防火墙做点对点接入,下级交换机做堆叠
1-远程端准备接入点IP分别为:172.37.3.1/30(主)-172.37.3.9/30(备)
2-防火墙本地端接入设备,采用H3C_F100-C-G2,2台。
接入远程端地址:172.37.3.2/30(主)-172.37.3.10/30 ,防火墙做VRRP
3-内网设备采用H3C S5500,两台设备之间做IRF堆叠。
4-内网地址:192.168.1.0/24 做一条本地映射,192.168.1.100 的80,90,8090端口可以通过172.37.3.2出去。
最佳答案
看这个需求应该是防火墙vrrp结合nat的组网
必然在两个防火墙上配置同样的nat server,有可能造成mac地址冲突。 nat server的公网地址均响应ARP,这些公网地址响应ARP的MAC地址是接口MAC。相同的公网地址使用的是不同的接口MAC地址,因此出现ARP冲突,时通时不通的现象。
V5防火墙通过在nat配置后面track vrrp解决。缺省情况下,创建vrrp备份组后,会自动生成与之对应的虚拟MAC地址,虚拟IP地址与此虚拟MAC地址对应。如果配置了track vrrp参数,发送的arp就是虚拟MAC地址,不再出现ARP冲突。
而V7防火墙没有track vrrp的功能,无法通过V5的方式解决。在nat配置较少的情况下,可以通过 把NAT公网地址配成virtual-ip 方式规避;NAT公网地址配成virtual-ip后,以虚拟MAC地址响应ARP,问题得以解决。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论