防火墙的a s架构防火墙slb

转载

落花有意飞花 2023-07-27 00:17:22

文章标签 防火墙的a s架构服务器 VPN IP 文章分类 架构后端开发

本篇接上一篇：华为防火墙：防火墙的介绍及基本配置

实验拓扑

防火墙的a s架构防火墙slb_VPN

基于服务器的负载均衡（SLB）

注意：SLB已经集成NAT功能，因此不需要额外配置基于服务器的NAT

定义真实服务器

<SRG>SY
[SRG]slb enable 
[SRG]slb	
[SRG-slb]rserver 1 ?  
  rip  Indicate real server IP address   #这里可不是rip协议，指真实的服务器IP地址
  to   To

[SRG-slb]rserver 1 rip 192.168.254.2    #定义IP为192.168.254.2的服务器为rserver 1（真是服务器1）
10:33:01  2020/11/19
[SRG-slb]rserver 1 rip 192.168.254.2 ?   #负载均衡的规则
  active        Indicate the active state of a real server
  description   Indicate description
  healthchk     Indicate  checking real server health status (default)
  inactive      Indicate the inactive state of a real server
  vpn-instance  Indicate the VPN instance
  weight        Indicate the weight of a real server
  <cr>          

[SRG-slb]rserver 2 rip 192.168.254.3
10:33:39  2020/11/19

[SRG-slb]dis this  #查看配置
10:34:21  2020/11/19
#
 slb
  rserver 1 rip 192.168.254.2 weight 32 healthchk  #这是默认自己加的weight 32 healthchk
  rserver 2 rip 192.168.254.3 weight 32 healthchk  #healthchk是健康检查，默认是开启的
#
return

创建myweb组

其实就是定义，需要提供同一类服务的组。然后将之前定义好的真实服务器加入到该组当中，加入的过程：

[SRG-slb]group myweb    #创建myweb组
10:41:36  2020/11/19

[SRG-slb-group-myweb]addrserver 1
10:42:01  2020/11/19
Error: the rip of Real server 1 conflicts with inside ip of nat server.
#报错：真实服务器1的IP与nat服务器的内部ip冲突。

报错解决：

之前我们端口映射的时候已经将192.168.254.2的80nat到外网地址，所以冲突了。因此必须删除192.168.254.2的所有nat转换。

[SRG-slb-group-myweb]addrserver ?
  INTEGER<1-1024>  Specify the start real server ID
[SRG-slb-group-myweb]q
[SRG]undo nat server protocol tcp global 23.1.1.3 80 inside 192.168.254.2 80   #删除192.168.254.2的所有nat转换。

将真实服务器加入到myweb组

[SRG-slb-group-myweb]addrserver 1  #将server1加入到myweb组内
[SRG-slb-group-myweb]addrserver 2  #将server2加入到myweb组内
[SRG-slb-group-myweb]q

关联真实服务器组myweb

[SRG-slb]vserver vmyweb vip 23.1.1.4 g	
[SRG-slb]vserver vmyweb vip 23.1.1.4 group my	
[SRG-slb]vserver vmyweb vip 23.1.1.4 group myweb   #创建虚拟服务vmyweb公网地址
10:55:13  2020/11/19

测试结果

防火墙的a s架构防火墙slb_服务器_02

防火墙g0/0/2口抓包

防火墙的a s架构防火墙slb_VPN_03

防火墙g0/0/3口抓包

防火墙的a s架构防火墙slb_防火墙的a s架构_04

查看防火墙的NAT转换表

<SRG>display firewall session table nat
12:14:07  2020/11/19
 Current Total Sessions : 4
  http  VPN:public --> public 34.1.1.2:2061-->23.1.1.4:80[192.168.254.3:80]
  http  VPN:public --> public 34.1.1.2:2062-->23.1.1.4:80[192.168.254.2:80]
  http  VPN:public --> public 34.1.1.2:2063-->23.1.1.4:80[192.168.254.3:80]
  http  VPN:public --> public 34.1.1.2:2064-->23.1.1.4:80[192.168.254.2:80]

本文章为转载内容，我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题，欢迎原作者联系我们进行内容更正或删除文章。