L1000-A 负载均衡

得通啊 

产品配置手册下载链接如下：

https://www.h3c.com/cn/pub/Document_Center/2025/02/WebHelp_SecPath_YYJFAQWG_Web_PZZD/default_auto.htm?CHID=1130458

 实服务ip地址必须要跟负载均衡设备地址通

实服务 IP 必须和负载均衡 L1000-A 互通，否则一定显示 “不可用”。
状态不可用，90% 是路由 / 二层不通、健康检查失败、配置不完整。
有官方 Web 配置手册，我给你直接入口。
一、实服务 “不可用” 常见原因（四层 SLB）
1）网络不通（最常见）
L1000-A 到 实服务器 IP 连通性必须通（同网段或有路由）。
服务器到 L1000-A 回程也要通（很多人只做单向）。
服务器防火墙 /iptables 放通健康检查端口 + 业务端口（如 TCP 80/443）。
排查：
bash
运行
# 在L1000上ping实服务IP
ping x.x.x.x

# 测试端口通不通（四层TCP）
telnet x.x.x.x 端口
2）健康检查配置错误（必查）
四层负载均衡默认用 TCP 端口检查，端口必须和业务端口一致。
检查间隔太短、超时太短、服务器响应慢，会误判 “不可用”。
实服务网关没指向 L1000 或回程路由缺失，健康检查回包到不了设备。
3）配置漏项
实服务没加入 实服务组（real-server group）。
虚服务（virtual-server）没绑定 实服务组 + 监听端口。
虚服务没 enable（没启用）。
4）状态查看命令（建议在 CLI 确认）
bash
运行
# 查看实服务状态
display real-server brief

# 查看虚服务状态
display virtual-server brief

# 查看健康检查统计
display health-check statistic
二、实服务 IP 必须和负载均衡互通吗？
必须互通，双向都要通。
L1000→RS：做健康检查、转发流量。
RS→L1000：回包必须回到负载均衡（服务器网关建议指向 L1000）。
不通的典型表现：Web 显示 “不可用”，健康检查失败。
三、L1000-A Web 页面产品文档（官方）
1）Web 配置指导（你最需要）
H3C SecPath L1000 配置指导 (V7)—— 含 Web 界面截图与步骤：https://www.h3c.com/cn/Service/Document_Software/Document_Center/IP_Security/YYAQWG_V7/H3C_SecPath_L1000/Default.htm?category=192719
2）四层负载均衡典型案例
https://www.h3c.com/cn/d_202207/1647161_30005_0.htm
3）快速安装 & Web 入门
https://www.h3c.com/cn/Service/Document_Software/Document_Center/IP_Security/YYAQWG_V7/H3C_SecPath_L1000/Default.htm?category=585866
四、给你一个快速排查顺序（照着做）
L1000 能 ping 通实服务 IP 吗？ → 不通先解决路由 / 二层。
实服务能 ping 通 L1000 的实接口 IP 吗？ → 回程必须通。
实服务防火墙放行业务端口 + 健康检查端口了吗？
Web 检查：实服务→加入实服务组→虚服务绑定实服务组 + 端口→虚服务 enable。
健康检查：类型 TCP，端口和业务一致，间隔 5 秒、超时 3 秒、重试 2 次。

你遇到的问题是实服务状态显示“不可用”，这通常意味着健康检查失败了。根据H3C官方的故障排查指南，可以按照以下步骤进行排查。

 第一步：实服务状态“不可用”的排查

执行下面的命令来定位问题：

1. 检查连通性（最关键的一步）

   <H3C> ping 实服务IP

   <H3C> telnet 实服务IP 端口判断：如果ping不通或连接失败，请检查网络路由、中间设备（如交换机、防火墙）的ACL规则或服务器的本地防火墙。

2. 验证实服务配置

   <H3C> display real-server verbose关键核对项：实服务的 IP地址、端口号及关联的健康检查模板，必须与后台真实服务器的配置完全一致。

3. 排查健康检查的具体失败原因

   <H3C> display health-check result real-server 实服务名称关键核对项：命令输出会明确显示失败原因，常见的定位点包括：

   • 超时 (Timeout)：网络延迟高，或健康检查超时时间设置得太短。

   • 端口未监听：确认后台服务器是否开启了监听，且监听端口正确。

   • 路由不可达：设备间没有正确的路由，需检查路由表。

   • 防火墙拦截：中间或服务器本身的防火墙规则可能阻断了健康检查报文。

   • 软件Bug：特定软件版本可能存在漏洞。

 状态指示灯含义

• 实服务器显示黄色：新添加的实服务正在被健康检查探测，等待结果更新。如果长时间未变为绿色，请排查网络问题或配置参数（如超时时间设置过短）。

• 实服务组显示红色：组内所有实服务器都不可用，意味着关联的虚服务无法调度任何流量。

 第二步：获取L1000-A Web页面产品文档

L1000-A 的 Web 页面被叫做“Web网管”，它的配置指导包含在产品手册中。你可以通过以下方式找到它：

• H3C官方文档库：访问 H3C SecPath L1000 系列文档中心。下载最新的 配置指导 (Configuration Guide) 中的 基础配置指导 (Fundamentals Configuration Guide)，或直接搜索含 Web 字样的配置手册。

• 登录Web界面（快速参考）：

  • 默认管理IP：192.168.0.1/24。

  • 默认用户名/密码：admin / admin。

  •  安全提示：首次登录后，请务必及时修改默认用户名和密码。

 第三步：实服务IP地址是否需要与负载均衡设备互通？

答案是：必须互通。

这是负载均衡工作的基础，它依赖于此畅通的网络连接来完成两个关键任务：

• 健康检查 (Health Check)：LB设备需要通过实服务的IP地址，周期性地去探测服务器状态（如检查端口是否开放）。如果网络不通，健康检查就会失败，从而判定该节点“不可用”。

• 业务转发 (Traffic Forwarding)：当来自客户端的访问请求匹配到虚服务后，LB设备需要将请求从客户端“传送”到后端的服务器上，这个过程也完全依赖网络层IP的互通。