LB服务器负载均衡（双机热备）配置参考H3C Technologies Co., Limited, Copyright 2003-2009,All rights reserved杭州华三通信技术有限公司版权所有 侵权必究前言本文参考LB在江西电信网上营业厅实施方案更改，作为服务器负载均衡双机热备配置参考所用，如有不妥之处请指正，多谢。

修订记录Revision Records日期Date 修订版本Revision描述Description作者Author2009-7-29 (V1.00) 初稿06399目录1组网拓扑： (5)1.1对组网拓扑说明： (5)1.2LB上业务调用说明： (6)2数据流量走向说明： (7)2.1数据流量走向说明： (7)3组网配置 (8)3.1防火墙配置 (8)3.2S65配置： (8)3.3S75配置 (9)3.3.1S75-01配置： (9)3.3.2S75-01配置： (9)3.4LB配置 (10)3.4.1LB配置： (10)4配置注意事项 (12)1 组网拓扑组网拓扑：：图1 组网拓扑图1.1 对组网拓扑说明：两台防火墙设备到外网做NAT server 同时对外映射了WEB Server 服务器，两台S65交换机作为核心路由交换设备，下连WEB 服务器和应用服务器，服务器对外提供WEB 访问和用户登陆查询相关信息。

两台防火墙启用双机热备，实现业务冗余备份，同时配置两个Vrrp 组（做主备模式），对外网Vrrp 组vrid 2（218.65.103.252）作为外网到内网转发数据报文的下一跳（可以保证在防火墙），对内vrrp 组 vrid 1（172.16.101.3）作为S65到外网转发数据报文的下一跳，防火墙上两个Vrrp做互相Track，保证上、下行数据报文转发一致。

S65交换机上也配置两个Vrrp组，Vrrp组vrid6（172.16.101.6）作为防火墙转发外网到内网数据流量的下一跳，Vrrp组vrid 15（134.224.15.121）作为下连服务器（服务器上的默认网关为S6503上vrid 15（134.224.15.121））和旁路LB 的网关。

两台7503E（LB插卡插在S75上）交换机之间做二层模式，7503E与LB相连的10GE口做trunk口；在两块LB板卡上各配置一个三层子接口，在子接口上做一组VRRP Vrid3 ，该vrrp虚地址（134.224.15.3）作为S6503到LB设备虚服务IP的目的IP，两台LB之间同时使能双机热备，实现业务冗余备份。

1.2 LB上业务调用说明：在LB设备上要经过两次业务调用过程；首先，在外网防火墙上对内网WEB服务器做NAT Server映射，NAT Server 映射地址为LB上配置的虚服务地址（虚服务地址为：172.16.1.100详见配置），外网用户访问WEB Server对外映射的公网服务器地址，访问数据经过防火墙转发到达S65交换机，S65交换机通过查找路由将访问数据送到LB的Vrrp组的主设备上去，数据到达LB设备后，经过LB后将访问数据分发到真实的WEB 服务器上去，当用户需要用通过WEB页面登陆查询数据信息，此时，WEB服务器就会调用后台的App Server（应用服务器）；在LB上又配置了另一组虚服务(虚服务地址为：172.16.1.101详见配置)，这里需要在WEB服务器上调用APP 服务器的目的地址改为LB上对应App应用的虚服务地址（172.16.1.101），当WEB服务器去调用应用服务器时数据流量再次送回到LB上经过LB后送到真应用服务器上；对于这种业务之间存在相互关联关系的应用和长连接业务，配置LB时要选择“基于源IP的散列算法”同时要使能“持续性”。

2 数据流量走向说明数据流量走向说明：：图2 数据流量走线示意图2.1 数据流量走向说明：入方向入方向：：外网客户访问对外映射的内网服务器时（防火墙上NAT Server 映射地址为LB 上的虚服务地址172.16.1.100），防火墙上查找路由将目的地址为该虚服务的IP 送到到S65交换机上（此处防火墙上要添加到虚服务的路由）， S65交换机上根据路由将流量引到LB 上（如图中流量1所示），因此S6503上需要添加目的IP 到虚服务的下一跳指向LB 上的Vrrp 需地址134.224.15.3； LB 做转换，将目的地址转换为实服务器的地址，源地址转换为虚服务的地址，数据流引向服务器（如图中流量2所示）；WEB 服务器调用应用服务器时访问LB 上虚地址（172.16.1.101），服务器网关都在65上，数据包到65上查找路由将WEB 调用应用的流量送到LB 上（如图中流量3所示），LB 做转换，将目的地址转换为实服务器的地址，源地址转换为虚服务的地址，数据流引向服务器（如图中流量4所示）；此时，完成一次业务访问过程，相当于在LB 上进行了两次负载均衡；出方向出方向：：服务器的默认网关为S6503的vrid 15（134.224.15.121），目的为虚服务地址，S6503根据路由将目的地址为虚服务地址送到LB Vrrp 的虚地址，将流量引向LB ，LB 做转换后，将数据发往S6503，送往外网。

3 组网配置3.1 防火墙配置NAT Server 映射配置映射配置：：nat server protocol tcp global 218.65.103.252 www inside 172.16.1.100 www nat server protocol tcp global 218.65.103.252 4321 inside 172.16.1.100 4321 nat server protocol icmp global 218.65.103.252 inside 172.16.1.100路由配置路由配置：：ip route-static 172.16.1.100 255.255.255.255 172.16.101.1说明说明：：在此只列出关键配置，其余配置略............. 3.2 S65配置：路由配置路由配置：：ip route-static 172.16.1.100 255.255.255.255 134.224.15.3 ip route-static 172.16.1.101 255.255.255.255 134.224.15.3说明说明：：在此只列出关键配置，其余配置略.............3.3 S75配置3.3.1S75-01配置：interface GigabitEthernet2/0/7port access vlan 15//75与65相连的接口interface GigabitEthernet2/0/17port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 15//75_1与75_2相连的接口，允许LB的VRRP相应vlan通过interface Ten-GigabitEthernet4/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 15//LB 与75_1相连的接口3.3.2S75-01配置：interface GigabitEthernet2/0/7port access vlan 15//75与65相连的接口interface GigabitEthernet2/0/17port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 15//75_2与75_1相连的接口，允许LB的VRRP相应vlan通过interface Ten-GigabitEthernet4/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 15 //75_2与LB 相连接口 3.4 LB 配置 3.4.1 LB 配置： 1. 命令行：interface Ten-GigabitEthernet0/0.15 vlan-type dot1q vid 15ip address 134.224.15.1 255.255.255.128 vrrp vrid 3 virtual-ip 134.224.15.3 vrrp vrid 3 priority 105 //配置服务器网段的IP 地址ip route-static 0.0.0.0 0.0.0.0 134.224.15.121//LB 板卡的网关指向与S6503通信的三层接口，vrid 15的虚IP134.224.15.1212. WEB 页面配置：负载均衡->服务器负载均衡->实服务组实服务组：：负载均衡->服务器负载均衡->实服务服务：：虚服务：负载均衡->虚服务：服务器负载均衡负载均衡->服务器注：WEB服务器对应的虚服务为V_web，虚服务IP为172.16.1.100，虚服务的协议类型为任意，端口号为任意，采用“网络地址转换”的转发模式，并使能“SNAT使能”，但是不配置源地址池，这样当LB进行NAT转换时将把源地址转换为虚服务地址，这样服务器的默认网关为S6503的Vrid 15的虚地址，不需要改任何配置。

对应的实服务组是web，并使能虚服务，此虚服务才会生效。

：双机热备管理：高可靠性->双机热备管理注：双机热备配置在保存配置重启后才会生效配置相似，，再次不在重复另一侧LB配置与LB-Master配置相似4 配置注意事项1.对于这种一次业务交互可能包括多个连接的应用，有些存在隐含的关联关系的应用，要配置基于源IP的散列算法并使能“持续性”；2.对于健康型检测的选择要根据实际服务器的应用来选择合适的健康检测算法（如：有些服务器不支持ping）；3.对于某些服务器提供多种服务，在配置“实服务”与“虚服务”时注意端口的选择，建议配置时现将所有端口都放开，以免应用中调用多个端口，由于配置而影响应用；4.只有将LB的端口加入到域中，虚拟分片重组才会生效；5.由于板卡自身没有时钟（板卡重启后恢复为默认时钟），建议在板卡上配置Acsei或NTP与交换机或其它设备来同步时钟；。