• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C 负载均衡设备典型配置案例集-6W303

  • 发布时间:2022/1/28 20:42:04
  • 浏览量:
  • 下载量:

02-应用负载均衡典型配置举例

本章节下载  (7.14 MB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Typical_Configuration_Example/H3C-1765/202201/1538901_30005_0.htm

02-应用负载均衡典型配置举例

应用负载均衡典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。


目  录

1 简介

2 配置前提

3 应用负载均衡功能特性

4 四层应用负载均衡配置举例

4.1 SNAT应用场景应用负载均衡

4.1.1 组网需求

4.1.2 配置思路

4.1.3 使用版本

4.1.4 配置注意事项

4.1.5 配置步骤

4.1.6 验证配置

4.1.7 配置文件

4.2 基于源地址应用负载均衡

4.2.1 组网需求

4.2.2 配置思路

4.2.3 使用版本

4.2.4 配置注意事项

4.2.5 配置步骤

4.2.6 验证配置

4.2.7 配置文件

4.3 三角传输

4.3.1 组网需求

4.3.2 配置思路

4.3.3 使用版本

4.3.4 配置注意事项

4.3.5 配置步骤

4.3.6 验证配置

4.3.7 配置文件

4.4 基于优先级调度应用负载均衡

4.4.1 组网需求

4.4.2 配置思路

4.4.3 使用版本

4.4.4 配置注意事项

4.4.5 配置步骤

4.4.6 验证配置

4.4.7 配置文件

5 七层应用负载均衡配置举例

5.1 基于URL的七层负载

5.1.1 组网需求

5.1.2 配置思路

5.1.3 使用版本

5.1.4 配置注意事项

5.1.5 配置步骤

5.1.6 验证配置

5.1.7 配置文件

5.2 基于host的七层负载

5.2.1 组网需求

5.2.2 配置思路

5.2.3 使用版本

5.2.4 配置注意事项

5.2.5 配置步骤

5.2.6 验证配置

5.2.7 配置文件

5.3 基于优先级调度七层服务器负载

5.3.1 组网需求

5.3.2 配置思路

5.3.3 使用版本

5.3.4 配置注意事项

5.3.5 配置步骤

5.3.6 验证配置

5.3.7 配置文件

5.4 HTTPS卸载

5.4.1 组网需求

5.4.2 配置思路

5.4.3 使用版本

5.4.4 配置注意事项

5.4.5 配置步骤

5.4.6 验证配置

5.4.7 配置文件

5.5 HTTP压缩

5.5.1 组网需求

5.5.2 配置思路

5.5.3 使用版本

5.5.4 配置注意事项

5.5.5 配置步骤

5.5.6 验证配置

5.5.7 配置文件

5.6 NAT64

5.6.1 组网需求

5.6.2 配置思路

5.6.3 使用版本

5.6.4 配置注意事项

5.6.5 配置步骤

5.6.6 验证配置

5.6.7 配置文件

5.7 连接复用

5.7.1 组网需求

5.7.2 配置思路

5.7.3 使用版本

5.7.4 配置注意事项

5.7.5 配置步骤

5.7.6 验证配置

5.7.7 配置文件

5.8 客户端源地址插入

5.8.1 组网需求

5.8.2 配置思路

5.8.3 使用版本

5.8.4 配置注意事项

5.8.5 配置步骤

5.8.6 验证配置

5.8.7 配置文件

5.9 NAT66客户端源地址插入

5.9.1 组网需求

5.9.2 配置思路

5.9.3 使用版本

5.9.4 配置注意事项

5.9.5 配置步骤

5.9.6 验证配置

5.9.7 配置文件

5.10 基于URL的策略重定向

5.10.1 组网需求

5.10.2 配置思路

5.10.3 使用版本

5.10.4 配置注意事项

5.10.5 配置步骤

5.10.6 验证配置

5.10.7 配置文件

5.11 HTTP重定向内容的改写

5.11.1 组网需求

5.11.2 配置思路

5.11.3 使用版本

5.11.4 配置注意事项

5.11.5 配置步骤

5.11.6 验证配置

5.11.7 配置文件

5.12 HTTP的Header插入、重写、删除

5.12.1 组网需求

5.12.2 配置思路

5.12.3 使用版本

5.12.4 配置注意事项

5.12.5 配置步骤

5.12.6 验证配置

5.12.7 配置文件

5.13 HTTP的Cookie插入、重写、截取

5.13.1 组网需求

5.13.2 配置思路

5.13.3 使用版本

5.13.4 配置注意事项

5.13.5 配置步骤

5.13.6 验证配置

5.13.7 配置文件

6 LB支持RADIUS配置举例

6.1.1 组网需求

6.1.2 配置思路

6.1.3 使用版本

6.1.4 配置注意事项

6.1.5 配置步骤

6.1.6 验证配置

6.1.7 配置文件

7 四层应用负载均衡双机热备组网

7.1.1 组网需求

7.1.2 配置思路

7.1.3 使用版本

7.1.4 配置注意事项

7.1.5 配置步骤

7.1.6 验证配置

7.1.7 配置文件

 


1  简介

本文档介绍4-7层应用负载均衡的配置案例。

2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解LB(Load Balance,负载均衡)特性。

3  应用负载均衡功能特性

应用负载均衡支持的虚服务器类型包括:IP、TCP、UDP、RADIUS和HTTP五种类型,其中IP、TCP和UDP类型统称为四层应用负载均衡,HTTP、RADIUS类型称为七层应用负载均衡:

·     四层应用负载均衡:是基于流的负载均衡,通过对报文进行逐流分发,将同一条流的报文分发给同一台服务器。四层应用负载均衡对基于HTTP的七层业务无法做到按内容分发,从而限制了负载均衡的业务适用范围。

·     七层应用负载均衡:是基于内容的负载均衡,通过对报文承载的内容进行深度解析,根据其中的内容进行逐包分发,按既定策略将连接导向指定的服务器,从而实现了业务范围更广泛的应用负载均衡。

4  四层应用负载均衡配置举例

4.1  SNAT应用场景应用负载均衡

4.1.1  组网需求

如图所示,内网用户经过负载均衡设备访问外网服务器。三台服务器Server A、Server B和Server C均可提供FTP服务。通过配置应用负载均衡,让这三台服务器联合提供FTP服务,并通过健康检测来监控这些服务器是否可达。

图1 SNAT应用场景应用负载均衡组网图

 

4.1.2  配置思路

为实现SNAT应用负载均衡,需要在LB设备上完成如下配置:

·     配置实服务组、实服务器、虚服务。

·     配置SNAT地址池,指定发送免费ARP报文或者ND报文的接口。

4.1.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的。

4.1.4  配置注意事项

·     入方向交换机配置二层透传,出方向交换机配置二层透传。

·     注意可将SNAT地址池中的地址跟出接口地址一个网段,指定发送免费ARP报文或者ND报文的接口;如果不是一个网段,需要在实服务器上配置回SNAT地址池的路由。本举例中SNAT地址池地址跟出接口地址不是同一个网段,实服务器需要配置到SNAT路由。

4.1.5  配置步骤

说明

以下配置均在LB设备上进行。

 

1. 配置接口IP地址步骤省略。

2. 创建ICMP类型的NQA模板t1。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>,添加模板名称为t1,类型为ICMP的健康检测模板,如下图所示。

图2 添加健康检测模板

 

单击<确定>按钮,完成操作。

3. 创建SNAT地址池

在导航栏中选择“策略>全局配置>源地址池”,进入源地址池页面。

单击<新建>,添加源地址池名称为snat_1.1.1.11,起始IP地址是1.1.1.11,结束IP地址是1.1.1.11。

发送免费ARP或ND报文的接口选择RAGG1.20,如下图所示。

图3 创建源地址池

 

单击<确定>,完成操作。

4. 创建实服务组sf1采用源IP地址哈希算法,指定其健康检测方法为t1,并引用源地址池snat_1.1.1.1。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,健康性检测选择t1,如下图所示。

图4 添加实服务组

 

单击<确定>按钮,完成操作。

5. 添加实服务组成员,新建实服务器rs1,配置其IPv4地址为192.168.1.1。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

在成员列表一栏选择添加,实服务器名称为rs1,实服务器IP地址为192.168.1.1,如下图所示。

图5 添加实服务器信息

 

单击<确定>按钮,完成操作。

创建rs2、rs3与创建rs1步骤相同。

6. 创建TCP类型的虚服务器vs,配置其VSIP为61.159.4.100,指定默认实服务组sf1,并开启虚服务。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面。

单击<新建>,添加虚服务器名称为vs,类型选择TCP,61.159.4.100/32,开启虚服务功能,如下图所示。

图6 新建虚服务器

 

单击<确定>,完成操作。

4.1.6  验证配置

1. 查看所有实服务组成员的简要信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,点击<编辑>进入实服务组页面,查看成员列表一栏

图7 实服务组成员列表

 

2. 查看所有实服务组的详细信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面

图8 实服务组列表

 

3. 查看所有虚服务器的详细信息。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面

图9 虚服务列表

 

4. Host向地址61.159.4.100的FTP服务器发起ftp请求,访问成功后可以在LB设备上查看到虚服务和实服务器的统计信息。通过在实服务端抓包可以看到LB做完业务报文的源地址为SNAT地址池中的地址,而不是客户端的地址。

在导航栏中选择“监控>应用负载均衡>虚服务器统计”,进入虚服务统计页面

图10 虚服务器统计页面

 

在导航栏中选择“监控>应用负载均衡>实服务器统计”,进入实服务统计页面

图11 实服务器统计页面

 

图12 客户端抓包报文分析

图13 实服务器抓包报文分析

 

在有流量的情况下,在导航栏中选择“监控>会话列表”,进入会话列表页面可以看到流量的会话记录,如下图所示。

图14 设备会话列表

4.1.7  配置文件

#

nqa template icmp t1

#

server-farm sf1

 predictor hash address source

 snat-pool snat_1.1.1.11

 probe t1

#

server-farm sf1

 predictor hash address source

 snat-pool snat_1.1.1.11

 probe t1

 success-criteria at-least 1

 real-server rs1 port 0

  success-criteria at-least 1

 real-server rs2 port 0

  success-criteria at-least 1

 real-server rs3 port 0

  success-criteria at-least 1

#loadbalance snat-pool snat_1.1.1.11

 ip range start 1.1.1.11 end 1.1.1.11

#

virtual-server vs type tcp

 virtual ip address 61.159.4.100

 default server-farm sf1

 service enable

#

4.2  基于源地址应用负载均衡

4.2.1  组网需求

如图所示,用户经过负载均衡设备访问服务器。三台服务器Server A、Server B和Server C均可提供FTP服务。通过配置应用负载均衡,让这三台服务器联合提供FTP服务,并通过健康检测来监控这些服务器是否可达。

图15 基于源地址应用负载均衡组网图

4.2.2  配置思路

为实现源地址应用负载均衡,需要在LB设备上完成如下配置:

·     配置实服务组、实服务器、虚服务。

·     配置策略。

4.2.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的。

4.2.4  配置注意事项

·     Host到LB路由可达,LB到server路由可达,server到LB路由可达,服务器网关在LB上。

·     入方向跟出方向交换机均配置二层透传,网关都在LB上。

4.2.5  配置步骤

说明

以下配置均在LB设备上进行。

 

1. 配置接口IP地址步骤省略。

2. 创建ICMP类型的NQA模板t1。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>,添加健康模板名称为t1,类型为ICMP的健康检测模板,如下图所示。

图16 添加健康检测模板

 

单击<确定>按钮,完成操作。

3. 创建实服务组sf1、sf2、sf3,均采用源IP地址哈希算法,并指定其健康检测方法为t1。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,健康性检测选择t1的实服务组,如下图所示。

图17 添加实服务组

 

单击<确定>按钮,完成操作。

创建实服务组sf2、sf3与sf1步骤相同。

4. 在实服务组sf1中添加实服务器rs1,配置其IPv4地址为192.168.1.1。

在实服务组sf1中单击编辑,在成员列表一栏添加实服务器名称为rs1,实服务器IP地址为192.168.1.1,如下图所示。

图18 添加实服务器信息

 

单击<确定>按钮,完成操作。

创建rs2、rs3与创建rs1步骤相同,在实服务组sf2中添加成员rs2,在实服务组sf3中添加成员rs3。

5. 配置负载均衡类lc1,lc2,匹配Host的不同源地址。

在导航栏中选择“策略>应用负载均衡>高级策略>流量特征”,进入流量特征页面。

单击<新建>,添加流量特征名称为lc1,类型为通用,匹配方式为匹配任意一条规则,Match ID为1,类型选择源IPv4,ip地址为10.0.4.0,掩码长度为26,单击<确定>按钮,如下图所示。

图19 添加流量特征信息

 

单击<确定>按钮,完成操作。

创建lc2与lc1步骤相同,lc2匹配规则IPv4地址是10.0.4.64,掩码长度26。

6. 配置负载均衡动作la1,la2,la3。

在导航栏中选择“策略>应用负载均衡>高级策略>动作”,进入动作页面。

单击<新建>,添加动作名称为la1,类型选择通用,主用实服务组sf1,如下图所示。

图20 添加动作信息

 

单击<确定>,完成操作。

创建la2、la3与la1步骤相同,la2主用实服务组是sf2,la3主用实服务组是sf3。

7. 配置负载均衡策略lp1。

在导航栏中选择“策略>应用负载均衡>高级策略>负载均衡策略”,进入负载均衡策略页面。

单击<新建>,添加策略名称为lp1,类型选择通用,规则单击<新建>,流量特征选择lc1,动作选择la1,单击<确定>;再次单击<新建>,流量特征选择lc2,动作选择la2,单击<确定>;默认动作选择la3,如下图所示。

图21 添加策略lp1信息

 

图22 策略lp1配置信息

 

单击<确定>,完成操作。

8. 创建TCP类型的虚服务器vs,配置其VSIP为61.159.4.100,指定应用负载均衡策略为lp1,并开启虚服务。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面。

单击<新建>,添加虚服务器名称为vs,类型选择TCP,61.159.4.100/32,开启虚服务功能,负载均衡策略为lp1,如下图所示。

图23 新建虚服务器

 

单击<确定>,完成操作。

4.2.6  验证配置

1. 查看所有实服务组成员的信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,分别点击实服务组sf1、sf2、sf3对应的<编辑>进入实服务组页面,查看成员列表一栏

图24 实服务组sf1成员

图25 实服务组sf2成员

图26 实服务组sf3成员

 

 

2. 查看实服务组的信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面

图27 实服务组列表

 

3. 查看虚服务器的信息。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面

图28 虚服务列表

 

4. Host发起源地址分别为10.0.4.1、10.0.4.65、10.0.4.129的FTP请求共3个,通过虚服务61.159.4.100地址访问FTP服务器,访问成功,可以在web上查看到虚服务和实服务的统计信息。源10.0.4.1的FTP请求分给rs1,源10.0.4.65的FTP请求分给rs2,其他源地址的FTP请求分给rs3。

在导航栏中选择“监控>应用负载均衡>虚服务器统计”,进入虚服务统计页面

图29 虚服务统计

 

在导航栏中选择“监控>应用负载均衡>实服务器统计”,进入实服务统计页面

当源地址为10.0.4.1发起FTP访问请求时,匹配策略lc1,选中rs1,查看实服务器统计,此时只有rs1有流量统计:

图30 实服务器统计列表

 

当源地址为10.0.4.65发起FTP访问请求时,匹配策略lc2,选中rs2,查看实服务器统计,此时只有rs2有流量统计:

图31 实服务器统计列表

 

当源地址为10.0.4.129发起FTP访问请求时,匹配策略lc3,选中rs3,查看实服务器统计,此时只有rs3有流量统计:

图32 实服务器统计列表

 

4.2.7  配置文件

#

nqa template icmp t1

#

server-farm sf1

 predictor hash address source

 probe t1

 success-criteria at-least 1

 real-server rs1 port 0

  success-criteria at-least 1

#

server-farm sf2

 predictor hash address source

 probe t1

 success-criteria at-least 1

 real-server rs2 port 0

  success-criteria at-least 1

#

server-farm sf3

 predictor hash address source

 probe t1

 success-criteria at-least 1

 real-server rs3 port 0

  success-criteria at-least 1

#

loadbalance class lc1 type generic match-any

 match 1 source ip address 10.0.4.0 26

#

loadbalance class lc2 type generic match-any

 match 1 source ip address 10.0.4.64 26

#

loadbalance action la1 type generic

 server-farm sf1

#

loadbalance action la2 type generic

 server-farm sf2

#

loadbalance action la3 type generic

 server-farm sf3

#

loadbalance policy lp1 type generic

 class lc1 action la1

 class lc2 action la2

 default-class action la3

#

real-server rs1

 ip address 192.168.1.1

#

real-server rs2

 ip address 192.168.1.2

#

 real-server rs3

 ip address 192.168.1.3

#

virtual-server vs type tcp

 virtual ip address 61.159.4.100

 lb-policy lp1

 service enable

#

4.3  三角传输

4.3.1  组网需求

如图所示,三台服务器Server A、Server B和Server C均可提供FTP服务,用户通过访问虚服务地址经过负载均衡设备访问真实服务器,由于服务器回应反向流量比较大,为了减轻负载均衡设备的压力,服务器回程的流量不再经过负载均衡设备,直接通过交换机转发,此时要求服务器回应报文的源地址为虚服务器的地址,在考虑硬件性能的前提下让这三台服务器联合提供FTP服务,并通过健康检测来监控这些服务器状态。

图33 三角传输组网图

 

4.3.2  配置思路

为实现三角传输的应用负载均衡,需要在LB设备上完成如下配置:

·     LB设备上配置实服务组、实服务器、虚服务、负载均衡策略

·     由于服务器回应报文通过交换机直接转发,所以服务器回应报文的源地址要为虚服务器的地址,因此除了配置各自网卡地址外,还需要三台真实服务器侧需要单独配置loopback口,并且地址设置为虚服务器的地址61.159.4.100

4.3.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的。

4.3.4  配置注意事项

·     入方向交换机配置三层,入方向网关在交换机上,Host到交换机直连路由可达,交换机到LB直连路由可达,Host到LB路由可达,下一跳在交换机上,出方向交换机配置三层路由,LB到server路由可达,server到Host路由可达,下一跳都是在交换机上。

·     流量正向走LB,反向不走LB,服务器回Host路由可达。

·     LB设备地址需要与实服务器地址处于同一网段。

·     实服务组中关闭DNAT功能。

4.3.5  配置步骤

说明: 说明: 说明

以下配置均在LB设备上进行。

 

1. 配置接口IP地址步骤省略。

2. 创建ICMP类型的NQA模板t1。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>,添加健康模板名称为t1,类型为ICMP的健康检测模板,如下图所示。

图34 添加健康检测模板

 

单击<确定>按钮,完成操作。

3. 创建实服务组sf1采用源IP地址哈希算法,并指定其健康检测方法为t1。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,健康性检测选择t1的实服务组,如下图所示。

图35 添加实服务组

单击<确定>按钮,完成操作。

4. 添加实服务组成员,新建实服务器rs1,配置其IPv4地址为192.168.1.1。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击实服务组sf1的编辑,进入成员列表一栏,单击添加,实服务器IP地址为192.168.1.1,实服务器名称为rs1如下图所示。

图36 添加实服务器信息

 

单击<确定>按钮,完成操作。

创建rs2、rs3与创建rs1步骤相同。

5. 配置持续性组sg1,持续性方法为源IP地址。

在导航栏中选择“策略>全局配置>持续性组”,进入持续性组页面。

单击<新建>,添加持续组名称为sg1,类型为地址端口,IPv4方法选择源地址,如下图所示。

图37 添加持续性组信息

 

单击<确定>,完成操作。

6. 创建TCP类型的虚服务器vs,配置其VSIP为61.159.4.100,指定默认实服务组sf1,并开启虚服务。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面。

单击<新建>,添加虚服务器名称为vs,类型选择TCP,61.159.4.100 /32,开启虚服务功能,持续性方法为sg1,如下图所示。

图38 新建虚服务器

 

单击<确定>,完成操作。

4.3.6  验证配置

1. 查看所有实服务组成员的简要信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,点击<编辑>进入实服务组页面,查看成员列表一栏

图39 实服务组成员列表

 

2. 查看所有实服务组的详细信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面

图40 实服务组列表

 

3. 查看所有虚服务器的详细信息。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面

图41 虚服务器列表

 

4. Host向地址61.159.4.100的FTP服务器发起ftp请求,访问成功后可以在LB设备上查看到虚服务和实服务的统计信息。通过对负载均衡设备上的RAGG1.10接口抓包发现,只有发出去的报文,而没有回来的报文,说明报文回来没有经过负载均衡设备,从而证实了实验的正确性。

在导航栏中选择“监控>应用负载均衡统计>虚服务器统计”,进入虚服务统计页面

图42 虚服务器统计页面

在导航栏中选择“监控>应用负载均衡>实服务器统计”,进入实服务器统计页面

 

图43 实服务组统计页面

图44 客户端抓包分析

 

4.3.7  配置文件

#

nqa template icmp t1

#

sticky-group sg1 type address-port

 ip source

#

server-farm sf1

 predictor hash address source

 transparent enable

 success-criteria at-least 1

 real-server rs1 port 0

  success-criteria at-least 1

real-server rs2 port 0

  success-criteria at-least 1

real-server rs3 port 0

  success-criteria at-least 1

#

real-server rs1

ip address 192.168.1.1

#

real-server rs2

ip address 192.168.1.2

#

real-server rs3

ip address 192.168.1.3

#

virtual-server vs type tcp

 virtual ip address 61.159.4.100

 default server-farm sf1 sticky sg1

 service enable

 connection-sync enable

 sticky-sync enable

#

4.4  基于优先级调度应用负载均衡

4.4.1  组网需求

如图所示,内网用户经过负载均衡设备访问外网服务器。三台服务器Server A、Server B和Server C均可提供FTP服务,Host访问服务器的流量会根据三台服务器的优先级进行选择,如果实服务组中配置了限制调度的个数,优先级和调度个数会同时影响调度结果,实现负载分担。

图45 基于优先级调度应用负载均衡组网图

 

4.4.2  配置思路

为实现基于优先级调度的应用负载均衡,需要在LB设备上完成如下配置:

·     LB设备上配置实服务组、实服务器、虚服务。

·     实服务组中配置可选择的实服务器的数量为1,实服务器配置不同的优先级分别为4、8、1。

4.4.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的。

4.4.4  配置注意事项

·     Host到LB路由可达,LB到server路由可达,server到LB路由可达,服务器网关在LB上。

·     入方向跟出方向交换机均配置二层透传,网关都在LB上。

·     实服务组中配置可选择的实服务器数量,三台服务器配置不同的优先级。

4.4.5  配置步骤

说明

以下配置均在LB设备上进行。

 

1. 配置接口IP地址步骤省略。

2. 创建ICMP类型的NQA模板t1。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>,添加健康模板名称为t1,类型为ICMP的健康检测模板,如下图所示。

图46 添加健康检测模板

 

单击<确定>按钮,完成操作。

3. 创建实服务组sf1,采用源IP地址哈希算法,并指定其健康检测方法为t1,勾选“限制可被调度算法调用的实服务器数量”,并进行数量配置。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,健康性检测选择t1的实服务组,勾选“限制可被调度算法调用的实服务器数量”,最小数量与最大数量均配置成1,如下图所示。

图47 添加实服务组

 

单击<确定>按钮,完成操作。

4. 添加实服务组成员,新建实服务器rs1,配置其IPv4地址为192.168.1.1。

在导航栏中选择“策略>应用负载均衡组>实服务器组”,进入实服务器页面。

单击实服务组sf1的编辑,进入成员列表一栏,单击添加,实服务器IP地址为192.168.1.1,实服务器名称为rs1,如下图所示。

图48 添加实服务器信息

 

单击<确定>按钮,完成操作。

添加实服务器成员rs2、rs3,配置方法与添加rs1步骤相同,rs2优先级为8,rs3优先级为1。

5. 配置虚服务器。创建TCP类型的虚服务器vs,配置其VSIP为61.159.4.100,应用实服务组sf1,并开启虚服务。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面。

单击<新建>,添加虚服务器名称为vs,类型选择TCP,配置虚服务器IP为61.159.4.100,指定默认实服务组sf1,并开启虚服务,如下图所示。

图49 新建虚服务器

 

单击<确定>,完成操作。

4.4.6  验证配置

1. 查看所有实服务组成员的信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,点击<编辑>进入实服务组页面,查看成员列表一栏

图50 实服务组成员列表

2. 查看实服务组的信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面

图51 实服务组列表

 

3. 查看虚服务器的信息。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面。

图52 虚服务器列表

 

4. Host向地址61.159.4.100的FTP服务器发起ftp请求,访问成功后可以在LB设备上查看到虚服务和实服务的统计信息,因为实服务组中配置了限制服务器数量为1,实服务器优先级最高的rs2被选中,只有一个实服务器rs2有流量统计。

在导航栏中选择“监控>应用负载均衡>虚服务器统计”,进入虚服务统计页面

图53 虚服务器统计页面

 

在导航栏中选择“监控>应用负载均衡>实服务器统计”,进入实服务器统计页面

图54 实服务组统计页面

 

4.4.7  配置文件

#

nqa template icmp t1

#

server-farm sf1

 predictor hash address source

 probe t1

 success-criteria at-least 1

 real-server rs1 port 0

  success-criteria at-least 1

  probe t1

 real-server rs2 port 0

  priority 8

  success-criteria at-least 1

  probe t1

 real-server rs3 port 0

  priority 1

  success-criteria at-least 1

  probe t1

#

real-server rs1

ip address 192.168.1.1

#

real-server rs2

ip address 192.168.1.2

#

real-server rs3

ip address 192.168.1.3

#

 

virtual-server vs type tcp

 virtual ip address 61.159.4.100

 default server-farm sf1

 service enable

 connection-sync enable

 sticky-sync enable

#

5  七层应用负载均衡配置举例

5.1  基于URL的七层负载

5.1.1  组网需求

所示,Host通过LB设备对6台服务器进行访问,6台服务器Server A、Server B、Server C、Server D、Server E、Server F均可提供HTTP服务;Host访问服务器的流量会根据Host访问的URL在六台服务器之间负载分担:URL中含有sports、government、news的请求分给Server A和Server D,URL中含有finance、technology、shopping的请求分给Server B和Server E,其他URL的请求分给Server C和Server F。

图55 基于URL的七层负载组网图

 

5.1.2  配置思路

为实现基于URL的七层应用负载均衡,需要在LB设备上完成如下配置:

·     LB设备上配置实服务组、实服务器、虚服务。

·     配置策略,类和动作,类中配置匹配URL的规则,使得URL中含有sports、government、news的请求分给Server A和Server D,URL中含有finance、technology、shopping的请求分给Server B和Server E,其他URL的请求分给ServerC和Server F。

5.1.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的。

5.1.4  配置注意事项

·     Host到LB路由可达,LB到server路由可达,server到LB路由可达,服务器网关在LB上。

·     入方向跟出方向交换机均配置二层透传,网关都在LB上。

·     如果一个HTTP带有多个请求,请配置逐请求负载分担。

5.1.5  配置步骤

说明

以下配置均在LB设备上进行。

 

1. 配置接口IP地址步骤省略。

2. 创建ICMP类型的NQA模板t1。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>,添加名称为t1、类型为ICMP的健康检测模板,如下图所示。

图56 添加健康检测模板

 

单击<确定>按钮,完成操作。

3. 创建实服务组sf1、sf2、sf3,均采用源IP地址哈希算法,并指定其健康检测方法为t1。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,健康性检测选择t1的实服务组,如下图所示。

图57 添加实服务组

 

单击<确定>按钮,完成操作。

创建实服务组sf2、sf3与sf1步骤相同。

4. 添加实服务组成员,新建实服务器rs1,配置其IPv4地址为192.168.1.1。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务器页面。

选择编辑实服务组sf1,在成员列表一栏添加实服务器,实服务器IP地址为192.168.1.1,如下图所示。

图58 添加实服务器信息

 

单击<确定>按钮,完成操作。

创建其余5个实服务器与rs1步骤相同,实服务组sf1中添加rs11,实服务组sf2中添加rs2和rs12,实服务组sf3中添加rs3和rs13。

5. 配置HTTP Cookie类型的持续性组。创建HTTP Cookie类型的持续性组。配置持续性方法为Cookie插入,名字为cookie1。(Cookie插入,即在服务器发送的HTTP应答报文中插入Set-Cookie字段用于持续性处理)。

在导航栏中选择“策略>全局配置>持续性组”,进入持续性组页面。

单击<新建>,添加持续组名称为sg1,类型为HTTP-Cookie,Cookie持续性方法:Cookie插入,Cookie名称为cookie1,如下图所示。

图59 添加持续性组信息

 

单击<确认>,完成操作。

6. 配置负载均衡类lc1,lc2。

在导航栏中选择“策略>应用负载均衡>高级策略>流量特征”,进入流量特征页面。

单击<新建>,添加流量特征名称为lc1,类型选择HTTP,匹配方式为匹配任意一条规则:

·     match ID为1,类型选择URL,URL为sports,单击<确定>。

·     match ID为2,类型选择URL,URL为news,单击<确定>。

·     match ID为3,类型选择URL,URL为government单击<确定>。

图60 添加流量特征lc1

 

单击<确定>,完成操作。

创建lc2与lc1步骤相同,配置参数如下图所示。

图61 流量特征lc2参数

 

7. 配置负载均衡动作la1,la2,la3,应用持续性方法sg1。

在导航栏中选择“策略>应用负载均衡>高级策略>动作”,进入动作页面。

单击<新建>,添加动作名称为la1,类型选择HTTP,主用实服务组sf1,持续性组为sg1,如下图所示。

图62 添加动作信息

 

单击<确定>,完成操作。

负载均衡动作la2、la3与la1创建步骤相同,la2主用实服务组sf2,la3主用实服务组sf3,la2、la3配置参数分别如图63图64所示。

图63 la2配置参数

 

图64 la3配置参数

 

8. 配置负载均衡策略lp1。

在导航栏中选择“策略>应用负载均衡>高级策略>负载均衡策略”,进入负载均衡策略页面。

单击<新建>,添加策略名称为lp1,类型选择HTTP,规则单击<新建>,流量特征选择lc1,动作选择la1,单击<确定>。再次单击<新建>,流量特征选择lc2,动作选择la2,单击<确定>。默认动作选择la3,如下图所示。

图65 添加策略信息

 

单击<确定>,完成操作。

9. 配置参数模板,对每个HTTP请求报文都进行负载均衡。

在导航栏中选择“策略>应用负载均衡>参数模板”,进入参数模板页面。

单击<新建>,添加参数模板名称为pp1,类型选择HTTP,逐请求负载均衡:开启,如下图所示。

图66 添加参数模板信息

 

单击<确定>,完成操作。

10. 配置虚服务器并且引用策略。创建HTTP类型的虚服务器vs,配置其VSIP为61.159.4.100,应用负载均衡策略lp1,以及参数模板pp1,并开启虚服务。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面。

单击<新建>,添加虚服务器名称为vs,类型选择HTTP,配置虚服务IP为61.159.4.100,应用负载均衡策略lp1,以及参数模板pp1,并开启虚服务,如下图所示。

图67 新建虚服务器

 

单击<确定>,完成操作。

5.1.6  验证配置

1. 查看所有实服务组成员的信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面,查看成员列表一栏

图68 实服务组sf1下的成员

图69 实服务组sf2下的成员

图70 实服务组sf3下的成员

 

2. 查看实服务组的信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

图71 实服务组列表

 

3. 查看虚服务器的信息。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面

图72 虚服务列表

 

4. Host通过发起包含URL值分别包含aaa、sports、news、government、finance、technology、shopping的请求报文共7个访问HTTP服务器,访问成功,可以在LB设备上查看到虚服务和实服务的统计信息,且在Host端抓包可以看到,服务器端发回的响应报文中头部有Set-Cookie字段。

在导航栏中选择“监控>应用负载均衡>虚服务器统计”,进入虚服务统计页面

图73 虚服务统计信息

 

在导航栏中选择“监控>应用负载均衡>实服务器统计”,进入实服务统计页面

当发起包含URL是sports、news、government的请求时,流量特征匹配lc1,此时rs11有流量统计:

图74 实服务器统计信息

 

当发起包含URL是finance、technology、shopping的请求时,流量特征匹配lc2,此时rs12有流量统计:

图75 实服务器统计信息

 

当发起包含URL是aaa的请求时,流量特征匹配不上lc1和lc2,走默认的lc3,此时rs13有流量统计:

图76 实服务器统计信息

 

同时发起URL值分别包含aaa、sports、shopping的请求,统计如下:

图77 虚服务器统计信息

图78 实服务组统计信息

图79 实服务器统计信息

 

5. 发起包含URL是sports、news、government的请求,验证Cookie插入的持续性是否生效,抓包看服务器端返回的响应报文中头部Set-Cookie字段:cookie1=1.6.24.e732c79。

图80 客户端抓包报文分析

 

查看实服务器统计只有rs1命中:

 

更换客户端地址,再次发起带有这个cookie值的报文请求:cookie: cookie1=1.6.24.e732c79,查看持续性生效,只有rs1有统计:

 

5.1.7  配置文件

#

nqa template icmp t1

#

server-farm sf1

 predictor hash address source

 probe t1

 success-criteria at-least 1

 real-server rs1 port 0

  success-criteria at-least 1

  probe t1

 real-server rs11 port 0

  success-criteria at-least 1

#

loadbalance class lc1 type http match-any

 match 1 url sports

 match 2 url news

 match 3 url government

#

loadbalance class lc2 type http match-any

 match 1 url finance

 match 2 url technology

 match 3 url shopping

#

loadbalance action la1 type http

 server-farm sf1 sticky sg1

#

loadbalance action la2 type http

 server-farm sf2 sticky sg1

#

loadbalance action la3 type http

 server-farm sf3 sticky sg1

#

loadbalance policy lp1 type http

 class lc1 action la1

 class lc2 action la2

 default-class action la3

#

real-server rs1

 ip address 192.168.1.1

#

real-server rs2

 ip address 192.168.1.2

#

real-server rs3

 ip address 192.168.1.3

#

real-server rs11

 ip address 192.168.1.11

#

real-server rs12

 ip address 192.168.1.12

#

real-server rs13

 ip address 192.168.1.13

#

sticky-group sg1 type http-cookie

 cookie insert name cookie1

#

parameter-profile pp1 type http

 rebalance per-request

#

virtual-server vs type http

 virtual ip address 61.159.4.100

 parameter http pp1

 lb-policy lp1

 default server-farm sf1

 service enable

 sticky-sync enable

#

5.2  基于host的七层负载

5.2.1  组网需求

如图所示,Host访问域名,通过DNS server将域名解析出虚服务器地址,Host发起访问虚服务器的地址,通过LB设备对3台服务器进行访问,三台服务器均可提供HTTP服务,访问服务器的流量将根据负载均衡策略在三台服务器之间负载分担。

图81 基于host的七层负载组网图

 

5.2.2  配置思路

为实现基于host的七层应用负载均衡,需要在LB设备上完成如下配置:

·     LB设备上配置实服务组、实服务器、虚服务。

·     配置策略,类和动作,类中配置匹配host的规则,使得host是www.aaa.com的请求分给Server A,host是www.bbb.com的请求分给Server B,host是www.ccc.com的请求分给Server C。

·     DNS server提供解析DNS域名的服务,解析域名后的地址返回给Host。

·     LB虚服务地址是DNS域名解析后的地址,使得Host再次发起请求时是对虚服务的请求。

5.2.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的。

5.2.4  配置注意事项

·     Host与DNS server路由可达,Host可以直接将DNS服务器指向DNS server。

·     入方向交换机二层透传,网关在LB上,Host到LB路由可达,出方向交换机二层透传,网关在LB上,LB到服务器路由可达、服务器到LB路由可达。

·     DNS server解析域名的地址跟LB上虚服务的地址一致。

5.2.5  配置步骤

说明

以下配置均在LB设备上进行。

 

1. 配置接口IP地址步骤省略。

2. 创建ICMP类型的NQA模板t1。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>,添加名称为t1、类型为ICMP的健康检测模板,如下图所示。

图82 添加健康检测模板

 

单击<确定>按钮,完成操作。

3. 创建实服务组sf1、sf2、sf3,均采用源IP地址哈希算法,并指定其健康检测方法为t1。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,健康性检测选择t1的实服务组,如下图所示。

图83 添加实服务组

 

单击<确定>按钮,完成操作。

创建实服务组sf2、sf3与sf1步骤相同。

4. 添加实服务组成员,新建实服务器rs1,配置其IPv4地址为192.168.1.1。

在导航栏中选择“策略>应用负载均衡>实服务器组”,进入实服务器组页面。

选择编辑实服务组sf1,在成员列表一栏添加实服务器,实服务器IP地址为192.168.1.1,如下图所示。

图84 添加实服务器信息

 

单击<确定>按钮,完成操作。

创建rs2、rs3与rs1步骤相同:

实服务组sf2中添加rs2,配置其IPv4地址为192.168.1.2;

实服务组sf3中添加rs3,配置其IPv4地址为192.168.1.3。

5. 配置负载均衡类lc1,lc2,lc3。

在导航栏中选择“策略>应用负载均衡>高级策略>流量特征”,进入流量特征页面,单击<新建>添加流量特征名称为lc1,类型选择HTTP,匹配方式为匹配所有规则,Match ID为1,类型选择HTTP Header,Header名称为host,Header值为www.aaa.com,如下5. 图85所示。

图85 添加负载均衡类lc1

 

单击<确定>,完成操作。

按照lc1的步骤依次分别添加lc2、lc3:

添加流量特征名称为lc2,类型选择HTTP,匹配方式为匹配所有规则,Match ID为1,类型选择HTTP Header,Header名称为host,Header值为www.bbb.com,如下图86所示。

添加流量特征名称为lc3,类型选择HTTP,匹配方式为匹配所有规则,Match ID为1,类型选择HTTP Header,Header名称为host,Header值为www.ccc.com,如下图87所示。

图86 添加负载均衡类lc2

 

图87 添加负载均衡类lc3

 

6. 配置负载均衡动作la1,la2,la3,分别使用实服务组sf1,sf2,sf3。

在导航栏中选择“策略>应用负载均衡>高级策略>动作”,进入动作页面。

单击<新建>,添加动作名称为la1,类型选择HTTP,主用实服务组sf1,如下图所示。

图88 添加动作信息

 

单击<确定>,完成操作。

创建la2、la3与la1步骤相同,la2主用实服务组sf2,la3主用实服务组sf3。

7. 配置负载均衡策略lp1。

在导航栏中选择“策略>应用负载均衡>高级策略>负载均衡策略”,进入负载均衡策略页面。

单击<新建>,添加策略名称为lp1,类型选择HTTP,规则单击<新建>,流量特征选择lc1,动作选择la1,单击<确定>。再次单击<新建>,流量特征选择lc2,动作选择la2,单击<确定>。再次单击<新建>,流量特征选择lc3,动作选择la3,单击<确定>,如下图所示。

图89 添加策略信息

 

单击<确定>,完成操作。

8. 配置虚服务器并且引用负载均衡策略。创建HTTP类型的虚服务器vs,配置其VSIP为61.159.4.100,应用负载均衡策略lp1并开启虚服务。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面。

单击<新建>,添加虚服务器名称为vs,类型选择HTTP,配置虚服务IP为61.159.4.100,应用负载均衡策略lp1,并开启虚服务,如下图所示。

图90 添加虚服务器vs

 

单击<确定>,完成操作。

9. 配置DNS。

在导航栏中选择“网络>DNS>DNS客户端”,进入DNS客户端页面,在“域名服务器地址”,添加DNS server的地址:184.45.0.220,如图所示。

 

5.2.6  验证配置

1. 查看所有实服务组成员的信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面,查看成员列表一栏

图91 实服务组sf1成员

图92 实服务组sf2成员

图93 实服务组sf3成员

 

 

2. 查看实服务组的信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面

图94 实服务组列表

 

3. 查看虚服务器的信息。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面

图95 虚服务器列表

 

4. Host发起访问www.aaa.com请求时,rs1有统计,发起访问www.bbb.com的请求时,rs2有统计,发起访问www.ccc.com请求时,rs3有统计。查看虚服务跟实服务器统计信息:

虚服务有统计信息:

图96 虚服务器统计信息

当发起访问www.aaa.com请求时,流量特征匹配lc1,此时rs1有流量统计:

图97 实服务器统计信息

 

当发起访问www.bbb.com请求时,流量特征匹配lc2,此时rs2有流量统计:

图98 实服务器统计信息

 

当发起访问www.ccc.com请求时,流量特征匹配lc3,此时rs3有流量统计:

图99 实服务器统计信息

 

5.2.7  配置文件

#

dns server 184.45.0.220

#

nqa template icmp t1

#

server-farm sf1

 predictor hash address source

 probe t1

 success-criteria at-least 1

 real-server rs1 port 0

  success-criteria at-least 1

#

server-farm sf2

 predictor hash address source

 probe t1

 success-criteria at-least 1

 real-server rs2 port 0

  success-criteria at-least 1

#

server-farm sf3

 predictor hash address source

 probe t1

 success-criteria at-least 1

 real-server rs3 port 0

  success-criteria at-least 1

#

loadbalance class lc1 type http

 match 1 header host value www.aaa.com

#

loadbalance class lc2 type http

 match 1 header host value www.bbb.com

#

loadbalance class lc3 type http

 match 1 header host value www.ccc.com

#

loadbalance action la1 type http

 server-farm sf1

#

loadbalance action la2 type http

 server-farm sf2

#

loadbalance action la3 type http

 server-farm sf3

#

loadbalance policy lp1 type http

 class lc1 action la1

 class lc2 action la2

 class lc3 action la3

#

real-server rs1

 ip address 192.168.1.1

#

real-server rs2

 ip address 192.168.1.2

#

real-server rs3

 ip address 192.168.1.3

#

virtual-server vs1 type http

 virtual ip address 61.159.4.100

 lb-policy lp1

service enable

#

5.3  基于优先级调度七层服务器负载

5.3.1  组网需求

如图所示,Host通过LB设备对3台服务器进行访问,三台服务器Server A、Server B和Server C均可提供HTTP服务;Host访问服务器的流量会根据三台服务器的优先级进行选择,如果实服务组中配置了限制调度的个数,实服务器优先级跟调度个数会共同对实服务器进行调度,实现负载分担。

图100 基于优先级调度七层服务器负载组网图

 

5.3.2  配置思路

为实现基于优先级调度的七层应用负载均衡,需要在LB设备上完成如下配置:

·     LB设备上配置实服务组、实服务器、虚服务,实服务组中配置可选择的实服务器的数量为1,实服务器配置不同的优先级分别为4、8、1。

·     入方向交换机二层透传,网关在LB上,Host到LB路由可达,出方向交换机二层透传,网关在LB上,LB到服务器路由可达、服务器到LB路由可达。

5.3.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的。

5.3.4  配置注意事项

·     Host到LB路由可达,LB到server路由可达,server到LB路由可达,服务器网关在LB上。

·     入方向跟出方向交换机均配置二层透传,网关都在LB上。

·     实服务组中配置可选择的实服务器数量,三台服务器配置不同的优先级。

5.3.5  配置步骤

说明

以下配置均在LB设备上进行。

 

1. 配置接口IP地址步骤省略。

2. 创建ICMP类型的NQA模板t1。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>,添加名称为t1、类型为ICMP的健康检测模板,如下图所示。

图101 添加健康检测模板

 

单击<确定>按钮,完成操作。

3. 创建实服务组sf1,采用源IP地址的hash算法,并指定其健康检测方法为t1,勾选“限制可被调度算法调用的实服务器数量”,并进行数量配置。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,健康性检测选择t1的实服务组,勾选“限制可被调度算法调用的实服务器数量”,最小数量与最大数量均配置成1,如下图所示。

图102 添加实服务组

 

单击<确定>按钮,完成操作。

4. 添加实服务组成员,新建实服务器rs1,配置其IPv4地址为192.168.1.1,优先级为4。

在导航栏中选择“策略>应用负载均衡>实服务器组”,进入实服务器组页面。

选择编辑实服务组sf1,在成员列表一栏添加实服务器,实服务器IP地址为192.168.1.1,优先级为4,如下图所示。

图103 添加实服务器信息

 

单击<确定>按钮,完成操作。

添加实服务器成员rs2、rs3,配置方法与添加rs1步骤相同,rs2优先级为8,实服务器ip地址为192.168.1.2;rs3优先级为1,实服务器IP地址为192.168.1.3。

5. 配置虚服务器。创建HTTP类型的虚服务器vs,配置其VSIP为61.159.4.100,应用实服务组sf1,并开启虚服务。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面。

单击<新建>,添加虚服务器名称为vs,类型选择HTTP,配置虚服务IP为61.159.4.100,应用实服务组sf1,并开启虚服务,如下图所示。

图104 配置虚服务器

单击<确定>,完成操作。

5.3.6  验证配置

1. 查看所有实服务组成员的信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面,查看成员列表一栏。

图105 实服务组成员列表

 

2. 查看实服务组的信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

图106 实服务组列表

 

3. 查看虚服务器的信息。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面。

图107 虚服务器列表

 

4. Host向地址61.159.4.100的HTTP服务器发起HTTP请求,访问成功后可以在LB设备上查看到虚服务和实服务的统计信息,因为实服务组中配置了限制服务器数量为1,实服务器优先级最高的rs2被选中,只有一个实服务器rs2有流量统计。

在导航栏中选择“监控>应用负载均衡统计>虚服务器统计”,进入虚服务统计页面

图108 虚服务器统计信息

在导航栏中选择“监控>应用负载均衡>实服务器统计”,进入实服务统计页面

图109 实服务器统计信息

 

5.3.7  配置文件

#

nqa template icmp t1

#

server-farm sf1

 predictor hash address source

 selected-server min 1 max 1

 probe t1

 success-criteria at-least 1

 real-server rs1 port 0

  success-criteria at-least 1

 real-server rs2 port 0

  priority 8

  success-criteria at-least 1

 real-server rs3 port 0

  priority 1

  success-criteria at-least 1

#

real-server rs1

 ip address 192.168.1.1

#

real-server rs2

 ip address 192.168.1.2

#

real-server rs3

 ip address 192.168.1.3

#

virtual-server vs type http

 virtual ip address 61.159.4.100

 default server-farm sf1

 service enable

#

5.4  HTTPS卸载

5.4.1  组网需求

HTTPS卸载是指LB设备为内网的Web服务器提供SSL加解密服务,对外提供安全(SSL加密)访问Web服务器的功能。内网Web服务器只需处理业务,无须耗费CPU进行SSL加解密运算,从而提高服务器的处理能力。

Host发起HTTPS访问,通过LB设备加解密,三台服务器Server A、Server B和Server C均可提供HTTP服务,Host访问服务器的流量会在三台服务器之间负载分担。

图110 HTTP卸载组网图

 

5.4.2  配置思路

为了实现HTTPS卸载功能,需要在LB设备上完成如下配置:

·     将CA证书和设备证书导入到LB设备,并在LB设备上创建SSL策略。

·     配置实服务组、实服务器和虚服务。

·     客户端HTTPS访问Server端HTTP服务器,可成功访问。

5.4.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的。

5.4.4  配置注意事项

·     确保Host到LB设备的虚服务路由可达。

·     要先申请正确的证书,再将申请的证书通过FTP或TFTP上传到LB设备上。

·     在LB设备上配置的实服务器地址要与相应的实服务器地址保持一致。

·     配置完虚服务后,需要开启虚服务。

·     SSL加载策略无法和虚服务器进行联动,当修改SSL策略后,需对服务器重新进行使能操作才可以使配置生效。

5.4.5  配置步骤

说明

以下验证过程均在LB设备上进行。

 

1. 配置到交换机的聚合口及子接口。

在导航栏中选择“网络>接口>链路聚合”,进入链路聚合页面。

单击<新建>,添加聚合类型为三层聚合,聚合组编号为RAGG1,选择成员端口,如下图所示。

图111 添加三层聚合口

 

在导航栏中选择“网络>接口>接口”,进入接口页面。

单击创建子接口,选择接口为RAGG1,子接口编号为10,如下图所示。

图112 创建子接口

 

子接口创建后,在接口列表内该子接口右侧单击编辑按钮,修改接口设置,修改IP地址/掩码为10.0.0.1掩码255.255.255.0,VLAN终结设置Dot1q终结,方式为精确终结,值为10。

图113 修改接口设置

 

图114 修改IP地址/掩码

 

图115 VLAN终结设置

 

重复上述步骤创建子接口,选择接口为RAGG1,子接口编号为20,子接口创建后,在接口列表内该子接口右侧单击编辑按钮,修改接口设置,修改IP地址/掩码为192.168.1.254掩码255.255.255.0,VLAN终结设置Dot1q终结,方式为精确终结,值为20。

2. 创建PKI域,并禁止CRL检查。

在导航栏中选择“对象>PKI>证书”,进入证书页面。

单击<新建>PKI域,添加域名称为ca,禁止CRL检查,如下图所示。

图116 添加PKI域

 

单击<确定>,完成操作。

3. 导入CA证书和设备证书到创建的PKI域ca中。

选中ca,单击<导入证书>按钮,如下图所示。

图117 导入证书

 

证书类型选择CA证书,单击<选择文件>按钮,选择certnew.cer文件,如下图所示。

图118 导入CA证书

 

单击<确定>,完成操作。

证书类型选择本地证书,单击<选择文件>按钮,选择local.pfx文件,输入证书口令(123456),如下图所示。

图119 导入本地证书

 

单击<确定>,完成操作。

4. 创建SSL服务器端策略,并且引用PKI域ca。

在导航栏中选择“对象>SSL>服务器端策略”,进入SSL页面。

单击<新建>按钮,添加策略名称为SSL,PKI域选择ca的SSL服务器端策略,如下图所示。

图120 添加SSL服务器端策略

 

单击<确定>,完成操作。

5. 创建ICMP类型的NQA模板t1。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>,添加健康模板名称为t1,类型为ICMP的健康检测模板,如下图所示。

图121 添加健康检测模板

 

6. 配置实服务组。

创建实服务组sf1,采用的调度算法为源IP地址哈希算法。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,健康性检测选择t1的实服务组,如下图所示。

图122 添加实服务组

 

单击<确定>按钮,完成操作。

7. 配置实服务器。

添加实服务组成员,新建实服务器rs1,实服务器端口为80,配置其IPv4地址为192.168.1.1。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面,选择sf1,单击编辑按钮,添加实服务器名称为rs1,实服务器IP地址为192.168.1.1,实服务器端口为80,如下图所示。

图123 添加实服务器信息

 

单击<确定>按钮,完成操作。

参照上图创建实服务器rs2,配置其IPv4地址为192.168.1.2、实服务器端口为80。

参照上图创建实服务器rs3,配置其IPv4地址为192.168.1.3、实服务器端口为80。

8. 配置虚服务器。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面。

单击<新建>,添加虚服务器名称为vs1,类型选择HTTPS,配置虚服务IP为61.159.4.100,其默认实服务组为sf1,端口号为443,引用SSL服务端策略ssl,并开启虚服务,如下图所示。

图124 新建虚服务器

 

单击<确定>,完成操作。

5.4.6  验证配置

1. 查看所有实服务组成员的信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面,查看成员列表一栏。

图125 实服务组成员列表

2. 查看实服务组的信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

图126 实服务组列表

 

3. 查看虚服务器的信息。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面

图127 虚服务器列表

 

4. Host通过https://61.159.4.100访问HTTP服务器,访问成功,可以在LB设备上查看到虚服务和实服务的统计信息。

在导航栏中选择“监控>应用负载均衡统计>虚服务器统计”,进入虚服务统计页面

图128 虚服务器统计信息

在导航栏中选择“监控>应用负载均衡>实服务器统计”,进入实服务统计页面

图129 实服务器统计信息

 

5.4.7  配置文件

1. 交换机配置文件:

#

vlan 10 20

#

interface GigabitEthernet1/0/9

 port link-mode bridge

 port access vlan 10

#

interface GigabitEthernet1/0/7

 port link-mode bridge

 port access vlan 20

#

interface GigabitEthernet1/0/13

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 10 20

 port link-aggregation group 1

 #

 interface GigabitEthernet1/0/15

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 10 20

 port link-aggregation group 1

#

2. LB设备配置文件:

#

interface Route-Aggregation1

#

interface Route-Aggregation1.10

 ip address 11.0.0.1 255.255.255.0

 vlan-type dot1q vid 10

#

interface Route-Aggregation1.20

 ip address 192.168.1.254 255.255.255.0

 vlan-type dot1q vid 20

#

nqa template icmp t1

#

pki domain ca

 public-key rsa general name ca

 undo crl check enable

#

pki import domain ca der ca filename certnew.cer 

pki import domain ca p12 local filename local.pfx

#

ssl server-policy ssl

 pki-domain ca

 ciphersuite rsa_aes_128_cbc_sha rsa_des_cbc_sha rsa_rc4_128_md5 rsa_3des_ede_cb

c_sha rsa_aes_256_cbc_sha exp_rsa_rc4_md5 exp_rsa_rc2_md5 exp_rsa_des_cbc_sha dh

e_rsa_aes_128_cbc_sha dhe_rsa_aes_256_cbc_sha

#

server-farm sf1

 predictor hash address source

  probe t1

 success-criteria at-least 1

real-server rs1 port 80

  success-criteria at-least 1

 real-server rs2 port 80

  success-criteria at-least 1

 real-server rs3 port 80

  success-criteria at-least 1

#

real-server rs1

 ip address 192.168.1.1

 port 80

#

real-server rs2

 ip address 192.168.1.2

port 80

#

real-server rs3

 ip address 192.168.1.3

port 80

#

virtual-server vs1 type http

 port 443

 virtual ip address 61.159.4.100

 default server-farm sf1

 ssl-server-policy ssl

 service enable

 sticky-sync enable

5.5  HTTP压缩

5.5.1  组网需求

LB对Server端回应报文进行压缩,Client端需携带Accept-Encoding。

图130 HTTP压缩组网图

 

5.5.2  配置思路

为实现HTTP压缩功能,需要在LB设备上完成如下配置:

·     配置带压缩参数的参数模板

·     配置实服务组、实服务器、虚服务

·     Server端回复的大文件在客户端文件被压缩

5.5.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的。

5.5.4  配置注意事项

注意客户端请求报文中需携带Accept-Encoding: gzip,deflate

5.5.5  配置步骤

说明

以下验证过程在LB设备上进行。

 

1. 创建HTTP类型的NQA模板t1、t2、t3。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>按钮,添加健康模板名称为t1,类型为HTTP的健康检测模板,URL为http://192.168.1.1/index.html,如下图所示。

图131 添加健康检测模板

 

单击<确定>按钮,完成操作。

按照上图步骤创建HTTP类型健康检测t2、t3,URL分别为http://192.168.1.2/index.html、http://192.168.1.3/index.html

2. 创建实服务组sf1,并指定其健康检测方法为t1。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,健康性检测选择t1、t2、t3的实服务组,且成功条件为至少1个检测通过,如下图所示。

图132 添加实服务组

 

单击<确定>按钮,完成操作。

3. 添加实服务组成员,新建实服务器rs1,配置其IPv4地址为192.168.1.1。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

选择实服务组sf1,单击<编辑>按钮,在成员列表一栏,添加实服务器名称为rs1,实服务器IP地址为192.168.1.1,如下图所示。

图133 添加实服务器信息

 

单击<确定>按钮,完成操作。

参照上图创建实服务器rs2,配置其IPv4地址为192.168.1.2。

参照上图创建实服务器rs3,配置其IPv4地址为192.168.1.3。

4. 配置参数模板,HTTP压缩。

在导航栏中选择“策略>应用负载均衡>参数模板”,进入参数模板页面。

单击<新建>,添加参数模板名称为pp1,类型选择HTTP-Compress,如下图所示。

图134 添加参数模板信息

 

单击<确定>,完成操作。

5. 配置虚服务器。

创建HTTP类型的虚服务器vs1,配置其VSIP为61.159.4.100,应用参数模板pp1,并开启虚服务。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面。

单击<新建>按钮,添加虚服务器名称为vs1,类型选择HTTP,应用参数模板pp1,并开启虚服务,如下图所示。

图135 新建虚服务器

 

单击<确定>,完成操作。

5.5.6  验证配置

1. Host端浏览器访问Server端,浏览器默认带Accept-Encoding:gzip,deflate,服务器端设置回复一个大文件,大小为219333bytes,抓取客户端的报文,查看LB设备返回给客户端的200 OK报文的长度标红处为压缩后报文长度。

 

5.5.7  配置文件

#

nqa template http t1

 url http://192.168.1.1/index.html

#

nqa template http t2

 url http://192.168.1.2/index.html

#

nqa template http t3

 url http://192.168.1.3/index.html

#

parameter-profile pp1 type http-compression

 compression level 9

 memory-size 1

 prefer-method deflate

 request-version all

 undo header delete request accept-encoding

#

server-farm sf1

 predictor hash address source

 success-criteria at-least 1

 real-server rs1 port 80

  success-criteria at-least 1

 real-server rs2 port 80

  success-criteria at-least 1

 real-server rs3 port 80

  success-criteria at-least 1

#

real-server rs1

 ip address 192.168.1.1

#

real-server rs2

 ip address 192.168.1.2

#

real-server rs3

 ip address 192.168.1.3

#

virtual-server vs1 type http

 virtual ip address 61.159.4.100

 parameter http-compression pp1

 default server-farm sf1

 service enable

 sticky-sync enable

5.6  NAT64

5.6.1  组网需求

实现IPv4和IPv6的网络互通,用IPv4的地址访问IPv6的服务器,或者用IPv6的地址访问IPv4的服务器

图136 NAT64配置组网图

 

5.6.2  配置思路

为实现NAT64功能,需要在LB设备上完成如下配置:

·     配置接口地址、实服务组、实服务器、虚服务、源地址池

·     客户端IPv4地址访问Server端IPv6地址服务器

·     客户端IPv6地址访问Server端IPv4地址服务器

5.6.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的 。

5.6.4  配置注意事项

·     实服务器地址与snat-pool地址IP类型保持一致,即同是IPv4或者同是IPv6。

·     NAT64只支持HTTP类型虚服务

5.6.5  配置步骤

1. 配置到交换机的聚合口及子接口。

在导航栏中选择“网络>接口>链路聚合”,进入链路聚合页面。

单击<新建>按钮,添加聚合类型为三层聚合,聚合组编号为RAGG1,选择成员端口,如下图所示。

图137 添加三层聚合口

 

在导航栏中选择“网络>接口>接口”,进入接口页面。

单击创建子接口,选择接口为RAGG1,子接口编号为10,如下图所示。

图138 创建子接口

 

子接口创建后,在接口列表内该子接口右侧单击<编辑>按钮,修改接口设置,修改IP地址/掩码为11.0.0.1掩码255.255.255.0,VLAN终结设置Dot1q终结,方式为精确终结,值为10。

图139 修改接口设置

 

图140 修改IP地址/掩码

 

图141 修改IPv6地址

 

图142 VLAN终结设置

 

重复上述步骤创建子接口,选择接口为RAGG1,子接口编号为20,子接口创建后,在接口列表内该子接口右侧单击编辑按钮,修改接口设置,修改IPv4地址/掩码为7.0.0.1掩码255.255.255.0,修改IPv6地址为7::1,前缀长度为64,VLAN终结设置Dot1q终结,方式为精确终结,值为20。

2. 配置地址池。

在导航栏中选择“策略>全局配置>源地址池”,进入源地址池页面。

单击<新建>,添加源地址池名称为snat1,如下图所示。

图143 添加源IPv4地址池信息

 

单击<确定>,完成操作。

添加snat2步骤与snat1相同,snat2配置信息如下图所示。

图144 添加源IPv6地址池信息

 

3. 配置实服务组。

(1)     创建ICMP类型的NQA模板t1。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>,添加健康模板名称为t1,类型为ICMP的健康检测模板,如下图所示。

图145 添加健康检测模板

 

单击<确定>按钮,完成操作。

(2)     创建实服务组sf1、sf2,并指定其健康检测方法为t1。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击<新建>按钮,添加实服务组名称为sf1、sf2分别绑定地址池snat1、snat2,调度算法为源IP地址哈希,健康性检测选择t1的实服务组,如下图所示。

图146 添加实服务组sf1

 

图147 添加实服务组sf2

 

单击<确定>按钮,完成操作。

4. 配置实服务器。

添加实服务组成员,新建实服务器rs1,配置其IPv4地址为7.0.0.2。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击编辑实服务组sf1,添加实服务器名称为rs1,实服务器IP地址为7.0.0.2,如下图所示。

图148 添加实服务器信息

 

 

单击<确定>按钮,完成操作。

策略>应用负载均衡>实服务组>,参照上图添加实服务组sf1的成员,新建实服务器rs2,配置其IPv4地址为7.0.0.3。

策略>应用负载均衡>实服务组>,参照上图添加实服务组sf2的成员,新建实服务器rs11,配置其IPv4地址为7::2。

策略>应用负载均衡>实服务组>,参照上图添加实服务组sf2的成员,新建实服务器rs12,配置其IPv4地址为7::3。

5. 配置虚服务器。

创建HTTP类型的虚服务器vs1,配置其VSIP为200::1,并开启虚服务。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面。

单击<新建>,添加虚服务器名称为vs1、vs2,分别设置虚服务器IP地址为200::1和61.159.4.100,并分别绑定实服务组sf1、sf2,类型选择HTTP,并开启虚服务,如下图所示。

图149 新建虚服务器vs1

 

图150 新建虚服务器vs2

 

单击<确定>,完成操作。

5.6.6  验证配置

1. 看所有实服务组成员的简要信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面,查看成员列表一栏

图151 实服务组sf1成员列表

图152 实服务组sf2成员列表

 

2. 查看所有实服务组的详细信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面

图153 实服务组列表

 

3. 查看所有虚服务器的详细信息。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面

图154 虚服务器列表

 

4. NAT46验证结果:Host通过http://61.159.4.100访问HTTP服务器,访问成功,可以在LB设备上查看到虚服务和实服务的统计信息。

在导航栏中选择“监控>应用负载均衡>虚服务统计”

图155 虚服务器统计信息

在导航栏中选择“监控>应用负载均衡>实服务统计”

图156 实服务器统计信息

5. NAT64验证结果:Host通过http://200::1访问HTTP服务器,访问成功,可以在LB设备上查看到虚服务和实服务的统计信息。

在导航栏中选择“监控>应用负载均衡>虚服务统计”

图157 虚服务器统计信息

在导航栏中选择“监控>应用负载均衡>实服务统计”

图158 实服务器统计信息

 

5.6.7  配置文件

1. 交换机配置:

#

vlan 10 20

#

interface Bridge-Aggregation1

 port link-type trunk

 port trunk permit vlan 1 10 20

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 10 20

 port link-aggregation group 1

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 10 20

 port link-aggregation group 1

#

interface GigabitEthernet1/0/4

 port link-mode bridge

 port access vlan 10

#

interface GigabitEthernet1/0/5

 port link-mode bridge

 port access vlan 20

#

2. LB设备配置:

#

interface Route-Aggregation1

#

interface Route-Aggregation1.10

ip address 11.0.0.1 255.255.255.0

 vlan-type dot1q vid 10

 ipv6 address 300::1/64

#

interface Route-Aggregation1.20

ip address 7.0.0.1 255.255.255.0

 vlan-type dot1q vid 20

 ipv6 address 7::1/64

#

nqa template icmp t1

#

loadbalance snat-pool snat1

 ip range start 7.0.0.10 end 7.0.0.10

 arp-nd interface Route-Aggregation1.10

#

loadbalance snat-pool snat2

 ipv6 range start 7::10 end 7::10

 arp-nd interface Route-Aggregation1.20

#

server-farm sf1

 predictor hash address source

 snat-pool snat1

 probe t1

 success-criteria at-least 1

 real-server rs1 port 0

  success-criteria at-least 1

 real-server rs2 port 0

  success-criteria at-least 1

#

server-farm sf2

 predictor hash address source

 snat-pool snat2

 probe t1

 success-criteria at-least 1

 real-server rs11 port 0

  success-criteria at-least 1

 real-server rs12 port 0

  success-criteria at-least 1

#

real-server rs1

 ip address 7.0.0.2

#

real-server rs11

 ipv6 address 7::2

#

real-server rs12

 ipv6 address 7::3

#

real-server rs2

 ip address 7.0.0.3

#

virtual-server vs1 type http

 virtual ipv6 address 200::1

 default server-farm sf1

 service enable

 sticky-sync enable

#

virtual-server vs2 type http

 virtual ip address 61.159.4.100

 default server-farm sf2

 service enable

 sticky-sync enable

#

5.7  连接复用

5.7.1  组网需求

负载均衡连接复用功能,即负载均衡设备与服务器建立长连接,使多个客户端复用同一条与服务器的连接,以减少客户端与服务器之间打开的连接数,从而提高服务器的处理能力。

Host通过LB设备对3台服务器进行访问,三台服务器Server A、Server B和Server C均可提供HTTP服务,Host访问服务器的流量会在三台服务器之间负载分担,并减少客户端与服务器之间打开的连接数。

图159 LB设备负载均衡组网图

 

5.7.2  配置思路

为了实现HTTP连接复用功能,需要在LB设备上完成如下配置:

·     建立HTTP类型的参数模板,并使能服务器连接复用

·     在HTTP类型的虚服务下应用该参数模板

·     大量Host多个连接访问Server,TCP连接被复用

5.7.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的 。

5.7.4  配置注意事项

·     确保Host到LB设备的虚服务路由可达。

·     实服务组需要配置绑定源地址池

·     在LB设备上配置的实服务器地址要与相应的实服务器地址保持一致。

·     配置完虚服务后,需要开启虚服务。

5.7.5  配置步骤

说明

以下验证过程均在LB设备上进行。

 

1. 创建ICMP类型的NQA模板t1。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>,添加健康模板名称为t1,类型为ICMP的健康检测模板,如下图所示。

图160 添加健康检测模板

 

单击<确定>按钮,完成操作。

2. 创建HTTP类型的负载均衡参数模板。

在导航栏中选择“策略>应用负载均衡>参数模板”,进入参数模板页面

新建HTTP类型的参数模板名称为pp1,类型选择HTTP,并开启连接复用。

图161 新建参数模板

 

3. 配置源地址池。

# 创建源地址池snat1。

在导航栏中选择“策略>全局配置>源地址池”,进入源地址池页面。

单击<新建>,添加源地址池名称为snat1,起始IP地址填入接口地址,结束IP地址填入接口地址,如下图所示。

图162 新建源地址池

 

4. 配置实服务组。

# 创建实服务组sf1,采用的调度算法为源IP地址哈希算法。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,健康检测选择t1,源地址池为snat1,如下图所示。

图163 新建实服务组

 

5. 配置实服务器。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击编辑实服务组sf1,添加实服务组成员,新建实服务器rs1,配置其IPv4地址为192.168.1.1。单击<确定>

图164 新建实服务器

 

参照上图创建实服务器rs2,配置其IPv4地址为192.168.1.2。

参照上图创建实服务器rs3,配置其IPv4地址为192.168.1.3。

6. 配置虚服务器,应用参数模板。

# 创建HTTP类型的虚服务器vs1,配置其VSIP为61.159.4.100,指定其默认实服务组为sf1,参数模板为pp1

在导航栏中选择“策略>应用负载均衡>虚服务器”,添加虚服务器名称为vs1,HTTP类型,配置虚服务器IP地址为61.159.4.100,其默认实服务组为sf1,开启虚服务,选择刚才创建的HTTP类型的参数模板pp1:

图165 新建虚服务器

 

5.7.6  验证配置

1. 查看所有实服务组成员的简要信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面,查看成员列表一栏

图166 实服务组成员列表

2. 查看实服务组的信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

图167 实服务组列表

 

3. 查看所有虚服务器的详细信息。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面

图168 虚服务器列表

 

4. 取消连接复用时,大量Host通过http:// 61.159.4.100访问HTTP服务器,访问成功,可以在LB设备上查看到虚服务统计信息中总连接数等于实服务统计信息中的总连接数。

图169 虚服务器统计信息

图170 实服务组统计信息

图171 实服务器统计信息

 

5. 配置连接复用时,大量Host通过http:// 61.159.4.100访问HTTP服务器,访问成功,可以在LB设备上查看到虚服务统计信息中总连接数远大于实服务统计信息中的总连接数。

图172 虚服务器统计信息

图173 实服务组统计信息

图174 实服务器统计信息

 

5.7.7  配置文件

#

nqa template icmp t1

#

parameter-profile pp1 type http

server-connection reuse

#

loadbalance snat-pool 1

 ip range start 192.168.1.254 end 192.168.1.254

#

server-farm sf1

 predictor hash address source

 snat-pool snat1

 probe t1

 success-criteria at-least 1

 real-server rs1 port 0

  success-criteria at-least 1

 real-server rs2 port 0

  success-criteria at-least 1

 real-server rs3 port 0

  success-criteria at-least 1

#

real-server rs1

 ip address 192.168.1.1

#

real-server rs2

 ip address 192.168.1.2

#

real-server rs3

 ip address 192.168.1.3

#

virtual-server vs1 type http

 virtual ip address 61.159.4.100

 parameter http pp1

 default server-farm sf1

 service enable

 sticky-sync enable

 

5.8  客户端源地址插入

5.8.1  组网需求

SLB部署SNAT业务情况下,服务器需要基于客户端的地址做数据统计,在客户端请求报文中插入值。

内网用户Host通过LB设备对3台服务器进行访问,公网内三台服务器Server A、Server B和Server C均可提供HTTP服务,Host访问服务器的流量会在三台服务器之间负载分担。要求Host访问流量进行源地址转换,且其中将访问URL含关键字government的客户端地址透传给实服务器C,以便实服务器甄别客户端做进一步安全性处理;其它URL流量在实服务器A和B之间负载分担。

图175 客户端源地址插入组网图

 

5.8.2  配置思路

为了实现LB设备透传特定用户的客户端源地址,需要在LB设备上完成如下配置:

·     配置SNAT屏蔽客户端内网地址。

·     创建负载均衡策略,其中对于URL包含government的访问请求,动作中设置插入新的Header以便携带客户端源地址;其它URL直接负载分担到实服务器。

5.8.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的。

5.8.4  配置注意事项

·     确保Host到LB设备的虚服务路由可达。

·     在LB设备上配置的实服务器地址要与相应的实服务器地址保持一致。

·     配置完虚服务后,需要开启虚服务。

·     HTTP报文中的首部内容为1~255个字符的字符串,也可以使用以下特定含义的字符串,说明:%is:源IP地址或源IPv6地址。%ps:源端口号。%id:目的IP地址或目的IPv6地址。%pd:目的端口号。

5.8.5  配置步骤

说明

以下验证过程均在LB设备上进行。

 

1. 创建ICMP类型的NQA模板t1。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>,添加健康模板名称为t1,类型为ICMP的健康检测模板,如下图所示。

图176 添加健康检测模板

 

单击<确定>按钮,完成操作。

2. 配置负载均衡源地址池。

# 创建源地池:在导航栏中选择“策略>全局配置>源地址池”,进入源地址池页面。

单击<新建>,源地址池名称snat1,配置起始地址和结束地址为接口同网段公网地址,单击<确定>。

图177 新建源地址池

 

3. 配置实服务组。

# 创建实服务组sf,采用的调度算法为源IP地址哈希算法,选择源地址池snat1。

在导航栏中选择“策略>应用负载均衡>实服务组”,单击<新建>,添加实服务组名称为sf,调度算法为源IP地址哈希,健康性检测选择t1,源地址池选择snat1。

图178 新建实服务组sf

 

# 创建实服务组sf_gov,采用的调度算法为加权轮转,选择源地址池snat1。

在导航栏中选择“策略>应用负载均衡>实服务组”,添加实服务组sf_gov,调度算法选择加权轮转,单击<确定>。

图179 新建实服务组sf_gov

 

4. 配置实服务器。

在导航栏中选择“策略>应用负载均衡>实服务组”,选择实服务组sf,单击<编辑>,在成员列表一栏添加实服务器rs1,IP地址为192.168.1.1,权值为150。单击<确定>。

图180 新建实服务器

 

参照上图在实服务组sf中创建实服务器rs2,配置其IPv4地址为192.168.1.2、权值为120。

参照上图在实服务组sf_gov中创建实服务器rs3,配置其IPv4地址为192.168.1.3、权值为90。

5. 创建负载均衡流分类。

在导航栏中选择“策略>应用负载均衡>高级策略>流量特征”,添加HTTP类型的流量特征名称为lc1,识别访问请求中URL含government关键字的用户。

图181 新建流量特征

 

6. 创建负载均衡动作。

# 添加HTTP类型的动作名称为la1,为转发到实服务组sf_gov并在客户端请求报文中插入名字为X-Forwarded-For值为客户端源地址的Header。

在导航栏中选择“策略>应用负载均衡>高级策略>动作”,添加HTTP类型的动作名称为la1为转发到实服务组sf_gov,并在客户端请求报文中插入名字为X-Forwarded-For(此名称为举例,Header名称需要和现场服务器侧一致,)值为客户端源地址的Header。

图182 新建动作

 

# 添加HTTP类型的动作名称为la2,为转发到实服务组sf

在导航栏中选择“策略>应用负载均衡>高级策略>动作”,添加HTTP类型的动作名称为la2为转发到实服务组sf:

图183 新建动作

 

7. 创建负载均衡策略。

# 创建HTTP类型的负载均衡策略lp,配置默认动作为la2,流分类为lc1的动作为为la1。

在导航栏中选择“策略>应用负载均衡>高级策略>负载均衡策略”,添加HTTP类型的策略名称为lp,默认动作为la2,新建规则流量特征为lc1动作为la1:

图184 新建负载均衡策略

 

8. 配置虚服务器,应用负载均衡策略。

# 创建HTTP类型的虚服务器vs,配置其VSIP为61.159.4.100,引用负载均衡策略lp

在导航栏中选择“策略>应用负载均衡>虚服务器”,添加虚服务器vs:HTTP类型,配置虚服务IP为61.159.4.100,在负载均衡策略中选择lp:

图185 新建虚服务器

 

5.8.6  验证配置

1. 查看所有实服务组成员的简要信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面,查看成员列表一栏

图186 实服务组sf成员列表

图187 实服务组sf_gov成员列表

 

2. 查看所有实服务组的详细信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面

图188 实服务组列表

 

3. 查看所有虚服务器的详细信息。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面

图189 虚服务列表

 

4. 查看源地址池详细信息。

在导航栏中选择“策略>全局配置>源地址池”,进入源地址池页面

图190 SNAT地址池列表

 

5. 查看负载均衡策略配置信息。

在导航栏中选择“策略>应用负载均衡>高级策略”,进入负载均衡策略页面

图191 负载均衡策略列表

 

6. 查看负载均衡流分类和动作配置信息。

在导航栏中选择“策略>应用负载均衡>高级策略”,进入流量特征页面

图192 负载均衡流量特征列表

 

在导航栏中选择“策略>应用负载均衡>高级策略”,进入动作页面

图193 负载均衡动作列表

 

7. 大量Host通过http:// 61.159.4.100访问HTTP服务器,访问成功,在实服务器上抓包可以看到URL中含government的请求被分配到rs3,且请求报文中含有名字为x-forwarded-for、值为客户源地址的Header;其他请求被分配到rs1和rs2。

在客户端抓包:

 

在服务端抓包:

 

 

5.8.7  配置文件

#

nqa template icmp t1

#

loadbalance snat-pool snat1

 ip range start 192.168.1.254 end 192.168.1.254

#

server-farm sf

 predictor hash address source

snat-pool snat1

probe t1

#

server-farm sf_gov

 snat-pool snat1

 probe t1

 success-criteria at-least 1

 real-server rs3 port 0

  weight 90

  success-criteria at-least 1

#

loadbalance class lc1 type http

 match 1 url government

#

loadbalance action la1 type http

 server-farm sf_gov

 header insert request name x-forwarded-for value %is

#

loadbalance action la2 type http

 server-farm sf

#

loadbalance policy lp type http

 class lc1 action la1

 default-class action la2

#

real-server rs1

 ip address 192.168.1.1

#

real-server rs2

 ip address 192.168.1.2

#

real-server rs3

 ip address 192.168.1.3

#

virtual-server vs type http

 virtual ip address 61.159.4.100

 lb-policy lp

 service enable

 sticky-sync enable

5.9  NAT66客户端源地址插入

5.9.1  组网需求

SLB部署SNAT业务情况下,服务器需要基于客户端的地址做数据统计,在客户端请求报文中插入值。

内网用户Host通过LB设备对3台服务器进行访问,公网内三台服务器Server A、Server B和Server C均可提供HTTP服务,Host访问服务器的流量会在三台服务器之间负载分担。要求Host访问流量进行源地址转换,且其中将访问URL含关键字government的客户端地址透传给实服务器C,以便实服务器甄别客户端做进一步安全性处理;其它URL流量在实服务器A和B之间负载分担。

图194 客户端源地址插入组网图

 

5.9.2  配置思路

为了实现LB设备透传特定用户的客户端源地址,需要在LB设备上完成如下配置:

·     配置SNAT屏蔽客户端内网地址。

·     创建负载均衡策略,其中对于URL包含government的访问请求,动作中设置插入新的Header以便携带客户端源地址;其它URL直接负载分担到实服务器。

5.9.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的。

5.9.4  配置注意事项

·     确保Host到LB设备的虚服务路由可达。

·     在LB设备上配置的实服务器地址要与相应的实服务器地址保持一致。

·     配置完虚服务后,需要开启虚服务。

·     HTTP报文中的首部内容为1~255个字符的字符串,也可以使用以下特定含义的字符串,说明:%is:源IP地址或源IPv6地址。%ps:源端口号。%id:目的IP地址或目的IPv6地址。%pd:目的端口号。%sps:服务器侧的源端口号。%spd:服务器侧的目的端口号。%sis:服务器侧的源IP地址。%sid:服务器侧的目的IP地址。

5.9.5  配置步骤

说明

以下验证过程均在LB设备上进行。

 

1. 创建ICMP类型的NQA模板t1。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>,添加健康模板名称为t1,类型为ICMP的健康检测模板,如下图所示。

图195 添加健康检测模板

 

单击<确定>按钮,完成操作。

2. 配置负载均衡源地址池。

# 创建源地池:在导航栏中选择“策略>全局配置>源地址池”,进入源地址池页面。

单击<新建>,源地址池名称snat1,配置起始地址和结束地址为接口同网段公网地址,单击<确定>。

图196 新建源地址池

 

3. 配置实服务组。

# 创建实服务组sf1,采用的调度算法为源IP地址哈希算法,选择源地址池snat1。

在导航栏中选择“策略>应用负载均衡>实服务组”,单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,健康性检测选择t1,源地址池选择snat1。

图197 新建实服务组sf1

 

 

# 创建实服务组sf_gov,采用的调度算法为加权轮转,选择源地址池snat1。

策略>应用负载均衡>实服务组,添加实服务组sf_gov,调度算法选择加权轮转,单击<确定>。

图198 新建实服务组sf_gov

 

4. 配置实服务器。

在导航栏中选择“策略>应用负载均衡>实服务组”,选择实服务组sf1,单击<编辑>,在成员列表一栏添加实服务器rs1,IP地址为7::2。单击<确定>。

图199 新建实服务器

 

参照上图创建实服务器rs2,配置其IPv6地址为7::3,并加入实服务组sf1。

参照上图创建实服务器rs3, 配置其IPv6地址为7::4,并加入实服务组sf_gov。

5. 创建流量特征

在导航栏中选择“策略>应用负载均衡>高级策略>流量特征”,添加HTTP类型的流量特征名称为lc1,识别访问请求中URL含government关键字的用户。

图200 新建流量特征

 

6. 创建负载均衡动作。

# 添加HTTP类型的动作名称为la1,为转发到实服务组sf_gov并在客户端请求报文中插入名字为X-Forwarded-For值为客户端源地址的Header。

在导航栏中选择“策略>应用负载均衡>高级策略>动作”,添加HTTP类型的动作名称为la1为转发到实服务组sf_gov,并在客户端请求报文中插入名字为X-Forwarded-For(此名称为举例,Header名称需要和现场服务器侧一致,)值为客户端源地址的Header。

图201 新建动作

 

# 添加HTTP类型的动作名称为la2,为转发到实服务组sf1

策略>应用负载均衡>高级策略>动作,添加HTTP类型的动作名称为la2为转发到实服务组sf1:

图202 新建动作

 

7. 创建负载均衡策略。

# 创建HTTP类型的负载均衡策略lp,配置默认动作为la2,流分类为lc1的动作为为la1。

在导航栏中选择“策略>应用负载均衡>高级策略>负载均衡策略”,添加HTTP类型的策略名称为lp,默认动作为la2,新建规则流量特征为lc1动作为la1:

图203 新建负载均衡策略

 

8. 配置虚服务器,应用负载均衡策略。

# 创建HTTP类型的虚服务器vs1,配置其VSIP为200::1,引用负载均衡策略lp

在导航栏中选择“策略>应用负载均衡>虚服务器”,点击<新建>,添加虚服务器vs1:HTTP类型,配置虚服务IP为200::1,在负载均衡策略中选择lp:

图204 新建虚服务器

 

5.9.6  验证配置

1. 查看所有实服务组成员的简要信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面,查看成员列表一栏

图205 实服务组sf成员列表

图206 实服务组sf_gov成员列表

 

2. 查看所有实服务组的详细信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面

图207 实服务组列表

 

3. 查看所有虚服务器的详细信息。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面

图208 虚服务列表

 

4. 查看源地址池详细信息。

在导航栏中选择“策略>全局配置>源地址池”,进入源地址池页面

图209 SNAT地址池列表

 

5. 查看负载均衡策略配置信息。

在导航栏中选择“策略>应用负载均衡>高级策略”,进入负载均衡策略页面

图210 负载均衡策略列表

 

6. 查看负载均衡流分类和动作配置信息。

在导航栏中选择“策略>应用负载均衡>高级策略”,进入流量特征页面

图211 负载均衡流量特征列表

在导航栏中选择“策略>应用负载均衡>高级策略”,进入动作页面

图212 负载均衡动作列表

 

7. 大量Host通过http:// 200::1访问HTTP服务器,访问成功,在实服务器上抓包可以看到URL中含government的请求,且请求报文中含有名字为x-forwarded-for、值分别设置如下。

%is:客户端侧的源IP地址。

 

5.9.7  配置文件

#

nqa template icmp t1

#

loadbalance snat-pool snat1

 ipv6 range start 7::6 end 7::6

 arp-nd interface Route-Aggregation1.20

#

server-farm sf1

 predictor hash address source

 snat-pool snat1

 probe t1

 success-criteria at-least 1

 real-server rs1 port 80

  success-criteria at-least 1

 real-server rs2 port 80

  success-criteria at-least 1

#

server-farm sf_gov

 snat-pool snat1

 probe t1

 success-criteria at-least 1

 real-server rs3 port 80

  success-criteria at-least 1

#

loadbalance class lc1 type http

 match 1 url government

#

loadbalance action la1 type http

 server-farm sf_gov

 header insert request name x-forwarded-for value %is

#

loadbalance action la2 type http

 server-farm sf1

#

loadbalance policy lp type http

 class lc1 action la1

 default-class action la2

#

real-server rs1

 ipv6 address 7::2

#

real-server rs2

 ipv6 address 7::3

#

real-server rs3

 ipv6 address 7::4

#

virtual-server vs1 type http

 virtual ipv6 address 200::1

 lb-policy lp

 default server-farm sf1

 service enable

 sticky-sync enable

5.10  基于URL的策略重定向

5.10.1  组网需求

根据请求中的URL分类,将HTTP请求重定向为HTTPS请求,或者将HTTPS请求重定向为HTTP请求。

Host通过LB设备对3台服务器进行访问。负载均衡服务器上配置HTTP协议和HTTPS协议。

三台服务器Server A、Server B和Server C均可提供HTTP服务,Host访问服务器的流量会在三台服务器之间负载分担。

针对如下URL,要求配置HTTP请求自动重定向到HTTPS请求。

原请求路径

重定向路径

http://x.x.x.x/login

https://x.x.x.x/login

 

针对如下URL,要求配置HTTPS请求自动重定向到HTTP请求。

原请求路径

重定向路径

https://x.x.x.x/map/index.html

http://x.x.x.x/map/index.html

 

图213 LB设备基于URL重定向组网图

 

5.10.2  配置思路

为了实现基于URL的策略重定向功能,需要在LB设备上完成如下配置:

·     配置实服务组、实服务器、负载均衡策略。

·     将CA证书和设备证书导入到LB设备,并在LB设备上创建SSL策略。

·     配置虚服务,并在虚服务下应用策略。

·     根据请求中的URL分类,将HTTP请求重定向为HTTPS请求,或者将HTTPS请求重定向为HTTP请求

5.10.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的。

5.10.4  配置注意事项

·     确保Host到LB设备的虚服务路由可达。

·     相应的实服务器使用端口号为80。

·     配置完虚服务后,需要开启虚服务。

5.10.5  配置步骤

说明

以下验证过程均在LB设备上进行。

 

1. 创建ICMP类型的NQA模板t1。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>,添加健康模板名称为t1,类型为ICMP的健康检测模板,如下图所示。

图214 添加健康检测模板

 

2. 配置实服务组。

创建实服务组sf1,采用的调度算法为源IP地址哈希算法。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,健康性检测选择t1的实服务组,如下图所示。

图215 添加实服务组

 

单击<确定>按钮,完成操作。

3. 配置实服务器。

添加实服务组成员,新建实服务器rs1,配置其IPv4地址为192.168.1.1、实服务器端口为80、权值为150。

在导航栏中选择“策略>应用负载均衡>实服务器组”,进入实服务组页面。

选择编辑实服务组sf1,在成员列表一栏添加实服务器,实服务器IP地址为192.168.1.1,实服务器端口为80,权值设置为150,如下图所示。

图216 添加实服务器信息

 

单击<确定>按钮,完成操作。

策略>应用负载均衡>实服务组,参照上图添加实服务组sf1的成员实服务器rs2,配置其IPv4地址为192.168.1.2、实服务器端口为80、权值为120。

策略>应用负载均衡>实服务组,参照上图添加实服务组sf1的成员实服务器rs3,配置其IPv4地址为192.168.1.3、实服务器端口为80、权值为90。

4. 配置负载均衡策略——流量特征。

匹配http://x.x.x.x/login等URL中带有/login关键字的HTTP请求流量

在导航栏中选择“策略>应用负载均衡>高级策略>流量特征”,新建流量特征名称为c_http,新建规格Match ID为1,类型为URL,URL为/login。

图217 新建流量特征c_http

 

图218 流量特征c_http配置参数显示

 

匹配https://x.x.x.x/map/index.html等URL中带有/map关键字的HTTP请求流量

策略>应用负载均衡>高级策略>流量特征,新建流量特征名称为c_https,新建规格Match ID为1,类型为URL,URL为/map。

图219 新建流量特征c_https

 

图220 流量特征c_https配置参数显示

 

5. 配置负载均衡策略——动作。

将HTTP请求报文重定向为HTTPS请求报文的动作la_http_to_https。

在导航栏中选择“策略>应用负载均衡>高级策略>动作”,新建动作名称为la_http_to_https,类型为HTTP重定向,重定向URL为https://%h%p。

图221 新建动作

 

将HTTPS请求报文重定向为HTTP请求报文的动作la_https_to_http。

策略>应用负载均衡>高级策略>动作,新建动作名称为la_https_to_http,类型为HTTP重定向,重定向URL为http://%h%p。

图222 新建动作

 

6. 配置负载均衡策略——策略。

将上述流分类和动作关联实现如下功能:

(1)     策略http_tobe_https:将url中带有/login的http报文重定向为https报文

(2)     策略https_tobe_http:将url中带有/map的https报文重定向为http报文

在导航栏中选择“策略>应用负载均衡>高级策略>负载均衡策略”,新建名称为http_tobe_https,类型为HTTP,新建规则流量特征为c_http,动作为la_http_to_https

图223 新建负载均衡策略

 

参照上图,新建:名称为https_tobe_http,类型为HTTP,新建规则流量特征为c_https,动作为la_https_to_http。

7. 创建PKI域,并禁止CRL检查。

在导航栏中选择“对象>PKI>证书”,进入证书页面。

单击<新建>PKI域,添加域名称为ca,禁止CRL检查,如下图所示。

图224 添加PKI域

 

单击<确定>,完成操作。

8. 导入CA证书和设备证书到创建的PKI域ca中。

选中ca,单击<导入证书>按钮,如下图所示。

图225 导入证书

 

证书类型选择CA证书,单击<选择文件>按钮,选择cacert.crt文件,如下图所示。

图226 导入CA证书

 

单击<确定>,完成操作。

证书类型选择本地证书,单击<选择文件>按钮,选择local.pfx文件,输入证书口令(默认为123456),密钥123456,如下图所示。

图227 导入本地证书

 

单击<确定>,完成操作。

9. 创建SSL服务器端策略,并且引用PKI域ca。

在导航栏中选择“对象>SSL>服务器端策略”,进入SSL页面。

单击<新建>按钮,添加策略名称为SSL,PKI域选择ca的SSL服务器端策略,如下图所示。

图228 添加SSL服务器端策略

 

单击<确定>,完成操作。

10. 配置虚服务器。

#配置两个虚服务,分别响应HTTP请求报文和HTTPS请求报文

策略>应用负载均衡>虚服务器,新建虚服务器:名称为https,类型为HTTPS,配置虚服务IP为61.159.4.100,其默认实服务组为sf1,端口号为443,引用SSL服务端策略ssl,绑定负载均衡策略https_tobe_http,并开启虚服务,单击<确定>。

图229 新建虚服务器https

 

策略>应用负载均衡>虚服务器,新建虚服务器:名称为http,类型为HTTP,配置虚服务IP为61.159.4.100,其默认实服务组为sf1,端口号为80,并开启虚服务,负载均衡策略为http_tobe_https,单击<确定>。

图230 新建虚服务器http

 

5.10.6  验证配置

1. 将http://x.x.x.x/login请求重定向为:https://x.x.x.x/login

输入:http://61.159.4.100/login/index.html回车之后将会重定向为https://61.159.4.100/login/index.html。

 

从上图中可以看出返回的代码为302,代表发生重定向。

2. 将https://x.x.x.x/map/index.html请求重定向为:http://x.x.x.x/map.html

输入:https://61.159.4.100/map/index.html回车之后将会重定向为http://61.159.4.100/map/index.html。

 

从上图中可以看出HTTPS的请求变为了HTTP请求,说明发生了重定向。

5.10.7  配置文件

#

nqa template icmp t1

#

pki domain ca

 public-key rsa general name 123456

 undo crl check enable

#

pki entity ca

#

pki import domain ca der ca filename cacert.cr

pki import domain ca p12 local filename local.pfx

#

ssl server-policy ssl

 pki-domain ca

 ciphersuite rsa_aes_128_cbc_sha rsa_des_cbc_sha rsa_rc4_128_md5 rsa_3des_ede_cb

c_sha rsa_aes_256_cbc_sha exp_rsa_rc4_md5 exp_rsa_rc2_md5 exp_rsa_des_cbc_sha dh

e_rsa_aes_128_cbc_sha dhe_rsa_aes_256_cbc_sha

#

server-farm sf1

 predictor hash address source

 probe t1

 success-criteria at-least 1

 real-server rs1 port 80

  weight 150

  success-criteria at-least 1

 real-server rs2 port 80

  weight 120

  success-criteria at-least 1

 real-server rs3 port 80

  weight 90

  success-criteria at-least 1

#

loadbalance class c_http type http

 match 1 url /login

#

loadbalance class c_https type http

 match 1 url /map

#

loadbalance action la_http_to_https type http

 redirect relocation https://%h%p

#

loadbalance action la_https_to_http type http

 redirect relocation http://%h%p

#

loadbalance policy http_tobe_https type http

 class c_http action la_http_to_https

#

loadbalance policy https_tobe_http type http

 class c_https action la_https_to_http

#

real-server rs1

 ip address 192.168.1.1

#

real-server rs2

 ip address 192.168.1.2

#

real-server rs3

 ip address 192.168.1.3

#

virtual-server http type http

 virtual ip address 61.159.4.100

 lb-policy http_tobe_https

 default server-farm sf1

 service enable

 sticky-sync enable

#

virtual-server https type http

 port 443

 virtual ip address 61.159.4.100

 lb-policy https_tobe_http

 default server-farm sf1

 ssl-server-policy ssl

 service enable

 sticky-sync enable

5.11  HTTP重定向内容的改写

5.11.1  组网需求

将实服务器返回的重定向报文中的location内容修改成指定内容。

Host通过LB设备对3台服务器进行访问。三台服务器Server A、Server B和Server C均可提供HTTP服务,服务端口为8080。Host访问服务器的流量会在三台服务器之间负载分担。LB设备向用户提供的端口为80。

实服务器上配置有重定向功能:用户HTTP为“/test1”时,重定向的地址为“服务器IP+服务器端口”;用户URL为“/test2”时,重定向的地址为“虚服务IP+服务器端口”;用户URL为“/test3”时,重定向的地址为“域名+服务器端口”。LB设备需要将这些重定向报文修改成“虚服务IP+虚服务端口”发给用户。

用户的请求和回应有如下对应关系:

用户请求

实服务器回应

http://VIP/test1

重定向location:http://RS_IP:8080/

http://VIP/test2

重定向location:http://VIP:8080/

http://VIP/test3

重定向location:http://HOST:8080/

http://VIP/

200 OK

 

对于实服务器回应的重定向报文有如下转换:

原重定向报文

修改后的重定向报文

location:http://RS_IP:8080/

location:http://VIP/

location:http://VIP:8080/

location:http://VIP/

location:http://HOST:8080/

location:http://VIP/

 

图231 LB设备HTTP重定向内容改写组网图

 

5.11.2  配置思路

用户访问URL中含test1时,三个RS均会回应重定向location:http://RS_IP:8080/;用户访问URL中含test2时,三个RS均会回应重定向location:http://VIP:8080/;用户访问URL中含test3时,三个RS均会回应重定向location:http://HOST:8080/。LB需要将所有重定向报文中的location修改为统一的location:http://VIP/。当用户再次以该URL进行访问时,实服务器将正常回应OK报文。

服务器上如何配置重定向在此举例中忽略。

为了修改实服务器返回的重定向报文中的location,需要在LB设备上完成如下配置:

·     配置实服务组、实服务器。

·     配置负载均衡策略,区分含有test1、test2或者test3的URL,与不携带这些字符串的URL;利用动作来修改RS回应的重定向报文中的location。

·     配置虚服务,并在虚服务下应用策略。

5.11.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的。

5.11.4  配置注意事项

·     确保Host到LB设备的虚服务路由可达。

·     相应的实服务器使用端口号为8080。

·     配置完虚服务后,需要开启虚服务。

5.11.5  配置步骤

说明

以下验证过程均在LB设备上进行。

因为采用测试仪作为客户端和RS,无法设置RS区分情况来回应重定向或200 OK报文。为保证用户采用http://VIP/访问时能正常得到回应,此例中为其多设置一个RS专门用于回应200 OK报文。

 

1. 创建ICMP类型的NQA模板t1。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>,添加模板名称为t1,类型为ICMP的健康检测模板,如下图所示。

图232 添加健康检测模板t1

 

2. 配置实服务组。

创建实服务组sf1,采用的调度算法为源IP地址的hash算法。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,健康性检测选择t1的实服务组,如下图所示。

图233 添加实服务组

 

单击<确定>按钮,完成操作。

再以同样方法添加实服务组sf2,用于客户端根据重定向内容重新发起请求的分配。

图234 创建实服务组

 

3. 配置实服务器。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

选择实服务组sf1,单击<编辑>按钮,添加实服务器名称为rs1,实服务器IP地址为192.168.1.1,如下图所示。

图235 新建实服务器

 

单击<确定>按钮,完成操作。

创建rs2、rs11与rs12步骤相同。

# 添加实服务组sf1成员实服务器rs2,配置其IPv4地址为192.168.1.2。

# 添加实服务组sf2成员实服务器rs11,配置其IPv4地址为192.168.1.11。

# 添加实服务组sf2成员实服务器rs12,配置其IPv4地址为192.168.1.12。

重复上述步骤分别创建其它实服务器。

4. 配置负载均衡策略——流量特征。

匹配URL中带有test1、test2或者test3关键字的HTTP请求流量。

在导航栏中选择“策略>应用负载均衡>高级策略>流量特征”,点击<新建>:流量特征名称为lc1,类型为HTTP,选择匹配任意一条规则,创建匹配规则Match ID为1、类型为URL、URL为test1,创建匹配规则Match ID为2、类型为URL、URL为test2,创建匹配规则Match ID为3、类型为URL、URL为test3。

图236 新建流量特征

 

5. 配置负载均衡策略——动作。

将用户URL中含test1、test2或者test3的请求报文发送给实服务组sf1。

在导航栏中选择“策略>应用负载均衡>高级策略>动作”,新建动作名称为la1,类型为HTTP,主用实服务组为sf1。

图237 新建动作

 

以及将实服务器回应的重定向报文中的location修改为http://VIP/。其中Header名称为location,Header值为“.*:8080(.*)”,替换成的资源串为http://61.159.4.100%1。

 

将用户重新按照重定向内容发出的请求报文发送给实服务组sf2。

策略>应用负载均衡>高级策略>动作>新建:动作名称为la2,类型为HTTP,主用实服务组为sf2。

图238 新建动作

 

6. 配置负载均衡策略——策略。

将上述流量特征和动作关联实现如下功能:

策略lp1将匹配流分类lc1(即用户请求URL中带有test1、test2或者test3)的请求报文,动作为la1(即发送给实服务组sf1,并将返回的重定向报文中的location改写为http://VIP/);其它不匹配流分类lc1的请求报文,动作为la2(即发送给实服务组sf2)。

在导航栏中选择“策略>应用负载均衡>高级策略>负载均衡策略”,单击<新建>:应用负载均衡策略名称为lp1,类型为HTTP,默认动作为la2,新建规则流量特征为lc1、动作为la1。

图239 新建策略

 

7. 创建HTTP类型的负载均衡参数模板。

在导航栏中选择“策略>应用负载均衡>参数模板”,进入参数模板页面

新建HTTP类型的参数模板名称为pp1,类型选择HTTP,并开启逐请求负载均衡。

图240 新建参数模板

 

8. 配置虚服务器。

#配置HTTP类型的虚服务vs,端口为80

在导航栏中选择“策略>应用负载均衡>虚服务器”,新建虚服务器名称为vs,类型为HTTP,IP为61.159.4.100,端口号为80,引用负载均衡策略lp1,绑定参数模板pp1,并开启虚服务,单击<确定>。

图241 新建虚服务器

 

5.11.6  验证配置

1. 测试仪客户端以http://61.159.4.100/test1/index.html 访问LB设备,实服务器回应重定向报文,其中location为http://192.168.1.1:8080/,经过LB后返给客户端的重定向location为http://61.159.4.100/,客户端随即用该URL访问虚服务成功。

 

 

2. 测试仪客户端以http://61.159.4.100/test2/index.html 访问LB设备,实服务器回应重定向报文,其中location为http://61.159.4.100:8080/,经过LB后返给客户端的重定向location为http://61.159.4.100/,客户端随即用该URL访问虚服务成功。

 

 

3. 测试仪客户端以http://61.159.4.100/test3/index.html 访问LB设备,实服务器回应重定向报文,其中location为http://www.hello.com:8080/,经过LB后返给客户端的重定向location为http://61.159.4.100/,客户端随即用该URL访问虚服务成功。

 

 

5.11.7  配置文件

#

nqa template icmp t1

#

parameter-profile pp1 type http

 rebalance per-request

#

server-farm sf1

 predictor hash address source

probe t1

 success-criteria at-least 1

#

server-farm sf2

 predictor hash address source

probe t1

 success-criteria at-least 1

#

loadbalance class lc1 type http match-any

 match 1 url test1

 match 2 url test2

 match 3 url test3

#

loadbalance action la1 type http

 server-farm sf1

 header rewrite response name location value .*:8080(.*) replace http://61.159.4

.100%1

#

loadbalance action la2 type http

 server-farm sf2

#

loadbalance policy lp1 type http

 class lc1 action la1

 default-class action la2

#

real-server rs1

 ip address 192.168.1.1

 server-farm sf1

 success-criteria at-least 1

#

real-server rs11

 ip address 192.168.1.11

server-farm sf2

 success-criteria at-least 1

#

real-server rs12

 ip address 192.168.1.12

server-farm sf2

 success-criteria at-least 1

#

real-server rs2

 ip address 192.168.1.2

server-farm sf1

 success-criteria at-least 1

#

virtual-server vs type http

 virtual ip address 61.159.4.100

 parameter http pp1

 lb-policy lp1

 service enable

5.12  HTTP的Header插入、重写、删除

5.12.1  组网需求

Host通过LB设备对两台服务器进行访问,两台服务器均可提供HTTP服务,可对HTTP的Header进行插入、重写、删除操作。

图242 HTTP的Header插入、重写、删除组网图

 

5.12.2  配置思路

为实现HTTP的Header插入、重写、删除功能,需要在LB设备上完成如下配置:

·     配置实服务组、实服务器、虚服务、策略。

·     LB设备可以对HTTP的Header进行插入、重写、删除的操作

5.12.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的。

5.12.4  配置注意事项

·     Host与LB的路由配置,使之路由可达。

·     Server端和LB的路由配置,使之路由可达。

·     Action中需要引用实服务组。

·     配置完虚服务后,需要开启虚服务。

5.12.5  配置步骤

说明

以下配置均在LB设备上进行。测试仪配置不在此文档详细描述。

 

1. 创建HTTP类型的NQA模板t1、t2、t3。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>,添加健康模板名称为t1,类型为HTTP的健康检测模板,URL为http://192.168.1.1/index.html,如下图所示。

图243 添加健康检测模板

 

单击<确定>按钮,完成操作。

按照上图步骤创建HTTP类型健康检测t2、t3,URL分别为http://192.168.1.2/index.html、http://192.168.1.3/index.html

2. 创建实服务组sf1,并指定其健康检测方法为t1。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,健康性检测选择t1、t2、t3的实服务组,且成功条件为至少1个检测通过,如下图所示。

图244 添加实服务组

 

单击<确定>按钮,完成操作。

3. 配置实服务器。

添加实服务组sf1成员,新建实服务器rs1,配置其IPv4地址为192.168.1.1、权值为150 。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

选择实服务组sf1,单击编辑按钮,进入成员列表一栏,添加实服务器名称为rs1,实服务器IP地址为192.168.1.1,权值设置为150,如下图所示。

图245 添加实服务器信息

 

单击<确定>按钮,完成操作。

创建rs2、rs3与rs1步骤相同。

# 添加实服务组sf1成员实服务器rs2,配置其IPv4地址为192.168.1.2。

# 添加实服务组sf1成员实服务器rs3,配置其IPv4地址为192.168.1.3。

重复上述步骤分别创建其它实服务器。

4. 配置负载均衡策略——流量特征。

匹配URL中带有test关键字的HTTP请求流量

在导航栏中选择“策略>应用负载均衡>高级策略>流量特征”,新建流量特征名称为lc1,类型为HTTP,新建匹配规则Match ID为1、类型为URL、URL为test。

图246 新建流量特征

 

5. 配置负载均衡策略——动作。

在导航栏中选择“策略>应用负载均衡>高级策略>动作”,新建动作名称为la1,类型为HTTP,主用实服务器为sf1。

图247 新建动作

 

Header插入,新建方向为双向,Header名称为1111111111111111111111insert11111111111111111111122,Header值为21。

 

Header重写,新建方向为请求,Header名称为host,Header值为61.159.4.100,替换成的资源串为h3c.com。

 

Header删除,新建方向为应答,Header名称为content-type。

 

单击<确定>,创建动作。

 

6. 配置负载均衡策略——策略。

将上述流量特征和动作关联实现如下功能:

策略lp1将匹配流量特征lc1(即用户请求URL中带有test)的请求报文,动作为la1(即发送给实服务组sf1,并将处理HTTP头部)。

在导航栏中选择“策略>应用负载均衡>高级策略>负载均衡策略”,新建负载均衡策略为lp1,类型为HTTP,新建规则流量特征为lc1、动作为la1。

图248 新建负载均衡策略

 

7. 配置虚服务器。

# 配置HTTP类型的虚服务vs,端口为80

在导航栏中选择“策略>应用负载均衡>虚服务器”,新建虚服务名称为vs,类型HTTP,IP为61.159.4.100,端口号为80,引用lb策略lp1,并开启虚服务,单击<确定>。

图249 新建虚服务器

 

5.12.6  验证配置

查看Host、Server抓包信息

1. Header插入

预期结果: Host端请求方向的HTTP报文Header被插入预定头部信息。

(1)     Host正向 request报文-Host抓包信息

(2)     LB正向 Header insert request报文-Server抓包信息

 

预期结果: Server端应答方向的HTTP报文Header被插入预定头部信息。

(3)     Server反向 response报文-Server抓包信息

(4)     LB反向 Header insert request报文 -Host抓包信息

 

2. Header重写

预期结果: Host端请求方向的HTTP报文Header中的Host内容被重写。

(1)     Host正向 request报文-Host抓包信息

(2)     LB正向 Header rewrite request报文-Server抓包信息

 

3. Header删除

预期结果: Server端应答方向的HTTP报文Header中的内容content-type被删除。

(1)     Server反向 response报文-Server抓包信息

(2)     LB反向 Header delete request报文 -Host抓包信息

 

5.12.7  配置文件

#

nqa template http t1

 url http://192.168.1.1/index.html

#

nqa template http t2

 url http://192.168.1.2/index.html

#

nqa template http t3

 url http://192.168.1.3/index.html

#

server-farm sf1

 predictor hash address source

 probe t1

 probe t2

 probe t3

 success-criteria at-least 1

#

loadbalance class c1 type http

#

loadbalance action a1 type http

 server-farm sf1

header delete response name content-type

header insert both name 1111111111111111111111insert11111111111111111111122 value 21

header rewrite request name host value 61.159.4.100 replace h3c.com

#

loadbalance policy lp1 type http

 class lc1 action la1

#

real-server rs1

 ip address 192.168.1.1

#

real-server rs2

 ip address 192.168.1.2

#

real-server rs3

 ip address 192.168.1.3

#

virtual-server vs1 type http

 virtual ip address 61.159.4.100

 lb-policy lp1

 service enable

#

5.13  HTTP的Cookie插入、重写、截取

5.13.1  组网需求

Host通过LB设备对两台服务器进行访问,两台服务器均可提供HTTP服务,可对HTTP的Cookie进行插入、重写、截取操作。

insert表示持续性方法为Cookie插入,即在服务器发送的HTTP应答报文中插入Set-Cookie字段用于持续性处理。

rewrite表示持续性方法为Cookie重写,即改写服务器发送的HTTP应答报文所携带的Set-Cookie字段用于持续性处理。

get表示持续性方法为Cookie截取,即在服务器发送的HTTP应答报文中截取Set-Cookie字段用于持续性处理。

图250 HTTP的Cookie插入、重写、截取组网图

 

5.13.2  配置思路

为实现HTTP的Cookie插入、重写、截取功能,需要在LB设备上完成如下配置:

·     配置实服务组、实服务器、虚服务、持续性组。

·     LB设备可以对HTTP的Cookie进行插入、重写、截取的操作,并可通过持续性的处理,来控制业务分配给具体的服务器。

5.13.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的。

5.13.4  配置注意事项

·     Host端与LB的路由配置,使之路由可达。

·     Server端和LB的路由配置,使之路由可达。

·     虚服务中需要引用持续性组

·     配置完虚服务后,需要开启虚服务。

5.13.5  配置步骤

说明

以下配置均在LB设备上进行。测试仪配置不在此文档详细描述。

 

1. 创建HTTP类型的NQA模板t1、t2、t3。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>,添加健康模板名称为t1,类型为HTTP的健康检测模板,URL为http://192.168.1.1/index.html,如下图所示。

图251 添加健康检测模板

 

单击<确定>按钮,完成操作。

按照上图步骤创建HTTP类型健康检测t2、t3,URL分别为http://192.168.1.2/index.html、http://192.168.1.3/index.html

2. 创建实服务组sf1,并指定其健康检测方法为t1。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,健康性检测选择t1、t2、t3的实服务组,且成功条件为至少1个检测通过,如下图所示。

图252 添加实服务组

 

单击<确定>按钮,完成操作。

3. 配置实服务器。

添加实服务组成员,新建实服务器rs1,配置其IPv4地址为192.168.1.1。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

选择实服务组sf1,单击编辑按钮,添加实服务器名称为rs1,实服务器IP地址为192.168.1.1,如下图所示。

图253 添加实服务器信息

 

单击<确定>按钮,完成操作。

创建rs2、rs3与rs1步骤相同。

# 添加实服务组sf1成员实服务器rs2,配置其IPv4地址为192.168.1.2。

# 添加实服务组sf1成员实服务器rs3,配置其IPv4地址为192.168.1.3。

4. 配置持续性组。

在导航栏中选择“策略>全局配置>持续性组”,点击<新建>:持续性组名称为cookie1,类型为HTTP-Cookie,Cookie持续性方法为Cookie插入,Cookie名称为z1111111cookie-insert1111111111111111end。

图254 新建持续性组cookie1

 

在导航栏中选择“策略>全局配置>持续性组”,新建持续性组名称为cookie2,类型为HTTP-Cookie,Cookie持续性方法为Cookie重写,Cookie名称为h3c-rewrite。

图255 新建持续性组cookie2

 

在导航栏中选择“策略>全局配置>持续性组”,新建持续性组名称为cookie3,类型为HTTP-Cookie,Cookie持续性方法为Cookie截取,Cookie名称为cookie3_get。

图256 新建持续性组cookie3

 

5. 配置负载均衡策略——流量特征。

匹配URL中带有test关键字的HTTP请求流量

在导航栏中选择“策略>应用负载均衡>高级策略>流量特征”,新建流量特征名称为lc1,类型为HTTP,新建匹配规则Match ID为1,类型为URL,URL为test1。

图257 新建流量特征

 

在导航栏中选择“策略>应用负载均衡>高级策略>流量特征”,新建流量特征名称为lc2,类型为HTTP,新建匹配规则Match ID为1,类型为URL,URL为test2。

 

在导航栏中选择“策略>应用负载均衡>高级策略>流量特征”,新建流量特征名称为lc3,类型为HTTP,新建匹配规则Match ID为1,类型为URL,URL为test3。

 

6. 配置负载均衡策略——动作。

在导航栏中选择“策略>应用负载均衡>高级策略>动作”,新建动作名称为la1,类型为HTTP,主用实服务组为sf1,持续性组为cookie1。

图258 新建动作la1

 

在导航栏中选择“策略>应用负载均衡>高级策略>动作”,新建动作名称为la2,类型为HTTP,主用实服务组为sf1,持续性组为cookie2。

 

在导航栏中选择“策略>应用负载均衡>高级策略>动作”,新建动作名称为la3,类型为HTTP,主用实服务组为sf1,持续性组为cookie3

 

单击<确定>,创建动作。

7. 配置负载均衡策略——策略。

将上述流分类和动作关联实现如下功能:

策略lp1将匹配流分类lc1(即用户请求URL中带有test)的请求报文,动作为la1(即发送给实服务组sf1),并将处理HTTP头部。

在导航栏中选择“策略>应用负载均衡>高级策略>负载均衡策略”,新建负载均衡策略名称为lp1,类型为HTTP,新建规则流量特征为lc1、动作为la1,新建规则流量特征为lc2、动作为la2,新建规则流量特征为lc3、动作为la3。

图259 新建负载均衡策略

 

8. 配置虚服务器

#配置HTTP类型的虚服务,端口为80

在导航栏中选择“策略>应用负载均衡>虚服务器”,新建虚服务器名称为vs,类型为HTTP,IP为61.159.4.100,端口号为80,引用lb策略lp1,并开启虚服务,,单击<确定>。

图260 新建虚服务器

 

5.13.6  验证配置

可在验证前先清理实服务器和虚服务的统计数据,以免干扰判断,清理后,再打流量,进行验证。

在导航栏中选择“监控>应用负载均衡>虚服务器统计”,单击<清除>。

 

在导航栏中选择“监控>应用负载均衡>实服务器统计”,单击<清除>。

 

1. 插入

查看Host、Server抓包信息

预期结果:Server端应答方向的HTTP报文中Cookie内容被插入(被LB设备插入Cookie为Set-Cookie: z1111111cookie-insert1111111111111111end=1.2.7.14b58b2)。

(1)     Server端 response方向的HTTP报文抓包情况,如下:

 

(2)     Host端收到LB response方向的HTTP报文抓包情况,如下:

 

业务流量持续性验证预期结果:第一次打流量,LB返回Host端一个Cookie值,在第二次请求中携带插入的Cookie值,然后打流量,验证持续性生效,所有的请求分配给了同一个实服务器。

图261 虚服务器统计信息

 

图262 实服务组统计信息

 

图263 实服务器统计信息

 

2. 重写

查看Host、Server抓包信息

预期结果:Server端应答方向的HTTP报文中Cookie内容被重写(由123456;path=/被LB设备重写为1.5.a.14b58b2)。

(1)     Server端response方向的HTTP报文抓包情况,如下:

 

(2)     Host端response方向的HTTP报文抓包情况,如下:

 

业务流量持续性验证预期结果:验证持续性生效,所有的请求分配给了同一个实服务器。

图264 虚服务器统计信息

 

图265 实服务组统计信息

 

图266 实服务器统计信息

 

3. 截取

查看测试仪抓包信息

Host、Server两端报文中可以看出Cookie没有变化,此处不详细介绍。

业务流量持续性验证预期结果:在请求中携带Cookie值,验证持续性生效,所有的请求分配给了同一个实服务。

图267 虚服务器统计信息

 

图268 实服务组统计信息

 

图269 实服务器统计信息

 

5.13.7  配置文件

#

nqa template http t1

 url http://192.168.1.1/index.html

#

nqa template http t2

 url http://192.168.1.2/index.html

#

nqa template http t3

 url http://192.168.1.3/index.html

#

server-farm sf1

predictor hash address source

probe t1

probe t2

probe t3

success-criteria at-least 1

#

sticky-group cookie1 type http-cookie

 cookie insert name z1111111cookie-insert1111111111111111end

#

sticky-group cookie2 type http-cookie

 cookie rewrite name h3c-rewrite

#

sticky-group cookie3 type http-cookie

 cookie get name cookie1_get

#

loadbalance action la1 type http

 server-farm sf1 sticky cookie1

#

loadbalance action la2 type http

 server-farm sf1 sticky cookie2

#

loadbalance action la3 type http

 server-farm sf1 sticky cookie3

#

loadbalance class lc1 type http

 match 1 url test1

#

loadbalance class lc2 type http

 match 1 url test2

#

loadbalance class lc3 type http

 match 1 url test3

#

loadbalance policy lp1 type http

 class lc1 action la1

 class lc2 action la2

 class lc3 action la3

#

 

real-server rs1

 ip address 192.168.1.1

#

real-server rs2

 ip address 192.168.1.2

#

real-server rs3

 ip address 192.168.1.3

#

virtual-server vs type http

 virtual ip address 61.159.4.100

 lb-policy lp1

 service enable

#

6  LB支持RADIUS配置举例

6.1.1  组网需求

如图所示,LB设备后接多台RADIUS服务器组成的RADIUS服务器群。现有3台RADIUS服务器为外网用户提供RADIUS服务,3台RADIUS服务器地址为192.168.1.1~192.168.1.3。负载均衡设备会将BRAS发送的RADIUS认证计费的请求报文进行分配,使RADIUS请求报文均匀地分布在不同的RADIUS服务器上。同时需保证同一用户名的认证报文发送至同一台认证服务器上;

图270 LB支持RADIUS配置组网图

 

6.1.2  配置思路

为实现RADIUS的七层应用负载均衡,需要在LB设备上完成如下配置:配置实服务组、实服务器、虚服务。

6.1.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的。

6.1.4  配置注意事项

配置路由,保证BRAS、Switch、LB device之间路由可达。

6.1.5  配置步骤

说明: 说明

以下配置均在LB设备上进行。

 

1. 配置接口IP地址步骤省略。

2. 创建snat地址池

在导航栏中选择“策略>全局配置>源地址池”,进入源地址池页面。

单击<新建>,添加源地址池名称为snat_2.2.2.2,起始IP地址是2.2.2.2,结束IP地址是2.2.2.2,如下图所示。

图271 创建源地址池

 

单击<确定>,完成操作。

3. 创建实服务组sf,采用加权轮转算法,引用源地址池snat_2.2.2.2。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击<新建>,添加实服务组名称为sf,调度算法为加权轮转,引用源地址池snat_2.2.2.2,如下图所示。

图272 添加实服务组

 

单击<确定>,完成操作。

4. 添加实服务组成员,新建实服务器rs1,配置其IPv4地址为192.168.1.1。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

选择实服务组sf       ,单击<编辑>,在成员列表一栏添加实服务器名称为rs1,实服务器IP地址为192.168.1.1,如下图所示。

图273 添加实服务器信息

 

单击<确定>按钮,完成操作。

创建rs2、rs3与rs1步骤相同,rs2的IP地址为192.168.1.2,rs3的IP地址为192.168.1.3。

5. 配置RADIUS类型的持续性组。创建RADIUS类型的持续性组。配置持续性方法为User-Name,超时时间为60秒。

在导航栏中选择“策略>全局配置>持续性组”,进入持续性组页面。

单击<新建>,添加持续组名称为sg_rad,类型为RADIUS,RADIUS持续性方法的属性编号为1,表示RADIUS属性类型为User-Name,如下图所示。

图172 添加持续性组

 

6. 配置负载均衡类lc_rad。

在导航栏中选择“策略>应用负载均衡>高级策略>流量特征”,进入流量特征页面。

单击<新建>,添加流量特征名称为lc_rad,类型选择RADIUS,匹配方式为匹配所有规则,匹配User-Name中含有test关键字的用户名,如下图所示。

图173 添加流量特征

 

7. 配置负载均衡动作la_rad,应用持续性方法sg_rad。

在导航栏中选择“策略>应用负载均衡>高级策略>动作”,进入动作页面。

单击<新建>,添加动作名称为la_rad,类型选择RADIUS,主用实服务组sf,持续性组为sg_rad,如下图所示。

图174 添加动作

 

8. 配置负载均衡策略lp_rad。

在导航栏中选择“策略>应用负载均衡>高级策略>负载均衡策略”,进入负载均衡策略页面。

单击<新建>,添加策略名称为lp_rad,类型选择RADIUS,规则单击<新建>,流量特征选择lc_rad,动作选择la_rad,单击<确定>,如下图所示。

图175 添加策略

 

9. 创建RADIUS类型的虚服务器vs_rad,配置其VSIP为61.159.4.100,指定应用负载均衡策略为lp_rad,持续性方法为sg_rad,并开启虚服务。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面。

单击<新建>,添加虚服务器名称为vs_rad,类型选择RADIUS,61.159.4.100/32,开启虚服务功能,负载均衡策略为lp_rad,如下图所示。

图176 添加虚服务

 

6.1.6  验证配置

BRAS Host向LB设备发送RADIUS认证请求计费报文,报文经由LB设备做负载均衡处理分发给后端的RADIUS服务器处理,同时生成持续性表项;

1. 查看所有实服务组成员的简要信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面,查看成员列表一栏

图274 实服务组sf成员列表

 

2. 查看所有实服务组的详细信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面

图275 实服务组列表

 

3. 查看所有虚服务器的详细信息。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面

图276 虚服务列表

4. 查看持续性表项,查看相应用户名分配到的实服务器:

<LB_Device>display sticky virtual-server

Slot 1:

Virtual server name: vs_rad

  Sticky zone type: Class

  Class name: lc_rad

  Sticky group name: sg_rad

  Sticky method: RADIUS attribute

  Timeout: 60

Sticky entry                     Real server           Expired time Count

--------------------------------------------------------------------------------

test441                          192.168.1.3/0         59             0

8bfc4dc0a77d48610c711c49c95cd7ea

test60                           192.168.1.1/0         59             0

187cea2f627b284cd2c47288a0eaab96

test496                          192.168.1.3/0         59             0

89ee2f419c8b3b1b10dc77c66406b659

test305                          192.168.1.1/0         59             0

fc494320a93fbc305116923de80312f7

test827                          192.168.1.2/0         59             0

624a9fefde2f75d01a64a5c14fcc721b

test669                          192.168.1.2/0         59             0

61f08c826f0e8f453a5e15a38a83ee6a

test808                          192.168.1.2/0         59             0

70c59d6799c7b6d25d7711201af66f06

test589                          192.168.1.1/0         59             0

c4f01b0b44aac11d25f670ac34d92140

test376                          192.168.1.2/0         59             0

… …

 

5. BRAS接入test60用户请求,查看虚服务器、实服务组、实服务器统计:

在导航栏中选择“策略>应用负载均衡>虚服务器统计”,进入虚服务统计页面

图277 虚服务统计

在导航栏中选择“策略>应用负载均衡>实服务组统计”,进入实服务组统计页面

图278 实服务组统计

在导航栏中选择“策略>应用负载均衡>实服务器统计”,进入实服务器统计页面

图279 实服务器统计

6.1.7  配置文件

#

loadbalance snat-pool snat_2.2.2.2

 ip range start 2.2.2.2 end 2.2.2.2

#

server-farm sf

 snat-pool snat_2.2.2.2

#

real-server rs1

 ip address 192.168.1.1

 server-farm sf

#

real-server rs2

 ip address 192.168.1.2

 server-farm sf

#

real-server rs3

 ip address 192.168.1.3

 server-farm sf

#

sticky-group sg_rad type radius

 radius-attribute user-name

 timeout 60

#

loadbalance action la_rad type radius

 server-farm sf sticky sg_rad

#

loadbalance class lc_rad type radius

 match 1 radius-attribute code 1 value test

#

loadbalance policy lp_rad type radius

 class lc_rad action la_rad

#

virtual-server vs_rad type radius

 virtual ip address 61.159.4.100

 lb-policy lp_rad

 service enable

#

 

7  四层应用负载均衡双机热备组网

7.1.1  组网需求

三台服务器Server A、Server B和Server C均可提供FTP服务,且这三台服务器的硬件配置顺次降低。通过配置应用负载均衡,在考虑硬件性能的前提下让这三台服务器联合提供FTP服务,并通过健康检测来监控这些服务器是否可达。

图280 四层应用负载均衡双机热备组网图

 

7.1.2  配置思路

·     两台L5000-AK535堆叠配置,与交换机相连的接口进行冗余配置。

·     LB设备上配置实服务组、实服务器、虚服务。

7.1.3  使用版本

本举例是在L5000-AK535, Version 7.1.064, Release 8504P20版本上进行配置和验证的。

7.1.4  配置注意事项

·     入方向交换机配置二层透传,入方向网关在LB上,Host到LB路由可达,出方向交换机配置二层透传,LB到Server路由可达,Server到LB路由可达,网关在LB上。

·     LB设备与交换机直连的接口均配置成冗余口,LB上入方向配置冗余子接口,交换机与LB直连的接口配置成二层trunk口,放行与LB出入口相一致的VLAN。

7.1.5  配置步骤

说明

以下配置均在LB设备上进行。

 

1. 配置接口IP地址步骤省略。

2. 创建ICMP类型的NQA模板t1。

在导航栏中选择“对象>健康检测”,进入健康检测模板页面。

单击<新建>,添加名称为t1、类型为ICMP的健康检测模板,如下图所示。

图281 添加健康检测模板

 

单击<确定>按钮,完成操作。

3. 配置实服务组sf1,采用源IP地址哈希算法。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,健康性检测选择t1的实服务组,如下图所示。

图282 添加实服务组

 

单击<确定>按钮,完成操作。

4. 添加实服务组成员,新建实服务器rs1,配置其IPv4地址为192.168.1.1。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面。

选择实服务组sf       1,单击<编辑>,在成员列表一栏添加实服务器名称为rs1,实服务器IP地址为192.168.1.1,如下图所示。

图283 添加实服务器信息

 

单击<确定>按钮,完成操作。

创建rs2、rs3与rs1步骤相同,rs2的IP地址为192.168.1.2;rs3的IP地址为192.168.1.3。

5. 配置虚服务器。创建TCP类型的虚服务器vs,配置其VSIP为61.159.4.100,应用实服务组sf1,并开启虚服务。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面。

单击<新建>,添加虚服务器名称为vs,类型选择TCP,配置虚服务IP为61.159.4.100,应用实服务组sf1,并开启虚服务,如下图所示。

图284 新建虚服务器

 

单击<确定>,完成操作。

6. 配置会话备份。

在导航栏中选择“系统>高可靠性>双机热备”,进入双机热备页面,勾选备份会话表,如下图所示。

 

7. 配置堆叠。

在导航栏中选择“系统>虚拟化>IRF”,单击<配置>,进入IRF配置界面。将用于堆叠的接口添加进去,堆叠成员ID是1的作为主设备,优先级设置为32。

 

单击<确定>,完成操作。

堆叠成员ID为2的设备,优先级为1,将用于堆叠的接口添加进去,同上述步骤,配置参数如下图所示。

 

8. 配置冗余。

在导航栏中选择“系统>高可靠性>双机热备”,单击“冗余组”,进入冗余配置界面。

默认主备优先级,主是1,备是2

 

单击<确定>,完成操作。

7.1.6  验证配置

1. 查看冗余状态。

 

当down掉冗余主接口时,再次查看冗余状态:

 

2. 查看所有实服务组成员的信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面,查看成员列表一栏

图285 实服务组成员列表

 

3. 查看实服务组的信息。

在导航栏中选择“策略>应用负载均衡>实服务组”,进入实服务组页面

图286 实服务组列表

 

4. 查看虚服务器的信息。

在导航栏中选择“策略>应用负载均衡>虚服务器”,进入虚服务器页面

图287 虚服务列表

 

5. 当down掉冗余主接口时,Host向地址61.159.4.100的TCP服务器发起TCP连接请求,访问成功后可以在LB设备上查看到虚服务和实服务组的统计信息。

图288 虚服务统计

 

图289 实服务组统计

 

7.1.7  配置文件

#

irf-port 1/1

 port group interface GigabitEthernet1/0/3

#

irf-port 2/2

 port group interface GigabitEthernet2/0/3

#

interface Reth1

member interface GigabitEthernet1/0/15 priority 255

member interface GigabitEthernet2/0/15 priority 50

#

redundancy group 1

 member interface Reth1

 node 1

  bind slot 1

  track 1 interface GigabitEthernet1/0/15

 node 2

  bind slot 2

  track 2 interface GigabitEthernet2/0/15

#

 session synchronization enable

#

server-farm sf1

predictor hash address source

probe t1

#

real-server rs1

 ip address 192.168.1.1

#

real-server rs2

 ip address 192.168.1.2

 #

real-server rs3

 ip address 192.168.1.3

#

virtual-server vs type tcp

 virtual ip address 61.159.4.100

 default server-farm sf1

 service enable

#

 track 1 interface GigabitEthernet1/0/15

 track 2 interface GigabitEthernet2/0/15

#

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们