组网及说明
组网不涉及
告警信息
暂无
问题描述
高端防火墙设备的nat server inside地址和real server地址相同,测试发现服务器负载的流量不通
过程分析
debug查看故障流量,发现流量的正向报文和回包上的不通槽位的业务版处理,可以初步判断是由于流表问题导致的故障。
仔细排查设备的配置,发现nat server inside地址和real server地址相同
查看流表发现,nat server下的流表的优先级比服务器负载下的流表的优先级高:
nat serve的流表:
Flow entry 34 information:
COOKIE: 0x0, priority: 5700, hard time: 0, idle time: 0, flags: check_overlap
|reset_counts|no_pkt_counts|no_byte_counts, byte count: --, packet count: --
Match information:
IP Range: IPv4 source address from 192.169.148.24 to 192.169.148.24
Instruction information:
Write actions:
Group: 0
服务器负载均衡的流表:
Flow entry 1467 information:
COOKIE: 0x0, priority: 3500, hard time: 0, idle time: 0, flags: check_overlap
|reset_counts|no_pkt_counts|no_byte_counts, byte count: --, packet count: --
Match information:
IPv4 source address: 192.169.148.24,
mask:
255.255.255.255
IPv4 destination address: 0.0.0.0, mask: 0.0.0.3
Instruction information:
Write actions:
Group: 0
解决方法
nat server inside地址不能与服务器负载的实服务器地址相同,建议现场整改。
非必要不推荐手工引流和会话引流!
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作