目录
一、组网需求
如下图所示,公司内部有2台web服务器,服务器对外提供的域名为www.test.com, 需要通过https进行访问;在防火墙上配置负载均衡,将web服务负载到192.168.1.1 和192.168.1.2 两台服务器之上。
二、网络拓扑
三、配置要点
1、基础上网配置
2、配置负载均衡服务器
(1)配置健康检查
(2)配置负载均衡服务器
(3)配置真实服务器
3、配置安全策略
四、操作步骤
1、基础上网配置
配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:
接口IP如下:
路由配置如下:
2、配置负载均衡服务器
(1)配置负载均衡服务器
菜单: 防护墙>负载均衡>健康检查, 点击“新建”按钮,建立虚拟服务器,如下图所示:
名称: https(该名称为自定义,可根据需要进行修改)
类型:http,tcp,udp,ip等方式,本例选择为https,如果是dns服务器则需要选择udp类型。
接口:port15, 防火墙连接外网的端口。
服务器虚拟IP:服务器对外提供服务的IP,192.168.118.126
负载均衡方法:支持静态,轮询,加权,最早存活,最小响应时间,最小连接数,http host等多种方法
保持方法: http cookie
http 多路复用: 可选项,可以将客户请求的多个链接,合并为一条请求来链接服务器,降低服务器的负载。
安全套接卸载:client--RuijieGate客户端与防火墙之间为ssl链接, 防火墙与服务器之间为明文,减轻服务器负载。
client--RuijieGate--server 客户端与防火墙之间为ssl链接, 防火墙与服务器之间为ssl链接。
证书: 导入为服务器申请的证书,本例为网站的合法证书为web。
健康检查: 可选项,只有一个真实服务器,无需选择。
(2)配置真实服务器
菜单: 防护墙>负载均衡>真实服务器, 点击“新建”按钮,建立2台真实服务器,如下图所示:
虚拟服务器: https, 选择为哪台虚拟服务器来建立真实服务器。
IP地址: 真实服务器的ip地址。
端口: 真实服务器http服务端口,可以不与虚拟服务器的服务器端口相同。
权重: 本例不可选,如果选择了基于权重的负载方式,则可以在此处指定全总比如,比如 10:10 等,
最大连接数: 0为不做任何限制。
模式:有效, 可选参数包括:有效,无效,备用。
(3)按上述方法建立第二台服务器,
3、配置安全策略
菜单: 防火墙--策略--策略, 点击 "新建" 在新建窗口内,按如下的方式,添加一条策略:
点击”目的地址“右面的 ”多个“按钮,选择将定义好的2个虚拟IP:
源接口/区:wan1
源地址:all
目的接口/区: internal
目的地址选择: 选择多个,https 和https1
服务: all
在策略中开启dlp的 http 存档功能,同时启用SSL/SSH检测。
五、验证效果
从外部进行访问http是://www.test.com, 本例以 锐捷防火墙 作为http服务器进行测试。
查看证书,依然为该网站的合法证书。
查看日志:
