Netscreen
用於出站連接的 ScreenOS MIP 選擇
給定具有此配置的 ScreenOS 6.3.0 防火牆:
unset flow reverse-route clear-text set interface "ethernet0/0" zone "Trust" set interface ethernet0/0 ip 192.168.1.1/24 set interface ethernet0/2 ip 10.0.0.1/24 set interface ethernet0/2 mip 10.9.9.10 host 192.168.1.10 netmask 255.255.255.255 vr trust-vr set interface ethernet0/2 mip 10.8.8.10 host 192.168.1.10 netmask 255.255.255.255 vr trust-vr set route 0.0.0.0/0 interface ethernet0/2 gateway 10.0.0.254…(並假設有適當的策略)有沒有辦法控制防火牆為 192.168.1.10 發起的出站連接選擇哪個 MIP?(大概是因為我希望上游 10.0.0.254 根據其源 IP 對數據包做不同的事情)。
**更新:**好的,我的情況是這樣的:我有兩個 ISP 上行鏈路,每個都給我不同的 IP 空間。每個 ISP 只會路由他們分配給我的 IP 空間。
因此,為了讓兩個 ISP 都可以訪問伺服器,我需要為同一台伺服器提供兩個 MIP,每個介面上一個。入站流量將在使用“未設置流反向路由明文”選項時正常工作。
但是對於出站(想想發送消息的電子郵件伺服器),我需要一種方法來選擇合適的 MIP,具體取決於我希望系統使用的出站連結,並且我希望它具有彈性,以便如果防火牆首選的連結出現故障一夜之間,我不必手動翻轉某些東西來保持郵件暢通。
基本上我試圖避免購買連結平衡器設備(或兩個,因為我需要一個集群)。
有沒有辦法做到這一點?
假設您想同時主動控制兩條出站鏈路(即係統 A 使用 IP A 並發出上行鏈路 A,系統 B 使用 IP B 並發出上行鏈路 B)答案是否定的,您不能。您需要一個連結平衡器。
如果您不關心出站流量使用哪個連結,您可以設置兩個 MIP(每個 ISP 連結一個)並設置 ip-tracking 路由,防火牆將選擇“最佳”一個(即它將使用一個然後停止失敗時使用它)。您可以使用路線排序和指標來偏向選擇。
但最重要的是,要進行控制,您需要一個連結平衡器。
如果您有支持,請致電 JTAC。