...
Добавим статический маршрут до встречной клиентской подсети через VTI-туннель:
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# ip route 128.66.1.0/24 128.66.0.5 |
...
...
Просмотреть VRRP-статусы в разных VRF можно, используя команду команду show vrrp. Убедимся, что в одном VRF устройство находится в статусе Master, а в другом VRF – в статусе Backup:
...
Посмотреть вывод текущих сессий на устройстве можно с помощью команды show ip firewall sessions. Убедимся, что в выводе есть сессия только для того VRF, в котором устройство является в статусе Master:
...
Посмотреть вывод активных синхронизируемых сессий, используемых для работы firewal failover, на устройстве можно с помощью команды show ip firewall session failover external/internal. Убедимся, что для одного из VRF сессия находится в internal cash, а для второго VRF сессия находится в external cash:
...
Перейдем к настройке общих параметров для failover-сервисов, а именно к выбору: IP-адреса. , с которого будут отправляться сообщения для синхронизации, multicast-группугруппы, multicast IP-адресадреса, на который будут отправляться сообщения для синхронизации, и VRRP-группугруппы, на основе которой определяется состояние (основной/резервный) маршрутизатора при работе failover-сервисов:
...
| Блок кода | ||
|---|---|---|
| ||
ESR-1(config)# object-group service FAILOVER ESR-1(config-object-group-service)# port-range 2000 ESR-1(config-object-group-service)# exit |
...
Создадим разрешающие правило для зоны безопасности SYNC, разрешив прохождение необходимого трафика для работы firewall failover:
...