H3C的secBlade服务器负载均衡双机热备典型配置

合集下载

H3C SecPath高端防火墙操作手册(V5.03)

目录1 简介...................................................................................................................................................1-11.1 分册简介............................................................................................................................................1-12 业务特性明晰.....................................................................................................................................2-12.1 概述...................................................................................................................................................2-12.2 特性功能索引.....................................................................................................................................2-12.3 特性功能明晰.....................................................................................................................................2-22.3.1 防火墙功能Web配置分册........................................................................................................2-22.3.2 SSL VPN功能Web配置分册...................................................................................................2-82.3.3 安全分册.................................................................................................................................2-92.3.4 接入分册...............................................................................................................................2-102.3.5 IP业务分册............................................................................................................................2-102.3.6 IP路由分册............................................................................................................................2-112.3.7 系统分册...............................................................................................................................2-112.3.8 VPN分册...............................................................................................................................2-132.3.9 IP组播分册............................................................................................................................2-131 简介z本手册当前适用于H3C SecPath F1000-E（F3166）、F1000-S-EI（E5114）及SecBlade防火墙插卡（F3166）产品。

有两台服务器如何做双机热备

有两台服务器如何做双机热备双机热备是一种常见的服务器配置方式，可以提高系统的可用性和容错性。

通过配置两台服务器，当其中一台服务器出现故障时，另一台服务器可以立即接管工作，确保系统的连续性和稳定性。

本文将介绍如何进行双机热备配置，以及配置过程中需要注意的问题。

一、双机热备的基本原理双机热备的基本原理是将两台服务器配置为主备关系。

其中一台服务器作为主服务器（Master），负责处理用户请求和业务逻辑；另一台服务器作为备服务器（Backup），处于待命状态，等待接管主服务器的工作。

主备服务器之间通过网络进行通信，保持数据的同步和一致性。

二、双机热备的配置步骤1. 确定主备服务器的角色和IP地址：首先需要确定哪台服务器将担任主服务器，以及每台服务器的IP地址。

主服务器通常配置为具备更高性能的服务器，而备服务器则配置为相对较低性能的服务器。

2. 安装并配置操作系统：在两台服务器上安装并配置相同版本的操作系统，确保操作系统的版本和配置相同，以保证数据的一致性。

常见的操作系统包括Windows Server和Linux等。

3. 安装并配置数据库和应用程序：根据实际需求，在主备服务器上安装并配置相同版本的数据库和应用程序。

数据库和应用程序的版本、配置和数据结构需要保持一致，以确保数据的同步和一致性。

4. 配置网络和通信：配置主备服务器之间的网络和通信，确保主备服务器可以相互通信并进行数据同步。

可以使用局域网（LAN）或广域网（WAN）进行通信，常见的网络通信协议包括TCP/IP等。

5. 配置双机热备软件：选择并安装适用于双机热备的软件，常见的软件包括Heartbeat、Keepalived和Pacemaker等。

这些软件可以监控主服务器的运行状态，一旦主服务器发生故障，备服务器可以立即接管。

6. 测试和验证：在配置完成后，进行测试和验证，确保主备服务器能够正常工作。

可以模拟主服务器宕机的情况，观察备服务器是否能够顺利接管，并能够继续处理用户请求和业务逻辑。

H3C防火墙双机热备虚拟防火墙

防火墙概述
流与会话
流（Flow），是一种单方向旳概念，根据报文所携带旳三元组或者五元组唯一标识
会话（Session），是一种双向旳概念，一种会话一般关联两个方向旳流，一种为会话发起方（Initiator），另外一种为会话响应方（Responder）。经过会话所属旳任一方向旳流特征都能够唯一拟定该会话以及方向
防火墙双机热备和虚墙
目录
防火墙概述防火墙双机热备虚拟防火墙
目录
防火墙双机热备虚拟防火墙
防火墙概述
安全区域
安全区域是防火墙区别于一般网络设备旳基本特征之一。以接口为边界，按照安全级别不同将业务提成若干区域，防火墙旳策略（如域间策略、攻击防范等）在区域或者区域之间下发
接口只有加入了业务安全区域后才会转发数据
虚拟防火墙
v5平台虚拟防火墙
创建vd，并加入组员接口创建vd内旳安全域并配置域间策略配置VPN 实例与接口关联配置VRF 路由转刊登
虚拟பைடு நூலகம்火墙
v7平台虚拟防火墙
创建context，并加入组员接口开启并登陆context 配置安全域及域间策略配置互联地址及路由
防火墙概述
其他安全特征
• 域间策略（包过滤策略，对象策略） • ASPF（Advanced StatefulPacket Filter，高级状态包过滤） • ALG • 攻击检测与防范（Smurf单包攻击，SYN flood攻击等）
目录
防火墙概述
虚拟防火墙
防火墙双机热备
对网络可靠性旳要求越来越高,确保网络旳不间断传播，在这些业务点上假如只使用一台设备，不论其可靠性多高，系统都必然要承受因单点故障而造成网络业务中断旳风险

H3C SecPath L5000-S[L5000-C]负载均衡设备快速安装指南-APW100-整本手册

Remarks
By default, no real server group is created. By default, the scheduling algorithm for the real server group is weighted round robin. By default, only the real server with the highest priority participates in scheduling. By default, when at least one real server is available, the real server group is available. , By default, the fault processing method is which means all available connections are kept. By default, no real server is created. Use at least one method. By default, no IPv4 or IPv6 address is configured for the real server. By default, the port number of the real server is 0. By default, the weight of the real server is 100. By default, the priority of the real server is 4. By default, the real server does not belong to any real server group. By default, no virtual server is created. Use at least one method. By default, no IPv4 or IPv6 address is configured for the virtual server. By default, the port number of the virtual server is 0. Use at least one method. By default, no default real server group, backup real server group, or persistence group is specified for the virtual server, and the virtual server does not reference any LB policy. By default, the virtual service function is disabled for the virtual server.

深信服负载均衡主备双机配置

深信服负载均衡主备双机一、主备双机配置界面主备』设置双机热备功能。

界面如下图所示：名称』自定义设备的名称，方便区分当前哪台设备处于主模式。

状态』中［启用］用来启用双机，［禁用］用来禁用双机。

『超时时间』当在超时时间内备机一直无法收到主机发送的心跳包，则认为主机超时，备机主动切换成主机。

『通信介质』选择连接双机的接口，可以用串口和空闲的网口。

选择网口后，需要为该网□配置一个IP地址,只要不与正在使用的IP地址冲突即可。

建议选择网□作为通信介质，通过网口来做双机切换比串口切换花费的时间短。

通信介质选择网口，则可以实现会话同步。

『MAC同步』用于设置双机切换是否同步MAC地址。

『同步网□列表』用于设置切换双机的时候同步哪些接□的MAC地址，需要开启MAC同步才会显示该选项。

『通信介质故障检测』通过网络数据包来检测对端是否存在，避免两台设备成为主机导致IP冲突。

两台设备的通信介质故障检测网□需要接到同一个广播域，可以选择已经使用的网□，也可以选择空闲网□，选择空闲网□需要设置IP地址。

界面如下：同步配置』点击向备机同步配置。

故障切换』用于设置双机切换条件，符合此处设置的条件则进行主备切换，界面如下：『状态』用于设置是否启用双机故障切换检测，『检测类型』分为『掉线检测』、『ARP检测』、『健康检查』3种，设置后点击添加可以组合使用多种检测方法，［删除可以取消选中的检测方法。

『掉线检测』当检测到网口物理状态不正常则进行切换。

『ARP检测』AD设备向选择的接□发送ARP广播，如果监视主机里填写的IP地址有回应ARP，则判断正常。

该监视主机地址需要填写与AD设备接□同一网段的地址。

界面如下：『健康检查』通过网络接□处设置的链路健康检查机制来检测，当选择健康检查后，只有启用了链路健康检查的链路才可选，界面如下：故晖切换状态检刪类型检测列克切换条件主备状态』分为“主机”、“备机”，可通过右边的切换按钮进行主备切换。

网络建设部-H3C SecBlade学习资料

安全域—为什么需要安全域安全域为什么需要安全域
传统防火墙通常都基于接口进行策略配置，传统防火墙通常都基于接口进行策略配置，网络管理员需要为每一个接口配置安全策略。为每一个接口配置安全策略。防火墙的端口朝高密度方向发展，防火墙的端口朝高密度方向发展，基于接口的策略配置方式给网络管理员带来了极大的负担，给网络管理员带来了极大的负担，安全策略的维护工作量成倍增加，从而也增加了因为配置引入安全风险的概率。增加，从而也增加了因为配置引入安全风险的概率。
会话（），是一个双向的概念会话（Session），是一个双向的概念，一个会话），是一个双向的概念，通常关联两个方向的流，通常关联两个方向的流，一个为会话发起方），另外一个为会话响应方（Initiator），另外一个为会话响应方），）。通过会话所属的任一方向的流特（Responder）。通过会话所属的任一方向的流特）。征都可以唯一确定该会话以及方向。征都可以唯一确定该会话以及方向。
安全域—会话的创建安全域会话的创建
对于TCP流，发起方和响应方三次握手后建立稳流对于定会话。定会话。对于UDP/ICMP/Raw IP流，发起方和响应方完整对于流交互一次报文后建立稳定会话。交互一次报文后建立稳定会话。
SecPath系列防火墙系列防火墙
t
Untrust
配置维护太复杂了！太复杂了！
教学楼 #1 教学楼 #2 教学楼 #3 服务器群
办公楼 #1 办公楼 #2 实验楼 #1 实验楼 #2 宿舍楼 Internet
安全域—什么是安全域？安全域什么是安全域？什么是安全域
将安全需求相同的接口划分到不同的域，将安全需求相同的接口划分到不同的域，实现策略的分层管理。实现策略的分层管理。

H3C SecPath防火墙系列产品混合模式的典型配置

H3C SecPath防火墙系列产品混合模式的典型配置
一、组网需求：
组网图中需要三台PC, PC1和PC4在Trust区域；PC2处于DMZ区域，其IP地址与PC1和PC4在同一网段，PC3位于Untrust区域，为外部网络。

G0/0接口和G1/0接口属于同一个桥组Bridge1。

对于访问控制有如下要求：
在防火墙G0/1接口上配置NAT，使Trust区域与DMZ区域通过地址转换才能访问Untrust区域；
通过NAT Server使DMZ区域对Untrust区域提供WWW服务；
在G1/0接口绑定ASPF策略并配合包过滤，使得Trust区域用户可以访问DMZ区域设备；但DMZ区域不能访问Trust区域；
在G0/0接口上绑定基于MAC地址的访问控制列表禁止PC4访问其他任何区域。

二、组网图：
支持混合模式的产品型号有：Secpath F1000-A/F1000-S/F100-E/F100-A；版本要求Comware software, Version 3.40, ESS 1622及以后。

四、配置关键点：
1、每一个桥组都是独立的，报文不可能在分属不同桥组的端口之间
传输。

换句话说，从一个桥组端口接收到的报文，只能从相同桥
组的其他端口发送出去。

防火墙上的一个接口不能同时加入两个
或两个以上的桥组。

2、要实现不同桥组之间或二层接口和三层接口之间数据转发，需要
创建桥组虚接口，并且将桥组虚接口加入到相应的区域。

新华三安全产品介绍

流量控制（AC特性）防病毒（AV特性）
多WAN口负载均衡
H3C F100-S-G
800M 5*GE
50人（免费）
支持支持支持
HW USG2220
Cisco ASA5510
300M 5*FE 自带2个，最大250个，需配置License
不支持
不支持
HW USG2230
400M 2*GE combo
双管齐下
支持4-7层深度安全防御全面支持IPv6，包括领先的 IPv6状态防火墙设备性能大幅提升支持虚拟化，节省用户投资更加简易的配置管理方式
软件由V3向V5迈进
H3C新一代F1000系列防火墙性能总览
规格说明防火墙吞吐量推荐PC带机量
IPSec VPN SSL VPN并发用户数 SSL VPN可管理账号数
百兆的价格，千兆的性能
F100-E-G
新
F100-A-SI
F100-A-G
新
F100-M-G
F100-M-SI
1G
F100-S-G
900M
1.1G
F100-C-G 400M
800M
1.2G
1.6G
H3C新一代F100系列防火墙性能总览
梯度覆盖400M到1.6G带宽网络环境，全面满足中小企业客户安全部署需求；拥有全千兆接口硬件，为用户提供极高性价比的部署方案；
3DES加密性能 IPSec隧道数 L2TP隧道数 GRE隧道数 SSL VPN并发用户数 Portal接入并发用户数
WLAN/3G
F100-C-SI 不支持
F100-C-AI 200M 10万 15K/S 100 10Mbps 100 128 128

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

修订记录Revision Records日期Date 修订版本Revision描述Description作者Author2009-7-29 (V1.00) 初稿06399目录1组网拓扑： (5)1.1对组网拓扑说明： (5)1.2LB上业务调用说明： (6)2数据流量走向说明： (7)2.1数据流量走向说明： (7)3组网配置 (8)3.1防火墙配置 (8)3.2S65配置： (8)3.3S75配置 (9)3.3.1S75-01配置： (9)3.3.2S75-01配置： (9)3.4LB配置 (10)3.4.1LB配置： (10)4配置注意事项 (12)1 组网拓扑组网拓扑：：图1 组网拓扑图1.1 对组网拓扑说明：两台防火墙设备到外网做NAT server 同时对外映射了WEB Server 服务器，两台S65交换机作为核心路由交换设备，下连WEB 服务器和应用服务器，服务器对外提供WEB 访问和用户登陆查询相关信息。

两台防火墙启用双机热备，实现业务冗余备份，同时配置两个Vrrp 组（做主备模式），对外网Vrrp 组vrid 2（218.65.103.252）作为外网到内网转发数据报文的下一跳（可以保证在防火墙），对内vrrp 组 vrid 1（172.16.101.3）作为S65到外网转发数据报文的下一跳，防火墙上两个Vrrp做互相Track，保证上、下行数据报文转发一致。

S65交换机上也配置两个Vrrp组，Vrrp组vrid6（172.16.101.6）作为防火墙转发外网到内网数据流量的下一跳，Vrrp组vrid 15（134.224.15.121）作为下连服务器（服务器上的默认网关为S6503上vrid 15（134.224.15.121））和旁路LB 的网关。

两台7503E（LB插卡插在S75上）交换机之间做二层模式，7503E与LB相连的10GE口做trunk口；在两块LB板卡上各配置一个三层子接口，在子接口上做一组VRRP Vrid3 ，该vrrp虚地址（134.224.15.3）作为S6503到LB设备虚服务IP的目的IP，两台LB之间同时使能双机热备，实现业务冗余备份。

1.2 LB上业务调用说明：在LB设备上要经过两次业务调用过程；首先，在外网防火墙上对内网WEB服务器做NAT Server映射，NAT Server 映射地址为LB上配置的虚服务地址（虚服务地址为：172.16.1.100详见配置），外网用户访问WEB Server对外映射的公网服务器地址，访问数据经过防火墙转发到达S65交换机，S65交换机通过查找路由将访问数据送到LB的Vrrp组的主设备上去，数据到达LB设备后，经过LB后将访问数据分发到真实的WEB 服务器上去，当用户需要用通过WEB页面登陆查询数据信息，此时，WEB服务器就会调用后台的App Server（应用服务器）；在LB上又配置了另一组虚服务(虚服务地址为：172.16.1.101详见配置)，这里需要在WEB服务器上调用APP 服务器的目的地址改为LB上对应App应用的虚服务地址（172.16.1.101），当WEB服务器去调用应用服务器时数据流量再次送回到LB上经过LB后送到真应用服务器上；对于这种业务之间存在相互关联关系的应用和长连接业务，配置LB时要选择“基于源IP的散列算法”同时要使能“持续性”。

2 数据流量走向说明数据流量走向说明：：图2 数据流量走线示意图2.1 数据流量走向说明：入方向入方向：：外网客户访问对外映射的内网服务器时（防火墙上NAT Server 映射地址为LB 上的虚服务地址172.16.1.100），防火墙上查找路由将目的地址为该虚服务的IP 送到到S65交换机上（此处防火墙上要添加到虚服务的路由）， S65交换机上根据路由将流量引到LB 上（如图中流量1所示），因此S6503上需要添加目的IP 到虚服务的下一跳指向LB 上的Vrrp 需地址134.224.15.3； LB 做转换，将目的地址转换为实服务器的地址，源地址转换为虚服务的地址，数据流引向服务器（如图中流量2所示）；WEB 服务器调用应用服务器时访问LB 上虚地址（172.16.1.101），服务器网关都在65上，数据包到65上查找路由将WEB 调用应用的流量送到LB 上（如图中流量3所示），LB 做转换，将目的地址转换为实服务器的地址，源地址转换为虚服务的地址，数据流引向服务器（如图中流量4所示）；此时，完成一次业务访问过程，相当于在LB 上进行了两次负载均衡；出方向出方向：：服务器的默认网关为S6503的vrid 15（134.224.15.121），目的为虚服务地址，S6503根据路由将目的地址为虚服务地址送到LB Vrrp 的虚地址，将流量引向LB ，LB 做转换后，将数据发往S6503，送往外网。

3 组网配置3.1 防火墙配置NAT Server 映射配置映射配置：：nat server protocol tcp global 218.65.103.252 www inside 172.16.1.100 www nat server protocol tcp global 218.65.103.252 4321 inside 172.16.1.100 4321 nat server protocol icmp global 218.65.103.252 inside 172.16.1.100路由配置路由配置：：ip route-static 172.16.1.100 255.255.255.255 172.16.101.1说明说明：：在此只列出关键配置，其余配置略............. 3.2 S65配置：路由配置路由配置：：ip route-static 172.16.1.100 255.255.255.255 134.224.15.3 ip route-static 172.16.1.101 255.255.255.255 134.224.15.3说明说明：：在此只列出关键配置，其余配置略.............3.3 S75配置3.3.1S75-01配置：interface GigabitEthernet2/0/7port access vlan 15//75与65相连的接口interface GigabitEthernet2/0/17port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 15//75_1与75_2相连的接口，允许LB的VRRP相应vlan通过interface Ten-GigabitEthernet4/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 15//LB 与75_1相连的接口3.3.2S75-01配置：interface GigabitEthernet2/0/7port access vlan 15//75与65相连的接口interface GigabitEthernet2/0/17port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 15//75_2与75_1相连的接口，允许LB的VRRP相应vlan通过interface Ten-GigabitEthernet4/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 15 //75_2与LB 相连接口 3.4 LB 配置 3.4.1 LB 配置： 1. 命令行：interface Ten-GigabitEthernet0/0.15 vlan-type dot1q vid 15ip address 134.224.15.1 255.255.255.128 vrrp vrid 3 virtual-ip 134.224.15.3 vrrp vrid 3 priority 105 //配置服务器网段的IP 地址ip route-static 0.0.0.0 0.0.0.0 134.224.15.121//LB 板卡的网关指向与S6503通信的三层接口，vrid 15的虚IP134.224.15.1212. WEB 页面配置：负载均衡->服务器负载均衡->实服务组实服务组：：负载均衡->服务器负载均衡->实服务服务：：虚服务：负载均衡->虚服务：服务器负载均衡负载均衡->服务器注：WEB服务器对应的虚服务为V_web，虚服务IP为172.16.1.100，虚服务的协议类型为任意，端口号为任意，采用“网络地址转换”的转发模式，并使能“SNAT使能”，但是不配置源地址池，这样当LB进行NAT转换时将把源地址转换为虚服务地址，这样服务器的默认网关为S6503的Vrid 15的虚地址，不需要改任何配置。

对应的实服务组是web，并使能虚服务，此虚服务才会生效。

：双机热备管理：高可靠性->双机热备管理注：双机热备配置在保存配置重启后才会生效配置相似，，再次不在重复另一侧LB配置与LB-Master配置相似4 配置注意事项1.对于这种一次业务交互可能包括多个连接的应用，有些存在隐含的关联关系的应用，要配置基于源IP的散列算法并使能“持续性”；2.对于健康型检测的选择要根据实际服务器的应用来选择合适的健康检测算法（如：有些服务器不支持ping）；3.对于某些服务器提供多种服务，在配置“实服务”与“虚服务”时注意端口的选择，建议配置时现将所有端口都放开，以免应用中调用多个端口，由于配置而影响应用；4.只有将LB的端口加入到域中，虚拟分片重组才会生效；5.由于板卡自身没有时钟（板卡重启后恢复为默认时钟），建议在板卡上配置Acsei或NTP与交换机或其它设备来同步时钟；。