问题描述:
2台F1070防火墙做了IRF堆叠,作为公网接入层,有2组运营商提供的IP地址
下联一台三层S7506-E交换机,防火墙与交换机之间采用三层聚合方式连接
内网有多台服务器采用端口映射方式映射到其中一组运营商接口IP地址上
但现在碰到公网对映射端口连接时,时通时断的情况
请教这是什么原因?听有人说是冗余组的问题,请问冗余组如何配置?
组网及组网描述:
2台F1070 IRF之后用双线路三层聚合下联一台S7506
防火墙三层聚合口IP是192.168.1.1
7506的三层聚合口地址是192.168.1.2
7506上有多台服务器,服务器网关是10.0.0.1,服务器地址为10.0.0.20
需要把10.0.0.20的3389端口映射到防火墙的40001端口,但一直出现时通时断的情况
- 2017-08-16提问
- 举报
-
(0)
最佳答案
V7盒式防火墙做了IRF之后,下联设备不能做聚合,会产生跨框流量的。建议方案:
1.冗余组+冗余口实现主备;
配置要点:
1、两台F50X0组成IRF,与上下游设备可全交叉互联,也可单臂互联。对任意一侧流量,全交叉互联需要配置多个冗余口,单臂互联需配置一个冗余口。
2、冗余口成员接口可以是物理口、聚合口、物理子接口、聚合子接口(必须是三层接口)
3、由于冗余口是通过控制ARP响应来实现主备,要求对端设备必须使用二层口作互联口,三层使用vlan-interface组网
4、两台F50X0配置冗余组,冗余组成员为冗余口,Track项配置如下:
5、该组网可以保证业务流量同一时刻只在主设备设备,适用于NAT和FW场景。热备可选开启。
冗余切换:
2.冗余组+路由方式实现主备;
配置要点:
1、两台F50X0组成IRF,与上下游设备可全交叉互联,也可单臂互联。路由模式,每一互联链路都需要配置独立的互联地址
2、互联链路可以是物理链路、聚合链路、子接口、vlan-interface,需保证两台设备分别配置不同的互联地址
3、F50X0配置冗余组,将本框各互联接口加入冗余组作为Node Member,保证一个接口故障时联动其他接口shutdown以实现整体切换,冗余组Track各成员接口(另一种方案是Track NQA,关联故障口为NQA探测报文发送出接口)
4、上下游设备通过路由优先级实现流量只上主设备:静态路由需要手工配置非等价形式,动态路由根据路由协议实现非等价形式
5、F50X0可配置等价路由,但必须同时配置路由本地优先转发,保证流量从接收设备本地发出
6、该组网适用于NAT和FW场景,正常情况下同一条流只走单边,故障恢复期间会有临时非对称流量,热备可选
7、冗余切换:
1)端口故障,不涉及HA批备。可以设置为不回切或者立即回切
2)整机故障重启:涉及HA批备。设置为立即回切时,在系统启动过程中,除故障口外的其他接口会被冗余组down,当故障口UP时触发回切,但如果会话未备份完毕,可能会出现业务中断,因此不建议立即回切
- 2017-08-17回答
- 评论(2)
- 举报
-
(0)
问题已解决,非常感谢!
防火墙是V7版本的,具体版本是V7.1.064
我在防火墙的WEB配置页里能看到有冗余组选项
如果可以配置,我冗余组配置应该如何配置呢?
是将聚合口加入到冗余组内么?
是否需要将聚合口取消呢?
- 2017-08-16回答
- 评论(1)
- 举报
-
(0)
在kms里面有典型案例的。如果配置的话,要解除聚合状态的
在kms里面有典型案例的。如果配置的话,要解除聚合状态的
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
不客气,之前也遇到了类似问题,研究了一段时间才知道的这些限制。