炸金花平台技术论坛

 找回密码
 立即注册

关注我们 扫描二维码关注迪普官方微信  迪普官网

最新动态 新闻动态  安全研究 最佳实践  加入迪普

DP 自安全园区网解决方案 DP 自安全分支机构解决方案 DP 自安全物联感知网解决方案

查看: 322|回复: 0
打印 上一主题 下一主题

某运营商替换友商负载(集群部署)部分压测失败经验案例

[复制链接]

27

主题

35

帖子

1569

积分

版主

Rank: 7Rank: 7Rank: 7

积分
1569
跳转到指定楼层
楼主
发表于 2019-7-2 15:20:04 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 Graves-J 于 2019-7-8 09:52 编辑

1. 问题现象
   
组网及说明:图中2台ADX3000-TA静默双机部署,原位置替换2他就集群部署的友商负载均衡设备。友商负载配置cluster virtual vip "port1" 19 10.168.51.135,该集群vip未关联虚服务。
问题描述:2台友商负载2008年上线,客户反馈服务器网关10.168.51.129/25(交换机上)。业务割接后,pc跨网段直接访问portal真实服务器10.168.51.150不通;同网段压测服务器10.168.51.219使用ie浏览器无法访问域名,更换Google浏览器可以访问,报文回复异常卡顿。
正常情况访问虚服务的流量走向:
   
异常访问真实服务流量走向:
  
问题分析和排查
问题1、测试pc直接访问portal真实服务器10.168.51.150不通。比对割接前后核心交换机抓取ARP、MAC表项,未发现异常。静默双机模式改为VRRP模式,问题依旧。
分析:割接回退后现场排查服务器,服务器10.168.51.211,10.168.51.212,10.168.51.213,10.168.51.214,10.168.51.215,10.168.51.150,10.168.51.151网关是友商负载vip "port1" 19 10.168.51.135,其他服务器网关在交换机上。配置翻译未配置虚地址10.168.51.135。
问题2、同网段压测服务器10.168.51.219使用ie浏览器无法访问域名,更换Google浏览器可以访问,报文回复异常卡顿。
分析:压测镜像抓包,分析后发现服务器10.168.51.219出现2个MAC地址。通过与客户沟通了解到服务器虚拟服务器,1个是虚拟MAC,1个是交换模块的MAC地址。服务器向外发包时,若是ICMP类型报文经过交换模块不会修改源MAC,但是TCP、UDP类型报文经过交换模块后源MAC会修改为交换模块的MAC地址。ADX3000-TA向服务器回包时,封装的目的MAC为虚拟MAC才能够正确转发至虚拟服务器。
开启会话转发后,设备会记录请求包的入接口以及源MAC,在转发响应报文时,无需查找路由、ARP,直接封装目的MAC为记录的MAC地址,从记录的接口转发出去。
2. 解决方案
由于部分服务器网关在ARRY负载设备上,跨网段直接访问服务器存在单边流量过负载设备。除翻译ARRY负载设备配置外,新增配置变更如下。
2.1 问题1:取消TCP,ICMP状态检测
客户端跨网段访问服务器10.168.51.150,到核心交换机上查询ARP直接到服务器。服务器回包到先到网关10.168.51.135(负载上),业务访问存在单边流。取消TCP、ICMP状态检测。
      
2.2 问题1:将源NAT策略中目的IP修改为虚服务IP。
友商负载设备默认启用源NAT。只有访问虚服务的流量做源NAT,其他直接访问服务器流量路由转发。
      
      
2.3 问题1:虚服务 SNAT规则匹配方式—使用虚拟服务地址匹配
只有访问虚服务的流量做源NAT,其他直接访问服务器流量路由转发。


2.4 问题1:新增接口从地址
友商负载集群使用VRRP类似技术,cluster virtual vip "port1" 19 10.168.51.135。ADX3000-A业务接口新增从地址10.168.51.135,10.168.51.174,10.168.51.175。
2.5 问题2:取消全局会话转发功能
分析压测报文,发现报文中源MAC地址发生变化。针对此问题,取消会话转发功能解决。
   
3. 总结:
(1)在进行配置翻译时,遇到不明确配置点,要及时进行确认。
(2)上线前需要梳理清楚每个业务的流量走向,避免因业务走向不明确导致上线后业务异常的情况
(3)在压力测试场景,需要了解压测设备的转发机制,避免压测时出错。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|炸金花平台

GMT+8, 2019-8-19 19:49 , Processed in 0.153428 second(s), 22 queries .

Powered by X3.1

© 2001-2014

快速回复 返回顶部 返回列表