飞塔非对称路由及透明方式虚拟域

3/3ＦG500A碰到的问题银兴技术支持QQ26426６2476

还是关于上次那个FＧ５0０Ａ的问题，再次总结一下：客户有200多台电脑，使用两个Ｃ类地址网段,一起接在几个华为交换机上面，交换机再接两根线到ｎetsｃｒeen设备上。Ｎｅｔscreen上有两个内网网关分别为192．16８。1．1和192．1６8.2.99，已在上面设置两个网段可以互访的策略。现增加一台FG50０A设置成透明模式放在nｅｔscreen后面，FＧ500A的prot1接内网的交换机，port2和ｐort３作为出口分别接ｎetｓcｒeｅn的两个内网接口。整个的拓扑图如下：

这样设置两个网段的上网都正常，但之后发现出现两个内网段之间有时能连通，有时连不通的情况，在１9２．16８.1。０/24网段的电脑上ｐinｇ192。１６8．2。0/２4网段的电脑有时正常，有时会出现如下信息：C:\DocuｍentsanｄＳetｔinｇs\fly>pｉｎg1９２．168。2.96

Piｎging192.168。2．96ｗith３２bytesoｆdａta:

Ｒeplyfｒom192.168。1.1：TTＬeｘｐirediｎtrａｎsｉt。Ｒeplyfroｍ１92。１68.1.1:TTＬexｐirｅｄｉｎtransit。Rｅpｌｙfｒom19２.168.１．1:TＴLexpiｒeｄintｒaｎsit．Rｅpｌyｆrom19２。1６8。1.1：TTLeｘpｉredintransit。

这个信息表明从１9２。1６8。1。０/24出去的包到了本网网关192.168．1。1的时候便由于TTＬ值的耗尽使得发包终止，这一般是由于网内存在环路造成的，我用traceｒt–ｄ的命令查看也发现包只在1９２．168。1.１的地址上循环。奇怪的是过一段时间之后，pinｇ又变正常了。从1９2.168。2.0/2４网段ping1９２。168．1.0/24网段的电脑也是同样的现象.

即便我在FG５０0A上再启用另一个口比如porｔ４来连接内网和FG5０0A,并设置策略，也仍然会出现两个内网段之间有时能连通，有时连不通的情况,难道数据默认只会从ｐｏrｔ1回来，不会改从ｐｏrt4回来么?

在请教了几位高工之后，都说是异步路由即非对称路由的问题，于是在CLI下启用非对称路由configsysglsetasｙｒｏuteeｎeｎd

结果,现象仍然与一开始的一样，两个内网段之间有时能ｐiｎg通，有时piｎg不通的情况.

后来我尝试用建立虚拟域的办法，把ｐorｔ1和pｏrt2作为虚拟域1,网关指向192。16８.１．1；把ｐｏrt３和pｏrt4作为虚拟域2，网关指向1９2。168．2。9９，网络拓扑变成下面的结构:

采用这样的设置后客户两个网段之间能够ｐing通，但1９2。1６8.１．０/2４网段的腾讯通客户端不能访问到位于192。1６8.2.0／24网段的服务器，也无法登陆，把保护内容表关掉也不行,但是能ping通，其他如ｍail、FＴP服务器两网段间也可以正常访问。而且把登陆服务器的地址从内网地址（192.16８．2。９5）改成公网地址就可以登陆了.之后我尝试也在CLI的全局配置下启用非对称路由：configglconfｉｇｓysgｌｓeｔasyroutｅｅnend

敲完后，在腾讯通的客户端上使用１92.168。2。９5这样的服务器内网地址就可以正常登陆了,测试其他功能也都正常。另外，启用非