前輩好
目前架構是 客戶端會從防火牆 去連接LB然後連到後端伺服器上
LB網段跟後端伺服器網段 都是獨立網段 並且gateway都切在 core switch上 路由直接在core 做交換 並且core switch設定一筆default route網防火牆走
目前我自己的疑問是 因為後端伺服器的gateway是設定在機器自己本身
所以當回程的路由 他不會經過LB 直接返回給客戶端 然後透過default route 往防火牆走 因為防火牆上會有狀態檢測 如果去回不同路 封包可能就會被阻擋 這樣的架構下 是否會有去回不同路的問題呢?
你的LB<<<我猜是LoadBalance 這個詞
如果他是和 Server IP,Code Switch,LB Gateway 都是同網段
不會有影響才對
若您問的是 SLB(Server Load Balance)環境中的路由問題,與您討論如下:
只是單純IP層面的話,
有狀態檢測, 如果去回不同路 封包是會被阻擋, 這個名稱是Asymmetric route
如果所有gateway是設在CORE, 而CORE到防火牆是另一組獨立SUBNET, 是沒問題的.
旦如果GATEWAY, SERVER, 防火牆都是同一組獨立SUBNET, 就是Asymmetric route
比如:
Firewall 192.168.1.1 -> 192.168.1.254/24 <- Core -> 10.0.0.1/24 <-> 10.0.0.254 Server
SERVER GATEWAY是10.0.0.1
這樣就沒問題
!!!
Firewall 10.0.0.1/24 <- Core -> 10.0.0.2 <-> 10.0.0.254 Server
SERVER GATEWAY是10.0.0.2
這樣上網就很大問題
SERVER GATEWAY是10.0.0.1
你到內部其他SUBNET就很大問題
感謝說明 目前規劃比較偏向這樣
"所有gateway是設在CORE, 而CORE到防火牆是另一組獨立SUBNET", 是沒問題的 不過請問 這是根據甚麼原理?
gongc9433 弄清楚路由怎麼跑就可以知道是怎麼一回事了。
Gateway 跟預設路由基本上是一回事。
Server 的預設路由指到 Core 上面,當要上網的時候一定是往不同網段進行連線,這時就會先丟到 Core 請它轉發;而 Core 的預設路由指到 FW 上,這時上網的連線就會往 Core 與 FW 網段送,交給 FW 轉發處理。
其實 bluegrass 提到的第二個情境,若 Core(10.0.0.2)的預設路由可以設定並指向 FW(10.0.0.1),這樣也是可以讓 Server 正常上網的。
然後,很好奇 LB 指的是什麼設備,這樣其他人也比較能夠協助釐清問題需求。
"若 Core(10.0.0.2)的預設路由可以設定並指向 FW(10.0.0.1)
這樣也是可以讓 Server 正常上網的"
不. 你能上只是剛好CORE就是負責LAYER 2 + 3的設備
在網路設計上嚴格來說這是不合格的.
LB 指的應該是 Load Balancer
bluegrass
目前的討論中,因為我跟同業討論使用 Core 一詞大多指的是 Core Switch,而討論中又提到路由可在該設備身上,所以我認為一直都有暗暗呈現該設備應該是 Layer2 + Layer3 的設備。
雖然網路設計上基本上是不鼓勵這樣規劃,但我想實務上應該滿多小型企業網路架構會這樣處理。例如:小型企業網路架構可能會有主備兩條線路,備援線路基本上只在主線路有問題時才進行切換,這時為方便維持企業內網路使用者不改變網路組態的情況下切換線路上網,可以讓使用者電腦的 Gateway 指到 Core Switch,這樣就只要修改 Core Switch 的 Default Gateway 而不必一台一台改或者等 DHCP client 重新獲取網路組態。
gongc9433
若 LB 真的指的是伺服器負載平衡設備(SLB,Server Load Balance),然後考慮到目前有的環境資訊,您要考慮的應該不是Asymmetric Route 造成防火牆連線狀態追蹤後丟棄連線封包的問題。
看起來您會需要確認是否有 DSR(Direct Server Return)的情況發生,導致用戶端直接收到 Server 回應丟棄封包(因為用戶端一開始連線目的地是 LB 設備上的 IP,並非直接連到 Server)。