防火墙链路探测技术

1、HUAWEI TECHNOLOGIES CO., LTDHuawei Confidential Security Level: 2021-10-25防火墙链路探测技术张训伟/001009942007-10-12HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 2IPLinkIPLink基本概念基本概念lIPLink自动侦测是利用ICMP或者ARP协议的特征对业务链路正常与否进行的自动侦测。它定时(5个报文/秒)地向指定的目的IP地址发送ICMP或者ARP请求，等待相应目的IP地址的回应，根据回应的情况判断网络的连通状况。l如果在设定的时

2、限(默认为3秒)内未收到回应报文，则认为链路发生故障，并进行后续相应的操作。当原来认为发生故障的链路，在之后设定的时限内，有连续3个回应报文返回，则认为发生故障的链路已经恢复正常，此后进行链路恢复的相关操作。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 3IPLinkIPLink的两种模式及配置时的注意事项的两种模式及配置时的注意事项lIPLink有ICMP和ARP两种模式：在配置每条IPLink时可以指定是使用ICMP包侦测还是使用ARP包来侦测，默认是使用ICMP包。l可以同时使用这两种模式对同一地址进行侦测，如果配置正确，两种

3、模式对同一地址的侦测结果应该是一致的。并且两种模式之间互不影响，使用ICMP模式侦测不到应答报文不会自动切换到ARP模式，反之亦然。lIPLink侦测的目的地址可以是防火墙的非直连接口，但如果是侦测非直连接口的话必须使用ICMP模式。使用ARP模式只能侦测防火墙的直连接口。l配置IPLink时需要允许防火墙local域到接口所在域的缺省规则。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 4IPLinkIPLink的模式的模式(1)(1)使用使用ICMPICMP进行链路探测进行链路探测lIPLink定时(5个报文/秒)地向某个(或某些

4、)指定的目的IP地址发送ICMP报文，并根据收到回应报文的情况进行链路状态判断。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 5IPLinkIPLink的模式的模式(2)(2)使用使用ARPARP进行链路探测进行链路探测lIPLink定时(5个报文/秒)地向某个(或某些)指定的目的IP地址(同一网段)发送ARP报文，并根据收到回应报文的情况进行链路状态判断。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 6IPLinkIPLink的基本配置的基本配置l使能IPLlink自动

5、侦测功能Eudemon ip-link check enablel关闭IPLlink自动侦测功能Eudemon undo ip-link check enablel配置一条IPLinkEudemon ip-link number destination ip-address interface interface-type interface-number timer interval mode icmp | arp 如果不配置出接口，则通过查路由表获取出接口。自动侦测的时间间隔默认为3s (就是说一条IPLink在3秒内收不到响应包就发生状态切换) ，自动侦测模式默认为icmp模式.l删除一

6、条IPLinkEudemon undo ip-link numberHUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 7IPLinkIPLink的功能的功能IPLink自动侦测的侦测结果（目的主机可达或者不可达）可以被其他特性所引用，主要应用包括： l应用在静态路由中应用在静态路由中当IPLink侦测出链路发生故障，防火墙会对自身的静态路由进行相应的调整。如原来高优先级的静态路由所经链路被检测到发生故障，防火墙会选择新的链路进行业务转发。如果高优先级的静态路由链路故障恢复正常时，防火墙又会进行静态路由的调整，用高优先级的路由替换低优先级

7、的路由，保证每次用到的链路是最高优先级的并且是可达的，以保持业务的持续进行。l应用在双机热备中应用在双机热备中当IPLink侦测到的链路故障会影响防火墙的主备业务，则防火墙会对VGMP的优先级进行调整，引发主备切换，从而保证业务能够持续流通。 HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 8配置两条（或多条）有相同目的IP，不同下一跳（优先级可以相等可以不等，但是优先级相等时目前我们的防火墙走的是静态路由负载分担）的静态路由，利用IPLink监视下一跳IP，如果IPLink监视到下一跳DOWN掉，将该静态路由置为无效，同时选择次优先

8、级且活跃的静态路由。当IPLink监视到高优先级的链路恢复时，将当前的静态路由置为无效，同时选择高优先级路由。当有2条或多条静态路由负荷分担时，其中1条静态路由的下一跳DOWN，IPLink监视到以后，在还有其他静态路由可以转发数据的情况下，不会选择次优的静态路由了。IPLinkIPLink功能应用在静态路由功能应用在静态路由配置静态路由Eudemon ip route-static ip-address mask | mask-length interface-type interface-number |next-hop-address preference preference-valu

9、e reject | blackhole 配置IPLinkEudemon ip-link number destination ip-address interface interface-type interface-number timer interval mode icmp | arp IPLink只能侦测防火墙的下一跳IP地址，因此配置的IPLink的目的地址必须和静态路由的下一跳IP地址一致。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 9利用IPLink监视下一跳IP，如果IPLink监视到高优先级的下一跳DOWN掉，

10、将该静态路由置为无效，同时选择低优先级（如果有IPLink监视，需要判断该链路是否活跃）的静态路由。 IPLinkIPLink功能应用在静态路由功能应用在静态路由( (续一续一) )HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 10当IPLink监视到原来高优先级的路由恢复时，将当前静态路由置为无效，同时选择当前高优先级路由。 IPLinkIPLink功能应用在静态路由功能应用在静态路由( (续二续二) )HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 11根据IPLink

11、的结果调整VGMP的优先级：当IPLink发现影响主备的接口链路不可达时，进行VGMP优先级的调整，引发主备切换。当IPLink发现原来不可达链路恢复时，进行VGMP优先级的调整，引发主备抢占切换。IPLinkIPLink功能应用在双机热备功能应用在双机热备进入VRRP管理组视图Eudemon vrrp-group group-identifier配置IP-LinkEudemon ip-link number destination ip-address interface interface-type interface-number timer interval mode icmp | arp 配置VGMP组成员绑定IP-Link(使用VGMP中的任何一个接口和IPLink关联都是等价的)Eudemon add interface interface-type interface-number vrrp vrid virtual-router-ID data transfer-only | ip-link num