Chinaunix

标题: 求助:LVS的VIP怎么穿透netscreen防火墙? [打印本页]
作者: lin_kz    时间: 2007-11-29 13:40
标题: 求助:LVS的VIP怎么穿透netscreen防火墙?
我配置了一个LVS服务器:
操作系统:redhat as4
VIP:10.64.20.114
real serverA:10.64.20.107
real serverB:10.64.20.113
内网使用:我使用http://10.64.20.114/a 测试,是能够正常工作的,也能够将负载分担到连台real server上。

为了让外网能够访问VIP,我在防火墙(NS 50B)上配置了VIP,10.64.20.114 对应公网地址123.127.245.174 ,开放了端口80。

问题:http://123.127.245.174/a 无法正常使用服务? ,然后我测试将LVS停了,将10.64.20.114直接配置到一台机器上,发现服务OK,排除了防火墙MIP配置错误。请大家帮忙提点建议, 是不是LVS VIP穿透防火墙还需要做一些其他的配置,还是LVS就不能够支持MIP的配置方法?
作者: lin_kz    时间: 2007-11-29 13:53
各位大侠,怎么没有人回复,自己先顶一下。在线等待,着急啊!
作者: lin_kz    时间: 2007-11-29 14:58
上面说的不够详细,我将详细配置贴出来,大家一定帮忙啊。
一、Director server 配置:
在/etc/sysctl.conf加入
net.ipv4.ip_forward = 1
执行sysctl -p
[root@peach etc]# cat /etc/sysconfig/ha/lvs.cf
serial_no = 13
primary = 10.64.20.102
service = lvs
backup = 0.0.0.0
heartbeat = 1
heartbeat_port = 539
keepalive = 6
deadtime = 18
network = direct
debug_level = NONE
virtual [server_name] {
     active = 1
     address = 10.64.20.114 eth0:1
     vip_nmask = 255.255.255.0
     port = 80
     send = "GET / HTTP/1.0\r\n\r\n"
     expect = "HTTP"
     use_regex = 0
     load_monitor = none
     scheduler = wlc
     protocol = tcp
     timeout = 6
     reentry = 15
     quiesce_server = 0
     server [unnamed] {
         address = 10.64.20.107
         active = 1
         weight = 1
     }
     server [unnamed] {
         address = 10.64.20.113
         active = 1
         weight = 1
     }
}
二 Real server 配置:
在/etc/sysctl.conf加入:
net.ipv4.conf.lo.arp_ignore=1
net.ipv4.conf.lo.arp_announce=2
net.ipv4.conf.all.arp_ignore=1
net.ipv4.conf.all.arp_announce=2
执行:
sysctl -p

启动脚本:
#!/bin/sh
# description: start LVS   of  Real Server
VIP=10.64.20.114
LOCAL=10.64.20.107
case "$1" in
    start)
        echo " start LVS  of realServer"
       # set the Virtual  IP Address
        /sbin/ifconfig lo:0 $VIP broadcast $VIP netmask 255.255.255.255 up
        /sbin/route add -host $VIP dev lo:0

        ;;
    stop)
        echo "close LVS realserver"
        /sbin/route delete  -host $VIP dev lo:0
        ifconfig lo:0 down
        ;;
    *)
        echo "Usage: $0 {start|stop}"
        exit 1
esac
三、在防火墙(NS 50B)上配置MIP:123.127.245.174->10.64.20.114
作者: lin_kz    时间: 2007-11-29 16:23
不好意思,自己犯了个低级错误,已经解决了,跟LVS&防护墙的配置都是对的。原因是公司有server有2个网关地址,这real server&directer server的网关地址配置不同造成的。麻烦大家了。呵呵
作者: 人淡如菊    时间: 2007-11-30 17:27
原帖由 lin_kz 于 2007-11-29 16:23 发表
不好意思,自己犯了个低级错误,已经解决了,跟LVS&防护墙的配置都是对的。原因是公司有server有2个网关地址,这real server&directer server的网关地址配置不同造成的。麻烦大家了。呵呵





Server的两块网卡上都配置了默认网关?

这样不好,还是加静态路由的好。至少在以前的Linux上是不能很好的解决双网卡的双网关问题的,RH的官方说明也不建议这样做。
在WinXp下一样,这样做的结果就是会出出间歇性故障。



欢迎光临 Chinaunix (http://bbs.chinaunix.net/) Powered by Discuz! X3.2