上海某教育集團總部網絡出口由4根ADSL線路組成,全部是動態IP地址,原來是使用TP-Link路由器來作爲出口並做負載均衡,改造後使用Juniper SSG140防火牆作爲Internet出口,並且做一個到IDC機房的Site-to-site ***,測試***的時候使用一根ADSL線路,***測試通過後沒有拔掉,最近他們又把其它三根ADSL線路也接到防火牆上,並且想實現負載均衡,
由於我之前也沒有用過Netscreen的ECMP功能,看一些文檔,摸着石頭過河,我那天上午睡過頭了,調休半天,他們正好這天要啓用,我就告訴他們怎麼操作,在Untrust區域開啓了ECMP功能,最大負載鏈路數設置成4個,當時他說很快,哈哈,其實是心理作用,或者是測試的時候使用網絡的人較少。
因爲我去他們機房後看到只有e0/3接口指示燈閃的比較快,e0/2、e0/4、e0/5 這三個外網接口指示燈基本不閃,說明沒有流量通過,也說明ECMP沒有生效。然後我在trust的區域添加了4條默認路由,4條默認路由Gateway分別指向e0/2、e0/3、e0/4、e0/5,然後在untrust區域的ECMP關掉,在trust區域啓用ECMP,允許最大鏈路數爲4。
說明一下,e0/0是內網接口,e0/2、e0/3、e0/4、e0/5連接ADSL線路是外網接口。
上午沒有問題,大家感覺網速很快,過一會有人找到他們的IT反應工商銀行的網上銀行不能使用,我沒在意以爲是她的計算機有問題,裝一個工商銀行的插件就可以了,下午有幾個人來找說很急,有幾筆錢要付,前幾天還能用就今天不能用,我意識到可能是防火牆的問題,前幾天只是用一個ADSL,今天ECMP生效後是4根ADSL都在用,都有流量通過。
在網上找到一篇文章說工商銀行網上銀行和中國移動網上營業廳都需要驗證IP什麼的,就是說必須使用同一個NAT轉換後的IP地址來和它們的服務器(工商銀行、移動相關的服務器)通信,還有解決方法說,打開nat stick功能“set dip sticky”,即可保證來自同一個源IP的不同會話始終被翻譯成同一個IP地址,這樣就可解決應用兼容性問題。
我連接到Netscreen上,把這個命令set ip sticky輸進去,而且還保存了一下,然後讓她們測試,工行網銀依舊不能使用,說明沒有生效。中間擔心是不是命令輸進去沒有生效,需要重啓一下設備(其實命令打上去就生效了,只是希望有奇蹟),重啓設備測試一下依然不能使用。
最後解決辦法,把她使用工商銀行網上銀行進行DNS解析,解析後的地址是180.168.41.175,然後在trust區域添加一條到180.168.41.0/24的路由,網關指向e0/2這個出口,然後讓她們再用加密狗進行工商銀行網上銀行的測試,能夠登陸,點擊裏面的付款等等都正常,測試通過。(其實可以添加一條指向180.168.41.175這個IP的路由,由於擔心會不會用到這個網段的其它IP地址,所以把這個網段都添加進去)