- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04-链路负载均衡典型配置举例
本章节下载 (4.79 MB)
H3C 负载均衡设备
链路负载均衡典型配置举例
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍链路负载均衡与智能DNS功能的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解LB(Load Balance,负载均衡)特性。
本章介绍链路负载均衡的配置案例。
链路负载均衡可在多条链路上分担内网用户访问外部互联网的流量。
链路负载均衡支持IPv4与IPv6,但不支持IPv4流量与IPv6流量的互转。
链路负载均衡特性在LB设备以及其它防火墙设备上无配置差异。
如图图1所示,用户分别从三个运营商联通isp_cnc、移动isp_cmcc和电信isp_chinatel处租用了链路link-cnc、link-cmcc和link-chinatel。通过配置链路负载均衡,使内网用户以及后续增加的用户在访问外网Server 时将目的地址匹配isp为cnc、cmcc和chinatel中的流量分别从链路组lg-cnc、lg-cmcc和lg-chinatel中选择相应的链路出去来分担流量,同时进行源地址的转换。内网用户属于192.100.0.0/24网段的定向通过电信的链路link-chinatel来访问外网Server。而且,所有内网用户的私网192.0.0.0/8网段地址不允许出现在外网中。
图1 匹配ISP、源地址出方向链路负载均衡组网图
为了实现匹配ISP、源地址的负载分担,需要完成如下配置:
· 在link-generic类型的class下配置match规则匹配isp和源地址。
· 在LB设备上配置链路组lg-cnc、lg-cmcc和lg-chinatel,配置link-ip类型的虚服务。
· 在LB设备出口应用nat地址组,出方向报文进行源地址转换,保护内网IP地址。
· 在LB设备上配置虚服务,虚服务中引用策略。
· 在LB设备上配置类型为link-generic的策略,匹配源地址为192.100.0.0/24网段的报文从链路lg-chinatel发出, 目的地址匹配ISP为cnc、cmcc和chinatel的报文分别从链路lg-cnc、链路lg-cmcc和链路lg-chinatel发出。
本举例是在L1000-E的Version 7.1.064, Release 8117P12版本上进行配置和验证的。
· 需要在LB设备上配置link-ip类型的虚服务并开启。
· 导入最新ISP文件正确。
· 注意内网用户和LB设备以及外网Server之间的路由配置,使之路由可达。
(1) 为保护内网用户IP需在LB上配置nat地址池,并在链路出接口应用
在导航栏中选择“网络 > NAT > NAT动态转换 > NAT地址池”,单击
按钮,创建地址组,如下图所示。
图2 创建地址组1
图3 创建地址组2
图4 创建地址组3
在导航栏中选择“网络 > NAT > NAT动态转换 > 策略配置”,点击按钮
策略,如下图所示:
图5 创建NAT动态转换策略1
图6 创建NAT动态转换策略2
图7 创建NAT动态转换策略3
(2) 导入isp文件
进入策略页面,在导航栏中选择“全局配置 > ISP”,先点选择文件,选好isp文件后,单击<导入>按钮,进行如下配置,如下图所示:
图8 导入ISP文件
(3) 配置ICMP类型的NQA探测模板icmp,并配置每次探测结果发送机制
进入策略页面,在导航栏中选择“全局配置 > 健康检测”,点击
,进行如下配置:
图9 创建ICMP类型的健康检测
图10 检测结果通知条件设置为每次探测
(4) 配置链路组,配置为透传模式,并应用健康检测方法icmp
创建cnc的链路组lg-cnc,cmcc的链路组lg-cmcc,chinatel的链路组lg-chinatel,应用健康检测方法icmp,配置调度算法为源IP地址哈希。
进入策略页面,在导航栏中选择“链路负载均衡 > 链路组”,单击“
”按钮,进行如下配置:
图11 创建cnc的链路组lg-cnc
图12 创建cmcc的链路组lg-cmcc
图13 创建chinatel的链路组lg-chinatel
(5) 创建链路link-cnc、link-cmcc和link-chinatel,分别属于链路组lg-cnc、lg-cmcc和lg-chinatel
进入策略页面,在导航栏中选择“全局配置 > 链路”,单击“
”按钮,进行如下配置:
图14 创建链路link-cnc
图15 创建链路link-cmcc
图16 创建链路link-chinatel
(6) 开启负载均衡功能
进入策略页面,在导航栏中选择“链路负载均衡 > IPv4选路策略”,在全局配置中勾选负载均衡服务,进行如下配置:
图17 开启负载均衡功能
(7) 创建负载均衡流量特征、动作及策略
在导航栏中选择“链路负载均衡 > 流量特征”,单击“
”按钮,进行如下配置:
图18 创建流量特征lc-cnc,匹配ISP为cnc的报文从lg-cnc发出
新建IPv4选路策略,匹配流量特征lc-cnc的报文从链路组lg-cnc发出,同时勾选链路失败的处理方式继续匹配下一条规则。
在导航栏中选择“链路负载均衡 > IPv4选路策略”,单击“
”按钮,进行如下配置:
图19 创建IPv4选路策略
图20 创建流量特征lc-cmcc,匹配ISP为cmcc的报文从lg-cmcc发出
新建选路策略,匹配流量特征lc-cmcc的报文从链路组lg-cmcc发出,同时勾选链路失败的处理方式继续匹配下一条规则。
在导航栏中选择“链路负载均衡 > IPv4选路策略”,单击“
”按钮,进行如下配置:
图21 新建选路策略
图22 创建流量特征lc-chinatel,匹配ISP为chinatel的报文从lg-chinatel发出
新建选路策略,匹配流量特征lc-chinatel的报文从链路组lg-chinatel发出,同时勾选链路失败的处理方式继续匹配下一条规则。
在导航栏中选择“链路负载均衡 > IPv4选路策略”,单击“
”按钮,进行如下配置:
图23 新建选路策略
图24 创建流量特征lc-source,匹配源地址为192.100.0.0/24网段的报文从lg-chinatel发出
新建选路策略,匹配源地址为192.100.0.0/24网段的报文从链路组lg-chinatel发出,同时勾选链路失败的处理方式继续匹配下一条规则。
在导航栏中选择“链路负载均衡 > IPv4选路策略”,单击“
”按钮,进行如下配置:
图25 新建选路策略
图26 设置缺省default动作,使匹配不上流量特征的报文从链路组lg-cnc发出
(1) 测试仪发起匹配源地址为192.100.0.0/24网段的报文从链路lg-chinatel发出,查看链路lg-chinatel有流量统计
详细信息如下:
(2) 测试仪发起目的地址匹配ISP为cnc和cmcc的报文分别从链路lg-cnc和链路lg-cmcc发出,查看相应的链路有流量统计
详细信息如下:
(3) 测试仪发起目的地址匹配ISP为educn的报文,由于报文匹配不上配置的流量特征,因此走缺省的动作,而缺省动作指定从链路组lg-cnc发出,查看相应的链路有流量统计
详细信息如下:
#
nqa template icmp icmp
reaction trigger per-probe
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc
ip address 61.156.0.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/3
port link-mode route
description link-cmcc
ip address 211.98.0.1 255.255.255.0
nat outbound address-group 2
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 3
#
nat address-group 1
address 61.156.0.100 61.156.0.200
#
nat address-group 2
address 211.98.0.100 211.98.0.200
#
nat address-group 3
address 203.0.24.100 203.0.24.200
#
loadbalance link-group lg-chinatel
predictor hash address source
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link-group lg-cmcc
predictor hash address source
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link-group lg-cnc
predictor hash address source
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link link-chinatel
router ip 203.0.24.2
link-group lg-chinatel
success-criteria at-least 1
#
loadbalance link link-cmcc
router ip 211.98.0.2
link-group lg-cmcc
success-criteria at-least 1
#
loadbalance link link-cnc
router ip 61.156.0.2
link-group lg-cnc
success-criteria at-least 1
#
loadbalance class lc-chinatel type link-generic
match 1 isp chinatel
#
loadbalance class lc-cmcc type link-generic
match 1 isp cmcc
#
loadbalance class lc-cnc type link-generic
match 1 isp cnc
#
loadbalance class lc-source type link-generic
match 1 source ip address 192.100.0.0 24
#
loadbalance action ob$action$#for#lc-chinatel type link-generic
link-group lg-chinatel
fallback-action continue
#
loadbalance action ob$action$#for#lc-cmcc type link-generic
link-group lg-cmcc
fallback-action continue
#
loadbalance action ob$action$#for#lc-cnc type link-generic
link-group lg-cnc
fallback-action continue
#
loadbalance action ob$action$#for#lc-source type link-generic
link-group lg-chinatel
fallback-action continue
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-generic
link-group lg-cnc
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
class lc-source action ob$action$#for#lc-source
class lc-cnc action ob$action$#for#lc-cnc
class lc-cmcc action ob$action$#for#lc-cmcc
class lc-chinatel action ob$action$#for#lc-chinatel
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
如图所示,用户从运营商联通、电信处分别租用了链路link-cnc和link-chinatel,配置出方向链路负载分担,使用户出方向访问外网Server的流量基于带宽算法在两条链路上负载分担流量,每条链路上配置带宽值和权值,LB设备将流量按照所配置的剩余带宽和权值比例分给相应的链路。
图27 基于带宽算法出方向链路负载均衡组网图
为了实现基于带宽算法的负载分担,需要完成如下配置:
· 链路带宽不同,权值相同情况下,配置链路组调度算法为带宽调度算法,查看链路的统计信息,按照剩余带宽比例进行流量分配。
· 链路带宽相同,权值不同情况下,配置链路组调度算法为带宽调度算法,查看链路的统计信息,按照所配置的权值的比例进行流量分配。
· 带宽调度算法缺省使用LB自己统计的带宽,如果开启链路的接口带宽统计功能后使用链路对应的接口带宽。
· 在LB设备出口应用nat地址组,出方向报文进行源地址转换,保护内网IP地址。
本举例是在L1000-E的Version 7.1.064, Release 8117P12版本上进行配置和验证的。
· 创建链路组lg,使电信链路link-chinatel和联通链路link-cnc都属于链路组lg。
· 每条运营商链路配置一个名称不同、router ip不同的link,分别按照不同的带宽相同权值和相同带宽不同权值进行配置验证。
· LB设备上配置link-ip类型的虚服务并开启。
· 创建IPv4选路策略为缺省default,转发动作为负载均衡,主用链路组lg。
(1) 为保护内网用户IP需在LB上配置nat地址池,并在链路出接口应用
在导航栏中选择“网络 > NAT > NAT动态转换 > NAT地址池”,单击
按钮,创建地址组,如下图所示。
图28 创建地址组1
图29 创建地址组2
在导航栏中选择“网络 > NAT > NAT动态转换 > 策略配置”,点击按钮
策略,如下图所示。
图30 创建NAT动态转换策略1
图31 创建NAT动态转换策略2
(2) 配置ICMP类型的NQA探测模板icmp,并配置每次探测结果发送机制
进入策略页面,在导航栏中选择“全局配置 > 健康检测”,点击
,进行如下配置:
图32 创建ICMP类型的健康检测
图33 检测结果通知条件为每次探测
(3) 配置链路组,配置链路组调度算法为带宽调度算法,配置为透传模式,并应用健康检测方法icmp
图34 创建链路组lg,配置调度算法为带宽算法,应用健康检测方法icmp
图35 查看链路组
(4) 创建链路link-cnc和link-chinatel,属于链路组lg
分两种情况进行配置
第一种情况:链路带宽不同,权值相同情况下:配置电信链路带宽1024M,联通链路带宽512M,调整逻辑链路的权值,设置电信链路权值为1,联通链路权值为1:
进入策略页面,在导航栏中选择“全局配置 > 链路”,单击“
”按钮,进行如下配置:
图36 创建链路link-chinatel,配置权值1
图37 设置最大总限速带宽1024M
图38 创建链路link-cnc,配置权值1
图39 设置最大总限速带宽512M
图40 查看链路状态
第二种情况:链路带宽相同,权值不同情况下:配置电信链路带宽1024M,联通链路带宽1024M,调整逻辑链路的权值,设置电信链路权值为1,联通链路权值为2:
进入策略页面,在导航栏中选择“全局配置 > 链路”,单击“
”按钮,进行如下配置:
图41 创建链路link-chinatel,配置权值1
图42 设置最大总限速带宽1024M
图43 创建链路link-cnc,配置权值2
图44 设置最大总限速带宽1024M
图45 查看链路状态
(5) 开启负载均衡功能
进入策略页面,在导航栏中选择“链路负载均衡 > IPv4选路策略”,在全局配置中勾选负载均衡服务,进行如下配置:
图46 开启负载均衡功能
(6) 创建负载均衡策略
进入策略页面,在导航栏中选择“链路负载均衡 > IPv4选路策略”,单击“
”按钮,进行如下配置:
图47 创建缺省IPv4选路策略
(1) 链路带宽不同,权值相同情况下:配置电信链路带宽1024M,联通链路带宽512M,调整逻辑链路的权值,设置电信链路权值为1,联通链路权值为1。测试仪发送流量进行测试,查看电信和联通链路的流量统计信息,基本比例为2:1。
详细信息如下:
(2) 链路带宽相同,权值不同情况下:配置电信链路带宽1024M,联通链路带宽1024M,调整逻辑链路的权值,设置电信链路权值为1,联通链路权值为2。测试仪发送流量进行测试,查看电信和联通链路的流量统计信息,基本比例为1:2。
详细信息如下:
(1) 链路带宽不同,权值相同情况下配置:
#
nqa template icmp icmp
reaction trigger per-probe
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc
ip address 61.156.0.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 2
#
nat address-group 1
address 61.156.0.100 61.156.0.200
#
nat address-group 2
address 203.0.24.100 203.0.24.200
#
loadbalance link-group lg
predictor bandwidth
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link link-chinatel
router ip 203.0.24.2
link-group lg
weight 1
rate-limit bandwidth 1024000
success-criteria at-least 1
#
loadbalance link link-cnc
router ip 61.156.0.2
link-group lg
weight 1
rate-limit bandwidth 512000
success-criteria at-least 1
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-gen
eric
link-group lg
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-gen
eric
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
(2) 链路带宽相同,权值不同情况下配置:
#
nqa template icmp icmp
reaction trigger per-probe
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc
ip address 61.156.0.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 2
#
nat address-group 1
address 61.156.0.100 61.156.0.200
#
nat address-group 2
address 203.0.24.100 203.0.24.200
#
loadbalance link-group lg
predictor bandwidth
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link link-chinatel
router ip 203.0.24.2
link-group lg
weight 1
rate-limit bandwidth 1024000
success-criteria at-least 1
#
loadbalance link link-cnc
router ip 61.156.0.2
link-group lg
weight 2
rate-limit bandwidth 1024000
success-criteria at-least 1
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-generic
link-group lg
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
基于应用识别的负载均衡就是按照流量的特征进行选路。用户可自定义应用组来对所需要识别的流量特征进行分组,配置出方向IPv4选路策略来完成对命中自定义应用组的流量选路。
如图所示,用户从运营商联通、电信处分别租用了链路link-cnc和link-chinatel,分别属于链路组lg-cnc和lg-chinatel,使用户出方向访问外网Server的流量基于应用识别选路,从而在两条链路上进行负载分担流量。
图48 基于应用识别出方向链路负载均衡组网图
为了实现基于带宽算法的负载分担,需要完成如下配置:
· 用户自定义应用组,应用组中配置ftp流量特征,出方向流量策略中配置基于应用组的流量走联通链路link-cnc,默认流量走电信链路link-chinatel。
· 在LB设备出口应用nat地址组,出方向报文进行源地址转换,保护内网IP地址。
本举例是在L1000-E 的Version 7.1.064, Release 8117P12版本上进行配置和验证的。
· 自定义应用组内可选择多种应用,本案例仅列举了ftp应用。
· LB设备上配置link-ip类型的虚服务并开启。
· 创建IPv4选路策略,匹配流量特征lc-cnc(流量特征基于应用组的ftp应用)的报文从链路组lg-cnc发出,没有匹配上流量特征lc-cnc的报文走缺省动作default,从电信链路组lg-chinatel发出。
(1) 为保护内网用户IP需在LB上配置nat地址池,并在链路出接口应用
在导航栏中选择“网络 > NAT > NAT动态转换 > NAT地址池”,单击
按钮,创建地址组,如下图所示:
图49 创建地址组1
图50 创建地址组2
在导航栏中选择“网络 > NAT > NAT动态转换 > 策略配置”,点击按钮
策略,如下图所示
图51 创建NAT动态转换策略1
图52 创建NAT动态转换策略2
(2) 配置ICMP类型的NQA探测模板icmp,并配置每次探测结果发送机制
进入策略页面,在导航栏中选择“全局配置 > 健康检测”,点击
,进行如下配置:
图53 创建ICMP类型的健康检测
图54 检测结果通知条件为每次探测
(3) 配置链路组,配置为透传模式,并应用健康检测方法icmp
创建cnc的链路组lg-cnc,chinatel的链路组lg-chinatel,应用健康检测方法icmp,配置算法根据源IP地址进行的哈希算法。
进入策略页面,在导航栏中选择“链路负载均衡 > 链路组”,单击“
”按钮,进行如下配置:
创建cnc的链路组lg-cnc, chinatel的链路组lg-chinatel。
创建链路组lg-cnc
图55 创建链路组lg-chinatel
(4) 创建链路link-cnc和link-chinatel,分别属于链路组lg-cnc和lg-chinatel
进入策略页面,在导航栏中选择“全局配置 > 链路”,单击“
”按钮,进行如下配置:
图56 创建链路link-cnc
图57 创建链路link-chinatel
(5) 配置自定义应用组,添加ftp应用
进入对象页面,在导航栏中选择“应用安全 > 应用识别 > 应用组”,单击“
”按钮,进行如下配置:
图58 创建应用组,选择ftp应用
(6) 开启负载均衡功能
进入策略页面,在导航栏中选择“链路负载均衡 > IPv4选路策略”,在全局配置中勾选负载均衡服务,进行如下配置:
图59 开启负载均衡功能
(7) 配置负载均衡流量特征、动作及策略
配置基于应用组的流量走联通链路组lg-cnc,默认流量走电信链路组lg-chinatel。
在导航栏中选择“链路负载均衡 > 流量特征”,单击“
”按钮,进行如下配置:
图60 创建流量特征lc-cnc,配置Match规则
新建选路策略,匹配流量特征lc-cnc的报文从链路组lg-cnc发出,同时勾选链路失败的处理方式继续匹配下一条规则。
在导航栏中选择“链路负载均衡 > IPv4选路策略”,单击“ 
”按钮,进行如下配置:
图61 创建IPv4选路策略
图62 设置default动作,默认流量走电信链路组lg-chinatel
图63 查看IPv4选路策略
(1) 测试仪发送ftp流量进行测试,匹配上流量特征lc-cnc(流量特征基于应用组的ftp应用)的报文从链路组lg-cnc发出,查看链路link-cnc的有流量统计信息
详细信息如下
(2) 测试仪发送不是ftp的流量(这里以http流量为例)进行测试,由于没有匹配上流量特征lc-cnc 走缺省default动作 ,报文从电信链路组lg-chinatel发出,查看链路link-chinatel有流量统计信息
详细信息如下
#
nqa template icmp icmp
reaction trigger per-probe
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc
ip address 61.156.0.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 2
#
loadbalance link-group lg-cnc
predictor hash address source
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link-group lg-chinatel
predictor hash address source
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link link-cnc
router ip 61.156.0.2
link-group lg-cnc
success-criteria at-least 1
#
loadbalance link link-chinatel
router ip 203.0.24.2
link-group lg-chinatel
success-criteria at-least 1
#
app-group app-group-ftp
description "User-defined application group"
include application ftp
#
loadbalance class lc-cnc type link-generic
match 1 app-group app-group-ftp
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-generic
link-group lg-chinatel
#
loadbalance action ob$action$#for#lc-cnc type link-generic
link-group lg-cnc
fallback-action continue
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
class lc-cnc action ob$action$#for#lc-cnc
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
用户租用电信联通运营商各两个公网IP以供内网员工办公使用,办公高峰期(周一至周五上午8点到12点,下午14点到18点)内网流量优先通过联通运营商访问外网,电信运营商作位备用,低峰期(非高峰期时间)使用电信运营商中优先级高的IP访问外网,另一个IP联通运营商IP作位备用。同时使用联通运营商作为默认出接口,电信作为备用。内网用户通过域名访问外网服务器,先通过DNS查询获得外网服务器的地址,DNS流量走默认链路。后续流量通过DNS应答返回的地址去访问外网服务器。基于域名的负载均衡,通过DNS查询的结果建立域名和地址的对应关系,引导后续访问特定域名的流量走特定的链路。
图64 基于域名的负载分担组网图
为了实现基于域名的负载分担,需要完成如下配置:
· 在link-generic类型的class下增加了一种match规则,match destination。 domain-name XXX,同时匹配时间段,匹配方式为match-all。
· 在LB设备上配置链路组link-groug、link,配置类型为link-ip的虚服务。
· 配置源地址转换,保护内网IP。
· 在LB设备上配置虚服务,虚服务中引用策略。
· 在LB设备上配置类型为link-generic的策略,策略要配置default-class 和default-action,目的为首次通过的报文不会匹配基于域名的class,会从默认link通过,另外也可以保证没有匹配上域名的报文能够正常进行负载分担不至于丢弃。
本举例是在L1000-E 的Version 7.1.064, Release 8117P12版本上进行配置和验证的。
· 支持DNS Cache表项的显示和删除。
· 支持UDP类型的DNS请求,不支持TCP类型的DNS请求。
· 支持通过配置手动删除DNS Cache表项,不支持老化机制。
· DNS Cache表项不支持分布式同步,表项各板独立生成。
· DNS Cache表项数量没有限制,没有老化机制。
· 需配置策略中的默认动作为负载均衡。
(1) 创建icmp类型的健康性检测。
在导航栏中选择“策略 > 全局配置 > 健康监测”,进入健康检测模板页面,如下图所示。点击
按钮,只配置名称,其他配置使用默认配置。
图65 配置icmp类型建健康监测
点击<确定>按钮,配置完成。
(2) 配置链路
在导航栏中选择“策略 > 全局配置 > 链路”,进入链路页面,如下图所示。
点击按钮
,分别配置链路link-cnc-1、link-cnc-2和link-chinatel-master、link-chinatel-backup
图66 创建链路link-cnc-1
图67 创建链路link-cnc-2
图68 创建链路link-chinatel-master
图69 创建链路link-chinatel-backup
点击<确定>按钮,配置完成。
配置完链路如下:
(3) 配置链路组
在导航栏中选择“策略 > 链路负载均衡 > 链路组”,进入链路组页面,如下图所示。
点击按钮
,分别配置链路组cnc和chinatel,链路link-cnc-1、link-cnc-2属于链路组cnc,链路link-chinatel-master、link-chinatel-backup属于链路组chinatel,同时在链路组里面配置健康检测icmp。如下图所示。
图70 创建链路组chinatel
图71 创建链路组cnc
点击<确定>按钮,配置完成。
配置完链路组如下:
(4) 创建时间段并在ACL策略中引用,
在导航栏中选择“策略 > 对象 > 对象组 > 时间段”,进入时间段页面,如下图所示。
点击按钮
,配置时间段高峰期rush hour与低峰期low peak period,如下图所示。
图72 创建时间段高峰期rush hour
图73 创建时间段低峰期low peak period
配置完时间段如下:
在导航栏中选择“策略 > 对象 > ACL > IPv4”,进入IPv4 ACL页面,如下图所示。
点击按钮
,配置高级ACL 3001匹配时间段高峰期rush hour、配置高级ACL 3002匹配时间段高低峰期low peak period,如下图所示。
图74 创建ACL 3001
图75 创建ACL 3002
配置完ACL段如下:
规则如下:
(5) 配置流量特征
在导航栏中选择“策略 > 链路负载均衡 > 流量特征”,进入流量特征页面,如下图所示。
点击按钮
,配置流量特征domain-baidu.com-low peak period、domain-baidu.com-rush hour、domain-qq.com-low peak period、domain-qq.com-rush hour,如下图所示。.
图76 创建流量特征domain-baidu.com-low peak period
图77 创建流量特征domain-baidu.com-low rush hour
图78 创建流量特征domain-qq.com-low peak period
图79 创建流量特征domain-qq.com-rush hour
点击<确定>按钮,配置完成。
配置完流量特征如下:
(6) 开启负载均衡功能
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,进行如下配置,如下图所示。
图80 配置负载均衡功能
(7) 配置IPv4选路策略
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,进入流量特征页面,如下图所示。
点击按钮
,配置IPv4选路策略,匹配流量特征domain-baidu.com-rush hour、domain-qq.com-rush hour的走链路组cnc;domain-baidu.com-low peak period、domain-qq.com-low peak period的流量走链路组chinatel;default-class的流量走链路组cnc,chinatel作为备用,选择链路失败处理方式为继续匹配下一条规则。如下图所示。
图81 配置IPv4选路策略-1
图82 配置IPv4选路策略-2
图83 配置IPv4选路策略-3
图84 配置IPv4选路策略-4
图85 配置IPv4选路策略-5
点击<确定>按钮,配置完成。
配置完IPv4选路策略如下:
(8) 创建nat地址池并在链路出接口应用
在导航栏中选择“网络 > NAT > NAT动态转换 > NAT地址池”,点击按钮
创建地址池,如下图所示
图86 配置地址组1
图87 配置地址组2
图88 配置地址组3
图89 配置地址组4
在导航栏中选择“网络 > NAT > NAT动态转换 > 策略配置”,点击按钮
策略,如下图所示
图90 配置NAT动态转换策略1
图91 配置NAT动态转换策略2
图92 配置NAT动态转换策略3
图93 配置NAT动态转换策略4
测试发起先访问http://www.baidu.com的HTTP报文,设置DNS服务器地址为8.8.8.8。
(1) 查看域名解析生成表项
(2) 查看高峰期时期链路统计
(3) 查看低峰期时期链路统计
#
nat address-group 1 name cnc-1
address 61.0.156.100 61.0.156.200
#
nat address-group 2 name cnc-2
address 180.223.0.100 180.223.0.200
#
nat address-group 3 name chinatel-master
address 1.1.0.100 1.1.0.200
#
nat address-group 4 name chinatel-backup
address 203.0.24.100 203.0.24.200
#
interface GigabitEthernet2/0/1
port link-mode route
description link-cnc-2
ip address 180.223.0.1 255.255.255.0
nat outbound address-group 2
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc-1
ip address 61.0.156.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/3
port link-mode route
description link-chinatel-master
ip address 1.1.0.1 255.255.255.0
nat outbound address-group 3
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel-backup
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 4
#
time-range "low peak period" 00:00 to 07:59 working-day
time-range "low peak period" 12:01 to 13:59 working-day
time-range "low peak period" 18:01 to 24:00 working-day
time-range "low peak period" 00:00 to 24:00 off-day
time-range "rush hour" 08:00 to 12:00 working-day
time-range "rush hour" 14:00 to 18:00 working-day
#
acl advanced 3001
rule 0 permit ip time-range "rush hour"
#
acl advanced 3002
rule 0 permit ip time-range "low peak period"
#
nqa template icmp icmp
#
loadbalance link-group chinatel
transparent enable
probe t1
success-criteria at-least 1
#
loadbalance link-group cnc
transparent enable
probe t1
success-criteria at-least 1
#
loadbalance link link-chinatel-backup
router ip 203.0.24.2
link-group chinatel
#
loadbalance link link-chinatel-master
router ip 1.1.0.2
link-group chinatel
#
loadbalance link link-cnc-1
router ip 61.156.0.2
link-group cnc
#
loadbalance link link-cnc-2
router ip 180.223.0.2
link-group cnc
#
loadbalance class "domain-baidu.com-low peak period" type link-generic
match 1 acl 3002
match 2 destination domain-name www.baidu.com
#
loadbalance class "domain-baidu.com-rush hour" type link-generic
match 1 acl 3001
match 2 destination domain-name www.baidu.com
#
loadbalance class "domain-qq.com-low peak period" type link-generic
match 1 acl 3002
match 2 destination domain-name mail.qq.com
#
loadbalance class "domain-qq.com-rush hour" type link-generic
match 1 acl 3001
match 2 destination domain-name mail.qq.com
#
loadbalance action "ob$action$#for#domain-baidu.com-low peak period" type link-generic
link-group chinatel backup cnc
fallback-action continue
#
loadbalance action "ob$action$#for#domain-baidu.com-rush hour" type link-generic
link-group cnc backup chinatel
fallback-action continue
#
loadbalance action "ob$action$#for#domain-qq.com-low peak period" type link-generic
link-group chinatel backup cnc
fallback-action continue
#
loadbalance action "ob$action$#for#domain-qq.com-rush hour" type link-generic
link-group cnc backup chinatel
fallback-action continue
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
class "domain-baidu.com-rush hour" action "ob$action$#for#domain-baidu.com-rush
hour"
class "domain-qq.com-rush hour" action "ob$action$#for#domain-qq.com-rush hour"
class "domain-baidu.com-low peak period" action "ob$action$#for#domain-baidu.co
m-low peak period"
class "domain-qq.com-low peak period" action "ob$action$#for#domain-qq.com-low
peak period"
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
#
如图所示,用户租用电信联通运营商各两个公网IP以供内网用户使用,其中联通运营商两条链路成本相同、权重不同;电信运营商两条链路成本值不同、权重相同。内网用户通过LB设备外网http服务器,开启就近性功能选出到达目的地的最优链路,从而引导后续流量。就是当流量经过负载均衡模块时,如果没有与目的地址相关的就近性信息,则根据调度算法,为该流量选择一条链路,以保证业务的可用性,然后启动就近性探测来生成就近性表项,以引导后续流量。
图94 链路负载均衡就近性组网图
为了实现就近性的应用,需要完成如下配置:
· 配置需求相对应的健康探测,案例以icmp为例。
· 在LB设备上的链路组中开启就近性功能。
· 配置源地址转换,保护内网IP。
· 在LB设备上配置虚服务,虚服务中引用策略。
· 在LB设备上配置类型为link-generic的策略,策略要配置default-class 和default-action。
本举例是在L1000-E的Version 7.1.064, Release 8117P12版本上进行配置和验证的。
· 就近性中必须引用健康检测,目前就近性支持的探测类型:ICMP, TCP Half Open。
· 就近性探测对同一个目的地址向所有的物理链路发起探测,结果形成一条按优先级排列的链,匹配时遍历就近性链,找最优的属于该链路组的对应链路。
· 已有的就近性表项,在未老化前周期性进行探测。
· 探测目的地址为最初的探测地址,通过就近性算法获取当前的最优链路,并更新对应的动态就近性表项中挂接链路链表优先级双向链表的顺序,这样保证就近性表项中挂接的链路优先级双向链表一直是按照各个链路优先级顺序排列的,就近性探测的周期由用户配置决定。
· 就近性优先级链中的最优的不一定就是最终选择的,还要看当前链路的状态,还有这个链路是否在待选的链路组内。
· 动态链路负载均衡最重要的一点,即可以比较当前使用哪条链路到达目的地址是最近的,或者说时延最小,称此为就近性探测。
(1) 创建ICMP类型健康检测
在导航栏中选择“策略 > 全局配置 > 健康监测”,单击
按钮,只配置名称,其他配置使用默认配置,如下图所示。
图95 配置icmp类型建健康监测
(2) 配置就近性
在导航栏中选择“策略 > 全局配置 > 就近性”,选中公网并编辑,选择健康性检测,无特属需求,其他使用默认配置,如下图所示。
图96 配置就近性
(3) 配置链路
在导航栏中选择“策略 > 全局配置 > 链路”,进入链路页面,如下图所示。
点击按钮
,创建四条链路, link-cnc-1,link-cnc-2,和link-chinatel-master,link-chinatel-backup,其中link-cnc-1、link-cnc-2除router ip外其他配置相同;link-chinatel-master 成本值为10、link-chinatel-backup成本值为100。
图97 创建链路link-cnc-1
图98 创建链路link-cnc-2
图99 创建链路link-chinatel-master
图100 创建链路link-chinatel-backup
点击<确定>按钮,配置完成。
配置完链路如下:
(4) 配置链路组并开启就近性
在导航栏中选择“策略 > 链路负载均衡 > 链路组”,创建两个链路组,分别为cnc和chinatel,链路link-cnc-1、link-cnc-2属于链路组cnc,链路link-chinatel-master、link-chinatel-backup属于链路组chinatel,同时在链路组里面配置健康检测icmp。进入链路组页面,如下图所示。
点击按钮
,分别配置链路组cnc和chinatel,如下图所示。
图101 创建链路组chinatel
图102 创建链路组cnc
点击<确定>按钮,配置完成。
配置完链路组如下:
(5) 配置流量特征
在导航栏中选择“策略 > 链路负载均衡 > 流量特征”, 流量特征类型为link-generic,用于匹配目的IP 183.232.98.190与目的IP 61.135.169.125,匹配方式为match-any,进入流量特征页面,如下图所示。
点击按钮
,创建dip-1、dip-2。
图103 创建流量特征dip-1
图104 创建流量特征dip-2
(6) 开启负载均衡功能
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,进行如下配置,如下图所示。
图105 配置负载均衡功能
(7) 配置负载均衡策略
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,配置策略,如下图所示。
匹配流量特征dip-1的走链路组cnc;dip-2的流量走链路组chinatel;选择链路失败处理方式为继续匹配下一条规则。点击按钮
,配置IPv4选路策略,如下图所示。
图106 配置IPv4选路策略-1
图107 配置IPv4选路策略-2
配置完成如下图所示。
(8) 配置nat地址池并在链路出接口应用
在导航栏中选择“网络 > NAT > NAT动态转换 > NAT地址池”,点击按钮
创建地址池,如下图所示
图108 配置地址组1
图109 配置地址组2
图110 配置地址组3
图111 配置地址组4
在导航栏中选择“网络 > NAT > NAT动态转换 > 策略配置”,点击按钮
策略,如下图所示
图112 配置NAT动态转换策略1
图113 配置NAT动态转换策略2
图114 配置NAT动态转换策略3
图115 配置NAT动态转换策略4
内网发起http://183.232.98.190与http://61.135.169.125的流量进行以下验证
(1) 查看就近性表项
在导航栏中选择“策略 > 全局配置 > 就近性 > 就近性表项”,如下图所示。
(2) 查看链路统计
在导航栏中选择“监控 > 链路负载统计 > 链路统计”,如下图所示。
详细信息如下
(3) 手动down掉链路link-cnc-1与link-chinatel-master
再次查看就近性表项与链路统计,会有部分流量失败,如下图所示:
#
nat address-group 1 name cnc-1
address 61.0.156.100 61.0.156.200
#
nat address-group 2 name cnc-2
address 180.223.0.100 180.223.0.200
#
nat address-group 3 name chinatel-master
address 1.1.0.100 1.1.0.200
#
nat address-group 4 name chinatel-backup
address 203.0.24.100 203.0.24.200
#
interface GigabitEthernet2/0/1
port link-mode route
description link-cnc-2
ip address 180.223.0.1 255.255.255.0
nat outbound address-group 2
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc-1
ip address 61.0.156.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/3
port link-mode route
description link-chinatel-master
ip address 1.1.0.1 255.255.255.0
nat outbound address-group 3
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel-backup
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 4
#
nqa template icmp icmp
#
loadbalance link-group chinatel
proximity enable
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link-group cnc
fail-action reschedule
proximity enable
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link link-chinatel-backup
router ip 203.0.24.2
link-group chinatel
cost 200
#
loadbalance link link-chinatel-master
router ip 1.1.0.2
link-group chinatel
cost 10
#
loadbalance link link-cnc-1
router ip 61.156.0.2
link-group cnc
shutdown
success-criteria at-least 1
inherit vpn-instance disable
#
loadbalance link link-cnc-2
router ip 180.223.0.2
link-group cnc
weight 200
shutdown
success-criteria at-least 1
#
loadbalance class dip-1 type link-generic match-any
match 1 destination ip address 183.232.98.190
#
loadbalance class dip-2 type link-generic match-any
match 1 destination ip address 61.135.169.125
#
loadbalance action ob$action$#for#dip-1 type link-generic
link-group cnc
#
loadbalance action ob$action$#for#dip-2 type link-generic
link-group chinatel
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
class dip-1 action ob$action$#for#dip-1
class dip-2 action ob$action$#for#dip-2
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
如图所示,用户租用联通运营商两个公网IP以供内网用户使用,其中以两条链路带宽均为1G,其中一条链路优先级较高,另一条链路优先级较低。内网用户通过LB设备访问外网http服务器。使用户出方向的流量基于目的地址在两条链路上负载分担流量,每条链路上配置带宽繁忙保护,但一条链路出接口流量达到设定的繁忙比例时,LB设备将新建流量分发给另外一条link。带宽繁忙保护功能就是对链路的带宽繁忙比进行限制。当流量超过某条链路的带宽繁忙比后,新建流量(非匹配持续性的流量)将不再向该链路分发,而原有流量则仍由该链路继续分发。
图116 链路负载均衡带宽繁忙保护网图
· 链路组中的两条链路优先级不同,并且配置各自的带宽,无特殊需求案例使用默认的带宽繁忙比与恢复比。
· 虚服务开启带宽繁忙保护。
· 配置源地址转换,保护内网IP。
本举例是在L1000-E的Version 7.1.064, Release 8117P12版本上进行配置和验证的。
· 配置一条主用链路两条备用链路,主用链路优先级要高于备用链路。
· 目前LB设备只支持同一个链路组之间的不同链路间切换,不支持链路繁忙后链路组间的切换。
· 虚服务下使能带宽繁忙保护,接口带宽统计设置为5秒统计一次。
· 如果两条链路均繁忙,则两条链路都参与调度。
· 以下配置均在LB设备上进行。
· 如果使用物理子接口作为链路出接口,请在物理口下开启子接口统计功能
(1) 创建ICMP类型健康检测
在导航栏中选择“策略 > 全局配置 > 健康监测”,单击
按钮,只配置名称,其他配置使用默认配置,如下图所示。
图117 配置icmp类型建健康监测
(2) 配置链路
在导航栏中选择“策略 > 全局配置 > 链路”,进入链路页面,如下图所示。
点击按钮
,创建两条链路, link-cnc-1、link-cnc-2,,其中link-cnc-1优先级为8,带宽1G,最大繁忙比为20%,恢复比10%、link-cnc-2优先级为4,带宽为1G,其他使用默认配置。
图118 创建链路link-cnc-1
图119 创建链路link-cnc-2
(3) 配置链路组
在导航栏中选择“策略 > 链路负载均衡 > 链路组”,创建链路组cnc,链路link-cnc-1、link-cnc-2属于链路组cnc,同时在链路组里面配置健康检测icmp。进入链路组页面,如下图所示。
点击按钮
,分别配置链路组cnc,如下图所示。
图120 创建链路组cnc
点击<确定>按钮,配置完成。
配置完链路组如下:
(4) 配置流量特征
在导航栏中选择“策略 > 链路负载均衡 > 流量特征”, 流量特征类型为link-generic,用于匹配目的IP 183.232.98.190与目的IP 61.135.169.125,匹配方式为match-any,进入流量特征页面,如下图所示。
点击按钮
,创建dip。
图121 创建流量特征dip
点击<确定>按钮,配置完成,如下图所示。
(5) 开启负载均衡功能
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,开启负载均衡功能与带宽繁忙保护,如下图所示。
图122 配置负载均衡功能
(6) 配置负载均衡策略
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,配置策略,如下图所示。
匹配流量特征dip的走链路组cnc,点击按钮
,配置IPv4选路策略,如下图所示。
图123 配置IPv4选路策略
配置完成如下图所示。
(7) 配置nat地址池并在链路出接口应用
在导航栏中选择“网络 > NAT > NAT动态转换 > NAT地址池”,点击按钮
创建地址池,如下图所示
图124 配置地址组1
图125 配置地址组2
图126 配置NAT动态转换策略1
在导航栏中选择“网络 > NAT > NAT动态转换 > 策略配置”,点击按钮
策略,如下图所示
图127 配置NAT动态转换策略2
(1) 正常流量情况下的流量统计
(2) 吞吐较大的流量情况下的流量统计与链路状态
#
nat address-group 1 name cnc-1
address 61.0.156.100 61.0.156.200
#
nat address-group 2 name cnc-2
address 180.223.0.100 180.223.0.200
#
interface GigabitEthernet2/0/1
port link-mode route
description link-cnc-2
ip address 180.223.0.1 255.255.255.0
nat outbound address-group 2
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc-1
ip address 61.0.156.1 255.255.255.0
nat outbound address-group 1
#
nqa template icmp icmp
#
loadbalance link-group cnc
fail-action reschedule
proximity enable
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link link-cnc-1
router ip 61.156.0.2
link-group cnc
priority 8
max-bandwidth 125000
bandwidth busy-rate 20 recovery 10
bandwidth outbound busy-rate 70 recovery 10
success-criteria at-least 1
inherit vpn-instance disable
#
loadbalance link link-cnc-2
router ip 180.223.0.2
link-group cnc
max-bandwidth 125000
success-criteria at-least 1
#
loadbalance class dip type link-generic match-any
match 1 destination ip address 183.232.98.190
match 2 destination ip address 61.135.169.125
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-gen
eric
forward all
#
loadbalance action ob$action$#for#dip type link-generic
link-group cnc
fallback-action continue
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-gen
eric
class dip action ob$action$#for#dip
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth busy-protection enable
bandwidth interface statistics enable
#
本章介绍DNS透明代理典型配置案例。
DNS透明代理功能可在多条链路上分担内网用户访问外部DNS服务器的流量。
如图所示,用户租用电信联通运营商各两个公网IP以供内网用户使用。link-cnc-1对应的DNS服务器的IP地址为183.232.98.190、link-cnc-2对应的DNS服务器的IP地址为183.232.98.191,两个DNS服务器均参与解析mail.qq.com的DNS请求;link-chinatel-master对应的DNS服务器的IP地址为61.135.169.125、link-chinatel-backup对应的DNS服务器的IP地址为61.135.169.126,优先级高的DNS服务器优先处理DNS请求,另一个做为备份,两个DNS服务器均参与解析www.baidu.com的DNS请求。
图128 DNS透明代理配置组网图
· 配置接口地址,配置链路与dns服务器。
· 配置源地址转换,保护内网IP。
· 在LB设备上配置DNS透明代理,DNS透明代理中引用策略。
· 在LB设备上配置类型为dns的策略,策略要配置default-class 和default-action。
本举例是在L1000-E 的Version 7.1.064, Release 8117P12版本上进行配置和验证的。
· 配置默认DNS服务器。
· 案例以A记录解析为例。
(1) 创建ICMP类型健康检测
在导航栏中选择“策略 > 全局配置 > 健康监测”,单击
按钮,只配置名称,其他配置使用默认配置,如下图所示。
图129 配置icmp类型建健康监测
(2) 配置链路
在导航栏中选择“策略 > 全局配置 > 链路”,进入链路页面,如下图所示。
点击按钮
,创建四条链路, link-cnc-1,link-cnc-2,和link-chinatel-master,link-chinatel-backup,其中link-cnc-1、link-cnc-2除router ip外其他配置相同。
图130 创建链路link-cnc-1
图131 创建链路link-cnc-2
图132 创建链路link-chinatel-master
图133 创建链路link-chinatel-backup
点击<确定>按钮,配置完成。
配置完链路如下:
(3) 配置DNS服务器
在导航栏中选择“策略 > DNS透明代理 > DNS服务器”,进入DNS服务器页面,点击按钮
,创建四个dns服务器, dns-qq-1、dns-qq-2服务器除IP地址外其他配置相同;dns-baidu-master优先级为8、dns-baidu-backup优先级为4,除IP地址外其他配置相同。
图134 配置DNS服务器dns-qq-1
图135 配置DNS服务器dns-qq-2
图136 配置DNS服务器dns-baidu-master
图137 配置DNS服务器dns-baidu-backup
点击确定配置完成,如下图所示
(4) 配置DNS服务器池
在导航栏中选择“策略 > DNS透明代理 > DNS服务器池”,进入DNS服务器池页面,点击按钮
,创建两个dns服务器池dsp-qq、dns-qq-2,和dsp-baidu,并分别关联链路与DNS服务器。
图138 创建dns服务器池dsp-qq
在DNS服务器列表中点击按钮
关联链路与DNS服务器,如下图所示。
创建完成如下图所示
图139 创建dns服务器池dsp-baidu
在DNS服务器列表中点击按钮
关联链路与DNS服务器,如下图所示
创建完成如下图所示。
点击确定配置完成,如下图所示。
(5) 配置流量特征
在导航栏中选择“策略 > DNS透明代理 > 流量特征”,进入流量特征页面,点击按钮
,创建两个流量特征domain-qq.com与domain-baidu.com,如下图所示
#创建流量特征domain-qq.com,匹配方式为match-any
图140 创建流量特征domain-qq.com,,匹配方式为match-any
在匹配规则中点击按钮
创建规则,如下图所示
点击确定配置完成,如下图所示。
图141 创建流量特征domain-baidu.com,匹配方式为match-any
在匹配规则中点击按钮
创建规则,如下图所示。
点击确定配置完成,如下图所示。
(6) 使能DNS透明代理
在导航栏中选择“策略 > DNS透明代理 > IPv4选路策略”,进行如下配置,如下图所示。
图142 配置DNS透明代理
(7) 配置ipv4代理策略
在导航栏中选择“策略 > DNS透明代理 > ipv4代理策略”,ipv4代理策略页面,点击按钮
,配置策略,并dsp-qq作为默认DNS服务器池,如下图所示
图143 配置IPv4选路策略-1
图144 配置IPv4选路策略-2
图145 配置IPv4选路策略-3
点击确定配置完成,如下图所示。
(8) 配置nat地址池并在链路出接口应用
在导航栏中选择“网络 > NAT > NAT动态转换 > NAT地址池”,点击按钮
创建地址池,如下图所示。
图146 配置地址组1
图147 配置地址组2
图148 配置地址组3
图149 配置地址组4
在导航栏中选择“网络 > NAT > NAT动态转换 > 策略配置”,点击按钮
策略,如下图所示。
图150 配置NAT动态转换策略1
图151 配置NAT动态转换策略2
图152 配置NAT动态转换策略3
图153 配置NAT动态转换策略4
# 配置测试仪发起DNS A www.baidu.com,DNS A mail.qq.com。
在导航栏中选择“监控 > DNS透明代理统计 > DNS服务器统计统计”,如下图所示。
(1) 查看dns服务器统计
查看详细信息
(2) 手动关闭link-cnc-1与link-chinatel-master
再次查看dns服务器统计,流量切换到状态正常的DNS服务器
#
nat address-group 1 name cnc-1
address 61.0.156.100 61.0.156.200
#
nat address-group 2 name cnc-2
address 180.223.0.100 180.223.0.200
#
nat address-group 3 name chinatel-master
address 1.1.0.100 1.1.0.200
#
nat address-group 4 name chinatel-backup
address 203.0.24.100 203.0.24.200
#
nqa template icmp icmp
#
interface GigabitEthernet2/0/1
port link-mode route
description link-cnc-2
ip address 180.223.0.1 255.255.255.0
nat outbound address-group 2
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc-1
ip address 61.0.156.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/3
port link-mode route
description link-chinatel-master
ip address 1.1.0.1 255.255.255.0
nat outbound address-group 3
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel-backup
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 4
#
loadbalance class damian-baidu.com type dns match-any
match 1 domain-name www.baidu.com
#
loadbalance class domain-qq.com type dns match-any
match 1 domain-name mail.qq.com
#
loadbalance action ##defaultactionfordnsproxyipv4##%%autocreatedbyweb%% type dns
dns-server-pool dsp-qq
#
loadbalance action dp4#action#for#damian-baidu.com type dns
dns-server-pool dsp-baidu
fallback-action continue
#
loadbalance action dp4#action#for#domain-qq.com type dns
dns-server-pool dsp-qq
fallback-action continue
#
loadbalance policy ##defaultpolicyfordnsproxyipv4##%%autocreatedbyweb%% type dns
class domain-qq.com action dp4#action#for#domain-qq.com
class damian-baidu.com action dp4#action#for#damian-baidu.com
default-class action ##defaultactionfordnsproxyipv4##%%autocreatedbyweb%%
#
loadbalance link link-chinatel-backup
router ip 203.0.24.2
link-group chinatel
#
loadbalance link link-chinatel-master
router ip 1.1.0.2
link-group chinatel
success-criteria at-least 1
#
loadbalance link link-cnc-1
router ip 61.0.156.2
link-group cnc
success-criteria at-least 1
#
loadbalance link link-cnc-2
router ip 180.223.0.2
link-group cnc
success-criteria at-least 1
#
loadbalance dns-server dns-baidu-backup
dns-server-pool dsp-baidu
ip address 8.8.8.8
link link-chinatel-backup
success-criteria at-least 1
#
loadbalance dns-server dns-baidu-master
dns-server-pool dsp-baidu
ip address 219.141.136.68
link link-chinatel-master
priority 8
success-criteria at-least 1
#
loadbalance dns-server dns-qq-1
dns-server-pool dsp-qq
ip address 114.114.114.114
link link-cnc-1
success-criteria at-least 1
#
loadbalance dns-server dns-qq-2
dns-server-pool dsp-qq
ip address 202.106.46.151
link link-cnc-2
success-criteria at-least 1
#
loadbalance dns-proxy ##defaultdpfordnsproxyipv4##%%autocreatedbyweb%% type udp
ip address 0.0.0.0 0
service enable
lb-policy ##defaultpolicyfordnsproxyipv4##%%autocreatedbyweb%%
#
本章介绍智能DNS置案例。
智能DNS功能可在多条链路上分担外网用户访问内网服务器的流量。
智能DNS支持IPv4与IPv6,但不支持IPv4流量与IPv6流量的互转。
路由部署模式:LB设备以三层方式对外连接,通过路由转发。
企业分别租用不同运营商联通cnc、电信chinatel四条链路link-cnc-1、link-cnc-1、link-chinatel-master、link-chinatel-backup为外网用户提供服务。local DNS上指定LB作为权威DNS服务器负载解析外网用户访问内网服务器的DNS请求报文,并为外网用户访问内网服务器选择最佳链路。
通过配置入方向链路负载均衡,可以使外部互联网用户访问内网服务器的流量较为均匀地分配到多条链路上,从而提高流量转发效率,提升服务质量;可以避免出现一条链路拥塞而其他链路闲置的情况;可以在某条链路出现故障时,使外部互联网用户使用其它链路来访问内网服务器,避免因链路故障导致流量转发失败。
智能DNS支持的资源记录有:
· A(Address)记录是用来指定主机名(或域名)对应的IP地址记录(ipv4地址),通俗来说A记录就是服务器的IP。
· AAAA(Address)记录是用来指定主机名(或域名)对应的IP地址记录(ipv6地址)。
在DNS正向解析过程中,负载均衡设备使用DNS正向区域中配置的资源记录来查找DNS域名对应的主机名。DNS资源记录是负载均衡设备用于解析DNS请求的数据记录表项,DNS正向区域中可以配置以下几种类型的资源记录:
· CNAME(Canonical Name,规范名称)资源记录允许将多个别名映射到同一正规主机名,即同一服务器。例如,企业内网有一台服务器主机名为host.qq.com,它同时对外提供Web服务和邮件服务,为了便于用户的访问,可以为该服务器配置CNAME资源记录,分别配置别名为www.qq.com和mail.qq.com。当用户请求Web服务时,访问www.qq.com,当用户请求邮件服务时,访问mail.qq.com,而实际访问的均为host.qq.com。
· MX(Mail Exchanger,邮件交换)资源记录用于指定该DNS正向区域的邮件服务器。
· NS(Name Server,权威名称服务器)资源记录用于指定为该DNS正向区域服务的权威名称服务器。
· SOA(Start of Authority,起始授权)资源记录用来配置一个DNS正向区域的主域名服务器、管理员邮箱等参数。
· SRV(Service,服务)资源记录用来配置DNS正向区域所提供的服务,以及提供该服务的服务器。
· TXT(Text,文本)资源记录用于为DNS正向区域设置说明。
· PTR(Pointer Record,指针记录)用来记录域名和IP地址的映射关系,根据DNS反向区域对收到的报文进行反向DNS解析,即根据IP地址查找对应的域名。
图154 智能DNS组网图
· 配置接口地址,及保持上一跳,保证反向流量从同一条链路返回。
· 为了接收DNS请求,需要配置链路、DNS监听器。
· LB设备支持多种资源记录,需要配置DNS正向域、DNS反向域。
· 为了能返回域名所对应的IP地址,需要配置虚服务器及虚IP池。
· 配置DNS正向域,用于解析各种资源记录。
本举例是在L5000C的Version 7.1.064, Release 8120P12 版本上进行配置和验证的。
· 在配置之前确保外网到负载均衡设备、DNS监听路由可达。
· 举例版本web不支持接口配置保持上一跳,使用命令行配置。
· 举例版本web不支持SRV\TXT记录,使用命令行配置。
· 本次配置举例中,对于域名不存在的处理方式是拒绝,也可以根据具体的需求,设置为不回应或DNS代理方式,本文档不再赘述。
(1) 配置接口IP地址,并开启保持保持上一跳
[Sysname-GigabitEthernet1/0/1]ip address 61.156.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/1]ip last-hop hold
[Sysname-GigabitEthernet1/0/2]ip address 180.223.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/2]ip last-hop hold
[Sysname-GigabitEthernet1/0/3]ip address 1.1.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/3]ip last-hop hold
[Sysname-GigabitEthernet1/0/4]ip address 203.0.24.1 255.255.0.0
[Sysname-GigabitEthernet1/0/4]ip last-hop hold
(2) 配置NQA模板
图155 创建名为icmp的ICMP类型的NQA模板
(3) 配置Link
创建名为link-cnc-1的Link,指定链路出方向的下一跳IP地址为61.156.0.2,开启链路功能,引用ICMP类型健康检测,成功条件为至少一个检测通过;
创建名为link-cnc-2的Link,指定链路出方向的下一跳IP地址为180.223.0.2,开启链路功能,引用ICMP类型健康检测,成功条件为至少一个检测通过;
创建名为link-chinatel-master的Link,指定链路出方向的下一跳IP地址为1.1.0.2,开启链路功能,引用ICMP类型健康检测,成功条件为至少一个检测通过;
创建名为link-chinatel-backup的Link,指定链路出方向的下一跳IP地址为203.0.24.2,开启链路功能,引用ICMP类型健康检测,成功条件为至少一个检测通过。
在导航栏中选择“策略 > 全局配置 > 链路”,单击“
”按钮,进行如下配置:
图156 创建名为link-cnc-1的Link
图157 创建名为link-cnc-2的Link
图158 创建名为link-chinatel-maste的Link
图159 创建名为link-chinatel-backup的Link
(4) 配置虚服务器
在导航栏中选择“策略 > 应用负载均衡 > 虚服务器”,单击“
”按钮:
创建IP类型的虚服务器vs-cnc-1,配置其VSIP为183.232.98.190。
图160 创建IP类型的虚服务器vs-cnc-1
创建IP类型的虚服务器vs-cnc1-01,配置其VSIP为183.232.100.100。
图161 创建IP类型的虚服务器vs-cnc1-01
创建IP类型的虚服务器vs-cnc-2,配置其VSIP为140.207.128.140。
图162 创建IP类型的虚服务器vs-cnc-2
(5) 配置虚服务器池
创建虚IP池vsp,设置优选调度算法为加权轮转算法,并添加虚服务器vs-cnc-ipv6、vs-cnc1、vs-cnc2,虚服务器分别关联链路link-cnc-1、link-cnc-1、link-cnc-2。
在导航栏中选择“策略 > 智能DNS
> 虚IP池”,单击“
”按钮:
图163 创建虚IP池vsp
(6) 配置DNS监听器
创建DNS监听器dl-cnc-1,配置其IPv4地址为61.156.0.1,并开启DNS监听服务。
在导航栏中选择“策略 > 智能DNS
> NDS监听器”,单击“
”按钮:
图164 创建DNS监听器dl-cnc-1
创建DNS监听器dl-cnc-2,配置其IPv4地址为180.223.0.1,并开启DNS监听服务。
图165 创建DNS监听器dl-cnc-2
创建DNS监听器dl-chinatel-m,配置其IPv4地址为1.1.0.1,并开启DNS监听服务。
图166 创建DNS监听器dl-chinatel-m
创建DNS监听器dl-chinatel-b,配置其IPv4地址为203.0.24.1,并开启DNS监听服务。
图167 创建DNS监听器dl-chinatel-b
(7) 配置DNS映射
创建DNS映射dm,配置域名host.qq.com、ns-cnc1.baidu.com、ns-tel1.baidu.com,指定虚服务器池vsp,并开启其服务。
在导航栏中选择“策略 > 智能DNS
> DNS映射”,单击“
”按钮:
图168 创建DNS映射dm
(8) 配置DNS正向区域
a. 配置MX记录
创建DNS正向区域域名为qq.com,配置MX类型的资源记录,其邮件服务器主机名为mail。
注:邮件服务器主机名,支持绝对域名(以“.”结束)和相对域名(不以“.”结束),当域名是相对域名时,则进行自动扩充,在所配域名后自动添加当前DNS正向域的域名
在导航栏中选择“策略 > 智能DNS
> DNS正向域”,单击“
”按钮:
图169 创建MX类型资源记录
b. 配置CNAME记录
DNS正向区域域名为qq.com,配置CNAME类型的资源记录,别名为mail,规范名称为host。
注:CNAME记录中的别名和规范名称支持绝对域名(以“.”结束)和相对域名(不以“.”结束),当域名是相对域名时,则进行自动扩充,在所配域名后自动添加当前DNS正向域的域名。
图170 创建CNAME类型资源记录
c. 配置NS及SOA记录
创建DNS正向区域域名为baidu.com,配置NS类型的资源记录,其主机名为ns-cnc1、ns-tel1,对应的SOA配置中,主域名服务器主机名为www,管理员邮箱地址为www
注:NS 、SOA记录中的主机名和邮箱地址支持绝对域名(以“.”结束)和相对域名(不以“.”结束),当域名是相对域名时,则进行自动扩充,在所配域名后自动添加当前DNS正向域的域名
配置CNAME类型的资源记录,别名为mail,规范名称为host。
在导航栏中选择“策略 > 智能DNS
> DNS正向域”,单击“
”按钮:
图171 创建NS、SOA类型资源记录
d. 配置SRV记录
目前版本web不支持配置,使用命令行进行举例
注:服务名称(service)和提供服务的主机名(host-offering-service),支持绝对域名(以“.”结束)和相对域名(不以“.”结束),当服务名和主机名是相对域名时,则进行自动扩充,在所配域名后自动添加当前DNS正向域的域名。
loadbalance zone qq.com
record srv service _ldap host-offering-service _tcp priority 50 weight 50 port 389
record srv service _ldap.qq.com. host-offering-service _tcp. priority 10 weight 10 port 80
#
e. 配置TXT记录
目前版本web不支持配置,使用命令行进行配置举例
注:区域的子域名(sub),支持绝对域名(以“.”结束)和相对域名(不以“.”结束),当服务名和主机名是相对域名时,则进行自动扩充,在所配域名后自动添加当前DNS正向域的域名。
[Sysname-lb-zone-qq.com] record txt describe-txt 111111111111111111
[Sysname-lb-zone-qq.com]record txt sub hotline describe-txt "v=spf1 include:spf.abcmail.abc.com.cn -all"
(9) 配置DNS反向区域
在导航栏中选择“策略 > 智能DNS
> DNS反向域”,单击“
”按钮:
图172 创建PTR类型资源记录
(1) 通过nslookup查看CNAME记录
(2) 通过nslookup查看A、AAAA记录
DNS请求域名www.qq.com对应的A、AAAA记录,映射表中不存在该域名,查询在DNS正向区域中配置的资源记录,得到主机域名,再依据该主机域名在DNS映射中查找域名所对应的虚服务器IP地址。
(3) 通过nslookup查看MX记录
(4) 通过nslookup查看NS及SOA记录
(5) 通过nslookup查看SRV记录
配置两条SRV记录,查看相对域名和绝对域名对应的返回情况,结果如下图所示:
(6) 通过nslookup查看TXT记录
正向域qq.com下配置两条TXT记录,一条不配置sub,另外一条配置sub、查看TXT记录,结果如下图所示:
(7) 通过nslookup查看PTR记录
183.232.100.100对应的PTR记录,如下图所示:
nqa template icmp icmp
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 61.156.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 180.223.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 1.1.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/4
port link-mode route
ip address 203.0.24.1 255.255.0.0
ip last-hop hold
#
virtual-server vs-cnc-ipv6 type ip
virtual ipv6 address 1:20::5
#
virtual-server vs-cnc1 type ip
virtual ip address 183.232.98.190
#
virtual-server vs-cnc2 type ip
virtual ip address 140.207.128.140
#
loadbalance link link-chinatel-backup
router ip 203.0.24.3
success-criteria at-least 1
probe icmp
#
loadbalance link link-chinatel-master
router ip 1.1.0.3
success-criteria at-least 1
probe icmp
#
loadbalance link link-cnc-1
router ip 61.156.0.3
success-criteria at-least 1
probe icmp
#
loadbalance link link-cnc-2
router ip 180.223.0.3
success-criteria at-least 1
probe icmp
#
loadbalance virtual-server-pool vsp
predictor alternate random
predictor fallback least-connection
virtual-server vs-cnc-ipv6 link link-cnc-1
virtual-server vs-cnc1 link link-cnc-1
virtual-server vs-cnc2 link link-cnc-2
#
loadbalance dns-map dm
domain-name host.qq.com
domain-name ns-cnc1.baidu.com
domain-name ns-tel1.baidu.com
service enable
virtual-server-pool vsp
#
loadbalance dns-listener dl-chinatel-b
ip address 203.0.24.1
service enable
#
loadbalance dns-listener dl-chinatel-m
ip address 1.1.0.1
service enable
#
loadbalance dns-listener dl-cnc-1
ip address 61.156.0.1
service enable
#
loadbalance dns-listener dl-cnc-2
ip address 180.223.0.1
service enable
#
loadbalance zone baidu.com
record ns authority ns-cnc1
record ns authority ns-tel1
soa
primary-nameserver www
responsible-mail mail
#
loadbalance zone qq.com
record mx exchanger mail preference 100
record cname alias mail canonical host
record cname alias www canonical host
record txt describe-txt 111111111111111111
record txt sub hotline describe-txt "v=spf1 include:spf.abcmail.abc.com.cn -all
"
record srv service _ldap host-offering-service _tcp priority 50 weight 50 port 389
record srv service _ldap.qq.com. host-offering-service _tcp. priority 10 weight 10 port 80
#
loadbalance reverse-zone ip 183.232.0.0 16
record ptr ip 183.232.100.100 mail.qq.com
#
企业分别租用不同运营商联通cnc、电信chinatel四条链路link-cnc-1、link-cnc-1、link-chinatel-master、link-chinatel-backup为外网用户提供服务,这四条链路的路由器跳数、带宽和成本不完全相同。外网用户访问host.qq.com时,优先根据动态探测到的最优链路选路,其次根据所属的ISP进行选路。用户首先向本地DNS服务器发送请求,本地DNS服务器向负载均衡设备发起DNS请求,负载均衡设备经过调度算法选出对应链路对应的虚服务器。
图173 智能DNS动态就近性组网图
为了验证inbound的动态就近性算法,需要完成如下配置:
· 配置接口地址,及保持上一跳,保证反向流量从同一条链路返回。
· 为了接收DNS请求,需要配置链路、DNS监听器。
· 为了能返回域名所对应的IP地址,需要配置虚服务器及虚IP池。
· 四条链路的路由器跳数、带宽和成本不同。
· 配置就近性参数,用于动态就近性算法。
本举例是在L5000C的Version 7.1.064, Release 8120P12版本上进行配置和验证的。
· 在配置之前确保外网到负载均衡设备、DNS监听路由可达。
· 举例版本web不支持接口配置保持上一跳,使用命令行配置。
· 动态探测的目的地址为最初的探测地址,通过就近性算法获取当前的最优链路,就近性探测的周期由用户配置决定。
· 就近性优先级链中的最优的不一定就是最终选择的,还要看当前链路的状态。
· 在虚IP池次选调度算法选动态就近性,备选最好选用其他算法,以免出现业务失败(动态就近性表项,靠报文触发,探测成功后十秒,才能产生可用的就近性表项)。
(1) 配置接口IP地址,并开启保持保持上一跳
[Sysname-GigabitEthernet1/0/1]ip address 61.156.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/1]ip last-hop hold
[Sysname-GigabitEthernet1/0/2]ip address 180.223.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/2]ip last-hop hold
[Sysname-GigabitEthernet1/0/3]ip address 1.1.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/3]ip last-hop hold
[Sysname-GigabitEthernet1/0/4]ip address 203.0.24.1 255.255.0.0
[Sysname-GigabitEthernet1/0/4]ip last-hop hold
(2) 配置ICMP类型的NQA模板
图174 创建名为icmp的ICMP类型的NQA模板
(3) 配置Link
创建名为link-cnc-1的Link,指定链路出方向的下一跳IP地址为61.156.0.2,就近性链路成本为40,引用ICMP类型健康检测,成功条件为至少一个检测通过;
创建名为link-cnc-2的Link,指定链路出方向的下一跳IP地址为180.223.0.2,就近性链路成本为100,引用ICMP类型健康检测,成功条件为至少一个检测通过;
创建名为link-chinatel-master的Link,指定链路出方向的下一跳IP地址为1.1.0.2,就近性链路成本为0,引用ICMP类型健康检测,成功条件为至少一个检测通过;
创建名为link-chinatel-backup的Link,指定链路出方向的下一跳IP地址为203.0.24.2,就近性链路成本为200,引用ICMP类型健康检测,成功条件为至少一个检测通过;
在导航栏中选择“策略 > 全局配置 > 链路”,单击“
”按钮,进行如下配置:
图175 创建名为link-cnc-1的Link
图176 创建名为link-cnc-2的Link
图177 创建名为link-chinatel-maste的Link
图178 创建名为link-chinatel-backup的Link
(4) 配置虚服务器
在导航栏中选择“策略 > 应用负载均衡 > 虚服务器”,单击“
”按钮:
创建IP类型的虚服务器vs-cnc-1,配置其VSIP为183.232.98.190。
图179 创建IP类型的虚服务器vs-cnc-1
创建IP类型的虚服务器vs-cnc-2,配置其VSIP为140.207.128.140。
图180 创建IP类型的虚服务器vs-cnc-2
创建IP类型的虚服务器vs-chinatel-m,配置其VSIP为183.2.186.153。
图181 创建IP类型的虚服务器vs-chinatel-m
创建IP类型的虚服务器vs-chinatel-b,配置其VSIP为183.61.47.15。
图182 创建IP类型的虚服务器vs-chinatel-b
(5) 配置ISP
导入ISP文件,在导航栏中选择“策略 > 全局配置 > ISP”,单击“
”按钮:
图183 配置ISP
然后点击“
”
图184 导入ISP
(6) 配置域
创建域region-chinatel、region-cnc,并配置ISP
在导航栏中选择“策略 > 全局配置 > 区域”,单击“
”按钮:
图185 创建域region-chinatel
图186 创建域region-cnc
(7) 配置静态就近性策略
本次配置举例的版本web不支持一个region对应多个IP地址段,使用命令行配置举例说明。
[Sysname]topology region region-chinatel ip 183.2.0.0 16 weight 255
[Sysname]topology region region-chinatel ip 183.61.0.0 16 weight 100
[Sysname]topology region region-cnc ip 140.207.0.0 16 weight 255
[Sysname]topology region region-cnc ip 183.232.0.0 16 weight 100
(8) 配置虚服务器池
创建虚IP池vsp,设置优选调度算法为动态就近性算法,备选调度算法为静态就近性算法,次选算法为加权轮转算法,并添加虚服务器vs-cnc1、、vs-cnc2、vs-chinatel-m、vs-chinatel-b,虚服务器分别关联链路link-cnc-1、link-cnc-2、link-chinatel-master、link-chinatel-backup,开启带宽繁忙保护功能。
在导航栏中选择“策略 > 智能DNS
> 虚IP池”,单击“
”按钮:
图187 创建虚IP池vsp
(9) 配置DNS监听器
创建DNS监听器dl-cnc-1,配置其IPv4地址为61.156.0.1,并开启DNS监听服务。
在导航栏中选择“策略 > 智能DNS
> NDS监听器”,单击“
”按钮:
图188 创建DNS监听器dl-cnc-1
创建DNS监听器dl-cnc-2,配置其IPv4地址为180.223.0.1,并开启DNS监听服务。
图189 创建DNS监听器dl-cnc-2
创建DNS监听器dl-chinatel-m,配置其IPv4地址为1.1.0.1,并开启DNS监听服务。
图190 创建DNS监听器dl-chinatel-m
创建DNS监听器dl-chinatel-b,配置其IPv4地址为203.0.24.1,并开启DNS监听服务。
图191 创建DNS监听器dl-chinatel-b
(10) 配置DNS映射
创建DNS映射dm,配置其域名为host.qq.com,指定虚服务器池vsp,并开启其服务。
在导航栏中选择“策略 > 智能DNS
> DNS映射”,单击“ 
”按钮:
图192 创建DNS映射dm
(11) 配置就近性参数
#创建就近性参数,选择默认探测方法为icmp。
在导航栏中选择“策略 > 全局配置 > 就近性”,单击“
”按钮:
(1) 查看就近性表项
就近性表现没有生成最佳链路时,首选动态就近性算法不生效,走备选静态就近性算法,返回IP地址183.61.47.15。
就近性表现生成最佳链路时,首选动态就近性算法生效,返回最佳链路对应的IP地址183.2.186.153
#
nqa template icmp icmp
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 61.156.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 180.223.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 1.1.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/4
port link-mode route
ip address 203.0.24.1 255.255.0.0
ip last-hop hold
#
virtual-server vs-chinatel-b type ip
virtual ip address 183.61.47.15
#
virtual-server vs-chinatel-m type ip
virtual ip address 183.2.186.153
#
virtual-server vs-cnc1 type ip
virtual ip address 183.232.98.190
#
virtual-server vs-cnc2 type ip
virtual ip address 140.207.128.140
#
loadbalance isp file lbispinfo.tp
#
loadbalance proximity
match default probe icmp
#
loadbalance region region-chinatel
isp chinatel
#
loadbalance region region-cnc
isp cnc
#
loadbalance link link-chinatel-backup
router ip 203.0.24.3
success-criteria at-least 1
probe icmp
#
loadbalance link link-chinatel-master
router ip 1.1.0.3
probe icmp
#
loadbalance link link-cnc-1
router ip 61.156.0.3
probe icmp
#
loadbalance link link-cnc-2
router ip 180.223.0.3
probe icmp
#
loadbalance virtual-server-pool vsp
predictor preferred proximity
predictor alternate round-robin
predictor fallback topology
virtual-server vs-chinatel-b link link-chinatel-backup
virtual-server vs-chinatel-m link link-chinatel-master
virtual-server vs-cnc1 link link-cnc-1
virtual-server vs-cnc2 link link-cnc-2 weight 10
#
loadbalance dns-map dm
domain-name host.qq.com
service enable
virtual-server-pool vsp
#
loadbalance dns-listener dl-chinatel-b
ip address 203.0.24.1
service enable
#
loadbalance dns-listener dl-chinatel-m
ip address 1.1.0.1
service enable
#
loadbalance dns-listener dl-cnc-1
ip address 61.156.0.1
service enable
#
loadbalance dns-listener dl-cnc-2
ip address 180.223.0.1
service enable
#
topology region region-chinatel ip 183.2.0.0 16
topology region region-chinatel ip 183.61.0.0 16 weight 255
topology region region-cnc ip 140.207.0.0 16 weight 255
topology region region-cnc ip 183.232.0.0 16
#
企业分别租用不同运营商联通cnc、电信chinatel四条链路link-cnc-1、link-cnc-1、link-chinatel-master、link-chinatel-backup为外网用户提供服务,这四条链路的路由器跳数、带宽和成本相同。外网用户访问host.qq.com时,优先根据ISP进行选路,即当联通用户访问host.qq.com时,轮流返回联通服务器地址183.232.x.x和140.207.128.140两个网段,其中183.232.x.x网段包括两个ip地址,183.232.98.190和183.232.100.100。当电信用户访问域名host.qq.com时,若主链路link-chinatel-master正常,则解析成电信服务器地址183.2.186.153,若主链路非可用状态,则解析成联通服务器地址183.61.47.15。
图193 智能DNS静态就近性组网图
· 配置接口地址,及保持上一跳,保证反向流量从同一条链路返回。
· 为了接收DNS请求,需要配置链路、DNS监听器。
· 为了能返回域名所对应的IP地址,需要配置虚服务器及虚IP池。
· 为了使用户访问对应运营商的服务器,虚IP池首选调度算法使用静态就近性算法。
本举例是在L5000C的Version 7.1.064, Release 8120P12版本上进行配置和验证的。
· 在配置之前确保外网到负载均衡设备DNS监听路由可达。
· 导入可用的ISP文件。
· 为了实现组网需求,使联通用户访问域名host.qq.com时,同一个isp对应的两个topology的权值相同,将会按照1:1轮流返回两个联通服务器网段地址183.232.x.x和140.207.x.x。其中183.232.x.x网段包括两个ip地址,183.232.98.190和183.232.100.100,本配置举例中这两个地址以10:1的比例返回。
· 为了实现组网需求,当电信用户访问域名host.qq.com时,若主链路link-chinatel-master正常,则解析成电信服务器地址183.2.186.153,若主链路非可用状态,则解析成联通服务器地址183.61.47.15,同一个isp对应的两个topology的权值不同,优先返回高权值对应的ip网段,只有当其对应的link故障,状态为非可用状态(包括不可用、服务关闭、健康检测失败、繁忙)时,才返回低权值对应的ip网段。
· 举例版本web不支持接口配置保持上一跳,使用命令行配置。
· 举例版本web不支持配置一个region对应多个ip段,使用命令行配置
(1) 配置接口IP地址,并开启保持保持上一跳
[Sysname-GigabitEthernet1/0/1]ip address 61.156.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/1]ip last-hop hold
[Sysname-GigabitEthernet1/0/2]ip address 180.223.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/2]ip last-hop hold
[Sysname-GigabitEthernet1/0/3]ip address 1.1.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/3]ip last-hop hold
[Sysname-GigabitEthernet1/0/4]ip address 203.0.24.1 255.255.0.0
[Sysname-GigabitEthernet1/0/4]ip last-hop hold
(2) 配置ICMP类型的NQA模板
图194 创建名为icmp的ICMP类型的NQA模板
(3) 配置Link
创建名为link-cnc-1的Link,指定链路出方向的下一跳IP地址为61.156.0.2,引用ICMP类型健康检测,成功条件为全部通过;
创建名为link-cnc-2的Link,指定链路出方向的下一跳IP地址为180.223.0.2,引用ICMP类型健康检测,成功条件为全部通过;
创建名为link-chinatel-master的Link,指定链路出方向的下一跳IP地址为1.1.0.2,引用ICMP类型健康检测,成功条件为全部通过;
创建名为link-chinatel-backup的Link,指定链路出方向的下一跳IP地址为203.0.24.2,引用ICMP类型健康检测,成功条件为全部通过。
在导航栏中选择“策略 > 全局配置 > 链路”,单击“
”按钮,进行如下配置:
图195 创建名为link-cnc-1的Link
图196 创建名为link-cnc-2的Link
图197 创建名为link-chinatel-maste的Link
图198 创建名为link-chinatel-backup的Link
(4) 配置虚服务器
在导航栏中选择“策略 > 应用负载均衡 > 虚服务器”,单击“
”按钮:
创建IP类型的虚服务器vs-cnc-1,配置其VSIP为183.232.98.190。
图199 创建IP类型的虚服务器vs-cnc-1
创建IP类型的虚服务器vs-cnc1-01,配置其VSIP为183.232.100.100。
图200 创建IP类型的虚服务器vs-cnc1-01
创建IP类型的虚服务器vs-cnc-2,配置其VSIP为140.207.128.140。
图201 创建IP类型的虚服务器vs-cnc-2
创建IP类型的虚服务器vs-chinatel-m,配置其VSIP为183.2.186.153。
图202 创建IP类型的虚服务器vs-chinatel-m
创建IP类型的虚服务器vs-chinatel-b,配置其VSIP为183.61.47.15。
图203 创建IP类型的虚服务器vs-chinatel-b
(5) 配置ISP
导入ISP文件,在导航栏中选择“策略 > 全局配置 > ISP”,单击“
”按钮:
然后点击“
”
(6) 配置域
创建域region-chinatel、region-cnc,并配置ISP
在导航栏中选择“策略 > 全局配置 > 区域”,单击“
”按钮:
图204 创建域region-chinatel
图205 创建域region-cnc
(7) 配置静态就近性策略
本次配置举例的版本web不支持一个region对应多个IP地址段,使用命令行配置举例说明。
[Sysname]topology region region-chinatel ip 183.2.0.0 16 weight 255
[Sysname]topology region region-chinatel ip 183.61.0.0 16 weight 100
[Sysname]topology region region-cnc ip 140.207.0.0 16 weight 100
[Sysname]topology region region-cnc ip 183.232.0.0 16 weight 100
(8) 配置虚服务器池
创建虚IP池vsp,设置优选调度算法为静态就近性算法,备选调度算法为加权最小连接算法,次选算法为随机算法,并添加虚服务器vs-cnc1、vs-cnc1-01、vs-cnc2、vs-chinatel-m、vs-chinatel-b,虚服务器分别关联链路link-cnc-1、link-cnc-1、link-cnc-2、link-chinatel-master、link-chinatel-backup,开启带宽繁忙保护功能。
在导航栏中选择“策略 > 智能DNS
> 虚IP池”,单击“
”按钮:
图206 创建虚IP池vsp
(9) 配置DNS监听器
创建DNS监听器dl-cnc-1,配置其IPv4地址为61.156.0.1,并开启DNS监听服务。
在导航栏中选择“策略 > 智能DNS
> NDS监听器”,单击“ 
”按钮:
图207 创建DNS监听器dl-cnc-1
创建DNS监听器dl-cnc-2,配置其IPv4地址为180.223.0.1,并开启DNS监听服务。
图208 创建DNS监听器dl-cnc-2
创建DNS监听器dl-chinatel-m,配置其IPv4地址为1.1.0.1,并开启DNS监听服务。
图209 创建DNS监听器dl-chinatel-m
创建DNS监听器dl-chinatel-b,配置其IPv4地址为203.0.24.1,并开启DNS监听服务。
图210 创建DNS监听器dl-chinatel-b
(10) 配置DNS映射
创建DNS映射dm,配置其域名为host.qq.com,指定虚服务器池vsp,并开启其服务。
在导航栏中选择“策略 > 智能DNS
> DNS映射”,单击“
”按钮:
图211 创建DNS映射dm
(1) 联通用户访问域名情况
当电信用户访问域名host.qq.com时,轮流返回ip地址183.232.x.x、140.207.128.140,183.232.x.x包括地址183.232.98.190和183.232.100.100,返回地址的比例跟权值有关,为10:1,需要大量报文才能看出返回地址的比例。
(2) 电信用户访问域名host.qq.com
当主链路link-chinatel-master可用时,优先返回对应的ip网段183.2.186.153
大包长ping1.1.0.1,使主链路link-chinatel-master繁忙,不参与调度时,则返回备用链路对应的ip网段183.61.47.15
#
nqa template icmp icmp
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 61.156.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 180.223.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 1.1.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/4
port link-mode route
ip address 203.0.24.1 255.255.0.0
ip last-hop hold
#
virtual-server vs-chinatel-b type ip
virtual ip address 183.61.47.15
#
virtual-server vs-chinatel-m type ip
virtual ip address 183.2.186.153
#
virtual-server vs-cnc-ipv6 type ip
virtual ipv6 address 1:20::5
#
virtual-server vs-cnc1 type ip
virtual ip address 183.232.98.190
#
virtual-server vs-cnc1-01 type ip
virtual ip address 183.232.100.100
#
virtual-server vs-cnc2 type ip
virtual ip address 140.207.128.140
#
loadbalance isp file lbispinfo.tp
#
loadbalance region region-chinatel
isp chinatel
#
loadbalance region region-cnc
isp cnc
#
loadbalance link link-chinatel-backup
router ip 203.0.24.3
success-criteria at-least 1
probe icmp
#
loadbalance link link-chinatel-master
router ip 1.1.0.3
probe icmp
#
loadbalance link link-cnc-1
router ip 61.156.0.3
probe icmp
#
loadbalance link link-cnc-2
router ip 180.223.0.3
probe icmp
#
loadbalance virtual-server-pool vsp
predictor preferred topology
predictor alternate random
predictor fallback least-connection
bandwidth busy-protection enable
virtual-server vs-chinatel-b link link-chinatel-backup
virtual-server vs-chinatel-m link link-chinatel-master
virtual-server vs-cnc1 link link-cnc-1
virtual-server vs-cnc1-01 link link-cnc-1 weight 10
virtual-server vs-cnc2 link link-cnc-2 weight 10
#
loadbalance dns-map dm
domain-name host.qq.com
service enable
virtual-server-pool vsp
#
loadbalance dns-listener dl-chinatel-b
ip address 203.0.24.1
service enable
#
loadbalance dns-listener dl-chinatel-m
ip address 1.1.0.1
service enable
#
loadbalance dns-listener dl-cnc-1
ip address 61.156.0.1
service enable
#
loadbalance dns-listener dl-cnc-2
ip address 180.223.0.1
service enable
#
topology region region-chinatel ip 183.2.0.0 16 weight 255
topology region region-chinatel ip 183.61.0.0 16
topology region region-cnc ip 140.207.0.0 16
topology region region-cnc ip 183.232.0.0 16
#
获取路径http://www.h3c.com.cn/,首页->服务支持->软件下载->安全->ISP 地址表项文件取下该文件,下载完成后,可以直接通过web导入该文件,也可以上传到设备,通过命令行导入loadbalance isp file导入设备(如果是双机,请分别导入)。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
