(word)radware 链路负载均衡测试方案.docVIP

高新区管委会链路负载测试实施方案  目录 1. 用户网络背景 3 1.1. 实施前的网络拓扑 3 2. 网络拓扑结构 4 2.1. 改造后的网络拓扑结构 4 2.2. 具体网络规划方案介绍 4 2.2.1. 防火墙实现部分NAT转换工作 4 2.2.2. 防火墙不再实现目的地址转换工作 5 2.3. IP地址规划 5 3. 实施过程 6 3.1. 配置接口地址 6 3.2. 配置默认路由 6 3.3. 配置回指路由 6 3.4. 地址转换 6 3.4.1. Dynamic NAT 7 3.4.2. Static PAT 7 3.5. DNS配置 8 3.5.1. 配置Host表 9 3.5.2. DNS服务器修改 9 3.6. 就近性(Proixmity)配置 10 3.6.1. 全局配置 10 3.6.2. 静态就近表配置 11 3.7. 静态就近表配置 11 3.8. 特殊配置 12 3.8.1. 特殊应用会话老化时间 12 3.8.2. Cluster 13 用户网络背景Inbound）和内部人员对外访问流量（Outbound）的多链路负载均衡。 用户要求部署链路均衡设备后，从功能实现出/入站的就近性访问；从实施上，除了配置链路负载均衡相关的配置之外，还需要修改防火墙网关地址、路由表、地址转换信息和DNS服务器上域名解析。 实施前的网络拓扑 网络拓扑结构 改造后的网络拓扑结构 采用标准的链路负载均衡方案设计，即为： LP设备部署在防火墙外面，直接连接ISP 防火墙全部修改为私有IP地址， 用LP负责将私有IP地址转换成公网IP地址； 防火墙的DMZ区跑路由模式，保证DMZ区服务器的正常访问； LP利用SmartNAT技术，分别在每链路上配置NAT地址；保证内部员工的正常上网。 具体网络规划方案介绍 结合现有的网络配置情况，和希望达到的测试的效果，提出两个实施方案供选择。 防火墙实现部分NAT转换工作 LP设备部署在防火墙外面，直接连接ISP； 防火墙全部修改为私有IP地址， 用LP负责将私有IP地址转换成公网IP地址； 防火墙的DMZ区跑路由模式，保证DMZ区服务器的正常访问； 现在防火墙负责所有的地址转换工作，包括源地址转换和目的地址转换，如果把所有的地址转换工作全部交给LP来做，实施起来比较复杂，并且客户的公网地址不是很充裕，因此提出第一种测试方案，由防火墙实现源地址转换，同时实现目的地址转换，不过和原来不同的是，原来的目的地址转换是将服务器的私有地址转换成公网地址，现在的目的转换是将服务器的私有地址转换成和防火墙和LP互联地址段内的地址； LP利用SmartNAT技术，将所有私有IP地址转换成可用的公网IP； 修改内部DNS服务器配置，将各个域名对应的A记录修改成服务器真是的私有地址，这样内部用户访问域名的时候是通过服务器的真实地址进行访问，外部用户访问域名时则是通过LP采用SmartNAT转换后的公网地址进行访问，可以得到较快的访问体验。 防火墙不再实现目的地址转换工作 LP设备部署在防火墙外面，直接连接ISP； 防火墙全部修改为私有IP地址， 用LP负责将私有IP地址转换成公网IP地址； 防火墙的DMZ区跑路由模式，保证DMZ区服务器的正常访问； 防火墙负责源地址转换，而目的地址转换工作交给LP来做，这种测试方案实施起来LP上面的配置稍有点复杂，实现的原理和第一种方案类似，不过在防火墙上面的改动要少一些； LP利用SmartNAT技术，将所有私有IP地址转换成可用的公网IP； 修改内部DNS服务器配置，将各个域名对应的A记录修改成服务器真是的私有地址，这样内部用户访问域名的时候是通过服务器的真实地址进行访问，外部用户访问域名时则是通过LP采用SmartNAT转换后的公网地址进行访问，可以得到较快的访问体验。 IP地址规划 Radware linkproof公网IP 地址规划: 62/40 ISP 网通100M： /28 ISP 电信100M：2/40 ISP 教育网1G：/255.255.255. 0 地址分配以尽可能少地改动内网地址设置为原则。 链路负载均衡 链路负载均衡设备下接设备 说明 接口/类型 IP 设备接口/类型 IP G1千兆电口 62 光电转换器 61 网通50M G2千兆电口 光电转换器 网通100M G3千兆电口 2 光电转换器 1 电信100M G4千兆电口 未用 G5千兆电口 未用 G6千兆电口 未用 G7千兆电口 未用 G8千兆电口 未用 G9千兆电口 未用 G10千兆电口 未用 G11千兆电口 未用 G12千兆电口 未用 G13千兆光口