鏈路負載均衡培訓

目錄鏈路負載均 1.1.1目錄鏈路負載均 1.1.1鏈路負載均衡配置指 用戶認 1.2.1PORTAL認證配置指 1.2.2其 高可靠 1.3.1VRRP配置指 高級雙機熱備配置指 靜默雙機熱備配置指 其 I1.1鏈路負載均1.1鏈路負載均增加一層新的網(wǎng)絡(luò)架構(gòu)，將網(wǎng)站的內(nèi)容發(fā)布到最接近用戶的網(wǎng)絡(luò)""，使用戶以就近取得所需的內(nèi)容，解決Internet1.1.1鏈路負載均衡配置指功能簡ICMPIP或者域名發(fā)送ICMPTCP健康檢查，向指定IP或者域名發(fā)送TCP網(wǎng)絡(luò)拓某企業(yè)部署一臺防火墻作為網(wǎng)絡(luò)出口，同時接入3條運營商鏈路（移動），設(shè)備開啟鏈路負載均衡，內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)資源時，按訪問的目標IP地第1 配置概詳細配網(wǎng)絡(luò)管>接口>組網(wǎng)配置，配置IP 配置概詳細配網(wǎng)絡(luò)管>接口>組網(wǎng)配置，配置IP地>>安全域，配置安網(wǎng)絡(luò)管第21配置物理接口的參數(shù)信息，用于設(shè)備管理及業(yè)務轉(zhuǎn)2安全34鏈路健康檢定期發(fā)送探測報文，以檢測目標地址的可5鏈路負載訪問：基>NAT（NAT，配置源訪訪問：基>NAT（NAT，配置源訪問：業(yè)>鏈路負載均>電信鏈路健康檢測聯(lián)通鏈路監(jiān)控檢測第3移動鏈路監(jiān)控檢測(2)訪問：業(yè)移動鏈路監(jiān)控檢測(2)訪問：業(yè)>鏈路負載均>電信鏈路配置第4聯(lián)通鏈路配置移動鏈路配置第聯(lián)通鏈路配置移動鏈路配置第5說明：“優(yōu)先級”決定了業(yè)務調(diào)度的優(yōu)選順序，說明：“優(yōu)先級”決定了業(yè)務調(diào)度的優(yōu)選順序，優(yōu)先級越小越優(yōu)先。如：電信鏈路優(yōu)級為6，聯(lián)通鏈路優(yōu)先級為9，移動鏈路優(yōu)先級為12，當聯(lián)通鏈路發(fā)生故障無法通信時問聯(lián)通的流量將調(diào)度至電信鏈路功能驗（（（當電信鏈路斷開時，根據(jù)設(shè)置的鏈路優(yōu)先級順序（電信>聯(lián)通>移動）第6說明：電信鏈路斷開后，按設(shè)臵的鏈路優(yōu)先級順序會說明：電信鏈路斷開后，按設(shè)臵的鏈路優(yōu)先級順序會將訪問電信的流量調(diào)度到聯(lián)通出口通過查看會話，響應方目的地址為聯(lián)通出接口地址說明：聯(lián)通鏈路斷開后，按設(shè)臵的鏈路優(yōu)先級順序會將訪問聯(lián)通的流量調(diào)度到電信出口通過查看會話，響應方目的地址為電信出接口地址說明：移動鏈路斷開后，按設(shè)臵的鏈路優(yōu)先級順序會將訪問移動的流量調(diào)度到電信出口通過查看會話，響應方目的地址為電信出接口地址第7常見問-1第8常見問-1第81（待編寫1.2用戶認1.2.1Portal認證配置指1.2用戶認1.2.1Portal認證配置指功能簡Portal在英語中是入口的意思。Portal認證通常也稱為Web認證，一般將用戶可以主動訪問已知的Portal認證網(wǎng)站，輸入用戶名和密碼進行認證，這 將被強制訪問Portal認證網(wǎng)站，從而開始Portal網(wǎng)絡(luò)拓某企業(yè)辦公區(qū)網(wǎng)段為/24InternetWeb行Web認證，且辦公網(wǎng)訪問服務器區(qū)不進行認證第9配置概101配置物理接口的參數(shù)信息，用于設(shè)備管理及業(yè)務轉(zhuǎn)2安全配置概101配置物理接口的參數(shù)信息，用于設(shè)備管理及業(yè)務轉(zhuǎn)2安全3數(shù)據(jù)報文根據(jù)手工配置的目的網(wǎng)段信息，進行路由轉(zhuǎn)456認證基礎(chǔ)選擇認證方式及認證方法，認證方式包括Web證、終端認證；認證方法包括本地認證、域認證、Radius認證等7對指定用戶組開啟Web證功能，可根據(jù)“登陸狀態(tài)框”、8本地認證詳細配>>接口>組網(wǎng)配置，配置IP>>網(wǎng)絡(luò)對象>>>單播IPv詳細配>>接口>組網(wǎng)配置，配置IP>>網(wǎng)絡(luò)對象>>>單播IPv4>靜態(tài)路由（配置靜態(tài)路由>>11及分說明：將無法主動進行Web認證的終端加入例外IP，如網(wǎng)說明：將無法主動進行Web認證的終端加入例外IP，如網(wǎng)絡(luò)打印訪問：業(yè)>用戶認Portal認>說明：默認情況下辦公網(wǎng)用戶通過設(shè)備訪問任何區(qū)域均需認證，可通過將服務器區(qū)的第12址及網(wǎng)段添加到“免認證目的IP”來實現(xiàn)內(nèi)網(wǎng)訪問互聯(lián)網(wǎng)做認證，訪問服址及網(wǎng)段添加到“免認證目的IP”來實現(xiàn)內(nèi)網(wǎng)訪問互聯(lián)網(wǎng)做認證，訪問服務器區(qū)不做注意：認證終端必須有到“靜態(tài)地址推送”所配臵的IP地址路由，否則無法推送認面；不建議修改此(7)訪問：業(yè)>用戶認證Portal>認證配置（Web認證，配置認說明1、終端在無“登錄狀態(tài)框”的情況下（未啟用或強制關(guān)閉設(shè)備在指定時間內(nèi)（默認5鐘）未收到該終端的任何數(shù)據(jù)報文，則被強制下線手動點擊“注銷>Portal認證>本地認證用戶（本地認證用戶>第13說明：以上配臵基UMC心說明：以上配臵基UMC心功能驗內(nèi)網(wǎng)主機通過UMCWeb第14常見問-常見問1方 常見問-常見問1方 第151未使用“顯示登錄狀態(tài)框”的情況下，認證終端始終丌下2配置了免認證目的IP，內(nèi)網(wǎng)主機訪問互聯(lián)網(wǎng)還需3認證后提示賬號已經(jīng)在其他IP-常見問2如對某源-常見問2如對某源進行免認證，需在地址對象中添加例外IP第16如對某目的IP-常見問3第如對某目的IP-常見問3第171.2.2其Web認證實現(xiàn)原①DNSDNS1.2.2其Web認證實現(xiàn)原①DNSDNS18 ①內(nèi)網(wǎng)主機訪問百度，發(fā)起DNS請求；域名服務器進行DNS答，并告知百度IP②設(shè)備仿用百度IP地址與內(nèi)網(wǎng)主機建立連接，并URL重定③內(nèi)網(wǎng)主機根據(jù)重定向地址進行Web認④認證通過后根據(jù)重定向報文中的跳轉(zhuǎn)信息，訪問百等基礎(chǔ)報文通過，即完成等基礎(chǔ)報文通過，即完成②設(shè)備仿用百度IPURL建立TCP報文HTTPGETURL第19在設(shè)備發(fā)起的URL在設(shè)備發(fā)起的URL③Web第20④第21④第21第22第221.3高可靠業(yè)務入口或接入點（比如企業(yè)的 1.3高可靠業(yè)務入口或接入點（比如企業(yè)的 普通雙機熱備：備份設(shè)備配置，建議結(jié)合 使用，設(shè)備主備關(guān)系與高級雙機熱備：備份設(shè)備配置和會話（會話備份功能可選，建議結(jié)合 VRRP主備關(guān)系對應，流量從主設(shè)備出去，從主設(shè)備回來，屬于非對稱雙機熱備：備份設(shè)備配置和會話（會話備份功能可選，建議結(jié)VRRP以叫非對稱雙機熱備靜默雙機熱備：備份配置和會話（會話備份功能可選，無需 1.3.1VRRP配置指功能簡虛擬路由冗余協(xié)議(VirtualRouterRedundancyProtocol，簡VRRP)是一種選擇上的臺。控制虛擬路由IP地址的VRRP路由器稱為主路由器，它負責轉(zhuǎn)發(fā)數(shù)據(jù)包制，這就允許虛擬路由器的IP地址可以作為終端主機的默認第一跳路由器。使用網(wǎng)絡(luò)拓PCFWVRRP虛地址，F(xiàn)W1FW2第23備，F(xiàn)W上、下行均啟用VRRPNATInternet配置概詳細配(1)訪問：基>備，F(xiàn)W上、下行均啟用VRRPNATInternet配置概詳細配(1)訪問：基>網(wǎng)絡(luò)管理>>組網(wǎng)配置，配置接口參FW1組網(wǎng)配置241配置物理接口的參數(shù)信息，用于設(shè)備管理及業(yè)務轉(zhuǎn)23高級雙機4安全5數(shù)據(jù)報文根據(jù)手工配置的目的網(wǎng)段信息，進行路由轉(zhuǎn)6FW2組網(wǎng)配置注意1FW2組網(wǎng)配置注意1、HA（心跳）接口地址要配臵為私網(wǎng)地址，并且不要與內(nèi)網(wǎng)中地址存在關(guān)聯(lián)，建議地2、如開啟高級雙機熱備，斷開心跳線將影響“配臵同步”與“會話同步”功(2)訪問：業(yè)>高可靠性VRRP（VRRP備份組配置配FW1VRRP配置FW2VRRP配置第25ultult注意1、備份組ID決定VRRP備份組虛MAC，須確保與網(wǎng)絡(luò)中其他VRRP組不沖突2、配臵VRRP“高級配臵”時，通過修改“優(yōu)先級”與開啟“搶占”，指定master設(shè)備；議配臵VRRP（VRRP1）監(jiān)視下行接口（Gige0_2下行接口組（VRRP2）監(jiān)視上行接口（Gige0_3訪問：業(yè)>高可靠性>雙機熱備（雙機熱備，配置高級雙機FWFW第26訪問：基>網(wǎng)絡(luò)管理>網(wǎng)絡(luò)>安全域，配置安注訪問：基>網(wǎng)絡(luò)管理>網(wǎng)絡(luò)>安全域，配置安注意：HA（心跳）接口不加入>網(wǎng)絡(luò)管理>單播IPv4>靜態(tài)路由（配置靜態(tài)路由>>源NAT（NAT注意1、如果源NAT出接口、目的NAT入接口或者一對一NAT公網(wǎng)接口在VRRP里則必須配臵“關(guān)聯(lián)VRRP”，以確保備設(shè)備的源NAT功能為禁用狀態(tài)，且其地址池中的地不發(fā)送ARP文2、每條源NAT聯(lián)其出接口所在VRRP目NAT其入接口所VRRP一~NAT關(guān)聯(lián)其公網(wǎng)接口所在VRRP第27功能驗P（00功能驗P（00VRRPFW1VRRP狀態(tài)VRRPFW2VRRP狀態(tài)Ping常見問第281內(nèi)網(wǎng)用戶無法訪問Internet，且訪問防火墻2內(nèi)網(wǎng)用戶訪問Internet時斷時-常見問1FW配置后，內(nèi)網(wǎng)用戶無法訪問資源，且訪問FWVRRPVRRPbackup，F(xiàn)W1VRRPmaster，F(xiàn)W2VRRPbackupVRRPFW-常見問1FW配置后，內(nèi)網(wǎng)用戶無法訪問資源，且訪問FWVRRPVRRPbackup，F(xiàn)W1VRRPmaster，F(xiàn)W2VRRPbackupVRRPFWVRRP備份組IDFW或交換機的VRRP備份組IDIDVRRP-常見問2用戶訪問Internet的流量，通過FW1的源NATARPFW1進入內(nèi)網(wǎng)；如果在回復包之前收到FW2發(fā)的ARPFW2NATVRRP功能，backupFW將自動關(guān)閉源功能，且地址池中的地址不發(fā)送ARP291.3.2高級雙機熱備配置指功能簡NATInternet網(wǎng)絡(luò)拓某公司內(nèi)網(wǎng)，辦公區(qū)PC和服務器區(qū)Server1.3.2高級雙機熱備配置指功能簡NATInternet網(wǎng)絡(luò)拓某公司內(nèi)網(wǎng)，辦公區(qū)PC和服務器區(qū)ServerVlan-配置概詳細配(1)訪問：基>網(wǎng)絡(luò)管理>接口管理VLAN設(shè)置（VLAN配置301VLAN2配置物理接口的參數(shù)信息，用于設(shè)備管理及業(yè)務轉(zhuǎn)3高級雙機4安全VLAN-IFFW1VLAN設(shè)置FW2VLAN設(shè)置VLAN-IFFW1VLAN設(shè)置FW2VLAN設(shè)置說明：創(chuàng)建其他VLAN，避免與網(wǎng)絡(luò)中默認的VLAN1產(chǎn)生業(yè)務沖突訪問：基>網(wǎng)絡(luò)管>接口管理FWFW第31說明：為避免地址沖突，心跳接口建議使用30位地址掩碼訪問：說明：為避免地址沖突，心跳接口建議使用30位地址掩碼訪問：業(yè)>高可靠性>雙機熱備（雙機熱備，配置高級雙機FWFW訪問：基>網(wǎng)絡(luò)管理網(wǎng)絡(luò)>安全域，配置安第32功能驗登陸其中一臺FWPCserverFW常見問功能驗登陸其中一臺FWPCserverFW常見問-常見問1在開啟高級雙機熱備后，主、備設(shè)備會同步會話，但不同步數(shù)據(jù)流。以TCP包為例，僅有當三次握手完成后才能建立會話，因此備設(shè)備僅同步TCP第331高級雙機熱備會話2雙機熱備在非對稱組網(wǎng)中的應用問-2正常轉(zhuǎn)發(fā)；當設(shè)備上僅有單向會話時則被丟棄，如FW2收到SYN-ACKSYN-2正常轉(zhuǎn)發(fā)；當設(shè)備上僅有單向會話時則被丟棄，如FW2收到SYN-ACKSYN，則SYN-ACK34PCServer發(fā)起PCServer發(fā)起TCP連接時，F(xiàn)W1放行SYN，F(xiàn)W2放行SYN-ACK，F(xiàn)W1行ACK，因此“非對稱雙機熱備”可解決單邊會話導致業(yè)務不通問題1.3.3靜默雙機熱備配置指功能簡mastebackup35master移機制，這就使互聯(lián)設(shè)備迅速刷新MAC地址表，而不改變下一跳IP網(wǎng)絡(luò)拓IP地址段為/配master移機制，這就使互聯(lián)設(shè)備迅速刷新MAC地址表，而不改變下一跳IP網(wǎng)絡(luò)拓IP地址段為/配置概詳細配(1)訪問：基本>網(wǎng)絡(luò)管理>接口管理>端口聚合（端口聚合配置361配置物理接口的參數(shù)信息，用于設(shè)備管理及業(yè)務轉(zhuǎn)2靜默雙機3安全4數(shù)據(jù)報文根據(jù)手工配置的目的網(wǎng)段信息，進行路由轉(zhuǎn)5FW1端口聚合配置FW2端口聚合配置注意FW1端口聚合配置FW2端口聚合配置注意：HA（心跳）接口地址必須為聚合接口，原因是當心跳線全部斷開時，兩變成雙主模式，由于IP地址配臵相同，會造成地址沖突，網(wǎng)絡(luò)中訪問：基>網(wǎng)絡(luò)管理>組網(wǎng)配置，配置FWFW第37說明：如需同時管理靜默雙機下的兩臺說明：如需同時管理靜默雙機下的兩臺設(shè)備，則需配臵單獨管理口進行帶外管理注意：若靜默雙機成員設(shè)備的接口存在不同IP地址，需先配臵組網(wǎng)配臵，再開啟靜默機功能，否則會同步接口IP地址訪問：業(yè)>高可靠性FWFW第38說明1、“靜默接口列表”與“靜默監(jiān)聽接口列表”僅添加業(yè)務接口2、說明1、“靜默接口列表”與“靜默監(jiān)聽接口列表”僅添加業(yè)務接口2、優(yōu)先級計算：初始優(yōu)先級=255（默認靜默監(jiān)聽接口優(yōu)先級=10（默認，最終優(yōu)先級初始優(yōu)先級-靜默監(jiān)聽接口優(yōu)先級*異常（down）3選