- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
08-H3C VSR1000虛擬路由器內部服務器負載分擔典型配置舉例
本章節下載: 08-H3C VSR1000虛擬路由器內部服務器負載分擔典型配置舉例 (139.67 KB)
H3C VSR1000虛擬路由器內部服務器負載分擔典型配置舉例
|
Copyright © 2014杭州華三通信技術有限公司 版權所有,保留一切權利。 非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部, 並不得以任何形式傳播。本文檔中的信息可能變動,恕不另行通知。 |
|
本文檔不嚴格與具體軟件版本對應,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解NAT特性。
如圖1所示,某公司內網地址是10.110.0.0/22,向運營商申請的公網地址是61.16.0.1~61.16.0.3。公司內網用戶使用10.110.0.0~10.110.2.255地址段內IP地址;公司內網目前共有3台FTP服務器可以同時提供服務,服務器使用10.110.3.1~10.110.3.3的IP地址。
要求實現如下功能:
· 內網用戶經過地址轉換後使用61.16.0.2~61.16.0.3公網地址訪問Internet;
· 外網主機和內網主機都可以通過61.16.0.1訪問內網中的FTP服務器;
· 3台FTP服務器提供服務時進行負載分擔,但不允許主動訪問外網。
· 為了實現10.110.0.0~10.110.2.255可以轉換成61.16.0.2~61.16.0.3公網地址訪問Internet,需要定義ACL規則,實現隻對內網匹配指定的ACL規則的報文在Device的GigabitEthernet2/0出方向上進行動態地址轉換。
· 為了保證3台FTP服務器同時提供服務,需要配置NAT內部服務器組,並采用負載分擔方式。
· 為了實現內網用戶也可以使用61.16.0.1地址訪問FTP服務器,需要在Device的GigabitEthernet1/0上使能NAT hairpin功能。
本舉例是在E0301版本上進行配置和驗證的。
(1) 配置接口IP地址
# 配置接口GigabitEthernet1/0和GigabitEthernet2/0的IP地址。
<Device> system-view
[Device] interface gigabitethernet 1/0
[Device-GigabitEthernet1/0] ip address 10.110.0.1 255.255.252.0
[Device-GigabitEthernet1/0] quit
[Device] interface gigabitethernet 2/0
[Device-GigabitEthernet2/0] ip address 61.16.0.1 255.255.255.0
[Device-GigabitEthernet2/0] quit
(2) 配置內網用戶訪問外網
# 配置地址組0,包含兩個外網地址61.16.0.2和61.16.0.3。
[Device-nat-address-group-0] address 61.16.0.2 61.16.0.3
[Device-nat-address-group-0] quit
# 配置ACL 2000,僅允許對內部網絡中10.110.0.0~10.110.2.255網段的用戶報文進行地址轉換。
[Device-acl-basic-2000] rule permit source 10.110.0.0 0.0.1.255
[Device-acl-basic-2000] rule permit source 10.110.2.0 0.0.0.255
[Device-acl-basic-2000] quit
# 在接口GigabitEthernet2/0上配置出方向動態地址轉換,允許使用地址組0中的地址對匹配ACL 2000的報文進行源地址轉換,並在轉換過程中使用端口信息。
[Device] interface gigabitethernet 2/0
[Device-GigabitEthernet2/0] nat outbound 2000 address-group 0
[Device-GigabitEthernet2/0] quit
(3) 配置FTP服務器同時提供服務
# 配置內部服務器組0及其成員10.110.3.1、10.110.3.2和10.110.3.3。
[Device-nat-server-group-0] inside ip 10.110.3.1 port 21
[Device-nat-server-group-0] inside ip 10.110.3.2 port 21
[Device-nat-server-group-0] inside ip 10.110.3.3 port 21
[Device-nat-server-group-0] quit
# 在接口Gigabitethernet2/0上配置負載分擔內部服務器,引用內部服務器組0,該組內的主機共同提供FTP服務。
[Device] interface gigabitethernet 2/0
[Device-GigabitEthernet2/0] nat server protocol tcp global 61.16.0.1 ftp inside server-group 0
[Device-GigabitEthernet2/0] quit
# 在接口GigabitEthernet1/0上使能NAT hairpin功能。
[Device] interface gigabitethernet 1/0
[Device-GigabitEthernet1/0] nat hairpin enable
[Device-GigabitEthernet1/0] quit
# 當PC 1訪問WWW server時,可以看到生成的NAT會話信息。
[Device] display nat session verbose
Initiator:
Source IP/port: 10.110.1.10/1024
Destination IP/port: 200.1.1.10/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: UDP(17)
Responder:
Source IP/port: 200.1.1.10/80
Destination IP/port: 61.16.0.2/1025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: UDP(17)
State: UDP_READY
Application: HTTP
Start time: 2014-07-08 13:30:47 TTL: 60s
Interface(in) : GigabitEthernet1/0
Interface(out): GigabitEthernet2/0
Initiator->Responder: 21946552 packets 2414120720 bytes
Responder->Initiator: 650389 packets 71542790 bytes
Total sessions found: 1
# 當有兩個外網用戶(61.16.0.10、61.16.0.11)同時請求FTP服務時,可以查看到建立了2條NAT會話,並且FTP server 1和FTP server 2分別為這兩個用戶提供FTP服務。
[Device] display nat session verbose
Initiator:
Source IP/port: 61.16.0.11/1024
Destination IP/port: 61.16.0.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: 10.110.3.1/21
Destination IP/port: 61.16.0.11/1024
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
State: TCP_ESTABLISHED
Application: FTP
Start time: 2014-07-08 14:11:41 TTL: 3600s
Interface(in) : GigabitEthernet2/0
Interface(out): GigabitEthernet1/0
Initiator->Responder: 598098 packets 65790780 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 61.16.0.10/1024
Destination IP/port: 61.16.0.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: 10.110.3.2/21
Destination IP/port: 61.16.0.10/1024
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
State: TCP_ESTABLISHED
Application: FTP
Start time: 2014-07-08 14:12:00 TTL: 3600s
Interface(in) : GigabitEthernet2/0
Interface(out): GigabitEthernet1/0
Initiator->Responder: 74783 packets 8226130 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
# 當PC 1通過61.16.0.1地址訪問FTP服務器時,可以查看到建立的NAT會話。
[Device] display nat session verbose
Initiator:
Source IP/port: 10.110.1.10/1024
Destination IP/port: 61.16.0.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: 10.110.3.1/21
Destination IP/port: 61.16.0.2/1025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
State: TCP_ESTABLISHED
Application: FTP
Start time: 2014-07-08 14:24:15 TTL: 3600s
Interface(in) : GigabitEthernet1/0
Interface(out): GigabitEthernet1/0
Initiator->Responder: 209716 packets 23068760 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
#
interface GigabitEthernet1/0
ip address 10.110.0.1 255.255.252.0
nat hairpin enable
#
ip address 61.16.0.1 255.255.255.0
nat outbound 2000 address-group 0
nat server protocol tcp global 61.16.0.1 21 inside server-group 0
#
acl number 2000
rule 0 permit source 10.110.0.0 0.0.1.255
rule 5 permit source 10.110.2.0 0.0.0.255
#
acl number 2001
rule 0 permit source 10.110.0.0 0.0.1.255
rule 5 permit source 10.110.2.0 0.0.0.255
#
address 61.16.0.2 61.16.0.3
#
nat server-group 0
inside ip 10.110.3.1 port 21
inside ip 10.110.3.2 port 21
inside ip 10.110.3.3 port 21
#
· 《H3C VSR1000虛擬路由器配置指導》中的“三層技術-IP業務配置指導”
· 《H3C VSR1000虛擬路由器命令參考》中的“三層技術-IP業務命令參考”
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
