| 防火墙可靠性之 | 您所在的位置:网站首页 › 华为防火墙ip-link总是up然后down › 防火墙可靠性之 |
防火墙可靠性之
|
1.ip-link技术简介
ip-link的定义 IP-Link是指FW通过向指定的目的IP周期性地发送探测报文并等待应答,来判断链路是否发生故障FW发送探测报文后,在三个探测周期(默认为15s)内未收到响应报文,则认为当前链路发生故障,IP-Link的状态变为Down。随后,FW会进行IP-Link Down相关的后续操作,例如双机热备主备切换等当链路从故障中恢复,FW能连续地收到3个响应报文,则认为链路故障已经消除,IP-Link的状态变为Up。也就是说,链路故障恢复后,IP-Link的状态并不会立即变为Up,而是要等三个探测周期(默认为15s)才会变为Upip-link的目的 IP-Link主要用于业务链路正常与否的自动侦测,可以检测到与FW不直接相连的链路状态,保证业务持续通畅 ip-link的探测模式 icmp模式:防火墙向需要探测的IP地址周期性发送ping报文,检查是否能连续收到对端的回应报文。Icmp探测方式可以用于探测非直连的链路arp模式:防火墙向需要探测的IP地址周期性发送arp请求报文,检查是否能连续收到对端的arp应答报文。Arp探测方式只支持探测直连链路(或中间经过二层设备转发),该探测方式不受目的IP设备上安全策略影响
如图,防火墙出口有两条可选路由,当主链路出现故障时,防火墙能够快速感知。此时可以配置IP-Link监测出接口链路 2. ip-link的配置(与静态路由联动)拓补图
1.ip地址的配置,略 2.防火墙区域的划分 firewall zone untrust add interface GigabitEthernet1/0/1 add interface GigabitEthernet1/0/2 firewall zone trust add interface GigabitEthernet1/0/0 3.安全策略的划分,为了演示实验效果,我现在配置的是允许全部通过,但是在真实的生产环境当中千万不要这样子去进行配置 4.ip-link的配置 ip-link check enable ip-link name huawei destination 100.1.1.2 interface GigabitEthernet1/0/1 mode icmp 5.静态路由的配置以及联动ip-link R1: ip route-static 0.0.0.0 0.0.0.0 10.1.1.10 FW: ip route-static 3.3.3.3 255.255.255.255 202.1.1.4 ip route-static 3.3.3.3 255.255.255.255 200.1.1.4 preference 50 ip route-static 200.1.1.0 255.255.255.0 100.1.1.2 preference 50 track ip-link huawei //作为主链路联动ip-link ip route-static 202.1.1.0 255.255.255.0 101.1.1.3 R2: ip route-static 0.0.0.0 0.0.0.0 200.1.1.4 R3: ip route-static 0.0.0.0 0.0.0.0 202.1.1.4 R4: ip route-static 0.0.0.0 0.0.0.0 200.1.1.2 ip route-static 0.0.0.0 0.0.0.0 202.1.1.3 测试:R1可以ping通R4
在防火墙的g1/0/1和g1/0/2接口上抓包查看数据包的走向,因为现在g1/0/1接口的链路是主链路,所以所有的数据都会往这条链路去走
尝试把主链路down掉之后能不能切换到备用链路,切换的时间多长,这时候流量就都走g1/0/2了,但是这个还是秒级别的,并不是毫秒级别的
|
【本文地址】