• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

SecPath L5000+负载切换VIP后新地址不能使用

  • 0关注
  • 0收藏,45浏览
石硕 零段
粉丝:0人 关注:0人

问题描述:

切换VIP后无法访问,ping不到VIP

组网及组网描述:

见诊断包

2 个回答
粉丝:12人 关注:9人

1. 排查步骤:
确认VIP配置是否生效:display virtual-server vip [新VIP地址] 查看状态是否为up。
检查VIP所在接口状态:display interface [接口名] 确认接口物理/协议状态up。
验证路由可达性:在负载均衡设备及客户端分别ping新VIP,若设备自身ping不通,检查VIP绑定的服务器池状态;若客户端ping不通,检查中间网络路由、ACL是否允许。
查看服务器池健康检查:display server server-pool [池名] 确认服务器状态正常。
检查会话表:display session verbose source [客户端IP] destination [新VIP] 看是否有会话建立。
2. 关键命令:
display virtual-server vip x.x.x.x
display interface GigabitEthernet x/x/x
ping x.x.x.x
display server server-pool pool_name
display session verbose source x.x.x.x destination y.y.y.y
display acl all(检查是否有ACL阻断)

暂无评论

粉丝:19人 关注:2人

L5000 + 采用RBM 双机热备实现 VIP 业务切换,切换后新主设备必须完成 3 件事才能让全网识别 VIP:
接口 / VRRP 主动发送免费 ARP,全网交换机更新 VIP-MAC 映射;
上下行安全域策略放行 VIP ICMP、业务流量;
上下行三层设备存在指向 VIP 网段的回程路由;
切换后不通 90% 场景是免费 ARP 未下发、二层 MAC 表残留旧主 MAC、RBM 心跳 / 同步异常、安全策略拦截四类问题。
一、第一步:确认 RBM 主备切换状态(基础校验)
1. 查看 RBM 整机角色,确认备机已成功升主
plaintext
display rbm summary
正常切换结果:原备机 Role=Master,原主机 Role=Backup;
异常场景:
依旧双主:心跳 Keepalive 链路中断,两台设备同时接管 VIP,上下游交换机 MAC 表混乱,两边都无法访问 VIP;
备机未升主:心跳报文被 ACL / 安全策略拦截,未完成角色切换,VIP 未激活。
2. 检查 RBM 配置一致性
两台 L5000 + 必须完全匹配:
RBM 组号、心跳接口、心跳网段、抢占时间一致;
业务 Reth 冗余接口、VRRP 备份组、VIP 地址两端完全相同;
全局开启rbm sync-config配置同步,配置未同步会导致备机升主后 VIP 失效。
3. 心跳链路排查
心跳接口互通测试:
plaintext
ping 对端心跳实IP
display rbm keepalive statistics
大量丢包 / 无报文:上下行交换机 ACL 拦截 UDP 8888 心跳端口,切换无法正常完成;
心跳中断后 RBM 分裂双主,上下游交换机同时学习两台设备 VIP MAC,流量泛洪 / 丢包、ping 不通 VIP。
二、最高发故障:切换后未发送免费 ARP,二层交换机 MAC 表残留旧主 MAC
现象
切换后客户端 ping VIP 无响应;在新主设备本地ping VIP能通,内网交换机display mac-address vlan X里 VIP 对应的 MAC 还是原主设备接口 MAC,流量全部发往故障旧主机。
根因 & 修复
Reth 冗余接口 / VRRP 接口未开启定时免费 ARP
V7 负载均衡默认不自动发送免费 ARP,切换后不会主动刷新全网二层表项。
plaintext
# 业务三层接口/Reth子接口下配置定时免费ARP(2秒发送一次)
system-view
interface Vlan-interface 10
arp send-gratuitous-arp interval 2000
手动触发免费 ARP 验证故障
在新主设备执行,强制全网刷新 MAC 映射:
plaintext
gratuitous-arp send ip VIP地址
执行后立刻能 ping 通 VIP → 确认是免费 ARP 缺失导致。
3. 上下游交换机静态 MAC / 端口安全绑定旧主 MAC
交换机存在静态 MAC 表、端口安全绑定原主设备 MAC,覆盖新免费 ARP,删除静态绑定即可。
三、安全策略拦截 VIP ICMP / 业务流量(切换后主备策略同步异常)
1. 全局安全域策略缺失
切换后新主设备安全策略未放行:
内网→VIP、VIP→内网 ICMP 报文;
七层 SLB 业务端口(80/443 等);
排查命令:
plaintext
display security-policy statistics rule-hit
匹配 VIP 的 ICMP / 业务报文全部 Drop,说明策略拦截;
临时放行测试:创建全局规则 trust ↔ trust/untrust 全部 permit。
2. RBM 会话同步延迟
切换瞬间大量存量会话未同步到新主,客户端访问 VIP 新建会话被丢弃;
优化:调大 RBM 会话同步缓存,延长会话老化时间。
3. 本地本机 ACL 拦截 ICMP
L5000 本地 IPv4 ACL 拒绝本机响应 ping,本地能通、跨网段不通:
plaintext
display local-ipv4 acl
放行 icmpv4 echo-request/echo-reply。
四、三层路由问题(跨网段无法访问 VIP,同网段本地可 ping 通)
核心交换机 / 出口防火墙缺少指向 VIP 网段的回程路由
切换不改变路由,但若 VIP 为独立浮动网段,上下行三层设备无静态 / 动态路由,回程报文无法抵达新主 L5000;
解决:上下行配置静态路由,下一跳指向 L5000 业务实接口网段。
NAT 地址池冲突、目的 NAT 映射失效
七层 SLB 虚服务器绑定 VIP,切换后 NAT 策略未同步,外网访问 VIP 无法转换到后端服务器;
检查display loadbalance virtual-server虚服务状态是否为 Active。
五、二层组网 M-LAG 对接特殊故障(机房双核心 M-LAG 环境高频)
M-LAG peer-link 故障时,MAD DOWN 关闭接口,新主 L5000 流量被阻断;
M-LAG 未开启 ARP 同步,对等设备 MAC 表无法同步新 VIP MAC;
修复:
互联接口加入 M-LAG 系统保留接口;
全局开启 M-LAG arp-sync。
六、七层 SLB 虚服务自身状态异常(VIP 能 ping 通但业务打不开,也包含完全 ping 不通场景)
实服务器组健康检测全部失败,虚服务自动 Down,VIP 无转发能力;
plaintext
display loadbalance real-server summary
display loadbalance virtual-server summary
虚服务状态 Inactive → 无法响应任何流量,包括 ICMP;
2. VIP 与实服务器网段不通,SNAT 地址池未配置,返回报文无法回包;
3. 七层模板(HTTP/HTTPS)绑定错误,虚服务逻辑关闭。
七、快速现场排查步骤(按优先级执行)
确认 RBM 切换角色:display rbm summary,必须一台 Master 一台 Backup,无双主;
手动发送免费 ARP 测试:gratuitous-arp send ip x.x.x.x,执行后立刻能通 = 缺失免费 ARP 配置;
本地同网段 ping VIP
本地能通、跨网段不通:三层回程路由缺失;
本地也不通:安全策略拦截 / 虚服务 Down/RBM 未升主;
查看上下游交换机 MAC 表:display mac-address vlan X | include VIP-MAC,确认 MAC 是新主设备 Reth 接口虚拟 MAC;
临时放开全局安全策略,排除策略拦截;
检查 SLB 虚服务器、实服务器健康状态;
抓包验证:新主设备是否收到 VIP 的 ARP 请求、是否回复 ARP。
八、根治配置(防止下次切换复现)
业务三层 Vlanif/Reth 子接口开启定时免费 ARP;
RBM 全局开启配置、会话自动同步;
上下行三层设备配置 VIP 网段静态回程路由;
安全策略放通 VIP 全网段 ICMP 与业务端口;
M-LAG 对接场景开启 ARP 同步,业务接口设为 M-LAG 保留接口。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明