3-防火墙高可靠性

最新推荐文章于 2024-05-30 09:32:13 发布
最新推荐文章于 2024-05-30 09:32:13 发布
阅读量2.5k 收藏 7
点赞数 2
分类专栏: 华为安全HCIP 文章标签: 安全 华为 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qianlai22/article/details/123878291
版权

1.IP-Link技术

  • IP-link定义

    • IP-Link是指FW通过向指定的目的IP周期性地发送探测报文并等待应答,来判断链路是否发生故障。

    • FW发送探测报文后,在三个探测周期(默认为15s)内未收到响应报文,则认为当前链路发生故障,IP-Link的状态变为Down。随后,FW会进行IP-Link Down相关的后续操作,例如双机热备主备切换等。

    • 当链路从故障中恢复,FW能连续地收到3个响应报文,则认为链路故障已经消除,IP-Link的状态变为Up。也就是说,链路故障恢复后,IP-Link的状态并不会立即变为Up,而是要等三个探测周期(默认为15s)才会变为Up。

  • IP-link目的

    • IP-Link主要用于业务链路正常与否的自动侦测,可以检测到与FW不直接相连的链路状态,保证业务持续通畅。

  • IP-link探测模式(ICMP/ARP)

    • icmp模式:防火墙向需要探测的IP地址周期性发送ping报文,检查是否能连续收到对端的回应报文。Icmp探测方式可以用于探测非直连的链路

    • arp模式:防火墙向需要探测的IP地址周期性发送arp请求报文,检查是否能连续收到对端的arp应答报文。Arp探测方式只支持探测直连链路(或中间经过二层设备转发),该探测方式不受目的IP设备上安全策略影响。

  • IP-link配置

[FW]ip-link check enable //在全局模式下启用IP-Link功能

[FW]i**p-link name **ip-link-name [ vpn-instance vpn-instance-name] //创建一条IP-Link并进入IP-Link视图

[FW-iplink-ip-link-name]destination{ ipv4-address | domain-name} [ interface interface-typeinterface-number ] [ mode { icmp [** next-hop** { nexthop-ipv4-address| dhcp| dialer} ] | arp} ] //配置IP-Link监控的目的IPv4地址或域名

[FW-iplink-ip-link-name]source-ip ip-address//配置IP-Link探测源IP

IP-link应用场景

IP-Link与静态路由联动

当IP-Link自动侦测发现链路故障时,FW会对自身的静态路由进行相应的调整,保证每次用到的链路是最高优先级和链路可达的,以保持业务的持续流通。
在这里插入图片描述

#
 sysname FW
# 配置IP-Link,分别检测FW到Router 1和Router 2的链路。   
ip-link check enable      
ip-link name test1        
 destination 10.10.1.2                   
ip-link name test2          
 destination 10.10.1.3   
# 配置到Internet静态路由,分别绑定各自链路的IP-Link,为通过Router 1的路由设置较高的优先级               
 ip route-static 0.0.0.0 0.0.0.0 10.10.1.2 track ip-link test1        
 ip route-static 0.0.0.0 0.0.0.0 10.10.1.3 preference 70 track ip-link test2        
#配置安全策略,允许FW发送IP-Link探测报文                          
security-policy     
 rule name ip_link      
  source-zone local            
  destination-zone untrust        
  action permit                
#     
return

IP-Link与双机热备联动

在这里插入图片描述

  • 两台FW和路由器之间运行动态路由OSPF协议,由路由器根据路由计算结果,将业务流量发送到主用FW上。

  • 将FW的上下行业务端口加入同一Link-group管理组,在链路故障时能够加快路由收敛速度。

  • FW通过双机热备与IP-Link联动功能监控网络的出接口。当FW_A所在链路的网络出接口故障时,FW_B切换成主用设备,业务流量通过FW_B转发。

配置思路
在这里插入图片描述

关键配置命令
在这里插入图片描述

IP-Link与DHCP联动
在这里插入图片描述

Router是某大厦的出口网关,该大厦下所有公司通过Router接入Internet。FW是该大厦下某公司的出口网关。为确保网络持续不中断,该公司采用双上行链路组网,主链路的接入方式是DHCP,即FW作为DHCP客户端从DHCP服务器获取IP地址接入Internet;备份链路的接入方式是PPPoE拨号。

由于DHCP客户端无法感知到DHCP服务器之后链路的可达性,当链路出现故障时,FW不能将流量切换到备份链路上。故希望通过与IP-Link联动,检查DHCP服务器之后链路的有效性。当发现所在链路出现故障时,则将业务流量切换到备份链路上。

#
sysname FW
ip-link check enable
	#开启IP-Link链路检查功能。
ip-link name test
 destination 8.8.8.1 interface GigabitEthernet1/0/2 mode icmp next-hop dhcp
	#创建IP-Link test1,用于侦测FW到目的地
最低0.47元/天 解锁文章
我是一条胖咸鱼
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
高性能高可靠性高扩展性分布式防火墙架构
02-27
随着网络规模不断扩大、各种应用业务日益增多,特别是政府、电信、金融、电力等关键行业的数据中心、电信网络等的数据流量巨大,技术含量不断提高,都要求有一个高可靠性、高质量和高安全性的网络来承载,支撑由此...
HCSCP1105 防火墙高可靠性 ISSUE 3.0.pptx
10-06
HCSCP1105 防火墙高可靠性 ISSUE 3.0
ip link 命令总结
热门推荐
luotuo28的博客
05-31 1万+
link表示link layer的意思,即链路层。该命令用于管理和查看网络接口。 ip link set ip link set DEVICE { up | down | arp { on | off } | name NEWNAME | address LLADDR } 选项说明: dev DEVICE:指定要操作的设备名 up and down:启动或停用该设备 arp on or arp off:启用或禁用该设备的arp协议 name NAME:修改指定设备的名称,建议不要在该接口处于运行状态或已
防火墙可靠性之---链路检测工具(ip-link)
zljszn的博客
10-24 6529
ip-link的定义IP-Link是指FW通过向指定的目的IP周期性地发送探测报文并等待应答,来判断链路是否发生故障FW发送探测报文后,在三个探测周期(默认为15s)内未收到响应报文,则认为当前链路发生故障,IP-Link的状态变为Down。随后,FW会进行相关的后续操作,例如双机热备主备切换等当链路从故障中恢复,FW能连续地收到3个响应报文,则认为链路故障已经消除,IP-Link的状态变为Up。也就是说,链路故障恢复后,IP-Link。
路由链路检测技术
最新发布
m0_71453950的博客
05-30 223
NQA(Network Quality Analyzer):NQA是一种网络质量分析工具,可以对网络链路进行性能测试和故障检测。NQA可以通过发送ICMP、TCP、UDP等不同类型的数据包,对网络链路进行延迟、丢包、带宽等方面的测试。NQA可以与防火墙、路由器、交换机等设备配合使用,实现链路状态的监测和故障诊断。BFD(Bidirectional Forwarding Detection):BFD是一种快速检测网络链路状态的协议,可以在毫秒级别内检测到链路故障。
【Linux命令】ifconfig、route、ip route、ip addr、 ip link 用法
m0_45406092的博客
07-26 1万+
文章目录前言参考 前言 本文主要列出一些用法,进行对比 参考 添加链接描述
【Linux命令】ip link
m0_45406092的博客
07-06 1万+
文章目录1. 前言2. ip link 命令格式2.1 ip link add2.1.1 命令实例参考 1. 前言 ifconfig命令已经废弃。其功能可通过下文介绍的ip addr、ip link和ip -s link等命令代替。 常用语法:ip [ OPTIONS ] OBJECT { COMMAND | help } OPTIONS是修改ip行为或改变其输出的选项。所有的选项都是以-字符开头,分为长、短两种形式,常用的OPTIONS: option: -h:输出人类可读的统计信息和后缀 -b:从提供
防火墙安全策略
weixin_49283635的博客
01-14 1581
Interface: GigabitEthernet1/0/2 NextHop: 10.1.3.2 MAC: 00e0-fcb0-3b49 // 流量的出接口,下一跳的IP地址、下一跳的mac地址。Zone: trust --> internet TTL: 00:00:20 Left: 00:00:13 //区域 TTL指的是该会话表的存活时间 ,left指的是存活的剩余时间。对于防火墙始发的或者抵达防火墙自身的OSPF/BGP/DHCP/IP-Link等流量,不受安全策略的限制。
H3C SecPath F1000-S防火墙安装手册
03-05
H3C SecPath F1000-S防火墙提供四个固定的10/100/1000Mbps自适应以太网口,其中两个千兆以太网口可支持光接口和电接口两种形式,两个...提供机箱内部环境温度检测功能,并支持网管,可满足电信级产品的高可靠性要求。
FortiOS管理员手册606-第05章-高可用性.pdf
08-30
飞塔防火墙官网资料中译部分节选 FortiOS 6.0.6 HA 高可靠性
link-group
sherlockmj的博客
04-07 2787
定义 Link-group功能是将多个接口的状态相互绑定,组成一个逻辑组。当组内任一接口出现故障,系统将组内其它接口状态设置为Down。当组内所有接口恢复正常后,整个组内的接口状态才重新被设置为Up。 目的 Link-group管理组保证了组内物理接口的状态一致性,同时在链路故障时能够加快路由收敛速度。 收敛 对于路由协议,网络上的路由器在一条路径不能使用时必须经历决定替代路径的过程,是在最佳路径的判断上所有路由器达到一致的过程。当某个网络事件引起路由可用或不可用时,路由器就发出更新信息...
华为USG6000V防火墙之双机热备实验
Arrebolcwn的博客
04-09 1911
到这里呢,我们双机热备实验就基本结束了,接下来来看一下两台防火墙配置之后的所有命令。首先,我们先配置好所有设备的地址,再划分好两台USG6000V防火墙的。HRP协议---用来同步主备防火墙之间的会话和策略。接下来,我们分别在两台防火墙上分别配置。之后,我们就提出了一个新的概念,叫做。信任域、不信任域以及DMZ区域。这个协议配置在两台防火墙的。
防火墙入侵与检测 day05 防火墙可靠性
果子哥丶的博客
05-27 1553
IP-Link技术、BFD技术、双机热备技术、 双机热备的基本原理、 双机热备场景概述、 Link-group技术、 Eth-Trunk技术
拓扑网络连通1-ensp
croumin的博客
09-18 2865
拓扑图   实验代码 FW2<USG6000V1>dis cu !Software Version V500R001C10 # sysname USG6000V1 #  l2tp enable  undo l2tp sendaccm enable  l2tp domain suffix-separator @ # undo info-center enable # undo ...
ip link/addr命令的使用(基础)
BUG_MeDe的博客
09-28 1596
目前对ip命令的使用还是很迷惑,看了很多博客,做一些总结
ip link命令介绍使用
wq897387的专栏
07-20 1269
ip link
HCIE安全笔试-H12-731 V2.0选择题难点解析
lyhbwwk的博客
06-06 3958
HCIE安全笔试,选择题单项
(不同子网)1个VRRP备份组可以对应多个虚拟IP
小着子的博客
03-03 7379
1个VRRP备份组可以对应多个虚拟IP,虚拟IP可以是不同子网的
link-group & bypass
qq_47529104的博客
03-21 619
link-group link-group number //将接口加入到link组当中 link组中的某个成员down了其他也down。 只有全部的link-group组中的成员都up,所有的成员才up bypass 当FW直路部署在网络中时,FW的工作失效引起断网将对企业带来不可估量的损失。相比短暂的失去FW的安全保护,这个损失是更加不可接受的。 为解决这个问题,提高网络的可靠性,FW提供Bypass接口对来实现硬件Bypass功能。当FW下电或者重启时,Bypass接口对将设备的上下游设.
H3C高可靠性园区网络
05-17
H3C高可靠性园区网络是一种针对园区企业和数据中心应用设计的高可靠、高性能的网络解决方案。它采用了H3C自主研发的智能交换机、路由器、防火墙等设备,并通过技术手段实现了网络设备的冗余备份、链路备份、协议备份等多重保护机制,以确保网络高可靠性和高可用性。同时,该方案还支持多种数据中心虚拟化技术,如VXLAN、TRILL等,可以满足数据中心在虚拟化、云计算、大数据等方面的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值