XX 電信原採用單臺負載均衡,對2臺VPDN的路由器做負載均衡,其拓撲結構如下:
負載均衡設備上劃分了2個網段,以串接方式部署,上聯2臺7610路由器,下聯兩臺LNS VPDN路由器。其中,上聯的2臺7610運行VRRP協議,負載均衡將外向的默認路由指向其VRRP的浮動IP,2臺7610也將需要的路由指向負載均衡設備上聯網絡的接口IP。下聯網段的2臺LNS路由器的默認路由,均指向負載均衡設備下聯網段的接口IP。
現在的環境下,從公網來的請求,經過2臺7610以後,訪問到負載均衡設備上聯網段上的配置的虛擬服務器的虛IP地址,負載均衡設備把命中虛IP的請求,將目標地址從虛IP更改爲2臺VPDN路由器的接口IP,然後分發到下聯的2臺VPDN服務器接口IP上。
現在電信新增一臺負載均衡設備,計劃和原有的一臺形成雙機部署方式,拓撲圖如下:
但是,現在問題卻出來了,下聯的兩臺VPDN路由器需要採用雙線方式分別連接2臺負載均衡設備,這2臺VPDN設備本身不支持Vlan,所以每臺VPDN路由器必須在原有的一個上聯3層接口的基礎上,多添加一個上聯的3層接口,分別用2個不同網段的接口來連接不同的負載均衡設備。按照拓撲結構需求,2臺負載均衡設備的下聯網段爲不同的2個網段,原有的負載均衡設備下聯接口網段不變,新增的負載設備設備下聯網段爲新增的3層網段。
這種結構有如下2個問題:
1、2臺負載均衡設備下聯網段不是一個網段,且pool裏member的配置也不一樣(分別是2個網段的VPDN路由器接口IP),這種結構做傳統的HA是有問題的。(傳統的HA要求2臺設備網段要一樣,所有server,pool,virtaulserver配置都要完全一樣)
2、2臺VPDN路由器必須同時獨立工作。由於2臺負載均衡設備下聯網段不是同一個網段,所以沒法採用雙機的浮動IP工作方式,這樣2臺VPDN路由器的默認路由的指定就是個問題了,只能採用2條等價路由的方式指向2臺負載均衡設備的下聯接口IP。這樣設置的後果就是,很可能從一臺負載均衡(主機)發送過來的請求,VPDN路由器回包的時候會將應答發回另一臺負載均衡設備上(備機),而同時伴隨着的,應答包的源IP地址也會改變(從VPDN路由器哪個接口出去,源IP就會是哪個接口的地址),這樣應用會出現問題。
這次碰到的問題實際上是純網絡的問題,如何在各種環境下部署也是ADN經常面臨的問題之一。
經過詳細的考慮後,通過2步解決該問題:
1、在2臺負載均衡設備上分別添加另一臺設備的下聯IP網段,而2臺設備互聯的鏈路上啓用802.1Q封裝,將2個網段打通,這樣一來就解決了雙機環境下2臺設備網段不一樣的問題,同時因爲和2個下聯網段都相連(除了自身直連的網段,還通過802.1q通過2臺設備互聯的鏈路連接另一個網段),所以每臺設備上可以配置相同的member了。這樣一來,就完全解決了下聯網段不一樣,member不一樣的問題,從而可以直接以傳統雙機模式部署了。
2、考慮到VPDN路由器應答包從2條等價默認路由隨機返回導致應答包源IP可能會改變的問題,用戶在2臺VPDN路由器上啓用loopback地址,該loopback需要配置成和負載均衡設備上應用的虛擬IP一樣,而同時在負載均衡設備需要啓用DSR功能(禁用目標IP地址轉換),這樣VPDN路由器回包的時候,會以loopback地址爲源IP進行應答,這樣就不存在因爲返回路由不一樣而引起的源IP地址改變從而引起的session問題。