求助：LVS的VIP怎么穿透netscreen防火墙？

lin_kz

我配置了一个LVS服务器:
操作系统：redhat as4
VIP:10.64.20.114
real serverA:10.64.20.107
real serverB:10.64.20.113
内网使用：我使用http://10.64.20.114/a 测试，是能够正常工作的,也能够将负载分担到连台real server上。

为了让外网能够访问VIP，我在防火墙（NS 50B）上配置了VIP，10.64.20.114 对应公网地址123.127.245.174 ，开放了端口80。

问题：http://123.127.245.174/a 无法正常使用服务？ ,然后我测试将LVS停了，将10.64.20.114直接配置到一台机器上，发现服务OK，排除了防火墙MIP配置错误。请大家帮忙提点建议， 是不是LVS VIP穿透防火墙还需要做一些其他的配置，还是LVS就不能够支持MIP的配置方法？

lin_kz

各位大侠，怎么没有人回复，自己先顶一下。在线等待，着急啊！

lin_kz

上面说的不够详细，我将详细配置贴出来,大家一定帮忙啊。
一、Director server 配置：
在/etc/sysctl.conf加入
net.ipv4.ip_forward = 1
执行sysctl -p
[root@peach etc]# cat /etc/sysconfig/ha/lvs.cf
serial_no = 13
primary = 10.64.20.102
service = lvs
backup = 0.0.0.0
heartbeat = 1
heartbeat_port = 539
keepalive = 6
deadtime = 18
network = direct
debug_level = NONE
virtual [server_name] {
     active = 1
     address = 10.64.20.114 eth0:1
     vip_nmask = 255.255.255.0
     port = 80
     send = "GET / HTTP/1.0\r\n\r\n"
     expect = "HTTP"
     use_regex = 0
     load_monitor = none
     scheduler = wlc
     protocol = tcp
     timeout = 6
     reentry = 15
     quiesce_server = 0
     server [unnamed] {
         address = 10.64.20.107
         active = 1
         weight = 1
     }
     server [unnamed] {
         address = 10.64.20.113
         active = 1
         weight = 1
     }
}
二 Real server 配置：
在/etc/sysctl.conf加入：
net.ipv4.conf.lo.arp_ignore=1
net.ipv4.conf.lo.arp_announce=2
net.ipv4.conf.all.arp_ignore=1
net.ipv4.conf.all.arp_announce=2
执行:
sysctl -p

启动脚本：
#!/bin/sh
# description: start LVS   of  Real Server
VIP=10.64.20.114
LOCAL=10.64.20.107
case "$1" in
    start)
        echo " start LVS  of realServer"
       # set the Virtual  IP Address
        /sbin/ifconfig lo:0 $VIP broadcast $VIP netmask 255.255.255.255 up
        /sbin/route add -host $VIP dev lo:0

        ;;
    stop)
        echo "close LVS realserver"
        /sbin/route delete  -host $VIP dev lo:0
        ifconfig lo:0 down
        ;;
    *)
        echo "Usage: $0 {start|stop}"
        exit 1
esac
三、在防火墙(NS 50B)上配置MIP：123.127.245.174->10.64.20.114

lin_kz

不好意思，自己犯了个低级错误，已经解决了，跟LVS＆防护墙的配置都是对的。原因是公司有server有2个网关地址，这real server＆directer server的网关地址配置不同造成的。麻烦大家了。呵呵

人淡如菊

原帖由 lin_kz 于 2007-11-29 16:23 发表
不好意思，自己犯了个低级错误，已经解决了，跟LVS＆防护墙的配置都是对的。原因是公司有server有2个网关地址，这real server＆directer server的网关地址配置不同造成的。麻烦大家了。呵呵

Server的两块网卡上都配置了默认网关？

这样不好，还是加静态路由的好。至少在以前的Linux上是不能很好的解决双网卡的双网关问题的，RH的官方说明也不建议这样做。
在WinXp下一样，这样做的结果就是会出出间歇性故障。