H3C的secBlade服務(wù)器負(fù)載均衡雙機(jī)熱備典型配置

1、H3CLB服務(wù)器負(fù)載均衡（雙機(jī)熱備）配置參考文檔密級(jí)LB服務(wù)器負(fù)載均衡（雙機(jī)熱備）配置參考HBCH3C Technologies Co., Limited, Copyright 2003-2009,All rights reserved杭州華三通信技術(shù)有限公司版權(quán)所有侵權(quán)必究10/26/2009H3C機(jī)密，未經(jīng)許可不得擴(kuò)散第2頁，共12頁H3CLB服務(wù)器負(fù)載均衡（雙機(jī)熱備）配置參考文檔密級(jí)刖言作為服務(wù)器負(fù)載均衡雙本文參考LB在江西電信網(wǎng)上營業(yè)廳實(shí)施方案更改,機(jī)熱備配置參考所用，如有不妥之處請指正，多謝。10/26/2009H3C機(jī)密，未經(jīng)許可不得擴(kuò)散第3頁，共12頁LB服務(wù)器負(fù)載均衡（雙機(jī)熱備

2、）配置參考文檔密級(jí)修訂記錄 Revision Records日期Date修訂版本Revision描述Description作者Author2009-7-29(V1.00)初稿0639910/26/2009H3C機(jī)密，未經(jīng)許可不得擴(kuò)散第4頁，共12頁H3CLB服務(wù)器負(fù)載均衡（雙機(jī)熱備）配置參考文檔密級(jí)1 組網(wǎng)拓?fù)洌?1.1 對組網(wǎng)拓?fù)湔f明： 51.2 LB上業(yè)務(wù)調(diào)用說明： 62 數(shù)據(jù)流量走向說明： 72.1 數(shù)據(jù)流量走向說明： 73 組網(wǎng)配置83.1 防火墻配置 83.2 S65 配置： 83.3 S75 配置 93.3.1 S75-01 配置： 93.3.2 S75-01 配置： 93.4 L

3、B 配置 103.4.1LB 配置： 10配己置注意事項(xiàng) 1210/26/2009H3C機(jī)密，未經(jīng)許可不得擴(kuò)散第5頁，共12頁H3CLB服務(wù)器負(fù)載均衡（雙機(jī)熱備）配置參考文檔密級(jí)1組網(wǎng)拓?fù)洌?10/26/2009H3C機(jī)密，未經(jīng)許可不得擴(kuò)散第6頁，共12頁H3CLB服務(wù)器負(fù)載均衡（雙機(jī)熱備）配置參考文檔密級(jí)10/26/2009H3C機(jī)密，未經(jīng)許可不得擴(kuò)散第#頁，共12頁H3CLB服務(wù)器負(fù)載均衡（雙機(jī)熱備）配置參考文檔密級(jí)10/26/2009H3C機(jī)密，未經(jīng)許可不得擴(kuò)散第#頁，共12頁H3CLB服務(wù)器負(fù)載均衡（雙機(jī)熱備）配置參考文檔密級(jí)10/26/2009H3C機(jī)密，未經(jīng)許可不得擴(kuò)散第#頁，共1

4、2頁H3CLB服務(wù)器負(fù)載均衡（雙機(jī)熱備）配置參考文檔密級(jí)圖1組網(wǎng)拓?fù)鋱D1.1 對組網(wǎng)拓?fù)湔f明：兩臺(tái)防火墻設(shè)備到外網(wǎng)做NAT server同時(shí)對外映射了 WEB Server服務(wù)器，兩臺(tái)S65交換機(jī)作為核心路由交換設(shè)備，下連WEB服務(wù)器和應(yīng)用服務(wù)器，服務(wù)器對外提供WEB訪問和用戶登陸查詢相關(guān)信息。兩臺(tái)防火墻啟用雙機(jī)熱備，實(shí)現(xiàn)業(yè)務(wù)冗余備份，同時(shí)配置兩個(gè) Vrrp組（做主備模式），對外網(wǎng)Vrrp組vrid 2（ 52 ）作為外網(wǎng)到內(nèi)網(wǎng)轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文 的下一跳（可以保證在防火墻），對內(nèi)vrrp組vrid 1 （ ）作為S65至V外網(wǎng)轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文的下一跳，防

5、火墻上兩個(gè)Vrrp做互相Track，保證上、下行數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)一致。S65交換機(jī)上也配置兩個(gè) Vrrp組，Vrrp組vrid6 （ ）作為防火墻 轉(zhuǎn)發(fā)外網(wǎng)到內(nèi)網(wǎng)數(shù)據(jù)流量的下一跳，Vrrp組vrid 15（ 21 ）作為下連服務(wù)器（服務(wù)器上的默認(rèn)網(wǎng)關(guān)為S6503上vrid 15（ 21 ）和旁路LB的網(wǎng)關(guān)。兩臺(tái)7503E（ LB插卡插在S75上）交換機(jī)之間做二層模式，7503E與LB相連的10GE 口做trunk 口；在兩塊LB板卡上各配置一個(gè)三層子接口，在子接口 上做一組 VRRP Vrid3 ，該vrrp虛地址（134.2

6、24.15.3）作為S6503到LB設(shè)備虛 服務(wù)IP的目的IP，兩臺(tái)LB之間同時(shí)使能雙機(jī)熱備，實(shí)現(xiàn)業(yè)務(wù)冗余備份。1.2 LB上業(yè)務(wù)調(diào)用說明：在LB設(shè)備上要經(jīng)過兩次業(yè)務(wù)調(diào)用過程；首先，在外網(wǎng)防火墻上對內(nèi)網(wǎng)WEB服務(wù)器做NAT Server映射，NAT Server映射地址為LB上配置的虛服務(wù)地址（ 虛服務(wù)地址為：00詳見配置）， 外網(wǎng)用戶訪問 WEB Server對外映射的公網(wǎng)服務(wù)器地址，訪問數(shù)據(jù)經(jīng)過防火墻轉(zhuǎn)發(fā)到達(dá)S65交換機(jī)，S65交換機(jī)通過查找路由將訪問數(shù)據(jù)送到LB的Vrrp組的主設(shè)備上去，數(shù)據(jù)到達(dá)LB設(shè)備后，經(jīng)過LB后將訪問數(shù)據(jù)分發(fā)到真實(shí)的WEB服務(wù)器上去，當(dāng)用戶需要用

7、通過WEB頁面登陸查詢數(shù)據(jù)信息，此時(shí)， WEB服務(wù)器就會(huì)調(diào)用后臺(tái)的 App Server （應(yīng)用服務(wù)器）；在LB上又配置了另一組虛服 務(wù)（虛服務(wù)地址為：01詳見配置），這里需要在 WEB服務(wù)器上調(diào)用 APP 服務(wù)器的目的地址改為LB上對應(yīng)App應(yīng)用的虛服務(wù)地址（01），當(dāng)WEB服務(wù)器去調(diào)用應(yīng)用服務(wù)器時(shí)數(shù)據(jù)流量再次送回到LB上經(jīng)過LB后送到真應(yīng)用服務(wù)器上；對于這種業(yè)務(wù)之間存在相互關(guān)聯(lián)關(guān)系的應(yīng)用和長連接業(yè)務(wù)，配置LB時(shí)要選擇“基于源IP的散列算法”同時(shí)要使能“持續(xù)性”。10/26/2009H3C機(jī)密，未經(jīng)許可不得擴(kuò)散第7頁，共12頁H3CLB服務(wù)器負(fù)載均衡（

8、雙機(jī)熱備）配置參考文檔密級(jí)2數(shù)據(jù)流量走向說明：10/26/2009H3C機(jī)密，未經(jīng)許可不得擴(kuò)散第8頁，共12頁H3CLB服務(wù)器負(fù)載均衡（雙機(jī)熱備）配置參考文檔密級(jí)10/26/2009H3C機(jī)密，未經(jīng)許可不得擴(kuò)散第#頁，共12頁H3CLB服務(wù)器負(fù)載均衡（雙機(jī)熱備）配置參考文檔密級(jí)圖2數(shù)據(jù)流量走線示意圖2.1 數(shù)據(jù)流量走向說明：入方向：夕卜網(wǎng)客戶訪問對外映射的內(nèi)網(wǎng)服務(wù)器時(shí)（防火墻上NAT Server映射地址為LB上的虛服務(wù)地址00 ），防火墻上查找路由將目的地址為該 虛服務(wù)的IP送到到S65交換機(jī)上（此處防火墻上要添加到虛服務(wù)的路由）,S65交換機(jī)上根據(jù)路由將流量引到LB上（

9、如圖中流量1所示），因此S6503上需要添加目的IP到虛服務(wù)的下一跳指向LB上的Vrrp需地址 ; LB做轉(zhuǎn)換，將目的地址轉(zhuǎn)換為實(shí)服務(wù)器的地址，源地址轉(zhuǎn)換為虛服務(wù)的地址，數(shù)據(jù)流引向服務(wù)器（如圖中流量2所示）；WEB服務(wù)器調(diào)用應(yīng)用服務(wù)器時(shí)訪問LB上虛地址（01），服務(wù)器網(wǎng)關(guān)都在65上，數(shù)據(jù)包到65上查找路由將 WEB調(diào)用應(yīng)用的流量送到LB上（如圖中流量3所示），LB做轉(zhuǎn)換，將目的地址轉(zhuǎn)換為實(shí)服務(wù)器的地址，源地址轉(zhuǎn)換為虛服務(wù)的地址，數(shù)據(jù)流引向服務(wù)器（如圖中流量4所示）；此時(shí)，完成一次業(yè)務(wù)訪問過程，相當(dāng)于在LB上進(jìn)行了兩次負(fù)載均衡；出方向：服務(wù)器的默認(rèn)網(wǎng)關(guān)

10、為 S6503的vrid 15 （ 21），目的為虛 服務(wù)地址，S6503根據(jù)路由將目的地址為虛服務(wù)地址送到LB Vrrp的虛地址，將流量引向LB，LB做轉(zhuǎn)換后，將數(shù)據(jù)發(fā)往 S6503，送往外網(wǎng)。3組網(wǎng)配置3.1 防火墻配置NAT Server映射配置：nat server protocol tcp global 52 www in side 00 wwwnat server protocol tcp global 52 4321 in side 00 4321nat server

11、protocol icmp global 52 in side 00路由配置：:ip route-static 00 55 說明:：在此只列出關(guān)鍵配置，其余配置略 3.2 S65 配置：路由配置：:ip route-static 00 55 ip route-static 01 55 說明:：在此只列出關(guān)鍵配置，其余配置略 3.3 S75配置3

12、.3.1 S75-01 配置：in terface GigabitEthernet2/0/7port access via n 15/75與65相連的接口in terface GigabitEthernet2/0/17port lin k-type trunkundo port trunk permit vian 1port trunk permit vian 15/75_1與75_2相連的接口，允許 LB的VRRP相應(yīng)vian通過 in terface Ten-GigabitEthernet4/0/1port lin k-type trunkundo port trunk permit vi

13、an 1port trunk permit vian 15/LB 與75_1相連的接口332S75-01 配置：in terface GigabitEthernet2/0/7port access via n 15/75與65相連的接口in terface GigabitEthernet2/0/17port iin k-type trunkundo port trunk permit vian 1port trunk permit vian 15/75_2與75_1相連的接口，允許 LB的VRRP相應(yīng)vian通過 in terface Ten-GigabitEthernet4/0/1port

14、iin k-type trunkundo port trunk permit vian 1port trunk permit via n 1575_2與LB相連接口3.4 LB配置341LB配置：1.命令行：in terface Ten-GigabitEthernet0/0.15vla n-type dot1q vid15ip address 28vrrp vrid 3 virtual-ip vrrp vrid 3 priority 105/配置服務(wù)器網(wǎng)段的IP地址ip route-static 0.0

15、.0.0 21/LB板卡的網(wǎng)關(guān)指向與S6503通信的三層接口，vrid 15的虛IP212. WEB頁面配置:H3C JSecBlade負(fù)載均衡模塊負(fù)或均褂y服勢器負(fù)轂均衡負(fù)載均衡- 服務(wù)器負(fù)載均衡- 實(shí)服務(wù)組：:H3C一後樹H覽-a系統(tǒng)訓(xùn) 曲網(wǎng)貉常理 員載均徴實(shí)脫務(wù)齟君型實(shí)嚴(yán)務(wù)故阻處理探作apoi地址散列ICL1P重定簡已有連接2日西拠址敵列ICMF重足商已百連接2出3新建10/26/2009H3C機(jī)密，未經(jīng)許可不得擴(kuò)散第11頁，共12頁H3CLB服務(wù)器負(fù)載均衡（雙機(jī)熱備）配置參考文檔密級(jí)10/26/2009H3C機(jī)密，未經(jīng)許可不得擴(kuò)散第#頁，

16、共12頁H3CLB服務(wù)器負(fù)載均衡（雙機(jī)熱備）配置參考文檔密級(jí)負(fù)載均衡-服務(wù)器負(fù)載均衡-實(shí)服務(wù):10/26/2009H3C機(jī)密，未經(jīng)許可不得擴(kuò)散第#頁，共12頁H3CLB服務(wù)器負(fù)載均衡（雙機(jī)熱備）配置參考文檔密級(jí)10/26/2009H3C機(jī)密，未經(jīng)許可不得擴(kuò)散第12頁，共12頁H3CLB服務(wù)器負(fù)載均衡（雙機(jī)熱備）配置參考文檔密級(jí)H3C一設(shè)備陽范-tii靠眾言理-SS網(wǎng)箱管理血鞍均衡-全局配査-嚴(yán)需憲魚歳均麗 2撫路負(fù)載均術(shù)L睫康悝檢測-也安全特性-如高可第悝靈服筠逞塢計(jì)信耳寶服吳名實(shí)服蓉IP地址端口號(hào)杲犬連接數(shù)實(shí)思蚩徂換作App-01134.224.1E.2301000appApp-02134

17、224.1&24001000appWE0-O17001000WEBWEB*028001000WEB卜查詢項(xiàng)：窕服務(wù)名v關(guān)薩宇：罰負(fù)載均衡- 服務(wù)器負(fù)載均衡衡- 虛服務(wù)：:負(fù)載均衡 服務(wù)熬負(fù)載均衝役備慨覽一系眾営理 q網(wǎng)常莒理F JI費(fèi)均側(cè)全局配置服務(wù)器負(fù)藍(lán)均衡 一惟路直羲均衡 帔省=60Ji,H3C-沿備陽覽HS孟筑管理 -詞網(wǎng)路管理負(fù)載均衡 全局配遙 服務(wù)器員載均術(shù) 盛讎路負(fù)載均衝L屣康性禺測直安全特性a高可筆性一 VRHPL雙機(jī)熱備刪-4i謖備日吉注：WEB服務(wù)器對應(yīng)的虛服務(wù)為V_web，虛服務(wù)IP為00，虛服務(wù)的協(xié)議類型

18、為任意，端口號(hào)為任意，采用“網(wǎng)絡(luò)地址轉(zhuǎn)換”的轉(zhuǎn)發(fā)模式， 并使能“ SNAT使能”，但是不配置源地址池，這樣當(dāng) LB進(jìn)行NAT轉(zhuǎn)換時(shí)將 把源地址轉(zhuǎn)換為虛服務(wù)地址，這樣服務(wù)器的默認(rèn)網(wǎng)關(guān)為S6503的Vrid 15的虛地址，不需要改任何配置。對應(yīng)的實(shí)服務(wù)組是web,并使能虛服務(wù)，此虛服務(wù)才會(huì)生效理Bh |退戲機(jī)熱備狀譽(yù)貝墜i H3C設(shè)備槪覽-fii累新管理-fiS咖管理一蕊均術(shù) 一全局配養(yǎng) 一服勢器魚董均衢 -ns蝕路負(fù)載均術(shù)卜垃安全特性盧肓可孟性|- VRRPM熱備菩理高可靠性- 雙機(jī)熱備管理：庖勳諏機(jī)熱備功菽備檢類型：不支待非對隊(duì)路徑2備檢接口 ：Gig3bitEthernelO；4.俺改備份接口當(dāng)前熱備狀悉：肖前生效的番忙捲口 ：GigabitEthernelO4星導(dǎo)（、対顧i填寫頂注：雙機(jī)熱備配置在保存配置重啟后才會(huì)生效另一側(cè)LB配置與LB-Master配置相似，再次不在重復(fù)4配置注意事項(xiàng)1. 對于這種一次業(yè)務(wù)交互可能包括多個(gè)連接的應(yīng)用，