1676260100,

防火墙做点对点接入，下级交换机做堆叠

组网及组网描述：

1-远程端准备接入点IP分别为：172.37.3.1/3

2-防火墙本地端接入设备，采用H3C_F1

3-内网设备采用H3C S55

4-内网地址：192.168.1.

附件下载： Image 1.png
2

看这个需求应该是防火墙vrrp结合NAT的组网

必然在两个防火墙上配置同样的nat server,有可能造成mac地址冲突。 nat server的公网地址均响应ARP，这些公网地址响应ARP的MAC地址是接口MAC。相同的公网地址使用的是不同的接口MAC地址，因此出现ARP冲突，时通时不通的现象。

V5防火墙通过在nat配置后面track vrrp解决。缺省情况下，创建vrrp备份组后，会自动生成与之对应的虚拟MAC地址，虚拟IP地址与此虚拟MAC地址对应。如果配置了track vrrp参数，发送的arp就是虚拟MAC地址，不再出现ARP冲突。

而V7防火墙没有track vrrp的功能，无法通过V5的方式解决。在nat配置较少的情况下，可以通过 把NAT公网地址配成virtual-ip 方式规避；NAT公网地址配成virtual-ip后，以虚拟MAC地址响应ARP，问题得以解决。

2

CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。,H3C组网简单网络调试咨询指导