Radware_LinkProof_Lab_Manual_6.12_v1.0.docx

此文档收集于网络，如有侵权，请联系网站删除Radware LinkProof Level 1 培训实验手册目 录第1章 Lab1. 初始化和网络管理61.1 通过console线连接LP61.2 登录设备71.3 初始化配置71.3.1 恢复出厂配置71.3.2 配置初始化IP地址81.4 命令行登录91.5 通过WEB页面连接101.6 查看设备信息111.7 更改设备名称131.8 命令行显示乱码问题141.9 管理方式设置界面141.10 全局表项161.11 保存配置文件181.12 恢复配置文件191.13 SNMP的字串管理191.14 用户名和密码管理201.15 修改系统日期时间211.16 NTP配置221.17 基本网络配置231.17.1 物理端口241.17.2 定义IP地址241.17.3 Routing Table261.18 章节回顾28第2章 Lab 2- 链路负载均衡基础282.1 Farm 管理282.2 Farm Extended管理302.3 服务器管理312.4 Farm Flow配置332.5 配置Flow Policy332.5.1 Network配置332.5.2 配置Dynamic NAT352.5.3 Policy配置362.6 测试配置结果372.7 章节回顾38第3章 Lab 3 - Smart NAT配置393.1 Dynamic NAT393.2 Static NAT403.3 Static PAT413.4 测试配置结果433.5 章节回顾44第4章 Lab 4 - 就近性(Proixmity)配置454.1 全局配置454.2 静态就近表配置464.3 动态Proximity参数配置474.4 章节回顾48第5章 Lab 5 - DNS配置495.1 配置Host495.2 测试505.3 章节回顾1第6章 Lab 6 VRRP冗余配置16.1 配置DNS Virtual IP26.2 主机VRRP配置36.2.1 全局配置开启VRRP36.2.2 配置VR (Virtual Router)46.3 配置Associated IP66.4 调整VRRP Virtual Router ID状态为UP76.5 测试86.6 章节回顾10此文档仅供学习与交流关键词：缩略语清单：LPLinkProofLPBLinkProof BranchNATNetwork address translationNHRNext Hop RouterVRRPVirtual Router Redundancy ProtocolODSOn Demand Switch 硬件平台型号图例说明： 创建，创建一个新的条目删除，删除选定的条目选择，在删除条目前必须先选择设置，设置后生效放弃，放弃当前的改动帮助，在工作站可以连接Internet的情况下，可以去Radware网站获取当前配置的详细帮助后退前进刷新页面第1章 Lab1. 初始化和网络管理1.1 通过console线连接LP通过远程桌面登陆Console Management ：0，学员登陆名为：lp#（#为学员小组编号1-4，后续试验同），密码radware。登陆后，启动桌面的SecuCRT，选择Console链接设备，并完成以下动作：通过Console管理LP之前先设置超级终端或CRT相关配置，如下图所示：在“”提示符下，输入login命令，输入用户名密码即可登录，默认的用户名密码均为radware，登录成功后提示符变为“#”。如果Console显示中存在乱码，请输入如下命令LinkProofmanage terminal grid-mode set disable& 说明： “”需要特别说明一下。“”如果前面没有字符，则是在BootRom状态下面，可以进行系统软件和配置的维护；如果“LinkProof”，则系统处于工作状态下。1.2 登录设备默认情况下，用户名和密码都是radwareLinkProof loginUser： radwarePassword： radware23-11-2008 17：06：11 INFO User radware logged in via terminalLinkProof #1.3 初始化配置1.3.1 恢复出厂配置有可能设备已加过电，并留有配置，在新使用前，最好先清空原有配置。如果系统已经提示输入IP地址，则跳过这一步。 VxWorks System BootCopyright 1984-2004 Wind River Systems, Inc.Bios VER ： 0602.041CPU ： AMD OPTERONVersion ： VxWorks5.5.1DRAM size ： 2048MBSP version ： Boot6.131Active boot ： MainCreation date： Jun 4 2008, 17：06：17Press any key to stop auto-boot. 3 /按回车键中断启动这时进入 “” 提示符，可以进行恢复出厂的操作在中断设备的自动启动过程后，系统会进入“”提示符下，在该提示符下，依次完成如下命令：q0 /清空网络配置Erasing configuration .fl：/ - Volume is OK config file is not foundErasing Network Section .doneq1 /清空应用配置Erasing configuration . cm：/ - Volume is OK Erasing Network Section .fl：/ - Volume is OK done /继续启动Attaching to memory device.Looking for software version on Compact Flash.1.3.2 配置初始化IP地址设备第一次开机或者清空配置后，系统会提示初使化配置：Startup Configuration0 IP Address 10.1.1.#0 1 IP subnet mask 2 Port number 3 /输入绑定该IP地址的特理端口号3 Default router IP address 4 RIP version (0,1,2) 05 Enable OSPF (y/n) n6 OSPF area ID7 User Name radware /用户名8 User Password radware /密码，这是默认值9 Enable Web Access (y/n) n y /启用http的管理方式10 Enable Secure Web Access (y/n) n 11 Enable Telnet Access (y/n) n y /启用telnet的管理方式12 Enable SSH Access (y/n) nSNMP Configuration /以下内容可使用系统默认配置，按回车即可0 Supported SNMP versions 1 2 31 Community Public2 SNMP Root User3 Privacy Protocol (NONE/DES)NONE4 Privacy Password5 Authentication Protocol (NONE/SHA/MD50NONE6 Authentication Password7 NMS IP Address8 Configuration File Name注：红色标记部分为必需配置的内容& 说明： 如果在30秒内未完成配置或未输入任何字符，系统会自动生成一个默认的配置：IP： ，mask , Port Number： 1，如果是ODS 2/3，则为MNG-1。 Username： radware, Password： radware。可以删除这些配置，重新配置需要的IP地址。1.4 命令行登录用户模式下，系统提示符是 ，如：LinkProof 用户模式下，不能进行任何操作，只能输入login命令。登录时，系统提示输入用户名和密码，成功后，进入特权模式下，用户可以进行任何系统配置和操作。特权模式的提示符是#LinkProof loginUser： radwarePassword： radware23-11-2007 17：06：11 INFO User radware logged in via terminalLinkProof #Radware设备的命令是行提交方式，即输完命令回车后立即生效，并自动保存，不需要输入保存配置的命令。命令行支持简写方式，如 l c t 相当于lp client table命令。& 说明： “”需要特别说明一下。”如果前面没有字符(设备名称)，则是在BootRom状态下面，可以进行系统软件和配置的维护；如果是“LinkProof”，则系统处于工作状态下。1.5 通过WEB页面连接启动WEB管理之前需要配置一个IP地址，该IP地址用于管理维护Radware，对于ODS平台，有两个专门的带外管理端口，名称分别为MNG-1和MNG-2，一般可以选取第一个管理电口，通过上面介绍的串口连接后输入以下命令：net ip-interface create 1 输入以下命令启动WEB管理：manage web status set 1。启动IE浏览器（建议IE6.0以上），在地址栏输入http：/10.1.1.#0，此时会提示输入用户名/密码，输入用户名密码（默认radware/radware）后即可进入WEB管理界面。1.6 查看设备信息在WEB方式下，进入Device-Device Information最下面一行可以看到Base MAC Address，这就是设备的MAC地址。在“#”命令提示符下输入如下命令，即可查看当前设备的版本信息：LinkProof # system device-infoDevice Information Type： LinkProof Application Switch with BWM, IPS /设备功能Platform： OnDemand Switch 2 /设备平台类型Ports： 18Ports Config： 12 Copper Giga Ethernet + 4 Fiber Giga Ethernet + 2 Giga EthernetHW Version： C.4SW version： 6.00.00DLBuild： Mar 5 2009, 13：00：02 (Build： 8) /当前设备的版本信息Throughput： Limited to 4Gbps /设备的性能，仅ODS有效APSolute OS： 10.31-03.05：2.06.09Network Driver： 11.53.01Active Boot： 6.23Secondary Boot： 6.23Power Supply： Single Power Supply OK /设备的电源RAM size： 2048 MB /设备内存大小CM Flash size： 991 MBFlash size： 97 MBHard Disk(s)： 1Registered： NoSerial Number： 20831258Date： 12.06.2009Time： 12：21：23Up time： 0 days, 0 hours, 12 minutes, 53 seconds /设备的运行时间Base MAC： 00：03：b2：4b：d6：00 /设备的MAC地址Version State： Final1.7 更改设备名称以下两条命令是用来标识LinkProof设备的，给它们取个好记的名字；设置命令提示符，让你知道现在正登录在哪台设备上，当设备多的时候，尤其是多设备冗余时。通过Web界面，进入Device-Global Parameters：l Name：Web界面中显示的设备名称命令行：LinkProof# system mib2-name set LP-team# /这个修改Web 提示LinkProof# manage terminal prompt set LP-team# /这个修改CLI 提示1.8 命令行显示乱码问题系统默认使用英文的制表符，会与中文系统的内码冲突，所以最好先关闭制表符的输出。LinkProof # net ip Interface Table哪哪哪哪哪哪哪哪哪穆哪哪哪哪哪哪哪哪哪穆哪哪哪哪哪哪哪哪哪穆哪哪哪哪哪哪哪哪哪IP Address 砃etwork Mask 矷f Number 砎lanTag 哪哪哪哪哪哪哪哪哪呐哪哪哪哪哪哪哪哪哪呐哪哪哪哪哪哪哪哪哪呐哪哪哪哪哪哪哪哪哪 ? ? ? 哪哪哪哪哪哪哪哪哪呐哪哪哪哪哪哪哪哪哪呐哪哪哪哪哪哪哪哪哪呐哪哪哪哪哪哪哪哪哪 ? ? ? 哪哪哪哪哪哪哪哪哪牧哪哪哪哪哪哪哪哪哪牧哪哪哪哪哪哪哪哪哪牧哪哪哪哪哪哪哪哪哪LinkProof# manage terminal grid-mode set disDisplay of ascii graphics characters： disabledLinkProof# net ip Interface Table IP Address Network Mask If Number VlanTag 2 0 3 0 1.9 管理方式设置界面进入Service Management Interface菜单，CLI打开管理方式，telnet/ssh/http/https，1表示enable，相应地，关闭它们是 set 2：LinkProof# manage telnet status set 1LinkProof# manage ssh status set 1LinkProof# manage web status 1LinkProof# manage secure-web status 11.10 全局表项以下这些命令，任意一条更改后都需要重启机器才能生效，放在前面一次配置完，可以减少重启机器的次数。以下是二/三层转发表的配置，最好三条同时配置，这些值的大小直接会影响到PPS的性能，太小不利于大量PPS转发，太大会占用内存空间。LinkProof# system tune ip-fft-table set 256000会话表也是非常重要的配置， ODS使用默认值即可。client-table-extension table通常设置和Client table大小相同；如果使用n个Farm Flow Policy，则理论上设置比Client table大n倍；这部分表非常消耗内存，如果不够，请减少client table的大小。Farm Persistency table通常设置和Client extension table大小相同，如果会话保持方式使用Client table，则不使用此表。这两张表都是client table相关的辅助表。LinkProof# system tune client-table set 250000LinkProof# system tune client-table-extension set 250000LinkProof# system tune farm-persistecny-table set 250000就近表也是比较重要的设置，默认4096通常不够使用，建议LP202和LP1000设置为30000，LP3020设置为80000，ODS通常使用默认值。LinkProof# system tune dynamic-proximity-table set 30000进入Service- Tuning - Device - GeneralLinkProof# system tune nhr-track-table set 4096nhr-track-table是用来记录访问LP接口地址的会话，因为LP有多条默认网关，接口依据这张表记录的会话来保证延原路返回数据包。LinkProof# system tune dynamic-nat-table set 30如果动态NAT的公网IP超过30个，则需要调整此表。其他表默认一般可以满足要求。调整完成后，要选择set，然后再选择memory check, 选择perform test最后重启设备就完成了参数调整。如果出现红色提示，则表示内存不够，需要将一部分表调小。如果出现上述提示，则表示内存足够使用，可以重启生效。1.11 保存配置文件配置文件全是文本格式的，可以直接编辑修改上传，不需要转换。打开File Configuration File Receive From Device,点击 set 保存配置1.12 恢复配置文件打开File Configuration File Send to Device,点击浏览按钮，输入之前保存的配置文件。点击 set 系统会提示你,需要重启设备才能使配置生效。1.13 SNMP的字串管理修改SNMP的字串打开 SecurityCommunity Table,修改原来的管理字串为”test”, 分配 “Super”权限给它.点击 set字串修改1.14 用户名和密码管理打开 Device Security Users,点击Create,添加新的用户如果需要修改用户密码, 直接点击用户名, 在Password中输入新的密码，可以给用户以只读权限。Web Access Level： Read-Only表只能查看，不能修改配置。 Read-Write为管理员用户。1.15 修改系统日期时间新的设备到时，如果没启用NTP，最好同时修改主备机的系统时间。进入Device-Global Parametersl 时间格式为 ：时/分/秒l 日期格式为 ：日/月/年1.16 NTP配置有时为了管理需要，必须使用NTP。l NTP Server： 配置NTP服务器的IP地址l NTP Timezone：根据当地时区设置，中国配置为+08：00l NTP Status：设置enable1.17 基本网络配置网络层配置，主要包括vlan划分及IP地址定义。Vlan不是必须的，可以直接将接口IP配置在物理端口上，Radware设备的端口是路由端口，同一个物理接口也可以配置多个IP地址。只有服务器直接连接LP端口的情况下才需要配置VLAN(不推荐使用)。1.17.1 物理端口在和其它设备连接时，有时需要更改端口（前兆光口）的协商状态。进入Device - Physical Interface：命令行配置如下：LinkProof# net physical-interface set 1 -s Fast Ethernet -d FullLinkProof# net physical-interface set 2 -s Fast Ethernet -d Full1.17.2 定义IP地址进入Router-IP Router-interface Parameters点击creat,并添加下表：l IP Address：输入IP地址l Network mask：输入子网掩码l If Number：选择某个物理端口或者选择已建立的Vlan interface Number l One Ip： 如果用户的公网IP地址有限，可以使用LP的接口地址来做为公网NAT地址使用。l 其他保持默认配置即可。 点击Set即可完成。& 说明： Radware LinkProof配完IP后，如果需要在此基础上修改IP地址，则只能先将该IP删掉再添加，不能直接修改。如果是修改子网掩码和物理接口，则可以直接修改。除了物理端口外，以下是逻辑端口。T-1到T-7为Trunk端口，也即端口/链路会聚。物理端口后面的编号。10000开头的为Vlan号，这是Radware内部的名称，相当于Vlan名，与交换机的Vlan命名不同，这是基于端口的Vlan。各组配置：IP AddressNetwork MaskIf Number100.1.1.#0G-1200.1.1.#0G-210.1.1.#0G-3命令行模式配置如下net ip-interface create 0 1net ip-interface create 0 2LP-Master# net ip-interface help net ip-interface help： set destroy/del create/add help Switches： -m ： Network Mask -i ： If Number -f ： Fwd Broadcast -ba ： Broadcast Addr -v ： VlanTag -oi ： One Ip (Router Interface Only)1.17.3 Routing Table打开“Router Routing Table”,点击 “Create”，可以配置路由l Destination Address：目标地址l Network Mask：子网掩码l Next Hop：下一跳路由l Interface：端口。点击“Set”图标保存配置 。各组配置：Destination AddressNetwork MaskNext HopInterface Index54G-54G-2命令行LP-Master# net route table help net route table help： set destroy/del create/add help Switches： -i ： Interface Index -t ： Type -m ： Metric & 说明： Radware LinkProof在配置路由时，只有在端口up的情况下，才能配置。例如：端口1上的IP地址为，掩码为如要配置一条缺省路由，下一跳为54，则只能当端口1 up，才能配置该路由。在命令行的最后面使用help参数可以获取帮助。LP是三层网络设备，并且针对链路做负载均衡，它可以配置多个默认网关，通常只有一个网关是活动的网关。如果我们想让其中一个做为活动，需要调整Metric值，值越大优先级越低。1.18 章节回顾What is the default username and password for CLI access to a LinkProof?Can you have more then one IP on a single physical interface?What values are assigned to the default configuration after 30 seconds?APSolute Insite uses what protocol to communicate with Radware devices?第2章 Lab 2- 链路负载均衡基础最基本的负载均衡配置包括以下几部分：创建Router Farm，创建Router Server，创建Farm Flow Table，创建Flow Policy，配置Smart NAT，配置Proximity。这几部分配置完成后，就可以实现基本的负载均衡功能了。2.1 Farm 管理Farm分为Router Farm和Firewall Farm。Router Farm就是一组网关，Firewall Farm就是一组防火墙群组。这个群组下包含的服务器具有相同的属性。LinkProof Farms Farm Table各组配置：Farm NameNAT ModeAll-FarmsEnable其它参数保持默认即可。需要注意的几个参数：Aging time： 会话表的老化时间, 单位是秒, 越长会话保持的越久, 但表的数量会增加。Dispatch Method： 负载均衡算法 Cyclic (Round Robin)：轮循 Weighted Cyclic ：基于权重的轮循方式(通过手工静态地来定义包分发比重) Least Traffic ：最少流量 Least Number of Users：最少用户连接数 Response Time Load Balancing：最快反应时间，需启用健康检查模块配合使用 NT SNMP Parameters：根据Windows服务器SNMP参数取到的值选择服务器，仅对Windows服务器有效，并且Windows服务器需要打开SNMP功能 User-Configurable SNMP Parameters：与NT类似，只不过不限定Windows服务器，任何提供SNMP的服务器都可以，用户需要设置相关的SNMP OID值及权重作为健康检查对象 Hashing：哈希算法, 根据源地址选择服务器, 同一地址无论任何时候访问VIP都会分配到同一台服务器, 当需要做长时间会话保持时, 使用该算法不需要增加会话表的超时时间，有助于减少会话表的条目，同是不影响会话保持 一般情况下后面三种不用命令行配置如下：LP-Master# lp farms all-farms create CT -t Router LP-Master# lp farms all-farms create ALL -t RouterLP-Master# lp farms all-farms help lp farms all-farms help： create/add help Switches： -t ： Type -tc ： Clear Client Table Condition LP会自动将所为配置为默认网关的IP加到default-farm中，作用和”ALL” Farm相同。下面是系统自动配置的命令。2.2 Farm Extended管理添加Farm后，点击LinkProof Farms Extended Farm Table各组配置：Persistent ModeClient table其它参数保持默认即可。& 说明： 关于Radware的LinkProof会话保持是基于client table的。Client table mode 简单来说有三种：Regluar：3层会话表模式，只记录用户源IP， 目标IP和目标端口。 一个用户，无论打开多少会话，只要源IP不变,LinkProof只记录一条会话。Entry Per Session：4层会话表模式， 记录用户源IP,，源端口，目标IP和目标端口.。对于同一源IP地址,负载均衡算法只执行第一次请求， 同一用户后续请求，无论新开多少会话，都去到相同的服务器，但每个新的会话，都会记录在Client table中。Server Per Session：4层会话表模式，记录用户源IP， 源端口，目标IP和目标端口。 LinkProof对每个新的会话，都进行负载均衡算法计算。 同一用户后续请求，可能会去到不同的服务器，每个新的会话,都会记录在Client table中。2.3 服务器管理服务器是Farm下面的元素，隶属于Farm。定义服务器的名称，IP地址，以及服务的端口号。Open LinkProof Server Logical Routers Server,点击“creat”图标，如下图所示：各组配置：Farm NameRouter NameIP addressAll-FarmsCNC54All-FarmsCTC54其它参数保持默认即可。配置好后，点击“set”保存LP-Master# lp servers all-servers helplp servers all-servers help： create/add help Switches： -ip ： IP Address -w ： Weight -om ： OperMode -cl ： Connection Limit -as ： AdminStatus -b ： Kbps Limit -i ： Inbound Kbps Limit -o ： Outbound Kbps Limit -ft ： Farm Type 。2.4 Farm Flow配置Farm Flow定义了Flow与Farm的关联。LinkProof Flow Management Farms Flow Table Create各组配置：Flow NameFarm NameIndextestAll-farm1其它参数保持默认即可。配置好后，点击“set”保存命令行配置如下：LP-Master# lp flow-management farms-flow-table create Mail_Flow CT2.5 配置Flow Policy2.5.1 Network配置Network定义了网络元素，可以是IP地址范围，也可以网段；如果IP不是一个完整的网段，则选择地址范围；如果IP范围正好是一个网段，则使用地址+掩码的配置方式。默认有一条是any的network。Classes Modify Networks CreateName： mail_serverSub Index： 0/网络下面的编号，同名下面可以有多条网段。From IP： 10To IP Address： 10Mode： IP Range命令行配置如下：LP-Master# classes modify network help classes modify network help： set destroy/del create/add help Switches： -a ： Address -s ： Mask -f ： From IP -t ： To IP -m ： Mode Displays the temporary network database.These are the networks that will be used for classification.A network can be a range or a subnet/mask, or a combination of few ranges andsubnet masks. Use the same network name for multiple entries in the table tocreate such combination.2.5.2 配置Dynamic NAT打开“LinkProof-Smart NAT-Dynamic NAT Table”各组配置：From Local IPTo Local IPServer IPDynamic NAT IP0054100.1.1.#30054200.1.1.#3其它参数保持默认即可。配置好后，点击“set”保存2.5.3 Policy配置LinkProof Flow Management Modify Policies Create系统中已经有一条默认的Default Policy。意味着，如果不需要特殊功能，Flow Policy可以完全不用配置，就可以实现链路负载均衡功能。l Index：LP匹配policy的策略是根据这个顺序的，有点类似于防火墙的acl。l Direction：包括one way和two way，而在Policy匹配不同类型包时含义不同：当Policy匹配L3数据包时，One Way表示至匹配由源到目的的请求包及与此请求相应的回包，而Two way则