アウトバウンド接続用のScreenOSMIPの選択
この構成のScreenOS6.3.0ファイアウォールがある場合:
unset flow reverse-route clear-text
set interface "ethernet0/0" zone "Trust"
set interface ethernet0/0 ip 192.168.1.1/24
set interface ethernet0/2 ip 10.0.0.1/24
set interface ethernet0/2 mip 10.9.9.10 Host 192.168.1.10 netmask 255.255.255.255 vr trust-vr
set interface ethernet0/2 mip 10.8.8.10 Host 192.168.1.10 netmask 255.255.255.255 vr trust-vr
set route 0.0.0.0/0 interface ethernet0/2 gateway 10.0.0.254
...(そして適切なポリシーを想定して)192.168.1.10によって開始されたアウトバウンド接続に対してファイアウォールが選択するMIPを制御する方法はありますか? (おそらく、アップストリーム10.0.0.254に、送信元IPが何であるかに応じて、パケットに対して異なる処理を実行させたいためです)。
更新: OK、私のシナリオは次のとおりです。2つのISPアップリンクがあり、それぞれが異なるIPスペースを提供します。各ISPは、割り当てられたIPスペースのみをルーティングします。
したがって、両方のISPがサーバーに到達できるようにするには、同じサーバーに2つのMIPが必要です(各インターフェイスに1つずつ)。インバウンドトラフィックは、「unset flow reverse-routeclear-text」オプションを使用すると正常に機能します。
しかし、アウトバウンド(メッセージを送信する電子メールサーバーを考えてください)の場合、システムで使用するアウトバウンドリンクに応じて適切なMIPを選択する方法が必要です。これを復元力のあるものにして、ファイアウォールが優先するリンクがダウンした場合に備えてください。一晩中、メールの流れを維持するために手動で何かを裏返す必要はありません。
基本的に、リンクバランサーアプライアンス(クラスターが必要になるため2つ)を購入する必要がないようにしています。
これを行う方法はありますか?
両方のアウトバウンドリンクを同時にアクティブに制御したい場合(つまり、システムAはIP Aを使用してアップリンクAを出力し、システムBはIP Bを使用してアップリンクBを出力します)、答えはノーです。リンクバランサーが必要です。
アウトバウンドトラフィックが使用するリンクを気にしない場合は、2つのMIP(ISPリンクごとに1つ)を設定し、IP追跡ルートを設定すると、ファイアウォールが「最適な」ルートを選択します(つまり、1つを使用して停止します)。失敗したときに使用します)。ルートの順序とメトリックを使用して、選択にバイアスをかけることができます。
しかし、肝心なのは、制御するにはリンクバランサーが必要だということです。
サポートがある場合は、JTACに連絡してください。