Juniper SRX650:冗余连接位置和非对称路由

网络工程 路由 ospf 杜松 杜松-srx 非对称路由
2022-02-22 05:15:54

我目前共有 4 个位置使用集群 SRX650。每个位置也有冗余的互联网连接。我们将位置称为 Office1、Office2、DC1、DC2。目前,这些办公室没有直接连接,而是通过所有可能的提供商组合连接到两个 DC。我将使用“O#”、“D#”和“P#”作为位置和提供者的简写。例如:

O1-P1 -> D1-P1

O1-P2 -> D1-P1

O1-P1 -> D1-P2

O1-P2 -> D1-P2

ETC...

每个提供商对连接都是一个不同的 IPSec VPN,并且 OSPF 用于路由传播。使用这种拓扑结构,每个位置的任何一个 Internet 连接都可能同时发生故障,并且流量仍然会流动。我现在遇到的问题是 Office1 和 Office2 之间的流量可以采用不对称路由,并且每个办公室的 SRX 似乎不允许该流量通过。

尝试了 no-syn-check 和 no-sequence-check 流选项后,我如何让非对称流量通过,或者如果没有好的方法可以做到这一点,哪种网络设计最适合?除了我自己的在职工作之外,我不是网络工程师,所以我非常愿意接受比我的实施更好的想法!

1个回答

使用状态防火墙,您将始终遇到非对称路由的问题。这是不可避免的。

一种想法是将防火墙放在边界路由器后面,这样无论使用哪条路径,所有流量都始终流经同一个防火墙。

其它你可能感兴趣的问题
上一篇是否可以在单工或半双工下层上实现全双工上层? 下一篇如何在这些交换机之间创建多千兆链路?