USG-SLB(服务器负载均衡)配置

1)简介

当前的网络应用中,单台服务器的处理能力已经成为网络中的瓶颈,尤其是在IDC(Internet Data Center)、网站等应用场合。具体体现在:单路服务器的平均处理能力仅为 1K TPS  (每站终端数),而访问服务器的用户却很多。如果单纯升级服务器的性能,则浪费了前期的投资,且费用昂贵;如果单纯增加服务器的数目,需要进行复杂的控制,容错和热备冗余能力有限,且抗网络DoS ***能力弱。负载均衡,即USG3000 按照配置的算法,将访问同一个IP 地址的用户流量分配到不同的服务器上。在访问用户看来,他们访问的是同一个服务器,而实际上USG3000 将他们的请求分送给了不同的服务器进行处理。这样不但可以分别利用各个服务器的处理能力,达到流量分担的目的,而且保障了服务器的可用性,得到最佳的网络扩展性。负载均衡的典型的应用是将USG3000 放在私网出口上。

2)应用环境

当一台服务器无法处理多个用户的访问时,可使用多台服务器,分担网络流量。此时需要将USG3000 部署在服务器所在网络的出口,然后在USG3000 上配置负载均衡功能,将访问同一个IP 地址的用户流量分配到不同的服务器上。 

 

VLB负载均衡下载_网络

3)配置思路

 采用如下的思路配置负载均衡功能:

     1.  USG3000 基本配置:配置接口 IP 地址,将接口加入安全区域,配置域间包过滤规则等。 

     2.  负载均衡配置:首先启用负载均衡功能,再配置真实服务器 rserver和服务器组group,并将rserver   加入group,最后配置虚服务器vserver 。 

4)配置步骤

步骤 1  配置 USG3000 基本功能

[USG3000] interface GigabitEthernet 0/0 
                 [USG3000-GigabitEthernet0/0] ip address 202.2.2.1 24 
                 [USG3000] interface GigabitEthernet 0/1 
                 [USG3000-GigabitEthernet0/1] ip address 10.1.1.1 24 

 
                [USG3000] firewall zone dmz 
                [USG3000-zone-dmz] add interface GigabitEthernet 0/1 
                [USG3000-zone-dmz] quit 
                [USG3000] firewall zone untrust 
                [USG3000-zone-untrust] add interface GigabitEthernet 0/0 

 
                [USG3000] firewall packet-filter default permit interzone untrust dmz direction inbound 
                [USG3000] firewall packet-filter default permit interzone local dmz direction outbound 
                   由于USG3000 缺省对实服务器进行健康行检查,此时需要配置允许健康检查报文在USG3000 的 
                   Local 和DMZ 域间出方向流动。
        步骤 2  配置负载均衡功能
                # 启用负载均衡功能。
                [USG3000] slb enable 
                [USG3000] slb 
                [USG3000-slb] rserver 1 rip 10.1.1.3 weight 32 
                [USG3000-slb] rserver 2 rip 10.1.1.4 weight 16 
                [USG3000-slb] rserver 3 rip 10.1.1.5 weight 32 
                # 创建并进入服务器组test 视图。
                [USG3000-slb] group test 
                # 配置使用加权轮询算法进行流量均衡。
                [USG3000-slb-group-test]metric weightrr 
                # 配置实服务器加入负载均衡组。
                  [USG3000-slb-group-test] addrserver 1 
                  [USG3000-slb-group-test] addrserver 2 
                  [USG3000-slb-group-test] addrserver 3 
                 # 退回负载均衡视图。
                  [USG3000-slb-group-test] quit 
                 # 配置虚服务器IP 地址和端口号,以及真实服务器的端口号。
                  [USG3000-slb]vserver test vip 202.2.2.2 group test tcp vport 21 rport 21 
                 # 退回系统视图。
                  [USG3000-slb] quit 
                 # 进入DMZ 和Untrust 域间视图。
                  [USG3000] firewall interzone dmz untrust 
                 # 配置对FTP 协议指定ASPF 策略。
                  [USG3000-interzone-dmz-untrust] detect ftp 
                 # 退回系统视图。
                  [USG3000-interzone-dmz-untrust] quit 
         步骤 3  验证配置结果
                 # 显示服务器组信息。
                 <USG3000> display slb group test 
                  group name: "test" 
                   metric: weightrr 
                   vserver number: 1 
                   virtural ip: 202.2.2.2 
                   real server number: 3 
                   real server id list: 
                    1, 2, 3 
                 # 显示真实服务器信息。
                 <USG3000> display slb rserver 
                   rserver 1 rip 10.1.1.3 weight 32 healthchk 
                    status active 
                    health status 1, applied to 1 group(s) 
                    virtural ip: 202.2.2.2 
                   rserver 2 rip 10.1.1.4 weight 16 healthchk 
                    status active 
                    health status 1, applied to 1 group(s) 
                    virtural ip: 202.2.2.2 
                   rserver 3 rip 10.1.1.5 weight 32 healthchk 
                    status active 
                    health status 1, applied to 1 group(s) 
                    virtural ip: 202.2.2.2 
                 # 显示虚服务器信息。
                 <USG3000> display slb vserver test 
                vserver test vip 202.2.2.2 group test