好的,这是一个非常专业且经典的LVS隧道模式(TUN)网络问题。当LVS使用IPIP隧道模式时,后端服务器(Real Server, RS)收到了包但无法正确返回,排查思路需要清晰地遵循数据包的流向。
核心原因分析
问题的根本原因几乎总是:回程流量没有经过LVS调度器(Director Server, DS),或者虽然经过了但被丢弃了。
在IPIP模式下:
- 请求流程:客户端 -> LVS DS -> (IPIP封装) -> RS
- 响应流程:RS -> (直接路由) -> 客户端
关键在于第2步:RS必须将响应包直接发送给客户端,而不是发回给LVS。如果RS的路由配置不正确,或者有安全策略阻止了这种直接通信,就会导致问题。
可能的原因及排查步骤
请在后端服务器(RS)上按照以下顺序进行排查:
1. 检查VIP在RS上的配置
这是最常见的原因。VIP必须在RS的本地环回接口(lo) 上,并且子网掩码必须是255.255.255.255(或 /32)。
- 检查命令:
ip addr show dev lo - 正确配置示例:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet 192.168.1.100/32 scope global lo # <- VIP在这里,必须是/32 valid_lft forever preferred_lft forever - 问题与修复:
如果VIP不在
lo上,或者不是/32掩码,需要正确添加:ip addr add <VIP>/32 dev lo
2. 检查ARP抑制配置
为了防止RS响应来自客户端对VIP的ARP请求(这会造成ARP欺骗),必须开启ARP抑制。
- 检查命令:
查看
arp_ignore、arp_announce、accept_local、rp_filter等内核参数。 - 标准配置通常包括:
echo "1" > /proc/sys/net/ipv4/conf/all/arp_ignore
echo "2" > /proc/sys/net/ipv4/conf/all/arp_announce
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter #严格的反向路径校验可能会丢包,有时需要设为2或0
#对于每个具体接口(如eth0),也建议设置
echo "1" > /proc/sys/net/ipv4/conf/eth0/arp_ignore
echo "2" > /proc/sys/net/ipv4/conf/eth0/arp_announce
#为了解决IPIP包源地址是外部的问题,可能需要启用accept_local和route_localnet(如果需要本地处理127.x.x.x)
echo "1" > /proc/sys/net/ipv4/conf/all/accept_local
echo "1" > /proc/sys/net/ipv4/conf/tunl0/accept_local #如果使用了tunl0设备
注意:这些参数的设置可能因系统版本和需求而异。
####3.关键!检查路由表
这是另一个极其常见的原因。RS在回应客户端时,必须通过其默认网关(或指向客户端的特定路由)将包直接发出,而不能将VIP作为源地址的包再路由到LVS。
- 检查命令:
ip route get <Client_IP> from <VIP>
这个命令模拟了一个场景:“如果我以VIP为源地址,发送一个包给Client_IP,内核会如何路由它?”
- 期望结果: 结果应该显示通过你的物理出口网卡(如eth0)和默认网关出去。
<Client_IP> from <VIP> dev eth0 src <RS_Real_IP> uid 0
cache
- 错误结果示例:
如果结果显示通过
tunl0、lo设备或者下一跳是LVS的IP,那肯定是错的。这说明系统认为去往客户端的包应该走隧道回去。
####4.检查防火墙规则
防火墙可能丢弃了来自非预期源地址的包。由于RS是以VIP作为源地址直接回复客户端的,防火墙规则可能会认为这是一个“伪造”的包(Spoofing)。
- 检查命令 (以iptables为例):
iptables -t filter -L -n -v
iptables -t nat -L -n -v #通常NAT表不应该有影响规则的规则,但也要检查
- 排查方法: 临时清空防火墙规则进行测试(生产环境慎用!):
iptables -t filter -F
iptables -t nat –F
如果清空后通信恢复正常,说明问题出在防火墙规则上。你需要添加规则允许来自VIP的流量出去。例如:
iptables -t filter -I OUTPUT -s <VIP> -j ACCEPT
####5.使用Tcpdump抓包分析
这是最强大的诊断工具。在RS上同时抓取物理接口和隧道接口的包。
- 抓包命令:
#在物理接口上抓取与客户端的通信 tcpdump -i eth0 -n host <Client_IP>
#在隧道接口(tunl0)或所有接口上抓取与客户端的通信 tcpdump-i any-n host<Client_IP>
- 分析内容:
- 确认你能看到从客户端发来的、解封装后的原始请求包(目标IP是VIP)。
- 确认你能否看到RS发出的、以VIP为源地址、直接发往Client_IP的SYN+ACK包(如果是TCP)。如果你能在
eth0上看到这个出去的SYN+ACK包,证明RS已经成功发出。 - 如果在
eth0上看不到出去的响应包,但在tunl0上看到了它被发往LVS的方向去了——这强烈指向路由问题。 - 如果在
eth0上能看到出去的响应包,但一直收不到客户端的ACK——这通常意味着中间的某个网络设备(交换机、路由器、客户端的网关)因为ARP问题或不对称路由将其丢弃了。
###总结排查流程图
可以按照以下决策树快速定位:
graph TD A[后端服务器接收到了 IPIP请求] --> B{检查 VIP是否在 lo:<br/>且为 /32}; B --是--> C{执行 ip route get <client_ip> from <VIP>}; B --否--> D[配置 VIP]; D --> B; C --结果通过 eth0出去--> E{临时禁用防火墙测试}; C --结果通过 tunl0等错误路径--> F[检查和修正路由策略]; F --> C; E --问题解决--> G[修正防火墙规则]; E --问题依旧--> H[使用 Tcpdump追踪数据流]; H --> I[根据抓包结果定位网络设备或客户端问题];
按照以上步骤系统地排查,“有去无回”的问题基本都能得到解决。最常见的原因是第1点(VIP配置)和第3点(路由策略)。
内容由零声教学AI助手提供,问题来源于学员提问
![异常服务器收到的包如下0:38.316208 IP (tos 0x0, ttl 112, id 0, offset 0, flags [DF], proto IPIP (4), length 72)
172.22.132.131 > 10.26.211.160: IP (tos 0x0, ttl 118, id 12337, offset 0, flags [DF], proto TCP (6), length 52)
121.35.103.108.5816 > 172.2...](https://linuxcpp.0voice.com/zb_users/upload/2023/05/202305162224299866311.png)
