SecPath F1005启用出链路负载均衡后,私网侧两个网段不能互通
- 0关注
- 1收藏,1158浏览
问题描述:
SecPath 1005防火墙公网侧接 一条PPPoE链路,两条数据专线,分别接入F1005 GE1/0/8、GE1/0/10、GE1/0/11口。私网侧连接172.30.0.0/16、172.31.0.0/16两个子网,按照负载均衡典型配置以后,从172.31.0.0网段ping/ssh无法连接 172.30.0.0网段主机。172.31.0.0网段上网正常。
# (1) 创建ICMP类型的NQA模板t1
# (1.1) 创建固定IP的ICMP模板
nqa template icmp egress-lb-internet-1
reaction trigger per-probe
quit
组网及组网描述:
一条PPPoE链路,两条数据专线,分别接入F1005 GE1/0/8、GE1/0/10、GE1/0/11口。GE1/0/0口接172.30.0.0/24网段交换机, GE1/0/1口接172.31.0.0/24网段交换机,PPPoE接口为Dia1。
出链路负载均衡前采用路由分担转发模式,偶现Web页面需要多次刷新才能显示图片问题。
[H3C]dis ip routing-tableDestination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 60 0 0.0.0.0 Dia1 # PPPoE
0.0.0.0/0 Static 60 0 182.1xx.xxx.xxx GE1/0/10 # 专线1
0.0.0.0/0 Static 60 0 223.8x.xxx.xxx GE1/0/11 # 专线2
172.30.0.0/24 Static 60 0 172.30.xxx.xxx GE1/0/0 # 私网内部转发
172.31.0.0/16 Static 60 0 172.31.xxx.xxx GE1/0/1 # 私网内部转发
- 2022-04-24提问
- 举报
-
(0)
最佳答案
目前有个怀疑方向:在此之后,发现移动专线被封了。咨询移动,对方表示曾经检测到环路,所以封闭端口。但是目前并没有想明白环路形成原因。
- 2022-04-24回答
- 评论(8)
- 举报
-
(0)
组网拓扑有吗,环路在fw有没有日志,tc变化接口哪个
我比较小白,并且隔日才发现专线被移动封端口。使用dis logbuffer日志没有看到环路信息。网络结构很简单:防火墙在内网测接两个核心交换机,分别.30和.31网段。两个交换机各自下联接入交换机。两个核心交换机已经开启生成树协议,接入交换机开启环路检测功能。此前已正常运行数月。
网络架构不知道的话,不好排查
我在其他答案中曾看到,开启出链路负载均衡,需要把原来的默认静态路由删除,目前我仍然保留这几个路由。这个会不会和负载均衡冲突引起环路呀?
跟这个关系应该不大,你这两个网段是私网地址,互相访问跟外网没关系,在配置负载均衡之前可以互相访问吗
可以的,配置负载均衡前一切正常。配置完成当时发现:私网两个网段不能互访。隔一天发现移动指出我们曾经有环路(但是不确定是否配置负载均衡引起)。
https://zhiliao.h3c.com/Theme/details/97578
简单回顾一下问题。 第一次配置负载均衡时,按照指导手册的典型配置照搬,没有制作类、动作、策略。可以把虚服务的VSIP理解为默认负载均衡策略。按照典型配置 VSIP设置为0.0.0.0 0 时,匹配所有流量,都转发给LB对外发送。这实际上造成了三个问题: 1. 内网A发给内网B的流量被转出内网 2. 内网B发给内网A的流量被转出内网 3. 外网发入的流量被发回(造成环路) 解决方案: 1. 添加四个负载均衡类 - 内网A至内网B - 内网B至内网A - 任意网址至内网(acl类) - 其它单独路由的流量(acl类) 2、指定动作forwar all 3、指定策略,上述所有类都应用forward all 动作 4、在虚服务中启用上述策略
找个时间临时把负载均衡服务关一下看看能不能互访。
你的负载均衡类、动作、策略都没写,然后虚服务器的缺省动作是把流量在三条线上负载均衡。
建议增加一条策略,匹配172.30.0.0/24到172.31.0.0/16以及172.31.0.0/16到172.30.0.0/24的流量,动作是直接转发。在虚服务器下调用该策略。
- 2022-04-24回答
- 评论(7)
- 举报
-
(0)
forward all就是直接转发不查负载均衡,你可以查官网配置手册。而且那个类最好用acl去匹配,里面两条,30到31和31到30各一条。
我在其他答案中曾看到,开启出链路负载均衡,需要把原来的默认静态路由删除,目前我仍然保留这几个路由。这几条静态路由需要删除吗?
原来的这几条 0.0.0.0/0 Static 60 0 0.0.0.0 Dia1 x.x.x.x GE1/0/10 x.x.x.x GE1/0/11
172.30.0.0/24到172.31.0.0/16以及172.31.0.0/16到172.30.0.0/24的明细路由不要删。
你先试一下我上面说的方法。我觉得最后可能你要大改,缺省动作改成直接转发然后匹配负载均衡类源地址是你内网地址的流量在链路组上负载均衡,还要排除31和30段互访的流量。 我怀疑你那个环路是三层路由环路,从公网来的报文匹配了你的负载均衡从链路组上发回去了,然后又走公网路由传回来,然后又负载均衡发回去。。。。。。
正在学习你的思路,有个疑问,你说的增加一条策略是负载均衡策略吗? 我的做法: > [H3C]loadbalance class intranet-office-to-svrs type link-generic match-all > [H3C-lbc-link-generic-intranet-office-to-svrs]match destination ip address 172.30.0.0 16 > [H3C-lbc-link-generic-intranet-office-to-svrs]match source ip address 172.31.0.0 16 > [H3C-lbc-link-generic-intranet-office-to-svrs]quit > [H3C]loadbalance class intranet-svrs-to-office type link-generic match-all > [H3C-lbc-link-generic-intranet-svrs-to-office]match destination ip address 172.31.0.0 16 > [H3C-lbc-link-generic-intranet-svrs-to-office]match source ip address 172.30.0.0 16 > [H3C-lbc-link-generic-intranet-svrs-to-office]quit > [H3C]loadbalance action intranet-direct-forward type link-generic > [H3C-lba-link-generic-intranet-direct-forward]forward all //// 这里似乎不对吧,这个Action好像是让负载均衡转发到外网的意思呢
forward all就是直接转发不查负载均衡,你可以查官网配置手册。而且那个类最好用acl去匹配,里面两条,30到31和31到30各一条。
私网不通,看下策略是否放通,路由是否正确
- 2022-04-24回答
- 评论(1)
- 举报
-
(0)
本来私网是通的,配置负载均衡时未新增、改变策略。
本来私网是通的,配置负载均衡时未新增、改变策略。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
简单回顾一下问题。 第一次配置负载均衡时,按照指导手册的典型配置照搬,没有制作类、动作、策略。可以把虚服务的VSIP理解为默认负载均衡策略。按照典型配置 VSIP设置为0.0.0.0 0 时,匹配所有流量,都转发给LB对外发送。这实际上造成了三个问题: 1. 内网A发给内网B的流量被转出内网 2. 内网B发给内网A的流量被转出内网 3. 外网发入的流量被发回(造成环路) 解决方案: 1. 添加四个负载均衡类 - 内网A至内网B - 内网B至内网A - 任意网址至内网(acl类) - 其它单独路由的流量(acl类) 2、指定动作forwar all 3、指定策略,上述所有类都应用forward all 动作 4、在虚服务中启用上述策略