知

服务器负载均衡实服务组状态异常

2023-06-25 发表

0关注
0收藏 1116浏览

郭尧

郭尧七段

粉丝：3人关注：36人

组网及说明

L5030上配置了服务器负载均衡，想要实现将外网用户访问虚服务IP的流量分发给不同的实服务器，减轻服务器的业务负担。L5030旁挂在核心交换机上，现网的多台服务器在拓扑中用一台服务器体现

问题描述

现场配置完服务器负载均衡后发现实服务组状态不可用，从图中可以看出状态不可用的实服务组中可用实服务器数为0。

健康性检测中有很多探测失败的系统日志，如果实服务器NQA探测失败会导致实服务器不可用。

过程分析

1、于是根据不可用实服务组test-01进行排查，检查L5030和实服务组test-01中的两个服务器的连通性是否可达。查看实服务组状态显示两个实服务器状态均为探测失败。

[L5030]display server-farm

Server farm: test-01

Description:

Predictor: Hash address source IP

Proximity: Disabled

NAT: Enabled

SNAT pool: test02

Failed action: Keep

Active threshold: Disabled

Slow-online: Disabled

Selected server: Disabled

Busy action: Drop

Probe information:

Probe success criteria: At least 1

Probe method:

tcp-temp

Total real server: 2

Active real server: 0

Real server list:

Name State VPN-instance Address Port Weight Priority

test1 Probe-failed HLW 10.197.44.200 80 100 4

test2 Probe-failed HLW 10.197.44.201 80 100 4

ping测试发现L5030无法ping通10.197.44.200，但是可以ping通10.197.44.201。

[GZ-HXY-G160201-V07-L5000S-L-01]ping -vpn-instance HLW 10.197.44.200

Ping 10.197.44.200 (10.197.44.200): 56 data bytes, press CTRL_C to break

Request time out

--- Ping statistics for 10.197.44.200 in VPN instance HLW ---

5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss

[GZ-HXY-G160201-V07-L5000S-L-01]ping -vpn-instance HLW 10.197.44.201

Ping 10.197.44.201 (10.197.44.201): 56 data bytes, press CTRL_C to break

56 bytes from 10.197.44.201: icmp_seq=0 ttl=63 time=0.993 ms

56 bytes from 10.197.44.201: icmp_seq=1 ttl=63 time=0.865 ms

56 bytes from 10.197.44.201: icmp_seq=2 ttl=63 time=0.814 ms

56 bytes from 10.197.44.201: icmp_seq=3 ttl=63 time=0.828 ms

56 bytes from 10.197.44.201: icmp_seq=4 ttl=63 time=0.864 ms

--- Ping statistics for 10.197.44.201 in VPN instance HLW ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

2、由于现场采用的探测方式是TCP探测，所以需要排查是否是服务器端口不可达导致10.197.44.201可以ping通，但是探测失败。首先查看会话，看报文是从哪个接口上出去的，如果看不到报文数量的话需要通过session statistics enable开启会话统计功能，可以看到报文是从冗余口2出去的。

[L5030]display session table ipv4 destination-ip 10.197.44.201 verbose

Slot 1:

Initiator:

Source IP/port: 10.197.0.122/51188

Destination IP/port: 10.197.44.201/80

DS-Lite tunnel peer: -

VPN instance/VLAN ID/Inline ID: HLW/-/-

Protocol: TCP(6)

Inbound interface: InLoopBack0

Responder:

Source IP/port: 10.197.44.201/80

Destination IP/port: 10.197.0.122/51188

DS-Lite tunnel peer: -

VPN instance/VLAN ID/Inline ID: HLW/-/-

Protocol: TCP(6)

Inbound interface: Reth2

State: TCP_SYN_SENT

Application: HTTP

Rule ID: -/-/-

Rule name:

Start time: 2023-06-25 13:53:05 TTL: 2s

Initiator->Responder: 0 packets 0 bytes

Responder->Initiator: 0 packets 0 bytes

查看冗余口2的配置，可以看到Route-Aggregation1.1973的优先级高，则报文会从Route-Aggregation1.1973转发。

interface Reth2

description output-int

ip binding vpn-instance HLW

ip address 10.197.0.122 255.255.255.252

member interface Route-Aggregation1.1973 priority 100

member interface Route-Aggregation2.1973 priority 50

于是对Route-Aggregation1.1973进行抓包，发现反而和10.197.44.200之间有TCP报文交互，但是没有收到10.197.44.201的回应报文。3、由于抓包的结果比较奇怪，所以进一步对聚合口下的成员接口进行抓包。首先display link-aggregation verbose查看聚合口1中的成员接口，可以看到XGE1/1/0和XGE1/1/1为其成员接口。

Aggregate Interface: Route-Aggregation1

Aggregation Mode: Dynamic

Loadsharing Type: Shar

System ID: 0x8000, 9023-b46c-4400

Local:

Port Status Priority Oper-Key Flag

--------------------------------------------------------------------------------

XGE1/1/0 S 32768 3 {ACDEFG}

XGE1/1/1 U 32768 3 {ACG}

于是对两个接口进行抓包，发现XGE1/1/1接口上也抓取到了和实服务器10.197.44.200交互的报文。

但是根据查看的聚合口状态信息，XGE1/1/1接口是未选中状态的。那么可能就是交换机往本端未选中接口转发流量导致了该问题，将XGE1/1/1接口shutdown后ping服务器测试正常。

解决方法

1、排查交换机侧往本端未选中端口发包的原因。发现两端聚合模式不匹配，交换机上是静态聚合，L5030上的是动态聚合，将聚合模式改成一致后正常。

L5030配置

interface Route-Aggregation1

description input-int

link-aggregation mode dynamic

交换机配置

interface Bridge-Aggregation33

description GZ-HXY-G160201-V07-H5030

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 972 to 973 1972 to 1973

interface Ten-GigabitEthernet1/2/0/43

port link-mode bridge

description GZ-HXY-G160201-V07-H5030-01_PORT1

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 972 to 973 1972 to 1973

port link-aggregation group 33

interface Ten-GigabitEthernet1/2/0/44

port link-mode bridge

description GZ-HXY-G160201-V07-H5030-01_PORT2

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 972 to 973 1972 to 1973

port link-aggregation group 33

该案例对您是否有帮助：

您的评价：1

若您有关于案例的建议，请反馈：

0 个评论

该案例暂时没有网友评论

编辑评论

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 知了APP下载; 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

服务器负载均衡实服务组状态异常

组网及说明

问题描述

过程分析

解决方法

编辑评论

提出建议