【SSL】网关集群外网时常登陆不上SSL

更新时间：2018-09-17

所属模块网络&部署 | 负载均衡集群

适用版本通用

网关集群部署，外网telnet443端口不通，偶尔可以通

1.查看集群状态正常，线路状态正常

2.在分发器外网口抓包看，客户端发起了TCP连接，设备不回包

3.怀疑是调度到真实服务器时不回包导致的登陆不上，真实服务器禁用集群后能正常登录，telnet443端口一直通了

4.分发器控制台使用arp -n命令查看，发现没有学到真实服务器wan口的mac地址

分发器和真实服务器的wan口之间互相学不到mac地址，导致调度到真实服务器时，分发器无法正常转发，客户端登录不上。

保证分发器和真实服务器的wan口之间能正常通信即可

网关集群环境，用户接入SSL调度分发数据流分析如下：

1，分发器收到公网请求的数据包

2、分发器调度给自己直接应答

3、如果调度给真实服务器，分发器会从wan口将数据包发出去，数据包的源IP是公网IP，目的IP是真实服务器wan口IP

4、真实服务器的wan口收到数据包，查询路由，真实服务器的默认路由执行lan口的CIP

5、真实服务器匹配默认路由将数据包转发出去，应答的数据包的源ip是真实服务器的wan口IP，目标IP是公网IP

6、分发器lan口收到数据包（分发器的防火墙规则需要放通lan-wan），匹配lan-wan防火墙规则将数据包从wan口转发出去，发出去的数据包源IP是wan口的CIP，目标IP是公网IP

{{contentObj.name||'--'}}