Назад | Перейти на главную страницу

ScreenOS MIP выбор для исходящих соединений

Учитывая межсетевой экран ScreenOS 6.3.0 с такой конфигурацией:

unset flow reverse-route clear-text
set interface "ethernet0/0" zone "Trust" 
set interface ethernet0/0 ip 192.168.1.1/24 
set interface ethernet0/2 ip 10.0.0.1/24 
set interface ethernet0/2 mip 10.9.9.10 host 192.168.1.10 netmask 255.255.255.255 vr trust-vr
set interface ethernet0/2 mip 10.8.8.10 host 192.168.1.10 netmask 255.255.255.255 vr trust-vr
set route 0.0.0.0/0 interface ethernet0/2 gateway 10.0.0.254

... (и при условии наличия соответствующих политик) есть ли способ контролировать, какой MIP брандмауэр выбирает для исходящих соединений, инициированных 192.168.1.10? (предположительно потому, что я хочу, чтобы восходящий поток 10.0.0.254 делал с пакетом разные вещи в зависимости от его исходного IP-адреса).

Обновить: Хорошо, мой сценарий таков: у меня есть два восходящих канала ISP, каждый из которых дает мне другое IP-пространство. Каждый интернет-провайдер будет маршрутизировать только выделенное мне IP-пространство.

Итак, чтобы сервер был доступен для обоих интернет-провайдеров, мне нужны два MIP для одного и того же сервера, по одному на каждый интерфейс. Входящий трафик будет нормально работать с опцией unset flow reverse-route clear-text.

Но для исходящего (представьте, что почтовый сервер отправляет сообщение) мне нужен способ выбрать подходящий MIP в зависимости от того, какую исходящую ссылку я хочу использовать в системе, и я хочу, чтобы это было устойчивым, чтобы, если ссылка, которую предпочитает брандмауэр, отключится в одночасье мне не нужно что-то вручную переворачивать, чтобы почта продолжалась.

В основном я пытаюсь избежать покупки устройства балансировки каналов (или двух, поскольку мне понадобится кластер).

Есть ли способ сделать это?

Предполагая, что вы хотите иметь активный контроль над обоими исходящими ссылками одновременно (т.е. система A использует IP A и выходит из восходящего канала A, система B использует IP B и выходит из восходящего канала B), ответ отрицательный, вы не можете. Вам нужен балансировщик ссылок.

Если вам все равно, какая ссылка использует исходящий трафик, вы можете настроить два MIP (по одному для каждого канала ISP) и установить маршруты IP-отслеживания, и брандмауэр выберет «лучший» (т.е. он будет использовать один, а затем остановит используя его, когда он терпит неудачу). Вы можете смещать выбор с помощью порядка маршрутов и показателей.

Но суть в том, что для управления вам нужен балансировщик ссылок.

Если у вас есть поддержка, позвоните в JTAC.