故障案例：链路负载均衡遇到IPS

long_323 · 发表于 2012-1-11 11:31:17

细节决定成败, 做技术的尤其如此。这里讲下另外一个遇到的真实案例：
我们采用了A10 AX系列部署在客户出口(电信+联通)作为链路负载均衡使用，采用双路冗余方式部署，如下图显示。

一次客户报障，内网用户访问个别网站时，会出现首页面可以打开，要求用户输入用户名和密码，但是然后页面无法显示的问题，如下显示:

排障过程
1) 确定目标网站无问题，其他客户可以正常访问
2) 确定从A10设备访问目标网站无问题
3) 检查是否NAT地址漂移问题：
出现用户输入用户名/密码后无响应的一个可能性是出口做NAT时，源IP客户发出的不同链接使用了不同的NAT地址，会有可能造成目标网站服务器认为连接不正常；
检查确认NAT使用同一地址，无问题
以后都无问题后，只能抓包分析：
4) 在客户端测试，A10 负载均衡设备上也抓包，分析，终于发现问题
负载均衡设备发现是客户端主动Reset

然而在客户端的抓包则显示服务器主动Reset
(注意：这2张图不是同一次测试的结果)

问题：从客户端看，客户端并未主动发送Reset,
而A10设备又接收到从客户端发送的Reset报文，推测是在客户端和A10设备之间的其他设备（防火墙，IPS等安全设备）主动代理客户端Reset连接，导致客户端的连接失败。
基于这种情况，建议客户检查IPS设备，最终确认是IPS策略设置问题，对该网站的请求认为非法，主动替客户端发送Reset报文关闭连接，造成用户访问不正常。
此次监测的问题是，链路负载均衡设备作为出口设备负责全部流量的进出，在任何访问不正常的情况下都会被怀疑为故障的原因，只有认真的协调客户测试，对比结果才会发现问题的根源所在。

(J.L.)

本文出自 “ADC技术博客” 博客：http://virtualadc.blog.51cto.com/3027116/743698

ranjiaolong · 发表于 2012-1-12 08:15:52

還需要學習啊
！

osx1969 · 发表于 2012-1-19 08:52:22

高深，学习学习，新年快乐！