《基于华为防火墙ip link机制的线路检测和切换方案的研究和实现》由会员分享,可在线阅读,更多相关《基于华为防火墙ip link机制的线路检测和切换方案的研究和实现(8页珍藏版)》请在金锄头文库上搜索。
1、基于ip link机制的线路检测和保护方案的研究和实现目 录第1章 背景2第2章 方案概述32.1 负载均衡方案32.2 非负载均衡线路和业务保护方案6第3章 总结与优化83.1 总结83.2 优化8第1章 背景近年来,随着互联网应用的不断发展,集团客户的业务越来越多的依赖于互联网,由此集团客户对于互联网专线的保障等级要求越来越高。部分重要集团为保障自身业务发展,都开通了多条运营商线路,通过冗余线路保障业务不受某条线路的影响而中断公司整个业务。而关于故障线路的快速检测和线路之间的及时切换,都成为客户关注和急需要解决的问题。为此,本文作者结合日常工作经验和典型集团客户需求,分析和总结了针对华为防
2、火墙进行双线接入的业务负载均衡和路由保护方案。第2章 线路检测和保护方案2.1 Ip link线路检测机制Ip link检测机制是基于icmp协议的链路可达性检查机制,主要原理是通过icmp协议探测链路上目的地址是否可达,由此判断该链路是否可用。目前主要用在华为Eudemon系统防火墙上,用于检测与防火墙不直接相连的接口或链路状态。检测流程如下:图1 ip link检测流程2.2 基于Ip link线路检测和保护方案Ip link线路检测机制一般与多种冗余保护机制相配合,实现线路的监控和保护。2.2.1 双机热备当设备工作于双机热备份环境时,IP-Link自动检查后发现链路故障影响主备业务,通
3、过配置VGMP管理组监控IP-Link,设备会对VGMP管理组的优先级进行相关调整,触发主备设备切换,从而保证业务能够持续流通。图2 双机热备环境下的IP-Link链路可达性检查如图2所示,当位于Untrust区域路由器接口(IP地址为202.38.10.2/24)发生故障,启用IP-link链路可达性检查功能后,系统将会触发主备切换,保证业务正常进行。2.2.2 虚拟路由器冗余环境图3 虚拟路由器冗余环境下的IP-Link链路可达性检查三台设备组成VRRP备份组,如图3所示。配置VRRP监控IP-Link链路后,当IP-Link监视的链路Down时,会改变管理组的优先级,从而引起主备倒换。2
4、.2.3 静态路由和策略路由冗余环境当IP-Link自动检查发现链路故障时,设备会对自身的静态路由进行相应的调整,保证每次用到的链路是最高优先级和链路可达的,以保持业务的持续流通。图4静态路由环境下的IP-Link链路可达性检查如图4所示,内部网络用户访问Internet的时候有两条静态路由可供选择,其中一条静态路由绑定了IP-Link进行链路可达性检查,当该链路不通的时候流量切换至另一条路由,以保证业务的畅通。对于策略路由,当IP-Link自动检查发现链路故障时,系统可以触发链路绑定的策略路由失效,这样设备在查找路由时将查找备份的路由,以保持业务的持续流通2.2.4 静态路由和策略路由冗余环
5、境图5 DHCP Client环境下的IP-Link链路可达性检查如图5所示,设备作为出口网关,采用双上行链路。主链路是设备作为DHCP Client获取IP地址,备链路是3G链路。当IP-Link检查DHCP Server后的链路时,Eudemon会获取网关地址作为下一跳进行链路检测。如果发现DHCP Server后的链路故障,则将设备切换到备份链路。2.3 基于策略路由的典型实现方案需求:双线接入的集团内部,要求不同办公区域只能通过相应的线路访问互联网,当该条线路中断时,能自动切换到另一条线路访问互联网。方案:通过策略路由实现不同办公区域只能通过相应的线路访问;通过连接监测机制(ip-li
6、nk)实现线路中断时的自动切换。网络拓扑如下:图3 某集团非负载均衡线路和业务保护网络拓扑实现内容:(1)配置策略:配置策略路由,使办公区域1只能通过移动线路访问,办公区域2只能通过电信线路访问,注:策略路由需配置在trust域的oubound方向,由此保证在trust域的出方向选择进入相应的运营商域;(2)两条默认路由保护:配置两条默认路由,1条优选,1条备选,一旦优选的线路中断,该优选默认路由将失效;(3)启用ip-link监测:通过该机制实时监测策略路由下一条的状态,一旦某个策略的下一条不可达,该策略将失效;(4)一旦某条线路中断或不可达,该条线路上的策略路由和默认路由将失效,原先通过该线路访问的用户将自动切换到备选线路进行访问。第3章 总结与优化3.1 总结通过ip link线路检测并结合相应的冗余保护机制,可灵活实现用户1+1的业务保护方案,最大限度保障用户业务正常访问。
