当前位置: 首页 > article >正文

负载均衡技术【内网去外网运营商出口负载均衡】

article 2025/1/9 8:57:48

1 负载均衡概述

LB(Load Balance,负载均衡)是一种集群技术,它将特定的业务(网络服务、网络流量等)分担给多台网络设备(包括服务器、防火墙等)或多条链路,从而提高了业务处理能力,保证了业务的高可靠性。

1.1  技术优势

负载均衡技术具有以下优势:

    • 高性能:通过将业务较均衡地分配到多台设备或多条链路上,提高了系统的整体性能。
    • 可扩展性:可以方便地增加集群中设备或链路的数量,在不降低业务质量的前提下满足不断增长的业务需求。
    • 高可靠性:单个甚至多个设备或链路发生故障也不会导致业务中断,提高了系统的整体可靠性。
    • 可管理性:大量的管理工作都集中在应用了负载均衡技术的设备上,集群中的设备或链路只需要进行普通的配置和维护。
    • 透明性:对用户而言,集群等同于一个可靠性高、性能好的设备或链路,用户感知不到也不必关心具体的网络结构。增减集群中的设备或链路不会影响正常业务。

1.2  技术分类

负载均衡技术可分为以下几种类型:

  • 服务器负载均衡:在数据中心等组网中,通过此技术可将网络服务分担给多台服务器或防火墙进行处理,从而提高服务器或防火墙的处理能力。
  • 链路负载均衡:当存在多条运营商链路时,通过此技术可实现链路的动态选择,从而充分利用多条链路。链路负载均衡支持IPv4与IPv6,但不支持IPv4报文与IPv6报文的互相转换。根据数据的连接请求方向不同,链路负载均衡又分为以下三种:
  • 出方向链路负载均衡:当内网用户访问外部互联网存在多条链路时,可在多条链路上分担内网用户访问外部互联网的流量。
  • DNS透明代理:当内网用户访问外网DNS服务器存在多条链路时,可在多条链路上分担内网用户访问外部DNS服务器的流量。
  • 入方向链路负载均衡:当外网用户访问内网服务器存在多条链路时,可在多条链路上分担外网用户访问内网服务器的流量。

负载均衡配置思路

  1. 创建链路健康值  //目标地址是链路网关地址
  2. 配置外网的接口IP地址 //在接口上配置IP地址
  3. 开启NAT地址转换功能  //基于接口IP地址转发
  4. 配置所有的防火墙接口网段规划区域  //防火墙的接口加入到指定的区域
  5. 配置防火墙的安全策略(个人建议不要any到any)
  6. 配置防火墙的路由 //配置静态路由,默认下一条是运营商网关地址,修改优先级
  7. 创建负载均衡的链路
  8. 导入运营商的ISP路由表

https://www.h3c.com/cn/Service/Document_Software/Software_Download/IP_Security/LB/Comware_V7/H3C_ISP_File/

  1. 创建负载均衡规则流量匹配特征
  2. 配置创建链路组与链路绑定
  3. 配置IPV4选路策略
  4. 测试

1 配置需求及说明

运营商路由表文件下载地址:

https://www.h3c.com/cn/Service/Document_Software/Software_Download/IP_Security/LB/Comware_V7/H3C_ISP_File/

1.1 适用的产品系列

本案例适用于如F1080、F1070、F5040、F5020等F10X0、F50X0系列的防火墙。

1.2 配置需求及实现的效果

某公司为达到业务流量快速转发和链路冗余需求申请了三条不同运营商的外网线路,需要实现如下需求:

  1. 要求内网用户
  • 访问目的地址为移动链路数据从移动链路转发、
  • 访问目的地址为联通链路数据从联通链路转发、
  • 访问目的地址为电信链路数据从电信链路转发需求。

2)财务部门因为经常访问网银等支付平台,目前不希望出口IP地址经常变化。指定财务数据从电信转发并希望当电信流量负载到带宽的90%后,后面流量负载到联通链路上。

2 组网图

说明:

ISP

外网接口

公网地址/掩码

公网网关

移动

1/0/3

218.200.5.8/24

218.200.5.9

联通

1/0/2

14.204.0.2/24

14.204.0.1

电信

1/0/1

202.90.112.2/24

202.90.112.1

配置步骤

3 配置步骤

3.1 创建链路健康监测条件(目的地址为网关地址)

#在防火墙界面“对象”>”健康监测”中创建健康检测策略。

#创建移动链路的健康性检测策略,目的地址为移动链路网关。

#创建联通链路的健康性检测策略,目的地址为联通链路网关。

#创建电信链路的健康性检测策略,目的地址为电信链路网关。

注:

1) 防火墙早期版本健康检测选项位于“策略”>“负载均衡”>“全局配置”中,配置方法相同。

2) 健康检测目的地址未添加情况下可以条用在不同的链路,默认检测直联下一跳是否可达。

3.2 配置外网接口配置

#在“网络”>”IP”中配置移动链路接口地址,并开启保存上一跳功能。

#在“网络”>”IP”中配置联通链路接口地址,并开启保存上一跳功能。

#在“网络”>”IP”中配置电信链路接口地址,并开启保存上一跳功能。

3.3 开启各链路Nat地址转换功能

#策略>NAT >NAT动态转换中添加三条链路的地址转换策略。

配置电信接口NAT转换策略:

配置联通接口NAT转换策略:

配置移动接口NAT转换策略:

3.4 内网网段及安全域配置

############

3.5 安全域及安全策略配置

#网络>安全域中将三条外网链路接口移动至不信任(untrust)区域。

GE1/0/ GE1/0/2 GE1/0/3

#在”策略”>”安全策略”中选择新建安全策略。

#创建全放通的安全策略,因为本章内容重点涉及负载均衡,安全策略采用最简配置,策略名称为pass、源安全域为any、目的安全域为any,其余配置均为默认,配置完成后点击确定。

注:

1) 防火墙早期版本在源安全域和目的安全域中没有名称为“any”安全域,建议源安全域将所有安全域勾选、目的安全域将所有安全域勾选的方法实现流量放通。

2) 安全策略请按照现场需求进行调整,防火墙不建议配置全放通的安全策略。

3.6 路由设置

**#在“网络”>“路由”>“静态路由”中新建IPV4静态路由,**并设置路由优先级,防止负载均衡策略异常导致网络中断,设置电信为流量转发的默认路径。

配置电信链路路由:

配置联通链路路由:

配置移动链路路由:

注:路由优先级越小路由越优先。

下一条地址为 运营商的网关地址

3.7 创建负载均衡中的链路

#在“策略”>“负载均衡”>“全局配置”>“链路”中新建三条链路。

3.7.1 创建电信链路

*将电信链路带宽调整为100M,设置带宽繁忙比当带宽利用率超过90%100M=90M,新建session会负载到其他链路。

3.7.2 创建联通链路

将链路名称设置为**“联通链路”、下一跳地址设置为联通链路对应的网关地址:14.204.0.1。**

3.7.3 创建移动链路

将链路名称设置为**“移动链路”、下一跳地址设置为移动链路对应的网关地址:218.200.5.9**。

3.7.4 配置财务链路

将链路名称设置为**“财务链路”、下一跳地址设置为电信链路对应的网关地址:202.90.112.1**。

3.8 导入运营商ISP路由表

防火墙运营商ISP路由表下载链接:

H3C ISP File-新华三集团-H3C

官网ISP路由表文件路径:

首页>产品支持与服务>文档与软件>软件下载>安全>H3C ISP地址表项文件

注:下载账号密码为:yx800/01230123

#在“策略”>“负载均衡”>“全局配置”>“ISP”中将下载的IPS文件选中后导入。

导入成功后在ISP列表中出现各运营商的路由表:

3.9 创建负载均衡规则流量匹配特征

#在“策略”>“负载均衡”>“链路负载均衡 ”>“流量特征”中新建流量特征规则。

3.9.1 建立电信负载规则匹配电信ISP表

#在Match规则中新建匹配规则,其中类型为ISP、ISP为chinatel(电信)

3.9.2 建立联通负载规则匹配联通ISP表

#在Match规则中新建匹配规则,其中类型为ISP、ISP为cnc(联通)

3.9.3 建立移动负载规则匹配移动ISP表

#在Match规则中新建匹配规则,其中类型为ISP、ISP为cmcc(移动)

3.9.4 建立财务负载规则匹配172.16.0.0财务网段

#在Match规则中新建匹配规则,其中类型为源IPV4、IPV4地址为172.16.0.0、掩码长度为24。

3.10 创建链路组与链路绑定

#在“策略”>“负载均衡”>“链路负载均衡 ”>“出链路负载均衡 ” >“链路组”中点击新建。

3.10.1 配置电信链路组

链路组名称设置为电信链路组、健康性检测方法设置选择china-nqa、成员列表中点击添加按钮添加电信链路、链路故障处理方式为”重定向连接”。

3.10.2 配置联通链路组

链路组名称设置为联通链路组、健康性检测方法设置选择cnc-nqa、成员列表中点击添加按钮添加联通、链路故障处理方式为”重定向连接”。

3.10.3 配置移动链路组

链路组名称设置为移动链路组、健康性检测方法设置选择cmcc-nqa、成员列表中点击添加按钮添加移动链路、链路故障处理方式为”重定向连接”。

3.10.4 配置财务链路组

链路组名称设置为财务链路组、健康性检测方法设置选择china-nqa、成员列表中点击添加按钮添加财务链路、链路故障处理方式为”重定向连接”。

注:

设置链路失败的reschedule:重定向连接,即把连接重定向到链路组中其它可用的链路上。

3.11 创建IPV4选路策略

#策略>负载均衡>链路负载均衡 >出链路负载均衡 >IPV4选路策略中开启负载均衡服务并新建策略。

注:default为系统默认策略无法删除。

3.11.1 创建财务链路的选路策略

**流量特征选择”财务”、转发动作选择“负载均衡”、主用链路选择“电信链路组”、**选择链路失败处理方式为继续匹配下一条策略。

3.11.2 创建电信链路的选路策略

流量特征选择电信ISP、转发动作选择“负载均衡”、主用链路选择“电信链路组”、选择链路失败处理方式为继续匹配下一条策略。

3.11.3 创建联通链路的选路策略

流量特征选择联通ISP、转发动作选择“负载均衡”、主用链路选择“联通链路组”、选择链路失败处理方式为继续匹配下一条策略。

3.11.4 创建移动链路的选路策略

流量特征选择移动ISP、转发动作选择“负载均衡”、主用链路选择“移动链路组”、选择链路失败处理方式为继续匹配下一条策略。

3.11.5 将默认的default策略转发规则设置为转发

**将默认的“default”策略转发规则设置为转发,**使既不匹配财务也不匹配ISP流量特征的数据按照路由表转发。

3.12 保存配置

在设备右上角选项卡中保存配置。

3.13 配置验证

3.13.1 测试电信链路

在内网找一台地址为192.168.0.2的电脑,访问外网一个地址看是从哪个接口出?用来

判断ISP路由是否配置正确?将外网模拟设备的IP地址修改为1.4.1.1进行测试。

设备内置的电信路由表:

Teacert结果:

防火墙会话:

查看数据是否从对应链路组转发。

3.13.2 测试联通链路

在内网找一台地址为192.168.0.2的电脑,访问外网一个地址看是从哪个接口出?用来

判断ISP路由是否配置正确?将外网模拟设备的IP地址修改为27.50.128.1进行测试。

设备内置的联通路由表:

Teacert结果:

防火墙会话:

.

3.13.3 测试移动链路

在内网找一台地址为192.168.0.2的电脑,访问外网一个地址看是从哪个接口出?用来

判断ISP路由是否配置正确?将外网模拟设备的IP地址修改为43.251.244.1进行测试。

设备内置的移动路由表:

Teacert结果:

防火墙会话:

3.13.4 测试总结

测试结果符合需求预期,可以达到数据的准确转发。


http://www.kler.cn/a/472735.html

相关文章:

  • selenium合集
  • 道品科技智慧农业与云平台:未来农业的变革之路
  • Ubuntu18.04离线安装audit
  • 微信小程序之历史上的今天
  • Java 日期时间格式化标准
  • select下拉框,首次进入页面没有显示value的情况
  • Web3 社交革命:告别中心化,拥抱多元连接
  • Nacos注册中心微服务注册
  • 如何在 Docker 中切换登录用户
  • 前端笔记:路由
  • 深度学习第三弹:python入门与线性表示代码
  • find 查找文件grep匹配数据
  • 【Altium】AD使用智能粘贴功能把多个网络标签改成端口
  • Erlang语言的字符串处理
  • Visual CoT:解锁视觉链式思维推理的潜能
  • nginx 日志规范化意义及实现!
  • 【江协STM32】10-2/3 MPU6050简介、软件I2C读写MPU6050
  • PHP MySQL 读取数据
  • canal同步es,sql注意事项
  • WJsoft-D-Security数据仿泄露系统(DLP)存在任意文件读取漏洞
  • Linux存储管理之核心秘密(The Core Secret of Linux Storage Management)
  • ios越狱脚本巨魔商店安装教程
  • 【Java 学习】对象赋值的艺术:Java中clone方法的浅拷贝与深拷贝解析,教你如何在Java中实现完美复制
  • 【超详细】MIT 液态神经网络(LNNs)——深度学习新动向
  • ubuntu18升级至ubuntu20
  • wps宏js接入AI功能和接入翻译功能