FAQ-USG9100什么情况下需要使能虚MAC功能,使能虚MAC功能后组网的限制有哪些

发布时间:  2012-07-18 浏览次数:  53 下载次数:  0
问题描述

FAQ-USG9100什么情况下需要使能虚MAC功能,使能虚MAC功能后组网的限制有哪些

告警信息
处理过程
A:使用条件场景:
对于在防火墙上下行设备中不记录连接的MAC地址的设备,大部分设备都是根据路由进行转发,而防火墙在发生主备倒换之后会发送免费ARP更新上下行设备的ARP表项,这样防火墙不采用虚MAC地址发送报文,在发生主备倒换的时候也不会导致业务中断,因此这种情况下不需要使能虚MAC功能。
只有在上下行设备能保存连接记录并且根据连接记录中保存的MAC地址对发送的报文进行封装,并且防火墙在双机热备的情况下接口地址被记录到该设备的连接记录中的情况下,为防止防火墙主备倒换后该设备将报文送到了故障防火墙上,才需要起防火墙用虚MAC地址发送报文的功能。
使用虚MAC受限的组网:
1)来回路径不一致组网
   对于来回路径不一致组网,报文是从防火墙的处于VRRP备状态的接口上发出去的,这个接口因为是不向外发布虚MAC的,所以接口的MAC地址是防火墙的接口地址,这个时候如果防火墙的上下行接了BIG-IP2400类似的设备,它会记录处于VRRP备状态的接口的报文,此时从BIG-IP2400回来的报文还是会被发送回报文从防火墙出来的接口,而BIG-IP2400这类设备是保证报文从哪个设备来就回到哪个设备的,所以来回路径不一致不支持此种功能。 
2)子接口上绑定VRRP组
   对于子接口绑定了VRRP,由于子接口是公用主接口的PCT表,而MAC地址是记录在PCT表中,如果子接口启用虚MAC地址发布接口地址,此时主接口和其他子接口上记录的MAC地址会被更改,如果其他子接口帮定了VRRP组,也启用了发布虚MAC地址的功能,这个时候将会导致防火墙在一个接口上只能绑定一个虚MAC而需要发布多个虚MAC的情况。
根因
建议与总结

END