L2 Device利用Transparent Monitor方式实现健康检查

                                                                                                                                                                                                                     神州数码（深圳）有限公司      苏瑜亮

Transparent Monitor健康检查的目的是防止一些L2设备在故障时，可以转发L3数据包，但主进程不能处理业务的这种情况，以实现对L2设备精准的健康检查。在sslo上对安全设备配置Transparent Monitor健康检查，在sslo上实行对真正服务器业务的探测。

探测方式：流量从sslo到达安全设备，再经过安全设备到真正的服务器，拿到服务器的返回结果。

实际流量经过：健康检查首先在sslo上进行流量的触发，到达L2 Device，经过L2 Device处理，流量再回到sslo，流量到达sslo的vs后，转发到下一层的vs，实现对真正服务的健康检查。

注意：通过sslo模板建立的全0的名为ssloS_xxx的vs是不会处理源地址为sslo的流量，这个ssloS的vs只会处理源地址为上一层设备地址的流量。

这个时候就需要建立一个业务vs，用来接收L2 Device的流量，pool number的地址可以为下一跳的vs地址（可以是server地址，也可以不关联）；这个vs的地址为monitor中transparent的alias的address（例：20.2.2.200）

注意：由于二层设备通过route domain来实现对安全设备的探测，所以限定源地址(源地址为sslo上流量发往安全设备的接口地址)和vs地址也需要%65000这样的方式来接收健康检查的探测。

 在sslo的service模块下关联我们创建好的transparent monitor

但是，这时候配置完之后我们发现L2 Device反而呈现不可用状态

是不是探测没有通过呢？然而我们抓包分析icmp报文回包都正常：

这时候又会发现icmp报文中还有ipv6的地址，这又是怎么回事呢？

这个时候先不要急，我们要注意sslo会通过模板建立很多vs用来分发流量和接收流量；分为两大类tcp和udp的流量。

          三层设备会创建出4个vs分为两部分internal是f5设备用来发流量给安全设备，还有一部分是全0的standard类型的流量用来接收安全设备返回来的流量。

          不过两层设备会创建出来8个vs，除了跟三层安全设备一样有两类发出跟接收流量的vs外，还分出来一套ipv6的地址划分。因为对于两层设备来说是没有地址的，f5会通过route domain的方式给两层设备虚拟一个地址，这个地址用来实现对安全设备的探测。

到这里就明白了，由于transparent monitor的alias地址是ipv4类型，所以ipv4的icmp探测虽然是正常的，但是ipv6的transparent monitor是失败的。

这种时候我们有两种解决方法：

1、新建一套ipv6的transparent monitor proflie

2、将ipv6的transparent monitor改成gateway_icmp

完成这一步后，我们再看L2 Device状态就恢复正常了：

除此之外，HTTP/TCP的Transparent monitor也可按照此方式设置。也可通过iRules去自动响应探测报文，返回http status 200的方式实现monitor；iRules可参考以下模版：

when HTTP_REQUEST { 
    HTTP::respond 200 
}