3-防火墙高可靠性

最新推荐文章于 2025-03-17 08:29:27 发布

我是一条胖咸鱼

最新推荐文章于 2025-03-17 08:29:27 发布

阅读量2.8k

点赞数 2

分类专栏：华为安全HCIP 文章标签：安全华为网络协议网络

本文链接：https://blog.csdn.net/qianlai22/article/details/123878291

版权

本文详细介绍了防火墙的高可用性技术，包括IP-Link、BFD、双机热备和Link-group等，强调了它们在链路故障检测、路由收敛和业务连续性中的作用。IP-Link通过探测报文判断链路状态，BFD提供毫秒级的故障检测，双机热备通过VGMP、VRRP等实现主备切换，Link-group确保接口状态一致。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1.IP-Link技术

IP-link定义
- IP-Link是指FW通过向指定的目的IP周期性地发送探测报文并等待应答，来判断链路是否发生故障。
- FW发送探测报文后，在三个探测周期（默认为15s）内未收到响应报文，则认为当前链路发生故障，IP-Link的状态变为Down。随后，FW会进行IP-Link Down相关的后续操作，例如双机热备主备切换等。
- 当链路从故障中恢复，FW能连续地收到3个响应报文，则认为链路故障已经消除，IP-Link的状态变为Up。也就是说，链路故障恢复后，IP-Link的状态并不会立即变为Up，而是要等三个探测周期（默认为15s）才会变为Up。
IP-link目的
- IP-Link主要用于业务链路正常与否的自动侦测，可以检测到与FW不直接相连的链路状态，保证业务持续通畅。
IP-link探测模式（ICMP/ARP）
- icmp模式：防火墙向需要探测的IP地址周期性发送ping报文，检查是否能连续收到对端的回应报文。Icmp探测方式可以用于探测非直连的链路；
- arp模式：防火墙向需要探测的IP地址周期性发送arp请求报文，检查是否能连续收到对端的arp应答报文。Arp探测方式只支持探测直连链路（或中间经过二层设备转发），该探测方式不受目的IP设备上安全策略影响。
IP-link配置

[FW]ip-link check enable //在全局模式下启用IP-Link功能

[FW]i**p-link name **ip-link-name [ vpn-instance vpn-instance-name] //创建一条IP-Link并进入IP-Link视图

[FW-iplink-ip-link-name]destination{ ipv4-address | domain-name} [ interface interface-typeinterface-number ] [ mode { icmp [** next-hop** { nexthop-ipv4-address| dhcp| dialer} ] | arp} ] //配置IP-Link监控的目的IPv4地址或域名

[FW-iplink-ip-link-name]source-ip ip-address//配置IP-Link探测源IP

IP-link应用场景

IP-Link与静态路由联动

当IP-Link自动侦测发现链路故障时，FW会对自身的静态路由进行相应的调整，保证每次用到的链路是最高优先级和链路可达的，以保持业务的持续流通。
在这里插入图片描述

#
 sysname FW
# 配置IP-Link，分别检测FW到Router 1和Router 2的链路。   
ip-link check enable      
ip-link name test1        
 destination 10.10.1.2                   
ip-link name test2          
 destination 10.10.1.3   
# 配置到Internet静态路由，分别绑定各自链路的IP-Link，为通过Router 1的路由设置较高的优先级               
 ip route-static 0.0.0.0 0.0.0.0 10.10.1.2 track ip-link test1        
 ip route-static 0.0.0.0 0.0.0.0 10.10.1.3 preference 70 track ip-link test2        
#配置安全策略，允许FW发送IP-Link探测报文                          
security-policy     
 rule name ip_link      
  source-zone local            
  destination-zone untrust        
  action permit                
#     
return

IP-Link与双机热备联动

在这里插入图片描述

两台FW和路由器之间运行动态路由OSPF协议，由路由器根据路由计算结果，将业务流量发送到主用FW上。
将FW的上下行业务端口加入同一Link-group管理组，在链路故障时能够加快路由收敛速度。
FW通过双机热备与IP-Link联动功能监控网络的出接口。当FW_A所在链路的网络出接口故障时，FW_B切换成主用设备，业务流量通过FW_B转发。

配置思路
在这里插入图片描述

关键配置命令
在这里插入图片描述

IP-Link与DHCP联动
在这里插入图片描述

Router是某大厦的出口网关，该大厦下所有公司通过Router接入Internet。FW是该大厦下某公司的出口网关。为确保网络持续不中断，该公司采用双上行链路组网，主链路的接入方式是DHCP，即FW作为DHCP客户端从DHCP服务器获取IP地址接入Internet；备份链路的接入方式是PPPoE拨号。

由于DHCP客户端无法感知到DHCP服务器之后链路的可达性，当链路出现故障时，FW不能将流量切换到备份链路上。故希望通过与IP-Link联动，检查DHCP服务器之后链路的有效性。当发现所在链路出现故障时，则将业务流量切换到备份链路上。

#
sysname FW
ip-link check enable
	#开启IP-Link链路检查功能。
ip-link name test
 destination 8.8.8.1 interface GigabitEthernet1/0/2 mode icmp next-hop dhcp
	#创建IP-Link test1，用于侦测FW到目的地址为8.8.8.1之间的链路可达性。
#
interface GigabitEthernet1/0/2
 ip address dhcp-alloc 
 dhcp client track ip-link te

最低0.47元/天解锁文章