基于华为防火墙iplink机制的线路检测和切换方案的研究和实现.doc

基于华为防火墙iplink机制的线路检测和切换方案的研究和实现.doc

  1. 1、本文档共8页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
基于华为防火墙iplink机制的线路检测和切换方案的研究和实现

基于ip link机制的 线路检测和保护方案的研究和实现 目 录 第1章 背景 2 第2章 方案概述 3 2.1 负载均衡方案 3 2.2 非负载均衡线路和业务保护方案 6 第3章 总结与优化 8 3.1 总结 8 3.2 优化 8 背景 近年来,随着互联网应用的不断发展,集团客户的业务越来越多的依赖于互联网,由此集团客户对于互联网专线的保障等级要求越来越高。部分重要集团为保障自身业务发展,都开通了多条运营商线路,通过冗余线路保障业务不受某条线路的影响而中断公司整个业务。而关于故障线路的快速检测和线路之间的及时切换,都成为客户关注和急需要解决的问题。 为此,本文作者结合日常工作经验和典型集团客户需求,分析和总结了针对华为防火墙进行双线接入的业务负载均衡和路由保护方案。 线路检测和保护方案 Ip link线路检测机制 Ip link检测机制是基于icmp协议的链路可达性检查机制,主要原理是通过icmp协议探测链路上目的地址是否可达,由此判断该链路是否可用。目前主要用在华为Eudemon系统防火墙上,用于检测与防火墙不直接相连的接口或链路状态。 检测流程如下: 图1 ip link检测流程 基于Ip link线路检测和保护方案 Ip link线路检测机制一般与多种冗余保护机制相配合,实现线路的监控和保护。 双机热备 当设备工作于双机热备份环境时,IP-Link自动检查后发现链路故障影响主备业务,通过配置VGMP管理组监控IP-Link,设备会对VGMP管理组的优先级进行相关调整,触发主备设备切换,从而保证业务能够持续流通。 图2 双机热备环境下的IP-Link链路可达性检查 如图2所示,当位于Untrust区域路由器接口(IP地址为202.38.10.2/24)发生故障,启用IP-link链路可达性检查功能后,系统将会触发主备切换,保证业务正常进行。 虚拟路由器冗余环境 图3 虚拟路由器冗余环境下的IP-Link链路可达性检查 三台设备组成VRRP备份组,如图3所示。配置VRRP监控IP-Link链路后,当IP-Link监视的链路Down时,会改变管理组的优先级,从而引起主备倒换。 静态路由和策略路由冗余环境 当IP-Link自动检查发现链路故障时,设备会对自身的静态路由进行相应的调整,保证每次用到的链路是最高优先级和链路可达的,以保持业务的持续流通。 图4静态路由环境下的IP-Link链路可达性检查 如图4所示,内部网络用户访问Internet的时候有两条静态路由可供选择,其中一条静态路由绑定了IP-Link进行链路可达性检查,当该链路不通的时候流量切换至另一条路由,以保证业务的畅通。 对于策略路由,当IP-Link自动检查发现链路故障时,系统可以触发链路绑定的策略路由失效,这样设备在查找路由时将查找备份的路由,以保持业务的持续流通 静态路由和策略路由冗余环境 图5 DHCP Client环境下的IP-Link链路可达性检查 如图5所示,设备作为出口网关,采用双上行链路。主链路是设备作为DHCP Client获取IP地址,备链路是3G链路。当IP-Link检查DHCP Server后的链路时,Eudemon会获取网关地址作为下一跳进行链路检测。如果发现DHCP Server后的链路故障,则将设备切换到备份链路。 基于策略路由的典型实现方案 需求:双线接入的集团内部,要求不同办公区域只能通过相应的线路访问互联网,当该条线路中断时,能自动切换到另一条线路访问互联网。 方案:通过策略路由实现不同办公区域只能通过相应的线路访问;通过连接监测机制(ip-link)实现线路中断时的自动切换。 网络拓扑如下: 图3 某集团非负载均衡线路和业务保护网络拓扑 实现内容: (1)配置策略:配置策略路由,使办公区域1只能通过移动线路访问,办公区域2只能通过电信线路访问,注:策略路由需配置在trust域的oubound方向,由此保证在trust域的出方向选择进入相应的运营商域; (2)两条默认路由保护:配置两条默认路由,1条优选,1条备选,一旦优选的线路中断,该优选默认路由将失效; (3)启用ip-link监测:通过该机制实时监测策略路由下一条的状态,一旦某个策略的下一条不可达,该策略将失效; (4)一旦某条线路中断或不可达,该条线路上的策略路由和默认路由将失效,原先通过该线路访问的用户将自动切换到备选线路进行访问。 总结与优化 总结 通过ip link线路检测并结合相应的冗余保护机制,可灵活实现用户1+1的业务保护方案,最大限度保障用户业务正常访问。

文档评论(0)

kakaxi + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档