USG5150防火墙双机主备加NAT部署

发布时间:  2014-09-11 浏览次数:  371 下载次数:  0
问题描述
在双机主备模式下采用easy-ip部署会导致出口地址采用主设备的出接口地址,而不是VRRP组的虚接口地址。
告警信息
处理过程
1.采用接口easy-ip模式时,数据转发不正常
2.在出接口抓包发现NAT后的地址为主设备的出接口地址,不是VRRP组的虚地址
3.采用地址池方式NAT进行部署,配置如下:
主设备:
#
hrp enable
hrp interface GigabitEthernet0/0/1
#
nat address-group 20 202.xx.xx.xx 202.xx.xx.xx vrrp 2
#
interface GigabitEthernet0/0/0.1
 vlan-type dot1q 101
 description to-Internet-1
 alias GigabitEthernet0/0/0.1
 ip address 192.168.200.9 255.255.255.248
 vrrp vrid 2 virtual-ip 202.xx.xx.xx 255.255.255.224 master
 hrp track master
#
nat-policy interzone trust untrust1 outbound
policy 1
  action source-nat
  address-group 20
#
备设备:
#
hrp enable
hrp interface GigabitEthernet0/0/1
#
nat address-group 20 202.xx.xx.xx 202.82.xx.xx vrrp 2
#
interface GigabitEthernet0/0/0.1
 vlan-type dot1q 101
description to-Internet-1
alias GigabitEthernet0/0/0.1
ip address 192.168.200.10 255.255.255.248
vrrp vrid 2 virtual-ip 202.xx.xx.xx 255.255.255.224 slave
hrp track slave
#
nat-policy interzone trust untrust1 outbound
policy 1
  action source-nat
  address-group 20
#
4.配置后NAT后转发正常,抓包验证地址为VRRP组虚地址
根因
防火墙NAT支持NAT地址池和easy-ip的模式,但是采用双机主备部署的话只能采用NAT地址池的方式,并且地址池绑定VRRP组。
建议与总结
由于部分协议(如NAT)的特殊性,防火墙在双机部署中要考虑和单机部署的区别。

END