基于华为防火墙ip link机制的线路检测和切换方案的研究报告和实现

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

基于ip link机制的

线路检测和保护案的研究和实现

目录

第1章背景 (3)

第2章案概述 .........................................................................................错误!未定义书签。

2.1 负载均衡案.................................................................................错误!未定义书签。

2.2 非负载均衡线路和业务保护案....................................................错误!未定义书签。第3章总结与优化 .. (8)

3.1 总结 (8)

3.2 优化............................................................................................错误!未定义书签。

第1章背景

近年来,随着互联网应用的不断发展,集团客户的业务越来越多的依赖于互联网,由此集团客户对于互联网专线的保障等级要求越来越高。部分重要集团为保障自身业务发展,都开通了多条运营商线路,通过冗余线路保障业务不受某条线路的影响而中断公司整个业务。而关于故障线路的快速检测和线路之间的及时切换,都成为客户关注和急需要解决的问题。

为此,本文作者结合日常工作经验和典型集团客户需求,分析和总结了针对华为防火墙进行双线接入的业务负载均衡和路由保护案。

第2章线路检测和保护案

2.1 Ip link线路检测机制

Ip link检测机制是基于icmp协议的链路可达性检查机制,主要原理是通过icmp协议探测链路上目的地址是否可达,由此判断该链路是否可用。目前主要用在华为Eudemon系统防火墙上,用于检测与防火墙不直接相连的接口或链路状态。

检测流程如下:

Ip link检测流程

链路1

x.x.x.x

1.定义链路1的检测地址x.x.x.x

2.定期ping测试x.x.x.x可达性

3.一旦x.x.x.x的不可达,该链路1的状态即为down

4.一旦x.x.x.x可达,该链路1的状态恢复为up

图1 ip link检测流程

2.2 基于Ip link线路检测和保护案

Ip link线路检测机制一般与多种冗余保护机制相配合,实现线路的监控和保护。

2.2.1 双机热备

当设备工作于双机热备份环境时,IP-Link自动检查后发现链路故障影响主备业务,通过配置VGMP管理组监控IP-Link,设备会对VGMP管理组的优先级进行相关调整,触发主备设备切换,从而保证业务能够持续流通。

图2 双机热备环境下的IP-Link链路可达性检查

如图2所示,当位于Untrust区域路由器接口(IP地址为

202.38.10.2/24)发生故障,启用IP-link链路可达性检查功能后,系

统将会触发主备切换,保证业务正常进行。

2.2.2 虚拟路由器冗余环境

图3 虚拟路由器冗余环境下的IP-Link链路可达性检查

三台设备组成VRRP备份组,如图3所示。配置VRRP监控IP-Link 链路后,当IP-Link监视的链路Down时,会改变管理组的优先级,从而引起主备倒换。

2.2.3 静态路由和策略路由冗余环境

当IP-Link自动检查发现链路故障时,设备会对自身的静态路由进行相应的调整,保证每次用到的链路是最高优先级和链路可达的,以保持业务的持续流通。

图4静态路由环境下的IP-Link链路可达性检查

如图4所示,部网络用户访问Internet的时候有两条静态路由可供选择,其中一条静态路由绑定了IP-Link进行链路可达性检查,当该链路不通的时候流量切换至另一条路由,以保证业务的畅通。

对于策略路由,当IP-Link自动检查发现链路故障时,系统可以触发链路绑定的策略路由失效,这样设备在查找路由时将查找备份的路由,以保持业务的持续流通

2.2.4 静态路由和策略路由冗余环境

图5 DHCP Client环境下的IP-Link链路可达性检查

如图5所示,设备作为出口网关,采用双上行链路。主链路是设备作为DHCP Client获取IP地址,备链路是3G链路。当IP-Link 检查DHCP Server后的链路时,Eudemon会获取网关地址作为下

一跳进行链路检测。如果发现DHCP Server 后的链路故障,则将设备切换到备份链路。

2.3 基于策略路由的典型实现案

需求:双线接入的集团部,要求不同办公区域只能通过相应的线路访问互联网,当该条线路中断时,能自动切换到另一条线路访问互联网。

案:通过策略路由实现不同办公区域只能通过相应的线路访问;通过连接监测机制(ip-link )实现线路中断时的自动切换。

网络拓扑如下:

办公区域

1

办公区域2

10.34.18.0/2410.34.17.0/24

图3 某集团非负载均衡线路和业务保护网络拓扑

实现容:

(1)配置策略:配置策略路由,使办公区域1只能通过移动线路访问,办公区域2只能通过电信线路访问,注:策略路由需配置在trust域的oubound向,由此保证在trust域的出向选择进入相应的运营商域;

(2)两条默认路由保护:配置两条默认路由,1条优选,1条备选,一旦优选的线路中断,该优选默认路由将失效;

(3)启用ip-link监测:通过该机制实时监测策略路由下一条的状态,一旦某个策略的下一条不可达,该策略将失效;

(4)一旦某条线路中断或不可达,该条线路上的策略路由和默认路由将失效,原先通过该线路访问的用户将自动切换到备选线路进行访问。

第3章总结与优化

3.1 总结

通过ip link线路检测并结合相应的冗余保护机制,可灵活实现用户1+1的业务保护案,最大限度保障用户业务正常访问。

相关文档
最新文档