搬砖养你啊,F1030 IRF
问题描述:
现状:
两台F1030做的堆叠,V7版本。一条电信外网专线接到主防火墙上,对内是一台安全设备,同样一条网线接到主防火墙上。如图:
路由是静态路由,一条默认路由指向电信,接口上做得有端口映射。
对内的安全设备只能连一根线到主防火墙,目前所有数据也只走主防火墙,并没有配置冗余接口、冗余组。
所以目前的堆叠只是为了在主防火墙设备坏了后通过人工进行线路切换到备用。
需求:
现要新增一条联通外网专线,使两条专线同时能跑业务,把之前电信接口下的端口映射复制过来。
问题:
1、我新增的联通专线是接在主防火墙还是备防火墙?
2、如果接备防火墙,是否存在流量不能跨框,业务来回路径不一致的情况?
3、无论联通专线接在哪台,路由上我是不是只需增加一条到联通的默认路由即可?
最佳答案
1、建议新出口依旧连主设备
2、业务走双主有很多限制,建议跑单边
3、增加等价路由即可,如果有nat server业务,需要在外网口配置保存上一条功能ip last-hop hold
两个外网口都需要配置保存上一条吧?
搬砖养你啊IRF是把两台物理设备逻辑成一台。两条专线同时跑业务,一根接主一根接备。
至于分流,应该是NQA+TRACK+PBR策略路由。
2根宽带分别跑不同业务,或者跑不同部门。自动探测出口可达性,如果出口其中一端断掉,可以自动切换到另一出口。
telnet server enable 开启Telnet服务
local-user admin 创建本地用户
password simple admin@123 设置密码
authorization-attribute level 3 设置用户权限
service-type telnet ssh 服务类型
quit
acl number
rule 0 permit source 192.168.40.0 0.0.0.255 总经办通过电信出口
acl number
rule 0 permit source 192.168.10.0 0.0.0.255 其他部门通过联通出口
rule 5 permit source 192.168.
rule 10 permit source 192.168.30.0 0.0.0.255
acl number 3
rule 5 deny ip source 10.10.10.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
rule 6 deny ip source 10.10.10.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 10 permit ip
quit
interface Ethernet0/0 配置与ACG互联ip地址
ip address 192.168.
quit
ospf 1 启用ospf并通告内网互联网段
default-route-advertise 将缺省路由通告到OSPF区域
area 0
network 192.168.
interface Ethernet 0/1 配置与电信互联端口ip地址
ip address
description to dianxin
nat outbound 3
quit
ip route-static 0.0.0.0 0.0.0.0 172.16.3.254 去往联通的路由
ip route-static 1.1.1.0 255.255.255.0
ip route-static
ip route-static 192.168.1.0 255.255.255.0
ip route-static 10.1.1.0 255.255.255.0
interface Ethernet 1/0 配置与联通互联端口IP地址
nat outbound 3
ip address 172.16.3.42 255.255.255.
nat server protocol tcp global 172.16.3.42 8080 inside 10.10.10.10 www 映射web服务器
nat server protocol tcp global 172.16.3.42 ftp inside 10.10.10.
quit
policy-based-route 1 permit node 1 创建策略节点,进入节点视图
if-match acl
apply ip-address next-hop
quit
policy-based-route 1 permit node 2 创建策略节点,进入节点视图
if-match acl
apply ip-address next-hop 172.16.3.254 track 1 配置策略节点动作,报文的下一跳
quit
nqa entry admin test 创建NQA测试组,进入测试组视图
type icmp-echo 类型icmp-echo,进入测试类型视图
destination ip 172.16.3.254 测试操作的目的地址
source ip 172.16.3.42 配置探测报文源地址
frequency 5000 测试频率为5000ms
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only 建立联动项1,如果连续测试3次失败则触发相关动作
quit
nqa entry admin root 创建NQA测试组,进入测试组视图
type icmp-echo 类型icmp-echo,进入测试类型视图
destination ip
source ip
frequency 5000 测试频率为5000ms
reaction 2 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only 建立联动项1,如果连续测试3次失败则触发相关动作
quit
track 1 nqa entry admin test reaction 1 创建NQA测试组中指定联动项关联的Track 1
track 2 nqa entry admin root reaction 2 创建NQA测试组中指定联动项关联的Track 2
nqa schedule admin test start-time now lifetime forever 启动探测组及时间
nqa schedule admin root start-time now lifetime forever 启动探测组及时间
interface Ethernet0/0 在内网入接口上启用策略路由
ip policy-based-route 1
quit
谢谢大佬回答 我这里主要是业务不分流,两个外网都可以跑
搬砖养你啊也可以做的。
三界之内我是神你正在,F1030 IRF
