負載均衡的原理：深信服負載均衡設置

第1章 概述
A10負載均衡和F5負載均衡大致的配置模塊和配置思路基本一致，它們和AD的主要差異在鏈路負載的實現方式上，以及部分不常用模塊或功能AD的不支持，本文主要講述如何將A10的常見負載場景的功能配置轉換為AD的配置。
第2章 配置導出
A10配置有兩種保存方式，分為系統備份文件和技術支持文件，系統備份文件通常包含所有的配置和各類文件（如證書、aflex腳本、地址集等）以文件類型打包下載，而技術支持文件則為一個單獨的文本文件，包括了所有配置和設備當前的狀態信息（如配置、設備狀態、日誌、虛擬服務的健康狀態等），但不會包括證書、地址集等外部文件。

建議兩個都導出，證書等需要通過系統備份的方式才能導出，方便替換後的證書導入，但是備份系統配置只能備份已保存的啟動配置，showtech可導出包含啟動配置和當前運行配置，並且showtech方便替換後的虛擬服務等設備狀態替換前後對比校驗，也方便傳輸，可直接轉給總部專家做配置確認。
兩種文件類型導出後打開如下：
系統備份文件：

ShowTech文件：

注意：如果A10為多台，必須保存並同步配置後每台都單獨取下配置，除非A10開啟並配置了vcs自動同步（如開啟，可從任意一台設備上獲取一份配置即可），如下圖：

2.1WEBUI導出
先登錄設備（A10默認賬號 admin / a10 ）並保存配置後同步配置，配置同步完畢後，再如下導出：
系統備份文件導出：
System > > Maintenance > > Backup > > System 選擇本地Local後點擊Backup等待瀏覽器彈窗下載。
ShowTechsupport技術支持文件導出：
點擊界面右上角的救生圈按鈕，等待瀏覽器彈窗下載。
注意：先確認A10是否做了設備虛擬化創建了多個分區，配置導出一定要在默認的shared分區下導出才能獲取整個設備的所有配置，建議使用WEBUI方式導出。
2.1.12.x版本

2.2CLI導出
1、通過SSH登錄A10設備後台，賬號密碼和前台賬號一致，默認為 admin / a10 ；
2、設置SSH軟體記錄CLI輸出日誌；
3、輸入enable進入到特權模式下，password默認密碼為空，直接回車即可；
4、輸入write memory all-partitions保存所有配置（包括所有分區）；
5、輸入show techsupport後回車等待techsupport輸出完畢；
或使用show [running-config | start-up config ] all-paritions命令獲取所有配置（相當於不帶證書、aflex等外部文件的系統備份文件，亦可相當於不帶狀態和日誌的技術支持文件，不建議使用該方式備份）；
6、取出之前保存的會話日誌或直接複製整個輸出信息保存到新建的TXT文本中。

如果不希望在會話窗口輸出複製，亦可如下命令輸出到A10可達的文件伺服器上：

第3章網路部署
3.1網路介面
3.1.1A10配置
A10的IP通常均是配置在VLAN上，方便後期介面調整加入。在VLAN配置中，如果介面是Untagged，代表該介面相當於普通介面，不具備vlan標識（VLAN ID），VLAN相當於深信服設備上面的埠橋接配置，如有多個介面Untagged則使用橋接網口再對橋接網口配置鏈路IP，如只有一個介面則可以直接配置對應的介面鏈路IP。
示例配置文件如下：
!
vlan 11
untagged ethernet 7
router-interface ve 11
name “xxx_vlan”
!
vlan 500
untagged ethernet 4
router-interface ve 500
name “exam_vlan”
!
interface ve 500
ip address 10.x.x.x 255.255.255.252
name “exam_ve”
!
interface ve 11
ip address 192.x.x.x 255.255.255.0
ipv6 address 2001:x:x:x::1/64
ip allow-promiscuous-vip
name “xxx_ve”
如A10介面上有添加ip allow-promiscuous-vip配置，則代表該介面可以匹配0.0.0.0的虛擬服務IP流量，通常出現在出向鏈路負載需要做選路策略場景。轉換至AD時，AD無需配置，所有介面默認匹配所有類型虛擬服務。
示例配置文件如下：
!
interface ve 11
ip address 192.x.x.x 255.255.255.0
ipv6 address 2001:x:x:x::1/64
ip allow-promiscuous-vip
name “xxx_ve”
!
A10的鏈路健康檢查通常使用外部腳本的健康檢查，如下則使用對應的ve介面作源IP 下一跳為對應的鏈路網關IP(220.x.x.x)，用於檢測鏈路是否正常，檢查的目的地址等信息包含在對應的腳本內。轉換至AD時，如無特殊需求可直接使用WAN口的鏈路健康檢查實現，無需轉換。
示例配置文件如下：
!
health moxxxor hc-cu interval 5 retry 3 timeout 5 up-retry 1

strictly-retry-on-server-error-response
method external program checkbyping arguments “1.1.1.1 1.1.1.2”
!
3.1.2配置解讀
針對上述一個介面的配置進行說明
!
vlan 11#名稱
untagged ethernet 7#物理的埠號，untagged表示數據包發送的時候不帶tag標籤
router-interface ve 11#橋接的虛擬介面名稱
name “xxx_vlan”#名稱
!
interface ve 11#表對應的介面vlan
ip address 192.x.x.x 255.255.255.0#IPV4地址掩碼
ipv6 address 2001:x:x:x::1/64 #IPV6地址掩碼
ip allow-promiscuous-vip#混雜模式介面
name “xxx_ve” #介面名稱
!
3.1.3注意事項
【1】·我們AD的鏈路健康檢查，是會匹配介面上SNAT地址，此時需要保證SNAT地址池裡的地址，均能正常ping通對端運營商網關，否則健康檢查起步不來；或者通過ARP檢測方式來做健康檢查
【2】WAN介面需要注意是非打標籤的廣域網介面，我們可以通過配置路由口，或者VLAN介面，兩種方式均可。
【3】LAN介面的健康檢查，AD實現方式為PING，需要注意AD-核心交換機之間的安全設備，拒絕外網方向過來的報文，導致監測失敗；
3.2NAT配置
A10的NAT配置和思科等路由交換的NAT配置一樣，分為靜態NAT配置和動態NAT（PAT）配置，都需要結合介面的 ip nat inside/outside 來定義和使用，A10的靜態NAT支持1對1做NAT和多對多的範圍靜態NAT。
3.2.1A10配置
ip nat pool p-ct-tcp x.x.x.x x.x.x.x.x netmask /26
ip nat pool p-ct-udp x.x.x.x x.x.x.x.x netmask /26
ip nat pool p-ct-dns x.x.x.x x.x.x.x.x netmask /26
以上配置表示：各自運營商線路地址池的地址，通過不同地址進行SNAT出去。
3.2.2配置解讀
ip nat pool p-ct-tcp x.x.x.x x.x.x.x netmask /26 #配置匹配TCP協議動態地址池
ip nat pool p-ct-udp x.x.x.x x.x.x.x netmask /26 #配置匹配UDP協議動態地址池
ip nat pool p-ct-dns x.x.x.x x.x.x.x netmask /26 #配置匹配DNS協議動態地址池
3.2.3注意事項
【1】由於原本A10工程師配置上，選擇不同協議使用不同源地址，我們通常在項目交付過程中，不會區分地址池，此處替換保留配置平移，我們保留TCP服務使用單獨的地址池，其他協議使用一個地址池；為了TCP連接佔用埠可能會比UDP更多，故不選擇保留UDP協議；
【2】DNS單獨轉換可以去掉，注意不要只保留TCP、UDP策略，還有ICMP策略，最好建立一條any匹配所有協議。
3.3路由配置
3.3.1A10配置
出口部署時配置的默認路由僅用於設備自身的上網，如外網管理和測試外網等需求，A10上網的轉發流量通常使用0.0.0.0/0的虛擬服務實現，具體見出向鏈路負載轉換介紹。
ip route 10.x.0.0 /16 192.x.x.x
指向XX學校內網的路由
3.3.2配置解讀
路由正常按照字面意思進行配置即可。
3.3.3注意事項
【1】全零路由在我們AD上通常不需要配置，避免影響健康檢查；
【2】注意WAN口鏈路是專線或者存在WAN-LAN的流量，不匹配DNAT或者虛擬服務，需要開啟WAN入站轉發；
第4章出向鏈路負載
4.1概述
A10的鏈路負載採用的思路和伺服器負載的整體思路是一樣的，通過採用特定的調度演算法分別把流量分別調度到不同的鏈路節點上做負載。當訪問的流量匹配到了負載均衡的虛擬服務之後通過調度演算法和鏈路健康檢查調度到了節點池中的某個節點同時實現鏈路備份，同理鏈路負載的實現思路也是一樣的，通過定義一個節點池（運營商網關地址），分別把去往運營商的流量調度到節點池（運營商網關地址）的不同節點實現鏈路的冗餘和備份。

與此同時AD在7.0開始支持三層虛擬服務，三層虛擬服務支持配置全0網段配置（0.0.0.0）和特定網段配置（192.168.1.0/24），通過配置三層虛擬服務同時關閉DNAT，這樣通過虛擬服務也可以解決這種需場景，如果要實現特定的源IP網段走特定的線路，通過配置前置調度策略即可，特定的目的IP網段起對應網段的虛擬服務即可。由於我們的前置策略不支持過濾目的地址匹配ISP地址集，此策略只能通過iPro實現，建議將友商的鏈路負載改用AD的智能路由方式實現客戶的出向鏈路負載的場景需求（我們的智能路由配置更簡單）。
4.2ACL流量匹配
4.2.1A10配置
A10的ACL主要用於策略匹配，此處用於對鏈路負載流量區分以用作不同策略。
access-list 108 permit ip any x.x.x.x 0.0.0.255
4.2.2配置解讀
access-list 109 permit ip any host x.x.x #此處意思源any，去往該目的地址流量
4.2.3注意事項
【1】在整理時，類似通過策略路由的形式，保證源路由指定出口線路，我們可以通過智能路由方式配置，更簡化方便。需要注意智能路由選路的特點，從上到下匹配順序；其他是指向內網的access-list，可以通過靜態路由，直接朝內網核心交換機指，不需要特別關注；

4.3節點池
4.3.1A10配置
定義同樣地址集下的選路和備份策略
slb service-group sg-ct tcp
member link-ct:0 template t-ct-tcp priority 10
member link-cu:0 template t-cu-tcp priority 5
member link-cmcc:0 template t-cmcc-tcp priority 2
4.3.2配置解讀
如此前所述，A10的鏈路負載是把運營商網關作為節點，此處定義選路策略的優先順序，如sg-ct節點池中t-ct-tcp優先順序有10，而t-cu-tcp用作備份，最後選擇t-cmcc-tcp；
4.3.3注意事項
A10在這一塊配置上面看起來會較為複雜，但轉換為AD配置會簡單的多，只需注意A10具體在哪些鏈路上開啟負載均衡策略。
4.4出向負載策略綁定
4.4.1A10配置
A10的出向鏈路負載和伺服器負載類似，都是先創建節點（鏈路負載為網關節點），再定義相關策略，最後再通過虛擬服務進行綁定發布。A10的鏈路負載識別方法主要是查看有無0.0.0.0的虛擬服務，再根據對應的0.0.0.0的虛擬服務反向查找綁定的配置分析對應的選路策略。
slb virtual-server llb-acl123 0.0.0.0 acl 123
port 0 tcp
service-group sg-edu
use-rcv-hop-for-resp
template tcp t1
no-dest-nat
port 0 udp
service-group sg-edu-udp
use-rcv-hop-for-resp
template udp u1
no-dest-nat
port 0 others
service-group sg-edu
use-rcv-hop-for-resp
template tcp t1
no-dest-nat
4.4.2配置解讀
以上配置表示：acl 123匹配的流量會使用此負載策略，tcp和udp以及others需要分開配置，對應的選路策略為llb-tcp和llb-udp，使用了目的IP會話保持，禁用了目的地址轉換，使用嚴格的NAT地址轉換（超時時間內同一源IP訪問固定線路都使用相同的NAT地址），設置了源進源出保證流量對稱返回。轉換至AD時，創建對應的智能路由策略，匹配acl 123的源目IP做多鏈路的選路和備份，如有其它acl則再對其它acl匹配的創建多條智能路由策略做選路和備份，按照AD的配置思路轉換即可。
4.4.3注意事項
4.5地址庫選路策略模板
4.5.1A10配置
定義不同ISP選擇不同的選路策略
slb template policy llb
bw-list name chinaall
bw-list id 1 service-group sg-ct
bw-list id 2 service-group sg-cu
bw-list id 3 service-group sg-cmcc
bw-list id 4 service-group sg-cu
bw-list id 5 service-group sg-cmcc
bw-list id 6 service-group sg-edu
bw-list use-destination-ip
!
4.5.2配置解讀
以上配置表示：定義選路策略，使用的地址集為chinaall，設置地址集的IP作為目的IP進行匹配，目的地址屬於id 2、4的地址則使用聯通去訪問，其它線路作備份，屬於id 1的則使用電信線路去訪問，其它線路作備份等等。地址庫中1-7涉及的所有IP均未匹配的則會匹配虛擬服務的默認節點池。
4.5.3注意事項
【1】排除掉精細的ACL做的選路，大的選路策略，也就是根據目的運營商地址進行轉發，AD上不需要建立自定義ID，直接調用AD里ISP運營商地址庫，且AD運營商地址庫會周期更新，確保地址實時同步；
【2】智能路由建議搭配DNS代理進行，根據加權最小流量匹配