H3C的secBlade服務器負載均衡雙機熱備典型配置

1、H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級LB服務器負載均衡（雙機熱備）配置參考HBCH3C Technologies Co., Limited, Copyright 2003-2009,All rights reserved杭州華三通信技術有限公司版權所有侵權必究10/26/2009H3C機密，未經(jīng)許可不得擴散第2頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級刖言作為服務器負載均衡雙本文參考LB在江西電信網(wǎng)上營業(yè)廳實施方案更改,機熱備配置參考所用，如有不妥之處請指正，多謝。10/26/2009H3C機密，未經(jīng)許可不得擴散第3頁，共12頁LB服務器負載均衡（雙機熱備

2、）配置參考文檔密級修訂記錄 Revision Records日期Date修訂版本Revision描述Description作者Author2009-7-29(V1.00)初稿0639910/26/2009H3C機密，未經(jīng)許可不得擴散第4頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級1 組網(wǎng)拓撲：51.1 對組網(wǎng)拓撲說明： 51.2 LB上業(yè)務調(diào)用說明： 62 數(shù)據(jù)流量走向說明： 72.1 數(shù)據(jù)流量走向說明： 73 組網(wǎng)配置83.1 防火墻配置 83.2 S65 配置： 83.3 S75 配置 93.3.1 S75-01 配置： 93.3.2 S75-01 配置： 93.4 L

3、B 配置 103.4.1LB 配置： 10配己置注意事項 1210/26/2009H3C機密，未經(jīng)許可不得擴散第5頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級1組網(wǎng)拓撲：:10/26/2009H3C機密，未經(jīng)許可不得擴散第6頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級10/26/2009H3C機密，未經(jīng)許可不得擴散第#頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級10/26/2009H3C機密，未經(jīng)許可不得擴散第#頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級10/26/2009H3C機密，未經(jīng)許可不得擴散第#頁，共1

4、2頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級圖1組網(wǎng)拓撲圖1.1 對組網(wǎng)拓撲說明：兩臺防火墻設備到外網(wǎng)做NAT server同時對外映射了 WEB Server服務器，兩臺S65交換機作為核心路由交換設備，下連WEB服務器和應用服務器，服務器對外提供WEB訪問和用戶登陸查詢相關信息。兩臺防火墻啟用雙機熱備，實現(xiàn)業(yè)務冗余備份，同時配置兩個 Vrrp組（做主備模式），對外網(wǎng)Vrrp組vrid 2（ 52 ）作為外網(wǎng)到內(nèi)網(wǎng)轉(zhuǎn)發(fā)數(shù)據(jù)報文 的下一跳（可以保證在防火墻），對內(nèi)vrrp組vrid 1 （ ）作為S65至V外網(wǎng)轉(zhuǎn)發(fā)數(shù)據(jù)報文的下一跳，防

5、火墻上兩個Vrrp做互相Track，保證上、下行數(shù)據(jù)報文轉(zhuǎn)發(fā)一致。S65交換機上也配置兩個 Vrrp組，Vrrp組vrid6 （ ）作為防火墻 轉(zhuǎn)發(fā)外網(wǎng)到內(nèi)網(wǎng)數(shù)據(jù)流量的下一跳，Vrrp組vrid 15（ 21 ）作為下連服務器（服務器上的默認網(wǎng)關為S6503上vrid 15（ 21 ）和旁路LB的網(wǎng)關。兩臺7503E（ LB插卡插在S75上）交換機之間做二層模式，7503E與LB相連的10GE 口做trunk 口；在兩塊LB板卡上各配置一個三層子接口，在子接口 上做一組 VRRP Vrid3 ，該vrrp虛地址（134.2

6、24.15.3）作為S6503到LB設備虛 服務IP的目的IP，兩臺LB之間同時使能雙機熱備，實現(xiàn)業(yè)務冗余備份。1.2 LB上業(yè)務調(diào)用說明：在LB設備上要經(jīng)過兩次業(yè)務調(diào)用過程；首先，在外網(wǎng)防火墻上對內(nèi)網(wǎng)WEB服務器做NAT Server映射，NAT Server映射地址為LB上配置的虛服務地址（ 虛服務地址為：00詳見配置）， 外網(wǎng)用戶訪問 WEB Server對外映射的公網(wǎng)服務器地址，訪問數(shù)據(jù)經(jīng)過防火墻轉(zhuǎn)發(fā)到達S65交換機，S65交換機通過查找路由將訪問數(shù)據(jù)送到LB的Vrrp組的主設備上去，數(shù)據(jù)到達LB設備后，經(jīng)過LB后將訪問數(shù)據(jù)分發(fā)到真實的WEB服務器上去，當用戶需要用

7、通過WEB頁面登陸查詢數(shù)據(jù)信息，此時， WEB服務器就會調(diào)用后臺的 App Server （應用服務器）；在LB上又配置了另一組虛服 務（虛服務地址為：01詳見配置），這里需要在 WEB服務器上調(diào)用 APP 服務器的目的地址改為LB上對應App應用的虛服務地址（01），當WEB服務器去調(diào)用應用服務器時數(shù)據(jù)流量再次送回到LB上經(jīng)過LB后送到真應用服務器上；對于這種業(yè)務之間存在相互關聯(lián)關系的應用和長連接業(yè)務，配置LB時要選擇“基于源IP的散列算法”同時要使能“持續(xù)性”。10/26/2009H3C機密，未經(jīng)許可不得擴散第7頁，共12頁H3CLB服務器負載均衡（

8、雙機熱備）配置參考文檔密級2數(shù)據(jù)流量走向說明：10/26/2009H3C機密，未經(jīng)許可不得擴散第8頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級10/26/2009H3C機密，未經(jīng)許可不得擴散第#頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級圖2數(shù)據(jù)流量走線示意圖2.1 數(shù)據(jù)流量走向說明：入方向：夕卜網(wǎng)客戶訪問對外映射的內(nèi)網(wǎng)服務器時（防火墻上NAT Server映射地址為LB上的虛服務地址00 ），防火墻上查找路由將目的地址為該 虛服務的IP送到到S65交換機上（此處防火墻上要添加到虛服務的路由）,S65交換機上根據(jù)路由將流量引到LB上（

9、如圖中流量1所示），因此S6503上需要添加目的IP到虛服務的下一跳指向LB上的Vrrp需地址 ; LB做轉(zhuǎn)換，將目的地址轉(zhuǎn)換為實服務器的地址，源地址轉(zhuǎn)換為虛服務的地址，數(shù)據(jù)流引向服務器（如圖中流量2所示）；WEB服務器調(diào)用應用服務器時訪問LB上虛地址（01），服務器網(wǎng)關都在65上，數(shù)據(jù)包到65上查找路由將 WEB調(diào)用應用的流量送到LB上（如圖中流量3所示），LB做轉(zhuǎn)換，將目的地址轉(zhuǎn)換為實服務器的地址，源地址轉(zhuǎn)換為虛服務的地址，數(shù)據(jù)流引向服務器（如圖中流量4所示）；此時，完成一次業(yè)務訪問過程，相當于在LB上進行了兩次負載均衡；出方向：服務器的默認網(wǎng)關

10、為 S6503的vrid 15 （ 21），目的為虛 服務地址，S6503根據(jù)路由將目的地址為虛服務地址送到LB Vrrp的虛地址，將流量引向LB，LB做轉(zhuǎn)換后，將數(shù)據(jù)發(fā)往 S6503，送往外網(wǎng)。3組網(wǎng)配置3.1 防火墻配置NAT Server映射配置：nat server protocol tcp global 52 www in side 00 wwwnat server protocol tcp global 52 4321 in side 00 4321nat server

11、protocol icmp global 52 in side 00路由配置：:ip route-static 00 55 說明:：在此只列出關鍵配置，其余配置略 3.2 S65 配置：路由配置：:ip route-static 00 55 ip route-static 01 55 說明:：在此只列出關鍵配置，其余配置略 3.3 S75配置3

12、.3.1 S75-01 配置：in terface GigabitEthernet2/0/7port access via n 15/75與65相連的接口in terface GigabitEthernet2/0/17port lin k-type trunkundo port trunk permit vian 1port trunk permit vian 15/75_1與75_2相連的接口，允許 LB的VRRP相應vian通過 in terface Ten-GigabitEthernet4/0/1port lin k-type trunkundo port trunk permit vi

13、an 1port trunk permit vian 15/LB 與75_1相連的接口332S75-01 配置：in terface GigabitEthernet2/0/7port access via n 15/75與65相連的接口in terface GigabitEthernet2/0/17port iin k-type trunkundo port trunk permit vian 1port trunk permit vian 15/75_2與75_1相連的接口，允許 LB的VRRP相應vian通過 in terface Ten-GigabitEthernet4/0/1port

14、iin k-type trunkundo port trunk permit vian 1port trunk permit via n 1575_2與LB相連接口3.4 LB配置341LB配置：1.命令行：in terface Ten-GigabitEthernet0/0.15vla n-type dot1q vid15ip address 28vrrp vrid 3 virtual-ip vrrp vrid 3 priority 105/配置服務器網(wǎng)段的IP地址ip route-static 0.0

15、.0.0 21/LB板卡的網(wǎng)關指向與S6503通信的三層接口，vrid 15的虛IP212. WEB頁面配置:H3C JSecBlade負載均衡模塊負或均褂y服勢器負轂均衡負載均衡- 服務器負載均衡- 實服務組：:H3C一後樹H覽-a系統(tǒng)訓 曲網(wǎng)貉常理 員載均徴實脫務齟君型實嚴務故阻處理探作apoi地址散列ICL1P重定簡已有連接2日西拠址敵列ICMF重足商已百連接2出3新建10/26/2009H3C機密，未經(jīng)許可不得擴散第11頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級10/26/2009H3C機密，未經(jīng)許可不得擴散第#頁，

16、共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級負載均衡-服務器負載均衡-實服務:10/26/2009H3C機密，未經(jīng)許可不得擴散第#頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級10/26/2009H3C機密，未經(jīng)許可不得擴散第12頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級H3C一設備陽范-tii靠眾言理-SS網(wǎng)箱管理血鞍均衡-全局配査-嚴需憲魚歳均麗 2撫路負載均術L睫康悝檢測-也安全特性-如高可第悝靈服筠逞塢計信耳寶服吳名實服蓉IP地址端口號杲犬連接數(shù)實思蚩徂換作App-01134.224.1E.2301000appApp-02134

17、224.1&24001000appWE0-O17001000WEBWEB*028001000WEB卜查詢項：窕服務名v關薩宇：罰負載均衡- 服務器負載均衡衡- 虛服務：:負載均衡 服務熬負載均衝役備慨覽一系眾営理 q網(wǎng)常莒理F JI費均側全局配置服務器負藍均衡 一惟路直羲均衡 帔省=60Ji,H3C-沿備陽覽HS孟筑管理 -詞網(wǎng)路管理負載均衡 全局配遙 服務器員載均術 盛讎路負載均衝L屣康性禺測直安全特性a高可筆性一 VRHPL雙機熱備刪-4i謖備日吉注：WEB服務器對應的虛服務為V_web，虛服務IP為00，虛服務的協(xié)議類型

18、為任意，端口號為任意，采用“網(wǎng)絡地址轉(zhuǎn)換”的轉(zhuǎn)發(fā)模式， 并使能“ SNAT使能”，但是不配置源地址池，這樣當 LB進行NAT轉(zhuǎn)換時將 把源地址轉(zhuǎn)換為虛服務地址，這樣服務器的默認網(wǎng)關為S6503的Vrid 15的虛地址，不需要改任何配置。對應的實服務組是web,并使能虛服務，此虛服務才會生效理Bh |退戲機熱備狀譽貝墜i H3C設備槪覽-fii累新管理-fiS咖管理一蕊均術 一全局配養(yǎng) 一服勢器魚董均衢 -ns蝕路負載均術卜垃安全特性盧肓可孟性|- VRRPM熱備菩理高可靠性- 雙機熱備管理：庖勳諏機熱備功菽備檢類型：不支待非對隊路徑2備檢接口 ：Gig3bitEthernelO；4.俺改備份接口當前熱備狀悉：肖前生效的番忙捲口 ：GigabitEthernelO4星導（、対顧i填寫頂注：雙機熱備配置在保存配置重啟后才會生效另一側LB配置與LB-Master配置相似，再次不在重復4配置注意事項1. 對于這種一次業(yè)務交互可能包括多個連接的應用，