AX产品链路均衡实用配置手册

AX产品链路均衡配置傻瓜书(Inbound/outbound)2011-06-0617:28:29标签：IP地址交换机拓扑图blank联通正常情况下，客户一般会有如下3类需求（当然也可以只有一个）：1、client在访问外网的时候，如果是访问的电信地址的网站，需要从电信接口出去（可能会使用接口地址或指定的公网地址段进行SNAT）；如果是访问联通地址的网站，需要从联通接口出去（可能会使用接口地址或指定的公网地址段进行SNAT）；如果是其他地址的网站，就从电信（联通）链路出去2、访问客户指定公网IP和端口的请求转发到指定内网1台Server上（或者多台）3、当外网用户在访问查询，如果是电信的用户，则AX返回电信链路的映射IP；如果是联通的用户，则返回联通链路的映射IP以上三种情况包含了链路均衡实施中95%以上客户的要求，所以本文主要以如何实现上述3种功能为目标进行配置。第一部分：确认客户需求假设客户拓扑图及IP地址规划如下图所示（其中server和client分别连接在客户核心交换机的servervlan和clientvlan）：AX分别连接电信出口和联通出口，同时内网接口连接核心交换机。根据客户网络实际环境整理如下表格(可根据实际情况进行添加)：网络部分接口IP掩码网关物理接口（vlan）电信链路联通链路内网链路dns_ct_proxydns_cnc_proxy路由部分路由（目的）路由（源）网关NAT部分（特殊）源地址（内）电信IP（段）联通IP（段）映射部分电信映射IP联通映射IPServer内网IP协议:端口域名部分电信映射IP联通映射IP域名注:完全了解客户网络环境和需求是能成功实施链路均衡的关键所在，所以在项目实施准备期间需要完全了解客户现有环境上设备的相关配置。根据前面虚拟环境IP地址规划填写上表，内容如下：网络部分接口IP掩码网关物理接口（vlan）电信链路200.200.200.1255.255.255.0200.200.200.254e1(ctc_vlan)联通链路100.100.100.1255.255.255.0100.100.100.254e2(cnc_vlan)内网链路172.172.172.1255.255.255.0172.172.172.254e3(inside_vlan)dns_ct_proxy200.200.200.2dns_cnc_proxy100.100.100.2路由部分路由（目的）路由（源）网关备注192.168.0.0/24172.172.172.254Server网段10.10.10.0/24172.172.172.254Client网段0.0.0.0/0200.200.200.254默认路由NAT部分(内-外)内网地址电信IP（段）联通IP（段）备注192.168.0.0/24200.200.200.1100.100.100.1Web网站映射映射部分(从外到内)电信映射IP联通映射IPServer内网IP协议:端口200.200.200.200100.100.100.100192.168.0.1192.168.0.2http：80域名部分电信映射IP联通映射IP域名备注200.200.200.200100.100.100.100注：A10的链路均衡配置非常简单，总体上分3步：1、基础网络配置2、双向地址转换3、GSLB域名解析部分，下文将对每一步进行详细描述。第二部分、基础网络部分A、配置VLAN和接口根据网络环境规划，需要在AX上创建3个vlan：n电信vlan(ctc_vlan)vlanID10,分配e1接口,veID10n联通vlan(cnc_vlan)vlanID20,分配e2接口veID20n内网vlan(inside_vlan)vlanID30,分配e3接口veID30进入Configmode-->network-->VLAN,点击Add，出现如下界面：按照规划vlan数量和名称创建相应的vlan后点击ok既创建成功。（其中VirtualInterface既为关联与这个vlan的3层虚拟接口，只有在这里填写了相应的ID以后，在configmode-->network-->interface-->virtual下才会出现ve接口）注意，ViraualInterface的ID号最好与VLANID一致，便于维护管理。最后完成后界面如下图所示：B、配置ve接口IP地址根据网络环境规划，3个ve接口IP地址需要配置如下：nve10:200.200.200.1/24nve20:100.100.100.1/24nve30:172.172.172.1/24进入configmode-->network-->interface-->virtual,上一步创建的ve在这里：目前还为配置地址，所以都为0.0.0.0，分别点击进入各个ve接口配置界面，配置相应的ip地址：电信接口：联通接口：内网接口：注意：在ve30（内网接口）上需要启用：AllowPromiscuousVIP，后面配置中会介绍这个选项的作用。C、配置路由根据网络环境规划，需要添加3条路由:client网段和server网段的返回路由以及AX的默认路由nClient的10.0.0.0/24的返回路由nServer的192.168.0.0/24的返回路由n默然路由进入configmode-->network-->route-->IPv4Static,点击Add：这样就在AX上添加了client网段的返回路由，同理添加server网段的返回路由以及默认路由（默认路由的网关这里是指向电信链路的网关地址）,如下：默认路由到底指向电信的网关还是联通的网关需要根据实际情况确定，通常情况下推荐配置一条静态路由（AX可以配置多条静态路由）。第三部分、双向地址转换该部分就涉及到前面提到的客户3类需求（蓝色字体）的前2个。1、完成内网client访问外网的智能选路，既访问电信地址的网站从电信链路出去；访问联通地址的网站从联通链路出去。这样就完成了智能选路功能。如果电信链路（或者联通链路断掉），则所有的流量都从联通链路（或者电信链路）出去，这样实现了链路备份功能。这部分是完成链路均衡的基本功能，主要是通过virtualserver配合aFlex脚本功能来完成的。2、访问客户指定公网IP和端口的请求转发到指定内网1台Server上（或者多台）需要按照如下步骤操作：A、建立相应的server：根据网络环境规划，需要建立如下几个server：nctc_gwport:TCP0；port:UDP0IP:200.200.200.254电信网关ncnc_gwport:TCP0；port:UDP0IP:100.100.100.254联通网关nserver1port:TCP80服务器1nserver2port:TCP80服务器2进入configmode-->service-->SLB-->server,点Add：点击ok既成功创建了ctc_gw对应的server，同理可以创建其余需要的server(推荐在server级别不启用healthmonitor)B、建立相应的service-group根据网络环境规划，需要建立如下几个service-group：nctc_gw_tcpmember:200.200.200.254port:TCP0priority15member:100.100.100.254port:TCP0priority1nctc_gw_udpmember:200.200.200.254port:UDP0priority15member:100.100.100.254port:UDP0priority1ncnc_gw_tcpmember:100.100.100.254port:TCP0priority15member:200.200.200.254port:TCP0priority1ncnc_gw_udpmember:100.100.100.254port:UDP0priority15member:200.200.200.254port:UDP0priority1nweb_servermember:192.168.0.1port:TCP80member:192.168.0.2port:TCP80进入configmode-->service-->SLB-->service-group,点Add：点击ok以后就成功创建了ctc_gw_tcp。同理创建剩下的service-group。注：当创建ctc_gw_tcp和ctc_gw_udp，并添加server的时候，ctc_gw的优先级要选择高的(这里选择的15)；cnc_gw的优先级要选低(这里选择的1)，同理处理cnc_gw_tcp以及cnc_gw_udp。同时，在创建上述4个service-group的时候，HealthMonitor要选择ping。以上设置实现了链路备份功能。而对于Web_server，则2个member的优先级需要一样，因为需要进行负载均衡，而healthmonitor则选择http方式。D、建立PBSLB策略（导入智能链路选择需要的地址库信息）进入configmode-->service-->PBSLB,点击Add：Name输入chinaall，Host输入tftp服务器地址，Location输入tftpserver上地址库保存的路径和文件名，我的tftpserver地址是管理机的地址172.31.31.30，文件路径是根目录，文件名是chinall.txt，最终结果如下：点击ok，AX就会下载tftpserver上的地址数据库文件。可以在命令行下进行验证是否下载成功：SoftAX#showbw-listchinallName:chinallURL:t:38227bytesDate:Jun/0300:40:01Updateperiod:300secondsUpdatetimes:1如果能看到Size大小和tftpserver存放的文件一样，则上传成功。默认情况下每300秒AX会向tftpserver更新一次。可以在命令行下用命令查看chinall文件的内容：SoftAX#showbw-listchinalldetailName:chinallURL:t:38227bytesDate:Jun/0300:45:01Updateperiod:300secondsUpdatetimes:1Content--------------------------------------------------------------------------------101.224.0.0/131101.248.0.0/151101.80.0.0/121106.112.0.0/131106.16.0.0/121106.224.0.0/121106.32.0.0/121106.4.0.0/141106.56.0.0/131106.80.0.0/121106.8.0.0/151110.152.0.0/141110.156.0.0/151110.166.0.0/151………………以上是部分chinall脚本的内容，其中每个IP段之后都有一个数字（比如以上部分的1，后面还有2-7），这是我们事先对地址库文件进行编译以后的分类，数字的含义如下：1CTC2CNC3CMCC4CUC5CRTC6CERNET7OTHER以上分类会在后面建立aFlex脚本的时候用到。E、建立相应的snatpool根据网络环境规划，需要建立如下的snatpoolnctc_nat从电信出口出去的流量进行NAT的地