H3C SecPath數(shù)據(jù)中心單出口配置手冊

1、H3C SecPath L1000-GL 數(shù)據(jù)中心單出口配置手冊。i目 錄TOC o 1-3 h z u HYPERLINK l _bookmark0 簡介1 HYPERLINK l _bookmark1 配置前提1 HYPERLINK l _bookmark2 配置舉例1 HYPERLINK l _bookmark3 組網(wǎng)需求1 HYPERLINK l _bookmark4 使用版本2 HYPERLINK l _bookmark5 配置前提3 HYPERLINK l _bookmark6 配置步驟3 HYPERLINK l _bookmark7 配置 SLB3 HYPERLINK l _bo

2、okmark8 配置 GLB6 HYPERLINK l _bookmark9 配置 Local DNS15 HYPERLINK l _bookmark10 驗證配置20 HYPERLINK l _bookmark11 模擬Client 端正常訪問目的域名20 HYPERLINK l _bookmark12 模擬主用數(shù)據(jù)中心內(nèi)所有實服務(wù)器故障，查看用戶業(yè)務(wù)切換情況。23 HYPERLINK l _bookmark13 模擬主用數(shù)據(jù)中心內(nèi) SLB 故障，查看用戶業(yè)務(wù)切換情況25 HYPERLINK l _bookmark14 模擬 GLB 故障，查看用戶業(yè)務(wù)切換情況27 HYPERLINK l _

3、bookmark15 GLB 配置同步功能，查看用戶業(yè)務(wù)切換情況28 HYPERLINK l _bookmark16 針對多個運(yùn)營商鏈路具有多個公網(wǎng) IP 時地理位置就進(jìn)性30 HYPERLINK l _bookmark17 測試結(jié)果匯總31 HYPERLINK l _bookmark18 配置文件31 HYPERLINK l _bookmark19 Route 1 配置文件31 HYPERLINK l _bookmark20 Route 2 配置文件32 HYPERLINK l _bookmark21 SLB1 配置文件32 HYPERLINK l _bookmark22 SLB2 配置文件

4、32 HYPERLINK l _bookmark23 SW1 配置文件32 HYPERLINK l _bookmark24 SW2 配置文件32 HYPERLINK l _bookmark25 SW-CORE 配置文件32 HYPERLINK l _bookmark26 GLB 相關(guān)概念了解32 HYPERLINK l _bookmark27 FAQ33 PAGE 33簡介本文檔介紹了 GLB 與SLB 配合組網(wǎng)的典型配置舉例。在 Local DNS 上配置 NS 記錄，當(dāng) Client 訪問目的域名時，Client 向 Local DNS 發(fā)送請求，Local DNS 把請求轉(zhuǎn)發(fā)到 GLB，

5、由 GLB 進(jìn)行 DNS 解析并返回解析出的 Web 服務(wù)器的地址。配置前提本文檔不嚴(yán)格與具體軟、硬件版本對應(yīng)，如果使用過程中與產(chǎn)品實際情況有差異，請以設(shè)備實際情況為準(zhǔn)。本文檔中的配置均是在實驗室環(huán)境下進(jìn)行的配置和驗證，配置前設(shè)備的所有參數(shù)均采用出廠時的缺省配置。如果您已經(jīng)對設(shè)備進(jìn)行了配置，為了保證配置效果，請確認(rèn)現(xiàn)有配置和以下舉例中的配置不沖突。本文檔假設(shè)您已了解 GLB 與 SLB 特性。配置舉例數(shù)據(jù)中心在向外提供服務(wù)時只有一條出口鏈路的情形為單出口場景。組網(wǎng)需求數(shù)據(jù)中心的主要設(shè)備為防火墻與 SLB，以及服務(wù)器。在防火墻上做 NAT，將數(shù)據(jù)中心的內(nèi)部地址轉(zhuǎn)換為外部地址，給數(shù)據(jù)中心提供保護(hù)；

6、在 SLB 上創(chuàng)建虛服務(wù)，實現(xiàn)服務(wù)器負(fù)載均衡；在虛擬機(jī)上安裝 Web 服務(wù)器，提供 Web 服務(wù)。圖1 配置組網(wǎng)圖圖中灰色虛框所示防火墻，在本次方案中作用僅為 NAT，將 SLB VIP 的私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址對外發(fā)布。因此本次方案驗證，采用簡化 TOPO，不涉及防火墻，SLB 上VIP 采用公網(wǎng)地址， 保證 GLB 和SLB 之間路由可達(dá)。實際組網(wǎng)中交換機(jī) 1 和交換機(jī) 2 之間是不存在直連互通。數(shù)據(jù)中心的主要設(shè)備為 GSLB、SLB 和服務(wù)器。GLB 用作 DNS 服務(wù)器，在 SLB 上創(chuàng)建虛服務(wù)， 現(xiàn)服務(wù)器負(fù)載均衡；在虛擬機(jī)上安裝 Web 服務(wù)器，提供 Web 服務(wù)。使用版本SW 的版

7、本為 H3C S5820V2-52QF Comware V700R001B45D007SP14。GLB 的版本為 H3C SecPath L1000-GL version 7.1.411,build 177。SLB 的版本為 H3C SecPath L5000-C Comware V700R001B64D015。虛擬機(jī)安裝系統(tǒng)為 Windows Server 2008 r2，Web 服務(wù)器軟件為 xampp。配置前提Client 端與 Local DNS、Route1、Route2、GLB1、GLB2、交換機(jī) 1、交換機(jī) 2、SLB1、SLB2以及 SLB 的對外提供服務(wù)的 Global IP

8、 路由可達(dá)。SLB 與 Server 路由可達(dá)。配置步驟配置SLB以 SLB1 的配置為例，SLB2 的配置與之類似。SLB 的配置主要是健康檢測模板的創(chuàng)建以及服務(wù)器負(fù)載均衡的配置。配置健康檢測模板登錄 SLB 的 Web 頁面，進(jìn)入策略負(fù)載均衡全局配置健康檢測新建健康檢測模板 tcp，類型選擇為 TCP。圖2 添加健康監(jiān)測模板配置服務(wù)器負(fù)載均衡配置實服務(wù)器進(jìn)入策略負(fù)載均衡服務(wù)器負(fù)載均衡實服務(wù)器，點擊新建。將 4 個Server 都創(chuàng)建為實服務(wù)器，并選擇健康檢測方法為 tcp。圖3 配置實服務(wù)器實服務(wù)器 Server24 配置同上。配置實服務(wù)組進(jìn)入策略負(fù)載均衡服務(wù)器負(fù)載均衡實服務(wù)組新建，新建實

9、服務(wù)組 lemon，添加實服務(wù)器Server1 與 Server2，新建實服務(wù)組 lemon02 并添加實服務(wù)器 Server3 與 Server4。下圖以新建實服務(wù)組 lemon 為例，實服務(wù)組 lemon02 的創(chuàng)建方式相同。圖4 添加實服務(wù)組配置虛服務(wù)器進(jìn)入策略負(fù)載均衡服務(wù)器負(fù)載均衡虛服務(wù)器，點擊新建虛服務(wù)器 vs1，類型為 TCP，虛 IP 為/32，使用實服務(wù)組 lemon 作為實服務(wù)組，并將實服務(wù)組 lemon02 作為備用實服務(wù)組。圖5 新建虛服務(wù)器 vs01新建虛服務(wù)器 vs02，虛 IP 為 /32，使用實服務(wù)組 lemon。圖6 新建虛服務(wù)器 vs02當(dāng)實服務(wù)器組 lemo

10、n 不可用時，虛服務(wù)器 vs1 可以使用實服務(wù)器組 lemon02，但此時數(shù)據(jù)中心 1 已無法正常對外提供服務(wù)，所以在 GLB 上通過檢測虛服務(wù)器 vs02 的公網(wǎng) IP 的狀態(tài)，來決定使用了虛服務(wù)公網(wǎng) IP 的GLB1 中服務(wù) IP 的狀態(tài)，從而可以使業(yè)務(wù)轉(zhuǎn)向 GLB2，還可以保證 DNS 未老化的服務(wù)依然是可用的。配置GLBGLB 的配置主要是實現(xiàn) DNS 解析功能的相關(guān)配置。在此環(huán)境中，GLB 的功能與ADNS 的功能一致。接口配置使用用戶名 admin，密碼 admin 登錄 GLB 的 Web 頁面。進(jìn)入網(wǎng)絡(luò)-接口，選中需要使用的接口， 點擊編輯，將接口的狀態(tài)修改為啟用，并打開 IP

11、 選項卡，輸入 IP 地址與子網(wǎng)掩碼，完成后點擊更新。圖7 配置接口 2配置地理位置進(jìn)入 GSLB-地理位置，點擊創(chuàng)建，輸入名稱 CTC，與 IP 地址塊，此地址段為 Client2 所在的 IP地址段，完成后點擊“創(chuàng)建”。圖8 創(chuàng)建地理位置 CTC同理創(chuàng)建地理位置，此處的 IP 地址塊為 Client1 端所在的 IP 地址段，完成后點擊“創(chuàng)建”。圖9 創(chuàng)建地理位置 IDC2配置SLB虛擬服務(wù)器進(jìn)入 ADCSLB虛擬服務(wù)器+新建，輸入名稱，IP 地址與子網(wǎng)掩碼，此 IP 即為 GLB 對外提供服務(wù)時使用的 IP。在右側(cè)虛擬端口，點擊創(chuàng)建，輸入端口名，協(xié)議選擇 UDP，端口為 53，完成后點擊

12、更新。圖10 創(chuàng)建虛擬服務(wù)器 test圖11 創(chuàng)建虛擬端口配置策略進(jìn)入 GSLB-策略，輸入策略名，在 metrics 下勾選健康檢查與 Geographic，打開 DNS 選項，勾選服務(wù)器模式，GSLB 運(yùn)行為 DNS 服務(wù)器模式，勾選只保留活動服務(wù)器，取活動的故障保護(hù)，CNAME 檢測這三項。完成后點擊更新。當(dāng)有 DNS 請求時，GLB 會按照 Metrics 列表從上到下的順序匹配算法來決定具體使用哪個 Serviceip 來相應(yīng)服務(wù)。一般會先選擇健康檢查以及 Geographic 這兩個算法，第三個算法可根據(jù)具體數(shù)據(jù)中心的情況來確定。兩個數(shù)據(jù)中心中有其中 一個需要優(yōu)先使用，則將第三個算

13、法選擇為 Admin IP TOP ONLY，并在設(shè)置 DNS 記錄時，將管理 IP 參數(shù)設(shè)置為較大的參數(shù)；若兩個數(shù)據(jù)中心的使用率無差別，第三個算法可以設(shè)置為輪詢算法；若是兩數(shù)據(jù)中心的使用存在比例關(guān)系，可以在 DNS 記錄中設(shè)置相應(yīng)的權(quán)重比例。圖12 創(chuàng)建策略配置健康監(jiān)測GLB 的 ping 類型的健康監(jiān)測可能會使所監(jiān)測的 Service ip 的狀態(tài)與實際狀態(tài)不符，所以建議使用HTTP 或TCP 類型的健康監(jiān)測。由于 GLB 間同步的內(nèi)容只是 GSLB 下的配置，所以 GLB1 與 GLB2 上的健康監(jiān)測需要進(jìn)行同樣的配置，以防止兩個各 GLB 間健康監(jiān)測的使用出現(xiàn)差別。進(jìn)入 ADC-健康監(jiān)

14、測，點擊創(chuàng)建，創(chuàng)建名為 HTTP 的健康監(jiān)測，使用 HTTP 類型的方法，將探測的間隔次數(shù)及超時時間調(diào)小，并設(shè)置覆蓋 IPV4 為 。覆蓋 IPV4 的作用是，GLB 通過探測覆蓋 IP 的狀態(tài)，來決定使用該健康監(jiān)測的 Service ip 或站點的狀態(tài)。圖13 創(chuàng)建健康監(jiān)測 HTTP創(chuàng)建名為 http- 的健康監(jiān)測，并設(shè)置覆蓋 IPV4 為 圖14 創(chuàng)建健康監(jiān)測 http-配置服務(wù)IP進(jìn)入GSLB-服務(wù)IP創(chuàng)建，輸入服務(wù)器IP 名稱SLB1_VIP1，IP 地址即SLB1 對外提供服務(wù)的GlobalIP 之一，勾選“啟用或禁用這個 GSLB 服務(wù)器”，使用健康監(jiān)測 HTTP，完成后點擊創(chuàng)建。

15、圖15 配置服務(wù) IP SLB1_VIP1創(chuàng)建服務(wù) IP SLB2_VIP1 使用的 IP 地址為 SLB2 對外提供服務(wù)的 Global IP 之一，使用的健康監(jiān)測為 http-。圖16 配置服務(wù) IP SLB2_VIP1配置站點進(jìn)入GSLB-站點創(chuàng)建，站點Site1_SLB1_VIP1，輸入名稱，選中IP 服務(wù)器nat-ip 與地理位置IDC1，完成后點擊創(chuàng)建。圖17 創(chuàng)建站點 Site1_SLB1_VIP1創(chuàng)建站點 site05，選中IP 服務(wù)器 nat-ip02 與地理位置 IDC2。圖18 創(chuàng)建站點 Site2_SLB2_VIP1配置FQDNFQDN（Fully Qualified

16、Domain Name，完全合格域名）的配置將 DNS 解析的目的域名與數(shù)據(jù)中心向外提供服務(wù)的 IP 對應(yīng)起來。進(jìn)入 GSLB-FQDN創(chuàng)建，在域字段標(biāo)簽下，填寫 GSLB 域，服務(wù)，在服務(wù)域標(biāo)簽下，填寫端口為80，并選擇已創(chuàng)建的服務(wù)策略。圖19 配置 FQDN回到 FQDN 的頁面下，點擊編輯，創(chuàng)建 DNS 記錄，選擇記錄類型為服務(wù) A，用按名稱的方式，選擇服務(wù) IP SLB1_VIP1，完成后點擊創(chuàng)建，并更新 FQDN。以同樣方式創(chuàng)建 DNS 記錄，使用服務(wù) IP 為 SLB2_VIP1。圖20 編輯 FQDN圖21 創(chuàng)建 DNS 記錄配置GLB同步在 Web 上無法進(jìn)行 GLB 同步的配

17、置，修要進(jìn)入到命令行模式下進(jìn)行。以用戶名 admin，密碼 admin 登錄遠(yuǎn)程控制臺。輸入 enable，password 為空，再輸入 configure，進(jìn)入 config 模式。圖22 進(jìn)入 config 視圖配置 GLB 設(shè)備同步需要使 GLB 設(shè)備間能夠相互 ping 通。登錄到 GLB1 的控制臺，進(jìn)入到 config模式下，配置如下內(nèi)容：H3C(config)# gslb group default H3C(config-group:default)# priority 200H3C(config-group:default)# primary H3C(config-group

18、:default)# config-anywhere H3C(config-group:default)# enable進(jìn)入 GLB2 的控制臺，在 config 模式下，配置如下內(nèi)容：H3C(config)# gslb group default H3C(config-group:default)# priority 150H3C(config-group:default)# primary H3C(config-group:default)# config-anywhere H3C(config-group:default)# enableGLB1 的優(yōu)先級高于 GLB2，所以 GLB1

19、為 Master，GLB2 為 Member。配置同步成功后，GLB1 的控制臺顯示如下：圖23 查看 GSLB1 域運(yùn)行信息GLB2 的控制臺顯示如下：圖24 查看 GSLB2 域運(yùn)行信息配置Local DNS在 服務(wù)器上創(chuàng)建一個使用 windows Server2008 r2 系統(tǒng)的虛擬機(jī)，開啟 DNS Server 功能，新建區(qū)域 。圖25 新建區(qū)域 新建委派 a123，NS 記錄的 IP 地址設(shè)置為兩個 GLB 的服務(wù)地址。圖26 新建委派 aaa驗證配置模擬Client端正常訪問目的域名由于在 Local DNS 上設(shè)置的首選 DNS 為 ，備選 DNS 為 ，所以在鏈路都正常時，

20、Local DNS 向 GLB 發(fā)送請求，由 SLB 給予 Client 回復(fù)。根據(jù) Client 所在的地理位置不同，距 Client 較近的數(shù)據(jù)中心將提供 Web 服務(wù)。圖27 Client1 端對目的域名進(jìn)行 DNS 解析從圖中可以看出 Client1 使用的 DNS 服務(wù)器的 IP 為 ，目的域名最后解析出的地址為。圖28 成功打開的 Web 頁面從 Client1 端抓包情況：圖29 Client1 端抓包情況從 Local DNS1 上抓包情況：圖30 Local DNS1 上抓包情況從 Client2 端抓包情況：圖31 Client2 端抓包情況從 Local DNS2 上抓包

21、情況：圖32 Local DNS2 上抓包情況模擬主用數(shù)據(jù)中心內(nèi)所有實服務(wù)器故障，查看用戶業(yè)務(wù)切換情況。當(dāng)服務(wù)器 Server1 與 Server2 不可用時，SLB1 仍可以 向外提供服務(wù)，此時生效的就是備用的實服務(wù)組 lemon02。在瀏覽器上訪問 SLB1 的 Global IP，仍可以打開 Web 頁面。此時鏈路情況如下圖所示：圖33 鏈路故障情況圖34 生效的實服務(wù)組為 real02圖35 Client 端對目的域名進(jìn)行 DNS 解析圖36 DNS 記錄未老化的用戶仍可以訪問 Web 服務(wù)器模擬主用數(shù)據(jù)中心內(nèi)SLB故障，查看用戶業(yè)務(wù)切換情況在此環(huán)境下，down 掉SLB1 的上行口模

22、擬SLB1 鏈路異常的情況，從 Client 端對目的域名進(jìn)行 DNS解析，可以看到回應(yīng)的目的地址為 SLB2 的Global 地址 ，Web 仍可以正常打開。此時鏈路情況如下圖所示：圖37 鏈路故障情況圖38 Client1 端對目的域名進(jìn)行 DNS 解析圖39 GLB 嘗試 ping SLB1 和 SLB2圖40 GLB1 查看服務(wù) IP 狀態(tài)圖41 Client 可以繼續(xù)正常訪問模擬GLB故障，查看用戶業(yè)務(wù)切換情況當(dāng) GLB1 鏈路異常時，Local DNS 會把請求發(fā)給 GLB2，由于 GLB 間有配置同步，當(dāng) Client 端的IP 通過匹配地理位置，仍選擇較近的數(shù)據(jù)中心來提供服務(wù)，

23、即由數(shù)據(jù)中心 1 的Global IP 響應(yīng) Web 請求。此時鏈路情況如下圖所示：圖42 鏈路故障情況圖43 Client1 端對目的域名進(jìn)行 DNS 解析圖44 模擬 Client1 訪問服務(wù)器，并抓包GLB配置同步功能，查看用戶業(yè)務(wù)切換情況GLB 間的配置同步，即同步 GSLB 業(yè)務(wù)下的配置。驗證配置同步的方式如下：分別在 Web 上查看GLB1 與GLB2 的Service ip 的情況，在GLB1 即master 設(shè)備中增加一個名為test001 的Service ip， 刷新 GLB2 的 Service ip 列表，顯示情形如下圖：圖45 增加 Service ip 前 GLB1

24、 的 Service ip 列表圖46 增加 Service ip 前 GLB2 的 Service ip 列表圖47 增加 Service ip 后 GLB1 的 Service ip 列表圖48 增加 Service ip 后 GLB2 的 Service ip 列表針對多個運(yùn)營商鏈路具有多個公網(wǎng)IP時地理位置就進(jìn)性當(dāng)GLB1 上Site1_SLB1_VIP1 對應(yīng)的地理位置為CTC，Site2_SLB1_VIP1 對應(yīng)地理位置為Unicom時，在 Client1 端使用 nslookup 命令查詢域名 HYPERLINK / 的信息，結(jié)果如下圖：圖49 Client1 端對目的域名進(jìn)行

25、DNS 解析在 Client1 端使用 nslookup 命令查詢域名 HYPERLINK / 的信息，結(jié)果如下圖：圖50 Client2 端對目的域名進(jìn)行 DNS 解析在 Web 上進(jìn)入 GSLB-地理位置，可以看到地理位置被命中的次數(shù)，如下圖：圖51 地理位置命中次數(shù)當(dāng)數(shù)據(jù)中心 1 中的 GLB1 不可用時，會去 GLB2 上進(jìn)行 DNS 解析，依然由數(shù)據(jù)中心 1 的服務(wù)器提供服務(wù)，如下圖：圖52 GLB1 不可用時，Client1 端 DNS 解析情況當(dāng) SLB1 出現(xiàn)故障時，從 Client1 端進(jìn)行 DNS 解析，可以看到是由數(shù)據(jù)中心 2 的服務(wù)器提供的 Web服務(wù)。圖53 SLB1 不可用時，Client1 端 DNS 解析情況測試結(jié)果匯總測試編號測試內(nèi)容測試結(jié)果1模擬Client端正常訪問目的域名OK2模擬主用數(shù)據(jù)中心內(nèi)所有實服務(wù)器故障，查看用戶業(yè)務(wù)切換情況OK3模擬主用數(shù)據(jù)中心內(nèi)SLB故障，查看用戶業(yè)務(wù)切換情況OK4模擬GLB故障，查