H3C SecPath L5000L1000负载均衡开局指导书.docx
- 文档编号:7387010
- 上传时间:2023-05-11
- 格式:DOCX
- 页数:24
- 大小:816.54KB
H3C SecPath L5000L1000负载均衡开局指导书.docx
《H3C SecPath L5000L1000负载均衡开局指导书.docx》由会员分享,可在线阅读,更多相关《H3C SecPath L5000L1000负载均衡开局指导书.docx(24页珍藏版)》请在冰点文库上搜索。
H3CSecPathL5000L1000负载均衡开局指导书
H3CSecPathL5000&L1000系列应用交付产品开局指导书
Copyright©2016杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
1特性简述
1.1产品介绍
H3CSecPathL5000-S/L5000-C是H3C公司面向电信运营商、门户网站、大中型企业和行业数据中心开发的、业界领先的应用交付产品。
H3CSecPathL1000-E/L1000-M/L1000-S是H3C公司面向中小企业和园区网开发的、业界领先的应用交付产品。
H3CSecPathL5000&L1000系列应用交付产品提供完善的负载均衡功能,具备服务器负载均衡、链路负载均衡等功能。
部署在数据中心,基于特定的负载均衡算法将客户端对数据中心服务的访问请求合理地分发到数据中心的各台服务器上,以保证数据中心的响应速度和业务连续性。
部署在多ISP链路的出口(如电信、网通等),为了提高链路利用率,通过对链路状态的检测,采用对应的调度算法将数据合理、动态的分发到不同链路上。
1.2系统介绍
1.2.1L5000&L1000外观介绍
H3CSecPathL5000&L1000系列应用交付产品开创性地实现了负载分担、安全与网络的深度融合,具有强大的路由、交换、负载均衡、2-7层安全防护等功能。
H3CSecPathL5000&L1000系列应用交付产品具有强大的接口扩展能力,用户可以根据自己的需要灵活选择接口模块,保护用户投资,可以适应复杂的组网环境。
图1-1SecPathL5000-S产品外观图
图1-2SecPathL5000-C产品外观图
图1-3SecPathL1000-M/S产品外观图
图1-4SecPathL1000-E产品外观图
1.2.2系统结构介绍
1.强大的硬件平台
H3CSecPathL5000&L1000系列应用交付产品采用了专用的64位多核高性能处理器和高速存储器,可以提供超万兆以上的应用交付业务处理性能。
H3CSecPathL5000-S/L5000-C标配支持多达24个千兆以太口及4个万兆以太口,同时可以通过选配接口板将整机接口数量扩展到48个千兆以太口及10个万兆以太口。
H3CSecPathL1000-E/L1000-M/L1000-S采用CPU+Switch架构,CPU进行安全业务处理,Switch实现多业务端口的扩展。
产品标配16千兆电口及8千兆光口,L1000-E在此基础上还增配了2个万兆SFP+光口。
2.高效的健康检测
H3CSecPathL5000&L1000系列应用交付产品支持丰富的健康检测算法,可从网络层、应用层全方位的探测、检查服务器及应用的运行状态。
在进行健康检测时,采用H3C公司专利NQA(NetworkQualityAnalyzer,网络质量分析)技术,确保健康检测占用最小的系统资源开销,从而保证应用交付业务的性能。
健康检测算法适用于4~7层服务器负载均衡。
3.丰富的负载均衡调度算法
H3CSecPathL5000&L1000系列应用交付产品支持丰富的负载均衡调度算法,可根据具体的应用场景,采用不同的算法。
支持的算法包括:
轮询、加权轮询、最小连接、加权最小连接、随机、源地址HASH、目的地址HASH、源地址端口HASH等算法。
以上负载均衡算法适用于4~7层服务器负载均衡,同时,对于7层服务器负载均衡还支持基于应用特征的分发,例如基于HTTP头域、内容等。
4.4~7层服务器负载均衡
H3CSecPathL5000&L1000系列应用交付产品支持L4和L7的服务器负载均衡。
4层服务器负载均衡:
基于TCP、UDP、IP的各种业务应用,依据报文的L4层特征(IP、端口)进行负载均衡。
7层服务器负载均衡:
基于L7内容的负载均衡,通过对报文承载的内容进行深度解析,根据应用层的分析结果对报文进行处理或者分发。
支持基于HTTPheader、HTTPURL、HTTPcookie以及HTTPcontent的解析,并在此基础上,配置所需要的L7策略,对HTTP报文进行分发和会话的持续性保持。
5.SSL卸载和加速
H3CSecPathL5000&L1000系列应用交付产品支持SSL卸载功能,将访问内网服务器中的SSL加解密过程由应用交付设备承担,H3CSecPathL5000&L1000系列应用交付产品与服务器之间可采用非加密或者弱加密的SSL进行通讯,极大的减小了服务器端对SSL处理的压力,从而将服务器的CPU处理能力释放出来。
6.连接复用
H3CSecPathL5000&L1000系列应用交付产品支持TCP的连接复用功能,使用连接池技术,可以将前端大量的客户的HTTP请求复用到后端与服务器建立的少量的TCP长连接上,大大减小服务器的性能负载,减小与服务器之间新建TCP连接所带来的延时,并最大限度减少后端服务器的并发连接数,降低服务器的资源占用。
7.应用优化
H3CSecPathL5000&L1000系列应用交付产品采用了全代理的模式,H3CSecPathL5000&L1000系列应用交付产品全面接管客户端和服务端的应用流量,支持任何层次的协议字段的解析和优化。
H3CSecPathL5000&L1000系列应用交付产品支持IP/TCP/HTTP等多个参数模板设置,通过对应用参数模板的设置,可以优化应用交付的功能,提升应用交付的性能。
IP参数模板,提供了SetIPToS功能。
通过设置IPToS来对各种类型的传输协议优化处理,从而提高关键应用传输的性能。
TCP参数模板提供了设置发送和接收缓冲区的大小等选项。
通过设置TCP缓冲区的大小来调节链路传输的质量,达到优化TCP数据传输的目的。
HTTP参数模板提供了rebalanceper-request(每请求分发)、headermodifyper-transaction(每业务请求修改)、headermaxparse-length(最大解析头长度)、secondary-cookie(secondary-cookie设置)、contentmaxparse-length(最大content解析长度)等选项或参数设置,根据用户需求,满足对HTTP应用交付的优化需求和性能提升。
8.高可靠性
采用H3C公司拥有自主知识产权的软、硬件平台。
产品应用从电信运营商到企业用户,经历了多年的市场考验。
1.3L5000&L1000的管理
L5000&L1000目前支持命令行管理,命令行可以提供全面的配置、信息查看、故障诊断等。
如图1-5所示,L5000&L1000主控板自带Console口,可以用串口线对L5000&L1000进行管理,其串口参数与管理H3C主网络设备设置相同。
图1-1串口参数设置
2L5000&L1000的版本升级
2.1版本升级的内容
对L5000或L1000只需要升级对应的1个版本即可,升级时需要指出待升级的成员设备的编号。
2.2L5000&L1000升级过程
∙如果通过Bootware升级,和V5没有什么区别。
∙在V7Comware系统下升级,这里以L5000为例,升级过程如下:
(1)首先把主控的.ipe文件上传到成员设备。
上传操作可以通过ftp或者tftp。
(2)上传成功后,设置该文件为某成员设备的系统文件,如下:
/l5000_ade.ipeslot1main
VerifyingtheIPEfileandtheimages.......Done.
H3CSecPathL5000-CimagesinIPE:
l5000ade-cmw710-boot-E8105P02.bin
l5000ade-cmw710-system-E8105P02.bin
Thiscommandwillsetthemainstartupsoftwareimages.Continue?
[Y/N]:
y
Addimagestoslot1.
Filecfa0:
/l5000ade-cmw710-boot-E8105P02.binalreadyexistsonslot1.
Filecfa0:
/l5000ade-cmw710-system-E8105P02.binalreadyexistsonslot1.
Overwritetheexistingfiles?
[Y/N]:
y
Decompressingfilel5000ade-cmw710-boot-E8105P02.bintocfa0:
/l5000ade-cmw710-boot-E8105P02.bin..............Done.
Decompressingfilel5000ade-cmw710-system-E8105P02.bintocfa0:
/l5000ade-cmw710-system-E8105P02.bin.................................
..........................................Done.
Decompressioncompleted.
Youarerecommendedtodeletethe.ipefileafteryousetstartupsoftwareimagesforallslots.
Doyouwanttodeletecfa0:
/l5000_ade_B54P01_1205.ipenow?
[Y/N]:
N
Theimagesthathavepassedallexaminationswillbeusedasthemainstartupsoftwareimagesatthenextrebootonslot1.
(3)再次重启,变为升级以后的版本。
版本信息查看如下:
H3CComwareSoftware,Version7.1.054,Ess8105P02
Copyright(c)2004-2014HangzhouH3CTech.Co.,Ltd.Allrightsreserved.
H3CSecPathL5000-Suptimeis0weeks,2days,16hours,28minutes
Lastrebootreason:
Userreboot
Bootimage:
cfa0:
/l5000ade-cmw710-boot-E8105P02.bin
Bootimageversion:
7.1.054,Ess8105P02
CompiledDec03201414:
57:
00
Systemimage:
cfa0:
/l5000ade-cmw710-system-E8105P02.bin
Systemimageversion:
7.1.054,Ess8105P02
CompiledDec03201414:
57:
00
SLOT1
CPUtype:
Multi-coreCPU
16382MbytesDDR3SDRAMMemory
247MbytesCF0Card
BoardPCBVersion:
Ver.A
CFSubCardPCBVersion:
Ver.A
CPLD_AVersion:
1.0
CPLD_BVersion:
2.0
BasicBootWareVersion:
2.04
ExtendBootWareVersion:
2.04
[SUBCARD1]NSQ1G24XS60(Hardware)Ver.B,(Driver)3.0,(Cpld)3.0
3L5000&L1000的远程管理
3.1L5000&L1000远程管理概述
对L5000&L1000设备,可以通过Telnet、SSH、MIB进行远程管理。
缺省情况下,系统是无法通过Telnet远程登录的。
系统默认的启动配置如下:
∙没有任何用户。
∙终端VTY用户登录方式为password方式,但是没有设置登录password。
∙Telnet、SSH、SNMP服务关闭。
∙管理口无地址.
以用户通过远程Telnet登录,并且需要输入用户名和密码为例,需要进行的配置如下:
∙开启Telnet服务。
∙配置管理口地址及去向控制PC的路由。
∙配置VTY的认证方式为scheme。
∙创建用户名和密码,并配置用户权限。
3.2L5000&L1000远程telnet管理配置举例
3.2.1组网需求
如图3-1所示,PC地址为10.1.1.1,用户需要要远程Telnet登录并管理L5000或L1000。
Telnet登录时,需要输入用户名和密码,认证成功后才能成功登录。
图3-1Telnet远程登录组网图
3.2.2配置步骤
#配置管理口地址,这里设置为10.1.1.2。
[Sysname]telnetserverenable
[Sysname]interfaceGigabitEthernet1/0/0
[Sysname-GigabitEthernet0/0/0]ipaddress10.1.1.224
#配置VTY的认证模式为scheme。
[Sysname]linevty04
[Sysname-line-vty0-4]authentication-modescheme
[Sysname-line-vty0-4]user-rolenetwork-admin
[Sysname-line-vty0-4]user-rolenetwork-operator
4L5000&L1000的服务器负载均衡基本功能
4.1四层服务器负载均衡
4.1.1组网需求
图4-1四层服务器负载均衡基本功能组网图
4.1.2配置思路
∙需要在LB设备上配置实服务组、实服务器、虚服务。
4.1.3配置步骤
LB设备的配置
(1)配置实服务组
#创建ICMP类型的NQA模板t1。
#
nqatemplateicmpt1
#
#创建实服务组sf,配置其调度算法为加权轮转算法,并指定其健康检测方法为t1。
#
server-farmsf
probet1
#
(2)配置实服务器
#创建实服务器rs1,配置其IPv4地址为192.168.1.1、权值为150,并加入实服务组sf。
#
real-serverrs1
ipaddress192.168.1.1
weight150
port21
server-farmsf
#
#创建实服务器rs2,配置其IPv4地址为192.168.1.2、权值为120,并加入实服务组sf。
#
real-serverrs2
ipaddress192.168.1.2
weight120
port21
server-farmsf
#
#创建实服务器rs3,配置其IPv4地址为192.168.1.3、权值为80,并加入实服务组sf。
#
real-serverrs3
ipaddress192.168.1.3
weight80
port21
server-farmsf
#
(3)配置虚服务器
#创建TCP类型的虚服务器vs,配置其VSIP为61.159.4.100,指定其默认实服务组为sf,并开启此虚服务。
#
virtual-servervstypetcp
virtualipaddress61.159.4.100
defaultserver-farmsf
serviceenable
#
4.2七层服务器负载均衡
4.2.1组网需求
图4-1七层服务器负载均衡基本功能组网图
4.2.2配置思路
∙需要在LB设备上配置实服务组、实服务器、虚服务。
4.2.3配置步骤
LB设备的配置
(1)配置实服务组
#创建HTTP类型的NQA模板t1。
#
nqatemplatehttpt1
#
#创建实服务组sf,配置其调度算法为加权轮转算法,并指定其健康检测方法为t1。
#
server-farmsf
probet1
#
(2)配置实服务器
#创建实服务器rs1,配置其IPv4地址为192.168.1.1、端口号为8080、权值为150,并加入实服务组sf。
#
real-serverrs1
ipaddress192.168.1.1
port8080
weight150
server-farmsf
#
#创建实服务器rs2,配置其IPv4地址为192.168.1.2、端口号为8080、权值为120,并加入实服务组sf。
#
real-serverrs2
ipaddress192.168.1.2
port8080
weight120
server-farmsf
#
#创建实服务器rs3,配置其IPv4地址为192.168.1.3、端口号为8080、权值为80,并加入实服务组sf。
#
real-serverrs3
ipaddress192.168.1.3
port8080
weight80
server-farmsf
#
(3)配置cookie类型的持续性组
#创建cookie类型的持续性组,使用cookieinsert持续性方法,向服务器的应答报文插入用于持续性的set-cookie字段信息。
#
sticky-groupsg1typehttp-cookie
cookieinsertnamecookie1
#
注意:
使用cookieinsert方法时,要调整LB设备与服务器端的接口的tcpmss值,以防大报文不通的情况,建议将接口的tcpmss值配置为1200.
(4)配置虚服务器并且引用持续性组
#创建HTTP类型的虚服务器vs,配置其VSIP为61.159.4.100,指定其默认实服务组为sf,持续性组为sg1,并开启其虚服务功能.
#
virtual-servervstypehttp
virtualipaddress61.159.4.100
defaultserver-farmsfstickysg1
serviceenable
#
5日志
5.1日志简介
L5000&L1000当前支持的日志主要有如下几种:
∙Syslog日志:
主要包含系统命令操作日志。
日志只能以syslog格式发送。
∙Customlog日志:
该日志为NAT444日志,customlog日志是一种快速发送日志的方式,有专门的通道。
如果系统中配置了NAT,也可以发送NAT日志,但格式为NAT444格式。
∙Session日志:
会话日志只能以syslog方式发送.
5.2配置发送syslog日志
这里假定我们的日志服务器地址为:
192.168.96.40,发送日志到该服务器上的配置如下:
[Sysname]info-centerenable
[Sysname]info-centerloghost192.168.96.40
5.3配置发送customlog日志
5.3.1配置需求
如图5-1所示,开启NAT日志功能,并设置以customlog格式,发送各种NAT444日志到日志服务器10.1.1.1中。
图5-1发送customlog日志组网图
5.3.2配置思路
∙开启NAT日志功能;
∙配置customlog日志格式;
∙配置接口地址。
5.3.3配置步骤
#开启NAT日志功能。
[Sysname]natlogenable
#配置日志格式为电信格式NAT444日志。
[Sysname]customlogformattelecom
#配置以电信格式将日志输出到日志服务器192.168.96.114。
[Sysname]customloghost192.168.96.114exporttelecom-userlogtelecom-sessionlog
#配置user分配端口块日志。
[Sysname]natlogport-block-assign
#配置user回收端口块日志。
[Sysname]natlogport-block-withdraw
#配置session创建时,产生日志。
[Sysname]natlogflow-begin
#配置session结束时,产生日志。
[Sysname]natlogflow-end
#端口块端口占用完的告警日志。
[Sysname]natlogalarm
#配置接口地址。
[Sysname]interfaceGigabitEthernet7/0/1
[Sysname-GigabitEthernet7/0/1]ipaddress10.1.1.224
5.3.4日志结果分析
(1)user分配端口块日志格式如下
Jan0515:
50:
39192.168.210.201Jan0515:
48:
17-Sysname-NAT444:
userbasedA[045.0.0.10-200.0.2.202-60256536]
(2)user回收端口块日志格式
Jan0515:
51:
09192.168.210.201Jan0515:
48:
47-Sysname-NAT444:
userbasedW[045.0.0.10-200.0.2.202-60256536]
(3)session开始日志格式如下
Jan0515:
50:
39192.168.210.201Jan0515:
48:
17-Sysname-NAT444:
sessionbasedA[1745.0.0.10-200.0.2.20240976025-]
Jan0515:
50:
39192.168.210.201Jan0515:
48:
17-Sysname-NAT444:
sessionbasedA[1745.0.0.10-200.0.2.20240966026-]
(4)session结束日志格式如下
Jan0
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- H3C SecPath L5000L1000负载均衡开局指导书 L5000L1000 负载 均衡 开局 指导书