一、核心概念 (Concept)
一句話定義
Wildcard VIP 是一種特殊的虛擬伺服器設定,其目的 IP 位址設為 0.0.0.0/0 (或特定的子網段),用來捕獲並處理所有「未被特定 VIP 命中」的流量,通常用於透通模式防火牆負載平衡或對外連線的鏈路負載平衡 (WLLB)。
生活化比喻
想像一棟商業大樓。
特定 VIP (Specific VIP): 就像是「預約櫃台」,只接待要找「特定總經理 (Port 80/443)」的訪客。
Wildcard VIP: 就像是「大樓的總機與物流中心」。如果你沒有特定要找的人(不知道目的 IP),或者你要寄信到外面(去 Internet),你就會把包裹交給物流中心,由他們幫你決定是走「FedEx (ISP A)」還是「DHL (ISP B)」送出去。
二、運作原理 (Mechanism)
技術細節:封包流向與匹配順序
- 匹配優先權 (Best Match): ACOS 處理封包時,會優先比對是否有「Specific VIP」完全符合目的 IP。如果沒有,才會落入 Wildcard VIP (0.0.0.0) 的處理範圍。
- 對於 WLLB (WAN Link Load Balancing): 當內部使用者要上網時,目的 IP 是 Internet 上的任意位址(如 8.8.8.8)。因為這不是內網的 Server,所以會匹配到 Wildcard VIP。
- Next-Hop 選擇: Wildcard VIP 綁定的 Service Group 成員,在 WLLB 場景下,不是伺服器,而是 ISP 的「路由器 Gateway IP」。A10 會根據演算法(如 Round Robin, Weighted, Link-Cost)選擇一條 ISP 線路將封包送出。
- NAT 行為: 通常配合 Source NAT,將內部私有 IP 轉換為該 ISP 提供的公有 IP,確保回程封包能正確走回同一條線路。
關鍵參數設定
slb virtual-server wildcard-vip 0.0.0.0 acl [ID]
port 0 others
no-dest-nat (關鍵:不轉換 Destination IP,而是將 Destination MAC Address 替換為 ISP Gateway 的 MAC,確保封包能正確路由)
service-group [WAN-LINK-POOL]
template client-ssl [Forward-Proxy] (選用)
use-rcv-hop-for-resp (重要: 確保回程路徑一致)
三、架構視覺化 (Visuals)
場景:企業多線路負載平衡 (WLLB) 拓撲
Wildcard VIP 0.0.0.0] ISP1_R[ISP 1 Router
中華電信 Gateway] ISP2_R[ISP 2 Router
遠傳電信 Gateway] Internet((Internet
網際網路)) %% Links User -->|1. 上網請求| CoreSW CoreSW -->|Default Route| A10 subgraph A10_Process [A10 內部處理流程] direction TB Match{匹配 VIP?} Decision[Wildcard VIP 命中] LB[演算法選擇線路] SNAT[Source NAT 轉換] Match --> Decision Decision --> LB LB --> SNAT end %% Link into subgraph node A10 -.-> Match SNAT -->|2a. 線路A 負載較低| ISP1_R SNAT -->|2b. 線路B 備援/分流| ISP2_R ISP1_R --> Internet ISP2_R --> Internet %% Styles style A10 fill:#00205B,stroke:#333,stroke-width:2px,color:#fff style Internet fill:#FF8C00,stroke:#333,stroke-width:2px,color:#fff style User fill:#e1f5fe
封包處理詳細流程 (Sequence Diagram)
(192.168.1.10) participant A10 as A10 Thunder
(Wildcard VIP) participant ISP1 as ISP 1
(Gateway) participant Dest as Internet Server
(8.8.8.8) Note over Client, A10: 1. 使用者發起上網請求 (TCP SYN) Client->>A10: SYN (Src:192.168.1.10, Dst:8.8.8.8) activate A10 Note right of A10: 2. 查找 Specific VIP (無匹配)
3. 命中 Wildcard VIP (0.0.0.0)
4. WLLB 選擇線路 (ISP 1)
5. Source NAT (轉為 ISP1 IP)
6. no-dest-nat (關鍵設定)
(保持 Dst IP,僅修改 Dst MAC) A10->>ISP1: SYN (Src:202.x.x.1, Dst:8.8.8.8) deactivate A10 activate ISP1 ISP1->>Dest: 轉送至 Internet activate Dest Dest-->>ISP1: SYN/ACK deactivate Dest ISP1-->>A10: 回傳 SYN/ACK deactivate ISP1 activate A10 Note right of A10: 7. 反向 NAT (Un-NAT)
將 Dst IP 改回 192.168.1.10 A10-->>Client: SYN/ACK (Src:8.8.8.8, Dst:192.168.1.10) deactivate A10
四、實務應用場景 (Use Case)
案例:科技園區辦公室 WAN 頻寬整合
某科技公司申請了兩條光纖網路,分別是 1G 中華電信 (主線路) 與 500M 遠傳電信 (備援/分流線路)。IT 部門希望不要浪費任何一條線路的頻寬,並且當中華電信斷線時,員工能自動切換到遠傳電信繼續工作。
設定與解決方案
- Wildcard VIP: 建立一個 0.0.0.0 的 VIP,服務端口設為 "0" (Any)。
- no-dest-nat: 必要設定,確保封包送到 Internet 而非卡在 ISP Gateway (僅改 MAC)。
- Service Group: 加入兩個 Member,分別是中華電信 Gateway 與遠傳電信 Gateway。
- 權重設定 (Weights): 中華設為 2,遠傳設為 1 (依頻寬比例 2:1 分配)。
- 健康檢查 (Health Check): 設定檢查 8.8.8.8 或 Gateway IP,確保線路斷線時自動剔除。
優點與缺點分析
1. 頻寬利用率最大化 (Active-Active)。
2. 自動容錯 (Failover),使用者無感。
3. 單一設備管理所有對外策略 (如限速、應用程式識別)。
1. 設定較單純路由複雜 (需考慮 NAT Pool 與 no-dest-nat)。
2. 部分網銀或特定服務會綁定 Source IP,若線路頻繁跳動可能導致連線中斷 (需設定 Persistence/Sticky)。