Симптомы

К внешним интерфейсам NGFW подключено два провайдера. Поднят VRRP, на провайдерских интерфейсах заданы VIP-адреса. Если первый канал откажет, как сделать так, чтобы трафик автоматически начинал натироваться в VIP второго провайдера? Если я создам второе NAT правило, идентичное первому, но с другим SNAT IP, то трафик просто не будет в него попадать, потому что правила обрабатываются сверху вниз до первого совпадения.

Решение

Для решения данной задачи вам необходимо:

1) Создать для каждого провайдера отдельную зону, например ISP1 и ISP2

2) Поместить интерфейс первого провайдера в зону ISP1, интерфейс второго провайдера в зону ISP2

3) Создать 2 правила NAT:

• Из зону Trusted в зону ISP1, в котором указать SNAT IP первого провайдера
• Из зону Trusted в зону ISP2, в котором указать SNAT IP второго провайдера

4) Создать правило МСЭ из зоны Trusted в зону ISP1 и ISP2