给定一个ScreenOS 6.3.0防火墙与这个configuration:
unset flow reverse-route clear-text set interface "ethernet0/0" zone "Trust" set interface ethernet0/0 ip 192.168.1.1/24 set interface ethernet0/2 ip 10.0.0.1/24 set interface ethernet0/2 mip 10.9.9.10 host 192.168.1.10 netmask 255.255.255.255 vr trust-vr set interface ethernet0/2 mip 10.8.8.10 host 192.168.1.10 netmask 255.255.255.255 vr trust-vr set route 0.0.0.0/0 interface ethernet0/2 gateway 10.0.0.254 …(并假设适当的策略)是否有办法控制防火墙select192.168.1.10发起的出站连接的MIP? (大概是因为我希望上游10.0.0.254根据数据包的来源IP来做不同的事情)。
更新:好的,我的情况是这样的:我有两个ISP上行链路,每个给我一个不同的IP空间。 每个ISP只会路由他们分配给我的IP空间。
因此,为了使服务器能够被两个ISP访问,我需要两个MIP用于同一个服务器,每个接口上一个。 入站stream量将正常使用“未设置stream量反向路由清除文本”选项。
但是对于出站(想一个电子邮件服务器发送消息),我需要一种方法来select一个适当的MIP取决于我希望系统使用哪个出站链接,我希望这是弹性的,以便如果防火墙更喜欢的链接下降一夜之间,我不必手动翻转一些东西来保持邮件的stream动。
基本上我试图避免购买链接平衡器设备(或两个,因为我需要一个群集)。
有没有办法做到这一点?
假设您想要同时对两个出站链路进行主动控制(即,系统A使用IP A并且出去上行链路A,系统B使用IP B并出去上行链路B),答案是否定的,否则您不能。 你需要一个链接平衡器。
如果您不关心出站stream量使用哪个链接,您可以设置两个MIP(每个ISP链接一个)并设置ip-tracking路由,防火墙将select“最佳”路由(即使用一个,然后停止当它失败时使用它)。 您可以使用路线sorting和指标来偏好select。
但底线是要有控制权,你需要一个链接平衡器。
如果您有支持,请致电JTAC。