基于华为防火墙iplink机制的线路检测和切换方案的研究报告和实现

1、专业资料基于ip link机制的线路检测和保护案的研究和实现第1章背景 3第2章 案概述 错误味定义书签.2.1 负载均衡案 错误!未定义书签.2.2 非负载均衡线路和业务保护案 错误!未定义书签.第3章总结与优化 83.1 总结 83.2 优化 错误!未定义书签.专业资料第1章背景近年来,随着互联网应用的不断开展,集团客户的业务越来越 多的依赖于互联网,由此集团客户对于互联网专线的保证等级要求越 来越高.局部重要集团为保证自身业务开展, 都开通了多条运营商线 路,通过冗余线路保证业务不受某条线路的影响而中断公司整个业 务.而关于故障线路的快速检测和线路之间的及时切换, 都成为客户 关注和急需

2、要解决的问题.为此,本文作者结合日常工作经验和典型集团客户需求,分析 和总结了针对华为防火墙进行双线接入的业务负载均衡和路由保护 案.第2章线路检测和保护案2.1 Ip link线路检测机制Ip link检测机制是基于icmp协议的链路可达性检查机制,主要 原理是通过icmp协议探测链路上目的地址是否可达,由此判断该链 路是否可用.目前主要用在华为Eudemon系统防火墙上,用于检测 与防火墙不直接相连的接口或链路状态.检测流程如下：专业资料Ip link 检测流程链路1x.x.x.x1,定义车S路1的检测地址x.x.x.x2. 定期ping测试x.x.x,x 可达性3. 一旦x.x,x.x

3、的不可达,该链路1的状态即为down4. 一旦x.x.x.x可达,该链路1的状态恢复为up图1 ip link检测流程2.2 基于Ip link线路检测和保护案Ip link线路检测机制一般与多种冗余保护机制相配合,实现线路 的监控和保护.2.2.1 双机热备当设备工作于双机热备份环境时,IP-Link自动检查后发现链路 故障影响主备业务,通过配置 VGMP治理组监控IP-Link,设备会对 VGMP治理组的优先级进行相关调整,触发主备设备切换,从而保证 业务能够持续流通.Eud &mon_B图2双机热备环境下的IP-Link链路可达性检查如图2所示,当位于Untrust区域路由器接口

4、 IP地址为202.38.10.2/24 发生故障,启用IP-link链路可达性检查功能后,系专业资料统将会触发主备切换,保证业务正常进行2.2.2 虚拟路由器冗余环境HostGFtrirnr?tVRRPitlasterRouterSwitchBackupEudemon_ BackupInternetIP-Link- Eudemon B图3虚拟路由器冗余环境下的IP-Link链路可达性检查三台设备组成VRRP备份组,如图3所示.配置VRRP监控IP-Link 链路后,当IP-Link监视的链路Down时,会改变治理组的优先级, 从而引起主备倒换.2.2.3 静态路由和策略路由冗余环境当IP-L

5、ink自动检查发现链路故障时,设备会对自身的静态路由 进行相应的调整,保证每次用到的链路是最高优先级和链路可达的, 以保持业务的持续流通.专业资料Router 1Router 2图4静态路由环境下的IP-Link链路可达性检查如图4所示,部网络用户访问Internet的时候有两条静态路由可 供选择,其中一条静态路由绑定了 IP-Link进行链路可达性检查,当该 链路不通的时候流量切换至另一条路由,以保证业务的畅通.对于策略路由,当IP-Link自动检查发现链路故障时,系统可以 触发链路绑定的策略路由失效,这样设备在查找路由时将查找备份的 路由,以保持业务的持续流通2.2.4静态路由和策略路由冗

6、余环境图5 DHCP Client 环境下的IP-Link链路可达性检查如图5所示,设备作为出口网关,采用双上行链路.主链路是设备作为DHCP Client获取IP地址,备链路是3G链路.当IP-Link检查DHCP Server后的链路时,Eudemon会获取网关地址作为下专业资料一跳进行链路检测.如果发现 DHCP Server后的链路故障,那么将设备切换到备份链路.2.3 基于策略路由的典型实现案需求：双线接入的集团部,要求不同办公区域只能通过相应的线路访问互联网,当该条线路中断时,能自动切换到另一条线路访问 互联网.案：通过策略路由实现不同办公区域只能通过相应的线路访问;通过连接监测机

7、制ip-link实现线路中断时的自动切换.网络拓扑如下:运营商120.32.18.43,TRUST)/0/2.34.17.33/24运营司2GE0/10.34.18.33/2410.32.18.43/25运营商1运营商220.32.18.1/25GE0/0.32.18.1/25正0/0/0办公区域110.34.18.0/2410.34.17.0/24,f某集团办公区域2图3某集团非负载均衡线路和业务保护网络拓扑专业资料实现容:(1)配置策略：配置策略路由,使办公区域 1只能通过移动线 路访问,办公区域2只能通过电信线路访问,注：策略路由需配置在 trust域的oubound向,由此保证在trust域的出向选择进入相应的运 营商域；(2)两条默认路由保护：配置两条默认路由,1条优选,1条备 选,一旦优选的线路中断,该优选默认路由将失效；(3)启用ip-link监测：通过该机制实时监测策略路由下一条的 状态,一旦某个策略的下一条不可达,该策略将失效；(4) 一旦某条线路中断或不可达,该条线路上的策