<a href="http://ewangsoft.blog.163.com/prevPhDownload.do?host=ewangsoft&albumId=160523113&photoId=6004245958" target="_blank"></a>
點選小圖打開大圖
在上圖示的雙線中,網通和電信直接相連的路由器以及左側使用者接入用的雙線路由器中,均會針對網通和電信IP端做路由表。當網通使用者請求通路最左側的雙線路由器及其内部伺服器的電信IP時, 請求通信資料包到達“網通骨幹路由器”時,由于目的位址是電信網絡段上的,是以将資料包傳遞給與自己相連的“電信骨幹路由器”,最終網通使用者請求通路雙線 路由器及其内部伺服器的電信IP的通信的路徑為上圖紅色箭頭所示路徑。雙線路由器應答這個來自網通使用者的請求時,應答資料包的目的位址為網通網絡段(網通 使用者的IP),由于雙線路由器上有政策路由,是以應答時的資料通信路徑為上圖紫色箭頭所示路徑。
這樣,通路通信就不是“從哪裡來,還從哪裡回”了。
從哪裡來,卻不從那裡回,對于包通信來說,這并沒有什麼問題。網際網路網際層正是利用包傳遞可多路徑性來保證某些鍊路失效時,包仍然可以選擇另外一條鍊路來完成通信的。
但實際中為什麼會遇到通信不能完成的情況呢,産生的原因可能如下:
1、網通駐地路由器上做了禁止資料包的源IP位址為電信網段的包通過網通路由器。
一般,在骨幹網絡上,路由裝置不會對包通信做任何限制或者檢測,骨幹網上的路由器會根據路由表對包做盡可能快的轉發。通路控制,一般都發生在駐地網裝置上。
2、網通或電信路由裝置上的路由表,缺少了某些到達彼此網絡的路由條目。
此種情況會發生在有“中國特色”的網絡中(多家營運商之間惡性競争,互相限制)。
3、應答通信經過的線路中,某些裝置開啟了“狀态保持(檢測)”功能,發現“沒從我這兒進,缺想從我這兒出”的通信就禁止掉。
此種情況也一般發生在駐地網裝置中。
4、包途中經過的網絡裝置做了三層、四層的過濾。
此種情況一般發生在網絡邊緣。
總上述,如果駐地網做了上述的任何一種配置,要想保證通信的完成,就需要雙線路由器記住:請求從哪裡來,應答就得從哪裡回。也就是記住外部主動連接配接的狀态(一般記錄這種狀态的方法是根據IP+端口),以便有此連接配接的應答通信時,還走原路。
一、釋出内部的伺服器:
1、給伺服器和ROS的LAN接口配置兩套内部IP位址(也可以使用一個網段的兩個不同IP):
伺服器:192.168.1.11/24和192.168.10.11/24
ROS的LAN:192.168.1.1/24和192.168.10.1/24
2、釋出ROS的網通IP伺服器,共兩條NAT:
1)DST-NAT配置:
<a href="http://img.bimg.126.net/photo/WybSU4-nanPue3rGJJyiFQ==/1473240028105065587.jpg" target="_blank"></a>
DST-NAT,Dst address 為ROS網通公網位址 in interface為接網通線路接口
<a href="http://img.bimg.126.net/photo/slbtwYysbYAVo__3k8QSMQ==/5430496725679681828.jpg" target="_blank"></a>
DST-NAT,映射到内部伺服器IP
2)SRC-NAT配置:
<a href="http://img.bimg.126.net/photo/ZGM1WoImJp59UnuHgmQDQw==/5430496725679681860.jpg" target="_blank"></a>
SRC-NAT,Dst-add為内部伺服器IP,In-Interface為ROS的LAN
<a href="http://img.bimg.126.net/photo/STm0wkiUUWF1CkEfklTCZA==/5430496725679681881.jpg" target="_blank"></a>
SRC-NAT,TO address為ROS對應于釋出伺服器IP的那組内部位址
3、釋出電信線路上的伺服器:
上 面是針對釋出到網通公網IP的配置,使用的内部位址組為192.168.1.0/24,釋出到電信公網IP的配置,将192.168.1.1用 192.168.10.1代替,192.168.11用192.168.10.11代替即可(如果使用一個網段的兩個IP,就分别代替原來的IP即可)。
4、針對兩套位址的伺服器應答外部的通信,做政策路由,注意,隻對源端口為80的伺服器通信做路由,這樣可避免伺服器與外部其他通信受其影響。如果伺服器使用一個網段的兩個IP,那麼src address就是伺服器設定的那兩個IP。
做政策路由時,應該按“建立連接配接”做,不可按如下圖直接對伺服器的80通信做,如果這樣做的話,會導緻政策路由表無限止的增大,産生性能問題。
<a href="http://img.bimg.126.net/photo/4-Zl_01XNFra0sRrpmzokQ==/5430496725679682001.jpg" target="_blank"></a>
路由标記:針對釋出到網通線路的伺服器的通信(注:此配置為說明問題的錯誤方式)
<a href="http://img.bimg.126.net/photo/sSOR4PrbE95WqMnHg8b7iw==/5430496725679682007.jpg" target="_blank"></a>
做路由标記(注:此配置為說明問題的錯誤方式)
正确的配置如下:
連接配接狀态選擇:new;In.Interface選擇 電信出口
(後記:上圖抓圖時弄錯了,應該選in interface為LAN)
對建立連接配接标記連接配接
對标記連接配接的包做标記路由
上幾圖中為了精确标記随後政策路由所作用的接口,應指定 in. Iterface接口。Connection State應該選擇:new
本政策路由的目的是:增加一個優先級比網通電信靜态路由表優先級高的政策路由,以便讓外部電信使用者通路内部網通伺服器的本應從電信接口出去的應答資料走網通出口,是以路由作用的接口應該是電信接口,也就是in. Interface選擇TEL電信。
<a href="http://img.bimg.126.net/photo/iw1Zc2CqGGFhVQiqiPTQCg==/5430496725679682020.jpg" target="_blank"></a>
做政策路由
二、雙線路由器上的服務與外部通信
外部到路由器的通信較單一,可以很明确的标記出某個連接配接,且此連接配接不會經過ROS變換。下面展示了ROS中,不管電信或網通使用者都可以使用ROS的電信或網通IP遠端連接配接到WINBOX的配置。
<a href="http://img.bimg.126.net/photo/fiZVc6M1Fbe7y8vpfXEs2A==/302304124987992862.jpg" target="_blank"></a>
注:上圖請務必要選擇Connection State:new,否則可能會因為大量政策路由導緻ROS性能問題
<a href="http://img.bimg.126.net/photo/PxIOixNmz3716KvZ_7XsJA==/5430496725679682081.jpg" target="_blank"></a>
到ROS的通信,chain 要選擇input,根據IP-端口對連接配接做标記
<a href="http://img.bimg.126.net/photo/8VPIq1pkBs4LHpDDXmfP8w==/5430496725679682085.jpg" target="_blank"></a>
從ROS出站的通信,Chain選擇 output
上圖中如果選Out.Interface,應該選電信接口(原因在上面已經說明)
<a href="http://img.bimg.126.net/photo/y9tGkIx9iFOXOdP6b_l-og==/5430496725679682086.jpg" target="_blank"></a>
對原來做過标記的連接配接做路由标記
上面幾圖中,雖然沒有指定In. Interface和Out.Interface,但不影響結果。實際上,在做路由标記時,應該指定相應的In. Interface和Out.Interface。針對上圖的标記路由,接口應該選擇電信。
最後将做了路由标記的資料包送到指定的網關中:
<a href="http://img.bimg.126.net/photo/94GjfjNA4dpUa2h2fFt2ag==/5430496725679682095.jpg" target="_blank"></a>
上面是針對外部使用者通過網通IP來通路ROS上的服務時做到“從哪裡來就從哪裡回”的配置。外部使用者通過電信IP來通路ROS上的服務的配置和上面一樣,隻要更改對應的電信IP即可。
本文轉自 h2appy 51CTO部落格,原文連結:http://blog.51cto.com/h2appy/779863,如需轉載請自行聯系原作者
![如何在大流量場景下雲淡風輕地進行線上釋出?[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)