1. 首頁 > 生活 > >

深信服負載均衡用戶手冊 深信服負載均衡默認管理地址

小知識



文章插圖
深信服負載均衡用戶手冊 深信服負載均衡默認管理地址

文章插圖
第1章 概述A10負載均衡和F5負載均衡大致的配置模塊和配置思路基本一致,它們和AD的主要差異在鏈路負載的實現方式上,以及部分不常用模塊或功能AD的不支持,本文主要講述如何將A10的常見負載場景的功能配置轉換為AD的配置 。第2章 配置導出A10配置有兩種保存方式,分為系統備份文件和技術支持文件,系統備份文件通常包含所有的配置和各類文件(如證書、aflex腳本、地址集等)以文件類型打包下載,而技術支持文件則為一個單獨的文本文件,包括了所有配置和設備當前的狀態信息(如配置、設備狀態、日志、虛擬服務的健康狀態等),但不會包括證書、地址集等外部文件 。
建議兩個都導出,證書等需要通過系統備份的方式才能導出,方便替換后的證書導入,但是備份系統配置只能備份已保存的啟動配置,showtech可導出包含啟動配置和當前運行配置,并且showtech方便替換后的虛擬服務等設備狀態替換前后對比校驗,也方便傳輸,可直接轉給總部專家做配置確認 。兩種文件類型導出后打開如下:系統備份文件:
ShowTech文件:
注意:如果A10為多臺,必須保存并同步配置后每臺都單獨取下配置,除非A10開啟并配置了vcs自動同步(如開啟,可從任意一臺設備上獲取一份配置即可),如下圖:
2.1WEBUI導出先登錄設備(A10默認賬號 admin / a10 )并保存配置后同步配置,配置同步完畢后,再如下導出:系統備份文件導出:System > > Maintenance > > Backup > > System 選擇本地Local后點擊Backup等待瀏覽器彈窗下載 。ShowTechsupport技術支持文件導出:點擊界面右上角的救生圈按鈕,等待瀏覽器彈窗下載 。注意:先確認A10是否做了設備虛擬化創建了多個分區,配置導出一定要在默認的shared分區下導出才能獲取整個設備的所有配置,建議使用WEBUI方式導出 。2.1.12.x版本
2.2CLI導出1、通過SSH登錄A10設備后臺,賬號密碼和前臺賬號一致,默認為 admin / a10 ;2、設置SSH軟件記錄CLI輸出日志;3、輸入enable進入到特權模式下,password默認密碼為空,直接回車即可;4、輸入write memory all-partitions保存所有配置(包括所有分區);5、輸入show techsupport后回車等待techsupport輸出完畢;或使用show [running-config | start-up config ] all-paritions命令獲取所有配置(相當于不帶證書、aflex等外部文件的系統備份文件,亦可相當于不帶狀態和日志的技術支持文件,不建議使用該方式備份);6、取出之前保存的會話日志或直接復制整個輸出信息保存到新建的TXT文本中 。
如果不希望在會話窗口輸出復制,亦可如下命令輸出到A10可達的文件服務器上:
第3章網絡部署3.1網絡接口3.1.1A10配置A10的IP通常均是配置在VLAN上,方便后期接口調整加入 。在VLAN配置中,如果接口是Untagged,代表該接口相當于普通接口,不具備vlan標識(VLAN ID),VLAN相當于深信服設備上面的端口橋接配置,如有多個接口Untagged則使用橋接網口再對橋接網口配置鏈路IP,如只有一個接口則可以直接配置對應的接口鏈路IP 。示例配置文件如下:!vlan 11untagged ethernet 7router-interface ve 11name “xxx_vlan”!vlan 500untagged ethernet 4router-interface ve 500name “exam_vlan”!interface ve 500ip address 10.x.x.x 255.255.255.252name “exam_ve”!interface ve 11ip address 192.x.x.x 255.255.255.0ipv6 address 2001:x:x:x::1/64ip allow-promiscuous-vipname “xxx_ve”如A10接口上有添加ip allow-promiscuous-vip配置,則代表該接口可以匹配0.0.0.0的虛擬服務IP流量,通常出現在出向鏈路負載需要做選路策略場景 。轉換至AD時,AD無需配置,所有接口默認匹配所有類型虛擬服務 。示例配置文件如下:!interface ve 11ip address 192.x.x.x 255.255.255.0ipv6 address 2001:x:x:x::1/64ip allow-promiscuous-vipname “xxx_ve”!A10的鏈路健康檢查通常使用外部腳本的健康檢查,如下則使用對應的ve接口作源IP 下一跳為對應的鏈路網關IP(220.x.x.x),用于檢測鏈路是否正常,檢查的目的地址等信息包含在對應的腳本內 。轉換至AD時,如無特殊需求可直接使用WAN口的鏈路健康檢查實現,無需轉換 。示例配置文件如下:!health moxxxor hc-cu interval 5 retry 3 timeout 5 up-retry 1strictly-retry-on-server-error-responsemethod external program checkbyping arguments “1.1.1.1 1.1.1.2”!3.1.2配置解讀針對上述一個接口的配置進行說明!vlan 11#名稱untagged ethernet 7#物理的端口號,untagged表示數據包發送的時候不帶tag標簽router-interface ve 11#橋接的虛擬接口名稱name “xxx_vlan”#名稱!interface ve 11#表對應的接口vlanip address 192.x.x.x 255.255.255.0#IPV4地址掩碼ipv6 address 2001:x:x:x::1/64 #IPV6地址掩碼ip allow-promiscuous-vip#混雜模式接口name “xxx_ve” #接口名稱!3.1.3注意事項【1】·我們AD的鏈路健康檢查,是會匹配接口上SNAT地址,此時需要保證SNAT地址池里的地址,均能正常ping通對端運營商網關,否則健康檢查起步不來;或者通過ARP檢測方式來做健康檢查【2】WAN接口需要注意是非打標簽的廣域網接口,我們可以通過配置路由口,或者VLAN接口,兩種方式均可 。【3】LAN接口的健康檢查,AD實現方式為PING,需要注意AD-核心交換機之間的安全設備,拒絕外網方向過來的報文,導致監測失敗;3.2NAT配置A10的NAT配置和思科等路由交換的NAT配置一樣,分為靜態NAT配置和動態NAT(PAT)配置,都需要結合接口的 ip nat inside/outside 來定義和使用,A10的靜態NAT支持1對1做NAT和多對多的范圍靜態NAT 。3.2.1A10配置ip nat pool p-ct-tcp x.x.x.x x.x.x.x.x netmask /26ip nat pool p-ct-udp x.x.x.x x.x.x.x.x netmask /26ip nat pool p-ct-dns x.x.x.x x.x.x.x.x netmask /26以上配置表示:各自運營商線路地址池的地址,通過不同地址進行SNAT出去 。3.2.2配置解讀ip nat pool p-ct-tcp x.x.x.x x.x.x.x netmask /26 #配置匹配TCP協議動態地址池ip nat pool p-ct-udp x.x.x.x x.x.x.x netmask /26 #配置匹配UDP協議動態地址池ip nat pool p-ct-dns x.x.x.x x.x.x.x netmask /26 #配置匹配DNS協議動態地址池3.2.3注意事項【1】由于原本A10工程師配置上,選擇不同協議使用不同源地址,我們通常在項目交付過程中,不會區分地址池,此處替換保留配置平移,我們保留TCP服務使用單獨的地址池,其他協議使用一個地址池;為了TCP連接占用端口可能會比UDP更多,故不選擇保留UDP協議;【2】DNS單獨轉換可以去掉,注意不要只保留TCP、UDP策略,還有ICMP策略,最好建立一條any匹配所有協議 。3.3路由配置3.3.1A10配置出口部署時配置的默認路由僅用于設備自身的上網,如外網管理和測試外網等需求,A10上網的轉發流量通常使用0.0.0.0/0的虛擬服務實現,具體見出向鏈路負載轉換介紹 。ip route 10.x.0.0 /16 192.x.x.x指向XX學校內網的路由3.3.2配置解讀路由正常按照字面意思進行配置即可 。3.3.3注意事項【1】全零路由在我們AD上通常不需要配置,避免影響健康檢查;【2】注意WAN口鏈路是專線或者存在WAN-LAN的流量,不匹配DNAT或者虛擬服務,需要開啟WAN入站轉發;第4章出向鏈路負載4.1概述A10的鏈路負載采用的思路和服務器負載的整體思路是一樣的,通過采用特定的調度算法分別把流量分別調度到不同的鏈路節點上做負載 。當訪問的流量匹配到了負載均衡的虛擬服務之后通過調度算法和鏈路健康檢查調度到了節點池中的某個節點同時實現鏈路備份,同理鏈路負載的實現思路也是一樣的,通過定義一個節點池(運營商網關地址),分別把去往運營商的流量調度到節點池(運營商網關地址)的不同節點實現鏈路的冗余和備份 。
【深信服負載均衡用戶手冊 深信服負載均衡默認管理地址】與此同時AD在7.0開始支持三層虛擬服務,三層虛擬服務支持配置全0網段配置(0.0.0.0)和特定網段配置(192.168.1.0/24),通過配置三層虛擬服務同時關閉DNAT,這樣通過虛擬服務也可以解決這種需場景,如果要實現特定的源IP網段走特定的線路,通過配置前置調度策略即可,特定的目的IP網段起對應網段的虛擬服務即可 。由于我們的前置策略不支持過濾目的地址匹配ISP地址集,此策略只能通過iPro實現,建議將友商的鏈路負載改用AD的智能路由方式實現客戶的出向鏈路負載的場景需求(我們的智能路由配置更簡單) 。4.2ACL流量匹配4.2.1A10配置A10的ACL主要用于策略匹配,此處用于對鏈路負載流量區分以用作不同策略 。access-list 108 permit ip any x.x.x.x 0.0.0.2554.2.2配置解讀access-list 109 permit ip any host x.x.x #此處意思源any,去往該目的地址流量4.2.3注意事項【1】在整理時,類似通過策略路由的形式,保證源路由指定出口線路,我們可以通過智能路由方式配置,更簡化方便 。需要注意智能路由選路的特點,從上到下匹配順序;其他是指向內網的access-list,可以通過靜態路由,直接朝內網核心交換機指,不需要特別關注;4.3節點池4.3.1A10配置定義同樣地址集下的選路和備份策略slb service-group sg-ct tcpmember link-ct:0 template t-ct-tcp priority 10member link-cu:0 template t-cu-tcp priority 5member link-cmcc:0 template t-cmcc-tcp priority 24.3.2配置解讀如此前所述,A10的鏈路負載是把運營商網關作為節點,此處定義選路策略的優先級,如sg-ct節點池中t-ct-tcp優先級有10,而t-cu-tcp用作備份,最后選擇t-cmcc-tcp;4.3.3注意事項A10在這一塊配置上面看起來會較為復雜,但轉換為AD配置會簡單的多,只需注意A10具體在哪些鏈路上開啟負載均衡策略 。4.4出向負載策略綁定4.4.1A10配置A10的出向鏈路負載和服務器負載類似,都是先創建節點(鏈路負載為網關節點),再定義相關策略,最后再通過虛擬服務進行綁定發布 。A10的鏈路負載識別方法主要是查看有無0.0.0.0的虛擬服務,再根據對應的0.0.0.0的虛擬服務反向查找綁定的配置分析對應的選路策略 。slb virtual-server llb-acl123 0.0.0.0 acl 123port 0 tcpservice-group sg-eduuse-rcv-hop-for-resptemplate tcp t1no-dest-natport 0 udpservice-group sg-edu-udpuse-rcv-hop-for-resptemplate udp u1no-dest-natport 0 othersservice-group sg-eduuse-rcv-hop-for-resptemplate tcp t1no-dest-nat4.4.2配置解讀以上配置表示:acl 123匹配的流量會使用此負載策略,tcp和udp以及others需要分開配置,對應的選路策略為llb-tcp和llb-udp,使用了目的IP會話保持,禁用了目的地址轉換,使用嚴格的NAT地址轉換(超時時間內同一源IP訪問固定線路都使用相同的NAT地址),設置了源進源出保證流量對稱返回 。轉換至AD時,創建對應的智能路由策略,匹配acl 123的源目IP做多鏈路的選路和備份,如有其它acl則再對其它acl匹配的創建多條智能路由策略做選路和備份,按照AD的配置思路轉換即可 。4.4.3注意事項4.5地址庫選路策略模板4.5.1A10配置定義不同ISP選擇不同的選路策略slb template policy llbbw-list name chinaallbw-list id 1 service-group sg-ctbw-list id 2 service-group sg-cubw-list id 3 service-group sg-cmccbw-list id 4 service-group sg-cubw-list id 5 service-group sg-cmccbw-list id 6 service-group sg-edubw-list use-destination-ip!4.5.2配置解讀以上配置表示:定義選路策略,使用的地址集為chinaall,設置地址集的IP作為目的IP進行匹配,目的地址屬于id 2、4的地址則使用聯通去訪問,其它線路作備份,屬于id 1的則使用電信線路去訪問,其它線路作備份等等 。地址庫中1-7涉及的所有IP均未匹配的則會匹配虛擬服務的默認節點池 。4.5.3注意事項【1】排除掉精細的ACL做的選路,大的選路策略,也就是根據目的運營商地址進行轉發,AD上不需要建立自定義ID,直接調用AD里ISP運營商地址庫,且AD運營商地址庫會周期更新,確保地址實時同步;【2】智能路由建議搭配DNS代理進行,根據加權最小流量匹配