• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C VSR1000虚拟路由器典型配置举例-6W100

目录

08-H3C VSR1000虚拟路由器内部服务器负载分担典型配置举例

本章节下载 08-H3C VSR1000虚拟路由器内部服务器负载分担典型配置举例  (139.67 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/NFV/H3C_VSR/Configure/Typical_Configuration_Example/H3C_VSR1000_CE-6W100/201411/845095_30005_0.htm

08-H3C VSR1000虚拟路由器内部服务器负载分担典型配置举例

H3C VSR1000虚拟路由器内部服务器负载分担典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2014杭州华三通信技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

H3C_彩色.emf

 



1  简介

本文介绍内部服务器负载分担配置举例。

2  配置前提

本文档不严格与具体软件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解NAT特性。

3  配置举例

3.1  组网需求

图1所示,某公司内网地址是10.110.0.0/22,向运营商申请的公网地址是61.16.0.1~61.16.0.3。公司内网用户使用10.110.0.0~10.110.2.255地址段内IP地址;公司内网目前共有3台FTP服务器可以同时提供服务,服务器使用10.110.3.1~10.110.3.3的IP地址。

要求实现如下功能:

·     内网用户经过地址转换后使用61.16.0.2~61.16.0.3公网地址访问Internet;

·     外网主机和内网主机都可以通过61.16.0.1访问内网中的FTP服务器;

·     3台FTP服务器提供服务时进行负载分担,但不允许主动访问外网。

图1 负载分担内部服务器配置组网图

 

3.2  配置思路

·     为了实现10.110.0.0~10.110.2.255可以转换成61.16.0.2~61.16.0.3公网地址访问Internet,需要定义ACL规则,实现只对内网匹配指定的ACL规则的报文在Device的GigabitEthernet2/0出方向上进行动态地址转换。

·     为了保证3台FTP服务器同时提供服务,需要配置NAT内部服务器组,并采用负载分担方式。

·     为了实现内网用户也可以使用61.16.0.1地址访问FTP服务器,需要在Device的GigabitEthernet1/0上使能NAT hairpin功能。

3.3  使用版本

本举例是在E0301版本上进行配置和验证的。

3.4  配置步骤

(1)     配置接口IP地址

# 配置接口GigabitEthernet1/0和GigabitEthernet2/0的IP地址。

<Device> system-view

[Device] interface gigabitethernet 1/0

[Device-GigabitEthernet1/0] ip address 10.110.0.1 255.255.252.0

[Device-GigabitEthernet1/0] quit

[Device] interface gigabitethernet 2/0

[Device-GigabitEthernet2/0] ip address 61.16.0.1 255.255.255.0

[Device-GigabitEthernet2/0] quit

(2)     配置内网用户访问外网

# 配置地址组0,包含两个外网地址61.16.0.2和61.16.0.3。

[Device] nat address-group 0

[Device-nat-address-group-0] address 61.16.0.2 61.16.0.3

[Device-nat-address-group-0] quit

# 配置ACL 2000,仅允许对内部网络中10.110.0.0~10.110.2.255网段的用户报文进行地址转换。

[Device] acl number 2000

[Device-acl-basic-2000] rule permit source 10.110.0.0 0.0.1.255

[Device-acl-basic-2000] rule permit source 10.110.2.0 0.0.0.255

[Device-acl-basic-2000] quit

# 在接口GigabitEthernet2/0上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。

[Device] interface gigabitethernet 2/0

[Device-GigabitEthernet2/0] nat outbound 2000 address-group 0

[Device-GigabitEthernet2/0] quit

(3)     配置FTP服务器同时提供服务

# 配置内部服务器组0及其成员10.110.3.1、10.110.3.2和10.110.3.3。

[Device] nat server-group 0

[Device-nat-server-group-0] inside ip 10.110.3.1 port 21

[Device-nat-server-group-0] inside ip 10.110.3.2 port 21

[Device-nat-server-group-0] inside ip 10.110.3.3 port 21

[Device-nat-server-group-0] quit

# 在接口Gigabitethernet2/0上配置负载分担内部服务器,引用内部服务器组0,该组内的主机共同提供FTP服务。

[Device] interface gigabitethernet 2/0

[Device-GigabitEthernet2/0] nat server protocol tcp global 61.16.0.1 ftp inside server-group 0

[Device-GigabitEthernet2/0] quit

# 在接口GigabitEthernet1/0上使能NAT hairpin功能。

[Device] interface gigabitethernet 1/0

[Device-GigabitEthernet1/0] nat hairpin enable

[Device-GigabitEthernet1/0] quit

3.5  验证配置

# 当PC 1访问WWW server时,可以看到生成的NAT会话信息。

[Device] display nat session verbose

Initiator:

  Source      IP/port: 10.110.1.10/1024

  Destination IP/port: 200.1.1.10/80

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: UDP(17)

Responder:

  Source      IP/port: 200.1.1.10/80

  Destination IP/port: 61.16.0.2/1025

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: UDP(17)

State: UDP_READY

Application: HTTP

Start time: 2014-07-08 13:30:47  TTL: 60s

Interface(in) : GigabitEthernet1/0

Interface(out): GigabitEthernet2/0

Initiator->Responder:     21946552 packets 2414120720 bytes

Responder->Initiator:       650389 packets   71542790 bytes

 

Total sessions found: 1

# 当有两个外网用户(61.16.0.10、61.16.0.11)同时请求FTP服务时,可以查看到建立了2条NAT会话,并且FTP server 1和FTP server 2分别为这两个用户提供FTP服务。

[Device] display nat session verbose

Initiator:

  Source      IP/port: 61.16.0.11/1024

  Destination IP/port: 61.16.0.1/21

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

Responder:

  Source      IP/port: 10.110.3.1/21

  Destination IP/port: 61.16.0.11/1024

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

State: TCP_ESTABLISHED

Application: FTP

Start time: 2014-07-08 14:11:41  TTL: 3600s

Interface(in) : GigabitEthernet2/0

Interface(out): GigabitEthernet1/0

Initiator->Responder:       598098 packets   65790780 bytes

Responder->Initiator:            0 packets          0 bytes

 

Initiator:

  Source      IP/port: 61.16.0.10/1024

  Destination IP/port: 61.16.0.1/21

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

Responder:

  Source      IP/port: 10.110.3.2/21

  Destination IP/port: 61.16.0.10/1024

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

State: TCP_ESTABLISHED

Application: FTP

Start time: 2014-07-08 14:12:00  TTL: 3600s

Interface(in) : GigabitEthernet2/0

Interface(out): GigabitEthernet1/0

Initiator->Responder:        74783 packets    8226130 bytes

Responder->Initiator:            0 packets          0 bytes

 

Total sessions found: 2

# 当PC 1通过61.16.0.1地址访问FTP服务器时,可以查看到建立的NAT会话。

[Device] display nat session verbose

Initiator:

  Source      IP/port: 10.110.1.10/1024

  Destination IP/port: 61.16.0.1/21

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

Responder:

  Source      IP/port: 10.110.3.1/21

  Destination IP/port: 61.16.0.2/1025

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

State: TCP_ESTABLISHED

Application: FTP

Start time: 2014-07-08 14:24:15  TTL: 3600s

Interface(in) : GigabitEthernet1/0

Interface(out): GigabitEthernet1/0

Initiator->Responder:       209716 packets   23068760 bytes

Responder->Initiator:            0 packets          0 bytes

 

Total sessions found: 1

3.6  配置文件

#

interface GigabitEthernet1/0

 port link-mode route

 ip address 10.110.0.1 255.255.252.0

 nat hairpin enable

#

interface GigabitEthernet2/0

 port link-mode route

 ip address 61.16.0.1 255.255.255.0

 nat outbound 2000 address-group 0

 nat server protocol tcp global 61.16.0.1 21 inside server-group 0

#

acl number 2000

 rule 0 permit source 10.110.0.0 0.0.1.255

 rule 5 permit source 10.110.2.0 0.0.0.255

#

acl number 2001

 rule 0 permit source 10.110.0.0 0.0.1.255

 rule 5 permit source 10.110.2.0 0.0.0.255

#

nat address-group 0

 address 61.16.0.2 61.16.0.3

#

nat server-group 0

 inside ip 10.110.3.1 port 21

 inside ip 10.110.3.2 port 21

 inside ip 10.110.3.3 port 21

#

4  相关资料

·     《H3C VSR1000虚拟路由器配置指导》中的“三层技术-IP业务配置指导”

·     《H3C VSR1000虚拟路由器命令参考》中的“三层技术-IP业务命令参考”

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们