LVS - NAT模式

pond2539

NAT模式的拓扑图

NAT模式的工作过程:

client：202.100.1.2
VIP：202.103.106.5
Real-server：172.16.0.2 和 172.16.0.3（提供http和ftp服务）
1> client发送request到LVS的VIP上，VIP选择一个Real-server，并记录连接信息到hash表中，然后修改client的request的目的IP地址为Real-server的地址，将请求发给Real-server;
2> Real-server收到request包后，发现目的IP是自己的IP，于是处理请求，然后发送reply给LVS;
3> LVS收到reply包后，修改reply包的的源地址为VIP，发送给client;
4> 从client来的属于本次连接的包，查hash表，然后发给对应的Real-server。
5> 当client发送完毕，此次连接结束或者连接超时，那么LVS自动从hash表中删除此条记录。

下面是地址转换的过程：

NAT模式的几个细节问题
NAT模式的Bugs

在Linux的2.6版本，LVS-NAT不能做防火墙，在只有一个网关的情况下，没有任何问题。
防火墙不兼容：LVS的架构中，LVS的前端不能设置防火墙，修复的补丁”NFCT” patch。
源路由问题

ICMP重定向问题

一. 对于路由器来说，只有当如下条件同时满足的时候，才进行重定向

数据包的入接口和路由后的指定的出接口是同一个接口。
数据包的源IP地址和该包应走的下一跳IP地址属于同一个网段。
数据报非源路由的（这种情况应该比较少见了，源路由多见于Token Ring）。
系统开启重定向功能。

例如：
两个路由器都开启了IP重定向功能。HostA 的默认网关为1.1.1.1。当HostA要和不在同一网段中的HostB通信的时候，会把数据报递交给默认网关RT1。然而RT1经过查找发现到达3.3.3.3的路径下一跳恰恰是经由自己的E0/1口的RT2接口1.1.1.2。满足上述条件，将会发生重定向。

二. LVS为什么会产生ICMP重定向问题： * 在LVS-NAT模式下，如果LVS的各个成员，client，LVS，Real-server在同一个网段(比如：192.168.1.*/24)；

当Real-server将Reply发送回LVS时，Reply包是 RIP -> CIP的，LVS看到RIP-> CIP实际上根本没必要经过LVS，直接到网关就行了，因为大家在一个网段，所以产生ICMP重定向发送给Real-server；
Real-server收到ICMP重定向包后，如果Real-server的ICMP重定向开启了，Real-server就会处理ICMP重定向包，直接将Reply包发给网关，这时Reply包头并没有被LVS重写，所以LVS负载出现了问题。

注意：这种情况只会出现在所有的LVS的成员都在一个网段的情况下。

重定向的处理办法（Real-server的配置）：

1> 关闭Real-server的重定向，忽略LVS发来的重定向包

2> 删除到网段的路由：

执行：
realserver:/etc/lvs#route del -net 192.168.1.0 netmask 255.255.255.0 dev eth0
路由已经被删除了：

3> LVS-NAT模式支持四层的端口重写： LVS-DR，LVS-TUN不能修改client发来的请求的目的端口，但是LVS-NAT可以，参考命令：

shell> ipvsadm -a -t VIP:PORT -r RIP:NEWPORT -m -w 1
转自：http://www.cncentos.com/thread-3500-1-1.html