防火墙旁挂
- 0关注
- 0收藏,455浏览
问题描述:
1、三台pc的网关在二级交换机上,与一级交换机之间运行ospf协议。
2、一级交换机为M-LAG加VRRP,二级交换机为IRF。
3、在PC10 和PC11 直连的交换机上配置策略路由将流量引到防火墙12上。
现象:
PC10 和PC11 正向可以ping通PC9 。 反向PC9无法ping通PC10 和PC 11 。旁挂防火墙关闭可以正常通讯。
怀疑可能是往返路由不一致造成。有什么好的解决方案???
组网及组网描述:
- 2024-03-30提问
- 举报
-
(0)
开一下宽松模式试试
[H3C]session state-machine mode loose
- 2024-03-30回答
- 评论(2)
- 举报
-
(0)
宽松模式开启后不会生成会话。
有会话,不检查而已,你这是来回路径不一致造成的
原因是,PC9主动访问PC10和PC11的路径是PC9到二级交换机-M-LAG的一级交换机,之后到连接PC10的交换机,到PC10,这一流量是没有经过防火墙的,此时PC10回包,要先到二级交换机,之后从二级交换机PBR到防火墙,但是此时属于回包,也就icmp-echo-reply,而防火墙的状态检测机制因为没有收到前序的icmp-echo-request报文是无法通过检测放行的,也就是要求第一个包需要经过防火墙(就是PC9访问PC10的echo-request包),可以在PC9的那个二级交换机上也做个PBR,从防火墙走一圈
- 2024-03-30回答
- 评论(5)
- 举报
-
(0)
走的话,你就比如在PC10的二级交换机上,连接M-LAG的三层接口,做个PBR,要么你就把PC10访问PC9的流量,不让他走PBR都行
还有交换机记得关掉fast-forwarding load-sharing
需要将旁路的防火墙地址也宣告进OSPF?
宣告那玩意干啥,上面说了啊,就是你PC9访问PC10的时候去的时候不走防火墙,回来的时候走防火墙导致的,你只要保证PC9访问PC10,去的时候也走防火墙,或是都不走防火墙不就行了
回来的流量你要如何走防火墙呢? pc9上面的二级交换机没有到防火墙的路由
走的话,你就比如在PC10的二级交换机上,连接M-LAG的三层接口,做个PBR,要么你就把PC10访问PC9的流量,不让他走PBR都行
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
有会话,不检查而已,你这是来回路径不一致造成的