華為USG6000系列防火墻默認的管理地址是:https://192.168.0.1:8443 賬號是:admin 密碼是Admin@123第一次登錄需要更改密碼。
在需要搭建一個模擬環境測試 一些配置項,所以前期在ENSP模擬器中事先測試一遍,以前一直是加載防火墻后橋接到本機的回環地址,直接輸入防火墻的默認管理地址既可以登錄訪問,但是這次也可能是我的防火墻配置文件升級或是ENSP升級的原因,橋接后一直無法訪問防火墻的默認刮玻璃地址。
1:本機的回環網卡的地址是192.168.0.10 在本機無法ping通防火墻的管理地址192.168.0.1,當時一度懷疑是不是回環網卡配置錯誤。
2:抓包分析確認只有請求的包沒有回應確定是防火墻的配置問題。
3:登錄防火墻查看運行的配置
4:dis zone 查看區域查看管理接口配置(防火墻區域的高優先級訪問低優先級的方向稱為出方向,低優先級訪問高優先級區域稱為入方向。)
5:查看防火墻的安全策略(防火墻的安全策略默認是拒絕所有,只有添加允許的的測試才會被放行,如果把默認策略的拒絕所有改為允許那防火墻就相當于一臺路由器毫無意義)
6:開啟管理口GigabitEthernet 0/0/0口相對應的服務即可,這里我選擇all
7:再次查看管理口已經開啟了如下服務。
8:再次在瀏覽器中輸入https://192.168.0.1:8443/已經就可以訪問了。
9:下圖中就是我們剛才在管理口啟用的服務。
回環網卡創建,具體的步驟及分析如下:
創建本機的回環網卡(這個一般是所有網絡工程師會經常用到的測試網卡用于和ENSP模擬器中的網絡設備銜接使用)
wind+R鍵單開運行界面輸入hdwwiz 下一步按照下圖中標注的選擇即可添加本地回環網卡。
我這里實驗選擇的是DR模式wlc算法。
1、環境準備
lvs1:192.0.2.16
lvs2:192.0.2.17
nginx:192.0.2.18
nginx:192.0.2.19
VIP:192.0.2.20
2、安裝ipvsadm
yum install ipvsadm
ipvsadm-1.26-4.el6.i686.rpm
3、安裝keepalived
yum install keepalived
keepalived-1.2.13-5.el6_6.i686.rpm
4、配置keepalived
vi /etc/keepalived/keepalived.conf
service keepalived restart
5、維護命令
service ipvsadm start
service keepalived start
service ipvsadm stop
service keepalived stop
6、加入開機自啟動
chkconfig keepalived on
chkconfig ipvsadm on
7、服務器端配置
master
[root@lvs2 keepalived]# cat keepalived.conf
! Configuration File for keepalived
global_defs {
notification_email {
1098331428@qq.com
}
notification_email_from Alexandre.Cassen@firewall.loc
smtp_server smtp.qq.com
smtp_connect_timeout 30
router_id LVS_DEVEL
}
vrrp_instance VI_1 {
state MASTER
interface eth0
virtual_router_id 51 //主備機一致
priority 100 //主機高于備機
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
192.0.2.20 //vip
}
}
virtual_server 192.0.2.20 80 {
delay_loop 6
lb_algo wlc
lb_kind DR
nat_mask 255.255.0.0
persistence_timeout 50
protocol TCP
real_server 192.0.2.18 80 {
weight 15
TCP_CHECK {
connect_timeout 3
nb_get_retry 3
delay_before_retry 3
connect_port 80
}
}
real_server 192.0.2.19 80 {
weight 10
TCP_CHECK {
connect_timeout 3
nb_get_retry 3
delay_before_retry 3
connect_port 80
}
! Configuration File for keepalived
global_defs {
notification_email {
1098331428@qq.com
}
notification_email_from Alexandre.Cassen@firewall.loc
smtp_server smtp.qq.com
smtp_connect_timeout 30
router_id LVS_DEVEL
}
vrrp_instance VI_1 {
state backup
interface eth0
virtual_router_id 51
priority 90
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
192.0.2.20
}
}
virtual_server 192.0.2.20 80 {
delay_loop 6
lb_algo wlc
lb_kind DR
nat_mask 255.255.0.0
persistence_timeout 50
protocol TCP
real_server 192.0.2.18 80 {
weight 15
TCP_CHECK {
connect_timeout 3
nb_get_retry 3
delay_before_retry 3
connect_port 80
}
}
real_server 192.0.2.19 80 {
weight 10
TCP_CHECK {
connect_timeout 3
nb_get_retry 3
delay_before_retry 3
connect_port 80
}
}
=========================
linux客戶端配置
客戶端配置腳本 drvip.sh
#!/bin/bash
# description: Config realserver lo and apply noarp
SNS_VIP=192.0.2.20
/etc/rc.d/init.d/functions
case "" in
start)
ifconfig lo:0 $SNS_VIP netmask 255.255.255.255 broadcast $SNS_VIP
/sbin/route add -host $SNS_VIP dev lo:0
echo "1" >/proc/sys/net/ipv4/conf/lo/arp_ignore
echo "2" >/proc/sys/net/ipv4/conf/lo/arp_announce
echo "1" >/proc/sys/net/ipv4/conf/all/arp_ignore
echo "2" >/proc/sys/net/ipv4/conf/all/arp_announce
sysctl -p >/dev/null 2>&1
echo "RealServer Start OK"
;;
stop)
ifconfig lo:0 down
route del $SNS_VIP >/dev/null 2>&1
echo "0" >/proc/sys/net/ipv4/conf/lo/arp_ignore
echo "0" >/proc/sys/net/ipv4/conf/lo/arp_announce
echo "0" >/proc/sys/net/ipv4/conf/all/arp_ignore
echo "0" >/proc/sys/net/ipv4/conf/all/arp_announce
echo "RealServer Stoped"
;;
*)
echo "Usage: > echo "Usage: $0 {start|stop}" < {start|stop}"
exit 1
esac
exit 0
客戶端啟停
/sbin/drvip.sh start
/sbin/drvip.sh stop
---------------------------------------------
win客戶端配置
1、win客戶端
需要從管理工具里面--添加設備---回環網卡---4個255+虛擬ip
2、添加到服務器配置文件
3、重啟keeplived
==========================
服務器端查看連接數和vip
查看連接數
ipvsadm -ln
查看源IP 目的IP 訪問
ipvsadm -l -n --connection
==========================
測試
安裝兩臺nginx服務器
chkconfig iptables off
service iptables stop
chkconfig NetworkManager off
vi /etc/selinux/config
SELINUX=disabled
1、相關依賴包安裝
yum -y install gcc openssl-devel pcre-devel zlib-devel openssl pcre wget
2、建立nginx用戶及組
groupadd -r nginx && useradd -r -g nginx -s /bin/false -M nginx
3、下載并安裝nginx
wget ftp://10.101.200.210/pub/nginx/nginx-1.8.0.tar.gz
tar -xzvf nginx-1.8.0.tar.gz
cd ./nginx-1.8.0
./configure --prefix=/usr/local/nginx --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx/nginx.pid --lock-path=/var/lock/nginx.lock --user=nginx --group=nginx --with-http_ssl_module --with-http_flv_module --with-http_realip_module --with-http_stub_status_module --with-http_gzip_static_module --http-client-body-temp-path=/var/tmp/nginx/client/ --http-proxy-temp-path=/var/tmp/nginx/proxy/ --http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ --http-uwsgi-temp-path=/var/tmp/nginx/uwsgi --http-scgi-temp-path=/var/tmp/nginx/scgi --with-pcre
make && make install
啟動停止腳本
wget ftp://10.101.200.210/pub/nginx/nginx -O /etc/rc.d/init.d/nginx
chmod +x /etc/rc.d/init.d/nginx
chkconfig --level 345 nginx on
chkconfig --list | grep nginx
service nginx start
service nginx status
#service nginx stop
查看nginx配置
nginx -V
進入目錄
cd /usr/local/nginx/html
vi index.html
加入區分標志
在表頭加入ip地址
分別輸入ip地址可以訪問。
================================
啟動keealived,并進行測試訪問。
1、啟動keealived,并進行測試訪問。
2、停止lvs1,在進行訪問,并查看lvs2上面的vip地址和連接。
3、啟動lvs1,看是否回切。
4、可以在主備機上打開log。查看切換過程。