03-出口网关多业务典型配置举例
本章节下载 (4.08 MB)
出口网关多业务典型配置举例
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍负载均衡出口网关多业务典型配置举例。
LB(Load Balance,负载均衡)是一种集群技术,它将特定的业务(网络服务、网络流量等)分担给多台网络设备(包括服务器、LB等)或多条链路,从而提高了业务处理能力,保证了业务的高可靠性。负载均衡技术可分为以下几种类型:
· 服务器负载均衡:在数据中心等组网中,通过此技术可将网络服务分担给多台服务器或防火墙进行处理,从而提高服务器或防火墙的处理能力。
· 链路负载均衡:当内网用户访问外部互联网存在多条链路时,可在多条链路上分担内网用户访问外部互联网的流量。
· DNS透明代理:当内网用户访问外网DNS服务器存在多条链路时,可在多条链路上分担内网用户访问外部DNS服务器的流量。
· 智能DNS:当外网用户访问DNS域名时,设备作为权威DNS服务器进行解析存在多条链路时,返回最佳的解析地址。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解负载均衡特性。
如图3-1所示,所在网络的出口处部署了设备。具体应用需求如下:
· 为提高可靠性,用户从三个运营商处分别租用了五条链路。通过配置链路负载均衡,通过五条链路合理分担流量,源地址为192.168.10.0/24的特定用户通过cmcc链路访问公网;其他用户基于ISP访问各个运营商,优先使用本运营商的链路出去,电信运营商其中一条主链路只有100M带宽,还有一条备用链路;而且所有内网用户的内网192.168.0.0/16网段地址不允许暴露在外网中。
· 内网用户要发往公网进行DNS解析请求时,域名www.testyoutube.com必须要发往8.8.8.8的DNS服务器才能进行解析,其他的DNS解析请求负载分担到不同的运营商DNS服务器上面,避免后续业务导致某条链路流量拥塞
· 源地址为192.168.10.0/24的特定用户指定的CMCC运营商链路进行链路负载均衡和DNS透明代理
· 外网用户访问域名解析,通过配置入方向链路负载均衡进行智能DNS解析,通过ISP选择最佳的域名地址返回给客户端;
· 同时内部提供服务器,使得外网用户可以访问内部服务器。
· DNS服务器在公网,内网用户希望通过域名来访问内网的Web服务器,则会由于DNS服务器向内网用户发送的响应报文中包含的是内网服务器的公网地址,因此用户可以通过公网地址访问内部服务器。
(1) 关于链路负载均衡的思路说明
¡ 配置负载均衡策略使特定用户请求的访问流量走cmcc链路出去。
¡ 配置负载均衡策略判断内网用户访问的目的地址属于哪个运营商,将该访问流量选择相应的运营商链路出口。
¡ 如果其中链路断掉根据健康监测状态可以继续匹配配置的负载均衡策略选择出链路。
¡ 如果访问的目的地址不在所配置ISP内的话,可以匹配默认策略选择出链路或者转发选择路由。
(2) 关于链路负载均衡带宽繁忙保护的思路说明
设备根据接口带宽计算出这条链路是否达到了带宽限制最大值*百分比,这都是在链路中可以配置的,带宽繁忙保护支持同一个链路组之间的不同链路切换以及链路组之间的繁忙切换。本组网电信有两条出口链路其中一条有100M的带宽限制,需要带宽繁忙保护,其中将主链路chinatel-master优先级配置的高一些,便会优先走该链路,举例如下:
配置电信链路组分别全部包含两个出口链路chinatel-master和chinatel-backup,配置电信链路chinatel-master繁忙保护,chinatel-master优先级高,chinatel-backup优先级低;线路正常的话,就只走chinatel-master,如果chinatel-master繁忙了,就会切到chinatel-backup,文中典型配置就是以此为例。不同运营商之间的链路进行带宽繁忙保护的情况,文中以chinatel链路组中的两条链路同时繁忙,切换到缺省链路组中的链路举例说明。
(3) DNS透明代理的思路说明
¡ 按照组网需求配置特定域名www.testyoutube.com走特定的链路出去,去特定的DNS服务器进行解析。
¡ 特定用户(和链路负载均衡中基于源地址选路的特定用户要务必选择相同的链路)的dns域名请求走cmcc出去,去特定的DNS服务器进行解析。
¡ 其他无特殊需求可以根据算法进行DNS请求进行负载分担。
(4) 关于NAT hairpin的思路说明
如果DNS服务器在公网,如果有同一个域名对应多个IP,内网用户希望通过域名来访问内网的Web服务器,则会由于DNS服务器向内网用户发送的响应报文中包含的是内网服务器的公网地址,内网用户DNS解析出的地址为公网地址,然后内网用户可以通过访问服务器的公网地址来进行业务的访问,NAT在内网接口上同时转换访问内网服务器的报文的源和目的IP地址,其中,目的IP地址转换通过匹配某外网接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址或出方向静态地址转换来完成。
(5) 关于智能 DNS的思路的说明
¡ 外网用户的本地DNS服务器向设备发起DNS请求,入方向链路负载均衡根据静态就近性方式来选择是哪个运营商用户的选择该运营商链路对应的虚服务器。
¡ 出接口开启保持上一跳,保证外网用户发起的流量回应报文出入走相同一链路。
本举例是在L1090的Version 7.1.064, Release 1101P14版本上进行配置和验证的。
· 使用智能DNS时,如果仅做作为解析使用,按照本典型配置便可,如果后续还需要做服务器负载均衡业务,请参考应用负载均衡典型配置
· 本版本关于NAT hairpin需要注意:1、NAT hairpin功能需要与内部服务器(nat server)、出方向动态地址转换(nat outbound)或出方向静态地址转换(nat static outbound)配合工作,且这些配置所在的接口必须在同一个接口板,否则NAT hairpin功能无法正常工作。
· 使用DNS透明代理时,内网用户客户端不可以配置dns服务器地址为LB设备接口地址以及同网段地址、虚服务地址,配置设备上面不存在的地址便可,并保证路由可到LB设备
· 同时开启了链路负载均衡和DNS透明代理的情况下,如果链路负载均衡中有基于源地址转发的流量特征,DNS透明代理务必要保证也要配置基于该源地址的流量特征走的运营商链路要相同,避免出现跨运营商访问时延较大
· 本版本关于NAT 内部服务器(nat server),需要注意如果nat server的公网地址是接口的接口地址或sub地址的话,需要另外配置一条选路策略,将该公网地址对应的私网地址设置为转发,也即配置的选路策略中流量特征为基于目的地址(地址为该私网地址),选路策略中选择该流量特征,且转发动作设置为转发。此外该条选路策略要放置在其他选路策略之前。
· ISP文件系统出厂默认自带
(1) 配置健康检测
在导航栏中选择“对象>健康检测”,进入健康检测模板页面。
单击<新建>,添加模板名称为t1,类型为ICMP的健康检测模板,如下图所示。
图3-2 添加健康检测模板
健康检测模板需引用出接口,对相应的链路进行检测,否则可能会在有等价路由的情况下,本应该健康监测失败的情况,因为等价路由的原因而检测成功。
单击<确定>按钮,完成操作。
(2) 配置链路
在导航栏中选择“策略 > 公共配置 > 链路”,进入链路页面,如下图所示。
图3-3 配置链路
单击<新建>,分别配置链路link-cmcc、link-cnc-1、link-cnc-2和link-chinatel-master、link-chinatel-backup,同时在链路中引用健康检测模板t1。
图3-4 配置链路link-cmcc
图3-5 配置链路link-cnc-1
图3-6 配置链路link-cnc-2
图3-7 配置链路link-chinatel-master
图3-8 配置链路link-chinatel-master
图3-9 配置链路link-chinatel-backup
点击<确定>按钮,配置完成。
配置完链路如下:
图3-10 配置链路
(3) 配置链路组
在导航栏中选择“策略 > 链路负载均衡 > 链路组”,进入链路组页面,如下图所示。
图3-11 配置链路组
单击<新建>,分别配置链路组cmcc、cnc、chinatel和default,链路link-cmcc属于链路组cmcc,链路link-cnc-1、link-cnc-2属于链路组cnc,链路link-chinatel-master、link-chinatel-backup属于链路组chinatel,把所有的链路都添加到default中,如下图所示。
图3-14 配置链路组chinatel
其中成员link-chinatel-master的优先级为8,成员link-chinatel-backup的优先级保持默为4。
图3-15 配置链路组chinatel
图3-16 配置链路组chinatel
图3-17 配置链路组default
点击<确定>按钮,配置完成。
配置完链路组如下:
图3-18 配置链路组
(4) 配置流量特征
在导航栏中选择“策略 > 链路负载均衡 > 流量特征”,进入流量特征页面,如下图所示。
图3-19 配置流量特征
单击<新建>,配置流量特征user使源地址为192.168.10.0/24的特定用户走cmcc,配置流量特征cmcc、chinatel、cnc分别选择各自对应的ISP为cmcc、chinatel、cnc,如下图所示。
图3-20 流量特征user
图3-22 流量特征chinatel
图3-23 流量特征cnc
点击<确定>按钮,配置完成,如下图所示。
图3-24 配置流量特征
(5) 配置负载均衡策略
在导航栏中选择“策略 > 链路负载均衡 > IPv4选路策略”,开启负载均衡功能与带宽繁忙保护,如下图所示。
图3-25 配置负载均衡策略
单击<新建>,配置IPv4选路策略,匹配流量特征user的走链路组cmcc,匹配流量特征cmcc的走链路组cmcc,匹配流量特征cnc的走链路组cnc,匹配流量特征chinatel的走链路组chinatel,如下图所示。
图3-26 配置负载均衡策略cmcc
图3-27 配置负载均衡策略cnc
图3-28 配置负载均衡策略chinatel
点击<确定>按钮,配置完成,如下图所示。
图3-29 配置负载均衡策略
(6) 配置带宽繁忙保护产生日志,该命令暂时还不支持web
<sysname>system-view
System View: return to User View with Ctrl+Z.
[sysname]loadbalance log enable bandwidth-busy
在导航栏中选择“网络 > NAT > NAT动态转换> NAT地址池,如下图所示。
图3-30 NAT地址池
图3-31 NAT地址池cmcc
图3-32 NAT地址池cnc-1
图3-33 NAT地址池cnc-2
图3-34 NAT地址池chinatel-master
图3-35 NAT地址池chinatel-backup
点击<确定>按钮,配置完成,如下图所示。
图3-36 NAT地址组
在导航栏中选择“网络 > NAT > NAT动态转换 > 策略配置”,点击单击<新建>,如下图所示
图3-37 NAT策略配置
图3-38 在GE1/01配置NAT策略
图3-39 在GE1/02配置NAT策略配置
图3-40 在GE1/03配置NAT策略配置
图3-41 在GE1/04配置NAT策略
图3-42 在GE1/05配置NAT策略
点击<确定>按钮,配置完成,如下图所示。
图3-43 NAT地址池
(1) 配置DNS服务器
在导航栏中选择“策略 > DNS透明代理 > DNS服务器”,进入DNS服务器页面,单击<新建>,
图3-44 配置DNS服务器
创建四个dns服务器,如下图所示。
图3-45 配置DNS服务器cmcc
图3-46 配置DNS服务器cnc
图3-47 配置DNS服务器chinatel
图3-48 配置DNS服务器America
点击<确定>按钮,配置完成,如下图所示。
图3-49 配置DNS服务器
(2) 配置DNS服务器池
在导航栏中选择“策略 > DNS透明代理 > DNS服务器”,进入DNS服务器页面,单击<新建>,
图3-50 配置DNS服务器池
图3-51 配置DNS服务器池dns-pool
图3-52 配置DNS服务器池
图3-53 配置DNS服务器池
图3-54 配置DNS服务器池
图3-55 配置DNS服务器池
图3-56 配置DNS服务器池
点击<确定>按钮,配置完成,如下图所示。
图3-57 配置DNS服务器池
(3) 配置流量特征
在导航栏中选择“策略 > DNS透明代理 > 流量特征”,进入流量特征页面,单击<新建>,
图3-58 配置流量特征
图3-59 配置流量特征
图3-60 配置流量特征
点击<确定>按钮,配置完成,如下图所示。
图3-61 配置流量特征
(4) 配置IPv4代理策略
在导航栏中选择“策略 > DNS透明代理 > IPv4代理策略”,进入IPv4代理策略页面,勾选DNS透明代理功能,勾选带宽繁忙保护。
图3-62 配置IPv4代理策略
图3-63 配置IPv4代理策略
图3-64 配置IPv4代理策略
图3-65 配置IPv4代理策略
点击default策略,点击修改按钮
图3-66 配置IPv4代理策略
点击<确定>按钮,配置完成,如下图所示。
图3-67 配置IPv4代理策略
(1) 配置DNS服务器
在导航栏中选择“网络 > NAT > NAT内部服务器 > 策略配置”,点击按钮,
图3-68 配置NAT内部服务器
图3-69 配置NAT内部服务器
点击<确定>按钮,配置完成,如下图所示。
图3-70 配置NAT内部服务器
(1) 配置DNS hairpin
在导航栏中选择“网络 > NAT > NAT高级设置 > NAT hairpin”,点击按钮<开启>,
图3-71 配置NAThairpin
(1) 配置虚服务器
在导航栏中选择“策略 > 应用负载均衡 > 虚服务器”,进入DNS服务器页面,单击<新建>,
图3-72 配置虚服务器
图3-73 配置虚服务器
图3-74 配置虚服务器
图3-75 配置虚服务器
图3-76 配置虚服务器
图3-77 配置虚服务器
点击<确定>按钮,配置完成,如下图所示。
图3-78 配置虚服务器
在导航栏中选择“策略 > 公共配置 > 区域”,进入区域页面,单击<新建>,
图3-81 配置区域
图3-82 配置区域
点击<确定>按钮,配置完成,如下图所示。
图3-83 配置区域
(3) 配置DNS映射,虚IP池
在导航栏中选择“策略 > 智能DNS > DNS映射”,进入区域页面,单击<新建>。
图3-85 配置虚IP池
图3-86 配置虚IP池
图3-87 配置虚IP池
图3-88 配置虚IP池
图3-89 配置虚IP池
图3-90 配置虚IP池
(4) 配置静态就近性策略
<sysname>system-view
System View: return to User View with Ctrl+Z.
[sysname]topology region area-chinatel ip 183.2.186.153 weight 200
[sysname]topology region area-chinatel ip 183.61.47.15
[sysname]topology region area-cmcc ip 183.232.98.190
[sysname]topology region area-cnc ip 140.207.128.140
[sysname]topology region area-cnc ip 140.207.128.150
(5) 配置DNS监听器
在导航栏中选择“策略 > 智能DNS > DNS监听器”,单击<新建>,
图3-91 创建DNS监听器
(1) 内网客户端(192.168.10.0/24)发起的访问会走链路cmcc出去。
在导航栏中选择“监控 > 链路负载统计 > 链路统计”,如下图所示
图3-92 查看链路统计
(2) 内网客户端(除特定用户之外)发起访问移动运营商目的地址为cmcc:183.232.98.190会走链路cmcc出去。
在导航栏中选择“监控 > 链路负载统计 > 链路统计”,如下图所示
图3-93 查看链路统计
(3) 多个内网客户端(除特定用户之外)分别访问联通运营商目的地址为cnc:61.135.169.125 会走链路cnc-1或者cnc-2出去,分担流量比例为2:1。
在导航栏中选择“监控 > 链路负载统计 > 链路统计”,如下图所示。
图3-94 查看链路统计
(4) 多个内网客户端(除特定用户之外)分别访问电信运营商目的地址为chinatel:219.141.136.68会走链路 chinatel-master链路出去,不会走备链路chinatel-backup出去。
在导航栏中选择“监控> 链路负载统计>链路统计”,如下图所示。
图3-95 查看链路统计
(5) 多个内网客户端(除特定用户之外)分别访问电信运营商目的地址为chinatel:219.141.136.68,超过带宽100M的80%也就是80M,会使得链路 chinatel-master链路触发繁忙,流量便走备链路chinatel-backup出去,并且产生了带宽繁忙保护的日志。
在导航栏中选择“监控 > 链路负载统计 > 链路统计”,如下图所示。
图3-96 查看链路繁忙
图3-98 查看链路繁忙日志
(6) 在(5)的情况下,若同时配置chinatel-backup的链路繁忙比例,使链路chinatel-master和链路chinatel-backup同时繁忙,则会触发链路组切换,流量会走缺省链路组出去,由于缺省链路组有各个运营商的链路,可以看到链路上均会有流量。
图3-99 查看链路统计
(7) 内网客户端(除特定用户之外)访问教育网目的地址为educn:1.51.0.68,由于不属于移动、联动、电信运营商就会匹配default走缺省链路组出去,由于缺省链路组有各个运营商的链路,可以看到链路上均会有流量。
图3-100 查看链路统计
(1) 内网客户端(192.168.10.0/24)发起的访问会走链路cmcc出去,选择8.8.8.8 DNS服务器进行解析。
图3-101 图3-95查看DNS服务器统计
(2) 内网客户端(除特定用户之外)发起访问dns域名为www.testyoutube.com, DNS服务器地址可以为任意地址11.11.11.11,只要路由可以到达设备便可,可以看到该域名发往8.8.8.8 DNS服务器进行解析
图3-102 查看DNS服务器统计
(3) 多个内网客户端(除特定用户之外)发起访问dns域名为www.example1.com,DNS服务器地址为11.11.11.11,只要路由可以到达设备便可,可以看到该域名请求发往了移动和联通的DNS请求,电信链路上面基本没有请求,是因为电信链路配置了最大带宽限制100M,而带宽算法是根据最大剩余带宽和权重来计算进行负载分担的。
图3-103 查看DNS服务器统计
(1) 外网客户端发起请求http://211.98.0.11,地址转换成功,业务访问可以成功。
图3-104 查看会话列表
(1) 内网客户端发起请求http://211.98.0.11请求,地址转换成功,业务访问可以成功。
图3-105 查看会话列表
(1) 查看虚服务器状态。
图3-106 查看虚IP池状态
(2) 外网移动运营商的客户端向dns服务器61.156.0.1 请求域名www.testdns1.com,解析地址为183.232.98.190。
(3) 外网联通运营商的客户端向dns服务器61.156.0.1 请求域名www.testdns1.com,解析地址为140.207.128.140或者140.207.128.150,比例为1:1。
(4) 外网电信运营商的客户端向dns服务器61.156.0.1 请求域名www.testdns1.com,解析地址为1183.2.186.153。
(5) 当chinatel-master链路断掉,外网电信运营商的客户端向dns服务器61.156.0.1 请求域名www.testdns1.com,解析地址为183.61.47.15。
(6) chinatel-master恢复链路后,外网非三大运营商的客户端向dns服务器61.156.0.1 请求域名www.testdns1.com,解析地址可能为183.232.98.190、140.207.128.140、140.207.128.150、1183.2.186.153,183.61.47.15其中一个。
[H3C]dis current-configuration
#
version 7.1.064, Release 1101P14
#
sysname H3C
#
clock timezone Beijing add 08:00:00
clock protocol none
#
context Admin id 1
#
context 1 id 2
context start
allocate interface GigabitEthernet2/0/0 share
allocate interface GigabitEthernet2/0/3 share
#
ip vpn-instance #@^%$#^%$*^*(^(*%*&%(*&)^&%&^()
#
telnet server enable
#
irf mac-address persistent timer
irf auto-update enable
irf auto-merge enable
undo irf link-delay
irf member 2 priority 1
#
nat address-group 1 name cmcc
address 211.90.0.100 211.90.0.200
#
nat address-group 2 name cnc-1
address 61.156.0.100 61.156.0.200
#
nat address-group 3 name cnc-2
address 180.223.0.100 180.223.0.200
#
nat address-group 4 name chinatel-master
address 1.1.0.100 1.1.0.200
#
nat address-group 5 name chinatel-backup
address 203.0.24.100 203.0.24.200
#
password-recovery enable
#
vlan 1
#
nqa template icmp icmp
#
nqa template icmp icmp_1
out interface GigabitEthernet2/0/3.100
#
nqa template icmp t1
#
nqa template radius radius
#
interface NULL0
#
interface GigabitEthernet2/0/0
port link-mode route
ip address 186.23.0.97 255.255.0.0
ip address 192.168.0.254 255.255.0.0 sub
nat hairpin enable
#
interface GigabitEthernet2/0/1
port link-mode route
#
interface GigabitEthernet2/0/2
port link-mode route
#
interface GigabitEthernet2/0/3
port link-mode route
#
interface GigabitEthernet2/0/3.100
ip address 211.98.0.1 255.255.255.0
ip last-hop hold
nat outbound address-group 1
nat server protocol tcp global 211.98.0.11 80 inside 192.168.3.100 80
vlan-type dot1q vid 100
#
interface GigabitEthernet2/0/3.101
ip address 61.156.0.1 255.255.255.0
ip last-hop hold
nat outbound address-group 2
vlan-type dot1q vid 101
#
interface GigabitEthernet2/0/3.102
ip address 180.223.0.1 255.255.255.0
ip last-hop hold
nat outbound address-group 3
vlan-type dot1q vid 102
#
interface GigabitEthernet2/0/3.103
ip address 1.1.0.1 255.255.255.0
ip last-hop hold
nat outbound address-group 4
vlan-type dot1q vid 103
#
interface GigabitEthernet2/0/3.104
ip address 203.0.24.1 255.255.255.0
ip last-hop hold
nat outbound address-group 5
vlan-type dot1q vid 104
#
interface GigabitEthernet2/0/3.105
ip address 88.88.88.1 255.255.255.0
ip last-hop hold
vlan-type dot1q vid 105
#
interface GigabitEthernet2/0/4
port link-mode route
#
interface GigabitEthernet2/0/5
port link-mode route
#
interface GigabitEthernet2/0/6
port link-mode route
#
interface GigabitEthernet2/0/7
port link-mode route
#
interface GigabitEthernet2/0/8
port link-mode route
#
interface GigabitEthernet2/0/9
port link-mode route
#
interface GigabitEthernet2/0/10
port link-mode route
#
interface GigabitEthernet2/0/11
port link-mode route
#
interface GigabitEthernet2/0/12
port link-mode route
#
interface GigabitEthernet2/0/13
port link-mode route
#
interface GigabitEthernet2/0/22
port link-mode route
#
interface GigabitEthernet2/0/23
port link-mode route
#
interface GigabitEthernet2/0/24
port link-mode route
#
interface GigabitEthernet2/0/25
port link-mode route
#
interface GigabitEthernet2/0/26
port link-mode route
#
interface GigabitEthernet2/0/27
port link-mode route
#
interface GigabitEthernet2/0/28
port link-mode route
#
interface GigabitEthernet2/0/29
port link-mode route
#
interface M-GigabitEthernet1/0/0
#
interface M-GigabitEthernet1/0/1
#
interface Ten-GigabitEthernet2/0/14
port link-mode route
#
interface Ten-GigabitEthernet2/0/15
port link-mode route
ip address 1.1.1.1 255.255.0.0
ipv6 address 1::1/64
#
interface Ten-GigabitEthernet2/0/16
port link-mode route
#
interface Ten-GigabitEthernet2/0/17
port link-mode route
ip address 2.1.1.1 255.255.255.0
#
interface Ten-GigabitEthernet2/0/18
port link-mode route
#
interface Ten-GigabitEthernet2/0/19
port link-mode route
#
interface Ten-GigabitEthernet2/0/20
port link-mode route
#
interface Ten-GigabitEthernet2/0/21
port link-mode route
#
security-zone name Local
#
security-zone name Trust
#
security-zone name DMZ
#
security-zone name Untrust
#
security-zone name Management
import interface M-GigabitEthernet1/0/0
import interface M-GigabitEthernet1/0/1
#
scheduler logfile size 16
#
line class console
authentication-mode scheme
user-role network-admin
#
line class vty
user-role network-operator
#
line con 1
user-role network-admin
idle-timeout 0 0
#
line vty 0 63
authentication-mode scheme
user-role network-admin
idle-timeout 0 0
#
ip route-static 0.0.0.0 0 88.88.88.2
ip route-static 202.0.0.0 24 211.98.0.2
#
info-center loghost 127.0.0.1 port 3301
info-center source CFGLOG loghost level informational
#
customlog format lb
#
userlog flow syslog
userlog flow export host 186.23.0.36 port 9002
#
ssh server enable
#
acl advanced 3999
rule 0 permit ip source 192.168.0.0 0.0.255.255 counting
#
domain system
#
domain default enable system
#
role name level-0
description Predefined level-0 role
#
role name level-1
description Predefined level-1 role
#
role name level-2
description Predefined level-2 role
#
role name level-3
description Predefined level-3 role
#
role name level-4
description Predefined level-4 role
#
role name level-5
description Predefined level-5 role
#
role name level-6
description Predefined level-6 role
#
role name level-7
description Predefined level-7 role
#
role name level-8
description Predefined level-8 role
#
role name level-9
description Predefined level-9 role
#
role name level-10
description Predefined level-10 role
#
role name level-11
description Predefined level-11 role
#
role name level-12
description Predefined level-12 role
#
role name level-13
description Predefined level-13 role
#
role name level-14
description Predefined level-14 role
#
user-group system
#
local-user admin class manage
password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh
babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==
service-type ftp
service-type ssh telnet terminal http https
authorization-attribute user-role level-3
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
ftp server enable
#
session statistics enable
#
netconf soap http enable
netconf soap https enable
#
ip http enable
ip https enable
web idle-timeout 999
webui log enable
#
inspect email parameter-profile mailsetting_default_parameter
undo authentication enable
#
sticky-group 1 type address-port
#
loadbalance snat-pool 1
ip range start 11.11.11.1 end 11.11.11.1
#
loadbalance snat-pool 2
ip range start 12.12.12.1 end 12.12.12.1
#
loadbalance snat-pool snat_1.1.1.11
ip range start 1.1.1.11 end 1.1.1.11
#
loadbalance link-group chinatel
transparent enable
success-criteria at-least 1
link link-chinatel-backup
success-criteria at-least 1
link link-chinatel-master
priority 8
success-criteria at-least 1
#
loadbalance link-group cmcc
transparent enable
success-criteria at-least 1
link link-cmcc
success-criteria at-least 1
#
loadbalance link-group cnc
transparent enable
success-criteria at-least 1
link link-cnc-1
weight 200
success-criteria at-least 1
link link-cnc-2
success-criteria at-least 1
#
loadbalance link-group default
transparent enable
success-criteria at-least 1
link link-chinatel-backup
success-criteria at-least 1
link link-chinatel-master
success-criteria at-least 1
link link-cmcc
success-criteria at-least 1
link link-cnc-1
success-criteria at-least 1
link link-cnc-2
success-criteria at-least 1
#
loadbalance dns-server-pool dns-pool
predictor bandwidth
success-criteria at-least 1
dns-server chinatel port 0
success-criteria at-least 1
dns-server cmcc port 0
success-criteria at-least 1
dns-server cnc port 0
success-criteria at-least 1
#
loadbalance dns-server-pool dns-pool-special
predictor bandwidth
success-criteria at-least 1
dns-server america port 0
success-criteria at-least 1
#
loadbalance class chinatel type link-generic match-any
match 1 isp chinatel
#
loadbalance class cmcc type link-generic match-any
match 1 isp cmcc
#
loadbalance class cnc type link-generic match-any
match 1 isp cnc
#
loadbalance class user type link-generic match-any
match 1 source ip address 192.168.10.0 24
#
loadbalance class user_dns type dns match-any
match 1 source ip address 192.168.10.0 24
#
loadbalance class www.testyoutube type dns match-any
match 1 domain-name www.testyoutube.com
#
loadbalance action ##defaultactionfordnsproxyipv4##%%autocreatedbyweb%% type dns
dns-server-pool dns-pool
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-gen
eric
link-group default
#
loadbalance action ##defaultactionforllbipv6##%%autocreatedbyweb%% type link-gen
eric
#
loadbalance action dp4#action#for#user_dns type dns
dns-server-pool dns-pool-special
fallback-action continue
busy-action continue
#
loadbalance action dp4#action#for#www.testyoutube type dns
dns-server-pool dns-pool-special
fallback-action continue
busy-action continue
#
loadbalance action ob$action$#for#chinatel type link-generic
link-group chinatel
fallback-action continue
busy-action continue
#
loadbalance action ob$action$#for#cmcc type link-generic
link-group cmcc
fallback-action continue
busy-action continue
#
loadbalance action ob$action$#for#cnc type link-generic
link-group cnc
fallback-action continue
busy-action continue
#
loadbalance action ob$action$#for#user type link-generic
link-group cmcc
fallback-action continue
busy-action continue
#
loadbalance action ob$actionipv6$sunpeng_6 type link-generic
link-group lg_6
#
loadbalance policy ##defaultpolicyfordnsproxyipv4##%%autocreatedbyweb%% type dns
class user_dns action dp4#action#for#user_dns
class www.testyoutube action dp4#action#for#www.testyoutube
default-class action ##defaultactionfordnsproxyipv4##%%autocreatedbyweb%%
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-gen
eric
class user action ob$action$#for#user
class cmcc action ob$action$#for#cmcc
class cnc action ob$action$#for#cnc
class chinatel action ob$action$#for#chinatel
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
loadbalance policy ##defaultpolicyforllbipv6##%%autocreatedbyweb%% type link-gen
eric
class sunpeng_6 action ob$actionipv6$sunpeng_6
default-class action ##defaultactionforllbipv6##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
bandwidth busy-protection enable
bandwidth interface statistics enable
service enable
#
virtual-server ##defaultvsforllbipv6##%%autocreatedbyweb%% type link-ip
virtual ipv6 address :: 0
lb-policy ##defaultpolicyforllbipv6##%%autocreatedbyweb%%
bandwidth interface statistics enable
#
virtual-server vs-chinatel-1 type ip
virtual ip address 183.2.186.153
#
virtual-server vs-chinatel-2 type ip
virtual ip address 183.61.47.15
#
virtual-server vs-cmcc type ip
virtual ip address 183.232.98.190
#
virtual-server vs-cnc-1 type ip
virtual ip address 140.207.128.140
#
virtual-server vs-cnc-2 type ip
virtual ip address 140.207.128.150
#
loadbalance isp name 1
ip address 2.1.1.0 24
#
loadbalance isp file flash:/lbispinfo_v1.5.tp
#
loadbalance region area-chinatel
isp chinatel
#
loadbalance region area-cmcc
isp cmcc
#
loadbalance region area-cnc
isp cnc
#
loadbalance link link-chinatel-backup
router ip 203.0.24.2
success-criteria at-least 1
probe icmp
#
loadbalance link link-chinatel-master
router ip 1.1.0.2
success-criteria at-least 1
probe icmp
#
loadbalance link link-cmcc
router ip 211.98.0.2
success-criteria at-least 1
probe icmp
#
loadbalance link link-cnc-1
router ip 61.156.0.2
success-criteria at-least 1
probe icmp
#
loadbalance link link-cnc-2
router ip 180.223.0.2
success-criteria at-least 1
probe icmp
#
loadbalance virtual-server-pool vs-pool
predictor preferred topology
predictor alternate random
predictor fallback round-robin
virtual-server vs-chinatel-1 link link-chinatel-master
virtual-server vs-chinatel-2 link link-chinatel-backup
virtual-server vs-cmcc link link-cmcc
virtual-server vs-cnc-1 link link-cnc-1
virtual-server vs-cnc-2 link link-cnc-2
#
loadbalance global-virtual-server-pool %$&^%$#^^(*^*$&^
predictor preferred proximity
predictor alternate proximity
predictor fallback first-available
bandwidth busy-protection enable
success-criteria at-least 1
data-center data-center server localhost virtual-ip 10.1.1.1
success-criteria at-least 1
data-center data-center server localhost virtual-ip 10.1.1.2
weight 255
success-criteria at-least 1
data-center data-center server localhost virtual-ip 10.1.1.3
weight 200
success-criteria at-least 1
#
loadbalance dns-map dns-map
domain-name www.testdns1.com
service enable
virtual-server-pool vs-pool
#
loadbalance global-dns-map $#&^%$*&&)_(+)&%^%(&__+()*_&)(*()*)&*%*&%(*)+
domain-name www.a.com
predictor preferred proximity
predictor alternate proximity
predictor fallback round-robin
service enable
global-virtual-server-pool %$&^%$#^^(*^*$&^
#
loadbalance dns-listener listener
ip address 61.156.0.1
service enable
#
loadbalance log enable bandwidth-busy
#
topology region area-chinatel ip 183.61.47.15
topology region area-chinatel ip 183.2.186.153 priority 200
topology region area-cmcc ip 183.232.98.190
topology region area-cnc ip 140.207.128.140
topology region area-cnc ip 140.207.128.150
#
loadbalance dns-server america
ip address 8.8.8.8
link link-cmcc
success-criteria at-least 1
#
loadbalance dns-server chinatel
ip address 114.114.114.114
link link-chinatel-master
success-criteria at-least 1
#
loadbalance dns-server cmcc
ip address 211.136.17.97
link link-cmcc
success-criteria at-least 1
#
loadbalance dns-server cnc
ip address 202.106.46.151
link link-cnc-1
success-criteria at-least 1
#
loadbalance global-zone a.com
record cname alias www canonical host
#
loadbalance data-center data-center
service enable
link link1
server localhost
member vs_mysql
service enable
#
loadbalance default-syncgroup member (**&%* type local
ip address 8.8.103.1
service enable
#
loadbalance global-dns-listener 1
ip address 8.8.102.1
service enable
#
loadbalance dns-proxy ##defaultdpfordnsproxyipv4##%%autocreatedbyweb%% type udp
ip address 0.0.0.0 0
service enable
lb-policy ##defaultpolicyfordnsproxyipv4##%%autocreatedbyweb%%
bandwidth busy-protection enable
#
return
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!