A-双出口映射可行案例报告.docVIP

关于双出口映射可行案例报告 传统情况： 由于是使用了双出口的方式，需要将Eth1:219.100.100.2/24以及Eth0:202.109.100.2/24两个地址同时映射到服务器Server_ip:192.168.2.2/24上，但由于防火墙新（V2.4.95以上）、老版本（V2.4.95以下）版本处理机制的不同，相同的拓扑机构就会产生如下两种截然不同的结果： 注：差异主要出现在对回应数据报的处理上 首先我们看看在老版本（V2.4.95以下）情况下： 它完美的展现了防火墙状态检测工作方式的优点，请看下面数据包进、出的处理流程简图： 大家需要注意的是防火墙对于处理Server回应的数据包时，主要是根据之前建立好了的状态连接表进行处理的。对于上面的双出口链路环紧的应用一切正常。 然后我们再来看看新版本（V2.4.95以上）情况下： 为了解决老版本在某些环境中出现数据包转发错误的问题（具体是那些环境这里就不说了），因此研发对防火墙处理数据包的流程做了一个微小的改动，请看下面的处理流程简图： 大家注意了，区别于老版本的处理流程主要在于最后转发的依据上面，新版本中转发最终的决定权在于路由表。 正是由于如此，图例中来自网通的访问请求，由于防火墙缺省路由指向电信的原因，Server回应的数据包一定会从电信线路回应出去的，出现了数据包流入、流出路径不一致的问题出现。