- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-应用负载均衡典型配置
本章节下载: 02-应用负载均衡典型配置 (5.20 MB)
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍4-7层应用负载均衡的配置案例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解LB(Load Balance,负载均衡)特性。
应用负载均衡支持的虚服务器类型包括:IP、TCP、UDP、RADIUS、HTTP、MySQL、SIP-TCP、SIP-UDP,其中IP、TCP和UDP类型统称为四层应用负载均衡,HTTP、RADIUS等类型称为七层应用负载均衡:
· 四层应用负载均衡:是基于流的负载均衡,通过对报文进行逐流分发,将同一条流的报文分发给同一台服务器。四层应用负载均衡对基于HTTP的七层业务无法做到按内容分发,从而限制了负载均衡的业务适用范围。
· 七层应用负载均衡:是基于内容的负载均衡,通过对报文承载的内容进行深度解析,根据其中的内容进行逐包分发,按既定策略将连接导向指定的服务器,从而实现了业务范围更广泛的应用负载均衡。
如图所示,外网用户经过负载均衡设备访问内网服务器。三台服务器Server A、Server B和Server C均可提供HTTP服务。通过配置应用负载均衡,让这三台服务器联合提供HTTP服务,并通过健康检测来监控这些服务器是否可达。
图4-1 SNAT应用场景应用负载均衡组网图
为实现SNAT应用负载均衡,需要在LB设备上完成如下配置:
· 配置实服务组、实服务器、虚服务器。
· 配置SNAT地址池,实服务器到SNAT地址池路由可达。
本举例是在L5000-AD520-G的Release 9900P21版本上进行配置和验证的。
· 入方向交换机配置二层透传,Host到LB路由可达,出方向交换机配置三层路由,LB到server路由可达,server到LB路由可达,下一跳都是在交换机上进行配置。
· 注意本举例中SNAT地址池地址跟出接口地址一个网段,需要在SNAT地址池中开启ARP功能。
以下配置均在LB设备上进行。
在导航栏中选择“负载均衡>全局配置>健康检测”,进入健康检测模板页面。
单击<新建>,新建健康检测模板名称为t1,类型为TCP的健康检测模板,目的端口号为80,如下图所示。
图4-2 新建健康检测模板
单击<确定>按钮,完成操作。
配置snat源地址池的目的是为了隐藏客户端源地址,保证客户的隐私性,同时由于服务器没有直接通往客户端的路由,所以响应报文可利用snat源地址池经由设备,顺利回到客户端。
在导航栏中选择“负载均衡>全局配置>源地址池”,进入源地址池页面。
单击<新建>,新建源地址池名称为snat1,起始IP地址是192.168.1.11,结束IP地址是192.168.1.14,配置发送免费ARP或ND报文的接口,如下图所示。
图4-3 新建源地址池
单击<确定>,完成操作。
图4-4 源地址池信息
单击<确定>,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组”,进入实服务组页面。单击<新建>,新建实服务组名称为sf1,调度算法为源IP地址哈希,目的是为了同一个客户端的业务请求每次能够被相同的服务器处理,健康检测方法选择t1,并引用源地址池snat1,如下图所示。
图4-5 新建实服务组
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组,进入实服务组页面。
编辑实服务组sf1,添加成员列表,新建实服务器名称为rs1,实服务器IP地址为192.168.1.1,如下图所示。
图4-6 添加实服务组成员
图4-7 新建实服务器
单击<确定>按钮,完成操作。
创建实服务器rs2、rs3与创建rs1步骤相同:
在导航栏中选择“负载均衡>应用负载>实服务组”,编辑实服务组sf1,添加成员列表,参照上图步骤创建实服务器rs2和rs3,分别配置其IPv4地址为192.168.1.2和192.168.1.3。
图4-8 实服务组信息
创建TCP类型的虚服务器vs,配置其VSIP为61.159.4.100,引用实服务组sf1,并开启虚服务。
在导航栏中选择“负载均衡>应用负载>虚服务器”,进入虚服务器页面。
单击<新建>,新建虚服务器名称为vs,类型选择TCP,配置虚服务器IP为61.159.4.100,指定默认实服务组sf1,并开启虚服务,如下图所示。
图4-9 新建虚服务器
单击<确定>按钮,完成操作。
图4-10 虚服务器统计信息
图4-11 实服务器统计信息
#
nqa template tcp t1
destination port 80
#
server-farm sf1
predictor hash address source
snat-pool snat1
probe t1
success-criteria at-least 1
real-server rs1 port 0
success-criteria at-least 1
real-server rs2 port 0
success-criteria at-least 1
real-server rs3 port 0
success-criteria at-least 1
#
real-server rs1
ip address 192.168.1.1
#
real-server rs2
ip address 192.168.1.2
#
real-server rs3
ip address 192.168.1.3
#
loadbalance snat-pool snat1
ip range start 192.168.1.11 end 192.168.1.14
arp-nd interface Route-Aggregation1.20
#
virtual-server vs type tcp
virtual ip address 61.159.4.100
default server-farm sf1
connection-sync enable
sticky-sync enable global
service enable
#
如图所示,外网用户经过负载均衡设备访问内网服务器。三台服务器Server A、Server B和Server C均可提供HTTP服务。通过配置应用负载均衡,让这三台服务器联合提供HTTP服务,并通过健康检测来监控这些服务器是否可达。与4.1的主要区别是为了解决客户端与虚服务同网段时的路由问题。
图4-12 SNAT应用场景应用负载均衡组网图
为实现SNAT应用负载均衡,需要在LB设备上完成如下配置:
· 配置实服务组、实服务器、虚服务器。
· 配置SNAT地址池,实服务器到SNAT地址池路由可达。
本举例是在L5000-AD520-G的Release 9900P21版本上进行配置和验证的。
· 入方向交换机配置二层透传,Host到LB路由可达,出方向交换机配置三层路由,LB到server路由可达,server到LB路由可达,下一跳都是在交换机上进行配置。
· 注意本举例中SNAT地址池地址跟出接口地址一个网段,需要在SNAT地址池中开启ARP功能。
· 本举例中虚服务IP与客户端出接口地址同网段,需要在虚服务上开启响应ARP功能。
以下配置均在LB设备上进行。
在导航栏中选择“负载均衡>全局配置>健康检测”,进入健康检测模板页面。
单击<新建>,新建健康检测模板名称为t1,类型为TCP的健康检测模板,目的端口号为80,如下图所示。
图4-13 新建健康检测模板
单击<确定>按钮,完成操作。
配置snat源地址池的目的是为了隐藏客户端源地址,保证客户的隐私性,同时由于服务器没有直接通往客户端的路由,所以响应报文可利用snat源地址池经由设备,顺利回到客户端。
在导航栏中选择“负载均衡>全局配置>源地址池”,进入源地址池页面。
单击<新建>,新建源地址池名称为snat1,起始IP地址是192.168.1.11,结束IP地址是192.168.1.14,配置发送免费ARP或ND报文的接口,如下图所示。
图4-14 新建源地址池
单击<确定>,完成操作。
图4-15 源地址池信息
单击<确定>,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组”,进入实服务组页面。单击<新建>,新建实服务组名称为sf1,调度算法为源IP地址哈希,目的是为了同一个客户端的业务请求每次能够被相同的服务器处理,健康检测方法选择t1,并引用源地址池snat1,如下图所示。
图4-16 新建实服务组
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组,进入实服务组页面。
编辑实服务组sf1,添加成员列表,新建实服务器名称为rs1,实服务器IP地址为192.168.1.1,如下图所示。
图4-17 添加实服务组成员
图4-18 新建实服务器
单击<确定>按钮,完成操作。
创建实服务器rs2、rs3与创建rs1步骤相同:
在导航栏中选择“负载均衡>应用负载>实服务组”,编辑实服务组sf1,添加成员列表,参照上图步骤创建实服务器rs2和rs3,分别配置其IPv4地址为192.168.1.2和192.168.1.3。
图4-19 实服务组信息
创建TCP类型的虚服务器vs,配置其VSIP为10.0.0.8,应用实服务组sf1,并开启虚服务。
在导航栏中选择“负载均衡>应用负载>虚服务器”,进入虚服务器页面。
单击<新建>,新建虚服务器名称为vs,类型选择TCP,配置虚服务器IP为10.0.0.8,指定默认实服务组sf1,开启响应ARP功能,并开启虚服务,如下图所示。
图4-20 新建虚服务器
单击<确定>按钮,完成操作。
图4-21 虚服务器统计信息
图4-22 实服务器统计信息
#
nqa template tcp t1
destination port 80
#
server-farm sf1
predictor hash address source
snat-pool snat1
probe t1
success-criteria at-least 1
real-server rs1 port 0
success-criteria at-least 1
real-server rs2 port 0
success-criteria at-least 1
real-server rs3 port 0
success-criteria at-least 1
#
real-server rs1
ip address 192.168.1.1
#
real-server rs2
ip address 192.168.1.2
#
real-server rs3
ip address 192.168.1.3
#
loadbalance snat-pool snat1
ip range start 192.168.1.11 end 192.168.1.14
arp-nd interface Route-Aggregation1.20
#
virtual-server vs type tcp
virtual ip address 10.0.0.8
default server-farm sf1
route-advertisement enable
connection-sync enable
sticky-sync enable global
arp-nd interface Route-Aggregation1.10
service enable
#
如图所示,用户经过负载均衡设备访问服务器。三台服务器Server A、Server B和Server C均可提供HTTP服务。通过配置应用负载均衡,让这三台服务器联合提供HTTP服务,并通过健康检测来监控这些服务器是否可达。
图4-23 基于源地址应用负载均衡组网图
为实现源地址应用负载均衡,需要在LB设备上完成如下配置:
· 配置实服务组、实服务器、虚服务器。
· 配置策略。
本举例是在L5000-AD520-G的Release 9900P21版本上进行配置和验证的。
· Host到LB路由可达,LB到server路由可达,server到LB路由可达,服务器网关在LB上。
· 入方向跟出方向交换机均配置二层透传,网关都在LB上。
以下配置均在LB设备上进行。
在导航栏中选择“负载均衡>全局配置>健康检测”,进入健康检测模板页面。
单击<新建>,新建健康检测模板名称为t1,类型为TCP的健康检测模板,目的端口号为80,如下图所示。
图4-24 新建健康检测模板
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组”,进入实服务组页面。
单击<新建>,新建实服务组名称为sf1,调度算法为源IP地址哈希,目的是为了同一个客户端的业务请求每次能够被相同的服务器处理,健康检测方法选择t1,如下图所示。
图4-25 新建实服务组
单击<确定>按钮,完成操作。
创建实服务组sf2、sf3与sf1步骤相同。
图4-26 实服务组信息
在导航栏中选择“负载均衡>应用负载>实服务组,进入实服务组页面。
编辑实服务组sf1,添加成员列表,新建实服务器名称为rs1,实服务器IP地址为192.168.1.1,如下图所示。
图4-27 添加实服务组成员
图4-28 新建实服务器
单击<确定>按钮,完成操作。
图4-29 实服务器信息
单击<确定>按钮,完成操作。
创建实服务器rs2、rs3与创建rs1步骤相同:
在导航栏中选择“负载均衡>应用负载>实服务组”,编辑实服务组sf2,添加成员列表,参照上图步骤创建实服务器rs2,配置其IPv4地址为192.168.1.2。
在导航栏中选择“负载均衡>应用负载>实服务组”,编辑实服务组sf3,添加成员列表,参照上图步骤创建实服务器rs3,配置其IPv4地址为192.168.1.3。
在导航栏中选择“负载均衡>应用负载>高级策略>流量特征”,进入流量特征页面。
单击<新建>,新建流量特征名称为lc1,类型为通用,匹配方式为匹配任意一条规则,Match ID为1,类型选择源IPv4,IPv4地址为10.0.4.0,掩码长度为26,单击<确定>按钮,如下图所示。
图4-30 新建流量特征信息
单击<确定>按钮,完成操作。
图4-31 流量特征信息
单击<确定>按钮,完成操作。
创建lc2与lc1步骤相同,lc2匹配规则IPv4地址是10.0.4.64,掩码长度26。
在导航栏中选择“负载均衡>应用负载>高级策略>动作”,进入动作页面。
单击<新建>,新建动作名称为la1,类型选择通用,主用实服务组sf1,如下图所示。
图4-32 新建动作信息
单击<确定>,完成操作。
创建la2、la3与la1步骤相同,la2主用实服务组是sf2,la3主用实服务组是sf3。
在导航栏中选择“负载均衡>应用负载>高级策略>负载均衡策略”,进入负载均衡策略页面。
单击<新建>,新建策略名称为lp1,类型选择通用,规则单击<新建>,流量特征选择lc1,动作选择la1,单击<确定>;再次单击<新建>,流量特征选择lc2,动作选择la2,单击<确定>;默认动作选择la3,如下图所示。
图4-33 新建策略lp1信息
单击<确定>,完成操作。
图4-34 策略lp1配置信息
单击<确定>,完成操作。
在导航栏中选择“负载均衡>应用负载>虚服务器”,进入虚服务器页面。
单击<新建>,新建虚服务器名称为vs,类型选择TCP,61.159.4.100/32,开启虚服务功能,负载均衡策略为lp1,如下图所示。
图4-35 新建虚服务器
单击<确定>,完成操作。
图4-36 查看虚服务器统计信息
当源地址为10.0.4.1发起HTTP访问请求时,匹配策略lc1,选中rs1,查看实服务器统计,此时只有rs1有流量统计:
图4-37 查看实服务器统计信息
当源地址为10.0.4.65发起HTTP访问请求时,匹配策略lc2,选中rs2,查看实服务器统计,此时只有rs2有流量统计:
图4-38 查看实服务器统计信息
当源地址为10.0.4.129发起HTTP访问请求时,匹配策略lc3,选中rs3,查看实服务器统计,此时只有rs3有流量统计:
图4-39 查看实服务器统计信息
#
nqa template tcp t1
destination port 80
#
server-farm sf1
predictor hash address source
probe t1
success-criteria at-least 1
real-server rs1 port 0
success-criteria at-least 1
#
server-farm sf2
predictor hash address source
probe t1
success-criteria at-least 1
real-server rs2 port 0
success-criteria at-least 1
#
server-farm sf3
predictor hash address source
probe t1
success-criteria at-least 1
real-server rs3 port 0
success-criteria at-least 1
#
real-server rs1
ip address 192.168.1.1
#
real-server rs2
ip address 192.168.1.2
#
real-server rs3
ip address 192.168.1.3
#
loadbalance class lc1 type generic match-any
match 1 source ip address 10.0.4.0 26
#
loadbalance class lc2 type generic match-any
match 1 source ip address 10.0.4.64 26
#
loadbalance action la1 type generic
server-farm sf1
#
loadbalance action la2 type generic
server-farm sf2
#
loadbalance action la3 type generic
server-farm sf3
#
loadbalance policy lp1 type generic
class lc1 action la1
class lc2 action la2
default-class action la3
#
virtual-server vs type tcp
virtual ip address 61.159.4.100
lb-policy lp1
connection-sync enable
sticky-sync enable global
service enable
#
如图所示,三台服务器Server A、Server B和Server C均可提供HTTP服务,用户通过访问虚服务地址经过负载均衡设备访问真实服务器,由于服务器回应反向流量比较大,为了减轻负载均衡设备的压力,服务器回程的流量不再经过负载均衡设备,直接通过交换机转发,此时要求服务器回应报文的源地址为虚服务器的地址,在考虑硬件性能的前提下让这三台服务器联合提供HTTP服务,并通过健康检测来监控这些服务器状态。
图4-40 三角传输组网图
为实现三角传输的应用负载均衡,需要在LB设备上完成如下配置:
· LB设备上配置实服务组、实服务器、虚服务器。
· 由于服务器回应报文通过交换机直接转发,所以服务器回应报文的源地址要为虚服务器的地址,因此除了配置各自网卡地址外,还需要三台真实服务器侧单独配置loopback口,并且地址设置为虚服务器的地址61.159.4.100。
本举例是在L5000-AD520-G的Release 9900P21版本上进行配置和验证的。
· 入方向交换机配置三层,入方向网关在交换机上,Host到交换机直连路由可达,交换机到LB直连路由可达,Host到LB路由可达,下一跳在交换机上,出方向交换机配置三层路由,LB到server路由可达,server到Host路由可达,下一跳都是在交换机上。
· 流量正向走LB,反向不走LB,服务器回Host路由可达。
· 实服务组中关闭DNAT功能。
以下配置均在LB设备上进行。
在导航栏中选择“负载均衡>全局配置>健康检测”,进入健康检测模板页面。
单击<新建>,新建健康模板名称为t1,类型为TCP的健康检测模板,目的端口号为80,如下图所示。
图4-41 新建健康检测模板
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组”,进入实服务组页面。
单击<新建>,新建实服务组名称为sf1,调度算法为源IP地址哈希,目的是为了同一个客户端的业务请求每次能够被相同的服务器处理,健康检测方法选择t1,关闭目的地址转换功能,如下图所示。
图4-42 新建实服务组
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组,进入实服务组页面。
编辑实服务组sf1,添加成员列表,新建实服务器名称为rs1,实服务器IP地址为192.168.1.1,如下图所示。
图4-43 添加实服务组成员
图4-44 新建实服务器
单击<确定>按钮,完成操作。
创建实服务器rs2、rs3与创建rs1步骤相同:
在导航栏中选择“负载均衡>应用负载>实服务组”,编辑实服务组sf1,添加成员列表,参照上图步骤创建实服务器rs2和rs3,分别配置其IPv4地址为192.168.1.2和192.168.1.3。
图4-45 实服务组信息
在导航栏中选择“负载均衡>应用负载>虚服务器”,进入虚服务器页面。单击<新建>,新建虚服务器名称为vs,类型选择TCP,61.159.4.100 /32,指定默认实服务组sf1,开启虚服务功能,如下图所示。
图4-46 新建虚服务器
单击<确定>,完成操作。
图4-47 虚服务器统计信息
图4-48 实服务器统计信息
#
nqa template tcp t1
destination port 80
#
server-farm sf1
predictor hash address source
transparent enable
probe t1
success-criteria at-least 1
real-server rs1 port 0
success-criteria at-least 1
real-server rs2 port 0
success-criteria at-least 1
real-server rs3 port 0
success-criteria at-least 1
#
real-server rs1
ip address 192.168.1.1
#
real-server rs2
ip address 192.168.1.2
#
real-server rs3
ip address 192.168.1.3
#
virtual-server vs type tcp
virtual ip address 61.159.4.100
default server-farm sf1
connection-sync enable
sticky-sync enable global
service enable
#
如图所示,外网用户经过负载均衡设备访问内网服务器。三台服务器Server A、Server B和Server C均可提供FTP服务,Host访问服务器的流量会根据三台服务器的优先级进行选择,如果实服务组中配置了限制调度的个数,实服务器优先级和调度个数会共同对实服务器进行调度,实现负载分担。
图4-49 基于优先级调度应用负载均衡组网图
为实现基于优先级调度的应用负载均衡,需要在LB设备上完成如下配置:
· LB设备上配置实服务组、实服务器、虚服务。
· 若需要将流量只分配给优先级最高的服务器时,实服务组中配置可选择的实服务器的数量为1,实服务器配置不同的优先级分别为4、8、1。
· 若需要将流量分配给其中两台服务器时,实服务组中配置可选择的实服务器的数量为2,实服务器配置不同的优先级分别为4、8、1。
本举例是在L5000-AD520-G的Release 9900P21版本上进行配置和验证的。
· Host到LB路由可达,LB到server路由可达,server到LB路由可达,服务器网关在LB上。
· 入方向跟出方向交换机均配置二层透传,网关都在LB上。
· 实服务组中配置可选择的实服务器数量,三台服务器配置不同的优先级。
以下配置均在LB设备上进行。
在导航栏中选择“负载均衡>全局配置>健康检测”,进入健康检测模板页面。
单击<新建>,新建健康模板名称为t1,类型为TCP的健康检测模板,目的端口号为21,如下图所示。
图4-50 新建健康检测模板
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组”,进入实服务组页面。
单击<新建>,新建实服务组名称为sf1,调度算法为源IP地址哈希,健康检测方法选择t1的实服务组,勾选“限制可被调度算法调用的实服务器数量”,最小数量与最大数量均配置成1,如下图所示。
图4-51 新建实服务组
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组,进入实服务组页面。
编辑实服务组sf1,添加成员列表,新建实服务器名称为rs1,实服务器IP地址为192.168.1.1,优先级为4,实服务组选择sf1,如下图所示。
图4-52 添加实服务组成员
图4-53 新建实服务器
单击<确定>按钮,完成操作。
创建实服务器rs2、rs3与创建rs1步骤相同:
在导航栏中选择“负载均衡>应用负载>实服务组”,编辑实服务组sf1,添加成员列表,参照上图步骤创建实服务器rs2和rs3。rs2优先级为8,IPv4地址为192.168.1.2;rs3优先级为1,IPv4地址为192.168.1.3。
图4-54 实服务组信息
创建TCP类型的虚服务器vs,配置其VSIP为61.159.4.100,应用实服务组sf1,并开启虚服务。
在导航栏中选择“负载均衡>应用负载>虚服务器”,进入虚服务器页面。
单击<新建>,新建虚服务器名称为vs,类型选择TCP,配置虚服务器IP为61.159.4.100,指定默认实服务组sf1,并开启虚服务,如下图所示。
图4-55 新建虚服务器
单击<确定>按钮,完成操作。
图4-56 虚服务器统计信息
图4-57 实服务器统计信息
图4-58 虚服务器统计信息
图4-59 实服务器统计信息
#
nqa template tcp t1
destination port 21
#
server-farm sf1
predictor hash address source
selected-server min 1 max 1
probe t1
success-criteria at-least 1
real-server rs1 port 0
success-criteria at-least 1
real-server rs2 port 0
priority 8
success-criteria at-least 1
real-server rs3 port 0
priority 1
success-criteria at-least 1
#
real-server rs1
ip address 192.168.1.1
#
real-server rs2
ip address 192.168.1.2
#
real-server rs3
ip address 192.168.1.3
#
virtual-server vs type tcp
virtual ip address 61.159.4.100
default server-farm sf1
connection-sync enable
sticky-sync enable global
service enable
#
随着互联网以及各行各业数字化转型的蓬勃发展,网络承载的业务越来越多,越来越重要。如何保证网络的可靠性、业务的不间断传输成为网络建设中必须要解决的问题。
在网络关键位置上如果只使用一台设备的情况下,无论其可靠性多高,都会存在因设备单点故障而导致网络中断的风险。因此,通常会在网络的关键位置部署两台设备,以提升网络的可靠性和业务运行稳定性,使用两台负载均衡设备进行高可靠性主备组网,Device A作为主设备,Device B作为备设备。当Device A设备或其他链路出现故障时,业务能够被Device B设备接替继续运行业务,保证业务不中断(业务流量默认不主动回切)。
图4-60 高可靠性组网图
为实现两台负载均衡设备其中一台故障时,另外一台能够接替运行业务,需要完成如下配置:
· 接口下的地址、VRRP相关配置需要在两台设备上分别进行配置下发,接口下配置VRRP备份组和VRRP虚IP地址。
· 高可靠性相关配置也需要在两台设备上分别进行配置下发,将两台设备之间直连的接口聚合作为高可靠性控制通道接口和数据通道接口。配置高可靠性,指定主从管理设备角色,指定控制通道和数据通道,开启配置自动备份和热备功能。
· 路由,健康检测等不备份的基础配置需要在两台设备上分别进行配置下发。
本举例是在L5000-AD520-G的Release 9900P21上进行配置和验证的。
· 对负载均衡业务相关可备份的配置进行删除、修改操作时,需要在高可靠性主管理设备上进行操作,同步给高可靠性的备设备,切勿在高可靠性备管理设备上进行修改删除操作,防止两个设备上的配置不一致。主管理设备上已有的负载均衡配置,会在开启自动同步配置信息功能后进行一次批量备份,或通过手动同步配置信息到高可靠性的备设备上。对于路由等不备份但需要保持一致的配置,需要在两个设备上分别进行操作配置下发。
· 接口IP地址,路由等相关配置,需要在主管理设备和从管理设备上同时手动配置并各自保存为基本配置。负载均衡相关的ISP文件,SSL卸载相关的证书文件,自定义监控所需的脚本文件等文件类操作需要在两台设备上分别进行导入下发,并进行各自保存。
· 目前支持配置信息同步的业务模块如下:
¡ 资源类:VPN实例、ACL(acl copy命令不支持同步)、对象组、时间段、安全域、会话管理、APR、AAA。
¡ DPI相关模块:应用层检测引擎、IPS、URL过滤、数据过滤、文件过滤、防病毒、数据分析中心、WAF。
¡ 策略类:安全策略、ASPF、攻击检测与防范(blacklist ip命令不支持同步)、连接数限制、NAT、AFT、负载均衡、带宽管理、应用审计与管理、共享上网管理、代理策略。
¡ 日志类:快速日志输出(customlog host source命令不支持同步)、Flow日志(userlog flow export source-ip命令不支持同步)。
¡ VPN类:SSL VPN。
¡ 其他类:VLAN、信息中心(info-center loghost source命令不支持同步)
· 高可靠性数据通道和控制通道推荐使用静态聚合。
· 基础配置和业务配置配置完成后分别save保存配置。
· 高可靠性组网中主备组网中,主设备故障时,流量自动切换到对端设备进行处理。缺省情况下,当原主设备恢复正常时,流量不回切。这时如果需要流量再次回到原主设备进行处理,可以开启主动抢占功能,并设置延迟切换时间保证业务能够平滑切回,延迟回切时间为0表示不回切。
· 负载均衡配置snat地址池时,基于地址拆分。SNAT地址池中的地址与设备连接服务器端接口的IP地址在同一网段时,必须在该SNAT地址池下配置指定免费发送ARP或ND报文接口,指定的接口是设备连接服务器的接口。不在同一网段时,则SNAT地址池下无需指定免费发送ARP或ND报文接口。
· 负载均衡配置虚服务器时,虚服务器IP地址与设备连接客户端接口的IP地址在同一网段,必须在该虚服务器下指定免费发送ARP或ND报文接口,指定的接口是设备连接客户端的接口。不在同一网段时,虚服务器下无需指定发送免费ARP或ND报文接口。
· 负载均衡配置虚服务器绑定VRRP备份组,同时存在IPv4和IPv6地址时,需要各自绑定VRRP备份组。
· 与负载均衡设备在同一个局域网里面的其他设备如果起VRRP的话,要VRID各不相同,如果相同,导致交换机MAC地址表震荡引发丢包问题。
以下验证过程在LB设备上进行。
在导航栏中选择“系统>高可靠性>高可靠性”,点击“主备模式”,进入高可靠性页面。
单击<配置>按钮,进入高可靠性配置页面,管理角色选择主管理设备,本端地址为1.1.1.1,对端IP地址为1.1.1.2,数据通道选择三层聚合口1,数据通道报文传输模式选择二层,配置信息一致性检查开启,时间间隔为12小时。
如下图所示。
图4-61 配置高可靠性
单击<确定>按钮,完成操作。
在导航栏中选择“系统>高可靠性>VRRP”,进入VRRP列表页面。
单击<新建>按钮,选择备份组所在的接口为三层聚合子接口10.1,备份组号为1,联动高可靠性VRRP active组,虚拟IP地址为10.0.0.1/32。
如下图所示。
图4-62 配置VRRP备份组
单击<确定>按钮,完成操作。
创建VRRP备份组所在三层聚合子接口10.2与创建VRRP备份组所在三层聚合子接口10.1步骤相同。
在导航栏中选择“系统>高可靠性>VRRP”,单击添加VRRP备份组,参照上图创建VRRP备份组所在接口为三层聚合子接口10.2,备份组号为1,联动高可靠性为VRRP active组,虚拟IP地址为192.168.1.254/32。
在导航栏中选择“系统>高可靠性>高可靠性”,点击“主备模式”,进入高可靠性页面。
单击<配置>按钮,进入高可靠性配置页面,管理角色选择从管理设备,本端地址为1.1.1.2,对端IP地址为1.1.1.1,数据通道选择三层聚合口1,数据通道报文传输模式选择二层,配置信息一致性检查开启,时间间隔为12小时。
如下图所示。
图4-63 配置高可靠性
单击<确定>按钮,完成操作。
在导航栏中选择“系统>高可靠性>VRRP”,进入VRRP列表页面。
单击<新建>按钮,选择备份组所在的接口为三层聚合子接口10.1,备份组号为1,联动高可靠性VRRP standby组,虚拟IP地址为10.0.0.1/32。
如下图所示。
图4-64 配置VRRP备份组
单击<确定>按钮,完成操作。
创建VRRP备份组所在三层聚合子接口10.2与创建VRRP备份组所在三层聚合子接口10.1步骤相同。
在导航栏中选择“系统>高可靠性>VRRP”,单击添加VRRP备份组,参照上图创建VRRP备份组所在接口为三层聚合子接口10.2,备份组号为1,联动高可靠性为VRRP standby组,虚拟IP地址为192.168.1.254/32。
在导航栏中选择“负载均衡>全局配置>健康检测”,进入健康检测模板页面。
单击<新建>按钮,添加健康模板名称为icmp,类型为ICMP的健康检测模板。
如下图所示。
图4-65 添加健康检测模板
单击<确定>按钮,完成操作。
配置snat源地址池的目的是为了隐藏客户端源地址,保证客户的隐私性,同时由于服务器没有直接通往客户端的路由,所以响应报文可利用snat源地址池经由设备,顺利回到客户端。
在导航栏中选择“负载均衡>全局配置>源地址池”,进入源地址池列表页面。
单击<新建>按钮,新建基于地址拆分的源地址池snat,配置地址范围为192.168.1.101~192.168.1.112,配置发送免费ARP或ND报文的接口。
如下图所示。
图4-66 添加源地址池
在导航栏中选择“负载均衡>应用负载>实服务组”,进入实服务组页面。
单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,目的是为了同一个客户端的业务请求每次能够被相同的服务器处理,健康检测选择icmp,源地址转换方式选择源地址池,源地址池名称选择snat,如下图所示。
图4-67 添加实服务组
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组”,进入实服务组页面。
编辑实服务组sf1,单击添加成员列表,新建实服务器名称为rs1,实服务器IP地址为192.168.1.3,如下图所示。
图4-68 添加实服务组成员
图4-69 添加实服务器
单击<确定>按钮,完成操作。
创建实服务器rs2、rs3与创建rs1步骤相同。
在导航栏中选择“负载均衡>应用负载>实服务组”,编辑实服务组sf1,单击添加成员列表,参照上图创建实服务器rs2和rs3,分别配置其IPv4地址为192.168.1.4和192.168.1.5。
如图所示。
图4-70 实服务组成员列表
单击<确定>按钮,完成操作。
创建TCP类型的虚服务器vs,配置其VSIP为61.159.4.100,并开启虚服务。
在导航栏中选择“负载均衡>应用负载>虚服务器”,进入虚服务器页面。
单击<新建>按钮,添加虚服务器名称为vs,类型选择TCP,引用实服务组sf1,配置虚服务器绑定VRRP备份组1关联接口三层聚合子接口10.1,并开启虚服务。
如下图所示。
图4-71 新建虚服务器
单击<确定>,完成操作。
在主设备上,在导航栏中选择“系统>高可靠性>高可靠性”,进入高可靠性页面。
在主设备上,运行模式是主备模式,配置管理角色是主管理设备,运行状态为主用状态,心跳状态为正常,VRRP虚拟地址状态正常,为Master。
如图所示。
图4-72 主设备上高可靠性
在备设备上,在导航栏中选择“系统>高可靠性>高可靠性”,进入高可靠性页面。
在备设备上,运行模式是主备模式,配置管理角色是从管理设备,运行状态为备用状态,心跳状态为正常,VRRP虚拟地址状态正常,为Backup。
如图所示。
图4-73 备设备上高可靠性
Host向地址61.159.4.100发起FTP的请求,访问成功后,在设备上在导航栏“监控>应用负载>虚服务器>实时统计”,进入虚服务器统计页面。
主设备正常工作情况下,主设备上的虚服务器统计有并发数和带宽统计,备设备上只有并发数统计。
如图所示。
图4-74 主设备上的虚服务器统计
图4-75 备设上的虚服务器统计
(1) 使用icmp ping业务测试高可靠性
主设备状态正常时,Host向地址61.159.4.100发起icmp ping请求,没有丢包,如下图所示。
图4-76 icmp ping业务状态
a. 手动切换主备状态
在主设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。点击<状态切换>即可手动切换主备状态。如下图所示。
图4-77 手动切换主备状态
手动切换完成后,在主设备上运行模式是主备模式,配置管理角色是主管理设备,运行状态为备用状态,心跳状态为正常,VRRP虚拟地址状态异常,为Backup。如下图所示。
图4-78 主设备上高可靠性状态
在备设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在备设备上,运行模式是主备模式,配置管理角色是从管理设备,运行状态为主用状态,心跳状态为正常,VRRP虚拟地址状态异常,为Master。如下图所示。
图4-79 备设备上高可靠性状态
业务切换到备设备上,Host继续向地址61.159.4.100发起icmp ping请求,没有丢包,如下图所示。
图4-80 icmp ping业务状态
在备设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
业务切换到备设备上时,备设备上产生icmp会话,如下图所示。
图4-81 备设备上会话列表
在主设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
主设备上备份备设备上的icmp会话,如下图所示。
图4-82 主设备上会话列表
再次手动切换主备状态,使主设备的运行状态为主用状态,业务切回主设备上,没有丢包,如下图所示。
图4-83 icmp ping业务状态
b. 业务口故障
当主设备业务口故障时,在主设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在主设备上,运行模式是主备模式,配置管理角色是主管理设备,运行状态为备用状态,心跳状态为正常,VRRP虚拟地址状态异常,为Initialize。如下图所示。
图4-84 主设备上高可靠性
在备设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在备设备上,运行模式是主备模式,配置管理角色是从管理设备,运行状态为主用状态,心跳状态为正常,VRRP虚拟地址状态异常,为Master。如下图所示。
图4-85 备设备上高可靠性
业务切换到备机上,Host继续向地址61.159.4.100发起icmp ping请求,没有丢包,如下图所示。
图4-86 icmp ping业务状态
在备设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
业务切换到备设备上时,备设备上产生icmp会话,如下图所示。
图4-87 备设备上会话列表
在主设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
主设备上备份备设备上的icmp会话,如下图所示。
图4-88 主设备上会话列表
主设备业务口恢复正常后,备设备业务口发生故障时,在主设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在主设备上,运行模式是主备模式,配置管理角色是主管理设备,运行状态为主用状态,心跳状态为正常,VRRP虚拟地址状态正常,为Master。如下图所示。
图4-89 主设备上高可靠性
在备设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在备设备上,运行模式是主备模式,配置管理角色是从管理设备,运行状态为备用状态,心跳状态为正常,VRRP虚拟地址状态正常,为Initialize。如下图所示。
图4-90 备设备上高可靠性
业务切回主设备上,没有丢包,如下图所示。
图4-91 icmp ping业务状态
c. 设备重启
当主设备重启时,在备设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在备设备上,运行模式是主备模式,配置管理角色是从管理设备,运行状态为主用状态,心跳状态为异常,VRRP虚拟地址状态异常,为Master。如下图所示。
图4-92 备设备上高可靠性
业务切换到备机上,Host继续向地址61.159.4.100发起icmp ping请求,没有丢包,如下图所示。
图4-93 icmp ping业务状态
在备设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
业务切换到备设备上时,备设备上产生icmp会话,如下图所示。
图4-94 备设备上会话列表
主设备启动成功后,在主设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
主设备上备份备设备上的icmp会话,如下图所示。
图4-95 主设备上会话列表
主设备启动成功后,当备设备重启时,在主设备上,在导航栏中选择“系统 > 高可靠性 >高可靠性”,进入高可靠性页面。
在主设备上,运行模式是主备模式,配置管理角色是主管理设备,运行状态为主用状态,心跳状态为异常,VRRP虚拟地址状态异常,为Master。如下图所示。
图4-96 主设备上高可靠性
业务切回主设备上,没有丢包,如下图所示。
图4-97 icmp ping业务状态
(2) 使用tcp ping业务测试高可靠性
主设备状态正常时,Host向地址61.159.4.100发起tcp ping请求,没有丢包,如下图所示。
图4-98 tcp ping业务状态
a. 手动切换主备状态
在主设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。点击<状态切换>即可手动切换主备状态。如下图所示。
图4-99 手动切换主备状态
手动切换完成后,在主设备上运行模式是主备模式,配置管理角色是主管理设备,运行状态为备用状态,心跳状态为正常,VRRP虚拟地址状态异常,为Backup。如下图所示。
图4-100 主设备上高可靠性状态
在备设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在备设备上,运行模式是主备模式,配置管理角色是从管理设备,运行状态为主用状态,心跳状态为正常,VRRP虚拟地址状态异常,为Master。如下图所示。
图4-101 备设备上高可靠性状态
业务切换到备设备上,Host继续向地址61.159.4.100发起tcp ping请求,没有丢包,如下图所示。
图4-102 tcp ping业务状态
在备设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
业务切换到备设备上时,备设备上产生tcp会话,如下图所示。
图4-103 备设备上会话列表
在主设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
主设备上备份备设备上的tcp会话,如下图所示。
图4-104 主设备上会话列表
再次手动切换主备状态,使主设备的运行状态为主用状态,业务切回主设备上,没有丢包,如下图所示。
图4-105 tcp ping业务状态
b. 业务口故障
当主设备业务口故障时,在主设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在主设备上,运行模式是主备模式,配置管理角色是主管理设备,运行状态为备用状态,心跳状态为正常,VRRP虚拟地址状态异常,为Initialize。如下图所示。
图4-106 主设备上高可靠性
在备设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在备设备上,运行模式是主备模式,配置管理角色是从管理设备,运行状态为主用状态,心跳状态为正常,VRRP虚拟地址状态异常,为Master。如下图所示。
图4-107 备设备上高可靠性
业务切换到备机上,Host继续向地址61.159.4.100发起tcp ping请求,没有丢包,如下图所示。
图4-108 tcp ping业务状态
在备设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
业务切换到备设备上时,备设备上产生tcp会话,如下图所示。
图4-109 备设备上会话列表
在主设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
主设备上备份备设备上的tcp会话,如下图所示。
图4-110 主设备上会话列表
主设备业务口恢复正常后,备设备业务口发生故障时,在主设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在主设备上,运行模式是主备模式,配置管理角色是主管理设备,运行状态为主用状态,心跳状态为正常,VRRP虚拟地址状态正常,为Master。如下图所示。
图4-111 主设备上高可靠性
在备设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在备设备上,运行模式是主备模式,配置管理角色是从管理设备,运行状态为备用状态,心跳状态为正常,VRRP虚拟地址状态正常,为Initialize。如下图所示。
图4-112 备设备上高可靠性
业务切回主设备上,没有丢包,如下图所示。
图4-113 tcp ping业务状态
c. 设备重启
当主设备重启时,在备设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在备设备上,运行模式是主备模式,配置管理角色是从管理设备,运行状态为主用状态,心跳状态为异常,VRRP虚拟地址状态异常,为Master。如下图所示。
图4-114 备设备上高可靠性
业务切换到备机上,Host继续向地址61.159.4.100发起tcp ping请求,没有丢包如图所示。
图4-115 tcp ping业务状态
在备设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
业务切换到备设备上时,备设备上产生tcp会话,如下图所示。
图4-116 备设备上会话列表
主设备启动成功后,在主设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
主设备上备份备设备上的tcp会话,如下图所示。
图4-117 主设备上会话列表
主设备启动成功后,当备设备重启时,在主设备上,在导航栏中选择“系统 > 高可靠性 >高可靠性”,进入高可靠性页面。
在主设备上,运行模式是主备模式,配置管理角色是主管理设备,运行状态为主用状态,心跳状态为异常,VRRP虚拟地址状态异常,为Master。如下图所示。
图4-118 主设备上高可靠性
业务切回主设备上,没有丢包,如下图所示。
图4-119 tcp ping业务状态
(3) 使用ftp业务测试高可靠性
Host向地址61.159.4.100发起FTP的请求,访问成功后,下载test file.ipe文件到Host上,下载过程没有异常。
图4-120 Host向地址61.159.4.100发起FTP的请求成功
图4-121 test file.ipe文件下载过程
a. 手动切换主备状态
在主设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。点击<状态切换>即可手动切换主备状态。如下图所示。
图4-122 手动切换主备状态
手动切换完成后,在主设备上运行模式是主备模式,配置管理角色是主管理设备,运行状态为备用状态,心跳状态为正常,VRRP虚拟地址状态异常,为Backup。如下图所示。
图4-123 主设备上高可靠性状态
在备设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在备设备上,运行模式是主备模式,配置管理角色是从管理设备,运行状态为主用状态,心跳状态为正常,VRRP虚拟地址状态异常,为Master。如下图所示。
图4-124 备设备上高可靠性状态
业务切换到备设备上,文件下载成功,没有异常,如下图所示。
图4-125 test file.ipe文件下载成功
在备设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
业务切换到备设备上时,备设备上产生ftp会话,如下图所示。
图4-126 备设备上会话列表
在主设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
主设备上备份备设备上的ftp会话,如下图所示。
图4-127 主设备上会话列表
再次手动切换主备状态,使主设备的运行状态为主用状态,业务切回主设备上,文件下载成功,没有异常,如下图所示。
图4-128 test file.ipe文件下载成功
b. 业务口故障
当主设备业务口故障时,在主设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在主设备上,运行模式是主备模式,配置管理角色是主管理设备,运行状态为备用状态,心跳状态为正常,VRRP虚拟地址状态异常,为Initialize。如下图所示。
图4-129 主设备上高可靠性
在备设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在备设备上,运行模式是主备模式,配置管理角色是从管理设备,运行状态为主用状态,心跳状态为正常,VRRP虚拟地址状态异常,为Master。如下图所示。
图4-130 备设备上高可靠性
业务切到备设备上,文件下载成功,没有异常,如下图所示。
图4-131 test file.ipe文件下载成功
在备设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
业务切换到备设备上时,备设备上产生ftp会话,如下图所示。
图4-132 备设备上会话列表
在主设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
主设备上备份备设备上的ftp会话,如下图所示。
图4-133 主设备上会话列表
主设备业务口恢复正常后,备设备业务口发生故障时,在主设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在主设备上,运行模式是主备模式,配置管理角色是主管理设备,运行状态为主用状态,心跳状态为正常,VRRP虚拟地址状态正常,为Master。如下图所示。
图4-134 主设备上高可靠性
在备设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在备设备上,运行模式是主备模式,配置管理角色是从管理设备,运行状态为备用状态,心跳状态为正常,VRRP虚拟地址状态正常,为Initialize。如下图所示。
图4-135 备设备上高可靠性
业务切回主设备上,文件下载成功,没有异常,如下图所示。
图4-136 test file.ipe文件下载成功
c. 设备重启
当主设备重启时,在备设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在备设备上,运行模式是主备模式,配置管理角色是从管理设备,运行状态为主用状态,心跳状态为异常,VRRP虚拟地址状态异常,为Master。如下图所示。
图4-137 备设备上高可靠性
业务切换到备机上,文件下载成功,没有异常,如下图所示。
图4-138 test file.ipe文件下载成功
在备设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
业务切换到备设备上时,备设备上产生ftp会话,如下图所示。
图4-139 备设备上会话列表
主设备启动成功后,在主设备上,在导航栏中选择“监控 > 会话监控 > 会话列表”,进入会话列表页面。
主设备上备份备设备上的ftp会话,如下图所示。
图4-140 主设备上会话列表
主设备启动成功后,当备设备重启时,在主设备上,在导航栏中选择“系统 > 高可靠性 >高可靠性”,进入高可靠性页面。
在主设备上,运行模式是主备模式,配置管理角色是主管理设备,运行状态为主用状态,心跳状态为异常,VRRP虚拟地址状态异常,为Master。如下图所示。
图4-141 主设备上高可靠性
业务切回主设备上,文件下载成功,没有异常,如下图所示。
图4-142 test file.ipe文件下载成功
业务接口正常,设配状态正常、负载均衡设备到网关或中间网络三层设配ping不通,可能用到此方式
高可靠性环境搭建和负载均衡业务配置请参见4.6.5 配置步骤
以下配置均需要在主备机上分别配置
(1) 配置NQA
在导航栏中选择“系统 > 高可靠性 > NQA”,进入NQA页面。
单击<新建>按钮,进入NQA配置页面, 添加测试组管理员名称为admin,操作标签为ping,测试类型为ICMP-echo,目的地址为10.0.0.10 测试时间间隔为3000毫秒,勾选开启历史记录保存功能,保存历史记录的个数为10,启动测试选择立即启动,测试持续时间选择永久。如下图所示。
图4-143 创建NQA
为NQA添加告警监控组
单击<新建>按钮,添加告警组编号为1,监控对象选择probe-fail,阈值类型选择连续次数,失败次数为3,触发的动作选择触发其他模块联动。如下图所示。
图4-144 添加NQA告警监控组
点击<确定>按钮后,再次点击<确定>按钮完成操作。
(2) 配置Track
在导航栏中选择“系统 > 高可靠性 > Track”,进入Track页面。
单击<新建>按钮,进入Track配置页面,添加Track项为1,检测模块选择NQA,测试组管理员名称为admin,操作标签为ping,联动xiang序号为1。如下图所示。
图4-145 创建Track项
点击<确定>按钮,完成操作。
(3) 配置高可靠性监控项
在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
单击<配置>按钮,进入高可靠性配置页面,在监控项处选择联动Track项,点击<引用>选择Track项为1。
图4-146 主设备上配置高可靠性监控项
点击<确定>按钮后,再次点击<确定>按钮完成操作。
当主设备到NQA目的地址10.0.0.10链路出现故障时,在主设备上在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在主设备上运行模式是主备模式,配置管理角色是主管理设备,运行状态为备用状态,心跳状态为正常,VRRP虚拟地址状态异常,为Backup,监控项TRACK1状态异常,为Negative。如下图所示。
图4-147 主设备上高可靠性
在备设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在备设备上,运行模式是主备模式,配置管理角色是从管理设备,运行状态为主用状态,心跳状态为正常,VRRP虚拟地址状态异常,为Master,监控项TRACK1状态正常,为Positive。如下图所示。
图4-148 备设备上高可靠性
主设备到NQA目的地址10.0.0.10链路恢复正常后,当备设备到NQA目的地址10.0.0.10链路出现故障时,在主设备上在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在主设备上,运行模式是主备模式,配置管理角色是主管理设备,运行状态为主用状态,心跳状态为正常,VRRP虚拟地址状态正常,为Master,监控项TRACK1状态正常,为Positive。如图所示。
图4-149 主设备上高可靠性
在备设备上,在导航栏中选择“系统 > 高可靠性 > 高可靠性”,进入高可靠性页面。
在备设备上,运行模式是主备模式,配置管理角色是从管理设备,运行状态为备用状态,心跳状态为正常,VRRP虚拟地址状态正常,为Backup,监控项TRACK1状态异常,为Negative。如下图所示。
图4-150 备设备上高可靠性
#
nqa template icmp icmp
#
interface Route-Aggregation10.1
ip address 10.0.0.253 255.255.255.0
vrrp vrid 1 virtual-ip 10.0.0.1 active
vlan-type dot1q vid 3001
#
interface Route-Aggregation10.2
ip address 192.168.1.1 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.254 active
vlan-type dot1q vid 3002
#
remote-backup group
data-channel interface Route-Aggregation1
configuration sync-check interval 12
local-ip 1.1.1.1
remote-ip 1.1.1.2
device-role primary
#
loadbalance snat-pool snat
ip range start 192.168.1.101 end 192.168.1.112
arp-nd interface Route-Aggregation10.2
#
server-farm sf1
predictor hash address source
probe icmp
snat-pool snat
success-criteria at-least 1
real-server rs1 port 0
success-criteria at-least 1
real-server rs2 port 0
success-criteria at-least 1
real-server rs3 port 0
success-criteria at-least 1
#
real-server rs1
ip address 192.168.1.3
#
real-server rs2
ip address 192.168.1.4
#
real-server rs3
ip address 192.168.1.5
#
virtual-server vs type tcp
virtual ip address 61.159.4.100
default server-farm sf1
connection-sync enable
sticky-sync enable global
vrrp vrid 1 interface Route-Aggregation10.1
service enable
#
#
nqa template icmp icmp
#
interface Route-Aggregation10.1
ip address 10.0.0.254 255.255.255.0
vrrp vrid 1 virtual-ip 10.0.0.1 standby
vlan-type dot1q vid 3001
#
interface Route-Aggregation10.2
ip address 192.168.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.254 standby
vlan-type dot1q vid 3002
#
remote-backup group
data-channel interface Route-Aggregation1
configuration sync-check interval 12
local-ip 1.1.1.2
remote-ip 1.1.1.1
device-role secondary
#
loadbalance snat-pool snat
ip range start 192.168.1.101 end 192.168.1.112
arp-nd interface Route-Aggregation10.2
#
server-farm sf1
predictor hash address source
probe icmp
snat-pool snat
success-criteria at-least 1
real-server rs1 port 0
success-criteria at-least 1
real-server rs2 port 0
success-criteria at-least 1
real-server rs3 port 0
success-criteria at-least 1
#
real-server rs1
ip address 192.168.1.3
#
real-server rs2
ip address 192.168.1.4
#
real-server rs3
ip address 192.168.1.5
#
virtual-server vs type tcp
virtual ip address 61.159.4.100
default server-farm sf1
connection-sync enable
sticky-sync enable global
vrrp vrid 1 interface Route-Aggregation10.1
service enable
#
随着互联网以及各行各业数字化转型的蓬勃发展,网络承载的业务越来越多,越来越重要。如何在保证网络可靠性、业务不间断传输的基础上优化网络性能、灵活扩展网络成为网络建设中必须要解决的问题。
在网络关键位置上如果只使用一台设备的情况下,无论其可靠性多高,都会存在因设备单点故障而导致网络中断的风险。因此,通常会在网络的关键位置部署两台设备,同时组建OSPF(Open Shortest Path First,路由选择的开放性协议)组网,在提升网络可靠性和业务运行稳定性的基础上,优化网络性能以及灵活扩展网络结构。使用两台负载均衡设备搭建高可靠性OSPF主备组网,Device A作为主设备,Device B作为备设备。当Device A设备或其他链路出现故障时,业务能够被Device B设备接替继续运行业务,保证业务不中断(业务流量默认不主动回切),提升网络性能。
图4-151 高可靠性OSPF组网图
为实现两台负载均衡设备其中一台故障时,另外一台能够接替运行业务,需要完成如下配置:
· 接口下的地址、OSPF相关配置需要在两台设备上分别进行配置下发。
· 高可靠性相关配置需要在两台设备上分别进行配置下发,将两台设备之间直连的接口聚合作为高可靠性控制通道接口和数据通道接口。配置高可靠性,指定主从管理设备角色,指定控制通道和数据通道,开启配置自动备份和热备功能。
· 路由,健康检测等不备份的基础配置需要在两台设备上分别进行配置下发。
本举例是在L5000-AD830的Ess 1171P1521上进行配置和验证的。
· 对负载均衡业务相关可备份的配置进行删除、修改操作时,需要在高可靠性主管理设备上进行操作,同步给高可靠性从管理设备,切勿在高可靠性从管理设备上进行修改删除操作,防止两个设备上的配置不一致。主管理设备上已有的负载均衡配置,会在开启自动同步配置信息功能后进行一次批量备份,或通过手动同步配置信息到高可靠性从管理设备上。对于路由、健康检测等不备份但需要保持一致的配置,需要在两个设备上分别进行操作配置下发。
· 接口IP地址,路由等相关配置,需要在主管理设备和从管理设备上同时手动配置并各自保存为基本配置。负载均衡相关的ISP文件,SSL卸载相关的证书文件,自定义监控所需的脚本文件等文件类操作需要在两台设备上分别进行导入下发,并各自进行保存。
· 目前支持配置信息同步的业务模块如下:
¡ 资源类:VPN实例、ACL(acl copy命令不支持同步)、对象组、时间段、安全域、会话管理、APR、AAA。
¡ DPI相关模块:应用层检测引擎、IPS、URL过滤、数据过滤、文件过滤、防病毒、数据分析中心、WAF。
¡ 策略类:安全策略、ASPF、攻击检测与防范(blacklist ip命令不支持同步)、连接数限制、NAT、AFT、负载均衡、带宽管理、应用审计与管理、共享上网管理、代理策略。
¡ 日志类:快速日志输出(customlog host source命令不支持同步)、Flow日志(userlog flow export source-ip命令不支持同步)。
¡ VPN类:SSL VPN。
¡ 其他类:VLAN、信息中心(info-center loghost source命令不支持同步)
· 高可靠性数据通道和控制通道推荐使用静态聚合。
· 基础配置和业务配置配置完成后分别save保存配置。
· 高可靠性组网中主备组网中,主设备故障时,流量自动切换到对端设备进行处理。缺省情况下,当原主设备恢复正常时,流量不回切。这时如果需要流量再次回到原主设备进行处理,可以开启主动抢占功能,并设置延迟切换时间保证业务能够平滑切回,延迟回切时间为0表示不回切。
· 负载均衡配置snat地址池时,基于地址拆分。SNAT地址池中的地址与设备连接服务器端接口的IP地址在同一网段时,必须在该SNAT地址池下配置指定免费发送ARP或ND报文接口,指定的接口是设备连接服务器的接口。不在同一网段时,则SNAT地址池下无需指定免费发送ARP或ND报文接口。
以下验证过程在LB设备上进行。
在导航栏中选择“系统>高可靠性>高可靠性”,点击“主备模式”,进入双机热备页面。
单击<配置>按钮,进入双机热备配置页面,管理角色模式选择手动模式,管理角色选择主管理设备,本端地址为1.1.1.1,对端IP地址为1.1.1.2,数据通道选择三层聚合口1,配置信息一致性检查开启,时间间隔为12小时,路由联动中OSPF cost绝对值设置为6000。
如下图所示。
图4-152 配置双机热备
单击<确定>按钮,完成操作。
在导航栏中选择“网络>路由>OSPF”,进入OSPF列表页面。
单击<新建>按钮,选择版本为OSPFv2,实例名称为1,路由器标识为41.1.1.1。
如下图所示。
图4-153 配置OSPF实例
单击<确定>按钮,完成操作。
图1-4 配置OSPF区域
单击<OSPF区域数目>,进入区域配置页面。
单击<新建>,添加区域ID为0.0.0.0,网段地址为10.0.0.1/24、192.168.2.1/24的OSPFv2区域。
单击<确定>按钮,完成操作。
在导航栏中选择“系统>高可靠性>高可靠性”,点击“主备模式”,进入双机热备页面。
单击<配置>按钮,进入双机热备配置页面,选择开启双机热备,管理角色模式选择手动模式,管理角色选择从管理设备,本端地址为1.1.1.2,对端IP地址为1.1.1.1,数据通道选择三层聚合口1,配置信息一致性检查开启,时间间隔为12小时,路由联动中OSPF cost绝对值设置为6000。。
如下图所示。
图4-154 配置高可靠性
单击<确定>按钮,完成操作。
在导航栏中选择“网络>路由>OSPF”,进入OSPF列表页面。
单击<新建>按钮,选择版本为OSPFv2,实例名称为1,路由器标识为41.1.1.8。
如下图所示。
图4-155 配置OSPF实例
单击<确定>按钮,完成操作。
图1-6 配置OSPF区域
单击<OSPF区域数目>,进入区域配置页面。
单击<新建>,添加区域ID为0.0.0.0,网段地址为10.0.0.2/24、192.168.2.2/24的OSPFv2区域。
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>全局配置>健康检测”,进入健康检测模板页面。
单击<新建>按钮,添加健康模板名称为icmp,类型为ICMP的健康检测模板,配置两次探测开始时间的时间间隔3000ms,配置连续探测成功的次数为1。
如下图所示。
图4-156 添加健康检测模板
单击<确定>按钮,完成操作。
配置snat源地址池的目的是为了隐藏客户端源地址,保证客户的隐私性,同时由于服务器没有直接通往客户端的路由,所以响应报文可利用snat源地址池经由设备,顺利回到客户端。
在导航栏中选择“负载均衡>全局配置>源地址池”,进入源地址池列表页面。
单击<新建>按钮,新建基于地址拆分的源地址池snat,配置地址范围为192.168.2.11~192.168.2.14,配置发送免费ARP或ND报文的接口。
如下图所示。
图4-157 添加源地址池
在导航栏中选择“负载均衡>应用负载>实服务组”,进入实服务组页面。
单击<新建>,添加实服务组名称为sf1,调度算法为源IP地址哈希,目的是为了同一个客户端的业务请求每次能够被相同的服务器处理,健康检测选择icmp,源地址转换方式选择源地址池,源地址池名称选择snat,如下图所示。
图4-158 添加实服务组
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组”,进入实服务组页面。
编辑实服务组sf1,单击添加成员列表,新建实服务器名称为rs1,实服务器IP地址为192.168.1.3,如下图所示。
图4-159 添加实服务组成员
图4-160 添加实服务器
单击<确定>按钮,完成操作。
创建实服务器rs2、rs3与创建rs1步骤相同。
在导航栏中选择“负载均衡>应用负载>实服务组”,编辑实服务组sf1,单击添加成员列表,参照上图创建实服务器rs2和rs3,分别配置其IPv4地址为192.168.1.4和192.168.1.5。
如图所示。
图4-161 实服务组成员列表
单击<确定>按钮,完成操作。
创建TCP类型的虚服务器vs,配置其VSIP为61.159.4.100,并开启虚服务。
在导航栏中选择“负载均衡>应用负载>虚服务器”,进入虚服务器页面。
单击<新建>按钮,添加虚服务器名称为vs,类型选择TCP,引用实服务组sf1,并开启虚服务。
如下图所示。
图4-162 新建虚服务器
单击<确定>,完成操作。
在主设备上,在导航栏中选择“系统>高可靠性>高可靠性”,进入双机热备页面。
双机热备建立成功后,在主设备上,运行模式是主备模式,管理角色是主管理设备,运行状态为主用状态,控制通道接口状态为正常,OSPF当前状态为高可靠性未调整路由开销值。
如图所示。
图4-163 主设备上双机热备
在备设备上,在导航栏中选择“系统>高可靠性>高可靠性”,进入双机热备页面。
双机热备建立成功后,在备设备上,运行模式是主备模式,管理角色是从管理设备,运行状态为备用状态,控制通道接口状态为正常,OSPF的当前状态为高可靠性调整路由开销的绝对值为6000。
如图所示。
图4-164 备设备上高可靠性
在主设备上,在导航栏中选择“网络>路由>OSPF”,进入OSPF页面。
OSPF组网建立成功后,在主设备上,显示已启用接口数目为2,邻居数目为2。
如图所示。
图1-15 主设备上OSPF状态
主设备上查看ospf组网邻居状态,其中41.1.1.2和41.1.1.3为对端交换机的router id。
RBM_P[H3C-2]dis ospf peer
OSPF Process 1 with Router ID 41.1.1.8
Neighbor Brief Information
Area: 0.0.0.0
Router ID Address Pri Dead-Time State Interface
41.1.1.2 10.0.0.3 1 38 Full/DR RAGG1.1
41.1.1.3 192.168.2.3 1 36 Full/DR RAGG1.2
在备设备上,在导航栏中选择“网络>路由>OSPF”,进入OSPF页面。
OSPF组网建立成功后,在备设备上,显示已启用接口数目为2,邻居数目为2。
如图所示。
图1-15 备设备上OSPF状态
备设备上查看ospf组网邻居状态,其中41.1.1.4和41.1.1.5为对端交换机的router id。
RBM_S[H3C-1]dis ospf peer
OSPF Process 1 with Router ID 41.1.1.8
Neighbor Brief Information
Area: 0.0.0.0
Router ID Address Pri Dead-Time State Interface
41.1.1.4 10.0.0.4 1 39 Full/DR RAGG1.1
41.1.1.5 192.168.2.4 1 30 Full/DR RAGG1.2
Host向地址61.159.4.100发起FTP的请求,访问成功后,在设备上在导航栏“监控>应用负载>虚服务器>实时统计”,进入虚服务器统计页面。
主设备正常工作情况下,主设备上的虚服务器统计有并发数和带宽统计,备设备上只有并发数统计。
如图所示。
图4-165 主设备上的虚服务器统计
图4-166 备设上的虚服务器统计
主设备状态正常时,Host向地址61.159.4.100发起icmp ping请求,没有丢包,如下图所示。
图4-167 icmp ping业务状态
(1)手动切换主备状态
在主设备上,在导航栏中选择“系统>高可靠性>高可靠性”,进入双机热备页面。点击<状态切换>即可手动切换主备状态。
如下图所示。
图4-168 手动切换主备状态
手动切换完成后,在主设备上运行模式是主备模式,管理角色是主管理设备,运行状态为备用状态,控制通道接口状态为正常,OSPF的当前状态为高可靠性调整路由开销的绝对值为6000。
如下图所示。
图4-169 主设备上双机热备状态
在备设备上,在导航栏中选择“系统>高可靠性>高可靠性”,进入双机热备页面。
双机热备建立成功后,在备设备上,运行模式是主备模式,管理角色是从管理设备,运行状态为主用状态,控制通道接口状态为正常,OSPF当前状态为高可靠性未调整路由开销值。
如下图所示。
图4-170 备设备上双机热备状态
业务切换到备设备上,Host继续向地址61.159.4.100发起icmp ping请求,没有丢包,如下图所示。
图4-171 icmp ping业务状态
在备设备上,在导航栏中选择“监控>会话监控>会话列表”,进入会话列表页面。
业务切换到备设备上时,备设备上产生icmp会话,如下图所示。
图4-172 备设备上会话列表
在主设备上,在导航栏中选择“监控>会话监控>会话列表”,进入会话列表页面。
主设备上备份备设备上的icmp会话,如下图所示。
图4-173 主设备上会话列表
再次手动切换主备状态,使主设备的运行状态为主用状态,业务切回主设备上,没有丢包,如下图所示。
图4-174 icmp ping业务状态
(2)业务口故障
当主设备业务口故障时,在主设备上,在导航栏中选择“系统>高可靠性>高可靠性”,进入双机热备页面。
双机热备建立成功后,在主设备上,运行模式是主备模式,管理角色是主管理设备,运行状态为备用状态,控制通道接口状态为正常,OSPF的当前状态为高可靠性调整路由开销的绝对值为6000。
如下图所示。
图4-175 主设备上双机热备
在备设备上,在导航栏中选择“系统>高可靠性>高可靠性”,进入双机热备页面。
双机热备建立成功后,在备设备上,运行模式是主备模式,管理角色是从管理设备,运行状态为主用状态,控制通道接口状态为正常,OSPF当前状态为高可靠性未调整路由开销值。
如下图所示。
图4-176 备设备上双机热备
业务切换到备机上,Host继续向地址61.159.4.100发起icmp ping请求,没有丢包,如下图所示。
图4-177 icmp ping业务状态
在备设备上,在导航栏中选择“监控>会话监控>会话列表”,进入会话列表页面。
业务切换到备设备上时,备设备上产生icmp会话,如下图所示。
图4-178 备设备上会话列表
在主设备上,在导航栏中选择“监控>会话监控>会话列表”,进入会话列表页面。
主设备上备份备设备上的icmp会话,如下图所示。
图4-179 主设备上会话列表
主设备业务口恢复正常后,备设备业务口发生故障时,在主设备上,在导航栏中选择“系统>高可靠性>高可靠性”,进入双机热备页面。
双机热备建立成功后,在主设备上,运行模式是主备模式,管理角色是主管理设备,运行状态为主用状态,控制通道接口状态为正常,OSPF当前状态为高可靠性未调整路由开销值。
如下图所示。
图4-180 主设备上双机热备
在备设备上,在导航栏中选择“系统>高可靠性>高可靠性”,进入双机热备页面。
双机热备建立成功后,在备设备上,运行模式是主备模式,管理角色是从管理设备,运行状态为备用状态,控制通道接口状态为正常,OSPF的当前状态为高可靠性调整路由开销的绝对值为6000。
如下图所示。
图4-181 备设备上双机热备
业务切回主设备上,没有丢包,如下图所示。
图4-182 icmp ping业务状态
#
ospf 1 router-id 41.1.1.1
area 0.0.0.0
network 10.0.0.1 0.0.0.3
network 192.168.2.1 0.0.0.3
#
nqa template icmp icmp
frequency 3000
reaction trigger probe-pass 1
#
interface Route-Aggregation1
ip address 1.1.1.1 255.255.0.0
#
remote-backup group
data-channel interface Route-Aggregation1
configuration sync-check interval 12
adjust-cost ospf enable absolute 6000
local-ip 1.1.1.1
remote-ip 1.1.1.2
device-role primary
#
loadbalance snat-pool snat
ip range start 192.168.2.10 end 192.168.2.12
arp-nd interface Route-Aggregation10.2
#
server-farm sf1
predictor hash address source
probe icmp
snat-pool snat
success-criteria at-least 1
real-server rs1 port 0
success-criteria at-least 1
real-server rs2 port 0
success-criteria at-least 1
real-server rs3 port 0
success-criteria at-least 1
#
real-server rs1
ip address 192.168.1.3
#
real-server rs2
ip address 192.168.1.4
#
real-server rs3
ip address 192.168.1.5
#
virtual-server vs type tcp
virtual ip address 61.159.4.100
default server-farm sf1
connection-sync enable
sticky-sync enable global
service-down-action reset
service enable
#
#
ospf 1 router-id 41.1.1.8
area 0.0.0.0
network 10.0.0.2 0.0.0.3
network 192.168.2.2 0.0.0.3
#
nqa template icmp icmp
frequency 3000
reaction trigger probe-pass 1
#
interface Route-Aggregation1
ip address 1.1.1.2 255.255.0.0
#
remote-backup group
data-channel interface Route-Aggregation1
configuration sync-check interval 12
adjust-cost ospf enable absolute 6000
local-ip 1.1.1.2
remote-ip 1.1.1.1
device-role secondary
#
loadbalance snat-pool snat
ip range start 192.168.1.101 end 192.168.1.112
arp-nd interface Route-Aggregation10.2
#
server-farm sf1
predictor hash address source
probe icmp
snat-pool snat
success-criteria at-least 1
real-server rs1 port 0
success-criteria at-least 1
real-server rs2 port 0
success-criteria at-least 1
real-server rs3 port 0
success-criteria at-least 1
#
real-server rs1
ip address 192.168.1.3
#
real-server rs2
ip address 192.168.1.4
#
real-server rs3
ip address 192.168.1.5
#
virtual-server vs type tcp
virtual ip address 61.159.4.100
default server-farm sf1
connection-sync enable
sticky-sync enable global
service-down-action reset
service enable
#
如图所示,Host发起访问虚服务器的地址,通过LB设备对3台服务器进行访问,三台服务器均可提供HTTP服务,访问服务器的流量将在三台服务器之间负载分担,LB设备上配置源地址哈希算法,每一个用户的请求必须分配到同一个服务器上。当其中一个实服务器出现健康检测震荡,建立在其他服务器上的相同源地址的用户依然要分配到同一个服务器上面去。此时源地址哈希算法必须和源地址持续性一起使用,以防止已有的用户业务出现闪断。
图5-1 基于源地址哈希与源地址持续性的七层负载组网图
为实现基于源地址哈希与源地址持续性的七层应用负载均衡,需要在LB设备上完成如下配置:
· LB设备上配置实服务组、实服务器、虚服务。
· 配置地址端口类型的持续性组,持续性方法为源地址。。
· 入方向交换机二层透传,网关在LB上,Host到LB路由可达,出方向交换机二层透传,网关在LB上,LB到服务器路由可达、服务器到LB路由可达。
本举例是在L5000-AD520-G的Release 9900P21版本上进行配置和验证的。
· Host到LB路由可达,LB到server路由可达,server到LB路由可达,服务器网关在LB上。
· 入方向跟出方向交换机均配置二层透传,网关都在LB上。
· 配置持续性方法为源地址持续性。
以下配置均在LB设备上进行。
在导航栏中选择“负载均衡>全局配置>健康检测”,进入健康检测模板页面。
单击<新建>,新建健康模板名称为t1,类型为TCP的健康检测模板,目的端口号为80,如下图所示。
图5-2 新建健康检测模板
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组”,进入实服务组页面。
单击<新建>,新建实服务组名称为sf1,调度算法为源IP地址哈希,健康检测方法选择t1,如下图所示。
图5-3 新建实服务组
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组,进入实服务组页面。
编辑实服务组sf1,添加成员列表,新建实服务器名称为rs1,实服务器IP地址为192.168.1.1,如下图所示。
图5-4 添加实服务组成员
图5-5 新建实服务器
单击<确定>按钮,完成操作。
创建实服务器rs2、rs3与创建rs1步骤相同:
在导航栏中选择“负载均衡>应用负载>实服务组”,编辑实服务组sf1,添加成员列表,参照上图步骤创建实服务器rs2和rs3,分别配置其IPv4地址为192.168.1.2和192.168.1.3。
图5-6 实服务组信息
在导航栏中选择“负载均衡>全局配置>持续性组”,单击<新建>按钮,创建地址端口类型的持续性sg-add,源地址持续性方法。
图5-7 新建地址端口类型的持续性组,源地址持续性方法
单击<确定>,完成操作。
创建TCP类型的虚服务器vs,配置其VSIP为61.159.4.100,应用实服务组sf1,并开启虚服务。
在导航栏中选择“负载均衡>应用负载>虚服务器”,进入虚服务器页面。
单击<新建>,新建虚服务器名称为vs,类型选择TCP,配置虚服务IP为61.159.4.100,实服务组为sf1,引用地址端口类型的持续性sg-add,开启虚服务,如下图所示。
图5-8 新建虚服务器
单击<确定>按钮,完成操作。
图5-9 查看实服务组sf状态
客户端向服务器发起一个源地址多个端口的HTTP请求,查看实服务器统计信息,只有rs1有流量:
图5-10 查看实服务器统计信息
图5-11 查看实服务组sf1状态
查看实服务器统计信息:由于虚服务配置了源地址持续性方法,当实服务器出现健康检测失败后又成功时,同一源地址,不同端口的请求仍然分配到同一台实服务器上。查看实服务器统计信息,仍然只有rs1有流量。
图5-12 查看实服务器统计信息
#
nqa template tcp t1
destination port 80
#
sticky-group sg-add type address-port
ip source
#
server-farm sf1
predictor hash address source
probe t1
success-criteria at-least 1
real-server rs1 port 0
success-criteria at-least 1
real-server rs2 port 0
success-criteria at-least 1
real-server rs3 port 0
success-criteria at-least 1
#
real-server rs1
ip address 192.168.1.1
#
real-server rs2
ip address 192.168.1.2
#
real-server rs3
ip address 192.168.1.3
#
virtual-server vs type tcp
virtual ip address 61.159.4.100
default server-farm sf1 sticky sg-add
connection-sync enable
sticky-sync enable global
service enable
#
如图所示,Host发起访问虚服务器的地址,通过LB设备对3台服务器进行访问,三台服务器均可提供HTTP服务,访问服务器的流量将在三台服务器之间负载分担。LB设备上配置最小连接算法和源地址持续性,在服务器负载分担不均匀的场景下,要求每一个用户发送的请求必须分配到同一个服务器上。配置温暖上线功能,当其中一个实服务器出现健康检测失败后又成功的情况下,所有的新建流量不会全部突发到这个服务器上,避免服务器出现反复up、down的问题。
图5-13 基于最小连接算法+源地址持续性+温暖上线的七层负载组网图
为实现基于最小连接算法+源地址持续性+温暖上线的七层应用负载均衡,需要在LB设备上完成如下配置:
· 实服务组上配置温暖上线功能。最小连接算法必须要和温暖上线一起使用的原因:如果出现服务器健康检测失败后又UP起来,所有的新建都会突发到这个服务器上面去,又导致这个服务器down掉,这样就会导致服务器反复UP,down。
· 配置地址端口类型的持续性组,持续性方法为源地址。
· 入方向交换机二层透传,网关在LB上,Host到LB路由可达,出方向交换机二层透传,网关在LB上,LB到服务器路由可达、服务器到LB路由可达。
本举例是在L5000-AD520-G的Release 9900P21版本上进行配置和验证的。
· Host到LB路由可达,LB到server路由可达,server到LB路由可达,服务器网关在LB上。
· 入方向跟出方向交换机均配置二层透传,网关都在LB上。
· 实服务组需要开启温暖上线功能。
· 持续性方法为源地址。
以下配置均在LB设备上进行。
在导航栏中选择“负载均衡>全局配置>健康检测”,进入健康检测模板页面。
单击<新建>,新建健康模板名称为t1,类型为TCP的健康检测模板,目的端口号为80,如下图所示。
图5-14 新建健康检测模板
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组”,进入实服务组页面。
单击<新建>,新建实服务组名称为sf1,调度算法为基于成员的加权最小连接算法,开启温暖上线功能,健康检测方法选择t1,如下图所示。
图5-15 新建实服务组
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组,进入实服务组页面。
编辑实服务组sf1,添加成员列表,新建实服务器名称为rs1,实服务器IP地址为192.168.1.1,如下图所示。
图5-16 添加实服务组成员
图5-17 新建实服务器
单击<确定>按钮,完成操作。
创建实服务器rs2、rs3与创建rs1步骤相同:
在导航栏中选择“负载均衡>应用负载>实服务组”,编辑实服务组sf1,添加成员列表,参照上图步骤创建实服务器rs2和rs3,分别配置其IPv4地址为192.168.1.2和192.168.1.3。
图5-18 实服务组信息
在导航栏中选择“负载均衡>全局配置>持续性组”,单击<新建>按钮,创建地址端口类型的持续性sg-add,源地址持续性方法。
图5-19 新建地址端口类型的持续性组,源地址持续性方法
单击<确定>,完成操作。
创建TCP类型的虚服务器vs,配置其VSIP为61.159.4.100,应用实服务组sf1,并开启虚服务。
在导航栏中选择“负载均衡> 应用负载>虚服务器”,进入虚服务器页面。
单击<新建>,新建虚服务器名称为vs,类型选择TCP,配置虚服务IP为61.159.4.100,实服务组为sf1,引用地址端口类型的持续性sg-add,开启虚服务,如下图所示。
图5-20 新建虚服务器
单击<确定>按钮,完成操作。
图5-21 实服务器统计信息
图5-22 实服务器统计信息
客户端再次发起这个源地址的访问,查看实服务器流量统计,流量仍然分配到rs3上
图5-23 实服务器统计信息
图5-24 实服务组sf1状态
客户端向服务器发起HTTP请求,查看实服务器统计信息,rs1和rs2均匀分担流量:
图5-25 实服务器统计信息
图5-26 实服务组sf1状态
查看实服务器统计信息:由于实服务组配置温暖上线,当rs3健康检测成功后,所有的新建流量不会全部分配到rs3上面,查看三台实服务器,都有新建流量分配。查看rs3流量统计,rs3健康检测成功后,流量计数缓慢增加。
图5-27 实服务器统计信息
单击<刷新>按钮。
图5-28 实服务器统计信息
图5-29 实服务组sf1状态
客户端向服务器发起HTTP请求,查看实服务器统计信息,rs1和rs2均匀分担流量。
图5-30 实服务器统计信息
图5-31 实服务组sf1状态
查看实服务器统计信息:由于实服务组配置了最小连接算法,实服务组密钥配置温暖上线功能,当rs3健康检测成功后,所有的新建流量都会分配到rs3上面,查看rs3流量统计,rs3健康检测成功后,流量计数迅速增加。
图5-32 查看实服务器统计信息
单击<刷新>按钮。
图5-33 实服务器统计信息
#
nqa template tcp t1
destination port 80
#
server-farm sf1
predictor least-connection member
probe t1
success-criteria at-least 1
slow-online standby-time 15 ramp-up-time 30
real-server rs1 port 0
success-criteria at-least 1
real-server rs2 port 0
success-criteria at-least 1
real-server rs3 port 0
success-criteria at-least 1
#
real-server rs1
ip address 192.168.1.1
#
real-server rs2
ip address 192.168.1.2
#
real-server rs3
ip address 192.168.1.3
#
sticky-group sg-add type address-port
ip source
#
virtual-server vs type tcp
virtual ip address 61.159.4.100
default server-farm sf1 sticky sg-add
connection-sync enable
sticky-sync enable global
service enable
#
如图所示,Host通过LB设备对6台服务器进行访问,6台服务器Server A、Server B、Server C、Server D、Server E、Server F均可提供HTTP服务;Host访问服务器的流量会根据Host访问的URL在六台服务器之间负载分担:URL中含有sports、government、news的请求分给Server A和Server D,URL中含有finance、technology、shopping的请求分给Server B和ServerE,其他URL的请求分给ServerC和Server F。
图6-1 基于URL的七层负载组网图
为实现基于URL的七层应用负载均衡,需要在LB设备上完成如下配置:
· LB设备上配置实服务组、实服务器、虚服务。
· 配置策略,类和动作,类中配置匹配URL的规则,使得URL中含有sports、government、news的请求分给Server A和Server D,URL中含有finance、technology、shopping的请求分给Server B和Server E,其他URL的请求分给Server C和Server F。
本举例是在L5000-AD520-G的Release 9900P21版本上进行配置和验证的。
· Host到LB路由可达,LB到server路由可达,server到LB路由可达,服务器网关在LB上。
· 入方向跟出方向交换机均配置二层透传,网关都在LB上。
· 如果一个HTTP带有多个请求,请配置逐请求负载均衡。
以下配置均在LB设备上进行。
在导航栏中选择“负载均衡>全局配置>健康检测”,进入健康检测模板页面。
单击<新建>,新建健康模板名称为t1,类型为HTTP的健康检测模板,预期接收状态码为200,如下图所示。
图6-2 新建健康检测模板
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组”,进入实服务组页面。
单击<新建>,新建实服务组名称为sf1,调度算法为源IP地址哈希,健康检测方法选择t1,如下图所示。
图6-3 新建实服务组
单击<确定>按钮,完成操作。
创建实服务组sf2、sf3与sf1步骤相同。
图6-4 实服务组信息
在导航栏中选择“负载均衡>应用负载>实服务组,进入实服务组页面。
编辑实服务组sf1,添加成员列表,新建实服务器名称为rs1,实服务器IP地址为192.168.1.1,如下图所示。
图6-5 添加实服务组成员
图6-6 新建实服务器
单击<确定>按钮,完成操作。
图6-7 实服务器信息
单击<确定>按钮,完成操作。
创建其余5个实服务器与配置rs1步骤相同:
在导航栏中选择“负载均衡>应用负载>实服务组”,编辑实服务组sf1,添加成员列表,参照上图步骤创建实服务器rs11,配置其IPv4地址为192.168.1.11。
在导航栏中选择“负载均衡>应用负载>实服务组”,编辑实服务组sf2,添加成员列表,参照上图步骤创建实服务器rs2和rs12,分别配置其IPv4地址为192.168.1.2和192.168.1.12。
在导航栏中选择“负载均衡>应用负载>实服务组”,编辑实服务组sf3,添加成员列表,参照上图步骤创建实服务器rs3和rs13,分别配置其IPv4地址为192.168.1.3和192.168.1.13。
创建HTTP Cookie类型的持续性组。配置持续性方法为Cookie插入,名字为cookie1。(Cookie插入,即在服务器发送的HTTP应答报文中插入Set-cookie字段用于持续性处理)。
在导航栏中选择“负载均衡>全局配置>持续性组”,进入持续性组页面。
单击<新建>,新建持续组名称为sg1,类型为http-cookie,Cookie持续性方法:Cookie插入,Cookie名称为cookie1,如下图所示。
图6-8 新建持续性组
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>高级策略>流量特征”,进入流量特征页面。
单击<新建>,新建流量特征名称为lc1,类型选择HTTP,匹配方式为匹配任意一条规则:
· match ID为1,类型选择URL,URL为sports,单击<确定>。
· match ID为2,类型选择URL,URL为news,单击<确定>。
· match ID为3,类型选择URL,URL为government,单击<确定>。
图6-9 新建流量特征lc1
单击<确定>按钮,完成操作。
单击<确定>按钮,完成操作。
单击<确定>,完成操作。
图6-10 流量特征信息
创建lc2与lc1步骤相同,配置参数如下图所示。
图6-11 流量特征lc2信息
在导航栏中选择“负载均衡>应用负载>高级策略>动作”,进入动作页面。
单击<新建>,新建动作名称为la1,类型选择HTTP,主用实服务组sf1,持续性组为sg1,如下图所示。
图6-12 新建动作信息
单击<确定>,完成操作。
负载均衡动作la2、la3与la1创建步骤相同,la2主用实服务组sf2,la3主用实服务组sf3,la2、la3配置参数分别如图6-13、图6-14所示。
图6-13 la2配置参数
图6-14 la3配置参数
在导航栏中选择“负载均衡>应用负载>高级策略>负载均衡策略”,进入负载均衡策略页面。
单击<新建>,新建策略名称为lp1,类型选择HTTP,规则单击<新建>,流量特征选择lc1,动作选择la1,单击<确定>;再次单击<新建>,流量特征选择lc2,动作选择la2,单击<确定>;默认动作选择la3,如下图所示。
图6-15 新建策略信息
单击<确定>,完成操作。
图6-16 策略lp1配置信息
单击<确定>,完成操作。
在导航栏中选择“负载均衡>应用负载>参数模板”,进入参数模板页面。
单击<新建>,新建参数模板名称为pp1,类型选择HTTP,开启逐请求负载均衡,如下图所示。
图6-17 新建参数模板信息
单击<确定>,完成操作。
创建HTTP类型的虚服务vs,配置其VSIP为61.159.4.100,应用负载均衡策略lp1,以及参数模板pp1,并开启虚服务。
在导航栏中选择“负载均衡>应用负载>虚服务器”,进入虚服务器页面。
单击<新建>,新建虚服务器名称为vs,类型选择HTTP,配置虚服务IP为61.159.4.100,应用负载均衡策略lp1,以及参数模板pp1,并开启虚服务,如下图所示。
图6-18 新建虚服务器
单击<确定>,完成操作。
虚服务有统计信息:
图6-19 虚服务统计信息
当发起URL中包含sports、news、government的请求时,流量特征匹配lc1,此时rs11有流量统计:
图6-20 实服务统计信息
当发起URL中包含finance、technology、shopping的请求时,流量特征匹配lc2,此时rs12有流量统计:
图6-21 实服务统计信息
当发起URL中包含aaa的请求时,流量特征匹配不上lc1和lc2,走默认的lc3,此时rs13有流量统计:
图6-22 实服务统计信息
同时发起URL中包含aaa、sports、news、government、 finance、technology、shopping的请求,统计如下:
图6-23 虚服务统计信息
图6-24 实服务组统计信息
图6-25 实服务统计信息
图6-26 客户端抓包报文
查看实服务器统计只有rs11命中:
图6-27 实服务统计信息
再次发起带有这个Cookie值的报文请求:Cookie: cookie1=2.8.3267f431.0,查看持续性生效,只有rs11有统计:
图6-28 实服务统计信息
#
nqa template http t1
expect status 200
#
server-farm sf1
predictor hash address source
probe t1
success-criteria at-least 1
real-server rs1 port 0
success-criteria at-least 1
real-server rs11 port 0
success-criteria at-least 1
#
server-farm sf2
predictor hash address source
probe t1
success-criteria at-least 1
real-server rs2 port 0
success-criteria at-least 1
real-server rs12 port 0
success-criteria at-least 1
#
server-farm sf3
predictor hash address source
probe t1
success-criteria at-least 1
real-server rs3 port 0
success-criteria at-least 1
real-server rs13 port 0
success-criteria at-least 1
#
real-server rs1
ip address 192.168.1.1
#
real-server rs11
ip address 192.168.1.11
#
real-server rs2
ip address 192.168.1.2
#
real-server rs12
ip address 192.168.1.12
#
real-server rs3
ip address 192.168.1.3
#
real-server rs13
ip address 192.168.1.13
#
loadbalance class lc1 type http match-any
match 1 url sports
match 2 url news
match 3 url government
#
loadbalance class lc2 type http match-any
match 1 url finance
match 2 url technology
match 3 url shopping
#
loadbalance action la1 type http
server-farm sf1 sticky sg1
#
loadbalance action la2 type http
server-farm sf2 sticky sg1
#
loadbalance action la3 type http
server-farm sf3 sticky sg1
#
loadbalance policy lp1 type http
class lc1 action la1
class lc2 action la2
default-class action la3
#
sticky-group sg1 type http-cookie
cookie insert name cookie1
check all-packet
#
parameter-profile pp1 type http
rebalance per-request
#
virtual-server vs type http
virtual ip address 61.159.4.100
parameter http pp1
lb-policy lp1
sticky-sync enable global
service enable
#
如图所示,Host访问域名,通过DNS server将域名解析出虚服务器地址,Host发起访问虚服务器的地址,通过LB设备对3台服务器进行访问,三台服务器均可提供HTTP服务,访问服务器的流量将根据负载均衡策略在三台服务器之间负载分担。
图6-29 基于host的七层负载组网图
为实现基于host的七层应用负载均衡,需要在LB设备上完成如下配置:
· LB设备上配置实服务组、实服务器、虚服务。
· 配置策略,类和动作,类中配置匹配host的规则,使得host是www.example1.com的请求分给Server A,host是www.example2.com的请求分给Server B,host是www.example3.com的请求分给Server C。
· DNS server提供解析DNS域名的服务,解析域名后的地址返回给Host。
· LB虚服务地址是DNS域名解析后的地址,使得Host再次发起请求时是对虚服务的请求。
本举例是在L5000-AD520-G的Release 9900P21版本上进行配置和验证的。
· Host与DNS server路由可达,Host可以直接将DNS服务器指向DNS server。
· 入方向交换机二层透传,网关在LB上,Host到LB路由可达,出方向交换机二层透传,网关在LB上,LB到服务器路由可达、服务器到LB路由可达。
· DNS server解析域名的地址跟LB上虚服务的地址一致。
以下配置均在LB设备上进行。
在导航栏中选择“负载均衡>全局配置>健康检测”,进入健康检测模板页面。
单击<新建>,新建健康模板名称为t1,类型为HTTP的健康检测模板,预期接收状态码为200,如下图所示。
图6-30 新建健康检测模板
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组”,进入实服务组页面。
单击<新建>,新建实服务组名称为sf1,调度算法为源IP地址哈希,健康检测方法选择t1,如下图所示。
图6-31 新建实服务组
单击<确定>按钮,完成操作。
创建实服务组sf2、sf3与sf1步骤相同。
图6-32 实服务组信息
在导航栏中选择“负载均衡>应用负载>实服务组,进入实服务组页面。
编辑实服务组sf1,添加成员列表,新建实服务器名称为rs1,实服务器IP地址为192.168.1.1,如下图所示。
图6-33 添加实服务组成员
图6-34 新建实服务器
单击<确定>按钮,完成操作。
图6-35 实服务器信息
单击<确定>按钮,完成操作。
创建实服务器rs2、rs3与创建rs1步骤相同:
在导航栏中选择“负载均衡>应用负载>实服务组”,编辑实服务组sf2,添加成员列表,参照上图步骤创建实服务器rs2,配置其IPv4地址为192.168.1.2。
在导航栏中选择“负载均衡>应用负载>实服务组”,编辑实服务组sf3,添加成员列表,参照上图步骤创建实服务器rs3,配置其IPv4地址为192.168.1.3。
在导航栏中选择“负载均衡>应用负载>高级策略>流量特征”,进入流量特征页面,单击<新建>新建
流量特征名称为lc1,类型选择HTTP,匹配方式为匹配所有规则,Match ID为1,类型选择HTTP Header,Header名称为host,Header值为www.example1.com,如下图所示。
图6-36 新建流量特征
单击<确定>按钮,完成操作。
图6-37 流量特征信息
按照lc1的步骤依次分别新建lc2、lc3:
新建流量特征名称为lc2,类型选择HTTP,匹配方式为匹配所有规则,match ID为1,类型选择HTTP Header,Header名称为host,Header值为www.example2.com。
新建流量特征名称为lc3,类型选择HTTP,匹配方式为匹配所有规则,match ID为1,类型选择HTTP Header,Header名称为host,Header值为www.example3.com。
在导航栏中选择“负载均衡>应用负载>高级策略>动作”,进入动作页面。
单击<新建>,新建动作名称为la1,类型选择HTTP,主用实服务组sf1,如下图所示。
图6-38 新建动作信息
单击<确定>,完成操作。
创建la2、la3与la1步骤相同,la2主用实服务组是sf2,la3主用实服务组是sf3。
在导航栏中选择“负载均衡>应用负载>高级策略>负载均衡策略”,进入负载均衡策略页面。
单击<新建>,新建策略名称为lp1,类型选择HTTP,规则单击<新建>,流量特征选择lc1,动作选择la1,单击<确定>。再次单击<新建>,流量特征选择lc2,动作选择la2,单击<确定>。再次单击<新建>,流量特征选择lc3,动作选择la3,单击<确定>,如下图所示。
图6-39 新建策略
图6-40 新建策略信息
单击<确定>,完成操作。
创建HTTP类型的虚服务vs,配置其VSIP为61.159.4.100,应用负载均衡策略lp1,并开启虚服务。
在导航栏中选择“负载均衡>应用负载>虚服务器”,进入虚服务器页面。
单击<新建>,新建虚服务器名称为vs,类型选择HTTP,配置虚服务IP为61.159.4.100,应用负载均衡策略lp1,并开启虚服务,如下图所示。
图6-41 新建虚服务器
单击<确定>,完成操作。
图6-42 虚服务器统计信息
当发起访问www.example1.com请求时,流量特征匹配lc1,此时rs1有流量统计:
图6-43 实服务器统计信息
当发起访问www.example2.com请求时,流量特征匹配lc2,此时rs2有流量统计:
图6-44 查看实服务器统计信息
当发起访问www.example3.com请求时,流量特征匹配lc3,此时rs3有流量统计:
图6-45 查看实服务器统计信息
#
nqa template http t1
expect status 200
#
server-farm sf1
predictor hash address source
probe t1
success-criteria at-least 1
real-server rs1 port 0
success-criteria at-least 1
#
server-farm sf2
predictor hash address source
probe t1
success-criteria at-least 1
real-server rs2 port 0
success-criteria at-least 1
#
server-farm sf3
predictor hash address source
probe t1
success-criteria at-least 1
real-server rs3 port 0
success-criteria at-least 1
#
loadbalance class lc1 type http
match 1 header host value www.example1.com
#
loadbalance class lc2 type http
match 1 header host value www.example2.com
#
loadbalance class lc3 type http
match 1 header host value www.example3.com
#
loadbalance action la1 type http
server-farm sf1
#
loadbalance action la2 type http
server-farm sf2
#
loadbalance action la3 type http
server-farm sf3
#
loadbalance policy lp1 type http
class lc1 action la1
class lc2 action la2
class lc3 action la3
#
real-server rs1
ip address 192.168.1.1
#
real-server rs2
ip address 192.168.1.2
#
real-server rs3
ip address 192.168.1.3
#
virtual-server vs type http
virtual ip address 61.159.4.100
lb-policy lp1
sticky-sync enable global
service enable
#
如图所示,Host通过LB设备对3台服务器进行访问,三台服务器Server A、Server B和Server C均可提供HTTP服务;Host访问服务器的流量会根据三台服务器的优先级进行选择,如果实服务组中配置了限制调度的个数,实服务器优先级跟调度个数会共同对实服务器进行调度,实现负载分担。
图6-46 基于优先级调度七层服务器负载组网图
为实现基于优先级调度的七层应用负载均衡,需要在LB设备上完成如下配置:
· LB设备上配置实服务组、实服务器、虚服务。
· 若需要将流量只分配给优先级最高的服务器时,实服务组中配置可选择的实服务器的数量为1,实服务器配置不同的优先级分别为4、8、1。
· 若需要将流量分配给其中两台服务器时,实服务组中配置可选择的实服务器的数量为2,实服务器配置不同的优先级分别为4、8、1。
· 入方向交换机二层透传,网关在LB上,Host到LB路由可达,出方向交换机二层透传,网关在LB上,LB到服务器路由可达、服务器到LB路由可达。
本举例是在L5000-AD520-G的Release 9900P21版本上进行配置和验证的。
· Host到LB路由可达,LB到server路由可达,server到LB路由可达,服务器网关在LB上。
· 入方向跟出方向交换机均配置二层透传,网关都在LB上。
· 实服务组中配置可选择的实服务器数量,三台服务器配置不同的优先级。
以下配置均在LB设备上进行。
在导航栏中选择“负载均衡>全局配置>健康检测”,进入健康检测模板页面。
单击<新建>,新建健康模板名称为t1,类型为HTTP的健康检测模板,预期接收状态码为200,如下图所示。
图6-47 新建健康检测模板
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组”,进入实服务组页面。
单击<新建>,新建实服务组名称为sf1,调度算法为源IP地址哈希,健康检测方法选择t1,勾选“限制可被调度算法调用的实服务器数量”,最小数量与最大数量均配置成1,如下图所示。
图6-48 新建实服务组
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>应用负载>实服务组,进入实服务组页面。
编辑实服务组sf1,添加成员列表,新建实服务器名称为rs1,实服务器IP地址为192.168.1.1,优先级为4,实服务组选择sf1,如下图所示。
图6-49 添加实服务组成员
图6-50 新建实服务器
单击<确定>按钮,完成操作。
创建实服务器rs2、rs3与创建rs1步骤相同:
在导航栏中选择“负载均衡>应用负载>实服务组”,编辑实服务组sf1,添加成员列表,参照上图步骤创建实服务器rs2和rs3。rs2优先级为8,IPv4地址为192.168.1.2;rs3优先级为1,IPv4地址为192.168.1.3。
图6-51 实服务组信息
创建HTTP类型的虚服务器vs,配置其VSIP为61.159.4.100,应用实服务组sf1,并开启虚服务。
在导航栏中选择“负载均衡>应用负载>虚服务器”,进入虚服务器页面。
单击<新建>,新建虚服务器名称为vs,类型选择HTTP,配置虚服务器IP为61.159.4.100,指定默认实服务组sf1,并开启虚服务,如下图所示。
图6-52 新建虚服务器
单击<确定>按钮,完成操作。
图6-53 虚服务统计信息
图6-54 实服务器统计信息
图6-55 虚服务器统计信息
图6-56 实服务器统计信息
#
nqa template http t1
expect status 200
#
server-farm sf1
predictor hash address source
selected-server min 1 max 1
probe t1
success-criteria at-least 1
real-server rs1 port 0
success-criteria at-least 1
real-server rs2 port 0
priority 8
success-criteria at-least 1
real-server rs3 port 0
priority 1
success-criteria at-least 1
#
real-server rs1
ip address 192.168.1.1
#
real-server rs2
ip address 192.168.1.2
#
real-server rs3
ip address 192.168.1.3
#
virtual-server vs type http
virtual ip address 61.159.4.100
default server-farm sf1
sticky-sync enable global
service enable
#
SLB部署SNAT业务情况下,服务器需要基于客户端的地址做数据统计,在客户端请求报文中插入值。
如图所示,内网用户Host通过LB设备对3台服务器进行访问,公网内三台服务器Server A、Server B和Server C均可提供HTTP服务,Host访问服务器的流量会在三台服务器之间负载分担。要求Host访问流量进行源地址转换,且其中将访问URL含关键字government的客户端地址透传给实服务器C,以便实服务器甄别客户端做进一步安全性处理;其它URL流量在实服务器A和B之间负载分担。
图6-57 客户端源地址插入组网图
为了实现LB设备透传特定用户的客户端源地址,需要在LB设备上完成如下配置:
· 配置SNAT屏蔽客户端内网地址。
· 创建负载均衡策略,其中对于URL包含government的访问请求,动作中启用插入X-Forwarded-For字段以便携带客户端源地址;其它URL直接负载分担到实服务器。
· 创建HTTP类型的参数模板,开启每请求执行动作,对客户端的每个请求都插入源地址
本举例是在L5000-AD520-G的Release 9900P21版本上进行配置和验证的。
· 确保Host到LB设备的虚服务路由可达。
· 在LB设备上配置的实服务器地址要与相应的实服务器地址保持一致。
· SNAT地址池的地址与出接口同网段时,需要在地址池上配置免费发送ARP。
· HTTP报文中的首部内容为1~255个字符的字符串,也可以使用以下特定含义的字符串,说明:%is:源IP地址或源IPv6地址。%ps:源端口号。%id:目的IP地址或目的IPv6地址。%pd:目的端口号。
以下验证过程均在LB设备上进行。
在导航栏中选择“负载均衡>全局配置>健康检测”,进入健康检测模板页面。
单击<新建>,新建健康模板名称为t1,类型为HTTP的健康检测模板,预期接收状态码为200,如下图所示。
图6-58 新建健康检测模板
单击<确定>按钮,完成操作。
在导航栏中选择“负载均衡>全局配置>源地址池”,进入源地址池页面。
单击<新建>,新建源地址池名称为snat1,配置起始地址和结束地址为接口同网段公网地址192.168.1.253,配置发送免费ARP或ND报文的接口,如下图所示。
图6-59 新建源地址池
单击<确定>,完成操作。
图6-60 源地址池信息
单击<确定>,完成操作。
# 创建实服务组sf1,采用的调度算法为源IP地址哈希算法,选择源地址池snat1。
负载均衡>应用负载>实服务组,单击<新建>,新建实服务组名称为sf1,调度算法为源IP地址哈希,健康检测方法选择t1,源地址池选择snat1。
图6-61 新建实服务组sf1
单击<确定>按钮,完成操作。
# 创建实服务组sf2,采用的调度算法为加权轮转,选择源地址池snat1。
负载均衡>应用负载>实服务组,新建实服务组sf2,调度算法选择加权轮转,健康检测方法选择t1,源地址池选择snat1,单击<确定>。
图6-62 新建实服务组sf2
在导航栏中选择“负载均衡>应用负载>实服务组,进入实服务组页面。
编辑实服务组sf1,添加成员列表,新建实服务器rs1,IP地址为192.168.1.1,。单击<确定>。
图6-63 添加实服务组成员
图6-64 新建实服务器
单击<确定>按钮,完成操作。
创建实服务器rs2和rs3与创建rs1步骤相同
负载均衡>应用负载>实服务组,编辑实服务组sf1,添加成员列表,参照上图创建实服务器rs2,配置其IPv4地址为192.168.1.2。
负载均衡>应用负载>实服务组,编辑实服务组sf2,添加成员列表,参照上图创建实服务器rs3,配置其IPv4地址为192.168.1.3。
图6-65 实服务组信息
负载均衡>应用负载>高级策略>流量特征,新建HTTP类型的流量特征名称为lc1,识别访问请求中URL含government关键字的用户。
图6-66 新建流量特征
单击<确定>按钮,完成操作。
图6-67 流量特征信息
# 新建HTTP类型的动作名称为la1,为转发到实服务组sf2,并启用插入X-Forwarded-For字段。
负载均衡>应用负载>高级策略>动作,新建HTTP类型的动作名称为la1为转发到实服务组sf2,并启用插入X-Forwarded-For字段。
图6-68 新建动作
# 新建HTTP类型的动作名称为la2,为转发到实服务组sf1
负载均衡>应用负载>高级策略>动作,新建HTTP类型的动作名称为la2为转发到实服务组sf1。
图6-69 新建动作
# 创建HTTP类型的负载均衡策略lp1,配置默认动作为la2,流量特征为lc1的动作为为la1。
负载均衡>应用负载>高级策略>负载均衡策略,新建HTTP类型的策略名称为lp1,默认动作为la2,新建规则流量特征为lc1动作为la1。
图6-70 新建策略
单击<确定>,完成操作。
图6-71 新建策略信息
创建HTTP类型的参数模板,开启每请求执行动作。
在导航栏中选择“负载均衡>应用负载>参数模板”,单击<新建>,创建HTTP类型参数模板pp1,开启每请求执行动作。
图6-72 新建参数模板
创建HTTP类型的虚服务vs,配置其VSIP为61.159.4.100,应用负载均衡策略lp1,以及参数模板pp1,并开启虚服务。
在导航栏中选择“负载均衡>应用负载>虚服务器”,进入虚服务器页面。
单击<新建>,新建虚服务器名称为vs,类型选择HTTP,配置虚服务IP为61.159.4.100,应用负载均衡策略lp1,以及参数模板pp1,并开启虚服务,如下图所示。
图6-73 新建虚服务器
图6-74 虚服务统计信息
图6-75 实服务统计信息
图6-76 虚服务统计信息
图6-77 实服务统计信息
3.大量Host通过http:// 61.159.4.100访问HTTP服务器,访问成功,在服务器端抓包可以看到URL中含government的请求,且请求报文中含有名字为x-forwarded-for、值为客户源地址的Header
#
nqa template http t1
expect status 200
#
loadbalance snat-pool snat1
ip range start 192.168.1.252 end 192.168.1.252
arp-nd interface Route-Aggregation1.20
#
server-farm sf1
predictor hash address source
snat-pool snat1
probe t1
success-criteria at-least 1
real-server rs1 port 0
success-criteria at-least 1
real-server rs2 port 0
success-criteria at-least 1
#
server-farm sf2
snat-pool snat1
probe t1
success-criteria at-least 1
real-server rs3 port 0
success-criteria at-least 1
#
loadbalance class lc1 type http
match 1 url government
#
loadbalance action la1 type http
server-farm sf2
header insert request name X-Forwarded-For value %is
#
loadbalance action la2 type http
server-farm sf1
#
loadbalance policy lp1 type http
class lc1 action la1
default-class action la2
#
real-server rs1
ip address 192.168.1.1
#
real-server rs2
ip address 192.168.1.2
#
real-server rs3
ip address 192.168.1.3
#
parameter-profile pp1 type http
header modify per-request
#
virtual-server vs type http
virtual ip address 61.159.4.100
parameter http pp1
lb-policy lp1
sticky-sync enable global
service enable
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
