HA Peer-mode非对称路由配置

目录

前言

一、组网拓扑

二、配置步骤

1.Hillstone-A

2.Hillstone-B

总结

---

前言

        网络环境有非对称流量且需要双活部署时，防火墙可配置HA的peer-mode非对称路由模式进行实现。

---

一、组网拓扑

        数据流量的路径是非对称的（即 Flow0和Flow1是两条不同流量路径，流量的流向方向是相反的。例如：Flow0：Router->SW1->Hillstone-A->SW2，Flow1：SW2->Hillstone-B->SW1->Router），当有条路径出现故障时，两条路径可以合并为一条，又变为对称路由环境。

二、配置步骤

1.Hillstone-A

//接口、策略、路由、NAT配置
Hillstone-A(config)# interface ethernet0/1
Hillstone-A(config-if-eth0/1)# zone untrust
Hillstone-A(config-if-eth0/1)# ip address 100.1.1.1/24
Hillstone-A(config-if-eth0/1)#manage ping

Hillstone-A(config-if-eth0/1)# interface ethernet0/1:1
Hillstone-A(config-if-eth0/1:1)# zone untrust
Hillstone-A(config-if-eth0/1:1)#manage ping
Hillstone-A(config-if-eth0/1:1)# ip address 100.1.2.1/24

Hillstone-A(config-if-eth0/1:1)# interface ethernet0/2
Hillstone-A(config-if-eth0/2)# zone trust
Hillstone-A(config-if-eth0/2)# ip address 192.168.10.1/24
Hillstone-A(config-if-eth0/2)#manage ping
Hillstone-A(config-if-eth0/2)#manage ip 192.168.10.10   //配置Hillstone-A管理IP

Hillstone-A(config-if-eth0/2)# interface ethernet0/2:1 
Hillstone-A(config-if-eth0/2:1)# zone trust                
Hillstone-A(config-if-eth0/2:1)# ip address 192.168.20.1/24
Hillstone-A(config-if-eth0/2:1)#manage ping
Hillstone-A(config-if-eth0/2:1)# exit

Hillstone-A (config)# policy-global
Hillstone-A (config-policy)# rule from any to any service any permit
Hillstone-A(config)# ip vrouter trust-vr

Hillstone-A(config-vrouter)# ip route 0.0.0.0/0 100.1.1.2
Hillstone-A(config-vrouter)# ip route 0.0.0.0/0 100.1.2.2

Hillstone-A(config-vrouter)# snatrule from any to any service any eif ethernet0/1 
trans-to eif-ip mode dynamicport
Hillstone-A(config-vrouter)# snatrule from any to any service any eif ethernet0/1:1 
trans-to eif-ip mode dynamicport group 1

//Hillstone-A HA配置
Hillstone-A(config)# ha link interface ethernet0/0
Hillstone-A(config)# ha link ip 1.1.1.1/30
Hillstone-A(config)# ha group 0
Hillstone-A(config-ha-group)# priority 50
Hillstone-A(config-ha-group)# exit
Hillstone-A(config)# ha group 1
Hillstone-A(config-ha-group)# exit

Hillstone-A(config)# ha traffic enable
Hillstone-A(config)# ha traffic first-packet
Hillstone-A(config)# ha cluster 1 peer-mode node 0
Hillstone-A(M0D1)(config)#

2.Hillstone-B

//HilLstone-B HA配置
Hillstone-B(config)# ha link interface ethernet0/0
Hillstone-B(config)# ha link ip 1.1.1.2/30
Hillstone-B(config)# ha group 0
Hillstone-B(config-ha-group)# exit
Hillstone-B(config)# ha group 1
Hillstone-B(config-ha-group)# priority 50
Hillstone-B(config-ha-group)# exit 
 
Hillstone-B(config)# ha traffic enable
Hillstone-B(config)# ha traffic first-packet
Hillstone-B(config)# ha cluster 1 peer-mode node 1
Hillstone-B(D0M1)(config)#

//peer-mode建立后在Hillstone-A配置Hillstone-B的管理地址
Hillstone-A(config-if-eth0/2)# interface ethernet0/2:1 
Hillstone-A(config-if-eth0/2:1)#manage ip 192.168.20.20

---

总结

        非对称环境下，需保持同向安全域一致。即 DOM1 设备接收到回程报文，校验入接口安全域是否与正向报文发出的安全域一致。

        非对称环境下，DOM1 设备接收到回程报文，要保证生效路由确定的出接口与会话中对应接口保持一致，此时才会进行 session rematch，否则当前报文会被 drop 或者 D0M1 设备会进行会话的新建。

原文地址：https://blog.csdn.net/2401_84389418/article/details/142485800

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！