1、附件看不到
2、防火墙有链路负载功能,直接用防火墙的链路负载,更智能
https://zhiliao.h3c.com/Theme/details/74681 这个吗?
用track组联动测试下:
两个组分别探测网关和公网两个的可达性看看
# 启动测试
[H3C] nqa schedule admin yidong_fast start-time now lifetime forever
[H3C] nqa schedule admin yidong_business start-time now lifetime forever
# Track配置
[H3C] track 10 nqa entry admin yidong_fast reaction 1
[H3C] track 11 nqa entry admin yidong_business reaction 1
# 组合判断:两个都必须通
[H3C] track 100 list boolean and
[H3C-track-100] object 10
[H3C-track-100] object 11
问题描述
客户现场F1000-AK1130型号防火墙做出口设备,使用双出口,通过配置静态路由调整优先级的方式实现出口NAT主备切换。测试时发现当主链路DOWN掉时,切换到备链路还正常,但是主链路恢复后,备链路流量无法正常切回到主链路上,连通性存在异常,现场测试时是使用的直连防火墙的PC直接ping外网地址。
过程分析
检查防火墙配置,静态路由相关的配置如下,主链路调用了track联动,但是现场反馈是否调用track联动项时故障现象一致。
#
ip route-static 0.0.0.0 0 124.160.30.241 preference 100
ip route-static 0.0.0.0 0 Dialer0 track 2
#
检查安全域配置时发现两个出口Dialer0和1/0/7添加到了同一个安全域中,安全策略放通正常
#
security-zone name Untrust
import interface Dialer0
import interface GigabitEthernet1/0/1
import interface GigabitEthernet1/0/6
import interface GigabitEthernet1/0/7
#
查询官网说明后得知,广域网双出口组网环境中,分别在NAT设备的出接口(假设为Interface A和Interface B)下配置出方向动态地址转换(引用不同的地址组),基于出接口所属安全域的不同情况,NAT设备的处理机制有所不同:
·如果两个出接口属于不同的安全域,当Interface A的链路发生故障切换到Interface B的链路时,NAT设备会删除原来的会话表项,由流量触发重新建立NAT会话,保证用户访问外网的业务不受影响。
·如果两个出接口属于相同的安全域,当Interface A的链路发生故障切换到Interface B的链路时,NAT设备不会删除原来的会话表项,流量与原来的会话表项匹配,导致用户无法访问外网。为了避免该问题的发生,请开启主备链路切换后的NAT会话重建功能,保证用户业务的可用性。
解决方法
现场正是因为将两个出口加入到了同一个安全域内,且测试业务时使用的是长ping外网地址的方式,导致链路切换后,设备未删除原来的会话表项,长ping使会话一直处于未老化的状态,从而匹配了错误的会话表项导致报文不通。
现场问题可以通过如下两种方法解决:
1、
2、
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
可以参考这个