- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
08-H3C VSR1000虚拟路由器内部服务器负载分担典型配置举例
本章节下载: 08-H3C VSR1000虚拟路由器内部服务器负载分担典型配置举例 (139.67 KB)
H3C VSR1000虚拟路由器内部服务器负载分担典型配置举例
|
Copyright © 2014杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
本文档不严格与具体软件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解NAT特性。
如图1所示,某公司内网地址是10.110.0.0/22,向运营商申请的公网地址是61.16.0.1~61.16.0.3。公司内网用户使用10.110.0.0~10.110.2.255地址段内IP地址;公司内网目前共有3台FTP服务器可以同时提供服务,服务器使用10.110.3.1~10.110.3.3的IP地址。
要求实现如下功能:
· 内网用户经过地址转换后使用61.16.0.2~61.16.0.3公网地址访问Internet;
· 外网主机和内网主机都可以通过61.16.0.1访问内网中的FTP服务器;
· 3台FTP服务器提供服务时进行负载分担,但不允许主动访问外网。
· 为了实现10.110.0.0~10.110.2.255可以转换成61.16.0.2~61.16.0.3公网地址访问Internet,需要定义ACL规则,实现只对内网匹配指定的ACL规则的报文在Device的GigabitEthernet2/0出方向上进行动态地址转换。
· 为了保证3台FTP服务器同时提供服务,需要配置NAT内部服务器组,并采用负载分担方式。
· 为了实现内网用户也可以使用61.16.0.1地址访问FTP服务器,需要在Device的GigabitEthernet1/0上使能NAT hairpin功能。
本举例是在E0301版本上进行配置和验证的。
(1) 配置接口IP地址
# 配置接口GigabitEthernet1/0和GigabitEthernet2/0的IP地址。
<Device> system-view
[Device] interface gigabitethernet 1/0
[Device-GigabitEthernet1/0] ip address 10.110.0.1 255.255.252.0
[Device-GigabitEthernet1/0] quit
[Device] interface gigabitethernet 2/0
[Device-GigabitEthernet2/0] ip address 61.16.0.1 255.255.255.0
[Device-GigabitEthernet2/0] quit
(2) 配置内网用户访问外网
# 配置地址组0,包含两个外网地址61.16.0.2和61.16.0.3。
[Device-nat-address-group-0] address 61.16.0.2 61.16.0.3
[Device-nat-address-group-0] quit
# 配置ACL 2000,仅允许对内部网络中10.110.0.0~10.110.2.255网段的用户报文进行地址转换。
[Device-acl-basic-2000] rule permit source 10.110.0.0 0.0.1.255
[Device-acl-basic-2000] rule permit source 10.110.2.0 0.0.0.255
[Device-acl-basic-2000] quit
# 在接口GigabitEthernet2/0上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。
[Device] interface gigabitethernet 2/0
[Device-GigabitEthernet2/0] nat outbound 2000 address-group 0
[Device-GigabitEthernet2/0] quit
(3) 配置FTP服务器同时提供服务
# 配置内部服务器组0及其成员10.110.3.1、10.110.3.2和10.110.3.3。
[Device-nat-server-group-0] inside ip 10.110.3.1 port 21
[Device-nat-server-group-0] inside ip 10.110.3.2 port 21
[Device-nat-server-group-0] inside ip 10.110.3.3 port 21
[Device-nat-server-group-0] quit
# 在接口Gigabitethernet2/0上配置负载分担内部服务器,引用内部服务器组0,该组内的主机共同提供FTP服务。
[Device] interface gigabitethernet 2/0
[Device-GigabitEthernet2/0] nat server protocol tcp global 61.16.0.1 ftp inside server-group 0
[Device-GigabitEthernet2/0] quit
# 在接口GigabitEthernet1/0上使能NAT hairpin功能。
[Device] interface gigabitethernet 1/0
[Device-GigabitEthernet1/0] nat hairpin enable
[Device-GigabitEthernet1/0] quit
# 当PC 1访问WWW server时,可以看到生成的NAT会话信息。
[Device] display nat session verbose
Initiator:
Source IP/port: 10.110.1.10/1024
Destination IP/port: 200.1.1.10/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: UDP(17)
Responder:
Source IP/port: 200.1.1.10/80
Destination IP/port: 61.16.0.2/1025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: UDP(17)
State: UDP_READY
Application: HTTP
Start time: 2014-07-08 13:30:47 TTL: 60s
Interface(in) : GigabitEthernet1/0
Interface(out): GigabitEthernet2/0
Initiator->Responder: 21946552 packets 2414120720 bytes
Responder->Initiator: 650389 packets 71542790 bytes
Total sessions found: 1
# 当有两个外网用户(61.16.0.10、61.16.0.11)同时请求FTP服务时,可以查看到建立了2条NAT会话,并且FTP server 1和FTP server 2分别为这两个用户提供FTP服务。
[Device] display nat session verbose
Initiator:
Source IP/port: 61.16.0.11/1024
Destination IP/port: 61.16.0.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: 10.110.3.1/21
Destination IP/port: 61.16.0.11/1024
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
State: TCP_ESTABLISHED
Application: FTP
Start time: 2014-07-08 14:11:41 TTL: 3600s
Interface(in) : GigabitEthernet2/0
Interface(out): GigabitEthernet1/0
Initiator->Responder: 598098 packets 65790780 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 61.16.0.10/1024
Destination IP/port: 61.16.0.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: 10.110.3.2/21
Destination IP/port: 61.16.0.10/1024
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
State: TCP_ESTABLISHED
Application: FTP
Start time: 2014-07-08 14:12:00 TTL: 3600s
Interface(in) : GigabitEthernet2/0
Interface(out): GigabitEthernet1/0
Initiator->Responder: 74783 packets 8226130 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
# 当PC 1通过61.16.0.1地址访问FTP服务器时,可以查看到建立的NAT会话。
[Device] display nat session verbose
Initiator:
Source IP/port: 10.110.1.10/1024
Destination IP/port: 61.16.0.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: 10.110.3.1/21
Destination IP/port: 61.16.0.2/1025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
State: TCP_ESTABLISHED
Application: FTP
Start time: 2014-07-08 14:24:15 TTL: 3600s
Interface(in) : GigabitEthernet1/0
Interface(out): GigabitEthernet1/0
Initiator->Responder: 209716 packets 23068760 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
#
interface GigabitEthernet1/0
ip address 10.110.0.1 255.255.252.0
nat hairpin enable
#
ip address 61.16.0.1 255.255.255.0
nat outbound 2000 address-group 0
nat server protocol tcp global 61.16.0.1 21 inside server-group 0
#
acl number 2000
rule 0 permit source 10.110.0.0 0.0.1.255
rule 5 permit source 10.110.2.0 0.0.0.255
#
acl number 2001
rule 0 permit source 10.110.0.0 0.0.1.255
rule 5 permit source 10.110.2.0 0.0.0.255
#
address 61.16.0.2 61.16.0.3
#
nat server-group 0
inside ip 10.110.3.1 port 21
inside ip 10.110.3.2 port 21
inside ip 10.110.3.3 port 21
#
· 《H3C VSR1000虚拟路由器配置指导》中的“三层技术-IP业务配置指导”
· 《H3C VSR1000虚拟路由器命令参考》中的“三层技术-IP业务命令参考”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
