请教一个问题。。。
本帖最后由 yuu2lee4 于 2012-12-25 13:55 编辑juniper防火墙SSG520(M)是主设备,它与备设备SSG520(M)配置同步
这是SSG520(M)的部分配置:
set route 211.136.91.224/27 interface ethernet0/2 gateway 172.16.0.2 preference 20 metric 20
set route 211.136.91.224/27 interface ethernet0/2 gateway 172.16.0.3 preference 30 metric 20
set route 192.168.13.192/27 interface ethernet0/1 gateway 172.16.1.2 preference 20 metric 20
set route 192.168.13.192/27 interface ethernet0/1 gateway 172.16.1.3 preference 30 metric 20
问题是:当主设备整机切换到备设备后:
set route 211.136.91.224/27 interface ethernet0/2 gateway 172.16.0.2 preference 20 metric 20
set route 192.168.13.192/27 interface ethernet0/1 gateway 172.16.1.2 preference 20 metric 20
这两条路由并没有因为下一条不可达而失效,但这导致了防火墙内部访问外部流量异常,请问怎么解决?
ps:路由器上不可做vrrp 对于juniper防火墙的具体配置还不是很清楚,之前主要接触的是cisco的防火墙为主。
但估计原理应该是相通的。静态路由条目失效的标志是本地出接口down或下一跳不可达。
下一跳不可达的检测,中间是不允许有传输设备存在的。否则需要用到IP SLA检测技术。
如果是使用模拟器进行实验,也无法检测下一跳可达性,也需要IP SLA的配合。
对于你的这个拓扑,你可以尝试在对端关闭接口。看看本端条目是否会失效。
希望对你有帮助,一起交流学习。
页:
[1]