H3C的secBlade服务器负载均衡双机热备典型配置

1、H3CLB服务器负载均衡（双机热备）配置参考文档密级LB服务器负载均衡（双机热备）配置参考HBCH3C Technologies Co., Limited, Copyright 2003-2009,All rights reserved杭州华三通信技术有限公司版权所有侵权必究10/26/2009H3C机密，未经许可不得扩散第2页，共12页H3CLB服务器负载均衡（双机热备）配置参考文档密级刖言作为服务器负载均衡双本文参考LB在江西电信网上营业厅实施方案更改,机热备配置参考所用，如有不妥之处请指正，多谢。10/26/2009H3C机密，未经许可不得扩散第3页，共12页LB服务器负载均衡（双机热备

2、）配置参考文档密级修订记录 Revision Records日期Date修订版本Revision描述Description作者Author2009-7-29(V1.00)初稿0639910/26/2009H3C机密，未经许可不得扩散第4页，共12页H3CLB服务器负载均衡（双机热备）配置参考文档密级1 组网拓扑：51.1 对组网拓扑说明： 51.2 LB上业务调用说明： 62 数据流量走向说明： 72.1 数据流量走向说明： 73 组网配置83.1 防火墙配置 83.2 S65 配置： 83.3 S75 配置 93.3.1 S75-01 配置： 93.3.2 S75-01 配置： 93.4 L

3、B 配置 103.4.1LB 配置： 10配己置注意事项 1210/26/2009H3C机密，未经许可不得扩散第5页，共12页H3CLB服务器负载均衡（双机热备）配置参考文档密级1组网拓扑：:10/26/2009H3C机密，未经许可不得扩散第6页，共12页H3CLB服务器负载均衡（双机热备）配置参考文档密级10/26/2009H3C机密，未经许可不得扩散第#页，共12页H3CLB服务器负载均衡（双机热备）配置参考文档密级10/26/2009H3C机密，未经许可不得扩散第#页，共12页H3CLB服务器负载均衡（双机热备）配置参考文档密级10/26/2009H3C机密，未经许可不得扩散第#页，共1

4、2页H3CLB服务器负载均衡（双机热备）配置参考文档密级图1组网拓扑图1.1 对组网拓扑说明：两台防火墙设备到外网做NAT server同时对外映射了 WEB Server服务器，两台S65交换机作为核心路由交换设备，下连WEB服务器和应用服务器，服务器对外提供WEB访问和用户登陆查询相关信息。两台防火墙启用双机热备，实现业务冗余备份，同时配置两个 Vrrp组（做主备模式），对外网Vrrp组vrid 2（ 52 ）作为外网到内网转发数据报文 的下一跳（可以保证在防火墙），对内vrrp组vrid 1 （ ）作为S65至V外网转发数据报文的下一跳，防

5、火墙上两个Vrrp做互相Track，保证上、下行数据报文转发一致。S65交换机上也配置两个 Vrrp组，Vrrp组vrid6 （ ）作为防火墙 转发外网到内网数据流量的下一跳，Vrrp组vrid 15（ 21 ）作为下连服务器（服务器上的默认网关为S6503上vrid 15（ 21 ）和旁路LB的网关。两台7503E（ LB插卡插在S75上）交换机之间做二层模式，7503E与LB相连的10GE 口做trunk 口；在两块LB板卡上各配置一个三层子接口，在子接口 上做一组 VRRP Vrid3 ，该vrrp虚地址（134.2

6、24.15.3）作为S6503到LB设备虚 服务IP的目的IP，两台LB之间同时使能双机热备，实现业务冗余备份。1.2 LB上业务调用说明：在LB设备上要经过两次业务调用过程；首先，在外网防火墙上对内网WEB服务器做NAT Server映射，NAT Server映射地址为LB上配置的虚服务地址（ 虚服务地址为：00详见配置）， 外网用户访问 WEB Server对外映射的公网服务器地址，访问数据经过防火墙转发到达S65交换机，S65交换机通过查找路由将访问数据送到LB的Vrrp组的主设备上去，数据到达LB设备后，经过LB后将访问数据分发到真实的WEB服务器上去，当用户需要用

7、通过WEB页面登陆查询数据信息，此时， WEB服务器就会调用后台的 App Server （应用服务器）；在LB上又配置了另一组虚服 务（虚服务地址为：01详见配置），这里需要在 WEB服务器上调用 APP 服务器的目的地址改为LB上对应App应用的虚服务地址（01），当WEB服务器去调用应用服务器时数据流量再次送回到LB上经过LB后送到真应用服务器上；对于这种业务之间存在相互关联关系的应用和长连接业务，配置LB时要选择“基于源IP的散列算法”同时要使能“持续性”。10/26/2009H3C机密，未经许可不得扩散第7页，共12页H3CLB服务器负载均衡（

8、双机热备）配置参考文档密级2数据流量走向说明：10/26/2009H3C机密，未经许可不得扩散第8页，共12页H3CLB服务器负载均衡（双机热备）配置参考文档密级10/26/2009H3C机密，未经许可不得扩散第#页，共12页H3CLB服务器负载均衡（双机热备）配置参考文档密级图2数据流量走线示意图2.1 数据流量走向说明：入方向：夕卜网客户访问对外映射的内网服务器时（防火墙上NAT Server映射地址为LB上的虚服务地址00 ），防火墙上查找路由将目的地址为该 虚服务的IP送到到S65交换机上（此处防火墙上要添加到虚服务的路由）,S65交换机上根据路由将流量引到LB上（

9、如图中流量1所示），因此S6503上需要添加目的IP到虚服务的下一跳指向LB上的Vrrp需地址 ; LB做转换，将目的地址转换为实服务器的地址，源地址转换为虚服务的地址，数据流引向服务器（如图中流量2所示）；WEB服务器调用应用服务器时访问LB上虚地址（01），服务器网关都在65上，数据包到65上查找路由将 WEB调用应用的流量送到LB上（如图中流量3所示），LB做转换，将目的地址转换为实服务器的地址，源地址转换为虚服务的地址，数据流引向服务器（如图中流量4所示）；此时，完成一次业务访问过程，相当于在LB上进行了两次负载均衡；出方向：服务器的默认网关

10、为 S6503的vrid 15 （ 21），目的为虚 服务地址，S6503根据路由将目的地址为虚服务地址送到LB Vrrp的虚地址，将流量引向LB，LB做转换后，将数据发往 S6503，送往外网。3组网配置3.1 防火墙配置NAT Server映射配置：nat server protocol tcp global 52 www in side 00 wwwnat server protocol tcp global 52 4321 in side 00 4321nat server

11、protocol icmp global 52 in side 00路由配置：:ip route-static 00 55 说明:：在此只列出关键配置，其余配置略 3.2 S65 配置：路由配置：:ip route-static 00 55 ip route-static 01 55 说明:：在此只列出关键配置，其余配置略 3.3 S75配置3

12、.3.1 S75-01 配置：in terface GigabitEthernet2/0/7port access via n 15/75与65相连的接口in terface GigabitEthernet2/0/17port lin k-type trunkundo port trunk permit vian 1port trunk permit vian 15/75_1与75_2相连的接口，允许 LB的VRRP相应vian通过 in terface Ten-GigabitEthernet4/0/1port lin k-type trunkundo port trunk permit vi

13、an 1port trunk permit vian 15/LB 与75_1相连的接口332S75-01 配置：in terface GigabitEthernet2/0/7port access via n 15/75与65相连的接口in terface GigabitEthernet2/0/17port iin k-type trunkundo port trunk permit vian 1port trunk permit vian 15/75_2与75_1相连的接口，允许 LB的VRRP相应vian通过 in terface Ten-GigabitEthernet4/0/1port

14、iin k-type trunkundo port trunk permit vian 1port trunk permit via n 1575_2与LB相连接口3.4 LB配置341LB配置：1.命令行：in terface Ten-GigabitEthernet0/0.15vla n-type dot1q vid15ip address 28vrrp vrid 3 virtual-ip vrrp vrid 3 priority 105/配置服务器网段的IP地址ip route-static 0.0

15、.0.0 21/LB板卡的网关指向与S6503通信的三层接口，vrid 15的虚IP212. WEB页面配置:H3C JSecBlade负载均衡模块负或均褂y服勢器负毂均衡负载均衡- 服务器负载均衡- 实服务组：:H3C一後樹H览-a系统訓 曲网貉常理 员载均徴实脫务齟君型实嚴务故阻处理探作apoi地址散列ICL1P重定简已有连接2日西拠址敌列ICMF重足商已百连接2出3新建10/26/2009H3C机密，未经许可不得扩散第11页，共12页H3CLB服务器负载均衡（双机热备）配置参考文档密级10/26/2009H3C机密，未经许可不得扩散第#页，

16、共12页H3CLB服务器负载均衡（双机热备）配置参考文档密级负载均衡-服务器负载均衡-实服务:10/26/2009H3C机密，未经许可不得扩散第#页，共12页H3CLB服务器负载均衡（双机热备）配置参考文档密级10/26/2009H3C机密，未经许可不得扩散第12页，共12页H3CLB服务器负载均衡（双机热备）配置参考文档密级H3C一设备阳范-tii靠眾言理-SS网箱管理血鞍均衡-全局配査-嚴需憲鱼歳均丽 2撫路负載均術L睫康悝檢测-也安全特性-如高可第悝靈服筠逞塢计信耳宝服吳名实服蓉IP地址端口号杲犬连接数实思蚩徂換作App-01134.224.1E.2301000appApp-02134

17、224.1&24001000appWE0-O17001000WEBWEB*028001000WEB卜查询项：窕服务名v关薩宇：罰负载均衡- 服务器负载均衡衡- 虚服务：:负載均衡 服务熬负载均衝役备慨览一系眾営理 q网常莒理F JI费均側全局配置服务器负藍均衡 一惟路直羲均衡 帔省=60Ji,H3C-沿备阳览HS孟筑管理 -词网路管理负載均衡 全局配遥 服务器员载均術 盛讎路负载均衝L屣康性禺测直安全特性a高可筆性一 VRHPL双机热备删-4i谡备日吉注：WEB服务器对应的虚服务为V_web，虚服务IP为00，虚服务的协议类型

18、为任意，端口号为任意，采用“网络地址转换”的转发模式， 并使能“ SNAT使能”，但是不配置源地址池，这样当 LB进行NAT转换时将 把源地址转换为虚服务地址，这样服务器的默认网关为S6503的Vrid 15的虚地址，不需要改任何配置。对应的实服务组是web,并使能虚服务，此虚服务才会生效理Bh |退戏机热备状誉貝墜i H3C设备槪览-fii累新管理-fiS咖管理一蕊均術 一全局配養 一服勢器鱼董均衢 -ns蝕路负载均術卜垃安全特性卢肓可孟性|- VRRPM热备菩理高可靠性- 双机热备管理：庖勳諏机热备功菽备檢类型：不支待非对隊路径2备檢接口 ：Gig3bitEthernelO；4.俺改备份接口当前热备状悉：肖前生效的番忙捲口 ：GigabitEthernelO4星导（、対顾i填写顶注：双机热备配置在保存配置重启后才会生效另一侧LB配置与LB-Master配置相似，再次不在重复4配置注意事项1. 对于这种一次业务交互可能包括多个连接的应用，