A10 AX链路负载均衡配置及运维手册
合集下载
A10负载均衡40版本配置手册-2022年学习资料
CLI:或者命令-·管道符"”和inc或者sec共同使用表示或者,使用八”表示无空格-ACOS#show un inc tacacs\radius-tacacs-server host 1.0.0.100 sec et encrypted_secretport 49 timeout 12-radius-server h st 1.0.0.100 secret encrypted_secret-A10-Confidential A10 Networks,-Inc.
CLI:撤销命令-■no作为撤销命令-VThunderconfig#ip nat pool nat1 10 0.2.15 10.0.2.16 netmask /24-VThunderconfig#show ip n t pool-Total IP NAT Pools:1-Pool Name start Address E d Address Mask Gateway HA Group Vrid-10.8.2.16-/248.8 8.88-default-VThunderconfig#no ip nat pool nat1-Total IP NAT Pools:0-A10-Confidential A10 Networks,-Inc.
CLI:额外的一些提示符-·冗余模式下-VThunder-Active>-vThunder-Standby -·集群模式下Avcs-VThunder-Active-vMaster[7/1]>-VThunder-St ndby-vBlade[7/2]>-·抓包模式下-vThunderaxdebug#-"修改Hostname -vThunderconfig#hostname MyThunder1-MyThunder1config# A10-Confidential A10 Networks,-Inc.
A10networksAX系列负载均衡设备介绍
L4/7 Traffic
Processor 1
所有8个CPU同时处理 L4/7流量
Processor 2
L4/7 Traffic
…………
Processor 8
A10 Networks Confidential – In house use only 14
其他厂家并行处理的实际情况
• 多CPU处理器架构缺乏真正的并行处理能力 • L4/7流量发送到一个处理器进行处理 • 另外的处理器只处理控制和系统管理流量, 经常处于空闲状态
EX 系列
• 位于网络边缘 • 广域网优化和带宽管理 • 防火墙负载均衡以提高性能和 可用性
ID 系列
• 网络身份管理 • IP-to-ID, Self-help • AAA
A10 Networks Confidential – In house use only 7
AX – Performance by Design
11
AX系列 – 超高性能 系列
超高性能
ACOS操作系统 操作系统
- 超级计算技术 - 优化内存管理 - 先进的并行计算技术 - 领先技术对手两年 - 优化多核多CPU处理
领先的硬件架构
- 双冗余电源 - 双冗余硬盘 - 多核多CPU架构 - 服务器专用CPU - 通用CPU更新快
A10 Networks Confidential – In house use only
Independent tests done by The Tolly Group 2008
A10 Networks Confidential – In house use only 8
客户、合作伙伴、 客户、合作伙伴、奖项
客户 奖项 合作伙伴
Processor 1
所有8个CPU同时处理 L4/7流量
Processor 2
L4/7 Traffic
…………
Processor 8
A10 Networks Confidential – In house use only 14
其他厂家并行处理的实际情况
• 多CPU处理器架构缺乏真正的并行处理能力 • L4/7流量发送到一个处理器进行处理 • 另外的处理器只处理控制和系统管理流量, 经常处于空闲状态
EX 系列
• 位于网络边缘 • 广域网优化和带宽管理 • 防火墙负载均衡以提高性能和 可用性
ID 系列
• 网络身份管理 • IP-to-ID, Self-help • AAA
A10 Networks Confidential – In house use only 7
AX – Performance by Design
11
AX系列 – 超高性能 系列
超高性能
ACOS操作系统 操作系统
- 超级计算技术 - 优化内存管理 - 先进的并行计算技术 - 领先技术对手两年 - 优化多核多CPU处理
领先的硬件架构
- 双冗余电源 - 双冗余硬盘 - 多核多CPU架构 - 服务器专用CPU - 通用CPU更新快
A10 Networks Confidential – In house use only
Independent tests done by The Tolly Group 2008
A10 Networks Confidential – In house use only 8
客户、合作伙伴、 客户、合作伙伴、奖项
客户 奖项 合作伙伴
A10负载均衡及运维培训forv4x
SYN (TCP Port 443) SYN/ACK ACK
CLIENT_HELLO (SSL 版本, 是否支持加密, 数据压缩算法, SessionID, 随机数) SERVER_HELLO (SSL 版本, 是否支持加密, 所选数据压缩算法, 指定的 SessionID,随机数)
CERTIFICATE (公钥, 认证签名) SERVER_DONE
Service group 定义某个业务端口所属的真实服务器IP及端口的集合
Virtual server 定义某个VIP上需要发布的业务和端口
Template 各种可以在多个模式下复用的策略
Health monitor 健康检测,可以在server、service group 两个层面启用
拓扑: 单臂 源地址转换SNAT模式
TCP 与 UDP 客户请求
会话保持
• Cookie持续 • 目的IP持续 • 源IP持续 • SSL会话ID持续
分配流量
监控服务器健康度
• Round Robin • Least Connections • Service Least Connection • Fastest Response Time • Source IP Hash • Many more…
Source IP 100.0.1.50
Dest IP 100.0.1.100
Dest IP 100.0.1.50
Source IP 100.0.1.100
旁路部署方式
用户
核心交换机
Si
A10 负载均衡设备
服务器
核心交换机
Si
A10 负载均衡设备
•部署简单,无需改变现有拓扑结构
•可以不改变现有VLAN,IP地址规划
A10-链路负载均衡(LLB)解决方案-YL
A10 链路负载均衡解决方案1. 概述由于国内各运营商之间的互联互通一直存在很大的问题,采用运营商自身单条互联网出口,在为用户提供IDC主机托管服务和大客户专线接入服务时,会遇到用户抱怨访问速度差的问题。
同时,单条链路本身存在单点故障问题。
因此,通过在多个数据中心分别拉不同运营商的线路或者同一数据中心或公司网络出口采用多条互联网链路并使用专门的负载均衡设备智能选择最佳链路成为提高服务水平和用户满意度的一种有效方式,我们把多数据中心负载均衡和多链路负载均衡统称为全局负载均衡或者广域网负载均衡。
2. 需求描述对于全局和链路负载均衡,需要解决两种流量类型的负载均衡以及容灾问题:入向流量(Inbound Traffic):从Internet上的客户端发起,到数据中心内部的应用服务的流量。
如:Internet上用户访问企业Web网站。
对于入向流量,需要根据当前网络延时、就近性等因素,来判断哪一条链路可以对外部用户提供最佳的访问服务。
出向流量(Outbound Traffic):从内部网络发起的,对Internet上应用资源的访问。
如:内部局域网用户访问Internet上Web网站应用。
对于出向流量,需要根据当前链路的就近行、负载情况、和应用服务的重要性等选择最佳的链路。
容灾:多数据中心除了可以提高服务质量之外,另外一个重要的目的就是容灾,当一个数据中心出现故障,将所有用户访问由灾备数据中心来处理。
3. A10 LLB 负载均衡解决方案3.1. 出向流量链路负载均衡(Outbound LLB )相对于入向流量的链路负载均衡,出向流量的链路负载均衡则比较简单。
当内部用户发起对外界的访问请求时,链路负载均衡控制器根据链路选择算法选择合适的链路,并对内部用户的IP 地址进行NAT 转换。
出向负载均衡是对每个数据中心内部的机器来而言的,通过放置在每个数据中心出口位置的AX 来实现。
WebClientLLB ControllerISP_A LinkISP_B LinkInternetPrivate IP: 192.168.1.10图例 3 采用LLB的Outbound访问实例如图例3所示,内部局域网用户访问外部Web网站时,链路负载均衡控制器的处理过程如下:内部局域网用户在浏览器输入要访问网站的域名,根据DNS返回的域名解析结果,发起对外部服务器的访问请求。
A10链路负载均衡傻瓜书
物理接口 (vlan)
e1(ctc_vlan)
e2(cnc_vlan)
e3(inside_vlan)
路由部分
路由(目的) 路由(源) 网关
备注
192.168.0.0/24
172.172.172.25 Server 网段
4
10.10.10.0/24
172.172.172.25 Client 网段
4
0.0.0.0/0
Name:
chinall
URL:
tftp://172.31.31.30/chinall.txt
Size:
38227
bytes
Date:
Jun/03 00:45:01
Update period:
300 seconds
Update times:
1
Content -------------------------------------------------------------------------------101.224.0.0 /13 1 101.248.0.0 /15 1 101.80.0.0 /12 1 106.112.0.0 /13 1 106.16.0.0 /12 1 106.224.0.0 /12 1 106.32.0.0 /12 1 106.4.0.0 /14 1
ctc_gw port:TCP 0 ;port:UDP 0 IP:200.200.200.254 电信网关
cnc_gw port:TCP 0 ;port:UDP 0 IP:100.100.100.254 联通网关
server1 port:TCP 80
服务器 1
server2 port:TCP 80
A10负载均衡及运维培训ppt课件
WORD<length:1-31> Name
all-partitions All partition
configurations
partition
Per-partition
configurations
|
Output modifiers
.
CLI: 撤销命令
no作为撤销命令
Thunder(config)#ip nat pool nat1 10.0.2.15 10.0.2.16 netmask /24 vThunder(config)#show ip nat pool
Cloud Instances
.
Lightning ADC
LIGHTNING CONTROLLER
CFW
DCFW Ipsec VPN
ADCaaS
Data Center, Containers & Virtualized DC
Cloud
基础理论介绍
.
ADC的访问方式
通过CLI方式
Console (RS-232 连接/ 9600, 8, N, 1) Telnet (默认关闭) SSHv2
CLI: 或者命令
管道符“|”和inc 或者sec共同使用表 示或者,使用“\”表示无空格
ACOS#show run | inc tacacs\|radius tacacs-server host 1.0.0.100 secret (encrypted_secret) port 49 timeout 12 radius-server host 1.0.0.100 secret (encrypted_secret)
配置恢复
Web界面: 系统 > 维护 > 恢复 > 系统 CLI: ACOS(config)#restore […]
A10负载均衡4.0版本配置手册
©A10 Networks, | Inc.
12
Web界面: 用户级别
Monitor
– 相当于CLI 的user模式
Config
– 相当于CLI 的config模式
Confidential
©A10 Networks, | Inc.
13
Web界面: 工作流
在Web界面里, 你可以用以下 方式进行配置
Confidential
©A10 Networks, | Inc.
19
备份其他配置
ACOS#export ?
running-config ssl-cert ssl-cert-key ssl-crl ssl-key aflex bw-list class-list axdebug debug_monitor startup-config syslog thales-secworld thales-kmdata dnssec-dnskey dnssec-ds ip-map-list Running Config SSL Cert File SSL Cert/Key File SSL Crl File SSL Key File aFleX Script Source File Black/White List File Class List File AX Debug Packet File Debug Monitor Output Startup Config Syslog file Thales security world files - in .tgz format Thales Kmdata files - in .tgz format DNSSEC DNSKEY(KSK) file for the zone DNSSEC DS file for the zone IP Map List File
A10公司负载均衡设备简介
A10公司AX负载均衡设备应用访问的快慢取决于应用服务器和网络两个因素,针对不同的系统和网络拓扑,需要分析到底是哪个因素导致访问出现问题。
如果是应用服务器的负载太大或处理较慢,那么需要考虑是否对多台服务器做负载均衡并对应用进行优化以提高整体的处理能力,如果是因为运营商之间的互联互通导致不同的用户在访问到同一应用时出现明显速度差别,则要考虑是否拉设多条运营商的链路并实现链路负载均衡保证每个客户都是通过最快的链路访问到应用服务器。
下图包含了以上描述的各种情况:从最广泛的需求来分析,假设应用系统部署在多个不同地方的数据中心,然后每个数据中心又有两条以上的不同运营商的出口链路,每个数据中心都部署了相同的应用系统。
在不做特殊处理情况下,用户无论访问到哪个数据中心的服务器都能得到正确的处理,但是用户访问到不同数据中心,速度肯定有明显差别,有的用户会感觉访问很“慢”,因此我们必须解决这个慢的问题。
A10公司的AX负载均衡设备能够提供包括网络和应用的全面负载均衡解决方案,在以上拓扑中,AX通过GSLB功能能够把用户请求导向到最佳的数据中心,如果该数据中心有多条链路,AX的LLB功能能够为用户选择最快的运营商链路访问到应用系统,如果应用系统有多台服务器提供相同的服务,AX的SLB功能可以把用户请求发送到当前最空闲得服务器,从而保证了用户从网络传输到应用处理的整个过程都是最优的。
AX还可以提供SSL 加速,HTTP压缩,RamCache,连接复用等功能来优化或加速服务器的处理能力。
采用A10 AX设备实现负载均衡后,有如下的优点:高性能:AX采用A10公司独创的多CPU并行超级计算架构,结合丰富的二三层功能,4-7层优化加速技术,以及专有的SSL加速芯片,HTTP压缩卡等,使得系统表现出很强大的性能,能够满足用户当前和以后扩展的需求。
在多个功能同时启用的情况下,不会引起设备性能的明显下降。
高可靠性:AX能够稳定的工作,在多个功能同时启用的情况下,仍然可以保证高稳定性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
备注
Virtual server
IP
Pool
ctdns_222.240.192.198 222.240.192.198
cncdns_58.20.47.231 58.20.47.231
Pool members
备注 接收 DNS 请求的 地址 接收 DNS 请求的
vpn_222.240.192.195 web_222.240.192.196
Web 服务器在电 信端的地址
Web 服务器在网 通端的地址
2. 指示灯标识
指示灯 POWER HDD STATUS
Ethernet Ports (Cat-5)
Ethernet Ports (Fiber)
颜色 Green Orange Green
L/A Green
SPD L/A
Off Green Orange
AX#clock set 12:30:00 December 25 2008
3) 显示时间、时区信息
AX#show clock *11:38:20 CST Sun Dec 28 2008
2. 管理员帐号维护
修改管理员密码
输入新密码两次,确定,保存。
五、 网络配置
1. Vlan 设定
AX 的 VLAN 配置与标准的 802.1q 协议兼容。默认配置下,AX 的所有 ethernet 接口均属于 VLAN 1。 在 VLAN 中,AX 的 ethernet 接口可以有两种状态:tagged 和 untagged。
2) 在右侧顶部子菜单栏中点击“IPv4 静态的”,进入 IPv4 静态路由协 议设置界面。
3) 点击“新增”,进入静态路由设置页面 a) 填写 IP 地址前缀 b) 填写子网掩码 c) 填写网关(下一跳路由)信息
4) 点击“确定”,完成静态路由的创建。
六、 负载均衡功能配置 1. 服务器负载均衡部分(SLB)
三、 登陆设备
AX 系列产品支持以下接口管理方式: 命令行接口(CLI):AX 支持通过串口或网络连接来访问命令 行接口,命令行接口支持 SSH v1/2 或 Telnet 协议登录方式。 图形化用户界面(GUI):AX 支持基于 Web 浏览器的管理和配 置方式。图形化用户界面支持 HTTP 和 HTTPS 登录方式,并 支持 HTTP 到 HTTPS 的重定向。
2. 图形化界面登陆方式
打开 Web 浏览器,在浏览器地址栏输入 http://172.31.31.31(也可通过业 务端口地址访问)并回车。默认情况下,AX 将会自动跳转到加密的 https 页面,并且浏览器会弹出(或提示)证书有效性安全警报,选择“是”(或 继续浏览此网站)。 如下图所示,在弹出的用户身份信息认证对话框中,填入正确的用户名和 密码,点击“确定”。
Green
ACT Green
状态
On Off On Off On Off Off On Flash Off On On Off On Off Flash
说明
设备开启 设备关闭 硬盘中有数据访问 无数据访问 系统正在被访问 系统无数据访问 Link Down Link Up ACT- Activity 10M 100M 1G Link down Link up ACT – No Activity ACT – Activity
6) 在特权模式下,通过“config terminal”命令,可以进入到全局配置 模式下。在全局配置模式下,可以完成 AX 的网络、系统、负载 均衡功能等的配置任务。
AX#config terminal AX(config)#
注意: 1) AX 在命令行下的基本操作风格与 Cisco 完全一致,如:
jjwxc-2>? axdebug enable exit help no ping
AX Debug Commands Turn on privileged commands Exit from exec Description of the Interactive Help System Negate a command or set its defaults Send ICMP echo messages
注意: 1) 默认情况下,AX 在所有接口上(包括管理接口)禁止采用 Telnet
方式访问。 2) 默认情况下,管理接口允许通过 SSH、HTTP、HTTPS 和 SNMP
等协议进行管理和访问。 3) 默认情况下,数据接口不允许任何协议进行管理和访问。如需在数
据接口上开启管理功能
1. 命令行登陆方式
jjwxc-2>enable Password: AX#
5) 在特权模式下,可以通过 show 命令查看系统当前的运行状态。。此 外,在特权模式下,可以通过命令关闭、重启或重新加载系统。 特权模式下可以使用的命令同样也可以通过“?”来查询。
AX#? active-partition axdebug clear clock config debug diff disable exit export help import locale no ping show ssh telnet terminal traceroute write shutdown reboot reload
Tab 键命令行补全。 通过在命令后加问号来查询命令全称或支持的子命令。 2) 为了防止配置冲突,在同一时间,AX 仅允许一个用户进入全局配置 模式。因此,当输入进入全局配置界面时,命令行有以下提示, 即说明当前已经有管理员在配置模式下工作。如果你需要进入配 置模式,可以要求其他管理员退出配置模式或通过命令清除其他 管理员的 CLI 会话状态(要求当前管理员具有 root 权限)。
tagged 接口可以同时属于多个 VLAN untagged 接口只能分配给单个 VLAN 在左侧功能菜单中,选择“配置模式”,点击“网络->VLAN”,进入 VLAN 配置界面,在该界面中,可以对新增、修改或删除 VLAN 配置。
在右侧配置界面中,点击“添加” 填写 VLAN ID 选择接口状态:未标记的(untagged)或标记的(tagged) 为 VLAN 分配三层虚拟子接口
采用 AX 自带的 Console 电缆,RJ45 接口一端连接 AX 设备,RS-232 接口一端连接具有终端模拟软件的 PC 终端。 开启 AX 电源,采用双绞线(直连线或交叉线均可)连接 AX 的 MGMT 接口和 PC。 AX 的 MGMT 接口的默认 IP 地址为:172.31.31.31/24。将 PC 的 IP 地 址配置为与 AX 的 MGMT 接口同网段的地址(如:172.31.31.33/24)。 采用 SSH 客户端软件(如:PuTTY)等访问 AX 的 MGMT 接口地址。 也可通过业务端口访问设备,如下图:
完成登录后,AX 会自动显示当前系统运行的摘要信息
四、 系统基本配置
1. 系统基本信息设定
主机名设定 在 CLI 全局配置模式下通过 hostname 命令设置 hostname。
示例:将主机名设置为 tbax-1
AX(config)#hostname tbax-1 tbax-1(config)#
show ssh telnet traceroute
Show Running System Information Open an ssh connection Open a telnet connection Trace route to destination
4) 在用户模式下,输入“enable”后,提示输入进入特权模式的密码 (默认无密码)。在输入正确的密码后,进入系统的特权模式。
Change active partition AX Debug Commands Clear or Reset Functions Set the System Clock Entering config mode Debugging functions Compare difference between Configuration Profiles Turn off privileged commands Exit from exec Put a file to a remote site Description of the Interactive Help System Get a file from a remote site Set locale for current terminal Negate a command or set its defaults Send ICMP echo messages Show Running System Information Open an ssh connection Open a telnet connection Set Terminal Parameters, only for current terminal Trace route to destination Write Configuration Shutdown the System Reboot the System Reload the system, without rebooting
AX 的默认用户名为:admin,默认密码为:a10。此处密码已改为 kubeiland@a10
AX 采用类似 Cisco 的命令行模式,便于工程师操作和维护。
1) 当通过 SSH 客户端软件或远程终端软件登录 AX 时,并输入用户认 证信息后,则进入 AX 的用户模式:
2)
jjwxc-2>
3) 在用户模式下,AX 只允许使用一些基本的命令,查询状态基本信息。 具体可使用的命令列表可通过“?”来查询。
A10 AX 链路负载均衡配置及运维手册
一、 项目信息 1. 网络拓扑
2. IP 地址分配
Vlan CTC CNC Internal