Ситуация: есть два канала - практически равноправных, должны резервировать друг друга. На выходе стоит Vyatta Core 6.6r1.
Хотелось настроить балансировку исходящего трафика, что и было сделано с помощью wan-load-balancing. Но после этого появилась проблема, особенно заметная по HTTPS-сессиям: заходит пользователь на сайт, логинится, начинает работать - и тут через некоторое время Vyatta начинает слать его запросы по другому каналу. Внешний IP-адрес меняется, сайт ругается, авторизация слетает и т. д. Очень неудобно.
Для версии VC 6.6r1 есть официальные
Release Notes от компании Brocade. На странице 16 можно найти аналогичную "проблему" за номером 7503 и рекомендации к действиям:
The WAN load balancing feature is changing the source interface and address during outbound session from the inside. As a result, HTTPS sites (such as webmail and banking sites) are requiring the user to reauthenticate during the session.
Recommended action: To prevent this issue, create a separate WAN load balancing rule that exclusively binds HTTPS traffic to a particular outbound interface. If you do this, however, the HTTPS traffic does not receive the bandwidth aggregation benefits of load balancing.
В общем, предлагается весь шифрованный трафик пустить по одному каналу. Мне это видится редкостным костылем. Я, конечно, могу разбить пользователей на две группы и пустить их трафик по разным каналам, но как-то это не комильфо.
Хотелось бы, чтобы для HTTPS-трафика Vyatta в качестве "сессии" использовала не стандартную связку "IP-адрес:порт источника - IP-адрес:порт приемника", а "IP-адрес источника- IP-адрес:порт приемника" и хранила бы эту связку не две минуты, а, скажем, минут 10-15.
Можно ли решить эту задачу на Vyatta? Как эта задача решается на других маршрутизаторах?
Сложный
Простой
