JUNIPER防火墙多个外网地址做了 VIP后不
通的解决办法
网络结构:公网有多个 IP,如 119.6.97.196, 119.6.97.197, 网关 119.6.97.1
外网接口 IP 为 119.6.97.196,
问题,用 119.6.97.197 做了 MIP 或 VIP 后,公网不能访问(前提 ,vip 映射配置及策略配置都
正确)
原因: ISP只有 119.6.97.196 的 MAC 地址缓存,没有 119.6.97.197 的缓存,
解决方法 :把防火墙的外网口 IP 设成 119.6.97.197, 向外 PING 几个数据包,让 ISP 有
119.6.97.197 对应的 MAC 地址绑存,
如果防火墙上有策略绑定到接口,可能不允许更改 IP,这里我们可找一台笔记本把 MAC 设
置成与防火墙外网口的 MAC 一样,直接接 ISP进来的线 (跳开防火墙 )然后改要映射 VIP的 IP
PING ISP,让 ISP有 119.6.97.197 对应的 MAC 地址绑存
方法如下 :
1 获得防火墙外网口的 IP MAC
SSG320M-> get interface
A - Active, I - Inactive, U - Up, D - Down, R - Ready
Interfaces in vsys Root:
Name IP Address Zone MAC
VLAN State VSD
eth0/ 0 119.6.97.196/24 Untrust 5c5e.ab1c.3f00 - D
-
2 将你的必记本的 IP 改为与防火墙外网口相同的 MAC
把 IP 改成要做映射的 IP 地址