【每日一记】--非对称数据转发--2019年11月6日

一、背景概述

       某公司NGAF8.0.8版本之前在链路聚合场景下由于数据包来回经过AF的路径不一致，导致来回数据包在AF上的连接跟踪不一致而被AF丢包。8.0.9版本流经AF来回路径不一致的数据包，不是直接丢弃，而是经过算法（即根据源/目的IP地址）计算这个数据包应该被送到哪台AF上。

二、路由器配置（以下以华为为例）

①R1、R2配置LACP聚合口

interface Eth-Trunk 1                        

mode lacp-static

②将E0/0/0加入聚合口

interface e0/0/0                  

eth-trunk 1                                    

③将e0/0/1加入聚合口                                 

interface e0/0/1                                      

eth-trunk 1

三、下一代防火墙NGAF配置

①AF1和AF2采用透明模式部署，ETH2和ETH3为透明口，支持access以及trunk；

②AF1和AF2开启配置同步，其中AF1为主，AF2为备（注：不开启双机功能）；

③AF的ETH4为双机聚合的数据同步口，ETH5为配置同步的心跳口，都采用路由口；

④在AF1和AF2中将ETH2、ETH3口配置为接口联动，且配置应用控制策略放通。

四、注意事项

1.不能开启双机热备功能，开启配置同步；

2.需将所有的业务口接口联动，以防链路故障导致业务中断；

3.双机聚合目前仅支持链路聚合场景，仅支持AF透明部署，不支持三层部署；

4.不支持存在父子连接以及ip不一致的情况，例如SIP、H323等；

5.数据同步口当前仅支持单条链路，存在单点故障风险，尽量不要超过单台AF性能指标一半及以上的流量。

学习一下！！！

感谢楼主分享，期待楼主分享更多实用笔记，继续坚持，领取更多成长激励！

是R1R2之间用链路聚合，防火墙透明在中间吗，文中聚合口写的和图不一致，写错了吧

逐句地看完这个帖子以后，我的心久久不能平静，震撼啊!为什么会有如此好的帖子!我纵横社区多年，自以为再也不会有任何帖子能打动我，没想到今天看到了如此精妙绝伦的这样一篇帖子。

感谢楼主分享，期待楼主分享更多实用笔记，继续坚持，领取更多成长激励！

应用控制策略放通什么？怎么配置