1、H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級LB服務器負載均衡（雙機熱備）配置參考HBCH3C Technologies Co., Limited, Copyright 2003-2009,All rights reserved杭州華三通信技術有限公司版權所有侵權必究10/26/2009H3C機密，未經許可不得擴散第2頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級刖言作為服務器負載均衡雙本文參考LB在江西電信網上營業廳實施方案更改,機熱備配置參考所用，如有不妥之處請指正，多謝。10/26/2009H3C機密，未經許可不得擴散第3頁，共12頁LB服務器負載均衡（雙機熱備

2、）配置參考文檔密級修訂記錄 Revision Records日期Date修訂版本Revision描述Description作者Author2009-7-29(V1.00)初稿0639910/26/2009H3C機密，未經許可不得擴散第4頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級1 組網拓撲：51.1 對組網拓撲說明： 51.2 LB上業務調用說明： 62 數據流量走向說明： 72.1 數據流量走向說明： 73 組網配置83.1 防火墻配置 83.2 S65 配置： 83.3 S75 配置 93.3.1 S75-01 配置： 93.3.2 S75-01 配置： 93.4 L

3、B 配置 103.4.1LB 配置： 10配己置注意事項 1210/26/2009H3C機密，未經許可不得擴散第5頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級1組網拓撲：:10/26/2009H3C機密，未經許可不得擴散第6頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級10/26/2009H3C機密，未經許可不得擴散第#頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級10/26/2009H3C機密，未經許可不得擴散第#頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級10/26/2009H3C機密，未經許可不得擴散第#頁，共1

4、2頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級圖1組網拓撲圖1.1 對組網拓撲說明：兩臺防火墻設備到外網做NAT server同時對外映射了 WEB Server服務器，兩臺S65交換機作為核心路由交換設備，下連WEB服務器和應用服務器，服務器對外提供WEB訪問和用戶登陸查詢相關信息。兩臺防火墻啟用雙機熱備，實現業務冗余備份，同時配置兩個 Vrrp組（做主備模式），對外網Vrrp組vrid 2（ 52 ）作為外網到內網轉發數據報文 的下一跳（可以保證在防火墻），對內vrrp組vrid 1 （ ）作為S65至V外網轉發數據報文的下一跳，防

5、火墻上兩個Vrrp做互相Track，保證上、下行數據報文轉發一致。S65交換機上也配置兩個 Vrrp組，Vrrp組vrid6 （ ）作為防火墻 轉發外網到內網數據流量的下一跳，Vrrp組vrid 15（ 21 ）作為下連服務器（服務器上的默認網關為S6503上vrid 15（ 21 ）和旁路LB的網關。兩臺7503E（ LB插卡插在S75上）交換機之間做二層模式，7503E與LB相連的10GE 口做trunk 口；在兩塊LB板卡上各配置一個三層子接口，在子接口 上做一組 VRRP Vrid3 ，該vrrp虛地址（134.2

6、24.15.3）作為S6503到LB設備虛 服務IP的目的IP，兩臺LB之間同時使能雙機熱備，實現業務冗余備份。1.2 LB上業務調用說明：在LB設備上要經過兩次業務調用過程；首先，在外網防火墻上對內網WEB服務器做NAT Server映射，NAT Server映射地址為LB上配置的虛服務地址（ 虛服務地址為：00詳見配置）， 外網用戶訪問 WEB Server對外映射的公網服務器地址，訪問數據經過防火墻轉發到達S65交換機，S65交換機通過查找路由將訪問數據送到LB的Vrrp組的主設備上去，數據到達LB設備后，經過LB后將訪問數據分發到真實的WEB服務器上去，當用戶需要用

7、通過WEB頁面登陸查詢數據信息，此時， WEB服務器就會調用后臺的 App Server （應用服務器）；在LB上又配置了另一組虛服 務（虛服務地址為：01詳見配置），這里需要在 WEB服務器上調用 APP 服務器的目的地址改為LB上對應App應用的虛服務地址（01），當WEB服務器去調用應用服務器時數據流量再次送回到LB上經過LB后送到真應用服務器上；對于這種業務之間存在相互關聯關系的應用和長連接業務，配置LB時要選擇“基于源IP的散列算法”同時要使能“持續性”。10/26/2009H3C機密，未經許可不得擴散第7頁，共12頁H3CLB服務器負載均衡（

8、雙機熱備）配置參考文檔密級2數據流量走向說明：10/26/2009H3C機密，未經許可不得擴散第8頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級10/26/2009H3C機密，未經許可不得擴散第#頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級圖2數據流量走線示意圖2.1 數據流量走向說明：入方向：夕卜網客戶訪問對外映射的內網服務器時（防火墻上NAT Server映射地址為LB上的虛服務地址00 ），防火墻上查找路由將目的地址為該 虛服務的IP送到到S65交換機上（此處防火墻上要添加到虛服務的路由）,S65交換機上根據路由將流量引到LB上（

9、如圖中流量1所示），因此S6503上需要添加目的IP到虛服務的下一跳指向LB上的Vrrp需地址 ; LB做轉換，將目的地址轉換為實服務器的地址，源地址轉換為虛服務的地址，數據流引向服務器（如圖中流量2所示）；WEB服務器調用應用服務器時訪問LB上虛地址（01），服務器網關都在65上，數據包到65上查找路由將 WEB調用應用的流量送到LB上（如圖中流量3所示），LB做轉換，將目的地址轉換為實服務器的地址，源地址轉換為虛服務的地址，數據流引向服務器（如圖中流量4所示）；此時，完成一次業務訪問過程，相當于在LB上進行了兩次負載均衡；出方向：服務器的默認網關

10、為 S6503的vrid 15 （ 21），目的為虛 服務地址，S6503根據路由將目的地址為虛服務地址送到LB Vrrp的虛地址，將流量引向LB，LB做轉換后，將數據發往 S6503，送往外網。3組網配置3.1 防火墻配置NAT Server映射配置：nat server protocol tcp global 52 www in side 00 wwwnat server protocol tcp global 52 4321 in side 00 4321nat server

11、protocol icmp global 52 in side 00路由配置：:ip route-static 00 55 說明:：在此只列出關鍵配置，其余配置略 3.2 S65 配置：路由配置：:ip route-static 00 55 ip route-static 01 55 說明:：在此只列出關鍵配置，其余配置略 3.3 S75配置3

12、.3.1 S75-01 配置：in terface GigabitEthernet2/0/7port access via n 15/75與65相連的接口in terface GigabitEthernet2/0/17port lin k-type trunkundo port trunk permit vian 1port trunk permit vian 15/75_1與75_2相連的接口，允許 LB的VRRP相應vian通過 in terface Ten-GigabitEthernet4/0/1port lin k-type trunkundo port trunk permit vi

13、an 1port trunk permit vian 15/LB 與75_1相連的接口332S75-01 配置：in terface GigabitEthernet2/0/7port access via n 15/75與65相連的接口in terface GigabitEthernet2/0/17port iin k-type trunkundo port trunk permit vian 1port trunk permit vian 15/75_2與75_1相連的接口，允許 LB的VRRP相應vian通過 in terface Ten-GigabitEthernet4/0/1port

14、iin k-type trunkundo port trunk permit vian 1port trunk permit via n 1575_2與LB相連接口3.4 LB配置341LB配置：1.命令行：in terface Ten-GigabitEthernet0/0.15vla n-type dot1q vid15ip address 28vrrp vrid 3 virtual-ip vrrp vrid 3 priority 105/配置服務器網段的IP地址ip route-static 0.0

15、.0.0 21/LB板卡的網關指向與S6503通信的三層接口，vrid 15的虛IP212. WEB頁面配置:H3C JSecBlade負載均衡模塊負或均褂y服勢器負轂均衡負載均衡- 服務器負載均衡- 實服務組：:H3C一後樹H覽-a系統訓 曲網貉常理 員載均徴實脫務齟君型實嚴務故阻處理探作apoi地址散列ICL1P重定簡已有連接2日西拠址敵列ICMF重足商已百連接2出3新建10/26/2009H3C機密，未經許可不得擴散第11頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級10/26/2009H3C機密，未經許可不得擴散第#頁，

16、共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級負載均衡-服務器負載均衡-實服務:10/26/2009H3C機密，未經許可不得擴散第#頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級10/26/2009H3C機密，未經許可不得擴散第12頁，共12頁H3CLB服務器負載均衡（雙機熱備）配置參考文檔密級H3C一設備陽范-tii靠眾言理-SS網箱管理血鞍均衡-全局配査-嚴需憲魚歳均麗 2撫路負載均術L睫康悝檢測-也安全特性-如高可第悝靈服筠逞塢計信耳寶服吳名實服蓉IP地址端口號杲犬連接數實思蚩徂換作App-01134.224.1E.2301000appApp-02134

17、224.1&24001000appWE0-O17001000WEBWEB*028001000WEB卜查詢項：窕服務名v關薩宇：罰負載均衡- 服務器負載均衡衡- 虛服務：:負載均衡 服務熬負載均衝役備慨覽一系眾営理 q網常莒理F JI費均側全局配置服務器負藍均衡 一惟路直羲均衡 帔省=60Ji,H3C-沿備陽覽HS孟筑管理 -詞網路管理負載均衡 全局配遙 服務器員載均術 盛讎路負載均衝L屣康性禺測直安全特性a高可筆性一 VRHPL雙機熱備刪-4i謖備日吉注：WEB服務器對應的虛服務為V_web，虛服務IP為00，虛服務的協議類型

18、為任意，端口號為任意，采用“網絡地址轉換”的轉發模式， 并使能“ SNAT使能”，但是不配置源地址池，這樣當 LB進行NAT轉換時將 把源地址轉換為虛服務地址，這樣服務器的默認網關為S6503的Vrid 15的虛地址，不需要改任何配置。對應的實服務組是web,并使能虛服務，此虛服務才會生效理Bh |退戲機熱備狀譽貝墜i H3C設備槪覽-fii累新管理-fiS咖管理一蕊均術 一全局配養 一服勢器魚董均衢 -ns蝕路負載均術卜垃安全特性盧肓可孟性|- VRRPM熱備菩理高可靠性- 雙機熱備管理：庖勳諏機熱備功菽備檢類型：不支待非對隊路徑2備檢接口 ：Gig3bitEthernelO；4.俺改備份接口當前熱備狀悉：肖前生效的番忙捲口 ：GigabitEthernelO4星導（、対顧i填寫頂注：雙機熱備配置在保存配置重啟后才會生效另一側LB配置與LB-Master配置相似，再次不在重復4配置注意事項1. 對于這種一次業務交互可能包括多個連接的應用，