- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-鏈路負載均衡典型配置舉例
本章節下載 (4.79 MB)
H3C 負載均衡設備
鏈路負載均衡典型配置舉例
Copyright © 2022 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
本文檔介紹鏈路負載均衡與智能DNS功能的典型配置舉例。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解LB(Load Balance,負載均衡)特性。
本章介紹鏈路負載均衡的配置案例。
鏈路負載均衡可在多條鏈路上分擔內網用戶訪問外部互聯網的流量。
鏈路負載均衡支持IPv4與IPv6,但不支持IPv4流量與IPv6流量的互轉。
鏈路負載均衡特性在LB設備以及其它防火牆設備上無配置差異。
如圖圖1所示,用戶分別從三個運營商聯通isp_cnc、移動isp_cmcc和電信isp_chinatel處租用了鏈路link-cnc、link-cmcc和link-chinatel。通過配置鏈路負載均衡,使內網用戶以及後續增加的用戶在訪問外網Server 時將目的地址匹配isp為cnc、cmcc和chinatel中的流量分別從鏈路組lg-cnc、lg-cmcc和lg-chinatel中選擇相應的鏈路出去來分擔流量,同時進行源地址的轉換。內網用戶屬於192.100.0.0/24網段的定向通過電信的鏈路link-chinatel來訪問外網Server。而且,所有內網用戶的私網192.0.0.0/8網段地址不允許出現在外網中。
圖1 匹配ISP、源地址出方向鏈路負載均衡組網圖
為了實現匹配ISP、源地址的負載分擔,需要完成如下配置:
· 在link-generic類型的class下配置match規則匹配isp和源地址。
· 在LB設備上配置鏈路組lg-cnc、lg-cmcc和lg-chinatel,配置link-ip類型的虛服務。
· 在LB設備出口應用nat地址組,出方向報文進行源地址轉換,保護內網IP地址。
· 在LB設備上配置虛服務,虛服務中引用策略。
· 在LB設備上配置類型為link-generic的策略,匹配源地址為192.100.0.0/24網段的報文從鏈路lg-chinatel發出, 目的地址匹配ISP為cnc、cmcc和chinatel的報文分別從鏈路lg-cnc、鏈路lg-cmcc和鏈路lg-chinatel發出。
本舉例是在L1000-E的Version 7.1.064, Release 8117P12版本上進行配置和驗證的。
· 需要在LB設備上配置link-ip類型的虛服務並開啟。
· 導入最新ISP文件正確。
· 注意內網用戶和LB設備以及外網Server之間的路由配置,使之路由可達。
(1) 為保護內網用戶IP需在LB上配置nat地址池,並在鏈路出接口應用
在導航欄中選擇“網絡 > NAT > NAT動態轉換 > NAT地址池”,單擊
按鈕,創建地址組,如下圖所示。
圖2 創建地址組1
圖3 創建地址組2
圖4 創建地址組3
在導航欄中選擇“網絡 > NAT > NAT動態轉換 > 策略配置”,點擊按鈕
策略,如下圖所示:
圖5 創建NAT動態轉換策略1
圖6 創建NAT動態轉換策略2
圖7 創建NAT動態轉換策略3
(2) 導入isp文件
進入策略頁麵,在導航欄中選擇“全局配置 > ISP”,先點選擇文件,選好isp文件後,單擊<導入>按鈕,進行如下配置,如下圖所示:
圖8 導入ISP文件
(3) 配置ICMP類型的NQA探測模板icmp,並配置每次探測結果發送機製
進入策略頁麵,在導航欄中選擇“全局配置 > 健康檢測”,點擊
,進行如下配置:
圖9 創建ICMP類型的健康檢測
圖10 檢測結果通知條件設置為每次探測
(4) 配置鏈路組,配置為透傳模式,並應用健康檢測方法icmp
創建cnc的鏈路組lg-cnc,cmcc的鏈路組lg-cmcc,chinatel的鏈路組lg-chinatel,應用健康檢測方法icmp,配置調度算法為源IP地址哈希。
進入策略頁麵,在導航欄中選擇“鏈路負載均衡 > 鏈路組”,單擊“
”按鈕,進行如下配置:
圖11 創建cnc的鏈路組lg-cnc
圖12 創建cmcc的鏈路組lg-cmcc
圖13 創建chinatel的鏈路組lg-chinatel
(5) 創建鏈路link-cnc、link-cmcc和link-chinatel,分別屬於鏈路組lg-cnc、lg-cmcc和lg-chinatel
進入策略頁麵,在導航欄中選擇“全局配置 > 鏈路”,單擊“
”按鈕,進行如下配置:
圖14 創建鏈路link-cnc
圖15 創建鏈路link-cmcc
圖16 創建鏈路link-chinatel
(6) 開啟負載均衡功能
進入策略頁麵,在導航欄中選擇“鏈路負載均衡 > IPv4選路策略”,在全局配置中勾選負載均衡服務,進行如下配置:
圖17 開啟負載均衡功能
(7) 創建負載均衡流量特征、動作及策略
在導航欄中選擇“鏈路負載均衡 > 流量特征”,單擊“
”按鈕,進行如下配置:
圖18 創建流量特征lc-cnc,匹配ISP為cnc的報文從lg-cnc發出
新建IPv4選路策略,匹配流量特征lc-cnc的報文從鏈路組lg-cnc發出,同時勾選鏈路失敗的處理方式繼續匹配下一條規則。
在導航欄中選擇“鏈路負載均衡 > IPv4選路策略”,單擊“
”按鈕,進行如下配置:
圖19 創建IPv4選路策略
圖20 創建流量特征lc-cmcc,匹配ISP為cmcc的報文從lg-cmcc發出
新建選路策略,匹配流量特征lc-cmcc的報文從鏈路組lg-cmcc發出,同時勾選鏈路失敗的處理方式繼續匹配下一條規則。
在導航欄中選擇“鏈路負載均衡 > IPv4選路策略”,單擊“
”按鈕,進行如下配置:
圖21 新建選路策略
圖22 創建流量特征lc-chinatel,匹配ISP為chinatel的報文從lg-chinatel發出
新建選路策略,匹配流量特征lc-chinatel的報文從鏈路組lg-chinatel發出,同時勾選鏈路失敗的處理方式繼續匹配下一條規則。
在導航欄中選擇“鏈路負載均衡 > IPv4選路策略”,單擊“
”按鈕,進行如下配置:
圖23 新建選路策略
圖24 創建流量特征lc-source,匹配源地址為192.100.0.0/24網段的報文從lg-chinatel發出
新建選路策略,匹配源地址為192.100.0.0/24網段的報文從鏈路組lg-chinatel發出,同時勾選鏈路失敗的處理方式繼續匹配下一條規則。
在導航欄中選擇“鏈路負載均衡 > IPv4選路策略”,單擊“
”按鈕,進行如下配置:
圖25 新建選路策略
圖26 設置缺省default動作,使匹配不上流量特征的報文從鏈路組lg-cnc發出
(1) 測試儀發起匹配源地址為192.100.0.0/24網段的報文從鏈路lg-chinatel發出,查看鏈路lg-chinatel有流量統計
詳細信息如下:
(2) 測試儀發起目的地址匹配ISP為cnc和cmcc的報文分別從鏈路lg-cnc和鏈路lg-cmcc發出,查看相應的鏈路有流量統計
詳細信息如下:
(3) 測試儀發起目的地址匹配ISP為educn的報文,由於報文匹配不上配置的流量特征,因此走缺省的動作,而缺省動作指定從鏈路組lg-cnc發出,查看相應的鏈路有流量統計
詳細信息如下:
#
nqa template icmp icmp
reaction trigger per-probe
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc
ip address 61.156.0.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/3
port link-mode route
description link-cmcc
ip address 211.98.0.1 255.255.255.0
nat outbound address-group 2
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 3
#
nat address-group 1
address 61.156.0.100 61.156.0.200
#
nat address-group 2
address 211.98.0.100 211.98.0.200
#
nat address-group 3
address 203.0.24.100 203.0.24.200
#
loadbalance link-group lg-chinatel
predictor hash address source
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link-group lg-cmcc
predictor hash address source
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link-group lg-cnc
predictor hash address source
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link link-chinatel
router ip 203.0.24.2
link-group lg-chinatel
success-criteria at-least 1
#
loadbalance link link-cmcc
router ip 211.98.0.2
link-group lg-cmcc
success-criteria at-least 1
#
loadbalance link link-cnc
router ip 61.156.0.2
link-group lg-cnc
success-criteria at-least 1
#
loadbalance class lc-chinatel type link-generic
match 1 isp chinatel
#
loadbalance class lc-cmcc type link-generic
match 1 isp cmcc
#
loadbalance class lc-cnc type link-generic
match 1 isp cnc
#
loadbalance class lc-source type link-generic
match 1 source ip address 192.100.0.0 24
#
loadbalance action ob$action$#for#lc-chinatel type link-generic
link-group lg-chinatel
fallback-action continue
#
loadbalance action ob$action$#for#lc-cmcc type link-generic
link-group lg-cmcc
fallback-action continue
#
loadbalance action ob$action$#for#lc-cnc type link-generic
link-group lg-cnc
fallback-action continue
#
loadbalance action ob$action$#for#lc-source type link-generic
link-group lg-chinatel
fallback-action continue
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-generic
link-group lg-cnc
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
class lc-source action ob$action$#for#lc-source
class lc-cnc action ob$action$#for#lc-cnc
class lc-cmcc action ob$action$#for#lc-cmcc
class lc-chinatel action ob$action$#for#lc-chinatel
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
如圖所示,用戶從運營商聯通、電信處分別租用了鏈路link-cnc和link-chinatel,配置出方向鏈路負載分擔,使用戶出方向訪問外網Server的流量基於帶寬算法在兩條鏈路上負載分擔流量,每條鏈路上配置帶寬值和權值,LB設備將流量按照所配置的剩餘帶寬和權值比例分給相應的鏈路。
圖27 基於帶寬算法出方向鏈路負載均衡組網圖
為了實現基於帶寬算法的負載分擔,需要完成如下配置:
· 鏈路帶寬不同,權值相同情況下,配置鏈路組調度算法為帶寬調度算法,查看鏈路的統計信息,按照剩餘帶寬比例進行流量分配。
· 鏈路帶寬相同,權值不同情況下,配置鏈路組調度算法為帶寬調度算法,查看鏈路的統計信息,按照所配置的權值的比例進行流量分配。
· 帶寬調度算法缺省使用LB自己統計的帶寬,如果開啟鏈路的接口帶寬統計功能後使用鏈路對應的接口帶寬。
· 在LB設備出口應用nat地址組,出方向報文進行源地址轉換,保護內網IP地址。
本舉例是在L1000-E的Version 7.1.064, Release 8117P12版本上進行配置和驗證的。
· 創建鏈路組lg,使電信鏈路link-chinatel和聯通鏈路link-cnc都屬於鏈路組lg。
· 每條運營商鏈路配置一個名稱不同、router ip不同的link,分別按照不同的帶寬相同權值和相同帶寬不同權值進行配置驗證。
· LB設備上配置link-ip類型的虛服務並開啟。
· 創建IPv4選路策略為缺省default,轉發動作為負載均衡,主用鏈路組lg。
(1) 為保護內網用戶IP需在LB上配置nat地址池,並在鏈路出接口應用
在導航欄中選擇“網絡 > NAT > NAT動態轉換 > NAT地址池”,單擊
按鈕,創建地址組,如下圖所示。
圖28 創建地址組1
圖29 創建地址組2
在導航欄中選擇“網絡 > NAT > NAT動態轉換 > 策略配置”,點擊按鈕
策略,如下圖所示。
圖30 創建NAT動態轉換策略1
圖31 創建NAT動態轉換策略2
(2) 配置ICMP類型的NQA探測模板icmp,並配置每次探測結果發送機製
進入策略頁麵,在導航欄中選擇“全局配置 > 健康檢測”,點擊
,進行如下配置:
圖32 創建ICMP類型的健康檢測
圖33 檢測結果通知條件為每次探測
(3) 配置鏈路組,配置鏈路組調度算法為帶寬調度算法,配置為透傳模式,並應用健康檢測方法icmp
圖34 創建鏈路組lg,配置調度算法為帶寬算法,應用健康檢測方法icmp
圖35 查看鏈路組
(4) 創建鏈路link-cnc和link-chinatel,屬於鏈路組lg
分兩種情況進行配置
第一種情況:鏈路帶寬不同,權值相同情況下:配置電信鏈路帶寬1024M,聯通鏈路帶寬512M,調整邏輯鏈路的權值,設置電信鏈路權值為1,聯通鏈路權值為1:
進入策略頁麵,在導航欄中選擇“全局配置 > 鏈路”,單擊“
”按鈕,進行如下配置:
圖36 創建鏈路link-chinatel,配置權值1
圖37 設置最大總限速帶寬1024M
圖38 創建鏈路link-cnc,配置權值1
圖39 設置最大總限速帶寬512M
圖40 查看鏈路狀態
第二種情況:鏈路帶寬相同,權值不同情況下:配置電信鏈路帶寬1024M,聯通鏈路帶寬1024M,調整邏輯鏈路的權值,設置電信鏈路權值為1,聯通鏈路權值為2:
進入策略頁麵,在導航欄中選擇“全局配置 > 鏈路”,單擊“
”按鈕,進行如下配置:
圖41 創建鏈路link-chinatel,配置權值1
圖42 設置最大總限速帶寬1024M
圖43 創建鏈路link-cnc,配置權值2
圖44 設置最大總限速帶寬1024M
圖45 查看鏈路狀態
(5) 開啟負載均衡功能
進入策略頁麵,在導航欄中選擇“鏈路負載均衡 > IPv4選路策略”,在全局配置中勾選負載均衡服務,進行如下配置:
圖46 開啟負載均衡功能
(6) 創建負載均衡策略
進入策略頁麵,在導航欄中選擇“鏈路負載均衡 > IPv4選路策略”,單擊“
”按鈕,進行如下配置:
圖47 創建缺省IPv4選路策略
(1) 鏈路帶寬不同,權值相同情況下:配置電信鏈路帶寬1024M,聯通鏈路帶寬512M,調整邏輯鏈路的權值,設置電信鏈路權值為1,聯通鏈路權值為1。測試儀發送流量進行測試,查看電信和聯通鏈路的流量統計信息,基本比例為2:1。
詳細信息如下:
(2) 鏈路帶寬相同,權值不同情況下:配置電信鏈路帶寬1024M,聯通鏈路帶寬1024M,調整邏輯鏈路的權值,設置電信鏈路權值為1,聯通鏈路權值為2。測試儀發送流量進行測試,查看電信和聯通鏈路的流量統計信息,基本比例為1:2。
詳細信息如下:
(1) 鏈路帶寬不同,權值相同情況下配置:
#
nqa template icmp icmp
reaction trigger per-probe
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc
ip address 61.156.0.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 2
#
nat address-group 1
address 61.156.0.100 61.156.0.200
#
nat address-group 2
address 203.0.24.100 203.0.24.200
#
loadbalance link-group lg
predictor bandwidth
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link link-chinatel
router ip 203.0.24.2
link-group lg
weight 1
rate-limit bandwidth 1024000
success-criteria at-least 1
#
loadbalance link link-cnc
router ip 61.156.0.2
link-group lg
weight 1
rate-limit bandwidth 512000
success-criteria at-least 1
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-gen
eric
link-group lg
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-gen
eric
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
(2) 鏈路帶寬相同,權值不同情況下配置:
#
nqa template icmp icmp
reaction trigger per-probe
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc
ip address 61.156.0.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 2
#
nat address-group 1
address 61.156.0.100 61.156.0.200
#
nat address-group 2
address 203.0.24.100 203.0.24.200
#
loadbalance link-group lg
predictor bandwidth
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link link-chinatel
router ip 203.0.24.2
link-group lg
weight 1
rate-limit bandwidth 1024000
success-criteria at-least 1
#
loadbalance link link-cnc
router ip 61.156.0.2
link-group lg
weight 2
rate-limit bandwidth 1024000
success-criteria at-least 1
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-generic
link-group lg
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
基於應用識別的負載均衡就是按照流量的特征進行選路。用戶可自定義應用組來對所需要識別的流量特征進行分組,配置出方向IPv4選路策略來完成對命中自定義應用組的流量選路。
如圖所示,用戶從運營商聯通、電信處分別租用了鏈路link-cnc和link-chinatel,分別屬於鏈路組lg-cnc和lg-chinatel,使用戶出方向訪問外網Server的流量基於應用識別選路,從而在兩條鏈路上進行負載分擔流量。
圖48 基於應用識別出方向鏈路負載均衡組網圖
為了實現基於帶寬算法的負載分擔,需要完成如下配置:
· 用戶自定義應用組,應用組中配置ftp流量特征,出方向流量策略中配置基於應用組的流量走聯通鏈路link-cnc,默認流量走電信鏈路link-chinatel。
· 在LB設備出口應用nat地址組,出方向報文進行源地址轉換,保護內網IP地址。
本舉例是在L1000-E 的Version 7.1.064, Release 8117P12版本上進行配置和驗證的。
· 自定義應用組內可選擇多種應用,本案例僅列舉了ftp應用。
· LB設備上配置link-ip類型的虛服務並開啟。
· 創建IPv4選路策略,匹配流量特征lc-cnc(流量特征基於應用組的ftp應用)的報文從鏈路組lg-cnc發出,沒有匹配上流量特征lc-cnc的報文走缺省動作default,從電信鏈路組lg-chinatel發出。
(1) 為保護內網用戶IP需在LB上配置nat地址池,並在鏈路出接口應用
在導航欄中選擇“網絡 > NAT > NAT動態轉換 > NAT地址池”,單擊
按鈕,創建地址組,如下圖所示:
圖49 創建地址組1
圖50 創建地址組2
在導航欄中選擇“網絡 > NAT > NAT動態轉換 > 策略配置”,點擊按鈕
策略,如下圖所示
圖51 創建NAT動態轉換策略1
圖52 創建NAT動態轉換策略2
(2) 配置ICMP類型的NQA探測模板icmp,並配置每次探測結果發送機製
進入策略頁麵,在導航欄中選擇“全局配置 > 健康檢測”,點擊
,進行如下配置:
圖53 創建ICMP類型的健康檢測
圖54 檢測結果通知條件為每次探測
(3) 配置鏈路組,配置為透傳模式,並應用健康檢測方法icmp
創建cnc的鏈路組lg-cnc,chinatel的鏈路組lg-chinatel,應用健康檢測方法icmp,配置算法根據源IP地址進行的哈希算法。
進入策略頁麵,在導航欄中選擇“鏈路負載均衡 > 鏈路組”,單擊“
”按鈕,進行如下配置:
創建cnc的鏈路組lg-cnc, chinatel的鏈路組lg-chinatel。
創建鏈路組lg-cnc
圖55 創建鏈路組lg-chinatel
(4) 創建鏈路link-cnc和link-chinatel,分別屬於鏈路組lg-cnc和lg-chinatel
進入策略頁麵,在導航欄中選擇“全局配置 > 鏈路”,單擊“
”按鈕,進行如下配置:
圖56 創建鏈路link-cnc
圖57 創建鏈路link-chinatel
(5) 配置自定義應用組,添加ftp應用
進入對象頁麵,在導航欄中選擇“應用安全 > 應用識別 > 應用組”,單擊“
”按鈕,進行如下配置:
圖58 創建應用組,選擇ftp應用
(6) 開啟負載均衡功能
進入策略頁麵,在導航欄中選擇“鏈路負載均衡 > IPv4選路策略”,在全局配置中勾選負載均衡服務,進行如下配置:
圖59 開啟負載均衡功能
(7) 配置負載均衡流量特征、動作及策略
配置基於應用組的流量走聯通鏈路組lg-cnc,默認流量走電信鏈路組lg-chinatel。
在導航欄中選擇“鏈路負載均衡 > 流量特征”,單擊“
”按鈕,進行如下配置:
圖60 創建流量特征lc-cnc,配置Match規則
新建選路策略,匹配流量特征lc-cnc的報文從鏈路組lg-cnc發出,同時勾選鏈路失敗的處理方式繼續匹配下一條規則。
在導航欄中選擇“鏈路負載均衡 > IPv4選路策略”,單擊“ 
”按鈕,進行如下配置:
圖61 創建IPv4選路策略
圖62 設置default動作,默認流量走電信鏈路組lg-chinatel
圖63 查看IPv4選路策略
(1) 測試儀發送ftp流量進行測試,匹配上流量特征lc-cnc(流量特征基於應用組的ftp應用)的報文從鏈路組lg-cnc發出,查看鏈路link-cnc的有流量統計信息
詳細信息如下
(2) 測試儀發送不是ftp的流量(這裏以http流量為例)進行測試,由於沒有匹配上流量特征lc-cnc 走缺省default動作 ,報文從電信鏈路組lg-chinatel發出,查看鏈路link-chinatel有流量統計信息
詳細信息如下
#
nqa template icmp icmp
reaction trigger per-probe
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc
ip address 61.156.0.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 2
#
loadbalance link-group lg-cnc
predictor hash address source
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link-group lg-chinatel
predictor hash address source
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link link-cnc
router ip 61.156.0.2
link-group lg-cnc
success-criteria at-least 1
#
loadbalance link link-chinatel
router ip 203.0.24.2
link-group lg-chinatel
success-criteria at-least 1
#
app-group app-group-ftp
description "User-defined application group"
include application ftp
#
loadbalance class lc-cnc type link-generic
match 1 app-group app-group-ftp
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-generic
link-group lg-chinatel
#
loadbalance action ob$action$#for#lc-cnc type link-generic
link-group lg-cnc
fallback-action continue
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
class lc-cnc action ob$action$#for#lc-cnc
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
用戶租用電信聯通運營商各兩個公網IP以供內網員工辦公使用,辦公高峰期(周一至周五上午8點到12點,下午14點到18點)內網流量優先通過聯通運營商訪問外網,電信運營商作位備用,低峰期(非高峰期時間)使用電信運營商中優先級高的IP訪問外網,另一個IP聯通運營商IP作位備用。同時使用聯通運營商作為默認出接口,電信作為備用。內網用戶通過域名訪問外網服務器,先通過DNS查詢獲得外網服務器的地址,DNS流量走默認鏈路。後續流量通過DNS應答返回的地址去訪問外網服務器。基於域名的負載均衡,通過DNS查詢的結果建立域名和地址的對應關係,引導後續訪問特定域名的流量走特定的鏈路。
圖64 基於域名的負載分擔組網圖
為了實現基於域名的負載分擔,需要完成如下配置:
· 在link-generic類型的class下增加了一種match規則,match destination。 domain-name XXX,同時匹配時間段,匹配方式為match-all。
· 在LB設備上配置鏈路組link-groug、link,配置類型為link-ip的虛服務。
· 配置源地址轉換,保護內網IP。
· 在LB設備上配置虛服務,虛服務中引用策略。
· 在LB設備上配置類型為link-generic的策略,策略要配置default-class 和default-action,目的為首次通過的報文不會匹配基於域名的class,會從默認link通過,另外也可以保證沒有匹配上域名的報文能夠正常進行負載分擔不至於丟棄。
本舉例是在L1000-E 的Version 7.1.064, Release 8117P12版本上進行配置和驗證的。
· 支持DNS Cache表項的顯示和刪除。
· 支持UDP類型的DNS請求,不支持TCP類型的DNS請求。
· 支持通過配置手動刪除DNS Cache表項,不支持老化機製。
· DNS Cache表項不支持分布式同步,表項各板獨立生成。
· DNS Cache表項數量沒有限製,沒有老化機製。
· 需配置策略中的默認動作為負載均衡。
(1) 創建icmp類型的健康性檢測。
在導航欄中選擇“策略 > 全局配置 > 健康監測”,進入健康檢測模板頁麵,如下圖所示。點擊
按鈕,隻配置名稱,其他配置使用默認配置。
圖65 配置icmp類型建健康監測
點擊<確定>按鈕,配置完成。
(2) 配置鏈路
在導航欄中選擇“策略 > 全局配置 > 鏈路”,進入鏈路頁麵,如下圖所示。
點擊按鈕
,分別配置鏈路link-cnc-1、link-cnc-2和link-chinatel-master、link-chinatel-backup
圖66 創建鏈路link-cnc-1
圖67 創建鏈路link-cnc-2
圖68 創建鏈路link-chinatel-master
圖69 創建鏈路link-chinatel-backup
點擊<確定>按鈕,配置完成。
配置完鏈路如下:
(3) 配置鏈路組
在導航欄中選擇“策略 > 鏈路負載均衡 > 鏈路組”,進入鏈路組頁麵,如下圖所示。
點擊按鈕
,分別配置鏈路組cnc和chinatel,鏈路link-cnc-1、link-cnc-2屬於鏈路組cnc,鏈路link-chinatel-master、link-chinatel-backup屬於鏈路組chinatel,同時在鏈路組裏麵配置健康檢測icmp。如下圖所示。
圖70 創建鏈路組chinatel
圖71 創建鏈路組cnc
點擊<確定>按鈕,配置完成。
配置完鏈路組如下:
(4) 創建時間段並在ACL策略中引用,
在導航欄中選擇“策略 > 對象 > 對象組 > 時間段”,進入時間段頁麵,如下圖所示。
點擊按鈕
,配置時間段高峰期rush hour與低峰期low peak period,如下圖所示。
圖72 創建時間段高峰期rush hour
圖73 創建時間段低峰期low peak period
配置完時間段如下:
在導航欄中選擇“策略 > 對象 > ACL > IPv4”,進入IPv4 ACL頁麵,如下圖所示。
點擊按鈕
,配置高級ACL 3001匹配時間段高峰期rush hour、配置高級ACL 3002匹配時間段高低峰期low peak period,如下圖所示。
圖74 創建ACL 3001
圖75 創建ACL 3002
配置完ACL段如下:
規則如下:
(5) 配置流量特征
在導航欄中選擇“策略 > 鏈路負載均衡 > 流量特征”,進入流量特征頁麵,如下圖所示。
點擊按鈕
,配置流量特征domain-baidu.com-low peak period、domain-baidu.com-rush hour、domain-qq.com-low peak period、domain-qq.com-rush hour,如下圖所示。.
圖76 創建流量特征domain-baidu.com-low peak period
圖77 創建流量特征domain-baidu.com-low rush hour
圖78 創建流量特征domain-qq.com-low peak period
圖79 創建流量特征domain-qq.com-rush hour
點擊<確定>按鈕,配置完成。
配置完流量特征如下:
(6) 開啟負載均衡功能
在導航欄中選擇“策略 > 鏈路負載均衡 > IPv4選路策略”,進行如下配置,如下圖所示。
圖80 配置負載均衡功能
(7) 配置IPv4選路策略
在導航欄中選擇“策略 > 鏈路負載均衡 > IPv4選路策略”,進入流量特征頁麵,如下圖所示。
點擊按鈕
,配置IPv4選路策略,匹配流量特征domain-baidu.com-rush hour、domain-qq.com-rush hour的走鏈路組cnc;domain-baidu.com-low peak period、domain-qq.com-low peak period的流量走鏈路組chinatel;default-class的流量走鏈路組cnc,chinatel作為備用,選擇鏈路失敗處理方式為繼續匹配下一條規則。如下圖所示。
圖81 配置IPv4選路策略-1
圖82 配置IPv4選路策略-2
圖83 配置IPv4選路策略-3
圖84 配置IPv4選路策略-4
圖85 配置IPv4選路策略-5
點擊<確定>按鈕,配置完成。
配置完IPv4選路策略如下:
(8) 創建nat地址池並在鏈路出接口應用
在導航欄中選擇“網絡 > NAT > NAT動態轉換 > NAT地址池”,點擊按鈕
創建地址池,如下圖所示
圖86 配置地址組1
圖87 配置地址組2
圖88 配置地址組3
圖89 配置地址組4
在導航欄中選擇“網絡 > NAT > NAT動態轉換 > 策略配置”,點擊按鈕
策略,如下圖所示
圖90 配置NAT動態轉換策略1
圖91 配置NAT動態轉換策略2
圖92 配置NAT動態轉換策略3
圖93 配置NAT動態轉換策略4
測試發起先訪問http://www.baidu.com的HTTP報文,設置DNS服務器地址為8.8.8.8。
(1) 查看域名解析生成表項
(2) 查看高峰期時期鏈路統計
(3) 查看低峰期時期鏈路統計
#
nat address-group 1 name cnc-1
address 61.0.156.100 61.0.156.200
#
nat address-group 2 name cnc-2
address 180.223.0.100 180.223.0.200
#
nat address-group 3 name chinatel-master
address 1.1.0.100 1.1.0.200
#
nat address-group 4 name chinatel-backup
address 203.0.24.100 203.0.24.200
#
interface GigabitEthernet2/0/1
port link-mode route
description link-cnc-2
ip address 180.223.0.1 255.255.255.0
nat outbound address-group 2
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc-1
ip address 61.0.156.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/3
port link-mode route
description link-chinatel-master
ip address 1.1.0.1 255.255.255.0
nat outbound address-group 3
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel-backup
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 4
#
time-range "low peak period" 00:00 to 07:59 working-day
time-range "low peak period" 12:01 to 13:59 working-day
time-range "low peak period" 18:01 to 24:00 working-day
time-range "low peak period" 00:00 to 24:00 off-day
time-range "rush hour" 08:00 to 12:00 working-day
time-range "rush hour" 14:00 to 18:00 working-day
#
acl advanced 3001
rule 0 permit ip time-range "rush hour"
#
acl advanced 3002
rule 0 permit ip time-range "low peak period"
#
nqa template icmp icmp
#
loadbalance link-group chinatel
transparent enable
probe t1
success-criteria at-least 1
#
loadbalance link-group cnc
transparent enable
probe t1
success-criteria at-least 1
#
loadbalance link link-chinatel-backup
router ip 203.0.24.2
link-group chinatel
#
loadbalance link link-chinatel-master
router ip 1.1.0.2
link-group chinatel
#
loadbalance link link-cnc-1
router ip 61.156.0.2
link-group cnc
#
loadbalance link link-cnc-2
router ip 180.223.0.2
link-group cnc
#
loadbalance class "domain-baidu.com-low peak period" type link-generic
match 1 acl 3002
match 2 destination domain-name www.baidu.com
#
loadbalance class "domain-baidu.com-rush hour" type link-generic
match 1 acl 3001
match 2 destination domain-name www.baidu.com
#
loadbalance class "domain-qq.com-low peak period" type link-generic
match 1 acl 3002
match 2 destination domain-name mail.qq.com
#
loadbalance class "domain-qq.com-rush hour" type link-generic
match 1 acl 3001
match 2 destination domain-name mail.qq.com
#
loadbalance action "ob$action$#for#domain-baidu.com-low peak period" type link-generic
link-group chinatel backup cnc
fallback-action continue
#
loadbalance action "ob$action$#for#domain-baidu.com-rush hour" type link-generic
link-group cnc backup chinatel
fallback-action continue
#
loadbalance action "ob$action$#for#domain-qq.com-low peak period" type link-generic
link-group chinatel backup cnc
fallback-action continue
#
loadbalance action "ob$action$#for#domain-qq.com-rush hour" type link-generic
link-group cnc backup chinatel
fallback-action continue
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
class "domain-baidu.com-rush hour" action "ob$action$#for#domain-baidu.com-rush
hour"
class "domain-qq.com-rush hour" action "ob$action$#for#domain-qq.com-rush hour"
class "domain-baidu.com-low peak period" action "ob$action$#for#domain-baidu.co
m-low peak period"
class "domain-qq.com-low peak period" action "ob$action$#for#domain-qq.com-low
peak period"
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
#
如圖所示,用戶租用電信聯通運營商各兩個公網IP以供內網用戶使用,其中聯通運營商兩條鏈路成本相同、權重不同;電信運營商兩條鏈路成本值不同、權重相同。內網用戶通過LB設備外網http服務器,開啟就近性功能選出到達目的地的最優鏈路,從而引導後續流量。就是當流量經過負載均衡模塊時,如果沒有與目的地址相關的就近性信息,則根據調度算法,為該流量選擇一條鏈路,以保證業務的可用性,然後啟動就近性探測來生成就近性表項,以引導後續流量。
圖94 鏈路負載均衡就近性組網圖
為了實現就近性的應用,需要完成如下配置:
· 配置需求相對應的健康探測,案例以icmp為例。
· 在LB設備上的鏈路組中開啟就近性功能。
· 配置源地址轉換,保護內網IP。
· 在LB設備上配置虛服務,虛服務中引用策略。
· 在LB設備上配置類型為link-generic的策略,策略要配置default-class 和default-action。
本舉例是在L1000-E的Version 7.1.064, Release 8117P12版本上進行配置和驗證的。
· 就近性中必須引用健康檢測,目前就近性支持的探測類型:ICMP, TCP Half Open。
· 就近性探測對同一個目的地址向所有的物理鏈路發起探測,結果形成一條按優先級排列的鏈,匹配時遍曆就近性鏈,找最優的屬於該鏈路組的對應鏈路。
· 已有的就近性表項,在未老化前周期性進行探測。
· 探測目的地址為最初的探測地址,通過就近性算法獲取當前的最優鏈路,並更新對應的動態就近性表項中掛接鏈路鏈表優先級雙向鏈表的順序,這樣保證就近性表項中掛接的鏈路優先級雙向鏈表一直是按照各個鏈路優先級順序排列的,就近性探測的周期由用戶配置決定。
· 就近性優先級鏈中的最優的不一定就是最終選擇的,還要看當前鏈路的狀態,還有這個鏈路是否在待選的鏈路組內。
· 動態鏈路負載均衡最重要的一點,即可以比較當前使用哪條鏈路到達目的地址是最近的,或者說時延最小,稱此為就近性探測。
(1) 創建ICMP類型健康檢測
在導航欄中選擇“策略 > 全局配置 > 健康監測”,單擊
按鈕,隻配置名稱,其他配置使用默認配置,如下圖所示。
圖95 配置icmp類型建健康監測
(2) 配置就近性
在導航欄中選擇“策略 > 全局配置 > 就近性”,選中公網並編輯,選擇健康性檢測,無特屬需求,其他使用默認配置,如下圖所示。
圖96 配置就近性
(3) 配置鏈路
在導航欄中選擇“策略 > 全局配置 > 鏈路”,進入鏈路頁麵,如下圖所示。
點擊按鈕
,創建四條鏈路, link-cnc-1,link-cnc-2,和link-chinatel-master,link-chinatel-backup,其中link-cnc-1、link-cnc-2除router ip外其他配置相同;link-chinatel-master 成本值為10、link-chinatel-backup成本值為100。
圖97 創建鏈路link-cnc-1
圖98 創建鏈路link-cnc-2
圖99 創建鏈路link-chinatel-master
圖100 創建鏈路link-chinatel-backup
點擊<確定>按鈕,配置完成。
配置完鏈路如下:
(4) 配置鏈路組並開啟就近性
在導航欄中選擇“策略 > 鏈路負載均衡 > 鏈路組”,創建兩個鏈路組,分別為cnc和chinatel,鏈路link-cnc-1、link-cnc-2屬於鏈路組cnc,鏈路link-chinatel-master、link-chinatel-backup屬於鏈路組chinatel,同時在鏈路組裏麵配置健康檢測icmp。進入鏈路組頁麵,如下圖所示。
點擊按鈕
,分別配置鏈路組cnc和chinatel,如下圖所示。
圖101 創建鏈路組chinatel
圖102 創建鏈路組cnc
點擊<確定>按鈕,配置完成。
配置完鏈路組如下:
(5) 配置流量特征
在導航欄中選擇“策略 > 鏈路負載均衡 > 流量特征”, 流量特征類型為link-generic,用於匹配目的IP 183.232.98.190與目的IP 61.135.169.125,匹配方式為match-any,進入流量特征頁麵,如下圖所示。
點擊按鈕
,創建dip-1、dip-2。
圖103 創建流量特征dip-1
圖104 創建流量特征dip-2
(6) 開啟負載均衡功能
在導航欄中選擇“策略 > 鏈路負載均衡 > IPv4選路策略”,進行如下配置,如下圖所示。
圖105 配置負載均衡功能
(7) 配置負載均衡策略
在導航欄中選擇“策略 > 鏈路負載均衡 > IPv4選路策略”,配置策略,如下圖所示。
匹配流量特征dip-1的走鏈路組cnc;dip-2的流量走鏈路組chinatel;選擇鏈路失敗處理方式為繼續匹配下一條規則。點擊按鈕
,配置IPv4選路策略,如下圖所示。
圖106 配置IPv4選路策略-1
圖107 配置IPv4選路策略-2
配置完成如下圖所示。
(8) 配置nat地址池並在鏈路出接口應用
在導航欄中選擇“網絡 > NAT > NAT動態轉換 > NAT地址池”,點擊按鈕
創建地址池,如下圖所示
圖108 配置地址組1
圖109 配置地址組2
圖110 配置地址組3
圖111 配置地址組4
在導航欄中選擇“網絡 > NAT > NAT動態轉換 > 策略配置”,點擊按鈕
策略,如下圖所示
圖112 配置NAT動態轉換策略1
圖113 配置NAT動態轉換策略2
圖114 配置NAT動態轉換策略3
圖115 配置NAT動態轉換策略4
內網發起http://183.232.98.190與http://61.135.169.125的流量進行以下驗證
(1) 查看就近性表項
在導航欄中選擇“策略 > 全局配置 > 就近性 > 就近性表項”,如下圖所示。
(2) 查看鏈路統計
在導航欄中選擇“監控 > 鏈路負載統計 > 鏈路統計”,如下圖所示。
詳細信息如下
(3) 手動down掉鏈路link-cnc-1與link-chinatel-master
再次查看就近性表項與鏈路統計,會有部分流量失敗,如下圖所示:
#
nat address-group 1 name cnc-1
address 61.0.156.100 61.0.156.200
#
nat address-group 2 name cnc-2
address 180.223.0.100 180.223.0.200
#
nat address-group 3 name chinatel-master
address 1.1.0.100 1.1.0.200
#
nat address-group 4 name chinatel-backup
address 203.0.24.100 203.0.24.200
#
interface GigabitEthernet2/0/1
port link-mode route
description link-cnc-2
ip address 180.223.0.1 255.255.255.0
nat outbound address-group 2
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc-1
ip address 61.0.156.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/3
port link-mode route
description link-chinatel-master
ip address 1.1.0.1 255.255.255.0
nat outbound address-group 3
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel-backup
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 4
#
nqa template icmp icmp
#
loadbalance link-group chinatel
proximity enable
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link-group cnc
fail-action reschedule
proximity enable
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link link-chinatel-backup
router ip 203.0.24.2
link-group chinatel
cost 200
#
loadbalance link link-chinatel-master
router ip 1.1.0.2
link-group chinatel
cost 10
#
loadbalance link link-cnc-1
router ip 61.156.0.2
link-group cnc
shutdown
success-criteria at-least 1
inherit vpn-instance disable
#
loadbalance link link-cnc-2
router ip 180.223.0.2
link-group cnc
weight 200
shutdown
success-criteria at-least 1
#
loadbalance class dip-1 type link-generic match-any
match 1 destination ip address 183.232.98.190
#
loadbalance class dip-2 type link-generic match-any
match 1 destination ip address 61.135.169.125
#
loadbalance action ob$action$#for#dip-1 type link-generic
link-group cnc
#
loadbalance action ob$action$#for#dip-2 type link-generic
link-group chinatel
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
class dip-1 action ob$action$#for#dip-1
class dip-2 action ob$action$#for#dip-2
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
如圖所示,用戶租用聯通運營商兩個公網IP以供內網用戶使用,其中以兩條鏈路帶寬均為1G,其中一條鏈路優先級較高,另一條鏈路優先級較低。內網用戶通過LB設備訪問外網http服務器。使用戶出方向的流量基於目的地址在兩條鏈路上負載分擔流量,每條鏈路上配置帶寬繁忙保護,但一條鏈路出接口流量達到設定的繁忙比例時,LB設備將新建流量分發給另外一條link。帶寬繁忙保護功能就是對鏈路的帶寬繁忙比進行限製。當流量超過某條鏈路的帶寬繁忙比後,新建流量(非匹配持續性的流量)將不再向該鏈路分發,而原有流量則仍由該鏈路繼續分發。
圖116 鏈路負載均衡帶寬繁忙保護網圖
· 鏈路組中的兩條鏈路優先級不同,並且配置各自的帶寬,無特殊需求案例使用默認的帶寬繁忙比與恢複比。
· 虛服務開啟帶寬繁忙保護。
· 配置源地址轉換,保護內網IP。
本舉例是在L1000-E的Version 7.1.064, Release 8117P12版本上進行配置和驗證的。
· 配置一條主用鏈路兩條備用鏈路,主用鏈路優先級要高於備用鏈路。
· 目前LB設備隻支持同一個鏈路組之間的不同鏈路間切換,不支持鏈路繁忙後鏈路組間的切換。
· 虛服務下使能帶寬繁忙保護,接口帶寬統計設置為5秒統計一次。
· 如果兩條鏈路均繁忙,則兩條鏈路都參與調度。
· 以下配置均在LB設備上進行。
· 如果使用物理子接口作為鏈路出接口,請在物理口下開啟子接口統計功能
(1) 創建ICMP類型健康檢測
在導航欄中選擇“策略 > 全局配置 > 健康監測”,單擊
按鈕,隻配置名稱,其他配置使用默認配置,如下圖所示。
圖117 配置icmp類型建健康監測
(2) 配置鏈路
在導航欄中選擇“策略 > 全局配置 > 鏈路”,進入鏈路頁麵,如下圖所示。
點擊按鈕
,創建兩條鏈路, link-cnc-1、link-cnc-2,,其中link-cnc-1優先級為8,帶寬1G,最大繁忙比為20%,恢複比10%、link-cnc-2優先級為4,帶寬為1G,其他使用默認配置。
圖118 創建鏈路link-cnc-1
圖119 創建鏈路link-cnc-2
(3) 配置鏈路組
在導航欄中選擇“策略 > 鏈路負載均衡 > 鏈路組”,創建鏈路組cnc,鏈路link-cnc-1、link-cnc-2屬於鏈路組cnc,同時在鏈路組裏麵配置健康檢測icmp。進入鏈路組頁麵,如下圖所示。
點擊按鈕
,分別配置鏈路組cnc,如下圖所示。
圖120 創建鏈路組cnc
點擊<確定>按鈕,配置完成。
配置完鏈路組如下:
(4) 配置流量特征
在導航欄中選擇“策略 > 鏈路負載均衡 > 流量特征”, 流量特征類型為link-generic,用於匹配目的IP 183.232.98.190與目的IP 61.135.169.125,匹配方式為match-any,進入流量特征頁麵,如下圖所示。
點擊按鈕
,創建dip。
圖121 創建流量特征dip
點擊<確定>按鈕,配置完成,如下圖所示。
(5) 開啟負載均衡功能
在導航欄中選擇“策略 > 鏈路負載均衡 > IPv4選路策略”,開啟負載均衡功能與帶寬繁忙保護,如下圖所示。
圖122 配置負載均衡功能
(6) 配置負載均衡策略
在導航欄中選擇“策略 > 鏈路負載均衡 > IPv4選路策略”,配置策略,如下圖所示。
匹配流量特征dip的走鏈路組cnc,點擊按鈕
,配置IPv4選路策略,如下圖所示。
圖123 配置IPv4選路策略
配置完成如下圖所示。
(7) 配置nat地址池並在鏈路出接口應用
在導航欄中選擇“網絡 > NAT > NAT動態轉換 > NAT地址池”,點擊按鈕
創建地址池,如下圖所示
圖124 配置地址組1
圖125 配置地址組2
圖126 配置NAT動態轉換策略1
在導航欄中選擇“網絡 > NAT > NAT動態轉換 > 策略配置”,點擊按鈕
策略,如下圖所示
圖127 配置NAT動態轉換策略2
(1) 正常流量情況下的流量統計
(2) 吞吐較大的流量情況下的流量統計與鏈路狀態
#
nat address-group 1 name cnc-1
address 61.0.156.100 61.0.156.200
#
nat address-group 2 name cnc-2
address 180.223.0.100 180.223.0.200
#
interface GigabitEthernet2/0/1
port link-mode route
description link-cnc-2
ip address 180.223.0.1 255.255.255.0
nat outbound address-group 2
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc-1
ip address 61.0.156.1 255.255.255.0
nat outbound address-group 1
#
nqa template icmp icmp
#
loadbalance link-group cnc
fail-action reschedule
proximity enable
transparent enable
probe icmp
success-criteria at-least 1
#
loadbalance link link-cnc-1
router ip 61.156.0.2
link-group cnc
priority 8
max-bandwidth 125000
bandwidth busy-rate 20 recovery 10
bandwidth outbound busy-rate 70 recovery 10
success-criteria at-least 1
inherit vpn-instance disable
#
loadbalance link link-cnc-2
router ip 180.223.0.2
link-group cnc
max-bandwidth 125000
success-criteria at-least 1
#
loadbalance class dip type link-generic match-any
match 1 destination ip address 183.232.98.190
match 2 destination ip address 61.135.169.125
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-gen
eric
forward all
#
loadbalance action ob$action$#for#dip type link-generic
link-group cnc
fallback-action continue
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-gen
eric
class dip action ob$action$#for#dip
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth busy-protection enable
bandwidth interface statistics enable
#
本章介紹DNS透明代理典型配置案例。
DNS透明代理功能可在多條鏈路上分擔內網用戶訪問外部DNS服務器的流量。
如圖所示,用戶租用電信聯通運營商各兩個公網IP以供內網用戶使用。link-cnc-1對應的DNS服務器的IP地址為183.232.98.190、link-cnc-2對應的DNS服務器的IP地址為183.232.98.191,兩個DNS服務器均參與解析mail.qq.com的DNS請求;link-chinatel-master對應的DNS服務器的IP地址為61.135.169.125、link-chinatel-backup對應的DNS服務器的IP地址為61.135.169.126,優先級高的DNS服務器優先處理DNS請求,另一個做為備份,兩個DNS服務器均參與解析www.baidu.com的DNS請求。
圖128 DNS透明代理配置組網圖
· 配置接口地址,配置鏈路與dns服務器。
· 配置源地址轉換,保護內網IP。
· 在LB設備上配置DNS透明代理,DNS透明代理中引用策略。
· 在LB設備上配置類型為dns的策略,策略要配置default-class 和default-action。
本舉例是在L1000-E 的Version 7.1.064, Release 8117P12版本上進行配置和驗證的。
· 配置默認DNS服務器。
· 案例以A記錄解析為例。
(1) 創建ICMP類型健康檢測
在導航欄中選擇“策略 > 全局配置 > 健康監測”,單擊
按鈕,隻配置名稱,其他配置使用默認配置,如下圖所示。
圖129 配置icmp類型建健康監測
(2) 配置鏈路
在導航欄中選擇“策略 > 全局配置 > 鏈路”,進入鏈路頁麵,如下圖所示。
點擊按鈕
,創建四條鏈路, link-cnc-1,link-cnc-2,和link-chinatel-master,link-chinatel-backup,其中link-cnc-1、link-cnc-2除router ip外其他配置相同。
圖130 創建鏈路link-cnc-1
圖131 創建鏈路link-cnc-2
圖132 創建鏈路link-chinatel-master
圖133 創建鏈路link-chinatel-backup
點擊<確定>按鈕,配置完成。
配置完鏈路如下:
(3) 配置DNS服務器
在導航欄中選擇“策略 > DNS透明代理 > DNS服務器”,進入DNS服務器頁麵,點擊按鈕
,創建四個dns服務器, dns-qq-1、dns-qq-2服務器除IP地址外其他配置相同;dns-baidu-master優先級為8、dns-baidu-backup優先級為4,除IP地址外其他配置相同。
圖134 配置DNS服務器dns-qq-1
圖135 配置DNS服務器dns-qq-2
圖136 配置DNS服務器dns-baidu-master
圖137 配置DNS服務器dns-baidu-backup
點擊確定配置完成,如下圖所示
(4) 配置DNS服務器池
在導航欄中選擇“策略 > DNS透明代理 > DNS服務器池”,進入DNS服務器池頁麵,點擊按鈕
,創建兩個dns服務器池dsp-qq、dns-qq-2,和dsp-baidu,並分別關聯鏈路與DNS服務器。
圖138 創建dns服務器池dsp-qq
在DNS服務器列表中點擊按鈕
關聯鏈路與DNS服務器,如下圖所示。
創建完成如下圖所示
圖139 創建dns服務器池dsp-baidu
在DNS服務器列表中點擊按鈕
關聯鏈路與DNS服務器,如下圖所示
創建完成如下圖所示。
點擊確定配置完成,如下圖所示。
(5) 配置流量特征
在導航欄中選擇“策略 > DNS透明代理 > 流量特征”,進入流量特征頁麵,點擊按鈕
,創建兩個流量特征domain-qq.com與domain-baidu.com,如下圖所示
#創建流量特征domain-qq.com,匹配方式為match-any
圖140 創建流量特征domain-qq.com,,匹配方式為match-any
在匹配規則中點擊按鈕
創建規則,如下圖所示
點擊確定配置完成,如下圖所示。
圖141 創建流量特征domain-baidu.com,匹配方式為match-any
在匹配規則中點擊按鈕
創建規則,如下圖所示。
點擊確定配置完成,如下圖所示。
(6) 使能DNS透明代理
在導航欄中選擇“策略 > DNS透明代理 > IPv4選路策略”,進行如下配置,如下圖所示。
圖142 配置DNS透明代理
(7) 配置ipv4代理策略
在導航欄中選擇“策略 > DNS透明代理 > ipv4代理策略”,ipv4代理策略頁麵,點擊按鈕
,配置策略,並dsp-qq作為默認DNS服務器池,如下圖所示
圖143 配置IPv4選路策略-1
圖144 配置IPv4選路策略-2
圖145 配置IPv4選路策略-3
點擊確定配置完成,如下圖所示。
(8) 配置nat地址池並在鏈路出接口應用
在導航欄中選擇“網絡 > NAT > NAT動態轉換 > NAT地址池”,點擊按鈕
創建地址池,如下圖所示。
圖146 配置地址組1
圖147 配置地址組2
圖148 配置地址組3
圖149 配置地址組4
在導航欄中選擇“網絡 > NAT > NAT動態轉換 > 策略配置”,點擊按鈕
策略,如下圖所示。
圖150 配置NAT動態轉換策略1
圖151 配置NAT動態轉換策略2
圖152 配置NAT動態轉換策略3
圖153 配置NAT動態轉換策略4
# 配置測試儀發起DNS A www.baidu.com,DNS A mail.qq.com。
在導航欄中選擇“監控 > DNS透明代理統計 > DNS服務器統計統計”,如下圖所示。
(1) 查看dns服務器統計
查看詳細信息
(2) 手動關閉link-cnc-1與link-chinatel-master
再次查看dns服務器統計,流量切換到狀態正常的DNS服務器
#
nat address-group 1 name cnc-1
address 61.0.156.100 61.0.156.200
#
nat address-group 2 name cnc-2
address 180.223.0.100 180.223.0.200
#
nat address-group 3 name chinatel-master
address 1.1.0.100 1.1.0.200
#
nat address-group 4 name chinatel-backup
address 203.0.24.100 203.0.24.200
#
nqa template icmp icmp
#
interface GigabitEthernet2/0/1
port link-mode route
description link-cnc-2
ip address 180.223.0.1 255.255.255.0
nat outbound address-group 2
#
interface GigabitEthernet2/0/2
port link-mode route
description link-cnc-1
ip address 61.0.156.1 255.255.255.0
nat outbound address-group 1
#
interface GigabitEthernet2/0/3
port link-mode route
description link-chinatel-master
ip address 1.1.0.1 255.255.255.0
nat outbound address-group 3
#
interface GigabitEthernet2/0/4
port link-mode route
description link-chintel-backup
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 4
#
loadbalance class damian-baidu.com type dns match-any
match 1 domain-name www.baidu.com
#
loadbalance class domain-qq.com type dns match-any
match 1 domain-name mail.qq.com
#
loadbalance action ##defaultactionfordnsproxyipv4##%%autocreatedbyweb%% type dns
dns-server-pool dsp-qq
#
loadbalance action dp4#action#for#damian-baidu.com type dns
dns-server-pool dsp-baidu
fallback-action continue
#
loadbalance action dp4#action#for#domain-qq.com type dns
dns-server-pool dsp-qq
fallback-action continue
#
loadbalance policy ##defaultpolicyfordnsproxyipv4##%%autocreatedbyweb%% type dns
class domain-qq.com action dp4#action#for#domain-qq.com
class damian-baidu.com action dp4#action#for#damian-baidu.com
default-class action ##defaultactionfordnsproxyipv4##%%autocreatedbyweb%%
#
loadbalance link link-chinatel-backup
router ip 203.0.24.2
link-group chinatel
#
loadbalance link link-chinatel-master
router ip 1.1.0.2
link-group chinatel
success-criteria at-least 1
#
loadbalance link link-cnc-1
router ip 61.0.156.2
link-group cnc
success-criteria at-least 1
#
loadbalance link link-cnc-2
router ip 180.223.0.2
link-group cnc
success-criteria at-least 1
#
loadbalance dns-server dns-baidu-backup
dns-server-pool dsp-baidu
ip address 8.8.8.8
link link-chinatel-backup
success-criteria at-least 1
#
loadbalance dns-server dns-baidu-master
dns-server-pool dsp-baidu
ip address 219.141.136.68
link link-chinatel-master
priority 8
success-criteria at-least 1
#
loadbalance dns-server dns-qq-1
dns-server-pool dsp-qq
ip address 114.114.114.114
link link-cnc-1
success-criteria at-least 1
#
loadbalance dns-server dns-qq-2
dns-server-pool dsp-qq
ip address 202.106.46.151
link link-cnc-2
success-criteria at-least 1
#
loadbalance dns-proxy ##defaultdpfordnsproxyipv4##%%autocreatedbyweb%% type udp
ip address 0.0.0.0 0
service enable
lb-policy ##defaultpolicyfordnsproxyipv4##%%autocreatedbyweb%%
#
本章介紹智能DNS置案例。
智能DNS功能可在多條鏈路上分擔外網用戶訪問內網服務器的流量。
智能DNS支持IPv4與IPv6,但不支持IPv4流量與IPv6流量的互轉。
路由部署模式:LB設備以三層方式對外連接,通過路由轉發。
企業分別租用不同運營商聯通cnc、電信chinatel四條鏈路link-cnc-1、link-cnc-1、link-chinatel-master、link-chinatel-backup為外網用戶提供服務。local DNS上指定LB作為權威DNS服務器負載解析外網用戶訪問內網服務器的DNS請求報文,並為外網用戶訪問內網服務器選擇最佳鏈路。
通過配置入方向鏈路負載均衡,可以使外部互聯網用戶訪問內網服務器的流量較為均勻地分配到多條鏈路上,從而提高流量轉發效率,提升服務質量;可以避免出現一條鏈路擁塞而其他鏈路閑置的情況;可以在某條鏈路出現故障時,使外部互聯網用戶使用其它鏈路來訪問內網服務器,避免因鏈路故障導致流量轉發失敗。
智能DNS支持的資源記錄有:
· A(Address)記錄是用來指定主機名(或域名)對應的IP地址記錄(ipv4地址),通俗來說A記錄就是服務器的IP。
· AAAA(Address)記錄是用來指定主機名(或域名)對應的IP地址記錄(ipv6地址)。
在DNS正向解析過程中,負載均衡設備使用DNS正向區域中配置的資源記錄來查找DNS域名對應的主機名。DNS資源記錄是負載均衡設備用於解析DNS請求的數據記錄表項,DNS正向區域中可以配置以下幾種類型的資源記錄:
· CNAME(Canonical Name,規範名稱)資源記錄允許將多個別名映射到同一正規主機名,即同一服務器。例如,企業內網有一台服務器主機名為host.qq.com,它同時對外提供Web服務和郵件服務,為了便於用戶的訪問,可以為該服務器配置CNAME資源記錄,分別配置別名為www.qq.com和mail.qq.com。當用戶請求Web服務時,訪問www.qq.com,當用戶請求郵件服務時,訪問mail.qq.com,而實際訪問的均為host.qq.com。
· MX(Mail Exchanger,郵件交換)資源記錄用於指定該DNS正向區域的郵件服務器。
· NS(Name Server,權威名稱服務器)資源記錄用於指定為該DNS正向區域服務的權威名稱服務器。
· SOA(Start of Authority,起始授權)資源記錄用來配置一個DNS正向區域的主域名服務器、管理員郵箱等參數。
· SRV(Service,服務)資源記錄用來配置DNS正向區域所提供的服務,以及提供該服務的服務器。
· TXT(Text,文本)資源記錄用於為DNS正向區域設置說明。
· PTR(Pointer Record,指針記錄)用來記錄域名和IP地址的映射關係,根據DNS反向區域對收到的報文進行反向DNS解析,即根據IP地址查找對應的域名。
圖154 智能DNS組網圖
· 配置接口地址,及保持上一跳,保證反向流量從同一條鏈路返回。
· 為了接收DNS請求,需要配置鏈路、DNS監聽器。
· LB設備支持多種資源記錄,需要配置DNS正向域、DNS反向域。
· 為了能返回域名所對應的IP地址,需要配置虛服務器及虛IP池。
· 配置DNS正向域,用於解析各種資源記錄。
本舉例是在L5000C的Version 7.1.064, Release 8120P12 版本上進行配置和驗證的。
· 在配置之前確保外網到負載均衡設備、DNS監聽路由可達。
· 舉例版本web不支持接口配置保持上一跳,使用命令行配置。
· 舉例版本web不支持SRV\TXT記錄,使用命令行配置。
· 本次配置舉例中,對於域名不存在的處理方式是拒絕,也可以根據具體的需求,設置為不回應或DNS代理方式,本文檔不再贅述。
(1) 配置接口IP地址,並開啟保持保持上一跳
[Sysname-GigabitEthernet1/0/1]ip address 61.156.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/1]ip last-hop hold
[Sysname-GigabitEthernet1/0/2]ip address 180.223.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/2]ip last-hop hold
[Sysname-GigabitEthernet1/0/3]ip address 1.1.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/3]ip last-hop hold
[Sysname-GigabitEthernet1/0/4]ip address 203.0.24.1 255.255.0.0
[Sysname-GigabitEthernet1/0/4]ip last-hop hold
(2) 配置NQA模板
圖155 創建名為icmp的ICMP類型的NQA模板
(3) 配置Link
創建名為link-cnc-1的Link,指定鏈路出方向的下一跳IP地址為61.156.0.2,開啟鏈路功能,引用ICMP類型健康檢測,成功條件為至少一個檢測通過;
創建名為link-cnc-2的Link,指定鏈路出方向的下一跳IP地址為180.223.0.2,開啟鏈路功能,引用ICMP類型健康檢測,成功條件為至少一個檢測通過;
創建名為link-chinatel-master的Link,指定鏈路出方向的下一跳IP地址為1.1.0.2,開啟鏈路功能,引用ICMP類型健康檢測,成功條件為至少一個檢測通過;
創建名為link-chinatel-backup的Link,指定鏈路出方向的下一跳IP地址為203.0.24.2,開啟鏈路功能,引用ICMP類型健康檢測,成功條件為至少一個檢測通過。
在導航欄中選擇“策略 > 全局配置 > 鏈路”,單擊“
”按鈕,進行如下配置:
圖156 創建名為link-cnc-1的Link
圖157 創建名為link-cnc-2的Link
圖158 創建名為link-chinatel-maste的Link
圖159 創建名為link-chinatel-backup的Link
(4) 配置虛服務器
在導航欄中選擇“策略 > 應用負載均衡 > 虛服務器”,單擊“
”按鈕:
創建IP類型的虛服務器vs-cnc-1,配置其VSIP為183.232.98.190。
圖160 創建IP類型的虛服務器vs-cnc-1
創建IP類型的虛服務器vs-cnc1-01,配置其VSIP為183.232.100.100。
圖161 創建IP類型的虛服務器vs-cnc1-01
創建IP類型的虛服務器vs-cnc-2,配置其VSIP為140.207.128.140。
圖162 創建IP類型的虛服務器vs-cnc-2
(5) 配置虛服務器池
創建虛IP池vsp,設置優選調度算法為加權輪轉算法,並添加虛服務器vs-cnc-ipv6、vs-cnc1、vs-cnc2,虛服務器分別關聯鏈路link-cnc-1、link-cnc-1、link-cnc-2。
在導航欄中選擇“策略 > 智能DNS
> 虛IP池”,單擊“
”按鈕:
圖163 創建虛IP池vsp
(6) 配置DNS監聽器
創建DNS監聽器dl-cnc-1,配置其IPv4地址為61.156.0.1,並開啟DNS監聽服務。
在導航欄中選擇“策略 > 智能DNS
> NDS監聽器”,單擊“
”按鈕:
圖164 創建DNS監聽器dl-cnc-1
創建DNS監聽器dl-cnc-2,配置其IPv4地址為180.223.0.1,並開啟DNS監聽服務。
圖165 創建DNS監聽器dl-cnc-2
創建DNS監聽器dl-chinatel-m,配置其IPv4地址為1.1.0.1,並開啟DNS監聽服務。
圖166 創建DNS監聽器dl-chinatel-m
創建DNS監聽器dl-chinatel-b,配置其IPv4地址為203.0.24.1,並開啟DNS監聽服務。
圖167 創建DNS監聽器dl-chinatel-b
(7) 配置DNS映射
創建DNS映射dm,配置域名host.qq.com、ns-cnc1.baidu.com、ns-tel1.baidu.com,指定虛服務器池vsp,並開啟其服務。
在導航欄中選擇“策略 > 智能DNS
> DNS映射”,單擊“
”按鈕:
圖168 創建DNS映射dm
(8) 配置DNS正向區域
a. 配置MX記錄
創建DNS正向區域域名為qq.com,配置MX類型的資源記錄,其郵件服務器主機名為mail。
注:郵件服務器主機名,支持絕對域名(以“.”結束)和相對域名(不以“.”結束),當域名是相對域名時,則進行自動擴充,在所配域名後自動添加當前DNS正向域的域名
在導航欄中選擇“策略 > 智能DNS
> DNS正向域”,單擊“
”按鈕:
圖169 創建MX類型資源記錄
b. 配置CNAME記錄
DNS正向區域域名為qq.com,配置CNAME類型的資源記錄,別名為mail,規範名稱為host。
注:CNAME記錄中的別名和規範名稱支持絕對域名(以“.”結束)和相對域名(不以“.”結束),當域名是相對域名時,則進行自動擴充,在所配域名後自動添加當前DNS正向域的域名。
圖170 創建CNAME類型資源記錄
c. 配置NS及SOA記錄
創建DNS正向區域域名為baidu.com,配置NS類型的資源記錄,其主機名為ns-cnc1、ns-tel1,對應的SOA配置中,主域名服務器主機名為www,管理員郵箱地址為www
注:NS 、SOA記錄中的主機名和郵箱地址支持絕對域名(以“.”結束)和相對域名(不以“.”結束),當域名是相對域名時,則進行自動擴充,在所配域名後自動添加當前DNS正向域的域名
配置CNAME類型的資源記錄,別名為mail,規範名稱為host。
在導航欄中選擇“策略 > 智能DNS
> DNS正向域”,單擊“
”按鈕:
圖171 創建NS、SOA類型資源記錄
d. 配置SRV記錄
目前版本web不支持配置,使用命令行進行舉例
注:服務名稱(service)和提供服務的主機名(host-offering-service),支持絕對域名(以“.”結束)和相對域名(不以“.”結束),當服務名和主機名是相對域名時,則進行自動擴充,在所配域名後自動添加當前DNS正向域的域名。
loadbalance zone qq.com
record srv service _ldap host-offering-service _tcp priority 50 weight 50 port 389
record srv service _ldap.qq.com. host-offering-service _tcp. priority 10 weight 10 port 80
#
e. 配置TXT記錄
目前版本web不支持配置,使用命令行進行配置舉例
注:區域的子域名(sub),支持絕對域名(以“.”結束)和相對域名(不以“.”結束),當服務名和主機名是相對域名時,則進行自動擴充,在所配域名後自動添加當前DNS正向域的域名。
[Sysname-lb-zone-qq.com] record txt describe-txt 111111111111111111
[Sysname-lb-zone-qq.com]record txt sub hotline describe-txt "v=spf1 include:spf.abcmail.abc.com.cn -all"
(9) 配置DNS反向區域
在導航欄中選擇“策略 > 智能DNS
> DNS反向域”,單擊“
”按鈕:
圖172 創建PTR類型資源記錄
(1) 通過nslookup查看CNAME記錄
(2) 通過nslookup查看A、AAAA記錄
DNS請求域名www.qq.com對應的A、AAAA記錄,映射表中不存在該域名,查詢在DNS正向區域中配置的資源記錄,得到主機域名,再依據該主機域名在DNS映射中查找域名所對應的虛服務器IP地址。
(3) 通過nslookup查看MX記錄
(4) 通過nslookup查看NS及SOA記錄
(5) 通過nslookup查看SRV記錄
配置兩條SRV記錄,查看相對域名和絕對域名對應的返回情況,結果如下圖所示:
(6) 通過nslookup查看TXT記錄
正向域qq.com下配置兩條TXT記錄,一條不配置sub,另外一條配置sub、查看TXT記錄,結果如下圖所示:
(7) 通過nslookup查看PTR記錄
183.232.100.100對應的PTR記錄,如下圖所示:
nqa template icmp icmp
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 61.156.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 180.223.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 1.1.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/4
port link-mode route
ip address 203.0.24.1 255.255.0.0
ip last-hop hold
#
virtual-server vs-cnc-ipv6 type ip
virtual ipv6 address 1:20::5
#
virtual-server vs-cnc1 type ip
virtual ip address 183.232.98.190
#
virtual-server vs-cnc2 type ip
virtual ip address 140.207.128.140
#
loadbalance link link-chinatel-backup
router ip 203.0.24.3
success-criteria at-least 1
probe icmp
#
loadbalance link link-chinatel-master
router ip 1.1.0.3
success-criteria at-least 1
probe icmp
#
loadbalance link link-cnc-1
router ip 61.156.0.3
success-criteria at-least 1
probe icmp
#
loadbalance link link-cnc-2
router ip 180.223.0.3
success-criteria at-least 1
probe icmp
#
loadbalance virtual-server-pool vsp
predictor alternate random
predictor fallback least-connection
virtual-server vs-cnc-ipv6 link link-cnc-1
virtual-server vs-cnc1 link link-cnc-1
virtual-server vs-cnc2 link link-cnc-2
#
loadbalance dns-map dm
domain-name host.qq.com
domain-name ns-cnc1.baidu.com
domain-name ns-tel1.baidu.com
service enable
virtual-server-pool vsp
#
loadbalance dns-listener dl-chinatel-b
ip address 203.0.24.1
service enable
#
loadbalance dns-listener dl-chinatel-m
ip address 1.1.0.1
service enable
#
loadbalance dns-listener dl-cnc-1
ip address 61.156.0.1
service enable
#
loadbalance dns-listener dl-cnc-2
ip address 180.223.0.1
service enable
#
loadbalance zone baidu.com
record ns authority ns-cnc1
record ns authority ns-tel1
soa
primary-nameserver www
responsible-mail mail
#
loadbalance zone qq.com
record mx exchanger mail preference 100
record cname alias mail canonical host
record cname alias www canonical host
record txt describe-txt 111111111111111111
record txt sub hotline describe-txt "v=spf1 include:spf.abcmail.abc.com.cn -all
"
record srv service _ldap host-offering-service _tcp priority 50 weight 50 port 389
record srv service _ldap.qq.com. host-offering-service _tcp. priority 10 weight 10 port 80
#
loadbalance reverse-zone ip 183.232.0.0 16
record ptr ip 183.232.100.100 mail.qq.com
#
企業分別租用不同運營商聯通cnc、電信chinatel四條鏈路link-cnc-1、link-cnc-1、link-chinatel-master、link-chinatel-backup為外網用戶提供服務,這四條鏈路的路由器跳數、帶寬和成本不完全相同。外網用戶訪問host.qq.com時,優先根據動態探測到的最優鏈路選路,其次根據所屬的ISP進行選路。用戶首先向本地DNS服務器發送請求,本地DNS服務器向負載均衡設備發起DNS請求,負載均衡設備經過調度算法選出對應鏈路對應的虛服務器。
圖173 智能DNS動態就近性組網圖
為了驗證inbound的動態就近性算法,需要完成如下配置:
· 配置接口地址,及保持上一跳,保證反向流量從同一條鏈路返回。
· 為了接收DNS請求,需要配置鏈路、DNS監聽器。
· 為了能返回域名所對應的IP地址,需要配置虛服務器及虛IP池。
· 四條鏈路的路由器跳數、帶寬和成本不同。
· 配置就近性參數,用於動態就近性算法。
本舉例是在L5000C的Version 7.1.064, Release 8120P12版本上進行配置和驗證的。
· 在配置之前確保外網到負載均衡設備、DNS監聽路由可達。
· 舉例版本web不支持接口配置保持上一跳,使用命令行配置。
· 動態探測的目的地址為最初的探測地址,通過就近性算法獲取當前的最優鏈路,就近性探測的周期由用戶配置決定。
· 就近性優先級鏈中的最優的不一定就是最終選擇的,還要看當前鏈路的狀態。
· 在虛IP池次選調度算法選動態就近性,備選最好選用其他算法,以免出現業務失敗(動態就近性表項,靠報文觸發,探測成功後十秒,才能產生可用的就近性表項)。
(1) 配置接口IP地址,並開啟保持保持上一跳
[Sysname-GigabitEthernet1/0/1]ip address 61.156.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/1]ip last-hop hold
[Sysname-GigabitEthernet1/0/2]ip address 180.223.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/2]ip last-hop hold
[Sysname-GigabitEthernet1/0/3]ip address 1.1.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/3]ip last-hop hold
[Sysname-GigabitEthernet1/0/4]ip address 203.0.24.1 255.255.0.0
[Sysname-GigabitEthernet1/0/4]ip last-hop hold
(2) 配置ICMP類型的NQA模板
圖174 創建名為icmp的ICMP類型的NQA模板
(3) 配置Link
創建名為link-cnc-1的Link,指定鏈路出方向的下一跳IP地址為61.156.0.2,就近性鏈路成本為40,引用ICMP類型健康檢測,成功條件為至少一個檢測通過;
創建名為link-cnc-2的Link,指定鏈路出方向的下一跳IP地址為180.223.0.2,就近性鏈路成本為100,引用ICMP類型健康檢測,成功條件為至少一個檢測通過;
創建名為link-chinatel-master的Link,指定鏈路出方向的下一跳IP地址為1.1.0.2,就近性鏈路成本為0,引用ICMP類型健康檢測,成功條件為至少一個檢測通過;
創建名為link-chinatel-backup的Link,指定鏈路出方向的下一跳IP地址為203.0.24.2,就近性鏈路成本為200,引用ICMP類型健康檢測,成功條件為至少一個檢測通過;
在導航欄中選擇“策略 > 全局配置 > 鏈路”,單擊“
”按鈕,進行如下配置:
圖175 創建名為link-cnc-1的Link
圖176 創建名為link-cnc-2的Link
圖177 創建名為link-chinatel-maste的Link
圖178 創建名為link-chinatel-backup的Link
(4) 配置虛服務器
在導航欄中選擇“策略 > 應用負載均衡 > 虛服務器”,單擊“
”按鈕:
創建IP類型的虛服務器vs-cnc-1,配置其VSIP為183.232.98.190。
圖179 創建IP類型的虛服務器vs-cnc-1
創建IP類型的虛服務器vs-cnc-2,配置其VSIP為140.207.128.140。
圖180 創建IP類型的虛服務器vs-cnc-2
創建IP類型的虛服務器vs-chinatel-m,配置其VSIP為183.2.186.153。
圖181 創建IP類型的虛服務器vs-chinatel-m
創建IP類型的虛服務器vs-chinatel-b,配置其VSIP為183.61.47.15。
圖182 創建IP類型的虛服務器vs-chinatel-b
(5) 配置ISP
導入ISP文件,在導航欄中選擇“策略 > 全局配置 > ISP”,單擊“
”按鈕:
圖183 配置ISP
然後點擊“
”
圖184 導入ISP
(6) 配置域
創建域region-chinatel、region-cnc,並配置ISP
在導航欄中選擇“策略 > 全局配置 > 區域”,單擊“
”按鈕:
圖185 創建域region-chinatel
圖186 創建域region-cnc
(7) 配置靜態就近性策略
本次配置舉例的版本web不支持一個region對應多個IP地址段,使用命令行配置舉例說明。
[Sysname]topology region region-chinatel ip 183.2.0.0 16 weight 255
[Sysname]topology region region-chinatel ip 183.61.0.0 16 weight 100
[Sysname]topology region region-cnc ip 140.207.0.0 16 weight 255
[Sysname]topology region region-cnc ip 183.232.0.0 16 weight 100
(8) 配置虛服務器池
創建虛IP池vsp,設置優選調度算法為動態就近性算法,備選調度算法為靜態就近性算法,次選算法為加權輪轉算法,並添加虛服務器vs-cnc1、、vs-cnc2、vs-chinatel-m、vs-chinatel-b,虛服務器分別關聯鏈路link-cnc-1、link-cnc-2、link-chinatel-master、link-chinatel-backup,開啟帶寬繁忙保護功能。
在導航欄中選擇“策略 > 智能DNS
> 虛IP池”,單擊“
”按鈕:
圖187 創建虛IP池vsp
(9) 配置DNS監聽器
創建DNS監聽器dl-cnc-1,配置其IPv4地址為61.156.0.1,並開啟DNS監聽服務。
在導航欄中選擇“策略 > 智能DNS
> NDS監聽器”,單擊“
”按鈕:
圖188 創建DNS監聽器dl-cnc-1
創建DNS監聽器dl-cnc-2,配置其IPv4地址為180.223.0.1,並開啟DNS監聽服務。
圖189 創建DNS監聽器dl-cnc-2
創建DNS監聽器dl-chinatel-m,配置其IPv4地址為1.1.0.1,並開啟DNS監聽服務。
圖190 創建DNS監聽器dl-chinatel-m
創建DNS監聽器dl-chinatel-b,配置其IPv4地址為203.0.24.1,並開啟DNS監聽服務。
圖191 創建DNS監聽器dl-chinatel-b
(10) 配置DNS映射
創建DNS映射dm,配置其域名為host.qq.com,指定虛服務器池vsp,並開啟其服務。
在導航欄中選擇“策略 > 智能DNS
> DNS映射”,單擊“ 
”按鈕:
圖192 創建DNS映射dm
(11) 配置就近性參數
#創建就近性參數,選擇默認探測方法為icmp。
在導航欄中選擇“策略 > 全局配置 > 就近性”,單擊“
”按鈕:
(1) 查看就近性表項
就近性表現沒有生成最佳鏈路時,首選動態就近性算法不生效,走備選靜態就近性算法,返回IP地址183.61.47.15。
就近性表現生成最佳鏈路時,首選動態就近性算法生效,返回最佳鏈路對應的IP地址183.2.186.153
#
nqa template icmp icmp
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 61.156.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 180.223.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 1.1.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/4
port link-mode route
ip address 203.0.24.1 255.255.0.0
ip last-hop hold
#
virtual-server vs-chinatel-b type ip
virtual ip address 183.61.47.15
#
virtual-server vs-chinatel-m type ip
virtual ip address 183.2.186.153
#
virtual-server vs-cnc1 type ip
virtual ip address 183.232.98.190
#
virtual-server vs-cnc2 type ip
virtual ip address 140.207.128.140
#
loadbalance isp file lbispinfo.tp
#
loadbalance proximity
match default probe icmp
#
loadbalance region region-chinatel
isp chinatel
#
loadbalance region region-cnc
isp cnc
#
loadbalance link link-chinatel-backup
router ip 203.0.24.3
success-criteria at-least 1
probe icmp
#
loadbalance link link-chinatel-master
router ip 1.1.0.3
probe icmp
#
loadbalance link link-cnc-1
router ip 61.156.0.3
probe icmp
#
loadbalance link link-cnc-2
router ip 180.223.0.3
probe icmp
#
loadbalance virtual-server-pool vsp
predictor preferred proximity
predictor alternate round-robin
predictor fallback topology
virtual-server vs-chinatel-b link link-chinatel-backup
virtual-server vs-chinatel-m link link-chinatel-master
virtual-server vs-cnc1 link link-cnc-1
virtual-server vs-cnc2 link link-cnc-2 weight 10
#
loadbalance dns-map dm
domain-name host.qq.com
service enable
virtual-server-pool vsp
#
loadbalance dns-listener dl-chinatel-b
ip address 203.0.24.1
service enable
#
loadbalance dns-listener dl-chinatel-m
ip address 1.1.0.1
service enable
#
loadbalance dns-listener dl-cnc-1
ip address 61.156.0.1
service enable
#
loadbalance dns-listener dl-cnc-2
ip address 180.223.0.1
service enable
#
topology region region-chinatel ip 183.2.0.0 16
topology region region-chinatel ip 183.61.0.0 16 weight 255
topology region region-cnc ip 140.207.0.0 16 weight 255
topology region region-cnc ip 183.232.0.0 16
#
企業分別租用不同運營商聯通cnc、電信chinatel四條鏈路link-cnc-1、link-cnc-1、link-chinatel-master、link-chinatel-backup為外網用戶提供服務,這四條鏈路的路由器跳數、帶寬和成本相同。外網用戶訪問host.qq.com時,優先根據ISP進行選路,即當聯通用戶訪問host.qq.com時,輪流返回聯通服務器地址183.232.x.x和140.207.128.140兩個網段,其中183.232.x.x網段包括兩個ip地址,183.232.98.190和183.232.100.100。當電信用戶訪問域名host.qq.com時,若主鏈路link-chinatel-master正常,則解析成電信服務器地址183.2.186.153,若主鏈路非可用狀態,則解析成聯通服務器地址183.61.47.15。
圖193 智能DNS靜態就近性組網圖
· 配置接口地址,及保持上一跳,保證反向流量從同一條鏈路返回。
· 為了接收DNS請求,需要配置鏈路、DNS監聽器。
· 為了能返回域名所對應的IP地址,需要配置虛服務器及虛IP池。
· 為了使用戶訪問對應運營商的服務器,虛IP池首選調度算法使用靜態就近性算法。
本舉例是在L5000C的Version 7.1.064, Release 8120P12版本上進行配置和驗證的。
· 在配置之前確保外網到負載均衡設備DNS監聽路由可達。
· 導入可用的ISP文件。
· 為了實現組網需求,使聯通用戶訪問域名host.qq.com時,同一個isp對應的兩個topology的權值相同,將會按照1:1輪流返回兩個聯通服務器網段地址183.232.x.x和140.207.x.x。其中183.232.x.x網段包括兩個ip地址,183.232.98.190和183.232.100.100,本配置舉例中這兩個地址以10:1的比例返回。
· 為了實現組網需求,當電信用戶訪問域名host.qq.com時,若主鏈路link-chinatel-master正常,則解析成電信服務器地址183.2.186.153,若主鏈路非可用狀態,則解析成聯通服務器地址183.61.47.15,同一個isp對應的兩個topology的權值不同,優先返回高權值對應的ip網段,隻有當其對應的link故障,狀態為非可用狀態(包括不可用、服務關閉、健康檢測失敗、繁忙)時,才返回低權值對應的ip網段。
· 舉例版本web不支持接口配置保持上一跳,使用命令行配置。
· 舉例版本web不支持配置一個region對應多個ip段,使用命令行配置
(1) 配置接口IP地址,並開啟保持保持上一跳
[Sysname-GigabitEthernet1/0/1]ip address 61.156.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/1]ip last-hop hold
[Sysname-GigabitEthernet1/0/2]ip address 180.223.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/2]ip last-hop hold
[Sysname-GigabitEthernet1/0/3]ip address 1.1.0.1 255.255.0.0
[Sysname-GigabitEthernet1/0/3]ip last-hop hold
[Sysname-GigabitEthernet1/0/4]ip address 203.0.24.1 255.255.0.0
[Sysname-GigabitEthernet1/0/4]ip last-hop hold
(2) 配置ICMP類型的NQA模板
圖194 創建名為icmp的ICMP類型的NQA模板
(3) 配置Link
創建名為link-cnc-1的Link,指定鏈路出方向的下一跳IP地址為61.156.0.2,引用ICMP類型健康檢測,成功條件為全部通過;
創建名為link-cnc-2的Link,指定鏈路出方向的下一跳IP地址為180.223.0.2,引用ICMP類型健康檢測,成功條件為全部通過;
創建名為link-chinatel-master的Link,指定鏈路出方向的下一跳IP地址為1.1.0.2,引用ICMP類型健康檢測,成功條件為全部通過;
創建名為link-chinatel-backup的Link,指定鏈路出方向的下一跳IP地址為203.0.24.2,引用ICMP類型健康檢測,成功條件為全部通過。
在導航欄中選擇“策略 > 全局配置 > 鏈路”,單擊“
”按鈕,進行如下配置:
圖195 創建名為link-cnc-1的Link
圖196 創建名為link-cnc-2的Link
圖197 創建名為link-chinatel-maste的Link
圖198 創建名為link-chinatel-backup的Link
(4) 配置虛服務器
在導航欄中選擇“策略 > 應用負載均衡 > 虛服務器”,單擊“
”按鈕:
創建IP類型的虛服務器vs-cnc-1,配置其VSIP為183.232.98.190。
圖199 創建IP類型的虛服務器vs-cnc-1
創建IP類型的虛服務器vs-cnc1-01,配置其VSIP為183.232.100.100。
圖200 創建IP類型的虛服務器vs-cnc1-01
創建IP類型的虛服務器vs-cnc-2,配置其VSIP為140.207.128.140。
圖201 創建IP類型的虛服務器vs-cnc-2
創建IP類型的虛服務器vs-chinatel-m,配置其VSIP為183.2.186.153。
圖202 創建IP類型的虛服務器vs-chinatel-m
創建IP類型的虛服務器vs-chinatel-b,配置其VSIP為183.61.47.15。
圖203 創建IP類型的虛服務器vs-chinatel-b
(5) 配置ISP
導入ISP文件,在導航欄中選擇“策略 > 全局配置 > ISP”,單擊“
”按鈕:
然後點擊“
”
(6) 配置域
創建域region-chinatel、region-cnc,並配置ISP
在導航欄中選擇“策略 > 全局配置 > 區域”,單擊“
”按鈕:
圖204 創建域region-chinatel
圖205 創建域region-cnc
(7) 配置靜態就近性策略
本次配置舉例的版本web不支持一個region對應多個IP地址段,使用命令行配置舉例說明。
[Sysname]topology region region-chinatel ip 183.2.0.0 16 weight 255
[Sysname]topology region region-chinatel ip 183.61.0.0 16 weight 100
[Sysname]topology region region-cnc ip 140.207.0.0 16 weight 100
[Sysname]topology region region-cnc ip 183.232.0.0 16 weight 100
(8) 配置虛服務器池
創建虛IP池vsp,設置優選調度算法為靜態就近性算法,備選調度算法為加權最小連接算法,次選算法為隨機算法,並添加虛服務器vs-cnc1、vs-cnc1-01、vs-cnc2、vs-chinatel-m、vs-chinatel-b,虛服務器分別關聯鏈路link-cnc-1、link-cnc-1、link-cnc-2、link-chinatel-master、link-chinatel-backup,開啟帶寬繁忙保護功能。
在導航欄中選擇“策略 > 智能DNS
> 虛IP池”,單擊“
”按鈕:
圖206 創建虛IP池vsp
(9) 配置DNS監聽器
創建DNS監聽器dl-cnc-1,配置其IPv4地址為61.156.0.1,並開啟DNS監聽服務。
在導航欄中選擇“策略 > 智能DNS
> NDS監聽器”,單擊“ 
”按鈕:
圖207 創建DNS監聽器dl-cnc-1
創建DNS監聽器dl-cnc-2,配置其IPv4地址為180.223.0.1,並開啟DNS監聽服務。
圖208 創建DNS監聽器dl-cnc-2
創建DNS監聽器dl-chinatel-m,配置其IPv4地址為1.1.0.1,並開啟DNS監聽服務。
圖209 創建DNS監聽器dl-chinatel-m
創建DNS監聽器dl-chinatel-b,配置其IPv4地址為203.0.24.1,並開啟DNS監聽服務。
圖210 創建DNS監聽器dl-chinatel-b
(10) 配置DNS映射
創建DNS映射dm,配置其域名為host.qq.com,指定虛服務器池vsp,並開啟其服務。
在導航欄中選擇“策略 > 智能DNS
> DNS映射”,單擊“
”按鈕:
圖211 創建DNS映射dm
(1) 聯通用戶訪問域名情況
當電信用戶訪問域名host.qq.com時,輪流返回ip地址183.232.x.x、140.207.128.140,183.232.x.x包括地址183.232.98.190和183.232.100.100,返回地址的比例跟權值有關,為10:1,需要大量報文才能看出返回地址的比例。
(2) 電信用戶訪問域名host.qq.com
當主鏈路link-chinatel-master可用時,優先返回對應的ip網段183.2.186.153
大包長ping1.1.0.1,使主鏈路link-chinatel-master繁忙,不參與調度時,則返回備用鏈路對應的ip網段183.61.47.15
#
nqa template icmp icmp
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 61.156.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 180.223.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 1.1.0.1 255.255.0.0
ip last-hop hold
#
interface GigabitEthernet1/0/4
port link-mode route
ip address 203.0.24.1 255.255.0.0
ip last-hop hold
#
virtual-server vs-chinatel-b type ip
virtual ip address 183.61.47.15
#
virtual-server vs-chinatel-m type ip
virtual ip address 183.2.186.153
#
virtual-server vs-cnc-ipv6 type ip
virtual ipv6 address 1:20::5
#
virtual-server vs-cnc1 type ip
virtual ip address 183.232.98.190
#
virtual-server vs-cnc1-01 type ip
virtual ip address 183.232.100.100
#
virtual-server vs-cnc2 type ip
virtual ip address 140.207.128.140
#
loadbalance isp file lbispinfo.tp
#
loadbalance region region-chinatel
isp chinatel
#
loadbalance region region-cnc
isp cnc
#
loadbalance link link-chinatel-backup
router ip 203.0.24.3
success-criteria at-least 1
probe icmp
#
loadbalance link link-chinatel-master
router ip 1.1.0.3
probe icmp
#
loadbalance link link-cnc-1
router ip 61.156.0.3
probe icmp
#
loadbalance link link-cnc-2
router ip 180.223.0.3
probe icmp
#
loadbalance virtual-server-pool vsp
predictor preferred topology
predictor alternate random
predictor fallback least-connection
bandwidth busy-protection enable
virtual-server vs-chinatel-b link link-chinatel-backup
virtual-server vs-chinatel-m link link-chinatel-master
virtual-server vs-cnc1 link link-cnc-1
virtual-server vs-cnc1-01 link link-cnc-1 weight 10
virtual-server vs-cnc2 link link-cnc-2 weight 10
#
loadbalance dns-map dm
domain-name host.qq.com
service enable
virtual-server-pool vsp
#
loadbalance dns-listener dl-chinatel-b
ip address 203.0.24.1
service enable
#
loadbalance dns-listener dl-chinatel-m
ip address 1.1.0.1
service enable
#
loadbalance dns-listener dl-cnc-1
ip address 61.156.0.1
service enable
#
loadbalance dns-listener dl-cnc-2
ip address 180.223.0.1
service enable
#
topology region region-chinatel ip 183.2.0.0 16 weight 255
topology region region-chinatel ip 183.61.0.0 16
topology region region-cnc ip 140.207.0.0 16
topology region region-cnc ip 183.232.0.0 16
#
獲取路徑//www.yolosolive.com.cn/,首頁->服務支持->軟件下載->安全->ISP 地址表項文件取下該文件,下載完成後,可以直接通過web導入該文件,也可以上傳到設備,通過命令行導入loadbalance isp file導入設備(如果是雙機,請分別導入)。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
