防火墙技术案例8_服务器负载均衡配置.docx

【防火墙技术案例8】强叔拍案惊奇 服务器负载均衡配置世界杯正在如火如荼的进行，论坛的小伙伴们既要熬夜看球，又要努力工作，实在是辛苦啦~强叔最近也是十分繁忙，在苦思冥想如何给大家讲解IPSec的同时，又去了趟某数据中心进行开局工作。这次开局主要用到的是高端防火墙的新功能——服务器负载均衡，所以强叔就顺势给大家带来这篇服务器负载均衡的配置案例。希望大家能够有所收获~————————————————下面大家就一起来赏析此案例吧~??————————————————————【组网需求】如下图所示，公司网络调整前Server2对外提供HTTP业务，Server3对外提供FTP业务。这时如果Server2故障，则所有HTTP业务中断；如果HTTP业务很多，而FTP业务很少，则会造成Server2拥塞，Server3闲置。?所以公司希望利用USG9000的负载均衡功能对网络进行调整。公司希望网络调整后Server2和Server3能够同时对外提供HTTP和FTP业务，而且HTTP业务能够被平均分配到Server2和Server3上，?FTP业务也能够被平均分配到Server2和Server3上。这样如果Server2故障，Server3依旧能够对外提供HTTP和FTP业务；而且无论HTTP业务和FTP业务多少，Server2和Server3处理的业务流数都相同，不会造成一台服务器拥塞而另外一台闲置的情况。另外公司还希望服务器能够主动访问Internet。???【强叔规划】看完公司的组网需求后，强叔先带大家来分析下网络调整前后的业务流处理方式。如下图所示，网络调整前，外网用户访问公司的HTTP业务流（访问6）会被转发到Server2（IP地址是6）上；外网用户访问公司的FTP业务流（访问7）会被转发到Server3（IP地址是36）上。这里的公网地址和私网地址的转换是通过在网关上配置NAT Server功能来实现的。网络调整前的地址对应关系如下表所示：业务公网IPServer 2 IPServer 3 IPHTTP66-FTP7-36?如下图所示，网络调整后，Server2和Server3分别虚拟成了两个虚拟机，一个提供HTTP业务，一个提供FTP业务。而且由于在USG上配置了服务器负载均衡功能，使外网用户访问公司的HTTP业务流（访问6）会被平均分到Server2和Server3的HTTP虚拟机上，外网用户访问公司的FTP业务流（访问7）会被平均分到Server2和Server3的FTP虚拟机上。网络调整后的地址对应关系如下表所示：业务公网IPServer 2 IPServer 3 IPHTTP6636FTP7737?【配置步骤】1、??配置服务器负载均衡功能。配置服务器负载均衡功能前，应首先完成网络基础配置，并全开包过滤（因为网络出口处部署了友商的安全网关，所以这里就包过滤全开了）。1)??????选择“网络服务器负载均衡服务器负载均衡”。2)??????单击“新建”，按如下参数配置HTTP业务的服务器负载均衡。“虚拟服务器地址”是HTTP业务的公网地址，“实服务器地址”是Server2和Server3的私网地址。由于公司希望HTTP业务流平均分配到Server2和Server3上，因此“负载均衡算法”这里选择“简单轮询”。3）参考上述步骤，按如下参数配置FTP业务的服务器负载均衡。“虚拟服务器地址”是FTP业务的公网地址，“实服务器地址”是Server2和Server3的另一组私网地址。由于公司希望FTP业务流平均分配到Server2和Server3上，因此“负载均衡算法”这里选择“简单轮询”。【强叔点评】负载均衡算法是服务器负载均衡的核心技术，本案例使用的是简单轮询算法。所谓简单轮询算法是指将客户端的业务流依次分配到各个服务器上。如下图所示，USG9000将客户端的业务流依次分配给4个服务器，当每个服务器都分配到一条流后，再从服务器S1开始重新依次分配。当业务流量较大时，经过一段时间后，各服务器的累积的流数大致相等。这里的“一条流”可以理解为USG9000上建立的一条会话或一个连接，所谓“逐流”就是将属于同一条流的报文都分配给同一个服务器来处理。当会话老化后，即使流量的源IP、目的IP等网络参数都没有改变，也会视新建的会话为一条新流。加权轮询算法是将客户端的业务流按照一定权重比依次分配到各个服务器上，是在简单轮询算法上的一种增强。USG9000还支持（加权）最小连接算法和（加权）会话保持算法。最小连接算法是将客户端的业务流分配到并发连接数最小的服务器上。并发连接数是指服务器的实时连接数，即当前存在的连接数。如下图所示，客户端Client 1和Client 2发出的请求到达USG9000后，USG9000会统计4个服务器上的并发连接数。