SNAT与PBR在服务器负载平衡中的应用

Question

在单臂SLB配置中，SNAT用于强制返回流量通过SLB.这有一个缺点:简单地说，web日志无法捕获真正的客户端IP，除非在XFF (X转发-For)头中传递，而且web服务器能够进行日志记录。

另一种选择是使用PBR (基于策略的路由)将返回-流量返回到SLB，但我试图避免PBR，除非在6500 E平台上没有其他/更好的解决方案，包括but 720/PFC3B --而且我知道特定的IOS版本也可能是一个因素-- PBR是否会在假设PBR全部在硬件中完成的情况下增加执行SNAT的延迟？如果PBR是在硬件上完成的，现在只使用它所支持的命令，那么将来升级IOS是否可能改变PBR在软件/进程切换中的应用呢？

今天，我们的负载均衡器有大多数web服务器VLAN直接支持它们--默认的g/w指向SLB --以及其他服务器，比如非SLB中的SQL。然而，这个web-sql流量通过SLB.我们的目标是避免跨越SLB，只需要保持SQL流量独立，并且仍然将真正的客户端保留在web日志中。我不希望在PBR中引入疑难解答的复杂性，并且可能会在将来处理从硬件到软件的这种改变。除了前面提到的XFF和SNAT之外，PBR是这里唯一的选项吗?保持PBR紧密配置的最佳方法是什么？

Answer 1

如果PBR全部是在硬件中完成的，那么PBR是否在SNAT上增加了延迟？

持720在HW中支持PBR，额外的延迟(如果有的话)可以忽略不计，因为PBR没有添加更多的接口排队。我认为PBR会使事情变得比他们所需要的更困难(我仍然不确定它是否会起作用.这个选项的具体细节还不完全清楚)

除了前面提到的XFF和SNAT之外，PBR是这里唯一的选项吗?保持PBR紧密配置的最佳方法是什么？

PBR不是唯一的选择。您提议的选项有点不清楚，但PBR通常只是一种更理想的静态路由方式。

通常，这是需要SQL查询的负载平衡服务的最佳拓扑.

• 把你的要人放在前面的子网上.172.16.1.0/24
• 把你的服务器池放在后台子网中.172.16.2.0/24
• 将SQL查询放在另一个接口上.172.16.3.0/24在图表中。向所有需要SQL查询的服务器添加第二个接口。使您的所有SQL查询到此子网上的地址。这种拓扑既适用于Unix，也适用于Windows，因为您只依赖于ARP或主机路由(取决于您的首选项)来获得SQL连接。

图表：

这种拓扑还有其他好处：

• 它将SQL接口与web流量分离开来，因为SQL查询是突发的，可能会导致web流量的阻塞。
• 它为您的负载平衡服务(如果传输internet通常需要1500或更低的MTU)和您的SQL服务提供不同的MTU(这有利于大帧)。

任何单臂负载均衡器拓扑都是一个不太理想的选择，因为您最终会将最大吞吐量减半，因为只有一个武装的拓扑。

编辑对Sup720

上HW与SW切换问题的探讨

这是一个深层次的话题，但我会给出总结.Sup720在每个方向(入口/出口)应用一个ACL，并且基于平台选择的任何合并算法，ACL必须适合于TCAM。Sup720's特征管理器(即fm)负责将这些特性中介到TCAM中，并报告您是否有一个you邻接(意为SW交换)，或者协议和方向的组合是否在HW中切换。分离出是否

1. 首先，识别PBR通信可以通过的所有入口和出口Layer3接口。
2. 接下来，检查show fm fie int <L3_intf_name> | i ^Interf|Result|Flow|Config的输出(在步骤1中，您必须查看所有接口的入口和出口方向)。如果大写中的值与您在下面看到的值相匹配，您的流量将被HW切换.请注意，我所使用的命令的输出非常类似于您在show fm fie summary中看到的.

Tx.Core01#sh fm fie int Vl220 | i ^Interf|Result|Flow|Config
Interface Vl220:
 Flowmask conflict status for protocol IP : FIE_FLOWMASK_STATUS_SUCCESS      <--- in HW
 Flowmask conflict status for protocol OTHER : FIE_FLOWMASK_STATUS_SUCCESS   <--- in HW
 Flowmask conflict status for protocol IPV6 : FIE_FLOWMASK_STATUS_SUCCESS    <--- in HW
Interface Vl220 [Ingress]:
 FIE Result for protocol IP : FIE_SUCCESS_NO_CONFLICT                        <--- in HW
 Features Configured : V4_DEF   - Protocol : IP
 FIE Result for protocol OTHER : FIE_SUCCESS_NO_CONFLICT                     <--- in HW
 Features Configured : OTH_DEF   - Protocol : OTHER
 FIE Result for protocol IPV6 : FIE_SUCCESS_NO_CONFLICT                      <--- in HW
 Features Configured : V6_DEF   - Protocol : IPV6
Interface Vl220 [Egress]:
 No Features Configured
No IP Guardian Feature Configured
No IPv6 Guardian Feature Configured
No QoS Feature Configured
Tx.Core01#

上面的界面没有显示出口输出，但这不相关.输出类似于“进题”方向。里奇·米奇写了一篇关于“sh界面”的出色解释.如果您想了解更多关于TCAM /合并结果的详细信息的话。

Answer 2

如果负载均衡器支持它，那么Direct返回也会做您想做的事情。它需要支持您的负载均衡器，并有一些操作系统的关注。它涉及到在每个服务器中放置‘回环’接口，每个服务器都有VIP的IP地址，负载均衡器，而真正的服务器地址只使用真实服务器的MAC地址来转发数据包，因为服务器有与VIP的回环接口，服务器接受分组。

您需要咨询特定LB供应商的文档，您的服务器团队必须能够管理虚拟适配器(我们不使用此特性，因为我们认为我们的自动服务器配置无法管理MS回送适配器。

但是这不需要在LB中使用NAT，也不必执行PBR。