1.ip-link技术简介
ip-link的定义
- IP-Link是指FW通过向指定的目的IP周期性地发送探测报文并等待应答,来判断链路是否发生故障
- FW发送探测报文后,在三个探测周期(默认为15s)内未收到响应报文,则认为当前链路发生故障,IP-Link的状态变为Down。随后,FW会进行IP-Link Down相关的后续操作,例如双机热备主备切换等
- 当链路从故障中恢复,FW能连续地收到3个响应报文,则认为链路故障已经消除,IP-Link的状态变为Up。也就是说,链路故障恢复后,IP-Link的状态并不会立即变为Up,而是要等三个探测周期(默认为15s)才会变为Up
ip-link的目的
IP-Link主要用于业务链路正常与否的自动侦测,可以检测到与FW不直接相连的链路状态,保证业务持续通畅
ip-link的探测模式
- icmp模式:防火墙向需要探测的IP地址周期性发送ping报文,检查是否能连续收到对端的回应报文。Icmp探测方式可以用于探测非直连的链路
- arp模式:防火墙向需要探测的IP地址周期性发送arp请求报文,检查是否能连续收到对端的arp应答报文。Arp探测方式只支持探测直连链路(或中间经过二层设备转发),该探测方式不受目的IP设备上安全策略影响
如图,防火墙出口有两条可选路由,当主链路出现故障时,防火墙能够快速感知。此时可以配置IP-Link监测出接口链路
2. ip-link的配置(与静态路由联动)
拓补图
1.ip地址的配置,略
2.防火墙区域的划分
firewall zone untrust
add interface GigabitEthernet1/0/1
add interface GigabitEthernet1/0/2firewall zone trust
add interface GigabitEthernet1/0/0
3.安全策略的划分,为了演示实验效果,我现在配置的是允许全部通过,但是在真实的生产环境当中千万不要这样子去进行配置
4.ip-link的配置
ip-link check enable
ip-link name huawei
destination 100.1.1.2 interface GigabitEthernet1/0/1 mode icmp
5.静态路由的配置以及联动ip-link
R1:
ip route-static 0.0.0.0 0.0.0.0 10.1.1.10
FW:
ip route-static 3.3.3.3 255.255.255.255 202.1.1.4
ip route-static 3.3.3.3 255.255.255.255 200.1.1.4 preference 50
ip route-static 200.1.1.0 255.255.255.0 100.1.1.2 preference 50 track ip-link huawei //作为主链路联动ip-link
ip route-static 202.1.1.0 255.255.255.0 101.1.1.3R2:
ip route-static 0.0.0.0 0.0.0.0 200.1.1.4
R3:
ip route-static 0.0.0.0 0.0.0.0 202.1.1.4
R4:
ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
ip route-static 0.0.0.0 0.0.0.0 202.1.1.3
测试:R1可以ping通R4
在防火墙的g1/0/1和g1/0/2接口上抓包查看数据包的走向,因为现在g1/0/1接口的链路是主链路,所以所有的数据都会往这条链路去走
尝试把主链路down掉之后能不能切换到备用链路,切换的时间多长,这时候流量就都走g1/0/2了,但是这个还是秒级别的,并不是毫秒级别的
版权归原作者 干饭大王爱学习 所有, 如有侵权,请联系我们删除。