Outbound 链路负载均衡排错

一、 Outbound 链路负载均衡不通的常见问题

无法上网、控制不了出口选路、服务器映射不成功

二、 如何排查链路负载均衡不通的原因

1、 关闭负载均衡虚服务

通过在虚服务 undo service enable，可以关闭虚服务功能。在没有关闭前，经过防火墙的流量都会匹配虚服务走负载均衡，不再受路由表控制。关闭虚服务后，流量又会被路由表转发。因此如果关闭后问题解决，网络不再中断，可以判断网络没有问题，是负载均衡功能导致的问题；如果关闭后问题依旧，需先排查网络的问题。可以查一下网关是否正常，路由是否配置正确等。

2、 查看健康性检测是否正常

健康性检测简单讲就是通过不断探测下一跳是否可达来判断链路是否正常。如果网络出口网关可达，设备就会认为其健康，并将报文根据相关算法转发到此链路。一旦出现下一跳不可达，此链路不再用来转发，直到恢复健康。因此，网络不通可能是健康性检测有问题。通过命令 display loadbalance link-group 可以看到链路状态情况。每一条 link 都有一个 state，state 如果是active，说明健康性检测正常，inactive 说明有问题，可以排查下一跳路由或者 NQA 配置是否正确。需要注意的是，图中命令在使用前需要开启虚服务，否则 state 无法显示正确。

3、 查看负载均衡策略配置是否正确

负载均衡类用来匹配特定流量，包括匹配 ACL、源 IP、目的 IP、 ISP 表项等。负载均衡动作用来匹配链路组，表示匹配的流量强制送到此链路组上。 除此之外，负载均衡动作还可以定义为forward all，即直接走路由转发。负载均衡策略用来关联 class 和 action。 由于负载均衡策略是自定义策略，因此各项配置都有可能出错。

虚服务下去掉策略可以知道是否是策略出错，如果业务流量走默认链路组没有问题，基本可以确定是负载均衡策略导致故障，如果发现还是有问题，先检查链路组是否有异常。

4、 查看链路组配置是否正确

链路组包含了多个链路的相同属性，如算法、转发模式、探测模式等。检查链路组就是检查这些参数是否配置正确。在链路负载均衡中，有些参数是必须要配置的，如透明模式必须开启，健康性检测必须配置，并且配置正确。

5、 配置注意事项

1) 链路组需要开启透明模式；

2) 当有由外到内的流量（比如 nat server 映射）时，需要做防环处理，匹配由外到内的流量关联直接转发动作，防止匹配虚服务；

3) 链路繁忙保护只对同一链路组的链路有效；

4) 虚服务开启后健康性检测才能生效；

5) 虚服务开启后，匹配虚服务的流量不再走路由表；

6) 根据需求，深入分析后再调节算法及策略，尽量不要使用默认策略；