H3C设备虚拟服务器配置全攻略：从基础到实战

一、虚拟服务器基础概念与H3C实现原理

虚拟服务器（Virtual Server）是网络设备通过NAT技术将内部服务器的真实IP和端口映射到公网IP的指定端口，实现外部访问内部服务的功能。在H3C设备中，该功能主要依赖NAT Server或端口映射配置实现，同时可结合负载均衡模块实现多服务器的高可用性。

1.1 核心应用场景

• 公网访问内网服务：将Web服务器、FTP服务器等暴露到公网。
• 端口复用：单个公网IP的多个端口映射到不同内网服务。
• 负载均衡：通过虚拟IP（VIP）将流量分发到多台后端服务器。

1.2 H3C实现方式

• NAT Server：基础端口映射，适用于单服务器场景。
• SLB（Server Load Balancing）：负载均衡模式，支持健康检查、会话保持等高级功能。
• 策略路由：结合ACL实现更复杂的流量分发。

二、H3C设备配置虚拟服务器详细步骤

2.1 准备工作

• 确认设备型号：支持NAT和SLB功能的H3C路由器或防火墙（如MSR系列、SecPath系列）。
• 网络拓扑规划：明确内网服务器IP、公网IP、端口映射关系。
• 权限要求：需具备设备管理权限（通常为admin或level-15用户）。

2.2 基础NAT Server配置（单服务器映射）

步骤1：进入系统视图

system-view

步骤2：配置NAT地址池（若需动态NAT）

nat address-group 1 202.100.1.100 202.100.1.100  # 单IP无需地址池

步骤3：配置NAT Server规则

nat server protocol tcp global 202.100.1.100 80 inside 192.168.1.10 80

• 参数说明：
  • global：公网IP和端口。
  • inside：内网服务器IP和端口。
  • protocol：支持TCP/UDP/ICMP等。

步骤4：保存配置

save force

2.3 SLB负载均衡配置（多服务器场景）

步骤1：启用SLB功能

slb enable

步骤2：创建虚拟服务器（VIP）

slb virtual-server 100 vip 202.100.1.100

步骤3：配置真实服务器组

slb real-server-group 10
 real-server 192.168.1.10 80 weight 100  # 权重越高分配流量越多
 real-server 192.168.1.11 80 weight 80

步骤4：绑定虚拟服务器与真实服务器组

slb service 100 tcp 80 80 real-server-group 10

步骤5：配置健康检查（可选）

slb health-check 100 tcp expect http 200 interval 30 timeout 10

• 参数说明：
  • expect http 200：检查HTTP 200响应。
  • interval：检查间隔（秒）。
  • timeout：超时时间（秒）。

2.4 高级功能配置

2.4.1 会话保持

slb service 100 tcp 80 80 real-server-group 10 persistence source-ip

• 作用：基于源IP的会话保持，确保同一客户端始终访问同一后端服务器。

2.4.2 端口复用

nat server protocol tcp global 202.100.1.100 8080 inside 192.168.1.10 80
nat server protocol tcp global 202.100.1.100 8081 inside 192.168.1.11 80

• 场景：单个公网IP的不同端口映射到不同内网服务。

三、配置验证与故障排查

3.1 验证配置

方法1：使用display命令

display nat server          # 查看NAT映射规则
display slb virtual-server # 查看SLB虚拟服务器状态
display slb real-server    # 查看真实服务器状态

方法2：测试访问

• 从外网使用telnet 202.100.1.100 80测试端口连通性。
• 使用浏览器访问http://202.100.1.100验证Web服务。

3.2 常见问题与解决方案

问题1：NAT Server不生效

• 原因：
  • 未配置ACL允许公网访问。
  • 内网服务器未正确响应。
• 解决：

  acl basic 2000
   rule permit source any
   interface GigabitEthernet0/0
    nat outbound 2000

问题2：SLB负载不均衡

• 原因：
  • 权重配置不合理。
  • 健康检查失败。
• 解决：
  • 调整weight参数。
  • 检查后端服务是否正常运行。

问题3：会话保持失效

• 原因：
  • 未配置persistence。
  • 客户端IP动态变化（如NAT穿透）。
• 解决：
  • 改用Cookie或SSL ID会话保持。

四、最佳实践与优化建议

4.1 安全加固

• 限制访问源：通过ACL限制仅允许特定IP访问虚拟服务器。

  acl advanced 3000
   rule 5 permit ip source 1.1.1.1 0
  interface GigabitEthernet0/0
   traffic-filter inbound acl 3000

• 启用日志：记录虚拟服务器访问日志。

  info-center loghost 192.168.1.1
  info-center source default channel logbuffer

4.2 性能优化

• 连接复用：启用TCP长连接减少建立开销。

  slb service 100 tcp 80 80 real-server-group 10 tcp-reuse enable

• 带宽限制：避免单服务器占用过多带宽。

  qos car inbound ip-group 3000 cir 10000 cbs 200000  # 限制入方向带宽10Mbps

4.3 高可用性设计

• 双机热备：使用VRRP或HSRP实现VIP漂移。

  vrrp vrid 1 virtual-ip 202.100.1.100

• 多链路负载：结合策略路由实现多ISP出口负载均衡。

五、总结与扩展

H3C设备的虚拟服务器配置通过NAT Server和SLB模块实现了从基础端口映射到高级负载均衡的完整功能。实际部署中需结合安全策略、性能优化和高可用设计，确保服务的稳定性和可靠性。对于复杂场景（如全局负载均衡、DNS解析），可进一步研究H3C的GSLB（Global Server Load Balancing）解决方案。

扩展阅读：

• 《H3C SLB配置指南》
• 《H3C NAT技术白皮书》
• 《H3C高可用性网络设计》