FAQ-不同防火墙双机热备时NAT Server配置注意事项

发布时间:  2015-11-03 浏览次数:  465 下载次数:  0
问题描述
USG2000/5000、USG6000和USG9000不同版本的双机热备NAT Server配置时有细微区别,配置不当将直接影响业务。
解决方案
   USG2000/5000 V3R1版本

当NAT Server的公网IP地址与VRRP备份组的虚拟IP地址在同一网段时,需要配置NAT Server与VRRP绑定。
当NAT Server的公网IP地址与VRRP备份组的虚拟IP地址不在同一网段时,不需要配置NAT Server与VRRP绑定。

执行命令 nat serevr [ vpn-instance vpn-instance-name ] zone zone-name protocol { protocol-type | protocol-number } global global-address [ global-port ] inside host-address [ host-port ] [ vrrp virtual-router-id ] [ vpn-instance vpn-instance-name ],配置内部服务器。

   USG9000 V3R1版本

VRRP关键字用于在双机热备组网中,引导流量的走向,实现流量的负载分担。具体配置建议如下:

a. 主备备份方式:因为同时只会有一台设备转发流量,因此无需配置VRRP关键字。
b. 负载分担方式: 一般情况下,无需配置VRRP关键字。系统将自动绑定虚拟IP地址与NAT Server公网地址在同一网段的拥有最小VRID的备份组,使流量在该备份组中的主用设备上进行传输。

在同时存在多个VRRP备份组的情况下,可以通过配置VRRP关键字,明确引导流量的走向,使流量在指定VRRP备份组中的主用设备上进行传输。

   USG6000 V1R1版本

配置nat server时无需绑定VRRP。

   USG 6000/9000 V5R1版本

配置nat server时需要绑定VRRP。

END