双机热备场景下用防火墙的出接口IP做EasyIP是会存在问题的
主设备坏了,都回不了包到备设备
主备备份模式下使用NAT-NAPT地址池的方案
这是没有问题的,因为主备备份的场景下,流量首先从FW1出去,FW1从地址池中获取一个公网IP去做转换,如果FW1的上联Down了,公网回包时,数据包到了FW1跟FW2上联的交换机时,只需要解决ARP的问题,这个数据包就可以交到FW2上去,让交换机往FW2上去找回包的公网IP。
现在不需要去解决公网IP地址匹配不上的问题,只需要让ARP的映射关系完成一个刷新就可以。
数据包到达FW2上时,FW2上也具有相应的地址池,具有处理该数据包的能力。
所以在主备备份的场景下,做NAT地址池的方案是没有任何问题的。
负载分担模式下就会出现问题
可能存在映射出去的端口号是一样的,那么防火墙没法区分。
问题出现的原因:两个防火墙是有可能用同一个IP的同一个端口。
还可以使用不同的地址池
Remote是对端设备的会话表的信息
