NAT HA 系列平台故障转移后 IPs 的流量问题 VM
15093
Created On 07/24/19 08:30 AM - Last Modified 03/26/21 17:44 PM
Symptom
在 VM 成对流量的系列防火墙上 HA ,停止为 IP 语句中使用的地址 NAT (接口 IP 地址除外)工作。 ARP 故障转移后,静态/目的地地址的下一个跳设备上不会进行刷新 NAT IP HA 。
Environment
平台 - VM 环境中的系列防火墙 HA
- 所有 Virtualization 环境
Cause
防火墙不会同时发送 G-ARP NAT IP 两 Hardware 个平台和 VM 系列平台上的地址。
Hardware 平台 MAC 的数据平面接口上有一个虚拟地址,可在两个设备之间保持浮动。 MAC此地址在故障转移时不会改变。 如果出现故障, G-ARP 对于数据飞机接口,请确保下一个跳转设备可以更新其 L2 转发表,其 L3 转发表不需要更新,因为 mac 地址保持不变。因此,下一个跳设备仍然能够将流量发送到新的活动 firewall ,因为虚拟 MAC 设备现在在另一个活动 firewall 。
但是,在 VM 系列防火墙上,如果您使用的是"超级访问器分配 MAC 的地址", MAC 则不使用虚拟地址。 MAC每个对等器上的数据飞机接口的地址 HA 是独一无二的,并且由超级遮阳板指定,因此 MAC 在故障DIFFERENT MAC ADDRESS ON HA ACTIVEPASSIVE PAIR IN VM-SERIES INTERFACES
转移时会发生变化:/这会影响 NAT IP 地址的流量,因为 G-ARP 只有数据飞机接口不足以更新下一个跳设备上的 L3 转发表,以用于打开的地址 NAT policy firewall 。 由于 firewall 不发送 G-ARP NAT IP 地址和下一个跳仍然 ARP 有他们与 MAC 地址从以前活动 firewall 。 流量将继续无法工作,直到下一个跳设备 ARP 再次对IP进行查询 NAT 。
Resolution
到目前为止,有两个解决方案
- 1。 运行一个测试命令, G-ARP NAT 以发送IP从 firewall 。
test arp gratuitous interface <value> ip <ip/netmask>
2. 在 NAT firewall 需要刷新的界面上配置所有 ARP IP。