出口网关多业务典型配置

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

本文档中的信息可能变动，恕不另行通知。

目  录

1 简介

2 配置前提

3 配置举例

3.1 组网需求

3.2 配置思路

3.3 使用版本

3.4 配置注意事项

3.5 配置步骤

3.5.1 配置设备接口地址以及路由，步骤省略

3.5.2 配置链路负载均衡

3.5.3 配置nat地址池并在链路出接口应用

3.5.4 配置DNS透明代理

3.5.5 配置NAT内部服务器

3.5.6 配置NAT hairpin

3.5.7 配置智能DNS

3.6 验证配置

3.6.1 链路负载均衡访问验证结果

3.6.2 DNS透明代理访问验证结果

3.6.3 NAT内部服务器验证结果

3.6.4 NAT hairpin验证结果

3.6.5 智能DNS验证结果

3.7 配置文件以及ISP文件

 

1 简介

本文档介绍负载均衡出口网关多业务典型配置举例。

LB（Load Balance，负载均衡）是一种集群技术，它将特定的业务（网络服务、网络流量等）分担给多台网络设备（包括服务器、LB等）或多条链路，从而提高了业务处理能力，保证了业务的高可靠性。负载均衡技术可分为以下几种类型：

·     服务器负载均衡：在数据中心等组网中，通过此技术可将网络服务分担给多台服务器或防火墙进行处理，从而提高服务器或防火墙的处理能力。

·     链路负载均衡：当内网用户访问外部互联网存在多条链路时，可在多条链路上分担内网用户访问外部互联网的流量。

·     DNS透明代理：当内网用户访问外网DNS服务器存在多条链路时，可在多条链路上分担内网用户访问外部DNS服务器的流量。

·     智能DNS：当外网用户访问DNS域名时，设备作为权威DNS服务器进行解析存在多条链路时，返回最佳的解析地址。

2 配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解负载均衡特性。

3 配置举例

3.1  组网需求

如图3-1所示，所在网络的出口处部署了设备。具体应用需求如下:

·     为提高可靠性，用户从三个运营商处分别租用了五条链路。通过配置链路负载均衡，通过五条链路合理分担流量，源地址为192.168.10.0/24的特定用户通过cmcc链路访问公网；其他用户基于ISP访问各个运营商，优先使用本运营商的链路出去，电信运营商其中一条主链路只有100M带宽，还有一条备用链路；而且所有内网用户的内网192.168.0.0/16网段地址不允许暴露在外网中。

·     内网用户要发往公网进行DNS解析请求时，域名www.testyoutube.com必须要发往8.8.8.8的DNS服务器才能进行解析，其他的DNS解析请求负载分担到不同的运营商DNS服务器上面，避免后续业务导致某条链路流量拥塞

·     源地址为192.168.10.0/24的特定用户指定的CMCC运营商链路进行链路负载均衡和DNS透明代理

·     外网用户访问域名解析，通过配置入方向链路负载均衡进行智能DNS解析，通过ISP选择最佳的域名地址返回给客户端；

·     同时内部提供服务器，使得外网用户可以访问内部服务器。

·     DNS服务器在公网，内网用户希望通过域名来访问内网的Web服务器，则会由于DNS服务器向内网用户发送的响应报文中包含的是内网服务器的公网地址，因此用户可以通过公网地址访问内部服务器。

图3-1 出口网关配置组网图

 

3.2  配置思路

(1)     关于链路负载均衡的思路说明

¡     配置负载均衡策略使特定用户请求的访问流量走cmcc链路出去。

¡     配置负载均衡策略判断内网用户访问的目的地址属于哪个运营商，将该访问流量选择相应的运营商链路出口。

¡     如果其中链路断掉根据健康监测状态可以继续匹配配置的负载均衡策略选择出链路。

¡     如果访问的目的地址不在所配置ISP内的话，可以匹配默认策略选择出链路或者转发选择路由。

(2)     关于链路负载均衡带宽繁忙保护的思路说明

设备根据接口带宽计算出这条链路是否达到了带宽限制最大值*百分比，这都是在链路中可以配置的，带宽繁忙保护支持同一个链路组之间的不同链路切换以及链路组之间的繁忙切换。本组网电信有两条出口链路其中一条有100M的带宽限制，需要带宽繁忙保护，其中将主链路chinatel-master优先级配置的高一些，便会优先走该链路，举例如下：

配置电信链路组分别全部包含两个出口链路chinatel-master和chinatel-backup，配置电信链路chinatel-master繁忙保护，chinatel-master优先级高，chinatel-backup优先级低；线路正常的话，就只走chinatel-master，如果chinatel-master繁忙了，就会切到chinatel-backup，文中典型配置就是以此为例。不同运营商之间的链路进行带宽繁忙保护的情况，文中以chinatel链路组中的两条链路同时繁忙，切换到缺省链路组中的链路举例说明。

(3)     DNS透明代理的思路说明

¡     按照组网需求配置特定域名www.testyoutube.com走特定的链路出去，去特定的DNS服务器进行解析。

¡     特定用户（和链路负载均衡中基于源地址选路的特定用户要务必选择相同的链路）的dns域名请求走cmcc出去，去特定的DNS服务器进行解析。

¡     其他无特殊需求可以根据算法进行DNS请求进行负载分担。

(4)     关于NAT hairpin的思路说明

如果DNS服务器在公网，如果有同一个域名对应多个IP，内网用户希望通过域名来访问内网的Web服务器，则会由于DNS服务器向内网用户发送的响应报文中包含的是内网服务器的公网地址,内网用户DNS解析出的地址为公网地址，然后内网用户可以通过访问服务器的公网地址来进行业务的访问，NAT在内网接口上同时转换访问内网服务器的报文的源和目的IP地址，其中，目的IP地址转换通过匹配某外网接口上的内部服务器配置来完成，源地址转换通过匹配内部服务器所在接口上的出方向动态地址或出方向静态地址转换来完成。

(5)     关于智能 DNS的思路的说明

¡     外网用户的本地DNS服务器向设备发起DNS请求，入方向链路负载均衡根据静态就近性方式来选择是哪个运营商用户的选择该运营商链路对应的虚服务器。

¡     出接口开启保持上一跳，保证外网用户发起的流量回应报文出入走相同一链路。

3.3  使用版本

本举例是L5000-AD830的Ess 1171P1521版本上进行配置和验证的。

3.4  配置注意事项

·     使用智能DNS时，如果仅做作为解析使用，按照本典型配置便可，如果后续还需要做服务器负载均衡业务，请参考应用负载均衡典型配置

·     本版本关于NAT hairpin需要注意：1、NAT hairpin功能需要与内部服务器（nat server）、出方向动态地址转换（nat outbound）或出方向静态地址转换（nat static outbound）配合工作，且这些配置所在的接口必须在同一个接口板，否则NAT hairpin功能无法正常工作。

·     使用DNS透明代理时，内网用户客户端不可以配置dns服务器地址为LB设备接口地址以及同网段地址、虚服务地址，配置设备上面不存在的地址便可，并保证路由可到LB设备

·     同时开启了链路负载均衡和DNS透明代理的情况下，如果链路负载均衡中有基于源地址转发的流量特征，DNS透明代理务必要保证也要配置基于该源地址的流量特征走的运营商链路要相同，避免出现跨运营商访问时延较大

·     本版本关于NAT 内部服务器（nat server），需要注意如果nat server的公网地址是接口的接口地址或sub地址的话，需要另外配置一条选路策略，将该公网地址对应的私网地址设置为转发，也即配置的选路策略中流量特征为基于目的地址（地址为该私网地址），选路策略中选择该流量特征，且转发动作设置为转发。此外该条选路策略要放置在其他选路策略之前。

·     ISP文件系统出厂默认自带

3.5  配置步骤

3.5.1  配置设备接口地址以及路由，步骤省略

3.5.2  配置链路负载均衡

1. 配置健康检测

在导航栏中选择“负载均衡 >全局配置>健康检测”，单击<新建>按钮，进行如下配置：

图3-2 配置icmp类型健康检测icmp-cmcc

图3-3 配置icmp类型健康检测icmp-cnc-1

 

单击<确定>，完成操作。

图3-4 配置icmp类型健康检测icmp-cnc-2

 

单击<确定>，完成操作。

图3-5 配置icmp类型健康检测icmp-chinatel-master

 

单击<确定>，完成操作。

图3-6 配置icmp类型健康检测icmp-chinatel-backup

 

单击<确定>按钮，完成操作。

 

 

2. 配置链路组

在导航栏中选择“负载均衡 > 链路负载> 出链路负载均衡> 链路组”，单击<新建>按钮，新建链路组名称为cmcc，调度算法为加权轮转，如下图所示。

图3-7 新建链路组cmcc

 

单击<确定>，完成操作。

创建链路组cnc、chinatel、default与cmcc步骤相同：

在导航栏中选择“负载均衡 > 链路负载> 出链路负载均衡> 链路组”，单击<新建>按钮，新建链路组名称为cnc，调度算法为加权轮转。

在导航栏中选择“负载均衡 > 链路负载> 出链路负载均衡> 链路组”，单击<新建>按钮，新建链路组名称为chinatel，调度算法为加权轮转。

在导航栏中选择“负载均衡 > 链路负载> 出链路负载均衡> 链路组”，单击<新建>按钮，新建链路组名称为default，调度算法为加权轮转。

3. 创建链路

在导航栏中选择“负载均衡 > 链路负载> 出链路负载均衡> 链路组”，进入链路组页面。

编辑链路组cmcc，单击<添加>，新建成员列表，新建链路link-cmcc，配置下一跳IP地址为211.98.0.2，引用健康检测模板icmp-cmcc，如下图所示

图3-8 添加链路组成员

 

图3-9 新建链路link-cmcc

单击<确定>，完成操作。

图3-10 链路信息

单击<确定>，完成操作。

创建链路link-cnc-1、link-cnc-2、link-chinatel-master、link-chinatel-up与link-cmcc步骤相同：

在导航栏中选择“负载均衡 > 链路负载> 出链路负载均衡> 链路组”，编辑链路组cnc，单击<添加>，新建成员列表，参照上图步骤新建链路link-cnc-1，权值为100，配置下一跳IP地址为61.156.0.2，引用健康检测模板icmp-cnc-1，继续单击<添加>，新建成员列表，参照上图步骤新建链路link-cnc-2，权值为50，配置下一跳IP地址为180.223.0.2，引用健康检测模板icmp-cnc-2。

在导航栏中选择“负载均衡 > 链路负载> 出链路负载均衡> 链路组”，编辑链路组chinatel，单击<添加>，新建成员列表，参照上图步骤新建链路link-chinatel-master，配置下一跳IP地址为1.1.0.2，优先级为8，引用健康检测模板icmp- chinatel-master，继续单击<添加>，新建成员列表，参照上图步骤新建链路link-chinatel-up，优先级为4，配置下一跳IP地址为180.223.0.2，引用健康检测模板icmp-chinatel-up。

在导航栏中选择“负载均衡 > 链路负载> 出链路负载均衡> 链路组”，编辑链路组default，单击<添加>，添加已存在的链路，选择链路link-cmcc，引用健康检测模板icmp-cmcc，继续单击<添加>，添加已存在的链路，选择链路link-cnc-1，引用健康检测模板icmp-cnc-1，继续单击<添加>，添加已存在的链路，选择链路link-cnc-2，引用健康检测模板icmp-cnc-2，继续单击<添加>，添加已存在的链路，选择链路link-chinatel-master，引用健康检测模板icmp-chinatel-master，继续单击<添加>，添加已存在的链路，选择链路link-chinatel-backup，引用健康检测模板icmp-chinatel-backup。

4. 配置链路

在导航栏中选择“负载均衡  > 全局配置 > 链路”，编辑链路link-chinatel-master，最大带宽繁忙比为80%，最大带宽繁忙恢复比为70%，并配置其最大总期望带宽为12500Kbps，如下图所示。

图3-11 编辑链路link-chinatel-master

 

点击<确定>，完成操作。

5. 配置流量特征

在导航栏中选择“负载均衡 > 链路负载> 出链路负载均衡 > 流量特征”，单击<新建> 按钮，新建流量特征名称为user，匹配方式为匹配任意一条规则，新建匹配规则，Match ID为1，类型选择源IPv4，匹配内容为192.168.10.0/24，如下图所示。

图3-12 新建流量特征

 

单击<确定>，完成操作。

图3-13 流量特征信息

 

单击<确定>，完成操作。

创建流量特征cmcc、chinatel、cnc与user步骤相同：

在导航栏中选择“负载均衡 > 链路负载> 出链路负载均衡 > 流量特征”，单击<新建> 按钮，新建流量特征名称为cmcc，匹配方式为匹配任意一条规则，新建匹配规则，match ID为1，类型选择ISP，匹配内容为cmcc。

在导航栏中选择“负载均衡 > 链路负载> 出链路负载均衡 > 流量特征”，单击<新建> 按钮，新建流量特征名称为chinatel，匹配方式为匹配任意一条规则，新建匹配规则，Match ID为1，类型选择ISP，匹配内容为chinatel。

在导航栏中选择“负载均衡 > 链路负载> 出链路负载均衡 > 流量特征”，单击<新建> 按钮，新建流量特征名称为cnc，匹配方式为匹配任意一条规则，新建匹配规则，Match ID为1，类型选择ISP，匹配内容为cnc。

6. 配置负载均衡策略

在导航栏中选择“负载均衡 > 链路负载>出链路负载均衡 > IPv4选路策略”，在全局配置中勾选“负载均衡服务”和“带宽繁忙保护”。

图3-14 开启负载均衡功能

 

单击<应用>，完成操作。

在导航栏中选择“负载均衡 > 链路负载>出链路负载均衡 > IPv4选路策略”，单击<新建> 按钮，

新建IPv4选路策略1，流量特征选择user，转发动作选择负载均衡，主用链路组选择cmcc，选择链路失败的处理方式选择继续匹配下一条规则，选择链路全部繁忙的处理方式选择继续匹配下一条规则，如下图所示。

图3-15 配置IPv4选路策略1

 

单击<确定>，完成操作。

创建其他IPv4选路策略与上图步骤相同。

在导航栏中选择“负载均衡 > 链路负载>出链路负载均衡 > IPv4选路策略”，单击<新建> 按钮，

新建IPv4选路策略2，流量特征选择cmcc，转发动作选择负载均衡，主用链路组选择cmcc，选择链路失败的处理方式选择继续匹配下一条规则，选择链路全部繁忙的处理方式选择继续匹配下一条规则，

在导航栏中选择“负载均衡 > 链路负载>出链路负载均衡 > IPv4选路策略”，单击<新建> 按钮，新建IPv4选路策略3，流量特征选择cnc，转发动作选择负载均衡，主用链路组选择cnc，选择链路失败的处理方式选择继续匹配下一条规则，选择链路全部繁忙的处理方式选择继续匹配下一条规则。

在导航栏中选择“负载均衡 > 链路负载>出链路负载均衡 > IPv4选路策略”，单击<新建> 按钮，新建IPv4选路策略4，流量特征选择chinatel，转发动作选择负载均衡，主用链路组选择chinatel，选择链路失败的处理方式选择继续匹配下一条规则，选择链路全部繁忙的处理方式选择继续匹配下一条规则。

在导航栏中选择“负载均衡 > 链路负载>出链路负载均衡 > IPv4选路策略”，配置缺省Default流量特征，转发动作选择负载均衡，主用链路组选择default，使匹配不上流量特征的报文从链路组default发出。

7. 配置带宽繁忙保护产生日志，该命令暂时还不支持web

<Sysname>system-view

System View: return to User View with Ctrl+Z.

[Sysname]loadbalance log enable bandwidth-busy

3.5.3  配置nat地址池并在链路出接口应用

在导航栏中选择“对象 > 对象组 > NAT地址组”，单击<新建>按钮，新建地址组编号为1，地址组名称为cmcc，单击<添加>按钮，新建地址组成员起始IP地址为211.98.0.100，结束IP地址为211.98.0.200，如下图所示。

图3-16 新建地址组1

 

单击<确定>，完成操作。

图3-17 地址组1信息

 

单击<确定>，完成操作。

创建地址组2、地址组3、地址组4、地址组5与地址组1步骤相同：

在导航栏中选择“对象 > 对象组 > NAT地址组”，单击<新建>，新建地址组编号为2，地址组名称为cnc-1，单击<添加>按钮，新建地址组成员起始IP地址为61.156.0.100，结束IP地址为61.156.0.200。

在导航栏中选择“对象 > 对象组 > NAT地址组”，单击<新建>，新建地址组编号为3，地址组名称为cnc-2，单击<添加>按钮，新建地址组成员起始IP地址为180.223.0.100，结束IP地址为180.223.0.200。

在导航栏中选择“对象 > 对象组 > NAT地址组”，单击<新建>，新建地址组编号为4，地址组名称为chinatel-master，单击<添加>按钮，新建地址组成员起始IP地址为1.1.0.100，结束IP地址为1.1.0.200。

在导航栏中选择“对象 > 对象组 > NAT地址组”，单击<新建>，新建地址组编号为5，地址组名称为chinatel-backup，单击<添加>按钮，新建地址组成员起始IP地址为203.0.24.100，结束IP地址为203.0.24.200。

在导航栏中选择“网络 > 接口NAT > IPv4  >  NAT出方向动态转换（基于ACL）”，单击<新建>，新建NAT出方向动态转换（基于ACL），接口选择链路下一跳对应的出接口RAGG10.99，转换后源地址选择NAT地址组1，如下图所示。

图3-18 创建NAT动态转换策略1

 

单击<确定>，完成操作。

创建NAT动态转换策略2、NAT动态转换策略3 、NAT动态转换策略4、NAT动态转换策略5与NAT动态转换策略1步骤相同：

在导航栏中选择“网络 > 接口NAT > IPv4  >  NAT出方向动态转换（基于ACL）”，单击<新建>，新建NAT出方向动态转换（基于ACL），接口选择链路下一跳对应的出接口RAGG1.100，转换后源地址选择NAT地址组2。

在导航栏中选择“网络 > 接口NAT > IPv4  >  NAT出方向动态转换（基于ACL）”，单击<新建>，新建NAT出方向动态转换（基于ACL），接口选择链路下一跳对应的出接口RAGG1.101，转换后源地址选择NAT地址组3。

在导航栏中选择“网络 > 接口NAT > IPv4  >  NAT出方向动态转换（基于ACL）”，单击<新建>，新建NAT出方向动态转换（基于ACL），接口选择链路下一跳对应的出接口RAGG1.102，转换后源地址选择NAT地址组4。

在导航栏中选择“网络 > 接口NAT > IPv4  >  NAT出方向动态转换（基于ACL）”，单击<新建>，新建NAT出方向动态转换（基于ACL），接口选择链路下一跳对应的出接口RAGG1.103，转换后源地址选择NAT地址组5。

3.5.4  配置DNS透明代理

1. 配置DNS服务器池

在导航栏中选择“负载均衡>链路负载>DNS透明代理>DNS服务器池”，进入DNS服务器池页面，单击<新建>，新建DNS服务器池名称为dns-pool，调度算法为带宽算法，配置如下：

图3-19 新建DNS服务器池dns-pool

 

单击<确定>按钮，完成操作。

创建DNS服务器池dns-pool-special与DNS服务器池dsp-pool步骤相同。

在导航栏中选择“负载均衡>链路负载均衡>DNS透明代理>DNS服务器池”，进入DNS服务器池页面，单击<新建>，新建DNS服务器池名称为dns-pool-special，调度算法为带宽算法。

2. 配置DNS服务器

在导航栏中选择“负载均衡>链路负载>DNS透明代理>DNS服务器池”，进入DNS服务器池页面，编辑DNS服务器池dns-pool，新建成员列表，新建DNS服务器名称为cmcc、chinatel、cnc，配置如下：

图3-20 添加DNS服务器池dns-pool成员

 

图3-21 新建DNS服务器cmcc

 

单击<确定>，完成操作。

图3-22 新建DNS服务器cnc

 

单击<确定>，完成操作。

图3-23 新建DNS服务器chinatel

 

单击<确定>，完成操作。

图3-24 DNS服务器信息

 

单击<确定>，完成操作。

创建DNS服务器america与上述步骤步骤相同：

在导航栏中选择“负载均衡>链路负载>DNS透明代理>DNS服务器池”，进入DNS服务器池页面，编辑DNS服务器池dns-pool-special，新建成员列表，新建DNS服务器名称为america，IPv4地址为8.8.8.8，链路引用link-cmcc。

3. 配置流量特征

在导航栏中选择“负载均衡>链路负载>DNS透明代理>流量特征”，进入流量特征页面，单击<新建> 按钮，新建流量特征名称为user_dns，匹配方式为匹配任意一条规则，新建匹配规则1，Match ID为1，类型选择源IPv4，匹配内容为192.168.10.0，如下图所示。

图3-25 新建流量特征user_dns

 

单击<确定>，完成操作。

图3-26 流量特征信息

创建流量特征www.testyoutube与user_dns步骤相同：

在导航栏中选择“负载均衡>链路负载>DNS透明代理>流量特征”，单击<新建> 按钮，新建流量特征名称为www.testyoutube，匹配方式为匹配任意一条规则，新建匹配规则1，Match ID为1，类型选择域名，匹配内容为www.testyoutube.com。

4. 配置IPv4选路策略

在导航栏中选择“策略>负载均衡>链路负载均衡>DNS透明代理>IPv4代理策略”，在全局配置中勾选“DNS透明代理功能”和“带宽繁忙保护”。

图3-27 配置DNS透明代理

 

单击<应用>，完成操作

在导航栏中选择“负载均衡>链路负载>DNS透明代理>IPv4代理策略”，单击<新建> 按钮，

新建IPv4选路策略1，流量特征选择user_dns，转发动作选择负载均衡，DNS服务器池选择dns-pool-specical，选择DNS服务器失败的处理方式选择继续匹配下一条策略，选择DNS服务器全部繁忙的处理方式选择继续匹配下一条策略,下图所示。

图3-28 新建IPv4代理策略-1

 

单击<确定>，完成操作。

创建其他选路策略与上图步骤相同。

在导航栏中选择“负载均衡>链路负载>DNS透明代理>IPv4代理策略”，单击<新建> 按钮， 新建IPv4选路策略2，流量特征选择www.testyoutube，转发动作选择负载均衡，DNS服务器池选择dns-pool-specical，选择DNS服务器失败的处理方式选择继续匹配下一条策略，选择DNS服务器全部繁忙的处理方式选择继续匹配下一条策略。

在导航栏中选择“负载均衡>链路负载>DNS透明代理>IPv4代理策略”，配置缺省Default流量特征，转发动作选择转负载均衡，DNS服务器池选择dns-pool。

3.5.5  配置NAT内部服务器

1. 配置DNS服务器

在导航栏中选择“网络 > 接口NAT > IPv4  >  NAT内部服务器”，单击<新建>，新建NAT内部服务器名称为natserver，如下图所示。

图3-29 新建NAT内部服务器

 

单击<确定>按钮，完成操作。

3.5.6  配置NAT hairpin

1. 配置DNS hairpin

在导航栏中选择“网络 > 接口NAT > IPv4  > NAT hairpin”，勾选接口后单击<开启>按钮，开启NAT hairpin功能，如下图所示。

图3-30 配置NAThairpin

 

3.5.7  配置智能DNS

1. 配置虚服务器

在导航栏中选择“负载均衡 > 应用负载> 虚服务器”，单击<新建>，新建虚服务器名称为vs-cmcc

，类型为IP，虚服务器IPv4地址为183.232.98.190，如下图所示。

图3-31 新建IP类型的虚服务器vs-cnc-1

单击<确定>，完成操作。

创建链路vs-cnc-1、vs-cnc-2、vs-chinatel-1、vs-chinatel-2与vs-cmcc步骤相同：

在导航栏中选择“负载均衡 > 应用负载> 虚服务器”，单击<新建>，新建虚服务器名称为vs-cnc-1，类型为IP，虚服务器IPv4地址为140.207.128.140。

在导航栏中选择“负载均衡 > 应用负载> 虚服务器”，单击<新建>，新建虚服务器名称为vs-cnc-2，类型为IP，虚服务器IPv4地址为140.207.128.150。

在导航栏中选择“负载均衡 > 应用负载> 虚服务器”，单击<新建>，新建虚服务器名称为vs-chinatel-1，类型为IP，虚服务器IPv4地址为183.2.186.153。

在导航栏中选择“负载均衡 > 应用负载> 虚服务器”，单击<新建>，新建虚服务器名称为vs-chinatel-1，类型为IP，虚服务器IPv4地址为183.61.47.15。

2. 配置区域

在导航栏中选择“负载均衡 > 全局配置 > 区域”，单击<新建>按钮，新建区域名称为area-cmcc、area-cnc 、area-chinatel，分别选择ISP名称为cmcc、cnc 、chinatel，进行添加。

图3-32 新建区域area-cmcc

 

选择ISP为cmcc，单击<添加>按钮，

图3-33 区域area-cmcc配置界面

 

单击<确定>，完成操作。

图3-34 新建区域area-cnc

 

选择ISP为cnc，单击<添加>按钮，

图3-35 区域area-cnc配置界面

 

单击<确定>，完成操作。

图3-36 新建区域area-chinatel

 

选择ISP为chinatel，单击<添加>按钮，

图3-37 区域area-chinatel配置界面

 

单击<确定>，完成操作。

3. 配置DNS映射，虚IP池

在导航栏中选择“负载均衡 > 智能DNS > 本地智能DNS > DNS映射”，单击<新建>按钮，新建DNS映射名称为dns-map，添加域名为www.testdns1.com，新建虚IP/虚服务列表，首选调度算法选择静态就近性算法，次选调度算法选择随机算法，备选调度算法选择加权轮转算法，并开启DNS映射功能，如下图所示。

图3-38 新建DNS映射dns-map

 

单击<新建>虚IP/虚服务列表，添加虚服务vs-cmcc，链路为link-cmcc，权值为100.

图3-39 添加虚服务vs-cmcc

 

继续添加虚IP/虚服务列表，添加虚服务vs-cnc-1，选择链路lin-cnc-1，权值为100

图3-40 添加虚服务vs-cnc-1

 

继续添加虚IP/虚服务列表，添加虚服务vs-cnc-2，链路为link-cnc-2，权值为100

图3-41 添加虚服务vs-cnc-2

 

继续添加虚IP/虚服务列表，添加虚服务vs-chinatel-1，链路为link-chinatel-master，权值为100

图3-42 添加虚服务vs-chinatel-1

继续添加虚IP/虚服务列表，添加虚服务vs-chinatel- backup，链路为link-chinatel-backup，权值为100

图3-43 添加虚服务vs-chinatel- backup

 

查看虚IP/虚服务列表如下，配置DNS映射dm首选调度算法为静态就近性算法，次选调度算法为随机算法，备选调度算法为加权轮转算法，并开启DNS映射功能。

图3-44 配置DNS映射dns-map

单击<确定>，完成操作。

4. 配置静态就近性策略

在导航栏中选择“负载均衡 > 智能DNS > 本地智能DNS > 静态就近性策略”，单击<新建>按钮，配置静态就近性策略，配置如下：

图3-45 新建area-cmcc静态就近性策略1

 

单击<确定>，完成操作。

图3-46 新建area-cnc静态就近性策略2

 

单击<确定>，完成操作。

图3-47 新建area-cnc静态就近性策略1

 

单击<确定>，完成操作。

图3-48 新建area-chinatel静态就近性策略2

 

单击<确定>，完成操作。

图3-49 新建area-chinatel静态就近性策略2

 

单击<确定>，完成操作。

5. 配置DNS监听器

在导航栏中选择“负载均衡 > 智能DNS > 本地智能DNS >DNS监听器”，单击<新建>，新建DNS监听器名称为listener，DNS监听器IPv4地址为61.156.0.1，并开启DNS监听功能，如下图所示。

图3-50 新建DNS监听器listener

 

单击<确定>，完成操作。

 

3.6  验证配置

3.6.1  链路负载均衡访问验证结果

1. 内网客户端（192.168.10.0/24）发起的访问会走链路cmcc出去。

在导航栏中选择“监控 > 链路负载 > 链路 > 实时统计”，如下图所示

图3-51 查看链路统计

 

2. 内网客户端（除特定用户之外）发起访问移动运营商目的地址为cmcc：183.232.98.190会走链路cmcc出去。

在导航栏中选择“监控 > 链路负载 > 链路 > 实时统计”，如下图所示

图3-52 查看链路统计

 

3. 多个内网客户端（除特定用户之外）分别访问联通运营商目的地址为cnc：61.135.169.125 会走链路cnc-1或者cnc-2出去，分担流量比例为2:1。

在导航栏中选择“监控 > 链路负载 > 链路 > 实时统计”，如下图所示。

图3-53 查看链路统计

 

4. 多个内网客户端（除特定用户之外）分别访问电信运营商目的地址为chinatel：219.141.136.68会走链路 chinatel-master链路出去，不会走备链路chinatel-backup出去。

在导航栏中选择“监控 > 链路负载 > 链路 > 实时统计”，如下图所示。

图3-54 查看链路统计

 

5. 多个内网客户端（除特定用户之外）分别访问电信运营商目的地址为chinatel：219.141.136.68，超过带宽100M的80%也就是80M，会使得链路 chinatel-master链路触发繁忙，流量便走备链路chinatel-backup出去，并且产生了带宽繁忙保护的日志。

在导航栏中选择“监控 > 链路负载 > 链路 > 实时统计”，如下图所示。

图3-55 查看链路繁忙

 

图3-56 查看链路统计

 

图3-57 查看链路繁忙日志

 

6. 在5的情况下，若同时配置chinatel-backup的链路繁忙比例，使链路chinatel-master和链路chinatel-backup同时繁忙，则会触发链路组切换，流量会走缺省链路组出去，由于缺省链路组有各个运营商的链路，可以看到链路上均会有流量。

图3-58 查看链路统计

 

7. 内网客户端（除特定用户之外）访问教育网目的地址为educn：1.51.0.68，由于不属于移动、联动、电信运营商就会匹配default走缺省链路组出去，由于缺省链路组有各个运营商的链路，可以看到链路上均会有流量。

图3-59 查看链路统计

 

3.6.2  DNS透明代理访问验证结果

1. 内网客户端（192.168.10.0/24）发起的访问会走链路cmcc出去，选择8.8.8.8 DNS服务器进行解析

图3-60 图3-95查看DNS服务器统计

 

2. 内网客户端（除特定用户之外）发起访问dns域名为www.testyoutube.com, DNS服务器地址可以为任意地址11.11.11.11，只要路由可以到达设备便可，可以看到该域名发往8.8.8.8 DNS服务器进行解析

图3-61 图3-95查看DNS服务器统计

 

3. 多个内网客户端（除特定用户之外）发起访问dns域名为www.testbaidu.com，DNS服务器地址为11.11.11.11，只要路由可以到达设备便可，可以看到该域名请求发往了移动和联通的DNS请求，电信链路上面基本没有请求，是因为电信链路配置了最大带宽限制100M，而带宽算法是根据最大剩余带宽和权重来计算进行负载分担的。

图3-62 查看DNS服务器统计

 

 

3.6.3  NAT内部服务器验证结果

1. 外网客户端发起请求http://211.98.0.11,地址转换成功，业务访问可以成功。

图3-63 查看会话列表

 

3.6.4  NAT hairpin验证结果

1. 内网客户端发起请求http://211.98.0.11请求,地址转换成功，业务访问可以成功。

图3-64 查看会话列表

 

3.6.5  智能DNS验证结果

1. 查看虚服务器状态。

图3-65 查看虚IP池状态

 

2. 外网移动运营商的客户端向dns服务器61.156.0.1 请求域名www.testdns1.com，解析地址为183.232.98.190。

3. 外网联通运营商的客户端向dns服务器61.156.0.1 请求域名www.testdns1.com，解析地址为140.207.128.140或者140.207.128.150，比例为1:1。

4. 外网电信运营商的客户端向dns服务器61.156.0.1 请求域名www.testdns1.com，解析地址为1183.2.186.153。

5. 当chinatel-master链路断掉，外网电信运营商的客户端向dns服务器61.156.0.1 请求域名www.testdns1.com，解析地址为183.61.47.15。

6. chinatel-master恢复链路后，外网非三大运营商的客户端向dns服务器61.156.0.1 请求域名www.testdns1.com，解析地址可能为183.232.98.190、140.207.128.140、140.207.128.150、1183.2.186.153，183.61.47.15其中一个。

3.7  配置文件以及ISP文件

#

nat address-group 1 name cmcc

 address 211.98.0.100 211.98.0.200

#

nat address-group 2 name cnc-1

 address 61.156.0.100 61.156.0.200

#

nat address-group 3 name cnc-2

 address 180.223.0.100 180.223.0.200

#

nat address-group 4 name chinatel-master

 address 1.1.0.100 1.1.0.200

#

nat address-group 5 name chinatel-backup

 address 203.0.24.100 203.0.24.200

#

 nat static-load-balance enable

#

 lldp global enable

#

 password-recovery enable

#

vlan 1

#

nqa template icmp icmp-chinatel-backup

 next-hop ip 203.0.24.2

 out interface Route-Aggregation10.103

#

nqa template icmp icmp-chinatel-master

 next-hop ip 1.1.0.2

 out interface Route-Aggregation10.102

#

nqa template icmp icmp-cmcc

 next-hop ip 211.98.0.2

 out interface Route-Aggregation10.99

#

nqa template icmp icmp-cnc-1

 next-hop ip 61.156.0.2

 out interface Route-Aggregation10.100

#

nqa template icmp icmp-cnc-2

 next-hop ip 180.223.0.2

 out interface Route-Aggregation10.101

#

interface Route-Aggregation10.1

 ip address 10.0.0.254 255.255.0.0

 ip address 192.168.10.1 255.255.255.0 sub

 ip last-hop hold

 vlan-type dot1q vid 1301

#

interface Route-Aggregation10.99

 ip address 211.98.0.1 255.255.255.0

 ip last-hop hold

 nat outbound address-group 1

 nat server protocol tcp global 211.98.0.11 80 inside 192.168.3.10 80 rule natserver

 nat hairpin enable

 vlan-type dot1q vid 1302

#

interface Route-Aggregation10.100

 ip address 61.156.0.1 255.255.255.0

 ip last-hop hold

 nat outbound address-group 2

 vlan-type dot1q vid 1303

#

interface Route-Aggregation10.101

 ip address 180.223.0.1 255.255.255.0

 ip last-hop hold

 nat outbound address-group 3

 vlan-type dot1q vid 1304

#

interface Route-Aggregation10.102

 ip address 1.1.0.1 255.255.255.0

 ip last-hop hold

 nat outbound address-group 4

 vlan-type dot1q vid 1305

#

interface Route-Aggregation10.103

 ip address 203.0.24.1 255.255.255.0

 ip last-hop hold

 nat outbound address-group 5

 vlan-type dot1q vid 1306

#

loadbalance link-group chinatel

 transparent enable

 success-criteria at-least 1

 link link-chinatel-backup

  success-criteria at-least 1

  probe icmp-chinatel-backup

 link link-chinatel-master

  priority 8

  success-criteria at-least 1

  probe icmp-chinatel-master

#

loadbalance link-group cmcc

 transparent enable

 success-criteria at-least 1

 link link-cmcc

  success-criteria at-least 1

  probe icmp-cmcc

#

loadbalance link-group cnc

 transparent enable

 success-criteria at-least 1

 link link-cnc-1

  success-criteria at-least 1

  probe icmp-cnc-1

 link link-cnc-2

  weight 50

  success-criteria at-least 1

  probe icmp-cnc-2

#

loadbalance link-group default

 transparent enable

 success-criteria at-least 1

 link link-chinatel-backup

  success-criteria at-least 1

  probe icmp-chinatel-backup

 link link-chinatel-master

  success-criteria at-least 1

  probe icmp-chinatel-master

 link link-cmcc

  success-criteria at-least 1

  probe icmp-cmcc

 link link-cnc-1

  success-criteria at-least 1

  probe icmp-cnc-1

 link link-cnc-2

  success-criteria at-least 1

  probe icmp-cnc-2

#

loadbalance dns-server-pool dns-pool

 predictor bandwidth

 success-criteria at-least 1

 dns-server chinatel port 0

  success-criteria at-least 1

 dns-server cmcc port 0

  success-criteria at-least 1

 dns-server cnc port 0

  success-criteria at-least 1

#

loadbalance dns-server-pool dns-pool-special

 predictor bandwidth

 success-criteria at-least 1

 dns-server america port 0

  success-criteria at-least 1

#

loadbalance class chinatel type link-generic match-any

 match 1 isp chinatel

#

loadbalance class cmcc type link-generic match-any

 match 1 isp cmcc

#

loadbalance class cnc type link-generic match-any

 match 1 isp cnc

#

loadbalance class user type link-generic match-any

 match 1 source ip address 192.168.10.0 24

#

loadbalance class user_dns type dns match-any

 match 1 source ip address 192.168.10.0 24

#

loadbalance class www.testyoutube type dns match-any

 match 1 domain-name www.testyoutube.com

#

loadbalance action ##defaultactionfordnsproxyipv4##%%autocreatedbyweb%% type dns

 dns-server-pool dns-pool

#

loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-generic

 link-group default

#

loadbalance action dp4#action#for#user_dns type dns

 dns-server-pool dns-pool-special

 fallback-action continue

 busy-action continue

#

loadbalance action dp4#action#for#www.testyoutube type dns

 dns-server-pool dns-pool-special

 fallback-action continue

 busy-action continue

#

loadbalance action ob$action$#for#chinatel type link-generic

 link-group chinatel

 fallback-action continue

 busy-action continue

#

loadbalance action ob$action$#for#cmcc type link-generic

 link-group cmcc

 fallback-action continue

 busy-action continue

#

loadbalance action ob$action$#for#cnc type link-generic

 link-group cnc

 fallback-action continue

 busy-action continue

#

loadbalance action ob$action$#for#user type link-generic

 link-group cmcc

 fallback-action continue

 busy-action continue

#

loadbalance policy ##defaultpolicyfordnsproxyipv4##%%autocreatedbyweb%% type dns

 class user_dns action dp4#action#for#user_dns

 class www.testyoutube action dp4#action#for#www.testyoutube

 default-class action ##defaultactionfordnsproxyipv4##%%autocreatedbyweb%%

#

loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic

 class user action ob$action$#for#user

 class cmcc action ob$action$#for#cmcc

 class cnc action ob$action$#for#cnc

 class chinatel action ob$action$#for#chinatel

 default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%

#

virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip

 virtual ip address 0.0.0.0 0

 lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%

 bandwidth busy-protection enable

 bandwidth interface statistics enable

 service enable

#

virtual-server vs-chinatel-1 type ip

 virtual ip address 183.2.186.153

#

virtual-server vs-chinatel-2 type ip

 virtual ip address 183.61.47.15

#

virtual-server vs-cmcc type ip

 virtual ip address 183.232.98.190

#

virtual-server vs-cnc-1 type ip

 virtual ip address 140.207.128.140

#

virtual-server vs-cnc-2 type ip

 virtual ip address 140.207.128.150

#

 loadbalance isp file flash:/lbispinfo_v1.7.tp

#

loadbalance region area-chinatel

 isp chinatel

#

loadbalance region area-cmcc

 isp cmcc

#

loadbalance region area-cnc

 isp cnc

#

loadbalance link link-chinatel-backup

 router ip 203.0.24.2

#

loadbalance link link-chinatel-master

 router ip 1.1.0.2

 max-bandwidth 12500 kbps

 bandwidth busy-rate 80 recovery 70

#

loadbalance link link-cmcc

 router ip 211.98.0.2

#

loadbalance link link-cnc-1

 router ip 61.156.0.2

#

loadbalance link link-cnc-2

 router ip 180.223.0.2

#

loadbalance probe-template icmp lb-icmp

#

loadbalance virtual-server-pool dns-map

 predictor preferred topology

 predictor alternate random

 predictor fallback round-robin

 virtual-server vs-chinatel-1 link link-chinatel-master

 virtual-server vs-chinatel-2 link link-chinatel-backup

 virtual-server vs-cmcc link link-cmcc

 virtual-server vs-cnc-1 link link-cnc-1

 virtual-server vs-cnc-2 link link-cnc-2

#

loadbalance dns-map dns-map

 domain-name www.testdns1.com

 service enable

 virtual-server-pool dns-map

#

loadbalance dns-listener lisener

 ip address 61.156.0.1

 service enable

#

 loadbalance log enable bandwidth-busy

#

loadbalance dns-server america

 ip address 8.8.8.8

 link link-cmcc

#

loadbalance dns-server chinatel

 ip address 114.114.114.114

 link link-chinatel-master

#

loadbalance dns-server cmcc

 ip address 211.136.17.97

 link link-cmcc

#

loadbalance dns-server cnc

 ip address 202.106.46.151

 link link-cnc-1

#

loadbalance dns-proxy ##defaultdpfordnsproxyipv4##%%autocreatedbyweb%% type udp

 ip address 0.0.0.0 0

 service enable

lb-policy ##defaultpolicyfordnsproxyipv4##%%autocreatedbyweb%%

 bandwidth busy-protection enable

#

topology region area-chinatel ip 183.61.47.15

topology region area-chinatel ip 183.2.186.153 priority 200

topology region area-cmcc ip 183.232.98.190

topology region area-cnc ip 140.207.128.140

topology region area-cnc ip 140.207.128.150

#

return