H3C SecPath数据中心单出口配置手册

1、H3C SecPath L1000-GL 数据中心单出口配置手册。i目 录TOC o 1-3 h z u HYPERLINK l _bookmark0 简介1 HYPERLINK l _bookmark1 配置前提1 HYPERLINK l _bookmark2 配置举例1 HYPERLINK l _bookmark3 组网需求1 HYPERLINK l _bookmark4 使用版本2 HYPERLINK l _bookmark5 配置前提3 HYPERLINK l _bookmark6 配置步骤3 HYPERLINK l _bookmark7 配置 SLB3 HYPERLINK l _bo

2、okmark8 配置 GLB6 HYPERLINK l _bookmark9 配置 Local DNS15 HYPERLINK l _bookmark10 验证配置20 HYPERLINK l _bookmark11 模拟Client 端正常访问目的域名20 HYPERLINK l _bookmark12 模拟主用数据中心内所有实服务器故障，查看用户业务切换情况。23 HYPERLINK l _bookmark13 模拟主用数据中心内 SLB 故障，查看用户业务切换情况25 HYPERLINK l _bookmark14 模拟 GLB 故障，查看用户业务切换情况27 HYPERLINK l _

3、bookmark15 GLB 配置同步功能，查看用户业务切换情况28 HYPERLINK l _bookmark16 针对多个运营商链路具有多个公网 IP 时地理位置就进性30 HYPERLINK l _bookmark17 测试结果汇总31 HYPERLINK l _bookmark18 配置文件31 HYPERLINK l _bookmark19 Route 1 配置文件31 HYPERLINK l _bookmark20 Route 2 配置文件32 HYPERLINK l _bookmark21 SLB1 配置文件32 HYPERLINK l _bookmark22 SLB2 配置文件

4、32 HYPERLINK l _bookmark23 SW1 配置文件32 HYPERLINK l _bookmark24 SW2 配置文件32 HYPERLINK l _bookmark25 SW-CORE 配置文件32 HYPERLINK l _bookmark26 GLB 相关概念了解32 HYPERLINK l _bookmark27 FAQ33 PAGE 33简介本文档介绍了 GLB 与SLB 配合组网的典型配置举例。在 Local DNS 上配置 NS 记录，当 Client 访问目的域名时，Client 向 Local DNS 发送请求，Local DNS 把请求转发到 GLB，

5、由 GLB 进行 DNS 解析并返回解析出的 Web 服务器的地址。配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解 GLB 与 SLB 特性。配置举例数据中心在向外提供服务时只有一条出口链路的情形为单出口场景。组网需求数据中心的主要设备为防火墙与 SLB，以及服务器。在防火墙上做 NAT，将数据中心的内部地址转换为外部地址，给数据中心提供保护；

6、在 SLB 上创建虚服务，实现服务器负载均衡；在虚拟机上安装 Web 服务器，提供 Web 服务。图1 配置组网图图中灰色虚框所示防火墙，在本次方案中作用仅为 NAT，将 SLB VIP 的私网地址转换成公网地址对外发布。因此本次方案验证，采用简化 TOPO，不涉及防火墙，SLB 上VIP 采用公网地址， 保证 GLB 和SLB 之间路由可达。实际组网中交换机 1 和交换机 2 之间是不存在直连互通。数据中心的主要设备为 GSLB、SLB 和服务器。GLB 用作 DNS 服务器，在 SLB 上创建虚服务， 现服务器负载均衡；在虚拟机上安装 Web 服务器，提供 Web 服务。使用版本SW 的版

7、本为 H3C S5820V2-52QF Comware V700R001B45D007SP14。GLB 的版本为 H3C SecPath L1000-GL version 7.1.411,build 177。SLB 的版本为 H3C SecPath L5000-C Comware V700R001B64D015。虚拟机安装系统为 Windows Server 2008 r2，Web 服务器软件为 xampp。配置前提Client 端与 Local DNS、Route1、Route2、GLB1、GLB2、交换机 1、交换机 2、SLB1、SLB2以及 SLB 的对外提供服务的 Global IP

8、 路由可达。SLB 与 Server 路由可达。配置步骤配置SLB以 SLB1 的配置为例，SLB2 的配置与之类似。SLB 的配置主要是健康检测模板的创建以及服务器负载均衡的配置。配置健康检测模板登录 SLB 的 Web 页面，进入策略负载均衡全局配置健康检测新建健康检测模板 tcp，类型选择为 TCP。图2 添加健康监测模板配置服务器负载均衡配置实服务器进入策略负载均衡服务器负载均衡实服务器，点击新建。将 4 个Server 都创建为实服务器，并选择健康检测方法为 tcp。图3 配置实服务器实服务器 Server24 配置同上。配置实服务组进入策略负载均衡服务器负载均衡实服务组新建，新建实

9、服务组 lemon，添加实服务器Server1 与 Server2，新建实服务组 lemon02 并添加实服务器 Server3 与 Server4。下图以新建实服务组 lemon 为例，实服务组 lemon02 的创建方式相同。图4 添加实服务组配置虚服务器进入策略负载均衡服务器负载均衡虚服务器，点击新建虚服务器 vs1，类型为 TCP，虚 IP 为/32，使用实服务组 lemon 作为实服务组，并将实服务组 lemon02 作为备用实服务组。图5 新建虚服务器 vs01新建虚服务器 vs02，虚 IP 为 /32，使用实服务组 lemon。图6 新建虚服务器 vs02当实服务器组 lemo

10、n 不可用时，虚服务器 vs1 可以使用实服务器组 lemon02，但此时数据中心 1 已无法正常对外提供服务，所以在 GLB 上通过检测虚服务器 vs02 的公网 IP 的状态，来决定使用了虚服务公网 IP 的GLB1 中服务 IP 的状态，从而可以使业务转向 GLB2，还可以保证 DNS 未老化的服务依然是可用的。配置GLBGLB 的配置主要是实现 DNS 解析功能的相关配置。在此环境中，GLB 的功能与ADNS 的功能一致。接口配置使用用户名 admin，密码 admin 登录 GLB 的 Web 页面。进入网络-接口，选中需要使用的接口， 点击编辑，将接口的状态修改为启用，并打开 IP

11、 选项卡，输入 IP 地址与子网掩码，完成后点击更新。图7 配置接口 2配置地理位置进入 GSLB-地理位置，点击创建，输入名称 CTC，与 IP 地址块，此地址段为 Client2 所在的 IP地址段，完成后点击“创建”。图8 创建地理位置 CTC同理创建地理位置，此处的 IP 地址块为 Client1 端所在的 IP 地址段，完成后点击“创建”。图9 创建地理位置 IDC2配置SLB虚拟服务器进入 ADCSLB虚拟服务器+新建，输入名称，IP 地址与子网掩码，此 IP 即为 GLB 对外提供服务时使用的 IP。在右侧虚拟端口，点击创建，输入端口名，协议选择 UDP，端口为 53，完成后点击

12、更新。图10 创建虚拟服务器 test图11 创建虚拟端口配置策略进入 GSLB-策略，输入策略名，在 metrics 下勾选健康检查与 Geographic，打开 DNS 选项，勾选服务器模式，GSLB 运行为 DNS 服务器模式，勾选只保留活动服务器，取活动的故障保护，CNAME 检测这三项。完成后点击更新。当有 DNS 请求时，GLB 会按照 Metrics 列表从上到下的顺序匹配算法来决定具体使用哪个 Serviceip 来相应服务。一般会先选择健康检查以及 Geographic 这两个算法，第三个算法可根据具体数据中心的情况来确定。两个数据中心中有其中 一个需要优先使用，则将第三个算

13、法选择为 Admin IP TOP ONLY，并在设置 DNS 记录时，将管理 IP 参数设置为较大的参数；若两个数据中心的使用率无差别，第三个算法可以设置为轮询算法；若是两数据中心的使用存在比例关系，可以在 DNS 记录中设置相应的权重比例。图12 创建策略配置健康监测GLB 的 ping 类型的健康监测可能会使所监测的 Service ip 的状态与实际状态不符，所以建议使用HTTP 或TCP 类型的健康监测。由于 GLB 间同步的内容只是 GSLB 下的配置，所以 GLB1 与 GLB2 上的健康监测需要进行同样的配置，以防止两个各 GLB 间健康监测的使用出现差别。进入 ADC-健康监

14、测，点击创建，创建名为 HTTP 的健康监测，使用 HTTP 类型的方法，将探测的间隔次数及超时时间调小，并设置覆盖 IPV4 为 。覆盖 IPV4 的作用是，GLB 通过探测覆盖 IP 的状态，来决定使用该健康监测的 Service ip 或站点的状态。图13 创建健康监测 HTTP创建名为 http- 的健康监测，并设置覆盖 IPV4 为 图14 创建健康监测 http-配置服务IP进入GSLB-服务IP创建，输入服务器IP 名称SLB1_VIP1，IP 地址即SLB1 对外提供服务的GlobalIP 之一，勾选“启用或禁用这个 GSLB 服务器”，使用健康监测 HTTP，完成后点击创建。

15、图15 配置服务 IP SLB1_VIP1创建服务 IP SLB2_VIP1 使用的 IP 地址为 SLB2 对外提供服务的 Global IP 之一，使用的健康监测为 http-。图16 配置服务 IP SLB2_VIP1配置站点进入GSLB-站点创建，站点Site1_SLB1_VIP1，输入名称，选中IP 服务器nat-ip 与地理位置IDC1，完成后点击创建。图17 创建站点 Site1_SLB1_VIP1创建站点 site05，选中IP 服务器 nat-ip02 与地理位置 IDC2。图18 创建站点 Site2_SLB2_VIP1配置FQDNFQDN（Fully Qualified

16、Domain Name，完全合格域名）的配置将 DNS 解析的目的域名与数据中心向外提供服务的 IP 对应起来。进入 GSLB-FQDN创建，在域字段标签下，填写 GSLB 域，服务，在服务域标签下，填写端口为80，并选择已创建的服务策略。图19 配置 FQDN回到 FQDN 的页面下，点击编辑，创建 DNS 记录，选择记录类型为服务 A，用按名称的方式，选择服务 IP SLB1_VIP1，完成后点击创建，并更新 FQDN。以同样方式创建 DNS 记录，使用服务 IP 为 SLB2_VIP1。图20 编辑 FQDN图21 创建 DNS 记录配置GLB同步在 Web 上无法进行 GLB 同步的配

17、置，修要进入到命令行模式下进行。以用户名 admin，密码 admin 登录远程控制台。输入 enable，password 为空，再输入 configure，进入 config 模式。图22 进入 config 视图配置 GLB 设备同步需要使 GLB 设备间能够相互 ping 通。登录到 GLB1 的控制台，进入到 config模式下，配置如下内容：H3C(config)# gslb group default H3C(config-group:default)# priority 200H3C(config-group:default)# primary H3C(config-group

18、:default)# config-anywhere H3C(config-group:default)# enable进入 GLB2 的控制台，在 config 模式下，配置如下内容：H3C(config)# gslb group default H3C(config-group:default)# priority 150H3C(config-group:default)# primary H3C(config-group:default)# config-anywhere H3C(config-group:default)# enableGLB1 的优先级高于 GLB2，所以 GLB1

19、为 Master，GLB2 为 Member。配置同步成功后，GLB1 的控制台显示如下：图23 查看 GSLB1 域运行信息GLB2 的控制台显示如下：图24 查看 GSLB2 域运行信息配置Local DNS在 服务器上创建一个使用 windows Server2008 r2 系统的虚拟机，开启 DNS Server 功能，新建区域 。图25 新建区域 新建委派 a123，NS 记录的 IP 地址设置为两个 GLB 的服务地址。图26 新建委派 aaa验证配置模拟Client端正常访问目的域名由于在 Local DNS 上设置的首选 DNS 为 ，备选 DNS 为 ，所以在链路都正常时，

20、Local DNS 向 GLB 发送请求，由 SLB 给予 Client 回复。根据 Client 所在的地理位置不同，距 Client 较近的数据中心将提供 Web 服务。图27 Client1 端对目的域名进行 DNS 解析从图中可以看出 Client1 使用的 DNS 服务器的 IP 为 ，目的域名最后解析出的地址为。图28 成功打开的 Web 页面从 Client1 端抓包情况：图29 Client1 端抓包情况从 Local DNS1 上抓包情况：图30 Local DNS1 上抓包情况从 Client2 端抓包情况：图31 Client2 端抓包情况从 Local DNS2 上抓包

21、情况：图32 Local DNS2 上抓包情况模拟主用数据中心内所有实服务器故障，查看用户业务切换情况。当服务器 Server1 与 Server2 不可用时，SLB1 仍可以 向外提供服务，此时生效的就是备用的实服务组 lemon02。在浏览器上访问 SLB1 的 Global IP，仍可以打开 Web 页面。此时链路情况如下图所示：图33 链路故障情况图34 生效的实服务组为 real02图35 Client 端对目的域名进行 DNS 解析图36 DNS 记录未老化的用户仍可以访问 Web 服务器模拟主用数据中心内SLB故障，查看用户业务切换情况在此环境下，down 掉SLB1 的上行口模

22、拟SLB1 链路异常的情况，从 Client 端对目的域名进行 DNS解析，可以看到回应的目的地址为 SLB2 的Global 地址 ，Web 仍可以正常打开。此时链路情况如下图所示：图37 链路故障情况图38 Client1 端对目的域名进行 DNS 解析图39 GLB 尝试 ping SLB1 和 SLB2图40 GLB1 查看服务 IP 状态图41 Client 可以继续正常访问模拟GLB故障，查看用户业务切换情况当 GLB1 链路异常时，Local DNS 会把请求发给 GLB2，由于 GLB 间有配置同步，当 Client 端的IP 通过匹配地理位置，仍选择较近的数据中心来提供服务，

23、即由数据中心 1 的Global IP 响应 Web 请求。此时链路情况如下图所示：图42 链路故障情况图43 Client1 端对目的域名进行 DNS 解析图44 模拟 Client1 访问服务器，并抓包GLB配置同步功能，查看用户业务切换情况GLB 间的配置同步，即同步 GSLB 业务下的配置。验证配置同步的方式如下：分别在 Web 上查看GLB1 与GLB2 的Service ip 的情况，在GLB1 即master 设备中增加一个名为test001 的Service ip， 刷新 GLB2 的 Service ip 列表，显示情形如下图：图45 增加 Service ip 前 GLB1

24、 的 Service ip 列表图46 增加 Service ip 前 GLB2 的 Service ip 列表图47 增加 Service ip 后 GLB1 的 Service ip 列表图48 增加 Service ip 后 GLB2 的 Service ip 列表针对多个运营商链路具有多个公网IP时地理位置就进性当GLB1 上Site1_SLB1_VIP1 对应的地理位置为CTC，Site2_SLB1_VIP1 对应地理位置为Unicom时，在 Client1 端使用 nslookup 命令查询域名 HYPERLINK / 的信息，结果如下图：图49 Client1 端对目的域名进行

25、DNS 解析在 Client1 端使用 nslookup 命令查询域名 HYPERLINK / 的信息，结果如下图：图50 Client2 端对目的域名进行 DNS 解析在 Web 上进入 GSLB-地理位置，可以看到地理位置被命中的次数，如下图：图51 地理位置命中次数当数据中心 1 中的 GLB1 不可用时，会去 GLB2 上进行 DNS 解析，依然由数据中心 1 的服务器提供服务，如下图：图52 GLB1 不可用时，Client1 端 DNS 解析情况当 SLB1 出现故障时，从 Client1 端进行 DNS 解析，可以看到是由数据中心 2 的服务器提供的 Web服务。图53 SLB1 不可用时，Client1 端 DNS 解析情况测试结果汇总测试编号测试内容测试结果1模拟Client端正常访问目的域名OK2模拟主用数据中心内所有实服务器故障，查看用户业务切换情况OK3模拟主用数据中心内SLB故障，查看用户业务切换情况OK4模拟GLB故障，查