- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-链路负载均衡典型配置举例
本章节下载 (4.86 MB)
链路负载均衡典型配置举例
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍链路负载均衡与智能DNS功能的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解LB(Load Balance,负载均衡)特性。
本章介绍链路负载均衡的配置案例。
链路负载均衡可在多条链路上分担内网用户访问外部互联网的流量。
链路负载均衡支持IPv4与IPv6,但不支持IPv4流量与IPv6流量的互转。
链路负载均衡特性在LB设备以及其它防火墙设备上无配置差异。
如图3-1所示,用户分别从三个运营商联通isp_cnc、移动isp_cmcc和电信isp_chinatel处租用了链路link-cnc、link-cmcc和link-chinatel。通过配置链路负载均衡,使内网用户以及后续增加的用户在访问外网Server 时将目的地址匹配isp为cnc、cmcc和chinatel中的流量分别从链路组lg-cnc、lg-cmcc和lg-chinatel中选择相应的链路出去来分担流量,同时进行源地址的转换。内网用户属于192.100.0.0/24网段的定向通过电信的链路link-chinatel来访问外网Server。而且,所有内网用户的私网192.0.0.0/8网段地址不允许出现在外网中。
图3-1 匹配ISP、源地址出方向链路负载均衡组网图
为了实现匹配ISP、源地址的负载分担,需要完成如下配置:
· 在link-generic类型的class下配置match规则匹配isp和源地址。
· 在LB设备出口应用nat地址组,出方向报文进行源地址转换,保护内网IP地址。
· 为每条链路配置ICMP类型的健康检测模板,指定下一跳地址为链路的下一跳地址,指定出接口,并在链路下引用该健康检测模板。
· 在LB设备上配置选路策略,匹配源地址为192.100.0.0/24网段的报文从链路lg-chinatel发出, 目的地址匹配ISP为cnc、cmcc和chinatel的报文分别从链路lg-cnc、链路lg-cmcc和链路lg-chinatel发出。
本举例是在M9000-AD6的Ess 9060P16版本上进行配置和验证的。
· 导入最新ISP文件。
· 注意内网用户和LB设备以及外网Server之间的路由配置,使之路由可达。
· 匹配出链路的业务流量没有源地址转换的需求场景下,需要将M9K-AD6设备引流方式调整为默认引流。
配置默认引流相关命令如下:
· 匹配出链路的业务流量没有源地址转换的需求场景下,需要将M9K-AD6设备引流方式调整为默认引流。
配置默认引流相关命令如下:
[Sysname] Loadbalance flow-redirect failover-group
[Sysname] interface Blade-Aggregation1
[Sysname-Blade-Aggregation1] undo link-aggregation load-sharing mode destination-ip
[Sysname] interface Blade-Aggregation257
[Sysname-Blade-Aggregation257] undo link-aggregation load-sharing mode source-ip
在导航栏中选择“策略 > 负载均衡 > 公共配置 > ISP”,先单击<选择>按钮,选择ISP文件,然后单击<导入>按钮,导入ISP文件。
图3-2 导入ISP文件
在导航栏中选择“对象 > 健康检测”,单击<新建>按钮,进行如下配置:
图3-3 新建ICMP类型的健康检测模板icmp-cnc
单击<确定>,完成操作。
图3-4 新建ICMP类型的健康检测模板icmp-cmcc
单击<确定>,完成操作。
图3-5 新建ICMP类型的健康检测模板icmp-chinatel
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”,单击<新建>按钮,新建链路组名称为lg-cnc,调度算法为源IP地址哈希,如下图所示。
图3-6 新建链路组lg-cnc
单击<确定>,完成操作。
创建链路组lg-cmcc、lg-chinatel与lg-cnc步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”,单击<新建>按钮,新建链路组名称为lg-cmcc,调度算法为源IP地址哈希。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”,单击<新建>按钮,新建链路组名称为lg-chinatel,调度算法为源IP地址哈希。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”,进入链路组页面。
编辑链路组lg-cnc,单击<添加>,新建成员列表,新建链路link-cnc,配置下一跳IP地址为61.156.0.2,引用健康检测模板icmp-cnc,如下图所示。
图3-7 添加链路组成员
图3-8 新建链路
单击<确定>,完成操作。
图3-9 链路信息
单击<确定>,完成操作。
创建链路link-cmcc、link- chinatel与link-cnc步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”,编辑链路组lg-cmcc,单击<添加>,新建成员列表,参照上图步骤新建链路link-cmcc,配置下一跳IP地址为211.98.0.2,引用健康检测模板icmp-cmcc。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”,编辑链路组lg-chinatel,单击<添加>,新建成员列表,参照上图步骤新建链路link-chinatel,配置下一跳IP地址为203.0.24.2,引用健康检测模板icmp-chinatel。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略 ”,在全局配置中勾选“负载均衡服务”。
图3-10 开启负载均衡功能
单击<应用>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 流量特征 ”,单击<新建> 按钮,新建流量特征名称为lc-cnc,匹配方式为匹配任意一条规则,新建匹配规则,Match ID为1,类型选择ISP,匹配内容为cnc,如下图所示。
图3-11 新建流量特征
单击<确定>,完成操作。
图3-12 流量特征信息
单击<确定>,完成操作。
创建流量特征lc-cmcc、lc-chinatel、lc-source与lc-cnc步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 流量特征 ”,单击<新建> 按钮,新建流量特征名称为lc-cmcc,匹配方式为匹配任意一条规则,新建匹配规则,match ID为1,类型选择ISP,匹配内容为cmcc。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 流量特征 ”,单击<新建> 按钮,新建流量特征名称为lc-chinatel,匹配方式为匹配任意一条规则,新建匹配规则,match ID为1,类型选择ISP,匹配内容为chinatel。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 流量特征 ”,单击<新建> 按钮,新建流量特征名称为lc-source,匹配方式为匹配任意一条规则,新建匹配规则,match ID为1,类型选择源IPv4,IPv4地址为192.100.0.0,掩码长度为24。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略 ”,单击<新建> 按钮,
新建IPv4选路策略1,流量特征选择lc-cnc,转发动作选择负载均衡,主用链路组选择lg-cnc,选择链路失败的处理方式选择继续匹配下一条规则,如下图所示。
图3-13 新建IPv4选路策略1
单击<确定>,完成操作。
创建其他IPv4选路策略与上图步骤相同。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略 ”,单击<新建> 按钮,新建IPv4选路策略2,流量特征选择lc-cmcc,转发动作选择负载均衡,主用链路组选择lg-cmcc,选择链路失败的处理方式选择继续匹配下一条规则。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略 ”,单击<新建> 按钮,新建IPv4选路策略3,流量特征选择lc-chinatel,转发动作选择负载均衡,主用链路组选择lg-chinatel,选择链路失败的处理方式选择继续匹配下一条规则。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略 ”,单击<新建> 按钮,新建IPv4选路策略4,流量特征选择lc-source,转发动作选择负载均衡,主用链路组选择lg-chinatel,选择链路失败的处理方式选择继续匹配下一条规则。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略 ”,配置缺省Default流量特征,转发动作选择负载均衡,主用链路组选择lg-cnc,使匹配不上流量特征的报文从链路组lg-cnc发出。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>按钮,新建地址组编号为1,地址组名称为cnc,单击<添加>按钮,新建地址组成员起始IP地址为61.156.0.100,结束IP地址为61.156.0.200,如下图所示。
图3-14 新建地址组1
单击<确定>,完成操作。
图3-15 地址组1信息
单击<确定>,完成操作。
创建地址组2、地址组3与地址组1步骤相同:
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为2,地址组名称为cmcc,单击<添加>按钮,新建地址组成员起始IP地址为211.98.0.100,结束IP地址为211.98.0.200。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为3,地址组名称为chinatel,单击<添加>按钮,新建地址组成员起始IP地址为203.0.24.100,结束IP地址为203.0.24.200。
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择链路下一跳对应的出接口RAGG1.100,转换后源地址选择NAT地址组1,如下图所示。
图3-16 创建NAT动态转换策略1
单击<确定>,完成操作。
创建NAT动态转换策略2、NAT动态转换策略3与NAT动态转换策略1步骤相同:
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择链路下一跳对应的出接口RAGG1.101,转换后源地址选择NAT地址组2。
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择链路下一跳对应的出接口RAGG1.102,转换后源地址选择NAT地址组3。
在导航栏中选择“监控 > 统计 > 出链路负载均衡 > 链路统计”,查看链路统计信息。
图3-17 查看匹配源地址为192.100.0.0/24的链路统计
图3-18 查看匹配ISP为cmcc的链路统计信息
图3-19 查看匹配ISP为cnc的链路统计信息
图3-20 查看匹配ISP为chinatel的链路统计信息
图3-21 查看匹配ISP为educn的链路统计信息
#
loadbalance isp file flash:/lbispinfo.tp
#
nqa template icmp icmp-cnc
next-hop ip 61.156.0.2
out interface Route-Aggregation1.100
#
nqa template icmp icmp-cmcc
next-hop ip 211.98.0.2
out interface Route-Aggregation1.101
#
nqa template icmp icmp-chinatel
next-hop ip 203.0.24.2
out interface Route-Aggregation1.102
#
loadbalance link-group lg-chinatel
predictor hash address source
transparent enable
success-criteria at-least 1
link link-chinatel
success-criteria at-least 1
probe icmp-chinatel
#
loadbalance link-group lg-cmcc
predictor hash address source
transparent enable
success-criteria at-least 1
link link-cmcc
success-criteria at-least 1
probe icmp-cmcc
#
loadbalance link-group lg-cnc
predictor hash address source
transparent enable
success-criteria at-least 1
link link-cnc
success-criteria at-least 1
probe icmp-cnc
#
loadbalance link link-chinatel
router ip 203.0.24.2
probe icmp-chinatel
#
loadbalance link link-cmcc
router ip 211.98.0.2
probe icmp-cmcc
#
loadbalance link link-cnc
router ip 61.156.0.2
probe icmp-cnc
#
loadbalance class lc-chinatel type link-generic match-any
match 1 isp chinatel
#
loadbalance class lc-cmcc type link-generic match-any
match 1 isp cmcc
#
loadbalance class lc-cnc type link-generic match-any
match 1 isp cnc
#
loadbalance class lc-source type link-generic match-any
match 1 source ip address 192.100.0.0 24
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-gen
eric
link-group lg-cnc
#
loadbalance action ob$action$#for#lc-chinatel type link-generic
link-group lg-chinatel
fallback-action continue
#
loadbalance action ob$action$#for#lc-cmcc type link-generic
link-group lg-cmcc
fallback-action continue
#
loadbalance action ob$action$#for#lc-cnc type link-generic
link-group lg-cnc
fallback-action continue
#
loadbalance action ob$action$#for#lc-source type link-generic
link-group lg-chinatel
fallback-action continue
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-gen
eric
class lc-cnc action ob$action$#for#lc-cnc
class lc-cmcc action ob$action$#for#lc-cmcc
class lc-chinatel action ob$action$#for#lc-chinatel
class lc-source action ob$action$#for#lc-source
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
bandwidth interface statistics enable
service enable
#
nat address-group 1 name cnc
address 61.156.0.100 61.156.0.200
#
nat address-group 2 name cmcc
address 211.98.0.100 211.98.0.200
#
nat address-group 3 name chinatel
address 203.0.24.100 203.0.24.200
#
interface Route-Aggregation1.100
ip address 61.156.0.1 255.255.255.0
nat outbound address-group 1
#
interface Route-Aggregation1.101
ip address 211.98.0.1 255.255.255.0
nat outbound address-group 2
#
interface Route-Aggregation1.102
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 3
#
如图所示,用户从运营商联通、电信处分别租用了链路link-cnc和link-chinatel,配置出方向链路负载分担,使用户出方向访问外网Server的流量基于带宽算法在两条链路上负载分担流量,每条链路上配置带宽值和权值,LB设备将流量按照所配置的剩余带宽和权值比例分给相应的链路。
图3-22 基于带宽算法出方向链路负载均衡组网图
为了实现基于带宽算法的负载分担,需要完成如下配置:
· 链路带宽不同,权值相同情况下,配置链路组调度算法为带宽调度算法,查看链路的统计信息,按照剩余带宽比例进行流量分配。
· 链路带宽相同,权值不同情况下,配置链路组调度算法为带宽调度算法,查看链路的统计信息,按照所配置的权值的比例进行流量分配。
· 带宽调度算法缺省使用LB自己统计的带宽,如果开启链路的接口带宽统计功能后使用链路对应的接口带宽。
· 为每条链路配置一个ICMP类型的健康检测模板,配置健康检测模板下一跳地址为链路的下一跳IP地址,指定出接口,并在链路下引用该健康检测模板。
· 在LB设备出口应用nat地址组,出方向报文进行源地址转换,保护内网IP地址。
本举例是在M9000-AD6的Ess 9060P16版本上进行配置和验证的。
· 创建链路组lg,使电信链路link-chinatel和联通链路link-cnc都属于链路组lg。
· 每条运营商链路配置一个名称不同、下一跳ip地址不同的链路,分别按照不同的带宽相同权值和相同带宽不同权值进行配置验证。
· 带宽算法支持在链路视图下配置的链路权值和带宽,不支持在链路组视图下配置的链路的权值。需要在“负载均衡 > 全局配置”中创建链路,并指定链路所属的链路组。
· 创建IPv4选路策略为缺省default,转发动作为负载均衡,主用链路组lg。
· 匹配出链路的业务流量没有源地址转换的需求场景下,需要将M9K-AD6设备引流方式调整为默认引流。
配置默认引流相关命令如下:
[Sysname] Loadbalance flow-redirect failover-group
[Sysname] interface Blade-Aggregation1
[Sysname-Blade-Aggregation1] undo link-aggregation load-sharing mode destination-ip
[Sysname] interface Blade-Aggregation257
[Sysname-Blade-Aggregation257] undo link-aggregation load-sharing mode source-ip
在导航栏中选择“对象 > 健康检测”,单击<新建>按钮,进行如下配置:
图3-23 新建ICMP类型的健康检测icmp-cnc
单击<确定>,完成操作。
图3-24 新建ICMP类型的健康检测icmp-chinatel
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”,单击<新建>按钮,新建链路组名称为lg,调度算法为带宽算法,如下图所示。
图3-25 新建链路组lg
单击<确定>,完成操作。
(1) 第一种情况:链路带宽不同,权值相同情况下:配置电信链路link-chinatel带宽8192000Kbps,联通链路link-cnc带宽4096000 Kbps ,配置逻辑链路的权值,设置电信链路link-chinatel权值为1,联通链路link-cnc权值为1:
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,单击<新建>按钮,新建链路link-chinatel,配置下一跳地址为203.0.24.2,权值为1,选择链路组lg,引用健康检测模板icmp-chinatel,最大总限速带宽为8192000Kbps。
图3-26 新建链路link-chinatel
单击<确定>,完成操作。
单击<新建>按钮,新建链路link-cnc,配置下一跳地址为61.156.0.2,权值为1,选择链路组lg,引用健康检测模板icmp-cnc,最大总限速带宽为4096000 Kbps。
图3-27 新建链路link-cnc
单击<确定>,完成操作。
(2) 第二种情况:链路带宽相同,权值不同情况下:配置电信链路link-chinatel带宽8192000 Kbps,联通链路link-cnc带宽8192000 Kbps ,调整逻辑链路的权值,设置电信链路link-chinatel权值为1,联通链路link-cnc权值为2:
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,新建链路link-chinatel,配置下一跳地址为203.0.24.2,权值为1,选择链路组lg,引用健康检测模板icmp-chinatel,最大总限速带宽为8192000 Kbps。
图3-28 创建链路link-chinatel
单击<确定>,完成操作。
单击<新建>按钮,新建链路link-cnc,配置下一跳地址为61.156.0.2,权值为2,选择链路组lg,引用健康检测模板icmp-cnc,最大总限速带宽为8192000 Kbps。
图3-29 新建链路link-cnc
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略 ”,在全局配置中勾选“负载均衡服务”。
图3-30 开启负载均衡功能
单击<应用>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略 ”,单击<新建>按钮,配置Default转发动作为负载均衡,主用链路组为lg。
图3-31 新建缺省IPv4选路策略
单击<确定>,完成操作。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>按钮,新建地址组编号为1,地址组名称为cnc,单击<添加>按钮,新建地址组成员起始IP地址为61.156.0.100,结束IP地址为61.156.0.200,如下图所示。
图3-32 新建地址组1
单击<确定>,完成操作。
图3-33 地址组1信息
单击<确定>,完成操作。
创建地址组3与地址组1步骤相同:
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为3,地址组名称为chinatel,单击<添加>按钮,新建地址组成员起始IP地址为203.0.24.100,结束IP地址为203.0.24.200。
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择链路下一跳对应的出接口RAGG1.100,转换后源地址选择NAT地址组1,如下图所示。
图3-34 创建NAT动态转换策略1
单击<确定>,完成操作。
创建NAT动态转换策略3与NAT动态转换策略1步骤相同:
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择链路下一跳对应的出接口RAGG1.102,转换后源地址选择NAT地址组3。
图3-35 链路带宽不同,权值相同情况下链路统计信息
图3-36 链路带宽相同,权值不同情况下链路统计信息
#
nqa template icmp icmp-cnc
next-hop ip 61.156.0.2
out interface Route-Aggregation1.100
#
nqa template icmp icmp-chinatel
next-hop ip 203.0.24.2
out interface Route-Aggregation1.102
#
loadbalance link-group lg
predictor bandwidth
transparent enable
success-criteria at-least 1
#
(1) 链路带宽不同,权值相同情况下的链路配置:
loadbalance link link-chinatel
router ip 203.0.24.2
link-group lg
weight 1
rate-limit bandwidth 8192000 Kbps
success-criteria at-least 1
probe icmp-chinatel
#
loadbalance link link-cnc
router ip 61.156.0.2
link-group lg
weight 1
rate-limit bandwidth 4096000 Kbps
success-criteria at-least 1
probe icmp-cnc
#
(2) 链路带宽相同,权值不同情况下的链路配置:
#
loadbalance link link-chinatel
router ip 203.0.24.2
link-group lg
weight 1
rate-limit bandwidth 8192000 Kbps
success-criteria at-least 1
probe icmp-chinatel
#
loadbalance link link-cnc
router ip 61.156.0.2
link-group lg
weight 2
rate-limit bandwidth 8192000 Kbps
success-criteria at-least 1
probe icmp-cnc
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-gen
eric
link-group lg
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-gen
eric
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
nat address-group 1
address 61.156.0.100 61.156.0.200
#
nat address-group 3
address 203.0.24.100 203.0.24.200
#
interface Route-Aggregation1.100
port link-mode route
description link-cnc
ip address 61.156.0.1 255.255.255.0
nat outbound address-group 1
#
interface Route-Aggregation1.102
port link-mode route
description link-chintel
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 3
#
基于应用识别的负载均衡就是按照流量的特征进行选路。用户可自定义应用组来对所需要识别的流量特征进行分组,配置出方向IPv4选路策略来完成对命中自定义应用组的流量选路。
如图所示,用户从运营商联通、电信处分别租用了链路link-cnc和link-chinatel,分别属于链路组lg-cnc和lg-chinatel,使用户出方向访问外网Server的流量基于应用识别选路,从而在两条链路上进行负载分担流量。
图3-37 基于应用识别出方向链路负载均衡组网图
为了实现基于应用识别的负载分担,需要完成如下配置:
· 用户自定义应用组,应用组中配置ftp流量特征,出方向流量策略中配置基于应用组的流量走联通链路link-cnc,默认流量走电信链路link-chinatel。
· 在LB设备出口应用nat地址组,出方向报文进行源地址转换,保护内网IP地址。
· 为每条链路配置一个ICMP类型的健康检测模板,配置健康检测模板下一跳地址为链路的下一跳IP地址,指定出接口,并在链路下引用该健康检测模板。
本举例是在M9000-AD6的Ess 9060P16版本上进行配置和验证的。
· 自定义应用组内可选择多种应用,本案例仅列举了ftp应用。
· 创建IPv4选路策略,匹配流量特征lc-cnc(流量特征基于应用组的ftp应用)的报文从链路组lg-cnc发出,没有匹配上流量特征lc-cnc的报文走缺省动作default,从电信链路组lg-chinatel发出。
· 匹配出链路的业务流量没有源地址转换的需求场景下,需要将M9K-AD6设备引流方式调整为默认引流。
配置默认引流相关命令如下:
[Sysname]Loadbalance flow-redirect failover-group
[Sysname]interface Blade-Aggregation1
[Sysname-Blade-Aggregation1]undo link-aggregation load-sharing mode destination-ip
[Sysname]interface Blade-Aggregation257
[Sysname-Blade-Aggregation257]undo link-aggregation load-sharing mode source-ip
在导航栏中选择“对象 > 健康检测”,单击<新建>按钮,进行如下配置:
图3-38 新建ICMP类型的健康检测icmp-cnc
单击<确定>,完成操作。
图3-39 新建ICMP类型的健康检测icmp-chinatel
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”,单击<新建>按钮,新建链路组名称为lg-cnc,调度算法为源IP地址哈希,如下图所示。
图3-40 新建链路组lg-cnc
单击<确定>,完成操作。
创建链路组lg-chinatel与lg-cnc步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”,单击<新建>按钮,新建链路组名称为lg-chinatel,调度算法为源IP地址哈希。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”,进入链路组页面。
编辑链路组lg-cnc,单击<添加>,新建成员列表,新建链路link-cnc,配置下一跳IP地址为61.156.0.2,引用健康检测模板icmp-cnc,如下图所示。
图3-41 添加链路组成员
图3-42 新建链路
单击<确定>,完成操作。
图3-43 链路信息
单击<确定>,完成操作。
创建链路link- chinatel与link-cnc步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”,编辑链路组lg-chinatel,单击<添加>,新建成员列表,参照上图步骤新建链路link-chinatel,配置下一跳IP地址为203.0.24.2,引用健康检测模板icmp-chinatel。
在导航栏中选择“对象 > 应用安全 > 应用识别 > 应用组”,单击<新建> 按钮,进行如下配置:
图3-44 创建应用组,选择ftp应用
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略 ”,在全局配置中勾选“负载均衡服务”。
图3-45 开启负载均衡功能
单击<应用>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 流量特征 ”,单击<新建> 按钮,新建流量特征名称为lc-cnc,匹配方式为匹配任意一条规则,新建匹配规则,Match ID为1,类型选择应用组,匹配内容为app-group-ftp,如下图所示。
图3-46 新建流量特征lc-cnc
单击<确定>,完成操作。
图3-47 流量特征信息
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略 ”,单击<新建> 按钮, 新建IPv4选路策略,流量特征选择lc-cnc,转发动作选择负载均衡,主用链路组选择lg-cnc,选择链路失败的处理方式选择继续匹配下一条规则,并配置Default动作,默认从链路组lc-chinatel发出,如下图所示。
图3-48 新建IPv4选路策略
单击<确定>,完成操作。
图3-49 设置default动作,默认流量走电信链路组lg-chinatel
单击<确定>,完成操作。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>按钮,新建地址组编号为1,地址组名称为cnc,单击<添加>按钮,新建地址组成员起始IP地址为61.156.0.100,结束IP地址为61.156.0.200,如下图所示。
图3-50 新建地址组1
单击<确定>,完成操作。
图3-51 地址组1信息
单击<确定>,完成操作。
创建地址组3与地址组1步骤相同:
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为3,地址组名称为chinatel,单击<添加>按钮,新建地址组成员起始IP地址为203.0.24.100,结束IP地址为203.0.24.200。
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择链路下一跳对应的出接口RAGG1.100,转换后源地址选择NAT地址组1,如下图所示。
图3-52 创建NAT动态转换策略1
单击<确定>,完成操作。
创建NAT动态转换策略3与NAT动态转换策略1步骤相同:
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择链路下一跳对应的出接口RAGG1.102,转换后源地址选择NAT地址组3。
(1) 客户端发起ftp流量进行测试,匹配上流量特征lc-cnc(流量特征基于应用组的ftp应用)的报文从链路组lg-cnc发出,查看链路link-cnc有流量统计信息
图3-53 客户端发起ftp流量的链路统计信息
(2) 客户端发起不是ftp的流量(这里以http流量为例)进行测试,由于没有匹配上流量特征lc-cnc 走缺省default动作 ,报文从电信链路组lg-chinatel发出,查看链路link-chinatel有流量统计信息
图3-54 客户端发起HTTP流量的链路统计
#
nqa template icmp icmp-cnc
next-hop ip 61.156.0.2
out interface Route-Aggregation1.100
#
nqa template icmp icmp-chinatel
next-hop ip 203.0.24.2
out interface Route-Aggregation1.102
#
loadbalance link-group lg-cnc
predictor hash address source
transparent enable
link link-cnc
success-criteria at-least 1
probe icmp-cnc
#
loadbalance link-group lg-chinatel
predictor hash address source
transparent enable
link link-chinatel
success-criteria at-least 1
probe icmp-chinatel
#
loadbalance link link-cnc
router ip 61.156.0.2
#
loadbalance link link-chinatel
router ip 203.0.24.2
#
app-group app-group-ftp
description "User-defined application group"
include application ftp
#
loadbalance class lc-cnc type link-generic
match 1 app-group app-group-ftp
#
loadbalance action ob$action$#for#lc-cnc type link-generic
link-group lg-cnc
fallback-action continue
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-generic
link-group lg-chinatel
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
class lc-cnc action ob$action$#for#lc-cnc
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
nat address-group 1
address 61.156.0.100 61.156.0.200
#
nat address-group 3
address 203.0.24.100 203.0.24.200
#
interface Route-Aggregation1.100
port link-mode route
description link-cnc
ip address 61.156.0.1 255.255.255.0
nat outbound address-group 1
#
interface Route-Aggregation1.102
port link-mode route
description link-chintel
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 3
#
用户租用电信联通运营商各两个公网IP以供内网员工办公使用,办公高峰期(周一至周五上午8点到12点,下午14点到18点)内网流量优先通过联通运营商访问外网,电信运营商作为备用,低峰期(非高峰期时间)使用电信运营商中优先级高的IP访问外网,另一个IP联通运营商IP作为备用。同时使用联通运营商作为默认出接口,电信作为备用。内网用户通过域名访问外网服务器,先通过DNS查询获得外网服务器的地址,DNS流量走默认链路。后续流量通过DNS应答返回的地址去访问外网服务器。基于域名的负载均衡,通过DNS查询的结果建立域名和地址的对应关系,引导后续访问特定域名的流量走特定的链路。
图3-55 基于域名的负载分担组网图
为了实现基于域名、时间段的负载分担,需要完成如下配置:
· 在link-generic类型的流量特征下增加匹配规则,匹配目的域名和时间段,匹配方式为匹配所有规则。
· 配置源地址转换,保护内网IP。
· 为每条链路配置一个ICMP类型的健康检测模板,配置健康检测模板下一跳地址为链路的下一跳IP地址,指定出接口,并在链路下引用该健康检测模板。
· 在LB设备上配置类型为link-generic的策略,策略要配置Default动作,目的为首次通过的报文不会匹配基于域名的流量特征,会从默认链路通过,另外也可以保证没有匹配上域名的报文能够正常进行负载分担不至于丢弃。
本举例是在M9000-AD6的Ess 9060P16版本上进行配置和验证的。
· 支持通过配置手动删除DNS Cache表项。
· 基于域名生效,要求DNS的请求和响应报文必须要经过LB设备,并在LB设备上生成DNS缓存信息。
· 匹配出链路的业务流量没有源地址转换的需求场景下,需要将M9K-AD6设备引流方式调整为默认引流。
配置默认引流相关命令如下:
[Sysname] Loadbalance flow-redirect failover-group
[Sysname] interface Blade-Aggregation1
[Sysname-Blade-Aggregation1] undo link-aggregation load-sharing mode destination-ip
[Sysname] interface Blade-Aggregation257
[Sysname-Blade-Aggregation257] undo link-aggregation load-sharing mode source-ip
在导航栏中选择“对象 > 健康检测”,单击<新建>按钮,进行如下配置:
图3-56 配置icmp类型健康检测icmp-cnc-1
单击<确定>,完成操作。
图3-57 配置icmp类型健康检测icmp-cnc-2
单击<确定>,完成操作。
图3-58 配置icmp类型健康检测icmp-chinatel-master
单击<确定>,完成操作。
图3-59 配置icmp类型健康检测icmp-chinatel-backup
单击<确定>,完成操作。
图3-60 配置icmp类型健康检测icmp-chinatel-backup
点击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡> 链路组”,单击<新建>按钮,新建链路组名称为cnc,调度算法为加权轮转,如下图所示。
图3-61 新建链路组cnc
单击<确定>,完成操作。
创建链路组chinatel与cnc步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡> 链路组”,单单击<新建>按钮,新建链路组名称为chinatel,调度算法为加权轮转。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”,进入链路组页面。
编辑链路组cnc,单击<添加>,新建成员列表,新建链路link-cnc-1,配置下一跳IP地址为61.156.0.2,引用健康检测模板icmp-cnc-1,如下图所示。
图3-62 添加链路组成员
图3-63 新建链路link-cnc-1
单击<确定>,完成操作。
继续单击<添加>,添加成员列表,新建成员列表,新建链路link-cnc-2,配置下一跳IP地址为180.223.0.2,引用健康检测模板icmp-cnc-2,如下图所示。
图3-64 新建链路link-cnc-2
单击<确定>,完成操作。
图3-65 链路信息
单击<确定>,完成操作。
创建链路link-chinatel-master、link-chinatel-backup与link-cnc-1、link-cnc-2步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡> 链路组”,单进入链路组页面。编辑链路组chinatel,单击<添加>,新建成员列表,新建链路link-chinatel-master,配置下一跳IP地址为1.1.0.2,引用健康检测模板icmp-chinatel-master。继续单击<添加>,新建成员列表,新建链路link-chinatel-backup,配置下一跳IP地址为203.0.24.2,引用健康检测模板icmp-chinatel-backup。
在导航栏中选择“对象 > 对象组 > 时间段”,进入时间段页面。
单击<新建>,新建时间段高峰期rush hour与低峰期low peak period,配置如下:
图3-66 新建时间段高峰期rush hour
单击<确定>,完成操作。
图3-67 新建时间段低峰期low peak period
单击<确定>,完成操作。
时间段配置情况如下:
图3-68 查看时间段配置
在导航栏中选择“对象 > ACL > IPv4”,进入IPv4 ACL页面,点击<新建>,配置高级ACL 3001匹配时间段高峰期rush hour、配置高级ACL 3002匹配时间段高低峰期low peak period,配置如下:
图3-69 创建ACL 3001
单击<确定>,继续添加规则,
图3-70 配置ACL 3001
单击<确定>,完成操作。
图3-71 创建ACL 3002
单击<确定>,继续添加规则,
图3-72 配置ACL 3002
单击<确定>,完成操作。
在导航栏中选择“负载均衡 > 链路负载 > 出链路负载均衡 > IPv4选路策略”,在全局配置中勾选“负载均衡服务”。
图3-73 开启负载均衡功能
单击<应用>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 流量特征”,单击<新建> 按钮,新建流量特征名称为domain-baidu-low peak period,匹配方式为匹配所有规则,新建匹配规则1,Match ID为1,类型选择IPv4 ACL,匹配内容为3002,新建匹配规则2,Match ID为2,类型选择目的域名,匹配内容为www.baidu.com,如下图所示。
图3-74 创建流量特征domain-baidu-low peak period
单击<确定>,完成操作。
图3-75 流量特征信息
单击<确定>,完成操作。
创建流量特征domain-baidu-rush hour、domain-qq.com-low peak period、domain-qq.com-rush hour与domain-baidu-low peak period步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 流量特征”,,单击<新建> 按钮,新建流量特征名称为domain-baidu-rush hour,匹配方式为匹配所有规则,新建匹配规则1,Match ID为1,类型选择IPv4 ACL,匹配内容为3001,新建匹配规则2,Match ID为2,类型选择目的域名,匹配内容为www.baidu.com。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 流量特征”,单击<新建> 按钮,新建流量特征名称为domain-qq.com-low peak period,匹配方式为匹配所有规则,新建匹配规则1,Match ID为1,类型选择IPv4 ACL,匹配内容为3002,新建匹配规则2,Match ID为2,类型选择目的域名,匹配内容为mail.qq.com。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 流量特征”,单击<新建> 按钮,新建流量特征名称为domain-qq.com-rush hour,匹配方式为匹配所有规则,新建匹配规则1,Match ID为1,类型选择IPv4 ACL,匹配内容为3001,新建匹配规则2,Match ID为2,类型选择目的域名,匹配内容为mail.qq.com。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略”,单击<新建> 按钮, 新建IPv4选路策略1,流量特征选择domain-baidu-low peak period,转发动作选择负载均衡,主用链路组选择chinatel,备用链路组选择cnc,选择链路失败的处理方式选择继续匹配下一条规则,如下图所示。
图3-76 配置IPv4选路策略-1
单击<确定>,完成操作。
创建其他IPv4选路策略与上图步骤相同。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略”,单击<新建> 按钮,
新建IPv4选路策略1,流量特征选择domain-baidu.com-rush hour,转发动作选择负载均衡,主用链路组选择cnc,备用链路组选择chinatel,选择链路失败的处理方式选择继续匹配下一条规则。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略”,单击<新建> 按钮,新建IPv4选路策略2,流量特征选择domain-qq.com-low peak period,转发动作选择负载均衡,主用链路组选择chinatel,备用链路组选择cnc,选择链路失败的处理方式选择继续匹配下一条规则。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略”,单击<新建> 按钮, 新建IPv4选路策略3,流量特征选择、domain-qq.com-rush hour,转发动作选择负载均衡,主用链路组选择cnc,备用链路组选择chinatel,选择链路失败的处理方式选择继续匹配下一条规则。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略”,配置缺省Default流量特征,转发动作选择负载均衡,主用链路组选择cnc,备用链路组选择chinatel,使匹配不上流量特征的流量走链路组cnc,chinatel作为备用。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>按钮,新建地址组编号为1,地址组名称为cnc-1,单击<添加>按钮,新建地址组成员起始IP地址为61.156.0.100,结束IP地址为61.156.0.200,如下图所示。
图3-77 配置地址组1
单击<确定>,完成操作。
图3-78 地址组1信息
单击<确定>,完成操作。
创建地址组2、地址组3、地址组4与地址组1步骤相同:
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为2,地址组名称为cnc-2,单击<添加>按钮,新建地址组成员起始IP地址为180.223.0.100,结束IP地址为180.223.0.200。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为4,地址组名称为chinatel-master,单击<添加>按钮,新建地址组成员起始IP地址为1.1.0.100,结束IP地址为1.1.0.200。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为3,地址组名称为chinatel-backup,单击<添加>按钮,新建地址组成员起始IP地址为203.0.4.100,结束IP地址为203.0.4.200。
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择链路下一跳对应的出接口RAGG1.100,转换后源地址选择NAT地址组1,如下图所示。
图3-79 创建NAT动态转换策略1
单击<确定>,完成操作。
创建NAT动态转换策略2、NAT动态转换策略3与NAT动态转换策略1步骤相同:
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择链路下一跳对应的出接口RAGG1.101,转换后源地址选择NAT地址组2。
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择链路下一跳对应的出接口RAGG1.102,转换后源地址选择NAT地址组3。
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择链路下一跳对应的出接口RAGG1.103,转换后源地址选择NAT地址组4。
客户端分别发起访问www.baidu.com和mail.qq.com的HTTP报文,设置DNS服务器地址为8.8.8.8。
[Sysname]display loadbalance dns-cache
Chassis 1 Slot 2 CPU 1:
Domain name www.baidu.com
VPN instance --
Aging time 60 min
IPv4 addresses 62.180.0.10
62.180.0.11
62.180.0.12
62.180.0.21
62.180.0.22
62.180.0.31
62.180.0.32
62.180.0.41
62.180.0.42
62.180.0.51
62.180.0.52
62.180.0.61
62.180.0.62
Domain name mail.qq.com
VPN instance --
Aging time 32 min
IPv4 addresses 2.4.1.10
2.4.1.11
2.4.1.21
2.4.1.31
2.4.1.41
2.4.1.61
2.4.1.71
2.4.1.81
2.4.1.91
Chassis 1 Slot 2 CPU 2:
Domain name www.baidu.com
VPN instance --
Aging time 60 min
IPv4 addresses 62.180.0.10
62.180.0.11
62.180.0.12
62.180.0.21
62.180.0.22
62.180.0.31
62.180.0.32
62.180.0.41
62.180.0.42
62.180.0.51
62.180.0.52
62.180.0.61
62.180.0.62
Domain name mail.qq.com
VPN instance --
Aging time 32 min
IPv4 addresses 2.4.1.10
2.4.1.11
2.4.1.21
2.4.1.31
2.4.1.41
2.4.1.61
2.4.1.71
2.4.1.81
2.4.1.91
图3-80 高峰时间段链路统计信息
图3-81 低峰时间段链路统计信息
#
nqa template icmp icmp-cnc
next-hop ip 61.156.0.2
out interface Route-Aggregation1.100
#
nqa template icmp icmp-cmcc
next-hop ip 180.223.0.2
out interface Route-Aggregation1.101
#
nqa template icmp icmp-chinatel
next-hop ip 1.1.0.2
out interface Route-Aggregation1.102
#
nqa template icmp icmp-chinatel
next-hop ip 203.0.24.2
out interface Route-Aggregation1.103
#
loadbalance link-group cnc
transparent enable
success-criteria at-least 1
link link-cnc-1
success-criteria at-least 1
probe icmp-cnc-1
link link-cnc-2
success-criteria at-least 1
probe icmp-cnc-2
#
loadbalance link-group chinatel
transparent enable
success-criteria at-least 1
link link-chinatel-backup
success-criteria at-least 1
probe icmp-chinatel-backup
link link-chinatel-master
success-criteria at-least 1
probe icmp-chinatel-master
#
loadbalance link link-cnc-1
router ip 61.156.0.2
#
loadbalance link link-cnc-2
router ip 180.223.0.2
#
loadbalance link link-chinatel-master
router ip 1.1.0.2
#
loadbalance link link-chinatel-backup
router ip 203.0.24.2
#
time-range "low peak period" 00:00 to 07:59 working-day
time-range "low peak period" 12:01 to 13:59 working-day
time-range "low peak period" 18:01 to 24:00 working-day
time-range "low peak period" 00:00 to 24:00 off-day
time-range "rush hour" 08:00 to 12:00 working-day
time-range "rush hour" 14:00 to 18:00 working-day
#
acl advanced 3001
rule 0 permit ip time-range "rush hour"
#
acl advanced 3002
rule 0 permit ip time-range "low peak period"
#
loadbalance class "domain-baidu.com-low peak period" type link-generic
match 1 acl 3002
match 2 destination domain-name www.baidu.com
#
loadbalance class "domain-baidu.com-rush hour" type link-generic
match 1 acl 3001
match 2 destination domain-name www.baidu.com
#
loadbalance class "domain-qq.com-low peak period" type link-generic
match 1 acl 3002
match 2 destination domain-name mail.qq.com
#
loadbalance class "domain-qq.com-rush hour" type link-generic
match 1 acl 3001
match 2 destination domain-name mail.qq.com
#
loadbalance action "ob$action$# for# domain-baidu.com-low peak period" type link-generic
link-group chinatel backup cnc
fallback-action continue
#
loadbalance action "ob$action$# for# domain-baidu.com-rush hour" type link-generic
link-group cnc backup chinatel
fallback-action continue
#
loadbalance action "ob$action$# for# domain-qq.com-low peak period" type link-generic
link-group chinatel backup cnc
fallback-action continue
#
loadbalance action "ob$action$# for# domain-qq.com-rush hour" type link-generic
link-group cnc backup chinatel
fallback-action continue
#
loadbalance policy # #defaultpolicyforllbipv4# #%%autocreatedbyweb%% type link-generic
class "domain-baidu.com-rush hour" action "ob$action$# for# domain-baidu.com-rush
hour"
class "domain-qq.com-rush hour" action "ob$action$# for# domain-qq.com-rush hour"
class "domain-baidu.com-low peak period" action "ob$action$# for# domain-baidu.co
m-low peak period"
class "domain-qq.com-low peak period" action "ob$action$# for# domain-qq.com-low
peak period"
default-class action # #defaultactionforllbipv4# #%%autocreatedbyweb%%
#
virtual-server # #defaultvsforllbipv4# #%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy # #defaultpolicyforllbipv4# #%%autocreatedbyweb%%
service enable
#
nat address-group 1 name cnc-1
address 61.0.156.100 61.0.156.200
#
nat address-group 2 name cnc-2
address 180.223.0.100 180.223.0.200
#
nat address-group 3 name chinatel-master
address 1.1.0.100 1.1.0.200
#
nat address-group 4 name chinatel-backup
address 203.0.24.100 203.0.24.200
#
interface interface Route-Aggregation1.100
port link-mode route
ip address 61.0.156.1 255.255.255.0
nat outbound address-group 1
#
interface interface Route-Aggregation1.101
port link-mode route
ip address 180.223.0.1 255.255.255.0
nat outbound address-group 2
#
interface interface Route-Aggregation1.102
port link-mode route
ip address 1.1.0.1 255.255.255.0
nat outbound address-group 3
#
interface interface Route-Aggregation1.103
port link-mode route
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 4
#
如图所示,用户租用电信联通运营商各两个公网IP以供内网用户使用,其中电信运营商两条链路成本值不同、权重相同。内网用户通过LB设访问备外网http服务器,开启就近性功能选出到达目的地的最优链路,从而引导后续流量。就是当流量经过负载均衡模块时,如果没有与目的地址相关的就近性信息,则根据调度算法,为该流量选择一条链路,以保证业务的可用性,然后启动就近性探测来生成就近性表项,以引导后续流量。
图3-82 链路负载均衡就近性组网图
为了实现就近性的应用,需要完成如下配置:
· 就近性参数需配置对应的ICMP类型的健康检测模板。
· 在LB设备上的链路组中开启就近性功能。
· 配置源地址转换,保护内网IP。
· 为每条链路配置一个ICMP类型的健康检测模板,配置健康检测模板下一跳地址为链路的下一跳IP地址,指定出接口,并在链路下引用该健康检测模板。
本举例是在M9000-AD6的Ess 9060P16版本上进行配置和验证的。
· 就近性中必须引用健康检测,目前就近性支持的探测类型为ICMP。
· 就近性探测对同一个目的地址向所有的物理链路发起探测,结果形成一条按优先级排列的链,匹配时遍历就近性链,找最优的属于该链路组的对应链路。
· 已有的就近性表项,在未老化前周期性进行探测。
· 探测目的地址为最初的探测地址,通过就近性算法获取当前的最优链路,并更新对应的动态就近性表项中挂接链路链表优先级双向链表的顺序,这样保证就近性表项中挂接的链路优先级双向链表一直是按照各个链路优先级顺序排列的,就近性探测的周期由用户配置决定。
· 就近性优先级链中的最优的不一定就是最终选择的,还要看当前链路的状态,还有这个链路是否在待选的链路组内。
· 动态链路负载均衡最重要的一点,即可以比较当前使用哪条链路到达目的地址是最近的,或者说时延最小,称此为就近性探测。
· 在链路组视图下创建链路,无法直接配置链路的就近性成本,需要在导航栏“策略 > 负载均衡 > 公共配置 > 链路”中,编辑链路,才能配置其就近性链路成本。
· 匹配出链路的业务流量没有源地址转换的需求场景下,需要将M9K-AD6设备引流方式调整为默认引流。
配置默认引流相关命令如下:
[Sysname]Loadbalance flow-redirect failover-group
[Sysname]interface Blade-Aggregation1
[Sysname-Blade-Aggregation1]undo link-aggregation load-sharing mode destination-ip
[Sysname]interface Blade-Aggregation257
[Sysname-Blade-Aggregation257]undo link-aggregation load-sharing mode source-ip
在导航栏中选择“对象 >健康检测”,单击<新建>按钮,进行如下配置:
图3-83 配置icmp类型健康检测icmp-cnc-1
单击<确定>,完成操作。
图3-84 配置icmp类型健康检测icmp-cnc-2
单击<确定>,完成操作。
图3-85 配置icmp类型健康检测icmp-chinatel-master
单击<确定>,完成操作。
图3-86 配置icmp类型健康检测icmp-chinatel-backup
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 就近性 > 就近行参数”,单击<新建>,如下图所示。
图3-87 配置就近性参数
单击<新建默认探测模板>,配置ICMP类型的就近性探测模板icmp,
图3-88 配置就近性探测模板
单击<确定>,就近性探测参数配置如下:
图3-89 就近性参数配置
单击<确定>,完成操作。
在导航栏中选择 “策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡> 链路组”,单击<新建>按钮,新建链路组名称为cnc,开启动态就近性,调度算法选择加权轮转,如下图所示。
图3-90 新建链路组cnc
单击<确定>,完成操作。
创建链路组chinatel与cnc步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡> 链路组”,单击<新建>按钮,新建链路组名称为chinatel,开启动态就近性,调度算法选择加权轮转。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”,进入链路组页面。
编辑链路组cnc,单击<添加>,新建成员列表,新建链路link-cnc-1,配置下一跳IP地址为61.156.0.2,引用健康检测模板icmp-cnc-1,如下图所示。
图3-91 添加链路组成员
图3-92 新建链路link-cnc-1
单击<确定>,完成操作。
继续单击<添加>,添加成员列表,新建成员列表,新建链路link-cnc-2,配置下一跳IP地址为180.223.0.2,引用健康检测模板icmp-cnc-2,如下图所示。
图3-93 新建链路link-cnc-2
单击<确定>,完成操作。
图3-94 链路信息
单击<确定>,完成操作。
创建链路link-chinatel-master、link-chinatel-backup与link-cnc-1、link-cnc-2步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”,进入链路组页面。编辑链路组chinatel,单击<添加>,新建成员列表,新建链路link-chinatel-master,配置下一跳IP地址为1.1.0.2,引用健康检测模板icmp-chinatel-master。继续单击<添加>,新建成员列表,新建链路link-chinatel-backup,配置下一跳IP地址为203.0.24.2,引用健康检测模板icmp-chinatel-backup。
在导航栏中选择“策略 > 负载均衡 > 全局配置 > 链路”,单击编辑链路link-chinatel-master,配置其就近性链路成本为10,如下图所示。
图3-95 配置链路link-chinatal-master的就近性成本
单击<确定>,完成操作。
单击编辑链路link-chinatel-backup,配置其就近性链路成本为100,如下图所示
图3-96 配置链路link-chinatal-backup的就近性成本
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 >出链路负载均衡 > IPv4选路策略”,在全局配置中勾选“负载均衡服务”。
图3-97 开启负载均衡功能
单击<应用>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 流量特征”,单击<新建> 按钮,新建流量特征名称为dip-1,匹配方式为匹配任意一条规则,新建匹配规则1,Match ID为1,类型选择目的IPv4,匹配内容为183.232.98.190/32,如下图所示。
图3-98 新建流量特征dip-1
单击<确定>,完成操作。
图3-99 流量特征信息
创建流量特征dip-2与dip-1步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 流量特征”,单击<新建> 按钮,新建流量特征名称为dip-2,匹配方式为匹配任意一条规则,新建匹配规则1,Match ID为1,类型选择目的IPv4,匹配内容为61.135.169.125/32。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略”,单击<新建> 按钮,
新建IPv4选路策略1,流量特征选择dip-1,转发动作选择负载均衡,主用链路组选择cnc,选择链路失败的处理方式选择继续匹配下一条规则,如下图所示。
图3-100 配置IPv4选路策略-1
单击<确定>,完成操作。
创建其他选路策略与上图步骤相同。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略”,单击<新建> 按钮, 新建IPv4选路策略2,流量特征选择dip-2,转发动作选择负载均衡,主用链路组选择chinatel,选择链路失败的处理方式选择继续匹配下一条规则。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略”,配置缺省Default流量特征,转发动作选择转发。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>按钮,新建地址组编号为1,地址组名称为cnc-1,单击<添加>按钮,新建地址组成员起始IP地址为61.156.0.100,结束IP地址为61.156.0.200,如下图所示。
图3-101 配置地址组1
单击<确定>,完成操作。
图3-102 地址组1信息
单击<确定>,完成操作。
创建地址组2、地址组3、地址组4与地址组1步骤相同:
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为2,地址组名称为cnc-2,单击<添加>按钮,新建地址组成员起始IP地址为180.223.0.100,结束IP地址为180.223.0.200。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为4,地址组名称为chinatel-master,单击<添加>按钮,新建地址组成员起始IP地址为1.1.0.100,结束IP地址为1.1.0.200。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为3,地址组名称为chinatel-backup,单击<添加>按钮,新建地址组成员起始IP地址为203.0.4.100,结束IP地址为203.0.4.200。
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择链路下一跳对应的出接口RAGG1.100,转换后源地址选择NAT地址组1,如下图所示。
图3-103 创建NAT动态转换策略1
单击<确定>,完成操作。
创建NAT动态转换策略2、NAT动态转换策略3与NAT动态转换策略1步骤相同:
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,101,转换后源地址选择NAT地址组2。
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择链路下一跳对应的出接口RAGG1.102,转换后源地址选择NAT地址组3。
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择链路下一跳对应的出接口RAGG1.103,转换后源地址选择NAT地址组4。
在导航栏中选择“策略 > 负载均衡 > 全局配置 > 就近性 >就近性表项”,查看就近性表项有到达该目的地址的最佳链路link-cnc-1,如下图所示。
图3-104 查看就近性表项
在导航栏中选择“监控 > 统计 > 出链路负载均衡 > 链路统计”,查看链路统计信息,链路link-cnc-1有流量统计,如下图所示。
图3-105 查看链路统计
再次查看就近性表项与链路统计,link-cnc-2有流量统计,如下图所示:
图3-106 查看就近性表项
图3-107 查看链路统计
在导航栏中选择“策略 > 负载均衡 > 全局配置 > 就近性 >就近性表项”,link-chinatel-master链路的就近性成本较低,查看就近性表项有到达该目的地址的最佳链路link-chinatel-master,如下图所示。
图3-108 查看就近性表项
在导航栏中选择“监控 > 统计 > 出链路负载均衡 > 链路统计”,查看链路统计信息,链路link-chinatel-master有流量统计,如下图所示。
图3-109 查看链路统计
再次查看就近性表项与链路统计,link-chinatel-backup有流量统计,如下图所示:
图3-110 查看就近性表项
图3-111 查看链路统计
#
nqa template icmp icmp-cnc
next-hop ip 61.156.0.2
out interface Route-Aggregation1.100
#
nqa template icmp icmp-cmcc
next-hop ip 180.223.0.2
out interface Route-Aggregation1.101
#
nqa template icmp icmp-chinatel
next-hop ip 1.1.0.2
out interface Route-Aggregation1.102
#
nqa template icmp icmp-chinatel
next-hop ip 203.0.24.2
out interface Route-Aggregation1.103
#
loadbalance link-group cnc
proximity enable
transparent enable
success-criteria at-least 1
link link-cnc-1
success-criteria at-least 1
probe icmp-cnc-1
link link-cnc-2
success-criteria at-least 1
probe icmp-cnc-2
#
loadbalance link-group chinatel
proximity enable
transparent enable
success-criteria at-least 1
link link-chinatel-backup
success-criteria at-least 1
probe icmp-chinatel-backup
link link-chinatel-master
success-criteria at-least 1
probe icmp-chinatel-master
#
loadbalance link link-cnc-1
router ip 61.156.0.2
#
loadbalance link link-cnc-2
router ip 180.223.0.2
#
loadbalance link link-chinatel-master
router ip 1.1.0.2
cost 10
#
loadbalance link link-chinatel-backup
router ip 203.0.24.2
cost 100
#
loadbalance class dip-1 type link-generic match-any
match 1 destination ip address 183.232.98.190
#
loadbalance class dip-2 type link-generic match-any
match 1 destination ip address 61.135.169.125
#
loadbalance action ob$action$#for#dip-1 type link-generic
link-group cnc
#
loadbalance action ob$action$#for#dip-2 type link-generic
link-group chinatel
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
class dip-1 action ob$action$#for#dip-1
class dip-2 action ob$action$#for#dip-2
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth interface statistics enable
#
nat address-group 1 name cnc-1
address 61.0.156.100 61.0.156.200
#
nat address-group 2 name cnc-2
address 180.223.0.100 180.223.0.200
#
nat address-group 3 name chinatel-master
address 1.1.0.100 1.1.0.200
#
nat address-group 4 name chinatel-backup
address 203.0.24.100 203.0.24.200
#
interface Route-Aggregation1.100
port link-mode route
ip address 61.0.156.1 255.255.255.0
nat outbound address-group 1
#
interface Route-Aggregation1.101
port link-mode route
ip address 180.223.0.1 255.255.255.0
nat outbound address-group 2
#
interface Route-Aggregation1.102
port link-mode route
ip address 1.1.0.1 255.255.255.0
nat outbound address-group 3
#
interface Route-Aggregation1.103
port link-mode route
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 4
#
如图所示,用户分别从三个运营商联通isp_cnc、移动isp_cmcc和电信isp_chinatel处租用了链路link-cnc、link-cmcc和link-chinatel,分别属于链路组lg-cnc、lg-chinatel和lg-cmcc。链路link-cnc、link-chinatel带宽均为100000Kbps 。内网用户通过LB设备访问外网http服务器。使用户出方向的流量基于ISP在三条链路上负载分担流量,目的地址匹配ISP为cnc的走链路link-cnc,目地址匹配ISP为chinatel的走链路link-chinatel,匹配不上流量特征的流量走链路link-cmcc,链路link-cnc与link-chinatel上配置带宽繁忙保护,当一个链路组的链路出接口流量达到设定的繁忙比例时,LB设备将新建流量分发给另外一个链路组。带宽繁忙保护功能就是对链路的带宽繁忙比进行限制。当流量超过某条链路的带宽繁忙比后,新建流量(非匹配持续性的流量)将不再向该链路分发,而原有流量则仍由该链路继续分发。
图3-112 链路负载均衡带宽繁忙保护组网图
· 不同链路组的链路需要配置各自的带宽、带宽繁忙比与恢复比,设备根据接口带宽计算出这条链路是否达到了链路的最大带宽繁忙比。
· LB设备需要开启带宽繁忙保护功能。
· 为每条链路配置一个ICMP类型的健康检测模板,配置健康检测模板下一跳地址为链路的下一跳IP地址,指定出接口,并在链路下引用该健康检测模板。
· 在LB上配置选路策略,目的地址匹配ISP为cnc和chinatel的报文分别从链路link-cnc和链路link-chinatel发出,配置Default类型的报文从链路link-cmcc发出。
· 对于目的地址匹配ISP为cnc的流量,当链路组lg-cnc处于繁忙状态,流量切换到链路组lg-cmcc,当链路组lg-cnc从繁忙状态恢复时,重新参与流量调度。
· 对于目的地址匹配ISP为chinatel的流量,当链路组lg-chinatel处于繁忙状态,流量切换到链路组lg-cmcc,当链路组lg-chinatel从繁忙状态恢复时,重新参与流量调度。
本举例是在M9000-AD6的Ess 9060P16版本上进行配置和验证的。
· 配置Default选路策略,当匹配流量特征的流量选择的链路组繁忙以及无法匹配流量特征的流量走Default选路策略的链路组。
· 在链路组视图下创建链路,无法直接配置链路的带宽繁忙参数,需要在导航栏“策略 > 公共配置 > 链路”中,编辑链路,才能配置其带宽繁忙参数。
· 当一个链路组中所有的链路均处于繁忙状态时,该链路组繁忙。
· 匹配出链路的业务流量没有源地址转换的需求场景下,需要将M9K-AD6设备引流方式调整为默认引流。
配置默认引流相关命令如下:
[Sysname] Loadbalance flow-redirect failover-group
[Sysname] interface Blade-Aggregation1
[Sysname-Blade-Aggregation1] undo link-aggregation load-sharing mode destination-ip
[Sysname] interface Blade-Aggregation257
[Sysname-Blade-Aggregation257] undo link-aggregation load-sharing mode source-ip
· 以下配置均在LB设备上进行。
· 如果使用物理子接口作为链路出接口,请在物理口下开启子接口统计功能
在导航栏中选择“策略 > 负载均衡 > 公共配置 > ISP”,先点<选择>按钮,选择ISP文件,然后单击<导入>按钮,导入ISP文件。
图3-113 导入ISP文件
在导航栏中选择“对象 >健康检测”,单击<新建>按钮,进行如下配置:
图3-114 新建ICMP类型的健康检测模板icmp-cnc
单击<确定>,完成操作。
图3-115 新建ICMP类型的健康检测模板icmp-cmcc
单击<确定>,完成操作。
图3-116 新建ICMP类型的健康检测模板icmp-chinatel
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡> 链路组”,单击<新建>按钮,新建链路组名称为lg-cnc,调度算法为源IP地址哈希,如下图所示。
图3-117 新建链路组lg-cnc
单击<确定>,完成操作。
创建链路组lg-cmcc、lg-chinatel与lg-cnc步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡> 链路组”,单击<新建>按钮,新建链路组名称为lg-cmcc,调度算法为源IP地址哈希。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡> 链路组”,单击<新建>按钮,新建链路组名称为lg-chinatel,调度算法为源IP地址哈希。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”,进入链路组页面。
编辑链路组lg-cnc,单击<添加>,新建成员列表,新建链路link-cnc,配置下一跳IP地址为61.156.0.2,引用健康检测模板icmp-cnc,如下图所示。
图3-118 添加链路组成员
图3-119 新建链路
单击<确定>,完成操作。
图3-120 链路信息
单击<确定>,完成操作。
创建链路link-cmcc、link- chinatel与link-cnc步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡> 链路组”,编辑链路组lg-cmcc,单击<添加>,新建成员列表,参照上图步骤新建链路link-cmcc,配置下一跳IP地址为211.98.0.2,引用健康检测模板icmp-cmcc。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡> 链路组”,编辑链路组lg-chinatel,单击<添加>,新建成员列表,参照上图步骤新建链路link-chinatel,配置下一跳IP地址为203.0.24.2,引用健康检测模板icmp-chinatel。
在导航栏中选择“策略 > 负载均衡 > > 全局配置 > 链路”,编辑链路link-cnc,最大带宽繁忙比为20%,最大带宽繁忙恢复比为10%,并配置其最大总期望带宽为100000Kbps,如下图所示。
图3-121 编辑链路link-cnc
点击<确定>,完成操作。
选择编辑链路link-chinatel与link-cnc步骤相同:
在导航栏中选择“策略 > 负载均衡 > > 全局配置 > 链路”,编辑链路link-chinatel,最大带宽繁忙比默认为20%,最大带宽繁忙恢复比默认为10%,配置其最大总期望带宽为100000Kbps 。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 >出链路负载均衡 > IPv4选路策略”,在全局配置中勾选“负载均衡服务”和“带宽繁忙保护”。
图3-122 开启负载均衡功能
单击<应用>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 流量特征”,单击<新建> 按钮,新建流量特征名称为lc-cnc,匹配方式为匹配任意一条规则,新建匹配规则,Match ID为1,类型选择ISP,匹配内容为cnc,如下图所示。
图3-123 新建流量特征
单击<确定>,完成操作。
图3-124 流量特征信息
单击<确定>,完成操作。
创建流量特征lc-chinatel与lc-cnc步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 流量特征”,单击<新建> 按钮,新建流量特征名称为lc-chinatel,匹配方式为匹配任意一条规则,新建匹配规则,match ID为1,类型选择ISP,匹配内容为chinatel。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略”,单击<新建> 按钮,
新建IPv4选路策略1,流量特征选择lc-cnc,转发动作选择负载均衡,主用链路组选择lg-cnc,选择链路失败的处理方式选择继续匹配下一条规则,选择链路全部繁忙的处理方式选择继续匹配下一条规则,如下图所示。
图3-125 配置IPv4选路策略1
单击<确定>,完成操作。
创建其他IPv4选路策略与上图步骤相同。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略”,单击<新建> 按钮,新建IPv4选路策略2,流量特征选择lc-chinatel,转发动作选择负载均衡,主用链路组选择lg-chinatel,选择链路失败的处理方式选择继续匹配下一条规则,选择链路全部繁忙的处理方式选择继续匹配下一条规则。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略”,配置缺省Default流量特征,转发动作选择负载均衡,主用链路组选择lg-cmcc,使匹配不上流量特征的报文从链路组lg-cnc发出。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>按钮,新建地址组编号为1,地址组名称为cnc,单击<添加>按钮,新建地址组成员起始IP地址为61.156.0.100,结束IP地址为61.156.0.200,如下图所示。
图3-126 配置地址组1
单击<确定>,完成操作。
图3-127 地址组1信息
单击<确定>,完成操作。
创建地址组2、地址组3与地址组1步骤相同:
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为2,地址组名称为cmcc,单击<添加>按钮,新建地址组成员起始IP地址为211.98.0.100,结束IP地址为211.98.0.200。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为3,地址组名称为chinatel,单击<添加>按钮,新建地址组成员起始IP地址为203.0.24.100,结束IP地址为203.0.24.200。
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择链路下一跳对应的出接口RAGG1.100,转换后源地址选择NAT地址组1,如下图所示。
图3-128 创建NAT动态转换策略1
单击<确定>,完成操作。
创建NAT动态转换策略2、NAT动态转换策略3与NAT动态转换策略1步骤相同:
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择链路下一跳对应的出接口RAGG1.101,转换后源地址选择NAT地址组2。
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择链路下一跳对应的出接口RAGG1.102,转换后源地址选择NAT地址组3。
图3-129 链路组lg-cnc的流量统计
图3-130 链路link-cnc的流量统计
图3-131 大吞吐流量下链路组统计信息
大吞吐流量下链路统计信息
查看链路状态,link-cnc处于繁忙状态。
图3-132 查看链路状态
图3-133 链路组lg-chinatel的流量统计
图3-134 链路link-chinatel的流量统计
图3-135 大吞吐流量下链路组统计信息
图3-136 大吞吐流量下链路统计信息
查看链路状态,link-chinatel处于繁忙状态。
图3-137 查看链路状态
#
loadbalance isp file lbispinfo-v1.7.tp
#
nqa template icmp icmp-cnc
next-hop ip 61.156.0.2
out interface Route-Aggregation1.100
#
nqa template icmp icmp-cmcc
next-hop ip 211.98.0.2
out interface Route-Aggregation1.101
#
nqa template icmp icmp-chinatel
next-hop ip 203.0.24.2
out interface Route-Aggregation1.102
#
#
loadbalance link-group lg-cnc
predictor hash address source
transparent enable
success-criteria at-least 1
link link-cnc
success-criteria at-least 1
probe icmp-cnc
#
loadbalance link-group lg-chinatel
predictor hash address source
transparent enable
success-criteria at-least 1
link link-chinatel
success-criteria at-least 1
probe icmp-chinatel
#
loadbalance link-group lg-cmcc
transparent enable
link link-chinatel
success-criteria at-least 1
probe icmp-chinatel
link link-cmcc
success-criteria at-least 1
probe icmp-cmcc
link link-cnc
success-criteria at-least 1
probe icmp-cnc
#
loadbalance link link-cnc
router ip 61.156.0.2
max-bandwidth 100000 kbps
bandwidth busy-rate 20 recovery 10
#
loadbalance link link-cmcc
router ip 211.98.0.2
#
loadbalance link link-chinatel
router ip 203.0.24.2
max-bandwidth 100000 kbps
bandwidth busy-rate 20 recovery 10
#
loadbalance class lc-cnc type link-generic match-any
match 1 isp cnc
#
loadbalance class lc-chinatel type link-generic match-any
match 1 isp chinatel
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-gen
eric
link-group lg-cmcc
#
loadbalance action ob$action$#for#lc-cnc type link-generic
link-group lg-cnc
fallback-action continue
busy-action continue
#
loadbalance action ob$action$#for#lc-chinatel type link-generic
link-group lg-chinatel
fallback-action continue
busy-action continue
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-gen
eric
class lc-cnc action ob$action$#for#lc-cnc
class lc-chinatel action ob$action$#for#lc-chinatel
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
service enable
bandwidth busy-protection enable
bandwidth interface statistics enable
#
nat address-group 1
address 61.156.0.100 61.156.0.200
#
nat address-group 2
address 211.98.0.100 211.98.0.200
#
nat address-group 3
address 203.0.24.100 203.0.24.200
#
interface Route-Aggregation1.100
port link-mode route
ip address 61.156.0.1 255.255.255.0
nat outbound address-group 1
#
interface Route-Aggregation1.100
port link-mode route
ip address 211.98.0.1 255.255.255.0
nat outbound address-group 2
#
interface Route-Aggregation1.100
port link-mode route
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 3
#
如图所示,用户分别租用移动运营商两条链路link-cmcc-1和link-cmcc-2以及联通运营商一条链路link-cnc,且在LB设备的出接口配置PPPoE client相关配置,从网络中的PPPoE服务器上动态获取IP地址,以实现基于pppoe选路的负载分担。内网用户在访问外网Server 时将目的地址匹配isp为移动cmcc或者联通cnc的流量分到对应链路组lg-cmcc和lg-cnc中相应的链路上。
图3-138 基于PPPoE选路组网图
为了实现基于PPPoE选路的负载分担,需要完成如下配置:
· LB链路支持自动获取IP地址后对链路的健康检测必须指定目的地址和出接口。
· LB设备配置拨号接口Dialer 0、Dialer 1和Dialer 2,并配置工作模式等,并将拨号Dialer口绑定到链路出接口。
· PPPoE server设备上需要配置用户,且服务类型为ppp,并为该用户配置密码。
· PPPoE server设备配置ip地址池和VT口,VT口里面的ppp认证方式为pap或chap,使用ip地址池里面的地址作为远端地址,出接口需要绑定VT口。
· 配置三条链路,其中移动链路link-cmcc-1和link-cmcc-2属于移动链路组lg-cmcc,联通链路link-cnc属于联通链路组lg-cnc。
· 配置流量特征,访问网站目的地址根据isp表项进行匹配,目的地址匹配移动isp表项的在移动两条链路上进行选路,匹配联通isp表项走联通链路,都匹配不上走联通链路。
在LB设备出口应用nat地址组,出方向报文进行源地址转换,保护内网IP地址。
本举例是在M9000-AD6的Ess 9060P16版本上进行配置和验证的。
· PPPoE server设备上配置的用户的用户名和密码应和LB设备拨号接口Dailer下面配置的用户名和密码一致。
· 本例中PPPoE会话模式使用永久在线模式。
· 配置PPPoE会话之前,需要先配置一个Dialer接口,并在接口上开启共享DDR。每个PPPoE会话唯一对应一个Dialer bundle,而每个Dialer bundle又唯一对应一个Dialer接口。这样就相当于通过一个Dialer接口可以创建一个PPPoE会话。
· 导入最新ISP文件。
· 匹配出链路的业务流量没有源地址转换的需求场景下,需要将M9K-AD6设备引流方式调整为默认引流。
配置默认引流相关命令如下:
[Sysname] Loadbalance flow-redirect failover-group
[Sysname] interface Blade-Aggregation1
[Sysname-Blade-Aggregation1] undo link-aggregation load-sharing mode destination-ip
[Sysname] interface Blade-Aggregation257
[Sysname-Blade-Aggregation257] undo link-aggregation load-sharing mode source-ip
在导航栏中选择“策略 > 负载均衡 > 公共配置 > ISP”,先单击<选择>按钮,选择ISP文件,然后单击<导入>按钮,导入ISP文件。
图3-139 导入ISP文件
单击<导入>,完成操作。
在导航栏中选择“对象 >健康检测”,单击<新建>按钮,进行如下配置:
图3-140 新建ICMP类型的健康检测cmcc-1
单击<确定>,完成操作。
图3-141 新建ICMP类型的健康检测cmcc-2
单击<确定>,完成操作。
图3-142 新建ICMP类型的健康检测cnc
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡> 链路组”,单击<新建>按钮,新建链路组名称为lg-cmcc,调度算法为源IP地址哈希,如下图所示。
图3-143 新建链路组lg-cmcc
单击<确定>,完成操作。
创建链路组lg-cnc与lg-cmcc骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡> 链路组”,单击<新建>按钮,新建链路组名称为lg-cnc,调度算法为源IP地址哈希。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”进入链路组页面。
编辑链路组lg-cmcc,单击<添加>,新建成员列表,新建链路cmcc,下一跳配置选择自动获取,出接口选择Dialer0,引用健康检测模板cmcc-1,如下图所示。
图3-144 添加链路组成员
图3-145 新建链路link-cmcc-1
点击<确定>,完成操作。
继续在成员列表单击<添加>,新建成员列表,新建链路link-cmcc-2,下一跳配置选择自动获取,出接口选择Dialer1,引用健康检测模板cmcc-2,如下图所示。
图3-146 新建链路link-cmcc-2
点击<确定>,完成操作。
图3-147 链路信息
单击<确定>,完成操作。
创建链路link-cnc与link-cmcc-1、link-cmcc-2步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”进入链路组页面。编辑链路组lg-cnc,单击<添加>,新建成员列表,新建链路link-cnc,下一跳配置选择自动获取,出接口选择Dialer2,引用健康检测模板cnc。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 流量特征”,单击<新建> 按钮,新建流量特征名称为lc-cnc,匹配方式为匹配任意一条规则,新建匹配规则,Match ID为1,类型选择ISP,匹配内容为cnc,如下图所示。
图3-148 新建流量特征
单击<确定>,完成操作。
图3-149 流量特征信息
单击<确定>,完成操作。
创建流量特征lc-cmcc与lc-cnc步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 流量特征”,单击<新建> 按钮,新建流量特征名称为lc-cmcc,匹配方式为匹配任意一条规则,新建匹配规则,match ID为1,类型选择ISP,匹配内容为cmcc。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 >出链路负载均衡 > IPv4选路策略”,在全局配置中勾选“负载均衡服务”。
图3-150 开启负载均衡功能
单击<应用>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略”,单击<新建> 按钮,
新建IPv4选路策略1,流量特征选择lc-cnc,转发动作选择负载均衡,主用链路组选择lg-cnc,选择链路失败的处理方式选择继续匹配下一条规则,如下图所示。
图3-151 新建IPv4选路策略1
单击<确定>,完成操作。
创建其他IPv4选路策略与上图步骤相同。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略”,单击<新建> 按钮,新建IPv4选路策略2,流量特征选择lc-cmcc,转发动作选择负载均衡,主用链路组选择lg-cmcc,选择链路失败的处理方式选择继续匹配下一条规则。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > IPv4选路策略”,配置缺省Default流量特征,转发动作选择负载均衡,主用链路组选择lg-cnc,使匹配不上流量特征的报文从链路组lg-cnc发出。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>按钮,新建地址组编号为1,地址组名称为cnc,单击<添加>按钮,新建地址组成员起始IP地址为61.156.0.100,结束IP地址为61.156.0.200,如下图所示。
图3-152 新建地址组1
单击<确定>,完成操作。
图3-153 地址组1信息
单击<确定>,完成操作。
创建地址组2、地址组3与地址组1步骤相同:
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为2,地址组名称为cmcc-2,单击<添加>按钮,新建地址组成员起始IP地址为120.90.0.101,结束IP地址为120.90.0.200。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为3,地址组名称为cnc,单击<添加>按钮,新建地址组成员起始IP地址为60.30.0.101,结束IP地址为60.30.0.200。
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择Dia0,转换后源地址选择NAT地址组1,如下图所示。
图3-154 在接口Dia0创建NAT出方向动态转换
单击<确定>,完成操作。
创建NAT动态转换策略2、NAT动态转换策略3与NAT动态转换策略1步骤相同:
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择Dia1,转换后源地址选择NAT地址组2。
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择Dia2,转换后源地址选择NAT地址组3,如下图所示。
(1) 从PPPoE server动态获取到的IP地址
(2) 查看链路健康检测状态正常Active
(3) 查看链路组状态
(4) 查看链路状态
(5) 客户端访问目的地址为移动的http server服务器211.98.0.100,可以看到流量都分到移动链路组lg-cmcc上
移动链路组lg-cmcc有统计信息
移动链路link-cmcc-1和link-cmcc-2有统计信息
服务器端抓包,可以看到流量都分到移动的链路上:
(6) 客户端访问目的地址为联通的http server服务器113.58.0.100,可以看到流量都分到联通链路组lg-cnc上
联通链路组lg-cnc有统计信息
联通链路link-cnc有统计信息
服务器端抓包,可以看到流量都分到联通的链路上:
(1) PPPoE server1设备配置,接口IP及路由省略
#
ip pool cmcc-1 61.236.0.2 61.236.0.100
#
interface Virtual-Template1
ppp authentication-mode pap
remote address pool cmcc-1
ip address 61.236.0.1 255.254.0.0
#
interface GigabitEthernet0/2
port link-mode route
pppoe-server bind virtual-template 1
#
local-user cmcc-1 class network
password cipher $c$3$1ZIo7GlPtTv1UHwNMIzc8Dhg1GmFVaHcJA==
service-type ppp
authorization-attribute user-role network-operator
#
(2) PPPoE server2设备配置,接口IP及路由省略
#
ip pool cmcc-2 120.90.0.2 120.90.0.100
#
interface Virtual-Template2
ppp authentication-mode pap
remote address pool cmcc-2
ip address 120.90.0.1 255.254.0.0
#
interface GigabitEthernet0/3
port link-mode route
combo enable copper
pppoe-server bind virtual-template 2
#
local-user cmcc-2 class network
password cipher $c$3$Rm+edPrA3lE7DBWtbl8PApfG03zzD5D9Ow==
service-type ppp
authorization-attribute user-role network-operator
#
(3) PPPoE server3设备配置,接口IP及路由省略
#
ip pool cnc 60.30.0.2 60.30.0.100
#
interface Virtual-Template3
ppp authentication-mode pap
remote address pool cnc
ip address 60.30.0.1 255.255.0.0
#
interface GigabitEthernet1/0/4
port link-mode route
pppoe-server bind virtual-template 3
#
local-user cnc class network
password cipher $c$3$JxugKxQzmNdeU+VUnKYMXL+s8VjNhYi5FA==
service-type ppp
authorization-attribute user-role network-operator
#
(4) LB设备配置,接口IP及路由省略
#
dialer-group 1 rule ip permit
dialer-group 2 rule ip permit
dialer-group 3 rule ip permit
#
nat address-group 1 name cmcc-1
address 61.236.0.101 61.236.0.200
#
nat address-group 2 name cmcc-2
address 120.90.0.101 120.90.0.200
#
nat address-group 3 name cnc
address 60.30.0.101 60.30.0.200
#
#
nqa template icmp cmcc-1
destination ip 211.98.0.100
out interface Dialer0
#
nqa template icmp cmcc-2
destination ip 218.206.0.100
out interface Dialer1
#
nqa template icmp cnc
destination ip 113.58.0.100
out interface Dialer2
#
#
interface Reth1
ip address 192.168.1.1 255.255.255.0
member interface GigabitEthernet1/0/1 priority 255
member interface GigabitEthernet2/0/2 priority 100
#
interface Reth2
member interface GigabitEthernet1/0/3 priority 255
member interface GigabitEthernet2/0/6 priority 100
pppoe-client dial-bundle-number 0
#
interface Reth3
member interface GigabitEthernet1/0/4 priority 255
member interface GigabitEthernet2/0/7 priority 100
pppoe-client dial-bundle-number 1
#
interface Reth4
member interface GigabitEthernet1/0/5 priority 255
member interface GigabitEthernet2/0/8 priority 100
pppoe-client dial-bundle-number 2
#
interface Dialer0
mtu 1492
ppp chap password cipher $c$3$/rUoTVdCcUfL0DRYEQhOr/YbELbiNcnFJQ==
ppp chap user cmcc-1
ppp ipcp dns admit-any
ppp ipcp dns request
ppp pap local-user cmcc-1 password cipher $c$3$J8EDIZqQwH3eOS2LcW32Q5X0yRG/mlC25A==
dialer bundle enable
dialer-group 3
dialer timer idle 0
dialer timer autodial 5
ip address ppp-negotiate
tcp mss 1400
nat outbound address-group 1
#
interface Dialer1
mtu 1492
ppp chap password cipher $c$3$IoX2VokNU8+s+K0FIy/Ad0dhw8MRQrU0Bg==
ppp chap user cmcc-2
ppp ipcp dns admit-any
ppp ipcp dns request
ppp pap local-user cmcc-2 password cipher $c$3$xiNpK8gRYfScZYbI0uGomm8i+Q0og1q/bA==
dialer bundle enable
dialer-group 2
dialer timer idle 0
dialer timer autodial 5
ip address ppp-negotiate
tcp mss 1400
nat outbound address-group 2
#
interface Dialer2
mtu 1492
ppp chap password cipher $c$3$7/6RKGeYLyVZkwb+LC/NOOw24aPLnQE9vw==
ppp chap user cnc
ppp ipcp dns admit-any
ppp ipcp dns request
ppp pap local-user cnc password cipher $c$3$J5vSqazlXWRGeW1lkuCgg6JRaXOLHJKW2w==
dialer bundle enable
dialer-group 1
dialer timer idle 0
dialer timer autodial 5
ip address ppp-negotiate
tcp mss 1400
nat outbound address-group 3
#
loadbalance link-group lg-cmcc
predictor hash address source
transparent enable
success-criteria at-least 1
link link-cmcc-1
success-criteria at-least 1
link link-cmcc-2
success-criteria at-least 1
#
loadbalance link-group lg-cnc
predictor hash address source
transparent enable
success-criteria at-least 1
link link-cnc
success-criteria at-least 1
#
loadbalance class lc-cmcc type link-generic
match 1 isp cmcc
#
loadbalance class lc-cnc type link-generic
match 1 isp cnc
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-generic
link-group lg-cnc
#
loadbalance action ob$action$#for#lc-cmcc type link-generic
link-group lg-cmcc
fallback-action continue
#
loadbalance action ob$action$#for#lc-cnc type link-generic
link-group lg-cnc
fallback-action continue
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
class lc-cmcc action ob$action$#for#lc-cmcc
class lc-cnc action ob$action$#for#lc-cnc
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
bandwidth interface statistics enable
service enable
#
loadbalance isp file flash:/lbispinfo.tp
#
loadbalance link link-cmcc-1
router interface Dialer0
success-criteria at-least 1
probe cmcc-1
#
loadbalance link link-cmcc-2
router interface Dialer1
success-criteria at-least 1
probe cmcc-2
#
loadbalance link link-cnc
router interface Dialer2
success-criteria at-least 1
probe cnc
#
return
如图所示,移动cmcc和联通cnc运营商各提供一条链路以供内网用户使用,其中两条链路成本相同、权重相同。内网用户通过LB设备访问外网http服务器,就近性参数配置丢包率权重,链路组配置链路质量算法,通过链路的丢包率智能调整链路出口,选出到达目的地的最优链路,从而引导后续流量。
图3-155 根据链路的丢包率智能调整链路出口组网图
为了实现丢包率智能调整链路出口,需要完成如下配置:
· 就近性参数需配置丢包率权重。
· 在LB设备上的链路组中配置链路质量算法。
· 本例中为避免其他因素影响链路质量,就近性参数里面把路由跳数权值、网络延迟权值、成本权值、带宽权值均配置为0.
· 在链路上使用损伤仪来模拟链路丢包率。
· 为每条链路配置一个ICMP类型的健康检测模板,配置健康检测模板下一跳地址为链路的下一跳IP地址。
· 在LB设备出口应用nat地址组,出方向报文进行源地址转换,保护内网IP地址。
本举例是在M9000-AD6的Ess 9060P16版本上进行配置和验证的。
· 在同一链路组视图下,开启就近性功能(proximity enable)与配置链路质量算法互斥。当配置了其中一条命令后,另一条的配置将被自动取消。
· 丢包率计算仅适用于链路负载均衡。
· 本例中创建链路组lg,使移动链路link-cmcc和联通链路link-cnc都属于链路组lg。
· 创建IPv4选路策略为缺省default,转发动作为负载均衡,主用链路组lg。
· 匹配出链路的业务流量没有源地址转换的需求场景下,需要将M9K-AD6设备引流方式调整为默认引流。
配置默认引流相关命令如下:
[Sysname]Loadbalance flow-redirect failover-group
[Sysname]interface Blade-Aggregation1
[Sysname-Blade-Aggregation1]undo link-aggregation load-sharing mode destination-ip
[Sysname]interface Blade-Aggregation257
[Sysname-Blade-Aggregation257]undo link-aggregation load-sharing mode source-ip
在导航栏中选择“对象 >健康检测”,单击<新建>按钮,进行如下配置:
图3-156 新建icmp类型健康检测icmp-cmcc
单击<确定>,完成操作。
图3-157 新建icmp类型健康检测icmp-cnc
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡> 链路组”,单击<新建>按钮,新建链路组名称为lg-cnc,调度算法为链路质量算法,如下图所示。
图3-158 新建链路组lg
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”,进入链路组页面。
编辑链路组lg,单击<添加>,新建成员列表,新建链路link-cnc,配置下一跳IP地址为61.236.0.1,引用健康检测模板icmp-cmcc,如下图所示。
图3-159 添加链路组成员
图3-160 新建链路link-cmcc
单击<确定>,完成操作。
在成员列表单击<添加>,新建链路link-cnc,配置下一跳IPv4地址60.30.0.1,健康检测方法icmp-cnc,如下图所示。
图3-161 新建链路link-cnc
单击<确定>,完成操作。
图3-162 链路信息
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 就近性 > 就近行参数”,单击<新建>,如下图所示。
图3-163 配置就近性参数
单击<新建默认探测模板>,配置ICMP类型的就近性探测模板lb-icmp。
图3-164 配置就近性探测模板
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 就近性 > 就近行参数”,单击<新建>,选择默认探测模板lb-icmp,配置路由跳数权值、网络延迟权值、成本权值和带宽权值均为0,配置丢包率权值255,如下图所示。
图3-165 配置就近性参数
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 >出链路负载均衡 > IPv4选路策略”,在全局配置中勾选“负载均衡服务”。
图3-166 开启负载均衡功能
单击<应用>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 >出链路负载均衡 > IPv4选路策略”,单击<新建>按钮,配置Default转发动作为负载均衡,主用链路组为lg。
图3-167 新建缺省IPv4选路策略
单击<确定>,完成操作。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>按钮,新建地址组编号为1,地址组名称为cnc,单击<添加>按钮,新建地址组成员起始IP地址为61.156.0.100,结束IP地址为61.156.0.200,如下图所示。
图3-168 新建地址组1
单击<确定>,完成操作。
图3-169 地址组1信息
创建地址组2与地址组1步骤相同:
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>按钮,新建地址组编号为2,地址组名称为cnc,单击<添加>按钮,新建地址组成员起始IP地址为60.30.0.100,结束IP地址为60.30.0.200 。
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择的出接口GE1/0/5,转换后源地址选择NAT地址组1,如下图所示。
图3-170 新建NAT动态转换策略1
单击<确定>,完成操作。
在导航栏中选择“策略 > 接口NAT > IPv4 > NAT动态转换”,单击<新建>,新建NAT出方向动态转换(基于ACL),接口选择的出接口GE1/0/17,转换后源地址选择NAT地址组2。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,查看移动链路link-cmcc和联通链路link-cnc的链路状态,均显示正常。
经过默认的探测周期300秒后,在导航栏中选择“监控 > 链路负载 > 链路 > 实时统计”,查看移动链路和联通链路的链路统计信息,可以看到两条链路统计基本一致,如下图所示。
图3-171 链路统计信息
在导航栏中选择“监控 > 链路负载 > 链路 > 实时统计”,点击链路后面的详细,查看链路丢包率信息,可以看到两条链路丢包率均为0,如下图所示。
图3-172 查看移动link-cmcc链路丢包率
图3-173 查看联通link-cnc链路丢包率
查看221.130.0.0的就近性表项表项信息,可以看到移动链路link-cmcc和联通链路link-cnc动态权值一样。
dis loadbalance proximity ip 221.130.0.0
(*) - Real server object
Slot 1:
IPv4 address/Mask length: 221.130.0.0/24
Timeout: 60
Link list:
Name RTT Dynamic weight
link-cmcc 2 127
link-cnc 2 127
由于两条链路动态权值一样,设备会从两条链路里面选择一条作为最优链路,Web上面可以看到选择link-cmcc为最优链路。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,查看移动链路link-cmcc和联通链路link-cnc的链路状态,均显示正常。
经过默认的探测周期300秒后,在导航栏中选择“监控 > 链路负载 > 链路 > 实时统计”,查看移动链路和联通链路的链路统计信息,可以看到联通链路link-cnc连接数明显高于移动链路link-cmcc的连接数,如下图所示。
图3-174 链路统计信息
在导航栏中选择“监控 > 链路负载 > 链路 > 实时统计”,点击链路后面的详细,查看链路丢包率信息,可以看到移动链路link-cmcc丢包率为28%,接近于损伤仪配置的30%,丢包率统计是一个实时状态,存在一定的误差范围,联通链路link-cnc丢包率为10%,和损伤仪配置的10%一致,如下图所示。
图3-175 查看移动link-cmcc链路丢包率
图3-176 查看联通link-cnc链路丢包率
查看221.130.0.0的就近性表项信息,可以看到联通链路link-cnc动态权值高于移动链路link-cmcc动态权值。
dis loadbalance proximity ip 221.130.0.0
(*) - Real server object
Slot 1:
IPv4 address/Mask length: 221.130.0.0/24
Timeout: 60
Link list:
Name RTT Dynamic weight
link-cnc 0 140
link-cmcc 0 114
由于权值越高链路质量越好,因此选择联通链路link-cnc作为最优链路,Web上面可以看到选择联通链路link-cnc为最优链路。
#
nat address-group 1 name cmcc
address 61.236.0.101 61.236.0.200
#
nat address-group 2 name cnc
address 60.30.0.101 60.30.0.200
#
nqa template icmp icmp-cmcc
destination ip 211.98.0.2
#
nqa template icmp icmp-cnc
destination ip 113.58.0.2
#
interface GigabitEthernet1/0/5
port link-mode route
ip address 61.236.0.2 255.254.0.0
nat outbound address-group 1
#
interface Ten-GigabitEthernet1/0/17
port link-mode route
ip address 60.30.0.2 255.255.0.0
nat outbound address-group 2
#
loadbalance link-group lg
predictor link-quality
transparent enable
success-criteria at-least 1
link link-cmcc
success-criteria at-least 1
link link-cnc
success-criteria at-least 1
#
loadbalance action ##defaultactionforllbipv4##%%autocreatedbyweb%% type link-generic
link-group lg
#
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
default-class action ##defaultactionforllbipv4##%%autocreatedbyweb%%
#
virtual-server ##defaultvsforllbipv4##%%autocreatedbyweb%% type link-ip
virtual ip address 0.0.0.0 0
lb-policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%%
bandwidth interface statistics enable
service enable
#
loadbalance proximity
bandwidth inbound weight 0
bandwidth outbound weight 0
cost weight 0
rtt weight 0
ttl weight 0
packet-loss-rate weight 255
match default lb-probe lb-icmp
#
loadbalance link link-cmcc
router ip 61.236.0.1
success-criteria at-least 1
probe icmp-cmcc
#
loadbalance link link-cnc
router ip 60.30.0.1
success-criteria at-least 1
probe icmp-cnc
#
loadbalance probe-template icmp lb-icmp
#
增加ISP自动更新功能,由于出方向链路负载均衡在实际应用中部署在外部网关中,因此,我们的设备可以通过一些外网服务器时刻获取到一些动态信息的,基于这点,我们的ISP动态更新采取C/S模式,同Whois服务器进行实时的通信从而获取ISP的动态信息。
图3-177 ISP自动更新组网图
为了实现ISP自动更新,需要完成如下配置:
· 开启ISP自动更新功能。
· 配置WHOIS服务器的域名或IPv4地址。
· 选择ISP更新频率。
· 配置当前ISP的WHOIS服务器管理标识。
本举例是在M9000-AD6的Ess 9060P16版本上进行配置和验证的。
· 由于WHOIS服务器是公网上的服务器,实验室使用python脚本在PC上运行来模拟WHOIS服务器,地址为61.135.169.125。
· ISP自动更新的时间间隔,可选择每天、每周或每月。ISP更新的具体时间固定为上次更新后的一天/一周/一月后的4:02:00左右。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > ISP”,选择“自动更新”页签,进行如下配置:
图3-178 开启ISP自动更新功能
单击<应用>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > ISP”,选择“ISP地址段”页签,在ISP列表单击<新建>按钮,创建名称为isp-chinatel,WHOIS标志为chinatel的ISP表项。
图3-179 创建名称为isp-chinatel,WHOIS标志为chinatel的ISP表项
单击<确定>,完成操作。
图3-180 运行模拟whois服务器的python脚本
在导航栏中选择“系统 > 维护> 系统设置>日期和时间”,日期和时间配置方式为手工设置日期和时间,进行如下配置:
图3-181 手工设置日期和时间
单击<应用>,完成操作。
(1) 手工设置系统日期为2021-10-25,时间为04:02:34,等到设置的时间后查看ISP自动更新结果成功。
图3-182 最近成功更新时间及更新结果
ISP地址列表里面可以看到更新的详细信息如下:
图3-183 ISP地址列表详细信息
#
loadbalance isp name isp-chinatel
whois-mntner chinatel
#
loadbalance isp auto-update enable
loadbalance isp auto-update frequency per-day
loadbalance isp auto-update whois-server ip 61.135.169.125
#
本章介绍DNS透明代理典型配置案例。
DNS透明代理功能可在多条链路上分担内网用户访问外部DNS服务器的流量。
如图所示,用户租用电信联通运营商各两个公网IP以供内网用户使用。link-cnc-1对应的DNS服务器的IP地址为114.114.114.114、link-cnc-2对应的DNS服务器的IP地址为202.106.46.151,两个DNS服务器均参与解析mail.qq.com的DNS请求;link-chinatel-master对应的DNS服务器的IP地址为219.141.136.68、link-chinatel-backup对应的DNS服务器的IP地址为8.8.8.8,优先级高的DNS服务器优先处理DNS请求,另一个作为备份,两个DNS服务器均参与解析www.baidu.com的DNS请求。
图4-1 DNS透明代理配置组网图
· 配置源地址转换,保护内网IP。
· 在LB设备上配置DNS透明代理,DNS透明代理中引用策略。
· 在每条链路上引用ICMP类型的健康检测模板,分别在健康检测模板中配置下一跳地址为链路的下一跳地址。
· 在DNS服务器中引用DNS类型的健康检测模板,DNS类型的健康检测模板中配置目的地址和待解析域名。
本举例是在M9000-AD6的Ess 9060P16版本上进行配置和验证的。
· 配置默认DNS服务器。
· 案例以A记录解析为例。
· 使用DNS透明代理,客户端设置的DNS服务器地址不能为设备上面的地址或者同网段的地址,要设置为设备上面不存在的地址,并保证客户端的DNS请求报文要到LB设备上面。
· 如果与链路负载均衡一起使用,链路负载均衡存在指定的源IP地址走指定的链路,DNS透明代理也需要和链路负载配置保持一致,走指定链路对应的运营商DNS服务器去解析。
· 匹配出链路的业务流量没有源地址转换的需求场景下,需要将M9K-AD6设备引流方式调整为默认引流。
配置默认引流相关命令如下:
[Sysname] Loadbalance flow-redirect failover-group
[Sysname] interface Blade-Aggregation1
[Sysname-Blade-Aggregation1] undo link-aggregation load-sharing mode destination-ip
[Sysname] interface Blade-Aggregation257
[Sysname-Blade-Aggregation257] undo link-aggregation load-sharing mode source-ip
在导航栏中选择“对象>健康检测”,单击<新建>按钮,分别新建ICMP类型的健康检测模板icmp-cnc-1,icmp-cnc-2,icmp-chinatel-master和icmp-chinatel-backup,配置下一跳地址分别为61.156.0.2,180.223.0.2,1.1.0.2和203.0.24.2,如图4-2至4-5所示。
图4-2 新建icmp类型健康检测icmp-cnc-1
单击<确定>,完成操作。
图4-3 新建icmp类型健康检测icmp-cnc-2
单击<确定>,完成操作。
图4-4 新建icmp类型健康检测icmp-chinatel-master
单击<确定>,完成操作。
图4-5 新建icmp类型健康检测icmp-chinatel-backup
单击<确定>,完成操作。
在导航栏中选择“负载均衡>全局配置>健康检测”,单击<新建>按钮,分别新建DNS类型的健康检测模板dns114.114.114.114,dns202.106.46.151,dns219.141.136.68和dns8.8.8.8,分别配置其目的地址和待解析域名,并配置TTL值为255,如图4-6至4-9所示。
图4-6 新建DNS类型健康检测dns114.114.114.114
单击<确定>,完成操作。
图4-7 新建DNS类型健康检测dns202.106.46.151
单击<确定>,完成操作。
图4-8 新建DNS类型健康检测dns219.141.136.68
单击<确定>,完成操作。
图4-9 新建DNS类型健康检测dns8.8.8.8
单击<确定>,完成操作。
在导航栏中选择“策略>负载均衡>链路负载均衡>DNS透明代理>DNS服务器池”,进入DNS服务器池页面,单击<新建>,新建DNS服务器池dsp-qq和dsp-baidu,调度算法为加权轮转,配置如下:
图4-10 新建DNS服务器池dsp-qq
单击<确定>按钮,完成操作。
创建DNS服务器池dsp-baidu与DNS服务器池dsp-qq步骤相同。
图4-11 DNS服务器池信息
在导航栏中选择“策略>负载均衡>链路负载均衡>DNS透明代理>DNS服务器池”,进入DNS服务器池页面,编辑DNS服务器池dsp-qq,新建成员列表,新建DNS服务器名称为dns-qq-1和dns-qq-2,编辑DNS服务器池dsp-baidu,新建成员列表,新建DNS服务器名称为dns-baidu-master和dns-baidu-backup,配置如下:
图4-12 添加DNS服务器池dsp-qq成员
图4-13 新建DNS服务器dns-qq-1
单击新建链路,新建链路link-cnc-1,配置其下一跳IP地址为61.156.0.2,引用健康检测模板icmp-cnc-1
图4-14 新建链路link-cnc-1
单击<确定>,完成操作。
图4-15 新建DNS服务器dns-qq-2
单击新建链路,新建链路link-cnc-2,配置其下一跳IP地址为180.223.0.2,引用健康检测模板icmp-cnc-2
图4-16 新建链路link-cnc-2
单击<确定>,完成操作。
图4-17 DNS服务器信息
在导航栏中选择“策略>负载均衡>链路负载均衡>DNS透明代理>DNS服务器池”,进入DNS服务器池页面,编辑DNS服务器池dsp-baidu,新建成员列表,新建DNS服务器名称为dns-baidu-master和dns-baidu-backup,配置如下:
图4-18 添加DNS服务器池dsp-qq成员
图4-19 新建DNS服务器dns-baidu-master
单击新建链路,新建链路link-chinatel-master,配置其下一跳IP地址为1.1.0.2,引用健康检测模板icmp-chinatel-master
图4-20 新建链路link-chinatel-master
单击<确定>,完成操作。
图4-21 新建DNS服务器dns-baidu-backup
单击新建链路,新建链路link-chinatel-backup,配置其下一跳IP地址为203.0.24.2,引用健康检测模板icmp-chinatel-backup
图4-22 新建链路link-chinatel-backup
单击<确定>,完成操作。
图4-23 DNS服务器信息
在导航栏中选择“策略>负载均衡>链路负载均衡>DNS透明代理>流量特征”,进入流量特征页面,单击<新建>,新建两个流量特征domain-qq.com与domain-baidu.com,如下图所示
新建流量特征domain-qq.com,匹配域名mail.qq.com
图4-24 新建流量特征domain-qq.com
单击<确定>,完成操作。
图4-25 新建流量特征信息
新建流量特征domain-baidu.com,匹配域名www.baidu.com
图4-26 新建流量特征domain-baidu.com
单击<确定>,完成操作。
图4-27 新建流量特征domain-baidu.com
在导航栏中选择“策略>负载均衡>链路负载均衡>DNS透明代理>IPv4代理策略”,在全局配置中使能DNS透明代理功能,如下图所示。
图4-28 配置DNS透明代理
单击<应用>,完成操作
在导航栏中选择“策略>负载均衡>链路负载均衡>DNS透明代理>IPv4代理策略”,单击<新建>,新建策略,并设置dsp-qq作为默认DNS服务器池,如下图所示
图4-29 新建IPv4代理策略-1
单击<确定>,完成操作。
图4-30 新建IPv4代理策略-2
单击<确定>,完成操作。
图4-31 配置Default动作
单击<确定>,完成操作。
在导航栏中选择“对象>对象组>NAT地址组”,单击<新建>,新建地址组1,地址组名称为cnc-1,单击<添加>按钮,新建地址组成员起始IP地址为61.156.0.100,结束IP地址为61.156.0.200,如下图所示。
图4-32 新建地址组1
单击<确定>,完成操作。
图4-33 新建地址组1信息
创建地址组2、地址组3、地址组4与地址组1步骤相同:
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为2,地址组名称为cnc-2,单击<添加>按钮,新建地址组成员起始IP地址为211.98.0.100,结束IP地址为211.98.0.200。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为3,地址组名称为chinatel-master,单击<添加>按钮,新建地址组成员起始IP地址为1.1.0.100,结束IP地址为1.1.0.200。
在导航栏中选择“对象 > 对象组 > NAT地址组”,单击<新建>,新建地址组编号为3,地址组名称为chinatel-backup,单击<添加>按钮,新建地址组成员起始IP地址为203.0.24.100,结束IP地址为203.0.24.200。
图4-34 新建地址组2信息
单击<确定>,完成操作。
图4-35 新建地址组3信息
单击<确定>,完成操作。
图4-36 新建地址组4信息
单击<确定>,完成操作。
在导航栏中选择“策略>接口NAT>IPv4>NAT动态转换”,单击<新建>NAT出方向动态转换,如下图所示。
图4-37 新建NAT出方向动态转换1
单击<确定>,完成操作。
图4-38 新建NAT出方向动态转换2
单击<确定>,完成操作。
图4-39 新建NAT出方向动态转换3
单击<确定>,完成操作。
图4-40 新建NAT出方向动态转换4
单击<确定>,完成操作。
(1) 客户端发起DNS A www.baidu.com
查看DNS服务器状态:
图4-41 DNS服务器状态
在导航栏中选择“监控>链路负载>DNS透明代理统计>DNS服务器统计”。
查看dns服务器统计,DNS请求分发给优先级较高的DNS服务器dns-baidu-master进行处理,dns-baidu-master有流量统计,dns-baidu-backup无流量统计。
图4-42 DNS服务器统计
(2) shutdown链路link-chinatel-master的出接口
查看链路状态
图4-43 shutdown链路link-chinatel-master后的链路状态
查看DNS服务器状态
图4-44 shutdown链路link-chinatel-master后的DNS服务器状态
客户端发起DNS A www.baidu.com。
shutdown链路link-chinatel-master的出接口,链路的健康检测失败,DNS服务器dns-baidu-master不可用,DNS请求被分发给优先级较低的备用DNS服务器dns-baidu-backup。查看dns服务器统计如下:
图4-45 shutdown链路link-chinatel-master后的DNS服务器统计
(3) 客户端发起DNS A mail.qq.com
查看DNS服务器状态如下图所示:
图4-46 DNS服务器状态
在导航栏中选择“监控>链路负载>DNS透明代理统计>DNS服务器统计”,如下图所示:
查看dns服务器统计,DNS请求被均匀地分配到两个DNS服务器上。
图4-47 DNS服务器统计
(4) shutdown链路link-cnc-1的出接口
查看链路状态
图4-48 shutdown链路link-cnc-1后的链路状态
查看DNS服务器状态
图4-49 shutdown链路link-cnc-1后的DNS服务器状态
客户端发起DNS A mail.qq.com。
shutdown链路link-cnc-1的出接口,链路的健康检测失败,DNS服务器dns-qq-1不可用,DNS请求被分发给DNS服务器dns-qq-2。查看DNS服务器统计如下:
图4-50 DNS服务器统计
#
nqa template icmp icmp-cnc-1
next-hop ip 61.156.0.2
out interface Route-Aggregation1.100
#
nqa template icmp icmp-cnc-2
next-hop ip 180.223.0.2
out interface Route-Aggregation1.101
#
nqa template icmp icmp-chinatel-master
next-hop ip 1.1.0.2
out interface Route-Aggregation1.102
#
nqa template icmp icmp-chinatel-backup
next-hop ip 203.0.24.2
out interface Route-Aggregation1.103
#
nqa template dns dns114.114.114.114
destination ip 114.114.114.114
resolve-target mail.qq.com
ttl 255
#
nqa template dns dns202.106.46.151
destination ip 202.106.46.151
resolve-target mail.qq.com
ttl 255
#
nqa template dns dns219.141.136.68
destination ip 219.141.136.68
resolve-target www.baidu.com
ttl 255
#
nqa template dns dns8.8.8.8
destination ip 8.8.8.8
resolve-target www.baidu.com
ttl 255
#
loadbalance dns-server dns-qq-1
ip address 114.114.114.114
link link-cnc-1
#
loadbalance dns-server dns-qq-2
ip address 202.106.46.151
link link-cnc-2
#
loadbalance dns-server dns-baidu-master
ip address 219.141.136.68
link link-chinatel-master
#
loadbalance dns-server dns-baidu-backup
ip address 8.8.8.8
link link-chinatel-backup
#
loadbalance dns-server-pool dsp-qq
success-criteria at-least 1
dns-server dns-qq-1 port 0
success-criteria at-least 1
probe dns114.114.114.114
dns-server dns-qq-2 port 0
success-criteria at-least 1
probe dns202.106.46.151
#
loadbalance dns-server-pool dsp-baidu
success-criteria at-least 1
dns-server dns-baidu-backup port 0
success-criteria at-least 1
probe dns8.8.8.8
dns-server dns-baidu-master port 0
priority 8
success-criteria at-least 1
probe dns219.141.136.68
#
loadbalance class damian-baidu.com type dns match-any
match 1 domain-name www.baidu.com
#
loadbalance class domain-qq.com type dns match-any
match 1 domain-name mail.qq.com
#
loadbalance action # #defaultactionfordnsproxyipv4# #%%autocreatedbyweb%% type dns
dns-server-pool dsp-qq
#
loadbalance action dp4# action# for# damian-baidu.com type dns
dns-server-pool dsp-baidu
#
loadbalance action dp4# action# for# domain-qq.com type dns
dns-server-pool dsp-qq
#
loadbalance policy # #defaultpolicyfordnsproxyipv4# #%%autocreatedbyweb%% type dns
class domain-qq.com action dp4# action# for# domain-qq.com
class damian-baidu.com action dp4# action# for# damian-baidu.com
default-class action # #defaultactionfordnsproxyipv4# #%%autocreatedbyweb%%
#
loadbalance link link-chinatel-backup
router ip 203.0.24.2
success-criteria at-least 1
probe icmp-chinatel-backup
#
loadbalance link link-chinatel-master
router ip 1.1.0.2
success-criteria at-least 1
probe icmp-chinatel-master
#
loadbalance link link-cnc-1
router ip 61.0.156.2
success-criteria at-least 1
probe icmp-cnc-1
#
loadbalance link link-cnc-2
router ip 180.223.0.2
success-criteria at-least 1
probe icmp-cnc-2
#
loadbalance dns-proxy # #defaultdpfordnsproxyipv4# #%%autocreatedbyweb%% type udp
ip address 0.0.0.0 0
service enable
lb-policy # #defaultpolicyfordnsproxyipv4# #%%autocreatedbyweb%%
#
nat address-group 1 name cnc-1
address 61.0.156.100 61.0.156.200
#
nat address-group 2 name cnc-2
address 180.223.0.100 180.223.0.200
#
nat address-group 3 name chinatel-master
address 1.1.0.100 1.1.0.200
#
nat address-group 4 name chinatel-backup
address 203.0.24.100 203.0.24.200
#
interface Route-Aggregation1.100
ip address 61.0.156.1 255.255.255.0
nat outbound address-group 1
vlan-type dot1q vid 191
#
interface Route-Aggregation1.101
ip address 180.223.0.1 255.255.255.0
nat outbound address-group 2
vlan-type dot1q vid 192
#
interface Route-Aggregation1.102
ip address 1.1.0.1 255.255.255.0
nat outbound address-group 3
vlan-type dot1q vid 193
#
interface Route-Aggregation1.103
ip address 203.0.24.1 255.255.255.0
nat outbound address-group 4
vlan-type dot1q vid 194
本章介绍智能DNS配置案例。
智能DNS功能可在多条链路上分担外网用户访问内网服务器的流量。
智能DNS支持IPv4与IPv6,但不支持IPv4流量与IPv6流量的互转。
路由部署模式:LB设备以三层方式对外连接,通过路由转发。
企业分别租用不同运营商联通cnc、电信chinatel四条链路link-cnc-1、link-cnc-2、link-chinatel-master、link-chinatel-backup为外网用户提供服务。local DNS上指定LB作为权威DNS服务器负责解析外网用户访问内网服务器的DNS请求报文,并为外网用户访问内网服务器选择最佳链路。
通过配置智能DNS,可以使外部互联网用户访问内网服务器的流量较为均匀地分配到多条链路上,从而提高流量转发效率,提升服务质量;可以避免出现一条链路拥塞而其他链路闲置的情况;可以在某条链路出现故障时,使外部互联网用户使用其它链路来访问内网服务器,避免因链路故障导致流量转发失败。
智能DNS支持的资源记录有:
· A(Address)记录是用来指定主机名(或域名)对应的IP地址记录(ipv4地址),通俗来说A记录就是服务器的IP。
· AAAA(Address)记录是用来指定主机名(或域名)对应的IP地址记录(ipv6地址)。
在DNS正向解析过程中,负载均衡设备使用DNS正向区域中配置的资源记录来查找DNS域名对应的主机名。DNS资源记录是负载均衡设备用于解析DNS请求的数据记录表项,DNS正向区域中可以配置以下几种类型的资源记录:
· CNAME(Canonical Name,规范名称)资源记录允许将多个别名映射到同一正规主机名,即同一服务器。例如,企业内网有一台服务器主机名为host.qq.com,它同时对外提供Web服务和邮件服务,为了便于用户的访问,可以为该服务器配置CNAME资源记录,分别配置别名为www.qq.com和mail.qq.com。当用户请求Web服务时,访问www.qq.com,当用户请求邮件服务时,访问mail.qq.com,而实际访问的均为host.qq.com。
· MX(Mail Exchanger,邮件交换)资源记录用于指定该DNS正向区域的邮件服务器。
· NS(Name Server,权威名称服务器)资源记录用于指定为该DNS正向区域服务的权威名称服务器。
· SOA(Start of Authority,起始授权)资源记录用来配置一个DNS正向区域的主域名服务器、管理员邮箱等参数。
· SRV(Service,服务)资源记录用来配置DNS正向区域所提供的服务,以及提供该服务的服务器。
· TXT(Text,文本)资源记录用于为DNS正向区域设置说明。
· PTR(Pointer Record,指针记录)用来记录域名和IP地址的映射关系,根据DNS反向区域对收到的报文进行反向DNS解析,即根据IP地址查找对应的域名。
图5-1 智能DNS组网图
· 配置接口地址,保持上一跳,保证反向流量从同一条链路返回。
· 在每条链路上引用ICMP类型的健康检测模板,分别在健康检测模板中配置下一跳地址为链路的下一跳地址,配置出接口。
· 为了接收DNS请求,需要配置链路、DNS监听器。
· LB设备支持多种资源记录,需要配置DNS正向域、DNS反向域。
· 为了能返回域名所对应的IP地址,需要配置IP类型的虚服务器。
· 配置DNS映射,在DNS映射中配置虚服务列表以及虚服务对应的链路。
· 配置DNS正向域,用于解析各种资源记录。
本举例是在M9000-AD6的Ess 9060P16版本上进行配置和验证的。
· 在配置之前确保外网到负载均衡设备、DNS监听路由可达。
· 举例版本web不支持SRV\TXT记录,使用命令行配置。
· 本次配置举例中,对于域名不存在的处理方式是拒绝,也可以根据具体的需求,设置为不回应或DNS代理方式,本文档不再赘述。
在导航栏中选择“对象 > 健康检测”,单击<新建>按钮,进行如下配置:
图5-2 配置icmp类型健康检测icmp-cnc-1
单击<确定>,完成操作。
图5-3 配置icmp类型健康检测icmp-cnc-2
单击<确定>,完成操作。
图5-4 配置icmp类型健康检测icmp-chinatel-master
单击<确定>,完成操作。
图5-5 配置icmp类型健康检测icmp-chinatel-backup
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,单击<新建>,新建链路link-cnc-1,配置下一跳IP地址为61.156.0.2,引用健康检测模板icmp-cnc-1,如下图所示。
图5-6 新建链路link-cnc-1
单击<确定>,完成操作。
创建链路link-cnc-2、link-chinatel-master、link-chinatel-backup与link-cnc-1步骤相同:
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,单击<新建>,新建链路link-cnc-2,配置下一跳IP地址为180.223.0.2,引用健康检测模板icmp-cnc-2。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,单击<新建>,新建链路link-chinatel-master,配置下一跳IP地址为1.1.0.2,引用健康检测模板icmp-chinatel-master。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,单击<新建>,新建链路link-chinatel-backup,配置下一跳IP地址为203.0.24.2,引用健康检测模板icmp-chinatel-backup。
在导航栏中选择“策略 > 负载均衡 > 服务器负载均衡 > 虚服务器”,单击<新建>,新建虚服务器名称为vs-cnc-1,类型为IP,虚服务器IPv4地址为183.232.98.190,如下图所示。
图5-7 新建IP类型的虚服务器vs-cnc-1
单击<确定>,完成操作。
创建链路vs-cnc-2、vs-cnc-ipv6与vs-cnc-1步骤相同:
在导航栏中选择“策略 > 负载均衡 > 服务器负载均衡 > 虚服务器”,单击<新建>,新建虚服务器名称为vs-cnc-2,类型为IP,虚服务器IPv4地址为140.207.128.140。
在导航栏中选择“策略 > 负载均衡 > 服务器负载均衡 > 虚服务器”,单击<新建>,新建虚服务器名称为vs-cnc-ipv6,类型为IP,虚服务器IPv6地址为1:20::5。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡> 入链路负载均衡 > DNS监听器”,单击<新建>,新建DNS监听器名称为dl-cnc-1,DNS监听器IPv4地址为61.156.0.1,并开启DNS监听功能,如下图所示。
图5-8 新建DNS监听器dl-cnc-1
单击<确定>,完成操作。
创建链路dl-cnc-2、dl-chinatel-m、dl-chinatel-b与dl-cnc-1步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡> 入链路负载均衡 > DNS监听器”,单击<新建>,新建DNS监听器名称为dl-cnc-2,DNS监听器IPv4地址为180.223.0.1,并开启DNS监听功能。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡> 入链路负载均衡 > DNS监听器”,单击<新建>,新建DNS监听器名称为dl-chinatel-m,DNS监听器IPv4地址为1.1.0.1,并开启DNS监听功能。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > DNS监听器”,单击<新建>,新建DNS监听器名称为dl-chinatel-b,DNS监听器IPv4地址为203.0.24.1,并开启DNS监听功能。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡> 入链路负载均衡 > DNS映射”,单击<新建>按钮,新建DNS映射名称为dm,添加域名为host.qq.com、ns-cnc1.baidu.com、ns-tel1.baidu.com,新建虚IP/虚服务列表,首选调度算法为加权轮转算法,次选调度算法为随机算法,备选调度算法选择加权最小连接算法,并开启DNS映射功能,如下图所示。
图5-9 新建DNS映射dm
单击<新建>虚IP/虚服务列表,添加虚服务vs-cnc-1,选择链路link-cnc-1,
图5-10 添加虚服务vs-cnc-1
继续添加虚IP/虚服务列表,添加虚服务vs-cnc-2,选择链路link-cnc-2,
图5-11 添加虚服务vs-cnc-2
继续添加虚IP/虚服务列表,添加虚服务vs-cnc-ipv6,选择链路link-cnc-1,
图5-12 添加虚服务vs-cnc-ipv6
添加虚IP/虚服务列表如下,首选调度算法为加权轮转算法,次选调度算法为随机算法,备选调度算法选择加权最小连接算法,并开启DNS映射功能。
图5-13 查看虚IP/虚服务列表,开启DNS映射
单击<确定>,完成操作。
(1) 配置MX记录
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡> 入链路负载均衡 > DNS映射”,单击<新建>按钮,新建DNS正向域域名为qq.com,新建资源记录类型为MX,邮件服务器主机名为mail,如下图所示。
注:邮件服务器主机名,支持绝对域名(以“.”结束)和相对域名(不以“.”结束),当域名是相对域名时,则进行自动扩充,在所配域名后自动添加当前DNS正向域的域名
图5-14 创建DNS正向域qq.com
单击<新建>,添加MX资源记录。
图5-15 添加MX类型资源记录
单击<确定>,完成操作。
(2) 配置CNAME记录
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡> 入链路负载均衡 > DNS映射”,单击<新建>按钮,新建DNS正向域域名为qq.com,新建资源记录类型为CNAME,别名为mail,规范名称为host,如下图所示。
注:CNAME记录中的别名和规范名称支持绝对域名(以“.”结束)和相对域名(不以“.”结束),当域名是相对域名时,则进行自动扩充,在所配域名后自动添加当前DNS正向域的域名。
继续单击<新建>,添加CNAME资源记录。
图5-16 添加CNAME类型资源记录1
单击<确定>,完成操作。
单击<新建>,新建资源记录类型为CNAME,别名为www,规范名称为host,如下图所示。
图5-17 添加CNAME类型资源记录
单击<确定>,完成操作。
(3) 配置NS及SOA记录
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡> 入链路负载均衡 > DNS映射”,单击<新建>按钮,新建DNS正向域域名为baidu.com,新建资源记录类型为NS,权威名称服务器主机名为ns-cnc1、ns-tel1,对应的SOA配置中,主域名服务器主机名为www,管理员邮箱地址为www,如下图所示。
注:NS 、SOA记录中的主机名和邮箱地址支持绝对域名(以“.”结束)和相对域名(不以“.”结束),当域名是相对域名时,则进行自动扩充,在所配域名后自动添加当前DNS正向域的域名
配置CNAME类型的资源记录,别名为mail,规范名称为host。
图5-18 新建DNS正向域名baidu.com
单击<新建>,添加NS资源记录。
图5-19 添加NS资源记录1
单击<确定>,完成操作。
图5-20 添加NS资源记录2
单击<确定>,完成操作。
配置DNS正向域baidu.com的SOA配置
图5-21 配置SOA
单击<确定>,完成操作。
(4) 配置SRV记录
目前版本web不支持配置,使用命令行进行举例
注:服务名称(service)和提供服务的主机名(host-offering-service),支持绝对域名(以“.”结束)和相对域名(不以“.”结束),当服务名和主机名是相对域名时,则进行自动扩充,在所配域名后自动添加当前DNS正向域的域名。
[sysname-lb-zone-qq.com] record srv service _ldap host-offering-service _tcp priority 50 weight 50 port 389
[sysname-lb-zone-qq.com]record srv service _ldap.qq.com. host-offering-service _tcp. priority 10 weight 10 port 80
#
(5) 配置TXT记录
目前版本web不支持配置,使用命令行进行配置举例
注:区域的子域名(sub),支持绝对域名(以“.”结束)和相对域名(不以“.”结束),当服务名和主机名是相对域名时,则进行自动扩充,在所配域名后自动添加当前DNS正向域的域名。
[sysname-lb-zone-qq.com] record txt describe-txt 111111111111111111
[sysname-lb-zone-qq.com]record txt sub hotline describe-txt "v=spf1 include:spf.abcmail.abc.com.cn -all"
(6) 配置DNS反向区域
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡> 入链路负载均衡 > DNS反向域”,单击<新建>按钮,进行如下配置:
图5-22 创建DNS反向域
单击<新建>,添加PTR资源记录列表。
图5-23 添加PTR类型资源记录
单击<确定>,完成操作。
图5-24 DNS反向域配置
单击<确定>,完成操作。
(1) 通过nslookup查看CNAME记录
图5-25 nslookup查看CNAME
(2) 通过nslookup查看A、AAAA记录
DNS请求域名www.qq.com对应的A、AAAA记录,映射表中不存在该域名,查询在DNS正向区域中配置的资源记录,得到主机域名,再依据该主机域名在DNS映射中查找域名所对应的虚服务器IP地址。
图5-26 nslookup查看A记录
图5-27 nslookup查看AAAA记录
(3) 通过nslookup查看MX记录
图5-28 nslookup查看MX记录
(4) 通过nslookup查看NS及SOA记录
图5-29 nslookup查看NS记录
图5-30 nslookup查看soa记录
(5) 通过nslookup查看SRV记录
配置两条SRV记录,查看相对域名和绝对域名对应的返回情况,结果如下图所示:
图5-31 nslookup查看srv记录
(6) 通过nslookup查看TXT记录
正向域qq.com下配置两条TXT记录,一条不配置sub,另外一条配置sub、查看TXT记录,结果如下图所示:
图5-32 nslookup查看TXT记录
(7) 通过nslookup查看PTR记录
183.232.100.100对应的PTR记录,如下图所示:
图5-33 nslookup查看PTR记录
interface Route-Aggregation1.100
port link-mode route
ip address 61.156.0.1 255.255.0.0
ip last-hop hold
#
interface Route-Aggregation1.101
port link-mode route
ip address 180.223.0.1 255.255.0.0
ip last-hop hold
#
interface Route-Aggregation1.102
port link-mode route
ip address 1.1.0.1 255.255.0.0
ip last-hop hold
#
interface Route-Aggregation1.103
port link-mode route
ip address 203.0.24.1 255.255.0.0
ip last-hop hold
#
nqa template icmp icmp-cnc-1
next-hop ip 61.156.0.2
out interface Route-Aggregation1.100
#
nqa template icmp icmp-cnc-2
next-hop ip 180.223.0.2
out interface Route-Aggregation1.101
#
nqa template icmp icmp-chinatel-master
next-hop ip 1.1.0.2
out interface Route-Aggregation1.102
#
nqa template icmp icmp-chinatel-backup
next-hop ip 203.0.24.2
out interface Route-Aggregation1.103
#
loadbalance link link-cnc-1
router ip 61.156.0.2
success-criteria at-least 1
probe icmp-cnc-1
#
loadbalance link link-cnc-2
router ip 180.223.0.2
success-criteria at-least 1
probe icmp-cnc-2
#
loadbalance link link-chinatel-master
router ip 1.1.0.2
success-criteria at-least 1
probe icmp-chinatel-master
#
loadbalance link link-chinatel-backup
router ip 203.0.24.2
success-criteria at-least 1
probe icmp-chinatel-backup
#
virtual-server vs-cnc-1 type ip
virtual ip address 183.232.98.190
#
virtual-server vs-cnc-2 type ip
virtual ip address 140.207.128.140
#
virtual-server vs-cnc-ipv6 type ip
virtual ipv6 address 1:20::5
#
loadbalance virtual-server-pool dm
predictor alternate random
predictor fallback least-connection
virtual-server vs-cnc-ipv6 link link-cnc-1
virtual-server vs-cnc1 link link-cnc-1
virtual-server vs-cnc2 link link-cnc-2
#
loadbalance dns-listener dl-cnc-1
ip address 61.156.0.1
service enable
#
loadbalance dns-listener dl-cnc-2
ip address 180.223.0.1
service enable
#
loadbalance dns-listener dl-chinatel-m
ip address 1.1.0.1
service enable
#
loadbalance dns-listener dl-chinatel-b
ip address 203.0.24.1
service enable
#
loadbalance dns-map dm
domain-name host.qq.com
domain-name ns-cnc1.baidu.com
domain-name ns-tel1.baidu.com
service enable
virtual-server-pool dm
#
loadbalance zone baidu.com
record ns authority ns-cnc1
record ns authority ns-tel1
soa
primary-nameserver www
responsible-mail mail
#
loadbalance zone qq.com
record mx exchanger mail preference 100
record cname alias mail canonical host
record cname alias www canonical host
record txt describe-txt 111111111111
record txt sub hotline describe-txt "v=spf1 include:spf.abcmail.abc.com.cn -all"
record srv service _ldap host-offering-service _tcp priority 50 weight 50 port 389
record srv service _ldap.qq.com. host-offering-service _tcp. priority 10 weight 10 port 80
#
loadbalance reverse-zone ip 183.232.0.0 16
record ptr ip 183.232.100.100 mail.qq.com
#
企业分别租用不同运营商联通cnc、电信chinatel四条链路link-cnc-1、link-cnc-1、link-chinatel-master、link-chinatel-backup为外网用户提供服务,这四条链路的路由器跳数、带宽和成本不完全相同。外网用户访问host.qq.com时,优先根据动态探测到的最优链路选路,其次根据所属的ISP进行选路。用户首先向本地DNS服务器发送请求,本地DNS服务器向负载均衡设备发起DNS请求,负载均衡设备经过调度算法选出对应链路对应的虚服务器。
图5-34 智能DNS动态就近性组网图
为了验证inbound的动态就近性算法,需要完成如下配置:
· 配置接口地址,保持上一跳,保证反向流量从同一条链路返回。
· 在每条链路上引用ICMP类型的健康检测模板,分别在健康检测模板中配置下一跳地址为链路的下一跳地址,配置出接口。
· 为了接收DNS请求,需要配置链路、DNS监听器。
· 为了能返回域名所对应的IP地址,需要配置IP类型的虚服务器。
· 配置DNS映射,在DNS映射中配置虚服务列表以及虚服务对应的链路。
· 配置就近性参数,用于动态就近性算法。
本举例是在M9000-AD6的Ess 9060P16版本上进行配置和验证的。
· 在配置之前确保外网到负载均衡设备、DNS监听路由可达。
· 动态探测的目的地址为最初的探测地址,通过就近性算法获取当前的最优链路,就近性探测的周期由用户配置决定。
· 就近性优先级链中的最优的不一定就是最终选择的,还要看当前链路的状态。
· 在DNS映射中配置调度算法为动态就近性算法,备选最好选用其他算法,以免出现业务失败(动态就近性表项,靠报文触发,探测成功后十秒,才能产生可用的就近性表项)。
在导航栏中选择“对象 > 健康检测”,单击<新建>按钮,进行如下配置:
图5-35 配置icmp类型健康检测icmp-cnc-1
单击<确定>,完成操作。
图5-36 配置icmp类型健康检测icmp-cnc-2
单击<确定>,完成操作。
图5-37 配置icmp类型健康检测icmp-chinatel-master
单击<确定>,完成操作。
图5-38 配置icmp类型健康检测icmp-chinatel-backup
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,单击<新建>,新建链路link-cnc-1,配置下一跳IP地址为61.156.0.2,引用健康检测模板icmp-cnc-1,就近性链路成本为40,如下图所示。
图5-39 新建链路link-cnc-1
单击<确定>,完成操作。
创建链路link-cnc-2、link-chinatel-master、link-chinatel-backup与link-cnc-1步骤相同:
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,单击<新建>,新建链路link-cnc-2,配置下一跳IP地址为180.223.0.2,就近性链路成本为100,引用健康检测模板icmp-cnc-2。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,单击<新建>,新建链路link-chinatel-master,配置下一跳IP地址为1.1.0.2,就近性链路成本为0,引用健康检测模板icmp-chinatel-master。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,单击<新建>,新建链路link-chinatel-backup,配置下一跳IP地址为203.0.24.2,就近性链路成本为200,引用健康检测模板icmp-chinatel-backup。
在导航栏中选择“策略 > 负载均衡 > 服务器负载均衡 > 虚服务器”,单击<新建>,新建虚服务器名称为vs-cnc-1,类型为IP,虚服务器IPv4地址为183.232.98.190,如下图所示。
图5-40 新建IP类型的虚服务器vs-cnc-1
单击<确定>,完成操作。
创建链路vs-cnc-2、vs-chinatel-m、vs-chinatel-b与vs-cnc-1步骤相同:
在导航栏中选择“策略 > 负载均衡 > 服务器负载均衡 > 虚服务器”,单击<新建>,新建虚服务器名称为vs-cnc-2,类型为IP,虚服务器IPv4地址为140.207.128.140。
在导航栏中选择“策略 > 负载均衡 > 服务器负载均衡 > 虚服务器”,单击<新建>,新建虚服务器名称为vs-chinatel-m,类型为IP,虚服务器IPv6地址为183.2.186.153。
在导航栏中选择“策略 > 负载均衡 > 服务器负载均衡 > 虚服务器”,单击<新建>,新建虚服务器名称为vs-chinatel-b,类型为IP,虚服务器IPv6地址为183.61.47.15。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > ISP”,先单击<选择>按钮,选择ISP文件,然后单击<导入>按钮,导入ISP文件。
图5-41 导入ISP文件
单击<导入>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 区域”,单击<新建>按钮,新建区域名称为region-chinatel、region-cnc,分别选择ISP名称为chinatel、cnc,进行添加。
图5-42 新建区域region-chinatel
选择ISP为chinatel,单击<添加>按钮,
图5-43 区域region-chinatel配置界面
单击<确定>,完成操作。
图5-44 新建区域region-cnc
选择ISP为cnc,单击<添加>按钮,
图5-45 区域region-cnc配置界面
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > 静态就近性策略”,单击<新建>按钮,配置静态就近性策略,配置如下:
图5-46 新建region-chinatel静态就近性策略1
单击<确定>,完成操作。
图5-47 新建region-chinatel静态就近性策略2
单击<确定>,完成操作。
图5-48 新建region-cnc静态就近性策略1
单击<确定>,完成操作。
图5-49 新建region-cnc静态就近性策略2
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > DNS监听器”,单击<新建>,新建DNS监听器名称为dl-cnc-1,DNS监听器IPv4地址为61.156.0.1,并开启DNS监听功能,如下图所示。
图5-50 新建DNS监听器dl-cnc-1
单击<确定>,完成操作。
创建链路dl-cnc-2、dl-chinatel-m、dl-chinatel-b与dl-cnc-1步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > DNS监听器”,单击<新建>,新建DNS监听器名称为dl-cnc-2,DNS监听器IPv4地址为180.223.0.1,并开启DNS监听功能。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > DNS监听器”,单击<新建>,新建DNS监听器名称为dl-chinatel-m,DNS监听器IPv4地址为1.1.0.1,并开启DNS监听功能。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > DNS监听器”,单击<新建>,新建DNS监听器名称为dl-chinatel-b,DNS监听器IPv4地址为203.0.24.1,并开启DNS监听功能。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > DNS映射”,单击<新建>按钮,新建DNS映射名称为dm,添加域名为host.qq.com,新建虚IP/虚服务列表,首选调度算法为动态就近性算法,次选调度算法为静态就近性算法,备选调度算法选择加权轮转算法,并开启DNS映射功能,如下图所示。
图5-51 新建DNS映射dm
单击<新建>虚IP/虚服务列表,添加虚服务vs-cnc-1,链路为link-cnc-1,权值为100.
图5-52 添加虚服务vs-cnc-1
继续添加虚IP/虚服务列表,添加虚服务vs-cnc-2,链路为link-cnc-2,权值为10
图5-53 添加虚服务vs-cnc-2
继续添加虚IP/虚服务列表,添加虚服务vs-chinatel-m,链路为link-chinatel-master,权值为100
图5-54 添加虚服务vs-chinatel-m
继续添加虚IP/虚服务列表,添加虚服务vs-chinatel-b,链路为link-chinatel-backup,权值为100
图5-55 添加虚服务vs-chinatel-b
查看虚IP/虚服务列表如下,配置DNS映射dm首选调度算法为动态就近性算法,次选调度算法为静态就近性算法,备选调度算法为加权轮转算法,并开启DNS映射功能。
图5-56 配置DNS映射dm
单击<确定>,完成操作。
在导航栏中选择“策略> 负载均衡 > 公共配置 > 就近性 > 就近行参数”,单击<新建>,如下图所示。
图5-57 配置就近性参数
单击<新建默认探测模板>,配置ICMP类型的就近性探测模板icmp,
图5-58 配置就近性探测模板
单击<确定>,就近性探测参数配置如下:
图5-59 就近性参数配置
单击<确定>,完成操作。
就近性表现没有生成最佳链路时,首选动态就近性算法不生效,走备选静态就近性算法,返回IP地址183.61.47.15。
图5-60 查看就近性表项1
图5-61 查看域名返回IP地址1
就近性表现生成最佳链路时,首选动态就近性算法生效,返回最佳链路对应的IP地址183.2.186.153
图5-62 查看就近性表项2
图5-63 查看域名返回IP地址2
#
interface Route-Aggregation1.100
port link-mode route
ip address 61.156.0.1 255.255.0.0
ip last-hop hold
interface Route-Aggregation1.101
port link-mode route
ip address 180.223.0.1 255.255.0.0
ip last-hop hold
interface Route-Aggregation1.102
port link-mode route
ip address 1.1.0.1 255.255.0.0
ip last-hop hold
interface Route-Aggregation1.103
port link-mode route
ip address 203.0.24.1 255.255.0.0
ip last-hop hold
#
nqa template icmp icmp-cnc-1
next-hop ip 61.156.0.2
out i Route-Aggregation1.100
#
nqa template icmp icmp-cnc-2
next-hop ip 180.223.0.2
out interface Route-Aggregation1.101
#
nqa template icmp icmp-chinatel-master
next-hop ip 1.1.0.2
out interface Route-Aggregation1.102
#
nqa template icmp icmp-chinatel-backup
next-hop ip 203.0.24.2
out interface Route-Aggregation1.103
#
loadbalance link link-cnc-1
router ip 61.156.0.2
cost 40
success-criteria at-least 1
probe icmp-cnc-1
#
loadbalance link link-cnc-2
router ip 180.223.0.2
cost 100
success-criteria at-least 1
probe icmp-cnc-2
#
loadbalance link link-chinatel-master
router ip 1.1.0.2
success-criteria at-least 1
probe icmp-chinatel-master
#
loadbalance link link-chinatel-backup
router ip 203.0.24.2
cost 200
success-criteria at-least 1
probe icmp-chinatel-backup
#
virtual-server vs-cnc-1 type ip
virtual ip address 183.232.98.190
#
virtual-server vs-cnc-2 type ip
virtual ip address 140.207.128.140
#
virtual-server vs-chinatel-m type ip
virtual ip address 183.2.186.153
#
virtual-server vs-chinatel-b type ip
virtual ip address 183.61.47.15
#
loadbalance isp file lbispinfo-v1.7.tp
#
loadbalance region region-chinatel
isp chinatel
#
loadbalance region region-cnc
isp cnc
#
topology region region-chinatel ip 183.2.0.0 16 priority 255
topology region region-chinatel ip 183.61.0.0 16
topology region region-cnc ip 140.207.0.0 16 priority 255
topology region region-cnc ip 183.232.0.0 16
#
loadbalance virtual-server-pool dm
predictor preferred proximity
predictor alternate round-robin
predictor fallback topology
virtual-server vs-chinatel-b link link-chinatel-backup
virtual-server vs-chinatel-m link link-chinatel-master
virtual-server vs-cnc1 link link-cnc-1
virtual-server vs-cnc2 link link-cnc-2 weight 10
#
loadbalance dns-listener dl-cnc-1
ip address 61.156.0.1
service enable
#
loadbalance dns-listener dl-cnc-2
ip address 180.223.0.1
service enable
#
loadbalance dns-listener dl-chinatel-m
ip address 1.1.0.1
service enable
#
loadbalance dns-listener dl-chinatel-b
ip address 203.0.24.1
service enable
#
loadbalance dns-map dm
domain-name host.qq.com
service enable
virtual-server-pool dm
#
loadbalance proximity
match default lb-probe icmp
企业分别租用不同运营商联通cnc、电信chinatel四条链路link-cnc-1、link-cnc-2、link-chinatel-master、link-chinatel-backup为外网用户提供服务,这四条链路的路由器跳数、带宽和成本相同。外网用户访问host.qq.com时,优先根据ISP进行选路,即当联通用户访问host.qq.com时,轮流返回联通服务器地址183.232.x.x和140.207.128.140两个网段,其中183.232.x.x网段包括两个ip地址,183.232.98.190和183.232.100.100。当电信用户访问域名host.qq.com时,若主链路link-chinatel-master正常,则解析成电信服务器地址183.2.186.153,若主链路非可用状态,则解析成电信服务器地址183.61.47.15。
图5-64 智能DNS静态就近性组网图
· 配置接口地址,保持上一跳,保证反向流量从同一条链路返回。
· 在每条链路上引用ICMP类型的健康检测模板,分别在健康检测模板中配置下一跳地址为链路的下一跳地址,配置出接口。
· 为了接收DNS请求,需要配置链路、DNS监听器。
· 为了能返回域名所对应的IP地址,需要配置IP类型的虚服务器。
· 配置DNS映射,在DNS映射中配置虚服务列表以及虚服务对应的链路。
· 为了使用户访问对应运营商的服务器,虚IP池首选调度算法使用静态就近性算法。
本举例是在M9000-AD6的Ess 9060P16版本上进行配置和验证的。
· 在配置之前确保外网到负载均衡设备DNS监听路由可达。
· 导入可用的ISP文件。
· 为了实现组网需求,使联通用户访问域名host.qq.com时,同一个isp对应的两个topology的权值相同,将会按照1:1轮流返回两个联通服务器网段地址183.232.x.x和140.207.x.x。其中183.232.x.x网段包括两个ip地址,183.232.98.190和183.232.100.100,本配置举例中这两个地址以10:1的比例返回。
· 为了实现组网需求,当电信用户访问域名host.qq.com时,若主链路link-chinatel-master正常,则解析成电信服务器地址183.2.186.153,若主链路非可用状态,则解析成联通服务器地址183.61.47.15,同一个isp对应的两个topology的权值不同,优先返回高权值对应的ip网段,只有当其对应的link故障,状态为非可用状态(包括不可用、服务关闭、健康检测失败、繁忙)时,才返回低权值对应的ip网段。
在导航栏中选择“对象 > 健康检测”,单击<新建>按钮,进行如下配置:
图5-65 配置icmp类型健康检测icmp-cnc-1
单击<确定>,完成操作。
图5-66 配置icmp类型健康检测icmp-cnc-2
单击<确定>,完成操作。
图5-67 配置icmp类型健康检测icmp-chinatel-master
单击<确定>,完成操作。
图5-68 配置icmp类型健康检测icmp-chinatel-backup
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,单击<新建>,新建链路link-cnc-1,配置下一跳IP地址为61.156.0.2,引用健康检测模板icmp-cnc-1,如下图所示。
图5-69 新建链路link-cnc-1
单击<确定>,完成操作。
创建链路link-cnc-2、link-chinatel-master、link-chinatel-backup与link-cnc-1步骤相同:
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,单击<新建>,新建链路link-cnc-2,配置下一跳IP地址为180.223.0.2,引用健康检测模板icmp-cnc-2。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,单击<新建>,新建链路link-chinatel-master,配置下一跳IP地址为1.1.0.2,引用健康检测模板icmp-chinatel-master。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,单击<新建>,新建链路link-chinatel-backup,配置下一跳IP地址为203.0.24.2,引用健康检测模板icmp-chinatel-backup。
在导航栏中选择“策略 > 负载均衡 > 服务器负载均衡 > 虚服务器”,单击<新建>,新建虚服务器名称为vs-cnc-1,类型为IP,虚服务器IPv4地址为183.232.98.190,如下图所示。
图5-70 新建IP类型的虚服务器vs-cnc-1
单击<确定>,完成操作。
创建链路vs-cnc1-01、vs-chinatel-m、vs-chinatel-b与vs-cnc-1步骤相同:
在导航栏中选择“策略 > 负载均衡 > 服务器负载均衡 > 虚服务器”,单击<新建>,新建虚服务器名称为vs-cnc1-01,类型为IP,虚服务器IPv4地址为183.232.100.100。
在导航栏中选择“策略 > 负载均衡 > 服务器负载均衡 > 虚服务器”,单击<新建>,新建虚服务器名称为vs-cnc-2,类型为IP,虚服务器IPv4地址为140.207.128.140。
在导航栏中选择“策略 > 负载均衡 > 服务器负载均衡 > 虚服务器”,单击<新建>,新建虚服务器名称为vs-chinatel-m,类型为IP,虚服务器IPv4地址为183.2.186.153。
在导航栏中选择“策略 > 负载均衡 > 服务器负载均衡 > 虚服务器”,单击<新建>,新建虚服务器名称为vs-chinatel-b,类型为IP,虚服务器IPv4地址为183.61.47.15。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > ISP”先单击<选择>按钮,选择ISP文件,然后单击<导入>按钮,导入ISP文件。
图5-71 导入ISP文件
单击<导入>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 区域”,单击<新建>按钮,新建区域名称为region-chinatel、region-cnc,分别选择ISP名称为chinatel、cnc,进行添加。
图5-72 新建区域region-chinatel
选择ISP为chinatel,单击<添加>按钮,
图5-73 区域region-chinatel配置界面
单击<确定>,完成操作。
图5-74 新建区域region-cnc
选择ISP为cnc,单击<添加>按钮,
图5-75 区域region-cnc配置界面
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > 静态就近性策略”,单击<新建>按钮,配置静态就近性策略,配置如下:
图5-76 新建region-chinatel静态就近性策略1
单击<确定>,完成操作。
图5-77 新建region-chinatel静态就近性策略2
单击<确定>,完成操作。
图5-78 新建region-cnc静态就近性策略1
单击<确定>,完成操作。
图5-79 新建region-cnc静态就近性策略2
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > DNS监听器”,单击<新建>,新建DNS监听器名称为dl-cnc-1,DNS监听器IPv4地址为61.156.0.1,并开启DNS监听功能,如下图所示。
图5-80 新建DNS监听器dl-cnc-1
单击<确定>,完成操作。
创建链路dl-cnc-2、dl-chinatel-m、dl-chinatel-b与dl-cnc-1步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > DNS监听器”,单击<新建>,新建DNS监听器名称为dl-cnc-2,DNS监听器IPv4地址为180.223.0.1,并开启DNS监听功能。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > DNS监听器”,单击<新建>,新建DNS监听器名称为dl-chinatel-m,DNS监听器IPv4地址为1.1.0.1,并开启DNS监听功能。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > DNS监听器”,单击<新建>,新建DNS监听器名称为dl-chinatel-b,DNS监听器IPv4地址为203.0.24.1,并开启DNS监听功能。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > DNS映射”,单击<新建>按钮,新建DNS映射名称为dm,添加域名为host.qq.com,新建虚IP/虚服务列表,首选调度算法选择静态就近性算法,次选调度算法选择加权最小连接算法,备选调度算法选择随机算法,并开启DNS映射功能,如下图所示。
图5-81 新建DNS映射dm
单击<新建>虚IP/虚服务列表,添加虚服务vs-cnc-1,链路为link-cnc-1,权值为100.
图5-82 添加虚服务vs-cnc-1
继续添加虚IP/虚服务列表,添加虚服务vs-cnc1-01,选择链路lin-cnc-1,权值为10
图5-83 添加虚服务vs-cnc1-01
继续添加虚IP/虚服务列表,添加虚服务vs-cnc-2,链路为link-cnc-2,权值为10
图5-84 添加虚服务vs-cnc-2
继续添加虚IP/虚服务列表,添加虚服务vs-chinatel-m,链路为link-chinatel-master,权值为100
图5-85 添加虚服务vs-chinatel-m
继续添加虚IP/虚服务列表,添加虚服务vs-chinatel-b,链路为link-chinatel-backup,权值为100
图5-86 添加虚服务vs-chinatel-b
查看虚IP/虚服务列表如下,配置DNS映射dm首选调度算法为动态就近性算法,次选调度算法为静态就近性算法,备选调度算法为加权轮转算法,并开启DNS映射功能。
图5-87 配置DNS映射dm
单击<确定>,完成操作。
(1) 联通用户访问域名情况
当联通用户访问域名host.qq.com时,轮流返回ip地址183.232.x.x、140.207.128.140,183.232.x.x包括地址183.232.98.190和183.232.100.100,返回地址的比例跟权值有关,为10:1,需要大量报文才能看出返回地址的比例。
图5-88 联通用户访问域名host.qq.com
(2) 电信用户访问域名host.qq.com
当主链路link-chinatel-master可用时,优先返回对应的ip网段183.2.186.153
图5-89 查看链路状态
图5-90 主链路link-chinatel-master可用时,电信用户访问域名host.qq.com
大包长ping1.1.0.1,使主链路link-chinatel-master状态繁忙,不参与调度时,则返回备用链路link-chinatel-backup对应的ip网段183.61.47.15
图5-91 查看链路状态
图5-92 主链路link-chinatel-master不可用时,电信用户访问域名host.qq.com
#
interface Ten-GigabitEthernet1/1/0
port link-mode route
ip address 61.156.0.1 255.255.0.0
ip last-hop hold
interface Ten-GigabitEthernet1/1/1
port link-mode route
ip address 180.223.0.1 255.255.0.0
ip last-hop hold
interface Ten-GigabitEthernet1/1/2
port link-mode route
ip address 1.1.0.1 255.255.0.0
ip last-hop hold
interface Ten-GigabitEthernet1/1/3
port link-mode route
ip address 203.0.24.1 255.255.0.0
ip last-hop hold
#
nqa template icmp icmp-cnc-1
next-hop ip 61.156.0.2
out interface Ten-GigabitEthernet1/1/0
#
nqa template icmp icmp-cnc-2
next-hop ip 180.223.0.2
out interface Ten-GigabitEthernet1/1/1
#
nqa template icmp icmp-chinatel-master
next-hop ip 1.1.0.2
out interface Ten-GigabitEthernet1/1/2
#
nqa template icmp icmp-chinatel-backup
next-hop ip 203.0.24.2
out interface Ten-GigabitEthernet1/1/3
#
loadbalance link link-cnc-1
router ip 61.156.0.2
success-criteria at-least 1
probe icmp-cnc-1
#
loadbalance link link-cnc-2
router ip 180.223.0.2
success-criteria at-least 1
probe icmp-cnc-2
#
loadbalance link link-chinatel-master
router ip 1.1.0.2
success-criteria at-least 1
probe icmp-chinatel-master
#
loadbalance link link-chinatel-backup
router ip 203.0.24.2
success-criteria at-least 1
probe icmp-chinatel-backup
#
virtual-server vs-cnc-1 type ip
virtual ip address 183.232.98.190
#
virtual-server vs-cnc1-01 type ip
virtual ip address 183.232.100.100
#
virtual-server vs-cnc-2 type ip
virtual ip address 140.207.128.140
#
virtual-server vs-chinatel-m type ip
virtual ip address 183.2.186.153
#
virtual-server vs-chinatel-b type ip
virtual ip address 183.61.47.15
#
loadbalance virtual-server-pool dm
predictor preferred topology
predictor alternate least-connection
predictor fallback random
bandwidth busy-protection enable
virtual-server vs-chinatel-b link link-chinatel-backup
virtual-server vs-chinatel-m link link-chinatel-master
virtual-server vs-cnc1-01 link link-cnc-1 weight 10
virtual-server vs-cnc-1 link link-cnc-1
virtual-server vs-cnc-2 link link-cnc-2 weight 10
#
loadbalance isp file lbispinfo-v1.7.tp
#
loadbalance region region-chinatel
isp chinatel
#
loadbalance region region-cnc
isp cnc
#
topology region region-chinatel ip 183.2.0.0 16 priority 255
topology region region-chinatel ip 183.61.0.0 16
topology region region-cnc ip 140.207.0.0 16
topology region region-cnc ip 183.232.0.0 16
#
loadbalance dns-listener dl-cnc-1
ip address 61.156.0.1
service enable
#
loadbalance dns-listener dl-cnc-2
ip address 180.223.0.1
service enable
#
loadbalance dns-listener dl-chinatel-m
ip address 1.1.0.1
service enable
#
loadbalance dns-listener dl-chinatel-b
ip address 203.0.24.1
service enable
#
loadbalance dns-map dm
domain-name host.qq.com
service enable
virtual-server-pool dm
#
企业分别租用不同运营商联通cnc、电信chinatel四条链路link-cnc-1、link-cnc-2、link-chinatel-master、link-chinatel-backup为外网用户提供服务,这四条链路的路由器跳数、带宽和成本相同。外网用户访问host.qq.com时,优先根据ISP进行选路,即当联通用户访问host.qq.com时,轮流返回联通服务器地址183.232.x.x和140.207.128.140两个网段地址,其中183.232.x.x网段包括两个ip地址,183.232.98.190和183.232.100.100。当电信用户访问域名host.qq.com时,若主链路link-chinatel-master正常,则解析成电信服务器地址183.2.186.153,若主链路非可用状态,则解析成电信服务器地址183.61.47.15。
图5-93 虚服务池支持配置IP地址组网图
· 配置接口地址,保持上一跳,保证反向流量从同一条链路返回。
· 在每条链路上引用ICMP类型的健康检测模板,分别在健康检测模板中配置下一跳地址为链路的下一跳地址。
· 为了接收DNS请求,需要配置链路、DNS监听器。
· 为了能返回域名所对应的IP地址,需要在DNS映射里面的虚IP/虚服务列表直接配置IP地址。
· 为了使用户访问对应运营商的服务器,虚IP池首选调度算法使用静态就近性算法。
本举例是M9000-AD6的Ess 9060P16版本上进行配置和验证的。
在导航栏中选择“对象 > 健康检测”,单击<新建>按钮,进行如下配置:
图5-94 配置icmp类型健康检测icmp-cnc-1
单击<确定>,完成操作。
图5-95 配置icmp类型健康检测icmp-cnc-2
单击<确定>,完成操作。
图5-96 配置icmp类型健康检测icmp-chinatel-master
单击<确定>,完成操作。
图5-97 配置icmp类型健康检测icmp-chinatel-backup
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,单击<新建>,新建链路link-cnc-1,配置下一跳IP地址为61.156.0.2,引用健康检测模板icmp-cnc-1,如下图所示。
图5-98 新建链路link-cnc-1
单击<确定>,完成操作。
创建链路link-cnc-2、link-chinatel-master、link-chinatel-backup与link-cnc-1步骤相同:
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,单击<新建>,新建链路link-cnc-2,配置下一跳IP地址为180.223.0.2,引用健康检测模板icmp-cnc-2。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,单击<新建>,新建链路link-chinatel-master,配置下一跳IP地址为1.1.0.2,引用健康检测模板icmp-chinatel-master。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 链路”,单击<新建>,新建链路link-chinatel-backup,配置下一跳IP地址为203.0.24.2,引用健康检测模板icmp-chinatel-backup。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > DNS映射”,单击<新建>按钮,新建DNS映射名称为dm,添加域名为host.qq.com,新建虚IP/虚服务列表,首选调度算法选择静态就近性算法,次选调度算法选择加权最小连接算法,备选调度算法选择随机算法,并开启DNS映射功能和带宽繁忙保护功能。
如下图所示。
图5-99 新建DNS映射dm
在虚IP/虚服务列表,单击<新建>按钮,在弹出窗选择<虚IP>,配置IP地址183.232.98.190,关联链路link-cnc-1,单击<确定>,完成操作。
图5-100 关联链路link-cnc-1虚IP地址配置界面
在虚IP/虚服务列表,单击<新建>按钮,在弹出窗选择<虚IP>,配置IP地址183.232.100.100,关联链路link-cnc-1,单击<确定>,完成操作。
图5-101 关联链路link-cnc-1虚IP地址配置界面
在虚IP/虚服务列表,单击<新建>按钮,在弹出窗选择<虚IP>,配置IP地址140.207.128.140,关联链路link-cnc-2,单击<确定>,完成操作。
图5-102 关联链路link-cnc-2虚IP地址配置界面
在虚IP/虚服务列表,单击<新建>按钮,在弹出窗选择<虚IP>,配置IP地址183.2.186.153,关联链路link-chinatel-master,单击<确定>,完成操作。
图5-103 关联链路link-chinatel-master虚IP地址配置界面
在虚IP/虚服务列表,单击<新建>按钮,在弹出窗选择“虚IP”,配置IP地址183.61.47.15,关联链路link-chinatel-backup,单击<确定>,完成操作。
图5-104 关联链路link-chinatel-backup虚IP地址配置界面
设置首选调度算法为静态就近性算法,次选调度算法为加权最小连接算法,备选调度算法为随机算法,开启DNS映射功能和带宽繁忙保护功能。
图5-105 虚IP/虚服务列表配置界面
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > ISP”,先单击<选择>按钮,选择ISP文件,然后单击<导入>按钮,导入ISP文件。
图5-106 导入ISP文件
单击<导入>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 公共配置 > 区域”,单击<新建>按钮,新建区域名称为region-chinatel、region-cnc,分别选择ISP名称为chinatel、cnc,进行添加。
图5-107 新建区域region-chinatel
选择ISP为chinatel,单击<添加>按钮,
图5-108 区域region-chinatel配置界面
单击<确定>,完成操作。
图5-109 新建区域region-cnc
选择ISP为cnc,单击<添加>按钮,
图5-110 区域region-cnc配置界面
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > 静态就近性策略”,单击<新建>按钮,配置静态就近性策略,配置如下:
图5-111 新建region-chinatel静态就近性策略1
单击<确定>,完成操作。
图5-112 新建region-chinatel静态就近性策略2
单击<确定>,完成操作。
图5-113 新建region-cnc静态就近性策略1
单击<确定>,完成操作。
图5-114 新建region-cnc静态就近性策略2
单击<确定>,完成操作。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > DNS监听器”,单击<新建>,新建DNS监听器名称为dl-cnc-1,DNS监听器IPv4地址为61.156.0.1,并开启DNS监听功能,如下图所示。
图5-115 新建DNS监听器dl-cnc-1
单击<确定>,完成操作。
创建链路dl-cnc-2、dl-chinatel-m、dl-chinatel-b与dl-cnc-1步骤相同:
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > DNS监听器”,单击<新建>,新建DNS监听器名称为dl-cnc-2,DNS监听器IPv4地址为180.223.0.1,并开启DNS监听功能。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > DNS监听器”,单击<新建>,新建DNS监听器名称为dl-chinatel-m,DNS监听器IPv4地址为1.1.0.1,并开启DNS监听功能。
在导航栏中选择“策略 > 负载均衡 > 链路负载均衡 > 入链路负载均衡 > DNS监听器”,单击<新建>,新建DNS监听器名称为dl-chinatel-b,DNS监听器IPv4地址为203.0.24.1,并开启DNS监听功能。
· 在配置之前确保外网到负载均衡设备DNS监听路由可达。
· 导入可用的ISP文件。
· 为了实现组网需求,使联通用户访问域名host.qq.com时,同一个isp对应的两个topology的权值相同,将会按照1:1轮流返回两个联通服务器网段地址183.232.x.x和140.207.x.x。其中183.232.x.x网段包括两个ip地址,183.232.98.190和183.232.100.100,本配置举例中这两个地址以10:1的比例返回。
· 为了实现组网需求,当电信用户访问域名host.qq.com时,若主链路link-chinatel-master正常,则解析成电信服务器地址183.2.186.153,若主链路非可用状态,则解析成电信服务器地址183.61.47.15,同一个isp对应的两个topology的权值不同,优先返回高权值对应的ip网段,只有当其对应的link故障,状态为非可用状态(包括不可用、服务关闭、健康检测失败、繁忙)时,才返回低权值对应的ip网段。
(1) 联通用户访问域名情况
当联通用户访问域名host.qq.com时,轮流返回ip地址183.232.x.x、140.207.128.140,183.232.x.x包括地址183.232.98.190和183.232.100.100,返回地址的比例跟权值有关,为10:1,需要大量报文才能看出返回地址的比例。
图5-116 联通用户访问域名host.qq.com
(2) 电信用户访问域名host.qq.com
当主链路link-chinatel-master可用时,优先返回对应的ip网段183.2.186.153
图5-117 查看链路状态
图5-118 主链路link-chinatel-master可用时,电信用户访问域名host.qq.com
大包长ping1.1.0.1,使主链路link-chinatel-master状态繁忙,不参与调度时,则返回备用链路link-chinatel-backup对应的ip网段183.61.47.15
图5-119 查看链路状态
图5-120 主链路link-chinatel-master不可用时,电信用户访问域名host.qq.com
#
interface Route-Aggregation1.100
port link-mode route
ip address 61.156.0.1 255.255.0.0
ip last-hop hold
interface Route-Aggregation1.101
port link-mode route
ip address 180.223.0.1 255.255.0.0
ip last-hop hold
interface Route-Aggregation1.102
port link-mode route
ip address 1.1.0.1 255.255.0.0
ip last-hop hold
interface Route-Aggregation1.103
port link-mode route
ip address 203.0.24.1 255.255.0.0
ip last-hop hold
#
nqa template icmp icmp-cnc-1
next-hop ip 61.156.0.2
#
nqa template icmp icmp-cnc-2
next-hop ip 180.223.0.2
#
nqa template icmp icmp-chinatel-master
next-hop ip 1.1.0.2
#
nqa template icmp icmp-chinatel-backup
next-hop ip 203.0.24.2
#
loadbalance link link-cnc-1
router ip 61.156.0.2
success-criteria at-least 1
probe icmp-cnc-1
#
loadbalance link link-cnc-2
router ip 180.223.0.2
success-criteria at-least 1
probe icmp-cnc-2
#
loadbalance link link-chinatel-master
router ip 1.1.0.2
success-criteria at-least 1
probe icmp-chinatel-master
#
loadbalance link link-chinatel-backup
router ip 203.0.24.2
success-criteria at-least 1
probe icmp-chinatel-backup
#
loadbalance virtual-server-pool dm
predictor preferred topology
predictor alternate least-connection
predictor fallback random
bandwidth busy-protection enable
virtual-ip 140.207.128.140 link link-cnc-2
virtual-ip 183.2.186.153 link link-chinatel-master
virtual-ip 183.232.100.100 link link-cnc-1 weight 10
virtual-ip 183.232.98.190 link link-cnc-1
virtual-ip 183.61.47.15 link link-chinatel-backup
#
loadbalance isp file lbispinfo-v1.7.tp
#
loadbalance region region-chinatel
isp chinatel
#
loadbalance region region-cnc
isp cnc
#
topology region region-chinatel ip 183.2.0.0 16 priority 255
topology region region-chinatel ip 183.61.0.0 16
topology region region-cnc ip 140.207.0.0 16
topology region region-cnc ip 183.232.0.0 16
#
loadbalance dns-listener dl-cnc-1
ip address 61.156.0.1
service enable
#
loadbalance dns-listener dl-cnc-2
ip address 180.223.0.1
service enable
#
loadbalance dns-listener dl-chinatel-m
ip address 1.1.0.1
service enable
#
loadbalance dns-listener dl-chinatel-b
ip address 203.0.24.1
service enable
#
loadbalance dns-map dm
domain-name host.qq.com
service enable
virtual-server-pool dm
#
获取路径http://www.h3c.com.cn/,首页->支持->文档与软件->软件下载->安全->负载均衡产品->Comware V7 系列->H3C ISP File,获取该文件,下载完成后,可以直接通过web导入该文件,也可以上传到设备,通过命令行导入loadbalance isp file导入设备(如果是双机,请分别导入)。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
