RadwareAlteon负载均衡器指导书v1.13

RAlteonwareAlteon负载均衡器指导书RadwareAlteon负载均衡器配置指导书拟制：日期：2013-9审核：日期：审核：日期：批准：日期：

修订记录日期修订版本描述作者2012-4-171.0初稿刘庆明2012-3-41.1在初稿基础上完善内容刘庆明2012-3-201.11增加NAT,vADC内容刘庆明2012-3-261.12增加L7,应用加速配置内容刘庆明2013-8-211.13修改命令行说明刘庆明2013-9-221.13增加负载均衡算法说明刘庆明RadwareAlteon负载均衡器指导书-2-7第106页,共SECTIONPAGES\*Arabic106页基本术语负载均衡和会话保持负载均衡既是为了保证每个server的承载合理farm分配请求消息到server的算法。会话保持：Alteon分配了client的第一个请求到server后，client的后继请求必须分配到同一个server。Alteon可以完成网络层和应用层上的会话保持。GroupGroup是指提供相同服务的服务器的集合，类似于AD的Farm。Alteon设备可以根据服务器提供的不同服务类型定义不同的Group。当客户端请求服务时，Alteon设备根据所请求的服务类型，从对应的Group中选择一个最适合的服务器来提供服务。RealServers在Alteon中的配置，表示具体的物理服务器，属于一个或者多个Group。VIP（VirtualIPAddress）VIP是Group通过Alteon设备向客户端提供的一个请求服务的虚拟IP地址，客户端通过VIP向Group中的服务器请求相应的服务。Alteon设备通过Group中服务器的本地IP地址来标识不同的服务器，从而将客户端的服务请求转发到最佳的服务器上。Alteon设备选择服务器为客户端提供服务的过程，对客户端是透明的。VirtualServers在Alteon中的配置，VirtualServers类似于AD的L4Policy。VirtualServers可以配置网络层一些参数。VirtualServers可以理解为根据源IP地址，目的IP地址及协议端口号等参数进行负载均衡处理。VIP在VirtualServer中配置。VirtualSerivce在Alteon中的配置，定义具体的应用，位于VirtualServer功能之下。L7Policy在Alteon中的配置，基于请求中的特定内容进行负载均衡处理，通常对HTTP协议进行L7处理。DAMDirectAccessMode，此模式开启后，可以直接访问服务器。NAT（NetworkAddressTranslation）NAT可以在不同网络间进行IP地址的转换，特别用在私网IP地址和公网IP地址之间的转换。PIP（ProxyIP）ProxyIP用于客户端访问VIP时隐藏其IP地址。通常用于服务器网关未指向负载均衡器的场景。对数据包进行源地址转换，旁挂模式应用PIP可避免三角传输问题。健康检查Alteon可靠的健康状况检查可以保证用户获得最佳的服务。Alteon可以监视服务器在IP、TCP、UDP、应用和内容等所有协议层上的工作状态。如果发现某个服务器发生故障，用户请求被透明地重定向到正常工作的服务器上。这可以保证用户始终能够获得他们所期望的信息。Redundancy主备冗余，用于Alteon的双机配置和通信，防止设备单点故障。使用VRRP方法来保证可用性。目前可以自动同步主备机配置。SSL加速在SSL处理过程中，所有的传输内容均采用加密算法处理。其中最重要的两个部分为SSL握手时交换秘钥的非对称加密和数据传输时的对称加密。在现有的系统中，通常非对成加密采用1024位的密钥进行加解密，因此对服务器的CPU占用率非常高。Alteon可以进行SSL处理，与服务器采用HTTP协议，Alteon与用户之间使用HTTPS协议，来减少服务器的压力。Cache(缓存)于对经常使用HTTP内容，Alteon会缓存在内存中，当用户再次请求相同的URL时，Alteon直接将缓存内容回应给用户，而不是转发给服务器处理，减少服务器的压力。压缩Alteon可以支持HTTP协议的压缩选项，将传输出的内容进行压缩处理，减少带宽消耗。VX于如果使用alteon5224及以上平台的设备，可以支持虚拟化，即虚拟成多台逻辑负载均衡设备，彼此之间相互隔离，拥有各自的资源和配置以及管理。VX就是虚拟化的HyperVisor,用来配置和管理虚拟机的资源。vadcvadc就是虚拟的负载均衡设备Standalone相对于虚拟化的负载均衡器，如果运行在单机模式，就是Standalone.Alteon组网和配置流程Alteon在使用中都是采用双机主备方式工作，其对应的组网依据不同的方式分为直连组网，单臂组网双臂组网和三角传输方式组网，下面依次做详细介绍。直连组网网络拓扑图如下：(标准架构)整个网络由防火墙、路由交换机、二层交换机和两台负载均衡交换机组成。路由交换机连接防火墙的DMZ区，负载均衡交换机通过二层交换机连接路由交换机。Alteon交换机划分两个Vlan，分别连接服务器和交换机。两台alteon交换机工作于主备模式，平时一台设备为active状态，另一台为backup状态，当active设备出现故障的时候，backup设备会变为active状态。双臂组网以下组网是称为双臂组网，是目前使用比较多的组网方法，逻辑上看，它属于路由方式。此种组网方式可以实现完全的主备切换。单臂时，使用一条物理连接；双臂时，使用2条物理链路，分别连通内网服务器和外网防火墙或路由器。Alteon主机Alteon主机服务器服务器服务器SW-1SW-2核心交换机Alteon备机防火墙服务器服务器防火墙注意：在这种组网方式下，如果有两级交换机级连，此时核心局域网交换机及局域网交换机上都要启用生成树（STP）协议，以消除环路。我们建议与Alteon相连的端口设置为PortFast，不参于生成树计算。在负载均衡器上需要将submac功能开启。通常情况下，服务器的网关需要指向负载均衡设备的内网浮动网关。单臂组网以下组网是称为单臂组网。此种组网方式可以实现完全的主备切换。通常情况下，服务器的网关需要指向负载均衡设备的浮动网关。Alteon设备一般比较少用此种组网。Alteon主机Alteon主机服务器服务器服务器SW-1SW-2VR-IPAlteon备机防火墙服务器服务器防火墙注意：在这种组网方式下，如果有两级交换机级连，此时核心局域网交换机及局域网交换机上都要启用生成树（STP）协议，以消除环路。使用单臂时，如果内网与外网不在同一网段，可以使用802.1QVlanTrunk进行配置，详见VLAN配置。通常情况下，服务器的网关需要指向负载均衡设备的内网浮动网关。我们建议与Alteon相连的端口设置为PortFast，不参于生成树计算。在负载均衡器上需要将submac功能开启。为了与其他厂家的负载均衡器的术语区分。我们将Alteon虚拟出来的作为服务器网关的地址称为VIR，与交换机的浮动IP概念相同；对外提供业务服务的虚拟IP的VR称为VSR。三角传输-DSR对于流媒体类型的应用，会采用三角传输组网，本地三角传输也称路径外回应（DirectServerReturn）。它是为提高整体网络性能的一种解决方案。目前有MTV项目使用此组网方法。其结构图如下：VIPVIP地址三角传输internet服务器LoopBackIP=VIP用户用户请求服务器回应在Alteon上配置VIP地址用来提供对外服务，在每服务器上配置环回地址，这个环回IP地址也是VIP地址。服务器的网关指向路由器，与Alteon的网关相同。环回地址的特性是它永远是激活的，但并不会响应ARP请求。当路由器发送ARP请求查询VIP的MAC地址时，Alteon会响应，将Alteon的MAC地址告诉路由器；而服务器的环回网卡不回应任何请求。用户访问VIP，Alteon收到请求后，将用户的请求数据包的目标MAC进行更改，而三层的IP包不作任何改变(这与常规四层交换不同，常规四层交换需要更改目标IP)，用服务器网卡的MAC地址封装此包，服务器处理完请求后，仍然使用VIP作为它的源地址通过网关回应数据包给用户，绕过了Alteon。配置负载均衡的基本流程配置的过程基本上按照章节的顺序进行。下面仅列出关键的内容，其他的内容跟据场景的不同，有的需要配置，有的不用配置。比如ClientNAT，在通常的场景下面是不用配置。1.网络拓扑和地址规划(第2章)2.初始化配置(第3章)4.配置IP（VlanTag）(3.12节)5.配置路由和网关(3.12节)6.业务配置（仅配置主设备）（第5章）GroupServerVIPL7Policy(可选)Cookie会话保持(可选)7.配置双机的VR(VirtualRouter)(第4章)8.同步配置到备机（第6章）负载均衡的地址规划在实施配置前，请先规划好Alteon和服务器的地址。这里仅示例，以现网IP进行修改。地址的规划示例：单元主机名端口IP地址浮动IP地址(服务器网关)网关(下一跳)1AlteonMaster1/24(TRUST网段)/25(USDP内网)29/25(VXML内网)/24(PORTAL内网)/24/2531/25/2454（TRUST区）2AlteonSlave1/24(TRUST网段)/25(USDP内网)30/25(VXML内网)/24(PORTAL内网)同上同上注：30/25表示IP为30，子网掩码为28（25位1）RADWARE支持在一个端口上配置一个或多个不同网段的IP，建议采用1个或2个千兆端口连接交换机即可。服务器地址规划服务器的规划示例：主机名IP地址默认网关VirtualIP地址USDP011/251/24USDP022/25……VXML0121/25312/24VXML0222/2531……PORTAL011/243/24PORTAL022/24Alteon基本配置通过console线连接Alteon使用WINDOWS的超级终端，设置参数如下：每秒位数:9600数据位:8奇偶校验位:无停止位:1数据流控制:None在“Enterpassword:”提示符下，输入用户名密码即可登录，默认的用户名密码均为admin，登录成功后提示符变为“>>StandaloneADC#”类似的以“#”结束的提示符。登录设备默认情况下，用户名和密码都是admin，一般只有密码的提示：Enterpassword:adminSystemInformationat14:34:22MonMar4,2013Timezone:Asia/China/EChina(GMToffset+8:00)MemoryprofileisDefaultAlteonApplicationSwitch4408Switchisup0days,3hours,25minutesand46seconds.Lastboot:11:08:36MonMar4,2013(resetfromconsole)Lastapply:12:34:35MonMar4,2013Lastsave:12:03:49MonMar4,2013MACAddress:00:03:b2:87:44:00HardwareMainBoardNo|Rev:NSA5110-E2SFP|A.08HardwareDBNo:NotAvailableHardwareSerialNumber:31103019Note-WhenthemeasuredtemperatureinsidetheswitchEXCEEDstheanomalythresholdat74degreeCelsiusorthecriticaltemperatureat81degreeCelsiusdifferentsyslogmessageswillbegenerated.SoftwareVersion(FLASHimage2),activeconfiguration.Note:ThecurrentrunningconfigurationincludeschangesthathaveNOTbeensavedtoFLASH.Use"diffflash"toseethemand"save"tomakethempermanent.Confirmseeingabovenote[y]:y[MainMenu]info-InformationMenustats-StatisticsMenucfg-ConfigurationMenuoper-OperationsCommandMenuboot-BootOptionsMenumaint-MaintenanceMenudiff-Showpendingconfigchanges[globalcommand]apply-Applypendingconfigchanges[globalcommand]save-SaveupdatedconfigtoFLASH[globalcommand]revert-Revertpendingorappliedchanges[globalcommand]exit-Exit[globalcommand,alwaysavailable]>>StandaloneADC-Main#恢复出厂配置有可能设备已加过电，并留有配置，在新使用前，最好先清空原有配置。如果系统已经提示输入IP地址，则跳过这一步。在设备启动过程中，根据提示中断设备的自动启动过程：>>StandaloneADC-BootOptions#/boot/confCurrentlysettouseactiveconfigblockonnextboot.Specifynewblocktouse["active"/"backup"/"factory"]:factory输入factory，然后重启可以进行恢复出厂的操作>>StandaloneADC-BootOptions#/boot/resetResetwillusesoftware"image2"andtheactiveconfigblock.>>NotethatthiswillRESTARTtheSpanningTree,>>whichwilllikelycauseaninterruptioninnetworkservice.Confirmreset[y/n]:y设备按出厂值启动后，需要将配置改为Active，否则下次重启后仍然使用出厂值设置。>>StandaloneADC-BootOptions#/boot/confCurrentlysettouseactiveconfigblockonnextboot.Specifynewblocktouse["active"/"backup"/"factory"]:active命令行登录用户模式下，系统提示符是<设备名称>>，如：默认情况下，用户名和密码都是admin，一般只有密码的提示：Enterpassword:admin…>>StandaloneADC-Main#RadwareAlteon设备的命令是缓存提交方式，Alteon的配置可以使用命令行和WEB方式来进行，在每次的配置完成之后，都需要使用apply命令来激活所做的修改，如果有必要也要使用save命令将这些配置保存在系统的flash中，以便系统下次启动的时候能够自动的生效。如果在apply命令之前想放弃之前所做的修改，可以使用revert命令来放弃修改。RadwareAlteon设备的命令使用类似Unix目录分层结构的命令，其操作也和Unix/Linux类似，比如“/”回到主菜单，’../’回到上一层菜单。以下是主菜单的结构，其中红色部分是全局命令，可以在任意位置执行。[MainMenu]info-InformationMenu//用来查看各种状态信息，比如服务器，VRRP信息stats-StatisticsMenu//用来查看统计信息，比如流量统计cfg-ConfigurationMenu//用来进行配置oper-OperationsCommandMenu//用来执行一些操作，比如临时关闭服务器boot-BootOptionsMenu//用来进行软件和配置的管理maint-MaintenanceMenu//用来进行故障处理diff-Showpendingconfigchanges[globalcommand]apply-Applypendingconfigchanges[globalcommand]save-SaveupdatedconfigtoFLASH[globalcommand]revert-Revertpendingorappliedchanges[globalcommand]exit-Exit[globalcommand,alwaysavailable]同级层次下的命令可以使用“/”分隔，在同一行里配置。比如：/c/sys/accesshttpenatnetena也可以写成/c/sys/access/httpena/tnetena,效果是相同的。命令行支持简写。/c和/cfg是相同的，只要不会引起歧义，可以使用最简化命令。创建管理IP可以使用以下命令创建管理IP：/c/sys/mmgmtaddr0maskbroad55gw54ena然后运行apply命令生效配置，并且使用save保存配置。Alteon设备均配置了带外专用管理端口，管理IP有自己的网关，和业务的网关不冲突。我们可以创建管理IP和业务IP在相同网段，也可以是相同网关。他们分属不同的进程，路由表各自独立。管理IP不能进行负载均衡处理，其状态不影响双机VRRP的操作。我们建议配置专用管理端口进行配置工作。通过WEB页面连接启动WEB管理之前需要配置一个IP地址，该IP地址用于管理维护Alteon，通过上面介绍的串口连接后创建管理IP并输入以下命令启动WEB管理和Telnet：/c/sys/accesshttpenatnetena启动IE浏览器（建议IE6.0以上），在地址栏输入0，此时会提示输入用户名/密码，输入用户名密码（默认admin/admin）后即可进入WEB管理界面。确认当前设备的版本点击Monitor标签页，可以查看设备软硬件信息（MAC地址，SN号）：命令行如下：>>StandaloneADC-Main#/info/sys/generalSwitchisup0days,0hours,9minutesand20seconds.Lastboot:14:35:55TueMar5,2013(resetfromconsole)Lastapply:12:34:35MonMar4,2013Lastsave:12:03:49MonMar4,2013MACAddress:00:03:b2:87:44:00HardwareMainBoardNo|Rev:NSA5110-E2SFP|A.08HardwareDBNo:NotAvailableHardwareSerialNumber:31103019Note-WhenthemeasuredtemperatureinsidetheswitchEXCEEDstheanomalythresholdat74degreeCelsiusorthecriticaltemperatureat81degreeCelsiusdifferentsyslogmessageswillbegenerated.SoftwareVersion0(FLASHimage2),activeconfiguration.查看当前设备的License在WEB方式下，进入Config->System->Licensing最下面一行可以看到BaseMACAddress，这就是设备的MAC地址。命令行如下：>>StandaloneADC-Main#/info/swkeySoftwarefeatureStatusslbENAcookieENACapacityLicenseLicensePeakUsageCurrentUsageThroughput1000Mbps10.70Kbps1.79KbpsSSL500CPS0CPS0CPSCompressionUnlimited0Mbps0MbpsFastViewUnlimitedAPM0PgPM0PgPM0PgPM说明：License通常分为2部分，一部分是功能License（比如服务器负载均衡，链路负载均衡，GSLB等），一部分是性能License（吞吐率大小，SSL处理性能等）。关于Radware的license的有效期是永久性的，在设备发货的时候就带有，不需再重新申请。设备名称及Communitiy配置以下两条命令是用来标识Alteon设备的，给它们取个好记的名字；设置命令提示符，让你知道现在正登录在哪台设备上，当设备多的时候，尤其是多设备冗余时。进入Config->System->ManagementAccess->SNMP>>StandaloneADC-Main#/c/sys/access/snmpread-write//开启读写模式>>StandaloneADC-Main#/c/sys/ssnmp/name"Alteon-Master"//这个修改Web及SNMP提示•只读communitystring配置命令：/cfg/sys/ssnmp/rcomm<string>•读写communitystring配置命令：/cfg/sys/ssnmp/wcomm<string>管理界面进入Config->System->ManagementAccess->CLICLI打开管理方式，ena表示enable，相应地，关闭它们是dis。命令行操作如下：/c/sys/access/tnetena/sshdena如果是需要开启HTTP，则命令行操作如下：/c/sys/access/httpena如果是需要开启HTTPS，则命令行操作如下：/cfg/sys/access/https/httpsena如果使用HTTPS，需要创建证书：>>/cfg/sys/access/https/generateThisoperationwillgenerateaself-signedservercertificate.Enterkeysize[512|1024|2048|4096][1024]:Enterservercertificatehashalgorithm[md5|sha1|sha256|sha384|sha512][sha1]:EntercertificateCommonName(e.g.yoursite'sname):Usecertificatedefaultvalues?[y/n]:EntercertificateCountryName(2-lettercode)[]:usEntercertificateStateorProvinceName(fullname)[]:newyorkEntercertificatelocalityname(e.g.city)[]:newyorkEntercertificateOrganizationName(pany)[]:exampleEntercertificateOrganizationalUnitName(e.g.accounting)[]:examEntercertificateEmail(e.g.admin@)[]:example@Entercertificatevalidationperiodindays(1-3650)[365]:Selfsignedservercertificate,certificatesigningrequestandkeyadded.网络配置网络配置，主要包括vlan划分及IP地址定义。RadwareAlteon设备的端口是交换端口，Vlan是必须使用的，必须先划分Vlan，再接将接口IP配置在VLAN上。所以端口默认位于VLAN1基本配置启用路由转发功能缺省情况下，alteon的路由转发功能是启用的，也可以使用下列命令来启用>>Main#/cfg/l3/frwd/on配置本地路由转发(可选)此命令用来使用路由缓存，减少ARP表的大小，提高转发效率。>>Main#/cfg/l3/frwd/local/add6024>>Main#/cfg/l3/frwd/local/add40设置端口名字Alteon2216有18个以太网接口，可以对每一个接口配置一个名字，这样有利于维护人员快速查看接口配置，端口名字使用下面命令配置：>>StandaloneADC-Main#/cfg/port8/name"To_Local"Currentname<64charactersstring>|"none":Newname<64charactersstring>|"none":To_Local注意：端口名字需要用双引号引起来。禁用和启用端口考虑实际的应用，可以启用或者禁用Alteon上单独的端口，禁用、启用端口的命令分别如下：>>Main#/cfg/port8/dis>>Main#/cfg/port8/ena物理端口速率配置千兆物理电接口连接1G端口时不能关闭为自动协商,只能自动协商。如果千兆物理电接口需要设置为100M时，必须关闭自动协商。所有ODS平台端口都是千兆速率，不般不需要调整，只有光口协商不成功的情况下才需要调整。以下示例是千兆电口强制百兆速率的配置：进入Configure->PhysicalPorts命令行配置如下：>>StandaloneADC-System#/cfg/port3[Port3Menu]gig-CopperGigPhyMenupvid-SetdefaultportVLANidalias-Setportaliasname-Setportnamecont-SetdefaultportBWContractnonip-SetBWContractfornon-IPtrafficegbw-SetportegressbandwidthLimitrmon-Enable/DisableRMONforporttag-Enable/disableVLANtaggingforportiponly-Enable/disableallowingonlyIPrelatedframesena-Enableportdis-Disableportcur-Displaycurrentportconfiguration>>Port3#gig[GECopperLinkMenu]speed-Setlinkspeedmode-Setduplexmodefctl-Setflowcontrolauto-Setautonegotiationcur-Displaycurrentgecopperlinkconfiguration>>StandaloneADC-GECopperLink#curPorttype:CopperGECurrentPort3Phy1Linkconfiguration:speed10/100/1000,modeany,fctlboth,autoon各平台端口命名Alteon4408(ODSVL)的前面板端口Alteon4408中，G1到G6为千兆电口，即端口1-6；G7到G8为千兆光口，即端口7-8；Alteon4408没有专用管理端口，可以指定一个端口做为管理使用，只能使用G6为MNG口。Alteon4416(ODS2)的前面板端口G1-G12为千兆电口，G13-G16为SFP模块槽，可以使用光口或电口。这些端口编号从1-16。Alteon4416有专用管理端口，为千兆电口，可以使用这些端口做为管理用途。可以通过/c/sys/mmgmt来配置。Alteon5412(ODS3)的前面板端口1-8为千兆电口，9-12为SFP模块槽，可以使用光口或电口。这些端口编号从1-12。XG1-XG4为万兆XFP模块槽。这些端口编号从13-16。Alteon5412有专用管理端口，为千兆电口，可以通过/c/sys/mmgmt来配置。Alteon5224(ODSSL)的前面板端口1-2为万兆XFP+模块槽。这些端口编号从1-2。11-18为SFP模块槽，可以使用光口或电口。19-26为千兆电口。Alteon5224有专用管理端口，为千兆电口，可以通过/c/sys/mmgmt来配置。Alteon6420(ODSHT)的前面板端口1-4为40G口，这些端口编号从1-4。5-24为SFP+模块槽，可以使用10G光口或电口，也可以使用1G光口或电口。这些端口编号从5-24。Alteon6420有专用管理端口，为千兆电口，可以通过/c/sys/mmgmt来配置。L2配置VLAN配置Alteon上面可以将端口划分到不同的VLAN上去，从而分离不同VLAN之间的数据。在Alteon的配置中，VLAN是必须配置的。默认情况下，所有端口都在VLAN1中。Alteon的VLAN编号需要与交换机的VLAN号一致。进入Configure->L2->VLANs点击Add创建一个VLAN输入VLANID，VLANName，并将状态设置为Enabled，并将端口加入VLAN。命令行配置如下：配置VLAN：>>Main#/cfg/l2/vlan20/name"VLAN20upto_3552">>Main#/cfg/l2/vlan20/ena将上联端口划分到VLAN上去>>Main#/cfg/l2/vlan20/add16将端口从VLAN配置中去掉>>Main#/cfg/l2/vlan20/rem16802.1QVLANTag配置如果一个物理端口同时连接2个以上VLAN，并且对端交换机配置了VlanTag，相应的，Alteon上也必须配置相同的Vlan参数。在Alteon相关物理端口上配置开启tag，并且配置上vlanid号，与交换机一致。>>StandaloneADC-Configuration#/c/port19/tagena/pvid92>>StandaloneADC-Configuration#/c/port20/tagena/pvid93生成树STP配置Alteon上面可以将端口划分到不同的VLAN上去，从而分离不同VLAN之间的数据。从目前的组网情况看，STP极少使用，一般情况下可以不配置。进入Configure->L2->SpanningTree命令行配置如下：>>StandaloneADC-Main#/cfg/l2/stgEnterSpanningTreeGroupindex[1-16]:1[SpanningTreeGroup1Menu]brg-BridgeparameterMenuport-PortparameterMenuadd-AddVLAN(s)toSpanningTreeGroupremove-RemoveVLAN(s)fromSpanningTreeGroupclear-RemoveallVLANsfromSpanningTreeGroupon-GloballyturnSpanningTreeONoff-GloballyturnSpanningTreeOFFdefault-DefaultSpanningTreeandMemberparametersuntgpvst-Enable/DisablesendingPVSTframesonuntaggedportscur-Displaycurrentbridgeparameters>>SpanningTreeGroup1#curCurrentSpanningTreeGroup1settings:OFFBridgeparams:PriorityHelloMaxAgeFwdDelAging3276822015300VLANs:1-3STPPorts:1:Priority128,PathCost0auto2:Priority128,PathCost0auto3:Priority128,PathCost0auto4:Priority128,PathCost0auto5:Priority128,PathCost0auto7:Priority128,PathCost0auto8:Priority128,PathCost0autountgpvstdisabled命令行配置如下：静态端口聚合配置LinkAggregation功能指将多个物理网口进行绑定后，实现端口聚合，增加重输速度并屏蔽线路故障。端口聚合需要所有参与的端口在速率，双工模式必须完全致。在配置时，最好都连好网线，否则有可能无法加入聚合组。Radware支持的是标准的802.3ad，可以最多支持12个端口的绑定及最多设置12个trunk。Alteon已经预定义了多个端口聚合组，我们不需要修改，只需要将端口加入指定的聚合组即可。进入Configure->Layer2->TrunkGroups点击需要修改的TrunkGroupID，将状态设置为Enabled，并将端口添加到TrunkGroup中，点击Submit提交。例如将端口7和8加入Trunk1，命令行配置如下：>>StandaloneADC-Layer2#/cfg/l2/trunk/Entertrunkgroupnumber:(1-12)1[Trunkgroup1Menu]cont-SetBWcontractforthistrunkgroupname-Setdescriptivetrunknameadd-Addporttotrunkgrouprem-Removeportfromtrunkgroupena-Enabletrunkgroupdis-Disabletrunkgroupdel-Deletetrunkgroupcur-DisplaycurrentTrunkGroupconfiguration>>Trunkgroup1#add7Port7added.>>Trunkgroup1#add8Port8added.>>Trunkgroup1#apply完整命令行配置如下：>>StandaloneADC-Layer2#/cfg/l2/trunk1/add7/add8LACP配置LinkAggregation功能指将多个物理网口进行绑定后，实现端口聚合，增加重输速度并屏蔽线路故障。Alteon也支持动态配置。例如：将21和22端口加入相同Trunk,23和24加入相同Trunk>>ADC-VX-LACP#/c/l2/lacp/port21/modeactive/adminkey100>>ADC-VX-LACP#/c/l2/lacp/port22/modeactive/adminkey100>>ADC-VX-LACP#/c/l2/lacp/port23/modeactive/adminkey200>>ADC-VX-LACP#/c/l2/lacp/port24/modeactive/adminkey200>>ADC-VX-LACP#/info/l2/lacp/dumpPortlacpadminkeyoperkeyselectedprioattachedtrunkaggr21active100100y32768213322active100100y32768213323active200200y32768233524active200200y327682335L3配置定义接口IP地址2台alteon交换机上都要分别配置各自在上联网段中的IP地址。If中的编号并不是端口号或者Vlan号，只是接口IP的编号，注意不要混淆。所有的接口IP都需要定义vlan，默认是Vlan1。一般同一台设备的多个IP接口地址都在不同的VLAN中，某些情况下可以在同一VLAN中，情况比较少见。所以我们建议有多少个IP网段就创建多少个VLAN，它们的数量是一致的。管理端口的IP比较特殊，不需要配置VLAN，需要注意。配置IP地址：>>Main#/cfg/l3/if20/addr配置掩码：>>Main#/cfg/ip/if20/mask40配置广播地址(可以不配置，系统会自动添加)：>>Main#/cfg/ip/if20/broad5配置VLAN：>>Main#/cfg/ip/if20/vlan20启用接口：>>Main#/cfg/ip/if20/ena也可以使用一条命令如下：>>Main#/cfg/l3/if20/ena/addr/mask40/vlan20默认网关配置2台alteon交换机上都要同时配置上联网段的IP为网关地址，网关1-4为全局网关，可以为所有vlan使用，>>Main#/c/l3/gw1/ena/addr说明：RadwareAlteon在配置网关时，通常只需要配置1个即可。GW1到GW4是所有VLAN的默认网关，GW5以后的网关可以作为某个VLAN的网关。路由配置添加路由命令>>Main#/cfg/l3/route/ip4/add<destination><mask><gateway>[interfacenumber]删除路由命令>>Main#/cfg/l3/route/ip4/rem<destination><mask>标准负载均衡配置最基本的负载均衡配置包括以下几部分：创建Group，创建Server，创建VirtualServers，最后创建VirtualService。这几部分配置完成后，就可以实现基本的负载均衡功能了。每步配置中均需要将状态设置为ena才能使用。命名规则RadwareAlteon的Group，Server，VirtualServers使用编号定义，可以命名，名字使用大小写字母，数字和下划线。全局配置全局配置用来定义负载均衡功能的开关以及访问服务器的选项。>>Main#/cfg/slb/on******启用slb功能>>Main#/cfg/slb/adv/directena******允许直接访问服务器如果客户端请求从端口1进来，服务器响应从端口2返回，则需要配置下面命令:/c/slb/port1/clientena在端口1上启动4层client处理/c/slb/port2/serverena在端口2上启动4层server处理服务器配置服务器配置说明服务器（RealServer）是Group下面的元素，隶属于Group。定义服务器的名称，IP地址，以及服务的端口号。服务器的网关通常指向Alteon的地址，而不是防火墙，Alteon是双机时，这个地址是浮动IP。OpenAlteon>Server>ApplicationServer,创建server，进入到Configure>SLB>RealServers>点击“add”图标如下图所示：红色框为必选ID:Server的ID编号IPAddress:服务器的真实IP地址命令行配置如下：>>Main#/c/slb/real1/ena/rip65/name"Server-01">>Main#/c/slb/real2/ena/rip66/name"Server-02"服务器多端口配置如果服务器使用了多于一个端口，并且位于同一个group下，我们可以使用addport命令来增加端口配置。>>#/cfg/slb/real1/addport8001(Addport8001toRealServer1)>>#addport8002(Addport8002toRealServer1)>>#/cfg/slb/real2/addport8001(Addport8001toRealServer2)>>#addport8002(Addport8002toRealServer1)>>#/cfg/slb/real3/addport8001(Addport8001toRealServer3)>>#addport8002(Addport8002toRealServer1)>>#/cfg/slb/real4/addport8001(Addport8001toRealServer4)>>#addport8002(Addport8002toRealServer1)逻辑服务器配置在AD设备中，有逻辑服务器的概念，使得服务器的多端口配置非常灵活。从Alteon29.0开始，也支持逻辑服务器的配置，同一个IP地址，可以配置到多个RealServer中，通过addport来区分。>>#/cfg/slb/real1/rip0/addport8001>>#/cfg/slb/real2/rip0/addport8002Group配置Group配置说明Group是一组提供相同服务的服务器群组，这个群组下包含的服务器具有相同的属性。Configure>SLB>ServerGroups红色框为必选项，其他的保持默认即可。>>Main#/c/slb/group1healthhttp --指定以http端口作为健康检测基准add1--增加realserveradd2>>Main#/c/slb/group3 metrichash--指定负载均衡算法为Hash，默认为Minmisses add3 add4负载均衡算法说明Alteon应用交换机提供八种负载均衡策略：metricleastconns|svcleast|roundrobin|minmisses|hash|response|bandwidth|phash系统缺省情况下负载均衡策略是“最小连结数”(leastconns)可以通过下面命令来调整服务器组的负载均衡策略：>>#/cfg/slb/group<groupnumber>/metrichash(Usehashmetric)各种负载均衡策略简介：leastconns(最小连接数):根据后台服务器组中的每个服务器当前连接数，选取当前连接数最小的服务器来为下一个用户请求提供服务。可以做到每台服务器当前的连接数相同。roundrobin(轮巡):把用户请求轮流发送给后台服务器，分发时，并不检查服务器当前的连接数。Roundrobin特别适合UDP的应用，例如UDPDNS、Radius等负载均衡。并且最好伴随着UDPstateless使用(UDPstateless应用交换机不建Session，基于数据包分配)。/cfg/slb/virt1/servicedns/udpstateless带会话保持的负载均衡算法因为服务器负载均衡系统的后台有多服务器，有时候应用交换机做客户请求分配选择时，需要做到同一个客户发送的多个连接请求被发送到同一台后台服务器上。我们把这种需求叫做“会话保持”应用交换机提供了3种支持会话保持的基本负载均衡策略(Hash,Minmisses,Phash)，同时还提供了基于“客户IP会话保持”，“cookie会话保持”，“SSLID会话保持”多种辅助的会话保持方式（关于辅助方式的配置请查询ApplicationGuide文档）。hash:根据用户请求的IP地址用“hash”算法来选取后台服务器，适用于需要会话保持的应用，这样每次相同IP地址发送的请求会被发送到同一台服务器。minmisses(MinimumMisses):与“hash”策略类似，根据用户请求的IP地址选取后台服务器，提供会话保持。并且弥补了“hash”策略的不足。当后台服务器状态变得非常不稳定时，尽可能使会话绑定到相同的服务器上。缺省情况下，使用IP地址的前24位作为“Hash”对象，同一C类网段的IP全部会分到同一台服务器。这样没有hash策略均衡，因为hash策略使用32位IP地址。如果想使用全部32位IP地址参与运算，使用如下命令：>>#/cfg/slb/groupx/mhash32优点：提供会话保持，在后台服务器状态变得不稳定时，尽量提供会话保持。限制：不能用于防火墙负载均衡。phash(PersistentHash):此策略是“hash”策略及“minmisses”策略的一个折衷。一方面，尽量提供相对均匀的负载均衡，另一方面，在后台服务器状态变得不稳定时，尽量提供会话保持。方法如下：首先选用“hash”策略从后台服务器组中选取后台服务器，如果服务器状态正常(UP)，此服务器被选中。如果所选服务器不正常(DOWN)，将对后台服务器组中剩余的服务器再一次使用“hash”策略，从中选取新的后台服务器。优点：兼顾相对均匀的负载均衡及后台服务器状态不稳定情况下的会话保持。注意：在服务器负载均衡系统中，因为三种负载均衡策略都是通过针对客户的IP地址，按照各自相应的hash算法进行计算，然后选择分配。那么当客户端IP地址数量非常的少，有可能导致应用交换机分配请求给后台服务器，不能够做到非常均匀。如果遇到此种情况，又希望能够均匀分配请求，可以配合使用会话保持的辅助功能。其他负载均衡策略：response(响应时间):针对应用交换机对后台服务器健康检查的平均响应时间动态调整每个服务器的权值，从而使得响应越快的服务器将接受更多的用户请求。此策略主要适用于链路负载均衡。Bandwidth(带宽):针对应用交换机对后台服务器流量的监控动态调整每个服务器的权值，从而使得流量小的服务器将接受更多的用户请求。此策略在实际应用中极少被使用。健康检查配置我们可以定义常用的TCP，UDP，ICMP，HTTP页面等检查方式。也可以定义更为复杂的多逻辑关系的健康检查。系统默认检查方式是TCP。ICMP检查配置如果使用ICMP健康检查可以如下配置：1.SelectthehealthcheckmenuforGroup1.>>#/cfg/slb/group12.SetthehealthchecktypetoICMPforGroup1.>>#Realservergroup1#healthicmp3.Applyandsaveyourconfiguration.>>#Realservergroup1#applyHTTP页面检查配置我们可以模拟客户端浏览器进行HTTP页面的健康检查。例如：hname=wwwdname=content=index.html健康检查则为:GET/index.htmlHTTP/1.1Host:1.选择服务器group>>#/cfg/slb/group12.将其设置为HTTP.>>#/cfg/slb/group1/healthhttp3.配置健康检查内容.>>#/cfg/slb/group1/content<filename>4.应用并保存配置.>>#Realservergroup1#apply>>#Realservergroup1#saveRadius检查配置我们也可以模拟Raidus用户进行认证的健康检查。1.选择服务器group>>#/cfg/slb/group12.将其设置为radius-auth>>Realservergroup1#healthradius-auth3.配置健康检查内容.Thecontentoptionspecifiestheusername:passwordvaluethattheservertriestomatchinitsuserdatabase.Inadditiontoverifyingtheusernameandpassword,thedatabasemayspecifytheclientsorportstheuserisallowedtoaccess.>>Realservergroup1#content<username>:<password>4.配置RADIUScode值.Thesecretvalueisafieldofupto32alphanumericcharactersusedbyAlteontoencryptapasswordduringtheRSAMessageDigestAlgorithm(MD5)andbytheRADIUSservertodecryptthepasswordduringverification.ThisvaluemustbeidenticaltothevaluespecifiedontheRADIUSserver.>>#/cfg/slb/advhc/secret<RADIUS-codedvalue>5.应用并保存配置.>>#Realservergroup1#apply>>#Realservergroup1#save

自定义健康检查：对于复杂的页面内容，我们可以自定义检查脚本来实现健康检查。>>/cfg/slb/group1/healthscript1/contentnone>>/cfg/slb/advhc/script1

open"8080,tcp"

send"GET/test.phpHTTP/1.1\\r\\nHOST:\\r\\n\\r\\n"

expect"HTTP/1.1200"

close

Expect是服务器返回内容，后面可以引号里面写要匹配的字符串Open表示连接连接，后面写端口和协议Send是负载均衡器发送的内容，只要修改get后面的url就可以，其他参数不用动。

高级健康检查：从29版本开始，Alteon支持高级逻辑关系的健康检查。比如(check1|check2)表示逻辑或的关系，check1或者check2任意一项健康检查通过，服务器就是active状态。比如(check1&check2)表示逻辑与的关系，check1和check2同时健康检查通过，服务器才是active状态。高级健康检查可以在同一group下面定义所有realserver使用相同的高级检查策略；也支持每台realserver分别定义高级检查策略，非常灵活。也可以组合使用：((ID1&ID2)|ID3)&(ID4)我们以下定义check1和check2，关系为And.Configure>SLB>HealthChecks>Add分别创建check1(TCP8080)和check2(TCP8081)，然后创建and关系。然后在group中引用：命令行配置如下：/c/slb/advhc/health1TCP/name"check1"/dport8080/c/slb/advhc/health2TCP/name"check2"/dport8081/c/slb/advhc/health3LOGEXP/name"And"/logexp"1&2"/c/slb/group1/health3如果以Server为单位配置，则直接在Server下面引用：/c/slb/real1/health3VirtualServersVirtualServers主要功能就是定义对外服务的虚拟地址和服务端口，也就是负载均衡功能的入口。它是一个最大的容器，包含了Group，Group又包含了Server。这个策略将VIP，对外提供的协议及端口和Group关联起来。Configure>SLB>VirtualServics>AddVIP配置配置VirtualServers虚拟地址和、协议类型、端口号以及名称，此组合就是提供给外部访问的VIP，再将定义好的Group与之关联。/c/slb/virt1创建virtserver1 ena启用virtserver ipverv4 地址为IPv4 vip00设置virtserverIP地址VirtualService配置配置VirtualServers虚拟地址和、协议类型、端口号以及名称，此组合就是提供给外部访问的VIP，再将定义好的Group与之关联。命令行配置如下：>>/c/slb/virt1/service<port><application>常用应用可以不用输入端口号，未知应用则application类型为basic-slb例如http应用配置如下：/c/slb/virt1/servicehttp设置virtserver1的服务为Http group1将virtserver1绑定到Group1https配置如下：/c/slb/virt1/servicehttps/group1常用端口和应用对应表如下：L7Policy有些场景下面，我们需要根据用户请求内容进行负载均衡处理。比较常见的是根据请求路径进行分发。Alteon29.0以后版本支持3种方式来配置L7负载均衡：1.传统方式（Alteon早期L7配置方式）2.ContentRule方式（与ADL7Policy非常类似）3.AppShape++(TCL脚本语言)我们建议尽量使用小编号的方式来实现功能，配置简单，性能更好。如果能用传统方式实现，就不建议使用ContentRule；能用ContentRule实现就不用AppShape++启用L7功能时，需要全局开启DAM，否则配置不能成功apply。全局开启DAM。>>StandaloneADC-Main#/cfg/slb/adv/directen传统方式传统方式配置最简单，性能也最好。它要求所有服务器都在同一个Group中，然后在服务器中定义处理的内容，在满足条件的服务器当中进行负载均衡。配置说明及步骤：以下范例定义了2条URL策略：路径是/news的发到realserver1和2，路径是/sport的请求发到Real3和4，如果都不匹配，则发到4台服务器负载均衡。1.定义RealServer及Group(略)2.定义VIP：/c/slb/virt1/ena/ipverv4/vip03.定义VitualService：需要配置dbindena参数，同时定义urlslb参数/c/slb/virt1/service80http/group1/rport80/dbindena/http/httpslburlslb注：如果需要同时进行URL和主机名，则配置如下：/cfg/slb/virt1/service80/dbinden/http/httpslburlslb/httpslbandhost4.定义URL内容，ren1是默认的any策略，自定义必须从编号2开始。/c/slb/layer7/slb/ren11"/news"/c/slb/layer7/slb/ren12"/sport"5.定义RealServer的L7策略，其中addlb1是默认策略，如果不配置，则不匹配规则的请求全部拒绝。/c/slb/real1/layer7/addlb1/addlb11/c/slb/real2/layer7/addlb1/addlb11/c/slb/real3/layer7/addlb1/addlb12/c/slb/real4/layer7/addlb1/addlb12contentrule方式从29.0开始，Alteon支持contentrule方式和AppShape++脚本来实现L7的负载均衡功能。定义contentclassContentclass的概念类似于AD的method。>>ServerLoadbalanceResource#/cfg/slb/layer7/slb>>ServerLoadbalanceResource#cntclssEnterClassid:cgi[HTTPContentClasscgiMenu]name-SettheDescriptiveHTTPcontentclassnamehostname-URLHostnamelookupMenupath-URLPathlookupMenufilename-URLFileNamelookupMenufiletype-URLFileTypelookupMenuheader-HeaderlookupMenucookie-CookielookupMenutext