请教一个问题。。。

yuu2lee4 · 发表于 2012-12-24 23:12:28

本帖最后由 yuu2lee4 于 2012-12-25 13:55 编辑

juniper防火墙 SSG520（M）是主设备，它与备设备SSG520（M）配置同步
这是 SSG520（M）的部分配置：
set route 211.136.91.224/27 interface ethernet0/2 gateway 172.16.0.2 preference 20 metric 20
set route 211.136.91.224/27 interface ethernet0/2 gateway 172.16.0.3 preference 30 metric 20
set route 192.168.13.192/27 interface ethernet0/1 gateway 172.16.1.2 preference 20 metric 20
set route 192.168.13.192/27 interface ethernet0/1 gateway 172.16.1.3 preference 30 metric 20

问题是：当主设备整机切换到备设备后：
set route 211.136.91.224/27 interface ethernet0/2 gateway 172.16.0.2 preference 20 metric 20
set route 192.168.13.192/27 interface ethernet0/1 gateway 172.16.1.2 preference 20 metric 20
这两条路由并没有因为下一条不可达而失效，但这导致了防火墙内部访问外部流量异常，请问怎么解决？
ps：路由器上不可做vrrp

strongerwxq · 发表于 2012-12-25 10:44:28

对于juniper防火墙的具体配置还不是很清楚，之前主要接触的是cisco的防火墙为主。
但估计原理应该是相通的。静态路由条目失效的标志是本地出接口down或下一跳不可达。
下一跳不可达的检测，中间是不允许有传输设备存在的。否则需要用到IP SLA检测技术。
如果是使用模拟器进行实验，也无法检测下一跳可达性，也需要IP SLA的配合。
对于你的这个拓扑，你可以尝试在对端关闭接口。看看本端条目是否会失效。
希望对你有帮助，一起交流学习。

账号		自动登录	找回密码
密码			立即注册

[讨论/求助] 请教一个问题。。。

本帖子中包含更多资源

点评