上海某教育集团总部网络出口由4根ADSL线路组成,全部是动态IP地址,原来是使用TP-Link路由器来作为出口并做负载均衡,改造后使用Juniper SSG140防火墙作为Internet出口,并且做一个到IDC机房的Site-to-site ×××,测试×××的时候使用一根ADSL线路,×××测试通过后没有拔掉,最近他们又把其它三根ADSL线路也接到防火墙上,并且想实现负载均衡,

由于我之前也没有用过Netscreen的ECMP功能,看一些文档,摸着石头过河,我那天上午睡过头了,调休半天,他们正好这天要启用,我就告诉他们怎么操作,在Untrust区域开启了ECMP功能,最大负载链路数设置成4个,当时他说很快,哈哈,其实是心理作用,或者是测试的时候使用网络的人较少。
 
因为我去他们机房后看到只有e0/3接口指示灯闪的比较快,e0/2、e0/4、e0/5 这三个外网接口指示灯基本不闪,说明没有流量通过,也说明ECMP没有生效。然后我在trust的区域添加了4条默认路由,4条默认路由Gateway分别指向e0/2、e0/3、e0/4、e0/5,然后在untrust区域的ECMP关掉,在trust区域启用ECMP,允许最大链路数为4。
说明一下,e0/0是内网接口,e0/2、e0/3、e0/4、e0/5连接ADSL线路是外网接口。
 
上午没有问题,大家感觉网速很快,过一会有人找到他们的IT反应工商银行的网上银行不能使用,我没在意以为是她的计算机有问题,装一个工商银行的插件就可以了,下午有几个人来找说很急,有几笔钱要付,前几天还能用就今天不能用,我意识到可能是防火墙的问题,前几天只是用一个ADSL,今天ECMP生效后是4根ADSL都在用,都有流量通过。
 
在网上找到一篇文章说工商银行网上银行和中国移动网上营业厅都需要验证IP什么的,就是说必须使用同一个NAT转换后的IP地址来和它们的服务器(工商银行、移动相关的服务器)通信,还有解决方法说,打开nat stick功能“set dip sticky”,即可保证来自同一个源IP的不同会话始终被翻译成同一个IP地址,这样就可解决应用兼容性问题。
我连接到Netscreen上,把这个命令set ip sticky输进去,而且还保存了一下,然后让她们测试,工行网银依旧不能使用,说明没有生效。中间担心是不是命令输进去没有生效,需要重启一下设备(其实命令打上去就生效了,只是希望有奇迹),重启设备测试一下依然不能使用。
最后解决办法,把她使用工商银行网上银行进行DNS解析,解析后的地址是180.168.41.175,然后在trust区域添加一条到180.168.41.0/24的路由,网关指向e0/2这个出口,然后让她们再用加密狗进行工商银行网上银行的测试,能够登陆,点击里面的付款等等都正常,测试通过。(其实可以添加一条指向180.168.41.175这个IP的路由,由于担心会不会用到这个网段的其它IP地址,所以把这个网段都添加进去)