• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

负载dns问题

  • 0关注
  • 0收藏,70浏览
粉丝:6人 关注:1人

问题描述:

负载均衡有四条外网线,我想去访问网站A,发现有时候不通,然后我在负载的后台用四个外网源IP分别ping A网站,发现其中有两个外网IP ping不通A网站,我以为是运营商问题,但是不通的两个外网直连笔记本是可以ping通A网站的,这是什么原因!!?

4 个回答
粉丝:1人 关注:1人

外网接口打开ip last-hop hold功能没有

s四个外网口都开了

zhiliao_eE5Ptd 发表时间:18小时前 更多>>

s四个外网口都开了

zhiliao_eE5Ptd 发表时间:18小时前
粉丝:132人 关注:11人

检查下DNS问题

不是dns问题,ping的域名都解析出IP了

zhiliao_eE5Ptd 发表时间:18小时前 更多>>

不是dns问题,ping的域名都解析出IP了

zhiliao_eE5Ptd 发表时间:18小时前
粉丝:11人 关注:9人

排查步骤及命令:
1. 确认负载均衡到不通外网IP的路由:
display ip routing-table 外网IP段 查看负载均衡是否有到该外网IP的正确路由。
2. 检查负载均衡的源IP策略:
display loadbalance policy 查看是否配置了源IP绑定策略,是否将访问A网站的流量错误绑定到不通的外网IP。
3. 检查负载均衡的NAT配置:
display nat session 查看是否存在针对A网站的NAT会话异常,或NAT规则是否正确映射源IP。
4. 测试负载均衡从不通外网IP的出口ping A网站:
ping -a 不通的外网IP A网站域名/IP 模拟负载均衡从该外网IP发起ping,确认是否真的不通。
5. 检查负载均衡的ACL或安全策略:
display acl all 查看是否有ACL限制了从该外网IP到A网站的流量。
6. 检查运营商对负载均衡设备的限制:
联系运营商确认是否对负载均衡设备的MAC或IP有特殊限制,导致负载均衡使用该外网IP时无法访问A网站。

粉丝:18人 关注:2人

多链路 outbound 负载均衡 部分公网地址防火墙内不通、电脑直连可通完整根因
核心矛盾现象拆解
防火墙 4 条外网链路,其中 2 个公网 IP 在设备内 ping 网站 A 超时;
把这两条线路光猫 / ONU 直连笔记本,同公网 IP、同运营商线路,笔记本 ping 网站 A 正常;
排除运营商线路阻断,问题出在负载均衡设备出站转发 / 安全策略 / 会话 / 源 NAT / 链路选路机制。
一、最高概率根因(按排查优先级排序)
1. 链路出接口安全策略拦截(最常见)
笔记本直连是纯二层转发无防火墙管控;
防火墙负载均衡每条外网接口都有域间安全策略:local→untrust、trust→untrust。
不通的两条外网接口缺少放行 ICMP / 网站业务端口的安全策略;
通的两条链路放通了 ICMP、80/443,所以访问正常。
验证命令(F1000/NS 系列 V7 防火墙)
bash
运行
# 查看local到untrust策略(设备自带源ping使用local域流量)
display security-policy source-zone local destination-zone untrust
# 查看内网trust到外网untrust业务策略
display security-policy source-zone trust destination-zone untrust

特征匹配你的场景
设备后台 ping(源为防火墙 local 域)走不通的两条链路时,匹配不到允许 ICMP 的规则,报文丢弃;
笔记本直连运营商线路没有防火墙策略过滤,ICMP 全放行,所以能 ping 通。
2. 多链路负载均衡「就近调度 / 运营商路由选路异常」,出站回程路由不对称
原理
网站 A 服务器针对两条故障链路的运营商 IP,回程路由不回防火墙当前出站接口:
笔记本直连:终端直接从该链路收发,运营商内网回程无多设备转发,路径对称;
防火墙负载均衡:报文从链路 X 发出,服务器回程流量送到防火墙其他外网接口,防火墙识别为非对称路由,默认丢弃非对称会话报文。
关键区分
笔记本:单链路收发,路由对称;
防火墙 4 链路负载:出站选路、回程运营商路由分离,触发非对称丢包。
解决方案
bash
运行
system-view
# 开启多链路非对称路由放行(V7防火墙通用)
session asymmetric-route enable
# 或者针对网站A网段做静态路由强制指定出站链路
ip route-static 网站A公网掩码 下一跳 不通的外网接口

3. 链路出接口绑定的 NAT 地址池 / 出接口 NAT 失效
负载均衡配置基于链路的源 NAT 地址池,不通的两条链路地址池配置缺失、地址耗尽;
访问网站 A 时,流量匹配该链路 NAT 失败,无转换源 IP 直接丢弃;
笔记本直连不需要做 NAT 转换,使用公网原生 IP,无转换环节,正常通信。
排查
bash
运行
# 查看多链路出站NAT配置
display nat outbound multi-link
# 查看地址池占用、空闲地址
display nat address-group all

4. 不通的两条链路开启了「运营商路由识别 / 应用路由黑名单」
负载均衡内置运营商路由库,网站 A 的 IP 被识别为其他运营商,流量匹配链路调度策略被强制切换 / 丢弃:
例如:联通链路配置仅联通流量放行,网站 AIP 识别为电信,联通链路直接阻断转发;
笔记本无链路调度策略限制,直接互通。
bash
运行
# 查看多链路调度策略、运营商路由匹配规则
display loadbalance multi-link policy
display loadbalance isp route

5. 不通链路的接口防攻击 / 会话限制阈值过低,新建会话被拦截
两条故障外网接口配置了会话数上限、ICMP 速率限制:
bash
运行
# 查看接口会话、ICMP防攻击配置
display connection-limit interface GigabitEthernet 0/2
display icmp anti-attack configuration

防火墙自带源 ping、内网访问网站会占用会话,超过阈值直接丢包;笔记本无会话限制,无拦截。
6. 不通链路的 MTU 值不匹配,分片报文丢弃
防火墙外网接口 MTU 过小,访问网站 A 大包报文分片失败;笔记本网卡 MTU 默认 1500 适配运营商线路,无分片丢包。
bash
运行
# 查看外网接口MTU
display interface GigabitEthernet 0/2 | include MTU
# 统一修改为1480/1500适配运营商
interface GigabitEthernet 0/2
mtu 1500

二、快速二分法定位故障链路核心测试
强制所有流量走其中一条不通链路
配置静态路由,网站 A 所有流量固定从故障外网接口出站,测试内网能否访问:
完全不通 → 该接口策略 / NAT / 调度规则拦截;
偶尔通、偶尔断 → 非对称回程路由丢包。
临时放行全量策略测试
新增万能安全策略,local/trust 到 untrust 全部允许,测试 ping:
bash
运行
security-policy
rule 1000 permit

放行后恢复正常 = 原有安全策略缺少 ICMP / 业务放行规则。
3. 关闭多链路 ISP 调度、运营商路由匹配
bash
运行
undo loadbalance multi-link isp enable

关闭后恢复访问 = 运营商路由选路拦截导致不通。
三、最简根治方案(分两类故障)
场景 A:安全策略拦截(90% 场景)
给所有外网接口对应的 local→untrust、trust→untrust 添加放行 ICMP、HTTP/HTTPS 通用规则:
bash
运行
security-policy
rule permit source-zone local destination-zone untrust service icmp
rule permit source-zone trust destination-zone untrust service icmp
rule permit source-zone trust destination-zone untrust service http https

场景 B:回程非对称路由丢包
开启全局非对称会话放行:
bash
运行
system-view
session asymmetric-route enable

场景 C:链路 ISP 调度拦截
关闭运营商路由自动匹配,改用简单加权 / 带宽调度,或针对目标网站配置静态路由绑定指定链路。
四、补充关键说明:为什么笔记本直连一定能通?
笔记本直接接运营商线路,不存在三层防火墙、多链路调度、源 NAT、会话校验、非对称路由五层限制;
防火墙负载均衡设备四层转发会叠加全套安全、调度、NAT 管控,同一运营商线路会出现访问差异,属于多链路负载均衡典型故障场景。

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明