组网说明:
路由器做了IRF,有2个运营商出口分别在2台路由器上。2个公网出口都映射了内网的服务器,对外提供服务。路由器做了跨框三层链路聚合和核心设备对接,并且配置了最大选中端口数为1,路由器1框的接口被聚合口选中。
外网通过联通访问内网服务器不通,通过电信访问内网服务器正常
1、检查配置发现为双出口等价路由组网,并且出口未开启保持上一跳功能,无法保证原进原出,因此建议增加保持上一跳配置,增加后故障现象依旧。
2、故障时查看NAT会话,发现设备已经做了目的转换。
3、通过在联通出口和内网口(即被聚合口选中的物理口,1框接口)同时抓包发现,出口收到了请求报文,但是内网口未发出去。
4、查看路由器IRF的限制发现:
组建IRF后,会话不支持在成员设备间备份,必须保证来回流量在同一台设备上处理,而现场刚好配置了最大选中端口数,联通访问内外的流量需要从2框进去,然后从1框发往内网,所以导致不通
1、内网聚合口不用配置最大选中端口数,保证全部选中,正常HASH处理。
2、外网出口由物理口更改为聚合口,只需将2个物理口加入2个独立的聚合即可。举例:电信出口独自加入聚合口1、联通出口独自加入聚合口2。因为聚合口是全局接口,所有表项和配置都是全局的。
3、开启会话同步
session synchronization enable
session synchronization enable dns http
4、配置本地优先转发,缺省即为开启状态,若关闭请打开
(1) 进入系统视图。
system-view
(2) 配置全局的聚合负载分担采用本地转发优先。
link-aggregation load-sharing mode local-first
缺省情况下,聚合负载分担采用本地转发优先。
通过如上配置,无需配置service slot指定处理业务流量的槽位,即可保证NAT业务流量来回路径一致,并且负载分担,性能更好。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作