S77/97系列交换机SPU板负载均衡二层组网环境下的超网路由问题

发布时间:  2015-04-13 浏览次数:  413 下载次数:  0
问题描述
 

在接入场景(2)下,从S5700堆叠系统所在分区的用户访问S7712下的应用服务时,需要将访问流量转发至S7712,并通过S7712二层引流方式将流量引导到SPU板上,进行DNAT转换后,访问应用服务。通过在四台S5700上配置静态路由方式引导用户访问应用VIP的流量至S7712失败,流量直接在四台S5700堆叠系统上被丢弃。

处理过程

1、在四台S5700堆叠系统接入分区下的用户,通过ping和telnet应用端口的方式进行连通性测试,发现访问应用VIP不通

2、通过tracert发现流量在四台S5700堆叠系统上停止,在S7712上镜像端口,定位出流量在S5700堆叠系统处被丢弃。

3、通过display ip routing-table和display fib查看发现没有生成静态路由表项。

根因
主要问题在于四台S5700堆叠系统上的流量引导,采用静态路由的方式处理。对于二层网络,静态路由的前缀和下一跳在同一网段。根据VRP平台的超网路由机制,将全部用直连路由指导转发,而不会生成新的路由表项和FIB表项,流量将根据ARP表项转发。由于SPU板不会广播VIP的ARP,因此在四台S5700堆叠系统上将无法产生应用服务VIP的ARP表项,同时在超网路由机制的作用下,用户访问应用VIP的流量将直接在S5700堆叠系统上丢弃。
解决方案

如上图:用三台S5710搭建验证环境,版本统一采用V200R002C00SPC100。一台S7712汇聚交换机,SPU板采用负载均衡模式,下挂业务的VIP为202.84.17.88,根据实际场景需求,SPU板的负载均衡方式为DNAT,回程流量通过策略路由引流至SPU板进行SNAT。
由于SPU的VIP并不产生ARP应答,因此无法在S5710-1设备上产生ARP表项,同时由于同一网段内的静态路由也无法生成,最终导致访问202.84.17.88业务VIP的流量在S5710-1处被丢弃,根据故障分析情况,初步提出解决方案如下:
(1)采用策略路由匹配访问服务VIP为202.84.17.88的流量重定向下一跳至202.84.17.19。该解决方案需要在S5710-1的所有用户VLAN的入方向加载。
(2)采用静态ARP绑定方式解决,在S5710-1上通过ARP static手动绑定VLANIF202的MAC地址和202.84.17.88。
验证结果
以上两种解决方案均能将访问202.84.17.88的流量转发至202.84.17.19,但方案(1)有场景特殊需求,在四台堆叠交换机为用户侧业务网关的情况下,将导致部分丢包,对于应用而言造成不可用的风险较高。方案(2)引流及流量转发正常。最终解决方案应采用静态ARP绑定的方式解决。

END