信管网cnitpm702037264***: [回复] 1.运营商1走1,运营商2走2◑10.10.10.10/24
tcp,9980
perimt◑1.不是有对应运营商出口进行访问,返回流量为对应接口返回
2.设置相应对应运营商走对应出口进行访问◑出口流量经出口转换后,再次回转访问本身地址,造成源目的混乱,导致路由无法回转
信管网cnitpm562200320***: [回复] 1.基于源地址
2.基于目的地址
3.基于策略
4.基于mac
5.基于协议◑10.10.10.10
http
9980
permit
◑没有在防火墙上开启源进源出功能。在防火墙上开启源进源出功能。◑没有配置内网nat
配置内网nat
信管网cnitpm726986609***: [回复]
◑10.10.10.10 10.11.11.11
http
9980
permit
◑未指定来回路径一致
指定源进源出◑vpn部署错误
部署新的vpn
信管网cnitpm706642349***: [回复] 基于原ip的链路负载策略
基于目的ip的链路负载策略
◑10.10.10.10
tcp
9980
permit ◑因为内网服务器对外提供的服务是通过两个不同的运营商进来的,但在防火墙上面所做的安全策略的源区域为两个不同的运营商
解决方法可以把安全策略的两个源区域分别写成两条不同源区域,但相同目的区域的安全策略◑
信管网cnitpm5739946***: [回复] 11◑◑◑
信管网ser***: [回复] 基于vlan, 基于mac, 基于端口,基于协议类型.◑10.10.10.10
http
9980
permit◑因nat存在,经过地址转换后路径选择发生变化。
规定流量两个方向需要通过同一接口。◑无公网地址向内网的映射
在防火墙配置相关映射
信管网cnitpm685153619***: [回复] vrrp
基于源地址的acl
基于目的地址的acl
◑◑◑
信管网cnitpm705637210***: [回复] (1)nat
(2)vpn
(3)ospf
(4)rip
◑(1)10.10.10.10
(2)tcp
(3)9980
(4)enibol◑原因:两个出口地址做的nat可能都添加了服务器。
解决:把两个nat做限制,一个互联网◑
信管网cnitpm667640504***: [回复] ◑10.10.10.10
http
9980
◑◑
信管网cnitpm701801478***: [回复] 源地址 目的地址 出口链路带宽 基于业务◑10.10.10.10 0 tcp 9980 permit◑◑
|