背景:
客户出口一台防火墙,内网口做聚合,接到两台堆叠的核心交换机,现在购买了一台上网行为管理,设备双网桥部署在网口中间(AC不支持端口聚合,但是网桥部署时可以穿透端口聚合的协议),网桥1配置了跟互联口同网段的地址,网桥2没有配地址。内网有域控服务器,计划将AC结合域控服务器做单点登录。 问题: 在聚合环境下,流量是负载均衡的,AC上下行的流量都存在来回路径不一致的情况,导致AC无法正常上网,无法正常访问域控服务器。
说明: 在端口聚合环境下,AC应该使用单独的管理口去管理设备,但是此案例中,由于设备选型不当,已再无其他网口可用,只能在核心上面配置策略路由,访问AC网桥地址的数据包指定从其中一台核心交换机的网口转发,以此来确保来回路径一致。而该出口防火墙不支持类似功能,AC上网的问题暂时无法解决,只能手动更新规则库了。
|