iT邦幫忙

0

LB路由配置問題

  • 分享至 

  • xImage

前輩好

目前架構是 客戶端會從防火牆 去連接LB然後連到後端伺服器上

LB網段跟後端伺服器網段 都是獨立網段 並且gateway都切在 core switch上 路由直接在core 做交換 並且core switch設定一筆default route網防火牆走

目前我自己的疑問是 因為後端伺服器的gateway是設定在機器自己本身
所以當回程的路由 他不會經過LB 直接返回給客戶端 然後透過default route 往防火牆走 因為防火牆上會有狀態檢測 如果去回不同路 封包可能就會被阻擋 這樣的架構下 是否會有去回不同路的問題呢?

OLLB 的返回條件是可以設定的,就算有多層VLAN也是做的到,他是一種多層封包的機制,經過一各裝置就打包一次,把來源跟目標都寫好,就可以原路返回,但是要看你的LB設備有沒有支援,你不能拿只能做 ILLB 去做
OLLB的設定,因為這兩種是不一樣的,請先確認設備支援哪一種LB
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0

你的LB<<<我猜是LoadBalance 這個詞
如果他是和 Server IP,Code Switch,LB Gateway 都是同網段
不會有影響才對

0
傑克
iT邦新手 5 級 ‧ 2024-08-05 15:25:29

若您問的是 SLB(Server Load Balance)環境中的路由問題,與您討論如下:

  1. 因為 SLB 的架構有多種,可能有更詳細點的資料比較可以有效地討論。
  2. 基本上要注意的事情有:
    • Virutal IP(在 SLB 設備上提供服務的 IP)與 Server IP 之間的變化
    • Server 的回應一定要經過 SLB 設備,不然相關聯設備(client、sever、slb)的 session 可能會有問題
    • inline 架構 Server 回應必會經過 SLB 設備,不用設定 proxy IP(client NAT)
    • one arm 架構 Server 回應可能不會經過 SLB 設備,需要設定 proxy IP(client NAT)
0
bluegrass
iT邦高手 1 級 ‧ 2024-08-05 17:39:55

只是單純IP層面的話,

有狀態檢測, 如果去回不同路 封包是會被阻擋, 這個名稱是Asymmetric route

如果所有gateway是設在CORE, 而CORE到防火牆是另一組獨立SUBNET, 是沒問題的.

旦如果GATEWAY, SERVER, 防火牆都是同一組獨立SUBNET, 就是Asymmetric route

比如:

Firewall 192.168.1.1 -> 192.168.1.254/24 <- Core -> 10.0.0.1/24 <-> 10.0.0.254 Server

SERVER GATEWAY是10.0.0.1

這樣就沒問題

!!!

Firewall 10.0.0.1/24 <- Core -> 10.0.0.2 <-> 10.0.0.254 Server

SERVER GATEWAY是10.0.0.2

這樣上網就很大問題

SERVER GATEWAY是10.0.0.1

你到內部其他SUBNET就很大問題

看更多先前的回應...收起先前的回應...
gongc9433 iT邦新手 2 級 ‧ 2024-08-05 20:52:50 檢舉

感謝說明 目前規劃比較偏向這樣
"所有gateway是設在CORE, 而CORE到防火牆是另一組獨立SUBNET", 是沒問題的 不過請問 這是根據甚麼原理?

傑克 iT邦新手 5 級 ‧ 2024-08-05 22:07:02 檢舉

gongc9433 弄清楚路由怎麼跑就可以知道是怎麼一回事了。
Gateway 跟預設路由基本上是一回事。
Server 的預設路由指到 Core 上面,當要上網的時候一定是往不同網段進行連線,這時就會先丟到 Core 請它轉發;而 Core 的預設路由指到 FW 上,這時上網的連線就會往 Core 與 FW 網段送,交給 FW 轉發處理。
其實 bluegrass 提到的第二個情境,若 Core(10.0.0.2)的預設路由可以設定並指向 FW(10.0.0.1),這樣也是可以讓 Server 正常上網的。
然後,很好奇 LB 指的是什麼設備,這樣其他人也比較能夠協助釐清問題需求。

bluegrass iT邦高手 1 級 ‧ 2024-08-06 09:03:40 檢舉

"若 Core(10.0.0.2)的預設路由可以設定並指向 FW(10.0.0.1)
這樣也是可以讓 Server 正常上網的"

不. 你能上只是剛好CORE就是負責LAYER 2 + 3的設備
在網路設計上嚴格來說這是不合格的.

bluegrass iT邦高手 1 級 ‧ 2024-08-06 09:05:02 檢舉

LB 指的應該是 Load Balancer

傑克 iT邦新手 5 級 ‧ 2024-08-06 13:17:57 檢舉

bluegrass
目前的討論中,因為我跟同業討論使用 Core 一詞大多指的是 Core Switch,而討論中又提到路由可在該設備身上,所以我認為一直都有暗暗呈現該設備應該是 Layer2 + Layer3 的設備。
雖然網路設計上基本上是不鼓勵這樣規劃,但我想實務上應該滿多小型企業網路架構會這樣處理。例如:小型企業網路架構可能會有主備兩條線路,備援線路基本上只在主線路有問題時才進行切換,這時為方便維持企業內網路使用者不改變網路組態的情況下切換線路上網,可以讓使用者電腦的 Gateway 指到 Core Switch,這樣就只要修改 Core Switch 的 Default Gateway 而不必一台一台改或者等 DHCP client 重新獲取網路組態。

傑克 iT邦新手 5 級 ‧ 2024-08-06 13:41:45 檢舉

gongc9433
若 LB 真的指的是伺服器負載平衡設備(SLB,Server Load Balance),然後考慮到目前有的環境資訊,您要考慮的應該不是Asymmetric Route 造成防火牆連線狀態追蹤後丟棄連線封包的問題。
看起來您會需要確認是否有 DSR(Direct Server Return)的情況發生,導致用戶端直接收到 Server 回應丟棄封包(因為用戶端一開始連線目的地是 LB 設備上的 IP,並非直接連到 Server)。

我要發表回答

立即登入回答