服务器负载均衡业务因SLB不能正常工作的问题

发布时间:  2012-07-18 浏览次数:  186 下载次数:  0
问题描述
拓扑图

现像描述:
  1. 客户需求是内网两台服务器每台都提供TCP 8001、8003端口的服务,要求能实现负载均衡。
  2. 设备型号USG2130 、V100R005 。
  3. 故障现像:
 
配置如下
slb
rserver 1 rip 192.1.1.200 weight 32 healthchk
rserver 2 rip 192.1.1.203 weight 32 healthchk
group diy8001
metric srchash
addrserver 1
addrserver 2
group diy8013
metric srchash
addrserver 1
addrserver 2
vserver diy8001 vip 58.63.225.51 group diy8001 tcp vport 8001 rport 8001
vserver diy8013 vip 58.63.225.51 group diy8013 tcp vport 8013 rport 8013
 
出现的问题现象:
1.     外网访问:http://58.63.225.51:8001,可以正常访问到我指定的8001的网站;
2.     外网访问:http://58.63.225.51:8013,出现问题,访问到非我指定的8013的网站,而是8001网站;
3.     删除掉配置项: vserver diy8001 vip 58.63.225.51 group diy8001 tcp vport 8001 rport 8001, 再次外网访问:http://58.63.225.51:8013,出现问题,访问到非我指定的8013的网站,而还是8001网站;
告警信息
处理过程
1.只配置一个虚拟IP对应一个组,不配置端口对应
2.在域间用策略只开放对外服务的相应端口,其它端口拒绝
配置如下
slb
  rserver 1 rip 192.1.1.200 weight 32 healthchk
  rserver 2 rip 192.1.1.203 weight 32 healthchk
group diy8001
  metric srchash
  addrserver 1
  addrserver 2

vserver diy8001 vip 58.63.225.51 group diy8001 tcp

定义端口集
ip service-set ccc type object
 service 0 protocol tcp destination-port 8001
 service 1 protocol tcp destination-port 8013
创建域间规则
[USG2100-policy-interzone-trust-untrust-inbound]
policy interzone trust untrust inbound
 policy 0
  action permit
  policy service service-set ccc
  policy destination 192.168.1.1.200 0

 policy 1
  action permit
  policy service service-set ccc
  policy destination 192.168.1.203 0
policy 2
action deny
根因
目前我们的版本不支持一个虚拟IP对应多个组,即以下命令输了后只生效第一条
vserver diy8001 vip 58.63.225.51 group diy8001 tcp vport 8001 rport 8001
vserver diy8013 vip 58.63.225.51 group diy8013 tcp vport 8013 rport 8013
建议与总结
因目前的所有版本包括V100R005版本系列都不支持一个虚拟IP对应多个组,只能用全映射的方式后再用域间策略开放相应的端口这种方式来加强安全性,所以这种方式要求客户有多用一个公网IP.

END