我有麻烦configuration具有NATfunction的硬件负载平衡器。
我有以下架构:
Internet ===> VIP(公共)LB(私人IP)====>专用寻址服务器
当从外部(互联网)初始化连接时,LB正确地将SYN数据包转发到其中一个私人服务器。 但是,当这些服务器想要回复SYN / ACK时,就会出现问题。
最初的SYN包有IP头:VIP => Private_server_Address
但是私人服务器不能从他们那边到达VIP(这是正常的),然后提供正确的回复。
你们有没有解决scheme可以正确地将数据包转发到正确的目的地?
注意:负载均衡器(这是服务器默认的gw)也有一个“伪装”的NAT规则(实际上比真正的伪装更多的SNAT)
问候,
克莱门特。
configuration负载平衡器的方法有很多种,而且您并不清楚自己的平衡器的行为方式,或者说是相反的情况。
根据您所概述的架构,您的LB应该是“终止”TCP连接 – 然后它将与您的私有服务器打开一个新的TCP连接,并只发送数据。 这意味着当连接到达你的私有服务器时,它不应该将外部VIP看作是连接的源地址,而是负载均衡器的内部私有IP。 这与你所描述的相矛盾。
IIRC,在这种模式下(一些厂商称之为“代理模式”,与“DSR模式”不同),不需要NAT,因此可以禁止伪装。
所以最初我build议你确认你的私人所见的源IP地址 – 它不应该是我认为的外部VIP地址。