在使用负载均衡前,可以从外网正常访问内网服务器。
开启负载均衡后,从外网无法访问内网服务器了。请问怎么解决?
如附件。
最佳答案
配置的问题,策略路由里排除下映射的流量,参考:
V7防火墙多WAN负载负载后虚拟服务器映射异常解决方法
某公司为达到业务流量快速转发和链路冗余需求申请了两条不同运营商的外网线路,目前需要配置负载均衡将公司内网数据负载到两条运营商链路,部署前内网有一台WEB服务器可以被外网访问,但是在配置负载均衡后链路负载功能正常,但是服务器映射功能失效,导致访问服务器业务中断。
组网图
说明:
ISP | 外网接口 | 公网地址/掩码 | 公网网关 |
移动 | 1/0/3 | 218.200.5.8/24 | 218.200.5.9 |
电信 | 1/0/1 | 202.90.112.2/24 | 202.90.112.1 |
下面配置为现场虚服务的相关配置,在“virtual ip address”位置填写了0.0.0.0/0。
virtual-server outbound type link-ip
virtual ip address 0.0.0.0 0
lb-policy 1
default link-group cmcc
service enable
通常出方向链路均衡虚服务配置为通配地址 0.0.0.0/0,协议任意/端口号任意,此时如果有外网发起的到内网的连接请求,就匹配0.0.0.0/0这个虚服务,所以现场到外网的负载均衡业务正常,但是当服务器数据从外网转发过来是也会同样匹配这条0.0.0.0/0的虚服务,即访问服务器的数据又被匹配负载均衡策略转发至外网。
具体实现原理:将服务器的流量也看做一条链路,匹配对应数据后匹配路由表转发。
\\创建匹配到内网服务器的流量不做负载的访问控制表,192.168.0.100为内网服务器的地址,218.200.5.8为映射的公网地址。
acl advanced 3002
rule 0 permit ip destination 192.168.0.100 0
rule 5 permit ip destination 218.200.5.8 0
\\配置服务规格匹配到服务器的流量
loadbalance class server type link-generic match-any
match 1 acl 3002
\\配置负载均衡动作为转发,即匹配策略的数据按照设备自身路由表转发。
loadbalance action server type link-generic
forward all
fallback-action continue
\\在LB策略中将服务器策略置顶
loadbalance policy 1 type link-generic
class server action server \\匹配服务器的流量
class caiwu action caiwu \\财务的流量优先走电信
class cmcc action cmcc
class cnc action cnc
class chinanet action chinanet
(0)
查看防火墙会话,看看访问内网服务器报文是否源进源出
在防火墙上开启debuggin ip packet acl 看一下还有debuggin lb packet
(0)
这个防火墙好像不支持这俩命令。
这个防火墙好像不支持这俩命令。
抓包看一下
(0)
具体看哪个包?
具体看哪个包?
本案例适用于软件平台为Comware V7系列防火墙:F100-X-G2、F1000-X-G2、F100-X-WiNet、F1000-AK、F10X0等。
某公司为达到业务流量快速转发和链路冗余需求申请了两条不同运营商的外网线路,目前需要配置负载均衡将公司内网数据负载到两条运营商链路,部署前内网有一台WEB服务器可以被外网访问,但是在配置负载均衡后链路负载功能正常,但是服务器映射功能失效,导致访问服务器业务中断。
组网图
说明:
ISP |
外网接口 |
公网地址/掩码 |
公网网关 |
移动 |
1/0/3 |
218.200.5.8/24 |
218.200.5.9 |
电信 |
1/0/1 |
202.90.112.2/24 |
202.90.112.1 |
下面配置为现场虚服务的相关配置,在“virtual ip address”位置填写了0.0.0.0/0。
virtual-server outbound type link-ip
virtual ip address 0.0.0.0 0
lb-policy 1
default link-group cmcc
service enable
通常出方向链路均衡虚服务配置为通配地址 0.0.0.0/0,协议任意/端口号任意,此时如果有外网发起的到内网的连接请求,就匹配0.0.0.0/0这个虚服务,所以现场到外网的负载均衡业务正常,但是当服务器数据从外网转发过来是也会同样匹配这条0.0.0.0/0的虚服务,即访问服务器的数据又被匹配负载均衡策略转发至外网。
3.4.1 配置LB策略将服务器流量强制到内网进行转发
具体实现原理:将服务器的流量也看做一条链路,匹配对应数据后匹配路由表转发。
\\创建匹配到内网服务器的流量不做负载的访问控制表,192.168.0.100为内网服务器的地址,218.200.5.8为映射的公网地址。
acl advanced 3002 //新建acl3002
rule 0 permit ip destination 192.168.0.100 0 //创建规则0匹配92.168.0.100为内网服务器的地址
rule 5 permit ip destination 218.200.5.8 0 //创建规则5匹配218.200.5.8为映射的公网地址
\\配置服务规格匹配到服务器的流量
loadbalance class server type link-generic match-any //创建负载均衡类
match 1 acl 3002 //匹配acl 3002规则
\\配置负载均衡动作为转发,即匹配策略的数据按照设备自身路由表转发。
loadbalance action server type link-generic //建立负载均衡行为
forward all //配置负载均衡动作为正常转发
fallback-action continue //配置负载均衡匹配失败后继续匹配下一条规则
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明