某局点使用我司防火墙做出方向链路负载均衡后,无法正常打开网页,但是能正常PING通外网DNS。
现场有两条出公网线路,主出口为联通线路,当链路线路带宽被使用超过80%后,启用备链路电信出口。
首先是否确实是负载均衡策略导致网页打不开,先将负载均衡策略中的默认动作改为转发。
loadbalance action 123 type link-generic
forward all
loadbalance policy ##defaultpolicyforllbipv4##%%autocreatedbyweb%% type link-generic
default-class action 123
此时发现网页能正常打开,我们怀疑是负载均衡策略存在问题。使用内网中一台IP地址为192.168.7.250的终端尝试打开百度,并在防火墙上开启会话记录功能,收集会话。
[H3C]dis session table ipv4 source-ip 192.168.7.250 verbose
Slot 1:
Initiator:
Source IP/port: 192.168.7.250/1
Destination IP/port: 114.114.114.114/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/10
Source security zone: Trust
Responder:
Source IP/port: 222.134.78.113/27238
Destination IP/port: 222.134.78.115/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/11
Source security zone: Untrust
State: ICMP_REPLY
Application: ICMP
Start time: 2018-03-13 17:04:22 TTL: 29s
Initiator->Responder: 3 packets 180 bytes
Responder->Initiator: 3 packets 180 bytes
Initiator:
Source IP/port: 192.168.7.250/64647
Destination IP/port: 114.114.114.114/53
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: GigabitEthernet1/0/10
Source security zone: Trust
Responder:
Source IP/port: 222.134.78.113/53
Destination IP/port: 222.134.78.115/37065
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: GigabitEthernet1/0/11
Source security zone: Untrust
State: UDP_OPEN
Application: DNS
Start time: 2018-03-13 17:04:00 TTL: 12s
Initiator->Responder: 5 packets 315 bytes
Responder->Initiator: 0 packets 0 bytes
通话会话发现打开百度网站时,并没有从公网回来到设备的流量,此刻我们怀疑NAT存在问题。
检查NAT配置
loadbalance link-group 电信
predictor bandwidth
fail-action reschedule
proximity enable
selected-link min 1 max 1
probe icmp
success-criteria at-least 1
#
loadbalance link-group 联通
predictor bandwidth
fail-action reschedule
proximity enable
selected-link min 1 max 1
probe icmp
success-criteria at-least 1
loadbalance link dianxian
router ip 111.11.11.1
link-group 电信
success-criteria at-least 1
probe icmp
#
loadbalance link liantong
router ip 222.22.22.2
link-group 联通
priority 6
bandwidth busy-rate 80 recovery 70
我们发现在link-group组没有关闭nat 功能。
在link-group组内关闭NAT功能transparent enable问题解决。
缺省情况下,链路组内的NAT功能是开启的,通常在出方向链路负载均衡链路组中关闭NAT功能。
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
我今天遇到了 但是不是这个问题..