0


(华为配置篇)防火墙USG6000实现服务器的负载均衡

原文链接:(华为配置篇)防火墙USG6000实现服务器的负载均衡

实验拓扑

图片

实验需求

小智公司内建设了一个网站,由于网站的访问量很大,为了实现访问的可靠性,在内部部署了三台同等性能的服务器做负载均衡,内网及外网所有用户均可通过企业申请的公网地址访问。

VLAN与IP地址规划

区域

项目

VLAN

IP地址

备注

Trust区域

内网用户1

10

192.168.10.0/24

网关:192.168.10.254

内网用户2

20

192.168.20.0/24

网关:192.168.20254

内网用户3

30

192.168.30.0/24

网关:192.168.30.254

内网核心交换机与防火墙对接

88

192.168.88.0/30

防火墙:192.168.88.1/30

交换机:192.168.88.2/30

防火墙管理

N/A

192.168.250.0/24

账号:admin

密码:Qw!@123123

DMZ区域

Server1

N/A

172.16.254.101/24

网关:172.168.254.254

虚拟IP:202.163.32.3/29

Server2

N/A

172.16.254.102/24

Server3

N/A

172.16.254.103/24

Untrust区域

防火墙与运营商ISP对接

N/A

202.163.32.0/29

防火墙:202.163.32.2/29

ISP:202.163.32.1/26

ISP

N/A

69.38.43.0/30

模拟外网客户端地址,loopback0:114.114.114.114

配置过程

配置防火墙接口地址并加入安全区域

接口

G0/0/0

G1/0/0

G1/0/1

G1/0/2

安全区域

Trust

DMZ

Untrust

Trust

IP地址

192.168.250.100/24

172.16.254.254/24

202.163.32.2/29

192.168.88.1/30

#
interface GigabitEthernet0/0/0
ip address 192.168.250.100 255.255.255.0
alias GE0/METH
service-manage all permit
#
interface GigabitEthernet1/0/0
description DMZ
ip address 172.16.254.254 255.255.255.0
service-manage ping permit
#
interface GigabitEthernet1/0/1
description untrust
ip address 202.163.32.2 255.255.255.248
gateway 202.163.32.1
#
interface GigabitEthernet1/0/2
description trust
ip address 192.168.88.1 255.255.255.252
service-manage ping permit
#
#
firewall zone trust
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/2
#
firewall zone untrust
add interface GigabitEthernet1/0/1
#
firewall zone dmz
add interface GigabitEthernet1/0/0
#

配置防火墙安全策略

内外网用户trust/untrust区域到服务器集群DMZ的安全策略

允许Internet用户访问内网的Web服务器,策略的目的地址为虚拟服务器的IP地址202.163.32.3/29。

配置local到任意区域的安全策略

用于管理员管理调试;

用于防火墙向实际服务器发送健康探测icmp报文。

配置内网用户上网的安全策略

允许用内网户访问Internet。

策略规则名

u&t_D_202.163.32.3

manager

nat

源区域

Untrust/trust

local

trust

源地址/地区

any

any

any

目的区域

DMZ

any

any

目的地址/地区

202.163.32.3/32

any

Untrust

动作

permit

permit

permit

#
security-policy
rule name u&t_D_202.163.32.3
source-zone trust
source-zone untrust
destination-zone dmz
destination-address 202.163.32.3 mask 255.255.255.255
action permit
rule name l_D_Server
description icmp
source-zone local
destination-zone dmz
destination-address 172.16.254.101 mask 255.255.255.255
destination-address 172.16.254.102 mask 255.255.255.255
destination-address 172.16.254.103 mask 255.255.255.255
action permit
rule name manager
source-zone local
action permit
rule name nat
source-zone trust
destination-zone untrust
action permit
#

图片

配置实服务器组/虚拟服务器

图片

#
slb
group 0 Server_Group
metric weight-roundrobin
health-check type icmp
rserver 0 rip 172.16.254.101 port 80 weight 1
rserver 1 rip 172.16.254.102 port 80 weight 1
rserver 2 rip 172.16.254.103 port 80 weight 1
action optimize
vserver 0 vs-202.163.32.3
vip 0 202.163.32.3
protocol tcp
vport 80
group Server_Group
#

服务器配置IP地址及开启HTTP服务

图片

图片

ISP及外网客户端配置

#
interface GigabitEthernet0/0/1
ip address 202.163.32.1 255.255.255.248
#
interface GigabitEthernet0/0/2
ip address 69.38.43.1 255.255.255.252
#
interface LoopBack0
ip address 114.114.114.114 255.255.255.255
#

图片

内网设备交换机及路由配置

内网交换机

#
sysname Trust-SW
#
vlan batch 10 20 30 88
#
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
#
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
#
interface Vlanif30
ip address 192.168.30.254 255.255.255.0
#
interface Vlanif88
ip address 192.168.88.2 255.255.255.252
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 88
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 30
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 30
#
ip route-static 0.0.0.0 0.0.0.0 192.168.88.1
#

防火墙

#
ip route-static 192.168.10.0 255.255.255.0 192.168.88.2
ip route-static 192.168.20.0 255.255.255.0 192.168.88.2
ip route-static 192.168.30.0 255.255.255.0 192.168.88.2
#

内网终端

图片

配置完成后测试

查看静态Server-map表

存在相应表项证明服务器负载均衡功能配置成功。

图片

外网客户端访问服务器

图片

内网终端访问服务器

图片

内网终端访问互联网

图片

查看服务器流量占比

测试一段时间后,在实服务器组列表中看到流量占百分比。

图片

标签: 网络 运维

本文转载自: https://blog.csdn.net/qq_45024159/article/details/143422717
版权归原作者 网工小智奇遇记 所有, 如有侵权,请联系我们删除。

“(华为配置篇)防火墙USG6000实现服务器的负载均衡”的评论:

还没有评论