我有这样的要求。请参考附图。我们有 2 个并行防火墙接收来自互联网的流量并通过 NAT 进入 pvt ips 发送到 LAN。两个防火墙集群都是独立的集群(从不共享会话),可以接收从互联网流量到 LAN 的任播(我的意思是它可以从 NATTing 角度处理相同的 IP/策略已同步)。但是,它连接到 LAN 的同一核心交换机。
所以现在当流量出去时,是否有任何特定的方法可以将响应流量从 LAN 发送到它得到 NATTed 的同一个防火墙,某种标签或任何想法我们可以用来将流量发送到同一个防火墙进行发送它回到互联网?一种方法是基于 PBR,但是我们必须为 LAN 端的每个防火墙配置一个专用的 IP 空间,有没有更简单的方法可以做到这一点,比如基于标记
的路由或其他东西。
您可以考虑“内部源NAT”——将这个特定的传入流量放入两个单独的源 NAT 地址或(更好的)私有地址地址池中,每个地址池分别由防火墙集群 1 实施。2. 因此,不仅此流量在进入时会经过目的地NAT(使服务器的私有地址可通过公共地址访问),而且来源也经过 NAT。
然后,从核心交换机,将源地址池 1 路由到防火墙集群 1,将源地址池 2路由到防火墙集群 2(可能使用静态路由,但最终取决于您的内部路由设置)。
虽然在技术上可行,但该提案有几个重要的警告:
这可能不是一个很好的解决方案(为此,请考虑在 DMZ 中运行适当的反向代理系统),但它可能在某些边界内工作,并且它可能在没有进一步基础设施位的情况下工作。“缺点”是您确实必须调查并了解在服务器上运行的应用程序实际上是如何工作的。
[1] 扩展:这些是短期/长期会议吗?看不到客户端的公网IP源地址可以吗?应用程序是否需要反向连接到客户端(希望不是......)?在给定时间后“返回”时,客户端是否可以拥有完全不同的 TCP 会话参数(源 IP、源端口),或者是否(如果是,持续多长时间?)服务器端应用程序取决于在这些上重新识别给定的客户?
如果将两条路径映射到单个范围,则有关路径的信息将丢失并且很难/不可能恢复。
一个相对简单的方法是为内部网络使用两个不同的 IP 范围。每个负载均衡器将传入连接映射到范围中的一个。回复来自请求发送到的 IP 地址,并被路由回相应的防火墙和负载平衡器。
如果您需要主机为来自两个负载均衡器的请求提供服务,您只需为它们提供两个范围内的 IP 地址。