USG-SLB(服务器负载均衡)配置
1)简介
当前的网络应用中,单台服务器的处理能力已经成为网络中的瓶颈,尤其是在IDC(Internet Data Center)、网站等应用场合。具体体现在:单路服务器的平均处理能力仅为 1K TPS (每站终端数),而访问服务器的用户却很多。如果单纯升级服务器的性能,则浪费了前期的投资,且费用昂贵;如果单纯增加服务器的数目,需要进行复杂的控制,容错和热备冗余能力有限,且抗网络DoS ***能力弱。负载均衡,即USG3000 按照配置的算法,将访问同一个IP 地址的用户流量分配到不同的服务器上。在访问用户看来,他们访问的是同一个服务器,而实际上USG3000 将他们的请求分送给了不同的服务器进行处理。这样不但可以分别利用各个服务器的处理能力,达到流量分担的目的,而且保障了服务器的可用性,得到最佳的网络扩展性。负载均衡的典型的应用是将USG3000 放在私网出口上。
2)应用环境
当一台服务器无法处理多个用户的访问时,可使用多台服务器,分担网络流量。此时需要将USG3000 部署在服务器所在网络的出口,然后在USG3000 上配置负载均衡功能,将访问同一个IP 地址的用户流量分配到不同的服务器上。
3)配置思路
采用如下的思路配置负载均衡功能:
1. USG3000 基本配置:配置接口 IP 地址,将接口加入安全区域,配置域间包过滤规则等。
2. 负载均衡配置:首先启用负载均衡功能,再配置真实服务器 rserver和服务器组group,并将rserver 加入group,最后配置虚服务器vserver 。
4)配置步骤
步骤 1 配置 USG3000 基本功能
[USG3000] interface GigabitEthernet 0/0
[USG3000-GigabitEthernet0/0] ip address 202.2.2.1 24
[USG3000] interface GigabitEthernet 0/1
[USG3000-GigabitEthernet0/1] ip address 10.1.1.1 24
[USG3000] firewall zone dmz
[USG3000-zone-dmz] add interface GigabitEthernet 0/1
[USG3000-zone-dmz] quit
[USG3000] firewall zone untrust
[USG3000-zone-untrust] add interface GigabitEthernet 0/0
[USG3000] firewall packet-filter default permit interzone untrust dmz direction inbound
[USG3000] firewall packet-filter default permit interzone local dmz direction outbound
由于USG3000 缺省对实服务器进行健康行检查,此时需要配置允许健康检查报文在USG3000 的
Local 和DMZ 域间出方向流动。
步骤 2 配置负载均衡功能
# 启用负载均衡功能。
[USG3000] slb enable
[USG3000] slb
[USG3000-slb] rserver 1 rip 10.1.1.3 weight 32
[USG3000-slb] rserver 2 rip 10.1.1.4 weight 16
[USG3000-slb] rserver 3 rip 10.1.1.5 weight 32
# 创建并进入服务器组test 视图。
[USG3000-slb] group test
# 配置使用加权轮询算法进行流量均衡。
[USG3000-slb-group-test]metric weightrr
# 配置实服务器加入负载均衡组。
[USG3000-slb-group-test] addrserver 1
[USG3000-slb-group-test] addrserver 2
[USG3000-slb-group-test] addrserver 3
# 退回负载均衡视图。
[USG3000-slb-group-test] quit
# 配置虚服务器IP 地址和端口号,以及真实服务器的端口号。
[USG3000-slb]vserver test vip 202.2.2.2 group test tcp vport 21 rport 21
# 退回系统视图。
[USG3000-slb] quit
# 进入DMZ 和Untrust 域间视图。
[USG3000] firewall interzone dmz untrust
# 配置对FTP 协议指定ASPF 策略。
[USG3000-interzone-dmz-untrust] detect ftp
# 退回系统视图。
[USG3000-interzone-dmz-untrust] quit
步骤 3 验证配置结果
# 显示服务器组信息。
<USG3000> display slb group test
group name: "test"
metric: weightrr
vserver number: 1
virtural ip: 202.2.2.2
real server number: 3
real server id list:
1, 2, 3
# 显示真实服务器信息。
<USG3000> display slb rserver
rserver 1 rip 10.1.1.3 weight 32 healthchk
status active
health status 1, applied to 1 group(s)
virtural ip: 202.2.2.2
rserver 2 rip 10.1.1.4 weight 16 healthchk
status active
health status 1, applied to 1 group(s)
virtural ip: 202.2.2.2
rserver 3 rip 10.1.1.5 weight 32 healthchk
status active
health status 1, applied to 1 group(s)
virtural ip: 202.2.2.2
# 显示虚服务器信息。
<USG3000> display slb vserver test
vserver test vip 202.2.2.2 group test