细节决定成败2: 链路负载均衡遇到IPS

细节决定成败, 做技术的尤其如此。这里讲下另外一个遇到的真实案例：

我们采用了A10 AX系列部署在客户出口(电信+联通)作为链路负载均衡使用，采用双路冗余方式部署，如下图显示。




一次客户报障，内网用户访问个别网站时，会出现首页面可以打开，要求用户输入用户名和密码，但是然后页面无法显示的问题，如下显示:









排障过程

1) 确定目标网站无问题，其他客户可以正常访问

2) 确定从A10设备访问目标网站无问题

3) 检查是否NAT地址漂移问题：

出现用户输入用户名/密码后无响应的一个可能性是出口做NAT时，源IP客户发出的不同链接使用了不同的NAT地址，会有可能造成目标网站服务器认为连接不正常；

检查确认NAT使用同一地址，无问题

以后都无问题后，只能抓包分析：

4) 在客户端测试，A10 负载均衡设备上也抓包，分析，终于发现问题

负载均衡设备发现是客户端主动Reset





然而在客户端的抓包则显示服务器主动Reset

(注意：这2张图不是同一次测试的结果)





问题[/b]： 从客户端看，客户端并未主动发送Reset, 而A10设备又接收到从客户端发送的Reset报文，推测是在客户端和[/b]A10设备之间的其他设备（防火墙，IPS等安全设备）主动代理客户端Reset连接[/b]，导致客户端的连接失败。
基于这种情况，建议客户检查IPS设备，最终确认是IPS策略设置问题，对该网站的请求认为非法，主动替客户端发送Reset报文关闭连接，造成用户访问不正常。

此次监测的问题是，链路负载均衡设备作为出口设备负责全部流量的进出，在任何访问不正常的情况下都会被怀疑为故障的原因，只有认真的协调客户测试，对比结果才会发现问题的根源所在。

(J.L.)