业务本身正常吗

部分IP无法访问的问题，核心原因通常在于负载均衡器对不同源IP实施了差异化的处理策略。能ping通说明网络路径通常没有问题，问题很可能出在应用层的访问控制或策略配置上。

一、访问控制策略

这是最常见的原因，负载均衡器可能配置了ACL，拦截了部分IP。

1. 检查策略配置：确认负载均衡器上是否配置了黑白名单。

   • 黑名单：检查不能访问的IP是否在黑名单中。

   • 白名单：如果配置了白名单，需要检查该IP是否在白名单内。

2. 验证连接数限制：检查是否对部分IP设置了连接数限制，导致被限。

 二、负载均衡算法与会话保持

• 负载均衡算法：如果使用基于源IP的哈希（source IP hash）算法，部分IP可能会被固定哈希到某台特定的后端服务器。此时应检查这台服务器是否健康或服务是否正常。

• 会话保持：开启后，来自同一源IP的请求会持续发往同一台后端服务器。问题排查可参考上一点。

 三、健康检查配置

• 健康检查失败：如果某台后端服务器的健康检查失败，负载均衡器不会向其转发流量。此时应确认问题IP是否被负载到了不健康的服务器上。

• 健康检查源IP：需确认负载均衡器的健康检查源IP是否被后端服务器的防火墙（安全组）允许访问。

 四、后端服务器自身配置

后端服务器自身的配置也可能导致问题。

1. 防火墙与安全组规则：后端服务器的防火墙或云平台安全组可能拦截了来自部分IP的请求。需检查入站规则是否放行了问题源IP。

2. 服务监听地址：后端服务可能只监听在127.0.0.1，未监听公网或内网IP。

3. 连接数或性能瓶颈：后端服务器可能达到了连接数上限，或CPU、内存等性能达到瓶颈，无法处理新的请求。

 五、网络层问题

网络层面的问题虽然较少见，但也可以排查一下。

• MTU/路径MTU发现问题 (PMTUD)：当数据包较大时，不同路径的MTU差异可能导致部分IP访问失败。

• NAT与源地址转换：负载均衡器与后端服务器之间的网络设备可能对某些源IP的NAT转换存在异常。

• 运营商或中间网络限制：特定运营商或中间网络节点可能对某些协议或端口进行了限制。

核心结论

一、最常见原因：服务器网关没走负载均衡，回包被路由丢了（单向不通）

现象完全吻合：

• 某些网段能通：来回都走 LB
• 某些网段 ping 通、业务不通：去包走 LB，回包直接走服务器网关 / 路由，不走 LB
• 四层负载均衡（特别是 DR 模式、NAT 模式）对回包路径极其敏感

怎么确认

1. 抓包：服务器上能收到请求，但不回包 / 回包走别的出口
2. 不同客户端网段表现不一样 → 典型路由不对称

解决

• 服务器网关必须指向负载均衡（或策略路由）
• 禁止回包走其他出口（多网卡、多网关必出这问题）

二、第二常见：LB 上开了「源 IP 会话保持 / 端口限制」，部分网段被限制

• 按源 IP 哈希
• 单 IP 最大连接数限制
• 新建连接速率限制（CPS 限制）
• 部分网段被误加入 黑名单 / 限流

表现

• 换个 IP 立刻好
• 同一网段内部分机器不行，部分行

解决

• 关闭连接限制 / 放宽限制
• 清空会话：reset lb session
• 关闭源 IP 亲和性测试

三、第三常见：LB 上做了 ACL / 安全策略，只放通部分网段

• 虚拟服务（VS）只允许某些网段访问
• 安全域、zone 策略拦截
• 负载均衡上开了 DDOS 防护、 syn-COOKIE、 攻击防护

四、第四常见：MTU 问题，部分网段分片被拦截

• ping 包小 → 通
• 业务包大 → 被防火墙 / 路由分片丢弃
• 不同网段 MTU 不一致就会出现 “一部分行一部分不行”

测试

五、第五常见：四层 LB 老化时间不合理，部分网段建连失败

• tcp 超时时间太短
• syn 攻击保护开启
• 部分网段网络延迟高 → 建连失败

六、最快定位方法（你照着做 2 分钟出结果）

1. 在负载均衡上 清空会话
2. 把 会话保持关闭
3. 把 服务器网关强制指向 LB
4. 关闭 限流、连接数限制、安全策略、防攻击
5. 再测试

七、你这场景的标准答案总结