H3C的secBlade服务器负载均衡双机热备典型配置

LB服务器负载均衡（双机热备）

配置参考

H3C Technologies Co., Limited, Copyright 2003-2009,

All rights reserved

杭州华三通信技术有限公司

版权所有 侵权必究

前言

本文参考LB在江西电信网上营业厅实施方案更改，作为服务器负载均衡双机热备配置参考所用，如有不妥之处请指正，多谢。

修订记录Revision Records

日期Date 修订版本

Revision

描述

Description

作者

Author

2009-7-29 (V1.00) 初稿06399

目录

1组网拓扑： (5)

1.1对组网拓扑说明： (5)

1.2LB上业务调用说明： (6)

2数据流量走向说明： (7)

2.1数据流量走向说明： (7)

3组网配置 (8)

3.1防火墙配置 (8)

3.2S65配置： (8)

3.3S75配置 (9)

3.3.1S75-01配置： (9)

3.3.2S75-01配置： (9)

3.4LB配置 (10)

3.4.1LB配置： (10)

4配置注意事项 (12)

1 组网拓扑组网拓扑：：

图1 组网拓扑图

1.1 对组网拓扑说明：

两台防火墙设备到外网做NAT server 同时对外映射了WEB Server 服务器，两台S65交换机作为核心路由交换设备，下连WEB 服务器和应用服务器，服务器对外提供WEB 访问和用户登陆查询相关信息。

两台防火墙启用双机热备，实现业务冗余备份，同时配置两个Vrrp 组（做主备模式），对外网Vrrp 组vrid 2（218.65.103.252）作为外网到内网转发数据报文的下一跳（可以保证在防火墙），对内vrrp 组 vrid 1（172.16.101.3）作为S65到

外网转发数据报文的下一跳，防火墙上两个Vrrp做互相Track，保证上、下行数据报文转发一致。

S65交换机上也配置两个Vrrp组，Vrrp组vrid6（172.16.101.6）作为防火墙转发外网到内网数据流量的下一跳，Vrrp组vrid 15（134.224.15.121）作为下连服务器（服务器上的默认网关为S6503上vrid 15（134.224.15.121））和旁路LB 的网关。

两台7503E（LB插卡插在S75上）交换机之间做二层模式，7503E与LB相连的10GE口做trunk口；在两块LB板卡上各配置一个三层子接口，在子接口上做一组VRRP Vrid3 ，该vrrp虚地址（134.224.15.3）作为S6503到LB设备虚服务IP的目的IP，两台LB之间同时使能双机热备，实现业务冗余备份。

1.2 LB上业务调用说明：

在LB设备上要经过两次业务调用过程；

首先，在外网防火墙上对内网WEB服务器做NAT Server映射，NAT Server 映射地址为LB上配置的虚服务地址（虚服务地址为：172.16.1.100详见配置），外网用户访问WEB Server对外映射的公网服务器地址，访问数据经过防火墙转发到达S65交换机，S65交换机通过查找路由将访问数据送到LB的Vrrp组的主设备上去，数据到达LB设备后，经过LB后将访问数据分发到真实的WEB 服务器上去，当用户需要用通过WEB页面登陆查询数据信息，此时，WEB服务器就会调用后台的App Server（应用服务器）；在LB上又配置了另一组虚服务(虚服务地址为：172.16.1.101详见配置)，这里需要在WEB服务器上调用APP 服务器的目的地址改为LB上对应App应用的虚服务地址（172.16.1.101），当WEB服务器去调用应用服务器时数据流量再次送回到LB上经过LB后送到真应用服务器上；

对于这种业务之间存在相互关联关系的应用和长连接业务，配置LB时要选择“基于源IP的散列算法”同时要使能“持续性”。

2 数据流量走向说明数据流量走向说明：：

图2 数据流量走线示意图

2.1 数据流量走向说明：

入方向入方向：：外网客户访问对外映射的内网服务器时（防火墙上NAT Server 映射地址为LB 上的虚服务地址172.16.1.100），防火墙上查找路由将目的地址为该虚服务的IP 送到到S65交换机上（此处防火墙上要添加到虚服务的路由）， S65交换机上根据路由将流量引到LB 上（如图中流量1所示），因此S6503上需要添加目的IP 到虚服务的下一跳指向LB 上的Vrrp 需地址134.224.15.3； LB 做转

换，将目的地址转换为实服务器的地址，源地址转换为虚服务的地址，数据流引向服务器（如图中流量2所示）；WEB 服务器调用应用服务器时访问LB 上虚地址（172.16.1.101），服务器网关都在65上，数据包到65上查找路由将WEB 调用应用的流量送到LB 上（如图中流量3所示），LB 做转换，将目的地址转换为实服务器的地址，源地址转换为虚服务的地址，数据流引向服务器（如图中流量4所示）；此时，完成一次业务访问过程，相当于在LB 上进行了两次负载均衡；

出方向出方向：：服务器的默认网关为S6503的vrid 15（134.224.15.121）

，目的为虚服务地址，S6503根据路由将目的地址为虚服务地址送到LB Vrrp 的虚地址，将流量引向LB ，LB 做转换后，将数据发往S6503，送往外网。

3 组网配置

3.1 防火墙配置

NAT Server 映射配置映射配置：：

nat server protocol tcp global 218.65.103.252 www inside 172.16.1.100 www nat server protocol tcp global 218.65.103.252 4321 inside 172.16.1.100 4321 nat server protocol icmp global 218.65.103.252 inside 172.16.1.100

路由配置路由配置：：

ip route-static 172.16.1.100 255.255.255.255 172.16.101.1

说明说明：：在此只列出关键配置，其余配置略............. 3.2 S65配置：

路由配置路由配置：：

ip route-static 172.16.1.100 255.255.255.255 134.224.15.3 ip route-static 172.16.1.101 255.255.255.255 134.224.15.3

说明说明：：在此只列出关键配置，其余配置略.............