场景:HA 配置中的 SSG140。四个接口:
- LAN(信任)eth0/0 172.20.0.0./24
- ISP1(不信任)eth0/1 1.1.1.130/28
- ISP2(不信任)eth0/2 2.2.2.194/28
- ISP3(不信任)eth0/3 3.3.3.130/28
具有 LAN IP 和映射 IP (MIP) 的 ServerX
- 172.20.10.100 -> 1.1.1.135
- 172.20.20.100 -> 2.2.2.195
- 172.20.30.100 -> 3.3.3.135
默认路由 0.0.0.0/0 eth0/1 gw 1.1.1.129
每个 ISP 的 DNS 服务器使用各自网关的静态目标路由:
- DNS-ISP1 1.7.8.9/32 eth0/1 gw 1.1.1.129
- DNS-ISP2 2.5.6.4/32 eth0/1 gw 2.2.2.193
- DNS-ISP3 3.1.2.3/32 eth0/1 gw 3.3.3.129
一台vrouter:trust-vr。
这是我们的挑战:
当前的:
- 绑定到 172.20.10.100 的出站流量将拾取 MIP 1.1.1.135
- 绑定到 172.20.20.100 的出站流量将拾取 IP 1.1.1.130
- 绑定到 172.20.30.100 的出站流量将拾取 IP 1.1.1.130
必需的:
- 绑定到 172.20.10.100 的出站流量将拾取 MIP 1.1.1.135
- 绑定到 172.20.20.100 的出站流量将拾取 MIP 2.2.2.195
- 绑定到 172.20.30.100 的出站流量将拾取 MIP 3.3.3.135
如果我们在 eth0/2 和 eth0/3 上设置默认路由,那么这对出站流量结果没有影响。
如果我们在 eth0/2 和 eth0/3 上设置连接路由,那么这会覆盖任何目标路由。
如果我们根据服务器的 172.20.0.0/24 地址为服务器设置基于源的路由,那么这会影响隧道流量。
如果我们根据服务器的 MIP 地址为服务器设置基于源的路由,那么这没有实质性影响。
我们应该使用基于策略的路由吗?还是我们错过了一个技巧?