问

SecPath F1005启用出链路负载均衡后，私网侧两个网段不能互通

2022-04-24提问

0关注
1收藏，857浏览

网工小菜

网工小菜零段

粉丝：0人关注：0人

问题描述：

SecPath 1005防火墙公网侧接一条PPPoE链路，两条数据专线，分别接入F1005 GE1/0/8、GE1/0/10、GE1/0/11口。私网侧连接172.30.0.0/16、172.31.0.0/16两个子网，按照负载均衡典型配置以后，从172.31.0.0网段ping/ssh无法连接 172.30.0.0网段主机。172.31.0.0网段上网正常。

# (1) 创建ICMP类型的NQA模板t1

# (1.1) 创建固定IP的ICMP模板

nqa template icmp egress-lb-internet-1

reaction trigger per-probe quit

# 创建PPPoE拨号的ICMP模板

nqa template icmp egress-lb-pppoe-1

destination ip 100.64.0.1

quit

# (2) 配置链路组

loadbalance proximity

match default probe imcp-egress-lb-tpl1

rtt weight 200

quit

# (2.2) 创建链路组 egress-internet-1 ，并开启就近性功能。

loadbalance link-group egress-internet-1

proximity enable

# 关闭NAT功能。

transparent enable

quit

# (3) 配置链路

loadbalance link cmcc-500m-static-eth # 移动专线

router ip 223.8x.xxx.xxx

link-group egress-internet-1

quit

loadbalance link ct-100m-static-eth # 电信100M专线

router ip 182.1xx.xxx.xxx

link-group egress-internet-1

quit

loadbalance link ct-1000m-pppoe-xepon # 电信1G商宽

router ip 100.xx.xxx.xxx

link-group egress-internet-1

quit

# (4) 配置负载均衡类-未配置

# (5) 配置负载均衡动作-未配置

# (6) 配置负载均衡策略-未配置

# (7) 配置虚拟服务器

virtual-server lb-egress-virsrvr type link-ip

virtual ip address 0.0.0.0 0

default link-group egress-internet-1

service enable # 启动服务器

quit

组网及组网描述：

一条PPPoE链路，两条数据专线，分别接入F1005 GE1/0/8、GE1/0/10、GE1/0/11口。GE1/0/0口接172.30.0.0/24网段交换机， GE1/0/1口接172.31.0.0/24网段交换机，PPPoE接口为Dia1。

出链路负载均衡前采用路由分担转发模式，偶现Web页面需要多次刷新才能显示图片问题。

[H3C]dis ip routing-table

Destination/Mask Proto Pre Cost NextHop Interface

0.0.0.0/0 Static 60 0 0.0.0.0 Dia1 # PPPoE

0.0.0.0/0 Static 60 0 182.1xx.xxx.xxx GE1/0/10 # 专线1

0.0.0.0/0 Static 60 0 223.8x.xxx.xxx GE1/0/11 # 专线2

172.30.0.0/24 Static 60 0 172.30.xxx.xxx GE1/0/0 # 私网内部转发

172.31.0.0/16 Static 60 0 172.31.xxx.xxx GE1/0/1 # 私网内部转发

[H3C]ip load-sharing mode per-flow src-ip dest-ip global # 配置为全局按源、目标地址逐流分担转

配置出链路负载均衡后，以上路由配置保持不变。

最佳答案

网工小菜

网工小菜知了小白

粉丝：0人关注：0人

目前有个怀疑方向：在此之后，发现移动专线被封了。咨询移动，对方表示曾经检测到环路，所以封闭端口。但是目前并没有想明白环路形成原因。

组网拓扑有吗，环路在fw有没有日志，tc变化接口哪个

zhiliao_W3HE9P 发表时间：2022-04-24

我比较小白，并且隔日才发现专线被移动封端口。使用dis logbuffer日志没有看到环路信息。网络结构很简单：防火墙在内网测接两个核心交换机，分别.30和.31网段。两个交换机各自下联接入交换机。两个核心交换机已经开启生成树协议，接入交换机开启环路检测功能。此前已正常运行数月。

网工小菜发表时间：2022-04-24

网络架构不知道的话，不好排查

zhiliao_W3HE9P 发表时间：2022-04-24

我在其他答案中曾看到，开启出链路负载均衡，需要把原来的默认静态路由删除，目前我仍然保留这几个路由。这个会不会和负载均衡冲突引起环路呀？

网工小菜发表时间：2022-04-24

跟这个关系应该不大，你这两个网段是私网地址，互相访问跟外网没关系，在配置负载均衡之前可以互相访问吗

zhiliao_W3HE9P 发表时间：2022-04-24

可以的，配置负载均衡前一切正常。配置完成当时发现：私网两个网段不能互访。隔一天发现移动指出我们曾经有环路（但是不确定是否配置负载均衡引起）。

网工小菜发表时间：2022-04-24

https://zhiliao.h3c.com/Theme/details/97578

zhiliao_W3HE9P 发表时间：2022-04-25

简单回顾一下问题。第一次配置负载均衡时，按照指导手册的典型配置照搬，没有制作类、动作、策略。可以把虚服务的VSIP理解为默认负载均衡策略。按照典型配置 VSIP设置为0.0.0.0 0 时，匹配所有流量，都转发给LB对外发送。这实际上造成了三个问题： 1. 内网A发给内网B的流量被转出内网 2. 内网B发给内网A的流量被转出内网 3. 外网发入的流量被发回（造成环路）解决方案： 1. 添加四个负载均衡类 - 内网A至内网B - 内网B至内网A - 任意网址至内网（acl类) - 其它单独路由的流量（acl类） 2、指定动作forwar all 3、指定策略，上述所有类都应用forward all 动作 4、在虚服务中启用上述策略

网工小菜发表时间：2022-04-25

2 个回答

按时间按赞数

已采纳

奇怪的流量

奇怪的流量九段

粉丝：25人关注：7人

找个时间临时把负载均衡服务关一下看看能不能互访。

你的负载均衡类、动作、策略都没写，然后虚服务器的缺省动作是把流量在三条线上负载均衡。

建议增加一条策略，匹配172.30.0.0/24到172.31.0.0/16以及172.31.0.0/16到172.30.0.0/24的流量，动作是直接转发。在虚服务器下调用该策略。

我在其他答案中曾看到，开启出链路负载均衡，需要把原来的默认静态路由删除，目前我仍然保留这几个路由。这几条静态路由需要删除吗？

网工小菜发表时间：2022-04-24

原来的这几条 0.0.0.0/0 Static 60 0 0.0.0.0 Dia1 x.x.x.x GE1/0/10 x.x.x.x GE1/0/11

网工小菜发表时间：2022-04-24

回复网工小菜:

你要是不需要设备自身访问公网的话，是可以把缺省路由删了，个人不建议，这个可能影响你从远端发起的访问。

奇怪的流量发表时间：2022-04-24

回复网工小菜:

172.30.0.0/24到172.31.0.0/16以及172.31.0.0/16到172.30.0.0/24的明细路由不要删。

奇怪的流量发表时间：2022-04-24

回复网工小菜:

你先试一下我上面说的方法。我觉得最后可能你要大改，缺省动作改成直接转发然后匹配负载均衡类源地址是你内网地址的流量在链路组上负载均衡，还要排除31和30段互访的流量。我怀疑你那个环路是三层路由环路，从公网来的报文匹配了你的负载均衡从链路组上发回去了，然后又走公网路由传回来，然后又负载均衡发回去。。。。。。

奇怪的流量发表时间：2022-04-24

正在学习你的思路，有个疑问，你说的增加一条策略是负载均衡策略吗？我的做法： > [H3C]loadbalance class intranet-office-to-svrs type link-generic match-all > [H3C-lbc-link-generic-intranet-office-to-svrs]match destination ip address 172.30.0.0 16 > [H3C-lbc-link-generic-intranet-office-to-svrs]match source ip address 172.31.0.0 16 > [H3C-lbc-link-generic-intranet-office-to-svrs]quit > [H3C]loadbalance class intranet-svrs-to-office type link-generic match-all > [H3C-lbc-link-generic-intranet-svrs-to-office]match destination ip address 172.31.0.0 16 > [H3C-lbc-link-generic-intranet-svrs-to-office]match source ip address 172.30.0.0 16 > [H3C-lbc-link-generic-intranet-svrs-to-office]quit > [H3C]loadbalance action intranet-direct-forward type link-generic > [H3C-lba-link-generic-intranet-direct-forward]forward all //// 这里似乎不对吧，这个Action好像是让负载均衡转发到外网的意思呢

网工小菜发表时间：2022-04-24

回复网工小菜:

forward all就是直接转发不查负载均衡，你可以查官网配置手册。而且那个类最好用acl去匹配，里面两条，30到31和31到30各一条。

奇怪的流量发表时间：2022-04-24