

雖然EGC16具備Layer 2功能，但價格頗高，最好讓它單純處理Layer 4負載平衡服務就好。因此建議先選購管理模組，再選擇連接埠模組。

指令列的操作功能比較完整
如果你熟悉Cisco IOS的指令列操作方式，可大幅減輕操作EGC16的難度，因為兩者很類似。

該系統的操作方式，大致可區分為使用者（User）及特許（Enable）等2種模式。使用者模式只可以執行Show指令，例如Show IP Route、Show Run Configuration等。而特許模式則可以設定系統，包括全域設定（Global Configuration）及個別功能設定（Specific Configuration）。

操作的概念上與Cisco IOS相似，但並不全然相同。例如當啟動Cisco設備的RIP路由服務時，我們是在全域設定上操作，因此需要設定子網路遮罩。但是EGC16則是在介面（Interface）上啟動，加上我們會先在介面設定IP Address位址及子網路遮罩，因此再啟動RIP路由服務時，只需要輸入「ip rip v1-compatible-v2」指令即可，不用額外指定子網路遮罩。

如果你不知道操作指令的方式，也可以輸入「？」找到說明，將會說明每項指令的功能及如何操作。但某些指令因為無法使用明確的字句描述功能，因此系統並不會說明該指令的用途，最好搭配EGC16說明書，較能快速了解每項指令的用途。另外，還有些指令並不會顯示在「？」說明中，屬於「檯面下」的功能，它很好用（例如Show Security Holddown），然而就算你搭配說明書，也很難查詢到操作方式。以我們最常查詢的ServerIron_10000_ConfigGuide說明書為例，就有1,178頁，很難馬上從中找到你想要的功能。因此，最好先描述你要的功能，並聯絡經銷代理商，再請他們提供對應的查詢指令，只需要熟悉常用的指令即可。

此外，我們也能從網頁上設定EGC16，但可操作的功能與指令列不盡相同，由於指令列的功能較完整，我們建議直接從該種介面操作設備。

以DSR方式部署，可記錄用戶端IP Address位址
從網路架構上，EGC16可部署成In-Line及One Arm等建置方式（One Arm可視為主機型模式）。它還提供DSR（Direct Server Return）建置方式，這種方式與One Arm類似。當用戶端要求伺服器時，會先連線到EGC16的虛擬伺服器，透過負載平衡功能，再轉址到真實伺服器的IP Address位址，一旦伺服器處理完成服務要求後，就能直接將回應傳給用戶端，不需要經過EGC16再回應給用戶端。

一般伺服器負載平衡設備的主機型模式，除了接收用戶端資料轉給伺服器群組外，伺服器群組回應的資料也一定要經過該設備，才能傳遞給用戶端，因此伺服器群組所記錄的用戶端IP Address位址，都是伺服器負載平衡設備。但是在EGC16的DSR模式中，伺服器群組因為能依據回應的IP Address位址，真正記錄用戶端的資料。

利用真實及虛擬伺服器，建構伺服器負載平衡功能
如果你要啟動EGC16的伺服器負載平衡功能，一定要熟悉真實伺服器（Real Server）及虛擬伺服器（Virtual Server）的設定指令。與一般伺服器負載平衡設備的概念類似，真實伺服器同樣對應到需要負載平衡服務的伺服器，而虛擬伺服器則是提供給用戶端連接的IP Address位址。

以我們透過EGC16提供的2臺網頁伺服器負載平衡功能為例，先建置真實伺服器的IP Address位址，並設定為HTTP連接埠，緊接著設定虛擬伺服器的IP Address位址及負載平衡方式（例如平均分配）等，最後綁定（Bind）真實伺服器的連接埠即可。指令如下。



其中「port http url "HEAD /"」能偵測伺服器的網頁服務，因為有些情況下，伺服器主機的網路服務正常，但網頁服務異常，因此不能單只偵測網路服務，而要延伸至應用層服務。此外，它還能偵測FTP、SMTP、DNS、DNS Zone及RTSP等數十種應用服務。文⊙蘇碩鈞

透過限制處理次數，阻擋連續點選的攻擊

Foundry ServerIronGT EGC16新版的系統，可強化伺服器連線的安全等級。

例如有些攻擊會一直點選網頁伺服器連結，增加伺服器處理效能，當我們從一般網路設備上查詢時，這種連續點選的網路流量很低，並不會被視為攻擊行為，因而放行通過，但是對網頁伺服器而言，連續點選動作會增加處理器的效能負擔，反而影響其他正常連線的處理速度。EGC16則能透過Client-Trans-Rate-Limit次數的方式，限制某時間內最大連線次數，一旦超過此限制，就會自動阻擋從此IP Address的連線，還能設定限制禁止從此IP Address位址連線的時間，而不會影響到正常連線的用戶端電腦。

EGC16可限制TCP、UDP及ICMP等3種連線封包，但在In-Line及One-Arm（主機型）的建置方式下，設定限制處理次數的方式不盡相同。我們是在In-Line模式中，利用Siege測試軟體模擬使用者點選行為（以TCP封包為主），測試EGC16限制處理次數的情況。

設定方式上，首先要從全域設定中，設定要監控的時間及可允許的連線次數，還要設定當超過臨界值時，自動中止連線（HoldDown）的時間，然後套用到實體介面（或Virtual Port）上，而且該介面也要啟動監控網路埠功能，就完成限制設定。

我們使用兩臺FreeBSD電腦個別安裝Siege程式，一邊模擬正常連線行為（10個用戶分別點選10次），另一邊直接使用Siege的Benchmark模擬攻擊行為，同時透過EGC16連線到IIS網頁伺服器。當同時啟動連線時，正常連線行為的用戶能一直連線到IIS伺服器；另一方面，攻擊端因為超過我們設定的臨界值，因而無法連線。

至於應該如何設定臨界值則要依據網頁內容而定，因為單一網頁的連線數量不只是1個，通常網頁中會包括文字、影像、聲音、圖形等檔案格式，每個連結都代表著多個連線。因此，要先分析再設定適當的臨界值。文⊙蘇碩鈞