知

出方向链路负载均衡功能异常

5天前发表

0收藏

黄聪琴

黄聪琴四段

描述

问题描述：

防火墙配置出方向链路负载均衡功能后，负载不生效或负载效果不好。

解决方法：

1、判断设备是否收到客户端的请求报文

插卡是否有报文的最方便的方法就是查看是否有会话表项。

命令：display session table ipv4 source-ip x.x.x.x destination-ip y.y.y.y verbose

例如：通过命令可以看到LB已经收到客户端10.0.0.4发来的请求报文，如果没有会话可能是流量没有到达设备，需要排查路由。

2、调整路由

如果LB没有接收到业务报文，则应检查其他设备原因，通常是由于组网、路由规划、其他设备故障等因素导致报文没有到达或绕过防火墙。针对此类问题，建议从发起方开始逐跳排查，逐步确认发起方至响应方报文的具体转发路径、是否被中途丢弃等。如果是由于非H3C品牌设备引起的故障，建议尽快与对应的服务提供商取得联系，协助排查处理。

3、检查链路组和链路配置否是正确

首先，确定链路组配置是否正确，缺省链路组的匹配规则是匹配全部，如果下面配置有多条规则的话，一般需求是匹配任意一个规则而不是全部。

因此，需要将链路负载均衡类的规格匹配改为只匹配任一规则。

Web界面配置如下图所示：

另外，链路组中的NAT功能缺省是处于开启状态的，在进行链路负载功能时是不需要做目的NAT转换的，所以需要将NAT功能关闭。

命令：transparent enable

Web界面查看路径，通过“策略 > 负载均衡 > 链路负载均衡 > 出方向链路负载均衡 > 链路组”查看链路组相关配置是否正确。

其次，查看链路是否配置正确，链路里面的router ip 为下一跳ip，而非出接口ip，此处需要注意。

Web界面查看路径，通过“策略 > 负载均衡 > 全局配置 > 链路”查看链路配置是否正确。

4、检查健康检测

链路是否可用需要分两种条件，第一种：链路和链路组中均没有做健康性检测，第二种：链路组中调用了健康性检测。

针对第一种情况，如果链路和链路组中均没有配置健康性检测，则会导致某条物理链路不可用时，链路组感知不到，后续流量依然会继续往该链路上分担，导致分担到该链路的流量由于链路不可用均被丢弃，造成客户部分业务中断。所以，需要配置健康性检测。

命令行查看方式：

Web界面查看方式，通过“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”查看链路组是否配置健康性检测。

通过“策略 > 负载均衡 > 全局配置 > 链路”查看链路是否配置健康性检测。

针对第二种情况，如果采用的是链路组下调用健康性检测，并且健康性检测设置的为全部检测通过才成功的话，那么如果链路组中有多条物理链路，其中一条物理链路存在问题，则会导致该链路的健康性检测失败，从而导致整个链路组不可用，此时需要修改健康性检测成功的条件。例如：通过“策略 > 负载均衡 > 链路负载均衡 > 出链路负载均衡 > 链路组”查看某条链路组的健康性检测成功条件是否为全部。