- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath应用交付安全网关
快速入门指南
Copyright © 2024新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
为了帮助您迅速掌握应用交付安全网关的使用,本手册将提供简洁明了的操作指南,以便您能迅速上手并有效配置设备。您将通过本手册了解到应用交付安全网关的常见组网方式,如何快速访问和配置应用交付安全网关,如何有效地分配网络流量以满足不同场景的负载需求,以及如何进行常规的设备运维操作等。
本手册旨在提供一个快速而全面的起点,让您无需深入研究大量文档即可开始使用应用交付安全网关。如果您想深入了解和使用应用交付安全网关其他更多、更丰富的功能,具体查阅对应产品的手册。本手册使用L1090设备的E9900P17版本举例,不同的款型的设备界面可能存在差异,仅供参考具体配置请以实际情况为准。本手册所描述的内容适用于如下款型:
表1-1 手册适用款型列表
|
产品系列 |
款型 |
|
M9000-AD |
M9000-AD6 |
|
L5000-AD9X0 |
L5000-AD920、L5000-AD920-G |
|
L5000-AD |
L5000-AD520-G、L5000-AD540-G |
|
L5000 |
L5060-G、L5000-CN530、L5030、L5060、L5080、L5000-E、L5000-AK535 |
|
L1000 |
L1030、L1050、L1070、L1090、L1000-AK390、L1000-AK315、L1000-AK325 |
应用交付安全网关产品外观丰富,产品外观及硬件安装方式可查阅对应产品的安装手册。
本节以L1090设备为例进行说明。
设备前面板上有16个10/100/1000BASE-T自适应以太网电口(含2个管理以太网口)、8个1000BASE-X以太网光口、8个10GBASE-R以太网光口、2个USB接口、1个CONSOLE接口、1个Micro USB Console接口以及2个硬盘扩展插槽。具体结构如下图所示。
图2-1 设备前视图
|
1: 硬盘扩展插槽 |
2: 管理以太网口(MGMT) |
|
3: 10/100/1000BASE-T以太网电口 |
4: 10GBASE-R以太网光口 |
|
5: 1000BASE-X以太网光口 |
6: 设备指示灯 |
|
7: RESET按键 |
8: Micro USB Console口 |
|
9: USB口(Host模式,A类型接口) |
10: CONSOLE口 |
|
11: 管理以太网口(MGMT) |
|
设备后面板上有2个电源模块插槽和4个接口模块插槽。具体结构如下图所示:
图2-2 设备后视图
|
1: 电源模块插槽1 |
2: 电源模块插槽2 |
|
3: 接口模块插槽2 |
4: 接口模块插槽4 |
|
5: 接地螺钉 |
6: 接口模块插槽3 |
|
7: 接口模块插槽1 |
|
盒式设备采用“三维”编号方法——interface-type X/Y/Z:
interface-type:表示接口类型,如GigabitEthernet等。
· X:表示设备在IRF中的成员编号。
· Y:表示子槽位编号,设备面板接口固定为0;接口模块取值从1开始编号。
· Z:表示接口序号,即接口在设备或接口模块上的编号,从0开始编号。此接口序号与面板上对应接口的丝印相同。具体编号规则如下:
¡ 接口在一排,从0起始编号,从左到右依次递增编号。
¡ 接口在两排,左下接口从0起始编号,依据从下到上,再从左到右的规则依次递增编号。
通过在设备上执行display interface brief命令,查看设备的接口信息时,可以看到如下显示信息:
<Sysname> display interface brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Dia0 UP UP(s) --
Dia1 UP UP(s) --
GE1/0/0 DOWN DOWN --
GE1/0/1 DOWN DOWN --
GE1/0/2 DOWN DOWN 10.1.1.4
GE1/0/3 DOWN DOWN --
GE1/0/4 DOWN DOWN --
GE1/0/5 DOWN DOWN --
GE1/0/6 DOWN DOWN --
GE1/0/7 DOWN DOWN --
GE1/0/8 DOWN DOWN --
GE1/0/9 DOWN DOWN --
GE1/0/10 DOWN DOWN --
GE1/0/11 DOWN DOWN --
GE1/0/12 DOWN DOWN --
GE1/0/13 DOWN DOWN --
GE1/0/22 DOWN DOWN --
GE1/0/23 DOWN DOWN --
GE1/0/24 DOWN DOWN --
GE1/0/25 DOWN DOWN --
GE1/0/26 DOWN DOWN --
GE1/0/27 DOWN DOWN --
GE1/0/28 DOWN DOWN --
GE1/0/29 DOWN DOWN --
InLoop0 UP UP(s) --
Loop0 UP UP(s) --
MGE1/0/0 UP UP 192.168.0.1
MGE1/0/1 DOWN DOWN 192.168.100.10
NULL0 UP UP(s) --
REG0 UP -- --
Reth1 DOWN DOWN --
RAGG1 DOWN DOWN --
XGE1/0/14 DOWN DOWN --
XGE1/0/15 DOWN DOWN --
XGE1/0/16 DOWN DOWN --
XGE1/0/17 DOWN DOWN --
XGE1/0/18 DOWN DOWN --
XGE1/0/19 DOWN DOWN --
XGE1/0/20 DOWN DOWN --
XGE1/0/21 DOWN DOWN --
Vlan1 DOWN DOWN --
本节以L5000-AD930设备为例进行说明。
L5000-AD930应用交付安全网关主要由主控板、接口交换板、接口板、业务板、交换网板、风扇框及电源等几部分组成。
图2-4 设备后视图
表2-1 L5000-AD930设备各区域说明
|
说明 区域 |
区域说明 |
选配说明 |
|
①主控板区 |
安装主控板的槽位 |
主控板必配 |
|
②接口交换板区 |
安装接口交换板的槽位 |
· 接口交换板、业务板、接口板必配 · 接口交换板提供2个槽位,用于安装业务板和接口板 · 设备不支持接口板和业务板热插拔,需先将接口板或业务板安装于接口交换板,再将接口交换板安装于设备槽位中。 |
|
③电源区 |
安装电源模块的槽位 |
· 电源模块必配 · 请根据配电类型选择相应的电源模块类型,根据设备实际所需功率来配置电源模块数量 |
|
④风扇区 |
安装风扇框的槽位 |
风扇框必配 |
|
⑤交换网板区 |
安装交换网板的槽位 |
· 交换网板槽位号在交换网板区左上角及右下角 · 交换网板需安装在Slot 6~Slot 7 · 当设备只配备一个接口交换板时,可不安装交换网板;当设备配备两个及以上接口交换板时,需至少安装一个交换网板 |
框式设备支持多种接口,包括Console接口、M-GigabitEthernet接口、Ten-GigabitEthernet接口、FortyGigE接口、HundredGigE接口、Blade接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。
当设备运行在独立运行模式或者IRF模式下时,以太网接口的编号规则有所不同:
· 当设备运行在独立运行模式时,接口采用“三维”编号方法——interface-type X/Y/Z:
¡ interface-type:表示接口类型,如GigabitEthernet等。
¡ X:表示槽位号,即单板(主控板、接口交换板等,以下同)在设备上的槽位编号。
¡ Y:表示子槽位编号,取值为1~2,接口交换板提供两个子槽位用于安装接口子卡。
¡ Z:表示接口序号,即接口在单板上的编号,从1开始编号,但管理口的编号固定为M-GE0/0/0、M-GE0/0/1、M-GE0/0/2及M-GE0/0/3。
· 当设备运行在IRF模式时,接口采用“四维”编号方法——interface-type W/X/Y/Z:
¡ W:IRF成员设备的编号。
¡ 其余元素的意义和设备运行在独立运行模式时相同,不再赘述。
¡ 需要注意的是:当设备运行在IRF模式下时,管理口的编号固定为M-GE1/0/0/0、M-GE1/0/0/1、M-GE1/0/0/2及M-GE1/0/0/3。
· 当设备运行在独立运行模式时,在设备2号槽位安装接口交换板,并在接口交换板1号子槽位上安装一块NS-C300-QG4TG16B0接口子卡。通过在设备上执行display interface ten-gigabitEthernet brief命令,查看Ten-GigabitEthernet类型的接口信息时,可以看到如下显示信息:
<Sysname> display interface Ten-GigabitEthernet brief
Brief information on interface(s) in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
XGE2/1/1 DOWN DOWN --
XGE2/1/2 DOWN DOWN --
XGE2/1/3 DOWN DOWN --
XGE2/1/4 DOWN DOWN --
……
XGE2/1/23 DOWN DOWN --
XGE2/1/24 DOWN DOWN --
· 当设备运行在IRF模式并且成员设备编号为1时,同样在设备2号槽位安装接口交换板,并在接口交换板1号子槽位上安装一块NS-C300-QG4TG16B0接口子卡。通过在设备上执行display interface ten-gigabitEthernet brief命令,查看Ten-GigabitEthernet类型的接口信息时,可以看到如下显示信息:
<Sysname> display interface Ten-GigabitEthernet brief
Brief information on interface(s) in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
XGE1/2/1/1 DOWN DOWN --
XGE1/2/1/2 DOWN DOWN --
XGE1/2/1/3 DOWN DOWN --
XGE1/2/1/4 DOWN DOWN --
XGE1/2/1/5 DOWN DOWN --
……
XGE1/2/1/23 DOWN DOWN --
XGE1/2/1/24 DOWN DOWN --
如图3-1所示,在网关部署模式中,应用交付安全网关(Application Delivery Security Gateway,以下简称AD设备)串连部署在服务器和网关之间,客户端的请求和响应流量均会经过AD设备处理。
网关部署模式将AD设备串接在原有组网中,会改变已有的网络拓扑,仅适用于组网较为简单的部署场景。
在网关部署模式中,管理员需要在服务器上配置缺省网关或静态路由,将发往客户端的报文发送到AD设备上。
如图3-2所示,在旁挂部署模式中,AD设备旁挂部署在内网交换机上,客户端的请求和响应流量均会经过AD设备处理。
在旁挂部署模式中,管理员需要在服务器上配置缺省网关或静态路由,将发往客户端的报文发送到旁挂AD设备的交换机上。
相比于网关部署模式,旁挂部署模式不改变原有网络拓扑,部署更为灵活。
如图3-3所示,三角传输部署模式与旁挂部署模式的网络拓扑相同,AD设备旁挂部署在内网交换机或网关上,但不同的是,AD设备与服务器之间通过二层传输,且只有客户端的请求流量会经过AD设备处理,然后转发给服务器,服务器的响应流量不会经过AD设备处理,而是直接发送给客户端。
在三角传输部署模式中,管理员需要在服务器上配置缺省网关或静态路由,将发往客户端的报文发送到出口网关上。并且,管理员还需要在服务器的Loopback地址配置为虚服务器IP地址。
相比于网关部署模式,三角传输部署模式不改变原有网络拓扑,部署更为灵活;相比于旁挂部署模式,三角传输部署模式的回程流量不经过AD设备,更适用于诸如视频等业务流量较大的场景。
应用交付安全网关设备出厂配置如下表,用户也可通过设备上的铭牌获取到设备的缺省用户名和密码等信息。
表4-1 应用交付安全网关出厂配置
|
登录信息项 |
默认配置 |
备注 |
|
用户名 |
admin |
- |
|
密码 |
admin |
- |
|
登录类型 |
· 通过Web管理界面登录设备 · 通过Console口登录设备 |
其他登录类型需要自行配置 |
|
以太网管理口的IP地址 |
· 接口号:M-GigabitEthernet1/0/0或M-GigabitEthernet1/0/0/0 · IP地址:192.168.0.1/24 |
不同设备的管理网口编号存在差异,具体可查阅对应的产品资料或者查看设备的铭牌 |
· 建议使用以下浏览器访问Web管理页面:Chrome 40及以上版本、Firefox 19及以上版本、Internet Explorer 10及以上版本。
· 使用的浏览器必须要设置能接受第一方Cookie(即来自站点的Cookie),并启用活动脚本(或JavaScript),才能正常访问Web。以上功能在不同浏览器中的名称及设置方法可能不同,请以实际情况为准。
· 使用Internet Explorer浏览器时,还必须启用以下两个功能,才能正常访问Web:对标记为可安全执行脚本的ActiveX控件执行脚本、运行ActiveX控件和插件。
· 更改设备的软件版本后,建议在登录Web页面之前先清除浏览器的缓存,以便正确地显示Web页面。
用以太网线将客户端主机和设备的以太网管理口相连。
PC系统以Windows 10版本为例进行说明。
进入PC的“控制面板 > 网络和Internet > 网络和共享中心”,依次进行如下配置:
在PC的Web浏览器中输入“https://192.168.0.1”并按回车键,打开设备Web管理页面。其中,192.168.0.1为以太网管理口地址。不同设备的以太网管理口地址可能存在差异,具体可查阅对应的产品资料或者查看设备的铭牌。
缺省情况下,设备的Telnet服务器处于关闭状态,管理员需要通过Console口登录后开启设备的Telnet服务功能。
图5-1 通过Web管理页面配置Telnet登录设备组网图
登录设备Web管理页面后,请依次进行如下配置:
设备出厂时,以太网管理口的IP地址为192.168.0.1/24,用户可将PC的IP地址设置为192.168.0.0/24网段,保证与设备路由可达。
在PC上运行Telnet客户端,输入登录信息后,即可登录到设备。
图5-2 通过Console口配置Telnet登录设备组网图
连接PC到设备CONSOLE口的方法,请参见对应产品《安装指导》手册中的“登录设备”章节。您可以在官网的“安全产品资料”专区中,通过对应产品资料页面的“安装升级 > 安装指导”栏目获取具体产品的《安装指导》手册。
# 进入系统视图,开启Telnet服务。
<Sysname> system-view
[Sysname] telnet server enable
# 设置通过VTY用户线登录设备时,使用scheme认证方式。
[Sysname] line vty 0 63
[Sysname-line-vty0-63] authentication-mode scheme
[Sysname-line-vty0-63] quit
# 创建本地用户userA,授权其用户角色为network-admin,为其配置密码。
[Sysname] local-user userA class manage
New local user added.
[Sysname-luser-manage-userA] authorization-attribute user-role network-admin
[Sysname-luser-manage-userA] service-type telnet
[Sysname-luser-manage-userA] password simple userA@1234
[Sysname-luser-manage-userA] quit
设备出厂时,以太网管理口的IP地址为192.168.0.1/24,用户可将PC的IP地址设置为192.168.0.0/24网段,保证与设备路由可达。
在PC上运行Telnet客户端,输入登录信息后,即可登录到设备。
login: userA
Password:
******************************************************************************
* Copyright (c) 2004-2022 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Sysname>
设备的部分特性需要获取License授权后才能使用,因此为使这些特性能够使用,需要激活这些特性的License。具体可观看《H3C 安全产品 License注册演示视频(Comware V7)》完成License的激活和安装。
各业务的特征库升级功能需要安装License才能使用。License过期后,各业务可以采用设备中已有的特征库正常工作,但无法升级特征库。
· 定时升级:设备根据管理员设置的时间定期自动更新本地的特征库。
· 立即升级:管理员手工触发设备立即更新本地的特征库。
· 本地升级:当设备无法自动获取特征库时,需要管理员先手动获取最新的特征库,再更新设备本地的特征库。
管理员可根据实际组网需求选择升级方式,本章以本地升级方式举例。
管理员可到官网的特征库服务专区(http://www.h3c.com/cn/home/qr/default.htm?id=785)获取最新的特征库文件。
如图6-1所示,将AD设备通过网关模式接入网络时,AD设备的上下行业务接口工作在三层模式。
固定IP地址方式是通过固定IP地址接入网络,具体配置方法如下。
以配置静态路由为例。
若AD设备作为网关设备,且未配置服务器负载均衡功能,则需要配置NAT功能实现内外网之间地址转换。
用户从运营商处获取一个PPPoE接入认证账户,可通过该账户接入Internet。具体配置方法如下。
以配置静态路由为例。
若AD设备作为网关设备,且未配置服务器负载均衡功能,则需要配置NAT功能实现内外网之间地址转换。
如图6-3所示,在旁路模式组网中,将所有进入内网的流量引流到旁路部署的AD设备上进行处理后,再进入内部网络。
图6-2 旁路模式引流示意图
Router与Gateway、AD设备和Switch三层对接,将上下行流量通过策略路由重定向到AD设备,对AD设备转发回来的流量查路由表转发。
# 配置接口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3和GigabitEthernet1/0/4的IP地址。
<Router> system-view
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ip address 172.16.1.2 24
[Router-GigabitEthernet1/0/1] quit
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] ip address 192.168.1.1 24
[Router-GigabitEthernet1/0/2] quit
[Router] interface gigabitethernet 1/0/3
[Router-GigabitEthernet1/0/3] ip address 172.16.10.10 24
[Router-GigabitEthernet1/0/3] quit
[Router] interface gigabitethernet 1/0/4
[Router-GigabitEthernet1/0/4] ip address 192.168.10.10 24
[Router-GigabitEthernet1/0/4] quit
# 配置默认路由指导出方向流量转发(此处下一跳以172.16.1.1为例,请以实际情况为准)。
[Router] ip route-static 0.0.0.0 0 172.16.1.1
# 关闭快转负载分担功能,防止三层环路。
[Router] undo ip fast-forwarding load-sharing
# 创建IPv4高级ACL匹配上下行流量。
[Router] acl advanced 3000
[Router-acl-ipv4-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255
[Router-acl-ipv4-adv-3000] quit
[Router] acl advanced 3001
[Router-acl-ipv4-adv-3001] rule permit ip destination 192.168.1.0 0.0.0.255
[Router-acl-ipv4-adv-3001] quit
# 配置策略路由,并将策略路由绑定到接口上。
[Router] policy-based-route host-internet permit node 10
[Router-pbr-host-internet-10] if-match acl 3000
[Router-pbr-host-internet-10] apply next-hop 192.168.10.20
[Router-pbr-host-internet-10] quit
[Router] policy-based-route internet-host permit node 10
[Router-pbr-internet-host-10] if-match acl 3001
[Router-pbr-internet-host-10] apply next-hop 172.16.10.20
[Router-pbr-internet-host-10] quit
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ip policy-based-route internet-host
[Router-GigabitEthernet1/0/1] quit
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] ip policy-based-route host-internet
[Router-GigabitEthernet1/0/2] quit
AD设备与Router三层对接,查静态路由表转发Internet与Server之间的流量。
· 恢复到出厂配置,将抹去除“.bin”和License文件以外的所有配置,请谨慎使用。
· 恢复出厂配置前,请先备份设备配置文件。
应用交付安全网关是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵。这种隔离是有控制地隔离,允许合法流量通过应用交付安全网关,禁止非法流量通过应用交付安全网关。
应用交付安全网关控制网络流量的实现主要依托于安全域和安全策略,下文详细介绍。
在企业或大型数据中心场景下,需要多台服务器同时对外提供服务。服务器负载均衡技术能将用户流量在多台服务器间进行合理分配,从而提高服务器资源利用率,提升用户访问体验。
如图8-1所示,通过服务器负载均衡技术,管理员可将多台真实服务器配置成一台虚拟服务器,对外发布虚拟服务器的IP地址。当用户流量访问虚拟服务器时,设备跟据预先配置的调度算法、负载均衡策略等为用户流量分配最优的服务器资源。
有关服务器负载均衡功能的更多介绍,请参见《服务器负载均衡技术介绍》。
如图8-2所示,在负载均衡设备(LB device)上配置出链路负载均衡后,设备会根据健康检测方法、持续性方法、负载均衡策略、调度算法等,综合计算出将来自内网的Flow A和Flow B转发到ISP 1和ISP 3提供的实体链路上。
有关出链路负载均衡功能的更多介绍,请参见《出链路负载均衡技术介绍》。
如图1-1所示,企业分别租用不同运营商ISP 1、ISP 2和ISP 3的三条链路Link 1、Link 2和Link 3为外网用户提供服务。通过配置本地智能DNS,可以使外部互联网用户访问内网服务器的流量均匀地分配到多条链路上,从而提高流量转发效率,提升服务质量;可以避免出现一条链路拥塞而其他链路闲置的情况;可以在某条链路出现故障时,使互联网用户使用其它链路来访问内网服务器,避免因链路故障导致流量转发失败。
本地智能DNS是基于DNS解析实现的。负载均衡设备作为权威DNS服务器负责解析外网用户访问内网服务器的DNS请求报文,并为外网用户访问内网服务器选择最佳链路。
图8-3 本地智能DNS组网图
如图8-4所示,企业内网用户可以通过运营商ISP 1的链路Link 1和ISP 2的链路Link 2分别访问提供相同网络服务的外网服务器External server A和External server B。企业内网用户通过域名访问外网服务器时,内网用户的所有DNS请求报文会发往同一DNS服务器。DNS服务器收到DNS请求报文后,将其解析为同一运营商网络内外网服务器的IP地址,这将使内网用户的所有流量都通过一条链路转发,导致一条链路拥塞,而其他链路闲置。
DNS透明代理功能可以有效解决由于客户端DNS服务器的配置导致流量分配不均的问题。通过DNS透明代理功能可以使DNS请求报文发往不同运营商网络内的DNS服务器,从而使内网用户访问外网服务器的流量较为均匀地分配到多条链路上,提高流量转发效率,提升服务质量;可以避免出现一条链路拥塞而其他链路闲置的情况;也可以在某条链路出现故障时,使用其他链路来访问外网服务器,避免因链路故障导致访问失败。
图8-4 DNS透明代理原理图
全局负载均衡技术主要应用在多数据中心的场景。通过应用全局负载均衡技术可以使互联网用户接入距离最近的数据中心,提升用户体验;也可以在多个数据中心之间进行远程灾备,当某个数据中心发生故障时,全局负载均衡技术可将流量引流致其他数据中心进行处理,从而提高服务的可靠性。
如图8-5所示,全局负载均衡技术是基于DNS解析技术实现的。GLB(Global Load Balance,全局负载均衡)设备充当DNS服务器对收到的DNS请求报文进行解析。设备根据调度算法对所有数据中心下提供同一服务的虚服务器进行统一调度,将最优的虚服务器地址作为解析结果返回给用户。设备根据健康检测方法,实时检测所有虚服务器的状态,当检测到某虚服务器发生故障时,该虚服务器不再参与调度。
|
步骤 |
描述 |
源IP地址 |
目的IP地址 |
|
① |
Host向Local DNS服务器发送DNS请求 |
Host IP |
Local DNS |
|
② |
Local DNS服务器向查询到的GLB设备发起DNS请求 |
Local DNS |
GLB |
|
③ |
GLB设备收到DNS请求后,根据调度算法在所有全局虚服务器池中选取最优的全局虚服务器池,再根据全局虚服务器池中指定的调度算法从该虚服务器池下的所有可用虚服务器中选取出最优的虚服务器 |
- |
- |
|
④ |
GLB设备将选定的最优虚服务器地址通过DNS响应报文发送给发起请求的Local DNS服务器 |
GLB |
Local DNS |
|
⑤ |
Local DNS服务器把获取的虚服务器地址发送给Host |
Local DNS |
Host IP |
|
⑥ |
Host向选定的虚服务器地址发起连接请求 |
Host IP |
VSIP |
管理员需要联系运营商在Local DNS上进行配置,指定GLB设备为处理DNS请求的权威DNS服务器。
有关全局负载均衡功能的更多介绍,请参见《全局负载均衡技术介绍》。
双机热备是一种设备级的高可靠性(High Availability,简称HA)的技术。此技术能够在通信线路或设备产生故障时提供备用方案,当其中一个网络节点发生故障时,另一个网络节点可以接替故障节点继续工作。双机热备通过我司私有的RBM(Remote Backup Management,远端备份管理)协议来实现。
图9-1 双机热备功能示意图
有关双机热备的配置,盒式设备请参见《H3C SecPath L1000[L5000][M9000-AD10]应用交付安全网关 典型配置案例集》;框式设备请参见《H3C SecPath M9000-AD6[L5000-AD9X0]应用交付安全网关 典型配置案例集》。
支持
