防火墙F1000中策略路由和保持上一跳,在转发的时候哪个更优先
- 0关注
- 0收藏,170浏览
问题描述:
客户一个F1000防火墙,上面有两个互联网出口,一个是到中科院,一个是移动线路,中科院走的是默认路由,移动是手动配置明细的三大运营商的ISP路由,对外提供了一个WEB服务,解析出来的Ip是中科院的地址。
现在运营一个问题,就是如果互联网用户访问这个域名时,解析出来的地址是中科院的出口地址,报文进来后,WEB服务器回复报文时,目的地址是运营商的地址匹配的是移动出口的址,互联网用户访问不到这个域名,拔掉移动线路就正常。
接口上都配置了保持上一跳,都无效。
- 2024-04-15提问
- 举报
-
(0)
你这个策略路由的优先级居然没有默认路由实际的优先级高?说明你明细路由配置的有问题啊,
只能说明你明细路由并没有实际匹配到,被命中,然后走了默认路由。所以,
- 2024-04-15回答
- 评论(4)
- 举报
-
(0)
目的地址是运营商的地址匹配的是移动出口的址 ----这句话具体啥意思呢?
你这个内网的web服务器 上网的出口为 中科院?
然后你的需求是什么?需要更换为移动出口?
- 2024-04-15回答
- 评论(7)
- 举报
-
(0)
源进源出,因为用户访问WEB时,解析的DNS是中科院的地址,会从中科院的接口进去到设备,但是设备回复的时候,用户的地址在内网接口上匹配到的是移动的出口。
那你的上网流量是从哪一个口出去的呢? 我感觉是你的策略路由导致的 排查一下看看 或者有没有配置了ACL这些
正常访问国内的网站是走的移动出口,访问国外或者中科院走中科院出口。因为要访问国外,所以只能在中科院的出口上写默认路由。
那你这个web服务器 是国内 还是国外访问的呀? 中科院的出口 是否可以理解为一条专线? 然后你的需求是要把web服务器 设置为中科院的出口?
WEB提供给国内用户使用,现在问题是公网用户访问WEB时出现来回路径不一致,没匹配到保持一跳这个配置,匹配到了策略路由。
保持上一跳就能源进源出,如果匹配到策略路由就会变成从A口进来,从B口回去。
你配置了策略路由 肯定呀。。。 你写一条路由:web服务器地址 然后下一条为你的移动出口(注意优先级)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
不是呀,就是被策略路由匹配上了,回复报文时,从移动的出口出去了,进来走的中科院,回复变成移动。
可以单独给这个web用的ip做策略路由,出口选择中科院那条,或者通过单独给这个IPnat成中科院那条的IP,就行了,
路由选择,来来回回就这些事,把优先级和nat关系对应好即可
问题是外网不可供,如果把所有外网地址都匹配到中科院,那他们新拉的移动这条线路就没意义咯。