- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-入方向鏈路負載均衡配置
本章節下載: 05-入方向鏈路負載均衡配置 (380.46 KB)
目 錄
入方向鏈路負載均衡功能可在多條鏈路上分擔外網用戶訪問內網服務器的流量。
如圖1-1所示,企業分別租用不同運營商ISP 1、ISP 2和ISP 3的三條鏈路Link 1、Link 2和Link 3為外網用戶提供服務。通過配置入方向鏈路負載均衡,可以使外部互聯網用戶訪問內網服務器的流量均勻地分配到多條鏈路上,從而提高流量轉發效率,提升服務質量;可以避免出現一條鏈路擁塞而其他鏈路閑置的情況;可以在某條鏈路出現故障時,使互聯網用戶使用其它鏈路來訪問內網服務器,避免因鏈路故障導致流量轉發失敗。
入方向鏈路負載均衡是基於DNS解析實現的。負載均衡設備作為權威DNS服務器負責解析外網用戶訪問內網服務器的DNS請求報文,並為外網用戶訪問內網服務器選擇最佳鏈路。具體流程如圖1-2所示。
入方向鏈路負載均衡工作流程簡述如表1-1所示。
|
步驟 |
描述 |
|
(1) |
Client向Local DNS服務器發起DNS請求 |
|
(2) |
本地DNS服務器向Device發起DNS請求 |
|
(3) |
設備根據調度算法、帶寬限製、健康性檢測等負載均衡調度方式來選擇最佳鏈路對應的虛IP/虛服務器 |
|
(4) |
設備將選定的虛IP/虛服務器地址通過DNS響應報文發送給發起請求的Local DNS服務器 |
|
(5) |
Local DNS服務器把獲取的虛IP/虛服務器地址發送給Client |
|
(6) |
Client向虛IP/虛服務器地址發起連接請求(請求進入Device) |
|
(7) |
Device向內網服務器發起連接請求 |
|
(8) |
內網服務器應答Device |
|
(9) |
Device應答Client |
入方向鏈路負載均衡是設備通過智能解析DNS請求報文實現的。
|
DNS listener |
DNS監聽器 |
|
DNS mapping |
DNS映射 |
|
VS pool |
Virtual server pool,虛服務器池 |
|
Link |
鏈路 |
|
VIP |
· Virtual server IP,虛服務器的IP · Virtual IP,虛IP |
如圖1-3所示,設備上包括以下要素:
· DNS監聽器:用於監聽DNS請求。隻有當DNS請求的目的地址匹配DNS監聽器的IP地址時,該DNS請求報文才會進入入方向鏈路負載均衡處理流程。
· DNS映射:用於關聯域名與虛服務器池。負載均衡設備根據DNS映射查找DNS域名關聯的虛服務器池。
· 鏈路:運營商提供的實體鏈路。
· 虛服務器池:用於在虛服務器池下關聯虛服務器與鏈路。鏈路和虛服務器的可用性共同決定虛服務器是否可參與調度。
· 虛IP/虛服務器:麵向用戶業務的虛擬載體,當用戶流量需要在多台內網服務器之間進行負載均衡時,可選擇虛服務器作為麵向用戶業務的虛擬載體,此時虛服務器IP地址既是入鏈路負載均衡中的DNS解析結果,也是服務器負載均衡的入口。
當設備收到了目的地址匹配DNS監聽地址的DNS請求時,首先在DNS映射中查找域名所關聯的虛服務器池。設備依據虛服務器池中配置的調度算法選出最佳鏈路所對應的虛IP/虛服務器IP地址,將選定的虛IP/虛服務器IP地址通過DNS應答報文發送給用戶,用戶得到虛IP/虛服務器IP地址後將其作為目的地址,通過該虛IP/虛服務器關聯的鏈路訪問內網服務器。
在配置入方向鏈路負載均衡時,管理員需要指定設備為處理指定域名DNS請求的權威DNS服務器,一般可在域名注冊商網站上配置。
入方向鏈路負載均衡配置任務如下:
(1) 配置DNS監聽器
(2) 配置DNS映射
(3) 配置虛服務器
(4) 配置鏈路
(5) 配置虛服務器池
(6) (可選)配置DNS區域
(7) (可選)配置ISP信息
(8) (可選)配置Region
(9) (可選)配置Topology
(10) (可選)配置負載均衡鏈路帶寬繁忙日誌功能
(11) (可選)測試入方向鏈路負載均衡效果
(12) (可選)配置可記錄的解析失敗的DNS請求報文
通過配置DNS監聽器,指定設備對外提供DNS解析服務的IP地址和端口號等信息。
若DNS監聽器查找DNS請求資源記錄失敗,可以采用如下處理方式:
· 通過DNS代理回應請求報文
· 不回應DNS請求
· 回應DNS拒絕報文
(1) 進入係統視圖。
system-view
(2) 創建DNS監聽器,並進入DNS監聽器視圖。
loadbalance dns-listener dns-listener-name
(3) 指定DNS監聽器的IPv4地址和端口。
(IPv4網絡)
ip address ipv4-address [ port port-number ]
(IPv6網絡)
ipv6 address ipv6-address [ port port-number ]
缺省情況下,未指定DNS監聽器的IP地址和端口。
(4) (可選)指定DNS監聽器所屬的VPN實例。
vpn-instance vpn-instance-name
缺省情況下,DNS監聽器屬於公網。
(5) 開啟DNS監聽功能。
service enable
缺省情況下,DNS監聽功能處於關閉狀態。
(6) (可選)指定DNS監聽器查找DNS請求資源記錄失敗時的處理方式。
fallback { dns-proxy | no-response | reject }
缺省情況下,DNS監聽器查找DNS請求資源記錄失敗時的處理方式為回應DNS拒絕報文。
通過配置DNS映射,可以將DNS域名和虛服務器池關聯起來。
同一個DNS映射視圖下,可以添加多個域名。
(1) 進入係統視圖。
system-view
(2) 創建DNS映射,並進入DNS映射視圖。
loadbalance dns-map dns-map-name
(3) 添加域名。
domain-name domain-name
缺省情況下,未添加任何域名。
(4) 指定DNS映射使用的虛服務器池。
virtual-server-pool pool-name
缺省情況下,DNS映射未使用任何虛服務器池。
(5) (可選)配置緩存DNS域名解析記錄的緩存時間。
ttl ttl-value
缺省情況下,域名解析記錄的緩存時間缺省值為3600秒。
(6) 開啟DNS映射。
service enable
缺省情況下,DNS映射處於關閉狀態。
當用戶流量既需要進行入方向鏈路負載均衡,又需要在多台內網服務器之間進行服務器負載均衡時,可以通過配置虛服務器,指定內網服務器對外提供服務的IP地址和端口等信息。有關虛服務器的相關配置,請參見“負載均衡配置指導”中的“服務器負載均衡”。
· 在同時配置入方向鏈路負載均衡功能和服務器負載均衡功能時,請配置虛服務器的IP地址與DNS監聽器地址為不同的公網地址,以免影響入方向鏈路負載均衡功能的正常使用。
· 配置虛服務器IPv4地址時,要求配置非全0的單播地址且掩碼長度為32。
· 配置虛服務器IPv6地址時,要求配置非全0的單播地址且前綴長度為128。
由於虛服務器池中進行虛IP/虛服務器調度時,鏈路可用性是決定虛IP/虛服務器是否可參與調度的因素之一。可以根據實際需求,通過配置鏈路的健康檢測,所允許的最大期望帶寬及帶寬繁忙比例等功能來影響鏈路的可用性。
在入方向負載均衡中,鏈路通往外網方向的下一跳指的是鏈路對端設備的IP地址,管理員通過配置該地址來指定對哪一條鏈路進行健康檢測和帶寬限製。
通過為鏈路配置健康檢測方法,可以對鏈路的質量、鏈路的狀態等進行檢測,保證其可用。鏈路的健康檢測方法通過引用NQA模板來配置。NQA模板的相關配置,請參見“網絡管理和監控配置指導”中的“NQA”。
通過配置可以調整鏈路的帶寬繁忙比,即當前帶寬與最大帶寬的百分比值,以及最大期望帶寬。當某條鏈路流量超過該鏈路的帶寬繁忙比與最大期望帶寬的乘積後,鏈路進入繁忙狀態新建流量將不再向該鏈路分發,而原有流量則仍由該鏈路繼續分發;當該鏈路流量低於該鏈路的帶寬繁忙恢複比與最大期望帶寬的乘積後,鏈路解除繁忙狀態,重新參與調度。
鏈路的最大期望帶寬不僅用於繁忙保護功能,還用於帶寬算法和最大帶寬算法中剩餘帶寬的計算。
(1) 進入係統視圖。
system-view
(2) 創建鏈路,並進入鏈路視圖。
loadbalance link link-name
(3) 指定鏈路通往外網方向的下一跳。
router ip ipv4-address
缺省情況下,未配置鏈路通往外網方向的下一跳IP地址。
(4) (可選)配置鏈路的健康檢測功能,請依次進行如下配置。
a. 指定鏈路的健康檢測方法。
probe template-name
缺省情況下,未指定任何鏈路檢測方法。
b. 配置鏈路檢測的成功條件。
success-criteria { all | at-least min-number }
缺省情況下,隻有全部方法通過檢測才認為健康檢測成功。
(5) (可選)配置鏈路的帶寬繁忙比例。
bandwidth [ inbound | outbound ] busy-rate busy-rate-number [ recovery recovery-rate-number ]
缺省情況下,鏈路的總帶寬繁忙比例為70。
(6) (可選)配置鏈路的最大期望帶寬。
max-bandwidth [ inbound | outbound ] bandwidth-value kbps
缺省情況下,鏈路所允許的最大總期望帶寬、最大上行期望帶寬和最大下行期望帶寬均為0,即不限製。
通過配置虛服務器池,可將具有相同或相似功能的虛IP或虛服務器進行統一管理。
配置虛服務器池的調度算法時,可以分別指定首選調度算法、次選調度算法和備選調度算法。其中,首選調度算法優先級最高,當采用首選算法不能選出可用的虛服務器時,采用次選調度算法,備選調度算法優先級最低。
開啟繁忙保護功能後,虛服務器池根據用戶配置的調度方式選擇虛IP/虛服務器時,會查看所選取的虛IP/虛服務器對應的鏈路是否超過配置的繁忙比例,如果超出則不選擇該虛IP/虛服務器。關於配置鏈路的帶寬繁忙比例,具體請參見“配置鏈路”。
(1) 進入係統視圖。
system-view
(2) 創建虛服務器池,並進入虛服務器池視圖。
loadbalance virtual-server-pool name
(3) 添加虛IP或虛服務器,請至少選擇其中一項進行配置。
¡ 添加虛IP
(IPv4網絡)
virtual-ip ipv4-address link link-name [ weight weight-value ]
(IPv6網絡)
virtual-ipv6 ipv6-address link link-name [ weight weight-value ]
缺省情況下,虛服務器池中未添加任何虛IP地址。
¡ 添加虛服務器
virtual-server virtual-server-name link link-name [ weight weigth-name ]
缺省情況下,虛服務器池未添加任何虛服務器。
(4) 配置虛服務器池的調度算法。
predictor { alternate | fallback | preferred } { least-connection | proximity | random | round-robin | topology | { bandwidth | max-bandwidth } [ inbound | outbound ] | hash address { source | source-ip-port | destination } [ mask mask-length | prefix prefix-length ] }
缺省情況下,虛服務器池的首選調度算法為加權輪轉算法,不存在次選和備選調度算法。
(5) (可選)開啟虛服務器池的繁忙保護功能。
bandwidth busy-protection enable
缺省情況下,虛服務器池繁忙保護功能處於關閉狀態。
在DNS正向解析過程中,負載均衡設備使用DNS正向區域中配置的資源記錄來查找DNS域名對應的主機名。DNS資源記錄是負載均衡設備用於解析DNS請求的數據記錄表項,DNS正向區域中可以配置以下幾種類型的資源記錄:
· SOA(Start of Authority,起始授權)資源記錄包含DNS區域的基本信息。該記錄定義了該區域的起始點,是對該區域數據的權威聲明。
· CNAME(Canonical Name,規範名稱)資源記錄允許將多個別名映射到同一正規主機名,即同一服務器。例如,企業內網有一台服務器主機名為host.example.com,它同時對外提供Web服務和郵件服務,為了便於用戶的訪問,可以為該服務器配置CNAME資源記錄,分別配置別名為www.example.com和mail.example.com。當用戶請求Web服務時,訪問www.example.com,當用戶請求郵件服務時,訪問mail.example.com,而實際訪問的均為host.example.com。
· MX(Mail Exchanger,郵件交換)資源記錄用於指定該DNS正向區域的郵件服務器。
· NS(Name Server,權威名稱服務器)資源記錄用於指定為該DNS正向區域服務的權威名稱服務器。
· SRV(Service,服務)資源記錄用來配置DNS正向區域所提供的服務,以及提供該服務的服務器。
· TXT(Text,文本)資源記錄用於為DNS正向區域設置說明。
如圖1-4所示,配置DNS正向區域的設備收到DNS請求後,首先查詢在DNS正向區域中配置的資源記錄得到主機域名,再依據該主機域名在DNS映射中查找域名所對應的虛IP/虛服務器IP地址。
(1) 創建DNS正向區域,並進入DNS正向區域視圖。
loadbalance zone domain-name
(2) 配置SOA資源記錄
a. 創建SOA類型的資源記錄,並進入SOA視圖。
soa
b. 配置主域名服務器的主機名。
primary-nameserver host-name
缺省情況下,未配置主域名服務器的主機名。
c. 配置管理員的郵件地址。
responsible-mail mail-address
缺省情況下,未配置管理員的郵件地址。
d. 配置DNS正向區域的序列號。
serial number
缺省情況下,DNS正向區域的序列號為1。
e. 配置刷新間隔。
refresh refresh-interval
缺省情況下,刷新間隔為3600秒。
f. 配置重試時間。
retry retry-interval
缺省情況下,重試時間為600秒。
g. 配置過期時間。
expire expire-time
缺省情況下,過期時間為86400秒。
h. 配置最小生命周期。
min-ttl ttl-value
缺省情況下,最小生命周期為3600秒。
(3) 配置其他類型的資源記錄。
record { cname alias alias-name canonical canonical-name | mx [ host hostname ] exchanger exchanger-name preference preference | ns [ sub subname ] authority ns-name | srv [ service service-name ] host-offering-service hostname priority priority weight weight port port-number | txt [ sub subname ] describe-txt description } [ ttl ttl-value ]
支持配置CNAME、MX、NS、SRV和TXT資源記錄。
(4) 配置資源記錄的全局緩存時間。
ttl ttl-value
缺省情況下,資源記錄的全局緩存時間為3600秒。
負載均衡設備根據DNS反向區域對收到的報文進行反向DNS解析,即根據IP地址查找對應的域名。DNS反向區域中設置的PTR(Pointer Record,指針記錄)用來記錄域名和IP地址的映射關係。
DNS反向地址解析通常用於解決網絡中的垃圾郵件攻擊,即對郵件發送方的合法性進行檢查,來拒絕轉發或接收非法郵件。例如,當郵件服務器收到來自外網用戶的郵件時,向負載均衡設備發送反向解析請求,負載均衡設備收到來自郵件服務器的反向解析請求後,查找在DNS反向區域中配置的PTR資源記錄,將郵件發送方的源IP地址解析為域名並將解析結果返回給郵件服務器。郵件服務器將收到的域名與郵件報文中的發送方域名進行比較,結果一致則接收該郵件,否則認為該郵件為垃圾郵件並將其丟棄。
(1) 進入係統視圖。
system-view
(2) 創建DNS反向區域,並進入DNS反向區域視圖。
loadbalance reverse-zone { ip ipv4-address mask-length | ipv6 ipv6-address prefix-length }
(3) 配置PTR資源記錄。
record ptr { ip ipv4-address | ipv6 ipv6-address } domain-name [ ttl ttl-value ]
缺省情況下,未配置PTR資源記錄。
本功能主要配置ISP(Internet Service Provider,互聯網服務提供商)的IP地址信息,該地址信息可以在ISP類型的匹配規則中進行引用。當目的地址匹配了指定的ISP地址信息後,可根據配置執行相應的負載均衡動作。設備支持通過以下三種方式配置ISP信息:
· 手工配置ISP信息:由用戶手工指定ISP地址信息。
· 自動更新ISP信息:開啟ISP自動更新功能後,設備會依據運營商的WHOIS服務器管理標識定期向指定的WHOIS服務器查詢ISP地址信息。
· 導入ISP文件:由用戶手工導入ISP文件。設備僅允許導入.tp格式的文件。ISP文件可在官方網站獲取。
配置ISP信息分為手工配置ISP信息、自動更新ISP信息和導入ISP文件,三者既可單獨配置,也可同時配置。
(1) 進入係統視圖。
system-view
(2) 創建ISP,並進入ISP視圖。
loadbalance isp name isp-name
(3) 配置ISP的IP地址信息。
(IPv4網絡)
ip address ipv4-address { mask-length | mask }
(IPv6網絡)
ipv6 address ipv6-address prefix-length
缺省情況下,未配置ISP的IP地址信息。
同一ISP中不允許配置完全相同的網段。
(4) (可選)配置ISP的描述信息。
description text
缺省情況下,未配置ISP的描述信息。
在配置本功能前,請先完成WHOIS服務器的相關配置。
(1) 進入係統視圖。
system-view
(2) 創建ISP,並進入ISP視圖。
loadbalance isp name isp-name
(3) 配置當前ISP的WHOIS服務器管理標識。
whois-mntner mntner-name
缺省情況下,未配置當前ISP的WHOIS服務器管理標識。
同一ISP下,最多允許手動配置10個WHOIS服務器管理標識。
(4) 退回係統視圖。
quit
(5) 開啟ISP自動更新功能。
loadbalance isp auto-update enable
缺省情況下,ISP自動更新功能處於關閉狀態。
(6) 配置ISP自動更新的頻率。
loadbalance isp auto-update frequency { per-day | per-week | per-month }
缺省情況下,ISP自動更新的頻率為每周一次。
(7) 配置ISP自動更新所查詢的WHOIS服務器。
loadbalance isp auto-update whois-server { domain domain-name | ip ip-address }
缺省情況下,未配置ISP自動更新所查詢的WHOIS服務器。
在配置本功能前,請先準備好ISP文件。
當導入的文件不存在、文件名不合法或文件解密失敗時,係統將維持已有的導入內容不變。
當導入文件解析IP地址失敗而退出導入操作時,係統將清空上次導入的內容,隻保存本次已導入成功的內容。
(1) 進入係統視圖。
system-view
(2) 導入ISP文件。
loadbalance isp file isp-file-name
區域對象中包含根據不同ISP信息(運營商類別)劃分的地址段。
(1) 進入係統視圖。
system-view
(2) 創建區域對象,並進入區域對象視圖。
loadbalance region region-name
(3) 添加ISP信息。
isp isp-name
當虛服務器池中指定調度算法為靜態就近性調度算法(topology)時,則需要配置Topology。關於虛服務器池的調度算法的具體配置,請參見“配置虛服務器池”。
若DNS請求匹配多個Topology記錄時,優先選擇優先級值高的記錄。
(1) 進入係統視圖。
system-view
(2) 配置Topology。
topology region region-name { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ priority priority ]
通過開啟負載均衡鏈路帶寬繁忙日誌功能,可以實現對所有鏈路的繁忙狀態進行記錄。
(1) 進入係統視圖。
system-view
(2) 開啟負載均衡鏈路帶寬繁忙日誌功能。
loadbalance log enable bandwidth-busy
缺省情況下,負載均衡鏈路帶寬繁忙日誌功能處於關閉狀態。
可以通過指定DNS請求報文的類型、源IPv4/IPv6地址、源端口、目的IPv4/IPv6地址和目的端口,測試入方向鏈路負載均衡的解析結果。
可在任意視圖下執行本命令,測試IPv4入方向鏈路負載均衡的解析結果。
loadbalance local-dns-server schedule-test ip [ vpn-instance vpn-instance-name ] destination destination-address [ destination-port destination-port ] source source-address source-port source-port type { { a | aaaa | cname | mx | ns | soa | srv | txt } domain domain-name | ptr ip address { ipv4-address | ipv6-address } } [ slot slot-number ]
可在任意視圖下執行本命令,測試IPv6入方向鏈路負載均衡的解析結果。
loadbalance local-dns-server schedule-test ipv6 [ vpn-instance vpn-instance-name ] destination destination-address [ destination-port destination-port ] source source-address source-port source-port type { { a | aaaa | cname | mx | ns | soa | srv | txt } domain domain-name | ptr ip address ipv4-address } [ slot slot-number ]
(1) 進入係統視圖。
system-view
(2) 配置可記錄的解析失敗的DNS請求報文的類型。
loadbalance local-dns-server parse-fail-record type { a | aaaa | all-disable | all-enable | cname | mx | ns | ptr | soa | srv | txt }
缺省情況下,可記錄的解析失敗的DNS請求報文的類型為全部類型。
(3) 配置可記錄的解析失敗的DNS請求報文的最大數目。
loadbalance local-dns-server parse-fail-record max-number max-number
缺省情況下,可記錄的解析失敗的DNS請求報文的最大數目為10000條。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後入方向鏈路負載均衡的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除鏈路負載均衡的統計信息。
|
配置 |
命令 |
|
顯示負載均衡DNS監聽器的信息 |
display loadbalance dns-listener [ name listener-name ] |
|
顯示負載均衡DNS監聽器的統計信息 |
display loadbalance dns-listener statistics [ name dns-listener-name ] [ slot slot-number ] |
|
顯示負載均衡DNS映射的信息 |
display loadbalance dns-map [ name dns-map-name ] |
|
顯示負載均衡DNS映射的統計信息 |
display loadbalance dns-map statistics [ name dns-map-name ] [ slot slot-number ] |
|
顯示虛服務器池的信息 |
display loadbalance virtual-server-pool [ brief | name pool-name ] |
|
顯示鏈路的信息 |
display loadbalance link [ brief | name link-name ] |
|
顯示負載均衡DNS正向區域的信息 |
display loadbalance zone [ name domain-name ] |
|
顯示負載均衡DNS反向區域的信息 |
display loadbalance reverse-zone { ip [ ipv4-address mask-length ] | ipv6 [ ipv6-address prefix-length ] } |
|
顯示ISP的信息 |
display loadbalance isp [ ip ipv4-address | ipv6 ipv6-address | name isp-name ] |
|
顯示解析失敗的DNS請求報文的信息 |
display loadbalance local-dns-server parse-fail-record [ type { a | aaaa | cname | mx | ns | soa | srv | txt } ] [ domain domain-name ] | ptr [ ip address { ipv4-address | ipv6-address } ] ] [ vpn-instance vpn-instance-name ] [ slot slot-number ] |
|
清除DNS監聽器的統計信息 |
reset loadbalance dns-listener statistics [ dns-listener-name ] |
|
清除DNS映射的統計信息 |
reset loadbalance dns-map statistics [ dns-map-name ] |
|
清除當前記錄的解析失敗的DNS請求報文的信息 |
reset loadbalance local-dns-server parse-fail-record |
如圖1-5所示,管理員從兩個運營商ISP 1和ISP 2處分別租用了鏈路Link 1和Link 2,這兩條鏈路的路由器跳數、帶寬和成本均相同。通過配置入方向鏈路負載均衡,使Client host訪問Internal server時,如果遇到其中一條鏈路故障的情況,可以優先選擇這兩條鏈路中的可用鏈路。其中,Internal server對外提供服務的域名為l.example.com,實際主機名為www.example.com。
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/3
[Device-security-zone-Trust] quit
(3) 配置安全策略
配置安全策略放行Untrust與Trust安全域、Untrust與Local安全域、Local與Untrust安全域之間的流量,用於用戶訪問外網服務器。
# 配置名稱為lbrule1的安全策略規則,使用戶可以訪問內網服務器,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name lbrule1
[Device-security-policy-ip-1-lbrule1] source-zone untrust
[Device-security-policy-ip-1-lbrule1] destination-zone trust
[Device-security-policy-ip-1-lbrule1] destination-ip-subnet 192.168.1.0 255.255.255.0
[Device-security-policy-ip-1-lbrule1] action pass
[Device-security-policy-ip-1-lbrule1] quit
# 配置名稱為lblocalin的安全策略規則,使用戶可以訪問DNS監聽器,具體配置步驟如下。
[Device-security-policy-ip] rule name lblocalin
[Device-security-policy-ip-2-lblocalout] source-zone untrust
[Device-security-policy-ip-2-lblocalout] destination-zone local
[Device-security-policy-ip-2-lblocalout] destination-ip-subnet 10.1.1.1 255.255.255.255
[Device-security-policy-ip-2-lblocalout] destination-ip-subnet 20.1.1.1 255.255.255.255
[Device-security-policy-ip-2-lblocalout] action pass
[Device-security-policy-ip-2-lblocalout] quit
[Device-security-policy-ip] quit
# 配置名稱為lblocalout的安全策略規則,使Device可以向鏈路下一跳發送健康檢測報文,具體配置步驟如下。
[Device-security-policy-ip] rule name lblocalout
[Device-security-policy-ip-3-lblocalout] source-zone local
[Device-security-policy-ip-3-lblocalout] destination-zone untrust
[Device-security-policy-ip-3-lblocalout] destination-ip-subnet 10.1.1.0 255.255.255.0
[Device-security-policy-ip-3-lblocalout] destination-ip-subnet 20.1.1.0 255.255.255.0
[Device-security-policy-ip-3-lblocalout] action pass
[Device-security-policy-ip-3-lblocalout] quit
[Device-security-policy-ip] quit
(4) 配置鏈路
# 創建ICMP類型的NQA模板t1。
[Device] nqa template icmp t1
[Device-nqatplt-icmp-t1] quit
# 創建名為link1的鏈路,指定鏈路出方向的下一跳IP地址為10.1.1.2,並引用ICMP類型的NQA模板t1。
[Device] loadbalance link link1
[Device-lb-link-link1] router ip 10.1.1.2
[Device-lb-link-link1] probe t1
[Device-lb-link-link1] quit
# 創建名為link2的Link,指定鏈路出方向的下一跳IP地址為20.1.1.2,並引用ICMP類型的NQA模板t1。
[Device] loadbalance link link2
[Device-lb-link-link2] router ip 20.1.1.2
[Device-lb-link-link2] probe t1
[Device-lb-link-link2] quit
(5) 配置實服務組
# 創建實服務組sf。
[Device] server-farm sf
[Device-sfarm-sf] quit
(6) 配置實服務器
# 創建實服務器rs,配置其IPv4地址為192.168.1.10,並加入實服務組sf。
[Device] real-server rs
[Device-rserver-rs] ip address 192.168.1.10
[Device-rserver-rs] server-farm sf
[Device-rserver-rs] quit
(7) 配置虛服務器
# 創建HTTP類型的虛服務器vs1,配置其VSIP為10.1.1.3,端口為80,指定其缺省主用實服務組為sf,並開啟此虛服務器。
[Device] virtual-server vs1 type http
[Device-vs-http-vs1] virtual ip address 10.1.1.3
[Device-vs-http-vs1] port 80
[Device-vs-http-vs1] default server-farm sf
[Device-vs-http-vs1] service enable
[Device-vs-http-vs1] quit
# 創建HTTP類型的虛服務器vs2,配置其VSIP為20.1.1.3,端口為80,指定其缺省主用實服務組為sf,並開啟此虛服務器。
[Device] virtual-server vs2 type http
[Device-vs-http-vs2] virtual ip address 20.1.1.3
[Device-vs-http-vs2] port 80
[Device-vs-http-vs2] default server-farm sf
[Device-vs-http-vs2] service enable
[Device-vs-http-vs2] quit
(8) 配置虛服務器池
# 創建虛服務器池vsp,並添加虛服務器vs1、vs2,虛服務器分別關聯鏈路link1、link2。
[Device] loadbalance virtual-server-pool vsp
[Device-lb-vspool-vsp] virtual-server vs1 link link1
[Device-lb-vspool-vsp] virtual-server vs2 link link2
(9) 配置DNS監聽器
# 創建DNS監聽器dl1,配置其IPv4地址為10.1.1.1,並開啟DNS監聽服務。
[Device] loadbalance dns-listener dl1
[Device-lb-dl-dl1] ip address 10.1.1.1
[Device-lb-dl-dl1] service enable
[Device-lb-dl-dl1] quit
# 創建DNS監聽器dl2,配置其IPv4地址為20.1.1.1,並開啟DNS監聽服務。
[Device] loadbalance dns-listener dl2
[Device-lb-dl-dl2] ip address 20.1.1.1
[Device-lb-dl-dl2] service enable
[Device-lb-dl-dl2] quit
(10) 配置DNS映射
# 創建DNS映射dm,配置其域名為www.example.com,指定虛服務器池vsp,並開啟DNS映射。
[Device] loadbalance dns-map dm
[Device-lb-dm-dm] domain-name www.example.com
[Device-lb-dm-dm] service enable
[Device-lb-dm-dm] virtual-server-pool vsp
[Device-lb-dm-dm] quit
(11) 配置DNS正向區域
# 創建域名為example.com的DNS正向區域。
[Device] loadbalance zone example.com
# 配置CNAME資源記錄,為主機www.example.com指定別名l.example.com。
[Device-lb-zone-example.com] record cname alias l.example.com. canonical www.example.com. ttl 600
[Device-lb-zone-example.com] quit
# 顯示所有DNS監聽器的信息。
[Device] display loadbalance dns-listener
DNS listener name:dl1
Service state:Enabled
IPv4 address: 10.1.1.1
Port: 53
IPv6 address: --
IPv6 Port: 53
Fallback: Reject
VPN instance:
DNS listener name: dl2
Service state: Enabled
IPv4 address: 20.1.1.1
Port: 53
IPv6 address: --
IPv6 Port: 53
Fallback: Reject
VPN instance:
# 顯示所有DNS映射的信息。
[Device] display loadbalance dns-map
DNS mapping name: dm
Service state: Enabled
TTL: 3600
Domain name list: www.example.com
Virtual server pool: vsp
# 顯示所有DNS正向區域的信息。
[Device]display loadbalance zone
Zone name: example.com
TTL: 3600s
SOA:
Record list:
Type TTL RDATA
CNAME 600s l.example.com. www.example.com.
# 顯示所有虛服務器池的簡要信息。
[Device] display loadbalance virtual-server-pool brief
Predictor: RR - Round robin, RD - Random, LC - Least connection,
TOP - Topology, PRO - Proximity
BW - Bandwidth, MBW - Max bandwidth,
IBW - Inbound bandwidth, OBW - Outbound bandwidth,
MIBW - Max inbound bandwidth, MOBW - Max outbound bandwidth,
HASH(SIP) - Hash address source IP,
HASH(DIP) - Hash address destination IP,
HASH(SIP-PORT) - Hash address source IP-port
VSpool Pre Alt Fbk BWP Total Active
vsp RR -- -- Enabled 0 0
# 顯示所有虛服務器池的詳細信息。
[Device] display loadbalance virtual-server-pool
Virtual-server pool: vsp
Predictor:
Preferred RR
Alternate --
Fallback --
Bandwidth busy-protection:Disabled
Total virtual servers: 2
Active virtual servers: 2
Virtual server list:
Name State Address Port Weight Link
vs1 Active 10.1.1.3 80 100 link1
vs2 Active 20.1.1.3 80 100 link2
# 顯示所有實服務器的簡要信息。
[Device] display real-server brief
Real server Address Port State VPN instance Server farm
rs 192.168.1.10 0 Active sf
# 顯示所有鏈路的簡要信息。
[Device] display loadbalance link brief
link Router IP State VPN instance Link group
link1 10.1.1.2 Active
link2 20.1.1.2 Probe-failed
# 顯示所有實服務組的詳細信息。
[Device] display server-farm
Server farm: sf
Description:
Predictor: Round robin
Proximity: Enabled
NAT: Enabled
SNAT pool:
Failed action: Keep
Active threshold: Disabled
Slow-online: Disabled
Selected server: Disabled
Probe information:
Probe success criteria: All
Probe method:
t1
Total real server: 1
Active real server: 1
Real server list:
Name State VPN instance Address Port Weight Priority
rs Active 192.168.1.10 0 100 4
# 顯示所有虛服務器的簡要信息。
[Device] display virtual-server brief
Virtual server State Type VPN instance Virtual address Port
vs1 Active HTTP 10.1.1.3/32 80
vs2 Active HTTP 20.1.1.3/32 80
完成上述配置後,當Client Host訪問域名l.example.com時,可以解析到10.1.1.1,使用ISP 1的鏈路訪問內網服務器,也可以解析到20.1.1.1,使用ISP 2的鏈路訪問內網服務器。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
