- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-链路负载均衡典型配置举例
本章节下载 (5.65 MB)
链路负载均衡典型配置举例
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍链路负载均衡与智能DNS功能的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解LB(Load Balance,负载均衡)特性。
本章介绍链路负载均衡的配置案例。
链路负载均衡可在多条链路上分担内网用户访问外部互联网的流量。
链路负载均衡支持IPv4与IPv6,但不支持IPv4流量与IPv6流量的互转。
。
如图3-1所示,用户分别从三个运营商联通isp_cnc、移动isp_cmcc和电信isp_chinatel处租用了链路link-cnc、link-cmcc和link-chinatel。通过配置链路负载均衡,使内网用户以及后续增加的用户在访问外网Server时将目的地址匹配ISP为cnc、cmcc和chinatel中的流量分别从链路组lg-cnc、lg-cmcc和lg-chinatel中选择相应的链路出去来分担流量,同时进行源地址的转换。内网用户属于192.100.0.0/24网段的定向通过电信的链路link-chinatel来访问外网Server。而且,所有内网用户的私网192.0.0.0/8网段地址不允许出现在外网中。
图3-1 匹配ISP、源地址出方向链路负载均衡组网图
为了实现匹配ISP、源地址的负载分担,需要完成如下配置:
· 在link-generic类型的流量特征下配置Match规则匹配ISP和源地址。
· 在LB设备上配置链路组lg-cnc、lg-cmcc和lg-chinatel,配置link-ip类型的虚服务。
· 在LB设备出口应用NAT地址组,出方向报文进行源地址转换,保护内网IP地址。
· 在LB设备上配置虚服务,虚服务中引用策略。
· 在LB设备上配置类型为link-generic的策略,匹配源地址为192.100.0.0/24网段的报文从链路lg-chinatel发出,目的地址匹配ISP为cnc、cmcc和chinatel的报文分别从链路lg-cnc、链路lg-cmcc和链路lg-chinatel发出。
本举例是在L5000-AK535的Version 7.1.064, Release 8504P20版本上进行配置和验证的。
· 需要在LB设备上配置link-ip类型的虚服务并开启。
· 导入最新ISP文件正确。
· 注意内网用户和LB设备以及外网Server之间的路由配置,使之路由可达。
(1) 为保护内网用户IP需在LB上配置NAT地址组,并在链路出接口应用
在导航栏中选择“网络 > NAT > NAT高级设置 > NAT地址组”,单击<新建>按钮,创建地址组,如下图所示。
图3-2 创建地址组1
图3-3 创建地址组2
图3-4 创建地址组3
在导航栏中选择“网络 > NAT > NAT动态转换”,单击<新建>,如下图所示:
图3-5 创建NAT动态转换1
图3-6 创建NAT动态转换2
图3-7 创建NAT动态转换3
(2) 导入ISP文件
在导航栏中选择“策略 > 全局配置 > ISP”,单击<选择文件>按钮,选中指定ISP文件后,单击<导入>按钮,进行如下配置,如下图所示:
图3-8 导入ISP文件
(3) 配置ICMP类型的NQA探测模板icmp,并配置每次探测结果发送机制
在导航栏中选择“对象 > 健康检测”,单击<新建>,进行如下配置:
图3-9 创建ICMP类型的健康检测
图3-10 检测结果通知条件设置为每次探测
(4) 配置链路组,配置为透传模式,并应用健康检测方法icmp
创建cnc的链路组lg-cnc,cmcc的链路组lg-cmcc,chinatel的链路组lg-chinatel,应用健康检测方法icmp,配置调度算法为源IP地址哈希。
在导航栏中选择“策略 > 链路负载均衡 > 链路组”,单击<新建>按钮,进行如下配置:
图3-11 创建cnc的链路组lg-cnc
图3-12 创建cmcc的链路组lg-cmcc
图3-13 创建chinatel的链路组lg-chinatel
(5) 添加链路,为链路组lg-cnc添加链路link-cnc,链路组lg-cmcc添加链路link-cmcc,lg-chinatel添加链路link-chinatel。
在导航栏中选择“策略 > 链路负载均衡 > 链路组”,单击链路组<编辑>,进入链路组页面,在成员列表一栏单击<添加>按钮,进行如下配置,添加链路完成后单击<确认>:
图3-14 添加链路link-cnc
图3-15 添加链路link-cmcc
图3-16 添加链路link-chinatel
(6) 开启负载均衡功能
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,在全局配置中勾选负载均衡服务,进行如下配置:
图3-17 开启负载均衡功能
(7) 创建负载均衡流量特征及IPv4选路策略
在导航栏中选择“策略 > 链路负载均衡 > 流量特征”,单击<新建>按钮,进行如下配置:
图3-18 创建流量特征lc-cnc,匹配ISP为cnc的报文从lg-cnc发出
新建IPv4选路策略,匹配流量特征lc-cnc的报文从链路组lg-cnc发出,同时勾选链路失败的处理方式继续匹配下一条规则。
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,单击<新建>按钮,进行如下配置:
图3-19 创建IPv4选路策略
图3-20 创建流量特征lc-cmcc,匹配ISP为cmcc的报文从lg-cmcc发出
新建选路策略,匹配流量特征lc-cmcc的报文从链路组lg-cmcc发出,同时勾选链路失败的处理方式继续匹配下一条规则。
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,单击<新建>按钮,进行如下配置:
图3-21 新建选路策略
图3-22 创建流量特征lc-chinatel,匹配ISP为chinatel的报文从lg-chinatel发出
新建选路策略,匹配流量特征lc-chinatel的报文从链路组lg-chinatel发出,同时勾选链路失败的处理方式继续匹配下一条规则。
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,单击<新建>按钮,进行如下配置:
图3-23 新建选路策略
图3-24 创建流量特征lc-source,匹配源地址为192.100.0.0/24网段的报文从lg-chinatel发出
新建选路策略,匹配源地址为192.100.0.0/24网段的报文从链路组lg-chinatel发出,同时勾选链路失败的处理方式继续匹配下一条规则。
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,单击<新建>按钮,进行如下配置:
图3-25 新建选路策略
图3-26 设置缺省default动作,使匹配不上流量特征的报文从链路组lg-cnc发出
(1) 测试仪发起匹配源地址为192.100.0.0/24网段的报文从链路lg-chinatel发出,查看链路lg-chinatel有流量统计
详细信息如下:
(2) 测试仪发起目的地址匹配ISP为cnc和cmcc的报文分别从链路lg-cnc和链路lg-cmcc发出,查看相应的链路有流量统计
详细信息如下:
(3) 目的地址匹配ISP为educn的报文,由于报文匹配不上配置的流量特征,因此走缺省IPv4选路策略,而缺省IPv4选路策略指定从链路组lg-cnc发出,查看相应的链路有流量统计
详细信息如下:
#
nqa template icmp icmp
reaction trigger per-probe
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc
ip address 61.156.0.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/3
port link-mode route
description link-cmcc
ip address 211.98.0.1 255.255.255.0
nat outbound address-group 2
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 3
#
nat address-group 1
address 61.156.0.100 61.156.0.200
#
nat address-group 2
address 211.98.0.100 211.98.0.200
#
nat address-group 3
address 203.0.24.100 203.0.24.200
#
loadbalance link-group lg-chinatel
predictor hash address source
transparent enable
probe icmp
success-criteria at-least 1
link link-chinatel
success-criteria at-least 1
#
loadbalance link-group lg-cmcc
predictor hash address source
transparent enable
probe icmp
success-criteria at-least 1
link link-cmcc
success-criteria at-least 1
#
loadbalance link-group lg-cnc
predictor hash address source
transparent enable
probe icmp
success-criteria at-least 1
link link-cnc
success-criteria at-least 1
#
loadbalance link link-chinatel
router ip 203.0.24.2
#
loadbalance link link-cmcc
router ip 211.98.0.2
#
loadbalance link link-cnc
router ip 61.156.0.2
#loadbalance class lc-chinatel type link-generic
match 1 isp chinatel
#
loadbalance class lc-cmcc type link-generic
match 1 isp cmcc
#
loadbalance class lc-cnc type link-generic
match 1 isp cnc
#
loadbalance class lc-source type link-generic
match 1 source ip address 192.100.0.0 24
#
loadbalance action ob$action$#for#lc-chinatel type link-generic
link-group lg-chinatel
fallback-action continue
#
loadbalance action ob$action$#for#lc-cmcc type link-generic
link-group lg-cmcc
fallback-action continue
#
loadbalance action ob$action$#for#lc-cnc type link-generic
link-group lg-cnc
fallback-action continue
#
loadbalance action ob$action$#for#lc-source type link-generic
link-group lg-chinatel
fallback-action continue
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-generic
link-group lg-cnc
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
class lc-source action ob$action$#for#lc-source
class lc-cnc action ob$action$#for#lc-cnc
class lc-cmcc action ob$action$#for#lc-cmcc
class lc-chinatel action ob$action$#for#lc-chinatel
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
如图所示,用户从运营商联通、电信处分别租用了链路link-cnc和link-chinatel,配置出方向链路负载分担,使用户出方向访问外网Server的流量基于带宽算法在两条链路上负载分担流量,每条链路上配置带宽值和权值,LB设备将流量按照所配置的剩余带宽和权值比例分给相应的链路。
图3-27 基于带宽算法出方向链路负载均衡组网图
为了实现基于带宽算法的负载分担,需要完成如下配置:
· 链路带宽不同,权值相同情况下,配置链路组调度算法为带宽调度算法,查看链路的统计信息,按照剩余带宽比例进行流量分配。
· 链路带宽相同,权值不同情况下,配置链路组调度算法为带宽调度算法,查看链路的统计信息,按照所配置的权值的比例进行流量分配。
· 带宽调度算法缺省使用LB自己统计的带宽,如果开启链路的接口带宽统计功能后使用链路对应的接口带宽。
· 在LB设备出口应用NAT地址组,出方向报文进行源地址转换,保护内网IP地址。
本举例是在L5000-AK535的Version 7.1.064, Release 8504P20版本上进行配置和验证的。
· 创建链路组lg,使电信链路link-chinatel和联通链路link-cnc都属于链路组lg。
· 每条运营商链路配置一个名称不同、router ip不同的link,分别按照不同的带宽相同权值和相同带宽不同权值进行配置验证。
· LB设备上配置link-ip类型的虚服务并开启。
· 创建IPv4选路策略为缺省default,转发动作为负载均衡,主用链路组lg。
(1) 为保护内网用户IP需在LB上配置NAT地址组,并在链路出接口应用
在导航栏中选择“网络 > NAT > NAT高级设置 > NAT地址组”,单击<新建>按钮,创建地址组,如下图所示。
图3-28 创建地址组1
图3-29 创建地址组2
在导航栏中选择“网络 > NAT > NAT动态转换”,单击按钮<新建>策略,如下图所示。
图3-30 创建NAT动态转换1
图3-31 创建NAT动态转换2
(2) 配置ICMP类型的NQA探测模板icmp,并配置每次探测结果发送机制
在导航栏中选择“对象 > 健康检测”,单击<新建>,进行如下配置:
图3-32 创建ICMP类型的健康检测
图3-33 检测结果通知条件为每次探测
(3) 配置链路组,配置链路组调度算法为带宽算法,并应用健康检测方法icmp
图3-34 创建链路组lg,配置调度算法为带宽算法,应用健康检测方法icmp
图3-35 查看链路组
(4) 为链路组lg添加链路link-cnc、链路link-chinatel。
分两种情况进行配置
第一种情况:链路带宽不同,权值相同情况下:配置电信链路带宽1024M,联通链路带宽512M,调整逻辑链路的权值,设置电信链路权值为1,联通链路权值为1:
进入策略页面,在导航栏中选择“链路负载均衡 > 链路组”,单击链路组<编辑>,进入链路组页面,在成员列表一栏单击<添加>按钮,进行如下配置,添加链路完成后单击<确认>:
图3-36 添加链路link-chinatel,配置权值1
图3-37 添加链路link-cnc,配置权值1
进入策略页面,在导航栏中选择“全局配置>链路”,单击链路<编辑>,进行如下配置
图3-38 设置link-chinatel最大总限速带宽1024M
图3-39 设置link-cnc最大总限速带宽512M
图3-40 查看链路状态
第二种情况:链路带宽相同,权值不同情况下:配置电信链路带宽1024M,联通链路带宽1024M,调整逻辑链路的权值,设置电信链路权值为1,联通链路权值为2:
进入策略页面,在导航栏中选择“链路负载均衡 > 链路组”,单击链路组<编辑>,进入链路组页面,在成员列表一栏选择添加,进入策略页面,在导航栏中选择“全局配置 > 链路”,单击<添加>按钮,进行如下配置,添加链路完成后单击<确认>:
图3-41 添加链路link-chinatel,配置权值1
图3-42 添加链路link-cnc,配置权值2
进入策略页面,在导航栏中选择“全局配置>链路”,单击链路<编辑>,进行如下配置
图3-43 设置link-chinatel的最大总限速带宽1024M
图3-44 设置link-cnc的最大总限速带宽1024M
图3-45 查看链路状态
(5) 开启负载均衡功能
进入策略页面,在导航栏中选择“链路负载均衡 > IPv4选路策略”,在全局配置中勾选负载均衡服务,进行如下配置:
图3-46 开启负载均衡功能
(6) 配置IPv4选路策略
进入策略页面,在导航栏中选择“链路负载均衡 > IPv4选路策略”,单击Default右侧的<编辑>按钮,进行如下配置:
图3-47 编辑缺省IPv4选路策略
(1) 链路带宽不同,权值相同情况下:配置电信链路带宽1024M,联通链路带宽512M,调整逻辑链路的权值,设置电信链路权值为1,联通链路权值为1。测试仪发送流量进行测试,查看电信和联通链路的流量统计信息,基本比例为2:1。
详细信息如下:
(2) 链路带宽相同,权值不同情况下:配置电信链路带宽1024M,联通链路带宽1024M,调整逻辑链路的权值,设置电信链路权值为1,联通链路权值为2。测试仪发送流量进行测试,查看电信和联通链路的流量统计信息,基本比例为1:2。
详细信息如下:
(1) 链路带宽不同,权值相同情况下配置:
#
nqa template icmp icmp
reaction trigger per-probe
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc
ip address 61.156.0.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 2
#
nat address-group 1
address 61.156.0.100 61.156.0.200
#
nat address-group 2
address 203.0.24.100 203.0.24.200
#
loadbalance link-group lg
predictor bandwidth
transparent enable
probe icmp
success-criteria at-least 1
link link-chinatel
weight 1
success-criteria at-least 1
link link-cnc
weight 1
success-criteria at-least 1
# loadbalance link link-chinatel
router ip 203.0.24.2
rate-limit bandwidth 1024000
success-criteria at-least 1
#
loadbalance link link-cnc
router ip 61.156.0.2
rate-limit bandwidth 512000
success-criteria at-least 1
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-gen
eric
link-group lg
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-gen
eric
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
(2) 链路带宽相同,权值不同情况下配置:
#
nqa template icmp icmp
reaction trigger per-probe
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc
ip address 61.156.0.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 2
#
nat address-group 1
address 61.156.0.100 61.156.0.200
#
nat address-group 2
address 203.0.24.100 203.0.24.200
#
loadbalance link-group lg
predictor bandwidth
transparent enable
probe icmp
success-criteria at-least 1
link link-chinatel
weight 1
success-criteria at-least 1
link link-cnc
weight 2
success-criteria at-least 1
# loadbalance link link-chinatel
router ip 203.0.24.2
rate-limit bandwidth 1024000
success-criteria at-least 1
#
loadbalance link link-cnc
router ip 61.156.0.2
rate-limit bandwidth 1024000
success-criteria at-least 1
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-generic
link-group lg
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
基于应用识别的负载均衡就是按照流量的特征进行选路。用户可自定义应用组来对所需要识别的流量特征进行分组,配置出方向IPv4选路策略来完成对命中自定义应用组的流量选路。
如图所示,用户从运营商联通、电信处分别租用了链路link-cnc和link-chinatel,分别属于链路组lg-cnc和lg-chinatel,使用户出方向访问外网Server的流量基于应用识别选路,从而在两条链路上进行负载分担流量。
图3-48 基于应用识别出方向链路负载均衡组网图
为了实现基于带宽算法的负载分担,需要完成如下配置:
· 用户自定义应用组,应用组中配置ftp流量特征,出方向流量策略中配置基于应用组的流量走联通链路link-cnc,默认流量走电信链路link-chinatel。
· 在LB设备出口应用NAT地址组,出方向报文进行源地址转换,保护内网IP地址。
本举例是在L5000-AK535 的Version 7.1.064, Release 8504P20版本上进行配置和验证的。
· 自定义应用组内可选择多种应用,本案例仅列举了ftp应用。
· LB设备上配置link-ip类型的虚服务并开启。
· 创建IPv4选路策略,匹配流量特征lc-cnc(流量特征基于应用组的ftp应用)的报文从链路组lg-cnc发出,没有匹配上流量特征lc-cnc的报文走缺省动作default,从电信链路组lg-chinatel发出。
(1) 为保护内网用户IP需在LB上配置nat地址组,并在链路出接口应用
在导航栏中选择“网络 > NAT > NAT高级设置 > NAT地址组”,单击<新建>按钮,创建地址组,如下图所示:
图3-49 创建地址组1
图3-50 创建地址组2
在导航栏中选择“网络 > NAT > NAT动态转换”,单击按钮<新建>策略,如下图所示
图3-51 创建NAT动态转换1
图3-52 创建NAT动态转换2
(2) 配置ICMP类型的NQA探测模板icmp,并配置每次探测结果发送机制
进入“对象”页面,在导航栏中选择“健康检测”,单击<新建>,进行如下配置:
图3-53 创建ICMP类型的健康检测
图3-54 检测结果通知条件为每次探测
(3) 配置链路组,配置为透传模式,并应用健康检测方法icmp,配置算法根据源IP地址进行的哈希算法。
进入策略页面,在导航栏中选择“链路负载均衡 > 链路组”,单击“<新建>”按钮,进行如下配置:
创建cnc的链路组lg-cnc,chinatel的链路组lg-chinatel。
图3-55 创建链路组lg-cnc
图3-56 创建链路组lg-chinatel
(4) 为链路组lg-cnc添加链路link-cnc,链路组lg-chinatel添加链路link-chinatel。
进入策略页面,在导航栏中选择“链路负载均衡 > 链路组”,单击链路组<编辑>,进入链路组页面,在成员列表一栏单击“ 添加”按钮,进行如下配置,添加链路完成后单击<确认>:
图3-57 添加链路link-cnc
图3-58 添加链路link-chinatel
(5) 配置自定义应用组,添加FTP应用
在导航栏中选择“对象 > 应用 > 应用组”,单击“<新建>”按钮,进行如下配置:
图3-59 创建应用组,选择ftp应用
(6) 开启负载均衡功能
进入策略页面,在导航栏中选择“链路负载均衡 > IPv4选路策略”,在全局配置中勾选负载均衡服务,进行如下配置:
图3-60 开启负载均衡功能
(7) 配置负载均衡流量特征及IPv4选路策略
配置基于应用组的流量走联通链路组lg-cnc,默认流量走电信链路组lg-chinatel。
在导航栏中选择“链路负载均衡 > 流量特征”,单击“<新建>”按钮,进行如下配置:
图3-61 创建流量特征lc-cnc,配置Match规则
新建选路策略,匹配流量特征lc-cnc的报文从链路组lg-cnc发出,同时勾选链路失败的处理方式继续匹配下一条规则。
在导航栏中选择“链路负载均衡 > IPv4选路策略”,单击“<新建>”按钮,进行如下配置:
图3-62 创建IPv4选路策略
图3-63 设置Default动作,默认流量走电信链路组lg-chinatel
图3-64 查看IPv4选路策略
(1) 测试仪发送ftp流量进行测试,匹配上流量特征lc-cnc(流量特征基于应用组的ftp应用)的报文从链路组lg-cnc发出,查看链路link-cnc的有流量统计信息
详细信息如下
(2) 测试仪发送不是ftp的流量(这里以http流量为例)进行测试,由于没有匹配上流量特征lc-cnc 走缺省default动作 ,报文从电信链路组lg-chinatel发出,查看链路link-chinatel有流量统计信息
详细信息如下
#
nqa template icmp icmp
reaction trigger per-probe
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc
ip address 61.156.0.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 2
#
loadbalance link-group lg-chinatel
predictor hash address source
transparent enable
probe icmp
success-criteria at-least 1
link link-chinatel
success-criteria at-least 1
#
loadbalance link-group lg-cnc
predictor hash address source
transparent enable
probe icmp
success-criteria at-least 1
link link-cnc
success-criteria at-least 1
#
loadbalance link link-chinatel
router ip 203.0.24.2
#
loadbalance link link-cnc
router ip 61.156.0.2
# app-group app-group-ftp
description "User-defined application group"
include application ftp
#
loadbalance class lc-cnc type link-generic
match 1 app-group app-group-ftp
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-generic
link-group lg-chinatel
#
loadbalance action ob$action$#for#lc-cnc type link-generic
link-group lg-cnc
fallback-action continue
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
class lc-cnc action ob$action$#for#lc-cnc
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
用户租用电信联通运营商各两个公网IP以供内网员工办公使用,办公高峰期(周一至周五上午8点到12点,下午14点到18点)内网流量优先通过联通运营商访问外网,电信运营商作位备用,低峰期(非高峰期时间)使用电信运营商中优先级高的IP访问外网,另一个联通运营商IP作为备用。同时使用联通运营商作为默认出接口,电信作为备用。内网用户通过域名访问外网服务器,先通过DNS查询获得外网服务器的地址,DNS流量走默认链路。后续流量通过DNS应答返回的地址去访问外网服务器。基于域名的负载均衡,通过DNS查询的结果建立域名和地址的对应关系,引导后续访问特定域名的流量走特定的链路。
图3-65 基于域名的负载分担组网图
为了实现基于域名的负载分担,需要完成如下配置:
· 在link-generic类型的流量特征下增加两种Match规则,match IPv4 ACL、match目的域名,同时匹配时间段,匹配方式为匹配所有规则。
· 在LB设备上配置链路组link-group、link。
· 配置源地址转换,保护内网IP。
· 在LB设备上配置启动链路负载均衡服务,虚服务中引用策略。
· 在LB设备上配置策略,策略配置默认动作为负载均衡链路组,目的为首次通过的报文不会匹配基于域名的class,会从默认link通过,另外也可以保证没有匹配上域名的报文能够正常进行负载分担不至于丢弃。
本举例是在L5000-AK535 的Version 7.1.064, Release 8504P20版本上进行配置和验证的。
· 支持DNS Cache表项的显示和删除。
· 支持UDP类型的DNS请求,不支持TCP类型的DNS请求。
· 支持通过配置手动删除DNS Cache表项,不支持老化机制。
· DNS Cache表项不支持分布式同步,表项各板独立生成。
· DNS Cache表项数量没有限制,没有老化机制。
· 需配置策略中的默认动作为负载均衡。
(1) 创建icmp类型的健康性检测。
进入“对象”页面,在导航栏中选择“健康检测”,如下图所示。单击<新建> 按钮,只配置名称,其他配置使用默认配置。
图3-66 配置icmp类型建健康监测
单击<确定>按钮,配置完成。
(2) 配置链路组
在导航栏中选择“策略 > 链路负载均衡 > 链路组”,进入链路组页面,单击按钮<新建>,分别配置链路组cnc和chinatel,调度算法选择加权轮转,同时在链路组里面配置健康检测icmp。如下图所示。
图3-67 创建链路组chinatel
图3-68 创建链路组cnc
单击<确定>按钮,配置完成。
配置完链路组如下:
(3) 为链路组cnc添加链路link-cnc-1、link-cnc-2,链路组chinatel添加链路link-chinatel-master、link-chinatel-backup。
进入策略页面,在导航栏中选择“链路负载均衡 > 链路组”,单击链路组<编辑>,进入链路组页面,在成员列表一栏单击“ 添加”按钮,进行如下配置,添加链路完成后单击<确认>:
图3-69 添加链路link-cnc-1
图3-70 添加链路link-cnc-2
图3-71 添加链路link-chinatel-master
图3-72 添加链路link-chinatel-backup
单击<确定>按钮,配置完成。
(4) 创建时间段并在ACL策略中引用,
在导航栏中选择“对象 > 对象组 > 时间段”,进入时间段页面,单击按钮<新建>,配置时间段高峰期rush hour与低峰期low peak period,如下图所示。
图3-73 创建时间段高峰期rush hour
图3-74 创建时间段低峰期low peak period
图3-75 配置完时间段
在导航栏中选择“对象 > ACL > IPv4”,进入IPv4 ACL页面,单击按钮<新建>,配置高级ACL 3001匹配时间段高峰期rush hour、配置高级ACL 3002匹配时间段高低峰期low peak period,如下图所示。
图3-76 创建ACL 3001
图3-77 创建ACL 3002
图3-78 配置完ACL段如下:
图3-79 ACL规则如下:
(5) 配置流量特征
在导航栏中选择“策略 > 链路负载均衡 > 流量特征”,进入流量特征页面,单击按钮<新建>,配置流量特征domain-baidu.com-low peak period、domain-baidu.com-rush hour、domain-qq.com-low peak period、domain-qq.com-rush hour,如下图所示。.
图3-80 创建流量特征domain-baidu.com-low peak period
图3-81 创建流量特征domain-baidu.com-low rush hour
图3-82 创建流量特征domain-qq.com-low peak period
图3-83 创建流量特征domain-qq.com-rush hour
单击<确定>按钮,配置完成。
配置完流量特征如下:
(6) 开启负载均衡功能
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,进行如下配置,如下图所示。
图3-84 配置负载均衡功能
(7) 配置IPv4选路策略
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,进入IPv4选路策略页面,单击“策略”下的<新建>按钮,配置IPv4选路策略,匹配流量特征domain-baidu.com-rush hour、domain-qq.com-rush hour的走链路组cnc;domain-baidu.com-low peak period、domain-qq.com-low peak period的流量走链路组chinatel;default-class的流量走链路组cnc,chinatel作为备用,选择链路失败处理方式为继续匹配下一条规则。如下图所示。
图3-85 配置IPv4选路策略-1
图3-86 配置IPv4选路策略-2
图3-87 配置IPv4选路策略-3
图3-88 配置IPv4选路策略-4
图3-89 配置IPv4选路策略-5
单击<确定>按钮,配置完成。
配置完IPv4选路策略如下:
(8) 创建NAT地址组并在链路出接口应用
在导航栏中选择“网络 > NAT > NAT高级设置 > NAT地址组”,单击按钮<新建>创建地址池,如下图所示
图3-90 配置地址组1
图3-91 配置地址组2
图3-92 配置地址组3
图3-93 配置地址组4
在导航栏中选择“网络 > NAT > NAT动态转换”,单击按钮<新建>策略,如下图所示
图3-94 配置NAT动态转换1
图3-95 配置NAT动态转换2
图3-96 配置NAT动态转换3
图3-97 配置NAT动态转换4
测试发起先访问http://www.baidu.com的HTTP报文,设置DNS服务器地址为8.8.8.8。
(1) 查看域名解析生成表项
(2) 查看高峰期时期链路统计
(3) 查看低峰期时期链路统计
#
nat address-group 1 name cnc-1
address 61.0.156.100 61.0.156.200
#
nat address-group 2 name cnc-2
address 180.223.0.100 180.223.0.200
#
nat address-group 3 name chinatel-master
address 1.1.0.100 1.1.0.200
#
nat address-group 4 name chinatel-backup
address 203.0.24.100 203.0.24.200
#
interface GigabitEthernet2/0/1
port link-mode route
description link-cnc-2
ip address 180.223.0.1 255.255.255.0
nat outbound address-group 2
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc-1
ip address 61.0.156.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/3
port link-mode route
description link-chinatel-master
ip address 1.1.0.1 255.255.255.0
nat outbound address-group 3
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel-backup
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 4
#
time-range "low peak period" 00:00 to 07:59 working-day
time-range "low peak period" 12:01 to 13:59 working-day
time-range "low peak period" 18:01 to 24:00 working-day
time-range "low peak period" 00:00 to 24:00 off-day
time-range "rush hour" 08:00 to 12:00 working-day
time-range "rush hour" 14:00 to 18:00 working-day
#
acl advanced 3001
rule 0 permit ip time-range "rush hour"
#
acl advanced 3002
rule 0 permit ip time-range "low peak period"
#
nqa template icmp icmp
#
loadbalance link-group chinatel
transparent enable
probe t1
success-criteria at-least 1
link link-chinatel-master
success-criteria at-least 1
link link-chinatel-backup
success-criteria at-least 1
#
loadbalance link-group cnc
transparent enable
probe t1
success-criteria at-least 1
link link-cnc-1
success-criteria at-least 1
link link-cnc-2
success-criteria at-least 1
#
loadbalance link link-chinatel-backup
router ip 203.0.24.2
#
loadbalance link link-chinatel-master
router ip 1.1.0.2
#
loadbalance link link-cnc-1
router ip 61.156.0.2
#
loadbalance link link-cnc-2
router ip 180.223.0.2
#
loadbalance class "domain-baidu.com-low peak period" type link-generic
match 1 acl 3002
match 2 destination domain-name www.baidu.com
#
loadbalance class "domain-baidu.com-rush hour" type link-generic
match 1 acl 3001
match 2 destination domain-name www.baidu.com
#
loadbalance class "domain-qq.com-low peak period" type link-generic
match 1 acl 3002
match 2 destination domain-name mail.qq.com
#
loadbalance class "domain-qq.com-rush hour" type link-generic
match 1 acl 3001
match 2 destination domain-name mail.qq.com
#
loadbalance action "ob$action$#for#domain-baidu.com-low peak period" type link-generic
link-group chinatel backup cnc
fallback-action continue
#
loadbalance action "ob$action$#for#domain-baidu.com-rush hour" type link-generic
link-group cnc backup chinatel
fallback-action continue
#
loadbalance action "ob$action$#for#domain-qq.com-low peak period" type link-generic
link-group chinatel backup cnc
fallback-action continue
#
loadbalance action "ob$action$#for#domain-qq.com-rush hour" type link-generic
link-group cnc backup chinatel
fallback-action continue
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
class "domain-baidu.com-rush hour" action "ob$action$#for#domain-baidu.com-rush
hour"
class "domain-qq.com-rush hour" action "ob$action$#for#domain-qq.com-rush hour"
class "domain-baidu.com-low peak period" action "ob$action$#for#domain-baidu.co
m-low peak period"
class "domain-qq.com-low peak period" action "ob$action$#for#domain-qq.com-low
peak period"
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
#
如图所示,用户租用电信联通运营商各两个公网IP以供内网用户使用,其中联通运营商两条链路成本相同、权重不同;电信运营商两条链路成本值不同、权重相同。内网用户通过LB设备外网HTTP服务器,开启就近性功能选出到达目的地的最优链路,从而引导后续流量。就是当流量经过负载均衡模块时,如果没有与目的地址相关的就近性信息,则根据调度算法,为该流量选择一条链路,以保证业务的可用性,然后启动就近性探测来生成就近性表项,以引导后续流量。
图3-98 链路负载均衡就近性组网图
为了实现就近性的应用,需要完成如下配置:
· 配置LB就近性探测模板。
· 在LB设备上的链路组中开启就近性功能。
· 配置源地址转换,保护内网IP。
· 在LB设备上配置虚服务,虚服务中引用策略。
· 在LB设备上配置策略,策略默认动作负载均衡链路组。
本举例是在L5000-AK535的Version 7.1.064, Release 8504P20版本上进行配置和验证的。
· 就近性参数中引用LB探测模板。
· 就近性探测对同一个目的地址向所有的物理链路发起探测,结果形成一条按优先级排列的链,匹配时遍历就近性链,找最优的属于该链路组的对应链路。
· 已有的就近性表项,在未老化前周期性进行探测。
· 探测目的地址为最初的探测地址,通过就近性算法获取当前的最优链路,并更新对应的动态就近性表项中挂接链路链表优先级双向链表的顺序,这样保证就近性表项中挂接的链路优先级双向链表一直是按照各个链路优先级顺序排列的,就近性探测的周期由用户配置决定。
· 就近性优先级链中的最优的不一定就是最终选择的,还要看当前链路的状态,还有这个链路是否在待选的链路组内。
· 动态链路负载均衡最重要的一点,即可以比较 当前使用哪条链路到达目的地址是最近的,或者说时延最小,称此为就近性探测。
(1) 创建icmp类型的健康性检测。
进入“对象”页面,在导航栏中选择“健康检测”,如下图所示。单击<新建> 按钮,只配置名称,其他配置使用默认配置。
图3-99 配置icmp类型建健康监测
单击<确定>按钮,配置完成。
(2) 创建LB就近性探测模板
在导航栏中选择“策略 > 全局配置 > 就近性”,“就进行参数”页签下,单击<新建>按钮,只配置名称,其他配置使用默认配置,如下图所示。
图3-100 配置就近性探测模板
(3) 配置就近性
在导航栏中选择“策略 > 全局配置 > 就近性”,“就进行参数”页签下,单击<新建>按钮,选择健康性检测,无特殊需求,其他使用默认配置,如下图所示。
图3-101 就近性配置
(4) 配置链路组并开启就近性
配置链路组cnc和chinatel,调度算法选择加权轮转,同时在链路组里面配置健康检测icmp。
在导航栏中选择“策略 > 链路负载均衡 > 链路组”,创建两个链路组,进入链路组页面,单击按钮<新建>,分别配置链路组cnc和chinatel,如下图所示。
图3-102 创建链路组chinatel
图3-103 创建链路组cnc
(5) 为链路组cnc添加链路link-cnc-1、link-cnc-2,链路组chinatel添加链路link-chinatel-master、 link-chinatel-backup并配置链路成本,link-chinatel-master成本值为100、link-chinatel-backup成本值为10。
进入策略页面,在导航栏中选择“链路负载均衡 > 链路组”,单击链路组<编辑>,进入链路组页面,在成员列表一栏单击<添加>按钮,进行如下配置,添加链路完成后单击<确认>:
图3-104 添加链路link-cnc-1
图3-105 添加链路link-cnc-2
图3-106 添加链路link-chinatel-master
图3-107 添加链路link-chinatel-backup
进入策略页面,在导航栏中选择“策略 > 全局配置 > 链路”,选中link-telnet-master,单击<编辑>进入链路编辑页面,配置就近性链路成本100,如下图所示。
图3-108 编辑链路link-chinatel-master
link-chinatel-backup配置就近性成本10,按照上述配置方法配置。
配置完链路组如下:
(6) 配置流量特征
在导航栏中选择“策略 > 链路负载均衡 > 流量特征”,用于匹配目的IP 183.232.98.190与目的IP 61.135.169.125,匹配方式为匹配任意一条规则,进入流量特征页面,单击按钮<新建>,创建dip-1、dip-2,如下图所示。
图3-109 创建流量特征dip-1
图3-110 创建流量特征dip-2
(7) 开启负载均衡功能
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,进行如下配置,如下图所示。
图3-111 配置负载均衡功能
(8) 配置负载均衡策略
匹配流量特征dip-1的走链路组cnc;dip-2的流量走链路组chinatel;选择链路失败处理方式为继续匹配下一条规则。
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,在“策略”下,单击按钮<新建>,配置IPv4选路策略,如下图所示。
图3-112 配置IPv4选路策略-1
图3-113 配置IPv4选路策略-2
配置完成如下图所示。
(9) 创建NAT地址组并在链路出接口应用
在导航栏中选择“网络 > NAT > NAT高级设置 > NAT地址组”,单击按钮<新建>创建地址池,如下图所示
图3-114 配置地址组1
图3-115 配置地址组2
图3-116 配置地址组3
图3-117 配置地址组4
在导航栏中选择“网络 > NAT > NAT动态转换”,单击按钮<新建>策略,如下图所示
图3-118 配置NAT动态转换1
图3-119 配置NAT动态转换2
图3-120 配置NAT动态转换3
图3-121 配置NAT动态转换4
内网发起http://183.232.98.190与http://61.135.169.125的流量进行以下验证
(1) 查看就近性表项
在导航栏中选择“策略 > 全局配置 > 就近性 > 就近性表项”,如下图所示。
(2) 查看链路统计
在导航栏中选择“监控 > 链路负载统计 > 链路统计”,如下图所示。
详细信息如下
(3) 手动down掉链路link-cnc-1与link-chinatel-master
再次查看就近性表项与链路统计,会有部分流量失败,如下图所示:
#
nat address-group 1 name cnc-1
address 61.0.156.100 61.0.156.200
#
nat address-group 2 name cnc-2
address 180.223.0.100 180.223.0.200
#
nat address-group 3 name chinatel-master
address 1.1.0.100 1.1.0.200
#
nat address-group 4 name chinatel-backup
address 203.0.24.100 203.0.24.200
#
interface GigabitEthernet2/0/1
port link-mode route
description link-cnc-1
ip address 61.0.156.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc-1
ip address 180.223.0.1 255.255.255.0
nat outbound address-group 2
#
interface GigabitEthernet2/0/3
port link-mode route
description link-chinatel-master
ip address 1.1.0.1 255.255.255.0
nat outbound address-group 3
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel-backup
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 4
#
nqa template icmp icmp
#
loadbalance link-group chinatel
proximity enable
transparent enable
probe icmp
success-criteria at-least 1
link link-chinatel-master
success-criteria at-least 1
link link-chinatel-backup
success-criteria at-least 1
#
loadbalance link-group cnc
fail-action reschedule
proximity enable
transparent enable
probe icmp
success-criteria at-least 1
link link-cnc-1
success-criteria at-least 1
link link-cnc-2
success-criteria at-least 1
#
loadbalance link link-chinatel-backup
router ip 203.0.24.2
cost 10
#
loadbalance link link-chinatel-master
router ip 1.1.0.2
cost 100
#
loadbalance link link-cnc-1
router ip 61.156.0.2
success-criteria at-least 1
#
loadbalance link link-cnc-2
router ip 180.223.0.2weight 200
success-criteria at-least 1
#
loadbalance class dip-1 type link-generic match-any
match 1 destination ip address 183.232.98.190
#
loadbalance class dip-2 type link-generic match-any
match 1 destination ip address 61.135.169.125
#
loadbalance action ob$action$#for#dip-1 type link-generic
link-group cnc
#
loadbalance action ob$action$#for#dip-2 type link-generic
link-group chinatel
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
class dip-1 action ob$action$#for#dip-1
class dip-2 action ob$action$#for#dip-2
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
如图所示,用户租用联通运营商两个公网IP以供内网用户使用,其中以两条链路带宽均为1G,其中一条链路优先级较高,另一条链路优先级较低。内网用户通过LB设备访问外网HTTP服务器。使用户出方向的流量基于目的地址在两条链路上负载分担,每条链路上配置带宽繁忙保护,但一条链路出接口流量达到设定的繁忙比例时,LB设备将新建流量分发给另外一条link。带宽繁忙保护功能就是对链路的带宽繁忙比进行限制。当流量超过某条链路的带宽繁忙比后,新建流量(非匹配持续性的流量)将不再向该链路分发,而原有流量则仍由该链路继续分发。
图3-122 链路负载均衡带宽繁忙保护组网图
· 链路组中的两条链路优先级不同,并且配置各自的带宽,无特殊需求案例使用默认的带宽繁忙比与恢复比。
· 虚服务开启带宽繁忙保护。
· 配置源地址转换,保护内网IP。
本举例是在L5000-AK535的Version 7.1.064, Release 8504P20版本上进行配置和验证的。
· 配置一条主用链路一条备用链路,主用链路优先级要高于备用链路。
· 虚服务下使能带宽繁忙保护,接口带宽统计设置为5秒统计一次。
· 如果两条链路均繁忙,则两条链路都参与调度。
· 以下配置均在LB设备上进行。
· 如果使用物理子接口作为链路出接口,请在物理口下开启子接口统计功能
(1) 创建ICMP类型健康检测
进入“对象”页面,在导航栏中选择“健康检测”,如下图所示。单击<新建> 按钮,只配置名称,其他配置使用默认配置。
图3-123 配置ICMP类型的健康检测模板
(2) 配置链路
在导航栏中选择“策略 > 全局配置 > 链路”,进入链路页面,单击按钮<新建>,创建两条链路, link-cnc-1、link-cnc-2,,其中link-cnc-1优先级为8,带宽1Gbps,最大繁忙比为20%,恢复比10%、link-cnc-2优先级为4,带宽为1Gbps,其他使用默认配置。
图3-124 创建链路link-cnc-1
图3-125 创建链路link-cnc-2
(3) 配置链路组
在导航栏中选择“策略 > 链路负载均衡 > 链路组”,进入链路组页面,单击按钮<新建>,配置链路组cnc,调度算法选择加权轮转,同时在链路组里面配置健康检测icmp。如下图所示。
图3-126 创建链路组cnc
(4) 为链路组cnc添加链路link-cnc-1、link-cnc-2
进入策略页面,在导航栏中选择“链路负载均衡 > 链路组”,单击链路组<编辑>,进入链路组页面,在成员列表一栏单击<添加>按钮,进行如下配置,添加链路完成后单击<确认>。
图3-127 添加链路link-cnc-1
图3-128 添加链路link-cnc-2
(5) 配置流量特征
在导航栏中选择“策略 > 链路负载均衡 > 流量特征”,流量特征类型为link-generic,用于匹配目的IP 183.232.98.190与目的IP 61.135.169.125,匹配方式为match-any,进入流量特征页面,单击按钮<新建>,创建dip。如下图所示。
图3-129 创建流量特征dip
单击<确定>按钮,配置完成,如下图所示。
(6) 开启负载均衡功能
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,开启负载均衡功能与带宽繁忙保护,如下图所示。
图3-130 配置负载均衡功能
(7) 配置负载均衡策略
匹配流量特征dip的走链路组cnc。
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,在“策略”下,单击按钮<新建>,配置IPv4选路策略,如下图所示。
图3-131 配置IPv4选路策略
配置完成如下图所示。
(8) 配置nat地址组并在链路出接口应用
在导航栏中选择“网络 > NAT > NAT高级设置 > NAT地址组”,单击按钮<新建>创建地址池,如下图所示
图3-132 配置地址组1
图3-133 配置地址组2
在导航栏中选择“网络 > NAT > NAT动态转换”,单击按钮<新建>策略,如下图所示
图3-134 配置NAT动态转换1
图3-135 配置NAT动态转换2
(1) 正常流量情况下的流量统计
(2) 打入超过200Mbps的流量情况下的的链路状态,link-cnc-1处于繁忙状态。
(3)打入超过200Mbps的流量情况下的流量统计,新建流量由link-cnc-2转出。
#
nat address-group 1 name cnc-1
address 61.0.156.100 61.0.156.200
#
nat address-group 2 name cnc-2
address 180.223.0.100 180.223.0.200
#
interface GigabitEthernet2/0/1
port link-mode route
description link-cnc-1
ip address 61.0.156.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc-2
ip address 180.223.0.1 255.255.255.0
nat outbound address-group 2
#
nqa template icmp icmp
#
loadbalance link-group cnc
fail-action reschedule
proximity enable
transparent enable
probe icmp
success-criteria at-least 1
link link-cnc-1
success-criteria at-least 1
link link-cnc-2
success-criteria at-least 1
#
loadbalance link link-cnc-1
router ip 61.156.0.2
priority 8
max-bandwidth 125000
bandwidth busy-rate 20 recovery 10
bandwidth outbound busy-rate 70 recovery 10
success-criteria at-least 1
inherit vpn-instance disable
#
loadbalance link link-cnc-2
router ip 180.223.0.2
max-bandwidth 125000
success-criteria at-least 1
#
loadbalance class dip type link-generic match-any
match 1 destination ip address 183.232.98.190
match 2 destination ip address 61.135.169.125
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-generic
forward all
#
loadbalance action ob$action$#for#dip type link-generic
link-group cnc
fallback-action continue
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-gen
eric
class dip action ob$action$#for#dip
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth busy-protection enable
bandwidth interface statistics enable
#
本章介绍DNS透明代理典型配置案例。
DNS透明代理功能可在多条链路上分担内网用户访问外部DNS服务器的流量。
如图所示,用户租用电信联通运营商各两个公网IP以供内网用户使用。link-cnc-1对应的DNS服务器的IP地址为183.232.98.190、link-cnc-2对应的DNS服务器的IP地址为183.232.98.191,两个DNS服务器均参与解析mail.qq.com的DNS请求;link-chinatel-master对应的DNS服务器的IP地址为61.135.169.125、link-chinatel-backup对应的DNS服务器的IP地址为61.135.169.126,优先级高的DNS服务器优先处理DNS请求,另一个做为备份,两个DNS服务器均参与解析www.baidu.com的DNS请求。
图4-1 DNS透明代理配置组网图
· 配置接口地址,配置链路与DNS服务器。
· 配置源地址转换,保护内网IP。
· 在LB设备上配置DNS透明代理,DNS透明代理中引用策略。
· 在LB设备上配置策略配置默认动作为负载均衡。
本举例是在L5000-AK535 的Version 7.1.064, Release 8504P20版本上进行配置和验证的。
· 配置默认DNS服务器。
· 案例以A记录解析为例。
(1) 创建ICMP类型健康检测
进入“对象”页面,在导航栏中选择“健康检测”,如下图所示。单击<新建> 按钮,只配置名称,其他配置使用默认配置。
图4-2 配置icmp类型建健康监测
(2) 配置链路
在导航栏中选择“策略 > 全局配置 > 链路”,进入链路页面,单击按钮<新建>,创建四条链路,link-cnc-1,link-cnc-2,和link-chinatel-master,link-chinatel-backup,其中link-cnc-1、link-cnc-2除router ip外其他配置相同。
图4-3 创建链路link-cnc-1
图4-4 添加链路link-cnc-2
图4-5 添加链路link-chinatel-master
图4-6 添加链路link-chinatel-backup
单击<确定>按钮,配置完成。
(3) 配置DNS服务器
在导航栏中选择“策略 > DNS透明代理 > DNS服务器”,进入DNS服务器页面,单击按钮<新建>,创建四个DNS服务器,dns-qq-1、dns-qq-2服务器除IP地址外其他配置相同;dns-baidu-1优先级为8、dns-baidu-2优先级为4,除IP地址外其他配置相同,dns-qq-1绑定链路link-cnc-1,dns-qq-2绑定link-cnc-2,dns-baidu-master绑定链路link-chinatel-master,dns-baidu-backup绑定链路link-chinatel-backup。
图4-7 配置DNS服务器dns-qq-1
图4-8 配置DNS服务器dns-qq-2
图4-9 配置DNS服务器dns-baidu-1
图4-10 配置DNS服务器dns-baidu-2
单击<确定>配置完成,如下图所示
(4) 配置DNS服务器池并分别添加DNS服务器
在导航栏中选择“策略 > DNS透明代理 > DNS服务器池”,进入DNS服务器池页面,单击按钮<新建>,创建两个DNS服务器池dsp-qq dsp-baidu,算法选用加权轮转,并分别添加链路与DNS服务器。
图4-11 创建DNS服务器池dsp-qq
图4-12 添加DNS服务器池成员dns-qq-1
图4-13 添加DNS服务器池成员dns-qq-2
创建完成如下图所示
图4-14 创建DNS服务器池dsp-qq
图4-15 创建DNS服务器池dsp-baidu
图4-16 添加DNS服务器池成员dns-baidu-1
图4-17 添加DNS服务器池成员dns-baidu-2
创建完成如下图所示。
图4-18 创建DNS服务器池dsp-baidu
单击确定配置完成,如下图所示。
(5) 配置流量特征
在导航栏中选择“策略 > DNS透明代理 > 流量特征”,进入流量特征页面,单击按钮<新建>,创建两个流量特征domain-qq.com与domain-baidu.com,配置匹配方式为匹配任意一条规则。如下图所示。
图4-19 创建流量特征domain-qq.com
在匹配规则中单击按钮<新建>创建规则,如下图所示。
图4-20 创建流量特征domain-qq.com的规则
单击确定配置完成,如下图所示。
图4-21 创建流量特征domain-baidu.com
在匹配规则中单击按钮<新建>创建规则,如下图所示。
图4-22 创建流量特征domain-baidu.com的规则
单击确定配置完成,如下图所示。
(6) 开启DNS透明代理
在导航栏中选择“策略 > DNS透明代理 > IPv4代理策略”,进行如下配置,如下图所示。
图4-23 配置DNS透明代理
(7) 配置IPv4代理策略
在导航栏中选择“策略 > DNS透明代理 > IPv4代理策略”,IPv4代理策略页面,单击按钮<新建>,配置策略,并dsp-qq作为默认DNS服务器池,如下图所示。
图4-24 配置IPv4选路策略-1
图4-25 配置IPv4选路策略-2
图4-26 配置IPv4选路策略-3
单击确定配置完成,如下图所示。
(8) 创建NAT地址组并在链路出接口应用
在导航栏中选择“网络 > NAT > NAT高级设置 > NAT地址组”,单击按钮<新建>创建地址池,如下图所示
图4-27 配置地址组1
图4-28 配置地址组2
图4-29 配置地址组3
图4-30 配置地址组4
在导航栏中选择“网络 > NAT > NAT动态转换”,单击按钮<新建>策略,如下图所示
图4-31 配置NAT动态转换1
图4-32 配置NAT动态转换2
图4-33 配置NAT动态转换3
图4-34 配置NAT动态转换4
(1) 配置测试仪发起DNS A www.baidu.com,DNS A mail.qq.com。
在导航栏中选择“监控 > DNS透明代理统计 > DNS服务器统计”,如下图所示。
图4-35 查看DNS服务器统计
(2) 手动关闭link-cnc-1与link-chinatel-master
再次查看DNS服务器统计,流量切换到状态正常的DNS服务器。
#
nat address-group 1 name cnc-1
address 61.0.156.100 61.0.156.200
#
nat address-group 2 name cnc-2
address 180.223.0.100 180.223.0.200
#
nat address-group 3 name chinatel-master
address 1.1.0.100 1.1.0.200
#
nat address-group 4 name chinatel-backup
address 203.0.24.100 203.0.24.200
#
nqa template icmp icmp
#
interface GigabitEthernet2/0/1
port link-mode route
description link-cnc-1
ip address 61.0.156.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc-2
ip address 180.223.0.1 255.255.255.0
nat outbound address-group 2
#
interface GigabitEthernet2/0/3
port link-mode route
description link-chinatel-master
ip address 1.1.0.1 255.255.255.0
nat outbound address-group 3
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel-backup
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 4
#
loadbalance class damian-baidu.com type dns match-any
match 1 domain-name www.baidu.com
#
loadbalance class domain-qq.com type dns match-any
match 1 domain-name mail.qq.com
#
loadbalance action ##defaultactionfordnsproxyipv4##%%autocreatedbyweb%% type dns
dns-server-pool dsp-qq
#
loadbalance action dp4#action#for#damian-baidu.com type dns
dns-server-pool dsp-baidu
fallback-action continue
#
loadbalance action dp4#action#for#domain-qq.com type dns
dns-server-pool dsp-qq
fallback-action continue
#
loadbalance dns-server-pool dsp-baidu
probe icmp
success-criteria at-least 1
dns-server dns-baidu-1 port 0
success-criteria at-least 1
dns-server dns-baidu-2 port 0
success-criteria at-least 1
#
loadbalance dns-server-pool dsp-qq
probe icmp
success-criteria at-least 1
dns-server dns-qq-1 port 0
success-criteria at-least 1
dns-server dns-qq-2 port 0
success-criteria at-least 1
#loadbalance policy ##defaultpolicyfordnsproxyipv4##%%autocreatedbyweb%% type dns
class domain-qq.com action dp4#action#for#domain-qq.com
class damian-baidu.com action dp4#action#for#damian-baidu.com
default-class action ##defaultactionfordnsproxyipv4##%%autocreatedbyweb%%
#
loadbalance link link-chinatel-backup
router ip 203.0.24.2
#
loadbalance link link-chinatel-master
router ip 1.1.0.2
#
loadbalance link link-cnc-1
router ip 61.0.156.2 1
#
loadbalance link link-cnc-2
router ip 180.223.0.2 1
#
loadbalance dns-server dns-baidu-2
ip address 8.8.8.8
link link-chinatel-backup
success-criteria at-least 1
#
loadbalance dns-server dns-baidu-1
ip address 219.141.136.68
link link-chinatel-master
priority 8
success-criteria at-least 1
#
loadbalance dns-server dns-qq-1
ip address 114.114.114.114
link link-cnc-1
success-criteria at-least 1
#
loadbalance dns-server dns-qq-2
ip address 202.106.46.151
link link-cnc-2
success-criteria at-least 1
#
loadbalance dns-proxy ##defaultdpfordnsproxyipv4##%%autocreatedbyweb%% type udp
ip address 0.0.0.0 0
service enable
lb-policy ##defaultpolicyfordnsproxyipv4##%%autocreatedbyweb%%
#
本章介绍智能DNS配置案例。
智能DNS功能可在多条链路上分担外网用户访问内网服务器的流量。
智能DNS支持IPv4与IPv6,但不支持IPv4流量与IPv6流量的互转。
路由部署模式:LB设备以三层方式对外连接,通过路由转发。
智能DNS支持的资源记录有:
· A(Address)记录是用来指定主机名(或域名)对应的IP地址记录(IPv4地址),通俗来说A记录就是服务器的IP。
· AAAA(Address)记录是用来指定主机名(或域名)对应的IP地址记录(IPv6地址)。
在DNS正向解析过程中,负载均衡设备使用DNS正向区域中配置的资源记录来查找DNS域名对应的主机名。DNS资源记录是负载均衡设备用于解析DNS请求的数据记录表项,DNS正向区域中可以配置以下几种类型的资源记录:
· CNAME(Canonical Name,规范名称)资源记录允许将多个别名映射到同一正规主机名,即同一服务器。例如,企业内网有一台服务器主机名为host.qq.com,它同时对外提供Web服务和邮件服务,为了便于用户的访问,可以为该服务器配置CNAME资源记录,分别配置别名为www.qq.com和mail.qq.com。当用户请求Web服务时,访问www.qq.com,当用户请求邮件服务时,访问mail.qq.com,而实际访问的均为host.qq.com。
· MX(Mail Exchanger,邮件交换)资源记录用于指定该DNS正向区域的邮件服务器。
· NS(Name Server,权威名称服务器)资源记录用于指定为该DNS正向区域服务的权威名称服务器。
· SOA(Start of Authority,起始授权)资源记录用来配置一个DNS正向区域的主域名服务器、管理员邮箱等参数。
· SRV(Service,服务)资源记录用来配置DNS正向区域所提供的服务,以及提供该服务的服务器。
· TXT(Text,文本)资源记录用于为DNS正向区域设置说明。
· PTR(Pointer Record,指针记录)用来记录域名和IP地址的映射关系,根据DNS反向区域对收到的报文进行反向DNS解析,即根据IP地址查找对应的域名。
图5-1 智能DNS支持多种资源记录组网图
企业分别租用不同运营商联通cnc、电信chinatel四条链路link-cnc-1、link-cnc-1、link-chinatel-master、link-chinatel-backup为外网用户提供服务。local DNS上指定LB作为权威DNS服务器负载解析外网用户访问内网服务器的DNS请求报文,并为外网用户访问内网服务器选择最佳链路。
通过配置入方向链路负载均衡,可以使外部互联网用户访问内网服务器的流量较为均匀地分配到多条链路上,从而提高流量转发效率,提升服务质量;可以避免出现一条链路拥塞而其他链路闲置的情况;可以在某条链路出现故障时,使外部互联网用户使用其它链路来访问内网服务器,避免因链路故障导致流量转发失败。
· 配置接口地址,及保持上一跳,保证反向流量从同一条链路返回。
· 为了接收DNS请求,需要配置链路、DNS监听器。
· LB设备支持多种资源记录,需要配置DNS正向域、DNS反向域。
· 为了能返回域名所对应的IP地址,需要配置虚服务器及虚IP池。
· 配置DNS正向域,用于解析各种资源记录。
本举例是在L5000-AK535的Version 7.1.064, Release 8504P20 版本上进行配置和验证的。
· 在配置之前确保外网到负载均衡设备、DNS监听路由可达。
· 举例版本Web不支持SRV\TXT记录,使用命令行配置。
· 本次配置举例中,对于域名不存在的处理方式是拒绝,也可以根据具体的需求,设置为不回应或DNS代理方式,本文档不再赘述。
(1) 配置接口IP地址,并开启保持上一跳
<LB device> system-view
[LB device] interface GigabitEthernet 1/0/1
[LB device-GigabitEthernet1/0/1] ip address 61.156.0.1 255.255.0.0
[LB device-GigabitEthernet1/0/1] ip last-hop hold
[LB device-GigabitEthernet1/0/1] quit
[LB device>] interface GigabitEthernet 1/0/2
[LB device-GigabitEthernet1/0/2] ip address 180.223.0.1 255.255.0.0
[LB device-GigabitEthernet1/0/2] ip last-hop hold
[LB device-GigabitEthernet1/0/2] quit
[LB device>] interface GigabitEthernet 1/0/3
[LB device-GigabitEthernet1/0/3] ip address 1.1.0.1 255.255.0.0
[LB device-GigabitEthernet1/0/3] ip last-hop hold
[LB device-GigabitEthernet1/0/3] quit
[LB device>] interface GigabitEthernet 1/0/4
[LB device-GigabitEthernet1/0/4] ip address 203.0.24.1 255.255.0.0
[LB device-GigabitEthernet1/0/4] ip last-hop hold
[LB device-GigabitEthernet1/0/4] quit
(2) 配置NQA模板
图5-2 创建名为icmp的ICMP类型的健康检测模板
(3) 配置Link
创建名为link-cnc-1的Link,指定链路出方向的下一跳IP地址为61.156.0.2,开启链路功能,引用ICMP类型健康检测,成功条件为至少一个检测通过;
创建名为link-cnc-2的Link,指定链路出方向的下一跳IP地址为180.223.0.2,开启链路功能,引用ICMP类型健康检测,成功条件为至少一个检测通过;
创建名为link-chinatel-master的Link,指定链路出方向的下一跳IP地址为1.1.0.2,开启链路功能,引用ICMP类型健康检测,成功条件为至少一个检测通过;
创建名为link-chinatel-backup的Link,指定链路出方向的下一跳IP地址为203.0.24.2,开启链路功能,引用ICMP类型健康检测,成功条件为至少一个检测通过。
在导航栏中选择“策略 > 全局配置 > 链路”,单击<新建>按钮,进行如下配置:
图5-3 创建名为link-cnc-1的Link
图5-4 创建名为link-cnc-2的Link
图5-5 创建名为link-chinatel-master的Link
图5-6 创建名为link-chinatel-backup的Link
(4) 配置虚服务器
在导航栏中选择“策略 > 应用负载均衡 > 虚服务器”,单击 <新建>按钮:
创建IP类型的虚服务器vs-cnc1,配置其IP地址为183.232.98.190。
图5-7 创建IP类型的虚服务器vs-cnc1
创建IP类型的虚服务器vs-cnc-ipv6,配置其VSIP为1:20::5。
图5-8 创建IP类型的虚服务器vs-cnc-ipv6
创建IP类型的虚服务器vs-cnc2,配置其VSIP为140.207.128.140。
图5-9 创建IP类型的虚服务器vs-cnc2
(5) 配置虚服务器池
创建虚IP池vsp,设置优选调度算法为加权轮转算法,并添加虚服务器vs-cnc-ipv6、vs-cnc1、vs-cnc2,虚服务器分别关联链路link-cnc-1、link-cnc-1、link-cnc-2。
在导航栏中选择“策略 > 智能DNS > 虚IP池”,单击 <新建>按钮:
图5-10 创建虚IP池vsp
(6) 配置DNS监听器
创建DNS监听器dl-cnc-1,配置其IPv4地址为61.156.0.1,并开启DNS监听服务。
在导航栏中选择“策略 > 智能DNS > NDS监听器”,单击<新建>按钮:
图5-11 创建DNS监听器dl-cnc-1
创建DNS监听器dl-cnc-2,配置其IPv4地址为180.223.0.1,并开启DNS监听服务。
图5-12 创建DNS监听器dl-cnc-2
创建DNS监听器dl-chinatel-m,配置其IPv4地址为1.1.0.1,并开启DNS监听服务。
图5-13 创建DNS监听器dl-chinatel-m
创建DNS监听器dl-chinatel-b,配置其IPv4地址为203.0.24.1,并开启DNS监听服务。
图5-14 创建DNS监听器dl-chinatel-b
(7) 配置DNS映射
创建DNS映射dm,配置域名host.qq.com、ns-cnc1.baidu.com、ns-tel1.baidu.com,指定虚服务器池vsp,并开启其服务。
在导航栏中选择“策略 > 智能DNS > DNS映射”,单击<新建>按钮:
图5-15 创建DNS映射dm
(8) 配置DNS正向区域
a. 配置MX记录
创建DNS正向区域域名为qq.com,配置MX类型的资源记录,其邮件服务器主机名为mail。
注:邮件服务器主机名,支持绝对域名(以“.”结束)和相对域名(不以“.”结束),当域名是相对域名时,则进行自动扩充,在所配域名后自动添加当前DNS正向域的域名
在导航栏中选择“策略 > 智能DNS > DNS正向域”,单击<新建>按钮:
图5-16 创建MX类型资源记录
b. 配置CNAME记录
DNS正向区域域名为qq.com,配置CNAME类型的资源记录,别名为mail,规范名称为host。
注:CNAME记录中的别名和规范名称支持绝对域名(以“.”结束)和相对域名(不以“.”结束),当域名是相对域名时,则进行自动扩充,在所配域名后自动添加当前DNS正向域的域名。
图5-17 创建CNAME类型资源记录
c. 配置NS及SOA记录
创建DNS正向区域域名为baidu.com,配置NS类型的资源记录,其主机名为ns-cnc1、ns-tel1,对应的SOA配置中,主域名服务器主机名为www,管理员邮箱地址为www
注:NS、SOA记录中的主机名和邮箱地址支持绝对域名(以“.”结束)和相对域名(不以“.”结束),当域名是相对域名时,则进行自动扩充,在所配域名后自动添加当前DNS正向域的域名
在导航栏中选择“策略 > 智能DNS > DNS正向域”,单击<新建>按钮:
图5-18 创建NS、SOA类型资源记录
d. 配置SRV记录
目前版本Web不支持配置,使用命令行进行举例
注:服务名称(service)和提供服务的主机名(host-offering-service),支持绝对域名(以“.”结束)和相对域名(不以“.”结束),当服务名和主机名是相对域名时,则进行自动扩充,在所配域名后自动添加当前DNS正向域的域名。
[LB device-lb-zone-qq.com] record srv service _ldap host-offering-service _tcp priority 50 weight 50 port 389
e. [LB device-lb-zone-qq.com] record srv service _ldap.qq.com. host-offering-service _tcp. priority 10 weight 10 port 80配置TXT记录
目前版本web不支持配置,使用命令行进行配置举例。
注:区域的子域名(sub),支持绝对域名(以“.”结束)和相对域名(不以“.”结束),当服务名和主机名是相对域名时,则进行自动扩充,在所配域名后自动添加当前DNS正向域的域名。
[LB device-lb-zone-qq.com] record txt describe-txt 111111111111111111
[LB device-lb-zone-qq.com] record txt sub hotline describe-txt "v=spf1 include:spf.abcmail.abc.com.cn -all"
(9) 配置DNS反向区域
在导航栏中选择“策略 > 智能DNS > DNS反向域”,单击<新建>按钮:
图5-19 创建PTR类型资源记录
(1) 通过nslookup查看CNAME记录
(2) 通过nslookup查看A、AAAA记录
DNS请求域名www.qq.com对应的A、AAAA记录,映射表中不存在该域名,查询在DNS正向区域中配置的资源记录,得到主机域名,再依据该主机域名在DNS映射中查找域名所对应的虚服务器IP地址。
(3) 通过nslookup查看MX记录
(4) 通过nslookup查看NS及SOA记录
(5) 通过nslookup查看SRV记录
配置两条SRV记录,查看相对域名和绝对域名对应的返回情况,结果如下图所示:
(6) 通过nslookup查看TXT记录
正向域qq.com下配置两条TXT记录,一条不配置sub,另外一条配置sub、查看TXT记录,结果如下图所示:
(7) 通过nslookup查看PTR记录
183.232.100.100对应的PTR记录,如下图所示:
nqa template icmp icmp
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 61.156.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 180.223.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 1.1.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/4
port link-mode route
ip address 203.0.24.1 255.255.0.0
ip last-hop hold
#
virtual-server vs-cnc-ipv6 type ip
virtual ipv6 address 1:20::5
#
virtual-server vs-cnc1 type ip
virtual ip address 183.232.98.190
#
virtual-server vs-cnc2 type ip
virtual ip address 140.207.128.140
#
loadbalance link link-chinatel-backup
router ip 203.0.24.3
success-criteria at-least 1
probe icmp
#
loadbalance link link-chinatel-master
router ip 1.1.0.3
success-criteria at-least 1
probe icmp
#
loadbalance link link-cnc-1
router ip 61.156.0.3
success-criteria at-least 1
probe icmp
#
loadbalance link link-cnc-2
router ip 180.223.0.3
success-criteria at-least 1
probe icmp
#
loadbalance virtual-server-pool vsp
predictor alternate random
predictor fallback least-connection
virtual-server vs-cnc-ipv6 link link-cnc-1
virtual-server vs-cnc1 link link-cnc-1
virtual-server vs-cnc2 link link-cnc-2
#
loadbalance dns-map dm
domain-name host.qq.com
domain-name ns-cnc1.baidu.com
domain-name ns-tel1.baidu.com
service enable
virtual-server-pool vsp
#
loadbalance dns-listener dl-chinatel-b
ip address 203.0.24.1
service enable
#
loadbalance dns-listener dl-chinatel-m
ip address 1.1.0.1
service enable
#
loadbalance dns-listener dl-cnc-1
ip address 61.156.0.1
service enable
#
loadbalance dns-listener dl-cnc-2
ip address 180.223.0.1
service enable
#
loadbalance zone baidu.com
record ns authority ns-cnc1
record ns authority ns-tel1
soa
primary-nameserver www
responsible-mail mail
#
loadbalance zone qq.com
record mx exchanger mail preference 100
record cname alias mail canonical host
record cname alias www canonical host
record txt describe-txt 111111111111111111
record txt sub hotline describe-txt "v=spf1 include:spf.abcmail.abc.com.cn -all
"
record srv service _ldap host-offering-service _tcp priority 50 weight 50 port 389
record srv service _ldap.qq.com. host-offering-service _tcp. priority 10 weight 10 port 80
#
loadbalance reverse-zone ip 183.232.0.0 16
record ptr ip 183.232.100.100 mail.qq.com
#
企业分别租用不同运营商联通cnc、电信chinatel四条链路link-cnc-1、link-cnc-1、link-chinatel-master、link-chinatel-backup为外网用户提供服务,这四条链路的路由器跳数、带宽和成本不完全相同。外网用户访问host.qq.com时,优先根据动态探测到的最优链路选路,其次根据所属的ISP进行选路。用户首先向本地DNS服务器发送请求,本地DNS服务器向负载均衡设备发起DNS请求,负载均衡设备经过调度算法选出对应链路。
图5-20 智能DNS动态就近性组网图
为了验证智能DNS动态就近性算法,需要完成如下配置:
· 配置接口地址,及保持上一跳,保证反向流量从同一条链路返回。
· 为了接收DNS请求,需要配置链路、DNS监听器。
· 为了能返回域名所对应的IP地址,需要配置虚服务器及虚IP池。
· 四条链路的路由器跳数、带宽和成本不同。
· 配置就近性参数,用于动态就近性算法。
本举例是在L5000C的Version 7.1.064, Release 8504P20版本上进行配置和验证的。
· 在配置之前确保外网到负载均衡设备、DNS监听路由可达。
· 动态探测的目的地址为最初的探测地址,通过就近性算法获取当前的最优链路,就近性探测的周期由用户配置决定。
· 就近性优先级链中的最优的不一定就是最终选择的,还要看当前链路的状态。
· 在虚IP池次选调度算法选动态就近性,备选最好选用其他算法,以免出现业务失败(动态就近性表项,靠报文触发,探测成功后十秒,才能产生可用的就近性表项)。
(1) 配置接口IP地址,并开启保持保持上一跳
[LB device-GigabitEthernet1/0/1]ip address 61.156.0.1 255.255.0.0
[LB device-GigabitEthernet1/0/1]ip last-hop hold
[LB device-GigabitEthernet1/0/2]ip address 180.223.0.1 255.255.0.0
[LB device-GigabitEthernet1/0/2]ip last-hop hold
[LB device-GigabitEthernet1/0/3]ip address 1.1.0.1 255.255.0.0
[LB device-GigabitEthernet1/0/3]ip last-hop hold
[LB device-GigabitEthernet1/0/4]ip address 203.0.24.1 255.255.0.0
[LB device-GigabitEthernet1/0/4]ip last-hop hold
(2) 配置ICMP类型的NQA模板
图5-21 创建名为icmp的ICMP类型的NQA模板
(3) 配置Link
创建名为link-cnc-1的Link,指定链路出方向的下一跳IP地址为61.156.0.2,就近性链路成本为40,引用ICMP类型健康检测,成功条件为至少一个检测通过;
创建名为link-cnc-2的Link,指定链路出方向的下一跳IP地址为180.223.0.2,就近性链路成本为100,引用ICMP类型健康检测,成功条件为至少一个检测通过;
创建名为link-chinatel-master的Link,指定链路出方向的下一跳IP地址为1.1.0.2,就近性链路成本为0,引用ICMP类型健康检测,成功条件为至少一个检测通过;
创建名为link-chinatel-backup的Link,指定链路出方向的下一跳IP地址为203.0.24.2,就近性链路成本为200,引用ICMP类型健康检测,成功条件为至少一个检测通过;
图5-22 创建名为link-cnc-1的Link
图5-23 创建名为link-cnc-2的Link
图5-24 创建名为link-chinatel-master的Link
图5-25 创建名为link-chinatel-backup的Link
在导航栏中选择“策略 > 全局配置 > 链路”,单击<新建>按钮,进行如下配置:
图5-26 创建名为link-cnc-1的Link
图5-27 创建名为link-cnc-2的Link
图5-28 创建名为link-chinatel-master的Link
图5-29 创建名为link-chinatel-backup的Link
(4) 配置虚服务器
在导航栏中选择“策略 > 应用负载均衡 > 虚服务器”,单击<新建>按钮:
创建IP类型的虚服务器vs-cnc1,配置其VSIP为183.232.98.190。
图5-30 创建IP类型的虚服务器vs-cnc1
创建IP类型的虚服务器vs-cnc2,配置其VSIP为140.207.128.140。
图5-31 创建IP类型的虚服务器vs-cnc2
创建IP类型的虚服务器vs-chinatel-m,配置其VSIP为183.2.186.153。
图5-32 创建IP类型的虚服务器vs-chinatel-m
创建IP类型的虚服务器vs-chinatel-b,配置其VSIP为183.61.47.15。
图5-33 创建IP类型的虚服务器vs-chinatel-b
(5) 配置ISP
导入ISP文件,在导航栏中选择“策略 > 全局配置 > ISP”,单击“
”按钮:
图5-34 配置ISP
然后单击“
”
图5-35 导入ISP
(6) 配置区域
创建区域region-chinatel、region-cnc,并配置ISP
在导航栏中选择“策略 > 全局配置 > 区域”,单击<新建>按钮:
图5-36 创建区域region-chinatel
图5-37 创建区域region-cnc
(7) 配置静态就近性策略
在导航栏中选择“策略 > 智能DNS > 静态就近性策略”,单击<新建>按钮:
本次配置每个区域对应两个IP地址段如下图,配置完单击<确认>。
配置结果如下:
(8) 配置虚服务器池
创建虚IP池vsp,设置优选调度算法为动态就近性算法,备选调度算法为静态就近性算法,次选算法为加权轮转算法,并添加虚服务器vs-cnc1、、vs-cnc2、vs-chinatel-m、vs-chinatel-b,虚服务器分别关联链路link-cnc-1、link-cnc-2、link-chinatel-master、link-chinatel-backup,开启带宽繁忙保护功能。
在导航栏中选择“策略 > 智能DNS > 虚IP池”,单击<新建>按钮:
图5-38 创建虚IP池vsp
(9) 配置DNS监听器
创建DNS监听器dl-cnc-1,配置其IPv4地址为61.156.0.1,并开启DNS监听服务。
在导航栏中选择“策略 > 智能DNS > NDS监听器”,单击<新建>按钮:
图5-39 创建DNS监听器dl-cnc-1
创建DNS监听器dl-cnc-2,配置其IPv4地址为180.223.0.1,并开启DNS监听服务。
图5-40 创建DNS监听器dl-cnc-2
创建DNS监听器dl-chinatel-m,配置其IPv4地址为1.1.0.1,并开启DNS监听服务。
图5-41 创建DNS监听器dl-chinatel-m
创建DNS监听器dl-chinatel-b,配置其IPv4地址为203.0.24.1,并开启DNS监听服务。
图5-42 创建DNS监听器dl-chinatel-b
(10) 配置DNS映射
创建DNS映射dm,配置其域名为host.qq.com,指定虚服务器池vsp,并开启其服务。
在导航栏中选择“策略 > 智能DNS > DNS映射”,单击<新建>按钮:
图5-43 创建DNS映射dm
(11) 配置就近性参数
在导航栏中选择“策略 > 全局配置 > 就近性”,“就近性探测模板”页签,单击“
”按钮:
图5-44 创建就近性探测模板
在导航栏中选择“策略 > 全局配置 > 就近性”,“就近性参数”页签下,单击
按钮,新建就近性参数,无特殊需求,其他使用默认配置,如下图所示
图5-45 配置就近性参数
(1) 查看就近性表项
就近性表现没有生成最佳链路时,首选动态就近性算法不生效,走备选静态就近性算法,返回IP地址183.61.47.15。
就近性表现生成最佳链路时,首选动态就近性算法生效,返回最佳链路对应的IP地址183.2.186.153。
#
nqa template icmp icmp
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 61.156.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 180.223.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 1.1.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/4
port link-mode route
ip address 203.0.24.1 255.255.0.0
ip last-hop hold
#
virtual-server vs-chinatel-b type ip
virtual ip address 183.61.47.15
#
virtual-server vs-chinatel-m type ip
virtual ip address 183.2.186.153
#
virtual-server vs-cnc1 type ip
virtual ip address 183.232.98.190
#
virtual-server vs-cnc2 type ip
virtual ip address 140.207.128.140
#
loadbalance isp file lbispinfo.tp
#
loadbalance proximity
match default probe icmp
#
loadbalance region region-chinatel
isp chinatel
#
loadbalance region region-cnc
isp cnc
#
loadbalance link link-chinatel-backup
router ip 203.0.24.3
success-criteria at-least 1
probe icmp
#
loadbalance link link-chinatel-master
router ip 1.1.0.3
probe icmp
#
loadbalance link link-cnc-1
router ip 61.156.0.3
probe icmp
#
loadbalance link link-cnc-2
router ip 180.223.0.3
probe icmp
#
loadbalance virtual-server-pool vsp
predictor preferred proximity
predictor alternate round-robin
predictor fallback topology
virtual-server vs-chinatel-b link link-chinatel-backup
virtual-server vs-chinatel-m link link-chinatel-master
virtual-server vs-cnc1 link link-cnc-1
virtual-server vs-cnc2 link link-cnc-2 weight 10
#
loadbalance dns-map dm
domain-name host.qq.com
service enable
virtual-server-pool vsp
#
loadbalance dns-listener dl-chinatel-b
ip address 203.0.24.1
service enable
#
loadbalance dns-listener dl-chinatel-m
ip address 1.1.0.1
service enable
#
loadbalance dns-listener dl-cnc-1
ip address 61.156.0.1
service enable
#
loadbalance dns-listener dl-cnc-2
ip address 180.223.0.1
service enable
#
topology region region-chinatel ip 183.2.0.0 16
topology region region-chinatel ip 183.61.0.0 16 weight 255
topology region region-cnc ip 140.207.0.0 16 weight 255
topology region region-cnc ip 183.232.0.0 16
#
企业分别租用不同运营商联通cnc、电信chinatel四条链路link-cnc-1、link-cnc-1、link-chinatel-master、link-chinatel-backup为外网用户提供服务,这四条链路的路由器跳数、带宽和成本相同。外网用户访问host.qq.com时,优先根据ISP进行选路,即当联通用户访问host.qq.com时,轮流返回联通服务器地址183.232.x.x和140.207.128.140两个网段,其中183.232.x.x网段包括两个IP地址,183.232.98.190和183.232.100.100。当电信用户访问域名host.qq.com时,若主链路link-chinatel-master正常,则解析成电信服务器地址183.2.186.153,若主链路非可用状态,则解析成联通服务器地址183.61.47.15。
图5-46 智能DNS静态就近性组网图
· 配置接口地址,及保持上一跳,保证反向流量从同一条链路返回。
· 为了接收DNS请求,需要配置链路、DNS监听器。
· 为了能返回域名所对应的IP地址,需要配置虚服务器及虚IP池。
· 为了使用户访问对应运营商的服务器,虚IP池首选调度算法使用静态就近性算法。
本举例是在L5000-AK535的Version 7.1.064, Release 8504P20版本上进行配置和验证的。
· 在配置之前确保外网到负载均衡设备DNS监听路由可达。
· 导入可用的ISP文件。
· 为了实现组网需求,使联通用户访问域名host.qq.com时,同一个ISP对应的两个topology的权值相同,将会按照1:1轮流返回两个联通服务器网段地址183.232.x.x和140.207.x.x。其中183.232.x.x网段包括两个IP地址,183.232.98.190和183.232.100.100,本配置举例中这两个地址以10:1的比例返回。
· 为了实现组网需求,当电信用户访问域名host.qq.com时,若主链路link-chinatel-master正常,则解析成电信服务器地址183.2.186.153,若主链路非可用状态,则解析成联通服务器地址183.61.47.15,同一个ISP对应的两个topology的权值不同,优先返回高权值对应的IP网段,只有当其对应的link故障,状态为非可用状态(包括不可用、服务关闭、健康检测失败、繁忙)时,才返回低权值对应的IP网段。
(1) 配置接口IP地址,并开启保持保持上一跳
[LB device-GigabitEthernet1/0/1]ip address 61.156.0.1 255.255.0.0
[LB device-GigabitEthernet1/0/1]ip last-hop hold
[LB device-GigabitEthernet1/0/2]ip address 180.223.0.1 255.255.0.0
[LB device-GigabitEthernet1/0/2]ip last-hop hold
[LB device-GigabitEthernet1/0/3]ip address 1.1.0.1 255.255.0.0
[LB device-GigabitEthernet1/0/3]ip last-hop hold
[LB device-GigabitEthernet1/0/4]ip address 203.0.24.1 255.255.0.0
[LB device-GigabitEthernet1/0/4]ip last-hop hold
(2) 配置ICMP类型的NQA模板
图5-47 创建名为icmp的ICMP类型的NQA模板
(3) 配置Link
创建名为link-cnc-1的Link,指定链路出方向的下一跳IP地址为61.156.0.2,引用ICMP类型健康检测,成功条件为全部通过;
创建名为link-cnc-2的Link,指定链路出方向的下一跳IP地址为180.223.0.2,引用ICMP类型健康检测,成功条件为全部通过;
创建名为link-chinatel-master的Link,指定链路出方向的下一跳IP地址为1.1.0.2,引用ICMP类型健康检测,成功条件为全部通过;
创建名为link-chinatel-backup的Link,指定链路出方向的下一跳IP地址为203.0.24.2,引用ICMP类型健康检测,成功条件为全部通过。
图5-48 创建名为link-cnc-1的Link
图5-49 创建名为link-cnc-2的Link
图5-50 创建名为link-chinatel-master的Link
图5-51 创建名为link-chinatel-backup的Link
(4) 配置虚服务器
在导航栏中选择“策略 > 应用负载均衡 > 虚服务器”,单击<新建>按钮:
创建IP类型的虚服务器vs-cnc1,配置其VSIP为183.232.98.190。
图5-52 创建IP类型的虚服务器vs-cnc1
创建IP类型的虚服务器vs-cnc1-01,配置其VSIP为183.232.100.100。
图5-53 创建IP类型的虚服务器vs-cnc1-01
创建IP类型的虚服务器vs-cnc-2,配置其VSIP为140.207.128.140。
图5-54 创建IP类型的虚服务器vs-cnc-2
创建IP类型的虚服务器vs-chinatel-m,配置其VSIP为183.2.186.153。
图5-55 创建IP类型的虚服务器vs-chinatel-m
创建IP类型的虚服务器vs-chinatel-b,配置其VSIP为183.61.47.15。
图5-56 创建IP类型的虚服务器vs-chinatel-b
(5) 配置ISP
导入ISP文件,在导航栏中选择“策略 > 全局配置 > ISP”,单击“
”按钮:
然后单击“
”
(6) 配置区域
创建区域region-chinatel、region-cnc,并配置ISP
在导航栏中选择“策略 > 全局配置 > 区域”,单击<新建>按钮:
图5-57 创建区域region-chinatel
图5-58 创建区域region-cnc
(7) 配置静态就近性策略
在导航栏中选择“策略 > 应用负载均衡 > 虚服务器”,单击<新建>按钮:
本次配置每个区域对应两个IP地址段如下图,配置完单击<确认>。
配置结果如下:
(8) 配置虚服务器池
创建虚IP池vsp,设置优选调度算法为静态就近性算法,备选调度算法为加权最小连接算法,次选算法为随机算法,并添加虚服务器vs-cnc1、vs-cnc1-01、vs-cnc2、vs-chinatel-m、vs-chinatel-b,虚服务器分别关联链路link-cnc-1、link-cnc-1、link-cnc-2、link-chinatel-master、link-chinatel-backup,开启带宽繁忙保护功能。
在导航栏中选择“策略 > 智能DNS > 虚IP池”,单击<新建>按钮:
图5-1 创建虚IP池vsp
(9) 配置DNS监听器
创建DNS监听器dl-cnc-1,配置其IPv4地址为61.156.0.1,并开启DNS监听服务。
在导航栏中选择“策略 > 智能DNS > DNS监听器”,单击<新建>按钮:
图5-2 创建DNS监听器dl-cnc-1
创建DNS监听器dl-cnc-2,配置其IPv4地址为180.223.0.1,并开启DNS监听服务。
图5-3 创建DNS监听器dl-cnc-2
创建DNS监听器dl-chinatel-m,配置其IPv4地址为1.1.0.1,并开启DNS监听服务。
图5-4 创建DNS监听器dl-chinatel-m
创建DNS监听器dl-chinatel-b,配置其IPv4地址为203.0.24.1,并开启DNS监听服务。
图5-5 创建DNS监听器dl-chinatel-b
(10) 配置DNS映射
创建DNS映射dm,配置其域名为host.qq.com,指定虚服务器池vsp,并开启其服务。
在导航栏中选择“策略 > 智能DNS > DNS映射”,单击<新建>按钮:
图5-6 创建DNS映射dm
(1) 联通用户访问域名情况
当电信用户访问域名host.qq.com时,轮流返回IP地址183.232.x.x、140.207.128.140,183.232.x.x包括地址183.232.98.190和183.232.100.100,返回地址的比例跟权值有关,为10:1,需要大量报文才能看出返回地址的比例。
(2) 电信用户访问域名host.qq.com
当主链路link-chinatel-master可用时,优先返回对应的IP网段183.2.186.153
大包长ping 1.1.0.1,使主链路link-chinatel-master繁忙,不参与调度时,则返回备用链路对应的IP网段183.61.47.15
#
nqa template icmp icmp
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 61.156.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 180.223.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 1.1.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/4
port link-mode route
ip address 203.0.24.1 255.255.0.0
ip last-hop hold
#
virtual-server vs-chinatel-b type ip
virtual ip address 183.61.47.15
#
virtual-server vs-chinatel-m type ip
virtual ip address 183.2.186.153
virtual-server vs-cnc1-01 type ip
virtual ip address 183.232.100.100
#
virtual-server vs-cnc2 type ip
virtual ip address 140.207.128.140
#
loadbalance isp file lbispinfo.tp
#
loadbalance region region-chinatel
isp chinatel
#
loadbalance region region-cnc
isp cnc
#
loadbalance link link-chinatel-backup
router ip 203.0.24.3
success-criteria at-least 1
probe icmp
#
loadbalance link link-chinatel-master
router ip 1.1.0.3
probe icmp
#
loadbalance link link-cnc-1
router ip 61.156.0.3
probe icmp
#
loadbalance link link-cnc-2
router ip 180.223.0.3
probe icmp
#
loadbalance virtual-server-pool vsp
predictor preferred topology
predictor alternate random
predictor fallback least-connection
bandwidth busy-protection enable
virtual-server vs-chinatel-b link link-chinatel-backup
virtual-server vs-chinatel-m link link-chinatel-master
virtual-server vs-cnc1 link link-cnc-1
virtual-server vs-cnc1-01 link link-cnc-1 weight 10
virtual-server vs-cnc2 link link-cnc-2 weight 10
#
loadbalance dns-map dm
domain-name host.qq.com
service enable
virtual-server-pool vsp
#
loadbalance dns-listener dl-chinatel-b
ip address 203.0.24.1
service enable
#
loadbalance dns-listener dl-chinatel-m
ip address 1.1.0.1
service enable
#
loadbalance dns-listener dl-cnc-1
ip address 61.156.0.1
service enable
#
loadbalance dns-listener dl-cnc-2
ip address 180.223.0.1
service enable
#
topology region region-chinatel ip 183.2.0.0 16 weight 255
topology region region-chinatel ip 183.61.0.0 16
topology region region-cnc ip 140.207.0.0 16 weight 255
topology region region-cnc ip 183.232.0.0 16
#
登录H3C网站(http://www.h3c.com.cn/),请在导航栏中选择“产品支持与服务 > 文档与软件 > 软件下载 > 安全 > H3C ISP 地址表项文件 > H3C Comware V7 ISP 地址表项文件”,单击ISP文件名称,进入ISP文件下载页面,下载ISP文件。
下载完成后,可以在Web页面的导航栏中选择“策略 > 全局配置 > ISP”,进入ISP页面,导入该文件。也可以通过在命令行执行loadbalance isp file命令导入该文件。需要注意的是,如果用户是双机的组网环境,需要在每台设备上分别导入ISP文件。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
